sso如何实现 与windows 的sso

SSO单点登录的实现原理是怎样的

享Session可谓是实现单点登录最直接、最简单的方式。

将用户认证信息保存于Session中，即以Session内存储的值为用户凭证，这在单个站点内使用是很正常也很容易实现的，而在用户验证、用户信息管理与业务应用分离的场景下即会遇到单点登录的问题，在应用体系简单，子系统很少的情况下，可以考虑采用Session共享的方法来处理这个问题。

sso和shiro的区别

SSO是单点登录，Shiro是权限管理，但是配合CAS可以实现SSO 推荐一套完整的Shiro Demo，免费的。

Shiro介绍文档：/shiro Demo已经部署到线上，ShiroDemo:管理员帐号：admin，密码： 如果密码错误，请用sojson。

PS：你可以注册自己的帐号，然后用管理员赋权限给你自己的帐号，但是，每20分钟会把数据初始化一次。

建议自己下载源码，让Demo跑起来，然后跑的更快。

锐捷网络推出的RG-SSO是怎么回事？

RG-SSO组件是和SAM/SMP配合实现的一款单点登录产品。

其具体的产品特性有以下几点： ·用户通过SAM的客户端（或者浏览器），使用SAM的账户用主帐号登录SAM服务器，进行网络层面的认证。

一旦网络认证通过，所有网络层面的授权、计费、审计功能生效。

·网络认证通过的同时，SAM服务器会给SSO组件服务器发送消息，通知该用户已经通过网络认证。

SSO组件服务器判断该用户所在的用户组，根据这个用户组可以访问的应用资源情况，给用户推送应用系统访问列表，用户通过SSO服务器提供的访问资源列表来访问应用系统。

·用户点击需要访问的应用链接的时候，访问请求发送到SSO组件服务器，由SSO组件服务器将原系统中的用户登录信息和访问请求转发给所请求的应用系统服务器。

·应用系统服务器接收到转发的认证信息后，与用户建立连接

路由器上面sso什么意思

如果一个路由处理器发生故障，会出现网络中断吗？不一定。

当网络设备由一次察觉不到的中断故障中恢复时，那么网络就没有中断，因为就最终用户而言，既没有发生中断，也没有出现停机。

但是，即使在一个路由处理器真地发生故障时，人们设计的两种新软件特性仍可以保持边缘路由器的完整性，这两种新软件特性就是状态性转换(SSO)和不间断转发(NSF)。

状态性转换使一个热备份路由处理器可以在接管发生故障的路由处理器的同时，保持连接性。

SSO还保证网络管理系统可以像管理一个系统和一个可管理实体那样，管理一台配置两个路由处理器的设备。

在采用SSO的情况下，现用路由处理器和备份路由处理器监测现用路由处理器到备份路由处理器的ATM、帧中继和以太网连接，来保持第二层数据链路连接信息。

保持这种连接是降低CPU使用率、减少转接过程中数据丢失量和迅速建立热备份状态备份路由处理器所必须的。

在发生故障时，SSO将系统切换到热备份路由处理器，出现故障的路由处理器将尝试重新引导并作为新的备份路由处理器运行。

这种切换是在不重新引导线路卡的条件下完成的，因此，没有造成可能会引起连接协议中断的线路切换。

SSO过程的每一个步骤都通过SNMP受到监测，它通知网络管理人员这里发生了路由处理器故障。

这点非常重要，因为由于用户的应用从未出现中断从而不会向网络运营中心报告故障。

SNMP陷阱告知网络管理系统故障的原因和出现故障的路由处理器是否能重新引导。

如果不能的话，路由处理器就需要被更换，更换路由处理器的工作可以在不关闭这台路由器的情况下完成。

单点登录SSO和密码代填有什么区别？

首先需要明确的是：密码代填不是单点登录。

例如 公司A 目前想实现单点登录，但是应用没有标准接口，也没有相应的开发人员，只能通过密码代填的方式来实现。

需要注意的是，密码代填可能需要知道用户的账户密码进行传输。

所以还是建议公司里应该试用基于协议的单点登录。

目前市面上玉符科技专注于做单点登录，对于有些公司不得不通过密码代填的形式来实现单点登录的话，玉符可以确定的是他们所有传输都是通过https发生的，并且专门开发了非常安全的密钥管理机制KMS，经过多层加密，确保密码不会被窃取。

