国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
編寫你自己的單點登錄(SSO)服務(wù) 2

編寫你自己的單點登錄(SSO)服務(wù) 2

3.2 WEB-SSO代碼講解

3.2.1身份認證服務(wù)代碼解析

Web-SSO的源代碼可以從網(wǎng)站地址http://211.151.94.21/blog/yutoujava/resource/websso_src.zip下載。身份認證服務(wù)是一個標準的web應(yīng)用,包括一個名為SSOAuthServlet,一個login.jsp文件和一個failed.html。身份認證的所有服務(wù)幾乎都由SSOAuthServlet來實現(xiàn)了;login.jsp用來顯示登錄的頁面(如果發(fā)現(xiàn)用戶還沒有登錄過);failed.html是用來顯示登錄失敗的信息(如果用戶的用戶名和密碼與信息數(shù)據(jù)庫中的不一樣)。

package DesktopSSO;            import java.io.*;            import java.net.*;            import java.text.*;            import java.util.*;            import java.util.concurrent.*;            import javax.servlet.*;            import javax.servlet.http.*;            public class SSOAuth extends HttpServlet {                                static private ConcurrentMap accounts;                static private ConcurrentMap SSOIDs;                String cookiename="WangYuDesktopSSOID";                String domainname;                                public void init(ServletConfig config) throws ServletException {                    super.init(config);                    domainname= config.getInitParameter("domainname");                    cookiename = config.getInitParameter("cookiename");                    SSOIDs = new ConcurrentHashMap();                    accounts=new ConcurrentHashMap();                    accounts.put("wangyu", "wangyu");                    accounts.put("paul", "paul");                    accounts.put("carol", "carol");                }                protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {                    PrintWriter out = response.getWriter();                    String action = request.getParameter("action");                    String result="failed";                    if (action==null) {                        handlerFromLogin(request,response);                    } else if (action.equals("authcookie")){                        String myCookie = request.getParameter("cookiename");                        if (myCookie != null)  result = authCookie(myCookie);                        out.print(result);                        out.close();                    } else if (action.equals("authuser")) {                        result=authNameAndPasswd(request,response);                        out.print(result);                        out.close();                    }  else if (action.equals("logout")) {                        String myCookie = request.getParameter("cookiename");                        logout(myCookie);                        out.close();                    }                }            .....            }



從代碼很容易看出,SSOAuth就是一個簡單的Servlet。其中有兩個靜態(tài)成員變量:accountsSSOIDs,這兩個成員變量都使用了JDK1.5中線程安全的MAP類: ConcurrentMap,所以這個樣例一定要JDK1.5才能運行。Accounts用來存放用戶的用戶名和密碼,在init()的方法中可以看到我給系統(tǒng)添加了三個合法的用戶。在實際應(yīng)用中,accounts應(yīng)該是去數(shù)據(jù)庫中或LDAP中獲得,為了簡單起見,在本樣例中我使用了 ConcurrentMap在內(nèi)存中用程序創(chuàng)建了三個用戶。而SSOIDs保存了在用戶成功的登錄后所產(chǎn)生的cookie和用戶名的對應(yīng)關(guān)系。它的功能顯而易見:當用戶成功登錄以后,再次訪問別的系統(tǒng),為了鑒別這個用戶請求所帶的cookie的有效性,需要到SSOIDs中檢查這樣的映射關(guān)系是否存在。



在主要的請求處理方法 processRequest()中,可以很清楚的看到SSOAuth的所有功能

  1. 如果用戶還沒有登錄過,是第一次登錄本系統(tǒng),會被跳轉(zhuǎn)到login.jsp頁面(在后面會解釋如何跳轉(zhuǎn))。用戶在提供了用戶名和密碼以后,就會用 handlerFromLogin()這個方法來驗證。

  2. 如果用戶已經(jīng)登錄過本系統(tǒng),再訪問別的應(yīng)用的時候,是不需要再次登錄的。因為瀏覽器會將第一次登錄時產(chǎn)生的cookie和請求一起發(fā)送。效驗cookie的有效性是SSOAuth的主要功能之一。

  3. SSOAuth還能直接效驗非login.jsp頁面過來的用戶名和密碼的效驗請求。這個功能是用于非web應(yīng)用的SSO,這在后面的桌面SSO中會用到。

  4. SSOAuth還提供logout服務(wù)。


下面看看幾個主要的功能函數(shù):

 private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {                    String username = request.getParameter("username");                    String password = request.getParameter("password");                    String pass = (String)accounts.get(username);                    if ((pass==null)||(!pass.equals(password)))                         getServletContext().getRequestDispatcher("/failed.html").forward(request, response);                    else {                        String gotoURL = request.getParameter("goto");                        String newID = createUID();                        SSOIDs.put(newID, username);                        Cookie wangyu = new Cookie(cookiename, newID);                        wangyu.setDomain(domainname);                        wangyu.setMaxAge(60000);                        wangyu.setValue(newID);                        wangyu.setPath("/");                        response.addCookie(wangyu);                        System.out.println("login success, goto back url:" + gotoURL);                        if (gotoURL != null) {                            PrintWriter out = response.getWriter();                            response.sendRedirect(gotoURL);                            out.close();                        }                    }                   }

handlerFromLogin()這個方法是用來處理來自login.jsp的登錄請求。它的邏輯很簡單:將用戶輸入的用戶名和密碼與預(yù)先設(shè)定好的用戶集合(存放在accounts中)相比較,如果用戶名或密碼不匹配的話,則返回登錄失敗的頁面(failed.html),如果登錄成功的話,需要為用戶當前的session創(chuàng)建一個新的ID,并將這個ID和用戶名的映射關(guān)系存放到SSOIDs中,最后還要將這個ID設(shè)置為瀏覽器能夠保存的cookie值。

登錄成功后,瀏覽器會到哪個頁面呢?那我們回顧一下我們是如何使用身份認證服務(wù)的。一般來說我們不會直接訪問身份服務(wù)的任何URL,包括login.jsp。身份服務(wù)是用來保護其他應(yīng)用服務(wù)的,用戶一般在訪問一個受SSOAuth保護的Web應(yīng)用的某個URL時,當前這個應(yīng)用會發(fā)現(xiàn)當前的用戶還沒有登錄,便強制將也頁面轉(zhuǎn)向SSOAuthlogin.jsp,讓用戶登錄。如果登錄成功后,應(yīng)該自動的將用戶的瀏覽器指向用戶最初想訪問的那個URL。在handlerFromLogin()這個方法中,我們通過接收“goto”這個參數(shù)來保存用戶最初訪問的URL,成功后便重新定向到這個頁面中。

另外一個要說明的是,在設(shè)置cookie的時候,我使用了一個setMaxAge(6000)的方法。這個方法是用來設(shè)置cookie的有效期,單位是秒。如果不使用這個方法或者參數(shù)為負數(shù)的話,當瀏覽器關(guān)閉的時候,這個cookie就失效了。在這里我給了很大的值(1000分鐘),導致的行為是:當你關(guān)閉瀏覽器(或者關(guān)機),下次再打開瀏覽器訪問剛才的應(yīng)用,只要在1000分鐘之內(nèi),就不需要再登錄了。我這樣做是下面要介紹的桌面SSO中所需要的功能。

其他的方法更加簡單,這里就不多解釋了。

3.2.2具有SSO功能的web應(yīng)用源代碼解析

要實現(xiàn)WEB-SSO的功能,只有身份認證服務(wù)是不夠的。這點很顯然,要想使多個應(yīng)用具有單點登錄的功能,還需要每個應(yīng)用本身的配合:將自己的身份認證的服務(wù)交給一個統(tǒng)一的身份認證服務(wù)-SSOAuth。SSOAuth服務(wù)中提供的各個方法就是供每個加入SSOWeb應(yīng)用來調(diào)用的。

一般來說,Web應(yīng)用需要SSO的功能,應(yīng)該通過以下的交互過程來調(diào)用身份認證服務(wù)的提供的認證服務(wù):

  • Web應(yīng)用中每一個需要安全保護的URL在訪問以前,都需要進行安全檢查,如果發(fā)現(xiàn)沒有登錄(沒有發(fā)現(xiàn)認證之后所帶的cookie),就重新定向到SSOAuth中的login.jsp進行登錄。

  • 登錄成功后,系統(tǒng)會自動給你的瀏覽器設(shè)置cookie,證明你已經(jīng)登錄過了。

  • 當你再訪問這個應(yīng)用的需要保護的URL的時候,系統(tǒng)還是要進行安全檢查的,但是這次系統(tǒng)能夠發(fā)現(xiàn)相應(yīng)的cookie。

  • 有了這個cookie,還不能證明你就一定有權(quán)限訪問。因為有可能你已經(jīng)logout,或者cookie已經(jīng)過期了,或者身份認證服務(wù)重起過,這些情況下,你的cookie都可能無效。應(yīng)用系統(tǒng)拿到這個cookie,還需要調(diào)用身份認證的服務(wù),來判斷cookie時候真的有效,以及當前的cookie對應(yīng)的用戶是誰。

  • 如果cookie效驗成功,就允許用戶訪問當前請求的資源。

以上這些功能,可以用很多方法來實現(xiàn):

  • 在每個被訪問的資源中(JSPServlet)中都加入身份認證的服務(wù),來獲得cookie,并且判斷當前用戶是否登錄過。不過這個笨方法沒有人會用:-)

  • 可以通過一個controller,將所有的功能都寫到一個servlet中,然后在URL映射的時候,映射到所有需要保護的URL集合中(例如*.jsp,/security/*等)。這個方法可以使用,不過,它的缺點是不能重用。在每個應(yīng)用中都要部署一個相同的servlet。

  • Filter是比較好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。(Filter的使用可以參考JavaWolrd的文章http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.htmlFilter是一個具有很好的模塊化,可重用的編程API,用在SSO正合適不過。本樣例就是使用一個filter來完成以上的功能。


package SSO;            import java.io.*;            import java.net.*;            import java.util.*;            import java.text.*;            import javax.servlet.*;            import javax.servlet.http.*;            import javax.servlet.*;            import org.apache.commons.httpclient.*;            import org.apache.commons.httpclient.methods.GetMethod;            public class SSOFilter implements Filter {                private FilterConfig filterConfig = null;                private String cookieName="WangYuDesktopSSOID";                private String SSOServiceURL=  "http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth";                private String SSOLoginPage= "http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp";                                public void init(FilterConfig filterConfig) {                    this.filterConfig = filterConfig;                    if (filterConfig != null) {                        if (debug) {                            log("SSOFilter:Initializing filter");                        }                    }                            cookieName = filterConfig.getInitParameter("cookieName");                    SSOServiceURL = filterConfig.getInitParameter("SSOServiceURL");                    SSOLoginPage = filterConfig.getInitParameter("SSOLoginPage");                }              .....            .....            }

以上的初始化的源代碼有兩點需要說明:一是有兩個需要配置的參數(shù) SSOServiceURLSSOLoginPage。因為當前的Web應(yīng)用很可能和身份認證服務(wù)(SSOAuth)不在同一臺機器上,所以需要讓這個filter知道身份認證服務(wù)部署的URL,這樣才能去調(diào)用它的服務(wù)。另外一點就是由于身份認證的服務(wù)調(diào)用是要通過http協(xié)議來調(diào)用的(在本樣例中是這樣設(shè)計的,讀者完全可以設(shè)計自己的身份服務(wù),使用別的調(diào)用協(xié)議,如RMISOAP等等),所有筆者引用了apachecommons工具包(詳細信息情訪問apache 的網(wǎng)站http://jakarta.apache.org/commons/index.html),其中的“httpclient”可以大大簡化http調(diào)用的編程。

下面看看filter的主體方法doFilter():

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {                    if (debug) log("SSOFilter:doFilter()");                    HttpServletRequest request = (HttpServletRequest) req;                    HttpServletResponse response = (HttpServletResponse) res;                    String result="failed";                    String url = request.getRequestURL().toString();                    String qstring = request.getQueryString();                    if (qstring == null) qstring ="";                    //檢查http請求的head是否有需要的cookie                    String cookieValue ="";                    javax.servlet.http.Cookie[] diskCookies = request.getCookies();                    if (diskCookies != null) {                        for (int i = 0; i < diskCookies.length; i++) {                            if(diskCookies[i].getName().equals(cookieName)){                                cookieValue = diskCookies[i].getValue();                                //如果找到了相應(yīng)的cookie則效驗其有效性                                result = SSOService(cookieValue);                                if (debug) log("found cookies!");                            }                        }                    }                    if (result.equals("failed")) { //效驗失敗或沒有找到cookie,則需要登錄                        response.sendRedirect(SSOLoginPage+"?goto="+url);                    } else if (qstring.indexOf("logout") > 1) {//logout服務(wù)                        if (debug) log("logout action!");                        logoutService(cookieValue);                        response.sendRedirect(SSOLoginPage+"?goto="+url);                    }  else {//效驗成功                        request.setAttribute("SSOUser",result);                        Throwable problem = null;                        try {                            chain.doFilter(req, res);                        } catch(Throwable t) {                            problem = t;                            t.printStackTrace();                        }                               if (problem != null) {                            if (problem instanceof ServletException) throw (ServletException)problem;                            if (problem instanceof IOException) throw (IOException)problem;                            sendProcessingError(problem, res);                        }                    }                   }

doFilter()方法的邏輯也是非常簡單的,在接收到請求的時候,先去查找是否存在期望的cookie值,如果找到了,就會調(diào)用SSOService(cookieValue)去效驗這個cookie的有效性。如果cookie效驗不成功或者cookie根本不存在,就會直接轉(zhuǎn)到登錄界面讓用戶登錄;如果cookie效驗成功,就不會做任何阻攔,讓此請求進行下去。在配置文件中,有下面的一個節(jié)點表示了此filterURL映射關(guān)系:只攔截所有的jsp請求。

<filter-mapping>
<filter-name>SSOFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>



下面還有幾個主要的函數(shù)需要說明:

    private String SSOService(String cookievalue) throws IOException {                    String authAction = "?action=authcookie&cookiename=";                    HttpClient httpclient = new HttpClient();                    GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);                    try {                          httpclient.executeMethod(httpget);                        String result = httpget.getResponseBodyAsString();                        return result;                    } finally {                        httpget.releaseConnection();                    }                }                                private void logoutService(String cookievalue) throws IOException {                    String authAction = "?action=logout&cookiename=";                    HttpClient httpclient = new HttpClient();                    GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);                    try {                        httpclient.executeMethod(httpget);                        httpget.getResponseBodyAsString();                    } finally {                        httpget.releaseConnection();                    }                }

這兩個函數(shù)主要是利用apache中的httpclient訪問SSOAuth提供的認證服務(wù)來完成效驗cookielogout的功能。

其他的函數(shù)都很簡單,有很多都是我的IDENetBeans)替我自動生成的。

4 當前方案的安全局限性

當前這個WEB-SSO的方案是一個比較簡單的雛形,主要是用來演示SSO的概念和說明SSO技術(shù)的實現(xiàn)方式。有很多方面還需要完善,其中安全性是非常重要的一個方面。

我們說過,采用SSO技術(shù)的主要目的之一就是加強安全性,降低安全風險。因為采用了SSO,在網(wǎng)絡(luò)上傳遞密碼的次數(shù)減少,風險降低是顯然的,但是當前的方案卻有其他的安全風險。由于cookie是一個用戶登錄的唯一憑據(jù),對cookie的保護措施是系統(tǒng)安全的重要環(huán)節(jié):

  • cookie的長度和復雜度
    在本方案中,cookie是有一個固定的字符串(我的姓名)加上當前的時間戳。這樣的cookie很容易被偽造和猜測。懷有惡意的用戶如果猜測到合法的cookie就可以被當作已經(jīng)登錄的用戶,任意訪問權(quán)限范圍內(nèi)的資源

  • cookie的效驗和保護
    在本方案中,雖然密碼只要傳輸一次就夠了,可cookie在網(wǎng)絡(luò)中是經(jīng)常傳來傳去。一些網(wǎng)絡(luò)探測工具(如sniff, snoop,tcpdump等)可以很容易捕獲到cookie的數(shù)值。在本方案中,并沒有考慮cookie在傳輸時候的保護。另外對cookie的效驗也過于簡單,并不去檢查發(fā)送cookie的來源究竟是不是cookie最初的擁有者,也就是說無法區(qū)分正常的用戶和仿造cookie的用戶。

  • 當其中一個應(yīng)用的安全性不好,其他所有的應(yīng)用都會受到安全威脅
    因為有SSO,所以當某個處于 SSO的應(yīng)用被黒客攻破,那么很容易攻破其他處于同一個SSO保護的應(yīng)用。

這些安全漏洞在商業(yè)的SSO解決方案中都會有所考慮,提供相關(guān)的安全措施和保護手段,例如Sun公司的Access Manager,cookie的復雜讀和對cookie的保護都做得非常好。另外在OpneSSO https://opensso.dev.java.net)的架構(gòu)指南中也給出了部分安全措施的解決方案。

5 當前方案的功能和性能局限性

除了安全性,當前方案在功能和性能上都需要很多的改進:

  • 當前所提供的登錄認證模式只有一種:用戶名和密碼,而且為了簡單,將用戶名和密碼放在內(nèi)存當中。事實上,用戶身份信息的來源應(yīng)該是多種多樣的,可以是來自數(shù)據(jù)庫中,LDAP中,甚至于來自操作系統(tǒng)自身的用戶列表。還有很多其他的認證模式都是商務(wù)應(yīng)用不可缺少的,因此SSO的解決方案應(yīng)該包括各種認證的模式,包括數(shù)字證書,Radius, SafeWord ,MemberShipSecurID等多種方式。最為靈活的方式應(yīng)該允許可插入的JAAS框架來擴展身份認證的接口

  • 我們編寫的Filter只能用于J2EE的應(yīng)用,而對于大量非JavaWeb應(yīng)用,卻無法提供SSO服務(wù)。

  • 在將Filter應(yīng)用到Web應(yīng)用的時候,需要對容器上的每一個應(yīng)用都要做相應(yīng)的修改,重新部署。而更加流行的做法是Agent機制:為每一個應(yīng)用服務(wù)器安裝一個agent,就可以將SSO功能應(yīng)用到這個應(yīng)用服務(wù)器中的所有應(yīng)用。

  • 當前的方案不能支持分別位于不同domainWeb應(yīng)用進行SSO。這是因為瀏覽器在訪問Web服務(wù)器的時候,僅僅會帶上和當前web服務(wù)器具有相同domain名稱的那些cookie。要提供跨域的SSO的解決方案有很多其他的方法,在這里就不多說了。SunAccess Manager就具有跨域的SSO的功能。

  • 另外,Filter的性能問題也是需要重視的方面。因為Filter會截獲每一個符合URL映射規(guī)則的請求,獲得cookie,驗證其有效性。這一系列任務(wù)是比較消耗資源的,特別是驗證cookie有效性是一個遠程的http的調(diào)用,來訪問SSOAuth的認證服務(wù),有一定的延時。因此在性能上需要做進一步的提高。例如在本樣例中,如果將URL映射從“.jsp”改成“/*”,也就是說filter對所有的請求都起作用,整個應(yīng)用會變得非常慢。這是因為,頁面當中包含了各種靜態(tài)元素如gif圖片,css樣式文件,和其他html靜態(tài)頁面,這些頁面的訪問都要通過filter去驗證。而事實上,這些靜態(tài)元素沒有什么安全上的需求,應(yīng)該在filter中進行判斷,不去效驗這些請求,性能會好很多。另外,如果在filter中加上一定的cache,而不需要每一個cookie效驗請求都去遠端的身份認證服務(wù)中執(zhí)行,性能也能大幅度提高。

  • 另外系統(tǒng)還需要很多其他的服務(wù),如在內(nèi)存中定時刪除無用的cookie映射等等,都是一個嚴肅的解決方案需要考慮的問題。
本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點擊舉報
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
J2EE SSO解決方案札記 - 網(wǎng)絡(luò)編程技術(shù) - JavaEye技術(shù)網(wǎng)站
編寫你自己的單點登錄(SSO)服務(wù)
JForum論壇單點登錄的幾種實現(xiàn)方式 (CAS和Cookie)
韓順平2011細說Servlet筆記2
jsp基礎(chǔ)速成精華講解 原創(chuàng)
寶寶 javaweb 學習總結(jié)
更多類似文章 >>
生活服務(wù)
分享 收藏 導長圖 關(guān)注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服