1 什麼是單點登陸
單點登錄(Single Sign On),簡稱爲 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。
較大的企業內部,一般都有很多的業務支持系統爲其提供相應的管理和IT服 務。例如財務系統爲財務人員提供財務的管理、計算和報表服務;人事系統爲人事部門提供全公司人員的維護服務;各種業務系統爲公司內部不同的業務提供不同的 服務等等。這些系統的目的都是讓計算機來進行復雜繁瑣的計算工作,來替代人力的手工勞動,提高工作效率和質量。這些不同的系統往往是在不同的時期建設起來 的,運行在不同的平臺上;也許是由不同廠商開發,使用了各種不同的技術和標準。
2 單點登錄實現原理
實現單點登錄說到底就是要解決如何產生和存儲那個信任,再就是其他系統如何驗證這個信任的有效性,因此要點也就以下幾個:
- 存儲信任
- 驗證信任
只要解決了以上的問題,達到了開頭講得效果就可以說是SSO。最簡單實現SSO的方法就是用Cookie,實現流程如下所示:
對於第一個問題一般都是通過加密Cookie來處理,第二個問題是硬傷,其實這種方案的思路的就是要把這個信任關係存儲在客戶端,要實現這個也不一定只能用Cookie,用flash也能解決,flash的Shared Object API就提供了存儲能力。
一般說來,大型系統會採取在服務端存儲信任關係的做法,實現流程如下所示:
以上方案就是要把信任關係存儲在單獨的SSO系統(暫且這麼稱呼它)裏,說起來只是簡單地從客戶端移到了服務端,但其中幾個問題需要重點解決:
- 如何高效存儲大量臨時性的信任數據
- 如何防止信息傳遞過程被篡改
- 如何讓SSO系統信任登錄系統和免登系統
3 WEB-SSO的實現
隨着互聯網的高速發展,WEB應用幾乎統治了絕大部分的軟件應用系統,因此WEB-SSO是SSO應用當中最爲流行。WEB-SSO有其自身的特點和優勢,實現起來比較簡單易用。很多商業軟件和開源軟件都有對WEB-SSO的實現。其中值得一提的是OpenSSO (https://opensso.dev.java.net),爲用Java實現WEB-SSO提供架構指南和服務指南,爲用戶自己來實現WEB-SSO提供了理論的依據和實現的方法。
爲什麼說WEB-SSO比較容易實現呢?這是有WEB應用自身的特點決定的。
衆所周知,Web協議(也就是HTTP)是一個無狀態的協議。一個Web應用由很多個Web頁面組成,每個頁面都有唯一的URL來定義。用戶在瀏覽器的地址欄輸入頁面的URL,瀏覽器就會向Web
Server去發送請求。如下圖,瀏覽器向Web服務器發送了兩個請求,申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨的HTTP連接。所謂無狀態的協議也就是表現在這裏,瀏覽器和Web服務器會在第一個請求完成以後關閉連接通道,在第二個請求的時候重新建立連接。Web服務器並不區分哪個請求來自哪個客戶端,對所有的請求都一視同仁,都是單獨的連接。這樣的方式大大區別於傳統的(Client/Server)C/S結構,在那樣的應用中,客戶端和服務器端會建立一個長時間的專用的連接通道。正是因爲有了無狀態的特性,每個連接資源能夠很快被其他客戶端所重用,一臺Web服務器才能夠同時服務於成千上萬的客戶端。
但是我們通常的應用是有狀態的。先不用提不同應用之間的SSO,在同一個應用中也需要保存用戶的登錄身份信息。例如用戶在訪問頁面1的時候進行了登錄,但是剛纔也提到,客戶端的每個請求都是單獨的連接,當客戶再次訪問頁面2的時候,如何才能告訴Web服務器,客戶剛纔已經登錄過了呢?瀏覽器和服務器之間有約定:通過使用cookie技術來維護應用的狀態。Cookie是可以被Web服務器設置的字符串,並且可以保存在瀏覽器中。如下圖所示,當瀏覽器訪問了頁面1時,web服務器設置了一個cookie,並將這個cookie和頁面1一起返回給瀏覽器,瀏覽器接到cookie之後,就會保存起來,在它訪問頁面2的時候會把這個cookie也帶上,Web服務器接到請求時也能讀出cookie的值,根據cookie值的內容就可以判斷和恢復一些用戶的信息狀態。
Web-SSO完全可以利用Cookie結束來完成用戶登錄信息的保存,將瀏覽器中的Cookie和上文中的Ticket結合起來,完成SSO的功能。
爲了完成一個簡單的SSO的功能,需要兩個部分的合作:
- 統一的身份認證服務。
- 修改Web應用,使得每個應用都通過這個統一的認證服務來進行身份效驗。
3.1 Web SSO 的樣例
根據上面的原理,我用J2EE的技術(JSP和Servlet)完成了一個具有Web-SSO的簡單樣例。樣例包含一個身份認證的服務器和兩個簡單的Web應用,使得這兩個 Web應用通過統一的身份認證服務來完成Web-SSO的功能。此樣例所有的源代碼和二進制代碼都可以從網站地址http://gceclub.sun.com.cn/wangyu/ 下載。
樣例下載、安裝部署和運行指南:
- Web-SSO的樣例是由三個標準Web應用組成,壓縮成三個zip文件,從http://gceclub.sun.com.cn/wangyu/web-sso/中下載。其中SSOAuth(http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip)是身份認證服務;SSOWebDemo1(http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip)和SSOWebDemo2(http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip)是兩個用來演示單點登錄的Web應用。這三個Web應用之所以沒有打成war包,是因爲它們不能直接部署,根據讀者的部署環境需要作出小小的修改。樣例部署和運行的環境有一定的要求,需要符合Servlet2.3以上標準的J2EE容器才能運行(例如Tomcat5,Sun Application Server 8, Jboss 4等)。另外,身份認證服務需要JDK1.5的運行環境。之所以要用JDK1.5是因爲筆者使用了一個線程安全的高性能的Java集合類“ConcurrentMap”,只有在JDK1.5中才有。
- 這三個Web應用完全可以單獨部署,它們可以分別部署在不同的機器,不同的操作系統和不同的J2EE的產品上,它們完全是標準的和平臺無關的應用。但是有一個限制,那兩臺部署應用(demo1、demo2)的機器的域名需要相同,這在後面的章節中會解釋到cookie和domain的關係以及如何製作跨域的WEB-SSO
- 解壓縮SSOAuth.zip文件,在/WEB-INF/下的web.xml中請修改“domainname”的屬性以反映實際的應用部署情況,domainname需要設置爲兩個單點登錄的應用(demo1和demo2)所屬的域名。這個domainname和當前SSOAuth服務部署的機器的域名沒有關係。我缺省設置的是“.sun.com”。如果你部署demo1和demo2的機器沒有域名,請輸入IP地址或主機名(如localhost),但是如果使用IP地址或主機名也就意味着demo1和demo2需要部署到一臺機器上了。設置完後,根據你所選擇的J2EE容器,可能需要將SSOAuth這個目錄壓縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個功能。
- 解壓縮SSOWebDemo1和SSOWebDemo2文件,分別在它們/WEB-INF/下找到web.xml文件,請修改其中的幾個初始化參數
<init-param>
<param-name>SSOServiceURL</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
</init-param>
<init-param>
<param-name>SSOLoginPage</param-name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
</init-param>
將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應用的機器名、端口號以及根路徑(缺省是SSOAuth)以反映實際的部署情況。設置完後,根據你所選擇的J2EE容器,可能需要將SSOWebDemo1和SSOWebDemo2這兩個目錄壓縮打包成兩個war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個功能。 - 請輸入第一個web應用的測試URL(test.jsp),例如http://wangyu.prc.sun.com:8080/
SSOWebDemo1/test.jsp,如果是第一次訪問,便會自動跳轉到登錄界面,如下圖
![]()
- 使用系統自帶的三個帳號之一登錄(例如,用戶名:wangyu,密碼:wangyu),便能成功的看到test.jsp的內容:顯示當前用戶名和歡迎信息。
![]()
- 請接着在同一個瀏覽器中輸入第二個web應用的測試URL(test.jsp),例如http://wangyu.prc.sun.com:8080/ SSOWebDemo2/test.jsp。你會發現,不需要再次登錄就能看到test.jsp的內容,同樣是顯示當前用戶名和歡迎信息,而且歡迎信息中明確的顯示當前的應用名稱(demo2)。
3.2 WEB-SSO代碼講解
3.2.1身份認證服務代碼解析
Web-SSO的源代碼可以從網站地址http://gceclub.sun.com.cn/wangyu/web-sso/websso_src.zip下載。身份認證服務是一個標準的web應用,包括一個名爲SSOAuth的Servlet,一個login.jsp文件和一個failed.html。身份認證的所有服務幾乎都由SSOAuth的Servlet來實現了;login.jsp用來顯示登錄的頁面(如果發現用戶還沒有登錄過);failed.html是用來顯示登錄失敗的信息(如果用戶的用戶名和密碼與信息數據庫中的不一樣)。
SSOAuth的代碼如下面的列表顯示,結構非常簡單,先看看這個Servlet的主體部分:
|
package DesktopSSO;
