【正文】 ”，只有在 中才有。樣例部署和運(yùn)行的環(huán)境有一定的要求，需要符合 以上標(biāo)準(zhǔn)的 J2EE 容器才能運(yùn)行（例如 Tomcat5,Sun Application Server 8, Jboss 4 等）。 其 中 SSOAuth（ ） 是 身 份 認(rèn) 證 服 務(wù) ；SSOWebDemo1 （ ）和SSOWebDemo2（ 個(gè)用來(lái)演示單點(diǎn)登錄的 Web 應(yīng)用。此 樣例所有的源代碼和二進(jìn)制代碼都可以從網(wǎng)站地址 下載。 Web SSO 的樣例 根據(jù)上面的原理，我用 J2EE 的技術(shù)（ JSP 和 Servlet）完成了一個(gè)具有 WebSSO 的簡(jiǎn)單樣例。 為了完成一個(gè)簡(jiǎn)單的 SSO 的功能，需要兩個(gè)部分的合作： 統(tǒng)一的身份認(rèn)證服務(wù)。如下圖所示，當(dāng)瀏覽器訪問(wèn)了頁(yè)面 1時(shí)， web 服務(wù)器設(shè)置了一個(gè) cookie，并將這個(gè) cookie 和頁(yè)面 1 一起返回給瀏覽器，瀏覽器接到 cookie 之后，就會(huì)保存起來(lái)，在它訪問(wèn)頁(yè)面 2 的時(shí)候會(huì)把這個(gè) cookie 也帶上， Web 服務(wù)器接到請(qǐng)求時(shí)也能讀出 cookie 的值，根據(jù) cookie 值的內(nèi)容就可以判斷和恢復(fù)一些用戶(hù)的信息狀態(tài)。例如用戶(hù)在訪問(wèn)頁(yè)面 1 的時(shí)候進(jìn)行了登錄，但是剛才也提到，客戶(hù)端的每個(gè)請(qǐng)求都是單獨(dú)的連接，當(dāng)客戶(hù)再次訪問(wèn)頁(yè)面 2 的時(shí)候，如何才能告訴 Web 服務(wù)器，客戶(hù)剛才已經(jīng)登錄過(guò)了 呢？瀏覽器和服務(wù)器之間有約定：通過(guò)使用 cookie 技術(shù)來(lái)維護(hù)應(yīng)用的狀態(tài)。 但是我們通常的應(yīng)用是有狀態(tài)的。這樣的方 式大大區(qū)別于傳統(tǒng)的（ Client/Server） C/S 結(jié)構(gòu) ,在那樣的應(yīng)用中，客戶(hù)端和服務(wù)器端會(huì)建立一個(gè)長(zhǎng)時(shí)間的專(zhuān)用的連接通道。所謂無(wú)狀態(tài)的協(xié)議也就是表現(xiàn)在這里，瀏覽器和 Web 服務(wù)器會(huì)在第一個(gè)請(qǐng)求完成以后關(guān)閉連接通道，在第二個(gè)請(qǐng)求的時(shí)候重新建立連接。如下圖，瀏覽器向 Web 服務(wù)器發(fā)送了兩個(gè)請(qǐng)求，申請(qǐng)了兩個(gè)頁(yè)面。一個(gè) Web應(yīng)用由很多個(gè) Web頁(yè)面組成，每個(gè)頁(yè)面都有唯一的 URL 來(lái)定義。 為什么說(shuō) WEBSSO 比較容易實(shí)現(xiàn)呢？這是有 WEB 應(yīng)用自身的特點(diǎn)決定的。很多商業(yè)軟件和開(kāi)源軟件都有對(duì) WEBSSO 的實(shí)現(xiàn)。 3 WEBSSO 的實(shí)現(xiàn) 隨著互聯(lián)網(wǎng)的高速發(fā) 展， WEB 應(yīng)用幾乎統(tǒng)治了絕大部分的軟件應(yīng)用系統(tǒng)，因此 WEBSSO是 SSO 應(yīng)用當(dāng)中最為流行。如下圖，當(dāng)用戶(hù)在訪問(wèn)應(yīng)用系統(tǒng) 1時(shí)，由第一個(gè)認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的 ticket。 統(tǒng)一的認(rèn)證系統(tǒng)并不是 說(shuō)只有單個(gè)的認(rèn)證服務(wù)器，如下圖所示，整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。