程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> JAVA編程 >> 關於JAVA >> SSO單點登錄解決方案

SSO單點登錄解決方案

編輯:關於JAVA

1 什麼是單點登陸

單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務 整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。

較大的企業內部,一般都有很多的業務支持系統為其提供相應的管理和IT服務。例如 財務系統為財務人員提供財務的管理、計算和報表服務;人事系統為人事部門 提供全公司人員的維護服 務;各種業務系統為公司內部不同的業務提供不同的服務等等。這些系統的目的都是讓計算機來 進行復 雜繁瑣的計算工作,來替代人力的手 工勞動,提高工作效率和質量。這些不同的系統往往是在不同的時 期建設起來的,運行在不同的平台上;也許是由不同廠商開發,使用了各種不同的技術和標准。如 果舉 例說國內一著名的IT公司(名字隱去),內部共有60多個業務系統,這些系統包括兩個不同版本的SAP的 ERP系統,12個不同類型和版本的數據庫系 統,8個不同類型和版本的操作系統,以及使用了3種不同的 防火牆技術,還有數十種互相不能兼容的協議和標准,你相信嗎?不要懷疑,這種情況其實非常普遍。 每一個應用系統在運行了數年以後,都會成為不可替換的企業IT架構的一部分,如下圖所示。

隨著企業的發展,業務系統的數量在不斷的增加,老的系統卻不能輕易的替換,這會帶來很多的開銷 。其一是管理上的開銷,需要維護的系統越來越多。很多系統的 數據是相互冗余和重復的,數據的不一 致性會給管理工作帶來很大的壓力。業務和業務之間的相關性也越來越大,例如公司的計費系統和財務 系統,財務系統和人事 系統之間都不可避免的有著密切的關系。

為了降低管理的消耗,最大限 度的重用已有投資的系統,很多企業都在進行著企業應用集成(EAI)。企業應用集成可以在不同層面上 進行:例如在數據存儲層面 上的“數據大集中”,在傳輸層面上的“通用數據交換平 台”,在應用層面上的“業務流程整合”,和用戶界面上的“通用企業門戶 ”等等。事實上,還用一個層面 上的集成變得越來越重要,那就是“身份認證”的整 合,也就是“單點登錄”。

通常來說,每個單獨的系統都會有自己的安全體系和身份 認證系統。整合以前,進入每個系統都需要進行登錄,這樣的局面不僅給管理上帶來了很大的困難,在 安全方面也埋下了重大的隱患。下面是一些著名的調查公司顯示的統計數據:

用戶每天平均16分 鐘花在身份驗證任務上 - 資料來源:IDS

頻繁的IT用戶平均有21個密碼 - 資料來源:NTA Monitor Password Survey

49%的人寫下了其密碼,而67%的人很少改變它們

每79秒出現一 起身份被竊事件 - 資料來源:National Small Business Travel Assoc

全球欺騙損失每年約12B - 資料來源:Comm Fraud Control Assoc

到2007年,身份管理市場將成倍增長至$4.5B - 資料來 源:IDS

使用“單點登錄”整合後,只需要登錄一次就可以進入多個系統,而不需要 重新登錄,這不僅僅帶來了更好的用戶體驗,更重要的是降低了安全的風險和管理的消耗。請看下面的 統計數據:

提高IT效率:對於每1000個受管用戶,每用戶可節省$70K

幫助台呼叫減少至 少1/3,對於10K員工的公司,每年可以節省每用戶$75,或者合計$648K

生產力提高:每個新員工 可節省$1K,每個老員工可節省$350 - 資料來源:Giga

ROI回報:7.5到13個月 - 資料來源: Gartner

另外,使用“單點登錄”還是SOA時代的需求之一。在面向服務的架構中,服 務和服務之間,程序和程序之間的通訊大量存在,服務之間的安全認證是SOA應用的難點之一,應此建立 “單點登錄”的系統體系能夠大大簡化SOA的安全問題,提高服務之間的合作效率。

2 單點登陸的技術實現機制

隨著SSO技術的流行,SSO的產品也是滿天飛揚。所有著名的軟件廠商都 提供了相應的解決方案。在這裡我並不想介紹自己公司(Sun Microsystems)的產品,而是對SSO技術本 身進行解析,並且提供自己開發這一類產品的方法和簡單演示。有關我寫這篇文章的目的,請參考我的 博 客(http://yuwang881.blog.sohu.com/3184816.html)。

