1 什麼是單點登陸
較大的企業內部,一般都有很多的業務支持系統爲其提供相應的管理和IT服 務。例如財務系統爲財務人員提供財務的管理、計算和報表服務;人事系統爲人事部門提供全公司人員的維護服務;各種業務系統爲公司內部不同的業務提供不同的 服務等等。這些系統的目的都是讓計算機來進行復雜繁瑣的計算工作,來替代人力的手工勞動,提高工作效率和質量。這些不同的系統往往是在不同的時期建設起來 的,運行在不同的平臺上;也許是由不同廠商開發,使用了各種不同的技術和標準。
2 單點登錄實現原理
實現單點登錄說到底就是要解決如何產生和存儲那個信任,再就是其他系統如何驗證這個信任的有效性,因此要點也就以下幾個:
- 存儲信任
- 驗證信任
只要解決了以上的問題,達到了開頭講得效果就可以說是SSO。最簡單實現SSO的方法就是用Cookie,實現流程如下所示:
對於第一個問題一般都是通過加密Cookie來處理,第二個問題是硬傷,其實這種方案的思路的就是要把這個信任關係存儲在客戶端,要實現這個也不一定只能用Cookie,用flash也能解決,flash的Shared Object API就提供了存儲能力。
一般說來,大型系統會採取在服務端存儲信任關係的做法,實現流程如下所示:
以上方案就是要把信任關係存儲在單獨的SSO系統(暫且這麼稱呼它)裏,說起來只是簡單地從客戶端移到了服務端,但其中幾個問題需要重點解決:
- 如何高效存儲大量臨時性的信任數據
- 如何防止信息傳遞過程被篡改
- 如何讓SSO系統信任登錄系統和免登系統
- 統一的身份認證服務。
- 修改Web應用,使得每個應用都通過這個統一的認證服務來進行身份效驗。
- Web-SSO的樣例是由三個標準Web應用組成,壓縮成三個zip文件,從http://gceclub.sun.com.cn/wangyu/web-sso/中下載。其中SSOAuth(http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip)是身份認證服務;SSOWebDemo1(http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip)和SSOWebDemo2(http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip)是兩個用來演示單點登錄的Web應用。這三個Web應用之所以沒有打成war包,是因爲它們不能直接部署,根據讀者的部署環境需要作出小小的修改。樣例部署和運行的環境有一定的要求,需要符合Servlet2.3以上標準的J2EE容器才能運行(例如Tomcat5,Sun Application Server 8, Jboss 4等)。另外,身份認證服務需要JDK1.5的運行環境。之所以要用JDK1.5是因爲筆者使用了一個線程安全的高性能的Java集合類“ConcurrentMap”,只有在JDK1.5中才有。
- 這三個Web應用完全可以單獨部署,它們可以分別部署在不同的機器,不同的操作系統和不同的J2EE的產品上,它們完全是標準的和平臺無關的應用。但是有一個限制,那兩臺部署應用(demo1、demo2)的機器的域名需要相同,這在後面的章節中會解釋到cookie和domain的關係以及如何製作跨域的WEB-SSO
- 解壓縮SSOAuth.zip文件,在/WEB-INF/下的web.xml中請修改“domainname”的屬性以反映實際的應用部署情況,domainname需要設置爲兩個單點登錄的應用(demo1和demo2)所屬的域名。這個domainname和當前SSOAuth服務部署的機器的域名沒有關係。我缺省設置的是“.sun.com”。如果你部署demo1和demo2的機器沒有域名,請輸入IP地址或主機名(如localhost),但是如果使用IP地址或主機名也就意味着demo1和demo2需要部署到一臺機器上了。設置完後,根據你所選擇的J2EE容器,可能需要將SSOAuth這個目錄壓縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個功能。
- 解壓縮SSOWebDemo1和SSOWebDemo2文件,分別在它們/WEB-INF/下找到web.xml文件,請修改其中的幾個初始化參數
<init-param>
<param-name>SSOServiceURL</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
</init-param>
<init-param>
<param-name>SSOLoginPage</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
</init-param>
將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應用的機器名、端口號以及根路徑(缺省是SSOAuth)以反映實際的部署情況。設置完後,根據你所選擇的J2EE容器,可能需要將SSOWebDemo1和SSOWebDemo2這兩個目錄壓縮打包成兩個war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個功能。 - 請輸入第一個web應用的測試URL(test.jsp),例如http://wangyu.prc.sun.com:8080/
SSOWebDemo1/test.jsp,如果是第一次訪問,便會自動跳轉到登錄界面,如下圖
- 使用系統自帶的三個帳號之一登錄(例如,用戶名:wangyu,密碼:wangyu),便能成功的看到test.jsp的內容:顯示當前用戶名和歡迎信息。
