• 用戶每天平均 16 分鐘花在身份驗(yàn)證任務(wù)上 - 資料來(lái)源： IDS
• 頻繁的 IT 用戶平均有 21 個(gè)密碼 - 資料來(lái)源： NTA Monitor Password Survey
• 49% 的人寫下了其密碼，而 67% 的人很少改變它們
• 每 79 秒出現(xiàn)一起身份被竊事件 - 資料來(lái)源：National Small Business Travel Assoc
• 全球欺騙損失每年約 12B - 資料來(lái)源：Comm Fraud Control Assoc
• 到 2007 年，身份管理市場(chǎng)將成倍增長(zhǎng)至 $4.5B - 資料來(lái)源：IDS

• 提高 IT 效率：對(duì)于每 1000 個(gè)受管用戶，每用戶可節(jié)省$70K
• 幫助臺(tái)呼叫減少至少1/3，對(duì)于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計(jì) $648K
• 生產(chǎn)力提高：每個(gè)新員工可節(jié)省 $1K，每個(gè)老員工可節(jié)省 $350 ?資料來(lái)源：Giga
• ROI 回報(bào)：7.5 到 13 個(gè)月 ?資料來(lái)源：Gartner

• 所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)。
  統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫(kù)相比較，對(duì)用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì)ticket進(jìn)行效驗(yàn)，判斷其有效性。
• 所有應(yīng)用系統(tǒng)能夠識(shí)別和提取ticket信息
  要實(shí)現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識(shí)別已經(jīng)登錄過(guò)的用戶。應(yīng)用系統(tǒng)應(yīng)該能對(duì)ticket進(jìn)行識(shí)別和提取，通過(guò)與認(rèn)證系統(tǒng)的通訊，能自動(dòng)判斷當(dāng)前用戶是否登錄過(guò)，從而完成單點(diǎn)登錄的功能。

• 單一的用戶信息數(shù)據(jù)庫(kù)并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲(chǔ)，應(yīng)該允許用戶信息放置在不同的存儲(chǔ)中，如下圖所示。事實(shí)上，只要統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一ticket的產(chǎn)生和效驗(yàn)，無(wú)論用戶信息存儲(chǔ)在什么地方，都能實(shí)現(xiàn)單點(diǎn)登錄。

 

• 統(tǒng)一的認(rèn)證系統(tǒng)并不是說(shuō)只有單個(gè)的認(rèn)證服務(wù)器，如下圖所示，整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間要通過(guò)標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級(jí)別的單點(diǎn)登錄。如下圖，當(dāng)用戶在訪問(wèn)應(yīng)用系統(tǒng)1時(shí)，由第一個(gè)認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的ticket。當(dāng)他訪問(wèn)應(yīng)用系統(tǒng)4的時(shí)候，認(rèn)證服務(wù)器2能夠識(shí)別此ticket是由第一個(gè)服務(wù)器產(chǎn)生的，通過(guò)認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議（例如SAML）來(lái)交換認(rèn)證信息，仍然能夠完成SSO的功能。

 

1. 統(tǒng)一的身份認(rèn)證服務(wù)。
2. 修改Web應(yīng)用，使得每個(gè)應(yīng)用都通過(guò)這個(gè)統(tǒng)一的認(rèn)證服務(wù)來(lái)進(jìn)行身份效驗(yàn)。