有兩點(diǎn)需要指出的是： 單一的用戶(hù)信息數(shù)據(jù)庫(kù)并不是必須的，有許多系統(tǒng)不能將所有的用戶(hù)信息都集中存儲(chǔ)，應(yīng)該允許用戶(hù)信息放置在不同的存儲(chǔ)中，如下圖所示。應(yīng)用系統(tǒng)應(yīng)該能對(duì) ticket 進(jìn)行識(shí)別和提取，通過(guò)與認(rèn)證系統(tǒng)的通訊，能自動(dòng)判斷當(dāng)前用戶(hù)是否登錄過(guò)，從而完成單點(diǎn)登錄的功能。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì) ticket 進(jìn)行效驗(yàn)，判斷其有效性。 統(tǒng)一的認(rèn)證系統(tǒng)是 SSO的前提之一。如果通過(guò) 效驗(yàn)，用戶(hù)就可以在不用再次登錄的情況下訪問(wèn)應(yīng)用系統(tǒng) 2 和應(yīng)用系統(tǒng) 3 了。他們只需要在每個(gè)景點(diǎn)門(mén) 口出示一下剛才買(mǎi)的套票就能夠被允許進(jìn)入每個(gè)獨(dú)立的景點(diǎn)。很多游客需要游玩所有德景點(diǎn)，這種買(mǎi)票方式很不方便，需要在每個(gè)景點(diǎn)門(mén)口排隊(duì)買(mǎi)票，錢(qián)包拿 進(jìn)拿出的，容易丟失，很不安全。頤和園是北京著名的旅游景點(diǎn)，也是我常去的地方。在這里我并不想介紹自己公司（ Sun Microsystems）的產(chǎn)品，而是對(duì) SSO 技術(shù)本身進(jìn)行解析，并且提供自己開(kāi)發(fā)這一類(lèi)產(chǎn)品的方法和簡(jiǎn)單演示。 2 單點(diǎn)登陸的技術(shù)實(shí)現(xiàn)機(jī)制 隨著 SSO技術(shù)的流行， SSO 的產(chǎn)品也是滿(mǎn)天飛揚(yáng)。請(qǐng)看下面的統(tǒng)計(jì)數(shù)據(jù)： 提高 IT 效率：對(duì)于每 1000 個(gè)受管用戶(hù)，每用戶(hù)可節(jié)省 $70K 幫助臺(tái)呼叫減少至少 1/3，對(duì)于 10K 員工的公司，每年可以節(jié)省每用戶(hù) $75，或者合計(jì) $648K 生產(chǎn)力提高：每個(gè)新員工可節(jié)省 $1K，每個(gè)老員工可節(jié)省 $350 ?資料來(lái)源： Giga ROI 回報(bào)： 到 13 個(gè)月 ?資料來(lái)源： Gartner 另外，使用 “單點(diǎn)登錄 ”還是 SOA時(shí)代的需求之一。整合以前，進(jìn)入每個(gè)系統(tǒng)都需要進(jìn)行登錄，這樣的局面不僅給管理上帶來(lái)了很大的困難，在安全方面也埋下了重大的隱患。事實(shí)上，還用一個(gè)層面上的集成變得越來(lái)越重要，那就是 “身份認(rèn)證 ”的整合，也就是 “單點(diǎn)登錄 ”。 為了降低管理的消耗，最大限度的重用已有投資的系統(tǒng)，很多企業(yè)都在進(jìn)行著企業(yè)應(yīng)用集成（ EAI）。很多系統(tǒng)的數(shù) 據(jù)是相互冗余和重復(fù)的，數(shù)據(jù)的不一致性會(huì)給管理工作帶來(lái)很大的壓力。 隨 著企業(yè)的發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加，老的系統(tǒng)卻不能輕易的替換，這會(huì)帶來(lái)很多的開(kāi)銷(xiāo)。如果舉例說(shuō)國(guó)內(nèi)一著名的 IT 公司（名字隱去），內(nèi)部 共有 60 多個(gè)業(yè)務(wù)系統(tǒng)，這些系統(tǒng)包括兩個(gè)不同版本的 SAP 的 ERP系統(tǒng)， 12個(gè)不同類(lèi)型和版本的數(shù)據(jù)庫(kù)系統(tǒng)， 8 個(gè)不同類(lèi)型和版本的操作系統(tǒng)，以及使用了 3 種不同的防火墻技術(shù)，還有數(shù)十種互相不能兼容的協(xié)議和標(biāo)準(zhǔn)，你相信嗎？不要懷疑，這種情況其實(shí)非常普遍。