http://www.blogjava.net/rain1102/articles/227739.html CAS(Central Authentication Service) 是 Yale 大学发起的一个开源项目,据统计,大概每 10 个采用开源构建 Web SSO 的 Java 项目,就有 8 个使用 CAS .对这些统计,我虽然不以为然,但有一点可以肯定的是, CAS 是我认为最简单实效,而且足够安全的 SSO 选择.        本节主要分析 CAS 的安全性,以及为什么 CAS 被

先补课,以下网址可以把CAS环境搭起来. [JA-SIG CAS服务环境搭建]http://linliangyi2007.iteye.com/blog/165307 [JA-SIG CAS业务架构介绍]http://linliangyi2007.iteye.com/blog/165310 [JA-SIG CAS技术框架]http://linliangyi2007.iteye.com/blog/165313 [抓包分析]http://blog.csdn.net/clh604/article/det

写在最前 前后端分离其实有两类: 开发阶段使用dev-server,生产阶段是打包成静态文件整个放入后端项目中. 开发阶段使用dev-server,生产阶段是打包成静态文件放入单独的静态资源服务器中,如nginx. 这两种方案最大的区别就是生产阶段.由于第一种方案前端和后端本质在同一个服务中的,所以压根就没有跨域,配置cas的坑比较少.而第二种方案我们一般使用nginx反向代理完成跨域,配置cas的坑会很多.为了后面分析方便,我们分别称上述两种方案为『前后端分离A』和『前后端分离B』 请求也分为

最重要的两点: ajax请求跨域的时候,默认不会携带cookie. 请求分为普通请求(HttpRequest)和Ajax请求(XMLHttpRequest) 先屡一下跨域CAS认证的流程: 前端发起ajax请求,请求首先被跨域Filter过滤,加上Access-Control-Allow-Origin , 然后再被CASFilter过滤,此时没有登录的用户会被重定向到cas.host.cn/login进行登录,最最最关键的地方就在这里. 通常是这样的:前端发起HttpRequest,后端接受请求

1. 概述 上一次我们聊了一下<使用Redis实现分布式会话>,原理就是使用 客户端Cookie + Redis 的方式来验证用户是否登录. 如果分布式系统中,只是对Tomcat做了负载均衡,或者所有的子系统都在同一个二级域名下,则 客户端Cookie + Redis 的方式是可以支持验证用户是否登录的. 如果分布式系统中包含了不同域名的子系统,之前的 客户端Cookie + Redis 的方式就不支持了,因为二级域名不同,Cookie无法共享. 例如:浏览器在子系统A的二级域名中保存了Coo

对于构建分布式系统来说业务功能的物理部署会随着新业务模块的增加而增加或改变物理部署的位置.而每个用户都有统一的帐号作为我们登录系统时的一个认证.当新业务或子系统部署在不同的物理机上,我们去访问不同的业务功能时,需要再次登录并记录每个业务对应的用户名和密码,这样会造成很大的麻烦.这种情况下我们引入CAS登录原理可以解决信息化给我们带来的便捷性和高效性,也会提升一定的用户体验. CAS跨域单点登录原理实现思想如下图更能清晰的描绘出来,我们来看看! --> (图片为转载)

正常的cookie只能在一个应用中共享,即一个cookie只能由创建它的应用获得. 1.可在同一应用服务器内共享方法:设置cookie.setPath("/");     本机tomcat/webapp下面有两个应用:cas和webapp_b,     1)原来在cas下面设置的cookie,在webapp_b下面获取不到,path默认是产生cookie的应用的路径.     2)若在cas下面设置cookie的时候,增加一条cookie.setPath("/");

1.代理和跨域 1.1 正向代理 1)用户希望代理服务器帮助其和要访问服务器之间实现通信,需要: a.用户IP报文的目的IP=代理服务器IP: b.用户报文端口号=代理服务器监听端口号: c.HTTP消息里的URL要提供服务器的链接: 2)代理服务器可以根据HTTP消息里的URL提供服务器的链接与服务器进行连接通信: 3)服务器返回网页: 4)代理服务器打包网页返回给用户: 1.2 反向代理 单个服务器的处理客户端(用户)请求能力是有限的,当用户的请求达到一定数量时,会造成服务器忙,此时可以使用

前端同学因开发需要,本地搭建的服务需要调用其它域名的接口,在帮助正确配置后,已能正常使用. 这里写一篇博客,记录一下. 前端页面地址为127.0.0.1:9813/a.html 接口地址http://test.cas.com/news/auth 让前端在他自己电脑安装好nginx后,在nginx.conf文件加入下面配置: server{ #任意一不在使用中的端口都行 listen 3389; server_name www.l.com; #/表示所有请求www.l.com都会进入如下处理 lo

1. JSP中Cookie的读写 Cookie的本质是一个键值对,当浏览器访问web服务器的时候写入在客户端机器上,里面记录一些信息.Cookie还有一些附加信息,比如域名.有效时间.注释等等. 下面是一个jsp中写入读取Cookie的测试:在顶级域名中写入Cookie,在子域名中读取,目的是实现一个分布系统的单点登录. 两个jsp中读写代码如下: 写入: <% Cookie cookie = newCookie("write","cookie_write")

