java單點登錄的實現(xiàn)

1、java 單點登錄的實現(xiàn)在門戶項目中，經(jīng)常會遇到如何實現(xiàn)單點登錄的問題，下面就本人的經(jīng)驗做個總結(jié)。歡迎大家進行補充討論。單點登錄的具體實現(xiàn)有很多種選擇，包括：1,采用專門的 SSO 商業(yè)軟件： 主要有： Netgrity 的 Siteminder,已經(jīng)被 CA 收購。 Novell 公司的 iChain。RSA 公司的 ClearTrust 等。2 ,采用門戶產(chǎn)品供應(yīng)商自己的 SSO 產(chǎn)品，如：BEA 的 WLESJBM 的 TivoliAccessManager,Sun 公司的 identityServer,Oracle 公司的 OID 等。3 .這些商業(yè)軟件一般適用于客戶對 SSO 的需求

2、很高，并且企業(yè)內(nèi)部采用 COTS 軟件如：Domino,SAP,Sieble 的系統(tǒng)比較多的情況下采用。并結(jié)合身份管理。統(tǒng)一認(rèn)證等項目采用。采用這些軟件一般都要對要集成的系統(tǒng)做些改造，如在要集成的系統(tǒng)上安裝 AGENTo現(xiàn)在一般只提供常見軟件如：Domino,SAP,Sieble,常見應(yīng)用服務(wù)器：weblogic,websphere 等的AGENT。要先統(tǒng)一這些系統(tǒng)的認(rèn)證。一般采用 LDAP 或數(shù)據(jù)庫。然后才能實現(xiàn) SSO。比較麻煩。4 .另外，如果不想掏銀子，也有 OPENSOURCE 的 SSO 軟件可選：主要有：/https:/ 等。具體怎么樣就不清

3、楚了。如果項目對 SSO 的要求比較低，又不想對要被集成的系統(tǒng)做任何改動，可采用下面介紹的方式簡單實現(xiàn)：下面我們通過一個例子來說明。假如一個門戶項目要對下面的幾個系統(tǒng)做SSO用尸在這些系統(tǒng)中的用尸名，密碼各不相同，如：員工號為 001 的員工在這些系統(tǒng)中的用尸名,密碼分別如下：用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)A1234001郵件系統(tǒng)B2345001DOMINO系統(tǒng)CAAAA001報銷系統(tǒng)DCCCC001工資系統(tǒng)EBBBB首先，建立員工在PORTAL系統(tǒng)中的用戶名和其他系統(tǒng)中的用戶名之間的對應(yīng)關(guān)系可保存在表中或 LDAP 中或文件系統(tǒng)中。當(dāng)然要考慮這些系統(tǒng)之間的數(shù)據(jù)同步問題。比較好的方式

4、是找到用戶在這些系統(tǒng)中的都存在的唯一信息(如員工號，MAIL 地址，姓名等)。通過唯一信息實時到各個系統(tǒng)中去取認(rèn)證所需要的信息。就不需要考慮數(shù)據(jù)同步問題。比較實用?？梢越㈩愃葡旅娴谋恚好艽a可采用加密保存。如果是采用 BEA 的 WeblogicPortal,可采用 UUP 來保存這些信息。(uservarchar2(20),app_namevarchar2(20),architectvarchar2(4),app_companyvarchar2(50),app_departmentvarchar2(50),app_uservarchar2(15),app_passwdvarchar2(15)

5、,app_cookievarchar2(30),form_uservarchar2(20),form_passwdvarchar2(20),app_specialvarchar2(20)；通過IFRAME或超連接方式集成目標(biāo)系統(tǒng)，并進行SSO通過 IFRAME 或超連接方式集成目標(biāo)系統(tǒng)，并在 URL 中帶上用戶名和密碼。如集成 DOMINO 可采用如下方式：width=或：Hrefsrc=http:/host1/names.nsf?Login&Username=admin&Password=pass&RedirectTo=/names.nsf”以上采用的是在 HTTP

6、中直接傳遞明碼，為提高安全性，可采用 HTTPS 來傳遞用戶名和密碼。另外采用這種方式被集成的系統(tǒng)必須支持 FORM 方式認(rèn)證。J2EE 應(yīng)用，DOMINO 等都支持 FORM認(rèn)證。這兩種方式如果 SSO 成功，就自動進入目標(biāo)系統(tǒng)的界面，如果實現(xiàn)會顯示目標(biāo)系統(tǒng)的登錄界面。其效果圖如下：JTJ這種方式，必須維護對應(yīng)關(guān)系表，如上面的 sso_infOo 更好的方式是提供界面，讓最終用戶自己維護這種對應(yīng)關(guān)系，可模仿 Compozeportletsforlotus 的做法，在用戶第一次進入要與之做 SSO 的系統(tǒng)時，如 DOMINO系統(tǒng)，顯示一個界面，讓用戶自己輸入他在該系統(tǒng)中的用戶名/密碼等信息。并

