《基于thrift的单点登录系统.ppt》由会员分享,可在线阅读,更多相关《基于thrift的单点登录系统.ppt(32页珍藏版)》请在装配图网上搜索。
1、基于thrift的SSO单点登录实现,工程硕士学位论文,随着信息技术和网络技术的快速发展,应用系统会越来越多。 同时随着应用网站的扩大,接入的业务随之增多,每个系统都会有自己独立的SSO系统,这样造成用户登录各个应用系统,必须记住自己的各个系统的用户名和密码,随着系统的增多,用户也将随着需要记忆的用户名和密码的急剧增长而奔溃,用户体验大大降低。另外,随着应用系统的增多,认证系统出错的可能性增大,用户的信息收到非法截获和破坏的可能性增大,这个系统的安全性就大大降低。,研究调查的统计数据 1、用户每天平均16分钟花在身份验证任务上; 2、频繁的IT用户平均有21个密码; 3、49%的人写下密码,而
2、67%的人很少改变它们 4、每79秒出现一起身份被窃事件 鉴于上面的统计数据,设计一套单点登录系统来解决用户的烦恼势在必行。,本文是基于镇江旅游网、支付平台以及论坛项目而展开的统一认证研究工作。 本项目SSO管理系统是在Linux操作系统上运行的一个核心软件,向镇江旅游网、支付平台以及论坛系统提供登录、注册、鉴权、退出等服务。,论文主要从以下几个方面进行阐述:,1、thrift技术的研究,通过对thrift的底层框架、底层协议、传输层的研究,为后面的单点登录系统的实现提供了理论依据。 2、单点登录的设计与实现,通过系统需求分析调研,设计出系统的架构及业务组成,然后利用 MyEclipse 平台
3、开发出基于 Thrift的单点登录系统。 3、展示单点登录在镇江旅游网、支付平台以及论坛的应用。,Thrift实际上是实现了C/S模式,通过代码生成工具将接口定义文件生成服务器端和客户端代码(可以为不同语言),从而实现服务端和客户端跨语言的支持。用户在Thirft描述文件中声明自己的服务,这些服务经过编译后会生成相应语言的代码文件,然后用户实现服务(客户端调用服务,服务器端提服务)便可以了。其中protocol(协议层, 定义数据传输格式,可以为二进制或者XML等)和transport(传输层,定义数据传输方式,可以为TCP/IP传输,内存共享或者文件共享等),Thrift支持的传输协议,1、
4、TBinaryProtocol 本项目使用的是传统的二进制编码格式进行数据传输。 2、TCompactProtocol 在大数据量传输时,这种协议非常有效的,它将传输的数据使用Variable-Length Quantity (VLQ) 编码进行压缩。 3、TJSONProtocol 使用JSON数据协议进行数据传输。 4、TSimpleJSONProtocol 这种协议节约只提供JSON只写的协议,适用于通过脚本语言解析。 5、TDebugProtocol 该协议用在开发的过程中,帮助开发人员调试用的,以文本的形式展现,方便阅读。,Thrift支持的数据传输方式,1、TSocket- 使用堵
5、塞式I/O进行传输,类似于java中的socket传输。也是最常见的模式。 2、TFramedTransport- 使用非阻塞方式,按块(即frame)进行传输。类似于Java中的NIO 。 3、TFileTransport- 该传输是按照文件的方式进程传输。虽然这种方式不提供Java的实现,但是实现起来非常简单。 4、TMemoryTransport- 使用内存I/O,底层用Java中的ByteArrayOutputStream实现。 5、TZlibTransport- 使用执行zlib压缩,不提供Java的实现。,Thrift支持的服务模型,1、TSimpleServer 单线程服务器端使
6、用标准的堵塞式I/O。类似于客户端的TSocket。 2、TThreadPoolServer 多线程服务模型,使用标准的阻塞式IO。类似于客户端的TFramedTransport。 3、TNonblockingServer 多线程服务模型,使用非阻塞式IO,需求分析,(1) 随处注册:从任意业务系统均可注册,各个业务系统共用一个用户信息。 (2)随处登录:从任意业务系统均可登录,返回登录票据,其他业务系统均无需再登录。 (3) 随时鉴权:用户在业务系统上任意的操作均需鉴权票据是否过期。 (4) 随处退出:从任意业务系统均可退出,其他业务系统均显示退出。 (5) 日志记录:用户的任意单点登录操作
