<pre id="13q3s"><s id="13q3s"><menu id="13q3s"></menu></s></pre>
          <tr id="13q3s"><s id="13q3s"></s></tr>

          千鋒教育-做有情懷、有良心、有品質的職業教育機構

          領取全套視頻

          關注千鋒學習站小程序
          隨時隨地免費學習課程

          當前位置:首頁  >  關于學院  >  技術論壇  >  正文

          爆破專欄丨Spring Security系列教程之實現CAS單點登錄上篇-概述

          時間:2021-11-01 14:50     來源:千鋒教育 作者:qyf
          分享: 更多

            作者:千鋒一一哥

            前言

            從本章節開始,一一哥 會給各位講解一個很常見也很重要的知識點,就是單點登錄!現在的大型分布式項目,基本都會考慮實現單點登錄,而且現在網上也有很多單點登錄的實現方案、開源項目,但是針對單點登錄的實現原理,講解的并不是很細。你可以參考其他開源案例項目,再結合本系列文章,就可以對單點登錄有較為深入的認識。

            如果你對單點登錄是什么也不知道,那就先看本文,了解單點登錄的含義吧。

            一. 單點登錄

            1. 產生背景

            很早的時候,一家公司里可能只有一個Server,后來慢慢的Server開始變多了,而每個Server都要進行注冊登錄,退出的時候又要一個個退出,用戶體驗很不好!

            比如,我們想訪問百度系列,要登錄百度知道、百度新聞、百度貼吧、百度圖冊......百度旗下的每一個產品,我們都分別注冊一次賬號,都分別登陸一次,都分別退出登錄,這樣一個一個Server去操作,可能會讓人抓狂。

          圖片1

            那么有沒有辦法,優化這樣的登錄體驗呢?比如:一個公司名下的任意服務只需一次注冊,登錄的時候只要一次登錄,退出的時候只要一次退出。如果可以實現這樣的需求,用戶體驗是不是會有很大的提升?那么該用什么實現呢?

          圖片2

            2. 多系統中的登錄實現方案

            想在多系統項目中實現登錄,目前有2種可行的實現方案:

            · 同域名下共享Cookie

            · 單點登錄

            3. 共享Cookie方案的缺陷

            雖然同域名下共享Cookie的方式,可以在一定程度上解決多系統中的登錄問題,但是該方案存在眾多局限性,如下:

            · 應用的群域名必須統一;

            · 應用群中各系統使用的Web技術(至少是Web服務器)要相同,否則cookie中key的名稱(Tomcat為JSESSIONID)不同,無法維持會話;

            · 共享Cookie的方式無法實現跨語言技術平臺登錄,比如無法在Java、PHP、.Net等之間共享Cookie;

            · Cookie本身也不安全。

            4. SSO的概念

            單點登錄(Single Sign On),簡稱為SSO,是目前比較流行的企業業務整合的解決方案之一。SSO是指在多應用系統中,用戶只需要在某一個應用上登錄一次,就可以同時在所有相關又彼此獨立的系統中共享登錄態。

            即只登錄一次,就能訪問所有相互信任的應用系統,在其他所有系統中也都得到了授權而無需再次登錄。另外用戶也只需要退出一次,即可退出所有其他可信的服務。所以SSO包括單點登錄與單點注銷兩部分。

            5. SSO的優點

            · 單點登錄降低了用戶的登錄成本;

            · 統一了不同系統之間的賬號體系;

            · 減少了各個系統在用戶設計上付出的精力。

            6. 使用場景

            一般每個單獨的系統都會有自己的安全體系和身份認證系統。在整合以前,進入每個系統都需要進行登錄,這樣的局面不僅給管理上帶來了很大的困難,在安全方面也埋下了重大的隱患。下面是一些著名的調查公司顯示的統計數據:

            a. 用戶每天平均要花 16 分鐘在身份驗證任務上 - 資料來源: IDS

            b. 頻繁的 IT 用戶平均有 21 個密碼 - 資料來源: NTA Monitor Password Survey

            c. 49% 的人寫下了其密碼,而 67% 的人很少改變它們

            d. 每 79 秒出現一起身份被竊事件 - 資料來源:National Small Business Travel Assoc

            e. 全球欺騙損失每年約 12B - 資料來源:Comm Fraud Control Assoc

            在使用“單點登錄”整合后,只需要登錄一次就可以進入多個系統,而不需要重新登錄。這不僅僅帶來了更好的用戶體驗,更重要的是降低了安全的風險和管理的消耗。請看下面的統計數據:

            a. 提高 IT 效率:對于每 1000 個受管用戶,每用戶可節省$70K;

            b. 幫助臺呼叫減少至少1/3,對于 10K 員工的公司,每年可以節省每用戶 $75,或者合計 $648K;

            c. 生產力提高:每個新員工可節省 $1K,每個老員工可節省 $350 資料來源:Giga;

            d. ROI 回報:7.5 到 13 個月 資料來源:Gartner

            另外,使用 “單點登錄” 還是SOA微服務時代的需求之一。在面向服務的架構中,服務和服務之間,程序和程序之間的通訊大量存在,服務之間的安全認證是SOA應用的難點之一。

            應此建立“單點登錄”的系統體系能夠大大簡化SOA的安全問題,提高服務之間的合作效率。

            7. 單點登錄執行流程(重點)

            在單點登錄系統中,需要定義一個獨立的認證中心,只有認證中心才能接受用戶的用戶名密碼等安全信息,而其他系統并不提供登錄入口,只接受認證中心的間接授權,間接授權通過令牌實現。

            SSO認證中心驗證用戶的用戶名密碼時如果沒有問題,則創建授權令牌。在接下來的跳轉過程中,授權令牌會作為參數發送給各個子系統,子系統拿到授權令牌,即得到了授權,可以借此創建局部會話,局部會話的登錄方式與單系統的登錄方式相同。

            這個過程,就是單點登錄的原理,我們用下圖來詳細說明。

          圖片3

            根據上圖,我們可以梳理出單點登錄的請求執行流程(重點):

            a. 比如用戶訪問系統1的受保護資源,結果系統1發現用戶未登錄,會先跳轉到SSO認證中心,并將自己的地址作為參數,比如http://login.xxx.com/jump?target=http://系統1.com/xxx ;

            b. SSO認證中心發現用戶未登錄,則將用戶引導到登錄頁面,并將系統1的地址作為參數帶過去;

            c. 用戶輸入用戶名和密碼,向SSO認證中心提交登錄申請,并將系統1的地址作為參數帶過去;

            d. SSO認證中心校驗用戶信息,校驗成功后,會創建一個用戶與SSO認證中心之間的會話,稱之為全局會話,同時創建一個授權令牌;

            e. SSO認證中心帶著令牌跳轉回最初的請求地址(系統1);

            f. 系統1拿到授權令牌后,接著去SSO認證中心校驗令牌是否有效,并將系統1的地址作為參數帶過去;

            g. SSO認證中心先校驗令牌是否有效,正常則返回有效信息,并把系統1的信息注冊進SSO授權中心;

            h. 系統1使用該授權令牌創建出與用戶的會話,稱為局部會話,然后給用戶返回受保護的資源;

            i. 如果用戶繼續訪問系統2的受保護資源,也會與SSO授權中心進行交互授權;

            j. 比如系統2發現用戶未登錄,則跳轉到SSO認證中心,并將自己的地址作為參數攜帶過去;

            k. 如果SSO認證中心發現用戶已登錄,則跳轉回系統2的地址,并帶過去授權令牌;

            l. 系統2拿到授權令牌,接著會去SSO認證中心校驗授權令牌是否有效;

            m. SSO認證中心也會校驗授權令牌,并返回有效信息,把系統2的信息也注冊進行SSO授權中心;

            n. 系統2使用該授權令牌創建一個與用戶的局部會話,返并回受保護的資源。

            通過以上的SSO單點登錄執行流程,我們可以得知,用戶登錄成功之后,會與SSO認證中心及各個子系統之間建立會話。

            用戶與SSO認證中心建立的會話稱為全局會話,用戶與各個子系統建立的會話稱為局部會話,局部會話建立之后,用戶訪問子系統受保護資源將不再通過SSO認證中心。全局會話與局部會話有如下約束關系:

            · 局部會話存在,全局會話一定存在;

            · 全局會話存在,局部會話不一定存在;

            · 全局會話銷毀,局部會話必須銷毀。

            單點登錄涉及到SSO認證中心與眾多子系統,各子系統與SSO認證中心之間需要通信以交換令牌、校驗令牌及發起注銷請求,因而各子系統必須集成SSO客戶端,SSO認證中心則是SSO服務端,整個單點登錄過程實質是SSO客戶端與服務端通信的過程。

            8. 單獨注銷執行流程(重點)

            在多應用系統中,我們既然實現了單點登錄,自然也要單點注銷,即在一個子系統中注銷后,所有子系統的會話都將被銷毀。我們用下圖來說明。

          圖片4

            SSO認證中心會一直監聽全局會話的狀態,一旦發現全局會話被銷毀,監聽器將通知所有注冊系統執行注銷操作。

            下面對上圖進行簡要說明:

            · 比如用戶向系統1發起注銷請求;

            · 系統1根據用戶與系統1建立的局部會話id拿到授權令牌,接著系統1向SSO認證中心發起注銷請求;

            · SSO認證中心會先校驗授權令牌是否有效,然后銷毀全局會話,同時取出所有用此授權令牌注冊的系統地址;

            · SSO認證中心向所有注冊系統發起注銷會話的請求;

            · 各注冊系統接收到SSO認證中心的注銷請求,銷毀局部會話;

            · 最后SSO認證中心會引導用戶到登錄頁面。

            二. CAS單點登錄系統

            1. CAS概念

            前文我們給大家介紹過,如果在一個企業旗下的所有系統都使用同一的域名,其實實現單點登錄也挺簡單,我們只需要將Cookie的domain域設置為頂層域名,在服務器端進行會話共享即可。但是現實中并沒有這么理想的狀態,一般實現單點登錄的成本是比較高的,接下來我給大家介紹一個實現單點登錄的開源項目CAS,可以大大降低實現單點登錄的難度和開發成本。

            CAS(Central Authentication Service),即中心認證服務系統。在CAS系統中,分為CAS Server與CAS Client兩部分,CAS Server是單點登錄系統中負責驗證的服務端,CAS Client是CAS Server登錄態的客戶端。

            2. CAS的核心概念(重點)

            在CAS系統中有三個重要的術語:

            · Ticket Grantfng Ticke(TGT):這是用戶登錄后生成的票根,包含用戶的認證身份、有效期等信息,存儲于CAS Server中,類似于我們常見的服務器會話;

            · Ticket Granted Cookie(TGC):這是存儲在Cookie中的一段數據,類似于會話ID,用戶與CAS Server進行交互時,幫助用戶找到對應的TGT;

            · Service Ticket(ST):這是CAS Server使用TGT簽發的一張一次性票據,CAS Client 使用ST與CAS Server進行交互,以獲取用戶的驗證狀態。

            3. CAS單點登錄執行步驟(重點)

            CAS單點登錄的完整步驟如下:

            (1)用戶先通過瀏覽器訪問CAS Client程序的某個頁面,例如http://cas.client.com/me;

            (2)當CAS Client判斷用戶需要進行身份認證時,會攜帶service作為請求參數,并返回302狀態碼,指示瀏覽器重定向到CAS Server端,例如 http://cas.server.com/?service=http://cas. client.com/me.service,service是用戶的原訪問頁面;

            (3)然后瀏覽器利用 service 重定向到CAS Server;

            (4)CAS Server 獲取并校驗用戶cookie中攜帶的TGC,如果成功,則身份認證完成;否則將用戶重定向到CAS Server 提供的登錄頁,例如 http://cas.server.com/login?service=http://cas. client.com/me,由用戶輸入用戶名和密碼,完成身份認證;

            (5)如果用戶已經登錄過系統,那么CAS Server可以直接獲取用戶的TGC,并根據TGC找到TGT。如果是首次登錄,則CAS Server 會首先生成TGT。每次驗證時,CAS Server 會根據 TGT簽發一個ST,并把ST拼接在service參數中,同時將相應的TGC設置到用戶的cookie中(域為CAS Server),并返回302 狀態碼,指示瀏覽器重定向到 service,例如 http://cas.client.com/me?ticket=XXX;