import java.io.*;
import java.net.*;
import java.text.*;
import java.util.*;
import java.util.concurrent.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class SSOAuth extends HttpServlet {
static private ConcurrentMap accounts;
static private ConcurrentMap SSOIDs;
String cookiename="WangYuDesktopSSOID";
String domainname;
public void init(ServletConfig config) throws ServletException {
super.init(config);
domainname= config.getInitParameter("domainname");
cookiename = config.getInitParameter("cookiename");
SSOIDs = new ConcurrentHashMap();
accounts=new ConcurrentHashMap();
accounts.put("wangyu", "wangyu");
accounts.put("paul", "paul");
accounts.put("carol", "carol");
}
protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
PrintWriter out = response.getWriter();
String action = request.getParameter("action");
String result="failed";
if (action==null) {
handlerFromLogin(request,response);
} else if (action.equals("authcookie")){
String myCookie = request.getParameter("cookiename");
if (myCookie != null) result = authCookie(myCookie);
out.print(result);
out.close();
} else if (action.equals("authuser")) {
result=authNameAndPasswd(request,response);
out.print(result);
out.close();
} else if (action.equals("logout")) {
String myCookie = request.getParameter("cookiename");
logout(myCookie);
out.close();
}
}
.....
}
|
從代碼很容易看出,SSOAuth就是一個簡單的Servlet。其中有兩個靜態成員變量:accounts和SSOIDs,這兩個成員變量都使用了JDK1.5中線程安全的MAP類:
ConcurrentMap,所以這個樣例一定要JDK1.5才能運行。Accounts用來存放用戶的用戶名和密碼,在init()的方法中可以看到我給系統添加了三個合法的用戶。在實際應用中,accounts應該是去數據庫中或LDAP中獲得,爲了簡單起見,在本樣例中我使用了ConcurrentMap在內存中用程序創建了三個用戶。而SSOIDs保存了在用戶成功的登錄後所產生的cookie和用戶名的對應關係。它的功能顯而易見:當用戶成功登錄以後,再次訪問別的系統,爲了鑑別這個用戶請求所帶的cookie的有效性,需要到SSOIDs中檢查這樣的映射關係是否存在。
在主要的請求處理方法processRequest()中,可以很清楚的看到SSOAuth的所有功能
- 如果用戶還沒有登錄過,是第一次登錄本系統,會被跳轉到login.jsp頁面(在後面會解釋如何跳轉)。用戶在提供了用戶名和密碼以後,就會用handlerFromLogin()這個方法來驗證。
- 如果用戶已經登錄過本系統,再訪問別的應用的時候,是不需要再次登錄的。因爲瀏覽器會將第一次登錄時產生的cookie和請求一起發送。效驗cookie的有效性是SSOAuth的主要功能之一。
- SSOAuth還能直接效驗非login.jsp頁面過來的用戶名和密碼的效驗請求。這個功能是用於非web應用的SSO,這在後面的桌面SSO中會用到。
- SSOAuth還提供logout服務。
下面看看幾個主要的功能函數:
|
private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
String pass = (String)accounts.get(username);
if ((pass==null)||(!pass.equals(password)))
