SSO单点登录办理方案

副标题#e#

1 什么是单点登岸

单点登录（Single Sign On），简称为 SSO，是今朝较量风行的企业业务 整合的办理方案之一。SSO的界说是在多个应用系统中，用户只需要登录一次就可以会见所有彼此信任的应用系统。

较大的企业内部，一般都有许多的业务支持系统为其提供相应的打点和IT处事。譬喻 财政系统为财政人员提供财政的打点、计较和报表处事；人事系统为人事部分 提供全公司人员的维护服 务；各类业务系统为公司内部差异的业务提供差异的处事等等。这些系统的目标都是让计较机来 举办复 杂繁琐的计较事情，来替代人力的手 工劳动，提高事情效率和质量。这些差异的系统往往是在差异的时 期建树起来的，运行在差异的平台上；也许是由差异厂商开拓，利用了各类差异的技能和尺度。如 果举 例说海内一著名的IT公司（名字隐去），内部共有60多个业务系统，这些系统包罗两个差异版本的SAP的 ERP系统，12个差异范例和版本的数据库系 统，8个差异范例和版本的操纵系统，以及利用了3种差异的 防火墙技能，尚有数十种相互不能兼容的协议和尺度，你相信吗？不要猜疑，这种环境其实很是普遍。 每一个应用系统在运行了数年今后，城市成为不行替换的企业IT架构的一部门，如下图所示。

跟着企业的成长，业务系统的数量在不绝的增加，老的系统却不能等闲的替换，这会带来许多的开销 。其一是打点上的开销，需要维护的系统越来越多。许多系统的 数据是彼此冗余和反复的，数据的纷歧 致性会给打点事情带来很大的压力。业务和业务之间的相关性也越来越大，譬喻公司的计费系统和财政 系统，财政系统和人事 系统之间都不行制止的有着密切的干系。

为了低落打点的耗损，最大限 度的重用已有投资的系统，许多企业都在举办着企业应用集成（EAI）。企业应用集成可以在差异层面上 举办：譬喻在数据存储层面 上的“数据大会合”，在传输层面上的“通用数据互换平 台”，在应用层面上的“业务流程整合”，和用户界面上的“通用企业派别 ”等等。事实上，还用一个层面 上的集成变得越来越重要，那就是“身份认证”的整 合，也就是“单点登录”。

凡是来说，每个单独的系统城市有本身的安详体系和身份 认证系统。整合以前，进入每个系统都需要举办登录，这样的排场不只给打点上带来了很大的坚苦，在 安详方面也埋下了重大的隐患。下面是一些著名的观测公司显示的统计数据：

用户天天平均16分 钟花在身份验证任务上 – 资料来历：IDS

频繁的IT用户平均有21个暗码 – 资料来历：NTA Monitor Password Survey

49%的人写下了其暗码，而67%的人很少改变它们

每79秒呈现一 起身份被窃事件 – 资料来历：National Small Business Travel Assoc

全球欺骗损失每年约12B – 资料来历：Comm Fraud Control Assoc

到2007年，身份打点市场将成倍增长至$4.5B – 资料来 源：IDS

利用“单点登录”整合后，只需要登录一次就可以进入多个系统，而不需要 从头登录，这不只仅带来了更好的用户体验，更重要的是低落了安详的风险和打点的耗损。请看下面的 统计数据：

提高IT效率：对付每1000个受管用户，每用户可节减$70K

辅佐台呼唤淘汰至 少1/3，对付10K员工的公司，每年可以节减每用户$75，可能合计$648K

出产力提高：每个新员工 可节减$1K，每个老员工可节减$350 – 资料来历：Giga

ROI回报：7.5到13个月 – 资料来历： Gartner

别的，利用“单点登录”照旧SOA时代的需求之一。在面向处事的架构中，服 务和处事之间，措施和措施之间的通讯大量存在，处事之间的安详认证是SOA应用的难点之一，应此成立 “单点登录”的系统体系可以或许大大简化SOA的安详问题，提高处事之间的相助效率。

#p#副标题#e#

2 单点登岸的技能实现机制

跟着SSO技能的风行，SSO的产物也是满天飞扬。所有著名的软件厂商都 提供了相应的办理方案。在这里我并不想先容本身公司（Sun Microsystems）的产物，而是对SSO技能本 身举办理会，而且提供本身开拓这一类产物的要领和简朴演示。有关我写这篇文章的目标，请参考我的 博 客（http://yuwang881.blog.sohu.com/3184816.html）。