單點登錄的機制其實是比較簡單的 ,用一個現實中的例子做比較。頤和園是北京著名的旅游景點,也是我常去的地方。在頤和園內部有許 多獨立的景點,例如“蘇州 街”、“佛香閣”和“德和園”,都可以 在各個景點門口單獨買票。很多游客需要游玩所有德景點,這種買票方式很不方便,需要在每個景點門 口排隊買票,錢包拿 進拿出的,容易丟失,很不安全。於是絕大多數游客選擇在大門口買一張通票(也 叫套票),就可以玩遍所有的景點而不需要重新再買票。他們只需要在每個景點門 口出示一下剛才買的 套票就能夠被允許進入每個獨立的景點。

單點登錄的機制也一樣,如下圖所示,當用戶第一次訪 問應用系統1的時候,因為還沒有登錄,會被引導到認證系統中進行登錄(1);根據用戶提供的登錄信 息, 認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據--ticket(2);用戶 再訪問別的應用的時候(3,5)就會將這個ticket 帶上,作為自己認證的憑據,應用系統接受到請求之 後會把ticket送到認證系統進行效驗,檢查ticket的合法性(4,6)。如果通過效驗,用戶就可 以在不 用再次登錄的情況下訪問應用系統2和應用系統3了。

從上面的視圖可以看 出,要實現SSO,需要以下主要的功能:

所有應用系統共享一個身份認證系統。

統一的認 證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較,對用戶進行登 錄認證;認證成功後,認證系統應該生成統一的認證標志(ticket),返還給用戶。另外,認證系統還 應該對ticket進行效驗,判斷其有效性。

所有應用系統能夠識別和提取ticket信息

要實 現SSO的功能,讓用戶只登錄一次,就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對 ticket進行識別和提取,通過與認證系統的通訊,能自動判斷當前用戶是否登錄過,從而完成單點登錄 的功能。

上面的功能只是一個非常簡單的SSO架構,在現實情況下的SSO有著更加復雜的結構。有 兩點需要指出的是:

單一的用戶信息數據庫並不是必須的,有許多系統不能將所有的用戶信息都 集中存儲,應該允許用戶信息放置在不同的存儲中,如下圖所示。事實上,只要統一認證系統,統一 ticket的產生和效驗,無論用戶信息存儲在什麼地方,都能實現單點登錄。

統一 的認證系統並不是說只有單個的認證服務器,如下圖所示,整個系統可以存在兩個以上的認證服務器, 這些服務器甚至可以是不 同的產品。認證服務器 之間要通過標准的通訊協議,互相交換認證信息,就 能完成更高級別的單點登錄。如下圖,當用戶在訪問應用系統1時,由第一個認證服務器進行認證後,得 到由此 服務器產生的ticket。當他訪問應用系統4的時候,認證服務器2能夠識別此ticket是由第一個服 務器產生的,通過認證服務器之間標准的通訊協議 (例如SAML)來交換認證信息,仍然能夠完成SSO的 功能。

3 WEB-SSO的實現

隨著互聯網的高速發展,WEB應用幾乎統治了絕大部分的軟件應用系統,因 此WEB-SSO是SSO應用當中最為流行。WEB-SSO有其自身的特點和優 勢,實現起來比較簡單易用。很多商 業軟件和開源軟件都有對WEB-SSO的實現。其中值得一提的是OpenSSO (https://opensso.dev.java.net ),為用Java實現WEB-SSO提供架構指南和服務指南,為用戶自己來實現WEB-SSO提供了理論的依據和實 現的方法。

