国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

單點(diǎn)登錄（SSO）的技術(shù)被越來(lái)越廣泛地運(yùn)用到各個(gè)領(lǐng)域的軟件系統(tǒng)當(dāng)中。本文從業(yè)務(wù)的角度分析了單點(diǎn)登錄的需求和應(yīng)用領(lǐng)域；從技術(shù)本身的角度分析了單點(diǎn)登錄技術(shù)的內(nèi)部機(jī)制和實(shí)現(xiàn)手段，并且給出Web-SSO和桌面SSO的實(shí)現(xiàn)、源代碼和詳細(xì)講解；還從安全和性能的角度對(duì)現(xiàn)有的實(shí)現(xiàn)技術(shù)進(jìn)行進(jìn)一步分析，指出相應(yīng)的風(fēng)險(xiǎn)和需要改進(jìn)的方面。本文除了從多個(gè)方面和角度給出了對(duì)單點(diǎn)登錄（SSO）的全面分析，還并且討論了如何將現(xiàn)有的應(yīng)用和SSO服務(wù)結(jié)合起來(lái)，能夠幫助應(yīng)用架構(gòu)師和系統(tǒng)分析人員從本質(zhì)上認(rèn)識(shí)單點(diǎn)登錄，從而更好地設(shè)計(jì)出符合需要的安全架構(gòu)。

• 用戶每天平均 16 分鐘花在身份驗(yàn)證任務(wù)上 - 資料來(lái)源： IDS
• 頻繁的 IT 用戶平均有 21 個(gè)密碼 - 資料來(lái)源： NTA Monitor Password Survey
• 49% 的人寫(xiě)下了其密碼，而 67% 的人很少改變它們
• 每 79 秒出現(xiàn)一起身份被竊事件 - 資料來(lái)源：National Small Business Travel Assoc
• 全球欺騙損失每年約 12B - 資料來(lái)源：Comm Fraud Control Assoc
• 到 2007 年，身份管理市場(chǎng)將成倍增長(zhǎng)至 $4.5B - 資料來(lái)源：IDS

• 提高 IT 效率：對(duì)于每 1000 個(gè)受管用戶，每用戶可節(jié)省$70K
• 幫助臺(tái)呼叫減少至少1/3，對(duì)于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計(jì) $648K
• 生產(chǎn)力提高：每個(gè)新員工可節(jié)省 $1K，每個(gè)老員工可節(jié)省 $350 ?資料來(lái)源：Giga
• ROI 回報(bào)：7.5 到 13 個(gè)月 ?資料來(lái)源：Gartner

• 所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)。
  統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫(kù)相比較，對(duì)用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì)ticket進(jìn)行效驗(yàn)，判斷其有效性。
• 所有應(yīng)用系統(tǒng)能夠識(shí)別和提取ticket信息
  要實(shí)現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓?xiě)?yīng)用系統(tǒng)能夠識(shí)別已經(jīng)登錄過(guò)的用戶。應(yīng)用系統(tǒng)應(yīng)該能對(duì)ticket進(jìn)行識(shí)別和提取，通過(guò)與認(rèn)證系統(tǒng)的通訊，能自動(dòng)判斷當(dāng)前用戶是否登錄過(guò)，從而完成單點(diǎn)登錄的功能。

• 單一的用戶信息數(shù)據(jù)庫(kù)并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲(chǔ)，應(yīng)該允許用戶信息放置在不同的存儲(chǔ)中，如下圖所示。事實(shí)上，只要統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一ticket的產(chǎn)生和效驗(yàn)，無(wú)論用戶信息存儲(chǔ)在什么地方，都能實(shí)現(xiàn)單點(diǎn)登錄。

• 統(tǒng)一的認(rèn)證系統(tǒng)并不是說(shuō)只有單個(gè)的認(rèn)證服務(wù)器，如下圖所示，整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間要通過(guò)標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級(jí)別的單點(diǎn)登錄。如下圖，當(dāng)用戶在訪問(wèn)應(yīng)用系統(tǒng)1時(shí)，由第一個(gè)認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的ticket。當(dāng)他訪問(wèn)應(yīng)用系統(tǒng)4的時(shí)候，認(rèn)證服務(wù)器2能夠識(shí)別此ticket是由第一個(gè)服務(wù)器產(chǎn)生的，通過(guò)認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議（例如SAML）來(lái)交換認(rèn)證信息，仍然能夠完成SSO的功能。

1. 統(tǒng)一的身份認(rèn)證服務(wù)。
2. 修改Web應(yīng)用，使得每個(gè)應(yīng)用都通過(guò)這個(gè)統(tǒng)一的認(rèn)證服務(wù)來(lái)進(jìn)行身份效驗(yàn)。

