【文章內(nèi)容簡介】 URL 也是 CAS 服務器提供的。 ? CAS 通過校驗路徑獲得了 ticket 之后，通過內(nèi)部的數(shù)據(jù)庫對其進行判斷。如果判斷是有效性，則返回一個 NetID 給應用程序。 ? 隨后 CAS 將 ticket 作廢，并且在客戶端留下一個 cookie。 ? 以后其他應用程序就使用這個 cookie進行認證（當然通過 CAS 的客戶端），而不再需要輸入用戶名和密碼。 單 點登錄（ SSO）的技術被越來越廣泛地運用到各個領域的軟件系統(tǒng)當中。本文從業(yè)務的角度分析了單點登錄的需求和應用領域；從技術本身的角度分析了單點登錄技術的內(nèi)部機制和實現(xiàn)手段，并且給出 WebSSO和桌面 SSO 的實現(xiàn)、源代碼和詳細講解；還從安全和性能的角度對現(xiàn)有的實現(xiàn)技術進行進一步分析，指出相應的風險和需要改進的方面。本文除了從多個方面和角度給出了對單點登錄（ SSO）的全面分析，還并且討論了如何將現(xiàn)有的應用和 SSO服務結合起來，能夠幫助應用架構師和系統(tǒng)分析人員從本質上認識單點登錄，從而更好地設計出符合需要的安全架 構。 關鍵字： SSO, Java, J2EE, JAAS 1 什么是單點登陸 單點登錄（ Single Sign On），簡稱為 SSO，是目前比較流行的企業(yè)業(yè)務整合的解決方案之一。 SSO 的定義是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。 較大的企業(yè)內(nèi)部，一般都有很多的業(yè)務支持系統(tǒng)為其提供相應的管理和 IT 服 務。例如財務系統(tǒng)為財務人員提供財務的管理、計算和報表服務；人事系統(tǒng)為人事部門提供全公司人員的維護服務；各種業(yè)務系統(tǒng)為公司內(nèi)部不同的業(yè)務提供不同的 服務等等。這些系統(tǒng)的目 的都是讓計算機來進行復雜繁瑣的計算工作，來替代人力的手工勞動，提高工作效率和質量。這些不同的系統(tǒng)往往是在不同的時期建設起來 的，運行在不同的平臺上；也許是由不同廠商開發(fā)，使用了各種不同的技術和標準。如果舉例說國內(nèi)一著名的 IT 公司（名字隱去），內(nèi)部 共有 60 多個業(yè)務系統(tǒng)，這些系統(tǒng)包括兩個不同版本的 SAP 的 ERP系統(tǒng)， 12個不同類型和版本的數(shù)據(jù)庫系統(tǒng)， 8 個不同類型和版本的操作系統(tǒng)，以及使用了 3 種不同的防火墻技術，還有數(shù)十種互相不能兼容的協(xié)議和標準，你相信嗎？不要懷疑，這種情況其實非常普遍。每一個應用系統(tǒng)在運行了數(shù) 年以后，都會成為不可替換的企業(yè) IT 架構的一部分，如下圖所示。 隨 著企業(yè)的發(fā)展，業(yè)務系統(tǒng)的數(shù)量在不斷的增加，老的系統(tǒng)卻不能輕易的替換，這會帶來很多的開銷。其一是管理上的開銷，需要維護的系統(tǒng)越來越多。很多系統(tǒng)的數(shù) 據(jù)是相互冗余和重復的，數(shù)據(jù)的不一致性會給管理工作帶來很大的壓力。業(yè)務和業(yè)務之間的相關性也越來越大，例如公司的計費系統(tǒng)和財務系統(tǒng)，財務系統(tǒng)和人事系 統(tǒng)之間都不可避免的有著密切的關系。 為了降低管理的消耗，最大限度的重用已有投資的系統(tǒng)，很多企業(yè)都在進行著企業(yè)應用集成（ EAI）。 企業(yè)應用集成可以在 不同層面上進行：例如在數(shù)據(jù)存儲層面上的 “數(shù)據(jù)大集中 ”，在傳輸層面上的 “通用數(shù)據(jù)交換平臺 ”，在應用層面上的 “業(yè)務流程整合 ”，和用 戶界面上的 “通用企業(yè)門戶 ”等等。