getServletContext().getRequestDispatcher("/failed.html").forward(request, response);
else {
String gotoURL = request.getParameter("goto");
String newID = createUID();
SSOIDs.put(newID, username);
Cookie wangyu = new Cookie(cookiename, newID);
wangyu.setDomain(domainname);
wangyu.setMaxAge(60000);
wangyu.setValue(newID);
wangyu.setPath("/");
response.addCookie(wangyu);
System.out.println("login success, goto back url:" + gotoURL);
if (gotoURL != null) {
PrintWriter out = response.getWriter();
response.sendRedirect(gotoURL);
out.close();
}
}
}
|
handlerFromLogin()這個方法是用來處理來自login.jsp的登錄請求。它的邏輯很簡單:將用戶輸入的用戶名和密碼與預先設定好的用戶集合(存放在accounts中)相比較,如果用戶名或密碼不匹配的話,則返回登錄失敗的頁面(failed.html),如果登錄成功的話,需要爲用戶當前的session創建一個新的ID,並將這個ID和用戶名的映射關係存放到SSOIDs中,最後還要將這個ID設置爲瀏覽器能夠保存的cookie值。
登錄成功後,瀏覽器會到哪個頁面呢?那我們回顧一下我們是如何使用身份認證服務的。一般來說我們不會直接訪問身份服務的任何URL,包括login.jsp。身份服務是用來保護其他應用服務的,用戶一般在訪問一個受SSOAuth保護的Web應用的某個URL時,當前這個應用會發現當前的用戶還沒有登錄,便強制將也頁面轉向SSOAuth的login.jsp,讓用戶登錄。如果登錄成功後,應該自動的將用戶的瀏覽器指向用戶最初想訪問的那個URL。在handlerFromLogin()這個方法中,我們通過接收“goto”這個參數來保存用戶最初訪問的URL,成功後便重新定向到這個頁面中。
另外一個要說明的是,在設置cookie的時候,我使用了一個setMaxAge(6000)的方法。這個方法是用來設置cookie的有效期,單位是秒。如果不使用這個方法或者參數爲負數的話,當瀏覽器關閉的時候,這個cookie就失效了。在這裏我給了很大的值(1000分鐘),導致的行爲是:當你關閉瀏覽器(或者關機),下次再打開瀏覽器訪問剛纔的應用,只要在1000分鐘之內,就不需要再登錄了。我這樣做是下面要介紹的桌面SSO中所需要的功能。
其他的方法更加簡單,這裏就不多解釋了。
3.2.2具有SSO功能的web應用源代碼解析
要實現WEB-SSO的功能,只有身份認證服務是不夠的。這點很顯然,要想使多個應用具有單點登錄的功能,還需要每個應用本身的配合:將自己的身份認證的服務交給一個統一的身份認證服務-SSOAuth。SSOAuth服務中提供的各個方法就是供每個加入SSO的Web應用來調用的。
一般來說,Web應用需要SSO的功能,應該通過以下的交互過程來調用身份認證服務的提供的認證服務:
- Web應用中每一個需要安全保護的URL在訪問以前,都需要進行安全檢查,如果發現沒有登錄(沒有發現認證之後所帶的cookie),就重新定向到SSOAuth中的login.jsp進行登錄。
- 登錄成功後,系統會自動給你的瀏覽器設置cookie,證明你已經登錄過了。
- 當你再訪問這個應用的需要保護的URL的時候,系統還是要進行安全檢查的,但是這次系統能夠發現相應的cookie。
- 有了這個cookie,還不能證明你就一定有權限訪問。因爲有可能你已經logout,或者cookie已經過期了,或者身份認證服務重起過,這些情況下,你的cookie都可能無效。應用系統拿到這個cookie,還需要調用身份認證的服務,來判斷cookie時候真的有效,以及當前的cookie對應的用戶是誰。
- 如果cookie效驗成功,就允許用戶訪問當前請求的資源。
以上這些功能,可以用很多方法來實現:
- 在每個被訪問的資源中(JSP或Servlet)中都加入身份認證的服務,來獲得cookie,並且判斷當前用戶是否登錄過。不過這個笨方法沒有人會用:-)。
- 可以通過一個controller,將所有的功能都寫到一個servlet中,然後在URL映射的時候,映射到所有需要保護的URL集合中(例如*.jsp,/security/*等)。這個方法可以使用,不過,它的缺點是不能重用。在每個應用中都要部署一個相同的servlet。
