單點登錄技術在J2EE企業web中的研究與應用

王穎

(營口職業技術學院，遼寧 營口 115000)

單點登錄技術在J2EE企業web中的研究與應用

王穎

(營口職業技術學院，遼寧 營口 115000)

介紹了基于ticket憑證策略和基于web請求代理策略的兩種單點登錄系統方案，并分析其優缺點;在實際項目中，結合兩種策略的優缺點，并使用web services技術構造了一種應用實際的單點登錄系統。

單點登錄系統;ticket憑證;web請求代理;web services

0引言

企業在信息化進程中，web應用需求越來越大。企業往往是依據實際需要，構建不同功能側重的信息系統，如辦公自動化系統、郵件系統以及數據管理系統等等。而對于任一個web而言，首要的是實現用戶的身份認證。傳統的架構方法是這些系統都各自建立自己的實現用戶身份認證的登錄系統。如此一來，在各個應用的開發階段，需要為每一個系統設計開發登錄系統，這勢必造成一定的人力和資源的浪費，影響開發進度減低工作效率;而在用戶使用時則每轉換一次站點需要重新登錄，無論于管理者還是用戶都存在很大不方便。為了解決這些問題，單點登錄(Single Sign-On)系統就應運而生了。

1 單點登錄技術綜述

單點登錄技術在Web應用中的實現策略［1］常見的主要有兩種：一種是基于訪問票據(Access Ticket)的單點登錄解決方案，一種是基于Web請求代理［1］的單點登錄解決方案。下面就這兩種方案介紹和分析對比。

1.1 基于ticket憑證的策略

這種策略［3］的思想是在登錄服務器和應用系統之間通過某種ticket建立起信任關系。這種基于憑證策略的主要目標是通過對應用系統進行改造使其接受訪問憑證，對用戶的驗證工作由SSO服務器來負責，應用系統的責任只是向登錄服務器驗證訪問憑證的有效性和合法性。基于ticket憑證策略的單點登錄系統模型如圖1所示。

圖1 基于Ticket憑證策略的單點登錄系統模型

其工作原理及流程是：

1)首次登錄時，用戶向登錄服務器提供用戶名和口令證明自己的身份;

2)登錄服務器驗證用戶的合法性和有效性后，向用戶發放訪問憑證;

3)用戶訪問應用系統;

4)應用系統向用戶索要訪問憑證;

5)應用系統向登錄服務器驗證訪問憑證的合法性和有效性;

6)如果用戶提供的訪問憑證有效合法，則應用系統可以向用戶提供應用服務;否則應用系統拒絕用戶的服務訪問請求。

這種方案的優勢是很明顯的，它構建了一個完整功能的單點登錄系統，從訪問憑證的設計，到用戶與登錄服務器的通信交互以及應用系統與登錄服務器間的數據傳遞等，這些趨向于形成一個單點登錄的標準，需要各個應用系統去遵循。同時其缺陷也是顯而易見的，這不但需要構建一個管理用戶的登錄服務器，還要對各個應用系統原有的用戶管理和登錄系統進行較大規模的改造，這種方案的代價勢必會很大。

1.2 基于Web請求代理的策略

這種策略［4］的思想是建立統一的代理服務器來接受所有的應用站點的Web請求，由這個代理服務器來統一處理用戶的認證和登錄。這里需要明確的是，盡管這個代理服務器統一代理所有的Web請求，但實際上其真正進行處理的只是用戶認證方面的相關請求，對于已認證用戶的Web請求，僅僅是通過URL將請求轉發給應用系統。所以代理服務器的主要功能是提供認證服務。如此一來，這個代理服務器從真實功能上講也僅僅是一個登錄服務器。基于這種策略，當用戶訪問某應用站點時，Web請求將先發送給代理服務器，用戶完成認證后再由代理服務器將請求轉發給應用系統，并將用戶的有效合法身份信息含在請求中一并轉發給應用系統。Web請求代理部署模型如圖2所示。