7、保存到表中或 LDAP 等其他數(shù)據(jù)源中。以后用戶要進入這些系統(tǒng)時，就直接從表中或其他數(shù)據(jù)源中取用戶的用戶名/密碼等信息，幫助用戶做認(rèn)證。建議采用這種方式。如下圖所示。如果用戶改變了自己在 DOMINO 系統(tǒng)中的用戶名，密碼。從門戶系統(tǒng)進入 DOMINO 系統(tǒng)時，認(rèn)證會失敗，就重新顯示類似下面的界面。讓用戶重新輸入他在 DOMINO 系統(tǒng)中新的用戶名，密碼并保存。mruLttkrynnnriJP的，Wve巾 E 士口dB以上這種實現(xiàn)方式，一般需要瀏覽器支持 COOKIE,所以要注意瀏覽器的配置，在開發(fā)階段,為方便調(diào)試，可設(shè)置 IE,讓它顯示 COOKIE 的名稱。如下所示：時中”-SUJ套/助事

8、X代MOf丁多齒17.1-品1采用這種方式，對要集成的系統(tǒng)不需要做任何的改動。如果 PORTAL 系統(tǒng)中的用戶在被集成的系統(tǒng)中的權(quán)限都一樣，可采用建立一個通用用戶的做法。也就是所有在 PORTAL 系統(tǒng)中的用戶都采用這個通用用戶進入目標(biāo)系統(tǒng)。這種方式等于是采用頁面集成方式做集成。比較方便使用。另外，有時候需要采用調(diào)用 API,或配置 Adapter 等應(yīng)用集成方式來集成其他系統(tǒng)，一般也是通過定義一個連接專用的用戶。在 API 中或在配置 Adapter 的時候?qū)懰?。如采?JAVAAPI 方式集成 DOMINO:lotus.domino.SessiondominoSession=NotesFa

9、ctory.createSession（dominoServer,“admin“password）;CS結(jié)構(gòu)實現(xiàn)方式經(jīng)常有人問 CS 結(jié)構(gòu)的應(yīng)用如何實現(xiàn) SSO,本人的建議是對這種系統(tǒng)不要自己去實現(xiàn) SSOo 很麻煩,其實輸個用戶名， 密碼沒什么大不了的。 如果要實現(xiàn)， 一是采用商業(yè)軟件。 另外也可以采用以下方式： 在 PORTAL的 PORTLET 上建立超連接。并通過 APPLET 方式啟動 CS 結(jié)構(gòu)的應(yīng)用系統(tǒng)的登錄界面。然后通過如下的方式把用戶名/密碼傳遞過去。-不能做任何改動的客戶端-WIN 消息 （給登錄窗口發(fā)送用戶名， 密碼等登錄所需要的信息） 模擬鍵盤 （java有模擬鍵盤輸入

10、的 API）-可以做改動的客戶端-參數(shù)傳遞，并讓登錄的 EXE 文件讀取參數(shù)進行認(rèn)證。因為要讓 APPLETAPPLET 執(zhí)行本地的 EXEEXE 文件，所以必須對 IEIE 中的 JREJRE 的安全進行設(shè)置布濟接其他:在采用以上方式實現(xiàn)了 SSO 后，要注意 LOGOUT,可采用與 LOGIN 相同的方式。也可以通過被集成系統(tǒng)的超時設(shè)置來實現(xiàn)。單點登錄SSO技術(shù)資料收集統(tǒng)一用戶認(rèn)證和單點登錄解決方案：計算機世界網(wǎng)上的文章，比較全面的介紹統(tǒng)一用戶認(rèn)證和單點登錄解決方案惠普靈動單點登錄(SSO)解決方案：包才 C/S 結(jié)構(gòu)的系統(tǒng)單點登錄解決方案網(wǎng)站用戶單點登錄系統(tǒng)解決方案：通過令牌方式實現(xiàn)網(wǎng)站用戶單點登錄WebLogic 平臺的 WebSSO(SAML)解決方案：在 WebLogic8