1 什麼是單點登陸
單點登錄(Single Sign On),簡稱爲 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
較大的企業內部,一般都有很多的業務支持系統爲其提供相應的管理和IT服務。例如財務系統爲財務人員提供財務的管理、計算和報表服務;人事系統爲人事部門提供全公司人員的維護服務;各種業務系統爲公司內部不同的業務提供不同的服務等等。這些系統的目的都是讓計算機來進行復雜繁瑣的計算工作,來替代人力的手工勞動,提高工作效率和質量。這些不同的系統往往是在不同的時期建設起來的,運行在不同的平臺上;也許是由不同廠商開發,使用了各種不同的技術和標準。如果舉例說國內一著名的IT公司(名字隱去),內部共有60多個業務系統,這些系統包括兩個不同版本的SAP的ERP系統,12個不同類型和版本的數據庫系統,8個不同類型和版本的操作系統,以及使用了3種不同的防火牆技術,還有數十種互相不能兼容的協議和標準,你相信嗎?不要懷疑,這種情況其實非常普遍。每一個應用系統在運行了數年以後,都會成爲不可替換的企業IT架構的一部分,如下圖所示。
隨着企業的發展,業務系統的數量在不斷的增加,老的系統卻不能輕易的替換,這會帶來很多的開銷。其一是管理上的開銷,需要維護的系統越來越多。很多系統的數據是相互冗餘和重複的,數據的不一致性會給管理工作帶來很大的壓力。業務和業務之間的相關性也越來越大,例如公司的計費系統和財務系統,財務系統和人事系統之間都不可避免的有着密切的關係。
爲了降低管理的消耗,最大限度的重用已有投資的系統,很多企業都在進行着企業應用集成(EAI)。企業應用集成可以在不同層面上進行:例如在數據存儲層面上的“數據大集中”,在傳輸層面上的“通用數據交換平臺”,在應用層面上的“業務流程整合”,和用戶界面上的“通用企業門戶”等等。事實上,還用一個層面上的集成變得越來越重要,那就是“身份認證”的整合,也就是“單點登錄”。
通常來說,每個單獨的系統都會有自己的安全體系和身份認證系統。整合以前,進入每個系統都需要進行登錄,這樣的局面不僅給管理上帶來了很大的困難,在安全方面也埋下了重大的隱患。下面是一些著名的調查公司顯示的統計數據:
- 用戶每天平均 16 分鐘花在身份驗證任務上 - 資料來源: IDS
- 頻繁的 IT 用戶平均有 21 個密碼 - 資料來源: NTA Monitor Password Survey
- 49% 的人寫下了其密碼,而 67% 的人很少改變它們
- 每 79 秒出現一起身份被竊事件 - 資料來源:National Small Business Travel Assoc
- 全球欺騙損失每年約 12B - 資料來源:Comm Fraud Control Assoc
- 到 2007 年,身份管理市場將成倍增長至 $4.5B - 資料來源:IDS
使用“單點登錄”整合後,只需要登錄一次就可以進入多個系統,而不需要重新登錄,這不僅僅帶來了更好的用戶體驗,更重要的是降低了安全的風險和管理的消耗。請看下面的統計數據:
- 提高 IT 效率:對於每 1000 個受管用戶,每用戶可節省$70K
- 幫助臺呼叫減少至少1/3,對於 10K 員工的公司,每年可以節省每用戶 $75,或者合計 $648K
- 生產力提高:每個新員工可節省 $1K,每個老員工可節省 $350 �資料來源:Giga
- ROI 回報:7.5 到 13 個月 �資料來源:Gartner
另外,使用“單點登錄”還是SOA時代的需求之一。在面向服務的架構中,服務和服務之間,程序和程序之間的通訊大量存在,服務之間的安全認證是SOA應用的難點之一,應此建立“單點登錄”的系統體系能夠大大簡化SOA的安全問題,提高服務之間的合作效率。
2 單點登陸的技術實現機制
隨着SSO技術的流行,SSO的產品也是滿天飛揚。所有著名的軟件廠商都提供了相應的解決方案。在這裏我並不想介紹自己公司(Sun Microsystems)的產品,而是對SSO技術本身進行解析,並且提供自己開發這一類產品的方法和簡單演示。頤和園是北京著名的旅遊景點,也是我常去的地方。在頤和園內部有許多獨立的景點,例如“蘇州街”、“佛香閣”和“德和園”,都可以在各個景點門口單獨買票。很多遊客需要遊玩所有德景點,這種買票方式很不方便,需要在每個景點門口排隊買票,錢包拿進拿出的,容易丟失,很不安全。於是絕大多數遊客選擇在大門口買一張通票(也叫套票),就可以玩遍所有的景點而不需要重新再買票。他們只需要在每個景點門口出示一下剛纔買的套票就能夠被允許進入每個獨立的景點。
單點登錄的機制也一樣,如下圖所示,當用戶第一次訪問應用系統1的時候,因爲還沒有登錄,會被引導到認證系統中進行登錄(1);根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據--ticket(2);用戶再訪問別的應用的時候(3,5)就會將這個ticket帶上,作爲自己認證的憑據,應用系統接受到請求之後會把ticket送到認證系統進行效驗,檢查ticket的合法性(4,6)。如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。
從上面的視圖可以看出,要實現SSO,需要以下主要的功能:
- 所有應用系統共享一個身份認證系統。
統一的認證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較,對用戶進行登錄認證;認證成功後,認證系統應該生成統一的認證標誌(ticket),返還給用戶。另外,認證系統還應該對ticket進行效驗,判斷其有效性。 - 所有應用系統能夠識別和提取ticket信息
要實現SSO的功能,讓用戶只登錄一次,就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對ticket進行識別和提取,通過與認證系統的通訊,能自動判斷當前用戶是否登錄過,從而完成單點登錄的功能。
上面的功能只是一個非常簡單的SSO架構,在現實情況下的SSO有着更加複雜的結構。有兩點需要指出的是:
- 單一的用戶信息數據庫並不是必須的,有許多系統不能將所有的用戶信息都集中存儲,應該允許用戶信息放置在不同的存儲中,如下圖所示。事實上,只要統一認證系統,統一ticket的產生和效驗,無論用戶信息存儲在什麼地方,都能實現單點登錄。
