摘要:單點登錄(SSO)的技術(shù)被越來越廣泛地運用到各個領(lǐng)域的軟件系統(tǒng)當(dāng)中���。本文從業(yè)務(wù)的角度分析了單點登錄的需求和應(yīng)用領(lǐng)域�����;從技術(shù)本身的角度分析了單點登錄技術(shù)的內(nèi)部機制和實現(xiàn)手段��,并且給出Web-SSO和桌面SSO的實現(xiàn)��、源代碼和詳細(xì)講解���;還從安全和性能的角度對現(xiàn)有的實現(xiàn)技術(shù)進行進一步分析,指出相應(yīng)的風(fēng)險和需要改進的方面�。本文除了從多個方面和角度給出了對單點登錄(SSO)的全面分析,還并且討論了如何將現(xiàn)有的應(yīng)用和SSO服務(wù)結(jié)合起來��,能夠幫助應(yīng)用架構(gòu)師和系統(tǒng)分析人員從本質(zhì)上認(rèn)識單點登錄���,從而更好地設(shè)計出符合需要的安全架構(gòu)����。
關(guān)鍵字:SSO, Java, J2EE, JAAS
1 什么是單點登陸
單點登錄(Single Sign On),簡稱為 SSO���,是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一��。SSO的定義是在多個應(yīng)用系統(tǒng)中�����,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)����。
較大的企業(yè)內(nèi)部���,一般都有很多的業(yè)務(wù)支持系統(tǒng)為其提供相應(yīng)的管理和IT服
務(wù)�。例如財務(wù)系統(tǒng)為財務(wù)人員提供財務(wù)的管理����、計算和報表服務(wù);人事系統(tǒng)為人事部門提供全公司人員的維護服務(wù);各種業(yè)務(wù)系統(tǒng)為公司內(nèi)部不同的業(yè)務(wù)提供不同的
服務(wù)等等���。這些系統(tǒng)的目的都是讓計算機來進行復(fù)雜繁瑣的計算工作�����,來替代人力的手工勞動,提高工作效率和質(zhì)量���。這些不同的系統(tǒng)往往是在不同的時期建設(shè)起來
的�,運行在不同的平臺上����;也許是由不同廠商開發(fā),使用了各種不同的技術(shù)和標(biāo)準(zhǔn)��。如果舉例說國內(nèi)一著名的IT公司(名字隱去)����,內(nèi)部共有60多個業(yè)務(wù)系統(tǒng),這些系統(tǒng)包括兩個不同版本的SAP的ERP系統(tǒng)��,12個不同類型和版本的數(shù)據(jù)庫系統(tǒng)���,8個不同類型和版本的操作系統(tǒng)��,以及使用了3種不同的防火墻技術(shù)���,還有數(shù)十種互相不能兼容的協(xié)議和標(biāo)準(zhǔn)����,你相信嗎��?不要懷疑�,這種情況其實非常普遍。每一個應(yīng)用系統(tǒng)在運行了數(shù)年以后����,都會成為不可替換的企業(yè)IT架構(gòu)的一部分,如下圖所示��。
隨
著企業(yè)的發(fā)展���,業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加��,老的系統(tǒng)卻不能輕易的替換�����,這會帶來很多的開銷�。其一是管理上的開銷,需要維護的系統(tǒng)越來越多���。很多系統(tǒng)的數(shù)
據(jù)是相互冗余和重復(fù)的����,數(shù)據(jù)的不一致性會給管理工作帶來很大的壓力����。業(yè)務(wù)和業(yè)務(wù)之間的相關(guān)性也越來越大���,例如公司的計費系統(tǒng)和財務(wù)系統(tǒng)�����,財務(wù)系統(tǒng)和人事系
統(tǒng)之間都不可避免的有著密切的關(guān)系�����。
為了降低管理的消耗�,最大限度的重用已有投資的系統(tǒng)���,很多企業(yè)都在進行著企業(yè)應(yīng)用集成(EAI)����。
企業(yè)應(yīng)用集成可以在不同層面上進行:例如在數(shù)據(jù)存儲層面上的“數(shù)據(jù)大集中”,在傳輸層面上的“通用數(shù)據(jù)交換平臺”���,在應(yīng)用層面上的“業(yè)務(wù)流程整合”�����,和用
戶界面上的“通用企業(yè)門戶”等等����。事實上����,還用一個層面上的集成變得越來越重要,那就是“身份認(rèn)證”的整合����,也就是“單點登錄”。
通常來說����,每個單獨的系統(tǒng)都會有自己的安全體系和身份認(rèn)證系統(tǒng)�。整合以前���,進入每個系統(tǒng)都需要進行登錄��,這樣的局面不僅給管理上帶來了很大的困難���,在安全方面也埋下了重大的隱患。下面是一些著名的調(diào)查公司顯示的統(tǒng)計數(shù)據(jù):
- 用戶每天平均 16 分鐘花在身份驗證任務(wù)上 - 資料來源: IDS
- 頻繁的 IT 用戶平均有 21 個密碼 - 資料來源: NTA Monitor Password Survey
- 49% 的人寫下了其密碼��,而 67% 的人很少改變它們
- 每 79 秒出現(xiàn)一起身份被竊事件 - 資料來源:National Small Business Travel Assoc
- 全球欺騙損失每年約 12B - 資料來源:Comm Fraud Control Assoc
- 到 2007 年��,身份管理市場將成倍增長至 $4.5B - 資料來源:IDS
使用“單點登錄”整合后��,只需要登錄一次就可以進入多個系統(tǒng)����,而不需要重新登錄���,這不僅僅帶來了更好的用戶體驗�,更重要的是降低了安全的風(fēng)險和管理的消耗����。請看下面的統(tǒng)計數(shù)據(jù):
- 提高 IT 效率:對于每 1000 個受管用戶��,每用戶可節(jié)省$70K
- 幫助臺呼叫減少至少1/3��,對于 10K 員工的公司����,每年可以節(jié)省每用戶 $75�����,或者合計 $648K
- 生產(chǎn)力提高:每個新員工可節(jié)省 $1K��,每個老員工可節(jié)省 $350 ?資料來源:Giga
- ROI 回報:7.5 到 13 個月 ?資料來源:Gartner
另外�,使用“單點登錄”還是SOA時代的需求之一。在面向服務(wù)的架構(gòu)中�����,服務(wù)和服務(wù)之間���,程序和程序之間的通訊大量存在����,服務(wù)之間的安全認(rèn)證是SOA應(yīng)用的難點之一����,應(yīng)此建立“單點登錄”的系統(tǒng)體系能夠大大簡化SOA的安全問題��,提高服務(wù)之間的合作效率��。
2 單點登陸的技術(shù)實現(xiàn)機制
隨著SSO技術(shù)的流行���,SSO的產(chǎn)品也是滿天飛揚。所有著名的軟件廠商都提供了相應(yīng)的解決方案�����。在這里我并不想介紹自己公司(Sun Microsystems)的產(chǎn)品����,而是對SSO技術(shù)本身進行解析,并且提供自己開發(fā)這一類產(chǎn)品的方法和簡單演示��。有關(guān)我寫這篇文章的目的�����,請參考我的博客(http://yuwang881.blog.sohu.com/3184816.html)����。
單
點登錄的機制其實是比較簡單的,用一個現(xiàn)實中的例子做比較。頤和園是北京著名的旅游景點,也是我常去的地方�。在頤和園內(nèi)部有許多獨立的景點,例如“蘇州
街”�、“佛香閣”和“德和園”,都可以在各個景點門口單獨買票�����。很多游客需要游玩所有德景點��,這種買票方式很不方便��,需要在每個景點門口排隊買票����,錢包拿
進拿出的�����,容易丟失�,很不安全。于是絕大多數(shù)游客選擇在大門口買一張通票(也叫套票)�,就可以玩遍所有的景點而不需要重新再買票。他們只需要在每個景點門
口出示一下剛才買的套票就能夠被允許進入每個獨立的景點��。
單點登錄的機制也一樣,如下圖所示��,當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)1的時候�����,因為還沒有登錄�,會被引導(dǎo)到認(rèn)證系統(tǒng)中進行登錄(1);根據(jù)用戶提供的登錄信息�����,認(rèn)證系統(tǒng)進行身份效驗����,如果通過效驗,應(yīng)該返回給用戶一個認(rèn)證的憑據(jù)--ticket(2)���;用戶再訪問別的應(yīng)用的時候(3��,5)就會將這個ticket帶上��,作為自己認(rèn)證的憑據(jù)����,應(yīng)用系統(tǒng)接受到請求之后會把ticket送到認(rèn)證系統(tǒng)進行效驗��,檢查ticket的合法性(4�,6)。如果通過效驗���,用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了�����。
