关于桌面应用到Web应用的单点登录,用尽所有可用分 有没有做过这个课题的高手,分享分享经验 或者大家讨论讨论如何安全地实现. QQ,google是如何做的? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 桌面应用与Web应用单点登录 http://www.iteye.com/topic/21770lz参考下,在sso登录前,先判断下,生成一个随机token, cas的帖子很多,但是解决不了你的问题,你从qq点击空间仔细观察浏览器的链接字符串你就会得到答案qq做的比较好的 处了id 还有一个编号ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效这是一种常见的 解决 sso 字符串被获取安全问题的 解决办法。 我也想过超时时间的办法 但如果被截获了,别人可以修改那个时间啊这怎么办?好像web应用一定要和单点认证服务器发生交互否则就没有安全可言上面说地绝对了,可用使用对称加密把token加密了,密钥只有web应用知道... 失效时间是服务器计算的,传的标示只是一个主键随机数其实说简单了就是 这个连接字符串 只能在2分钟以内使用在次使用则失效,所以就算被得到他不当时使用就没有用了连接字符串 不可能带着时间的 时间是服务器设定好的另外关于传输安全的问题你可以详细参考 openssl 如果无从看起 先从cas 学习 cas 了解这里跟ssl关系不大你所说的,就是再怎么样,web端都是要跟认证服务器通信的,对吧我是想寻找一种web端不需要和认证服务器通信的办法.使用对称加密,显然是可以的,那么还有没有其他的办法了呢? 我说的是 openssl 中的颁发证书 以及自签证书基于https的传输 解决的是传输中 数据被截获例如sniffer等认证和传输加密是两回事 pki只是这些中的一个技术 哇,楼上难道是tomcat的忠实fans? 青岛有做银行项目的公司不 关于borland appserver JMX监控的问题 关于<%%>用struts2.0的标签实现其功能! 关于简化SSH配置文件的问题 不明白对collection排序的问题,希望大家能参与进来,共同讨论,请高手指点 给我推荐基本SSH的经典书籍 数据库连接的问题 STRUTS 基础问题,请教大虾门 关于s:iterato的解释 小弟初来乍到,请各位牛人多多指教 谁能帮我解释一下这个方法的代码的意思~!!! myeclipse怎样搜索出哪个文件没有check in???????
桌面应用与Web应用单点登录
仔细观察浏览器的链接字符串你就会得到答案
qq做的比较好的 处了id 还有一个编号
ADSESSION这个编号是你当前实现单点登录的超时时间 一般比较短这样假设你这个链接字符串 被别人获取 过几分钟再用,他会判断你这次的登录是否还有效
这是一种常见的 解决 sso 字符串被获取安全问题的 解决办法。
我也想过超时时间的办法
但如果被截获了,别人可以修改那个时间啊
这怎么办?好像web应用一定要和单点认证服务器发生交互
否则就没有安全可言上面说地绝对了,可用使用对称加密
把token加密了,密钥只有web应用知道
...
失效时间是服务器计算的,传的标示只是一个主键随机数
其实说简单了就是 这个连接字符串 只能在2分钟以内使用在次使用则失效,所以就算被得到他不当时使用就没有用了
连接字符串 不可能带着时间的 时间是服务器设定好的另外关于传输安全的问题你可以详细参考 openssl
如果无从看起 先从cas 学习
cas 了解
这里跟ssl关系不大你所说的,就是再怎么样,web端都是要跟认证服务器通信的,对吧我是想寻找一种web端不需要和认证服务器通信的办法.使用对称加密,显然是可以的,那么还有没有其他的办法了呢?
基于https的传输 解决的是传输中 数据被截获
例如sniffer等认证和传输加密是两回事
pki只是这些中的一个技术