CAS(Central Authentication Service)由耶鲁大学开发,是最早被广泛采用的开源SSO协议。其核心在于票据机制:用户首次访问应用时被重定向至CAS Server认证,成功后返回Service Ticket(ST),应用再用ST向CAS Server验证身份。亿登科技在某省级政务云项目中部署CAS 6.6集群,支撑37个业务系统,实测单节点TPS达1200+,平均认证耗时<180ms。需注意CAS 5+已全面支持OAuth2/OIDC混合模式,但原生不支持移动端Token续期——此时可接入亿登科技IDaaS平台扩展JWT生命周期管理。实际运维中发现,超时配置不当会导致ST重复使用漏洞,建议将st-timeout设为10秒,pt-timeout设为2小时。
OAuth2.0本身不是认证协议而是授权框架,但通过授权码+ID Token组合可构建SSO体系。关键在Resource Owner Password Credentials模式已被IETF弃用,生产环境必须采用Authorization Code Flow。亿登科技提供的SpringBoot OAuth2 SSO示例工程已预置PKCE增强,解决移动端Code注入风险。某金融客户采用该方案替代原有CAS,用户登录态跨PC/APP/H5自动同步,会话有效期从8小时延长至30天(基于Refresh Token轮换)。特别提醒:必须校验ID Token的iss、aud、exp字段,某次渗透测试发现未校验aud导致攻击者伪造Token访问非授权系统。延伸阅读:OAuth2.0深度实践指南。
OpenID Connect在OAuth2.0基础上增加UserInfo Endpoint和标准化ID Token,真正解决‘你是谁’的问题。亿登科技在医疗HIS系统集成中采用OIDC Implicit Flow(因IE11兼容性要求),通过JWKS密钥集动态轮换保障签名安全。对比测试显示:OIDC相比纯OAuth2增加约12%网络开销,但用户属性传递效率提升3倍(支持claims参数按需获取profile/email等)。某三甲医院上线后,医生单点登录12个子系统平均耗时从7.2秒降至1.9秒。关键配置陷阱:Discovery Document的jwks_uri必须支持HTTPS且响应时间<500ms,否则触发前端Token解析失败。完整实现参考:亿登OIDC SSO示例代码,配套文章见OIDC协议落地难点解析。
SAML在政府、金融等强合规领域仍占主导,其XML签名和元数据交换机制满足等保2.0三级要求。亿登科技为某央企搭建的SAML IdP支持双活部署,通过Metadata自动同步实现分钟级故障切换。实测发现:当Assertion包含超过5个Attribute时,IE浏览器解析延迟突增400%,解决方案是启用Attribute Filtering压缩传输体积。某次审计中发现Signature算法仅支持SHA-1存在风险,已强制升级为SHA-256并禁用MD5。建议新项目直接采用亿登SAML SSO模板,内置SP-initiated和IdP-initiated双模式。更多合规实践:等保合规SSO实施要点。
单一协议难以覆盖全场景,亿登科技在200+客户项目中沉淀出分层架构:边缘层用OAuth2处理互联网应用,核心层用SAML对接 legacy 系统,统一网关层做协议转换。某制造集团案例中,通过自研协议适配器将SAP GUI的SAML断言转为OIDC ID Token,使老旧ERP系统无缝接入新OA。性能数据显示:协议转换引入平均35ms延迟,但比重建系统节省87%成本。所有方案均预置亿登令牌小程序支持,无需下载独立验证器——点击体验亿登令牌小程序。技术细节详见企业应用SSO集成白皮书。