• 用戶每天平均 16 分鐘花在身份驗(yàn)證任務(wù)上 - 資料來源： IDS
• 頻繁的 IT 用戶平均有 21 個(gè)密碼 - 資料來源： NTA Monitor Password Survey
• 49% 的人寫下了其密碼，而 67% 的人很少改變它們
• 每 79 秒出現(xiàn)一起身份被竊事件 - 資料來源：National Small Business Travel Assoc
• 全球欺騙損失每年約 12B - 資料來源：Comm Fraud Control Assoc
• 到 2007 年，身份管理市場(chǎng)將成倍增長(zhǎng)至 $4.5B - 資料來源：IDS

• 提高 IT 效率：對(duì)于每 1000 個(gè)受管用戶，每用戶可節(jié)省$70K
• 幫助臺(tái)呼叫減少至少1/3，對(duì)于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計(jì) $648K
• 生產(chǎn)力提高：每個(gè)新員工可節(jié)省 $1K，每個(gè)老員工可節(jié)省 $350 &O5533; 資料來源：Giga
• ROI 回報(bào)：7.5 到 13 個(gè)月 &O5533; 資料來源：Gartner

• 所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)。
  統(tǒng)一的認(rèn)證系統(tǒng)是 SSO 的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫(kù)相比較，對(duì)用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ ticket ），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì) ticket 進(jìn)行效驗(yàn)，判斷其有效性。
• 所有應(yīng)用系統(tǒng)能夠識(shí)別和提取 ticket 信息
  要實(shí)現(xiàn) SSO 的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識(shí)別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對(duì) ticket 進(jìn)行識(shí)別和提取，通過與認(rèn)證系統(tǒng)的通訊，能自動(dòng)判斷當(dāng)前用戶是否登錄過，從而完成單點(diǎn)登錄的功能。

• 單一的用戶信息數(shù)據(jù)庫(kù)并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲(chǔ)，應(yīng)該允許用戶信息放置在不同的存儲(chǔ)中，如下圖所示。事實(shí)上，只要統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一 ticket 的產(chǎn)生和效驗(yàn)，無(wú)論用戶信息存儲(chǔ)在什么地方，都能實(shí)現(xiàn)單點(diǎn)登錄。

• 統(tǒng)一的認(rèn)證系統(tǒng)并不是說只有單個(gè)的認(rèn)證服務(wù)器，如下圖所示，整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間要通過標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級(jí)別的單點(diǎn)登錄。如下圖，當(dāng)用戶在訪問應(yīng)用系統(tǒng) 1 時(shí)，由第一個(gè)認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的 ticket 。當(dāng)他訪問應(yīng)用系統(tǒng) 4 的時(shí)候，認(rèn)證服務(wù)器 2 能夠識(shí)別此 ticket 是由第一個(gè)服務(wù)器產(chǎn)生的，通過認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議（例如 SAML ）來交換認(rèn)證信息，仍然能夠完成 SSO 的功能。

1. 統(tǒng)一的身份認(rèn)證服務(wù)。
2. 修改 Web 應(yīng)用，使得每個(gè)應(yīng)用都通過這個(gè)統(tǒng)一的認(rèn)證服務(wù)來進(jìn)行身份效驗(yàn)。