為什麼說WEB-SSO比較容易實現呢?這是有WEB應用自身的特點決定的。

眾所 周知,Web協議(也就是HTTP)是一個無狀態的協議。一個Web應用由很多個Web頁面組成,每個頁面都有 唯一的URL來定義。用戶在浏覽器的地 址欄輸入頁面的URL,浏覽器就會向Web Server去 發送請求。如 下圖,浏覽器向Web服務器發送了兩個請求,申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨 的HTTP連接。所謂無狀 態的協議也就是表現在這裡,浏覽器和Web服務器會在第一個請求完成以後關閉 連接通道,在第二個請求的時候重新建立連接。Web服務器並不區分哪個請求來 自哪個客戶端,對所有 的請求都一視同仁,都是單獨的連接。這樣的方式大大區別於傳統的(Client/Server)C/S結構,在那樣 的應用中,客戶端 和服務器端會建立一個長時間的專用的連接通道。正是因為有了無狀態的特性,每個 連接資源能夠很快被其他客戶端所重用,一台Web服務器才能夠同時服務於成 千上萬的客戶端。

但是我們通常的應用是有狀態的。先不用提不同應用之間的SSO,在同一個應用中也需要保存用戶的 登錄身份信息。例如用戶在訪問頁面1的時候進行了登錄,但 是剛才也提到,客戶端的每個請求都是單 獨的連接,當客戶再次訪問頁面2的時候,如何才能告訴Web服務器,客戶剛才已經登錄過了呢?浏覽器 和服務器之間有 約定:通過使用cookie技術來維護應用的狀態。Cookie是可以被Web服務器設置的字符 串,並且可以保存在浏覽器中。如下圖所示,當浏覽器訪問了 頁面1時,web服務器設置了一個cookie, 並將這個cookie和頁面1一起返回給浏覽器,浏覽器接到cookie之後,就會保存起來,在它訪問頁 面2的 時候會把這個cookie也帶上,Web服務器接到請求時也能讀出cookie的值,根據cookie值的內容就可以判 斷和恢復一些用戶的信息狀 態。

Web-SSO完全可以利用Cookie結束來完成用戶登錄信息的保存,將浏覽器中的Cookie和上文中的 Ticket結合起來,完成SSO的功能。

為了完成一個簡單的SSO的功能,需要兩個部分的合作:

統一的身份認證服務。

修改Web應用,使得每個應用都通過這個統一的認證服務來進行身 份效驗。

3.1 Web SSO 的樣例

根據上面的原理,我用J2EE的技術(JSP和Servlet)完成 了一個具有Web-SSO的簡單樣例。樣例包含一個身份認證的服務器和兩個簡單的 Web應用,使得這兩個 Web應用通過統一的身份認證服務來完成Web-SSO的功能。此樣例所有的源代碼和二進制代碼都可以從網 站地址http://gceclub.sun.com.cn/wangyu/下載。

樣例下載、安裝部署和運行指南:

Web-SSO的樣例是由三個標准Web應用組成,壓縮成三個zip文件,從 http://gceclub.sun.com.cn/wangyu/web-sso/中下載。其中SSOAuth (http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip)是身份認證服務;SSOWebDemo1 (http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip)和SSOWebDemo2 (http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip) 是兩個用來演示單點登錄的Web應 用。這三個Web應用之所以沒有打成war包,是因為它們不能直接部署,根據讀者的部署環境需要作出小 小的修改。樣例部 署和運行的環境有一定的要求,需要符合Servlet2.3以上標准的J2EE容器才能運行( 例如Tomcat5,Sun Application Server 8, Jboss 4等)。另外,身份認證服務需要JDK1.5的運行環境。 之所以要用JDK1.5是因為筆者使用了一個線程安全的高性能的Java集合類 “ConcurrentMap”,只有在JDK1.5中才有。

這三個Web應用完全可以單獨部署,它們 可以分別部署在 不同的機器,不同的操作系統和不同的J2EE的產品上,它們完全是標准的和平台無關的 應用。但是有一個限制,那兩台部署應用(demo1、demo2)的 機器的域名需要相同,這在後面的章節中 會解釋到cookie和domain的關系以及如何制作跨域的WEB-SSO

解壓縮SSOAuth.zip文件,在/WEB- INF/下的web.xml中請修改“domainname”的屬性以反映實際的應用部署情況, domainname 需要設置為兩個單點登錄的應用(demo1和demo2)所屬的域名。這個domainname和當前SSOAuth服務部署 的機器 的域名沒有關系。我缺省設置的是“.sun.com”。如果你部署demo1和demo2的機器沒 有域名,請輸入IP地址或主機名(如 localhost),但是如果使用IP地址或主機名也就意味著demo1和 demo2需要部署到一台機器上了。設置完後,根據你所選擇的J2EE容器, 可能需要將SSOAuth這個目錄壓 縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個功能。