• Web-SSO的樣例是由三個(gè)標(biāo)準(zhǔn)Web應(yīng)用組成，壓縮成三個(gè)zip文件，從http://gceclub./wangyu/web-sso/中下載。其中SSOAuth（http://gceclub./wangyu/web-sso/SSOAuth.zip）是身份認(rèn)證服務(wù)；SSOWebDemo1（http://gceclub./wangyu/web-sso/SSOWebDemo1.zip）和SSOWebDemo2（http://gceclub./wangyu/web-sso/SSOWebDemo2.zip）是兩個(gè)用來(lái)演示單點(diǎn)登錄的Web應(yīng)用。這三個(gè)Web應(yīng)用之所以沒有打成war包，是因?yàn)樗鼈儾荒苤苯硬渴穑鶕?jù)讀者的部署環(huán)境需要作出小小的修改。樣例部署和運(yùn)行的環(huán)境有一定的要求，需要符合Servlet2.3以上標(biāo)準(zhǔn)的J2EE容器才能運(yùn)行（例如Tomcat5,Sun Application Server 8, Jboss 4等）。另外，身份認(rèn)證服務(wù)需要JDK1.5的運(yùn)行環(huán)境。之所以要用JDK1.5是因?yàn)楣P者使用了一個(gè)線程安全的高性能的Java集合類“ConcurrentMap”，只有在JDK1.5中才有。
• 這三個(gè)Web應(yīng)用完全可以單獨(dú)部署，它們可以分別部署在不同的機(jī)器，不同的操作系統(tǒng)和不同的J2EE的產(chǎn)品上，它們完全是標(biāo)準(zhǔn)的和平臺(tái)無(wú)關(guān)的應(yīng)用。但是有一個(gè)限制，那兩臺(tái)部署應(yīng)用（demo1、demo2）的機(jī)器的域名需要相同，這在后面的章節(jié)中會(huì)解釋到cookie和domain的關(guān)系以及如何制作跨域的WEB-SSO
• 解壓縮SSOAuth.zip文件，在/WEB-INF/下的web.xml中請(qǐng)修改“domainname”的屬性以反映實(shí)際的應(yīng)用部署情況，domainname需要設(shè)置為兩個(gè)單點(diǎn)登錄的應(yīng)用（demo1和demo2）所屬的域名。這個(gè)domainname和當(dāng)前SSOAuth服務(wù)部署的機(jī)器的域名沒有關(guān)系。我缺省設(shè)置的是“.”。如果你部署demo1和demo2的機(jī)器沒有域名，請(qǐng)輸入IP地址或主機(jī)名（如localhost），但是如果使用IP地址或主機(jī)名也就意味著demo1和demo2需要部署到一臺(tái)機(jī)器上了。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOAuth這個(gè)目錄壓縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個(gè)功能。
• 解壓縮SSOWebDemo1和SSOWebDemo2文件，分別在它們/WEB-INF/下找到web.xml文件，請(qǐng)修改其中的幾個(gè)初始化參數(shù)
  <init-param>
  <param-name>SSOServiceURL</param-name>
  <param-value>http://wangyu.prc.:8080/SSOAuth/SSOAuth</param-value>
  </init-param>
  <init-param>
  <param-name>SSOLoginPage</param-name>
  <param-value>http://wangyu.prc.:8080/SSOAuth/login.jsp</param-value>
  </init-param>
  將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應(yīng)用的機(jī)器名、端口號(hào)以及根路徑（缺省是SSOAuth）以反映實(shí)際的部署情況。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOWebDemo1和SSOWebDemo2這兩個(gè)目錄壓縮打包成兩個(gè)war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個(gè)功能。
• 請(qǐng)輸入第一個(gè)web應(yīng)用的測(cè)試URL（test.jsp）,例如http://wangyu.prc.:8080/ SSOWebDemo1/test.jsp，如果是第一次訪問(wèn)，便會(huì)自動(dòng)跳轉(zhuǎn)到登錄界面，如下圖
  
  
• 使用系統(tǒng)自帶的三個(gè)賬號(hào)之一登錄（例如，用戶名：wangyu,密碼：wangyu），便能成功的看到test.jsp的內(nèi)容：顯示當(dāng)前用戶名和歡迎信息。
  

• 請(qǐng)接著在同一個(gè)瀏覽器中輸入第二個(gè)web應(yīng)用的測(cè)試URL（test.jsp）,例如http://wangyu.prc.:8080/ SSOWebDemo2/test.jsp。你會(huì)發(fā)現(xiàn)，不需要再次登錄就能看到test.jsp的內(nèi)容，同樣是顯示當(dāng)前用戶名和歡迎信息，而且歡迎信息中明確的顯示當(dāng)前的應(yīng)用名稱（demo2）。

             

1. 如果用戶還沒有登錄過(guò)，是第一次登錄本系統(tǒng)，會(huì)被跳轉(zhuǎn)到login.jsp頁(yè)面（在后面會(huì)解釋如何跳轉(zhuǎn)）。用戶在提供了用戶名和密碼以后，就會(huì)用handlerFromLogin()這個(gè)方法來(lái)驗(yàn)證。
2. 如果用戶已經(jīng)登錄過(guò)本系統(tǒng)，再訪問(wèn)別的應(yīng)用的時(shí)候，是不需要再次登錄的。因?yàn)闉g覽器會(huì)將第一次登錄時(shí)產(chǎn)生的cookie和請(qǐng)求一起發(fā)送。效驗(yàn)cookie的有效性是SSOAuth的主要功能之一。
3. SSOAuth還能直接效驗(yàn)非login.jsp頁(yè)面過(guò)來(lái)的用戶名和密碼的效驗(yàn)請(qǐng)求。這個(gè)功能是用于非web應(yīng)用的SSO，這在后面的桌面SSO中會(huì)用到。
4. SSOAuth還提供logout服務(wù)。

• Web應(yīng)用中每一個(gè)需要安全保護(hù)的URL在訪問(wèn)以前，都需要進(jìn)行安全檢查，如果發(fā)現(xiàn)沒有登錄（沒有發(fā)現(xiàn)認(rèn)證之后所帶的cookie），就重新定向到SSOAuth中的login.jsp進(jìn)行登錄。
• 登錄成功后，系統(tǒng)會(huì)自動(dòng)給你的瀏覽器設(shè)置cookie，證明你已經(jīng)登錄過(guò)了。
• 當(dāng)你再訪問(wèn)這個(gè)應(yīng)用的需要保護(hù)的URL的時(shí)候，系統(tǒng)還是要進(jìn)行安全檢查的，但是這次系統(tǒng)能夠發(fā)現(xiàn)相應(yīng)的cookie。
• 有了這個(gè)cookie，還不能證明你就一定有權(quán)限訪問(wèn)。因?yàn)橛锌赡苣阋呀?jīng)logout,或者cookie已經(jīng)過(guò)期了，或者身份認(rèn)證服務(wù)重起過(guò)，這些情況下，你的cookie都可能無(wú)效。應(yīng)用系統(tǒng)拿到這個(gè)cookie，還需要調(diào)用身份認(rèn)證的服務(wù)，來(lái)判斷cookie時(shí)候真的有效，以及當(dāng)前的cookie對(duì)應(yīng)的用戶是誰(shuí)。
• 如果cookie效驗(yàn)成功，就允許用戶訪問(wèn)當(dāng)前請(qǐng)求的資源。

• 在每個(gè)被訪問(wèn)的資源中（JSP或Servlet）中都加入身份認(rèn)證的服務(wù)，來(lái)獲得cookie，并且判斷當(dāng)前用戶是否登錄過(guò)。不過(guò)這個(gè)笨方法沒有人會(huì)用:-)。
• 可以通過(guò)一個(gè)controller，將所有的功能都寫到一個(gè)servlet中，然后在URL映射的時(shí)候，映射到所有需要保護(hù)的URL集合中（例如*.jsp，/security/*等）。這個(gè)方法可以使用，不過(guò)，它的缺點(diǎn)是不能重用。在每個(gè)應(yīng)用中都要部署一個(gè)相同的servlet。
• Filter是比較好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。（Filter的使用可以參考JavaWolrd的文章http://www./javaworld/jw-06-2001/jw-0622-filters.html）Filter是一個(gè)具有很好的模塊化，可重用的編程API，用在SSO正合適不過(guò)。本樣例就是使用一個(gè)filter來(lái)完成以上的功能。

• cookie的長(zhǎng)度和復(fù)雜度
  在本方案中，cookie是有一個(gè)固定的字符串（我的姓名）加上當(dāng)前的時(shí)間戳。這樣的cookie很容易被偽造和猜測(cè)。懷有惡意的用戶如果猜測(cè)到合法的cookie就可以被當(dāng)作已經(jīng)登錄的用戶，任意訪問(wèn)權(quán)限范圍內(nèi)的資源
• cookie的效驗(yàn)和保護(hù)
  在本方案中，雖然密碼只要傳輸一次就夠了，可cookie在網(wǎng)絡(luò)中是經(jīng)常傳來(lái)傳去。一些網(wǎng)絡(luò)探測(cè)工具（如sniff, snoop,tcpdump等）可以很容易捕獲到cookie的數(shù)值。在本方案中，并沒有考慮cookie在傳輸時(shí)候的保護(hù)。另外對(duì)cookie的效驗(yàn)也過(guò)于簡(jiǎn)單，并不去檢查發(fā)送cookie的來(lái)源究竟是不是cookie最初的擁有者，也就是說(shuō)無(wú)法區(qū)分正常的用戶和仿造cookie的用戶。
• 當(dāng)其中一個(gè)應(yīng)用的安全性不好，其他所有的應(yīng)用都會(huì)受到安全威脅
  因?yàn)橛?/span>SSO，所以當(dāng)某個(gè)處于 SSO的應(yīng)用被黒客攻破，那么很容易攻破其他處于同一個(gè)SSO保護(hù)的應(yīng)用。

• 當(dāng)前所提供的登錄認(rèn)證模式只有一種：用戶名和密碼，而且為了簡(jiǎn)單，將用戶名和密碼放在內(nèi)存當(dāng)中。事實(shí)上，用戶身份信息的來(lái)源應(yīng)該是多種多樣的，可以是來(lái)自數(shù)據(jù)庫(kù)中，LDAP中，甚至于來(lái)自操作系統(tǒng)自身的用戶列表。還有很多其他的認(rèn)證模式都是商務(wù)應(yīng)用不可缺少的，因此SSO的解決方案應(yīng)該包括各種認(rèn)證的模式，包括數(shù)字證書，Radius， SafeWord ，MemberShip，SecurID等多種方式。最為靈活的方式應(yīng)該允許可插入的JAAS框架來(lái)擴(kuò)展身份認(rèn)證的接口
• 我們編寫的Filter只能用于J2EE的應(yīng)用，而對(duì)于大量非Java的Web應(yīng)用，卻無(wú)法提供SSO服務(wù)。
• 在將Filter應(yīng)用到Web應(yīng)用的時(shí)候，需要對(duì)容器上的每一個(gè)應(yīng)用都要做相應(yīng)的修改，重新部署。而更加流行的做法是Agent機(jī)制：為每一個(gè)應(yīng)用服務(wù)器安裝一個(gè)agent，就可以將SSO功能應(yīng)用到這個(gè)應(yīng)用服務(wù)器中的所有應(yīng)用。
• 當(dāng)前的方案不能支持分別位于不同domain的Web應(yīng)用進(jìn)行SSO。這是因?yàn)闉g覽器在訪問(wèn)Web服務(wù)器的時(shí)候，僅僅會(huì)帶上和當(dāng)前web服務(wù)器具有相同domain名稱的那些cookie。要提供跨域的SSO的解決方案有很多其他的方法，在這里就不多說(shuō)了。Sun的Access Manager就具有跨域的SSO的功能。
• 另外，Filter的性能問(wèn)題也是需要重視的方面。因?yàn)?/span>Filter會(huì)截獲每一個(gè)符合URL映射規(guī)則的請(qǐng)求，獲得cookie，驗(yàn)證其有效性。這一系列任務(wù)是比較消耗資源的，特別是驗(yàn)證cookie有效性是一個(gè)遠(yuǎn)程的http的調(diào)用，來(lái)訪問(wèn)SSOAuth的認(rèn)證服務(wù)，有一定的延時(shí)。因此在性能上需要做進(jìn)一步的提高。例如在本樣例中，如果將URL映射從“.jsp”改成“/*”，也就是說(shuō)filter對(duì)所有的請(qǐng)求都起作用，整個(gè)應(yīng)用會(huì)變得非常慢。這是因?yàn)椋?yè)面當(dāng)中包含了各種靜態(tài)元素如gif圖片，css樣式文件，和其他html靜態(tài)頁(yè)面，這些頁(yè)面的訪問(wèn)都要通過(guò)filter去驗(yàn)證。而事實(shí)上，這些靜態(tài)元素沒有什么安全上的需求，應(yīng)該在filter中進(jìn)行判斷，不去效驗(yàn)這些請(qǐng)求，性能會(huì)好很多。另外，如果在filter中加上一定的cache，而不需要每一個(gè)cookie效驗(yàn)請(qǐng)求都去遠(yuǎn)端的身份認(rèn)證服務(wù)中執(zhí)行，性能也能大幅度提高。
• 另外系統(tǒng)還需要很多其他的服務(wù)，如在內(nèi)存中定時(shí)刪除無(wú)用的cookie映射等等，都是一個(gè)嚴(yán)肅的解決方案需要考慮的問(wèn)題。

