SSO
CoSign 3.x 介绍及与 CoSign 2.x 的协议比较
3月16日
想必您已经读过 《CoSign 2.x 协议介绍》 的博客,知道了 CoSign 2.x 协议存在的一个安全漏洞,可能会被人恶意利用,通过钓鱼的手段获取用户的权限。
CoSign 3.1.0 版本已经于 2010 年 1月4日发布。在 密歇根大学的CoSign网站 上 记载的 3.1.1 的发布时间有误,笔误写成了 2009 年1月(整整提前了一年)。不过这也正常,毕竟日历刚刚由2009年翻到2010,一下子有些适应不过来。
CoSign 3.x 版本,在协议上进行了彻底的改造,解决了 CoSign 2.x 的安全漏洞:
- 服务 Cookie 将不再由 Web 应用本身签发,而是在单点认证成功后,由单点登录服务器随机生成
- 单点登录随机生成的124位字串组成 ,通过 URL 重定向到 Web 应用所在服务器的特殊 url:/cosign/valid 进行校验,通过后,再设置服务 cookie。
- 跳转的 /cosign/valid 的 Web 地址,需要预先在单点登录服务器上配置好,不同的 服务 cookie 名称要有不同的 /cosign/valid/ 网址对应。
- 登录 cookie 和服务 cookie 的关联因此更为安全,因为服务 cookie 的随机数由单点登录服务器生成,而非应用本身
- 因此黑客在没有通过认证之前,无法得到 应用 cookie 值,也就无法通过“钓鱼”,来获得权限…
阅读全部内容 »
CoSign 2.x 协议介绍
3月16日
CoSign 是美国密歇根大学研发的一个开源软件,提供跨域支持的单点登录认证。
群英汇的单点登录架构最早源自于 CoSign 2.0。增加了多语模板支持,HTTP/HTTPS混杂目标网站的重定向,等多个方面的改进和增强。
阅读全部内容 »
单点登录版本升级:CoSign 3.x 更安全
3月16日
经过近一个月的时间的研发,群英汇的单点登录架构,正式升级到 CoSign 3.x 的新协议。CoSign 3.x 提供更安全访问,解决了 CoSign 2.x 中可能存在的“钓鱼”安全漏洞。
相关的应用:博客,用户管理,testlink,redmine,邮件列表,等应用都能够同时支持两种不同的单点登录协议。
参考:
最新评论