单点登录的机制其实是较量简朴的 ，用一个现实中的例子做较量。颐和园是北京著名的旅游景点，也是我常去的处所。在颐和园内部有许 多独立的景点，譬喻“苏州 街”、“佛香阁”和“德和园”，都可以 在各个景点门口单独买票。许多旅客需要游玩所有德景点，这种买票方法很不利便，需要在每个景点门 口列队买票，钱包拿 进拿出的，容易丢失，很不安详。于是绝大大都旅客选择在大门口买一张通票（也 叫套票），就可以玩遍所有的景点而不需要从头再买票。他们只需要在每个景点门 口出示一下适才买的 套票就可以或许被答允进入每个独立的景点。

#p#分页标题#e#

单点登录的机制也一样，如下图所示，当用户第一次访 问应用系统1的时候，因为还没有登录，会被引导到认证系统中举办登录（1）；按照用户提供的登录信 息， 认证系统举办身份效验，假如通过效验，应该返回给用户一个认证的根据－－ticket（2）；用户 再会见此外应用的时候（3，5）就会将这个ticket 带上，作为本身认证的根据，应用系统接管到请求之 后会把ticket送到认证系统举办效验，查抄ticket的正当性（4，6）。假如通过效验，用户就可 以在不 用再次登录的环境下会见应用系统2和应用系统3了。

从上面的视图可以看 出，要实现SSO，需要以下主要的成果：

所有应用系统共享一个身份认证系统。

统一的认 证系统是SSO的前提之一。认证系统的主要成果是将用户的登录信息和用户信息库对较量，对用户举办登 录认证；认证乐成后，认证系统应该生成统一的认证符号（ticket），返还给用户。别的，认证系统还 应该对ticket举办效验，判定其有效性。

所有应用系统可以或许识别和提取ticket信息

要实 现SSO的成果，让用户只登录一次，就必需让应用系统可以或许识别已经登录过的用户。应用系统应该能对 ticket举办识别和提取，通过与认证系统的通讯，能自动判定当前用户是否登录过，从而完成单点登录 的成果。

上面的成果只是一个很是简朴的SSO架构，在现实环境下的SSO有着越发巨大的布局。有 两点需要指出的是：

单一的用户信息数据库并不是必需的，有很多系统不能将所有的用户信息都 会合存储，应该答允用户信息安排在差异的存储中，如下图所示。事实上，只要统一认证系统，统一 ticket的发生和效验，无论用户信息存储在什么处所，都能实现单点登录。

统一 的认证系统并不是说只有单个的认证处事器，如下图所示，整个系统可以存在两个以上的认证处事器， 这些处事器甚至可以是不 同的产物。认证处事器 之间要通过尺度的通讯协议，相互互换认证信息，就 能完成更高级此外单点登录。如下图，当用户在会见应用系统1时，由第一个认证处事器举办认证后，得 到由此 处事器发生的ticket。当他会见应用系统4的时候，认证处事器2可以或许识别此ticket是由第一个服 务器发生的，通过认证处事器之间尺度的通讯协议 （譬喻SAML）来互换认证信息，仍然可以或许完成SSO的 成果。

#p#副标题#e#

3 WEB-SSO的实现

跟着互联网的高速成长，WEB应用险些统治了绝大部门的软件应用系统，因 此WEB-SSO是SSO应用傍边最为风行。WEB-SSO有其自身的特点和优 势，实现起来较量简朴易用。许多商 业软件和开源软件都有对WEB-SSO的实现。个中值得一提的是OpenSSO （https://opensso.dev.java.net ），为用Java实现WEB-SSO提供架构指南和处事指南，为用户本身来实现WEB-SSO提供了理论的依据和实 现的要领。

