1 什么是单点登陆
单点dQSingle Sign OnQ,UCؓ SSOQ是目前比较行的企业业务整合的解决Ҏ之一。SSO的定义是在多个应用系l中Q用户只需要登录一ơ就可以讉K所有相互信ȝ应用pȝ?br />较大的企业内部,一般都有很多的业务支持pȝ为其提供相应的管理和IT服务。例如胦务系lؓ财务人员提供财务的管理、计和报表服务Qh事系lؓZ部门提供全公思h员的l护服务Q各U业务系lؓ公司内部不同的业务提供不同的服务{等。这些系l的目的都是让计机来进行复杂繁琐的计算工作Q来替代人力的手工劳动,提高工作效率和质量。这些不同的pȝ往往是在不同的时期徏设v来的Q运行在不同的^CQ也许是׃同厂商开发,使用了各U不同的技术和标准。如果D例说国内一著名的IT公司Q名字隐去)Q内部共?0多个业务pȝQ这些系l包括两个不同版本的SAP的ERPpȝQ?2个不同类型和版本的数据库pȝQ?个不同类型和版本的操作系l,以及使用?U不同的防火墙技术,q有数十U互怸能兼容的协议和标准,你相信吗Q不要怀疑,q种情况其实非常普遍。每一个应用系l在q行了数q以后,都会成ؓ不可替换的企业IT架构的一部分Q如下图所C?/font>
随着企业的发展,业务pȝ的数量在不断的增加,老的pȝ却不能轻易的替换Q这会带来很多的开销。其一是管理上的开销Q需要维护的pȝ来多。很多系l的数据是相互冗余和重复的,数据的不一致性会l管理工作带来很大的压力。业务和业务之间的相x也来大Q例如公司的计费pȝ和胦务系l,财务pȝ和h事系l之间都不可避免的有着密切的关pR?br />Z降低理的消耗,最大限度的重用已有投资的系l,很多企业都在q行着企业应用集成QEAIQ。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换q_”,在应用层面上的“业务流E整合”,和用L面上的“通用企业门户”等{。事实上Q还用一个层面上的集成变得越来越重要Q那是“n份认证”的整合Q也是“单点登录”?br />通常来说Q每个单独的pȝ都会有自q安全体系和n份认证系l。整合以前,q入每个pȝ都需要进行登录,q样的局面不仅给理上带来了很大的困难,在安全方面也埋下了重大的隐患。下面是一些著名的调查公司昄的统计数据:
用户每天q_ 16 分钟花在w䆾验证d?- 资料来源Q?IDS
频繁?IT 用户q_?21 个密?- 资料来源Q?NTA Monitor Password Survey
49% 的h写下了其密码Q?67% 的h很少改变它们
?79 U出C赯n份被H事?- 资料来源QNational Small Business Travel Assoc
全球ƺ骗损失每年U?12B - 资料来源QComm Fraud Control Assoc
?2007 q_w䆾理市场成倍增长至 $4.5B - 资料来源QIDS
使用“单点登录”整合后Q只需要登录一ơ就可以q入多个pȝQ而不需要重新登录,q不仅仅带来了更好的用户体验Q更重要的是降低了安全的风险和管理的消耗。请看下面的l计数据Q?br />提高 IT 效率Q对于每 1000 个受用P每用户可节省$70K
帮助台呼叫减至?/3Q对?10K 员工的公司,每年可以节省每用?$75Q或者合?$648K
生力提高:每个新员工可节省 $1KQ每个老员工可节省 $350 K资料来源:Giga
ROI 回报Q?.5 ?13 个月 K资料来源:Gartner
另外Q用“单点登录”还是SOA时代的需求之一。在面向服务的架构中Q服务和服务之间Q程序和E序之间的通讯大量存在Q服务之间的安全认证是SOA应用的难点之一Q应此徏立“单点登录”的pȝ体系能够大大化SOA的安全问题,提高服务之间的合作效率?br />2 单点登陆的技术实现机?br />随着SSO技术的行QSSO的品也是满天飞扬。所有著名的软g厂商都提供了相应的解x案。在q里我ƈ不想介绍自己公司QSun MicrosystemsQ的产品Q而是对SSO技术本w进行解析,q且提供自己开发这一cM品的Ҏ和简单演C。有x写这文章的目的Q请参考我的博客(http://yuwang881.blog.sohu.com/3184816.htmlQ?br />单点d的机制其实是比较单的Q用一个现实中的例子做比较。颐和园是北京著名的旅游景点Q也是我常去的地斏V在颐和园内部有许多独立的景点,例如“苏州街”、“佛香阁”和“d和园”,都可以在各个景点门口单独买票。很多游客需要游玩所有d景点Q这U买方式很不方便,需要在每个景点门口排队买票Q钱包拿q拿出的Q容易丢失,很不安全。于是绝大多数游客选择在大门口C张通票Q也叫套)Q就可以玩遍所有的景点而不需要重新再买票。他们只需要在每个景点门口出示一下刚才买的套就能够被允许进入每个独立的景点?br />单点d的机制也一P如下图所C,当用L一ơ访问应用系l?的时候,因ؓq没有登录,会被引导到认证系l中q行dQ?Q;Ҏ用户提供的登录信息,认证pȝq行w䆾效验Q如果通过效验Q应该返回给用户一个认证的凭据Q-ticketQ?Q;用户再访问别的应用的时候(3Q?Q就会将q个ticket带上Q作p证的凭据Q应用系l接受到h之后会把ticket送到认证pȝq行效验Q检查ticket的合法性(4Q?Q。如果通过效验Q用户就可以在不用再ơ登录的情况下访问应用系l?和应用系l?了?/font>
从上面的视图可以看出Q要实现SSOQ需要以下主要的功能Q?br />所有应用系l共享一个n份认证系l?br />l一的认证系l是SSO的前提之一。认证系l的主要功能是将用户的登录信息和用户信息库相比较Q对用户q行d认证Q认证成功后Q认证系l应该生成统一的认证标志(ticketQ,q还l用戗另外,认证pȝq应该对ticketq行效验Q判断其有效性?