1. 運(yùn)行此桌面SSO需要三個(gè)前提條件：
   a) WEB-SSO的身份認(rèn)證應(yīng)用應(yīng)該正在運(yùn)行，因?yàn)槲覀冊(cè)谧烂?/span>SSO當(dāng)中需要用到統(tǒng)一的認(rèn)證服務(wù)
   b) 當(dāng)前桌面需要運(yùn)行Mozilla或Netscape瀏覽器，因?yàn)槲覀儗?/span>ticket保存到mozilla的cookie文件中
   c) 必須在JDK1.4以上運(yùn)行。（WEB-SSO需要JDK1.5以上）
2. 解開desktopsso.zip文件，里面有兩個(gè)目錄bin和lib。
3. bin目錄下有一些腳本文件和配置文件，其中config.properties包含了三個(gè)需要配置的參數(shù)：
   a) SSOServiceURL要指向WebSSO部署的身份認(rèn)證的URL
   b) SSOLoginPage要指向WebSSO部署的身份認(rèn)證的登錄頁(yè)面URL
   c) cookiefilepath要指向當(dāng)前用戶的mozilla所存放cookie的文件
4. 在bin目錄下還有一個(gè)login.conf是用來(lái)配置JAAS登錄模塊，本樣例提供了兩個(gè)，讀者可以任意選擇其中一個(gè)（也可以都選），再重新運(yùn)行程序，查看登錄認(rèn)證的變化
5. 在bin下的運(yùn)行腳本可能需要作相應(yīng)的修改
   a) 如果是在unix下，各個(gè)jar文件需要用“:”來(lái)隔開，而不是“;”
   b) java 運(yùn)行程序需要放置在當(dāng)前運(yùn)行的路徑下，否則需要加上java的路徑全名。

• OpenSSO 的網(wǎng)站： https://opensso.dev.
• 在java應(yīng)用中使用掩碼的密碼提示：http://java./developer/technicalArticles/Security/pwordmask/
• Kerberos的資源網(wǎng)站：http://web./kerberos/
• Sun的Java&Kerberos教程：http://java./j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html
• Apache社區(qū)提供的HttpClient工具包網(wǎng)址：http://jakarta./commons/index.html）
• Filter的使用教程文章：http://www./javaworld/jw-06-2001/jw-0622-filters.html
• 我的博客http://yuwang881.blog.sohu.com/3184816.html

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=752437