【正文】 ation）。 主站過(guò)期憑證 /令牌清除 ：定時(shí)清除 (DataTable)Cache[“CERT”]中 timeout 字段超過(guò)當(dāng)前時(shí)間的記錄。)Token=.*, , oreCase)。 else url += ?Token=$Token$。 } /// summary /// 獲取帶令牌請(qǐng)求的 URL /// 在當(dāng)前 URL 中附加上令牌請(qǐng)求參數(shù) /// /summary /// returns/returns private string getTokenURL() { string url = 。 } else { //令牌錯(cuò)誤 (())。 //調(diào)用 WebService 獲取主站憑證 tokenService = new ()。 using 。 using 。如下代碼所示： using System。 } } 分站憑證 ：分站憑證主要用于減少重復(fù)驗(yàn)證時(shí)網(wǎng)絡(luò)的交互，比如用戶已在分站 a 上登錄過(guò)，當(dāng)他再次訪問(wèn)分站 a 時(shí)，就不必使用令牌去主站驗(yàn)證了，因?yàn)榉终?a 已有該用戶的憑證。 DataColumn[] keys = new DataColumn[1]。 (info, ())。有多種實(shí)現(xiàn)方式可供選擇，要求可靠的話用數(shù)據(jù)庫(kù)，要求性能的話用 Cache， DEMO 中我使用的是Cache 中的 DataTable。 (Value, tokenValue)。 設(shè)計(jì)完成后，接下來(lái)是方案實(shí)現(xiàn)的一些關(guān)鍵點(diǎn)： 令牌 ：令牌由主站頒發(fā)，主站頒發(fā)令牌同時(shí)生成用戶憑證，并記錄令牌與用戶憑證之間的對(duì)應(yīng)關(guān)系，以根據(jù)用戶提供的令牌響應(yīng)對(duì)應(yīng)的憑證；令牌要在各跨域分 站中進(jìn)行流通，所以DEMO 中令牌我使用主站的 Cookie，并指定 =。 OK，現(xiàn)在描述一下單點(diǎn)登錄的過(guò)程： 情形一、匿名用戶：匿名用戶訪問(wèn)分站 a 上的一個(gè)授權(quán)頁(yè)面，首先跳轉(zhuǎn)到主站讓用戶輸入帳號(hào)、密碼進(jìn)行登錄，驗(yàn)證通過(guò)后產(chǎn)生主站憑證，同時(shí)產(chǎn)生令牌，跳轉(zhuǎn)回分站 a，此時(shí)分站 a 檢測(cè)到用戶已持有令牌，于是用令牌再次去主站獲取用戶憑證，獲取成功后允許用戶訪問(wèn)該授權(quán)頁(yè)面。 如下圖所示： 為方便清晰描述，先定義幾個(gè)名詞，本文中出現(xiàn)之處均為如下含義。 基于 .Net 的單點(diǎn)登錄 (SSO)解決方案 畢業(yè)設(shè)計(jì)論文 前些天一位朋友要我?guī)兔ψ鲆粏吸c(diǎn)登錄，其實(shí)這個(gè)概念早已耳熟能詳，但實(shí)際應(yīng)用很少，難得最近輕閑，于是決定通過(guò)本文來(lái)詳細(xì)描述一個(gè) SSO 解決方案，希望對(duì)大家有所幫助。 主站 ： Passport 集中驗(yàn)證服務(wù)器 。同時(shí)產(chǎn)生分站 a 的本地憑證，當(dāng)該用戶需要再次驗(yàn)證時(shí)將先檢查本地憑證，以減少網(wǎng)絡(luò)交互。各分站如何共享主站的 Cookie？從分站 Redirect 到主站頁(yè)面，然后該頁(yè)面讀取 Cookie 并以 URL 參數(shù)方式回傳即可，可在 DEMO 代碼中查看詳細(xì)實(shí)現(xiàn)，當(dāng)然如果哪位有更好的令牌實(shí)現(xiàn)方式也拿出來(lái)分享。 = 。如下代碼所示： /// summary /// 初始化數(shù)據(jù)結(jié)構(gòu) /// /summary /// remarks /// /// | token(令牌 ) | info(用戶憑證 ) | timeout(過(guò)期時(shí)間 ) | /// || /// /remarks private static void cacheInit() { if ([CERT] == null) { DataTable dt = new DataTable()。 [info].DefaultValue = null。 keys[0] = [token]。分站憑證相對(duì)比較簡(jiǎn)單，使用 Session、 Cookie 均可。 using 。 using 。 using 。 object o = (tokenValue)。 } } else { //未持有令牌 (())。 Regex reg = new Regex(^.*\?.+=.+$)。 return + Server .UrlEncode(url)。 return + Serve(url)。 單點(diǎn)登錄（ Single Sign On），簡(jiǎn)稱(chēng)為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。企業(yè)應(yīng)用集成可以在不同層面上進(jìn)行：例如在數(shù)據(jù)存儲(chǔ)層面上的 “數(shù)據(jù)大集中 ”，在傳輸層面上的 “通用數(shù)據(jù)交換平臺(tái) ”，在應(yīng)用層面上的 “業(yè)務(wù)流程整合 ”，和用戶界面上的 “通用企業(yè)門(mén)戶 ”等等。（ Michael E. Whitman (2020) Management Of Information Security Kennesaw University) 編輯本段 技術(shù)實(shí)現(xiàn)機(jī)制 當(dāng)用戶第一次訪問(wèn)應(yīng)用系統(tǒng) 1 的時(shí)候，因?yàn)檫€沒(méi)有登錄，會(huì)被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份效驗(yàn)，如果通過(guò)效驗(yàn)，應(yīng)該返回給用戶一個(gè)認(rèn)證的憑據(jù)－－ ticket；用戶再訪問(wèn)別的應(yīng)用的時(shí)候，就會(huì)將這個(gè) ticket 帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請(qǐng)求之后會(huì)把 ticket 送到認(rèn)證系統(tǒng)進(jìn)行效驗(yàn)，檢查 ticket 的合法性。整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。 為了確保業(yè)務(wù)的高效運(yùn)行與管理的高效執(zhí)行，企業(yè)急需優(yōu)化信息化方案： 第一， 如何實(shí)現(xiàn)公司各種業(yè)務(wù)流程及信息資源的全面整合？ 第二， 如何簡(jiǎn)化各種信息系統(tǒng)的使用方式，降低使用成本？ 第三， 如何降低信息系統(tǒng)維護(hù)與管理成本？ 解決方案 實(shí)現(xiàn)資源整合： 為了解決第一個(gè)問(wèn)題，即實(shí)現(xiàn)各信息系統(tǒng)之間的全面整合，集團(tuán)公司引進(jìn)了企業(yè)信息門(mén)戶 (EIP)，即將各 種應(yīng)用系統(tǒng) (諸如 ERP、 BPM、 HR、 OA、企業(yè)郵局等 )、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源統(tǒng)一集到企業(yè)信息門(mén)戶之下 ,根據(jù)每個(gè)用戶使用特點(diǎn)和角色的不同 ,形成個(gè)性化的應(yīng)用界面，并通過(guò)對(duì)事件和消息的處理、傳輸把用戶有機(jī)地聯(lián)系在一起。 淺析用戶權(quán)限管理系統(tǒng)中的單點(diǎn)登錄 概述： 用戶權(quán)限管理系統(tǒng)中的單點(diǎn)登錄是一種常用于企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)網(wǎng)絡(luò)技術(shù)，可以將企業(yè)中所有域的用戶登錄和用戶賬號(hào)管理進(jìn)行集中。