SSO單點登錄解決方案

1 什麼是單點登陸

單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業業務 整合的解決方案之一。SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。

較大的企業內部，一般都有很多的業務支持系統為其提供相應的管理和IT服務。例如 財務系統為財務人員提供財務的管理、計算和報表服務；人事系統為人事部門 提供全公司人員的維護服 務；各種業務系統為公司內部不同的業務提供不同的服務等等。這些系統的目的都是讓計算機來 進行復 雜繁瑣的計算工作，來替代人力的手 工勞動，提高工作效率和質量。這些不同的系統往往是在不同的時 期建設起來的，運行在不同的平台上；也許是由不同廠商開發，使用了各種不同的技術和標准。如 果舉 例說國內一著名的IT公司（名字隱去），內部共有60多個業務系統，這些系統包括兩個不同版本的SAP的 ERP系統，12個不同類型和版本的數據庫系 統，8個不同類型和版本的操作系統，以及使用了3種不同的 防火牆技術，還有數十種互相不能兼容的協議和標准，你相信嗎？不要懷疑，這種情況其實非常普遍。 每一個應用系統在運行了數年以後，都會成為不可替換的企業IT架構的一部分，如下圖所示。

隨著企業的發展，業務系統的數量在不斷的增加，老的系統卻不能輕易的替換，這會帶來很多的開銷 。其一是管理上的開銷，需要維護的系統越來越多。很多系統的 數據是相互冗余和重復的，數據的不一 致性會給管理工作帶來很大的壓力。業務和業務之間的相關性也越來越大，例如公司的計費系統和財務 系統，財務系統和人事 系統之間都不可避免的有著密切的關系。

為了降低管理的消耗，最大限 度的重用已有投資的系統，很多企業都在進行著企業應用集成（EAI）。企業應用集成可以在不同層面上 進行：例如在數據存儲層面 上的“數據大集中”，在傳輸層面上的“通用數據交換平 台”，在應用層面上的“業務流程整合”，和用戶界面上的“通用企業門戶 ”等等。事實上，還用一個層面 上的集成變得越來越重要，那就是“身份認證”的整 合，也就是“單點登錄”。

通常來說，每個單獨的系統都會有自己的安全體系和身份 認證系統。整合以前，進入每個系統都需要進行登錄，這樣的局面不僅給管理上帶來了很大的困難，在 安全方面也埋下了重大的隱患。下面是一些著名的調查公司顯示的統計數據：

用戶每天平均16分 鐘花在身份驗證任務上 - 資料來源：IDS

頻繁的IT用戶平均有21個密碼 - 資料來源：NTA Monitor Password Survey

49%的人寫下了其密碼，而67%的人很少改變它們

每79秒出現一 起身份被竊事件 - 資料來源：National Small Business Travel Assoc

全球欺騙損失每年約12B - 資料來源：Comm Fraud Control Assoc

到2007年，身份管理市場將成倍增長至$4.5B - 資料來 源：IDS

使用“單點登錄”整合後，只需要登錄一次就可以進入多個系統，而不需要 重新登錄，這不僅僅帶來了更好的用戶體驗，更重要的是降低了安全的風險和管理的消耗。請看下面的 統計數據：

提高IT效率：對於每1000個受管用戶，每用戶可節省$70K

幫助台呼叫減少至 少1/3，對於10K員工的公司，每年可以節省每用戶$75，或者合計$648K

生產力提高：每個新員工 可節省$1K，每個老員工可節省$350 - 資料來源：Giga

ROI回報：7.5到13個月 - 資料來源： Gartner

另外，使用“單點登錄”還是SOA時代的需求之一。在面向服務的架構中，服 務和服務之間，程序和程序之間的通訊大量存在，服務之間的安全認證是SOA應用的難點之一，應此建立 “單點登錄”的系統體系能夠大大簡化SOA的安全問題，提高服務之間的合作效率。

2 單點登陸的技術實現機制

隨著SSO技術的流行，SSO的產品也是滿天飛揚。所有著名的軟件廠商都 提供了相應的解決方案。在這裡我並不想介紹自己公司（Sun Microsystems）的產品，而是對SSO技術本 身進行解析，並且提供自己開發這一類產品的方法和簡單演示。有關我寫這篇文章的目的，請參考我的 博 客（http://yuwang881.blog.sohu.com/3184816.html）。

單點登錄的機制其實是比較簡單的 ，用一個現實中的例子做比較。頤和園是北京著名的旅游景點，也是我常去的地方。在頤和園內部有許 多獨立的景點，例如“蘇州 街”、“佛香閣”和“德和園”，都可以 在各個景點門口單獨買票。很多游客需要游玩所有德景點，這種買票方式很不方便，需要在每個景點門 口排隊買票，錢包拿 進拿出的，容易丟失，很不安全。於是絕大多數游客選擇在大門口買一張通票（也 叫套票），就可以玩遍所有的景點而不需要重新再買票。他們只需要在每個景點門 口出示一下剛才買的 套票就能夠被允許進入每個獨立的景點。

單點登錄的機制也一樣，如下圖所示，當用戶第一次訪 問應用系統1的時候，因為還沒有登錄，會被引導到認證系統中進行登錄（1）；根據用戶提供的登錄信 息， 認證系統進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑據－－ticket（2）；用戶 再訪問別的應用的時候（3，5）就會將這個ticket 帶上，作為自己認證的憑據，應用系統接受到請求之 後會把ticket送到認證系統進行效驗，檢查ticket的合法性（4，6）。如果通過效驗，用戶就可 以在不 用再次登錄的情況下訪問應用系統2和應用系統3了。

從上面的視圖可以看 出，要實現SSO，需要以下主要的功能：

所有應用系統共享一個身份認證系統。

統一的認 證系統是SSO的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登 錄認證；認證成功後，認證系統應該生成統一的認證標志（ticket），返還給用戶。另外，認證系統還 應該對ticket進行效驗，判斷其有效性。

所有應用系統能夠識別和提取ticket信息

要實 現SSO的功能，讓用戶只登錄一次，就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對 ticket進行識別和提取，通過與認證系統的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄 的功能。

上面的功能只是一個非常簡單的SSO架構，在現實情況下的SSO有著更加復雜的結構。有 兩點需要指出的是：

單一的用戶信息數據庫並不是必須的，有許多系統不能將所有的用戶信息都 集中存儲，應該允許用戶信息放置在不同的存儲中，如下圖所示。事實上，只要統一認證系統，統一 ticket的產生和效驗，無論用戶信息存儲在什麼地方，都能實現單點登錄。

統一 的認證系統並不是說只有單個的認證服務器，如下圖所示，整個系統可以存在兩個以上的認證服務器， 這些服務器甚至可以是不 同的產品。認證服務器 之間要通過標准的通訊協議，互相交換認證信息，就 能完成更高級別的單點登錄。如下圖，當用戶在訪問應用系統1時，由第一個認證服務器進行認證後，得 到由此 服務器產生的ticket。當他訪問應用系統4的時候，認證服務器2能夠識別此ticket是由第一個服 務器產生的，通過認證服務器之間標准的通訊協議 （例如SAML）來交換認證信息，仍然能夠完成SSO的 功能。

3 WEB-SSO的實現

隨著互聯網的高速發展，WEB應用幾乎統治了絕大部分的軟件應用系統，因 此WEB-SSO是SSO應用當中最為流行。WEB-SSO有其自身的特點和優 勢，實現起來比較簡單易用。很多商 業軟件和開源軟件都有對WEB-SSO的實現。其中值得一提的是OpenSSO （https://opensso.dev.java.net ），為用Java實現WEB-SSO提供架構指南和服務指南，為用戶自己來實現WEB-SSO提供了理論的依據和實 現的方法。

為什麼說WEB-SSO比較容易實現呢？這是有WEB應用自身的特點決定的。

眾所 周知，Web協議（也就是HTTP）是一個無狀態的協議。一個Web應用由很多個Web頁面組成，每個頁面都有 唯一的URL來定義。用戶在浏覽器的地 址欄輸入頁面的URL，浏覽器就會向Web Server去 發送請求。如 下圖，浏覽器向Web服務器發送了兩個請求，申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨 的HTTP連接。所謂無狀 態的協議也就是表現在這裡，浏覽器和Web服務器會在第一個請求完成以後關閉 連接通道，在第二個請求的時候重新建立連接。Web服務器並不區分哪個請求來 自哪個客戶端，對所有 的請求都一視同仁，都是單獨的連接。這樣的方式大大區別於傳統的（Client/Server）C/S結構,在那樣 的應用中，客戶端 和服務器端會建立一個長時間的專用的連接通道。正是因為有了無狀態的特性，每個 連接資源能夠很快被其他客戶端所重用，一台Web服務器才能夠同時服務於成 千上萬的客戶端。

但是我們通常的應用是有狀態的。先不用提不同應用之間的SSO，在同一個應用中也需要保存用戶的 登錄身份信息。例如用戶在訪問頁面1的時候進行了登錄，但 是剛才也提到，客戶端的每個請求都是單 獨的連接，當客戶再次訪問頁面2的時候，如何才能告訴Web服務器，客戶剛才已經登錄過了呢？浏覽器 和服務器之間有 約定：通過使用cookie技術來維護應用的狀態。Cookie是可以被Web服務器設置的字符 串，並且可以保存在浏覽器中。如下圖所示，當浏覽器訪問了 頁面1時，web服務器設置了一個cookie， 並將這個cookie和頁面1一起返回給浏覽器，浏覽器接到cookie之後，就會保存起來，在它訪問頁 面2的 時候會把這個cookie也帶上，Web服務器接到請求時也能讀出cookie的值，根據cookie值的內容就可以判 斷和恢復一些用戶的信息狀 態。

Web-SSO完全可以利用Cookie結束來完成用戶登錄信息的保存，將浏覽器中的Cookie和上文中的 Ticket結合起來，完成SSO的功能。

為了完成一個簡單的SSO的功能，需要兩個部分的合作：

統一的身份認證服務。

修改Web應用，使得每個應用都通過這個統一的認證服務來進行身 份效驗。

3.1 Web SSO 的樣例

根據上面的原理，我用J2EE的技術（JSP和Servlet）完成 了一個具有Web-SSO的簡單樣例。樣例包含一個身份認證的服務器和兩個簡單的 Web應用，使得這兩個 Web應用通過統一的身份認證服務來完成Web-SSO的功能。此樣例所有的源代碼和二進制代碼都可以從網 站地址http://gceclub.sun.com.cn/wangyu/下載。

樣例下載、安裝部署和運行指南：

Web-SSO的樣例是由三個標准Web應用組成，壓縮成三個zip文件，從 http://gceclub.sun.com.cn/wangyu/web-sso/中下載。其中SSOAuth （http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip）是身份認證服務；SSOWebDemo1 （http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip）和SSOWebDemo2 （http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip） 是兩個用來演示單點登錄的Web應 用。這三個Web應用之所以沒有打成war包，是因為它們不能直接部署，根據讀者的部署環境需要作出小 小的修改。樣例部 署和運行的環境有一定的要求，需要符合Servlet2.3以上標准的J2EE容器才能運行（ 例如Tomcat5,Sun Application Server 8, Jboss 4等）。另外，身份認證服務需要JDK1.5的運行環境。 之所以要用JDK1.5是因為筆者使用了一個線程安全的高性能的Java集合類 “ConcurrentMap”，只有在JDK1.5中才有。

這三個Web應用完全可以單獨部署，它們 可以分別部署在 不同的機器，不同的操作系統和不同的J2EE的產品上，它們完全是標准的和平台無關的 應用。但是有一個限制，那兩台部署應用（demo1、demo2）的 機器的域名需要相同，這在後面的章節中 會解釋到cookie和domain的關系以及如何制作跨域的WEB-SSO

解壓縮SSOAuth.zip文件，在/WEB- INF/下的web.xml中請修改“domainname”的屬性以反映實際的應用部署情況， domainname 需要設置為兩個單點登錄的應用（demo1和demo2）所屬的域名。這個domainname和當前SSOAuth服務部署 的機器 的域名沒有關系。我缺省設置的是“.sun.com”。如果你部署demo1和demo2的機器沒 有域名，請輸入IP地址或主機名（如 localhost），但是如果使用IP地址或主機名也就意味著demo1和 demo2需要部署到一台機器上了。設置完後，根據你所選擇的J2EE容器， 可能需要將SSOAuth這個目錄壓 縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個功能。

解 壓縮SSOWebDemo1和SSOWebDemo2文件，分別在它們/WEB-INF/下找到web.xml文件，請修改其中的幾個初 始化參數

<init-param>
<param-name>SSOServiceURL</param- name>
<param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param- value>
</init-param>
<init-param>
<param- name>SSOLoginPage</param-name>
<param- value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
</init-param>

將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應用 的機器名、端口號以及根路徑 （缺省是 SSOAuth）以反映實際的部署情況。設置完後，根據你所選擇的 J2EE容器，可能需要將SSOWebDemo1和SSOWebDemo2這兩個目錄壓 縮打包成兩個war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個功能。

請輸入第一個web應用的測 試URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/SSOWebDemo1/test.jsp，如果是第一次訪問 ，便會自動跳轉到登錄界面，如下圖。

使用系統自帶的三個帳號之一登錄（例如，用戶名：wangyu,密碼：wangyu），便能成功的看到 test.jsp的內容：顯示當前用戶名和歡迎信息。

請接著在同一個浏覽器中輸入第二個web應用的測試URL（test.jsp）,例如 http://wangyu.prc.sun.com:8080/SSOWebDemo2/test.jsp。你會發現，不需要再次登錄就能看到 test.jsp的內容，同樣是顯示當前用戶名和歡迎信息，而且歡迎信息中明確的顯示當前的應用名稱 （demo2）。

3.2 WEB-SSO代碼講解

3.2.1身份認證服務代碼解析

Web-SSO的源代碼可以從網站地址 http://gceclub.sun.com.cn/wangyu/web-sso/websso_src.zip下 載。身份認證服務是一個標准的web應 用，包括一個名為SSOAuth的Servlet，一個login.jsp文件和一個failed.html。身份 認證的所有服務幾 乎都由SSOAuth的Servlet來實現了；login.jsp用來顯示登錄的頁面（如果發現用戶還沒有登錄過）； failed.html是用來顯示登錄失敗的信息（如果用戶的用戶名和密碼與信息數據庫中的不一樣）。

SSOAuth的代碼如下面的列表顯示，結構非常簡單，先看看這個Servlet的主體部分：

package DesktopSSO;

import java.io.*;
import java.net.*;
import java.text.*;
import java.util.*;
import java.util.concurrent.*;

import javax.servlet.*;
import javax.servlet.http.*;


public class SSOAuth extends HttpServlet {

static private ConcurrentMap accounts;
static private ConcurrentMap SSOIDs;
String cookiename="WangYuDesktopSSOID";
String domainname;

public void init(ServletConfig config) throws ServletException {
super.init(config);
domainname= config.getInitParameter ("domainname");
cookiename = config.getInitParameter ("cookiename");
SSOIDs = new ConcurrentHashMap();
accounts=new ConcurrentHashMap();
accounts.put("wangyu", "wangyu");
accounts.put("paul", "paul");
accounts.put("carol", "carol");
}

protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
PrintWriter ut = response.getWriter();
String action = request.getParameter ("action");
String result="failed";
if (action==null) {
handlerFromLogin(request,response);
} else if (action.equals ("authcookie")){
String myCookie = request.getParameter ("cookiename");
if (myCookie != null) result = authCookie(myCookie);
out.print(result);
out.close();
} else if (action.equals("authuser")) {
result=authNameAndPasswd(request,response);
out.print(result);
out.close ();
} else if (action.equals("logout")) {
String myCookie = request.getParameter("cookiename");
logout(myCookie);
out.close();
}
}

.....