從上面的視圖可以看出����,要實現(xiàn)SSO�,需要以下主要的功能:
- 所有應(yīng)用系統(tǒng)共享一個身份認(rèn)證系統(tǒng)。
統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一���。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較��,對用戶進行登錄認(rèn)證��;認(rèn)證成功后����,認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志(ticket),返還給用戶�����。另外���,認(rèn)證系統(tǒng)還應(yīng)該對ticket進行效驗��,判斷其有效性�。
- 所有應(yīng)用系統(tǒng)能夠識別和提取ticket信息
要實現(xiàn)SSO的功能���,讓用戶只登錄一次���,就必須讓應(yīng)用系統(tǒng)能夠識別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對ticket進行識別和提取�����,通過與認(rèn)證系統(tǒng)的通訊����,能自動判斷當(dāng)前用戶是否登錄過��,從而完成單點登錄的功能�。
上面的功能只是一個非常簡單的SSO架構(gòu)��,在現(xiàn)實情況下的SSO有著更加復(fù)雜的結(jié)構(gòu)�����。有兩點需要指出的是:
- 單一的用戶信息數(shù)據(jù)庫并不是必須的�����,有許多系統(tǒng)不能將所有的用戶信息都集中存儲�����,應(yīng)該允許用戶信息放置在不同的存儲中�,如下圖所示���。事實上���,只要統(tǒng)一認(rèn)證系統(tǒng),統(tǒng)一ticket的產(chǎn)生和效驗�����,無論用戶信息存儲在什么地方,都能實現(xiàn)單點登錄���。
- 統(tǒng)一的認(rèn)證系統(tǒng)并不是說只有單個的認(rèn)證服務(wù)器��,如下圖所示���,整個系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器,這些服務(wù)器甚至可以是不同的產(chǎn)品���。認(rèn)證服務(wù)器之間要通過標(biāo)準(zhǔn)的通訊協(xié)議�,互相交換認(rèn)證信息�,就能完成更高級別的單點登錄。如下圖�����,當(dāng)用戶在訪問應(yīng)用系統(tǒng)1時�����,由第一個認(rèn)證服務(wù)器進行認(rèn)證后�,得到由此服務(wù)器產(chǎn)生的ticket���。當(dāng)他訪問應(yīng)用系統(tǒng)4的時候,認(rèn)證服務(wù)器2能夠識別此ticket是由第一個服務(wù)器產(chǎn)生的��,通過認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議(例如SAML)來交換認(rèn)證信息����,仍然能夠完成SSO的功能����。
3 WEB-SSO的實現(xiàn)
隨著互聯(lián)網(wǎng)的高速發(fā)展,WEB應(yīng)用幾乎統(tǒng)治了絕大部分的軟件應(yīng)用系統(tǒng)�,因此WEB-SSO是SSO應(yīng)用當(dāng)中最為流行。WEB-SSO有其自身的特點和優(yōu)勢�����,實現(xiàn)起來比較簡單易用��。很多商業(yè)軟件和開源軟件都有對WEB-SSO的實現(xiàn)�。其中值得一提的是OpenSSO (https://opensso.dev.),為用Java實現(xiàn)WEB-SSO提供架構(gòu)指南和服務(wù)指南����,為用戶自己來實現(xiàn)WEB-SSO提供了理論的依據(jù)和實現(xiàn)的方法�。
為什么說WEB-SSO比較容易實現(xiàn)呢����?這是有WEB應(yīng)用自身的特點決定的。
眾所周知����,Web協(xié)議(也就是HTTP)是一個無狀態(tài)的協(xié)議。一個Web應(yīng)用由很多個Web頁面組成����,每個頁面都有唯一的URL來定義。用戶在瀏覽器的地址欄輸入頁面的URL�����,瀏覽器就會向Web Server去發(fā)送請求�。如下圖,瀏覽器向Web服務(wù)器發(fā)送了兩個請求�,申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨的HTTP連接�����。所謂無狀態(tài)的協(xié)議也就是表現(xiàn)在這里����,瀏覽器和Web服務(wù)器會在第一個請求完成以后關(guān)閉連接通道����,在第二個請求的時候重新建立連接����。Web服務(wù)器并不區(qū)分哪個請求來自哪個客戶端,對所有的請求都一視同仁�����,都是單獨的連接����。這樣的方式大大區(qū)別于傳統(tǒng)的(Client/Server)C/S結(jié)構(gòu),在那樣的應(yīng)用中���,客戶端和服務(wù)器端會建立一個長時間的專用的連接通道�。正是因為有了無狀態(tài)的特性��,每個連接資源能夠很快被其他客戶端所重用���,一臺Web服務(wù)器才能夠同時服務(wù)于成千上萬的客戶端�����。
但是我們通常的應(yīng)用是有狀態(tài)的�。先不用提不同應(yīng)用之間的SSO,在同一個應(yīng)用中也需要保存用戶的登錄身份信息����。例如用戶在訪問頁面1的時候進行了登錄,但是剛才也提到����,客戶端的每個請求都是單獨的連接,當(dāng)客戶再次訪問頁面2的時候�,如何才能告訴Web服務(wù)器,客戶剛才已經(jīng)登錄過了呢�?瀏覽器和服務(wù)器之間有約定:通過使用cookie技術(shù)來維護應(yīng)用的狀態(tài)。Cookie是可以被Web服務(wù)器設(shè)置的字符串���,并且可以保存在瀏覽器中�����。如下圖所示�,當(dāng)瀏覽器訪問了頁面1時,web服務(wù)器設(shè)置了一個cookie�,并將這個cookie和頁面1一起返回給瀏覽器,瀏覽器接到cookie之后����,就會保存起來,在它訪問頁面2的時候會把這個cookie也帶上�,Web服務(wù)器接到請求時也能讀出cookie的值,根據(jù)cookie值的內(nèi)容就可以判斷和恢復(fù)一些用戶的信息狀態(tài)��。
Web-SSO完全可以利用Cookie結(jié)束來完成用戶登錄信息的保存��,將瀏覽器中的Cookie和上文中的Ticket結(jié)合起來����,完成SSO的功能。
為了完成一個簡單的SSO的功能�����,需要兩個部分的合作:
- 統(tǒng)一的身份認(rèn)證服務(wù)���。
- 修改Web應(yīng)用,使得每個應(yīng)用都通過這個統(tǒng)一的認(rèn)證服務(wù)來進行身份效驗����。
3.1 Web SSO 的樣例
根據(jù)上面的原理����,我用J2EE的技術(shù)(JSP和Servlet)完成了一個具有Web-SSO的簡單樣例�。樣例包含一個身份認(rèn)證的服務(wù)器和兩個簡單的Web應(yīng)用,使得這兩個 Web應(yīng)用通過統(tǒng)一的身份認(rèn)證服務(wù)來完成Web-SSO的功能�。此樣例所有的源代碼和二進制代碼都可以從網(wǎng)站地址http://gceclub./wangyu/ 下載。
樣例下載�、安裝部署和運行指南:
- Web-SSO的樣例是由三個標(biāo)準(zhǔn)Web應(yīng)用組成,壓縮成三個zip文件���,從http://gceclub./wangyu/web-sso/中下載�。其中SSOAuth(http://gceclub./wangyu/web-sso/SSOAuth.zip)是身份認(rèn)證服務(wù)�����;SSOWebDemo1(http://gceclub./wangyu/web-sso/SSOWebDemo1.zip)和SSOWebDemo2(http://gceclub./wangyu/web-sso/SSOWebDemo2.zip)是兩個用來演示單點登錄的Web應(yīng)用�����。這三個Web應(yīng)用之所以沒有打成war包��,是因為它們不能直接部署�����,根據(jù)讀者的部署環(huán)境需要作出小小的修改。樣例部署和運行的環(huán)境有一定的要求��,需要符合Servlet2.3以上標(biāo)準(zhǔn)的J2EE容器才能運行(例如Tomcat5,Sun Application Server 8, Jboss 4等)���。另外��,身份認(rèn)證服務(wù)需要JDK1.5的運行環(huán)境�。之所以要用JDK1.5是因為筆者使用了一個線程安全的高性能的Java集合類“ConcurrentMap”�,只有在JDK1.5中才有。
- 這三個Web應(yīng)用完全可以單獨部署����,它們可以分別部署在不同的機器,不同的操作系統(tǒng)和不同的J2EE的產(chǎn)品上�����,它們完全是標(biāo)準(zhǔn)的和平臺無關(guān)的應(yīng)用�����。但是有一個限制����,那兩臺部署應(yīng)用(demo1、demo2)的機器的域名需要相同�����,這在后面的章節(jié)中會解釋到cookie和domain的關(guān)系以及如何制作跨域的WEB-SSO
- 解壓縮SSOAuth.zip文件���,在/WEB-INF/下的web.xml中請修改“domainname”的屬性以反映實際的應(yīng)用部署情況�����,domainname需要設(shè)置為兩個單點登錄的應(yīng)用(demo1和demo2)所屬的域名�。這個domainname和當(dāng)前SSOAuth服務(wù)部署的機器的域名沒有關(guān)系���。我缺省設(shè)置的是“.”���。如果你部署demo1和demo2的機器沒有域名,請輸入IP地址或主機名(如localhost)���,但是如果使用IP地址或主機名也就意味著demo1和demo2需要部署到一臺機器上了����。設(shè)置完后,根據(jù)你所選擇的J2EE容器�,可能需要將SSOAuth這個目錄壓縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個功能����。
- 解壓縮SSOWebDemo1和SSOWebDemo2文件,分別在它們/WEB-INF/下找到web.xml文件���,請修改其中的幾個初始化參數(shù)
<init-param>
<param-name>SSOServiceURL</param-name>
<param-value>http://wangyu.prc.:8080/SSOAuth/SSOAuth</param-value>
</init-param>
<init-param>
<param-name>SSOLoginPage</param-name>
<param-value>http://wangyu.prc.:8080/SSOAuth/login.jsp</param-value>
</init-param>
將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應(yīng)用的機器名�、端口號以及根路徑(缺省是SSOAuth)以反映實際的部署情況����。設(shè)置完后,根據(jù)你所選擇的J2EE容器�,可能需要將SSOWebDemo1和SSOWebDemo2這兩個目錄壓縮打包成兩個war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個功能�����。
- 請輸入第一個web應(yīng)用的測試URL(test.jsp),例如http://wangyu.prc.:8080/ SSOWebDemo1/test.jsp�,如果是第一次訪問,便會自動跳轉(zhuǎn)到登錄界面��,如下圖
- 使用系統(tǒng)自帶的三個賬號之一登錄(例如�,用戶名:wangyu,密碼:wangyu)��,便能成功的看到test.jsp的內(nèi)容:顯示當(dāng)前用戶名和歡迎信息。
- 請接著在同一個瀏覽器中輸入第二個web應(yīng)用的測試URL(test.jsp),例如http://wangyu.prc.:8080/ SSOWebDemo2/test.jsp��。你會發(fā)現(xiàn)��,不需要再次登錄就能看到test.jsp的內(nèi)容�,同樣是顯示當(dāng)前用戶名和歡迎信息,而且歡迎信息中明確的顯示當(dāng)前的應(yīng)用名稱(demo2)��。
3.2 WEB-SSO代碼講解
3.2.1身份認(rèn)證服務(wù)代碼解析
Web-SSO的源代碼可以從網(wǎng)站地址http://gceclub./wangyu/web-sso/websso_src.zip下載����。身份認(rèn)證服務(wù)是一個標(biāo)準(zhǔn)的web應(yīng)用,包括一個名為SSOAuth的Servlet��,一個login.jsp文件和一個failed.html�����。身份認(rèn)證的所有服務(wù)幾乎都由SSOAuth的Servlet來實現(xiàn)了����;login.jsp用來顯示登錄的頁面(如果發(fā)現(xiàn)用戶還沒有登錄過);failed.html是用來顯示登錄失敗的信息(如果用戶的用戶名和密碼與信息數(shù)據(jù)庫中的不一樣)�。
SSOAuth的代碼如下面的列表顯示�����,結(jié)構(gòu)非常簡單���,先看看這個Servlet的主體部分:
|
package DesktopSSO;
import java.io.*;
import .*;
import java.text.*;
import java.util.*;
import java.util.concurrent.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class SSOAuth extends HttpServlet {
static private ConcurrentMap accounts;
static private ConcurrentMap SSOIDs;
String cookiename="WangYuDesktopSSOID";
String domainname;
public void init(ServletConfig config) throws ServletException {
super.init(config);
domainname= config.getInitParameter("domainname");
cookiename = config.getInitParameter("cookiename");
SSOIDs = new ConcurrentHashMap();
accounts=new ConcurrentHashMap();
accounts.put("wangyu", "wangyu");
accounts.put("paul", "paul");
accounts.put("carol", "carol");
}
protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
PrintWriter out = response.getWriter();
String action = request.getParameter("action");
String result="failed";
if (action==null) {
handlerFromLogin(request,response);
} else if (action.equals("authcookie")){
String myCookie = request.getParameter("cookiename");
if (myCookie != null) result = authCookie(myCookie);
out.print(result);
out.close();
} else if (action.equals("authuser")) {
result=authNameAndPasswd(request,response);
out.print(result);
out.close();
} else if (action.equals("logout")) {
String myCookie = request.getParameter("cookiename");
logout(myCookie);
out.close();
}
}
.....