解 壓縮SSOWebDemo1和SSOWebDemo2文件,分別在它們/WEB-INF/下找到web.xml文件,請修改其中的幾個初 始化參數

<init-param>
<param-name>SSOServiceURL</param- name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param- value>
</init-param>
<init-param>
<param- name>SSOLoginPage</param-name>
<param- value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
</init-param>

將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應用 的機器名、端口號以及根路徑 (缺省是 SSOAuth)以反映實際的部署情況。設置完後,根據你所選擇的 J2EE容器,可能需要將SSOWebDemo1和SSOWebDemo2這兩個目錄壓 縮打包成兩個war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個功能。

請輸入第一個web應用的測 試URL(test.jsp),例如http://wangyu.prc.sun.com:8080/SSOWebDemo1/test.jsp,如果是第一次訪問 ,便會自動跳轉到登錄界面,如下圖。

使用系統自帶的三個帳號之一登錄(例如,用戶名:wangyu,密碼:wangyu),便能成功的看到 test.jsp的內容:顯示當前用戶名和歡迎信息。

請接著在同一個浏覽器中輸入第二個web應用的測試URL(test.jsp),例如 http://wangyu.prc.sun.com:8080/SSOWebDemo2/test.jsp。你會發現,不需要再次登錄就能看到 test.jsp的內容,同樣是顯示當前用戶名和歡迎信息,而且歡迎信息中明確的顯示當前的應用名稱 (demo2)。

3.2 WEB-SSO代碼講解

3.2.1身份認證服務代碼解析

Web-SSO的源代碼可以從網站地址 http://gceclub.sun.com.cn/wangyu/web-sso/websso_src.zip下 載。身份認證服務是一個標准的web應 用,包括一個名為SSOAuth的Servlet,一個login.jsp文件和一個failed.html。身份 認證的所有服務幾 乎都由SSOAuth的Servlet來實現了;login.jsp用來顯示登錄的頁面(如果發現用戶還沒有登錄過); failed.html是用來顯示登錄失敗的信息(如果用戶的用戶名和密碼與信息數據庫中的不一樣)。

SSOAuth的代碼如下面的列表顯示,結構非常簡單,先看看這個Servlet的主體部分:

package DesktopSSO;

import java.io.*;
import java.net.*;
import java.text.*;
import java.util.*;
import java.util.concurrent.*;

import javax.servlet.*;
import javax.servlet.http.*;


public class SSOAuth extends HttpServlet {

static private ConcurrentMap accounts;
static private ConcurrentMap SSOIDs;
String cookiename="WangYuDesktopSSOID";
String domainname;

public void init(ServletConfig config) throws ServletException {
super.init(config);
domainname= config.getInitParameter ("domainname");
cookiename = config.getInitParameter ("cookiename");
SSOIDs = new ConcurrentHashMap();
accounts=new ConcurrentHashMap();
accounts.put("wangyu", "wangyu");
accounts.put("paul", "paul");
accounts.put("carol", "carol");
}

protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
PrintWriter ut = response.getWriter();
String action = request.getParameter ("action");
String result="failed";
if (action==null) {
handlerFromLogin(request,response);
} else if (action.equals ("authcookie")){
String myCookie = request.getParameter ("cookiename");
if (myCookie != null) result = authCookie(myCookie);
out.print(result);
out.close();
} else if (action.equals("authuser")) {
result=authNameAndPasswd(request,response);
out.print(result);
out.close ();
} else if (action.equals("logout")) {
String myCookie = request.getParameter("cookiename");
logout(myCookie);
out.close();
}
}

.....

