[原創(chuàng)]單點登陸(SSO)組件的設計與實現(xiàn)二-流程圖以及數(shù)據(jù)格式         

上篇地址：[原創(chuàng)]單點登陸(SSO)組件的設計與實現(xiàn)一

新增登出流程圖 2008-02-02



上面是整體流程圖，這個SSO組件在安全上有了很充分的考慮，可以說是非常安全，那么下面看看登錄請求數(shù)據(jù)的格式，和為何它能保證真實性和完整性



這樣，當數(shù)據(jù)在傳輸過程中，如果站點編號，用戶編號，請求號任意一項做任何的修改，當認證中心接收到數(shù)據(jù)之后，均無法與簽名信息進行匹配。凡是認證中心能驗證通過的請求均為合法的，真實的，完整的請求信息。

登錄答復的格式如下圖所示

因為登錄號，時間戳，用戶信息均加入數(shù)字簽名信息，所以這些數(shù)據(jù)在傳輸中不能被偽造和篡改，而用戶信息經(jīng)過非對稱性加密，也防止非真正請求發(fā)送者能解析出用戶信息，這樣在接受和發(fā)送請求和響應的時候，就實現(xiàn)了絕對的安全。
當然不是沒有破綻，破綻在于當請求答復未到達聯(lián)盟站點之前，有人截獲并先于正常用戶登錄了聯(lián)盟站點，此時我們可以將用戶的ip信息作為答復數(shù)據(jù)的一部分，加入簽名，以此實現(xiàn)很高的安全保證

登出流程圖