• Web-SSO 的樣例是由三個(gè)標(biāo)準(zhǔn) Web 應(yīng)用組成，壓縮成三個(gè) zip 文件，從 http://gceclub.sun.com.cn/wangyu// 中下載。其中 SSOAuth （ http://gceclub.sun.com.cn/wangyu/ ）是身份認(rèn)證服務(wù)； SSOWebDemo1 （ http://gceclub.sun.com.cn/wangyu/ ）和 SSOWebDemo2 （ http://gceclub.sun.com.cn/wangyu/ ）是兩個(gè)用來演示單點(diǎn)登錄的 Web 應(yīng)用。這三個(gè) Web 應(yīng)用之所以沒有打成 war 包，是因?yàn)樗鼈儾荒苤苯硬渴穑鶕?jù)讀者的部署環(huán)境需要作出小小的修改。樣例部署和運(yùn)行的環(huán)境有一定的要求，需要符合 Servlet2.3 以上標(biāo)準(zhǔn)的 J2EE 容器才能運(yùn)行（例如 Tomcat5,Sun Application Server 8, Jboss 4 等）。另外，身份認(rèn)證服務(wù)需要 JDK1.5 的運(yùn)行環(huán)境。之所以要用 JDK1.5 是因?yàn)楣P者使用了一個(gè)線程安全的高性能的 Java 集合類“ ConcurrentMap” ，只有在 JDK1.5 中才有。
• 這三個(gè) Web 應(yīng)用完全可以單獨(dú)部署，它們可以分別部署在不同的機(jī)器，不同的操作系統(tǒng)和不同的 J2EE 的產(chǎn)品上，它們完全是標(biāo)準(zhǔn)的和平臺(tái)無(wú)關(guān)的應(yīng)用。但是有一個(gè)限制，那兩臺(tái)部署應(yīng)用（ demo1 、 demo2 ）的機(jī)器的域名需要相同，這在后面的章節(jié)中會(huì)解釋到 cookie 和 domain 的關(guān)系以及如何制作跨域的 WEB-SSO
• 解壓縮 SSOAuth.zip 文件，在 /WEB-INF/ 下的 web.xml 中請(qǐng)修改“ domainname” 的屬性以反映實(shí)際的應(yīng)用部署情況， domainname 需要設(shè)置為兩個(gè)單點(diǎn)登錄的應(yīng)用（ demo1 和 demo2 ）所屬的域名。這個(gè) domainname 和當(dāng)前 SSOAuth 服務(wù)部署的機(jī)器的域名沒有關(guān)系。我缺省設(shè)置的是“ .sun.com” 。如果你部署 demo1 和 demo2 的機(jī)器沒有域名，請(qǐng)輸入 IP 地址或主機(jī)名（如 localhost ），但是如果使用 IP 地址或主機(jī)名也就意味著 demo1 和 demo2 需要部署到一臺(tái)機(jī)器上了。設(shè)置完后，根據(jù)你所選擇的 J2EE 容器，可能需要將 SSOAuth 這個(gè)目錄壓縮打包成 war 文件。用“ jar -cvf SSOAuth.war SSOAuth/” 就可以完成這個(gè)功能。
• 解壓縮 SSOWebDemo1 和 SSOWebDemo2 文件，分別在它們 /WEB-INF/ 下找到 web.xml 文件，請(qǐng)修改其中的幾個(gè)初始化參數(shù)
  <init-param>
  <param-name>SSOServiceURL</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
  </init-param>
  <init-param>
  <param-name>SSOLoginPage</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
  </init-param>
  將其中的 SSOServiceURL 和 SSOLoginPage 修改成部署 SSOAuth 應(yīng)用的機(jī)器名、端口號(hào)以及根路徑（缺省是 SSOAuth ）以反映實(shí)際的部署情況。設(shè)置完后，根據(jù)你所選擇的 J2EE 容器，可能需要將 SSOWebDemo1 和 SSOWebDemo2 這兩個(gè)目錄壓縮打包成兩個(gè) war 文件。用“ jar -cvf SSOWebDemo1.war SSOWebDemo1/” 就可以完成這個(gè)功能。
• 請(qǐng)輸入第一個(gè) web 應(yīng)用的測(cè)試 URL （ test.jsp ） , 例如 http://wangyu.prc.sun.com:8080/ SSOWebDemo1/test.jsp ，如果是第一次訪問，便會(huì)自動(dòng)跳轉(zhuǎn)到登錄界面，如下圖
  