}
|
從代碼很容易看出,SSOAuth就是一個簡單的Servlet�����。其中有兩個靜態(tài)成員變量:accounts和SSOIDs�,這兩個成員變量都使用了JDK1.5中線程安全的MAP類: ConcurrentMap,所以這個樣例一定要JDK1.5才能運行��。Accounts用來存放用戶的用戶名和密碼�����,在init()的方法中可以看到我給系統(tǒng)添加了三個合法的用戶���。在實際應(yīng)用中�����,accounts應(yīng)該是去數(shù)據(jù)庫中或LDAP中獲得���,為了簡單起見�,在本樣例中我使用了ConcurrentMap在內(nèi)存中用程序創(chuàng)建了三個用戶��。而SSOIDs保存了在用戶成功的登錄后所產(chǎn)生的cookie和用戶名的對應(yīng)關(guān)系�。它的功能顯而易見:當(dāng)用戶成功登錄以后��,再次訪問別的系統(tǒng)�,為了鑒別這個用戶請求所帶的cookie的有效性,需要到SSOIDs中檢查這樣的映射關(guān)系是否存在���。
在主要的請求處理方法processRequest()中��,可以很清楚的看到SSOAuth的所有功能
- 如果用戶還沒有登錄過�����,是第一次登錄本系統(tǒng)��,會被跳轉(zhuǎn)到login.jsp頁面(在后面會解釋如何跳轉(zhuǎn))�。用戶在提供了用戶名和密碼以后��,就會用handlerFromLogin()這個方法來驗證�����。
- 如果用戶已經(jīng)登錄過本系統(tǒng),再訪問別的應(yīng)用的時候�,是不需要再次登錄的。因為瀏覽器會將第一次登錄時產(chǎn)生的cookie和請求一起發(fā)送�。效驗cookie的有效性是SSOAuth的主要功能之一。
- SSOAuth還能直接效驗非login.jsp頁面過來的用戶名和密碼的效驗請求���。這個功能是用于非web應(yīng)用的SSO��,這在后面的桌面SSO中會用到�����。
- SSOAuth還提供logout服務(wù)���。
下面看看幾個主要的功能函數(shù):
|
private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
String pass = (String)accounts.get(username);
if ((pass==null)||(!pass.equals(password)))
getServletContext().getRequestDispatcher("/failed.html").forward(request, response);
else {
String gotoURL = request.getParameter("goto");
String newID = createUID();
SSOIDs.put(newID, username);
Cookie wangyu = new Cookie(cookiename, newID);
wangyu.setDomain(domainname);
wangyu.setMaxAge(60000);
wangyu.setValue(newID);
wangyu.setPath("/");
response.addCookie(wangyu);
System.out.println("login success, goto back url:" + gotoURL);
if (gotoURL != null) {
PrintWriter out = response.getWriter();
response.sendRedirect(gotoURL);
out.close();
}
}
}
|
handlerFromLogin()這個方法是用來處理來自login.jsp的登錄請求。它的邏輯很簡單:將用戶輸入的用戶名和密碼與預(yù)先設(shè)定好的用戶集合(存放在accounts中)相比較�����,如果用戶名或密碼不匹配的話����,則返回登錄失敗的頁面(failed.html)�����,如果登錄成功的話����,需要為用戶當(dāng)前的session創(chuàng)建一個新的ID�����,并將這個ID和用戶名的映射關(guān)系存放到SSOIDs中�,最后還要將這個ID設(shè)置為瀏覽器能夠保存的cookie值��。
登錄成功后����,瀏覽器會到哪個頁面呢?那我們回顧一下我們是如何使用身份認(rèn)證服務(wù)的����。一般來說我們不會直接訪問身份服務(wù)的任何URL,包括login.jsp����。身份服務(wù)是用來保護其他應(yīng)用服務(wù)的�,用戶一般在訪問一個受SSOAuth保護的Web應(yīng)用的某個URL時�,當(dāng)前這個應(yīng)用會發(fā)現(xiàn)當(dāng)前的用戶還沒有登錄,便強制將也頁面轉(zhuǎn)向SSOAuth的login.jsp���,讓用戶登錄�。如果登錄成功后�����,應(yīng)該自動的將用戶的瀏覽器指向用戶最初想訪問的那個URL����。在handlerFromLogin()這個方法中,我們通過接收“goto”這個參數(shù)來保存用戶最初訪問的URL����,成功后便重新定向到這個頁面中。
另外一個要說明的是��,在設(shè)置cookie的時候���,我使用了一個setMaxAge(6000)的方法�����。這個方法是用來設(shè)置cookie的有效期�����,單位是秒�����。如果不使用這個方法或者參數(shù)為負(fù)數(shù)的話����,當(dāng)瀏覽器關(guān)閉的時候,這個cookie就失效了��。在這里我給了很大的值(1000分鐘)��,導(dǎo)致的行為是:當(dāng)你關(guān)閉瀏覽器(或者關(guān)機)�,下次再打開瀏覽器訪問剛才的應(yīng)用�,只要在1000分鐘之內(nèi),就不需要再登錄了����。我這樣做是下面要介紹的桌面SSO中所需要的功能。
其他的方法更加簡單,這里就不多解釋了�����。
3.2.2具有SSO功能的web應(yīng)用源代碼解析
要實現(xiàn)WEB-SSO的功能�,只有身份認(rèn)證服務(wù)是不夠的。這點很顯然���,要想使多個應(yīng)用具有單點登錄的功能�,還需要每個應(yīng)用本身的配合:將自己的身份認(rèn)證的服務(wù)交給一個統(tǒng)一的身份認(rèn)證服務(wù)-SSOAuth�。SSOAuth服務(wù)中提供的各個方法就是供每個加入SSO的Web應(yīng)用來調(diào)用的。
一般來說�,Web應(yīng)用需要SSO的功能,應(yīng)該通過以下的交互過程來調(diào)用身份認(rèn)證服務(wù)的提供的認(rèn)證服務(wù):
- Web應(yīng)用中每一個需要安全保護的URL在訪問以前����,都需要進行安全檢查,如果發(fā)現(xiàn)沒有登錄(沒有發(fā)現(xiàn)認(rèn)證之后所帶的cookie)�,就重新定向到SSOAuth中的login.jsp進行登錄。
- 登錄成功后�����,系統(tǒng)會自動給你的瀏覽器設(shè)置cookie����,證明你已經(jīng)登錄過了���。
- 當(dāng)你再訪問這個應(yīng)用的需要保護的URL的時候,系統(tǒng)還是要進行安全檢查的��,但是這次系統(tǒng)能夠發(fā)現(xiàn)相應(yīng)的cookie��。
