【正文】 我缺省設(shè)置的是 “.”。之所以要用 是因?yàn)楣P者使用了一個(gè)線程安全的高性能的 Java 集合類 “ConcurrentMap”，只有在 中才有。 其 中 SSOAuth（ ） 是 身 份 認(rèn) 證 服 務(wù) ；SSOWebDemo1 （ ）和SSOWebDemo2（ 個(gè)用來(lái)演示單點(diǎn)登錄的 Web 應(yīng)用。 Web SSO 的樣例 根據(jù)上面的原理，我用 J2EE 的技術(shù)（ JSP 和 Servlet）完成了一個(gè)具有 WebSSO 的簡(jiǎn)單樣例。如下圖所示，當(dāng)瀏覽器訪問了頁(yè)面 1時(shí)， web 服務(wù)器設(shè)置了一個(gè) cookie，并將這個(gè) cookie 和頁(yè)面 1 一起返回給瀏覽器，瀏覽器接到 cookie 之后，就會(huì)保存起來(lái)，在它訪問頁(yè)面 2 的時(shí)候會(huì)把這個(gè) cookie 也帶上， Web 服務(wù)器接到請(qǐng)求時(shí)也能讀出 cookie 的值，根據(jù) cookie 值的內(nèi)容就可以判斷和恢復(fù)一些用戶的信息狀態(tài)。 但是我們通常的應(yīng)用是有狀態(tài)的。所謂無(wú)狀態(tài)的協(xié)議也就是表現(xiàn)在這里，瀏覽器和 Web 服務(wù)器會(huì)在第一個(gè)請(qǐng)求完成以后關(guān)閉連接通道，在第二個(gè)請(qǐng)求的時(shí)候重新建立連接。一個(gè) Web應(yīng)用由很多個(gè) Web頁(yè)面組成，每個(gè)頁(yè)面都有唯一的 URL 來(lái)定義。很多商業(yè)軟件和開源軟件都有對(duì) WEBSSO 的實(shí)現(xiàn)。如下圖，當(dāng)用戶在訪問應(yīng)用系統(tǒng) 1時(shí)，由第一個(gè)認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的 ticket。有兩點(diǎn)需要指出的是： 單一的用戶信息數(shù)據(jù)庫(kù)并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲(chǔ)，應(yīng)該允許用戶信息放置在不同的存儲(chǔ)中，如下圖所示。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì) ticket 進(jìn)行效驗(yàn)，判斷其有效性。如果通過 效驗(yàn)，用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng) 2 和應(yīng)用系統(tǒng) 3 了。很多游客需要游玩所有德景點(diǎn)，這種買票方式很不方便，需要在每個(gè)景點(diǎn)門口排隊(duì)買票，錢包拿 進(jìn)拿出的，容易丟失，很不安全。在這里我并不想介紹自己公司（ Sun Microsystems）的產(chǎn)品，而是對(duì) SSO 技術(shù)本身進(jìn)行解析，并且提供自己開發(fā)這一類產(chǎn)品的方法和簡(jiǎn)單演示。請(qǐng)看下面的統(tǒng)計(jì)數(shù)據(jù)： 提高 IT 效率：對(duì)于每 1000 個(gè)受管用戶，每用戶可節(jié)省 $70K 幫助臺(tái)呼叫減少至少 1/3，對(duì)于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計(jì) $648K 生產(chǎn)力提高：每個(gè)新員工可節(jié)省 $1K，每個(gè)老員工可節(jié)省 $350 ?資料來(lái)源： Giga ROI 回報(bào)： 到 13 個(gè)月 ?資料來(lái)源： Gartner 另外，使用 “單點(diǎn)登錄 ”還是 SOA時(shí)代的需求之一。