• 用戶每天平均 16 分鐘花在身份驗證任務(wù)上 - 資料來源： IDS
• 頻繁的 IT 用戶平均有 21 個密碼 - 資料來源： NTA Monitor Password Survey
• 49% 的人寫下了其密碼，而 67% 的人很少改變它們
• 每 79 秒出現(xiàn)一起身份被竊事件 - 資料來源：National Small Business Travel Assoc
• 全球欺騙損失每年約 12B - 資料來源：Comm Fraud Control Assoc
• 到 2007 年，身份管理市場將成倍增長至 $4.5B - 資料來源：IDS

• 提高 IT 效率：對于每 1000 個受管用戶，每用戶可節(jié)省$70K
• 幫助臺呼叫減少至少1/3，對于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計 $648K
• 生產(chǎn)力提高：每個新員工可節(jié)省 $1K，每個老員工可節(jié)省 $350 ?資料來源：Giga
• ROI 回報：7.5 到 13 個月 ?資料來源：Gartner

• 所有應(yīng)用系統(tǒng)共享一個身份認證系統(tǒng)。
  統(tǒng)一的認證系統(tǒng)是SSO的前提之一。認證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功后，認證系統(tǒng)應(yīng)該生成統(tǒng)一的認證標志（ticket），返還給用戶。另外，認證系統(tǒng)還應(yīng)該對ticket進行效驗，判斷其有效性。
• 所有應(yīng)用系統(tǒng)能夠識別和提取ticket信息
  要實現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對ticket進行識別和提取，通過與認證系統(tǒng)的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。

• 單一的用戶信息數(shù)據(jù)庫并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲，應(yīng)該允許用戶信息放置在不同的存儲中，如下圖所示。事實上，只要統(tǒng)一認證系統(tǒng)，統(tǒng)一ticket的產(chǎn)生和效驗，無論用戶信息存儲在什么地方，都能實現(xiàn)單點登錄。

 

• 統(tǒng)一的認證系統(tǒng)并不是說只有單個的認證服務(wù)器，如下圖所示，整個系統(tǒng)可以存在兩個以上的認證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認證服務(wù)器之間要通過標準的通訊協(xié)議，互相交換認證信息，就能完成更高級別的單點登錄。如下圖，當用戶在訪問應(yīng)用系統(tǒng)1時，由第一個認證服務(wù)器進行認證后，得到由此服務(wù)器產(chǎn)生的ticket。當他訪問應(yīng)用系統(tǒng)4的時候，認證服務(wù)器2能夠識別此ticket是由第一個服務(wù)器產(chǎn)生的，通過認證服務(wù)器之間標準的通訊協(xié)議（例如SAML）來交換認證信息，仍然能夠完成SSO的功能。

 

1. 統(tǒng)一的身份認證服務(wù)。
2. 修改Web應(yīng)用，使得每個應(yīng)用都通過這個統(tǒng)一的認證服務(wù)來進行身份效驗。

• Web-SSO的樣例是由三個標準Web應(yīng)用組成，壓縮成三個zip文件，從http://gceclub./wangyu/web-sso/中下載。其中SSOAuth（http://gceclub./wangyu/web-sso/SSOAuth.zip）是身份認證服務(wù)；SSOWebDemo1（http://gceclub./wangyu/web-sso/SSOWebDemo1.zip）和SSOWebDemo2（http://gceclub./wangyu/web-sso/SSOWebDemo2.zip）是兩個用來演示單點登錄的Web應(yīng)用。這三個Web應(yīng)用之所以沒有打成war包，是因為它們不能直接部署，根據(jù)讀者的部署環(huán)境需要作出小小的修改。樣例部署和運行的環(huán)境有一定的要求，需要符合Servlet2.3以上標準的J2EE容器才能運行（例如Tomcat5,Sun Application Server 8, Jboss 4等）。另外，身份認證服務(wù)需要JDK1.5的運行環(huán)境。之所以要用JDK1.5是因為筆者使用了一個線程安全的高性能的Java集合類“ConcurrentMap”，只有在JDK1.5中才有。
• 這三個Web應(yīng)用完全可以單獨部署，它們可以分別部署在不同的機器，不同的操作系統(tǒng)和不同的J2EE的產(chǎn)品上，它們完全是標準的和平臺無關(guān)的應(yīng)用。但是有一個限制，那兩臺部署應(yīng)用（demo1、demo2）的機器的域名需要相同，這在后面的章節(jié)中會解釋到cookie和domain的關(guān)系以及如何制作跨域的WEB-SSO
• 解壓縮SSOAuth.zip文件，在/WEB-INF/下的web.xml中請修改“domainname”的屬性以反映實際的應(yīng)用部署情況，domainname需要設(shè)置為兩個單點登錄的應(yīng)用（demo1和demo2）所屬的域名。這個domainname和當前SSOAuth服務(wù)部署的機器的域名沒有關(guān)系。我缺省設(shè)置的是“.”。如果你部署demo1和demo2的機器沒有域名，請輸入IP地址或主機名（如localhost），但是如果使用IP地址或主機名也就意味著demo1和demo2需要部署到一臺機器上了。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOAuth這個目錄壓縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個功能。
• 解壓縮SSOWebDemo1和SSOWebDemo2文件，分別在它們/WEB-INF/下找到web.xml文件，請修改其中的幾個初始化參數(shù)
  <init-param>
  <param-name>SSOServiceURL</param-name>
  <param-value>http://wangyu.prc.:8080/SSOAuth/SSOAuth</param-value>
  </init-param>
  <init-param>
  <param-name>SSOLoginPage</param-name>
  <param-value>http://wangyu.prc.:8080/SSOAuth/login.jsp</param-value>
  </init-param>
  將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應(yīng)用的機器名、端口號以及根路徑（缺省是SSOAuth）以反映實際的部署情況。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOWebDemo1和SSOWebDemo2這兩個目錄壓縮打包成兩個war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個功能。
• 請輸入第一個web應(yīng)用的測試URL（test.jsp）,例如http://wangyu.prc.:8080/ SSOWebDemo1/test.jsp，如果是第一次訪問，便會自動跳轉(zhuǎn)到登錄界面，如下圖
  
  
• 使用系統(tǒng)自帶的三個賬號之一登錄（例如，用戶名：wangyu,密碼：wangyu），便能成功的看到test.jsp的內(nèi)容：顯示當前用戶名和歡迎信息。
  

• 請接著在同一個瀏覽器中輸入第二個web應(yīng)用的測試URL（test.jsp）,例如http://wangyu.prc.:8080/ SSOWebDemo2/test.jsp。你會發(fā)現(xiàn)，不需要再次登錄就能看到test.jsp的內(nèi)容，同樣是顯示當前用戶名和歡迎信息，而且歡迎信息中明確的顯示當前的應(yīng)用名稱（demo2）。

             

1. 如果用戶還沒有登錄過，是第一次登錄本系統(tǒng)，會被跳轉(zhuǎn)到login.jsp頁面（在后面會解釋如何跳轉(zhuǎn)）。用戶在提供了用戶名和密碼以后，就會用handlerFromLogin()這個方法來驗證。
2. 如果用戶已經(jīng)登錄過本系統(tǒng)，再訪問別的應(yīng)用的時候，是不需要再次登錄的。因為瀏覽器會將第一次登錄時產(chǎn)生的cookie和請求一起發(fā)送。效驗cookie的有效性是SSOAuth的主要功能之一。
3. SSOAuth還能直接效驗非login.jsp頁面過來的用戶名和密碼的效驗請求。這個功能是用于非web應(yīng)用的SSO，這在后面的桌面SSO中會用到。
4. SSOAuth還提供logout服務(wù)。