为什么说WEB-SSO较量容易实现呢？这是有WEB应用自身的特点抉择的。

众所 周知，Web协议（也就是HTTP）是一个无状态的协议。一个Web应用由许多个Web页面构成，每个页面都有 独一的URL来界说。用户在欣赏器的地 址栏输入页面的URL，欣赏器就会向Web Server去 发送请求。如 下图，欣赏器向Web处事器发送了两个请求，申请了两个页面。这两个页面的请求是别离利用了两个单独 的HTTP毗连。所谓无状 态的协议也就是表示在这里，欣赏器和Web处事器会在第一个请求完成今后封锁 毗连通道，在第二个请求的时候从头成立毗连。Web处事器并不区分哪个请求来 自哪个客户端，对所有 的请求都一视同仁，都是单独的毗连。这样的方法大大区别于传统的（Client/Server）C/S布局,在那样 的应用中，客户端 和处事器端会成立一个长时间的专用的毗连通道。正是因为有了无状态的特性，每个 毗连资源可以或许很快被其他客户端所重用，一台Web处事器才气够同时处事于成 千上万的客户端。

#p#分页标题#e#

可是我们凡是的应用是有状态的。先不消提差异应用之间的SSO，在同一个应用中也需要生存用户的 登录身份信息。譬喻用户在会见页面1的时候举办了登录，但 是适才也提到，客户端的每个请求都是单 独的毗连，当客户再次会见页面2的时候，如何才气汇报Web处事器，客户适才已经登录过了呢？欣赏器 和处事器之间有 约定：通过利用cookie技能来维护应用的状态。Cookie是可以被Web处事器配置的字符 串，而且可以生存在欣赏器中。如下图所示，当欣赏器会见了 页面1时，web处事器配置了一个cookie， 并将这个cookie和页面1一起返回给欣赏器，欣赏器接到cookie之后，就会生存起来，在它会见页 面2的 时候会把这个cookie也带上，Web处事器接到请求时也能读出cookie的值，按照cookie值的内容就可以判 断和规复一些用户的信息状 态。

Web-SSO完全可以操作Cookie竣事来完成用户登录信息的生存，将欣赏器中的Cookie和上文中的 Ticket团结起来，完成SSO的成果。

为了完成一个简朴的SSO的成果，需要两个部门的相助：

统一的身份认证处事。

修改Web应用，使得每个应用都通过这个统一的认证处事来举办身 份效验。

3.1 Web SSO 的样例

按照上面的道理，我用J2EE的技能（JSP和Servlet）完成 了一个具有Web-SSO的简朴样例。样例包括一个身份认证的处事器和两个简朴的 Web应用，使得这两个 Web应用通过统一的身份认证处事来完成Web-SSO的成果。此样例所有的源代码和二进制代码都可以从网 站地点http://gceclub.sun.com.cn/wangyu/下载。

#p#副标题#e#

样例下载、安装陈设和运行指南：

Web-SSO的样例是由三个尺度Web应用构成，压缩成三个zip文件，从 http://gceclub.sun.com.cn/wangyu/web-sso/中下载。个中SSOAuth （http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip）是身份认证处事；SSOWebDemo1 （http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip）和SSOWebDemo2 （http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip） 是两个用来演示单点登录的Web应 用。这三个Web应用之所以没有打成war包，是因为它们不能直接陈设，按照读者的陈设情况需要作出小 小的修改。样例部 署和运行的情况有必然的要求，需要切合Servlet2.3以上尺度的J2EE容器才气运行（ 譬喻Tomcat5,Sun Application Server 8, Jboss 4等）。别的，身份认证处事需要JDK1.5的运行情况。 之所以要用JDK1.5是因为笔者利用了一个线程安详的高机能的Java荟萃类 “ConcurrentMap”，只有在JDK1.5中才有。

这三个Web应用完全可以单独陈设，它们 可以别离陈设在 差异的呆板，差异的操纵系统和差异的J2EE的产物上，它们完全是尺度的僻静台无关的 应用。可是有一个限制，那两台陈设应用（demo1、demo2）的 呆板的域名需要沟通，这在后头的章节中 会表明到cookie和domain的干系以及如何建造跨域的WEB-SSO

解压缩SSOAuth.zip文件，在/WEB- INF/下的web.xml中请修改“domainname”的属性以反应实际的应用陈设环境， domainname 需要配置为两个单点登录的应用（demo1和demo2）所属的域名。这个domainname和当前SSOAuth处事陈设 的呆板 的域名没有干系。我缺省配置的是“.sun.com”。假如你陈设demo1和demo2的呆板没 有域名，请输入IP地点或主机名（如 localhost），可是假如利用IP地点或主机名也就意味着demo1和 demo2需要陈设到一台呆板上了。配置完后，按照你所选择的J2EE容器， 大概需要将SSOAuth这个目次压 缩打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成这个成果。