事實(shí)上，還用一個(gè)層面上的集成變得越來(lái)越重要，那就是 “身份認(rèn)證 ”的整合，也就是 “單點(diǎn)登錄 ”。很多系統(tǒng)的數(shù) 據(jù)是相互冗余和重復(fù)的，數(shù)據(jù)的不一致性會(huì)給管理工作帶來(lái)很大的壓力。如果舉例說(shuō)國(guó)內(nèi)一著名的 IT 公司（名字隱去），內(nèi)部 共有 60 多個(gè)業(yè)務(wù)系統(tǒng)，這些系統(tǒng)包括兩個(gè)不同版本的 SAP 的 ERP系統(tǒng)， 12個(gè)不同類型和版本的數(shù)據(jù)庫(kù)系統(tǒng)， 8 個(gè)不同類型和版本的操作系統(tǒng)，以及使用了 3 種不同的防火墻技術(shù)，還有數(shù)十種互相不能兼容的協(xié)議和標(biāo)準(zhǔn)，你相信嗎？不要懷疑，這種情況其實(shí)非常普遍。 較大的企業(yè)內(nèi)部，一般都有很多的業(yè)務(wù)支持系統(tǒng)為其提供相應(yīng)的管理和 IT 服 務(wù)。本文從業(yè)務(wù)的角度分析了單點(diǎn)登錄的需求和應(yīng)用領(lǐng)域；從技術(shù)本身的角度分析了單點(diǎn)登錄技術(shù)的內(nèi)部機(jī)制和實(shí)現(xiàn)手段，并且給出 WebSSO和桌面 SSO 的實(shí)現(xiàn)、源代碼和詳細(xì)講解；還從安全和性能的角度對(duì)現(xiàn)有的實(shí)現(xiàn)技術(shù)進(jìn)行進(jìn)一步分析，指出相應(yīng)的風(fēng)險(xiǎn)和需要改進(jìn)的方面。如果判斷是有效性，則返回一個(gè) NetID 給應(yīng)用程序。 ? 收到 ticket 之后，應(yīng)用程序需要驗(yàn)證 ticket。 ? 主體認(rèn)證完成后， CAS 將用戶的瀏覽器重定向，回到原來(lái)的應(yīng)用。 ? 認(rèn)證成功后， CAS 服務(wù)器創(chuàng)建一個(gè)很長(zhǎng)的、隨機(jī)生成的字符串，稱為 “Ticket”。通常認(rèn)證機(jī)制是 LDAP。不過這種模式主要用于測(cè)試環(huán)境。應(yīng)用程序可以通過三個(gè) URL 路徑來(lái)使用 CAS，分別是登錄 URL（ login URL），校驗(yàn) URL（ validation URL）和登出 URL（ logout URL）。 這樣，就不再需要 用戶繼續(xù)輸入用戶名和密碼，從而實(shí)現(xiàn)了單點(diǎn)登錄。這個(gè) Cookie 是一個(gè)加密的 Cookie，其中保存了用戶登錄的信息。 ? 授權(quán)完成后， CAS 把頁(yè)面重定向，回到 Web 應(yīng)用。這是因?yàn)?LDAP 在處理用戶登錄方面，有很多獨(dú)特的優(yōu)勢(shì)，這在本文的后面還會(huì)比較詳細(xì) 地進(jìn)行介紹。 ? 然后單點(diǎn)登錄服務(wù)器會(huì)對(duì)用戶名和密碼進(jìn)行認(rèn)證。 在該協(xié)議中， 所有與 CAS 的交互均采用 SSL 協(xié)議，確保， ST 和 TGC 的安全性。 （ 2）于是將請(qǐng)求重定向到指定好 的 CAS Server 登錄地址，并傳遞 Service （也就是要訪問的目的資源地址），以便登錄成功過后轉(zhuǎn)回該地址 。 原理 和協(xié)議 從 結(jié)構(gòu)上看， CAS 包含兩個(gè)部分： CAS Server 和 CAS Client。 介紹 CAS 是 Yale 大學(xué)發(fā)起的一個(gè)開源項(xiàng)目，旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄方法， CAS 在 2020 年 12 月正式成為 JASIG 的一個(gè)項(xiàng)目。還可進(jìn)行實(shí)行統(tǒng)一的用戶管理系統(tǒng)，系統(tǒng)管理員也值需要維護(hù)一套人員信息，改變信息時(shí)通過平臺(tái)接口同步 更新至各個(gè)應(yīng)用系統(tǒng)，實(shí)現(xiàn)人員系統(tǒng)單次維護(hù)全公司同步變更，大大提高了工作效率。 如果在 權(quán)限管理系統(tǒng) 中不引入單點(diǎn)登錄，在企業(yè)中承擔(dān)審批權(quán)限的人員對(duì)于企業(yè)中的各種應(yīng)用系統(tǒng)如 CRM、 OA、 HR等，將需要記住多個(gè)系統(tǒng)的用戶登錄信息，此外還需要多次的進(jìn)行登錄操作，極大的影響了信 息化管理的快捷性和高效性。 降低信息維護(hù)成本： 金萬(wàn)維異速聯(lián) (ESoonLink)實(shí)現(xiàn) C/S 分布式軟件的集中式部署，將管理系統(tǒng)服務(wù)器端與客戶端統(tǒng)一部署在客戶服務(wù)器中心，任何授權(quán)客戶機(jī)都能夠以 WEB 形式訪問，并更新數(shù)據(jù)，輕松實(shí)現(xiàn)了系統(tǒng)在廣域網(wǎng)中的局域網(wǎng)應(yīng)用。 應(yīng)用優(yōu)勢(shì) 單點(diǎn)登錄：用戶只需登錄一次，即可通過單點(diǎn)登錄系統(tǒng)（ eTrueSSO）訪問后臺(tái)的 多個(gè) 應(yīng)用系統(tǒng)，二次登陸時(shí)無(wú)需重新輸入用戶名和密碼 C/S 單點(diǎn)登錄解決方案：無(wú)需修改任何現(xiàn)有的應(yīng)用系統(tǒng)服務(wù)端和客戶端即可實(shí)現(xiàn) C/S單點(diǎn)登錄系統(tǒng) 即裝即用：通過簡(jiǎn)單的配置，無(wú)須用戶修改任何現(xiàn)有 B/S、 C/S 應(yīng)用系統(tǒng)即可使用 應(yīng)用靈活性：內(nèi)嵌金萬(wàn)維動(dòng)態(tài)域名解析系統(tǒng)（ gnHost），可獨(dú)立實(shí)施，也可結(jié)合金萬(wàn)維異速聯(lián) /天聯(lián)產(chǎn)品使用 基于角色訪問控制：根據(jù)用戶的角色和 URL 實(shí)現(xiàn)訪問控制功能 全面的日志審計(jì)：精確地記錄用戶的日志，可按日期、地址、用戶、資源等信息對(duì)日志進(jìn)行查詢、統(tǒng)計(jì)和分析 集群：通過集群功能，實(shí)現(xiàn)多臺(tái)服 務(wù)器之間的動(dòng)態(tài)負(fù)載均衡 傳輸加密：支持多種對(duì)稱和非對(duì)稱加密算法，保證用戶信息在傳輸過程中不被竊取和篡改 可擴(kuò)展性：對(duì)后續(xù)的業(yè)務(wù)系統(tǒng)擴(kuò)充和擴(kuò)展有良好的兼容性 存在的問題與需求 奇正藏藥集團(tuán)公司坐落于蘭州，在西藏、北京、上海等地?fù)碛卸鄠€(gè)分子公司，并在全國(guó)各大城市設(shè)有辦事處，隨著業(yè)務(wù)的快速發(fā)展與壯大，集團(tuán)公司已經(jīng)意識(shí)到信息化是實(shí)現(xiàn)企業(yè)終極目標(biāo)的重要手段，自 2020 年開始，公司先后實(shí)施了 ERP、 BPM、 HR、 EIP、企業(yè)郵局、騰訊通平臺(tái)、 OA、財(cái)務(wù)等多套管理系統(tǒng)，實(shí)現(xiàn)公司各項(xiàng)業(yè)務(wù)流程及管理流程的信息化、自動(dòng)化。 編輯本段 技術(shù)實(shí)現(xiàn)及應(yīng)用優(yōu)勢(shì) 技術(shù)實(shí)現(xiàn) 以金萬(wàn)維單點(diǎn)登錄為例： 如圖所示：統(tǒng)一的身份認(rèn)證系統(tǒng)主要功能是將用戶的登錄信息和用戶信息庫(kù)相比較，對(duì)用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ ticket），返還給用戶。 