基于的单点登录系统.ppt

《基于的单点登录系统.ppt》由会员分享，可在线阅读，更多相关《基于的单点登录系统.ppt（32页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、基于基于thrift的的SSO单单点登点登录实现录实现工程硕士学位论文基于基于thrift的的SSO单点登录实现单点登录实现 随着信息技随着信息技术和网和网络技技术的快速的快速发展，展，应用系用系统会越来越多。会越来越多。同同时随着随着应用网站的用网站的扩大，接入的大，接入的业务随之增多，每个系随之增多，每个系统都会有自己独立的都会有自己独立的SSO系系统，这样造成用造成用户登登录各个各个应用系用系统，必，必须记住自住自己的各个系己的各个系统的用的用户名和密名和密码，随着系，随着系统的增多，的增多，用用户也将随着需要也将随着需要记忆的用的用户名和密名和密码的急的急剧增增长而奔而奔溃，用，用户体

2、体验大大降低。另外，随着大大降低。另外，随着应用系用系统的增多，的增多，认证系系统出出错的可能性增大，用的可能性增大，用户的信息的信息收到非法截收到非法截获和破坏的可能性增大，和破坏的可能性增大，这个系个系统的安的安全性就大大降低。全性就大大降低。基于基于thrift的的SSO单点登录实现单点登录实现 研究研究调查的的统计数据数据 1 1、用、用户每天平均每天平均1616分分钟花在身份花在身份验证任任务上；上；2 2、频繁的繁的ITIT用用户平均有平均有2121个密个密码；3 3、49%49%的人写下密的人写下密码，而，而67%67%的人很少改的人很少改变它它们 4 4、每、每7979秒出秒出

3、现一起身份被窃事件一起身份被窃事件 鉴于上面的于上面的统计数据，数据，设计一套一套单点登点登录系系统来来解决用解决用户的的烦恼势在必行。在必行。基于基于thrift的的SSO单点登录实现单点登录实现 本文是基于本文是基于镇江旅游网、支付平台以及江旅游网、支付平台以及论坛项目而目而展开的展开的统一一认证研究工作。研究工作。本本项目目S SSOSO管理系管理系统是在是在LinuxLinux操作系操作系统上运行的一上运行的一个核心个核心软件，向件，向镇江旅游网、支付平台以及江旅游网、支付平台以及论坛系系统提供提供登登录、注册、注册、鉴权、退出等、退出等服服务。基于基于thrift的的SSO单点登录实

4、现单点登录实现 1、thrift技技术的研究，通的研究，通过对thrift的底的底层框架、框架、底底层协议、传输层的研究，的研究，为后面的后面的单点登点登录系系统的的实现提供了理提供了理论依据。依据。2、单点登点登录的的设计与与实现，通，通过系系统需求分析需求分析调研，研，设计出系出系统的架构及的架构及业务组成，然后利用成，然后利用 MyEclipse 平台开平台开发出基于出基于 Thrift的的单点登点登录系系统。3、展示展示单点登点登录在在镇江旅游网、支付平台以及江旅游网、支付平台以及论坛的的应用用。基于基于thrift的的SSO单点登录实现单点登录实现 Thrift Thrift实际上是

5、上是实现了了C/SC/S模式，通模式，通过代代码生成工具将接口定生成工具将接口定义文件生成服文件生成服务器端和客器端和客户端代端代码（可以（可以为不同不同语言），从而言），从而实现服服务端端和客和客户端跨端跨语言的支持。用言的支持。用户在在ThirftThirft描述文件中声明自己的服描述文件中声明自己的服务，这些服些服务经过编译后会生成相后会生成相应语言的代言的代码文件，然后用文件，然后用户实现服服务（客（客户端端调用服用服务，服，服务器端提服器端提服务）便可以了。其中）便可以了。其中protocolprotocol（协议层,定定义数据数据传输格式，可以格式，可以为二二进制或者制或者XMLX

6、ML等）和等）和transporttransport（传输层，定定义数据数据传输方式，可以方式，可以为TCP/IPTCP/IP传输，内存共享或者文件共享等），内存共享或者文件共享等）基于基于thrift的的SSO单点登录实现单点登录实现 ThriftThrift支持的支持的传输协议1 1、TBinaryProtocol TBinaryProtocol 本项目使用的是传统的二进制本项目使用的是传统的二进制编码格式进行数据传输。编码格式进行数据传输。2 2、TCompactProtocol TCompactProtocol 在大数据量传输时，这种协议在大数据量传输时，这种协议非常有效的，它将传输的