- 有了這個cookie���,還不能證明你就一定有權(quán)限訪問���。因為有可能你已經(jīng)logout,或者cookie已經(jīng)過期了,或者身份認(rèn)證服務(wù)重起過���,這些情況下��,你的cookie都可能無效。應(yīng)用系統(tǒng)拿到這個cookie�,還需要調(diào)用身份認(rèn)證的服務(wù),來判斷cookie時候真的有效����,以及當(dāng)前的cookie對應(yīng)的用戶是誰�。
- 如果cookie效驗成功�����,就允許用戶訪問當(dāng)前請求的資源�。
以上這些功能,可以用很多方法來實現(xiàn):
- 在每個被訪問的資源中(JSP或Servlet)中都加入身份認(rèn)證的服務(wù)���,來獲得cookie�,并且判斷當(dāng)前用戶是否登錄過��。不過這個笨方法沒有人會用:-)�。
- 可以通過一個controller,將所有的功能都寫到一個servlet中�,然后在URL映射的時候,映射到所有需要保護的URL集合中(例如*.jsp�����,/security/*等)�。這個方法可以使用,不過�����,它的缺點是不能重用。在每個應(yīng)用中都要部署一個相同的servlet����。
- Filter是比較好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能���。(Filter的使用可以參考JavaWolrd的文章http://www./javaworld/jw-06-2001/jw-0622-filters.html)Filter是一個具有很好的模塊化�����,可重用的編程API�����,用在SSO正合適不過����。本樣例就是使用一個filter來完成以上的功能��。
|
package SSO;
import java.io.*;
import .*;
import java.util.*;
import java.text.*;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.*;
import org.apache.commons.httpclient.*;
import org.apache.commons.httpclient.methods.GetMethod;
public class SSOFilter implements Filter {
private FilterConfig filterConfig = null;
private String cookieName="WangYuDesktopSSOID";
private String SSOServiceURL= "http://wangyu.prc.:8080/SSOAuth/SSOAuth";
private String SSOLoginPage= "http://wangyu.prc.:8080/SSOAuth/login.jsp";
public void init(FilterConfig filterConfig) {
this.filterConfig = filterConfig;
if (filterConfig != null) {
if (debug) {
log("SSOFilter:Initializing filter");
}
}
cookieName = filterConfig.getInitParameter("cookieName");
SSOServiceURL = filterConfig.getInitParameter("SSOServiceURL");
SSOLoginPage = filterConfig.getInitParameter("SSOLoginPage");
}
.....
.....
}
|
以上的初始化的源代碼有兩點需要說明:一是有兩個需要配置的參數(shù)SSOServiceURL和SSOLoginPage�。因為當(dāng)前的Web應(yīng)用很可能和身份認(rèn)證服務(wù)(SSOAuth)不在同一臺機器上,所以需要讓這個filter知道身份認(rèn)證服務(wù)部署的URL�,這樣才能去調(diào)用它的服務(wù)��。另外一點就是由于身份認(rèn)證的服務(wù)調(diào)用是要通過http協(xié)議來調(diào)用的(在本樣例中是這樣設(shè)計的,讀者完全可以設(shè)計自己的身份服務(wù)����,使用別的調(diào)用協(xié)議,如RMI或SOAP等等)���,所有筆者引用了apache的commons工具包(詳細(xì)信息情訪問apache 的網(wǎng)站http://jakarta./commons/index.html)��,其中的“httpclient”可以大大簡化http調(diào)用的編程���。
下面看看filter的主體方法doFilter():
|
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
if (debug) log("SSOFilter:doFilter()");
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
String result="failed";
String url = request.getRequestURL().toString();
String qstring = request.getQueryString();
if (qstring == null) qstring ="";
//檢查http請求的head是否有需要的cookie
String cookieValue ="";
javax.servlet.http.Cookie[] diskCookies = request.getCookies();
if (diskCookies != null) {
for (int i = 0; i < diskCookies.length; i++) {
if(diskCookies[i].getName().equals(cookieName)){
cookieValue = diskCookies[i].getValue();
//如果找到了相應(yīng)的cookie則效驗其有效性
result = SSOService(cookieValue);
if (debug) log("found cookies!");
}
}
}
if (result.equals("failed")) { //效驗失敗或沒有找到cookie,則需要登錄
response.sendRedirect(SSOLoginPage+"?goto="+url);
} else if (qstring.indexOf("logout") > 1) {//logout服務(wù)
if (debug) log("logout action!");
logoutService(cookieValue);
response.sendRedirect(SSOLoginPage+"?goto="+url);
} else {//效驗成功
request.setAttribute("SSOUser",result);
Throwable problem = null;
try {
chain.doFilter(req, res);
} catch(Throwable t) {