• Web-SSO的樣例是由三個(gè)標(biāo)準(zhǔn)Web應(yīng)用組成，壓縮成三個(gè)zip文件，從http://gceclub.sun.com.cn/wangyu/web-sso/中下載。其中SSOAuth（http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip）是身份認(rèn)證服務(wù)；SSOWebDemo1（http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip）和SSOWebDemo2（http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip）是兩個(gè)用來(lái)演示單點(diǎn)登錄的Web應(yīng)用。這三個(gè)Web應(yīng)用之所以沒(méi)有打成war包，是因?yàn)樗鼈儾荒苤苯硬渴?，根?jù)讀者的部署環(huán)境需要作出小小的修改。樣例部署和運(yùn)行的環(huán)境有一定的要求，需要符合Servlet2.3以上標(biāo)準(zhǔn)的J2EE容器才能運(yùn)行（例如Tomcat5,Sun Application Server 8, Jboss 4等）。另外，身份認(rèn)證服務(wù)需要JDK1.5的運(yùn)行環(huán)境。之所以要用JDK1.5是因?yàn)楣P者使用了一個(gè)線程安全的高性能的Java集合類(lèi)“ConcurrentMap”，只有在JDK1.5中才有。
• 這三個(gè)Web應(yīng)用完全可以單獨(dú)部署，它們可以分別部署在不同的機(jī)器，不同的操作系統(tǒng)和不同的J2EE的產(chǎn)品上，它們完全是標(biāo)準(zhǔn)的和平臺(tái)無(wú)關(guān)的應(yīng)用。但是有一個(gè)限制，那兩臺(tái)部署應(yīng)用（demo1、demo2）的機(jī)器的域名需要相同，這在后面的章節(jié)中會(huì)解釋到cookie和domain的關(guān)系以及如何制作跨域的WEB-SSO
• 解壓縮SSOAuth.zip文件，在/WEB-INF/下的web.xml中請(qǐng)修改“domainname”的屬性以反映實(shí)際的應(yīng)用部署情況，domainname需要設(shè)置為兩個(gè)單點(diǎn)登錄的應(yīng)用（demo1和demo2）所屬的域名。這個(gè)domainname和當(dāng)前SSOAuth服務(wù)部署的機(jī)器的域名沒(méi)有關(guān)系。我缺省設(shè)置的是“.sun.com”。如果你部署demo1和demo2的機(jī)器沒(méi)有域名，請(qǐng)輸入IP地址或主機(jī)名（如localhost），但是如果使用IP地址或主機(jī)名也就意味著demo1和demo2需要部署到一臺(tái)機(jī)器上了。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOAuth這個(gè)目錄壓縮打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成這個(gè)功能。
• 解壓縮SSOWebDemo1和SSOWebDemo2文件，分別在它們/WEB-INF/下找到web.xml文件，請(qǐng)修改其中的幾個(gè)初始化參數(shù)
  <init-param>
  <param-name>SSOServiceURL</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
  </init-param>
  <init-param>
  <param-name>SSOLoginPage</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
  </init-param>
  將其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth應(yīng)用的機(jī)器名、端口號(hào)以及根路徑（缺省是SSOAuth）以反映實(shí)際的部署情況。設(shè)置完后，根據(jù)你所選擇的J2EE容器，可能需要將SSOWebDemo1和SSOWebDemo2這兩個(gè)目錄壓縮打包成兩個(gè)war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成這個(gè)功能。
• 請(qǐng)輸入第一個(gè)web應(yīng)用的測(cè)試URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/ SSOWebDemo1/test.jsp，如果是第一次訪問(wèn)，便會(huì)自動(dòng)跳轉(zhuǎn)到登錄界面，如下圖
  
  
• 使用系統(tǒng)自帶的三個(gè)賬號(hào)之一登錄（例如，用戶名：wangyu,密碼：wangyu），便能成功的看到test.jsp的內(nèi)容：顯示當(dāng)前用戶名和歡迎信息。
  

• 請(qǐng)接著在同一個(gè)瀏覽器中輸入第二個(gè)web應(yīng)用的測(cè)試URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/ SSOWebDemo2/test.jsp。你會(huì)發(fā)現(xiàn)，不需要再次登錄就能看到test.jsp的內(nèi)容，同樣是顯示當(dāng)前用戶名和歡迎信息，而且歡迎信息中明確的顯示當(dāng)前的應(yīng)用名稱（demo2）。

