java單點(diǎn)登錄的實(shí)現(xiàn)_第1頁
java單點(diǎn)登錄的實(shí)現(xiàn)_第2頁
java單點(diǎn)登錄的實(shí)現(xiàn)_第3頁
java單點(diǎn)登錄的實(shí)現(xiàn)_第4頁
java單點(diǎn)登錄的實(shí)現(xiàn)_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余5頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、java 單點(diǎn)登錄的實(shí)現(xiàn)在門戶項(xiàng)目中,經(jīng)常會(huì)遇到如何實(shí)現(xiàn)單點(diǎn)登錄的問題,下面就本人的經(jīng)驗(yàn)做個(gè)總結(jié)。歡迎大家進(jìn)行補(bǔ)充討論。單點(diǎn)登錄的具體實(shí)現(xiàn)有很多種選擇,包括:1,采用專門的 SSO 商業(yè)軟件: 主要有: Netgrity 的 Siteminder,已經(jīng)被 CA 收購。 Novell 公司的 iChain。RSA 公司的 ClearTrust 等。2 ,采用門戶產(chǎn)品供應(yīng)商自己的 SSO 產(chǎn)品,如:BEA 的 WLESJBM 的 TivoliAccessManager,Sun 公司的 identityServer,Oracle 公司的 OID 等。3 .這些商業(yè)軟件一般適用于客戶對(duì) SSO 的需求

2、很高,并且企業(yè)內(nèi)部采用 COTS 軟件如:Domino,SAP,Sieble 的系統(tǒng)比較多的情況下采用。并結(jié)合身份管理。統(tǒng)一認(rèn)證等項(xiàng)目采用。采用這些軟件一般都要對(duì)要集成的系統(tǒng)做些改造,如在要集成的系統(tǒng)上安裝 AGENTo現(xiàn)在一般只提供常見軟件如:Domino,SAP,Sieble,常見應(yīng)用服務(wù)器:weblogic,websphere 等的AGENT。要先統(tǒng)一這些系統(tǒng)的認(rèn)證。一般采用 LDAP 或數(shù)據(jù)庫。然后才能實(shí)現(xiàn) SSO。比較麻煩。4 .另外,如果不想掏銀子,也有 OPENSOURCE 的 SSO 軟件可選:主要有:/https:/ 等。具體怎么樣就不清

3、楚了。如果項(xiàng)目對(duì) SSO 的要求比較低,又不想對(duì)要被集成的系統(tǒng)做任何改動(dòng),可采用下面介紹的方式簡單實(shí)現(xiàn):下面我們通過一個(gè)例子來說明。假如一個(gè)門戶項(xiàng)目要對(duì)下面的幾個(gè)系統(tǒng)做SSO用尸在這些系統(tǒng)中的用尸名,密碼各不相同,如:員工號(hào)為 001 的員工在這些系統(tǒng)中的用尸名,密碼分別如下:用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)A1234001郵件系統(tǒng)B2345001DOMINO系統(tǒng)CAAAA001報(bào)銷系統(tǒng)DCCCC001工資系統(tǒng)EBBBB首先,建立員工在PORTAL系統(tǒng)中的用戶名和其他系統(tǒng)中的用戶名之間的對(duì)應(yīng)關(guān)系可保存在表中或 LDAP 中或文件系統(tǒng)中。當(dāng)然要考慮這些系統(tǒng)之間的數(shù)據(jù)同步問題。比較好的方式

4、是找到用戶在這些系統(tǒng)中的都存在的唯一信息(如員工號(hào),MAIL 地址,姓名等)。通過唯一信息實(shí)時(shí)到各個(gè)系統(tǒng)中去取認(rèn)證所需要的信息。就不需要考慮數(shù)據(jù)同步問題。比較實(shí)用??梢越㈩愃葡旅娴谋恚好艽a可采用加密保存。如果是采用 BEA 的 WeblogicPortal,可采用 UUP 來保存這些信息。(uservarchar2(20),app_namevarchar2(20),architectvarchar2(4),app_companyvarchar2(50),app_departmentvarchar2(50),app_uservarchar2(15),app_passwdvarchar2(15)

5、,app_cookievarchar2(30),form_uservarchar2(20),form_passwdvarchar2(20),app_specialvarchar2(20);通過IFRAME或超連接方式集成目標(biāo)系統(tǒng),并進(jìn)行SSO通過 IFRAME 或超連接方式集成目標(biāo)系統(tǒng),并在 URL 中帶上用戶名和密碼。如集成 DOMINO 可采用如下方式:width=或:Hrefsrc=http:/host1/names.nsf?Login&Username=admin&Password=pass&RedirectTo=/names.nsf”以上采用的是在 HTTP