problem = t;
t.printStackTrace();
}
if (problem != null) {
if (problem instanceof ServletException) throw (ServletException)problem;
if (problem instanceof IOException) throw (IOException)problem;
sendProcessingError(problem, res);
}
}
}
|
doFilter()方法的邏輯也是非常簡單的�,在接收到請求的時候,先去查找是否存在期望的cookie值�,如果找到了,就會調(diào)用SSOService(cookieValue)去效驗這個cookie的有效性����。如果cookie效驗不成功或者cookie根本不存在,就會直接轉(zhuǎn)到登錄界面讓用戶登錄����;如果cookie效驗成功,就不會做任何阻攔�����,讓此請求進行下去。在配置文件中��,有下面的一個節(jié)點表示了此filter的URL映射關(guān)系:只攔截所有的jsp請求���。
<filter-mapping>
<filter-name>SSOFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
下面還有幾個主要的函數(shù)需要說明:
|
private String SSOService(String cookievalue) throws IOException {
String authAction = "?action=authcookie&cookiename=";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);
try {
httpclient.executeMethod(httpget);
String result = httpget.getResponseBodyAsString();
return result;
} finally {
httpget.releaseConnection();
}
}
private void logoutService(String cookievalue) throws IOException {
String authAction = "?action=logout&cookiename=";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);
try {
httpclient.executeMethod(httpget);
httpget.getResponseBodyAsString();
} finally {
httpget.releaseConnection();
}
}
|
這兩個函數(shù)主要是利用apache中的httpclient訪問SSOAuth提供的認(rèn)證服務(wù)來完成效驗cookie和logout的功能�。
其他的函數(shù)都很簡單�����,有很多都是我的IDE(NetBeans)替我自動生成的����。
4 當(dāng)前方案的安全局限性
當(dāng)前這個WEB-SSO的方案是一個比較簡單的雛形,主要是用來演示SSO的概念和說明SSO技術(shù)的實現(xiàn)方式��。有很多方面還需要完善��,其中安全性是非常重要的一個方面�����。
我們說過,采用SSO技術(shù)的主要目的之一就是加強安全性����,降低安全風(fēng)險�����。因為采用了SSO�,在網(wǎng)絡(luò)上傳遞密碼的次數(shù)減少,風(fēng)險降低是顯然的�����,但是當(dāng)前的方案卻有其他的安全風(fēng)險���。由于cookie是一個用戶登錄的唯一憑據(jù)���,對cookie的保護措施是系統(tǒng)安全的重要環(huán)節(jié):
- cookie的長度和復(fù)雜度
在本方案中,cookie是有一個固定的字符串(我的姓名)加上當(dāng)前的時間戳��。這樣的cookie很容易被偽造和猜測�。懷有惡意的用戶如果猜測到合法的cookie就可以被當(dāng)作已經(jīng)登錄的用戶,任意訪問權(quán)限范圍內(nèi)的資源
- cookie的效驗和保護
在本方案中,雖然密碼只要傳輸一次就夠了�����,可cookie在網(wǎng)絡(luò)中是經(jīng)常傳來傳去�。一些網(wǎng)絡(luò)探測工具(如sniff, snoop,tcpdump等)可以很容易捕獲到cookie的數(shù)值。在本方案中�����,并沒有考慮cookie在傳輸時候的保護�。另外對cookie的效驗也過于簡單,并不去檢查發(fā)送cookie的來源究竟是不是cookie最初的擁有者�����,也就是說無法區(qū)分正常的用戶和仿造cookie的用戶�����。
- 當(dāng)其中一個應(yīng)用的安全性不好��,其他所有的應(yīng)用都會受到安全威脅
因為有SSO����,所以當(dāng)某個處于 SSO的應(yīng)用被黒客攻破,那么很容易攻破其他處于同一個SSO保護的應(yīng)用��。
這些安全漏洞在商業(yè)的SSO解決方案中都會有所考慮,提供相關(guān)的安全措施和保護手段�����,例如Sun公司的Access Manager����,cookie的復(fù)雜讀和對cookie的保護都做得非常好����。另外在OpneSSO (https://opensso.dev.)的架構(gòu)指南中也給出了部分安全措施的解決方案。
5 當(dāng)前方案的功能和性能局限性
除了安全性��,當(dāng)前方案在功能和性能上都需要很多的改進:
- 當(dāng)前所提供的登錄認(rèn)證模式只有一種:用戶名和密碼���,而且為了簡單����,將用戶名和密碼放在內(nèi)存當(dāng)中��。事實上�,用戶身份信息的來源應(yīng)該是多種多樣的,可以是來自數(shù)據(jù)庫中��,LDAP中,甚至于來自操作系統(tǒng)自身的用戶列表�。還有很多其他的認(rèn)證模式都是商務(wù)應(yīng)用不可缺少的,因此SSO的解決方案應(yīng)該包括各種認(rèn)證的模式�,包括數(shù)字證書,Radius����, SafeWord ,MemberShip�����,SecurID等多種方式���。最為靈活的方式應(yīng)該允許可插入的JAAS框架來擴展身份認(rèn)證的接口
- 我們編寫的Filter只能用于J2EE的應(yīng)用�,而對于大量非Java的Web應(yīng)用��,卻無法提供SSO服務(wù)�。
- 在將Filter應(yīng)用到Web應(yīng)用的時候,需要對容器上的每一個應(yīng)用都要做相應(yīng)的修改�,重新部署。而更加流行的做法是Agent機制:為每一個應(yīng)用服務(wù)器安裝一個agent�����,就可以將SSO功能應(yīng)用到這個應(yīng)用服務(wù)器中的所有應(yīng)用。
- 當(dāng)前的方案不能支持分別位于不同domain的Web應(yīng)用進行SSO��。這是因為瀏覽器在訪問Web服務(wù)器的時候�����,僅僅會帶上和當(dāng)前web服務(wù)器具有相同domain名稱的那些cookie�����。要提供跨域的SSO的解決方案有很多其他的方法����,在這里就不多說了�����。Sun的Access Manager就具有跨域的SSO的功能���。
