访问控制/身份管理/授权管理/账户管理

原来的公司用过这个产品，也接触过一点，可以跟大家分享一下：在我看来，SiteMinder有两个最重要的功能：

 

 1.URL级别的认证和保护。通过部署SiteMinder, 可以把认证的功能从应用中剥离出来。每一个http request都会被SiteMinder拦截下来，判断是否认证过。认证过的话则放行，没有认证过则发到SiteMinder服务器端认证。如果用户名和密码正确，SiteMinder会生成sm session的东西，跟http sesssion类似。只不过sm session是在siteminder的服务器端维护的。同时，根据业务需要，siteminder可以把用户的身份信息写入request，这样request到达后端的应用服务器时，应用服务器的代码可以从request里读出用户的ID，从而识别出用户。

 

2.统一的身份认证可以方便应用间单点登录的实现。 SiteMinder的server端可以配置多种形式的身份数据源，并且配置多个应用使用同一种认证通道，从而实现应用间的单点登录。 不过用SiteMinder需要几个地方要注意： 1.SiteMinder要在http server端装一个agent，去拦截所有请求 2.部署SiteMinder之后，原来应用自带的认证方式需要重写 3.SiteMinder的license也非常贵，一般都是一个server认证好多应用

 

更多待续。。。