}

從代碼很容易看出，SSOAuth就是一個簡單 的Servlet。其中有兩個靜態成員變量：accounts和SSOIDs，這兩個成員變量都使用了 JDK1.5中線程安 全的MAP類： ConcurrentMap，所以這個樣例一定要JDK1.5才能運行。Accounts用來存放用戶的用戶名和 密碼，在init()的方法中可以看到我 給系統添加了三個合法的用戶。在實際應用中，accounts應該是去 數據庫中或LDAP中獲得，為了簡單起見，在本樣例中我使用了 ConcurrentMap在內存中用程序創建了三 個用戶。而SSOIDs保存了在用戶成功的登錄後所產生的cookie和用戶名的對應關系。它的功能顯 而易見 ：當用戶成功登錄以後，再次訪問別的系統，為了鑒別這個用戶請求所帶的cookie的有效性，需要到 SSOIDs中檢查這樣的映射關系是否存在。

在主要的請求處理方法processRequest()中，可以很清 楚的看到SSOAuth的所有功能。

如果用戶還沒有登錄過，是第一次登錄本系統，會被跳轉到 login.jsp頁面（在後面會解釋如何跳轉）。用戶在提供了用戶名和密碼以後，就會用 handlerFromLogin()這個方法來驗證。

如果用戶已經登錄過本系統，再訪問別的應用的時候，是 不需要再次登錄的。因為浏覽器會將第一次登錄時產生的cookie和請求一起發送。效驗cookie的有效性 是SSOAuth的主要功能之一。

SSOAuth還能直接效驗非login.jsp頁面過來的用戶名和密碼的效驗 請求。這個功能是用於非web應用的SSO，這在後面的桌面SSO中會用到。

SSOAuth還提供logout服 務。

下面看看幾個主要的功能函數：

private void handlerFromLogin (HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
String pass = (String)accounts.get(username);
if ((pass==null)||(!pass.equals(password)))
getServletContext().getRequestDispatcher("/failed.html").forward(request, response);
else {
String gotoURL = request.getParameter("goto");
String newID = createUID();
SSOIDs.put(newID, username);
Cookie wangyu = new Cookie(cookiename, newID);
wangyu.setDomain(domainname);
wangyu.setMaxAge (60000);
wangyu.setValue(newID);
wangyu.setPath("/");
response.addCookie(wangyu);
System.out.println("login success, goto back url:" + gotoURL);
if (gotoURL != null) {
PrintWriter ut = response.getWriter();
response.sendRedirect(gotoURL);
out.close();
}
}
}

handlerFromLogin()這個方法是用來處理來自login.jsp的登錄請求。它的邏輯 很簡單：將用戶輸入的用戶名和密碼與預先設定好的用 戶集合（存放在accounts中）相比較，如果用戶 名或密碼不匹配的話，則返回登錄失敗的頁面（failed.html），如果登錄成功的話，需要為用 戶當前 的session創建一個新的ID，並將這個ID和用戶名的映射關系存放到SSOIDs中，最後還要將這個ID設置為 浏覽器能夠保存的cookie 值。

登錄成功後，浏覽器會到哪個頁面呢？那我們回顧一下我們是如 何使用身份認證服務的。一般來說我們不會直接訪問身份服務的任何URL，包括 login.jsp。身份服務是 用來保護其他應用服務的，用戶一般在訪問一個受SSOAuth保護的Web應用的某個URL時，當前這個應用會 發現當前的 用戶還沒有登錄，便強制將也頁面轉向SSOAuth的login.jsp，讓用戶登錄。如果登錄成功後 ，應該自動的將用戶的浏覽器指向用戶最初想訪問的那 個URL。在handlerFromLogin()這個方法中，我 們通過接收“goto”這個參數來保存用戶最初訪問的URL，成功後便重新定向到這個頁 面中 。

另外一個要說明的是，在設置cookie的時候，我使用了一個setMaxAge(6000)的方法。這個方 法是用來設置cookie的有效期，單位是 秒。如果不使用這個方法或者參數為負數的話，當浏覽器關閉的 時候，這個cookie就失效了。在這裡我給了很大的值（1000分鐘），導致的行為是：當你 關閉浏覽器（ 或者關機），下次再打開浏覽器訪問剛才的應用，只要在1000分鐘之內，就不需要再登錄了。我這樣做 是下面要介紹的桌面SSO中所需要的功 能。

其他的方法更加簡單，這裡就不多解釋了。

3.2.2具有SSO功能的web應用源代碼解析

要實現WEB-SSO的功能，只有身份認證服務是不夠的。這點很顯然，要想使多個應用具有單點登錄的 功能，還需要每個應用本身的配合：將自己的身份認證的 服務交給一個統一的身份認證服務－SSOAuth 。SSOAuth服務中提供的各個方法就是供每個加入SSO的Web應用來調用的。