- 另外���,Filter的性能問題也是需要重視的方面。因為Filter會截獲每一個符合URL映射規(guī)則的請求��,獲得cookie,驗證其有效性���。這一系列任務(wù)是比較消耗資源的�,特別是驗證cookie有效性是一個遠(yuǎn)程的http的調(diào)用����,來訪問SSOAuth的認(rèn)證服務(wù),有一定的延時���。因此在性能上需要做進一步的提高���。例如在本樣例中,如果將URL映射從“.jsp”改成“/*”��,也就是說filter對所有的請求都起作用����,整個應(yīng)用會變得非常慢。這是因為���,頁面當(dāng)中包含了各種靜態(tài)元素如gif圖片��,css樣式文件�����,和其他html靜態(tài)頁面�,這些頁面的訪問都要通過filter去驗證。而事實上����,這些靜態(tài)元素沒有什么安全上的需求,應(yīng)該在filter中進行判斷����,不去效驗這些請求,性能會好很多�。另外,如果在filter中加上一定的cache�����,而不需要每一個cookie效驗請求都去遠(yuǎn)端的身份認(rèn)證服務(wù)中執(zhí)行�,性能也能大幅度提高���。
- 另外系統(tǒng)還需要很多其他的服務(wù)���,如在內(nèi)存中定時刪除無用的cookie映射等等�����,都是一個嚴(yán)肅的解決方案需要考慮的問題�����。
6 桌面SSO的實現(xiàn)
從WEB-SSO的概念延伸開�,我們可以把SSO的技術(shù)拓展到整個桌面的應(yīng)用����,不僅僅局限在瀏覽器。SSO的概念和原則都沒有改變�����,只需要再做一點點的工作���,就可以完成桌面 SSO 的應(yīng)用���。
桌面SSO和WEB-SSO一樣,關(guān)鍵的技術(shù)也在于如何在用戶登錄過后保存登錄的憑據(jù)�����。在WEB-SSO中,登錄的憑據(jù)是靠瀏覽器的cookie機制來完成的����;在桌面應(yīng)用中,可以將登錄的憑證保存到任何地方���,只要所有SSO的桌面應(yīng)用都共享這個憑證��。
6.1桌面樣例的部署
- 運行此桌面SSO需要三個前提條件:
a) WEB-SSO的身份認(rèn)證應(yīng)用應(yīng)該正在運行,因為我們在桌面SSO當(dāng)中需要用到統(tǒng)一的認(rèn)證服務(wù)
b) 當(dāng)前桌面需要運行Mozilla或Netscape瀏覽器�����,因為我們將ticket保存到mozilla的cookie文件中
c) 必須在JDK1.4以上運行�。(WEB-SSO需要JDK1.5以上)
- 解開desktopsso.zip文件�,里面有兩個目錄bin和lib����。
- bin目錄下有一些腳本文件和配置文件�,其中config.properties包含了三個需要配置的參數(shù):
a) SSOServiceURL要指向WebSSO部署的身份認(rèn)證的URL
b) SSOLoginPage要指向WebSSO部署的身份認(rèn)證的登錄頁面URL
c) cookiefilepath要指向當(dāng)前用戶的mozilla所存放cookie的文件
- 在bin目錄下還有一個login.conf是用來配置JAAS登錄模塊,本樣例提供了兩個��,讀者可以任意選擇其中一個(也可以都選)��,再重新運行程序����,查看登錄認(rèn)證的變化
- 在bin下的運行腳本可能需要作相應(yīng)的修改
a) 如果是在unix下,各個jar文件需要用“:”來隔開����,而不是“;”
b) java 運行程序需要放置在當(dāng)前運行的路徑下,否則需要加上java的路徑全名���。
6.2桌面樣例的運行
樣例程序包含三個簡單的Java控制臺程序���,這三個程序單獨運行都需要登錄。如果運行第一個命叫“GameSystem”的程序��,提示需要輸入用戶名和密碼:
效驗成功以后,便會顯示當(dāng)前登錄的用戶的基本信息等等�。
這時候再運行第二個桌面Java應(yīng)用(mailSystem)的時候,就不需要再登錄了�����,直接就顯示出來剛才登錄的用戶���。
第三個應(yīng)用是logout����,運行它之后���,用戶便退出系統(tǒng)����。再訪問的時候����,又需要重新登錄了。請讀者再制裁執(zhí)行完logout之后����,重新驗證一下前兩個應(yīng)用的SSO:先運行第二個應(yīng)用,再運行第一個����,會看到相同的效果。
我們的樣例并沒有在這里停步�����,事實上���,本樣例不僅能夠和在幾個Java應(yīng)用之間SSO�����,還能和瀏覽器進行SSO�����,也就是將瀏覽器也當(dāng)成是桌面的一部分��。這對一些行業(yè)有著不小的吸引力��。
這時候再打開Mozilla瀏覽器�����,訪問以前提到的那兩個WEB應(yīng)用��,會發(fā)現(xiàn)只要桌面應(yīng)用如果登錄過��,Web應(yīng)用就不用再登錄了���,而且能顯示剛才登錄的用戶的信息�。讀者可以在幾個桌面和Web應(yīng)用之間進行登錄和logout的試驗��,看看它們之間的SSO�。
6.3桌面樣例的源碼分析
桌面SSO的樣例使用了JAAS(要了解JAAS的詳細(xì)的信息請參考http://java./products/jaas)。JAAS是對PAM(Pluggable Authentication Module)的Java實現(xiàn)����,來完成 Java應(yīng)用可插拔的安全認(rèn)證模塊。使用JAAS作為Java應(yīng)用的安全認(rèn)證模塊有很多好處���,最主要的是不需要修改源代碼就可以更換認(rèn)證方式�。例如原有的Java應(yīng)用如果使用JAAS的認(rèn)證���,如果需要應(yīng)用SSO���,只需要修改JAAS的配置文件就行了?����,F(xiàn)在在流行的J2EE和其他 Java的產(chǎn)品中��,用戶的身份認(rèn)證都是通過JAAS來完成的。在樣例中�����,我們就展示了這個功能��。請看配置文件login.conf
|
DesktopSSO {
desktopsso.share.PasswordLoginModule required;
desktopsso.share.DesktopSSOLoginModule required;
};
|
當(dāng)我們注解掉第二個模塊的時候�����,只有第一個模塊起作用���。在這個模塊的作用下����,只有test用戶(密碼是12345)才能登錄���。當(dāng)我們注解掉第一個模塊的時候�,只有第二個模塊起作用,桌面SSO才會起作用�。
所有的Java桌面樣例程序都是標(biāo)準(zhǔn)JAAS應(yīng)用,熟悉JAAS的程序員會很快了解����。JAAS中主要的是登錄模塊(LoginModule)。下面是SSO登錄模塊的源碼:
|
public class DesktopSSOLoginModule implements LoginModule {
..........
private String SSOServiceURL = "";
private String SSOLoginPage = "";
private static String cookiefilepath = "";
.........