如果在一個(gè)企業(yè)中有 6 個(gè)應(yīng)用系統(tǒng)，一次若是變更 10 個(gè)人員，系統(tǒng)管理員也需要維護(hù) 60 個(gè)人的信息，然而想這樣的企業(yè)調(diào)整的人員信息肯定不止 10 人，這中原始的信息管理方法極大的阻礙的信息管理的高效性。 通過(guò)慧都的 UPMS 通用用戶權(quán)限系統(tǒng)，用戶只需要對(duì)接入的應(yīng)用系統(tǒng)設(shè)置勾選開(kāi)啟單點(diǎn)登錄，便可只輸入一次用戶名密碼，即可訪問(wèn)權(quán)限允許的所有接入系統(tǒng)，如下圖： 在這次的 UPMS 通用用戶權(quán)限系統(tǒng)升級(jí)中加入了單點(diǎn)登錄功能，用戶可在 UPMS 中，可對(duì)接入系統(tǒng)進(jìn)行進(jìn)行勾選設(shè)置，來(lái)確認(rèn)是否開(kāi)啟單點(diǎn)登錄功能，如下圖： 通過(guò) UPMS 通用用戶權(quán) 限系統(tǒng)中的單點(diǎn)登錄可實(shí)現(xiàn)多種價(jià)值： ? 節(jié)省用戶在不同系統(tǒng)中登錄所用時(shí) ? 減少用戶登錄出錯(cuò)的幾率 ? 強(qiáng)化了安全性 ? 減少系統(tǒng)管理員增、刪、改用戶權(quán)限時(shí)間 ? 不用處理或是保存多個(gè)系統(tǒng)用戶的認(rèn)證信息 ? 簡(jiǎn)單操作實(shí)現(xiàn)用戶登錄和賬號(hào)的集中管理 采用 CAS原理構(gòu)建單點(diǎn)登錄 單 點(diǎn)登錄（ Single Sign On , 簡(jiǎn)稱(chēng) SSO ）是目前比較流行的服務(wù)于企業(yè)業(yè)務(wù)整合的解決方案之一， SSO 使得在多個(gè)應(yīng)用系統(tǒng)中，用戶 只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。 ? CAS Server 為需要獨(dú)立部署的 Web 應(yīng)用。圖 1 是 CAS 最基本的協(xié)議過(guò)程： 圖 1. CAS 基礎(chǔ)協(xié)議 CAS Client 與 受保護(hù)的客戶端應(yīng)用部署在一起，以 Filter 方式保護(hù)受保護(hù)的資源。 （ 4）系統(tǒng)自 動(dòng)重定向到 Service （也就是要訪問(wèn)的目的資源地址）地址，并為客戶端瀏覽器設(shè)置一個(gè) Ticket Granted Cookie（ TGC）。 另外， CAS 協(xié)議中還提供了 Proxy （代理）模式，以適應(yīng)更加高級(jí)、復(fù)雜的應(yīng)用場(chǎng)景，具體介紹可以參考 CAS 官方網(wǎng)站上的相關(guān)文檔。認(rèn)證機(jī)制可以有很多種，例如自己寫(xiě)一個(gè)認(rèn)證程序，或者使用一些標(biāo)準(zhǔn)的認(rèn)證方法，例如 LDAP 或者數(shù)據(jù)庫(kù)等等。 CAS 使用的是所謂的 Ticket。 ? 然后單點(diǎn)登錄服務(wù)器會(huì)在 客戶端 創(chuàng)建一個(gè) Cookie。不過(guò)此時(shí) CAS 服務(wù)器不再要求用戶輸 入 用戶名和密碼，而是首先自動(dòng)尋找 Cookie，根據(jù) Cookie 中保存的信息，進(jìn)行登錄。 CAS 被設(shè)計(jì)為一個(gè)獨(dú)立的 Web應(yīng)用，目前是通過(guò)若干個(gè) Java servlets 來(lái)實(shí)現(xiàn)的。當(dāng)然也可以在應(yīng)用程序的主界面上增加一個(gè)登錄之類(lèi)的按鈕，來(lái)完成跳轉(zhuǎn)工作。它要求用戶輸入用戶名和密碼，就像普通的登錄界面一樣。這種 cookie并不是真的保存在內(nèi)存中，而只是瀏覽 器一關(guān)閉， cookie 就自動(dòng)過(guò)期。這個(gè) ticket 是一次性使用的一種憑證，它只對(duì)登錄成功的用戶及其服務(wù)使用一次。CAS 重定向的時(shí)候，將 ticket 作為一個(gè)參數(shù)傳遞回去。