  
• 使用系統(tǒng)自帶的三個(gè)帳號(hào)之一登錄（例如，用戶名： wangyu, 密碼： wangyu ），便能成功的看到 test.jsp 的內(nèi)容：顯示當(dāng)前用戶名和歡迎信息。
  

• 請(qǐng)接著在同一個(gè)瀏覽器中輸入第二個(gè) web 應(yīng)用的測(cè)試 URL （ test.jsp ） , 例如 http://wangyu.prc.sun.com:8080/ SSOWebDemo2/test.jsp 。你會(huì)發(fā)現(xiàn)，不需要再次登錄就能看到 test.jsp 的內(nèi)容，同樣是顯示當(dāng)前用戶名和歡迎信息，而且歡迎信息中明確的顯示當(dāng)前的應(yīng)用名稱（ demo2 ）。

package DesktopSSO; ? import java.io.*; import java.net.*; import java.text.*; import java.util.*; import java.util.concurrent.*; ? import javax.servlet.*; import javax.servlet.http.*; ? ? public class SSOAuth extends HttpServlet { ??? ??? static private ConcurrentMap accounts; ??? static private ConcurrentMap SSOIDs; ??? String cookiename="WangYuDesktopSSOID"; ??? String domainname; ??? ??? public void init(ServletConfig config) throws ServletException { ??????? super.init(config); ??????? domainname= config.getInitParameter("domainname"); ??????? cookiename = config.getInitParameter("cookiename"); ??????? SSOIDs = new ConcurrentHashMap(); ??????? accounts=new ConcurrentHashMap(); ??????? accounts.put("wangyu", "wangyu"); ??????? accounts.put("paul", "paul"); ??????? accounts.put("carol", "carol"); ??? } ? ??? protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { ??????? PrintWriter out = response.getWriter(); ??????? String action = request.getParameter("action"); ??????? String result="failed"; ??????? if (action==null) { ??????????? handlerFromLogin(request,response); ??????? } else if (action.equals("authcookie")){ ??????????? String myCookie = request.getParameter("cookiename"); ??????????? if (myCookie != null)?result = authCookie(myCookie); ??????????? out.print(result); ??????????? out.close(); ??????? } else if (action.equals("authuser")) { ??????????? result=authNameAndPasswd(request,response); ??????????? out.print(result); ??????????? out.close(); ??????? }?else if (action.equals("logout")) { ??????????? String myCookie = request.getParameter("cookiename"); ??????????? logout(myCookie); ?? ????????? out.close(); ??????? } ??? } ? ..... ? }

1. 如果用戶還沒有登錄過，是第一次登錄本系統(tǒng)，會(huì)被跳轉(zhuǎn)到 login.jsp 頁(yè)面（在后面會(huì)解釋如何跳轉(zhuǎn)）。用戶在提供了用戶名和密碼以后，就會(huì)用 handlerFromLogin() 這個(gè)方法來驗(yàn)證。
2. 如果用戶已經(jīng)登錄過本系統(tǒng)，再訪問別的應(yīng)用的時(shí)候，是不需要再次登錄的。因?yàn)闉g覽器會(huì)將第一次登錄時(shí)產(chǎn)生的 cookie 和請(qǐng)求一起發(fā)送。效驗(yàn) cookie 的有效性是 SSOAuth 的主要功能之一。
3. SSOAuth 還能直接效驗(yàn)非 login.jsp 頁(yè)面過來的用戶名和密碼的效驗(yàn)請(qǐng)求。這個(gè)功能是用于非 web 應(yīng)用的 SSO ，這在后面的桌面 SSO 中會(huì)用到。
4. SSOAuth 還提供 logout 服務(wù)。

