走在架構(gòu)師的大道上 Jack.Wang's home

1 什么是單點(diǎn)登陸
      單點(diǎn)登錄（Single Sign On），簡(jiǎn)稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。
      較大的企業(yè)內(nèi)部，一般都有很多的業(yè)務(wù)支持系統(tǒng)為其提供相應(yīng)的管理和IT服務(wù)。例如財(cái)務(wù)系統(tǒng)為財(cái)務(wù)人員提供財(cái)務(wù)的管理、計(jì)算和報(bào)表服務(wù)；人事系統(tǒng)為人事部門 提供全公司人員的維護(hù)服務(wù)；各種業(yè)務(wù)系統(tǒng)為公司內(nèi)部不同的業(yè)務(wù)提供不同的服務(wù)等等。這些系統(tǒng)的目的都是讓計(jì)算機(jī)來(lái)進(jìn)行復(fù)雜繁瑣的計(jì)算工作，來(lái)替代人力的手 工勞動(dòng)，提高工作效率和質(zhì)量。這些不同的系統(tǒng)往往是在不同的時(shí)期建設(shè)起來(lái)的，運(yùn)行在不同的平臺(tái)上；也許是由不同廠商開(kāi)發(fā)，使用了各種不同的技術(shù)和標(biāo)準(zhǔn)。如 果舉例說(shuō)國(guó)內(nèi)一著名的IT公司（名字隱去），內(nèi)部共有60多個(gè)業(yè)務(wù)系統(tǒng)，這些系統(tǒng)包括兩個(gè)不同版本的SAP的ERP系統(tǒng)，12個(gè)不同類型和版本的數(shù)據(jù)庫(kù)系 統(tǒng)，8個(gè)不同類型和版本的操作系統(tǒng)，以及使用了3種不同的防火墻技術(shù)，還有數(shù)十種互相不能兼容的協(xié)議和標(biāo)準(zhǔn)，你相信嗎？不要懷疑，這種情況其實(shí)非常普遍。 每一個(gè)應(yīng)用系統(tǒng)在運(yùn)行了數(shù)年以后，都會(huì)成為不可替換的企業(yè)IT架構(gòu)的一部分，如下圖所示。

      隨著企業(yè)的發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加，老的系統(tǒng)卻不能輕易的替換，這會(huì)帶來(lái)很多的開(kāi)銷。其一是管理上的開(kāi)銷，需要維護(hù)的系統(tǒng)越來(lái)越多。很多系統(tǒng)的 數(shù)據(jù)是相互冗余和重復(fù)的，數(shù)據(jù)的不一致性會(huì)給管理工作帶來(lái)很大的壓力。業(yè)務(wù)和業(yè)務(wù)之間的相關(guān)性也越來(lái)越大，例如公司的計(jì)費(fèi)系統(tǒng)和財(cái)務(wù)系統(tǒng)，財(cái)務(wù)系統(tǒng)和人事 系統(tǒng)之間都不可避免的有著密切的關(guān)系。

      為了降低管理的消耗，最大限度的重用已有投資的系統(tǒng)，很多企業(yè)都在進(jìn)行著企業(yè)應(yīng)用集成（EAI）。企業(yè)應(yīng)用集成可以在不同層面上進(jìn)行：例如在數(shù)據(jù)存儲(chǔ)層面 上的“數(shù)據(jù)大集中”，在傳輸層面上的“通用數(shù)據(jù)交換平臺(tái)”，在應(yīng)用層面上的“業(yè)務(wù)流程整合”，和用戶界面上的“通用企業(yè)門戶”等等。事實(shí)上，還用一個(gè)層面 上的集成變得越來(lái)越重要，那就是“身份認(rèn)證”的整合，也就是“單點(diǎn)登錄”。

      通常來(lái)說(shuō)，每個(gè)單獨(dú)的系統(tǒng)都會(huì)有自己的安全體系和身份認(rèn)證系統(tǒng)。整合以前，進(jìn)入每個(gè)系統(tǒng)都需要進(jìn)行登錄，這樣的局面不僅給管理上帶來(lái)了很大的困難，在安全方面也埋下了重大的隱患。下面是一些著名的調(diào)查公司顯示的統(tǒng)計(jì)數(shù)據(jù)：

