【正文】 開(kāi)源的企業(yè)級(jí)單點(diǎn)登錄解決方案。 認(rèn)證本身并不是單點(diǎn)登錄服務(wù)器的功能，因此，通常會(huì)引入某種 認(rèn)證機(jī)制。 注意，這種單點(diǎn)登錄體系中，并沒(méi)有通過(guò) 進(jìn)行密碼的傳遞（但是有用戶名的傳遞），因此是十分安全的。隨后，CAS 將這個(gè) ticket 和成功登錄的用戶，以及服務(wù)聯(lián)系在一起。本文除了從多個(gè)方面和角度給出了對(duì)單點(diǎn)登錄（ SSO）的全面分析，還并且討論了如何將現(xiàn)有的應(yīng)用和 SSO服務(wù)結(jié)合起來(lái)，能夠幫助應(yīng)用架構(gòu)師和系統(tǒng)分析人員從本質(zhì)上認(rèn)識(shí)單點(diǎn)登錄，從而更好地設(shè)計(jì)出符合需要的安全架 構(gòu)。 通常來(lái)說(shuō)，每個(gè)單獨(dú)的系統(tǒng)都會(huì)有自己的安全體系和身份認(rèn)證系統(tǒng)。 從上面的視圖可以看出，要實(shí)現(xiàn) SSO，需要以下主要的功能： 所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)。其中值得一提的是 OpenSSO （ Java 實(shí)現(xiàn) WEBSSO提供架構(gòu)指南和服務(wù)指南，為用戶自己來(lái)實(shí)現(xiàn) WEBSSO 提供了理論的依據(jù)和實(shí)現(xiàn)的方法。 WebSSO 完全可以利用 Cookie 結(jié)束來(lái)完成 用戶登錄信息的保存，將瀏覽器中的 Cookie和上文中的 Ticket 結(jié)合起來(lái)，完成 SSO 的功能。如果你部署 demo1 和 demo2 的機(jī)器沒(méi)有域名，請(qǐng)輸入 IP 地址或主機(jī)名（如 localhost），但是如果使用 IP 地址或主機(jī)名也就意味著 demo1 和 demo2 需要部署到一臺(tái)機(jī)器上了。 import .*。 } protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { PrintWriter out = ()。 Accounts 用來(lái)存放用戶的用戶名和密碼，在 init()的方法中可以看到我給系統(tǒng)添加了三個(gè)合法的用戶 。 else { String gotoURL = (goto)。一般來(lái)說(shuō)我們不會(huì)直接訪問(wèn)身份服 務(wù)的任何 URL，包括 。 有了這個(gè) cookie，還不能證明你就一定有權(quán)限訪問(wèn)。 import .*。另外一點(diǎn)就是由于身份認(rèn)證的服務(wù)調(diào)用是要通過(guò) 協(xié)議來(lái)調(diào)用的（在本樣例中是這樣設(shè)計(jì)的，讀者完全可以設(shè)計(jì)自己的身份服務(wù)，使用別的調(diào)用協(xié)議，如 RMI 或 SOAP 等等），所有筆者引用 了 apache 的 mons 工具包（詳細(xì)信息情 訪問(wèn) apache 的網(wǎng) 站 “client”可以大大簡(jiǎn)化 調(diào)用的編程。 } else if ((logout) 1) {//logout 服務(wù) if (debug) log(logout action!)。 HttpClient client = new HttpClient()。有很多方面還需要完善，其中安全性是非常重要的一個(gè)方面。 5 當(dāng)前方案的功能和性能局限性 除了安全性，當(dāng)前方案在功能和性能上都需要很多的改進(jìn)： 當(dāng)前所提供的登錄認(rèn)證模式只有一種：用戶名和密碼，而且為了簡(jiǎn)單，將用戶名和密碼放在內(nèi)存當(dāng)中。 } finally { ()。