            (6)瀏覽器存儲TGC,并攜帶ST重定向到service;

            (7)CAS Client取得ST(即請求參數中的ticket)后,會向CAS Server請求驗證該ST的有效性;

            (8)若CAS Server驗證該ST是有效的,就告知CAS Client該用戶有效,并返回該用戶的信息。

            CAS Client在獲取用戶信息時,可以使用session的形式管理用戶會話。后續的交互請求不再需要重定向到CAS Server,CAS Client直接返回用戶請求的資源即可,整個流程如下圖所示:

          圖片5

            請各位把上面的單點登錄執行流程和CAS的核心概念牢固掌握,這些知識點有助于我們后文知識點的理解和掌握。敬請期待下文,如何搭建CAS服務端!

          圖片6

          關注wx公眾號【Java架構棧】,領取更多Java學習資源

          相關文章

          • 北京總部地址:北京市海淀區寶盛北里西區28號中關村智誠科創大廈4層
            北京沙河校區:北京市昌平區沙陽路18號北京科技職業技術學院廣場服務樓
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 深圳校區地址:深圳市寶安區寶安大道5010號西部硅谷B座A區6層A605/B座C區1層108
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 上海校區地址:上海市寶山區同濟支路199號智慧七立方3號樓2-4層
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 廣州校區地址:廣州市白云區永平街永泰學山塘學山文化創意谷A1棟六樓
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 鄭州二七區校區地址:鄭州市二七區航海中路60號海為科技園C區10層
            鄭州高新區校區地址:鄭州市高新區金梭路與銀杏路交叉口教育科技產業園南門D座4層
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 大連校區地址:遼寧省大連市高新園區愛賢街10號大連設計城A座901
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 武漢金融港校區地址:武漢市東新區光谷大道77號金融港B18棟三、四層
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 成都校區地址:成都市高新區肖家河沿街138號肖家河大廈三樓
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 西安校區地址:西安市雁塔區高新六路52號立人科技C座西區4樓
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 杭州旺田校區:浙江省杭州市上城區九堡鎮旺田書畫城A座4層
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 青島校區地址:青島市市北區龍城路31號卓越世紀中心4號樓5層
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 重慶校區地址:重慶市高新區科園一路2號大西洋國際12-1
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 長沙校區地址:湖南省長沙市岳麓區麓谷企業廣場A2棟三單元306號
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 哈爾濱校區地址:哈爾濱市松北區世澤路689號 科技創新城4號樓405
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 南京校區地址:南京市建鄴區應天大街780號弘輝產業園1棟2層
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 太原校區地址:太原市小店區長治路230號能源互聯網大廈6層
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 沈陽校區地址:遼寧省沈陽市渾南區世紀路16號東大軟件園B園B1座A201
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 合肥校區地址:合肥市包河區徽州大道396號東方廣場B座12A
            咨詢電話:400-811-9990
            面授課程:HTML5大前端培訓、JavaEE+分布式開發培訓、Python全棧+人工智能培訓、全鏈路UI/UE設計培訓、云計算培訓、全棧軟件測試培訓、大數據+人工智能培訓、智能物聯網+嵌入式培訓、Unity游戲開發培訓、Go語言開發培訓、PHP全棧+服務器集群培訓、網絡安全培訓、網絡營銷培訓、好程序員
            認證課程:軟考、Adobe認證、PMP認證、紅帽RHCE認證
          • 千鋒教育服務號

            了解千鋒動態
            關注千鋒教育服務號

          • 千鋒教育移動站

            掃一掃快速進入
            千鋒移動端頁面

          • 千鋒互聯服務號

            掃碼匿名提建議
            直達CEO信箱

          [an error occurred while processing the directive] 日韩亚洲AV人人夜夜澡人人爽
          <pre id="13q3s"><s id="13q3s"><menu id="13q3s"></menu></s></pre>
                <tr id="13q3s"><s id="13q3s"></s></tr>