事實上，還用一個層面上的集成變得越來越重要，那就是 “身份認證 ”的整合，也就是 “單點登錄 ”。 通常來說，每個單獨的系統(tǒng)都會有自己的安全體系和身份認證系統(tǒng)。整合以前，進入每個系統(tǒng)都需要進行登錄，這樣的局面不僅給管理上帶來了很大的困難，在安全方面也埋下了重大的隱患。下面是一些著名的調查公司顯示的統(tǒng)計數(shù)據(jù)： 用戶每天平均 16 分鐘花在身份驗證任務上 資料來源： IDS 頻繁的 IT 用戶平均有 21 個密碼 資料來源： NTA Monitor Password Survey 49% 的人寫下了其密碼，而 67% 的人很少改變它們 每 79 秒出現(xiàn)一起身份被竊事件 資料來源： National Small Business Travel Assoc 全球欺騙損失每年約 12B 資料來源： Comm Fraud Control Assoc 到 2020 年，身份管理市場將成倍增長至 $ 資料來源： IDS 使用 “單點登錄 ”整合后，只需要登錄一次就可以進入多個系統(tǒng)，而不需要重新登錄，這不僅僅帶來了更好的用戶體驗，更重要的是降低了安全的風險和管理的消耗。請看下面的統(tǒng)計數(shù)據(jù)： 提高 IT 效率：對于每 1000 個受管用戶，每用戶可節(jié)省 $70K 幫助臺呼叫減少至少 1/3，對于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計 $648K 生產(chǎn)力提高：每個新員工可節(jié)省 $1K，每個老員工可節(jié)省 $350 ?資料來源： Giga ROI 回報： 到 13 個月 ?資料來源： Gartner 另外，使用 “單點登錄 ”還是 SOA時代的需求之一。在面向服務的架構中，服務和服務之間，程序和程序之間的通訊大量存在，服務之間的安全認證是 SOA應用的難點之一，應此建立“單點登錄 ”的系統(tǒng)體系能夠大大簡化 SOA的安全問題，提高服務之間的合作效率。 2 單點登陸的技術實現(xiàn)機制 隨著 SSO技術的流行， SSO 的產(chǎn)品也是滿天飛揚。所有著名的軟件廠商都提供了相應的解決方案。在這里我并不想介紹自己公司（ Sun Microsystems）的產(chǎn)品，而是對 SSO 技術本身進行解析，并且提供自己開發(fā)這一類產(chǎn)品的方法和簡單演示。有關我寫這篇文章的目的，請 參考我的博客（ 單 點登錄的機制其實是比較簡單的，用一個現(xiàn)實中的例子做比較。頤和園是北京著名的旅游景點，也是我常去的地方。在頤和園內(nèi)部有許多獨立的景點，例如 “蘇州 街 ”、 “佛香閣 ” 和 “德和園 ”，都可以在各個景點門口單獨買票。很多游客需要游玩所有德景點，這種買票方式很不方便，需要在每個景點門口排隊買票，錢包拿 進拿出的，容易丟失，很不安全。于是絕大多數(shù)游客選擇在大門口買一張通票（也叫套票），就可以玩遍所有的景點而不需要 重新再買票。他們只需要在每個景點門 口出示一下剛才買的套票就能夠被允許進入每個獨立的景點。 單點登錄的機制也一樣，如下圖所示，當用戶第一次訪問應用系統(tǒng) 1 的時候，因為還沒有登錄，會被引導到認證系統(tǒng)中進行登錄（ 1）；根據(jù)用戶提供的登錄信息，認證系統(tǒng)進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑據(jù)－－ ticket（ 2）；用戶再訪問別的應用的時候（ 3， 5）就會將這個 ticket 帶上，作為自己認證的憑據(jù)，應用系統(tǒng)接受到請求之后會把 ticket 送到認證系統(tǒng)進行效驗，檢查 ticket 的合法性（ 4， 6）。