轻松入门CAS系列(1)-轻松看懂企业单点登录的解决方案

常见的企业应用情况 
企业内部的信息化一般都是一个过程中的 ，起初企业为了部分管理的需要，会上线几个信息化系统；后来对这块慢慢重视，信息系统会越来越多。开始，只有一两个系统时，员工还好，靠脑袋还能记得住帐号名密码，但是后面系统多，使用的系统超过4个后，开始有点记不住了。特别是偶尔使用系统，需要经常要联系系统负责人，重置帐号密码； 
但是，重置密码这件事情，在小公司还算好，大家相互认识；但是在大公司，就比较麻烦，大家相互不认识，就要让张三自己来证明自己是张三，这种事情不可避免；总不能随便有人打电话过来就重置密码吧。当然，系统本身可以增加一些自助的密码找回功能，但是每个系统都增加这个功能无疑是加重了项目的成本。 
这种现状，很多员工都喜欢设置一样的密码，那问题来了，有些业务系统要求密码定期更换的，系统一多以后，员工自己都不知道有几个系统需要修改密码，自然定期修改密码这件事情变得不靠谱。

企业怎么做呢？ 
统一认证+单点登录的解决方案，很好的解决这个问题。登录功能都集中在SSO Server上，所有的信息系统都去掉登录和帐号管理功能，直接对接SSO Server；统一认证服务解决所有系统都用一套帐号密码。 
这种结构，用户只要一套帐号名密码，由统一认证服务分配。其中一个系统的密码修改了，所有的登录帐号密码都修改（其实只有一套帐号名密码）。进入任何系统，都只需要登录SSO Server就可以了，大大方便了用户。系统之间的跳转，也无需登录。

对开发来说，也省事，系统无需登录功能了。这两块功能如果要做好还是比较花时间的，不要觉得登录功能开发简单，要开发一个安全的登录功能，比如登录失败多少次，就弹出验证码；登录出现多少次错误，就禁用帐号；只允许一个帐号一台设备登录；等等功能，还有忘记自助找回功能等，都是1个人月的开发量肯定完不成的； 
对安全来说，安全登录加固只要对SSO Server和统一认证服务加固就可以了， 
集成的事情，以后再讲吧。

当然，集中认证固然后好处，也带来其他问题； 
原先所有的登录服务都是分散在各个系统中，性能不太会产生瓶颈；但是现在就不一样的，比如一个系统并发20个，那10个系统就是200的并发，对于一般的系统200并发还是比较高的。如果处理不当，应用和数据库都会是瓶颈； 
故障风险也集中了，登录如果出现问题，那业务系统当然就进不去了，对业务就会产生影响。 
登录是系统中安全最重要的一块，登录模块跟帐号体系有关，基本上帐号模块安全上出问题了，那整个系统安全上就出问题了。所以，对于登录模块来说，其安全性要以接入系统安全登录最高的那个要求；比如，接入系统有三级等保的要求，那登录模块也需要到达这个安全级别。

那怎么应对呢 
三方面，系统的性能扩展、持久层增加缓存，安全测评监控等手段。具体以后再讲。

最后，谢谢各位能看到完本段文章。

文章的PPT可以到这个地址下载。 
另外，大家对CAS想了解的话，可以来我的CAS中文文档站点（http://www.cassso-china.cn）来瞅瞅。