- 請接着在同一個瀏覽器中輸入第二個web應用的測試URL(test.jsp),例如http://wangyu.prc.sun.com:8080/ SSOWebDemo2/test.jsp。你會發現,不需要再次登錄就能看到test.jsp的內容,同樣是顯示當前用戶名和歡迎信息,而且歡迎信息中明確的顯示當前的應用名稱(demo2)。
package DesktopSSO;
import java.io.*;
import java.net.*;
import java.text.*;
import java.util.*;
import java.util.concurrent.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class SSOAuth extends HttpServlet {
static private ConcurrentMap accounts;
static private ConcurrentMap SSOIDs;
String cookiename="WangYuDesktopSSOID";
String domainname;
public void init(ServletConfig config) throws ServletException {
super.init(config);
domainname= config.getInitParameter("domainname");
cookiename = config.getInitParameter("cookiename");
SSOIDs = new ConcurrentHashMap();
accounts=new ConcurrentHashMap();
accounts.put("wangyu", "wangyu");
accounts.put("paul", "paul");
accounts.put("carol", "carol");
}
protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
PrintWriter out = response.getWriter();
String action = request.getParameter("action");
String result="failed";
if (action==null) {
handlerFromLogin(request,response);
} else if (action.equals("authcookie")){
String myCookie = request.getParameter("cookiename");
if (myCookie != null) result = authCookie(myCookie);
out.print(result);
out.close();
} else if (action.equals("authuser")) {
result=authNameAndPasswd(request,response);
out.print(result);
out.close();
} else if (action.equals("logout")) {
String myCookie = request.getParameter("cookiename");
logout(myCookie);
out.close();
}
}
.....
}
|
- 如果用戶還沒有登錄過,是第一次登錄本系統,會被跳轉到login.jsp頁面(在後面會解釋如何跳轉)。用戶在提供了用戶名和密碼以後,就會用handlerFromLogin()這個方法來驗證。
- 如果用戶已經登錄過本系統,再訪問別的應用的時候,是不需要再次登錄的。因爲瀏覽器會將第一次登錄時產生的cookie和請求一起發送。效驗cookie的有效性是SSOAuth的主要功能之一。
- SSOAuth還能直接效驗非login.jsp頁面過來的用戶名和密碼的效驗請求。這個功能是用於非web應用的SSO,這在後面的桌面SSO中會用到。
- SSOAuth還提供logout服務。
private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
String pass = (String)accounts.get(username);
if ((pass==null)||(!pass.equals(password)))
getServletContext().getRequestDispatcher("/failed.html").forward(request, response);
else {
String gotoURL = request.getParameter("goto");
String newID = createUID();
SSOIDs.put(newID, username);
Cookie wangyu = new Cookie(cookiename, newID);
wangyu.setDomain(domainname);
wangyu.setMaxAge(60000);
wangyu.setValue(newID);
wangyu.setPath("/");
response.addCookie(wangyu);
System.out.println("login success, goto back url:" + gotoURL);
if (gotoURL != null) {
PrintWriter out = response.getWriter();
response.sendRedirect(gotoURL);
out.close();
}
}
}
|
- Web應用中每一個需要安全保護的URL在訪問以前,都需要進行安全檢查,如果發現沒有登錄(沒有發現認證之後所帶的cookie),就重新定向到SSOAuth中的login.jsp進行登錄。
