java单点登录实现.doc

在门户项目中，经常会遇到如何实现单点登录的问题，下面就本人的经验做个总结。欢迎大家进行补充讨论。 单点登录的具体实现有很多种选择，包括： 采用专门的SSO商业软件： 主要有：Netgrity的Siteminder，已经被CA收购。Novell 公司的iChain。 RSA公司的ClearTrust等。 采用门户产品供应商自己的SSO产品，如：BEA的WLES，IBM 的Tivoli Access Manager，Sun 公司的identity Server，Oracle公司的OID等。 这些商业软件一般适用于客户对SSO的需求很高，并且企业内部采用COTS软件如：Domino,SAP,Sieble的系统比较多的情况下采用。并结合 身份管理。统一认证等项目采用。采用这些软件一般都要对要集成的系统做些改造，如在要集成的系统上安装AGENT。现在一般只提供常见软件 如：Domino,SAP,Sieble，常见应用服务器：weblogic,websphere等的AGENT。要先统一这些系统的认证。一般采用 LDAP或数据库。然后才能实现SSO。比较麻烦。 另外，如果不想掏银子，也有OPEN SOURCE的SSO软件可选：主要有：/ / 等。具体怎么样就不清楚了。 ? 如果项目对SSO的要求比较低，又不想对要被集成的系统做任何改动，可采用下面介绍的方式简单实现：下面我们通过一个例子来说明。假如一个门户项目要对下面的几个系统做SSO。 ? ? ? 用户在这些系统中的用户名，密码各不相同，如：员工号为001的员工在这些系统中的用户名，密码分别如下： ? 用户 系统 用户名 密码 001 Portal系统 A 1234 001 邮件系统 B 2345 001 DOMINO系统 C AAAA 001 报销系统 D CCCC 001 工资系统 E BBBB 首先，建立员工在PORTAL系统中的用户名和其他系统中的用户名之间的对应关系 ? 首先，要建立员工在PORTAL系统中的用户名和其他系统中的用户名之间的对应关系并保存。可保存在表中或LDAP中或文件系统中。当然要考虑这些系统之 间的数据同步问题。比较好的方式是找到用户在这些系统中的都存在的唯一信息（如员工号，MAIL地址，姓名等）。通过唯一信息实时到各个系统中去取认证所 需要的信息。就不需要考虑数据同步问题。比较实用。可以建立类似下面的表：密码可采用加密保存。如果是采用BEA的Weblogic Portal,可采用UUP来保存这些信息。 ( user varchar2(20), ? app_name varchar2(20), ? architect varchar2(4), ? app_company varchar2(50), app_department varchar2(50), app_user varchar2(15), ? app_passwd varchar2(15), ? app_cookie varchar2(30), ? form_user varchar2(20), ? form_passwd varchar2(20), ? app_special varchar2(20) ); 通过IFRAME或超连接方式集成目标系统，并进行SSO ? 通过IFRAME或超连接方式集成目标系统,并在URL中带上用户名和密码。如集成DOMINO可采用如下方式： width= 或： Href src=“http:// host1/names.nsf?LoginUsername=adminPassword=passRedirectTo=/names.nsf” 以上采用的是在HTTP中直接传递明码，为提高安全性，可采用HTTPS来传递用户名和密码。另外采用这种方式被集成的系统必须支持FORM方式认证。J2EE应用，DOMINO等都支持FORM认证。 这两种方式如果SSO成功，就自动进入目标系统的界面，如果实现会显示目标系统的登录界面。其效果图如下： ? ? 这种方式，必须维护对应关系表，如上面的sso_info。更好的方式是提供界面，让最终用户自己维护这种对应关系，可模仿Compoze portlets for lotus的做法，在用户第一次进入要与之做SSO的系统时，如DOMINO系统，显示一个界面，让用户自己输入他在该系统中的用户名/密码等信息。并保 存到表中或LDAP等其他数据源中。以后用户要进入这些系统时，就直接从表中或其他数据源中取用户的用户名/密码等信息，帮助用户做认证。建议采用这种方 式。如下图所示。如果用户改变了自己在DOMINO系统中的用户名，密码。从门户系统进入DOMINO系统时，认证会失败，就重新显示类似下面的界面。让 用户重新输入他在DOMINO系统中