SSO是什么

SSO指的是单点登录(Single Sign On)，当用户在身份认证服务器上登录了一次以后，即可获得访问单点登录系统中其他联邦系统和应用软件的权限。

同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。

单点登录是多个相关但独立的软件系统的访问控制的属性。使用此属性，用户使用单个ID和密码登录，以便在不使用不同用户名或密码的情况下访问已连接的系统，或者在某些配置中在每个系统上无缝登录。

单点登录通常使用轻量级目录访问协议（LDAP）和（目录）服务器上存储的LDAP数据库来完成，可以使用cookie在IP网络上实现简单版本的单点登录。

图为一种SSO系统：

实现机制

当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－－ticket；

用户再访问别的应用的时候就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

SSO的优势

1、降低访问第三方站点的风险（未在外部存储或管理的用户密码）。

2、从不同的用户名和密码组合减少密码疲劳。

3、减少重新输入相同身份的密码所花费的时间。

4、由于关于密码的IT服务台呼叫数量减少，降低了IT成本。

5、SSO共享所有其他应用程序和系统用于身份验证的集中身份验证服务器，并将其与技术相结合，以确保用户不必多次主动输入其凭据。

-SSO （Single Sign On）

-单一登入

1 什么是DHCP

DHCP全称为动态主机配置协议(Dynamic Host Configuration Protocol)，是一种应用层协议，主要用于IP地址的分配。DHCP服务器可以自动地将IP地址、子网掩码、网关和DNS服务器等信息分配给网络上的设备。利用DHCP可以极大地简化网络管理员的工作，减少手动配置IP地址和相关参数所带来的困难和工作量。

2 DHCP的优缺点

作为一个方便的IP地址分配机制，DHCP有以下几个优点：

减少配置工作，自动分配IP地址等参数

集中管理IP地址，防止IP地址重复等问题

可以在网络内广泛使用，减少人工操作的时间和出错率

但同时，DHCP也有以下几个缺点:

依靠单点故障的服务器，若服务器宕机，整个网络都将受到影响

可能会导致设备IP地址进行频繁切换，从而影响设备用户的正常使用

需要进行安全控制，防止恶意软件或黑客攻击DHCP服务器，使DHCP无法正常工作

3 什么是未启用DHCP

未启用DHCP是指网络设备未使用DHCP服务器进行IP地址的分配，而是手动配置IP地址等相关参数。在小型或私人网络环境中，使用静态IP地址是一种可行的方法，但在大型企业网络环境中，使用静态IP地址可能会导致大量的人工配置工作，从而增加网络管理员的工作量。

4 解决未启用DHCP的方法

以下是解决未启用DHCP的方法:

使用脚本自动配置IP地址等参数：使用脚本可以自动帮助管理员配置设备的IP地址、子网掩码、网关和DNS等参数，从而减少人工配置的工作量和出错率。

使用IP地址管理工具：IP地址管理工具可以帮助管理员管理IP地址，包括分配、变更和回收IP地址等操作。使用该工具可以提高管理员的工作效率和减少IP地址冲突等问题。

在策略中心实现动态分配IP地址：策略中心是企业网络的中心管理系统，可以用于集中管理IP地址。管理员可以通过该系统配置政策，使网络设备自动获取动态IP地址等参数。

5 未启用DHCP可能会导致的问题

在未启用DHCP的情况下，管理员需要手动配置IP地址等参数。这种方法会导致以下几种问题:

手动配置IP地址需要耗费管理员大量的时间和精力，增加工作量和出错率。

手动配置IP地址容易产生IP地址冲突问题，从而导致网络设备无法正常工作。

手动配置IP地址需要对网络设备进行逐一配置，增加了系统故障的可能性。

6 小结

未启用DHCP虽然可能会导致网络配置的不便和问题，但管理员可以采用各种方法来解决这些问题。除此之外，还应该保证网络设备的安全和可靠性，以保证整个企业网络的正常运行。

CAS协议是专门为CAS开发的一种简单而强大的基于票据的协议。

CAS涉及到一个或多个客户端与一个服务端，客户端嵌入CASified应用程序(称为“CAS服务”)，而CAS服务器是一个独立组件:

1CAS服务器负责对用户进行身份验证并授予对应用程序的访问权

2CAS客户端保护CAS应用程序，并从CAS服务器检索被授予用户的标识。

关键概念：

1存储在CASTGC cookie中的 TGT (票据授予票据)表示用户的一个SSO session。

2 ST (服务票证)作为url中的GET参数传输，表示由CAS服务器为特定用户授予认证应用程序的访问权限。

WEB流程：

1用户访问目标应用程序，通过浏览器发送GET请求到目标应用

2目标应用检测到用户未认证，则转发请求到CAS服务端，带上查询参数service，值为目标应用地址。

3CAS服务端检测用户发现没有SSO session 则返回CAS登录页面。

4用户在CAS登录页面填写登录表单，提交进行认证。

5认证成功后CAS服务端创建SSO session,并创建TGT票据到Cookie中 （Set-Cookie:CASTGC=TGT-xxxxxx），并重定向到目标应用程序带上查询参数ticket=ST-xxxxx。

6目标应用发送请求向CAS服务器验证ST票据，验证成功后目标应用创建用户访问session,并把sessionID放入cookie中。

7用户访问目标应用通过sessionID获取到session,登陆成功。

8用户访问其他CAS客户端应用，其他CAS客户端重定向请求到CAS服务器，同步骤2。

9CAS服务器检测到用户TGT这个cookie,获取到SSO session，直接认证成功，并重定向到目标应用程序带上查询参数ticket=ST-xxxxx。

10同步骤6，7，成功登陆其他CAS客户端应用。

CAS 原理和协议 从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。图1 是 CAS 最基本的协

如果我们的网站需要和另一个域名做统一认证，也就是在我们网站登录，但真正的功能却在另一个网站来提供。许多都以 passport 的方式。 整个认证可以分三步完成 第一步：本地验证

这个很简单，输入本地的用户名和密码，然后服务器认证通过，并返回正确的Cookie;

第二步：做远程认证，并返回远程连接

通过本地Cookie,确认用户合法性，然后服务器端调用远程的登录程序，返回一个远程认证号的URL,这个URL里面包含了一个唯一的认证码，使用Location的方式

第三步：远程登录

客户端使用前一步的URL,访问远程的服务器，服务器确认认证码的正确性，再返回正确的远程Cookie

至此，本地认证，通过一个URL,实现了远程认证。