- 統一的認證系統並不是說只有單個的認證服務器,如下圖所示,整個系統可以存在兩個以上的認證服務器,這些服務器甚至可以是不同的產品。認證服務器之間要通過標準的通訊協議,互相交換認證信息,就能完成更高級別的單點登錄。如下圖,當用戶在訪問應用系統1時,由第一個認證服務器進行認證後,得到由此服務器產生的ticket。當他訪問應用系統4的時候,認證服務器2能夠識別此ticket是由第一個服務器產生的,通過認證服務器之間標準的通訊協議(例如SAML)來交換認證信息,仍然能夠完成SSO的功能。
3 WEB-SSO的實現
隨着互聯網的高速發展,WEB應用幾乎統治了絕大部分的軟件應用系統,因此WEB-SSO是SSO應用當中最爲流行。WEB-SSO有其自身的特點和優勢,實現起來比較簡單易用。很多商業軟件和開源軟件都有對WEB-SSO的實現。其中值得一提的是OpenSSO (https://opensso.dev.java.net),爲用Java實現WEB-SSO提供架構指南和服務指南,爲用戶自己來實現WEB-SSO提供了理論的依據和實現的方法。
爲什麼說WEB-SSO比較容易實現呢?這是有WEB應用自身的特點決定的。
衆所周知,Web協議(也就是HTTP)是一個無狀態的協議。一個Web應用由很多個Web頁面組成,每個頁面都有唯一的URL來定義。用戶在瀏覽器的地址欄輸入頁面的URL,瀏覽器就會向Web Server去發送請求。如下圖,瀏覽器向Web服務器發送了兩個請求,申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨的HTTP連接。所謂無狀態的協議也就是表現在這裏,瀏覽器和Web服務器會在第一個請求完成以後關閉連接通道,在第二個請求的時候重新建立連接。Web服務器並不區分哪個請求來自哪個客戶端,對所有的請求都一視同仁,都是單獨的連接。這樣的方式大大區別於傳統的(Client/Server)C/S結構,在那樣的應用中,客戶端和服務器端會建立一個長時間的專用的連接通道。正是因爲有了無狀態的特性,每個連接資源能夠很快被其他客戶端所重用,一臺Web服務器才能夠同時服務於成千上萬的客戶端。
但是我們通常的應用是有狀態的。先不用提不同應用之間的SSO,在同一個應用中也需要保存用戶的登錄身份信息。例如用戶在訪問頁面1的時候進行了登錄,但是剛纔也提到,客戶端的每個請求都是單獨的連接,當客戶再次訪問頁面2的時候,如何才能告訴Web服務器,客戶剛纔已經登錄過了呢?瀏覽器和服務器之間有約定:通過使用cookie技術來維護應用的狀態。Cookie是可以被Web服務器設置的字符串,並且可以保存在瀏覽器中。如下圖所示,當瀏覽器訪問了頁面1時,web服務器設置了一個cookie,並將這個cookie和頁面1一起返回給瀏覽器,瀏覽器接到cookie之後,就會保存起來,在它訪問頁面2的時候會把這個cookie也帶上,Web服務器接到請求時也能讀出cookie的值,根據cookie值的內容就可以判斷和恢復一些用戶的信息狀態。
Web-SSO完全可以利用Cookie結束來完成用戶登錄信息的保存,將瀏覽器中的Cookie和上文中的Ticket結合起來,完成SSO的功能。
爲了完成一個簡單的SSO的功能,需要兩個部分的合作:
- 統一的身份認證服務。
- 修改Web應用,使得每個應用都通過這個統一的認證服務來進行身份效驗。
package com.ll.singlelogin; import javax.servlet.http.*; import java.util.*; public class SingleLogin implements HttpSessionListener { // 保存sessionID和username的映射 private static HashMap hUserName = new HashMap(); /** 以下是實現HttpSessionListener中的方法* */ public void sessionCreated(HttpSessionEvent se) { } public void sessionDestroyed(HttpSessionEvent se) { hUserName.remove(se.getSession().getId()); } /** * isAlreadyEnter-用於判斷用戶是否已經登錄以及相應的處理方法 * * @param sUserName * String-登錄的用戶名稱 * @return boolean-該用戶是否已經登錄過的標誌 */ public static boolean isAlreadyEnter(HttpSession session, String sUserName) { boolean flag = false; // 如果該用戶已經登錄過,則使上次登錄的用戶掉線(依據使用戶名是否在hUserName中) if (hUserName.containsValue(sUserName)) { flag = true; // 遍歷原來的hUserName,刪除原用戶名對應的sessionID(即刪除原來的sessionID和username) Iterator iter = hUserName.entrySet().iterator(); while (iter.hasNext()) { Map.Entry entry = (Map.Entry) iter.next(); Object key = entry.getKey(); Object val = entry.getValue(); if (((String) val).equals(sUserName)) { hUserName.remove(key); } } // 添加現在的sessionID和username hUserName.put(session.getId(), sUserName); System.out.println("hUserName = " + hUserName); } else {// 如果該用戶沒登錄過,直接添加現在的sessionID和username flag = false; hUserName.put(session.getId(), sUserName); System.out.println("hUserName = " + hUserName); } return flag; } /** * isOnline-用於判斷用戶是否在線 * * @param session * HttpSession-登錄的用戶名稱 * @return boolean-該用戶是否在線的標誌 */ public static boolean isOnline(HttpSession session) { boolean flag = true; if (hUserName.containsKey(session.getId())) { flag = true; } else { flag = false; } return flag; } }
