Java--实现单点登录

什么是单点登陆

单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报表服务;人事系统为人事部门提供全公司人员的维护服务;各种业务系统为公司内部不同的业务提供不同的服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工作,来替代人力的手工劳动,提高工作效率和质量。这些不同的系统往往是在不同的时期建设起来的,运行在不同的平台上;也许是由不同厂商开发,使用了各种不同的技术和标准。如果举例说国内一著名的IT公司(名字隐去),内部共有60多个业务系统,这些系统包括两个不同版本的SAP的ERP系统,12个不同类型和版本的数据库系统,8个不同类型和版本的操作系统,以及使用了3种不同的防火墙技术,还有数十种互相不能兼容的协议和标准,你相信吗?不要怀疑,这种情况其实非常普遍。每一个应用系统在运行了数年以后,都会成为不可替换的企业IT架构的一部分,如下图所示。

随着企业的发展,业务系统的数量在不断的增加,老的系统却不能轻易的替换,这会带来很多的开销。其一是管理上的开销,需要维护的系统越来越多。很多系统的数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的计费系统和财务系统,财务系统和人事系统之间都不可避免的有着密切的关系。

为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成(EAI)。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企业门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。

通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。整合以前,进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,在安全方面也埋下了重大的隐患。下面是一些著名的调查公司显示的统计数据:

  • 用户每天平均 16 分钟花在身份验证任务上 资料来源: IDS
  • 频繁的 IT 用户平均有 21 个密码 资料来源: NTA Monitor Password Survey
  • 49% 的人写下了其密码,而 67% 的人很少改变它们
  • 每 79 秒出现一起身份被窃事件 资料来源:National Small Business Travel Assoc
  • 全球欺骗损失每年约 12B - 资料来源:Comm Fraud Control Assoc
  • 到 2007 年,身份管理市场将成倍增长至 $4.5B - 资料来源:IDS

使用“单点登录”整合后,只需要登录一次就可以进入多个系统,而不需要重新登录,这不仅仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。请看下面的统计数据:

  • 提高 IT 效率:对于每 1000 个受管用户,每用户可节省$70K
  • 帮助台呼叫减少至少1/3,对于 10K 员工的公司,每年可以节省每用户 $75,或者合计 $648K
  • 生产力提高:每个新员工可节省 $1K,每个老员工可节省 $350 ?资料来源:Giga
  • ROI 回报:7.5 到 13 个月 ?资料来源:Gartner

另外,使用“单点登录”还是SOA时代的需求之一。在面向服务的架构中,服务和服务之间,程序和程序之间的通讯大量存在,服务之间的安全认证是SOA应用的难点之一,应此建立“单点登录”的系统体系能够大大简化SOA的安全问题,提高服务之间的合作效率。

单点登陆的技术实现机制

随着SSO技术的流行,SSO的产品也是满天飞扬。所有著名的软件厂商都提供了相应的解决方案。在这里我并不想介绍自己公司(Sun Microsystems)的产品,而是对SSO技术本身进行解析,并且提供自己开发这一类产品的方法和简单演示。颐和园是北京著名的旅游景点,也是我常去的地方。在颐和园内部有许多独立的景点,例如“苏州街”、“佛香阁”和“德和园”,都可以在各个景点门口单独买票。很多游客需要游玩所有德景点,这种买票方式很不方便,需要在每个景点门口排队买票,钱包拿进拿出的,容易丢失,很不安全。于是绝大多数游客选择在大门口买一张通票(也叫套票),就可以玩遍所有的景点而不需要重新再买票。他们只需要在每个景点门口出示一下刚才买的套票就能够被允许进入每个独立的景点。

单点登录的机制也一样,如下图所示,当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录(1);根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据--ticket(2);用户再访问别的应用的时候(3,5)就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行效验,检查ticket的合法性(4,6)。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

从上面的视图可以看出,要实现SSO,需要以下主要的功能:

  • 所有应用系统共享一个身份认证系统。
    统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行效验,判断其有效性。
  • 所有应用系统能够识别和提取ticket信息
    要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。

上面的功能只是一个非常简单的SSO架构,在现实情况下的SSO有着更加复杂的结构。有两点需要指出的是:

  • 单一的用户信息数据库并不是必须的,有许多系统不能将所有的用户信息都集中存储,应该允许用户信息放置在不同的存储中,如下图所示。事实上,只要统一认证系统,统一ticket的产生和效验,无论用户信息存储在什么地方,都能实现单点登录。

  • 统一的认证系统并不是说只有单个的认证服务器,如下图所示,整个系统可以存在两个以上的认证服务器,这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议,互相交换认证信息,就能完成更高级别的单点登录。如下图,当用户在访问应用系统1时,由第一个认证服务器进行认证后,得到由此服务器产生的ticket。当他访问应用系统4的时候,认证服务器2能够识别此ticket是由第一个服务器产生的,通过认证服务器之间标准的通讯协议(例如SAML)来交换认证信息,仍然能够完成SSO的功能。

3 WEB-SSO的实现

随着互联网的高速发展,WEB应用几乎统治了绝大部分的软件应用系统,因此WEB-SSO是SSO应用当中最为流行。WEB-SSO有其自身的特点和优势,实现起来比较简单易用。很多商业软件和开源软件都有对WEB-SSO的实现。其中值得一提的是OpenSSO (https://opensso.dev.java.net),为用Java实现WEB-SSO提供架构指南和服务指南,为用户自己来实现WEB-SSO提供了理论的依据和实现的方法。

为什么说WEB-SSO比较容易实现呢?这是有WEB应用自身的特点决定的。

众所周知,Web协议(也就是HTTP)是一个无状态的协议。一个Web应用由很多个Web页面组成,每个页面都有唯一的URL来定义。用户在浏览器的地址栏输入页面的URL,浏览器就会向Web Server去发送请求。如下图,浏览器向Web服务器发送了两个请求,申请了两个页面。这两个页面的请求是分别使用了两个单独的HTTP连接。所谓无状态的协议也就是表现在这里,浏览器和Web服务器会在第一个请求完成以后关闭连接通道,在第二个请求的时候重新建立连接。Web服务器并不区分哪个请求来自哪个客户端,对所有的请求都一视同仁,都是单独的连接。这样的方式大大区别于传统的(Client/Server)C/S结构,在那样的应用中,客户端和服务器端会建立一个长时间的专用的连接通道。正是因为有了无状态的特性,每个连接资源能够很快被其他客户端所重用,一台Web服务器才能够同时服务于成千上万的客户端。

但是我们通常的应用是有状态的。先不用提不同应用之间的SSO,在同一个应用中也需要保存用户的登录身份信息。例如用户在访问页面1的时候进行了登录,但是刚才也提到,客户端的每个请求都是单独的连接,当客户再次访问页面2的时候,如何才能告诉Web服务器,客户刚才已经登录过了呢?浏览器和服务器之间有约定:通过使用cookie技术来维护应用的状态。Cookie是可以被Web服务器设置的字符串,并且可以保存在浏览器中。如下图所示,当浏览器访问了页面1时,web服务器设置了一个cookie,并将这个cookie和页面1一起返回给浏览器,浏览器接到cookie之后,就会保存起来,在它访问页面2的时候会把这个cookie也带上,Web服务器接到请求时也能读出cookie的值,根据cookie值的内容就可以判断和恢复一些用户的信息状态。

Web-SSO完全可以利用Cookie结束来完成用户登录信息的保存,将浏览器中的Cookie和上文中的Ticket结合起来,完成SSO的功能。

为了完成一个简单的SSO的功能,需要两个部分的合作:

    1. 统一的身份认证服务。
    2. 修改Web应用,使得每个应用都通过这个统一的认证服务来进行身份效验。
package com.ll.singlelogin;  

import javax.servlet.http.*;
import java.util.*;  

public class SingleLogin implements HttpSessionListener {  

    // 保存sessionID和username的映射
    private static HashMap hUserName = new HashMap();  

    /** 以下是实现HttpSessionListener中的方法* */
    public void sessionCreated(HttpSessionEvent se) {
    }  

    public void sessionDestroyed(HttpSessionEvent se) {
        hUserName.remove(se.getSession().getId());
    }  

    /**
     * isAlreadyEnter-用于判断用户是否已经登录以及相应的处理方法
     *
     * @param sUserName
     *            String-登录的用户名称
     * @return boolean-该用户是否已经登录过的标志
     */
    public static boolean isAlreadyEnter(HttpSession session, String sUserName) {
        boolean flag = false;
        // 如果该用户已经登录过,则使上次登录的用户掉线(依据使用户名是否在hUserName中)
        if (hUserName.containsValue(sUserName)) {
            flag = true;
            // 遍历原来的hUserName,删除原用户名对应的sessionID(即删除原来的sessionID和username)
            Iterator iter = hUserName.entrySet().iterator();
            while (iter.hasNext()) {
                Map.Entry entry = (Map.Entry) iter.next();
                Object key = entry.getKey();
                Object val = entry.getValue();
                if (((String) val).equals(sUserName)) {
                    hUserName.remove(key);
                }
            }
            // 添加现在的sessionID和username
            hUserName.put(session.getId(), sUserName);
            System.out.println("hUserName   =   " + hUserName);
        } else {// 如果该用户没登录过,直接添加现在的sessionID和username
            flag = false;
            hUserName.put(session.getId(), sUserName);
            System.out.println("hUserName   =   " + hUserName);
        }
        return flag;
    }  

    /**
     * isOnline-用于判断用户是否在线
     *
     * @param session
     *            HttpSession-登录的用户名称
     * @return boolean-该用户是否在线的标志
     */
    public static boolean isOnline(HttpSession session) {
        boolean flag = true;
        if (hUserName.containsKey(session.getId())) {
            flag = true;
        } else {
            flag = false;
        }
        return flag;
    }
} 

web.xml部署于/App/WEB-INF下

<?xml   version= "1.0 "   encoding= "ISO-8859-1 "?>   

<!DOCTYPE   web-app
PUBLIC   "-//Sun   Microsystems,   Inc.//DTD   Web   Application   2.3//EN "
"http://java.sun.com/j2ee/dtds/web-app_2.3.dtd ">   

<web-app>   

<listener>
<listener-class>
com.inspirer.dbmp.SessionListener
</listener-class>
</listener>   

</web-app> 

应用部分 
1.在你的登录验证时,调用SessionListener.isAlreadyEnter(session, "admin ") 
既可以判断该用户名的用户是否登录过,又可以使上次登录的用户掉线 
2.其他页面调用SessionListener.isOnline(session),可以判断该用户是否在线.

转自:http://blog.csdn.net/java_freshman01/article/details/7202776

采用SSH架构加以说明:
1.  建立一个登录管理类LoginManager
2.  在LoginManager中定义一个集合,管理登录的用户。
3.  在Spring中将LoginManager配置成单例
4.  如果使用自定义的用户管理类,则为了说明方便,将此类命名为UserContext(表示用户授权的上下文)
5.  如果未使用自定义的用户管理类,则直接使用Session。
6.  在登录授权对象中,检查用户是否是合法用户,如果是合法用户,则在LoginManager的集合中查找用户是否已经在线,如果不在线,则将用户加入集合。
7.  处理策略一:如果用户已经在线,则取新登录用户的Session,将它失效,则能阻止新登录用户登录。
8.  处理策略二:如果用户已经在线,则取出在线用户的Session,将它失效,再把新登录用户加入LoginManager的集合。则先登录用户不能执行有权限的操作,只能重新登录。

1. applicationContext.xml
<bean id="loginManager" class="LoginManager" scope="singleton" />
<bean id="action" class="LoginAction" scopt="prototype" >
    <property name="laginManager" ref="loginManager" />
</bean>

2. LoginManager.java

Collection<Session> sessions;

public Session login(Session session) {
    for (Session s : sessions) {
        if (s 与 session 是同一用户)
            策略一: return session
            策略二:{
                sessions.add(session); // 这两行在循环中操作集合类会抛出异常
                sessions.remove(s);    // 此处仅为简单示范代码,实际代码中应该在循环外处理
                return s;
            }
    }
    sessions.add(session);

    return null;
}

3. LoginAction.java

LoginManager loginManager;

public String execute() throws Exception {
    取session
    检查用户名,密码
    if (是合法用户) {
        session = loginManager.login(session);
        if (null!=session) session.invalidate();
    }
}

4. 如果自定义了UserContext,则可将集合改成Collection<UserContext> users;

5. UserContext.java

Session session;
Session getSession() {
    return this.session;
}

boolean login(String userName, String password) {
    访问数据库,检查用户名密码
    return 是否合法;
}

boolean sameUser(UserContext uc) {
    return uc.userName.equals(this.userName);
}

6. 修改LoginManager.java

Collection<UserContext> users;

public UserContext login(UserContext user) {
    for (UserContext uc : users) {
        if (uc.sameUser(user))
            策略一: return user
            策略二:{
            users.add(user);  // 这两行在循环中操作集合类会抛出异常
            users.remove(uc); // 此处仅为简单示范代码,实际代码中应该在循环外处理
            return uc;
            }
    }
    users.add(user);

    return null;
}

7. 修改LoginAction.java

public String execute() throws Exception {
    取session // 也可以在UserContext内部取session。
    UserContext user = new UserContext();
    user.setSession(session);
    if (user.login(userName, password)) {
        UserContext uc = loginManager.login(user);
        if (null!=uc) uc.getSession().invalidate();
    }
}
时间: 2024-11-03 16:52:08

Java--实现单点登录的相关文章

JAVA CAS单点登录之三:CAS代理模式演练

前言 JAVA CAS单点登录之一:搭建CAS服务器 JAVA CAS单点登录之二:CAS普通模式1演练 代理模式相相对上一节的普通模式,更加复杂了.但配置起来也会稍微有些差别.所谓难者不会,会者不难.如果遇到一个从来没有遇到的问题,解决起来也是非常棘手的,当然解决之后就不是事了.我就遇到了一个CAS 坑爹的错误.一步步按照别人的博客坐下来,普通模式部署没有多大问题,就是不知道为什么代理模式总是出错,搜遍了整个网络,也没找到问题所在,我就纳闷了,为什么就没有人 遇到过呢.还好,最后我使用了杀手锏

JAVA项目单点登录Discuz

一.需求分析 有个JAVA项目与一个Discuz论坛需要整合,使得它们之间能实现单点登录功能.可是Discuz是PHP写的,两者语言不通该如何整合呢?查阅官方资料发现,Discuz并未开放说有什么用户接口之类的.但却发现了这货UCenter,显然这货与Discuze是一家人.so,接下来的整合我们即将用到UCenter作为中间件来实现不通语言项目之间用户的共享. 二.关于UCenter 介绍方法之前,我觉得还是有必要先说说UCenter,理解了它的工作原理是很有必要的. UCenter 的中文意

JAVA CAS单点登录(SSO) 教程

一.教程前言 教程目的:从头到尾细细道来单点登录服务器及客户端应用的每个步骤 单点登录(SSO):请看百科解释猛击这里打开 本教程使用的SSO服务器是Yelu大学研发的CAS(Central Authentication Server),官网:http://www.jasig.org/cas 本教程环境: Tomcat6.0.29 JDK6 CAS Server版本:cas-server-3.4.3.1 CAS Client版本:cas-client-3.1.12 教程撰写日期:2010-11-