校驗(yàn) URL 也是 CAS 服務(wù)器提供的。 ? 以后其他應(yīng)用程序就使用這個(gè) cookie進(jìn)行認(rèn)證（當(dāng)然通過(guò) CAS 的客戶端），而不再需要輸入用戶名和密碼。 關(guān)鍵字： SSO, Java, J2EE, JAAS 1 什么是單點(diǎn)登陸 單點(diǎn)登錄（ Single Sign On），簡(jiǎn)稱(chēng)為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。這些系統(tǒng)的目 的都是讓計(jì)算機(jī)來(lái)進(jìn)行復(fù)雜繁瑣的計(jì)算工作，來(lái)替代人力的手工勞動(dòng)，提高工作效率和質(zhì)量。 隨 著企業(yè)的發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加，老的系統(tǒng)卻不能輕易的替換，這會(huì)帶來(lái)很多的開(kāi)銷(xiāo)。 為了降低管理的消耗，最大限度的重用已有投資的系統(tǒng)，很多企業(yè)都在進(jìn)行著企業(yè)應(yīng)用集成（ EAI）。整合以前，進(jìn)入每個(gè)系統(tǒng)都需要進(jìn)行登錄，這樣的局面不僅給管理上帶來(lái)了很大的困難，在安全方面也埋下了重大的隱患。 2 單點(diǎn)登陸的技術(shù)實(shí)現(xiàn)機(jī)制 隨著 SSO技術(shù)的流行， SSO 的產(chǎn)品也是滿天飛揚(yáng)。頤和園是北京著名的旅游景點(diǎn)，也是我常去的地方。他們只需要在每個(gè)景點(diǎn)門(mén) 口出示一下剛才買(mǎi)的套票就能夠被允許進(jìn)入每個(gè)獨(dú)立的景點(diǎn)。 統(tǒng)一的認(rèn)證系統(tǒng)是 SSO的前提之一。應(yīng)用系統(tǒng)應(yīng)該能對(duì) ticket 進(jìn)行識(shí)別和提取，通過(guò)與認(rèn)證系統(tǒng)的通訊，能自動(dòng)判斷當(dāng)前用戶是否登錄過(guò)，從而完成單點(diǎn)登錄的功能。 統(tǒng)一的認(rèn)證系統(tǒng)并不是 說(shuō)只有單個(gè)的認(rèn)證服務(wù)器，如下圖所示，整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。 3 WEBSSO 的實(shí)現(xiàn) 隨著互聯(lián)網(wǎng)的高速發(fā) 展， WEB 應(yīng)用幾乎統(tǒng)治了絕大部分的軟件應(yīng)用系統(tǒng)，因此 WEBSSO是 SSO 應(yīng)用當(dāng)中最為流行。 為什么說(shuō) WEBSSO 比較容易實(shí)現(xiàn)呢？這是有 WEB 應(yīng)用自身的特點(diǎn)決定的。如下圖，瀏覽器向 Web 服務(wù)器發(fā)送了兩個(gè)請(qǐng)求，申請(qǐng)了兩個(gè)頁(yè)面。這樣的方 式大大區(qū)別于傳統(tǒng)的（ Client/Server） C/S 結(jié)構(gòu) ,在那樣的應(yīng)用中，客戶端和服務(wù)器端會(huì)建立一個(gè)長(zhǎng)時(shí)間的專(zhuān)用的連接通道。例如用戶在訪問(wèn)頁(yè)面 1 的時(shí)候進(jìn)行了登錄，但是剛才也提到，客戶端的每個(gè)請(qǐng)求都是單獨(dú)的連接，當(dāng)客戶再次訪問(wèn)頁(yè)面 2 的時(shí)候，如何才能告訴 Web 服務(wù)器，客戶剛才已經(jīng)登錄過(guò)了 呢？瀏覽器和服務(wù)器之間有約定：通過(guò)使用 cookie 技術(shù)來(lái)維護(hù)應(yīng)用的狀態(tài)。 為了完成一個(gè)簡(jiǎn)單的 SSO 的功能，需要兩個(gè)部分的合作： 統(tǒng)一的身份認(rèn)證服務(wù)。此 樣例所有的源代碼和二進(jìn)制代碼都可以從網(wǎng)站地址 下載。樣例部署和運(yùn)行的環(huán)境有一定的要求，需要符合 以上