6、中直接傳遞明碼,為提高安全性,可采用 HTTPS 來傳遞用戶名和密碼。另外采用這種方式被集成的系統(tǒng)必須支持 FORM 方式認(rèn)證。J2EE 應(yīng)用,DOMINO 等都支持 FORM認(rèn)證。這兩種方式如果 SSO 成功,就自動(dòng)進(jìn)入目標(biāo)系統(tǒng)的界面,如果實(shí)現(xiàn)會(huì)顯示目標(biāo)系統(tǒng)的登錄界面。其效果圖如下:JTJ這種方式,必須維護(hù)對(duì)應(yīng)關(guān)系表,如上面的 sso_infOo 更好的方式是提供界面,讓最終用戶自己維護(hù)這種對(duì)應(yīng)關(guān)系,可模仿 Compozeportletsforlotus 的做法,在用戶第一次進(jìn)入要與之做 SSO 的系統(tǒng)時(shí),如 DOMINO系統(tǒng),顯示一個(gè)界面,讓用戶自己輸入他在該系統(tǒng)中的用戶名/密碼等信息。并

7、保存到表中或 LDAP 等其他數(shù)據(jù)源中。以后用戶要進(jìn)入這些系統(tǒng)時(shí),就直接從表中或其他數(shù)據(jù)源中取用戶的用戶名/密碼等信息,幫助用戶做認(rèn)證。建議采用這種方式。如下圖所示。如果用戶改變了自己在 DOMINO 系統(tǒng)中的用戶名,密碼。從門戶系統(tǒng)進(jìn)入 DOMINO 系統(tǒng)時(shí),認(rèn)證會(huì)失敗,就重新顯示類似下面的界面。讓用戶重新輸入他在 DOMINO 系統(tǒng)中新的用戶名,密碼并保存。mruLttkrynnnriJP的,Wve巾 E 士口dB以上這種實(shí)現(xiàn)方式,一般需要瀏覽器支持 COOKIE,所以要注意瀏覽器的配置,在開發(fā)階段,為方便調(diào)試,可設(shè)置 IE,讓它顯示 COOKIE 的名稱。如下所示:時(shí)中”-SUJ套/助事

8、X代MOf丁多齒17.1-品1采用這種方式,對(duì)要集成的系統(tǒng)不需要做任何的改動(dòng)。如果 PORTAL 系統(tǒng)中的用戶在被集成的系統(tǒng)中的權(quán)限都一樣,可采用建立一個(gè)通用用戶的做法。也就是所有在 PORTAL 系統(tǒng)中的用戶都采用這個(gè)通用用戶進(jìn)入目標(biāo)系統(tǒng)。這種方式等于是采用頁面集成方式做集成。比較方便使用。另外,有時(shí)候需要采用調(diào)用 API,或配置 Adapter 等應(yīng)用集成方式來集成其他系統(tǒng),一般也是通過定義一個(gè)連接專用的用戶。在 API 中或在配置 Adapter 的時(shí)候?qū)懰?。如采?JAVAAPI 方式集成 DOMINO:lotus.domino.SessiondominoSession=NotesFa

9、ctory.createSession(dominoServer,“admin“password);CS結(jié)構(gòu)實(shí)現(xiàn)方式經(jīng)常有人問 CS 結(jié)構(gòu)的應(yīng)用如何實(shí)現(xiàn) SSO,本人的建議是對(duì)這種系統(tǒng)不要自己去實(shí)現(xiàn) SSOo 很麻煩,其實(shí)輸個(gè)用戶名, 密碼沒什么大不了的。 如果要實(shí)現(xiàn), 一是采用商業(yè)軟件。 另外也可以采用以下方式: 在 PORTAL的 PORTLET 上建立超連接。并通過 APPLET 方式啟動(dòng) CS 結(jié)構(gòu)的應(yīng)用系統(tǒng)的登錄界面。然后通過如下的方式把用戶名/密碼傳遞過去。-不能做任何改動(dòng)的客戶端-WIN 消息 (給登錄窗口發(fā)送用戶名, 密碼等登錄所需要的信息) 模擬鍵盤 (java有模擬鍵盤輸入

10、的 API)-可以做改動(dòng)的客戶端-參數(shù)傳遞,并讓登錄的 EXE 文件讀取參數(shù)進(jìn)行認(rèn)證。因?yàn)橐?APPLETAPPLET 執(zhí)行本地的 EXEEXE 文件,所以必須對(duì) IEIE 中的 JREJRE 的安全進(jìn)行設(shè)置布濟(jì)接其他:在采用以上方式實(shí)現(xiàn)了 SSO 后,要注意 LOGOUT,可采用與 LOGIN 相同的方式。也可以通過被集成系統(tǒng)的超時(shí)設(shè)置來實(shí)現(xiàn)。單點(diǎn)登錄SSO技術(shù)資料收集統(tǒng)一用戶認(rèn)證和單點(diǎn)登錄解決方案:計(jì)算機(jī)世界網(wǎng)上的文章,比較全面的介紹統(tǒng)一用戶認(rèn)證和單點(diǎn)登錄解決方案惠普靈動(dòng)單點(diǎn)登錄(SSO)解決方案:包才 C/S 結(jié)構(gòu)的系統(tǒng)單點(diǎn)登錄解決方案網(wǎng)站用戶單點(diǎn)登錄系統(tǒng)解決方案:通過令牌方式實(shí)現(xiàn)網(wǎng)站用戶單點(diǎn)登錄WebLogic 平臺(tái)的 WebSSO(SAML)解決方案:在 WebLogic8

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論