以上。

希望采纳

如何实现 与windows 的sso

1、windows域登录与SSO服务器整合 1.1 分析：windows域登录过程采用Kerberose v5协议进行登录，过程非常复杂，并且登录中身份认证以及域的权 限整合在一起。

要剥离身份认证和权限赋权非常困难。

要整合现有的SSO服务器，可以考虑，采用windows域控制器 统一管理用户，SSO服务器采用该域控制器的Active Directory中的用户信息。

windows工作站（比如winxp）登录 域过程中，保持原域登录的过程，在其中添加SSO服务器的登录过程。

1.2 实现：通过修改GINA模块，在windows工作站（比如winxp）登录域过程中，winlogon调用GINA组模块，把用户 提供的账号和密码传达给GINA，由GINA负责在域控制器中以及SSO服务器中账号和密码的有效性验证，然后把验证 结果反馈给Winlogon程序，只有域控制器和SSO服务器同时认证成功，才是登录成功。

另外开发一个DLL程序，暂时称为SSOLogin模块，GINA在登录成功后，将SSO的登录信息传递给SSOLogin模块，动力 工作站在启动时，首先调用SSOLogin模块，判断已经登录的用户，然后通过动力工作站访问其他应用时，就可以通 过SSO服务器进行单点登录。

1.3 技术点： (1)通过jCIFS实现SSO服务器在Active Directory进行域登录。

(2)采用WFC开发框架对GINA.dll进行修改，在注册表中进行注册 1.4 风险难点：(1)、windows域登录过程的分析与改造。

(2)、windows的应用不开源，代码分析会比较困难。

1.5 其他：是否还考虑linux操作系统加入windows域的过程？ 1.6 winxp登录域过程如下： (1).用户首先按Ctrl+Alt+Del组合键。

(2).Winlogon检测到用户按下SAS键，就调用GINA，由GINA显示登录对话 框，以便用户输入账号和密码。

(3).用户选择所要登录的域和填写账号与密码，确定后，GINA将用户输入的 信息发送给LSA进行验证。

(4).在用户登录到本机的情况下，LSA将请求发送给Kerberos验证程序包。

通过散列算法，根据用户信息生成一个密钥，并将密钥存储在证书缓存区中。

(5).Kerberos验证程序向KDC(Key Distribution Center--密钥分配中心)发 送一个包含用户身份信息和验证预处理数据的验证服务请求，其中包含用户证 书和散列算法加密时间的标记。

(6).KDC接收到数据后，利用自己的密钥对请求中的时间标记进行解密，通 过解密的时间标记是否正确，就可以判断用户是否有效。

(7).如果用户有效，KDC将向用户发送一个TGT(Ticket-Granting Ticket-- 票据授予票据)。

该TGT(AS_REP)将用户的密钥进行解密，其中包含会话密钥、 该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数 据和设置等。

用户所申请的票据在KDC的密钥中被加密，并附着在AS_REP中。

在TGT的授权数据部分包含用户账号的SID以及该用户所属的全局组和通用组的 SID。

注意，返回到LSA的SID包含用户的访问令牌。

票据的最大生命期是由域 策略决定的。

如果票据在活动的会话中超过期限，用户就必须申请新的票据。

(8).当用户试图访问资源时，客户系统使用TGT从域控制器上的Kerberos TGS请求服务票据(TGS_REQ)。

然后TGS将服务票据(TGS_REP)发送给客户。

该 服务票据是使用服务器的密钥进行加密的。

同时，SID被Kerberos服务从TGT复 制到所有的Kerberos服务包含的子序列服务票据中。

(9).客户将票据直接提交到需要访问的网络服务上，通过服务票据就能证明 用户的标识和针对该服务的权限，以及服务对应用户的标识。