• 用戶每天平均16分鐘花在身份驗(yàn)證任務(wù)上 - 資料來(lái)源：IDS
• 頻繁的IT用戶平均有21個(gè)密碼 - 資料來(lái)源：NTA Monitor Password Survey
• 49%的人寫下了其密碼，而67%的人很少改變它們
• 每79秒出現(xiàn)一起身份被竊事件 - 資料來(lái)源：National Small Business Travel Assoc
• 全球欺騙損失每年約12B - 資料來(lái)源：Comm Fraud Control Assoc
• 到2007年，身份管理市場(chǎng)將成倍增長(zhǎng)至$4.5B - 資料來(lái)源：IDS

      使用“單點(diǎn)登錄”整合后，只需要登錄一次就可以進(jìn)入多個(gè)系統(tǒng)，而不需要重新登錄，這不僅僅帶來(lái)了更好的用戶體驗(yàn)，更重要的是降低了安全的風(fēng)險(xiǎn)和管理的消耗。請(qǐng)看下面的統(tǒng)計(jì)數(shù)據(jù)：

• 提高IT效率：對(duì)于每1000個(gè)受管用戶，每用戶可節(jié)省$70K
• 幫助臺(tái)呼叫減少至少1/3，對(duì)于10K員工的公司，每年可以節(jié)省每用戶$75，或者合計(jì)$648K
• 生產(chǎn)力提高：每個(gè)新員工可節(jié)省$1K，每個(gè)老員工可節(jié)省$350 - 資料來(lái)源：Giga
• ROI回報(bào)：7.5到13個(gè)月 - 資料來(lái)源：Gartner   

      另外，使用“單點(diǎn)登錄”還是SOA時(shí)代的需求之一。在面向服務(wù)的架構(gòu)中，服務(wù)和服務(wù)之間，程序和程序之間的通訊大量存在，服務(wù)之間的安全認(rèn)證是SOA應(yīng)用的難點(diǎn)之一，應(yīng)此建立“單點(diǎn)登錄”的系統(tǒng)體系能夠大大簡(jiǎn)化SOA的安全問(wèn)題，提高服務(wù)之間的合作效率。
   2 單點(diǎn)登陸的技術(shù)實(shí)現(xiàn)機(jī)制
      隨著SSO技術(shù)的流行，SSO的產(chǎn)品也是滿天飛揚(yáng)。所有著名的軟件廠商都提供了相應(yīng)的解決方案。在這里我并不想介紹自己公司（Sun Microsystems）的產(chǎn)品，而是對(duì)SSO技術(shù)本身進(jìn)行解析，并且提供自己開(kāi)發(fā)這一類產(chǎn)品的方法和簡(jiǎn)單演示。有關(guān)我寫這篇文章的目的，請(qǐng)參考我的博 客（http://yuwang881.blog.sohu.com/3184816.html）。

      單點(diǎn)登錄的機(jī)制其實(shí)是比較簡(jiǎn)單的，用一個(gè)現(xiàn)實(shí)中的例子做比較。頤和園是北京著名的旅游景點(diǎn)，也是我常去的地方。在頤和園內(nèi)部有許多獨(dú)立的景點(diǎn)，例如“蘇州 街”、“佛香閣”和“德和園”，都可以在各個(gè)景點(diǎn)門口單獨(dú)買票。很多游客需要游玩所有德景點(diǎn)，這種買票方式很不方便，需要在每個(gè)景點(diǎn)門口排隊(duì)買票，錢包拿 進(jìn)拿出的，容易丟失，很不安全。于是絕大多數(shù)游客選擇在大門口買一張通票（也叫套票），就可以玩遍所有的景點(diǎn)而不需要重新再買票。他們只需要在每個(gè)景點(diǎn)門 口出示一下剛才買的套票就能夠被允許進(jìn)入每個(gè)獨(dú)立的景點(diǎn)。
      單點(diǎn)登錄的機(jī)制也一樣，如下圖所示，當(dāng)用戶第一次訪問(wèn)應(yīng)用系統(tǒng)1的時(shí)候，因?yàn)檫€沒(méi)有登錄，會(huì)被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄（1）；根據(jù)用戶提供的登錄信息， 認(rèn)證系統(tǒng)進(jìn)行身份效驗(yàn)，如果通過(guò)效驗(yàn)，應(yīng)該返回給用戶一個(gè)認(rèn)證的憑據(jù)－－ticket（2）；用戶再訪問(wèn)別的應(yīng)用的時(shí)候（3，5）就會(huì)將這個(gè)ticket 帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請(qǐng)求之后會(huì)把ticket送到認(rèn)證系統(tǒng)進(jìn)行效驗(yàn)，檢查ticket的合法性（4，6）。如果通過(guò)效驗(yàn)，用戶就可 以在不用再次登錄的情況下訪問(wèn)應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了。
  