圖2 基于Web請求代理的單點登錄系統模型

基于Web請求代理的單點登錄策略在實現認證時也需要建立代理服務器與應用系統間的信任關系，以便認證后的用戶身份能夠被應用系統承認。在這點上與ticket思想是非常相似的，但其實現機制相對簡潔，結構框架也更靈活一些，對原有Web應用的改造較少，這就比較適合基于已有應用系統的集成實現單點登錄。

以上對當前基于Web的單點登錄的兩種策略進行了分析，可以看出，兩種實現方案各有優缺點。相比較之下，要在已有應用的基礎上集成實現單點登錄，基于Web請求代理的方案相對存在一些優勢。基于這種策略，對原有應用系統的改造代價較小，實現相對容易一些，目前較多數的單點登錄系統都傾向于采用這種方案來實現單點登錄。

2 單點登錄系統應用舉例

在為某較大規模的通信公司設計和開發綜合信息系統時，就面臨三個不同功能應用系統的統一認證和登錄問題。結合流行的單點登錄策略，我們設計了適應于該綜合系統的單點登錄系統。

2.1 單點登錄系統總體設計

應對該綜合信息系統對單點登錄的需求，我們首先分析該綜合系統的三大應用系統的前期構建情況：這三個應用功能相對獨立，幾乎沒有相互依存度，并且各自存在獨立的身份認證登錄系統。這樣的應用背景要實現單點登錄，考慮工期等因素，我們首先考慮采用Web請求代理的策略，并考慮到Web應用中session機制的方便性，考慮使用sessionid作為登錄認證的憑證。這樣一來就結合了以上兩種策略的優勢，構建起便捷的單點登錄系統。具體單點登錄模型如圖3所示。

圖3 單點登錄系統模型

2.2 用戶綜合管理設計

從模型我們可以看出，中轉程序充當了Web請求代理的角色，實現對用戶身份的認證，實現登錄管理的功能。這個中轉程序也要對三個系統的用戶實施統一的管理，以便為統一的登錄認證奠定基礎。由于這三個應用系統都各自存在相對獨立并功能完備的用戶管理模塊，可以考慮采用web Serivces技術對三個應用系統實施統一的用戶管理。

SOAP/Web Services技術的出現將Web應用推向了一個新的階段，那就是以服務為導向的Web應用。它允許各個不同的公司在Web站點上部署和自己公司的業務相關的應用程序和系統，通過一些標準的傳輸協議(如HTTP)，和數據封裝的形式(如XML)進行基于Internet分布式服務的傳遞和通訊，同時要求這些發布的應用程序與企業內部所使用的技術和系統無關。這樣它在技術上解決了不同操作系統、組件模型、開發工具和程序語言和應用系統之間的集成問題。尤為重要的是能夠根據用戶需求提供快捷的服務，克服了以前因Internet上信息過于泛濫、用戶獲取所需信息成本過高、效率過低的狀況。Web Services還有一個重要的特性是其所提供的服務不僅是面向人，還可以面向其它應用系統。現有的Web網站也可以認為是面向服務的，但這種服務僅僅可以提供給人使用(只有人類才可以讀懂瀏覽器下載的頁面)。而新一代的Web Services［5］所提供的服務應能被機器所讀懂，例如其它應用程序及移動設備中的軟件系統。

本系統的用戶綜合管理中，在添加、修改以及刪除用戶以及用戶信息時，使用Web Services技術，在一個應用系統變更用戶及信息時，將這些信息同時同步到兩外兩個應用系統的用戶管理數據表中，實現全系統的用戶信息的一致性。在這里使用的是org.appache.axis.client包中Call類和Service類，由Call類的Invoke ()方法實現遠程方法調用，將用戶變更的信息同步到其他兩個應用系統用戶表中。

2.3 單點登錄認證設計

總體系統架構由三部分來組成：源(目的)應用程序(假設為Source)、中轉程序(假設為Forward)和目的(源)應用程序(假設為Destination)。如上所描述兩端應用程序互為源、目的應用程序，兩者互訪問將通過“中轉程序”做轉發。體現在圖三模型圖中，就是：

(1)from應用服務器1to應用服務器2;(2)from應用服務器2to應用服務器1; (3)from應用服務器1to應用服務器3;(4)from應用服務器3to應用服務器1; (5)from應用服務器2to應用服務器3;(6)from應用服務器3to應用服務器2; (7)to應用服務器1;(8)to應用服務器2;(9)to應用服務器3。

