SSO单点登录解决方案[转载]
转自http://www.blogjava.net/Jack2007/archive/2008/04/10/191795.html
1 什么是单点登陆
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报表服务;人事系统为人事部门 提供全公司人员的维护服务;各种业务系统为公司内部不同的业务提供不同的服务等等。这些系统的目的都是让[url=javas
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/OWaNvXxxsqW1DR9ldQVWLQ==/1202742575484803608.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
随着企业的发展,业务系统的数量在不断的增加,老的系统却不能轻易的替换,这会带来很多的开销。其一是管理上的开销,需要维护的系统越来越多。很多系统的 数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的计费系统和财务系统,财务系统和人事 系统之间都不可避免的有着密切的关系。
为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成(EAI)。企业应用集成可以在不同层面上进行:例如在数据存储层面 上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企业门户”等等。事实上,还用一个层面 上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。
通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。整合以前,进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,在安全方面也埋下了重大的隐患。下面是一些著名的调查公司显示的统计数据:
使用“单点登录”整合后,只需要登录一次就可以进入多个系统,而不需要重新登录,这不仅仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。请看下面的统计数据:
另外,使用“单点登录”还是[url=javas
2 单点登陆的技术实现机制
随着SSO技术的流行,SSO的产品也是满天飞扬。所有著名的软件厂商都提供了相应的解决方案。在这里我并不想介绍自己公司([url=javas
单点登录的机制其实是比较简单的,用一个现实中的例子做比较。颐和园是北京著名的旅游景点,也是我常去的地方。在颐和园内部有许多独立的景点,例如“苏州 街”、“佛香阁”和“德和园”,都可以在各个景点门口单独买票。很多游客需要游玩所有德景点,这种买票方式很不方便,需要在每个景点门口排队买票,钱包拿 进拿出的,容易丢失,很不安全。于是绝大多数游客选择在大门口买一张通票(也叫套票),就可以玩遍所有的景点而不需要重新再买票。他们只需要在每个景点门 口出示一下刚才买的套票就能够被允许进入每个独立的景点。
单点登录的机制也一样,如下图所示,当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录(1);根据用户提供的登录信息, 认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据--ticket(2);用户再访问别的应用的时候(3,5)就会将这个ticket 带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行效验,检查ticket的合法性(4,6)。如果通过效验,用户就可 以在不用再次登录的情况下访问应用系统2和应用系统3了。
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/hOmCnPiKzo8XiNTZ2tIrhQ==/292733975780658114.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
从上面的视图可以看出,要实现SSO,需要以下主要的功能:
统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行效验,判断其有效性。
要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。
上面的功能只是一个非常简单的SSO架构,在现实情况下的SSO有着更加复杂的结构。有两点需要指出的是:
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/PHP5sYlp57_7zEzGLTDbVg==/292733975780658115.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/Bmcnspzz48huus1S9Zi94w==/425027214835350764.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
3 WEB-SSO的实现
随着互联网的高速发展,[url=javas
为什么说WEB-SSO比较容易实现呢?这是有WEB应用自身的特点决定的。
众所周知,Web协议(也就是HTTP)是一个无状态的协议。一个Web应用由很多个Web页面组成,每个页面都有唯一的URL来定义。用户在浏览器的地 址栏输入页面的URL,浏览器就会向Web [url=javas
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/46zQ2cpqnrahNWFdVSSxQg==/292733975780658116.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
但是我们通常的应用是有状态的。先不用提不同应用之间的SSO,在同一个应用中也需要保存用户的登录身份信息。例如用户在访问页面1的时候进行了登录,但 是刚才也提到,客户端的每个请求都是单独的连接,当客户再次访问页面2的时候,如何才能告诉Web服务器,客户刚才已经登录过了呢?浏览器和服务器之间有 约定:通过使用cookie技术来维护应用的状态。Cookie是可以被Web服务器设置的字符串,并且可以保存在浏览器中。如下图所示,当浏览器访问了 页面1时,web服务器设置了一个cookie,并将这个cookie和页面1一起返回给浏览器,浏览器接到cookie之后,就会保存起来,在它访问页 面2的时候会把这个cookie也带上,Web服务器接到请求时也能读出cookie的值,根据cookie值的内容就可以判断和恢复一些用户的信息状 态。
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/FQXk8GGhjuBJGZRh0Xu5iA==/292733975780658117.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
Web-SSO完全可以利用Cookie结束来完成用户登录信息的保存,将浏览器中的Cookie和上文中的Ticket结合起来,完成SSO的功能。
为了完成一个简单的SSO的功能,需要两个部分的合作:
3.1 Web SSO 的样例
根据上面的原理,我用[url=javas
样例下载、安装部署和运行指南:
解压缩SSOAuth.zip文件,在/WEB-INF/下的web.xml中请修改“domainname”的属性以反映实际的应用部署情况, domainname需要设置为两个单点登录的应用(demo1和demo2)所属的域名。这个domainname和当前SSOAuth服务部署的机器 的域名没有关系。我缺省设置的是“.sun.com”。如果你部署demo1和demo2的机器没有域名,请输入IP地址或主机名(如 localhost),但是如果使用IP地址或主机名也就意味着demo1和demo2需要部署到一台机器上了。设置完后,根据你所选择的J2EE容器, 可能需要将SSOAuth这个目录压缩打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成这个功能。
<init-param>
<param-name>SSOServiceURL</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
</init-param>
<init-param>
<param-name>SSOLoginPage</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
</init-param>
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/Y24aw0rv-QuzwU8eXGe2sA==/425027214835350776.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/G8hircE4QA96TDmWLxWbsQ==/432064089253202302.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
![SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗](http://img.blog.163.com/photo/xBp06wuvaQA-GGww7tJjUA==/1202742575484803616.jpg "SSO单点登录解决方案[转载] - luiweiping-002 - 〖下里巴人〗")
3.2 WEB-SSO代码讲解
3.2.1身份认证服务代码解析
Web-SSO的源代码可以从网站地址http://gceclub.sun.com.cn/wangyu/web-sso/websso_src.zip下 载。身份认证服务是一个标准的web应用,包括一个名为SSOAuth的Servlet,一个login.jsp文件和一个failed.html。身份 认证的所有服务几乎都由SSOAuth的Servlet来实现了;login.jsp用来显示登录的页面(如果发现用户还没有登录过); failed.html是用来显示登录失败的信息(如果用户的用户名和密码与信息数据库中的不一样)。
SSOAuth的代码如下面的列表显示,结构非常简单,先看看这个Servlet的主体部分:
package DesktopSSO;
imp
imp
imp
imp
imp
imp
imp
public class SSOAuth extends HttpServlet {
static private ConcurrentMap accounts;
static private ConcurrentMap SSOIDs;
String cookiename="WangYuDesktopSSOID";
String domainname;
public void init(ServletConfig config) throws ServletException {
super.init(config);
domainname= config.getInitParameter("domainname");
cookiename = config.getInitParameter("cookiename");
SSOIDs = new ConcurrentHashMap(); ...