如果通過 效驗，用戶就可以在不用再次登錄的情況下訪問應用系統(tǒng) 2 和應用系統(tǒng) 3 了。 從上面的視圖可以看出，要實現(xiàn) SSO，需要以下主要的功能： 所有應用系統(tǒng)共享一個身份認證系統(tǒng)。 統(tǒng)一的認證系統(tǒng)是 SSO的前提之一。認證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功后，認證系統(tǒng)應該生成統(tǒng)一的認證標志（ ticket），返還給用戶。另外，認證系統(tǒng)還應該對 ticket 進行效驗，判斷其有效性。 所有應用系統(tǒng)能夠識別和提取 ticket 信息 要實現(xiàn) SSO 的功能，讓用戶只登錄一次，就必須讓應用 系統(tǒng)能夠識別已經(jīng)登錄過的用戶。應用系統(tǒng)應該能對 ticket 進行識別和提取，通過與認證系統(tǒng)的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。 上面的功能只是一個非常簡單的 SSO 架構，在現(xiàn)實情況下的 SSO 有著更加復雜的結構。有兩點需要指出的是： 單一的用戶信息數(shù)據(jù)庫并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲，應該允許用戶信息放置在不同的存儲中，如下圖所示。事實上，只要統(tǒng)一認證系統(tǒng)，統(tǒng)一 ticket的產(chǎn)生和效驗，無論用戶信息存儲在什么地方，都能實現(xiàn)單點登錄。 統(tǒng)一的認證系統(tǒng)并不是 說只有單個的認證服務器，如下圖所示，整個系統(tǒng)可以存在兩個以上的認證服務器，這些服務器甚至可以是不同的產(chǎn)品。認證服務器之間要通過標準的通訊協(xié)議，互相交換認證信息，就能完成更高級別的單點登錄。如下圖，當用戶在訪問應用系統(tǒng) 1時，由第一個認證服務器進行認證后，得到由此服務器產(chǎn)生的 ticket。當他訪問應用系統(tǒng) 4的時候，認證服務器 2能夠識別此 ticket 是由第一個服務器產(chǎn)生的，通過認證服務器之間標準的通訊協(xié)議（例如 SAML）來交換認證信息，仍然能夠完成 SSO 的功能。 3 WEBSSO 的實現(xiàn) 隨著互聯(lián)網(wǎng)的高速發(fā) 展， WEB 應用幾乎統(tǒng)治了絕大部分的軟件應用系統(tǒng)，因此 WEBSSO是 SSO 應用當中最為流行。 WEBSSO有其自身的特點和優(yōu)勢，實現(xiàn)起來比較簡單易用。很多商業(yè)軟件和開源軟件都有對 WEBSSO 的實現(xiàn)。其中值得一提的是 OpenSSO （ Java 實現(xiàn) WEBSSO提供架構指南和服務指南，為用戶自己來實現(xiàn) WEBSSO 提供了理論的依據(jù)和實現(xiàn)的方法。 為什么說 WEBSSO 比較容易實現(xiàn)呢？這是有 WEB 應用自身的特點決定的。 眾所周知， Web協(xié)議（也 就是 HTTP）是一個無狀態(tài)的協(xié)議。一個 Web應用由很多個 Web頁面組成，每個頁面都有唯一的 URL 來定義。用戶在瀏覽器的地址欄輸入頁面的 URL，瀏 覽器就會向 Web Server 去發(fā)送請求。如下圖，瀏覽器向 Web 服務器發(fā)送了兩個請求，申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨的 HTTP 連接。