江蘇520

留言簿(5)

隨筆檔案

閱讀排行榜

評論排行榜

常用鏈接

統計

隨筆 - 14
文章 - 0
評論 - 0
引用 - 0

用Tomcat 的SSO實現

目標:用戶Login一次之后,可以訪問同一Server上的不同Webapp, 具體實現上采用Tomcat的Single Sign-On實現. 主要分為下面幾個步驟:

修改Tomcat conf/server.xml 打開SSO支持

<Host> 節點下增加一個Value節點
<Valve className="org.apache.catalina.authenticator.SingleSignOn"
debug="0" requireReauthentication="false"/>
</Host>

container認證realm： user、role、server.xml的<Realm...>設置.

tomcat的認證機制有2個要素： user 和 role.

user 是區別一個個用戶的唯一識別了。
role 就是一些抽象的權限級別，比如“admin”、“manager”、“member”、“guest”等等，都是可以自己定義的.一個user可以擁有多種role.

“可是tomcat怎么去拿到我的user/role信息呢？我的這些數據都在數據庫里阿？” 可以在tomcat的server.xml里用 <Realm> tag來讀取這些信息，并且tomcat提供了3、4種現成的Realm實現，其中有從文件里讀的，有從JDBC讀的，有從DataSource讀的，也有從LDAP讀的。具體Realm的寫法，和提供的幾種Realm的配置方法，可以參考tomcat自己的文檔，在此不作細述。 (把tomcat自帶的webapp: tomcat-docs.war 展開，看里面的 config/realm.html) 如果連這些現成的配置都不能滿足你的要求的話，那也可以考慮自己寫一個Realm的實現類來滿足具體要求。下面舉一個JDBC的Realm的配置例子看一下：

<Realm  className="org.apache.catalina.realm.JDBCRealm"  debug="99"
driverName="your.jdbc.driver.here"
connectionURL="your.jdbc.url.here"
connectionName="test"
connectionPassword="test"
userTable="users"
userNameCol="user_name"
userCredCol="user_pass"
userRoleTable="user_roles"
roleNameCol="role_name" />

webapp使用SSO：
- 告訴tomcat這個webapp要通過container的認證

具體做法： 在web.xml里面加上如下的配置：
<security-constraint>
<web-resource-collection>
<web-resource-name>http://www.bt285.cn  BT下載 </web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<!-- role name 指定哪個role可以訪問,可以為多個role，如兩個網站：http://www.5a520.cn http://www.feng123.com  -->

<role-name>intrauser</role-name>
</auth-constraint>
</security-constraint>

選擇一種認證方法

在web.xml里面加上如下的配置：
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>Intra Web Application</realm-name>
</login-config>
<security-role>
<description>The role that is required to access intrasites</description>
<role-name>intrauser</role-name>
</security-role>

這里有2個要點：

auth-method

舉例為了簡單用了最基本的一種BASIC。若使用BASIC方式，當你去訪問受保護認證的資源時，瀏覽器會彈出一個小窗口讓你輸入用戶名和密碼。（就像我們訪問ioffice時，第一次彈出來的那個認證窗口）其他還有幾種認證方式如：FORM、DIGEST、CLIENT-CERT。其中FORM是可以自己寫login畫面的，當然html的form內容有些規定（要符合j2ee和container的要求嘛）。 DIGEST是一種加密的傳輸，而CLIENT-CERT沒有查過，有興趣可以去查一下。

realm-name

這個realm-name是這個webapp的認證realm名，注意幾個處于同一SSO下的webapp，他們的realm-name要設成一樣的值。如果不設成一樣，那么換一個webapp就要重新認證一次，達不到SSO的效果。

如何取得當前的User信息

原本都習慣在login以后，把一些login用戶信息放到session里面的. 現在認證都交給container去做了，我們的webapp怎么拿到login用戶信息?。?確實，現在我們的webapp能做的，只有從request里面拿到login用戶的userid了。

String userid = request.gerRemoteUser();

以上是在一個Tomcat Container上的SSO實現.
如果是不同的Container上的webapp要做SSO，這種時候一種可行的方案是，最前面架一個webserver（比如apache），在webserver這層承擔SSO的認證任務，后面內部就可用掛多個container了. 具體都用到的時候再調查吧.

posted on 2009-05-19 21:21 江蘇520 閱讀(2225) 評論(0) 編輯收藏