- 登錄成功後,系統會自動給你的瀏覽器設置cookie,證明你已經登錄過了。
- 當你再訪問這個應用的需要保護的URL的時候,系統還是要進行安全檢查的,但是這次系統能夠發現相應的cookie。
- 有了這個cookie,還不能證明你就一定有權限訪問。因爲有可能你已經logout,或者cookie已經過期了,或者身份認證服務重起過,這些情況下,你的cookie都可能無效。應用系統拿到這個cookie,還需要調用身份認證的服務,來判斷cookie時候真的有效,以及當前的cookie對應的用戶是誰。
- 如果cookie效驗成功,就允許用戶訪問當前請求的資源。
- 在每個被訪問的資源中(JSP或Servlet)中都加入身份認證的服務,來獲得cookie,並且判斷當前用戶是否登錄過。不過這個笨方法沒有人會用:-)。
- 可以通過一個controller,將所有的功能都寫到一個servlet中,然後在URL映射的時候,映射到所有需要保護的URL集合中(例如*.jsp,/security/*等)。這個方法可以使用,不過,它的缺點是不能重用。在每個應用中都要部署一個相同的servlet。
- Filter是比較好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。(Filter的使用可以參考JavaWolrd的文章http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html)Filter是一個具有很好的模塊化,可重用的編程API,用在SSO正合適不過。本樣例就是使用一個filter來完成以上的功能。
package SSO;
import java.io.*;
import java.net.*;
import java.util.*;
import java.text.*;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.*;
import org.apache.commons.httpclient.*;
import org.apache.commons.httpclient.methods.GetMethod;
public class SSOFilter implements Filter {
private FilterConfig filterConfig = null;
private String cookieName="WangYuDesktopSSOID";
private String SSOServiceURL= "http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth";
private String SSOLoginPage= "http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp";
public void init(FilterConfig filterConfig) {
this.filterConfig = filterConfig;
if (filterConfig != null) {
if (debug) {
log("SSOFilter:Initializing filter");
}
}
cookieName = filterConfig.getInitParameter("cookieName");
SSOServiceURL = filterConfig.getInitParameter("SSOServiceURL");
SSOLoginPage = filterConfig.getInitParameter("SSOLoginPage");
}
.....
.....
}
|
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
if (debug) log("SSOFilter:doFilter()");
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
String result="failed";
String url = request.getRequestURL().toString();
String qstring = request.getQueryString();
if (qstring == null) qstring ="";
//檢查http請求的head是否有需要的cookie
String cookieValue ="";
javax.servlet.http.Cookie[] diskCookies = request.getCookies();
if (diskCookies != null) {
for (int i = 0; i < diskCookies.length; i++) {
if(diskCookies[i].getName().equals(cookieName)){
cookieValue = diskCookies[i].getValue();
//如果找到了相應的cookie則效驗其有效性
result = SSOService(cookieValue);
if (debug) log("found cookies!");
}
}
}
if (result.equals("failed")) { //效驗失敗或沒有找到cookie,則需要登錄
response.sendRedirect(SSOLoginPage+"?goto="+url);
} else if (qstring.indexOf("logout") > 1) {//logout服務
if (debug) log("logout action!");
logoutService(cookieValue);