今天遇到了一个跨域请求登录验证的问题.所以有了尝试跨域的机会. 具体情景是,有一个登录界面写在名叫cas的站点上,但是相关的登录验证的后台接口是写在名叫earth的站点. 首先的反应是使用jsonp,但是jsonp只能get请求,而且一旦跨域会有权限问题(这个下面会说),更主要的是jsonp那种类似hack的写法总让我觉得别扭.当然最主要的是后台用stringMVC已经实现了CORS. CORS是一种跨域资源共享的方式,和ajax实际上是没什么区别的,相对应的RESTFUL方法们都是可以的,实现

忽然遇上跨域错误. 我们有张页面,使用了EXT.js,在本地运行正常,部署到服务器上,出不来数据.F12调试,提示有跨域错误? XMLHttpRequest cannot load http://192.168.0.22:8080/cas/login?service=http%3a%2f%2f192.168.0.22%2fGJ.W-El%3d0%26numberfield-1024-inputEl%3d20%26page%3d1%26start%3d0%26limit%3d20. No 'Acc

环境: 后台使用的python - flask 前台使用angular框架 1.一个跨域post的样例: 跨域post有多种实现方式: 1.CORS:http://blog.csdn.net/hfahe/article/details/7730944 2.利用iframe 3.server proxy:https://en.wikipedia.org/wiki/Proxy_server 样例使用的为iframe,想要证明,在没有进行csrf防御时,随意攻击者能够利用javascript发送 po

1. JSP中Cookie的读写 Cookie的本质是一个键值对,当浏览器访问web服务器的时候写入在客户端机器上,里面记录一些信息.Cookie还有一些附加信息,比如域名.有效时间.注释等等. 下面是一个jsp中写入读取Cookie的测试:在顶级域名中写入Cookie,在子域名中读取,目的是实现一个分布系统的单点登录. 两个jsp中读写代码如下: 写入: <% Cookie cookie = newCookie("write","cookie_write")

CSDN日报20170226--<你离心想事成只差一个计划> 程序员2月书讯 [招募]Python学习班招生啦 Cookie跨域setDomain和setPath 标签: cookiespringjava 2016-07-22 22:38 794人阅读 评论(0) 收藏 举报 本文章已收录于: .embody{ padding:10px 10px 10px; margin:0 -20px; border-bottom:solid 1px #ededed; } .embody_b{ margin

一,什么是CORS? 1,CORS(跨域资源共享)(CORS,Cross-origin resource sharing), 它是一个 W3C 标准中浏览器技术的规范, 它允许浏览器向非同一个域的服务器发送XMLHttpRequest请求, 避免了Ajax只能在同一个域的服务器下使用的限制   2,什么是跨域问题? 跨域问题指的是浏览器不能执行其他网站的脚本. 它是由浏览器的同源策略造成的,因为浏览器对javascript施加有安全限制. 当前所有的浏览器都实行同源策略,所谓的同源指的是 协议相

1.前言 网上各个社区的博客参差不齐 ,给初学者很大的困扰 , 我琢磨了一天一夜,到各个社区找资料,然后不断测试,遇到各种坑,一言难尽啊,要么源码只有一部分,要么直接报错... 最后实在不行,直接去看过滤器的实现目的和原理 直到看到这个 final class FilterComparator implements Comparator<Filter>, Serializable { private static final int STEP = 100; private Map<Str

概念 Ajax Ajax,Asynchronous JavaScript and XML,字面意思:异步的 JavaScript 和 XML,是指一种创建交互式网页应用的网页开发技术. 用于异步地去获取XML作为数据交换的格式,当然,现在的 ajax 并不仅仅局限于XML作为数据交换格式,还可以像纯文本.XML.HTML.JSON 等格式均可. 特点 使用脚本操纵HTTP和Web服务器进行数据交换,不会导致页面重载. 避免页面重载(这是Web初期的标准做法)的能力使Web应用感觉更像传统的桌面应

背景: 1:有用户反馈了关于跨域请求的问题. 2:有用户反馈了参数获取的问题. 3:JsonHelper的增强. 在综合上面的条件下,有了2.2版本的更新,也因此写了此文. 开源地址: https://github.com/cyq1162/taurus.mvc 下面对增强的功能进行介绍: 1:跨域请求 除了常规的的JsonP跨域,Html5开始支持增强跨域,则变得更为方便,只需要服务端请求头输出: if (context.Request.UrlReferrer != null && con

一.客户端用JSONP请求数据 如果你想用JSONP来获得跨域的数据,WebAPI本身是不支持javascript的callback的,它返回的JSON是这样的: {"YourSignature": "给我钱"} 然而,JSONP请求期望得到这样的JSON: jQuery123456([{"YourSignature": "给我钱"}]) 所以我们需要对WebAPI做拓展,让它支持这样的callback.我找到了两种办法. 1