package DesktopSSO;   import java.io.*; import java.net.*; import java.text.*; import java.util.*; import java.util.concurrent.*;   import javax.servlet.*; import javax.servlet.http.*;     public class SSOAuth extends HttpServlet {         static private ConcurrentMap accounts;     static private ConcurrentMap SSOIDs;     String cookiename="WangYuDesktopSSOID";     String domainname;         public void init(ServletConfig config) throws ServletException {         super.init(config);         domainname= config.getInitParameter("domainname");         cookiename = config.getInitParameter("cookiename");         SSOIDs = new ConcurrentHashMap();         accounts=new ConcurrentHashMap();         accounts.put("wangyu", "wangyu");         accounts.put("paul", "paul");         accounts.put("carol", "carol");     }       protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {         PrintWriter out = response.getWriter();         String action = request.getParameter("action");         String result="failed";         if (action==null) {             handlerFromLogin(request,response);         } else if (action.equals("authcookie")){             String myCookie = request.getParameter("cookiename");             if (myCookie != null) result = authCookie(myCookie);             out.print(result);             out.close();         } else if (action.equals("authuser")) {            result=authNameAndPasswd(request,response);             out.print(result);             out.close();         } else if (action.equals("logout")) {             String myCookie = request.getParameter("cookiename");             logout(myCookie);             out.close();         }     }   .....   }

1. 如果用戶還沒(méi)有登錄過(guò)，是第一次登錄本系統(tǒng)，會(huì)被跳轉(zhuǎn)到login.jsp頁(yè)面（在后面會(huì)解釋如何跳轉(zhuǎn)）。用戶在提供了用戶名和密碼以后，就會(huì)用handlerFromLogin()這個(gè)方法來(lái)驗(yàn)證。
2. 如果用戶已經(jīng)登錄過(guò)本系統(tǒng)，再訪問(wèn)別的應(yīng)用的時(shí)候，是不需要再次登錄的。因?yàn)闉g覽器會(huì)將第一次登錄時(shí)產(chǎn)生的cookie和請(qǐng)求一起發(fā)送。效驗(yàn)cookie的有效性是SSOAuth的主要功能之一。
3. SSOAuth還能直接效驗(yàn)非login.jsp頁(yè)面過(guò)來(lái)的用戶名和密碼的效驗(yàn)請(qǐng)求。這個(gè)功能是用于非web應(yīng)用的SSO，這在后面的桌面SSO中會(huì)用到。
4. SSOAuth還提供logout服務(wù)。

private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {         String username = request.getParameter("username");         String password = request.getParameter("password");         String pass = (String)accounts.get(username);         if ((pass==null)||(!pass.equals(password)))             getServletContext().getRequestDispatcher("/failed.html").forward(request, response);         else {             String gotoURL = request.getParameter("goto");             String newID = createUID();             SSOIDs.put(newID, username);             Cookie wangyu = new Cookie(cookiename, newID);             wangyu.setDomain(domainname);             wangyu.setMaxAge(60000);             wangyu.setValue(newID);             wangyu.setPath("/");             response.addCookie(wangyu);             System.out.println("login success, goto back url:" + gotoURL);             if (gotoURL != null) {                 PrintWriter out = response.getWriter();                 response.sendRedirect(gotoURL);                 out.close();             }         }       }

• Web應(yīng)用中每一個(gè)需要安全保護(hù)的URL在訪問(wèn)以前，都需要進(jìn)行安全檢查，如果發(fā)現(xiàn)沒(méi)有登錄（沒(méi)有發(fā)現(xiàn)認(rèn)證之后所帶的cookie），就重新定向到SSOAuth中的login.jsp進(jìn)行登錄。
• 登錄成功后，系統(tǒng)會(huì)自動(dòng)給你的瀏覽器設(shè)置cookie，證明你已經(jīng)登錄過(guò)了。
• 當(dāng)你再訪問(wèn)這個(gè)應(yīng)用的需要保護(hù)的URL的時(shí)候，系統(tǒng)還是要進(jìn)行安全檢查的，但是這次系統(tǒng)能夠發(fā)現(xiàn)相應(yīng)的cookie。
• 有了這個(gè)cookie，還不能證明你就一定有權(quán)限訪問(wèn)。因?yàn)橛锌赡苣阋呀?jīng)logout,或者cookie已經(jīng)過(guò)期了，或者身份認(rèn)證服務(wù)重起過(guò)，這些情況下，你的cookie都可能無(wú)效。應(yīng)用系統(tǒng)拿到這個(gè)cookie，還需要調(diào)用身份認(rèn)證的服務(wù)，來(lái)判斷cookie時(shí)候真的有效，以及當(dāng)前的cookie對(duì)應(yīng)的用戶是誰(shuí)。
• 如果cookie效驗(yàn)成功，就允許用戶訪問(wèn)當(dāng)前請(qǐng)求的資源。