這些系統(tǒng)的目 的都是讓計(jì)算機(jī)來(lái)進(jìn)行復(fù)雜繁瑣的計(jì)算工作，來(lái)替代人力的手工勞動(dòng)，提高工作效率和質(zhì)量。 較大的企業(yè)內(nèi)部，一般都有很多的業(yè)務(wù)支持系統(tǒng)為其提供相應(yīng)的管理和 IT 服 務(wù)。 關(guān)鍵字： SSO, Java, J2EE, JAAS 1 什么是單點(diǎn)登陸 單點(diǎn)登錄（ Single Sign On），簡(jiǎn)稱(chēng)為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。本文從業(yè)務(wù)的角度分析了單點(diǎn)登錄的需求和應(yīng)用領(lǐng)域；從技術(shù)本身的角度分析了單點(diǎn)登錄技術(shù)的內(nèi)部機(jī)制和實(shí)現(xiàn)手段，并且給出 WebSSO和桌面 SSO 的實(shí)現(xiàn)、源代碼和詳細(xì)講解；還從安全和性能的角度對(duì)現(xiàn)有的實(shí)現(xiàn)技術(shù)進(jìn)行進(jìn)一步分析，指出相應(yīng)的風(fēng)險(xiǎn)和需要改進(jìn)的方面。 ? 以后其他應(yīng)用程序就使用這個(gè) cookie進(jìn)行認(rèn)證（當(dāng)然通過(guò) CAS 的客戶(hù)端），而不再需要輸入用戶(hù)名和密碼。如果判斷是有效性，則返回一個(gè) NetID 給應(yīng)用程序。校驗(yàn) URL 也是 CAS 服務(wù)器提供的。 ? 收到 ticket 之后，應(yīng)用程序需要驗(yàn)證 ticket。CAS 重定向的時(shí)候，將 ticket 作為一個(gè)參數(shù)傳遞回去。 ? 主體認(rèn)證完成后， CAS 將用戶(hù)的瀏覽器重定向，回到原來(lái)的應(yīng)用。這個(gè) ticket 是一次性使用的一種憑證，它只對(duì)登錄成功的用戶(hù)及其服務(wù)使用一次。 ? 認(rèn)證成功后， CAS 服務(wù)器創(chuàng)建一個(gè)很長(zhǎng)的、隨機(jī)生成的字符串，稱(chēng)為 “Ticket”。這種 cookie并不是真的保存在內(nèi)存中，而只是瀏覽 器一關(guān)閉， cookie 就自動(dòng)過(guò)期。通常認(rèn)證機(jī)制是 LDAP。它要求用戶(hù)輸入用戶(hù)名和密碼，就像普通的登錄界面一樣。不過(guò)這種模式主要用于測(cè)試環(huán)境。當(dāng)然也可以在應(yīng)用程序的主界面上增加一個(gè)登錄之類(lèi)的按鈕，來(lái)完成跳轉(zhuǎn)工作。應(yīng)用程序可以通過(guò)三個(gè) URL 路徑來(lái)使用 CAS，分別是登錄 URL（ login URL），校驗(yàn) URL（ validation URL）和登出 URL（ logout URL）。 CAS 被設(shè)計(jì)為一個(gè)獨(dú)立的 Web應(yīng)用，目前是通過(guò)若干個(gè) Java servlets 來(lái)實(shí)現(xiàn)的。 這樣，就不再需要 用戶(hù)繼續(xù)輸入用戶(hù)名和密碼，從而實(shí)現(xiàn)了單點(diǎn)登錄。不過(guò)此時(shí) CAS 服務(wù)器不再要求用戶(hù)輸 入 用戶(hù)名和密碼，而是首先自動(dòng)尋找 Cookie，根據(jù) Cookie 中保存的信息，進(jìn)行登錄。這個(gè) Cookie 是一個(gè)加密的 Cookie，其中保存了用戶(hù)登錄的信息。 ? 然后單點(diǎn)登錄服務(wù)器會(huì)在 客戶(hù)端 創(chuàng)建一個(gè) Cookie。 ? 授權(quán)完成后， CAS 把頁(yè)面重定向，回到 Web 應(yīng)用。 CAS 使用的是所謂的 Ticket。這是因?yàn)?LDAP 在處理用戶(hù)登錄方面，有很多獨(dú)特的優(yōu)勢(shì)，這在本文的后面還會(huì)比較詳細(xì) 地進(jìn)行介紹。