      從上面的視圖可以看出，要實(shí)現(xiàn)SSO，需要以下主要的功能：

• 所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)。
  統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫(kù)相比較，對(duì)用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì)ticket進(jìn)行效驗(yàn)，判斷其有效性。
• 所有應(yīng)用系統(tǒng)能夠識(shí)別和提取ticket信息
  要實(shí)現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識(shí)別已經(jīng)登錄過(guò)的用戶。應(yīng)用系統(tǒng)應(yīng)該能對(duì)ticket進(jìn)行識(shí)別和提取，通過(guò)與認(rèn)證系統(tǒng)的通訊，能自動(dòng)判斷當(dāng)前用戶是否登錄過(guò)，從而完成單點(diǎn)登錄的功能。   

      上面的功能只是一個(gè)非常簡(jiǎn)單的SSO架構(gòu)，在現(xiàn)實(shí)情況下的SSO有著更加復(fù)雜的結(jié)構(gòu)。有兩點(diǎn)需要指出的是：

• 單一的用戶信息數(shù)據(jù)庫(kù)并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲(chǔ)，應(yīng)該允許用戶信息放置在不同的存儲(chǔ)中，如下圖所示。事實(shí)上，只要統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一ticket的產(chǎn)生和效驗(yàn)，無(wú)論用戶信息存儲(chǔ)在什么地方，都能實(shí)現(xiàn)單點(diǎn)登錄。    

• 統(tǒng)一的認(rèn)證系統(tǒng)并不是說(shuō)只有單個(gè)的認(rèn)證服務(wù)器，如下圖所示，整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器 之間要通過(guò)標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級(jí)別的單點(diǎn)登錄。如下圖，當(dāng)用戶在訪問(wèn)應(yīng)用系統(tǒng)1時(shí)，由第一個(gè)認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此 服務(wù)器產(chǎn)生的ticket。當(dāng)他訪問(wèn)應(yīng)用系統(tǒng)4的時(shí)候，認(rèn)證服務(wù)器2能夠識(shí)別此ticket是由第一個(gè)服務(wù)器產(chǎn)生的，通過(guò)認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議 （例如SAML）來(lái)交換認(rèn)證信息，仍然能夠完成SSO的功能。

     
    3 WEB-SSO的實(shí)現(xiàn)
      隨著互聯(lián)網(wǎng)的高速發(fā)展，WEB應(yīng)用幾乎統(tǒng)治了絕大部分的軟件應(yīng)用系統(tǒng)，因此WEB-SSO是SSO應(yīng)用當(dāng)中最為流行。WEB-SSO有其自身的特點(diǎn)和優(yōu) 勢(shì)，實(shí)現(xiàn)起來(lái)比較簡(jiǎn)單易用。很多商業(yè)軟件和開(kāi)源軟件都有對(duì)WEB-SSO的實(shí)現(xiàn)。其中值得一提的是OpenSSO （https://opensso.dev.java.net），為用Java實(shí)現(xiàn)WEB-SSO提供架構(gòu)指南和服務(wù)指南，為用戶自己來(lái)實(shí)現(xiàn)WEB-SSO提供了理論的依據(jù)和實(shí)現(xiàn)的方法。  
      為什么說(shuō)WEB-SSO比較容易實(shí)現(xiàn)呢？這是有WEB應(yīng)用自身的特點(diǎn)決定的。
      眾所周知，Web協(xié)議（也就是HTTP）是一個(gè)無(wú)狀態(tài)的協(xié)議。一個(gè)Web應(yīng)用由很多個(gè)Web頁(yè)面組成，每個(gè)頁(yè)面都有唯一的URL來(lái)定義。用戶在瀏覽器的地 址欄輸入頁(yè)面的URL，瀏覽器就會(huì)向Web Server去發(fā)送請(qǐng)求。如下圖，瀏覽器向Web服務(wù)器發(fā)送了兩個(gè)請(qǐng)求，申請(qǐng)了兩個(gè)頁(yè)面。這兩個(gè)頁(yè)面的請(qǐng)求是分別使用了兩個(gè)單獨(dú)的HTTP連接。所謂無(wú)狀 態(tài)的協(xié)議也就是表現(xiàn)在這里，瀏覽器和Web服務(wù)器會(huì)在第一個(gè)請(qǐng)求完成以后關(guān)閉連接通道，在第二個(gè)請(qǐng)求的時(shí)候重新建立連接。Web服務(wù)器并不區(qū)分哪個(gè)請(qǐng)求來(lái) 自哪個(gè)客戶端，對(duì)所有的請(qǐng)求都一視同仁，都是單獨(dú)的連接。這樣的方式大大區(qū)別于傳統(tǒng)的（Client/Server）C/S結(jié)構(gòu),在那樣的應(yīng)用中，客戶端 和服務(wù)器端會(huì)建立一個(gè)長(zhǎng)時(shí)間的專用的連接通道。正是因?yàn)橛辛藷o(wú)狀態(tài)的特性，每個(gè)連接資源能夠很快被其他客戶端所重用，一臺(tái)Web服務(wù)器才能夠同時(shí)服務(wù)于成 千上萬(wàn)的客戶端。

      但是我們通常的應(yīng)用是有狀態(tài)的。先不用提不同應(yīng)用之間的SSO，在同一個(gè)應(yīng)用中也需要保存用戶的登錄身份信息。例如用戶在訪問(wèn)頁(yè)面1的時(shí)候進(jìn)行了登錄，但 是剛才也提到，客戶端的每個(gè)請(qǐng)求都是單獨(dú)的連接，當(dāng)客戶再次訪問(wèn)頁(yè)面2的時(shí)候，如何才能告訴Web服務(wù)器，客戶剛才已經(jīng)登錄過(guò)了呢？瀏覽器和服務(wù)器之間有 約定：通過(guò)使用cookie技術(shù)來(lái)維護(hù)應(yīng)用的狀態(tài)。Cookie是可以被Web服務(wù)器設(shè)置的字符串，并且可以保存在瀏覽器中。如下圖所示，當(dāng)瀏覽器訪問(wèn)了 頁(yè)面1時(shí)，web服務(wù)器設(shè)置了一個(gè)cookie，并將這個(gè)cookie和頁(yè)面1一起返回給瀏覽器，瀏覽器接到cookie之后，就會(huì)保存起來(lái)，在它訪問(wèn)頁(yè) 面2的時(shí)候會(huì)把這個(gè)cookie也帶上，Web服務(wù)器接到請(qǐng)求時(shí)也能讀出cookie的值，根據(jù)cookie值的內(nèi)容就可以判斷和恢復(fù)一些用戶的信息狀 態(tài)。

      Web-SSO完全可以利用Cookie結(jié)束來(lái)完成用戶登錄信息的保存，將瀏覽器中的Cookie和上文中的Ticket結(jié)合起來(lái)，完成SSO的功能。

      為了完成一個(gè)簡(jiǎn)單的SSO的功能，需要兩個(gè)部分的合作：

• 統(tǒng)一的身份認(rèn)證服務(wù)。
• 修改Web應(yīng)用，使得每個(gè)應(yīng)用都通過(guò)這個(gè)統(tǒng)一的認(rèn)證服務(wù)來(lái)進(jìn)行身份效驗(yàn)。

   3.1 Web SSO 的樣例
      根據(jù)上面的原理，我用J2EE的技術(shù)（JSP和Servlet）完成了一個(gè)具有Web-SSO的簡(jiǎn)單樣例。樣例包含一個(gè)身份認(rèn)證的服務(wù)器和兩個(gè)簡(jiǎn)單的 Web應(yīng)用，使得這兩個(gè) Web應(yīng)用通過(guò)統(tǒng)一的身份認(rèn)證服務(wù)來(lái)完成Web-SSO的功能。此樣例所有的源代碼和二進(jìn)制代碼都可以從網(wǎng)站地址http://gceclub.sun.com.cn/wangyu/下載。

      樣例下載、安裝部署和運(yùn)行指南：

• Web-SSO的樣例是由三個(gè)標(biāo)準(zhǔn)Web應(yīng)用組成，壓縮成三個(gè)zip文件，從http://gceclub.sun.com.cn/wangyu/web-sso/中下載。其中SSOAuth（http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip）是身份認(rèn)證服務(wù)；SSOWebDemo1（http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip）和SSOWebDemo2（http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip） 是兩個(gè)用來(lái)演示單點(diǎn)登錄的Web應(yīng)用。這三個(gè)Web應(yīng)用之所以沒(méi)有打成war包，是因?yàn)樗鼈儾荒苤苯硬渴穑鶕?jù)讀者的部署環(huán)境需要作出小小的修改。樣例部 署和運(yùn)行的環(huán)境有一定的要求，需要符合Servlet2.3以上標(biāo)準(zhǔn)的J2EE容器才能運(yùn)行（例如Tomcat5,Sun Application Server 8, Jboss 4等）。另外，身份認(rèn)證服務(wù)需要JDK1.5的運(yùn)行環(huán)境。之所以要用JDK1.5是因?yàn)楣P者使用了一個(gè)線程安全的高性能的Java集合類 “ConcurrentMap”，只有在JDK1.5中才有。
• 這三個(gè)Web應(yīng)用完全可以單獨(dú)部署，它們可以分別部署在 不同的機(jī)器，不同的操作系統(tǒng)和不同的J2EE的產(chǎn)品上，它們完全是標(biāo)準(zhǔn)的和平臺(tái)無(wú)關(guān)的應(yīng)用。但是有一個(gè)限制，那兩臺(tái)部署應(yīng)用（demo1、demo2）的 機(jī)器的域名需要相同，這在后面的章節(jié)中會(huì)解釋到cookie和domain的關(guān)系以及如何制作跨域的WEB-SSO
  解壓縮SSOAuth.zip文件，在/WEB-INF/下的web.xml中請(qǐng)修改“domainname”的屬性以反映實(shí)際的應(yīng)用部署情況， domainname需要設(shè)置為兩個(gè)單點(diǎn)登錄的應(yīng)用（demo1和demo2）所屬的域名。這個(gè)domainname和當(dāng)前SSOAuth服務(wù)部署的機(jī)器 的域名沒(méi)有關(guān)系。我缺省設(shè)置的是“.sun.com”。如果你部署demo1和demo2的機(jī)器沒(méi)有域名，請(qǐng)輸入IP地址或主機(jī)名（如 localhost），但是如果使用IP地址或主機(jī)名也就意味著demo1和demo2需要部署到一臺(tái)機(jī)器上了。設(shè)置完后，根據(jù)你所選擇的J2EE容器， 可能需要將SSOAuth這個(gè)目錄壓縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個(gè)功能。
• 解壓縮SSOWebDemo1和SSOWebDemo2文件，分別在它們/WEB-INF/下找到web.xml文件，請(qǐng)修改其中的幾個(gè)初始化參數(shù)

<init-param>
<param-name>SSOServiceURL</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
</init-param>
<init-param>
<param-name>SSOLoginPage</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
</init-param>

• 將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應(yīng)用的機(jī)器名、端口號(hào)以及根路徑（缺省是 SSOAuth）以反映實(shí)際的部署情況。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOWebDemo1和SSOWebDemo2這兩個(gè)目錄壓 縮打包成兩個(gè)war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個(gè)功能。
• 請(qǐng)輸入第一個(gè)web應(yīng)用的測(cè)試URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/SSOWebDemo1/test.jsp，如果是第一次訪問(wèn)，便會(huì)自動(dòng)跳轉(zhuǎn)到登錄界面，如下圖。

• 使用系統(tǒng)自帶的三個(gè)帳號(hào)之一登錄（例如，用戶名：wangyu,密碼：wangyu），便能成功的看到test.jsp的內(nèi)容：顯示當(dāng)前用戶名和歡迎信息。

• 請(qǐng)接著在同一個(gè)瀏覽器中輸入第二個(gè)web應(yīng)用的測(cè)試URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/SSOWebDemo2/test.jsp。你會(huì)發(fā)現(xiàn)，不需要再次登錄就能看到test.jsp的內(nèi)容，同樣是顯示當(dāng)前用戶名和歡迎信息，而且歡迎信息中明確的顯示當(dāng)前的應(yīng)用名稱（demo2）。   

   3.2 WEB-SSO代碼講解
      3.2.1身份認(rèn)證服務(wù)代碼解析
      Web-SSO的源代碼可以從網(wǎng)站地址http://gceclub.sun.com.cn/wangyu/web-sso/websso_src.zip下 載。身份認(rèn)證服務(wù)是一個(gè)標(biāo)準(zhǔn)的web應(yīng)用，包括一個(gè)名為SSOAuth的Servlet，一個(gè)login.jsp文件和一個(gè)failed.html。身份 認(rèn)證的所有服務(wù)幾乎都由SSOAuth的Servlet來(lái)實(shí)現(xiàn)了；login.jsp用來(lái)顯示登錄的頁(yè)面（如果發(fā)現(xiàn)用戶還沒(méi)有登錄過(guò)）； failed.html是用來(lái)顯示登錄失敗的信息（如果用戶的用戶名和密碼與信息數(shù)據(jù)庫(kù)中的不一樣）。
  
      SSOAuth的代碼如下面的列表顯示，結(jié)構(gòu)非常簡(jiǎn)單，先看看這個(gè)Servlet的主體部分：
package DesktopSSO;

import java.io.*;
import java.net.*;
import java.text.*;
import java.util.*;
import java.util.concurrent.*;

import javax.servlet.*;
import javax.servlet.http.*;


public class SSOAuth extends HttpServlet {
    
      static private ConcurrentMap accounts;
      static private ConcurrentMap SSOIDs;
      String cookiename="WangYuDesktopSSOID";
      String domainname;
    
      public void init(ServletConfig config) throws ServletException {
          super.init(config);
          domainname= config.getInitParameter("domainname");
          cookiename = config.getInitParameter("cookiename");
          SSOIDs = new ConcurrentHashMap();
          accounts=new ConcurrentHashMap();
          accounts.put("wangyu", "wangyu");
          accounts.put("paul", "paul");
          accounts.put("carol", "carol");
      }

      protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
          PrintWriter ut = response.getWriter();
          String action = request.getParameter("action");
          String result="failed";
          if (action==null) {
              handlerFromLogin(request,response);
          } else if (action.equals("authcookie")){
              String myCookie = request.getParameter("cookiename");
              if (myCookie != null) result = authCookie(myCookie);
              out.print(result);
              out.close();
          } else if (action.equals("authuser")) {
             result=authNameAndPasswd(request,response);
              out.print(result);
              out.close();
          } else if (action.equals("logout")) {
              String myCookie = request.getParameter("cookiename");
              logout(myCookie);
              out.close();
          }
      }

.....

}

      從代碼很容易看出，SSOAuth就是一個(gè)簡(jiǎn)單的Servlet。其中有兩個(gè)靜態(tài)成員變量：accounts和SSOIDs，這兩個(gè)成員變量都使用了 JDK1.5中線程安全的MAP類： ConcurrentMap，所以這個(gè)樣例一定要JDK1.5才能運(yùn)行。Accounts用來(lái)存放用戶的用戶名和密碼，在init()的方法中可以看到我 給系統(tǒng)添加了三個(gè)合法的用戶。在實(shí)際應(yīng)用中，accounts應(yīng)該是去數(shù)據(jù)庫(kù)中或LDAP中獲得，為了簡(jiǎn)單起見(jiàn)，在本樣例中我使用了 ConcurrentMap在內(nèi)存中用程序創(chuàng)建了三個(gè)用戶。而SSOIDs保存了在用戶成功的登錄后所產(chǎn)生的cookie和用戶名的對(duì)應(yīng)關(guān)系。它的功能顯 而易見(jiàn)：當(dāng)用戶成功登錄以后，再次訪問(wèn)別的系統(tǒng)，為了鑒別這個(gè)用戶請(qǐng)求所帶的cookie的有效性，需要到SSOIDs中檢查這樣的映射關(guān)系是否存在。

      在主要的請(qǐng)求處理方法processRequest()中，可以很清楚的看到SSOAuth的所有功能。

• 如果用戶還沒(méi)有登錄過(guò)，是第一次登錄本系統(tǒng)，會(huì)被跳轉(zhuǎn)到login.jsp頁(yè)面（在后面會(huì)解釋如何跳轉(zhuǎn)）。用戶在提供了用戶名和密碼以后，就會(huì)用handlerFromLogin()這個(gè)方法來(lái)驗(yàn)證。
• 如果用戶已經(jīng)登錄過(guò)本系統(tǒng)，再訪問(wèn)別的應(yīng)用的時(shí)候，是不需要再次登錄的。因?yàn)闉g覽器會(huì)將第一次登錄時(shí)產(chǎn)生的cookie和請(qǐng)求一起發(fā)送。效驗(yàn)cookie的有效性是SSOAuth的主要功能之一。
• SSOAuth還能直接效驗(yàn)非login.jsp頁(yè)面過(guò)來(lái)的用戶名和密碼的效驗(yàn)請(qǐng)求。這個(gè)功能是用于非web應(yīng)用的SSO，這在后面的桌面SSO中會(huì)用到。
• SSOAuth還提供logout服務(wù)。   