- Filter是比較好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。(Filter的使用可以參考JavaWolrd的文章http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html)Filter是一個具有很好的模塊化,可重用的編程API,用在SSO正合適不過。本樣例就是使用一個filter來完成以上的功能。
|
package SSO;
import java.io.*;
import java.net.*;
import java.util.*;
import java.text.*;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.*;
import org.apache.commons.httpclient.*;
import org.apache.commons.httpclient.methods.GetMethod;
public class SSOFilter implements Filter {
private FilterConfig filterConfig = null;
private String cookieName="WangYuDesktopSSOID";
private String SSOServiceURL= "http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth";
private String SSOLoginPage= "http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp";
public void init(FilterConfig filterConfig) {
this.filterConfig = filterConfig;
if (filterConfig != null) {
if (debug) {
log("SSOFilter:Initializing filter");
}
}
cookieName = filterConfig.getInitParameter("cookieName");
SSOServiceURL = filterConfig.getInitParameter("SSOServiceURL");
SSOLoginPage = filterConfig.getInitParameter("SSOLoginPage");
}
.....
.....
}
|
以上的初始化的源代碼有兩點需要說明:一是有兩個需要配置的參數SSOServiceURL和SSOLoginPage。因爲當前的Web應用很可能和身份認證服務(SSOAuth)不在同一臺機器上,所以需要讓這個filter知道身份認證服務部署的URL,這樣才能去調用它的服務。另外一點就是由於身份認證的服務調用是要通過http協議來調用的(在本樣例中是這樣設計的,讀者完全可以設計自己的身份服務,使用別的調用協議,如RMI或SOAP等等),所有筆者引用了apache的commons工具包(詳細信息情訪問apache 的網站http://jakarta.apache.org/commons/index.html),其中的“httpclient”可以大大簡化http調用的編程。
下面看看filter的主體方法doFilter():
|
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
if (debug) log("SSOFilter:doFilter()");
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
String result="failed";
String url = request.getRequestURL().toString();
String qstring = request.getQueryString();
if (qstring == null) qstring ="";
//檢查http請求的head是否有需要的cookie
String cookieValue ="";
javax.servlet.http.Cookie[] diskCookies = request.getCookies();
if (diskCookies != null) {
for (int i = 0; i < diskCookies.length; i++) {
if(diskCookies[i].getName().equals(cookieName)){
cookieValue = diskCookies[i].getValue();
//如果找到了相應的cookie則效驗其有效性
result = SSOService(cookieValue);
if (debug) log("found cookies!");
}
}
}
if (result.equals("failed")) { //效驗失敗或沒有找到cookie,則需要登錄
response.sendRedirect(SSOLoginPage+"?goto="+url);
} else if (qstring.indexOf("logout") > 1) {//logout服務