? private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { ??????? String username = request.getParameter("username"); ??????? String password = request.getParameter("password"); ??????? String pass = (String)accounts.get(username); ??????? if ((pass==null)||(!pass.equals(password))) ??????????? getServletContext().getRequestDispatcher("/failed.html").forward(request, response); ??????? else { ??????????? String gotoURL = request.getParameter("goto"); ??????????? String newID = createUID(); ??????????? SSOIDs.put(newID, username); ??????????? Cookie wangyu = new Cookie(cookiename, newID); ??????????? wangyu.setDomain(domainname); ??????????? wangyu.setMaxAge(60000); ??????????? wangyu.setValue(newID); ??????????? wangyu.setPath("/"); ??????????? response.addCookie(wangyu); ??????????? System.out.println("login success, goto back url:" + gotoURL); ??????????? if (gotoURL != null) { ??????????????? PrintWriter out = response.getWriter(); ???? ??????????? response.sendRedirect(gotoURL); ??????????????? out.close(); ??????????? } ??????? }?? ??? }

• Web 應(yīng)用中每一個(gè)需要安全保護(hù)的 URL 在訪問以前，都需要進(jìn)行安全檢查，如果發(fā)現(xiàn)沒有登錄（沒有發(fā)現(xiàn)認(rèn)證之后所帶的 cookie ），就重新定向到 SSOAuth 中的 login.jsp 進(jìn)行登錄。
• 登錄成功后，系統(tǒng)會(huì)自動(dòng)給你的瀏覽器設(shè)置 cookie ，證明你已經(jīng)登錄過了。
• 當(dāng)你再訪問這個(gè)應(yīng)用的需要保護(hù)的 URL 的時(shí)候，系統(tǒng)還是要進(jìn)行安全檢查的，但是這次系統(tǒng)能夠發(fā)現(xiàn)相應(yīng)的 cookie 。
• 有了這個(gè) cookie ，還不能證明你就一定有權(quán)限訪問。因?yàn)橛锌赡苣阋呀?jīng) logout, 或者 cookie 已經(jīng)過期了，或者身份認(rèn)證服務(wù)重起過，這些情況下，你的 cookie 都可能無(wú)效。應(yīng)用系統(tǒng)拿到這個(gè) cookie ，還需要調(diào)用身份認(rèn)證的服務(wù)，來判斷 cookie 時(shí)候真的有效，以及當(dāng)前的 cookie 對(duì)應(yīng)的用戶是誰(shuí)。
• 如果 cookie 效驗(yàn)成功，就允許用戶訪問當(dāng)前請(qǐng)求的資源。

• 在每個(gè)被訪問的資源中（ JSP 或 Servlet ）中都加入身份認(rèn)證的服務(wù)，來獲得 cookie ，并且判斷當(dāng)前用戶是否登錄過。不過這個(gè)笨方法沒有人會(huì)用 :-) 。
• 可以通過一個(gè) controller ，將所有的功能都寫到一個(gè) servlet 中，然后在 URL 映射的時(shí)候，映射到所有需要保護(hù)的 URL 集合中（例如 *.jsp ， /security/* 等）。這個(gè)方法可以使用，不過，它的缺點(diǎn)是不能重用。在每個(gè)應(yīng)用中都要部署一個(gè)相同的 servlet 。
• Filter 是比較好的方法。符合 Servlet2.3 以上的 J2EE 容器就具有部署 filter 的功能。（ Filter 的使用可以參考 JavaWolrd 的文章 http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html ） Filter 是一個(gè)具有很好的模塊化，可重用的編程 API ，用在 SSO 正合適不過。本樣例就是使用一個(gè) filter 來完成以上的功能。

package SSO; ? import java.io.*; import java.net.*; import java.util.*; import java.text.*; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.*; import org.apache.commons.httpclient.*; import org.apache.commons.httpclient.methods.GetMethod; ? public class SSOFilter implements Filter { ??? private FilterConfig filterConfig = null; ??? private String cookieName="WangYuDesktopSSOID"; ??? private String SSOServiceURL=?"http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth"; ??? private String SSOLoginPage= "http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp"; ??? ??? public void init(FilterConfig filterConfig) { ? ??????? this.filterConfig = filterConfig; ??????? if (filterConfig != null) { ??????????? if (debug) { ??????????????? log("SSOFilter:Initializing filter"); ??????????? } ??????? }??????? ??????? cookieName = filterConfig.getInitParameter("cookieName"); ??????? SSOServiceURL = filterConfig.getInitParameter("SSOServiceURL"); ??????? SSOLoginPage = filterConfig.getInitParameter("SSOLoginPage"); ??? }? ..... ..... ? }