      下面看看幾個(gè)主要的功能函數(shù)：
private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
          String username = request.getParameter("username");
          String password = request.getParameter("password");
          String pass = (String)accounts.get(username);
          if ((pass==null)||(!pass.equals(password)))
              getServletContext().getRequestDispatcher("/failed.html").forward(request, response);
          else {
              String gotoURL = request.getParameter("goto");
              String newID = createUID();
              SSOIDs.put(newID, username);
              Cookie wangyu = new Cookie(cookiename, newID);
              wangyu.setDomain(domainname);
              wangyu.setMaxAge(60000);
              wangyu.setValue(newID);
              wangyu.setPath("/");
              response.addCookie(wangyu);
              System.out.println("login success, goto back url:" + gotoURL);
              if (gotoURL != null) {
                  PrintWriter ut = response.getWriter();
                  response.sendRedirect(gotoURL);
                  out.close();
              }
          }   
      }
      handlerFromLogin()這個(gè)方法是用來(lái)處理來(lái)自login.jsp的登錄請(qǐng)求。它的邏輯很簡(jiǎn)單：將用戶輸入的用戶名和密碼與預(yù)先設(shè)定好的用 戶集合（存放在accounts中）相比較，如果用戶名或密碼不匹配的話，則返回登錄失敗的頁(yè)面（failed.html），如果登錄成功的話，需要為用 戶當(dāng)前的session創(chuàng)建一個(gè)新的ID，并將這個(gè)ID和用戶名的映射關(guān)系存放到SSOIDs中，最后還要將這個(gè)ID設(shè)置為瀏覽器能夠保存的cookie 值。
      登錄成功后，瀏覽器會(huì)到哪個(gè)頁(yè)面呢？那我們回顧一下我們是如何使用身份認(rèn)證服務(wù)的。一般來(lái)說(shuō)我們不會(huì)直接訪問(wèn)身份服務(wù)的任何URL，包括 login.jsp。身份服務(wù)是用來(lái)保護(hù)其他應(yīng)用服務(wù)的，用戶一般在訪問(wèn)一個(gè)受SSOAuth保護(hù)的Web應(yīng)用的某個(gè)URL時(shí)，當(dāng)前這個(gè)應(yīng)用會(huì)發(fā)現(xiàn)當(dāng)前的 用戶還沒(méi)有登錄，便強(qiáng)制將也頁(yè)面轉(zhuǎn)向SSOAuth的login.jsp，讓用戶登錄。如果登錄成功后，應(yīng)該自動(dòng)的將用戶的瀏覽器指向用戶最初想訪問(wèn)的那 個(gè)URL。在handlerFromLogin()這個(gè)方法中，我們通過(guò)接收“goto”這個(gè)參數(shù)來(lái)保存用戶最初訪問(wèn)的URL，成功后便重新定向到這個(gè)頁(yè) 面中。
      另外一個(gè)要說(shuō)明的是，在設(shè)置cookie的時(shí)候，我使用了一個(gè)setMaxAge(6000)的方法。這個(gè)方法是用來(lái)設(shè)置cookie的有效期，單位是 秒。如果不使用這個(gè)方法或者參數(shù)為負(fù)數(shù)的話，當(dāng)瀏覽器關(guān)閉的時(shí)候，這個(gè)cookie就失效了。在這里我給了很大的值（1000分鐘），導(dǎo)致的行為是：當(dāng)你 關(guān)閉瀏覽器（或者關(guān)機(jī)），下次再打開(kāi)瀏覽器訪問(wèn)剛才的應(yīng)用，只要在1000分鐘之內(nèi)，就不需要再登錄了。我這樣做是下面要介紹的桌面SSO中所需要的功 能。
      其他的方法更加簡(jiǎn)單，這里就不多解釋了。

---

本博客為學(xué)習(xí)交流用，凡未注明引用的均為本人作品，轉(zhuǎn)載請(qǐng)注明出處，如有版權(quán)問(wèn)題請(qǐng)及時(shí)通知。由于博客時(shí)間倉(cāng)促，錯(cuò)誤之處敬請(qǐng)諒解，有任何意見(jiàn)可給我留言，愿共同學(xué)習(xí)進(jìn)步。