微服务地址端口描述认证中心服务网关订单微服务商品微服务前端工程通过浏览器访问不需要登陆点击商品详情链接判断是否需要登陆判断是否需要登陆需要登陆session中是
2022-08-04 13:00:15
68KB
1
给出了精密单点定位的代码,方便使用者在此基础上实现其他的改进方法。
2022-08-04 09:01:08
11KB
1
认证绕过:Zcms单点登录认证缺陷
<%@page import="com.zving.platform.Login"%>
<%@page import="com.zving.framework.utility.StringUtil"%>
<%
String username = request.getParameter("u");
String time = request.getParameter("t");
String str = request.getParameter("s");
String key = "WIU%&*DJAJKL%^*W(DLJIST";
String s = StringUtil.md5Hex(username + time + key);
if (s.equals(str)) {
Login.ssoLogin(request, response, username);
}
%>
// key安装后缺省都是“WIU%&*DJAJKL%^*W(DLJIST”,可以计算出s登录后台
//SSO.jsp?u=admin&t=2010/1/11&s=f7edb87197b4437df8651ae320623006
提示:所有发布版不能用统一的缺省值来完成某些必须要执行的信息。
2022-07-26 16:55:24
25.5MB
1
aml是一种xml格式的语言。 翻译过来大概叫 安全断言(标记)语言。 这里有两个点: 第一是“安全”, 第二是“断言(assertion)”。 用人话翻译saml就是 用安全的方式表达断言一种语言。
先看它的核心概念“断言”。 断言是什么? 就是做出判断的语言。比如一句话: 小明是超级管理员。 这就是一个断言。再来一个例子:小红没有权限读取根目录。这也是一个断言。 这种“做出判断的语句”我们在很多场合都需要用到。 比如你在网上尝试登陆一个服务的时候, 这个服务需要知道你是不是合法的用户。 这个时候如果你能提供一个“安全,可靠,可信任”的断言:“小明有权登陆XX服务”, 那么这个服务就知道你合法了, 于是就能为你提供服务了。 这个例子比较抽象,但基本上能表达断言在实际用例中的作用了。 实际上saml的大部分用例就在于证明你是谁,你拥有什么权限等等了。 saml中大部分主要内容也都是类似于:你是谁, 你有什么。。等等这些简单的语句。 详细内容后面会介绍。
接下来第二个概念就是“安全”了。 你能提供一个断言, 别人能不能假冒你提供一个断言从而骗取服务端的信任呢? 另外服务端为什么会信任你给的断言呢? 这就涉及到安全的问题了。为了防止断言被假冒,篡改。saml中加入了安全措施。 当然现今能抵御假冒,篡改,重放攻击的利器就是公钥-私钥系统了。 通过给断言加上签名和加密,再结合数字证书系统就确保了saml不受攻击。
2022-07-24 23:58:21
230KB
1
spring整合shirospring-data-redis和spring-session-data-redis通过shiro实现单点登录
2022-07-24 11:53:53
62KB
1