編寫你自己的單點(diǎn)登錄（SSO）服務(wù)

• 用戶每天平均 16 分鐘花在身份驗(yàn)證任務(wù)上 - 資料來源： IDS
• 頻繁的 IT 用戶平均有 21 個密碼 - 資料來源： NTA Monitor Password Survey
• 49% 的人寫下了其密碼，而 67% 的人很少改變它們
• 每 79 秒出現(xiàn)一起身份被竊事件 - 資料來源：National Small Business Travel Assoc
• 全球欺騙損失每年約 12B - 資料來源：Comm Fraud Control Assoc
• 到 2007 年，身份管理市場將成倍增長至 $4.5B - 資料來源：IDS

• 提高 IT 效率：對于每 1000 個受管用戶，每用戶可節(jié)省$70K
• 幫助臺呼叫減少至少1/3，對于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計 $648K
• 生產(chǎn)力提高：每個新員工可節(jié)省 $1K，每個老員工可節(jié)省 $350 �資料來源：Giga
• ROI 回報：7.5 到 13 個月 �資料來源：Gartner

• 所有應(yīng)用系統(tǒng)共享一個身份認(rèn)證系統(tǒng)。
  統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對ticket進(jìn)行效驗(yàn)，判斷其有效性。
• 所有應(yīng)用系統(tǒng)能夠識別和提取ticket信息
  要實(shí)現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對ticket進(jìn)行識別和提取，通過與認(rèn)證系統(tǒng)的通訊，能自動判斷當(dāng)前用戶是否登錄過，從而完成單點(diǎn)登錄的功能。

• 單一的用戶信息數(shù)據(jù)庫并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲，應(yīng)該允許用戶信息放置在不同的存儲中，如下圖所示。事實(shí)上，只要統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一ticket的產(chǎn)生和效驗(yàn)，無論用戶信息存儲在什么地方，都能實(shí)現(xiàn)單點(diǎn)登錄。

• 統(tǒng)一的認(rèn)證系統(tǒng)并不是說只有單個的認(rèn)證服務(wù)器，如下圖所示，整個系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間要通過標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級別的單點(diǎn)登錄。如下圖，當(dāng)用戶在訪問應(yīng)用系統(tǒng)1時，由第一個認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的ticket。當(dāng)他訪問應(yīng)用系統(tǒng)4的時候，認(rèn)證服務(wù)器2能夠識別此ticket是由第一個服務(wù)器產(chǎn)生的，通過認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議（例如SAML）來交換認(rèn)證信息，仍然能夠完成SSO的功能。

• Web-SSO的樣例是由三個標(biāo)準(zhǔn)Web應(yīng)用組成，壓縮成三個zip文件，從http://gceclub.sun.com.cn/wangyu/web-sso/中下載。其中SSOAuth（http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip）是身份認(rèn)證服務(wù)；SSOWebDemo1（http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip）和SSOWebDemo2（http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip）是兩個用來演示單點(diǎn)登錄的Web應(yīng)用。這三個Web應(yīng)用之所以沒有打成war包，是因?yàn)樗鼈儾荒苤苯硬渴?#xff0c;根據(jù)讀者的部署環(huán)境需要作出小小的修改。樣例部署和運(yùn)行的環(huán)境有一定的要求，需要符合Servlet2.3以上標(biāo)準(zhǔn)的J2EE容器才能運(yùn)行（例如Tomcat5,Sun Application Server 8, Jboss 4等）。另外，身份認(rèn)證服務(wù)需要JDK1.5的運(yùn)行環(huán)境。之所以要用JDK1.5是因?yàn)楣P者使用了一個線程安全的高性能的Java集合類“ConcurrentMap”，只有在JDK1.5中才有。
• 這三個Web應(yīng)用完全可以單獨(dú)部署，它們可以分別部署在不同的機(jī)器，不同的操作系統(tǒng)和不同的J2EE的產(chǎn)品上，它們完全是標(biāo)準(zhǔn)的和平臺無關(guān)的應(yīng)用。但是有一個限制，那兩臺部署應(yīng)用（demo1、demo2）的機(jī)器的域名需要相同，這在后面的章節(jié)中會解釋到cookie和domain的關(guān)系以及如何制作跨域的WEB-SSO
• 解壓縮SSOAuth.zip文件，在/WEB-INF/下的web.xml中請修改“domainname”的屬性以反映實(shí)際的應(yīng)用部署情況，domainname需要設(shè)置為兩個單點(diǎn)登錄的應(yīng)用（demo1和demo2）所屬的域名。這個domainname和當(dāng)前SSOAuth服務(wù)部署的機(jī)器的域名沒有關(guān)系。我缺省設(shè)置的是“.sun.com”。如果你部署demo1和demo2的機(jī)器沒有域名，請輸入IP地址或主機(jī)名（如localhost），但是如果使用IP地址或主機(jī)名也就意味著demo1和demo2需要部署到一臺機(jī)器上了。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOAuth這個目錄壓縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個功能。
• 解壓縮SSOWebDemo1和SSOWebDemo2文件，分別在它們/WEB-INF/下找到web.xml文件，請修改其中的幾個初始化參數(shù)
  <init-param>
  <param-name>SSOServiceURL</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
  </init-param>
  <init-param>
  <param-name>SSOLoginPage</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
  </init-param>
  將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應(yīng)用的機(jī)器名、端口號以及根路徑（缺省是SSOAuth）以反映實(shí)際的部署情況。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOWebDemo1和SSOWebDemo2這兩個目錄壓縮打包成兩個war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個功能。
• 請輸入第一個web應(yīng)用的測試URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/ SSOWebDemo1/test.jsp，如果是第一次訪問，便會自動跳轉(zhuǎn)到登錄界面，如下圖
  