7、数据使用非常有效的，它将传输的数据使用Variable-Length Variable-Length Quantity(VLQ)Quantity(VLQ)编码进行压缩。编码进行压缩。3 3、TJSONProtocol TJSONProtocol 使用使用JSONJSON数据协议进行数据传输。数据协议进行数据传输。4 4、TSimpleJSONProtocol TSimpleJSONProtocol 这种协议节约只提供这种协议节约只提供JSONJSON只写的协议，适用于通过脚本语言解析。只写的协议，适用于通过脚本语言解析。5 5、TDebugProtocol TDebugProtocol 该协议

8、用在开发的过程中，帮助该协议用在开发的过程中，帮助开发人员调试用的，以文本的形式展现，方便阅读。开发人员调试用的，以文本的形式展现，方便阅读。基于基于thrift的的SSO单点登录实现单点登录实现 ThriftThrift支持的数据支持的数据传输方式方式1 1、TSocket-TSocket-使用堵塞式使用堵塞式I/OI/O进行传输，类似于进行传输，类似于javajava中的中的socketsocket传输。也是最常见的模式。传输。也是最常见的模式。2 2、TFramedTransport-TFramedTransport-使用非阻塞方式，按块（即使用非阻塞方式，按块（即frameframe）

9、进行传输。类似于）进行传输。类似于JavaJava中的中的NIONIO。3 3、TFileTransport-TFileTransport-该传输是按照文件的方式进程传输。该传输是按照文件的方式进程传输。虽然这种方式不提供虽然这种方式不提供JavaJava的实现，但是实现起来非常简单。的实现，但是实现起来非常简单。4 4、TMemoryTransport-TMemoryTransport-使用内存使用内存I/OI/O，底层用，底层用JavaJava中的中的ByteArrayOutputStreamByteArrayOutputStream实现。实现。5 5、TZlibTransport-TZl

10、ibTransport-使用执行使用执行zlibzlib压缩，不提供压缩，不提供JavaJava的实的实现。现。基于基于thrift的的SSO单点登录实现单点登录实现 Thrift支持的服务模型1 1、TSimpleServer TSimpleServer 单线程服务器端使用标准的单线程服务器端使用标准的堵塞式堵塞式I/OI/O。类似于客户端的。类似于客户端的TSocketTSocket。2 2、TThreadPoolServer TThreadPoolServer 多线程服务模型，使用多线程服务模型，使用标准的阻塞式标准的阻塞式IOIO。类似于客户端的。类似于客户端的TFramedTrans

11、portTFramedTransport。3 3、TNonblockingServer TNonblockingServer 多线程服务模型，使多线程服务模型，使用非阻塞式用非阻塞式IOIO基于基于thrift的的SSO单点登录实现单点登录实现 (1)(1)随随处注册注册：从任意从任意业务系系统均可注册，均可注册，各个各个业务系系统共用一个用共用一个用户信息。信息。(2)(2)随随处登登录：从任意从任意业务系系统均可登均可登录，返，返回登回登录票据，其他票据，其他业务系系统均无需再登均无需再登录。(3)(3)随随时鉴权：用用户在在业务系系统上任意的操上任意的操作均需作均需鉴权票据是否票据是否过

12、期。期。(4)(4)随随处退出退出：从任意从任意业务系系统均可退出，均可退出，其他其他业务系系统均均显示退出。示退出。(5)(5)日志日志记录：用用户的任意的任意单点登点登录操作均操作均有日志有日志查询。基于基于thrift的的SSO单点登录实现单点登录实现 基于基于thrift的的SSO单点登录实现单点登录实现 单点登点登录（Single Sign OnSingle Sign On缩写是写是SSOSSO）是在多）是在多个个应用系用系统中，用中，用户只需要登只需要登录一次就可以一次就可以访问所有相互信任的所有相互信任的应用系用系统。另外，在任意一个系。另外，在任意一个系统登出，其他的系登出，其

13、他的系统均退出。是目前市均退出。是目前市场上流行上流行的企的企业业务整合的解决方案。整合的解决方案。要要实现SSOSSO，需要几点功能：，需要几点功能：1 1、注册功能、注册功能 2 2、激活功能、激活功能3 3、登、登录功能功能4 4、鉴权功能功能5 5、退出功能、退出功能基于基于thrift的的SSO单点登录实现单点登录实现 注册功能设计 1、用户填写注册信息，各个业务系统提交到SSO单点登录系统。2、到数据库查询该用户是否是黑名单。3、如果是黑名单则返回各个应用系统该用户是黑名单，记录日志。4、查询用户信息在数据库中是否已经存在。5、该用户已经存在，返回各个应用系统，该用户名已经存在，记

14、录日志。基于基于thrift的的SSO单点登录实现单点登录实现 6、根据应用系统的需求，判断是否需要激活注册。7、不需要激活注册，将用户信息中密码MD5加密后和其余信息保存至用户表，记录日志。8、需要激活注册，则判断待激活用户表中是否存在该用户名。9、存在该用户则返回各个应用系统，该用户是待激活用户，记录日志。10、如果用户是邮箱注册，将激活码下发至用户邮箱，记录日志。基于基于thrift的的SSO单点登录实现单点登录实现 11、如果用户是手机注册，将激活码下发至用户手机，记录日志。12、不存在则将用户信息保存至待激活用户表，记录日志。基于基于thrift的的SSO单点登录实现单点登录实现 激

15、活功能设计 1、根据各个应用系统传过来的用户信息，通 过正则表达式判断其用户名是手机号码注册还是邮箱注册。2、到数据库查询该用户是否是黑名单用户，若是，返回各个应用系统，该用户是黑名单用户，记录日志。3、查询用户在激活表中是否存在。4、如果不存在，返回各个应用系统，用户不存在，记录日志。5、查询用户的待激活时间是否已经过期基于基于thrift的的SSO单点登录实现单点登录实现 6、过期返回各个应用系统，用户注册时间已经过期，同时SSO单点登录系统将用户待激活记录删除，方便用户重新注册，获取待激活码，记录日志。7、将此待激活的用户的信息正式保存到用户表中，返回各个应用系统，激活成功，记录日志。基

16、于基于thrift的的SSO单点登录实现单点登录实现 登录功能设计 1、根据各个系统传入的用户名和密码，判断用户此时是否已经登录。2、如果已经登录，返回各个应用系统，用户已经登录，记录日志。3、到数据库判断用户名是否是黑名单。4、是黑名单则返回各个应用系统，该用户是黑名单，记录日志。5、查询数据库中的用户表是否存在和该用户名和密码匹配用户。基于基于thrift的的SSO单点登录实现单点登录实现 6、没有匹配用户，则返回各个应用系统，用户名或者密码错误，记录日志。7、将用户基本信息以及生成唯一的凭据ticket给各个应用系统，并在用户会话表中记录一条数据，记录日志。基于基于thrift的的SSO

17、单点登录实现单点登录实现 鉴权功能设计 1、根据各个应用系统的用户登录凭据ticket，查看会话表中是否存在记录。2、不存在，则返回各个应用系统，用户ticket已经失效，记录日志。3、各个应用系统接收到SSO单点登录系统的失败响应，清除用户客户端的cookie中用户信息和凭据ticket。基于基于thrift的的SSO单点登录实现单点登录实现 4、更新会话表的上一次操作时间，返回各个应用系统，用户凭据ticket鉴权成功，记录日志。附：如果用户在各个系统10分钟未操作界面，即各个应用系统10分钟未调用SSO单点登录系统，去鉴权ticket的有效性。SSO单点登录系统数据库存储过程自动将会话表

18、中用户鉴权数据删除。基于基于thrift的的SSO单点登录实现单点登录实现 退出功能设计 1、SSO应用系统获取用户注销信息，根据其凭据ticket，在会话表中查询记录。2、如果没有，返回各个应用系统，用户登出失败，记录日志。3、清除会话表中该用户的会话记录，返回各个应用系统，登出成功，记录日志。4、各个应用系统接收到SSO单点登录系统的成功消息后，将客户端的cookie中用户信息和凭据一起清除。基于基于thrift的的SSO单点登录实现单点登录实现 注册截图注册截图基于基于thrift的的SSO单点登录实现单点登录实现 激活截图激活截图基于基于thrift的的SSO单点登录实现单点登录实现 登录截图登录截图基于基于thrift的的SSO单点登录实现单点登录实现 登录截图登录截图基于基于thrift的的SSO单点登录实现单点登录实现 登录截图登录截图基于基于thrift的的SSO单点登录实现单点登录实现 鉴权截图鉴权截图基于基于thrift的的SSO单点登录实现单点登录实现 登出截图登出截图基于基于thrift的的SSO单点登录实现单点登录实现 登出截图登出截图基于基于thrift的的SSO单点登录实现单点登录实现 登出截图登出截图基于基于thrift的的SSO单点登录实现单点登录实现 谢谢！