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { ??????? if (debug) log("SSOFilter:doFilter()"); ??????? HttpServletRequest request = (HttpServletRequest) req; ??????? HttpServletResponse response = (HttpServletResponse) res; ??????? String result="failed"; ??????? String url = request.getRequestURL().toString(); ??????? String qstring = request.getQueryString(); ??????? if (qstring == null) qstring =""; ? ??????? // 檢查 http 請(qǐng)求的 head 是否有需要的 cookie ??????? String cookieValue =""; ??????? javax.servlet.http.Cookie[] diskCookies = request.getCookies(); ??????? if (diskCookies != null) { ??????????? for (int i = 0; i < diskCookies.length; i++) { ??????????????? if(diskCookies[i].getName().equals(cookieName)){ ??????????????????? cookieValue = diskCookies[i].getValue(); ? ??????????????????? // 如果找到了相應(yīng)的 cookie 則效驗(yàn)其有效性 ??????????????????? result = SSOService(cookieValue); ??????????????????? if (debug) log("found cookies!"); ???????? ??????? } ??????????? } ??????? } ??????? if (result.equals("failed")) { // 效驗(yàn)失敗或沒有找到 cookie ，則需要登錄 ??????????? response.sendRedirect(SSOLoginPage+"?goto="+url); ??????? } else if (qstring.indexOf("logout") > 1) {//logout 服務(wù) ??????????? if (debug) log("logout action!"); ??????????? logoutService(cookieValue); ??????????? response.sendRedirect(SSOLoginPage+"?goto="+url); ??????? }?else {// 效驗(yàn)成功 ??????????? request.setAttribute("SSOUser",result); ??????????? Throwable problem = null; ??????????? try { ??????????? ???? chain.doFilter(req, res); ??????????? } catch(Throwable t) { ??????????????? problem = t; ??????????????? t.printStackTrace(); ??????????? }?????? ??????????? if (problem != null) { ??????????????? if (problem instanceof ServletException) throw (ServletException)problem; ??????????????? if (problem instanceof IOException) throw (IOException)problem; ??????????????? sendProcessingError(problem, res); ??????????? } ??????? }?? ??? }

??? private String SSOService(String cookievalue) throws IOException { ??????? String authAction = "?action=authcookie&cookiename="; ??????? HttpClient httpclient = new HttpClient(); ??????? GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue); ??????? try {? ??????????? httpclient.executeMethod(httpget); ??????????? String result = httpget.getResponseBodyAsString(); ??????????? return result; ??????? } finally { ??????????? httpget.releaseConnection(); ??????? } ??? } ??? ??? private void logoutService(String cookievalue) throws IOException { ??????? String authAction = "?action=logout&cookiename="; ??????? HttpClient httpclient = new HttpClient(); ??????? GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue); ??????? try { ??????????? httpclient.executeMethod(httpget); ??????????? httpget.getResponseBodyAsString(); ??????? } finally { ??????????? httpget.releaseConnection(); ??????? } ??? }