|
在config.properties的文件中�����,我們配置了它們的值:
|
SSOServiceURL=http://wangyu.prc.:8080/SSOAuth/SSOAuth
SSOLoginPage=http://wangyu.prc.:8080/SSOAuth/login.jsp
cookiefilepath=C:\\Documents and Settings\\yw137672\\Application Data\\Mozilla\\Profiles\\default\\hog6z1ji.slt\\cookies.txt
|
SSOServiceURL和SSOLoginPage成員變量指向了在Web-SSO中用過的身份認(rèn)證模塊:SSOAuth�����,這就說明在桌面系統(tǒng)中我們試圖和Web應(yīng)用共用一個認(rèn)證服務(wù)�。而cookiefilepath成員變量則泄露了一個“天機”:我們使用了Mozilla瀏覽器的cookie文件來保存登錄的憑證。換句話說�����,和Mozilla共用了一個保存登錄憑證的機制�。之所以用Mozilla是應(yīng)為它的Cookie文件格式簡單,很容易編程訪問和修改任意的Cookie值���。(我試圖解析Internet Explorer的cookie文件但沒有成功�����。)
下面是登錄模塊DesktopSSOLoginModule的主體:login()方法����。邏輯也是非常簡單:先用Cookie來登陸,如果成功����,則直接就進入系統(tǒng)�����,否則需要用戶輸入用戶名和密碼來登錄系統(tǒng)���。
|
public boolean login() throws LoginException{
try {
if (Cookielogin()) return true;
} catch (IOException ex) {
ex.printStackTrace();
}
if (passwordlogin()) return true;
throw new FailedLoginException();
}
|
下面是Cookielogin()方法的實體�,它的邏輯是:先從Cookie文件中獲得相應(yīng)的Cookie值����,通過身份效驗服務(wù)效驗Cookie的有效性。如果cookie有效就算登錄成功���;如果不成功或Cookie不存在��,用cookie登錄就算失敗�����。
|
public boolean Cookielogin() throws LoginException,IOException {
String cookieValue="";
int cookieIndex =foundCookie();
if (cookieIndex<0)
return false;
else
cookieValue = getCookieValue(cookieIndex);
username = cookieAuth(cookieValue);
if (! username.equals("failed")) {
loginSuccess = true;
return true;
}
return false;
}
|
用用戶名和密碼登錄的方法要復(fù)雜一些�,通過Callback的機制和屏幕輸入輸出進行信息交互,完成用戶登錄信息的獲?���。猾@取信息以后通過userAuth方法來調(diào)用遠(yuǎn)端SSOAuth的服務(wù)來判定當(dāng)前登錄的有效性�����。
|
public boolean passwordlogin() throws LoginException {
//
// Since we need input from a user, we need a callback handler
if (callbackHandler == null) {
throw new LoginException("No CallbackHandler defined");
}
Callback[] callbacks = new Callback[2];
callbacks[0] = new NameCallback("Username");
callbacks[1] = new PasswordCallback("Password", false);
//
// Call the callback handler to get the username and password
try {
callbackHandler.handle(callbacks);
username = ((NameCallback)callbacks[0]).getName();
char[] temp = ((PasswordCallback)callbacks[1]).getPassword();
password = new char[temp.length];
System.arraycopy(temp, 0, password, 0, temp.length);
((PasswordCallback)callbacks[1]).clearPassword();
} catch (IOException ioe) {
throw new LoginException(ioe.toString());
} catch (UnsupportedCallbackException uce) {
throw new LoginException(uce.toString());
}
System.out.println();
String authresult ="";
try {
authresult = userAuth(username, password);
} catch (IOException ex) {
ex.printStackTrace();
}
if (! authresult.equals("failed")) {
loginSuccess= true;
clearPassword();
try {
updateCookie(authresult);
} catch (IOException ex) {
ex.printStackTrace();
}
return true;
}
loginSuccess = false;
username = null;
clearPassword();
System.out.println( "Login: PasswordLoginModule FAIL" );
throw new FailedLoginException();
}
|
CookieAuth和userAuth方法都是利用apahce的httpclient工具包和遠(yuǎn)程的SSOAuth進行http連接�����,獲取服務(wù)�。
|
private String cookieAuth(String cookievalue) throws IOException{
String result = "failed";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+Action1+cookievalue);
try {
httpclient.executeMethod(httpget);
result = httpget.getResponseBodyAsString();
} finally {
httpget.releaseConnection();
}
return result;
}
private String userAuth(String username, char[] password) throws IOException{
String result = "failed";
String passwd= new String(password);
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+Action2+username+"&password="+passwd);
passwd = null;
try {
httpclient.executeMethod(httpget);
result = httpget.getResponseBodyAsString();
} finally {
httpget.releaseConnection();
}
return result;
}
|
還有一個地方需要補充說明的是,在本樣例中��,用戶名和密碼的輸入都會在屏幕上顯示明文���。如果希望用掩碼形式來顯示密碼����,以提高安全性,請參考:http://java./developer/technicalArticles/Security/pwordmask/
7 真正安全的全方位SSO解決方案:Kerberos
我們的樣例程序(桌面SSO和WEB-SSO)都有一個共性:要想將一個應(yīng)用集成到我們的SSO解決方案中�,或多或少的需要修改應(yīng)用程序。Web應(yīng)用需要配置一個我們預(yù)制的filter��;桌面應(yīng)用需要加上我們桌面SSO的JAAS模塊(至少要修改JAAS的配置文件)�。可是有很多程序是沒有源代碼和無法修改的�����,例如常用的遠(yuǎn)程通訊程序telnet和ftp等等一些操作系統(tǒng)自己帶的常用的應(yīng)用程序�����。這些程序是很難修改加入到我們的SSO的解決方案中�。
事實上有一種全方位的SSO解決方案能夠解決這些問題�,這就是Kerberos協(xié)議(RFC 1510)。Kerberos是網(wǎng)絡(luò)安全應(yīng)用標(biāo)準(zhǔn)(http://web./kerberos/)�����,由MIT學(xué)校發(fā)明,被主流的操作系統(tǒng)所采用���。在采用kerberos的平臺中���,登錄和認(rèn)證是由操作系統(tǒng)本身來維護,認(rèn)證的憑證也由操作系統(tǒng)來保存�����,這樣整個桌面都可以處于同一個SSO的系統(tǒng)保護中���。操作系統(tǒng)中的各個應(yīng)用(如ftp,telnet)只需要通過配置就能加入到SSO中��。另外使用Kerberos最大的好處在于它的安全性����。通過密鑰算法的保證和密鑰中心的建立���,可以做到用戶的密碼根本不需要在網(wǎng)絡(luò)中傳輸��,而傳輸?shù)男畔⒁矔值陌踩?/span>
目前支持Kerberos的操作系統(tǒng)包括Solaris, windows,Linux等等主流的平臺�。只不過要搭建一個Kerberos的環(huán)境比較復(fù)雜�,KDC(密鑰分發(fā)中心)的建立也需要相當(dāng)?shù)牟襟E。Kerberos擁有非常成熟的API,包括Java的API���。使用Java Generic Security Services(GSS) API并且使用JAAS中對Kerberos的支持(詳細(xì)信息請參見Sun的Java&Kerberos教程http://java./ j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html)�����,要將我們這個樣例改造成對Kerberos的支持也是不難的�����。 值得一提的是在JDK6.0 (http://www./download/jdk6)當(dāng)中直接就包含了對GSS的支持��,不需要單獨下載GSS的包�。
8 總結(jié)
本文的主要目的是闡述SSO的基本原理��,并提供了一種實現(xiàn)的方式�����。通過對源代碼的分析來掌握開發(fā)SSO服務(wù)的技術(shù)要點和充分理解SSO的應(yīng)用范圍�����。但是����,本文僅僅說明了身份認(rèn)證的服務(wù),而另外一個和身份認(rèn)證密不可分的服務(wù)----權(quán)限效驗��,卻沒有提到����。要開發(fā)出真正的SSO的產(chǎn)品,在功能上����、性能上和安全上都必須有更加完備的考慮。