認(rèn)證機(jī)制可以有很多種，例如自己寫(xiě)一個(gè)認(rèn)證程序，或者使用一些標(biāo)準(zhǔn)的認(rèn)證方法，例如 LDAP 或者數(shù)據(jù)庫(kù)等等。 ? 然后單點(diǎn)登錄服務(wù)器會(huì)對(duì)用戶(hù)名和密碼進(jìn)行認(rèn)證。 另外， CAS 協(xié)議中還提供了 Proxy （代理）模式，以適應(yīng)更加高級(jí)、復(fù)雜的應(yīng)用場(chǎng)景，具體介紹可以參考 CAS 官方網(wǎng)站上的相關(guān)文檔。 在該協(xié)議中， 所有與 CAS 的交互均采用 SSL 協(xié)議，確保， ST 和 TGC 的安全性。 （ 4）系統(tǒng)自 動(dòng)重定向到 Service （也就是要訪問(wèn)的目的資源地址）地址，并為客戶(hù)端瀏覽器設(shè)置一個(gè) Ticket Granted Cookie（ TGC）。 （ 2）于是將請(qǐng)求重定向到指定好 的 CAS Server 登錄地址，并傳遞 Service （也就是要訪問(wèn)的目的資源地址），以便登錄成功過(guò)后轉(zhuǎn)回該地址 。圖 1 是 CAS 最基本的協(xié)議過(guò)程： 圖 1. CAS 基礎(chǔ)協(xié)議 CAS Client 與 受保護(hù)的客戶(hù)端應(yīng)用部署在一起，以 Filter 方式保護(hù)受保護(hù)的資源。 原理 和協(xié)議 從 結(jié)構(gòu)上看， CAS 包含兩個(gè)部分： CAS Server 和 CAS Client。 ? CAS Server 為需要獨(dú)立部署的 Web 應(yīng)用。 介紹 CAS 是 Yale 大學(xué)發(fā)起的一個(gè)開(kāi)源項(xiàng)目，旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄方法， CAS 在 2020 年 12 月正式成為 JASIG 的一個(gè)項(xiàng)目。 通過(guò)慧都的 UPMS 通用用戶(hù)權(quán)限系統(tǒng)，用戶(hù)只需要對(duì)接入的應(yīng)用系統(tǒng)設(shè)置勾選開(kāi)啟單點(diǎn)登錄，便可只輸入一次用戶(hù)名密碼，即可訪問(wèn)權(quán)限允許的所有接入系統(tǒng)，如下圖： 在這次的 UPMS 通用用戶(hù)權(quán)限系統(tǒng)升級(jí)中加入了單點(diǎn)登錄功能，用戶(hù)可在 UPMS 中，可對(duì)接入系統(tǒng)進(jìn)行進(jìn)行勾選設(shè)置，來(lái)確認(rèn)是否開(kāi)啟單點(diǎn)登錄功能，如下圖： 通過(guò) UPMS 通用用戶(hù)權(quán) 限系統(tǒng)中的單點(diǎn)登錄可實(shí)現(xiàn)多種價(jià)值： ? 節(jié)省用戶(hù)在不同系統(tǒng)中登錄所用時(shí) ? 減少用戶(hù)登錄出錯(cuò)的幾率 ? 強(qiáng)化了安全性 ? 減少系統(tǒng)管理員增、刪、改用戶(hù)權(quán)限時(shí)間 ? 不用處理或是保存多個(gè)系統(tǒng)用戶(hù)的認(rèn)證信息 ? 簡(jiǎn)單操作實(shí)現(xiàn)用戶(hù)登錄和賬號(hào)的集中管理 采用 CAS原理構(gòu)建單點(diǎn)登錄 單 點(diǎn)登錄（ Single Sign On , 簡(jiǎn)稱(chēng) SSO ）是目前比較流行的服務(wù)于企業(yè)業(yè)務(wù)整合的解決方案之一， SSO 使得在多個(gè)應(yīng)用系統(tǒng)中，用戶(hù) 只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。還可進(jìn)行實(shí)行統(tǒng)一的用戶(hù)管理系統(tǒng)，系統(tǒng)管理員也值需要維護(hù)一套人員信息，改變信息時(shí)通過(guò)平臺(tái)接口同步 更新至各個(gè)應(yīng)用系統(tǒng)，實(shí)現(xiàn)人員系統(tǒng)單次維護(hù)全公司同步變更，大大提高了工作效率。