  
• 使用系統(tǒng)自帶的三個帳號之一登錄（例如，用戶名：wangyu,密碼：wangyu），便能成功的看到test.jsp的內(nèi)容：顯示當(dāng)前用戶名和歡迎信息。
  

• 請接著在同一個瀏覽器中輸入第二個web應(yīng)用的測試URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/ SSOWebDemo2/test.jsp。你會發(fā)現(xiàn)，不需要再次登錄就能看到test.jsp的內(nèi)容，同樣是顯示當(dāng)前用戶名和歡迎信息，而且歡迎信息中明確的顯示當(dāng)前的應(yīng)用名稱（demo2）。

• Web應(yīng)用中每一個需要安全保護(hù)的URL在訪問以前，都需要進(jìn)行安全檢查，如果發(fā)現(xiàn)沒有登錄（沒有發(fā)現(xiàn)認(rèn)證之后所帶的cookie），就重新定向到SSOAuth中的login.jsp進(jìn)行登錄。
• 登錄成功后，系統(tǒng)會自動給你的瀏覽器設(shè)置cookie，證明你已經(jīng)登錄過了。
• 當(dāng)你再訪問這個應(yīng)用的需要保護(hù)的URL的時候，系統(tǒng)還是要進(jìn)行安全檢查的，但是這次系統(tǒng)能夠發(fā)現(xiàn)相應(yīng)的cookie。
• 有了這個cookie，還不能證明你就一定有權(quán)限訪問。因?yàn)橛锌赡苣阋呀?jīng)logout,或者cookie已經(jīng)過期了，或者身份認(rèn)證服務(wù)重起過，這些情況下，你的cookie都可能無效。應(yīng)用系統(tǒng)拿到這個cookie，還需要調(diào)用身份認(rèn)證的服務(wù)，來判斷cookie時候真的有效，以及當(dāng)前的cookie對應(yīng)的用戶是誰。
• 如果cookie效驗(yàn)成功，就允許用戶訪問當(dāng)前請求的資源。

• 在每個被訪問的資源中（JSP或Servlet）中都加入身份認(rèn)證的服務(wù)，來獲得cookie，并且判斷當(dāng)前用戶是否登錄過。不過這個笨方法沒有人會用:-)。
• 可以通過一個controller，將所有的功能都寫到一個servlet中，然后在URL映射的時候，映射到所有需要保護(hù)的URL集合中（例如*.jsp，/security/*等）。這個方法可以使用，不過，它的缺點(diǎn)是不能重用。在每個應(yīng)用中都要部署一個相同的servlet。
• Filter是比較好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。（Filter的使用可以參考JavaWolrd的文章http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html）Filter是一個具有很好的模塊化，可重用的編程API，用在SSO正合適不過。本樣例就是使用一個filter來完成以上的功能。