如果 cookie 效驗(yàn)不成功或者 cookie 根本不存在，就會(huì)直接轉(zhuǎn)到登錄界面讓用戶登錄；如果cookie 效驗(yàn)成功，就不會(huì)做任何阻攔，讓此請(qǐng)求進(jìn)行下去。 i++) { if(diskCookies[i].getName().equals(cookieName)){ cookieValue = diskCookies[i].getValue()。 SSOServiceURL = (SSOServiceURL)。本樣例就是使用一個(gè) filter 來(lái)完成以上的功能。 SSOAuth 服務(wù)中提供的各個(gè)方法就是供每個(gè)加入 SSO 的 Web應(yīng)用來(lái)調(diào)用的。 ()。 下面看看幾個(gè)主要的功能函數(shù)： private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = (username)。 logout(myCookie)。 accounts=new ConcurrentHashMap()。 SSOAuth 的代碼如下面的列表顯示，結(jié)構(gòu)非常簡(jiǎn)單，先看看這個(gè) Servlet 的主體部分： package DesktopSSO。 這三個(gè) Web 應(yīng)用完全可以單獨(dú)部署，它們可以分別部署在不同的機(jī)器，不同的操作系統(tǒng)和 不同的 J2EE 的產(chǎn)品上，它們完全是標(biāo)準(zhǔn)的和平臺(tái)無(wú)關(guān)的應(yīng)用。先不用提不同應(yīng)用之間的 SSO，在同一個(gè)應(yīng)用中也需要保存用戶的登錄身份信息。當(dāng)他訪問(wèn)應(yīng)用系統(tǒng) 4的時(shí)候，認(rèn)證服務(wù)器 2能夠識(shí)別此 ticket 是由第一個(gè)服務(wù)器產(chǎn)生的，通過(guò)認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議（例如 SAML）來(lái)交換認(rèn)證信息，仍然能夠完成 SSO 的功能。于是絕大多數(shù)游客選擇在大門口買一張通票（也叫套票），就可以玩遍所有的景點(diǎn)而不需要 重新再買票。業(yè)務(wù)和業(yè)務(wù)之間的相關(guān)性也越來(lái)越大，例如公司的計(jì)費(fèi)系統(tǒng)和財(cái)務(wù)系統(tǒng)，財(cái)務(wù)系統(tǒng)和人事系 統(tǒng)之間都不可避免的有著密切的關(guān)系。 ? 隨后 CAS 將 ticket 作廢，并且在客戶端留下一個(gè) cookie。 ? 為了進(jìn)行以后的單點(diǎn)登錄， CAS向?yàn)g覽器送回一個(gè)所謂的 “內(nèi)存 cookie”。 ? 如 果用戶此時(shí)希望進(jìn)入其他 Web 應(yīng)用程序，則安裝在這些應(yīng)用程序中的單點(diǎn)登錄客戶端，首先仍然會(huì)重定向到 CAS 服務(wù)器。協(xié)議工作過(guò)程中會(huì)有 2 次重定向的過(guò)程，但是 CAS Client 與 CAS Server 之間進(jìn)行 Ticket 驗(yàn)證的過(guò)程對(duì)于用戶是透明的。 慧都 UPMS通用用戶權(quán)限系統(tǒng) 現(xiàn)全面升級(jí)，針對(duì)不同應(yīng)用系統(tǒng)提供了 用戶權(quán)限模塊 的基礎(chǔ)框架和通用模型，還計(jì)入了包括單點(diǎn)登錄在內(nèi)的一些新功能，幫助開(kāi)發(fā)者快速實(shí)施和開(kāi)發(fā)出符合不同需求的用戶權(quán)限管理模塊。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì) ticket 進(jìn)行效驗(yàn)，判斷其有效性。)Token=.*, , oreCase)。 //調(diào)用 WebService 獲取主站憑證 tokenService = new ()。 } } 分站憑證 ：分站憑證主要用于減少重復(fù)驗(yàn)證時(shí)網(wǎng)絡(luò)的交互，比如用戶已在分站 a 上登錄過(guò)，當(dāng)他再次訪問(wèn)分站 a 時(shí)，就不必使用令牌去主站驗(yàn)證了，因?yàn)榉终?a 已有該用戶的憑證。 (Value, tokenValue)。 基于 .Net 的單點(diǎn)登錄 (SSO)解決方案 畢業(yè)設(shè)計(jì)論文 前些天一位朋友要我?guī)兔ψ鲆粏吸c(diǎn)登錄，其實(shí)這個(gè)概念早已耳熟能詳，但實(shí)際應(yīng)用很少，難得最近輕閑，于是決定通過(guò)本文來(lái)詳細(xì)描述一個(gè) SSO 解決方案，希望對(duì)大家有所幫助。 = 。分站憑證相對(duì)比較簡(jiǎn)單，使用 Session、 Cookie 均可。 object o = (tokenValue)。 return + Serve(url)。整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。 通過(guò)慧都的 UPMS 通用用戶權(quán)限系統(tǒng)，用戶只需要對(duì)接入的應(yīng)用系統(tǒng)設(shè)置勾選開(kāi)啟單點(diǎn)登錄，便可只輸入一次用戶名密碼，即可訪問(wèn)權(quán)限允許的所有接入系統(tǒng)，如下圖： 在這次的 UPMS 通用用戶權(quán)限系統(tǒng)升級(jí)中加入了單點(diǎn)登錄功能，用戶可在 UPMS 中，可對(duì)接入系統(tǒng)進(jìn)行進(jìn)行勾選設(shè)置，來(lái)確認(rèn)是否開(kāi)啟單點(diǎn)登錄功能，如下圖： 通過(guò) UPMS 通用用戶權(quán) 限系統(tǒng)中的單點(diǎn)登錄可實(shí)現(xiàn)多種價(jià)值： ? 節(jié)省用戶在不同系統(tǒng)中登錄所用時(shí) ? 減少用戶登錄出錯(cuò)的幾率 ? 強(qiáng)化了安全性 ? 減少系統(tǒng)管理員增、刪、改用戶權(quán)限時(shí)間 ? 不用處理或是保存多個(gè)系統(tǒng)用戶的認(rèn)證信息 ? 簡(jiǎn)單操作實(shí)現(xiàn)用戶登錄和賬號(hào)的集中管理 采用 CAS原理構(gòu)建單點(diǎn)登錄 單 點(diǎn)登錄（ Single Sign On , 簡(jiǎn)稱 SSO ）是目前比較流行的服務(wù)于企業(yè)業(yè)務(wù)整合的解決方案之一， SSO 使得在多個(gè)應(yīng)用系統(tǒng)中，用戶 只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。 另外， CAS 協(xié)議中還提供了 Proxy （代理）模式，以適應(yīng)更加高級(jí)、復(fù)雜的應(yīng)用場(chǎng)景，具體介紹可以參考 CAS 官方網(wǎng)站上的相關(guān)文檔。不過(guò)此時(shí) CAS 服務(wù)器不再要求用戶輸 入 用戶名和密碼，而是首先自動(dòng)尋找 Cookie，根據(jù) Cookie 中保存的信息，進(jìn)行登錄。這種 cookie并不是真的保存在內(nèi)存中，而只是瀏覽 器一關(guān)閉， cookie 就自動(dòng)過(guò)期。 ? 以后其他應(yīng)用程序就使用這個(gè) cookie進(jìn)行認(rèn)證（當(dāng)然通過(guò) CAS 的客戶端），而不再需要輸入用戶名和密碼。 為了降低管理的消耗，最大限度的重用已有投資的系統(tǒng)，很多企業(yè)都在進(jìn)行著企業(yè)應(yīng)用集成（ EAI）。他們只需要在每個(gè)景點(diǎn)門 口出示一下剛才買的套票就能夠被允許進(jìn)入每個(gè)獨(dú)立的景點(diǎn)。 3 WEBSSO 的實(shí)現(xiàn) 隨著互聯(lián)網(wǎng)的高速發(fā) 展， WEB 應(yīng)用幾乎統(tǒng)治了絕大部分的軟件應(yīng)用系統(tǒng)，因此 WEBSSO是 SSO 應(yīng)用當(dāng)中最為流行。