王穎

(營口職業(yè)技術學院，遼寧 營口 115000)

單點登錄技術在J2EE企業(yè)web中的研究與應用

王穎

(營口職業(yè)技術學院，遼寧 營口 115000)

介紹了基于ticket憑證策略和基于web請求代理策略的兩種單點登錄系統(tǒng)方案，并分析其優(yōu)缺點;在實際項目中，結合兩種策略的優(yōu)缺點，并使用web services技術構造了一種應用實際的單點登錄系統(tǒng)。

單點登錄系統(tǒng);ticket憑證;web請求代理;web services

0引言

企業(yè)在信息化進程中，web應用需求越來越大。企業(yè)往往是依據(jù)實際需要，構建不同功能側重的信息系統(tǒng)，如辦公自動化系統(tǒng)、郵件系統(tǒng)以及數(shù)據(jù)管理系統(tǒng)等等。而對于任一個web而言，首要的是實現(xiàn)用戶的身份認證。傳統(tǒng)的架構方法是這些系統(tǒng)都各自建立自己的實現(xiàn)用戶身份認證的登錄系統(tǒng)。如此一來，在各個應用的開發(fā)階段，需要為每一個系統(tǒng)設計開發(fā)登錄系統(tǒng)，這勢必造成一定的人力和資源的浪費，影響開發(fā)進度減低工作效率;而在用戶使用時則每轉換一次站點需要重新登錄，無論于管理者還是用戶都存在很大不方便。為了解決這些問題，單點登錄(Single Sign-On)系統(tǒng)就應運而生了。

1 單點登錄技術綜述

單點登錄技術在Web應用中的實現(xiàn)策略［1］常見的主要有兩種：一種是基于訪問票據(jù)(Access Ticket)的單點登錄解決方案，一種是基于Web請求代理［1］的單點登錄解決方案。下面就這兩種方案介紹和分析對比。

1.1 基于ticket憑證的策略

這種策略［3］的思想是在登錄服務器和應用系統(tǒng)之間通過某種ticket建立起信任關系。這種基于憑證策略的主要目標是通過對應用系統(tǒng)進行改造使其接受訪問憑證，對用戶的驗證工作由SSO服務器來負責，應用系統(tǒng)的責任只是向登錄服務器驗證訪問憑證的有效性和合法性。基于ticket憑證策略的單點登錄系統(tǒng)模型如圖1所示。

圖1 基于Ticket憑證策略的單點登錄系統(tǒng)模型

其工作原理及流程是：

1)首次登錄時，用戶向登錄服務器提供用戶名和口令證明自己的身份;

2)登錄服務器驗證用戶的合法性和有效性后，向用戶發(fā)放訪問憑證;

3)用戶訪問應用系統(tǒng);

4)應用系統(tǒng)向用戶索要訪問憑證;

5)應用系統(tǒng)向登錄服務器驗證訪問憑證的合法性和有效性;

6)如果用戶提供的訪問憑證有效合法，則應用系統(tǒng)可以向用戶提供應用服務;否則應用系統(tǒng)拒絕用戶的服務訪問請求。

這種方案的優(yōu)勢是很明顯的，它構建了一個完整功能的單點登錄系統(tǒng)，從訪問憑證的設計，到用戶與登錄服務器的通信交互以及應用系統(tǒng)與登錄服務器間的數(shù)據(jù)傳遞等，這些趨向于形成一個單點登錄的標準，需要各個應用系統(tǒng)去遵循。同時其缺陷也是顯而易見的，這不但需要構建一個管理用戶的登錄服務器，還要對各個應用系統(tǒng)原有的用戶管理和登錄系統(tǒng)進行較大規(guī)模的改造，這種方案的代價勢必會很大。

1.2 基于Web請求代理的策略

這種策略［4］的思想是建立統(tǒng)一的代理服務器來接受所有的應用站點的Web請求，由這個代理服務器來統(tǒng)一處理用戶的認證和登錄。這里需要明確的是，盡管這個代理服務器統(tǒng)一代理所有的Web請求，但實際上其真正進行處理的只是用戶認證方面的相關請求，對于已認證用戶的Web請求，僅僅是通過URL將請求轉發(fā)給應用系統(tǒng)。所以代理服務器的主要功能是提供認證服務。如此一來，這個代理服務器從真實功能上講也僅僅是一個登錄服務器?；谶@種策略，當用戶訪問某應用站點時，Web請求將先發(fā)送給代理服務器，用戶完成認證后再由代理服務器將請求轉發(fā)給應用系統(tǒng)，并將用戶的有效合法身份信息含在請求中一并轉發(fā)給應用系統(tǒng)。Web請求代理部署模型如圖2所示。

圖2 基于Web請求代理的單點登錄系統(tǒng)模型

基于Web請求代理的單點登錄策略在實現(xiàn)認證時也需要建立代理服務器與應用系統(tǒng)間的信任關系，以便認證后的用戶身份能夠被應用系統(tǒng)承認。在這點上與ticket思想是非常相似的，但其實現(xiàn)機制相對簡潔，結構框架也更靈活一些，對原有Web應用的改造較少，這就比較適合基于已有應用系統(tǒng)的集成實現(xiàn)單點登錄。

以上對當前基于Web的單點登錄的兩種策略進行了分析，可以看出，兩種實現(xiàn)方案各有優(yōu)缺點。相比較之下，要在已有應用的基礎上集成實現(xiàn)單點登錄，基于Web請求代理的方案相對存在一些優(yōu)勢?；谶@種策略，對原有應用系統(tǒng)的改造代價較小，實現(xiàn)相對容易一些，目前較多數(shù)的單點登錄系統(tǒng)都傾向于采用這種方案來實現(xiàn)單點登錄。

2 單點登錄系統(tǒng)應用舉例

在為某較大規(guī)模的通信公司設計和開發(fā)綜合信息系統(tǒng)時，就面臨三個不同功能應用系統(tǒng)的統(tǒng)一認證和登錄問題。結合流行的單點登錄策略，我們設計了適應于該綜合系統(tǒng)的單點登錄系統(tǒng)。

2.1 單點登錄系統(tǒng)總體設計

應對該綜合信息系統(tǒng)對單點登錄的需求，我們首先分析該綜合系統(tǒng)的三大應用系統(tǒng)的前期構建情況：這三個應用功能相對獨立，幾乎沒有相互依存度，并且各自存在獨立的身份認證登錄系統(tǒng)。這樣的應用背景要實現(xiàn)單點登錄，考慮工期等因素，我們首先考慮采用Web請求代理的策略，并考慮到Web應用中session機制的方便性，考慮使用sessionid作為登錄認證的憑證。這樣一來就結合了以上兩種策略的優(yōu)勢，構建起便捷的單點登錄系統(tǒng)。具體單點登錄模型如圖3所示。

圖3 單點登錄系統(tǒng)模型

2.2 用戶綜合管理設計

從模型我們可以看出，中轉程序充當了Web請求代理的角色，實現(xiàn)對用戶身份的認證，實現(xiàn)登錄管理的功能。這個中轉程序也要對三個系統(tǒng)的用戶實施統(tǒng)一的管理，以便為統(tǒng)一的登錄認證奠定基礎。由于這三個應用系統(tǒng)都各自存在相對獨立并功能完備的用戶管理模塊，可以考慮采用web Serivces技術對三個應用系統(tǒng)實施統(tǒng)一的用戶管理。

SOAP/Web Services技術的出現(xiàn)將Web應用推向了一個新的階段，那就是以服務為導向的Web應用。它允許各個不同的公司在Web站點上部署和自己公司的業(yè)務相關的應用程序和系統(tǒng)，通過一些標準的傳輸協(xié)議(如HTTP)，和數(shù)據(jù)封裝的形式(如XML)進行基于Internet分布式服務的傳遞和通訊，同時要求這些發(fā)布的應用程序與企業(yè)內部所使用的技術和系統(tǒng)無關。這樣它在技術上解決了不同操作系統(tǒng)、組件模型、開發(fā)工具和程序語言和應用系統(tǒng)之間的集成問題。尤為重要的是能夠根據(jù)用戶需求提供快捷的服務，克服了以前因Internet上信息過于泛濫、用戶獲取所需信息成本過高、效率過低的狀況。Web Services還有一個重要的特性是其所提供的服務不僅是面向人，還可以面向其它應用系統(tǒng)?，F(xiàn)有的Web網站也可以認為是面向服務的，但這種服務僅僅可以提供給人使用(只有人類才可以讀懂瀏覽器下載的頁面)。而新一代的Web Services［5］所提供的服務應能被機器所讀懂，例如其它應用程序及移動設備中的軟件系統(tǒng)。

本系統(tǒng)的用戶綜合管理中，在添加、修改以及刪除用戶以及用戶信息時，使用Web Services技術，在一個應用系統(tǒng)變更用戶及信息時，將這些信息同時同步到兩外兩個應用系統(tǒng)的用戶管理數(shù)據(jù)表中，實現(xiàn)全系統(tǒng)的用戶信息的一致性。在這里使用的是org.appache.axis.client包中Call類和Service類，由Call類的Invoke ()方法實現(xiàn)遠程方法調用，將用戶變更的信息同步到其他兩個應用系統(tǒng)用戶表中。

2.3 單點登錄認證設計

總體系統(tǒng)架構由三部分來組成：源(目的)應用程序(假設為Source)、中轉程序(假設為Forward)和目的(源)應用程序(假設為Destination)。如上所描述兩端應用程序互為源、目的應用程序，兩者互訪問將通過“中轉程序”做轉發(fā)。體現(xiàn)在圖三模型圖中，就是：

(1)from應用服務器1to應用服務器2;(2)from應用服務器2to應用服務器1; (3)from應用服務器1to應用服務器3;(4)from應用服務器3to應用服務器1; (5)from應用服務器2to應用服務器3;(6)from應用服務器3to應用服務器2; (7)to應用服務器1;(8)to應用服務器2;(9)to應用服務器3。

下面詳細描述Source(Forward(Destination跳轉流程的具體實現(xiàn)步驟和細節(jié)：

1)Source用戶登陸，獲取$sessionid，通過session.setAttribute(‘sessionid’，$sessionid)來保存值，并且聯(lián)同loginname和$sessionid保存到登陸記錄表中;

2)Source訪問Forward，首先以session.getAttribute(‘sessionid’)的形式獲取$sessionid，如果獲取到的值為null表示未登陸或登陸超時，直接轉發(fā)到Source的登陸頁面;反之則攜帶loginname和$sessionid到登陸記錄表中做簽權校驗;

3)若Source在Forward處簽權成功，表示已有用戶登陸，直接取出loginname和$sessionid以及其它相關信息轉發(fā)到Destination做相應登陸等操作;否則，Source在Forward處簽權失敗，表示未登陸或登陸超時，直接轉發(fā)到Destination的登陸頁面，提示登陸操作;

4)Destination接到Forward的相應信息后，首先利用接收到的用戶相關信息做登陸操作、用戶信息入session等操作后，再將接收到的$sessionid以session.setAttribute(‘sessionid’，$sessionid)的形式保存在本地一份以便再次跳轉;以上所述就完成了一次兩系統(tǒng)間的調整登陸操作，兩系統(tǒng)間互為源和目的地，所做操作均相同。

3 結語

單點登錄系統(tǒng)為Web應用的集成和使用提供了很大的便利，是解決多門戶問題的重要技術。單點登錄系統(tǒng)的認證策略有很多種，其中基于Web請求代理策略和基于ticket憑證的策略是兩種較為理想、應用也比較廣泛的實現(xiàn)方案。本文結合這兩種策略的優(yōu)點，并使用Web Services技術，給出了一個單點登錄系統(tǒng)的實際應用，較好的實現(xiàn)了三個應用系統(tǒng)的自由無阻漫游。但是這一應用還屬于較低層次的應用，為了提高系統(tǒng)的整體安全性和可靠性，單點登錄技術還應結合包括PKI證書技術、XML標準以及Web Services安全規(guī)范標準等技術綜合實施，這將會是單點登錄系統(tǒng)未來研究與應用的一個重要方向。

同時，分析構建的單點登錄系統(tǒng)模型能夠發(fā)現(xiàn)：單點登錄系統(tǒng)存在一個很大的安全隱患，所有的訪問都必須經過單點登錄服務器(中轉程序)進行身份認證然后轉發(fā)，這使其成為全系統(tǒng)的重點部位，遭到致命攻擊，勢必造成系統(tǒng)整體癱瘓。因此加強單點登錄服務器的安全保護，防范各種攻擊成為必須重點考慮的問題。另外大規(guī)模的訪問對單點登錄服務器的連接承載能力也是一個考驗，所以負載均衡的設計也必須在部署單點登錄系統(tǒng)時予以考慮。

［1］ Gilmore B，F(xiàn)arvis K，Maddock J.Core Middleware and Shared Serv icesS tudies Single Sign-on Report［EB/OL］.http：//www.jisc.ac.uk/index.cfm?name=prog_middss_studies.2004-9.

［2］ D unneC.Build and Implement a SingleSign-onSolution［EB/OL］http：//www-106.ibm.comldeveloperworks/Web/librarylwa-singlesign/30，2001.

［3］ 林滿山，郭荷清.單點登錄技術的現(xiàn)狀及發(fā)展［J］.計算機應用，2004，24(s1)：99.

［4］ 續(xù)巖，季永志.單點登錄技術在web應用中的研究與實現(xiàn)［J］.計算機工程，2006(10)：271-273.

［5］ 李新力，梁立新.基于EJB 3.0和Web Services的Java應用開發(fā)［M］.北京：電子工業(yè)出版社，2008：68-90.

責任編輯：吳旭云

Research and application of the single sign-on technology in web of J2EE enterprises

WANG Ying

(Yingkou Vocational Technology College，Yingkou 115000，China)

Based on ticket certificate strategy and web request broker strategy，this paper introduces two single sign-on system projects and makes comments on the advantages and disadvantages.It sets up a practical single sign-on system by using the technology of web services combining with the advatages of the two strategies in the practical projects.

single sign-on system;ticket certificate;web request broker;web services

TP391.09

A

1009-3907(2010)08-0070-04

2010-05-31

王穎(1974-)，女，遼寧營口人，講師，碩士，主要從事電子、計算機教學及研究工作。