• cookie 的長(zhǎng)度和復(fù)雜度
  在本方案中， cookie 是有一個(gè)固定的字符串（我的姓名）加上當(dāng)前的時(shí)間戳。這樣的 cookie 很容易被偽造和猜測(cè)。懷有惡意的用戶如果猜測(cè)到合法的 cookie 就可以被當(dāng)作已經(jīng)登錄的用戶，任意訪問權(quán)限范圍內(nèi)的資源
• cookie 的效驗(yàn)和保護(hù)
  在本方案中，雖然密碼只要傳輸一次就夠了，可 cookie 在網(wǎng)絡(luò)中是經(jīng)常傳來傳去。一些網(wǎng)絡(luò)探測(cè)工具（如 sniff, snoop,tcpdump 等）可以很容易捕獲到 cookie 的數(shù)值。在本方案中，并沒有考慮 cookie 在傳輸時(shí)候的保護(hù)。另外對(duì) cookie 的效驗(yàn)也過于簡(jiǎn)單，并不去檢查發(fā)送 cookie 的來源究竟是不是 cookie 最初的擁有者，也就是說無(wú)法區(qū)分正常的用戶和仿造 cookie 的用戶。
• 當(dāng)其中一個(gè)應(yīng)用的安全性不好，其他所有的應(yīng)用都會(huì)受到安全威脅
  因?yàn)橛?/span> SSO ，所以當(dāng)某個(gè)處于 SSO 的應(yīng)用被黒客攻破，那么很容易攻破其他處于同一個(gè) SSO 保護(hù)的應(yīng)用。

• 當(dāng)前所提供的登錄認(rèn)證模式只有一種：用戶名和密碼，而且為了簡(jiǎn)單，將用戶名和密碼放在內(nèi)存當(dāng)中。事實(shí)上，用戶身份信息的來源應(yīng)該是多種多樣的，可以是來自數(shù)據(jù)庫(kù)中， LDAP 中，甚至于來自操作系統(tǒng)自身的用戶列表。還有很多其他的認(rèn)證模式都是商務(wù)應(yīng)用不可缺少的，因此 SSO 的解決方案應(yīng)該包括各種認(rèn)證的模式，包括數(shù)字證書， Radius ， SafeWord ， MemberShip ， SecurID 等多種方式。最為靈活的方式應(yīng)該允許可插入的 JAAS 框架來擴(kuò)展身份認(rèn)證的接口
• 我們編寫的 Filter 只能用于 J2EE 的應(yīng)用，而對(duì)于大量非 Java 的 Web 應(yīng)用，卻無(wú)法提供 SSO 服務(wù)。
• 在將 Filter 應(yīng)用到 Web 應(yīng)用的時(shí)候，需要對(duì)容器上的每一個(gè)應(yīng)用都要做相應(yīng)的修改，重新部署。而更加流行的做法是 Agent 機(jī)制：為每一個(gè)應(yīng)用服務(wù)器安裝一個(gè) agent ，就可以將 SSO 功能應(yīng)用到這個(gè)應(yīng)用服務(wù)器中的所有應(yīng)用。
• 當(dāng)前的方案不能支持分別位于不同 domain 的 Web 應(yīng)用進(jìn)行 SSO 。這是因?yàn)闉g覽器在訪問 Web 服務(wù)器的時(shí)候，僅僅會(huì)帶上和當(dāng)前 web 服務(wù)器具有相同 domain 名稱的那些 cookie 。要提供跨域的 SSO 的解決方案有很多其他的方法，在這里就不多說了。 Sun 的 Access Manager 就具有跨域的 SSO 的功能。
• 另外， Filter 的性能問題也是需要重視的方面。因?yàn)?/span> Filter 會(huì)截獲每一個(gè)符合 URL 映射規(guī)則的請(qǐng)求，獲得 cookie ，驗(yàn)證其有效性。這一系列任務(wù)是比較消耗資源的，特別是驗(yàn)證 cookie 有效性是一個(gè)遠(yuǎn)程的 http 的調(diào)用，來訪問 SSOAuth 的認(rèn)證服務(wù)，有一定的延時(shí)。因此在性能上需要做進(jìn)一步的提高。例如在本樣例中，如果將 URL 映射從“ .jsp ” 改成“ /* ” ，也就是說 filter 對(duì)所有的請(qǐng)求都起作用，整個(gè)應(yīng)用會(huì)變得非常慢。這是因?yàn)椋?yè)面當(dāng)中包含了各種靜態(tài)元素如 gif 圖片， css 樣式文件，和其他 html 靜態(tài)頁(yè)面，這些頁(yè)面的訪問都要通過 filter 去驗(yàn)證。而事實(shí)上，這些靜態(tài)元素沒有什么安全上的需求，應(yīng)該在 filter 中進(jìn)行判斷，不去效驗(yàn)這些請(qǐng)求，性能會(huì)好很多。另外，如果在 filter 中加上一定的 cache ，而不需要每一個(gè) cookie 效驗(yàn)請(qǐng)求都去遠(yuǎn)端的身份認(rèn)證服務(wù)中執(zhí)行，性能也能大幅度提高。
• 另外系統(tǒng)還需要很多其他的服務(wù)，如在內(nèi)存中定時(shí)刪除無(wú)用的 cookie 映射等等，都是一個(gè)嚴(yán)肅的解決方案需要考慮的問題。

