目標:用戶Login一次之後,可以訪問同一Server上的不同Webapp, 具體實現上采用Tomcat的Single Sign-On實現. 主要分為下面幾個步驟:
修改Tomcat conf/server.xml 打開SSO支持
<Host> 節點下增加一個Value節點 <Valve className="org.apache.catalina.authenticator.SingleSignOn" debug="0" requireReauthentication="false"/> </Host>
container認證realm: user、role、server.xml的<Realm...>設置.
tomcat的認證機制有2個要素: user 和 role.
user 是區別一個個用戶的唯一識別了。
role 就是一些抽象的權限級別,比如“admin”、“manager”、“member”、“guest”等等,都是可以自己定義的.一個user可以擁有多種role.
“可是tomcat怎麼去拿到我的user/role信息呢?我的這些數據都在數據庫裡阿?” 可以在tomcat的server.xml裡用 <Realm> tag來讀取這些信息,並且tomcat提供了3、4種現成的Realm實現,其中有從文件裡讀的,有從JDBC讀的,有從DataSource讀的,也有從LDAP讀的。具體Realm的寫法,和提供的幾種Realm的配置方法,可以參考tomcat自己的文檔,在此不作細述。 (把tomcat自帶的webapp: tomcat-docs.war 展開,看裡面的 config/realm.html) 如果連這些現成的配置都不能滿足你的要求的話,那也可以考慮自己寫一個Realm的實現類來滿足具體要求。下面舉一個JDBC的Realm的配置例子看一下:
<Realm className="org.apache.catalina.realm.JDBCRealm" debug="99" driverName="your.jdbc.driver.here" connectionURL="your.jdbc.url.here" connectionName="test" connectionPassword="test" userTable="users" userNameCol="user_name" userCredCol="user_pass" userRoleTable="user_roles" roleNameCol="role_name" />
webapp使用SSO:
告訴tomcat這個webapp要通過container的認證
具體做法: 在web.xml裡面加上如下的配置:
<security-constraint> <web-resource-collection> <web-resource-name>http://www.bt285.cn BT下載 </web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <!-- role name 指定哪個role可以訪問,可以為多個role,如兩個網站:http://www.5a520.cn http://www.feng123.com --> <role-name>intrauser</role-name> </auth-constraint> </security-constraint>
選擇一種認證方法
在web.xml裡面加上如下的配置:
<login-config> <auth-method>BASIC</auth-method> <realm-name>Intra Web Application</realm-name> </login-config> <security-role> <description>The role that is required to access intrasites</description> <role-name>intrauser</role-name> </security-role>
這裡有2個要點:
auth-method
舉例為了簡單用了最基本的一種BASIC。若使用BASIC方式,當你去訪問受保護認證的資源時,浏覽器會彈出一個小窗口讓你輸入用戶名和密碼。(就像我們訪問ioffice時,第一次彈出來的那個認證窗口)其他還有幾種認證方式如:FORM、DIGEST、CLIENT-CERT。其中FORM是可以自己寫login畫面的,當然html的form內容有些規定(要符合j2ee和container的要求嘛)。 DIGEST是一種加密的傳輸,而CLIENT-CERT沒有查過,有興趣可以去查一下。
realm-name
這個realm-name是這個webapp的認證realm名,注意幾個處於同一SSO下的webapp,他們的realm-name要設成一樣的值。 如果不設成一樣,那麼換一個webapp就要重新認證一次,達不到SSO的效果。
如何取得當前的User信息
原本都習慣在login以後,把一些login用戶信息放到session裡面的. 現在認證都交給container去做了,我們的webapp怎麼拿到login用戶信息啊? 確實,現在我們的webapp能做的,只有從request裡面拿到login用戶的userid了。
String userid = request.gerRemoteUser();
以上是在一個Tomcat Container上的SSO實現.
如果是不同的Container上的webapp要做SSO,這種時候一種可行的方案是,最前面架一個webserver(比如apache),在webserver這層承擔SSO的認證任務,後面內部就可用掛多個container了. 具體都用到的時候再調查吧.