response.sendRedirect(SSOLoginPage+"?goto="+url);
} else {//效驗成功
request.setAttribute("SSOUser",result);
Throwable problem = null;
try {
chain.doFilter(req, res);
} catch(Throwable t) {
problem = t;
t.printStackTrace();
}
if (problem != null) {
if (problem instanceof ServletException) throw (ServletException)problem;
if (problem instanceof IOException) throw (IOException)problem;
sendProcessingError(problem, res);
}
}
}
|
<filter-name>SSOFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
private String SSOService(String cookievalue) throws IOException {
String authAction = "?action=authcookie&cookiename=";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);
try {
httpclient.executeMethod(httpget);
String result = httpget.getResponseBodyAsString();
return result;
} finally {
httpget.releaseConnection();
}
}
private void logoutService(String cookievalue) throws IOException {
String authAction = "?action=logout&cookiename=";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);
try {
httpclient.executeMethod(httpget);
httpget.getResponseBodyAsString();
} finally {
httpget.releaseConnection();
}
}
|
- cookie的長度和複雜度
在本方案中,cookie是有一個固定的字符串(我的姓名)加上當前的時間戳。這樣的cookie很容易被僞造和猜測。懷有惡意的用戶如果猜測到合法的cookie就可以被當作已經登錄的用戶,任意訪問權限範圍內的資源 - cookie的效驗和保護
在本方案中,雖然密碼只要傳輸一次就夠了,可cookie在網絡中是經常傳來傳去。一些網絡探測工具(如sniff, snoop,tcpdump等)可以很容易捕獲到cookie的數值。在本方案中,並沒有考慮cookie在傳輸時候的保護。另外對cookie的效驗也過於簡單,並不去檢查發送cookie的來源究竟是不是cookie最初的擁有者,也就是說無法區分正常的用戶和仿造cookie的用戶。 - 當其中一個應用的安全性不好,其他所有的應用都會受到安全威脅
因爲有SSO,所以當某個處於 SSO的應用被黒客攻破,那麼很容易攻破其他處於同一個SSO保護的應用。
- 當前所提供的登錄認證模式只有一種:用戶名和密碼,而且爲了簡單,將用戶名和密碼放在內存當中。事實上,用戶身份信息的來源應該是多種多樣的,可以是來自數據庫中,LDAP中,甚至於來自操作系統自身的用戶列表。還有很多其他的認證模式都是商務應用不可缺少的,因此SSO的解決方案應該包括各種認證的模式,包括數字證書,Radius, SafeWord ,MemberShip,SecurID等多種方式。最爲靈活的方式應該允許可插入的JAAS框架來擴展身份認證的接口
- 我們編寫的Filter只能用於J2EE的應用,而對於大量非Java的Web應用,卻無法提供SSO服務。
- 在將Filter應用到Web應用的時候,需要對容器上的每一個應用都要做相應的修改,重新部署。而更加流行的做法是Agent機制:爲每一個應用服務器安裝一個agent,就可以將SSO功能應用到這個應用服務器中的所有應用。
- 當前的方案不能支持分別位於不同domain的Web應用進行SSO。這是因爲瀏覽器在訪問Web服務器的時候,僅僅會帶上和當前web服務器具有相同domain名稱的那些cookie。要提供跨域的SSO的解決方案有很多其他的方法,在這裏就不多說了。Sun的Access Manager就具有跨域的SSO的功能。
- 另外,Filter的性能問題也是需要重視的方面。因爲Filter會截獲每一個符合URL映射規則的請求,獲得cookie,驗證其有效性。這一系列任務是比較消耗資源的,特別是驗證cookie有效性是一個遠程的http的調用,來訪問SSOAuth的認證服務,有一定的延時。因此在性能上需要做進一步的提高。例如在本樣例中,如果將URL映射從“.jsp”改成“/*”,也就是說filter對所有的請求都起作用,整個應用會變得非常慢。這是因爲,頁面當中包含了各種靜態元素如gif圖片,css樣式文件,和其他html靜態頁面,這些頁面的訪問都要通過filter去驗證。而事實上,這些靜態元素沒有什麼安全上的需求,應該在filter中進行判斷,不去效驗這些請求,性能會好很多。另外,如果在filter中加上一定的cache,而不需要每一個cookie效驗請求都去遠端的身份認證服務中執行,性能也能大幅度提高。
- 另外系統還需要很多其他的服務,如在內存中定時刪除無用的cookie映射等等,都是一個嚴肅的解決方案需要考慮的問題。