7、均有日志查询。,需求分析,系统设计,单点登录(Single Sign On缩写是SSO)是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。另外,在任意一个系统登出,其他的系统均退出。是目前市场上流行的企业业务整合的解决方案。 要实现SSO,需要几点功能: 1、注册功能 2、激活功能 3、登录功能 4、鉴权功能 5、退出功能,系统设计,注册功能设计 1、用户填写注册信息,各个业务系统提交到SSO单点登录系统。 2、到数据库查询该用户是否是黑名单。 3、如果是黑名单则返回各个应用系统该用户是黑名单,记录日志。 4、查询用户信息在数据库中是否已经存在。 5、该用户已经存在,返回
8、各个应用系统,该用户名已经存在,记录日志。,系统设计,6、根据应用系统的需求,判断是否需要激活注册。 7、不需要激活注册,将用户信息中密码MD5加密后和其余信息保存至用户表,记录日志。 8、需要激活注册,则判断待激活用户表中是否存在该用户名。 9、存在该用户则返回各个应用系统,该用户是待激活用户,记录日志。 10、如果用户是邮箱注册,将激活码下发至用户邮箱,记录日志。,系统设计,11、如果用户是手机注册,将激活码下发至用户手机,记录日志。 12、不存在则将用户信息保存至待激活用户表,记录日志。,系统设计,激活功能设计 1、根据各个应用系统传过来的用户信息,通 过正则表达式判断其用户名是手机号码
9、注册还是邮箱注册。 2、到数据库查询该用户是否是黑名单用户,若是,返回各个应用系统,该用户是黑名单用户,记录日志。 3、查询用户在激活表中是否存在。 4、如果不存在,返回各个应用系统,用户不存在,记录日志。 5、查询用户的待激活时间是否已经过期,系统设计,6、过期返回各个应用系统,用户注册时间已经过期,同时SSO单点登录系统将用户待激活记录删除,方便用户重新注册,获取待激活码,记录日志。 7、将此待激活的用户的信息正式保存到用户表中,返回各个应用系统,激活成功,记录日志。,系统设计,登录功能设计 1、根据各个系统传入的用户名和密码,判断用户此时是否已经登录。 2、如果已经登录,返回各个应用系统
10、,用户已经登录,记录日志。 3、到数据库判断用户名是否是黑名单。 4、是黑名单则返回各个应用系统,该用户是黑名单,记录日志。 5、查询数据库中的用户表是否存在和该用户名和密码匹配用户。,系统设计,6、没有匹配用户,则返回各个应用系统,用户名或者密码错误,记录日志。 7、将用户基本信息以及生成唯一的凭据ticket给各个应用系统,并在用户会话表中记录一条数据,记录日志。,系统设计,鉴权功能设计 1、根据各个应用系统的用户登录凭据ticket,查看会话表中是否存在记录。 2、不存在,则返回各个应用系统,用户ticket已经失效,记录日志。 3、各个应用系统接收到SSO单点登录系统的失败响应,清除用
11、户客户端的cookie中用户信息和凭据ticket。,系统设计,4、更新会话表的上一次操作时间,返回各个应用系统,用户凭据ticket鉴权成功,记录日志。 附:如果用户在各个系统10分钟未操作界面,即各个应用系统10分钟未调用SSO单点登录系统,去鉴权ticket的有效性。SSO单点登录系统数据库存储过程自动将会话表中用户鉴权数据删除。,系统设计,退出功能设计 1、SSO应用系统获取用户注销信息,根据其凭据ticket,在会话表中查询记录。 2、如果没有,返回各个应用系统,用户登出失败,记录日志。 3、清除会话表中该用户的会话记录,返回各个应用系统,登出成功,记录日志。 4、各个应用系统接收到SSO单点登录系统的成功消息后,将客户端的cookie中用户信息和凭据一起清除。,注册截图,激活截图,登录截图,登录截图,登录截图,鉴权截图,登出截图,登出截图,登出截图,谢谢!,
基于thrift的单点登录系统.ppt