1. 運(yùn)行此桌面 SSO 需要三個(gè)前提條件：
   a) WEB-SSO 的身份認(rèn)證應(yīng)用應(yīng)該正在運(yùn)行，因?yàn)槲覀冊(cè)谧烂?/span> SSO 當(dāng)中需要用到統(tǒng)一的認(rèn)證服務(wù)
   b) 當(dāng)前桌面需要運(yùn)行 Mozilla 或 Netscape 瀏覽器，因?yàn)槲覀儗?/span> ticket 保存到 mozilla 的 cookie 文件中
   c) 必須在 JDK1.4 以上運(yùn)行。（ WEB-SSO 需要 JDK1.5 以上）
2. 解開 desktopsso.zip 文件，里面有兩個(gè)目錄 bin 和 lib 。
3. bin 目錄下有一些腳本文件和配置文件，其中 config.properties 包含了三個(gè)需要配置的參數(shù)：
   a) SSOServiceURL 要指向 WebSSO 部署的身份認(rèn)證的 URL
   b) SSOLoginPage 要指向 WebSSO 部署的身份認(rèn)證的登錄頁(yè)面 URL
   c) cookiefilepath 要指向當(dāng)前用戶的 mozilla 所存放 cookie 的文件
4. 在 bin 目錄下還有一個(gè) login.conf 是用來配置 JAAS 登錄模塊，本樣例提供了兩個(gè)，讀者可以任意選擇其中一個(gè)（也可以都選），再重新運(yùn)行程序，查看登錄認(rèn)證的變化
5. 在 bin 下的運(yùn)行腳本可能需要作相應(yīng)的修改
   a) 如果是在 unix 下，各個(gè) jar 文件需要用“ : ” 來隔開，而不是“ ; ”
   b) java 運(yùn)行程序需要放置在當(dāng)前運(yùn)行的路徑下，否則需要加上 java 的路徑全名。

??? DesktopSSO { ?? desktopsso.share.PasswordLoginModule required; ?? desktopsso.share.DesktopSSOLoginModule required; };

? public class DesktopSSOLoginModule implements LoginModule { ?? .......... ?? private String SSOServiceURL = ""; ?? private String SSOLoginPage = ""; ?? private static String cookiefilepath = "";?? ?? .........