if (debug) log("logout action!");
logoutService(cookieValue);
response.sendRedirect(SSOLoginPage+"?goto="+url);
} else {//效驗成功
request.setAttribute("SSOUser",result);
Throwable problem = null;
try {
chain.doFilter(req, res);
} catch(Throwable t) {
problem = t;
t.printStackTrace();
}
if (problem != null) {
if (problem instanceof ServletException) throw (ServletException)problem;
if (problem instanceof IOException) throw (IOException)problem;
sendProcessingError(problem, res);
}
}
}
|
doFilter()方法的邏輯也是非常簡單的,在接收到請求的時候,先去查找是否存在期望的cookie值,如果找到了,就會調用SSOService(cookieValue)去效驗這個cookie的有效性。如果cookie效驗不成功或者cookie根本不存在,就會直接轉到登錄界面讓用戶登錄;如果cookie效驗成功,就不會做任何阻攔,讓此請求進行下去。在配置文件中,有下面的一個節點表示了此filter的URL映射關係:只攔截所有的jsp請求。
<filter-mapping>
<filter-name>SSOFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
<filter-name>SSOFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
下面還有幾個主要的函數需要說明:
|
private String SSOService(String cookievalue) throws IOException {
String authAction = "?action=authcookie&cookiename=";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);
try {
httpclient.executeMethod(httpget);
String result = httpget.getResponseBodyAsString();
return result;
} finally {
httpget.releaseConnection();
}
}
private void logoutService(String cookievalue) throws IOException {
String authAction = "?action=logout&cookiename=";
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);
try {
httpclient.executeMethod(httpget);
httpget.getResponseBodyAsString();
} finally {
httpget.releaseConnection();
}
}
|
這兩個函數主要是利用apache中的httpclient訪問SSOAuth提供的認證服務來完成效驗cookie和logout的功能。
其他的函數都很簡單,有很多都是我的IDE(NetBeans)替我自動生成的。
4 當前方案的安全侷限性
當前這個WEB-SSO的方案是一個比較簡單的雛形,主要是用來演示SSO的概念和說明SSO技術的實現方式。有很多方面還需要完善,其中安全性是非常重要的一個方面。
我們說過,採用SSO技術的主要目的之一就是加強安全性,降低安全風險。因爲採用了SSO,在網絡上傳遞密碼的次數減少,風險降低是顯然的,但是當前的方案卻有其他的安全風險。由於cookie是一個用戶登錄的唯一憑據,對cookie的保護措施是系統安全的重要環節:
- cookie的長度和複雜度
在本方案中,cookie是有一個固定的字符串(我的姓名)加上當前的時間戳。這樣的cookie很容易被僞造和猜測。懷有惡意的用戶如果猜測到合法的cookie就可以被當作已經登錄的用戶,任意訪問權限範圍內的資源 - cookie的效驗和保護
在本方案中,雖然密碼只要傳輸一次就夠了,可cookie在網絡中是經常傳來傳去。一些網絡探測工具(如sniff, snoop,tcpdump等)可以很容易捕獲到cookie的數值。在本方案中,並沒有考慮cookie在傳輸時候的保護。另外對cookie的效驗也過於簡單,並不去檢查發送cookie的來源究竟是不是cookie最初的擁有者,也就是說無法區分正常的用戶和仿造cookie的用戶。 - 當其中一個應用的安全性不好,其他所有的應用都會受到安全威脅
因爲有SSO,所以當某個處於 SSO的應用被黒客攻破,那麼很容易攻破其他處於同一個SSO保護的應用。
這些安全漏洞在商業的SSO解決方案中都會有所考慮,提供相關的安全措施和保護手段,例如Sun公司的Access
Manager,cookie的複雜讀和對cookie的保護都做得非常好。另外在OpneSSO (https://opensso.dev.java.net)的架構指南中也給出了部分安全措施的解決方案。
5 當前方案的功能和性能侷限性
除了安全性,當前方案在功能和性能上都需要很多的改進:
- 當前所提供的登錄認證模式只有一種:用戶名和密碼,而且爲了簡單,將用戶名和密碼放在內存當中。事實上,用戶身份信息的來源應該是多種多樣的,可以是來自數據庫中,LDAP中,甚至於來自操作系統自身的用戶列表。還有很多其他的認證模式都是商務應用不可缺少的,因此SSO的解決方案應該包括各種認證的模式,包括數字證書,Radius, SafeWord ,MemberShip,SecurID等多種方式。最爲靈活的方式應該允許可插入的JAAS框架來擴展身份認證的接口
- 我們編寫的Filter只能用於J2EE的應用,而對於大量非Java的Web應用,卻無法提供SSO服務。
- 在將Filter應用到Web應用的時候,需要對容器上的每一個應用都要做相應的修改,重新部署。而更加流行的做法是Agent機制:爲每一個應用服務器安裝一個agent,就可以將SSO功能應用到這個應用服務器中的所有應用。
- 當前的方案不能支持分別位於不同domain的Web應用進行SSO。這是因爲瀏覽器在訪問Web服務器的時候,僅僅會帶上和當前web服務器具有相同domain名稱的那些cookie。要提供跨域的SSO的解決方案有很多其他的方法,在這裏就不多說了。Sun的Access Manager就具有跨域的SSO的功能。
- 另外,Filter的性能問題也是需要重視的方面。因爲Filter會截獲每一個符合URL映射規則的請求,獲得cookie,驗證其有效性。這一系列任務是比較消耗資源的,特別是驗證cookie有效性是一個遠程的http的調用,來訪問SSOAuth的認證服務,有一定的延時。因此在性能上需要做進一步的提高。例如在本樣例中,如果將URL映射從“.jsp”改成“/*”,也就是說filter對所有的請求都起作用,整個應用會變得非常慢。這是因爲,頁面當中包含了各種靜態元素如gif圖片,css樣式文件,和其他html靜態頁面,這些頁面的訪問都要通過filter去驗證。而事實上,這些靜態元素沒有什麼安全上的需求,應該在filter中進行判斷,不去效驗這些請求,性能會好很多。另外,如果在filter中加上一定的cache,而不需要每一個cookie效驗請求都去遠端的身份認證服務中執行,性能也能大幅度提高。
- 另外系統還需要很多其他的服務,如在內存中定時刪除無用的cookie映射等等,都是一個嚴肅的解決方案需要考慮的問題。
5 真正安全的全方位SSO解決方案:Kerberos
我們的樣例程序(桌面SSO和WEB-SSO)都有一個共性:要想將一個應用集成到我們的SSO解決方案中,或多或少的需要修改應用程序。Web應用需要配置一個我們預製的filter;桌面應用需要加上我們桌面SSO的JAAS模塊(至少要修改JAAS的配置文件)。可是有很多程序是沒有源代碼和無法修改的,例如常用的遠程通訊程序telnet和ftp等等一些操作系統自己帶的常用的應用程序。這些程序是很難修改加入到我們的SSO的解決方案中。
事實上有一種全方位的SSO解決方案能夠解決這些問題,這就是Kerberos協議(RFC 1510)。Kerberos是網絡安全應用標準(http://web.mit.edu/kerberos/),由MIT學校發明,被主流的操作系統所採用。在採用kerberos的平臺中,登錄和認證是由操作系統本身來維護,認證的憑證也由操作系統來保存,這樣整個桌面都可以處於同一個SSO的系統保護中。操作系統中的各個應用(如ftp,telnet)只需要通過配置就能加入到SSO中。另外使用Kerberos最大的好處在於它的安全性。通過密鑰算法的保證和密鑰中心的建立,可以做到用戶的密碼根本不需要在網絡中傳輸,而傳輸的信息也會十分的安全。
目前支持Kerberos的操作系統包括Solaris, windows,Linux等等主流的平臺。只不過要搭建一個Kerberos的環境比較複雜,KDC(密鑰分發中心)的建立也需要相當的步驟。Kerberos擁有非常成熟的API,包括Java的API。使用Java
Generic Security Services(GSS) API並且使用JAAS中對Kerberos的支持(詳細信息請參見Sun的Java&Kerberos教程http://java.sun.com/
j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html),要將我們這個樣例改造成對Kerberos的支持也是不難的。 值得一提的是在JDK6.0 (http://www.java.net/download/jdk6)當中直接就包含了對GSS的支持,不需要單獨下載GSS的包。