江蘇520

用Tomcat 的SSO實(shí)現(xiàn)

目標(biāo):用戶Login一次之后,可以訪問同一Server上的不同Webapp, 具體實(shí)現(xiàn)上采用Tomcat的Single Sign-On實(shí)現(xiàn). 主要分為下面幾個(gè)步驟:

• 修改Tomcat conf/server.xml 打開SSO支持

• container認(rèn)證realm： user、role、server.xml的<Realm...>設(shè)置.

tomcat的認(rèn)證機(jī)制有2個(gè)要素： user 和 role.

• user 是區(qū)別一個(gè)個(gè)用戶的唯一識別了。
• role 就是一些抽象的權(quán)限級別，比如“admin”、“manager”、“member”、“guest”等等，都是可以自己定義的.一個(gè)user可以擁有多種role.
  

“可是tomcat怎么去拿到我的user/role信息呢？我的這些數(shù)據(jù)都在數(shù)據(jù)庫里阿？” 可以在tomcat的server.xml里用 <Realm> tag來讀取這些信息，并且tomcat提供了3、4種現(xiàn)成的Realm實(shí)現(xiàn)，其中有從文件里讀的，有從JDBC讀的，有從DataSource讀的，也有從LDAP讀的。具體Realm的寫法，和提供的幾種Realm的配置方法，可以參考tomcat自己的文檔，在此不作細(xì)述。 (把tomcat自帶的webapp: tomcat-docs.war 展開，看里面的 config/realm.html) 如果連這些現(xiàn)成的配置都不能滿足你的要求的話，那也可以考慮自己寫一個(gè)Realm的實(shí)現(xiàn)類來滿足具體要求。下面舉一個(gè)JDBC的Realm的配置例子看一下：

• webapp使用SSO：
  • 告訴tomcat這個(gè)webapp要通過container的認(rèn)證

• 選擇一種認(rèn)證方法

這里有2個(gè)要點(diǎn)：

• auth-method

舉例為了簡單用了最基本的一種BASIC。若使用BASIC方式，當(dāng)你去訪問受保護(hù)認(rèn)證的資源時(shí)，瀏覽器會(huì)彈出一個(gè)小窗口讓你輸入用戶名和密碼。（就像我們訪問ioffice時(shí)，第一次彈出來的那個(gè)認(rèn)證窗口）其他還有幾種認(rèn)證方式如：FORM、DIGEST、CLIENT-CERT。其中FORM是可以自己寫login畫面的，當(dāng)然html的form內(nèi)容有些規(guī)定（要符合j2ee和container的要求嘛）。 DIGEST是一種加密的傳輸，而CLIENT-CERT沒有查過，有興趣可以去查一下。

• realm-name

這個(gè)realm-name是這個(gè)webapp的認(rèn)證realm名，注意幾個(gè)處于同一SSO下的webapp，他們的realm-name要設(shè)成一樣的值。 如果不設(shè)成一樣，那么換一個(gè)webapp就要重新認(rèn)證一次，達(dá)不到SSO的效果。

• 如何取得當(dāng)前的User信息

原本都習(xí)慣在login以后，把一些login用戶信息放到session里面的. 現(xiàn)在認(rèn)證都交給container去做了，我們的webapp怎么拿到login用戶信息啊？ 確實(shí)，現(xiàn)在我們的webapp能做的，只有從request里面拿到login用戶的userid了。

以上是在一個(gè)Tomcat Container上的SSO實(shí)現(xiàn).
如果是不同的Container上的webapp要做SSO，這種時(shí)候一種可行的方案是，最前面架一個(gè)webserver（比如apache），在webserver這層承擔(dān)SSO的認(rèn)證任務(wù)，后面內(nèi)部就可用掛多個(gè)container了. 具體都用到的時(shí)候再調(diào)查吧.

posted on 2009-05-19 21:21 江蘇520 閱讀(2219) 評論(0)  編輯  收藏