江苏龙网

  1. 首页 > 人文 > >

「千锋大数据开发学院」CAS实现SSO 单点登录原理( 四 )


4.1. TGC/PGT 安全性
对于一个 CAS 用户来说 , 最重要是要保护它的 TGC, 如果 TGC 不慎被 CAS Server 以外的实体获得 ,Hacker 能够找到该 TGC, 然后冒充 CAS 用户访问 **所有 **授权资源 。PGT 的角色跟 TGC 是一样的 。
从基础模式可以看出 ,TGC 是 CAS Server 通过 SSL 方式发送给终端用户 , 因此 , 要截取 TGC 难度非常大 , 从而确保 CAS 的安全性 。
TGT 的存活周期默认为 120 分钟 。
4.2. ST/PT 安全性
ST ( Service Ticket )是通过 Http 传送的 , 因此网络中的其他人可以 Sniffer 到其他人的 Ticket。CAS 通过以下几方面来使 ST 变得更加安全(事实上都是可以配置的):
1、 ST 只能使用一次
CAS 协议规定 , 无论 Service Ticket 验证是否成功 ,CAS Server 都会清除服务端缓存中的该Ticket, 从而可以确保一个 Service Ticket 不被使用两次 。
2、 ST 在一段时间内失效
CAS 规定 ST 只能存活一定的时间 , 然后 CAS Server 会让它失效 。 默认有效时间为 5 分钟 。
3、 ST 是基于随机数生成的
【「千锋大数据开发学院」CAS实现SSO 单点登录原理】ST 必须足够随机 , 如果 ST 生成规则被猜出 ,Hacker 就等于绕过 CAS 认证 , 直接访问 对应的服务 。


推荐阅读


上一篇:「小坤科技蜜」这三款适合自拍的手机,照片自然不用P,网友:想买第一款

下一篇:新电脑@4TB容量+40Gb/s速度 希捷“游戏基地”解忧愁