所謂無狀態(tài)的協(xié)議也就是表現(xiàn)在這里，瀏覽器和 Web 服務器會在第一個請求完成以后關閉連接通道，在第二個請求的時候重新建立連接。 Web 服務器并不區(qū)分哪個請求來自哪個客戶端，對所有的請求都一視同仁，都是單獨的連接。這樣的方 式大大區(qū)別于傳統(tǒng)的（ Client/Server） C/S 結構 ,在那樣的應用中，客戶端和服務器端會建立一個長時間的專用的連接通道。正是因為有了無狀態(tài)的特性，每個連接資源能夠很快被其他客戶端所重用，一臺 Web 服務器才能夠同時服務于成千上萬的客戶端。 但是我們通常的應用是有狀態(tài)的。先不用提不同應用之間的 SSO，在同一個應用中也需要保存用戶的登錄身份信息。例如用戶在訪問頁面 1 的時候進行了登錄，但是剛才也提到，客戶端的每個請求都是單獨的連接，當客戶再次訪問頁面 2 的時候，如何才能告訴 Web 服務器，客戶剛才已經(jīng)登錄過了 呢？瀏覽器和服務器之間有約定：通過使用 cookie 技術來維護應用的狀態(tài)。 Cookie 是可以被 Web服務器設置的字符串，并且可以保存在瀏覽器中。如下圖所示，當瀏覽器訪問了頁面 1時， web 服務器設置了一個 cookie，并將這個 cookie 和頁面 1 一起返回給瀏覽器，瀏覽器接到 cookie 之后，就會保存起來，在它訪問頁面 2 的時候會把這個 cookie 也帶上， Web 服務器接到請求時也能讀出 cookie 的值，根據(jù) cookie 值的內(nèi)容就可以判斷和恢復一些用戶的信息狀態(tài)。 WebSSO 完全可以利用 Cookie 結束來完成 用戶登錄信息的保存，將瀏覽器中的 Cookie和上文中的 Ticket 結合起來，完成 SSO 的功能。 為了完成一個簡單的 SSO 的功能，需要兩個部分的合作： 統(tǒng)一的身份認證服務。 修改 Web 應用，使得每個應用都通過這個統(tǒng)一的認證服務來進行身份效驗。 Web SSO 的樣例 根據(jù)上面的原理，我用 J2EE 的技術（ JSP 和 Servlet）完成了一個具有 WebSSO 的簡單樣例。樣例包含一個身份認證的服務器和兩個簡單的 Web 應用，使得這兩個 Web 應用通過統(tǒng)一的身份認證服務來完成 WebSSO的功能。此 樣例所有的源代碼和二進制代碼都可以從網(wǎng)站地址 下載。 樣例下載、安裝部署和運行指南： WebSSO 的 樣 例 是 由 三 個標 準 Web 應 用組 成 ， 壓 縮 成 三個 zip 文件，從 中 下 載 。 其 中 SSOAuth（ ） 是 身 份 認 證 服 務 ；SSOWebDemo1 （ ）和SSOWebDemo2（ 個用來演示單點登錄的 Web 應用。這三個 Web 應用之所以沒有打成 war 包，是因為它們不能直接部署，根據(jù)讀者的部署環(huán)境需要作出小小的修改。樣例部署和運行的環(huán)境有一定的要求，需要符合 以上標準的 J2EE 容器才能運行（例如 Tomcat5,Sun Application Server 8, Jboss 4 等）。另外，身份認證服務需要 。之所以要用 是因為筆者使用了一個線程安全的高性能的 Java 集合類 “ConcurrentMap”，只有在 中才有。 這三個 Web 應用完全可以單獨部署，它們可以分別部署在不同的機器，不同的操作系統(tǒng)和 不同的 J2EE 的產(chǎn)品上，它們完全是標準的和平臺無關的應用。但是有一個限制，那兩臺部署應用（ demo demo2）的機器的域名需要相同，這在后面的章節(jié)中會解釋到 cookie 和domain 的關系以及如何制作跨域的 WEBSSO 解壓縮 文件，在 /WEBINF/下的 中請修改 “domainname”的屬性以