下面詳細描述Source(Forward(Destination跳轉流程的具體實現步驟和細節：

1)Source用戶登陸，獲取$sessionid，通過session.setAttribute(‘sessionid’，$sessionid)來保存值，并且聯同loginname和$sessionid保存到登陸記錄表中;

2)Source訪問Forward，首先以session.getAttribute(‘sessionid’)的形式獲取$sessionid，如果獲取到的值為null表示未登陸或登陸超時，直接轉發到Source的登陸頁面;反之則攜帶loginname和$sessionid到登陸記錄表中做簽權校驗;

3)若Source在Forward處簽權成功，表示已有用戶登陸，直接取出loginname和$sessionid以及其它相關信息轉發到Destination做相應登陸等操作;否則，Source在Forward處簽權失敗，表示未登陸或登陸超時，直接轉發到Destination的登陸頁面，提示登陸操作;

4)Destination接到Forward的相應信息后，首先利用接收到的用戶相關信息做登陸操作、用戶信息入session等操作后，再將接收到的$sessionid以session.setAttribute(‘sessionid’，$sessionid)的形式保存在本地一份以便再次跳轉;以上所述就完成了一次兩系統間的調整登陸操作，兩系統間互為源和目的地，所做操作均相同。

3 結語

單點登錄系統為Web應用的集成和使用提供了很大的便利，是解決多門戶問題的重要技術。單點登錄系統的認證策略有很多種，其中基于Web請求代理策略和基于ticket憑證的策略是兩種較為理想、應用也比較廣泛的實現方案。本文結合這兩種策略的優點，并使用Web Services技術，給出了一個單點登錄系統的實際應用，較好的實現了三個應用系統的自由無阻漫游。但是這一應用還屬于較低層次的應用，為了提高系統的整體安全性和可靠性，單點登錄技術還應結合包括PKI證書技術、XML標準以及Web Services安全規范標準等技術綜合實施，這將會是單點登錄系統未來研究與應用的一個重要方向。

同時，分析構建的單點登錄系統模型能夠發現：單點登錄系統存在一個很大的安全隱患，所有的訪問都必須經過單點登錄服務器(中轉程序)進行身份認證然后轉發，這使其成為全系統的重點部位，遭到致命攻擊，勢必造成系統整體癱瘓。因此加強單點登錄服務器的安全保護，防范各種攻擊成為必須重點考慮的問題。另外大規模的訪問對單點登錄服務器的連接承載能力也是一個考驗，所以負載均衡的設計也必須在部署單點登錄系統時予以考慮。

［1］ Gilmore B，Farvis K，Maddock J.Core Middleware and Shared Serv icesS tudies Single Sign-on Report［EB/OL］.http：//www.jisc.ac.uk/index.cfm?name=prog_middss_studies.2004-9.

［2］ D unneC.Build and Implement a SingleSign-onSolution［EB/OL］http：//www-106.ibm.comldeveloperworks/Web/librarylwa-singlesign/30，2001.

［3］ 林滿山，郭荷清.單點登錄技術的現狀及發展［J］.計算機應用，2004，24(s1)：99.

［4］ 續巖，季永志.單點登錄技術在web應用中的研究與實現［J］.計算機工程，2006(10)：271-273.

［5］ 李新力，梁立新.基于EJB 3.0和Web Services的Java應用開發［M］.北京：電子工業出版社，2008：68-90.

責任編輯：吳旭云

Research and application of the single sign-on technology in web of J2EE enterprises

WANG Ying

(Yingkou Vocational Technology College，Yingkou 115000，China)

Based on ticket certificate strategy and web request broker strategy，this paper introduces two single sign-on system projects and makes comments on the advantages and disadvantages.It sets up a practical single sign-on system by using the technology of web services combining with the advatages of the two strategies in the practical projects.

single sign-on system;ticket certificate;web request broker;web services

TP391.09

A

1009-3907(2010)08-0070-04

2010-05-31

王穎(1974-)，女，遼寧營口人，講師，碩士，主要從事電子、計算機教學及研究工作。