俊星的BLOG

CAS认证初探

在网上找到一份比较老的参考文档:http://www.ibm.com/developerworks/cn/webservices/ws-casestudy/part4/

1、列举出来其需要的几项功能:

该服务主要需要具备三项功能:

  1. 用户注册:用户在统一身份认证服务中注册帐号,以后这个帐号可以在所有使用统一身份认证服务的应用系统中使用。
  2. 帐号关联:如果用户之前已经在相关的应用系统中拥有帐号,同时也已经设置了相应的权限,那么用户能够将这些应用 系统的帐号与统一身份认证服务的帐号进行关联,使得用户登录统一身份认证服务之后,就能够自动使用相关的应用系统用户来访问应用系统。
  3. 用户认证:为应用系统提供用户身份认证,兼顾两个应用方式:
    • 应用系统使用统一身份认证服务作为它的用户系统,用户与应用系统进行交互,进行登录操作,应用 系统将用户提供的用户名/密码等转发给统一身份认证服务以检验其是否通过授权。
    • 用户首先登录统一身份认证服务,并获取权限令牌,以后可以使用这个权限令牌访问其他的应用系 统,应用系统接收该权限令牌时应当与统一身份认证服务进行交互,以检验访问的合法性。

用户注册

用户注册(包括用户更新注册信息)的流程可以使用下图来表示。其中主要包含了两个流程:新用户注册和用户更新注册信息。

新用户注册:

  1. 用户向统一身份认证服务发出新用户注册请求
  2. 服务查询用户注册库,如果该用户可以注册(没有同名ID等违背约束条件的情况发生),那么将该用户的信息保存到 用户注册库中。
  3. 当保存完毕后,统一身份认证服务响应用户,注册完成。

用户更新注册信息:

  1. 用户向统一身份认证服务发出用户注册信息更新请求。
  2. 服务查询用户注册库,如果该用户信息可以更新(有该ID存在,同时提供的密码也是正确的等等),那么将该用户的 信息将在用户注册库中更新。
  3. 当保存完毕后,统一身份认证服务响应用户,更新完成。

帐号关联

帐号关联操作可以使用下图来表示。图中仅包含一个登记新的帐号关联的操作,相关的修改、删除操作被省略了,有兴趣的读者可 以自行给出

登记新的帐号关联:

  1. 用户向统一身份认证服务发出帐号关联注册请求,用户提供了应用系统的标识A,同时提供了可以在该应用系统中使用 的用户信息(可能包含用户名和密码等)。
  2. 服务首先向该应用系统A征询,用户信息是否合法。如果合法则响应服务。
  3. 如果收到合法响应,那么服务就将这个帐号关联注册信息保存到用户注册库中,以后该用户登录统一身份认证服务之 后,就能够使用相应的应用系统A。
  4. 当注册库完成保存操作后,统一身份认证服务响应用户,注册完成。

身份认证组件模式

统一身份认证服务的一个基本应用模式是以应用系统的身份认证组件的形式工作,在这个应用模式下,主导地位的是应用系统。在 这种情况下,应用系统自身没有用户系统,因此本模式下涉及的帐号一定是统一身份认证服务的用户帐号。

流程描述如下:(仅描述正常流程)

  1. 用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息,比如数字签名等)登陆应用系统A
  2. 应用系统A,将用户名和密码连同自己的标识(应用系统A的标识)一起转发给统一认证服务,要求统一认证服务完成 登录操作。
  3. 统一认证服务核查自己的应用系统注册库(使用UDDI Registry,我将在后面解释为什么使用UDDI Registry)看看应用系统A是否已经是统一认证服务的用户系统。同时在用户注册库中核查由应用系统A转发过来的用户名和密码。
  4. 待核查完毕后,统一认证服务响应应用系统A,登录完成。
  5. 应用系统A创建一个系统会话(Session,系统A自己的机制),并将应用系统A自己的权限令牌返回给用户, 以后用户端可以通过这个权限令牌持续访问应用系统A,直至登出系统或是会话超时。

统一认证模式

统一认证模式是以统一身份认证服务为核心的服务使用模式。用户登录统一身份认证服务后,即可使用所有支持统一身份认证服务 的应用系统。

流程描述如下:(仅描述正常流程)

  1. 用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息,比如数字签名等)登陆统一认证服务;
  2. 统一认证服务创建了一个会话,同时将与该会话关联的访问认证令牌返回给用户;
  3. 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;
  4. 该应用系统将访问认证令牌传入统一身份认证服务,认证访问认证令牌的有效性;
  5. 统一身份认证服务确认认证令牌的有效性;
  6. 应用系统接收访问,并返回访问结果,如果需要提高访问效率的话,应用系统可选择返回其自身的认证令牌已使得用户 之后可以使用这个私有令牌持续访问。

此外,关于访问认证令牌的失效,有两个策略,一个是由用户主动发起声明,声明其拥有的访问认证令牌不再有效,这类似注销的 操作,另一个是用户一段时间内没有使用这个认证令牌,认证令牌自动失效,这类似超时的处理。

信任代理模式

在Internet应用环境下,安全性和信任的重要性是显而易见的,对于商用系统而言,避免非法访问和入侵是他所需要考虑 的几个重要问题之一,没有比商用数据丢失或是商用系统被违规使用更糟糕的了。

在信任代理模式下,一个组织可以为他所有需要提供安全信任保障的应用系统设置一个统一身份认证服务,对这些应用系统的访问 全部由统一身份认证服务代理。

流程描述如下:(仅描述正常流程)

  1. 用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息,比如数字签名等)登陆统一认证服务;
  2. 统一认证服务创建了一个会话,同时将与该会话关联的访问认证令牌返回给用户;
  3. 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统,不过用户并不将请求消息直接交给应用系统, 而是传给统一身份认证服务,在消息中标识了最终的应用系统的ID。
  4. 统一认证服务访问应用系统注册库(UDDI Registry),获取了应用系统的访问入口(统一认证服务可以将这个访问入口缓存在本地,以减少以后与应用系统注册库的交互次数)。并确认这个应用系 统的确是支持统一身份认证服务的;
  5. 统一认证服务将请求消息转发给指定的应用系统,如果该应用系统使用自己的用户系统的话,那么该消息应当包含了预 先定义好的相关联的用户名和密码等。
  6. 应用系统将请求结果返回给统一认证服务,最后统一认证服务将响应消息返回给用户,完成调用。

在该模式下,所有应用系统仅接收来自统一认证服务的访问请求,这样,解决方案提供商可以将主要的安全方面的投入部署在统一 认证服务那端。


posted on 2010-10-22 15:23 俊星 阅读(1148) 评论(0)  编辑  收藏


只有注册用户登录后才能发表评论。


网站导航: