文章來(lái)源:
http://tech.ddvip.com/2009-05/1242796946120038.html
目標(biāo):用戶Login一次之后,可以訪問(wèn)同一Server上的不同Webapp, 具體實(shí)現(xiàn)上采用Tomcat的Single Sign-On實(shí)現(xiàn). 主要分為下面幾個(gè)步驟:
修改Tomcat conf/server.xml,打開(kāi)SSO支持
<Host>
節(jié)點(diǎn)下增加一個(gè)Valve節(jié)點(diǎn)
<Valve className="org.apache.catalina.authenticator.SingleSignOn"
debug="0" requireReauthentication="false"/>
</Host>
container認(rèn)證realm: user、role、server.xml的<Realm...>設(shè)置
tomcat的認(rèn)證機(jī)制有2個(gè)要素: user 和 role.
user 是區(qū)別一個(gè)個(gè)用戶的唯一識(shí)別了。
role 就是一些抽象的權(quán)限級(jí)別,比如“admin”、“manager”、“member”、“guest”等等,都是可以自己定義的.一個(gè)user可以擁有多種role.
“可是tomcat怎么去拿到我的user/role信息呢?我的這些數(shù)據(jù)都在數(shù)據(jù)庫(kù)里阿?”
可以在tomcat的server.xml里用 <Realm> tag來(lái)讀取這些信息,并且tomcat提供了3、4種現(xiàn)成的Realm實(shí)現(xiàn),其中有從文件里讀的,有從JDBC讀的,有從DataSource讀的,也有從LDAP讀的。具體Realm的寫(xiě)法,和提供的幾種Realm的配置方法,可以參考tomcat自己的文檔,在此不作細(xì)述。 (把tomcat自帶的webapp: tomcat-docs.war 展開(kāi),看里面的 config/realm.html) 如果連這些現(xiàn)成的配置都不能滿足你的要求的話,那也可以考慮自己寫(xiě)一個(gè)Realm的實(shí)現(xiàn)類(lèi)來(lái)滿足具體要求。
下面舉一個(gè)JDBC的Realm的配置例子看一下:
<Realm className="org.apache.catalina.realm.JDBCRealm" debug="99"
driverName="your.jdbc.driver.here"
connectionURL="your.jdbc.url.here"
connectionName="test"
connectionPassword="test"
userTable="users"
userNameCol="user_name"
userCredCol="user_pass"
userRoleTable="user_roles"
roleNameCol="role_name" />
webapp使用SSO
告訴tomcat這個(gè)webapp要通過(guò)container的認(rèn)證。
具體做法: 在web.xml里面加上如下的配置:
<security-constraint>
<web-resource-collection>
<web-resource-name>http://www.bt285.cn BT下載 </web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<!-- role name 指定哪個(gè)role可以訪問(wèn),可以為多個(gè)role,如兩個(gè)網(wǎng)站:http://www.5a520.cn http://www.feng123.com -->
<role-name>intrauser</role-name>
</auth-constraint>
</security-constraint>
選擇一種認(rèn)證方法
在web.xml里面加上如下的配置:
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>Intra Web Application</realm-name>
</login-config>
<security-role>
<description>The role that is required to access intrasites</description>
<role-name>intrauser</role-name>
</security-role>
這里有2個(gè)要點(diǎn):
auth-method
舉例為了簡(jiǎn)單用了最基本的一種BASIC。若使用BASIC方式,當(dāng)你去訪問(wèn)受保護(hù)認(rèn)證的資源時(shí),瀏覽器會(huì)彈出一個(gè)小窗口讓你輸入用戶名和密碼。(就像我們?cè)L問(wèn)ioffice時(shí),第一次彈出來(lái)的那個(gè)認(rèn)證窗口)其他還有幾種認(rèn)證方式如:FORM、DIGEST、CLIENT-CERT。其中FORM是可以自己寫(xiě)login畫(huà)面的,當(dāng)然html的form內(nèi)容有些規(guī)定(要符合j2ee和container的要求嘛)。 DIGEST是一種加密的傳輸,而CLIENT-CERT沒(méi)有查過(guò),有興趣可以去查一下。
realm-name
這個(gè)realm-name是這個(gè)webapp的認(rèn)證realm名,注意幾個(gè)處于同一SSO下的webapp,他們的realm-name要設(shè)成一樣的值。 如果不設(shè)成一樣,那么換一個(gè)webapp就要重新認(rèn)證一次,達(dá)不到SSO的效果。
如何取得當(dāng)前的User信息
原本都習(xí)慣在login以后,把一些login用戶信息放到session里面的. 現(xiàn)在認(rèn)證都交給container去做了,我們的webapp怎么拿到login用戶信息啊? 確實(shí),現(xiàn)在我們的webapp能做的,只有從request里面拿到login用戶的userid了。
String userid = request.gerRemoteUser();
以上是在一個(gè)Tomcat Container上的SSO實(shí)現(xiàn).
如果是不同的Container上的webapp要做SSO,這種時(shí)候一種可行的方案是,最前面架一個(gè)webserver(比如apache),在webserver這層承擔(dān)SSO的認(rèn)證任務(wù),后面內(nèi)部就可用掛多個(gè)container了. 具體都用到的時(shí)候再調(diào)查吧。