如果在一個(gè)企業(yè)中有 6 個(gè)應(yīng)用系統(tǒng)，一次若是變更 10 個(gè)人員，系統(tǒng)管理員也需要維護(hù) 60 個(gè)人的信息，然而想這樣的企業(yè)調(diào)整的人員信息肯定不止 10 人，這中原始的信息管理方法極大的阻礙的信息管理的高效性。 如果在 權(quán)限管理系統(tǒng) 中不引入單點(diǎn)登錄，在企業(yè)中承擔(dān)審批權(quán)限的人員對(duì)于企業(yè)中的各種應(yīng)用系統(tǒng)如 CRM、 OA、 HR等，將需要記住多個(gè)系統(tǒng)的用戶(hù)登錄信息，此外還需要多次的進(jìn)行登錄操作，極大的影響了信 息化管理的快捷性和高效性。 淺析用戶(hù)權(quán)限管理系統(tǒng)中的單點(diǎn)登錄 概述： 用戶(hù)權(quán)限管理系統(tǒng)中的單點(diǎn)登錄是一種常用于企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)網(wǎng)絡(luò)技術(shù)，可以將企業(yè)中所有域的用戶(hù)登錄和用戶(hù)賬號(hào)管理進(jìn)行集中。 降低信息維護(hù)成本： 金萬(wàn)維異速聯(lián) (ESoonLink)實(shí)現(xiàn) C/S 分布式軟件的集中式部署，將管理系統(tǒng)服務(wù)器端與客戶(hù)端統(tǒng)一部署在客戶(hù)服務(wù)器中心，任何授權(quán)客戶(hù)機(jī)都能夠以 WEB 形式訪問(wèn)，并更新數(shù)據(jù)，輕松實(shí)現(xiàn)了系統(tǒng)在廣域網(wǎng)中的局域網(wǎng)應(yīng)用。 為了確保業(yè)務(wù)的高效運(yùn)行與管理的高效執(zhí)行，企業(yè)急需優(yōu)化信息化方案： 第一， 如何實(shí)現(xiàn)公司各種業(yè)務(wù)流程及信息資源的全面整合？ 第二， 如何簡(jiǎn)化各種信息系統(tǒng)的使用方式，降低使用成本？ 第三， 如何降低信息系統(tǒng)維護(hù)與管理成本？ 解決方案 實(shí)現(xiàn)資源整合： 為了解決第一個(gè)問(wèn)題，即實(shí)現(xiàn)各信息系統(tǒng)之間的全面整合，集團(tuán)公司引進(jìn)了企業(yè)信息門(mén)戶(hù) (EIP)，即將各 種應(yīng)用系統(tǒng) (諸如 ERP、 BPM、 HR、 OA、企業(yè)郵局等 )、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源統(tǒng)一集到企業(yè)信息門(mén)戶(hù)之下 ,根據(jù)每個(gè)用戶(hù)使用特點(diǎn)和角色的不同 ,形成個(gè)性化的應(yīng)用界面，并通過(guò)對(duì)事件和消息的處理、傳輸把用戶(hù)有機(jī)地聯(lián)系在一起。 應(yīng)用優(yōu)勢(shì) 單點(diǎn)登錄：用戶(hù)只需登錄一次，即可通過(guò)單點(diǎn)登錄系統(tǒng)（ eTrueSSO）訪問(wèn)后臺(tái)的 多個(gè) 應(yīng)用系統(tǒng)，二次登陸時(shí)無(wú)需重新輸入用戶(hù)名和密碼 C/S 單點(diǎn)登錄解決方案：無(wú)需修改任何現(xiàn)有的應(yīng)用系統(tǒng)服務(wù)端和客戶(hù)端即可實(shí)現(xiàn) C/S單點(diǎn)登錄系統(tǒng) 即裝即用：通過(guò)簡(jiǎn)單的配置，無(wú)須用戶(hù)修改任何現(xiàn)有 B/S、 C/S 應(yīng)用系統(tǒng)即可使用 應(yīng)用靈活性：內(nèi)嵌金萬(wàn)維動(dòng)態(tài)域名解析系統(tǒng)（ gnHost），可獨(dú)立實(shí)施，也可結(jié)合金萬(wàn)維異速聯(lián) /天聯(lián)產(chǎn)品使用 基于角色訪問(wèn)控制：根據(jù)用戶(hù)的角色和 URL 實(shí)現(xiàn)訪問(wèn)控制功能 全面的日志審計(jì)：精確地記錄用戶(hù)的日志，可按日期、地址、用戶(hù)、資源等信息對(duì)日志進(jìn)行查詢(xún)、統(tǒng)計(jì)和分