【Java】单点登录(SSO)

单点登录介绍 ? SSO英文全称Single Sign On,单点登录.SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统.它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制.它是目前比较流行的企业业务整合的解决方案之一. 实现机制 当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录:根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--token:用户再访问别的应用的时候就会将这个to

java UCnter 单点登录 对接。

前提 PHP项目要部署成功.论坛能正常访问. 先配置 应用 1.是论坛应用 4.是java服务器,也就是你java登录的项目. 必须通信成功. .主应用IP就是你java项目的入口. 例如:http://192.168.1.100:8080 注意不要写成 http://192.168.1.100:8080/ 后面不要加斜杠. 进 bbs/admin.php 设置好,激活方式. 论坛的配置完了.再配置java项目. java 项目 resourse 也就是类路径下面.会有一个config.prop

java实现的单点登录

摘要:单点登录(SSO)的技术被越来越广泛地运用到各个领域的软件系统当中.本文从业务的角度分析了单点登录的需求和应用领域:从技术本身的角度分析了单点登录技术的内部机制和实现手段,并且给出Web-SSO和桌面SSO的实现.源代码和详细讲解:还从安全和性能的角度对现有的实现技术进行进一步分析,指出相应的风险和需要改进的方面.本文除了从多个方面和角度给出了对单点登录(SSO)的全面分析,还并且讨论了如何将现有的应用和SSO服务结合起来,能够帮助应用架构师和系统分析人员从本质上认识单点登录,从而更好地设

java实现简单的单点登录 (转)

摘要:单点登录(SSO)的技术被越来越广泛地运用到各个领域的软件系统当中.本文从业务的角度分析了单点登录的需求和应用领域:从技术本身的角度分析了单点登录技术的内部机制和实现手段,并且给出Web-SSO和桌面SSO的实现.源代码和详细讲解:还从安全和性能的角度对现有的实现技术进行进一步分析,指出相应的风险和需要改进的方面.本文除了从多个方面和角度给出了对单点登录(SSO)的全面分析,还并且讨论了如何将现有的应用和SSO服务结合起来,能够帮助应用架构师和系统分析人员从本质上认识单点登录,从而更好地设

java单点登录原理与简单实现

一.单系统登录机制 1.http无状态协议 web应用采用browser/server架构,http作为通信协议.http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求:要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略非法请求:要鉴别浏览器请求,必须清楚浏览器请求状态.既然http协议无状态,那就让

java单点登录系统CAS的简单使用

转:http://blog.csdn.net/yunye114105/article/details/7997041 背景 有几个相对独立的java的web应用系统, 各自有自己的登陆验证功能,用户在使用不同的系统的时候,需要登陆不同的系统.现在需要提供一个统一的登陆/登出界面, 而不修改各个系统原来的登陆验证机制.于是采用单点登录系统CAS. 使用步骤 要使用单点登录,需要部署CAS系统, CAS服务端可以直接部署在tomcat下运行, 对于CAS服务端来说,所有要集成单点登录的web应用都是

【Java EE 学习第68天】【单点登录】【两种单点登录类型:SSO/CAS、相同一级域名的SSO】

什么是单点登录:大白话就是多个网站共享一个用户名和密码的技术,对于普通用户来说,只需要登录其中任意一个网站,登录其他网站的时候就能够自动登陆,不需要再输入用户名和密码了. 单点登录类型: 1.具有相同一级域名的多个网站,以新浪为例,新浪首页实际上是一个导航页面,它提供了很多很多的旗下网站地址,比如 (1)新浪新闻: http://news.sina.com.cn/ (2)新浪科技:http://tech.sina.com.cn/ (3)新浪博客:http://blog.sina.com.cn/