基於Tomcat 的SSO實現

原創

2020-02-21 06:22

目標:用戶Login一次之後,可以訪問同一Server上的不同Webapp, 具體實現上採用Tomcat的Single Sign-On實現. 主要分爲下面幾個步驟:

修改Tomcat conf/server.xml 打開SSO支持

<Host> 節點下增加一個Value節點
  <Valve className= 
    debug= requireReauthentication=/>
</Host>

container認證realm： user、role、server.xml的<Realm...>設置.

tomcat的認證機制有2個要素： user 和 role.

- user 是區別一個個用戶的唯一識別了。
- role 就是一些抽象的權限級別，比如“admin”、“manager”、“member”、“guest”等等，都是可以自己定義的.一個user可以擁有多種role.

“可是tomcat怎麼去拿到我的user/role信息呢？我的這些數據都在數據庫裏阿？” 可以在tomcat的server.xml裏用 <Realm> tag來讀取這些信息，並且tomcat提供了3、4種現成的Realm實現，其中有從文件裏讀的，有從JDBC讀的，有從DataSource讀的，也有從LDAP讀的。具體Realm的寫法，和提供的幾種Realm的配置方法，可以參考tomcat自己的文檔，在此不作細述。 (把tomcat自帶的webapp: tomcat-docs.war 展開，看裏面的 config/realm.html) 如果連這些現成的配置都不能滿足你的要求的話，那也可以考慮自己寫一個Realm的實現類來滿足具體要求。下面舉一個JDBC的Realm的配置例子看一下：

<Realm  className=  debug=
  driverName=  
  connectionURL=  
  connectionName= 
  connectionPassword=  
  userTable=   
  userNameCol= 
  userCredCol=  
  userRoleTable= 
  roleNameCol= />

webapp使用SSO：
- 告訴tomcat這個webapp要通過container的認證

具體做法： 在web.xml裏面加上如下的配置：
<security-constraint>  
  <web-resource-collection>    
    <web-resource-name>Protected Webapp Example</web-resource-name>    
    <url-pattern>/*</url-pattern>  
  </web-resource-collection>  
  <auth-constraint>      
    <!-- role name 指定哪個role可以訪問,可以爲多個role -->
    <role-name>intrauser</role-name>  
  </auth-constraint>
</security-constraint>

- 選擇一種認證方法

在web.xml裏面加上如下的配置：
<login-config>    
  <auth-method>BASIC</auth-method>    
  <realm-name>Intra Web Application</realm-name>  
</login-config>  
<security-role>    
  <description>The role that is required to access intrasites</description>    
  <role-name>intrauser</role-name>  
</security-role>

這裏有2個要點：

- - auth-method

舉例爲了簡單用了最基本的一種BASIC。若使用BASIC方式，當你去訪問受保護認證的資源時，瀏覽器會彈出一個小窗口讓你輸入用戶名和密碼。（就像我們訪問ioffice時，第一次彈出來的那個認證窗口）其他還有幾種認證方式如：FORM、DIGEST、CLIENT-CERT。其中FORM是可以自己寫login畫面的，當然html的form內容有些規定（要符合j2ee和container的要求嘛）。 DIGEST是一種加密的傳輸，而CLIENT-CERT沒有查過，有興趣可以去查一下。

- - realm-name

這個realm-name是這個webapp的認證realm名，注意幾個處於同一SSO下的webapp，他們的realm-name要設成一樣的值。如果不設成一樣，那麼換一個webapp就要重新認證一次，達不到SSO的效果。

- 如何取得當前的User信息

原本都習慣在login以後，把一些login用戶信息放到session裏面的. 現在認證都交給container去做了，我們的webapp怎麼拿到login用戶信息啊？確實，現在我們的webapp能做的，只有從request裏面拿到login用戶的userid了。

 userid = request.gerRemoteUser();

以上是在一個Tomcat Container上的SSO實現.
如果是不同的Container上的webapp要做SSO，這種時候一種可行的方案是，最前面架一個webserver（比如apache），在webserver這層承擔SSO的認證任務，後面內部就可用掛多個container了. 具體都用到的時候再調查吧.

什麼都不能

發佈了145 篇原創文章 · 獲贊 16 · 訪問量 35萬+

他的留言板關注

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

基於Tomcat 的SSO實現

關於JBoss運行ejb

EJB實例

轉載高人談網站架構

weblogic 上運行 hibernate 的問題

byte2str

Mac下配置sublime實現LaTeX

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結