web.xml部署於/App/WEB-INF下
<?xml version= "1.0 " encoding= "ISO-8859-1 "?> <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN " "http://java.sun.com/j2ee/dtds/web-app_2.3.dtd "> <web-app> <listener> <listener-class> com.inspirer.dbmp.SessionListener </listener-class> </listener> </web-app>
應用部分
1.在你的登錄驗證時,調用SessionListener.isAlreadyEnter(session, "admin ")
既可以判斷該用戶名的用戶是否登錄過,又可以使上次登錄的用戶掉線
2.其他頁面調用SessionListener.isOnline(session),可以判斷該用戶是否在線.
轉自:http://blog.csdn.net/java_freshman01/article/details/7202776
採用SSH架構加以說明:
1. 建立一個登錄管理類LoginManager
2. 在LoginManager中定義一個集合,管理登錄的用戶。
3. 在Spring中將LoginManager配置成單例
4. 如果使用自定義的用戶管理類,則爲了說明方便,將此類命名爲UserContext(表示用戶授權的上下文)
5. 如果未使用自定義的用戶管理類,則直接使用Session。
6. 在登錄授權對象中,檢查用戶是否是合法用戶,如果是合法用戶,則在LoginManager的集合中查找用戶是否已經在線,如果不在線,則將用戶加入集合。
7. 處理策略一:如果用戶已經在線,則取新登錄用戶的Session,將它失效,則能阻止新登錄用戶登錄。
8. 處理策略二:如果用戶已經在線,則取出在線用戶的Session,將它失效,再把新登錄用戶加入LoginManager的集合。則先登錄用戶不能執行有權限的操作,只能重新登錄。
1. applicationContext.xml
<bean id="loginManager" class="LoginManager" scope="singleton" /> <bean id="action" class="LoginAction" scopt="prototype" > <property name="laginManager" ref="loginManager" /> </bean>
2. LoginManager.java
Collection<Session> sessions; public Session login(Session session) { for (Session s : sessions) { if (s 與 session 是同一用戶) 策略一: return session 策略二:{ sessions.add(session); // 這兩行在循環中操作集合類會拋出異常 sessions.remove(s); // 此處僅爲簡單示範代碼,實際代碼中應該在循環外處理 return s; } } sessions.add(session); return null; }
3. LoginAction.java
LoginManager loginManager; public String execute() throws Exception { 取session 檢查用戶名,密碼 if (是合法用戶) { session = loginManager.login(session); if (null!=session) session.invalidate(); } }
4. 如果自定義了UserContext,則可將集合改成Collection<UserContext> users;
5. UserContext.java
Session session; Session getSession() { return this.session; } boolean login(String userName, String password) { 訪問數據庫,檢查用戶名密碼 return 是否合法; } boolean sameUser(UserContext uc) { return uc.userName.equals(this.userName); }
6. 修改LoginManager.java
Collection<UserContext> users; public UserContext login(UserContext user) { for (UserContext uc : users) { if (uc.sameUser(user)) 策略一: return user 策略二:{ users.add(user); // 這兩行在循環中操作集合類會拋出異常 users.remove(uc); // 此處僅爲簡單示範代碼,實際代碼中應該在循環外處理 return uc; } } users.add(user); return null; }
7. 修改LoginAction.java
public String execute() throws Exception { 取session // 也可以在UserContext內部取session。 UserContext user = new UserContext(); user.setSession(session); if (user.login(userName, password)) { UserContext uc = loginManager.login(user); if (null!=uc) uc.getSession().invalidate(); } }