所有应用系l能够识别和提取ticket信息
要实现SSO的功能,让用户只d一ơ,必让应用pȝ能够识别已经dq的用户。应用系l应该能对ticketq行识别和提取,通过与认证系l的通讯Q能自动判断当前用户是否dq,从而完成单点登录的功能?
上面的功能只是一个非常简单的SSO架构Q在现实情况下的SSO有着更加复杂的结构。有两点需要指出的是:
单一的用户信息数据库q不是必ȝQ有许多pȝ不能所有的用户信息都集中存储,应该允许用户信息攄在不同的存储中,如下图所C。事实上Q只要统一认证pȝQ统一ticket的生和效验Q无论用户信息存储在什么地方,都能实现单点d?
l一的认证系lƈ不是说只有单个的认证服务器,如下图所C,整个pȝ可以存在两个以上的认证服务器Q这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议Q互怺换认证信息,p完成更高U别的单点登录。如下图Q当用户在访问应用系l?Ӟq一个认证服务器q行认证后,得到由此服务器生的ticket。当他访问应用系l?的时候,认证服务?能够识别此ticket是由W一个服务器产生的,通过认证服务器之间标准的通讯协议Q例如SAMLQ来交换认证信息Q仍然能够完成SSO的功能?
3 WEB-SSO的实?br />随着互联|的高速发展,WEB应用几乎l治了绝大部分的软g应用pȝQ因此WEB-SSO是SSO应用当中最为流行。WEB-SSO有其自n的特点和优势Q实现v来比较简单易用。很多商业Y件和开源Y仉有对WEB-SSO的实现。其中值得一提的是OpenSSO Q?a >https://opensso.dev.java.netQ,为用Java实现WEB-SSO提供架构指南和服务指南,为用戯己来实现WEB-SSO提供了理论的依据和实现的Ҏ?br />Z么说WEB-SSO比较Ҏ实现呢?q是有WEB应用自n的特点决定的?br />众所周知QWeb协议Q也是HTTPQ是一个无状态的协议。一个Web应用由很多个Web面l成Q每个页面都有唯一的URL来定义。用户在览器的地址栏输入页面的URLQ浏览器׃向Web Serverd送请求。如下图Q浏览器向Web服务器发送了两个hQ申请了两个面。这两个面的请求是分别使用了两个单独的HTTPq接。所谓无状态的协议也就是表现在q里Q浏览器和Web服务器会在第一个请求完成以后关闭连接通道Q在W二个请求的时候重新徏立连接。Web服务器ƈ不区分哪个请求来自哪个客LQ对所有的h都一视同仁,都是单独的连接。这L方式大大区别于传l的QClient/ServerQC/Sl构,在那L应用中,客户端和服务器端会徏立一个长旉的专用的q接通道。正是因为有了无状态的Ҏ,每个q接资源能够很快被其他客L所重用Q一台Web服务器才能够同时服务于成千上万的客户端?/font>
但是我们通常的应用是有状态的。先不用提不同应用之间的SSOQ在同一个应用中也需要保存用Ldw䆾信息。例如用户在讉K面1的时候进行了dQ但是刚才也提到Q客L的每个请求都是单独的q接Q当客户再次讉K面2的时候,如何才能告诉Web服务器,客户刚才已经dq了呢?览器和服务器之间有U定Q通过使用cookie技术来l护应用的状态。Cookie是可以被Web服务器设|的字符Ԍq且可以保存在浏览器中。如下图所C,当浏览器讉K了页?Ӟweb服务器设|了一个cookieQƈ这个cookie和页?一赯回给览器,览器接到cookie之后Q就会保存v来,在它讉K面2的时候会把这个cookie也带上,Web服务器接到请求时也能dcookie的|Ҏcookie值的内容可以判断和恢复一些用L信息状态?/font>
Web-SSO完全可以利用Cookiel束来完成用L录信息的保存Q将览器中的Cookie和上文中的Ticketl合hQ完成SSO的功能?br />
Z完成一个简单的SSO的功能,需要两个部分的合作Q?br />l一的n份认证服务?
修改Web应用Q得每个应用都通过q个l一的认证服务来q行w䆾效验?
3.1 Web SSO 的样?br />Ҏ上面的原理,我用J2EE的技术(JSP和ServletQ完成了一个具有Web-SSO的简单样例。样例包含一个n份认证的服务器和两个单的Web应用Q得这两个 Web应用通过l一的n份认证服务来完成Web-SSO的功能。此样例所有的源代码和二进制代码都可以从网站地址http://gceclub.sun.com.cn/wangyu/ 下蝲?br />
样例下蝲、安装部|和q行指南Q?br />Web-SSO的样例是׃个标准Web应用l成Q压~成三个zip文gQ从http://gceclub.sun.com.cn/wangyu/web-sso/中下载。其中SSOAuthQ?a >http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zipQ是w䆾认证服务QSSOWebDemo1Q?a >http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zipQ和SSOWebDemo2Q?a >http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zipQ是两个用来演示单点d的Web应用。这三个Web应用之所以没有打成war包,是因为它们不能直接部|ԌҎ读者的部v环境需要作出小的修改。样例部|和q行的环境有一定的要求Q需要符合Servlet2.3以上标准的J2EE容器才能q行Q例如Tomcat5,Sun Application Server 8, Jboss 4{)。另外,w䆾认证服务需要JDK1.5的运行环境。之所以要用JDK1.5是因为笔者用了一个线E安全的高性能的Java集合cZConcurrentMap”,只有在JDK1.5中才有?
q三个Web应用完全可以单独部vQ它们可以分别部|在不同的机器,不同的操作系l和不同的J2EE的品上Q它们完全是标准的和q_无关的应用。但是有一个限Ӟ那两台部|应用(demo1、demo2Q的机器的域名需要相同,q在后面的章节中会解释到cookie和domain的关pM及如何制作跨域的WEB-SSO
解压~SSOAuth.zip文gQ在/WEB-INF/下的web.xml中请修改“domainname”的属性以反映实际的应用部|情况,domainname需要设|ؓ两个单点d的应用(demo1和demo2Q所属的域名。这个domainname和当前SSOAuth服务部v的机器的域名没有关系。我~省讄的是?sun.com”。如果你部vdemo1和demo2的机器没有域名,误入IP地址或主机名Q如localhostQ,但是如果使用IP地址或主机名也就意味着demo1和demo2需要部|到一台机器上了。设|完后,Ҏ你所选择的J2EE容器Q可能需要将SSOAuthq个目录压羃打包成war文g。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成q个功能?
解压~SSOWebDemo1和SSOWebDemo2文gQ分别在它们/WEB-INF/下找到web.xml文gQ请修改其中的几个初始化参数
<init-param>
<param-name>SSOServiceURL</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
</init-param>
<init-param>
<param-name>SSOLoginPage</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
</init-param>
其中的SSOServiceURL和SSOLoginPage修改成部|SSOAuth应用的机器名、端口号以及根\径(~省是SSOAuthQ以反映实际的部|情c设|完后,Ҏ你所选择的J2EE容器Q可能需要将SSOWebDemo1和SSOWebDemo2q两个目录压~打包成两个war文g。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成q个功能?
误入第一个web应用的测试URLQtest.jspQ?例如http://wangyu.prc.sun.com:8080/ SSOWebDemo1/test.jspQ如果是W一ơ访问,便会自动跌{到登录界面,如下?/font>
使用pȝ自带的三个帐号之一dQ例如,用户名:wangyu,密码QwangyuQ,便能成功的看到test.jsp的内容:昄当前用户名和Ƣ迎信息?/font>
h着在同一个浏览器中输入第二个web应用的测试URLQtest.jspQ?例如http://wangyu.prc.sun.com:8080/ SSOWebDemo2/test.jsp。你会发玎ͼ不需要再ơ登录就能看到test.jsp的内容,同样是显C当前用户名和欢q信息,而且Ƣ迎信息中明的昄当前的应用名Uͼdemo2Q?
3.2 WEB-SSO代码讲解
3.2.1w䆾认证服务代码解析
Web-SSO的源代码可以从网站地址http://gceclub.sun.com.cn/wangyu/web-sso/websso_src.zip下蝲。n份认证服务是一个标准的web应用Q包括一个名为SSOAuth的ServletQ一个login.jsp文g和一个failed.html。n份认证的所有服务几乎都由SSOAuth的Servlet来实CQlogin.jsp用来昄d的页面(如果发现用户q没有登录过Q;failed.html是用来显C登录失败的信息Q如果用L用户名和密码与信息数据库中的不一P?br />SSOAuth的代码如下面的列表显C,l构非常单,先看看这个Servlet的主体部分:
package DesktopSSO;
import java.io.*;
import java.net.*;
import java.text.*;
import java.util.*;
import java.util.concurrent.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class SSOAuth extends HttpServlet {
static private ConcurrentMap accounts;
static private ConcurrentMap SSOIDs;
String cookiename="WangYuDesktopSSOID";
String domainname;
public void init(ServletConfig config) throws ServletException {
super.init(config);
domainname= config.getInitParameter("domainname");
cookiename = config.getInitParameter("cookiename");
SSOIDs = new ConcurrentHashMap();
accounts=new ConcurrentHashMap();
accounts.put("wangyu", "wangyu");
accounts.put("paul", "paul");
accounts.put("carol", "carol");
}
protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
PrintWriter out = response.getWriter();
String action = request.getParameter("action");
String result="failed";
if (action==null) {
handlerFromLogin(request,response);
} else if (action.equals("authcookie")){
String myCookie = request.getParameter("cookiename");
if (myCookie != null) result = authCookie(myCookie);
out.print(result);
out.close();
} else if (action.equals("authuser")) {
result=authNameAndPasswd(request,response);
out.print(result);
out.close();
} else if (action.equals("logout")) {
String myCookie = request.getParameter("cookiename");
logout(myCookie);
out.close();
}
}
.....
}
从代码很Ҏ看出QSSOAuth是一个简单的Servlet。其中有两个静态成员变量:accounts和SSOIDsQ这两个成员变量都用了JDK1.5中线E安全的MAPc: ConcurrentMapQ所以这个样例一定要JDK1.5才能q行。Accounts用来存放用户的用户名和密码,在init()的方法中可以看到我给pȝd了三个合法的用户。在实际应用中,accounts应该是去数据库中或LDAP中获得,Z单v见,在本样例中我使用了ConcurrentMap在内存中用程序创Z三个用户。而SSOIDs保存了在用户成功的登录后所产生的cookie和用户名的对应关pR它的功能显而易见:当用h功登录以后,再次讉K别的pȝQؓ了鉴别这个用戯求所带的cookie的有效性,需要到SSOIDs中检查这L映射关系是否存在?br />
在主要的h处理ҎprocessRequest()中,可以很清楚的看到SSOAuth的所有功?br />如果用户q没有登录过Q是W一ơ登录本pȝQ会被蟩转到login.jsp面Q在后面会解释如何蟩转)。用户在提供了用户名和密码以后,׃用handlerFromLogin()q个Ҏ来验证?
如果用户已经dq本pȝQ再讉K别的应用的时候,是不需要再ơ登录的。因为浏览器会将W一ơ登录时产生的cookie和请求一起发送。效验cookie的有效性是SSOAuth的主要功能之一?
SSOAuthq能直接效验非login.jsp面q来的用户名和密码的效验h。这个功能是用于非web应用的SSOQ这在后面的桌面SSO中会用到?
SSOAuthq提供logout服务?
下面看看几个主要的功能函敎ͼ
private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
String pass = (String)accounts.get(username);
if ((pass==null)||(!pass.equals(password)))
getServletContext().getRequestDispatcher("/failed.html").forward(request, response);
else {
String gotoURL = request.getParameter("goto");
String newID = createUID();
SSOIDs.put(newID, username);
Cookie wangyu = new Cookie(cookiename, newID);
wangyu.setDomain(domainname);
wangyu.setMaxAge(60000);
wangyu.setValue(newID);
wangyu.setPath("/");
response.addCookie(wangyu);
System.out.println("login success, goto back url:" + gotoURL);
if (gotoURL != null) {
PrintWriter out = response.getWriter();
response.sendRedirect(gotoURL);
out.close();
}
}
}
handlerFromLogin()q个Ҏ是用来处理来自login.jsp的登录请求。它的逻辑很简单:用戯入的用户名和密码与预先设定好的用户集合(存放在accounts中)相比较,如果用户名或密码不匹配的话,则返回登录失败的面Qfailed.htmlQ,如果d成功的话Q需要ؓ用户当前的session创徏一个新的IDQƈ这个ID和用户名的映关pd攑ֈSSOIDs中,最后还要将q个ID讄为浏览器能够保存的cookie倹{?br />d成功后,览器会到哪个页面呢Q那我们回顾一下我们是如何使用w䆾认证服务的。一般来说我们不会直接访问n份服务的MURLQ包括login.jsp。n份服务是用来保护其他应用服务的,用户一般在讉K一个受SSOAuth保护的Web应用的某个URLӞ当前q个应用会发现当前的用户q没有登录,便强制将也页面{向SSOAuth的login.jspQ让用户d。如果登录成功后Q应该自动的用L览器指向用h初想讉K的那个URL。在handlerFromLogin()q个Ҏ中,我们通过接收“goto”这个参数来保存用户最初访问的URLQ成功后侉K新定向到q个面中?br />另外一个要说明的是Q在讄cookie的时候,我用了一个setMaxAge(6000)的方法。这个方法是用来讄cookie的有效期Q单位是U。如果不使用q个Ҏ或者参Cؓ负数的话Q当览器关闭的时候,q个cookie失效了。在q里我给了很大的|1000分钟Q,D的行为是Q当你关闭浏览器Q或者关机)Q下ơ再打开览器访问刚才的应用Q只要在1000分钟之内Q就不需要再d了。我q样做是下面要介l的桌面SSO中所需要的功能?br />其他的方法更加简单,q里׃多解释了?br />
3.2.2hSSO功能的web应用源代码解?br />要实现WEB-SSO的功能,只有w䆾认证服务是不够的。这点很昄Q要想多个应用h单点d的功能,q需要每个应用本w的配合Q将自己的n份认证的服务交给一个统一的n份认证服务-SSOAuth。SSOAuth服务中提供的各个Ҏ是供每个加入SSO的Web应用来调用的?br />一般来_Web应用需要SSO的功能,应该通过以下的交互过E来调用w䆾认证服务的提供的认证服务Q?br />Web应用中每一个需要安全保护的URL在访问以前,都需要进行安全检查,如果发现没有dQ没有发现认证之后所带的cookieQ,重新定向到SSOAuth中的login.jspq行d?
d成功后,pȝ会自动给你的览器设|cookieQ证明你已经dq了?
当你再访问这个应用的需要保护的URL的时候,pȝq是要进行安全检查的Q但是这ơ系l能够发现相应的cookie?
有了q个cookieQ还不能证明你就一定有权限讉K。因为有可能你已llogout,或者cookie已经q期了,或者n份认证服务重赯Q这些情况下Q你的cookie都可能无效。应用系l拿到这个cookieQ还需要调用n份认证的服务Q来判断cookie时候真的有效,以及当前的cookie对应的用h谁?
如果cookie效验成功Q就允许用户讉K当前h的资源?
以上q些功能Q可以用很多Ҏ来实玎ͼ
在每个被讉K的资源中QJSP或ServletQ中都加入n份认证的服务Q来获得cookieQƈ且判断当前用h否登录过。不q这个笨Ҏ没有Z?-)?
可以通过一个controllerQ将所有的功能都写C个servlet中,然后在URL映射的时候,映射到所有需要保护的URL集合中(例如*.jspQ?security/*{)。这个方法可以用,不过Q它的缺Ҏ不能重用。在每个应用中都要部|一个相同的servlet?
Filter是比较好的方法。符合Servlet2.3以上的J2EE容器具有部|filter的功能。(Filter的用可以参考JavaWolrd的文?a >http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.htmlQFilter是一个具有很好的模块化,可重用的~程APIQ用在SSO正合适不q。本样例是使用一个filter来完成以上的功能?
package SSO;
import java.io.*;
import java.net.*;
import java.util.*;
import java.text.*;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.*;
import org.apache.commons.httpclient.*;
import org.apache.commons.httpclient.methods.GetMethod;
public class SSOFilter implements Filter {
private FilterConfig filterConfig = null;
private String cookieName="WangYuDesktopSSOID";
private String SSOServiceURL= " private String SSOLoginPage= "
public void init(FilterConfig filterConfig) {
this.filterConfig = filterConfig;
if (filterConfig != null) {
if (debug) {
log("SSOFilter:Initializing filter");
}
}
cookieName = filterConfig.getInitParameter("cookieName");
SSOServiceURL = filterConfig.getInitParameter("SSOServiceURL");
SSOLoginPage = filterConfig.getInitParameter("SSOLoginPage");
}
.....
.....
}
以上的初始化的源代码有两炚w要说明:一是有两个需要配|的参数SSOServiceURL和SSOLoginPage。因为当前的Web应用很可能和w䆾认证服务QSSOAuthQ不在同一台机器上Q所以需要让q个filter知道w䆾认证服务部v的URLQ这h能去调用它的服务。另外一点就是由于n份认证的服务调用是要通过http协议来调用的Q在本样例中是这栯计的Q读者完全可以设计自qw䆾服务Q用别的调用协议,如RMI或SOAP{等Q,所有笔者引用了apache的commons工具包(详细信息情访问apache 的网?a >http://jakarta.apache.org/commons/index.htmlQ,其中的“httpclient”可以大大简化http调用的编E?br />下面看看filter的主体方法doFilter():
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
if (debug) log("SSOFilter:doFilter()");
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
String result="failed";
String url = request.getRequestURL().toString();
String qstring = request.getQueryString();
if (qstring == null) qstring ="";
//查httph的head是否有需要的cookie
String cookieValue ="";
javax.servlet.http.Cookie[] diskCookies = request.getCookies();
if (diskCookies != null) {
for (int i = 0; i < diskCookies.length; i++) {
if(diskCookies[i].getName().equals(cookieName)){
cookieValue = diskCookies[i].getValue();
//如果扑ֈ了相应的cookie则效验其有效?br /> result = SSOService(cookieValue);
if (debug) log("found cookies!");
}
}
}
if (result.equals("failed")) { //效验p|或没有找到cookieQ则需要登?br /> response.sendRedirect(SSOLoginPage+"?goto="+url);
} else if (qstring.indexOf("logout") > 1) {//logout服务
if (debug) log("logout action!");
logoutService(cookieValue);
response.sendRedirect(SSOLoginPage+"?goto="+url);
} else {//效验成功
request.setAttribute("SSOUser",result);
Throwable problem = null;
try {
chain.doFilter(req, res);
} catch(Throwable t) {
problem = t;
t.printStackTrace();
}
if (problem != null) {
if (problem instanceof ServletException) throw (ServletException)problem;
if (problem instanceof IOException) throw (IOException)problem;
sendProcessingError(problem, res);
}
}
}
doFilter()Ҏ的逻辑也是非常单的Q在接收到请求的时候,先去查找是否存在期望的cookie|如果扑ֈ了,׃调用SSOService(cookieValue)L验这个cookie的有效性。如果cookie效验不成功或者cookieҎ不存在,׃直接转到d界面让用L录;如果cookie效验成功Q就不会做Q何阻拦,让此hq行下去。在配置文g中,有下面的一个节点表CZ此filter的URL映射关系Q只拦截所有的jsph?br /><filter-mapping>
<filter-name>SSOFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
下面q有几个主要的函数需要说明:
private String SSOService(String cookievalue) throws IOException {
String authAction = "?action=authcookie&cookiename=";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);
try {
httpclient.executeMethod(httpget);
String result = httpget.getResponseBodyAsString();
return result;
} finally {
httpget.releaseConnection();
}
}
private void logoutService(String cookievalue) throws IOException {
String authAction = "?action=logout&cookiename=";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);
try {
httpclient.executeMethod(httpget);
httpget.getResponseBodyAsString();
} finally {
httpget.releaseConnection();
}
}
q两个函C要是利用apache中的httpclient讉KSSOAuth提供的认证服务来完成效验cookie和logout的功能?br />其他的函数都很简单,有很多都是我的IDEQNetBeansQ替我自动生成的?br />4 当前Ҏ的安全局限?br />当前q个WEB-SSO的方案是一个比较简单的雏ŞQ主要是用来演示SSO的概念和说明SSO技术的实现方式。有很多斚wq需要完善,其中安全性是非常重要的一个方面?br />我们说过Q采用SSO技术的主要目的之一是加强安全性,降低安全风险。因为采用了SSOQ在|络上传递密码的ơ数减少Q风险降低是昄的,但是当前的方案却有其他的安全风险。由于cookie是一个用L录的唯一凭据Q对cookie的保护措施是pȝ安全的重要环节:
cookie的长度和复杂?br />在本Ҏ中,cookie是有一个固定的字符Ԍ我的姓名Q加上当前的旉戟뀂这Lcookie很容易被伪造和猜测。怀有恶意的用户如果猜测到合法的cookie可以被当作已经d的用PL讉K权限范围内的资源
cookie的效验和保护
在本Ҏ中,虽然密码只要传输一ơ就够了Q可cookie在网l中是经怼来传厅R一些网l探工P如sniff, snoop,tcpdump{)可以很容易捕获到cookie的数倹{在本方案中Qƈ没有考虑cookie在传输时候的保护。另外对cookie的效验也q于单,q不L查发送cookie的来源究竟是不是cookie最初的拥有者,也就是说无法区分正常的用户和仉Kcookie的用戗?
当其中一个应用的安全性不好,其他所有的应用都会受到安全威胁
因ؓ有SSOQ所以当某个处于 SSO的应用被黒客ȝQ那么很Ҏȝ其他处于同一个SSO保护的应用?
q些安全漏洞在商业的SSO解决Ҏ中都会有所考虑Q提供相关的安全措施和保护手D,例如Sun公司的Access ManagerQcookie的复杂读和对cookie的保护都做得非常好。另外在OpneSSO Q?a >https://opensso.dev.java.netQ的架构指南中也l出了部分安全措施的解决Ҏ?br />5 当前Ҏ的功能和性能局限?br />除了安全性,当前Ҏ在功能和性能上都需要很多的改进Q?br />当前所提供的登录认证模式只有一U:用户名和密码Q而且Z单,用户名和密码放在内存当中。事实上Q用戯n份信息的来源应该是多U多LQ可以是来自数据库中QLDAP中,甚至于来自操作系l自w的用户列表。还有很多其他的认证模式都是商务应用不可~少的,因此SSO的解x案应该包括各U认证的模式Q包括数字证书,RadiusQ?SafeWord QMemberShipQSecurID{多U方式。最为灵zȝ方式应该允许可插入的JAAS框架来扩展n份认证的接口
我们~写的Filter只能用于J2EE的应用,而对于大量非Java的Web应用Q却无法提供SSO服务?
在将Filter应用到Web应用的时候,需要对容器上的每一个应用都要做相应的修改,重新部v。而更加流行的做法是Agent机制Qؓ每一个应用服务器安装一个agentQ就可以SSO功能应用到这个应用服务器中的所有应用?
当前的方案不能支持分别位于不同domain的Web应用q行SSO。这是因为浏览器在访问Web服务器的时候,仅仅会带上和当前web服务器具有相同domain名称的那些cookie。要提供跨域的SSO的解x案有很多其他的方法,在这里就不多说了。Sun的Access Manager具有跨域的SSO的功能?
另外QFilter的性能问题也是需要重视的斚w。因为Filter会截h一个符合URL映射规则的请求,获得cookieQ验证其有效性。这一pdd是比较消耗资源的Q特别是验证cookie有效性是一个远E的http的调用,来访问SSOAuth的认证服务,有一定的延时。因此在性能上需要做q一步的提高。例如在本样例中Q如果将URL映射从?jsp”改成?*”,也就是说filterҎ有的h都v作用Q整个应用会变得非常慢。这是因为,面当中包含了各U静态元素如gif囄Qcss样式文gQ和其他html静态页面,q些面的访问都要通过filter去验证。而事实上Q这些静态元素没有什么安全上的需求,应该在filter中进行判断,不去效验q些hQ性能会好很多。另外,如果在filter中加上一定的cacheQ而不需要每一个cookie效验h都去q端的n份认证服务中执行Q性能也能大幅度提高?
另外pȝq需要很多其他的服务Q如在内存中定时删除无用的cookie映射{等Q都是一个严肃的解决Ҏ需要考虑的问题?
6 桌面SSO的实?br />从WEB-SSO的概念g伸开Q我们可以把SSO的技术拓展到整个桌面的应用,不仅仅局限在览器。SSO的概念和原则都没有改变,只需要再做一点点的工作,可以完成桌?SSO 的应用?br />桌面SSO和WEB-SSO一P关键的技术也在于如何在用L录过后保存登录的凭据。在WEB-SSO中,d的凭据是靠浏览器的cookie机制来完成的Q在桌面应用中,可以登录的凭证保存CQ何地方,只要所有SSO的桌面应用都׃nq个凭证?br />从网站可以下载一个简单的桌面SSO的样?http://gceclub.sun.com.cn/wangyu/desktop-sso/desktopsso.zip)和全部源码(http://gceclub.sun.com.cn/wangyu/desktop-sso/desktopsso_src.zipQ,虽然单,但是它具有桌面SSO大多数的功能Q稍微加以扩充就可以成ؓ自己的解x案?br />
6.1桌面样例的部|?br />q行此桌面SSO需要三个前提条Ӟ
a) WEB-SSO的n份认证应用应该正在运行,因ؓ我们在桌面SSO当中需要用到统一的认证服?br />b) 当前桌面需要运行Mozilla或Netscape览器,因ؓ我们ticket保存到mozilla的cookie文g?br />c) 必须在JDK1.4以上q行。(WEB-SSO需要JDK1.5以上Q?
解开desktopsso.zip文gQ里面有两个目录bin和lib?
bin目录下有一些脚本文件和配置文gQ其中config.properties包含了三个需要配|的参数Q?br />a) SSOServiceURL要指向WebSSO部v的n份认证的URL
b) SSOLoginPage要指向WebSSO部v的n份认证的d面URL
c) cookiefilepath要指向当前用Lmozilla所存放cookie的文?
在bin目录下还有一个login.conf是用来配|JAASd模块Q本样例提供了两个,读者可以Q意选择其中一个(也可以都选)Q再重新q行E序Q查看登录认证的变化
在bin下的q行脚本可能需要作相应的修?br />a) 如果是在unix下,各个jar文g需要用?”来隔开Q而不是??br />b) java q行E序需要放|在当前q行的\径下Q否则需要加上java的\径全名?
6.2桌面样例的运?br />样例E序包含三个单的Java控制台程序,q三个程序单独运行都需要登录。如果运行第一个命叫“GameSystem”的E序Q提C需要输入用户名和密码:
效验成功以后Q便会显C当前登录的用户的基本信息等{?/font>
q时候再q行W二个桌面Java应用QmailSystemQ的时候,׃需要再d了,直接显C出来刚才登录的用户?/font>
W三个应用是logoutQ运行它之后Q用户便退出系l。再讉K的时候,又需要重新登录了。请读者再制裁执行完logout之后Q重新验证一下前两个应用的SSOQ先q行W二个应用,再运行第一个,会看到相同的效果?br />我们的样例ƈ没有在这里停步,事实上,本样例不仅能够和在几个Java应用之间SSOQ还能和览器进行SSOQ也是浏览器也当成是桌面的一部分。这对一些行业有着不小的吸引力?br />q时候再打开Mozilla览器,讉K以前提到的那两个WEB应用Q会发现只要桌面应用如果dq,Web应用׃用再d了,而且能显C刚才登录的用户的信息。读者可以在几个桌面和Web应用之间q行d和logout的试验,看看它们之间的SSO?/font>
6.3桌面样例的源码分?br />桌面SSO的样例用了JAASQ要了解JAAS的详l的信息请参?a >http://java.sun.com/products/jaasQ。JAAS是对PAMQPluggable Authentication ModuleQ的Java实现Q来完成 Java应用可插拔的安全认证模块。用JAAS作ؓJava应用的安全认证模块有很多好处Q最主要的是不需要修Ҏ代码可以更换认证方式。例如原有的Java应用如果使用JAAS的认证,如果需要应用SSOQ只需要修改JAAS的配|文件就行了。现在在行的J2EE和其?Java的品中Q用Lw䆾认证都是通过JAAS来完成的。在样例中,我们展CZq个功能。请看配|文件login.conf
DesktopSSO {
desktopsso.share.PasswordLoginModule required;
desktopsso.share.DesktopSSOLoginModule required;
};
当我们注解掉W二个模块的时候,只有W一个模块v作用。在q个模块的作用下Q只有test用户Q密码是12345Q才能登录。当我们注解掉第一个模块的时候,只有W二个模块v作用Q桌面SSO才会起作用?br />
所有的Java桌面样例E序都是标准JAAS应用Q熟悉JAAS的程序员会很快了解。JAAS中主要的是登录模块(LoginModuleQ。下面是SSOd模块的源码:
public class DesktopSSOLoginModule implements LoginModule {
..........
private String SSOServiceURL = "";
private String SSOLoginPage = "";
private static String cookiefilepath = "";
.........
在config.properties的文件中Q我们配|了它们的|
SSOServiceURL=http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth
SSOLoginPage=http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp
cookiefilepath=C:\\Documents and Settings\\yw137672\\Application Data\\Mozilla\\Profiles\\default\\hog6z1ji.slt\\cookies.txt
SSOServiceURL和SSOLoginPage成员变量指向了在Web-SSO中用q的w䆾认证模块QSSOAuthQ这p明在桌面pȝ中我们试囑֒Web应用q一个认证服务。而cookiefilepath成员变量则泄露了一个“天机”:我们使用了Mozilla览器的cookie文g来保存登录的凭证。换句话_和Mozillaq了一个保存登录凭证的机制。之所以用Mozilla是应为它的Cookie文g格式单,很容易编E访问和修改L的Cookie倹{(我试图解析Internet Explorer的cookie文g但没有成功。)
下面是登录模块DesktopSSOLoginModule的主体:login()Ҏ。逻辑也是非常单:先用Cookie来登陆,如果成功Q则直接p入系l,否则需要用戯入用户名和密码来dpȝ?br /> public boolean login() throws LoginException{
try {
if (Cookielogin()) return true;
} catch (IOException ex) {
ex.printStackTrace();
}
if (passwordlogin()) return true;
throw new FailedLoginException();
}
下面是Cookielogin()Ҏ的实体,它的逻辑是:先从Cookie文g中获得相应的Cookie|通过w䆾效验服务效验Cookie的有效性。如果cookie有效qd成功Q如果不成功或Cookie不存在,用cookiedqp|?br /> public boolean Cookielogin() throws LoginException,IOException {
String cookieValue="";
int cookieIndex =foundCookie();
if (cookieIndex<0)
return false;
else
cookieValue = getCookieValue(cookieIndex);
username = cookieAuth(cookieValue);
if (! username.equals("failed")) {
loginSuccess = true;
return true;
}
return false;
}
用用户名和密码登录的Ҏ要复杂一些,通过Callback的机制和屏幕输入输出q行信息交互Q完成用L录信息的获取Q获取信息以后通过userAuthҎ来调用远端SSOAuth的服务来判定当前d的有效性?br /> public boolean passwordlogin() throws LoginException {
//
// Since we need input from a user, we need a callback handler
if (callbackHandler == null) {
throw new LoginException("No CallbackHandler defined");
}
Callback[] callbacks = new Callback[2];
callbacks[0] = new NameCallback("Username");
callbacks[1] = new PasswordCallback("Password", false);
//
// Call the callback handler to get the username and password
try {
callbackHandler.handle(callbacks);
username = ((NameCallback)callbacks[0]).getName();
char[] temp = ((PasswordCallback)callbacks[1]).getPassword();
password = new char[temp.length];
System.arraycopy(temp, 0, password, 0, temp.length);
((PasswordCallback)callbacks[1]).clearPassword();
} catch (IOException ioe) {
throw new LoginException(ioe.toString());
} catch (UnsupportedCallbackException uce) {
throw new LoginException(uce.toString());
}
System.out.println();
String authresult ="";
try {
authresult = userAuth(username, password);
} catch (IOException ex) {
ex.printStackTrace();
}
if (! authresult.equals("failed")) {
loginSuccess= true;
clearPassword();
try {
updateCookie(authresult);
} catch (IOException ex) {
ex.printStackTrace();
}
return true;
}
loginSuccess = false;
username = null;
clearPassword();
System.out.println( "Login: PasswordLoginModule FAIL" );
throw new FailedLoginException();
}
CookieAuth和userAuthҎ都是利用apahce的httpclient工具包和q程的SSOAuthq行httpq接Q获取服务?br /> private String cookieAuth(String cookievalue) throws IOException{
String result = "failed";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+Action1+cookievalue);
try {
httpclient.executeMethod(httpget);
result = httpget.getResponseBodyAsString();
} finally {
httpget.releaseConnection();
}
return result;
}
private String userAuth(String username, char[] password) throws IOException{
String result = "failed";
String passwd= new String(password);
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+Action2+username+"&password="+passwd);
passwd = null;
try {
httpclient.executeMethod(httpget);
result = httpget.getResponseBodyAsString();
} finally {
httpget.releaseConnection();
}
return result;
}
q有一个地斚w要补充说明的是,在本样例中,用户名和密码的输入都会在屏幕上显C明文。如果希望用掩码形式来显C密码,以提高安全性,请参考:http://java.sun.com/developer/technicalArticles/Security/pwordmask/
7 真正安全的全方位SSO解决ҎQKerberos
我们的样例程序(桌面SSO和WEB-SSOQ都有一个共性:要想一个应用集成到我们的SSO解决Ҏ中,或多或少的需要修改应用程序。Web应用需要配|一个我们预制的filterQ桌面应用需要加上我们桌面SSO的JAAS模块Q至要修改JAAS的配|文Ӟ。可是有很多E序是没有源代码和无法修改的Q例如常用的q程通讯E序telnet和ftp{等一些操作系l自己带的常用的应用E序。这些程序是很难修改加入到我们的SSO的解x案中?br />事实上有一U全方位的SSO解决Ҏ能够解决q些问题Q这是Kerberos协议QRFC 1510Q。Kerberos是网l安全应用标?http://web.mit.edu/kerberos/)Q由MIT学校发明Q被L的操作系l所采用。在采用kerberos的^CQ登录和认证是由操作pȝ本n来维护,认证的凭证也由操作系l来保存Q这h个桌面都可以处于同一个SSO的系l保护中。操作系l中的各个应用(如ftp,telnetQ只需要通过配置p加入到SSO中。另外用Kerberos最大的好处在于它的安全性。通过密钥法的保证和密钥中心的徏立,可以做到用户的密码根本不需要在|络中传输,而传输的信息也会十分的安全?br />目前支持Kerberos的操作系l包括Solaris, windows,Linux{等L的^台。只不过要搭Z个Kerberos的环境比较复杂,KDCQ密钥分发中心)的徏立也需要相当的步骤。Kerberos拥有非常成熟的APIQ包括Java的API。用Java Generic Security Services(GSS) APIq且使用JAAS中对Kerberos的支持(详细信息请参见Sun的Java&Kerberos教程http://java.sun.com/ j2se/1.5.0/docs/guide/security/jgss/tutorials/index.htmlQ,要将我们q个样例攚w成对Kerberos的支持也是不隄?值得一提的是在JDK6.0 Q?a >http://www.java.net/download/jdk6Q当中直接就包含了对GSS的支持,不需要单独下载GSS的包?br />
8 ȝ
本文的主要目的是阐述SSO的基本原理,q提供了一U实现的方式。通过Ҏ代码的分析来掌握开发SSO服务的技术要点和充分理解SSO的应用范围。但是,本文仅仅说明了n份认证的服务Q而另外一个和w䆾认证密不可分的服?---权限效验Q却没有提到。要开发出真正的SSO的品,在功能上、性能上和安全上都必须有更加完备的考虑?br />作者简?br />王昱是Sun中国工程研究院的Java工程师,现在的主要负责全球合作伙伴的技术支持。作Z名Java资深工程师和架构师,王昱在Java 的很多领域都有多q的造诣Q特别是在Java虚拟机、J2EE技?包括EJB, JSP/Servlet, JMS和Web services{技?、集技术和Java应用性能调优上有着较ؓ丰富的经验。曾l多ơ在重要的Java会议发表演讲Qƈ在国际著名的Java技术站 点发表文章?
]]>