解 压缩SSOWebDemo1和SSOWebDemo2文件，别离在它们/WEB-INF/下找到web.xml文件，请修改个中的几个初 始化参数

<init-param>
<param-name>SSOServiceURL</param- name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param- value>
</init-param>
<init-param>
<param- name>SSOLoginPage</param-name>
<param- value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
</init-param>

将个中的SSOServiceURL和SSOLoginPage修改成陈设SSOAuth应用 的呆板名、端标语以及根路径 （缺省是 SSOAuth）以反应实际的陈设环境。配置完后，按照你所选择的 J2EE容器，大概需要将SSOWebDemo1和SSOWebDemo2这两个目次压 缩打包成两个war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成这个成果。

#p#分页标题#e#

请输入第一个web应用的测 试URL（test.jsp）,譬喻http://wangyu.prc.sun.com:8080/SSOWebDemo1/test.jsp，假如是第一次会见 ，便会自动跳转到登录界面，如下图。

利用系统自带的三个帐号之一登录（譬喻，用户名：wangyu,暗码：wangyu），便能乐成的看到 test.jsp的内容：显示当前用户名和接待信息。

#p#副标题#e#

请接着在同一个欣赏器中输入第二个web应用的测试URL（test.jsp）,譬喻 http://wangyu.prc.sun.com:8080/SSOWebDemo2/test.jsp。你会发明，不需要再次登录就能看到 test.jsp的内容，同样是显示当前用户名和接待信息，并且接待信息中明晰的显示当前的应用名称 （demo2）。

3.2 WEB-SSO代码讲授

3.2.1身份认证处事代码理会

Web-SSO的源代码可以从网站地点 http://gceclub.sun.com.cn/wangyu/web-sso/websso_src.zip下 载。身份认证处事是一个尺度的web应 用，包罗一个名为SSOAuth的Servlet，一个login.jsp文件和一个failed.html。身份 认证的所有处事几 乎都由SSOAuth的Servlet来实现了；login.jsp用来显示登录的页面（假如发明用户还没有登录过）； failed.html是用来显示登录失败的信息（假如用户的用户名和暗码与信息数据库中的纷歧样）。

SSOAuth的代码如下面的列表显示，布局很是简朴，先看看这个Servlet的主体部门：

package DesktopSSO;

import java.io.*;
import java.net.*;
import java.text.*;
import java.util.*;
import java.util.concurrent.*;

import javax.servlet.*;
import javax.servlet.http.*;

public class SSOAuth extends HttpServlet {

static private ConcurrentMap accounts;
static private ConcurrentMap SSOIDs;
String cookiename="WangYuDesktopSSOID";
String domainname;

public void init(ServletConfig config) throws ServletException {
super.init(config);
domainname= config.getInitParameter ("domainname");
cookiename = config.getInitParameter ("cookiename");
SSOIDs = new ConcurrentHashMap();
accounts=new ConcurrentHashMap();
accounts.put("wangyu", "wangyu");
accounts.put("paul", "paul");
accounts.put("carol", "carol");
}

protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
PrintWriter ut = response.getWriter();
String action = request.getParameter ("action");
String result="failed";
if (action==null) {
handlerFromLogin(request,response);
} else if (action.equals ("authcookie")){
String myCookie = request.getParameter ("cookiename");
if (myCookie != null) result = authCookie(myCookie);
out.print(result);
out.close();
} else if (action.equals("authuser")) {
result=authNameAndPasswd(request,response);
out.print(result);
out.close ();
} else if (action.equals("logout")) {
String myCookie = request.getParameter("cookiename");
logout(myCookie);
out.close();
}
}

.....