例如用戶在訪問(wèn)頁(yè)面 1 的時(shí)候進(jìn)行了登錄，但是剛才也提到，客戶端的每個(gè)請(qǐng)求都是單獨(dú)的連接，當(dāng)客戶再次訪問(wèn)頁(yè)面 2 的時(shí)候，如何才能告訴 Web 服務(wù)器，客戶剛才已經(jīng)登錄過(guò)了 呢？瀏覽器和服務(wù)器之間有約定：通過(guò)使用 cookie 技術(shù)來(lái)維護(hù)應(yīng)用的狀態(tài)。但是有一個(gè)限制，那兩臺(tái)部署應(yīng)用（ demo demo2）的機(jī)器的域名需要相同，這在后面的章節(jié)中會(huì)解釋到 cookie 和domain 的關(guān)系以及如何制作跨域的 WEBSSO 解壓縮 文件，在 /WEBINF/下的 中請(qǐng)修改 “domainname”的屬性以反映實(shí)際的應(yīng)用部署情況， domainname 需要設(shè)置為兩個(gè)單點(diǎn)登錄的應(yīng)用（ demo1 和 demo2）所屬的域名。 import .*。 (wangyu, wangyu)。 ()。 String password = (password)。 } } } handlerFromLogin()這個(gè)方法是用來(lái)處理來(lái)自 。 一般來(lái)說(shuō)， Web 應(yīng)用需要 SSO 的功能，應(yīng)該通過(guò)以下的交互過(guò)程來(lái)調(diào)用身份認(rèn)證服務(wù)的提供的認(rèn)證服務(wù)： Web 應(yīng)用中每一個(gè)需要安全保護(hù)的 URL 在訪問(wèn)以前，都需要進(jìn)行安全檢查，如果發(fā)現(xiàn)沒(méi)有登錄（沒(méi)有發(fā)現(xiàn)認(rèn)證之后所帶的 cookie），就重新定向到 SSOAuth 中的 進(jìn)行登錄。 package SSO。 SSOLoginPage = (SSOLoginPage)。 //如果找到了相應(yīng)的 cookie 則效驗(yàn)其有效性 result = SSOService(cookieValue)。在配置文件中，有下面的一個(gè)節(jié)點(diǎn)表示了此 filter 的 URL 映射關(guān)系：只攔截所有的 jsp 請(qǐng)求。 } } 這兩個(gè)函數(shù) 主要是利用 apache 中的 client 訪問(wèn) SSOAuth 提供的認(rèn)證服務(wù)來(lái)完成效驗(yàn)cookie 和 logout 的功能。事實(shí)上，用戶身份信息的來(lái)源應(yīng)該是多種多樣的，可以是來(lái)自數(shù)據(jù)庫(kù)中， LDAP 中，甚 至于來(lái)自操作系統(tǒng)自身的用戶列表。 4 當(dāng)前方案的安全局限性 當(dāng)前這個(gè) WEBSSO 的方案是一個(gè)比較簡(jiǎn)單的雛形，主要是用來(lái)演示 SSO 的概念和說(shuō)明SSO 技術(shù)的實(shí)現(xiàn)方式。cookiename=。 } } } if ((failed)) { //效驗(yàn)失敗或沒(méi)有找到 cookie，則需要登錄 (SSOLoginPage+?goto=+url)。因?yàn)楫?dāng)前的 Web應(yīng)用很可能和身份認(rèn)證服務(wù)（ SSOAuth）不在同一臺(tái)機(jī)器上，所以需要讓這個(gè) filter 知道身份認(rèn)證服務(wù)部署的 URL，這樣才能去調(diào)用它的服務(wù)。 import .*。 當(dāng)你再訪問(wèn)這個(gè)應(yīng)用的需要保護(hù)的 URL 的時(shí)候，系統(tǒng)還是要進(jìn)行安全檢查的，但是這次系統(tǒng)能夠發(fā)現(xiàn)相應(yīng)的 cookie。 登錄成功后，瀏覽器會(huì)到哪個(gè)頁(yè)面呢？那我們回顧一下我們是如何使用身份認(rèn)證服務(wù)的。 if ((pass==null)||(!