在信息安全管理中，訪問控制 (Access Controls)環(huán)繞四個(gè)過程： Identification；Authentication； Authorization； Accountability。 通常情況 下運(yùn)維內(nèi)控審計(jì)系統(tǒng)、 4A系統(tǒng)或者都包含此項(xiàng)功能，目的是簡(jiǎn)化賬號(hào)登陸過程并保護(hù)賬號(hào)和密碼安全，對(duì)賬號(hào)進(jìn)行統(tǒng)一管理。如果要求 A 站點(diǎn)退出， B、 C站點(diǎn)也退出，可自行擴(kuò)展接口清空每個(gè)分站憑證。 url = (url, (\?|amp。Token=$Token$。 } } (e)。 (恭喜，令牌存在，您被授權(quán)訪問該頁(yè)面！ )。 } else { //令牌驗(yàn)證結(jié)果 if ([Token] != null) { if ([Token] != $Token$) { //持有令牌 string tokenValue = [Token]。 using 。 using 。如果有多個(gè)頁(yè)面的話不可能為每個(gè)頁(yè)寫一個(gè)這樣的邏輯， OK，那么把這套邏輯封裝成一個(gè)基類，凡是要使用 SSO 的頁(yè)面繼承該基類即可。 //Cache 的過期時(shí)間為 令牌過期時(shí)間 *2 (CERT, dt, null, , (([timeout]) * 2))。 [timeout].DefaultValue = (double.Parse([timeout]))。 [token].Unique = true。 主站憑證 ：主站憑證是一個(gè)關(guān)系表，包含了三個(gè)字段：令牌、憑證數(shù)據(jù)、過期時(shí)間。 HttpCookie tokenCookie = new HttpCookie(Token)。同時(shí)產(chǎn)生分站 b 的 本地憑證。 令牌 ：由 Passport 頒發(fā)可在各分站中流通的唯一標(biāo)識(shí)。 閑話少敘，進(jìn)入正題，我的想法 是使用集中驗(yàn)證方式，多個(gè)站點(diǎn)集中 Passport 驗(yàn)證。 SSO的解決方案很多，但搜索結(jié)果令人大失所望，大部分是相互轉(zhuǎn)載，并且描述的也是走馬觀花。 分站 ： 憑證 ：用戶登錄后產(chǎn)生的數(shù)據(jù)標(biāo)識(shí)，用于識(shí)別授權(quán)用戶，可為多種方式， DEMO 中主站我使用的是 Cache，分站使用 Session。 情形二、在分站 a 登錄的用戶訪問分站 b：因?yàn)橛脩粼诜终?a 登錄過，已 持有令牌，所以分站 b 會(huì)用令牌去主站獲取用戶憑證，獲取成功后允許用戶訪問授權(quán)頁(yè)面。 //產(chǎn)生令牌 string tokenValue = ().ToString().ToUpper()。 (tokenCookie)。 (token, ())。 (timeout, ())。 = keys。 分站 SSO頁(yè)面基類 ：分站使用 SSO的頁(yè)面會(huì)做一系列的邏輯判斷處理，如文章開頭的流程圖。 using 。 using 。 namespace { /// summary /// 授權(quán)頁(yè)面基類 /// /summary public class AuthBase : { protected override void OnLoad(EventArgs e) { if (Session[Token] != null) { //分站憑證存在 (恭喜 ，分站憑證存在，您被授權(quán)訪問該頁(yè)面！ )。 if (o != null) { //令牌正確 Session[Token] = o。 } } //未進(jìn)行令牌驗(yàn)證，去主站驗(yàn)證 else { (())。 if ((url)) url += amp。 } /// summary /// 去掉 URL 中的令牌 /// 在當(dāng)前 URL 中去掉令牌參數(shù) /// /summary /// returns/re