}

從代碼很容易看出,SSOAuth就是一個簡單 的Servlet。其中有兩個靜態成員變量:accounts和SSOIDs,這兩個成員變量都使用了 JDK1.5中線程安 全的MAP類: ConcurrentMap,所以這個樣例一定要JDK1.5才能運行。Accounts用來存放用戶的用戶名和 密碼,在init()的方法中可以看到我 給系統添加了三個合法的用戶。在實際應用中,accounts應該是去 數據庫中或LDAP中獲得,為了簡單起見,在本樣例中我使用了 ConcurrentMap在內存中用程序創建了三 個用戶。而SSOIDs保存了在用戶成功的登錄後所產生的cookie和用戶名的對應關系。它的功能顯 而易見 :當用戶成功登錄以後,再次訪問別的系統,為了鑒別這個用戶請求所帶的cookie的有效性,需要到 SSOIDs中檢查這樣的映射關系是否存在。

在主要的請求處理方法processRequest()中,可以很清 楚的看到SSOAuth的所有功能。

如果用戶還沒有登錄過,是第一次登錄本系統,會被跳轉到 login.jsp頁面(在後面會解釋如何跳轉)。用戶在提供了用戶名和密碼以後,就會用 handlerFromLogin()這個方法來驗證。

如果用戶已經登錄過本系統,再訪問別的應用的時候,是 不需要再次登錄的。因為浏覽器會將第一次登錄時產生的cookie和請求一起發送。效驗cookie的有效性 是SSOAuth的主要功能之一。

SSOAuth還能直接效驗非login.jsp頁面過來的用戶名和密碼的效驗 請求。這個功能是用於非web應用的SSO,這在後面的桌面SSO中會用到。

SSOAuth還提供logout服 務。

下面看看幾個主要的功能函數:

private void handlerFromLogin (HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
String pass = (String)accounts.get(username);
if ((pass==null)||(!pass.equals(password)))
getServletContext().getRequestDispatcher("/failed.html").forward(request, response);
else {
String gotoURL = request.getParameter("goto");
String newID = createUID();
SSOIDs.put(newID, username);
Cookie wangyu = new Cookie(cookiename, newID);
wangyu.setDomain(domainname);
wangyu.setMaxAge (60000);
wangyu.setValue(newID);
wangyu.setPath("/");
response.addCookie(wangyu);
System.out.println("login success, goto back url:" + gotoURL);
if (gotoURL != null) {
PrintWriter ut = response.getWriter();
response.sendRedirect(gotoURL);
out.close();
}
}
}

handlerFromLogin()這個方法是用來處理來自login.jsp的登錄請求。它的邏輯 很簡單:將用戶輸入的用戶名和密碼與預先設定好的用 戶集合(存放在accounts中)相比較,如果用戶 名或密碼不匹配的話,則返回登錄失敗的頁面(failed.html),如果登錄成功的話,需要為用 戶當前 的session創建一個新的ID,並將這個ID和用戶名的映射關系存放到SSOIDs中,最後還要將這個ID設置為 浏覽器能夠保存的cookie 值。

登錄成功後,浏覽器會到哪個頁面呢?那我們回顧一下我們是如 何使用身份認證服務的。一般來說我們不會直接訪問身份服務的任何URL,包括 login.jsp。身份服務是 用來保護其他應用服務的,用戶一般在訪問一個受SSOAuth保護的Web應用的某個URL時,當前這個應用會 發現當前的 用戶還沒有登錄,便強制將也頁面轉向SSOAuth的login.jsp,讓用戶登錄。如果登錄成功後 ,應該自動的將用戶的浏覽器指向用戶最初想訪問的那 個URL。在handlerFromLogin()這個方法中,我 們通過接收“goto”這個參數來保存用戶最初訪問的URL,成功後便重新定向到這個頁 面中 。

另外一個要說明的是,在設置cookie的時候,我使用了一個setMaxAge(6000)的方法。這個方 法是用來設置cookie的有效期,單位是 秒。如果不使用這個方法或者參數為負數的話,當浏覽器關閉的 時候,這個cookie就失效了。在這裡我給了很大的值(1000分鐘),導致的行為是:當你 關閉浏覽器( 或者關機),下次再打開浏覽器訪問剛才的應用,只要在1000分鐘之內,就不需要再登錄了。我這樣做 是下面要介紹的桌面SSO中所需要的功 能。

其他的方法更加簡單,這裡就不多解釋了。

3.2.2具有SSO功能的web應用源代碼解析

要實現WEB-SSO的功能,只有身份認證服務是不夠的。這點很顯然,要想使多個應用具有單點登錄的 功能,還需要每個應用本身的配合:將自己的身份認證的 服務交給一個統一的身份認證服務-SSOAuth 。SSOAuth服務中提供的各個方法就是供每個加入SSO的Web應用來調用的。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved