Java实现单点登陆

转自：http://www.javashuo.com/article/p-djvxxiuf-dr.html

1 什么是单点登录

单点登陆（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只须要登陆一次就能够访问全部相互信任的应用系统。

较大的企业内部，通常都有不少的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报表服务；人事系统为人事部门提供全公司人员的维护服务；各类业务系统为公司内部不一样的业务提供不一样的服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工做，来替代人力的手工劳动，提升工做效率和质量。这些不一样的系统每每是在不一样的时期建设起来的，运行在不一样的平台上；也许是由不一样厂商开发，使用了各类不一样的技术和标准。若是举例说国内一著名的IT公司（名字隐去），内部共有60多个业务系统，这些系统包括两个不一样版本的SAP的ERP系统，12个不一样类型和版本的数据库系统，8个不一样类型和版本的操做系统，以及使用了3种不一样的防火墙技术，还有数十种互相不能兼容的协议和标准，你相信吗？不要怀疑，这种状况其实很是广泛。每个应用系统在运行了数年之后，都会成为不可替换的企业IT架构的一部分，以下图所示。

随着企业的发展，业务系统的数量在不断的增长，老的系统却不能轻易的替换，这会带来不少的开销。其一是管理上的开销，须要维护的系统愈来愈多。不少系统的数据是相互冗余和重复的，数据的不一致性会给管理工做带来很大的压力。业务和业务之间的相关性也愈来愈大，例如公司的计费系统和财务系统，财务系统和人事系统之间都不可避免的有着密切的关系。

为了下降管理的消耗，最大限度的重用已有投资的系统，不少企业都在进行着企业应用集成（EAI）。企业应用集成能够在不一样层面上进行：例如在数据存储层面上的“数据大集中”，在传输层面上的“通用数据交换平台”，在应用层面上的“业务流程整合”，和用户界面上的“通用企业门户”等等。事实上，还用一个层面上的集成变得愈来愈重要，那就是“身份认证”的整合，也就是“单点登陆”。

一般来讲，每一个单独的系统都会有本身的安全体系和身份认证系统。整合之前，进入每一个系统都须要进行登陆，这样的局面不只给管理上带来了很大的困难，在安全方面也埋下了重大的隐患。下面是一些著名的调查公司显示的统计数据：

• 用户天天平均 16 分钟花在身份验证任务上 - 资料来源： IDS
• 频繁的 IT 用户平均有 21 个密码 - 资料来源： NTA Monitor Password Survey
• 49% 的人写下了其密码，而 67% 的人不多改变它们
• 每 79 秒出现一块儿身份被窃事件 - 资料来源：National Small Business Travel Assoc
• 全球欺骗损失每一年约 12B - 资料来源：Comm Fraud Control Assoc
• 到 2007 年，身份管理市场将成倍增加至 $4.5B - 资料来源：IDS

 

使用“单点登陆”整合后，只须要登陆一次就能够进入多个系统，而不须要从新登陆，这不只仅带来了更好的用户体验，更重要的是下降了安全的风险和管理的消耗。请看下面的统计数据：

• 提升 IT 效率：对于每 1000 个受管用户，每用户可节省$70K
• 帮助台呼叫减小至少1/3，对于 10K 员工的公司，每一年能够节省每用户 $75，或者合计 $648K
• 生产力提升：每一个新员工可节省 $1K，每一个老员工可节省 $350 �资料来源：Giga
• ROI 回报：7.5 到 13 个月 �资料来源：Gartner

 

另外，使用“单点登陆”仍是SOA时代的需求之一。在面向服务的架构中，服务和服务之间，程序和程序之间的通信大量存在，服务之间的安全认证是SOA应用的难点之一，应此创建“单点登陆”的系统体系可以大大简化SOA的安全问题，提升服务之间的合做效率。

2  单点登录的技术实现机制

随着SSO技术的流行，SSO的产品也是满天飞扬。全部著名的软件厂商都提供了相应的解决方案。在这里我并不想介绍本身公司（Sun Microsystems）的产品，而是对SSO技术自己进行解析，而且提供本身开发这一类产品的方法和简单演示。颐和园是北京著名的旅游景点，也是我常去的地方。在颐和园内部有许多独立的景点，例如“苏州街”、“佛香阁”和“德和园”，均可以在各个景点门口单独买票。不少游客须要游玩全部德景点，这种买票方式很不方便，须要在每一个景点门口排队买票，钱包拿进拿出的，容易丢失，很不安全。因而绝大多数游客选择在大门口买一张通票（也叫套票），就能够玩遍全部的景点而不须要从新再买票。他们只须要在每一个景点门口出示一下刚才买的套票就可以被容许进入每一个独立的景点。

单点登陆的机制也同样，以下图所示，当用户第一次访问应用系统1的时候，由于尚未登陆，会被引导到认证系统中进行登陆（1）；根据用户提供的登陆信息，认证系统进行身份效验，若是经过效验，应该返回给用户一个认证的凭据－－ticket（2）；用户再访问别的应用的时候（3，5）就会将这个ticket带上，做为本身认证的凭据，应用系统接受到请求以后会把ticket送到认证系统进行效验，检查ticket的合法性（4，6）。若是经过效验，用户就能够在不用再次登陆的状况下访问应用系统2和应用系统3了。

从上面的视图能够看出，要实现SSO，须要如下主要的功能：

• 全部应用系统共享一个身份认证系统。
  统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登陆信息和用户信息库相比较，对用户进行登陆认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。
• 全部应用系统可以识别和提取ticket信息
  要实现SSO的功能，让用户只登陆一次，就必须让应用系统可以识别已经登陆过的用户。应用系统应该能对ticket进行识别和提取，经过与认证系统的通信，能自动判断当前用户是否登陆过，从而完成单点登陆的功能。

 

上面的功能只是一个很是简单的SSO架构，在现实状况下的SSO有着更加复杂的结构。有两点须要指出的是：

• 单一的用户信息数据库并非必须的，有许多系统不能将全部的用户信息都集中存储，应该容许用户信息放置在不一样的存储中，以下图所示。事实上，只要统一认证系统，统一ticket的产生和效验，不管用户信息存储在什么地方，都能实现单点登陆。

 

• 统一的认证系统并非说只有单个的认证服务器，以下图所示，整个系统能够存在两个以上的认证服务器，这些服务器甚至能够是不一样的产品。认证服务器之间要经过标准的通信协议，互相交换认证信息，就能完成更高级别的单点登陆。以下图，当用户在访问应用系统1时，由第一个认证服务器进行认证后，获得由此服务器产生的ticket。当他访问应用系统4的时候，认证服务器2可以识别此ticket是由第一个服务器产生的，经过认证服务器之间标准的通信协议（例如SAML）来交换认证信息，仍然可以完成SSO的功能。

 

3 WEB-SSO 的实现

随着互联网的高速发展，WEB应用几乎统治了绝大部分的软件应用系统，所以WEB-SSO是SSO应用当中最为流行。WEB-SSO有其自身的特色和优点，实现起来比较简单易用。不少商业软件和开源软件都有对WEB-SSO的实现。其中值得一提的是OpenSSO （ https://opensso.dev.java.net），为用Java实现WEB-SSO提供架构指南和服务指南，为用户本身来实现WEB-SSO提供了理论的依据和实现的方法。

为何说WEB-SSO比较容易实现呢？这是有WEB应用自身的特色决定的。

众所周知，Web协议（也就是HTTP）是一个无状态的协议。一个Web应用由不少个Web页面组成，每一个页面都有惟一的URL来定义。用户在浏览器的地址栏输入页面的URL，浏览器就会向Web Server去发送请求。以下图，浏览器向Web服务器发送了两个请求，申请了两个页面。这两个页面的请求是分别使用了两个单独的HTTP链接。所谓无状态的协议也就是表如今这里，浏览器和Web服务器会在第一个请求完成之后关闭链接通道，在第二个请求的时候从新创建链接。Web服务器并不区分哪一个请求来自哪一个客户端，对全部的请求都一视同仁，都是单独的链接。这样的方式大大区别于传统的（Client/Server）C/S结构,在那样的应用中，客户端和服务器端会创建一个长时间的专用的链接通道。正是由于有了无状态的特性，每一个链接资源可以很快被其余客户端所重用，一台Web服务器才可以同时服务于成千上万的客户端。

可是咱们一般的应用是有状态的。先不用提不一样应用之间的SSO，在同一个应用中也须要保存用户的登陆身份信息。例如用户在访问页面1的时候进行了登陆，可是刚才也提到，客户端的每一个请求都是单独的链接，当客户再次访问页面2的时候，如何才能告诉Web服务器，客户刚才已经登陆过了呢？浏览器和服务器之间有约定：经过使用cookie技术来维护应用的状态。Cookie是能够被Web服务器设置的字符串，而且能够保存在浏览器中。以下图所示，当浏览器访问了页面1时，web服务器设置了一个cookie，并将这个cookie和页面1一块儿返回给浏览器，浏览器接到cookie以后，就会保存起来，在它访问页面2的时候会把这个cookie也带上，Web服务器接到请求时也能读出cookie的值，根据cookie值的内容就能够判断和恢复一些用户的信息状态。

Web-SSO彻底能够利用Cookie结束来完成用户登陆信息的保存，将浏览器中的Cookie和上文中的Ticket结合起来，完成SSO的功能。

 

为了完成一个简单的SSO的功能，须要两个部分的合做：

1. 统一的身份认证服务。
2. 修改Web应用，使得每一个应用都经过这个统一的认证服务来进行身份效验。

 

 1 package com.ll.singlelogin;  
 2   
 3   
 4 import javax.servlet.http.*;  
 5 import java.util.*;  
 6   
 7   
 8 public class SingleLogin implements HttpSessionListener {  
 9   
10   
11     // 保存sessionID和username的映射  
12     private static HashMap hUserName = new HashMap();  
13   
14   
15     /** 如下是实现HttpSessionListener中的方法* */  
16     public void sessionCreated(HttpSessionEvent se) {  
17     }  
18   
19   
20     public void sessionDestroyed(HttpSessionEvent se) {  
21         hUserName.remove(se.getSession().getId());  
22     }  
23   
24   
25     /** 
26      * isAlreadyEnter-用于判断用户是否已经登陆以及相应的处理方法 
27      *  
28      * @param sUserName 
29      *            String-登陆的用户名称 
30      * @return boolean-该用户是否已经登陆过的标志 
31      */  
32     public static boolean isAlreadyEnter(HttpSession session, String sUserName) {  
33         boolean flag = false;  
34         // 若是该用户已经登陆过，则使上次登陆的用户掉线(依据使用户名是否在hUserName中)  
35         if (hUserName.containsValue(sUserName)) {  
36             flag = true;  
37             // 遍历原来的hUserName，删除原用户名对应的sessionID(即删除原来的sessionID和username)  
38             Iterator iter = hUserName.entrySet().iterator();  
39             while (iter.hasNext()) {  
40                 Map.Entry entry = (Map.Entry) iter.next();  
41                 Object key = entry.getKey();  
42                 Object val = entry.getValue();  
43                 if (((String) val).equals(sUserName)) {  
44                     hUserName.remove(key);  
45                 }  
46             }  
47             // 添加如今的sessionID和username  
48             hUserName.put(session.getId(), sUserName);  
49             System.out.println("hUserName   =   " + hUserName);  
50         } else {// 若是该用户没登陆过，直接添加如今的sessionID和username  
51             flag = false;  
52             hUserName.put(session.getId(), sUserName);  
53             System.out.println("hUserName   =   " + hUserName);  
54         }  
55         return flag;  
56     }  
57   
58   
59     /** 
60      * isOnline-用于判断用户是否在线 
61      *  
62      * @param session 
63      *            HttpSession-登陆的用户名称 
64      * @return boolean-该用户是否在线的标志 
65      */  
66     public static boolean isOnline(HttpSession session) {  
67         boolean flag = true;  
68         if (hUserName.containsKey(session.getId())) {  
69             flag = true;  
70         } else {  
71             flag = false;  
72         }  
73         return flag;  
74     }  
75 }

web.xml部署于/App/WEB-INF下 

 1 <?xml   version= "1.0 "   encoding= "ISO-8859-1 "?>   
 2   
 3 <!DOCTYPE   web-app   
 4 PUBLIC   "-//Sun   Microsystems,   Inc.//DTD   Web   Application   2.3//EN "   
 5 "http://java.sun.com/j2ee/dtds/web-app_2.3.dtd ">   
 6   
 7 <web-app>   
 8   
 9 <listener>   
10 <listener-class>   
11 com.inspirer.dbmp.SessionListener   
12 </listener-class>   
13 </listener>   
14   
15 </web-app>

应用部分 
1.在你的登陆验证时,调用SessionListener.isAlreadyEnter(session, "admin ") 
既能够判断该用户名的用户是否登陆过,又可使上次登陆的用户掉线 
2.其余页面调用SessionListener.isOnline(session),能够判断该用户是否在线.

 

 

转自：http://blog.csdn.net/java_freshman01/article/details/7202776

 

 

 

采用SSH架构加以说明：
1.  创建一个登陆管理类LoginManager
2.  在LoginManager中定义一个集合，管理登陆的用户。
3.  在Spring中将LoginManager配置成单例
4.  若是使用自定义的用户管理类，则为了说明方便，将此类命名为UserContext（表示用户受权的上下文）
5.  若是未使用自定义的用户管理类，则直接使用Session。
6.  在登陆受权对象中，检查用户是不是合法用户，若是是合法用户，则在LoginManager的集合中查找用户是否已经在线，若是不在线，则将用户加入集合。
7.  处理策略一：若是用户已经在线，则取新登陆用户的Session，将它失效，则能阻止新登陆用户登陆。
8.  处理策略二：若是用户已经在线，则取出在线用户的Session，将它失效，再把新登陆用户加入LoginManager的集合。则先登陆用户不能执行有权限的操做，只能从新登陆。

1. applicationContext.xml

1 <bean id="loginManager" class="LoginManager" scope="singleton" />
2 <bean id="action" class="LoginAction" scopt="prototype" >
3     <property name="laginManager" ref="loginManager" />
4 </bean>

2. LoginManager.java

 1 Collection<Session> sessions;
 2 
 3 public Session login(Session session) {
 4     for (Session s : sessions) {
 5         if (s 与 session 是同一用户)
 6             策略一： return session
 7             策略二：{
 8                 sessions.add(session); // 这两行在循环中操做集合类会抛出异常
 9                 sessions.remove(s);    // 此处仅为简单示范代码，实际代码中应该在循环外处理
10                 return s;
11             }
12     }
13     sessions.add(session);
14 
15     return null;
16 }

3. LoginAction.java

 1 LoginManager loginManager;
 2 
 3 public String execute() throws Exception {
 4     取session
 5     检查用户名，密码
 6     if (是合法用户) {
 7         session = loginManager.login(session);
 8         if (null!=session) session.invalidate();
 9     }
10 }

4. 若是自定义了UserContext，则可将集合改为Collection<UserContext> users;

5. UserContext.java

 1 Session session;
 2 Session getSession() {
 3     return this.session;
 4 }
 5 
 6 boolean login(String userName, String password) {
 7     访问数据库，检查用户名密码
 8     return 是否合法;
 9 }
10 
11 boolean sameUser(UserContext uc) {
12     return uc.userName.equals(this.userName);
13 }

6. 修改LoginManager.java

 1 Collection<UserContext> users;
 2 
 3 public UserContext login(UserContext user) {
 4     for (UserContext uc : users) {
 5         if (uc.sameUser(user))
 6             策略一： return user
 7             策略二：{
 8             users.add(user);  // 这两行在循环中操做集合类会抛出异常
 9             users.remove(uc); // 此处仅为简单示范代码，实际代码中应该在循环外处理
10             return uc;
11             }
12     }
13     users.add(user);
14 
15     return null;
16 }

7. 修改LoginAction.java

1 public String execute() throws Exception {
2     取session // 也能够在UserContext内部取session。
3     UserContext user = new UserContext();
4     user.setSession(session);
5     if (user.login(userName, password)) {
6         UserContext uc = loginManager.login(user);
7         if (null!=uc) uc.getSession().invalidate();
8     }
9 }