SSOServiceURL=http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth SSOLoginPage=http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp cookiefilepath=C:\\Documents and Settings\\yw137672\\Application Data\\Mozilla\\Profiles\\default\\hog6z1ji.slt\\cookies.txt

??? public boolean login() throws LoginException{ ??????? try { ??????????? if (Cookielogin()) return true; ??????? } catch (IOException ex) { ??????????? ex.printStackTrace(); ??????? } ????? if (passwordlogin()) return true; ????? throw new FailedLoginException(); ? }

??? public boolean Cookielogin() throws LoginException,IOException { ????? String?cookieValue=""; ????? int cookieIndex =foundCookie(); ????? if (cookieIndex<0) ??????????? return false; ????? else ??????????? cookieValue = getCookieValue(cookieIndex); ???? username = cookieAuth(cookieValue); ???? if (! username.equals("failed")) { ???????? loginSuccess =?true; ???????? return true; ???? } ???? return false; ? }

?? public boolean passwordlogin() throws LoginException { ??? // ??? // Since we need input from a user, we need a callback handler ??? if (callbackHandler == null) { ?????? throw new LoginException("No CallbackHandler defined"); ??? } ??? Callback[] callbacks = new Callback[2]; ??? callbacks[0] = new NameCallback("Username"); ??? callbacks[1] = new PasswordCallback("Password", false); ??? // ??? // Call the callback handler to get the username and password ??? try { ????? callbackHandler.handle(callbacks); ????? username = ((NameCallback)callbacks[0]).getName(); ????? char[] temp = ((PasswordCallback)callbacks[1]).getPassword(); ????? password = new char[temp.length]; ????? System.arraycopy(temp, 0, password, 0, temp.length); ????? ((PasswordCallback)callbacks[1]).clearPassword(); ??? } catch (IOException ioe) { ????? throw new LoginException(ioe.toString()); ??? } catch (UnsupportedCallbackException uce) { ????? throw new LoginException(uce.toString()); ??? } ??? ??? System.out.println(); ??? String authresult =""; ??? try { ??????? authresult = userAuth(username, password); ??? } catch (IOException ex) { ??????? ex.printStackTrace(); ??? } ??? if (! authresult.equals("failed")) { ??????? loginSuccess= true; ??????? clearPassword(); ??????? try { ??????????? updateCookie(authresult); ??????? } catch (IOException ex) { ??????????? ex.printStackTrace(); ??????? } ??????? return true; ??? } ?? ? ??? loginSuccess = false; ??? username = null; ??? clearPassword(); ??? System.out.println( "Login: PasswordLoginModule FAIL" ); ??? throw new FailedLoginException(); ? } ?

??????? private String cookieAuth(String cookievalue) throws IOException{ ??????? String result = "failed"; ??????? ??????? HttpClient httpclient = new HttpClient();?????? ??????? GetMethod httpget = new GetMethod(SSOServiceURL+Action1+cookievalue); ??? ??????? try { ??????????? httpclient.executeMethod(httpget); ??????????? result = httpget.getResponseBodyAsString(); ??????? } finally { ??????????? httpget.releaseConnection(); ??????? } ??????? return result; ??? } ? private String userAuth(String username, char[] password) throws IOException{ ??????? String result = "failed"; ??????? String passwd= new String(password); ??????? HttpClient httpclient = new HttpClient();?????? ??????? GetMethod httpget = new GetMethod(SSOServiceURL+Action2+username+"&password="+passwd); ??????? passwd = null; ??? ??????? try { ??????????? httpclient.executeMethod(httpget); ??????????? result = httpget.getResponseBodyAsString(); ??????? } finally { ??????????? httpget.releaseConnection(); ??????? } ??????? return result; ??????? ??? }

• OpenSSO 的網(wǎng)站： https://opensso.dev.java.net/
• 在 java 應(yīng)用中使用掩碼的密碼提示： http://java.sun.com/developer/technicalArticles/Security/pwordmask/
• Kerberos 的資源網(wǎng)站： http://web.mit.edu/kerberos/
• Sun 的 Java&Kerberos 教程： http://java.sun.com/j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html
• Apache 社區(qū)提供的 HttpClient 工具包網(wǎng)址： http://jakarta.apache.org/commons/index.html ）
• Filter 的使用教程文章： http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html

jwebee

我的個(gè)人網(wǎng)站