}

#p#副标题#e#

从代码很容易看出，SSOAuth就是一个简朴 的Servlet。个中有两个静态成员变量：accounts和SSOIDs，这两个成员变量都利用了 JDK1.5中线程安 全的MAP类： ConcurrentMap，所以这个样例必然要JDK1.5才气运行。Accounts用来存放用户的用户名和 暗码，在init()的要领中可以看到我 给系统添加了三个正当的用户。在实际应用中，accounts应该是去 数据库中或LDAP中得到，为了简朴起见，在本样例中我利用了 ConcurrentMap在内存顶用措施建设了三 个用户。而SSOIDs生存了在用户乐成的登录后所发生的cookie和用户名的对应干系。它的成果显 而易见 ：当用户乐成登录今后，再次会见此外系统，为了辨别这个用户请求所带的cookie的有效性，需要到 SSOIDs中查抄这样的映射干系是否存在。

在主要的请求处理惩罚要领processRequest()中，可以很清 楚的看到SSOAuth的所有成果。

假如用户还没有登录过，是第一次登录本系统，会被跳转到 login.jsp页面（在后头会表明如何跳转）。用户在提供了用户名和暗码今后，就会用 handlerFromLogin()这个要领来验证。

#p#分页标题#e#

假如用户已经登录过本系统，再会见此外应用的时候，是 不需要再次登录的。因为欣赏器会将第一次登录时发生的cookie和请求一起发送。效验cookie的有效性 是SSOAuth的主要成果之一。

SSOAuth还能直接效验非login.jsp页面过来的用户名和暗码的效验 请求。这个成果是用于非web应用的SSO，这在后头的桌面SSO中会用到。

SSOAuth还提供logout服 务。

下面看看几个主要的成果函数：

private void handlerFromLogin (HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
String pass = (String)accounts.get(username);
if ((pass==null)||(!pass.equals(password)))
getServletContext().getRequestDispatcher("/failed.html").forward(request, response);
else {
String gotoURL = request.getParameter("goto");
String newID = createUID();
SSOIDs.put(newID, username);
Cookie wangyu = new Cookie(cookiename, newID);
wangyu.setDomain(domainname);
wangyu.setMaxAge (60000);
wangyu.setValue(newID);
wangyu.setPath("/");
response.addCookie(wangyu);
System.out.println("login success, goto back url:" + gotoURL);
if (gotoURL != null) {
PrintWriter ut = response.getWriter();
response.sendRedirect(gotoURL);
out.close();
}
}
}

handlerFromLogin()这个要领是用来处理惩罚来自login.jsp的登录请求。它的逻辑 很简朴：将用户输入的用户名和暗码与预先设定好的用 户荟萃（存放在accounts中）对较量，假如用户 名或暗码不匹配的话，则返回登录失败的页面（failed.html），假如登录乐成的话，需要为用 户当前 的session建设一个新的ID，并将这个ID和用户名的映射干系存放到SSOIDs中，最后还要将这个ID配置为 欣赏器可以或许生存的cookie 值。

登录乐成后，欣赏器会到哪个页面呢？那我们回首一下我们是如 何利用身份认证处事的。一般来说我们不会直接会见身份处事的任何URL，包罗 login.jsp。身份处事是 用来掩护其他应用处事的，用户一般在会见一个受SSOAuth掩护的Web应用的某个URL时，当前这个应用会 发明当前的 用户还没有登录，便强制将也页面转向SSOAuth的login.jsp，让用户登录。假如登录乐成后 ，应该自动的将用户的欣赏器指向用户最初想会见的那 个URL。在handlerFromLogin()这个要领中，我 们通过吸收“goto”这个参数来生存用户最初会见的URL，乐成后便从头定向到这个页 面中 。

别的一个要说明的是，在配置cookie的时候，我利用了一个setMaxAge(6000)的要领。这个方 法是用来配置cookie的有效期，单元是 秒。假如不利用这个要领可能参数为负数的话，当欣赏器封锁的 时候，这个cookie就失效了。在这里我给了很大的值（1000分钟），导致的行为是：当你 封锁欣赏器（ 可能关机），下次再打开欣赏器会见适才的应用，只要在1000分钟之内，就不需要再登录了。我这样做 是下面要先容的桌面SSO中所需要的功 能。

其他的要领越发简朴，这里就不多表明白。

3.2.2具有SSO成果的web应用源代码理会

要实现WEB-SSO的成果，只怀孕份认证处事是不足的。这点很显然，要想使多个应用具有单点登录的 成果，还需要每个应用自己的共同：将本身的身份认证的 处事交给一个统一的身份认证处事－SSOAuth 。SSOAuth处事中提供的各个要领就是供每个插手SSO的Web应用来挪用的。