• Web應(yīng)用中每一個需要安全保護的URL在訪問以前，都需要進行安全檢查，如果發(fā)現(xiàn)沒有登錄（沒有發(fā)現(xiàn)認證之后所帶的cookie），就重新定向到SSOAuth中的login.jsp進行登錄。
• 登錄成功后，系統(tǒng)會自動給你的瀏覽器設(shè)置cookie，證明你已經(jīng)登錄過了。
• 當你再訪問這個應(yīng)用的需要保護的URL的時候，系統(tǒng)還是要進行安全檢查的，但是這次系統(tǒng)能夠發(fā)現(xiàn)相應(yīng)的cookie。
• 有了這個cookie，還不能證明你就一定有權(quán)限訪問。因為有可能你已經(jīng)logout,或者cookie已經(jīng)過期了，或者身份認證服務(wù)重起過，這些情況下，你的cookie都可能無效。應(yīng)用系統(tǒng)拿到這個cookie，還需要調(diào)用身份認證的服務(wù)，來判斷cookie時候真的有效，以及當前的cookie對應(yīng)的用戶是誰。
• 如果cookie效驗成功，就允許用戶訪問當前請求的資源。

• 在每個被訪問的資源中（JSP或Servlet）中都加入身份認證的服務(wù)，來獲得cookie，并且判斷當前用戶是否登錄過。不過這個笨方法沒有人會用:-)。
• 可以通過一個controller，將所有的功能都寫到一個servlet中，然后在URL映射的時候，映射到所有需要保護的URL集合中（例如*.jsp，/security/*等）。這個方法可以使用，不過，它的缺點是不能重用。在每個應(yīng)用中都要部署一個相同的servlet。
• Filter是比較好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。（Filter的使用可以參考JavaWolrd的文章http://www./javaworld/jw-06-2001/jw-0622-filters.html）Filter是一個具有很好的模塊化，可重用的編程API，用在SSO正合適不過。本樣例就是使用一個filter來完成以上的功能。

• cookie的長度和復(fù)雜度
  在本方案中，cookie是有一個固定的字符串（我的姓名）加上當前的時間戳。這樣的cookie很容易被偽造和猜測。懷有惡意的用戶如果猜測到合法的cookie就可以被當作已經(jīng)登錄的用戶，任意訪問權(quán)限范圍內(nèi)的資源
• cookie的效驗和保護
  在本方案中，雖然密碼只要傳輸一次就夠了，可cookie在網(wǎng)絡(luò)中是經(jīng)常傳來傳去。一些網(wǎng)絡(luò)探測工具（如sniff, snoop,tcpdump等）可以很容易捕獲到cookie的數(shù)值。在本方案中，并沒有考慮cookie在傳輸時候的保護。另外對cookie的效驗也過于簡單，并不去檢查發(fā)送cookie的來源究竟是不是cookie最初的擁有者，也就是說無法區(qū)分正常的用戶和仿造cookie的用戶。
• 當其中一個應(yīng)用的安全性不好，其他所有的應(yīng)用都會受到安全威脅
  因為有SSO，所以當某個處于 SSO的應(yīng)用被黒客攻破，那么很容易攻破其他處于同一個SSO保護的應(yīng)用。

• 當前所提供的登錄認證模式只有一種：用戶名和密碼，而且為了簡單，將用戶名和密碼放在內(nèi)存當中。事實上，用戶身份信息的來源應(yīng)該是多種多樣的，可以是來自數(shù)據(jù)庫中，LDAP中，甚至于來自操作系統(tǒng)自身的用戶列表。還有很多其他的認證模式都是商務(wù)應(yīng)用不可缺少的，因此SSO的解決方案應(yīng)該包括各種認證的模式，包括數(shù)字證書，Radius， SafeWord ，MemberShip，SecurID等多種方式。最為靈活的方式應(yīng)該允許可插入的JAAS框架來擴展身份認證的接口
• 我們編寫的Filter只能用于J2EE的應(yīng)用，而對于大量非Java的Web應(yīng)用，卻無法提供SSO服務(wù)。
• 在將Filter應(yīng)用到Web應(yīng)用的時候，需要對容器上的每一個應(yīng)用都要做相應(yīng)的修改，重新部署。而更加流行的做法是Agent機制：為每一個應(yīng)用服務(wù)器安裝一個agent，就可以將SSO功能應(yīng)用到這個應(yīng)用服務(wù)器中的所有應(yīng)用。
• 當前的方案不能支持分別位于不同domain的Web應(yīng)用進行SSO。這是因為瀏覽器在訪問Web服務(wù)器的時候，僅僅會帶上和當前web服務(wù)器具有相同domain名稱的那些cookie。要提供跨域的SSO的解決方案有很多其他的方法，在這里就不多說了。Sun的Access Manager就具有跨域的SSO的功能。
• 另外，Filter的性能問題也是需要重視的方面。因為Filter會截獲每一個符合URL映射規(guī)則的請求，獲得cookie，驗證其有效性。這一系列任務(wù)是比較消耗資源的，特別是驗證cookie有效性是一個遠程的http的調(diào)用，來訪問SSOAuth的認證服務(wù)，有一定的延時。因此在性能上需要做進一步的提高。例如在本樣例中，如果將URL映射從“.jsp”改成“/*”，也就是說filter對所有的請求都起作用，整個應(yīng)用會變得非常慢。這是因為，頁面當中包含了各種靜態(tài)元素如gif圖片，css樣式文件，和其他html靜態(tài)頁面，這些頁面的訪問都要通過filter去驗證。而事實上，這些靜態(tài)元素沒有什么安全上的需求，應(yīng)該在filter中進行判斷，不去效驗這些請求，性能會好很多。另外，如果在filter中加上一定的cache，而不需要每一個cookie效驗請求都去遠端的身份認證服務(wù)中執(zhí)行，性能也能大幅度提高。
• 另外系統(tǒng)還需要很多其他的服務(wù)，如在內(nèi)存中定時刪除無用的cookie映射等等，都是一個嚴肅的解決方案需要考慮的問題。

1. 運行此桌面SSO需要三個前提條件：
   a) WEB-SSO的身份認證應(yīng)用應(yīng)該正在運行，因為我們在桌面SSO當中需要用到統(tǒng)一的認證服務(wù)
   b) 當前桌面需要運行Mozilla或Netscape瀏覽器，因為我們將ticket保存到mozilla的cookie文件中
   c) 必須在JDK1.4以上運行。（WEB-SSO需要JDK1.5以上）
2. 解開desktopsso.zip文件，里面有兩個目錄bin和lib。
3. bin目錄下有一些腳本文件和配置文件，其中config.properties包含了三個需要配置的參數(shù)：
   a) SSOServiceURL要指向WebSSO部署的身份認證的URL
   b) SSOLoginPage要指向WebSSO部署的身份認證的登錄頁面URL
   c) cookiefilepath要指向當前用戶的mozilla所存放cookie的文件
4. 在bin目錄下還有一個login.conf是用來配置JAAS登錄模塊，本樣例提供了兩個，讀者可以任意選擇其中一個（也可以都選），再重新運行程序，查看登錄認證的變化
5. 在bin下的運行腳本可能需要作相應(yīng)的修改
   a) 如果是在unix下，各個jar文件需要用“:”來隔開，而不是“;”
   b) java 運行程序需要放置在當前運行的路徑下，否則需要加上java的路徑全名。

• OpenSSO 的網(wǎng)站： https://opensso.dev.
• 在java應(yīng)用中使用掩碼的密碼提示：http://java./developer/technicalArticles/Security/pwordmask/
• Kerberos的資源網(wǎng)站：http://web./kerberos/
• Sun的Java&Kerberos教程：http://java./j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html
• Apache社區(qū)提供的HttpClient工具包網(wǎng)址：http://jakarta./commons/index.html）
• Filter的使用教程文章：http://www./javaworld/jw-06-2001/jw-0622-filters.html
• 我的博客http://yuwang881.blog.sohu.com/3184816.html

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=752437