• 在每個(gè)被訪問(wèn)的資源中（JSP或Servlet）中都加入身份認(rèn)證的服務(wù)，來(lái)獲得cookie，并且判斷當(dāng)前用戶是否登錄過(guò)。不過(guò)這個(gè)笨方法沒(méi)有人會(huì)用:-)。
• 可以通過(guò)一個(gè)controller，將所有的功能都寫(xiě)到一個(gè)servlet中，然后在URL映射的時(shí)候，映射到所有需要保護(hù)的URL集合中（例如*.jsp，/security/*等）。這個(gè)方法可以使用，不過(guò)，它的缺點(diǎn)是不能重用。在每個(gè)應(yīng)用中都要部署一個(gè)相同的servlet。
• Filter是比較好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。（Filter的使用可以參考JavaWolrd的文章http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html）Filter是一個(gè)具有很好的模塊化，可重用的編程API，用在SSO正合適不過(guò)。本樣例就是使用一個(gè)filter來(lái)完成以上的功能。

package SSO;   import java.io.*; import java.net.*; import java.util.*; import java.text.*; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.*; import org.apache.commons.httpclient.*; import org.apache.commons.httpclient.methods.GetMethod;   public class SSOFilter implements Filter {     private FilterConfig filterConfig = null;     private String cookieName="WangYuDesktopSSOID";     private String SSOServiceURL= "http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth";     private String SSOLoginPage= "http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp";         public void init(FilterConfig filterConfig) {           this.filterConfig = filterConfig;         if (filterConfig != null) {             if (debug) {                 log("SSOFilter:Initializing filter");             }         }                cookieName = filterConfig.getInitParameter("cookieName");         SSOServiceURL = filterConfig.getInitParameter("SSOServiceURL");         SSOLoginPage = filterConfig.getInitParameter("SSOLoginPage");     }  ..... .....   }

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {         if (debug) log("SSOFilter:doFilter()");         HttpServletRequest request = (HttpServletRequest) req;         HttpServletResponse response = (HttpServletResponse) res;         String result="failed";         String url = request.getRequestURL().toString();         String qstring = request.getQueryString();         if (qstring == null) qstring ="";           //檢查http請(qǐng)求的head是否有需要的cookie         String cookieValue ="";         javax.servlet.http.Cookie[] diskCookies = request.getCookies();         if (diskCookies != null) {             for (int i = 0; i < diskCookies.length; i++) {                 if(diskCookies[i].getName().equals(cookieName)){                     cookieValue = diskCookies[i].getValue();                       //如果找到了相應(yīng)的cookie則效驗(yàn)其有效性                     result = SSOService(cookieValue);                     if (debug) log("found cookies!");                 }             }         }         if (result.equals("failed")) { //效驗(yàn)失敗或沒(méi)有找到cookie，則需要登錄             response.sendRedirect(SSOLoginPage+"?goto="+url);         } else if (qstring.indexOf("logout") > 1) {//logout服務(wù)             if (debug) log("logout action!");             logoutService(cookieValue);             response.sendRedirect(SSOLoginPage+"?goto="+url);         } else {//效驗(yàn)成功             request.setAttribute("SSOUser",result);             Throwable problem = null;             try {                 chain.doFilter(req, res);             } catch(Throwable t) {                 problem = t;                 t.printStackTrace();             }                   if (problem != null) {                 if (problem instanceof ServletException) throw (ServletException)problem;                 if (problem instanceof IOException) throw (IOException)problem;                 sendProcessingError(problem, res);             }         }       }

private String SSOService(String cookievalue) throws IOException {         String authAction = "?action=authcookie&cookiename=";         HttpClient httpclient = new HttpClient();         GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);         try {              httpclient.executeMethod(httpget);             String result = httpget.getResponseBodyAsString();             return result;         } finally {             httpget.releaseConnection();         }     }         private void logoutService(String cookievalue) throws IOException {         String authAction = "?action=logout&cookiename=";         HttpClient httpclient = new HttpClient();         GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue);         try {             httpclient.executeMethod(httpget);             httpget.getResponseBodyAsString();         } finally {             httpget.releaseConnection();         }     }

• cookie的長(zhǎng)度和復(fù)雜度
  在本方案中，cookie是有一個(gè)固定的字符串（我的姓名）加上當(dāng)前的時(shí)間戳。這樣的cookie很容易被偽造和猜測(cè)。懷有惡意的用戶如果猜測(cè)到合法的cookie就可以被當(dāng)作已經(jīng)登錄的用戶，任意訪問(wèn)權(quán)限范圍內(nèi)的資源
• cookie的效驗(yàn)和保護(hù)
  在本方案中，雖然密碼只要傳輸一次就夠了，可cookie在網(wǎng)絡(luò)中是經(jīng)常傳來(lái)傳去。一些網(wǎng)絡(luò)探測(cè)工具（如sniff, snoop,tcpdump等）可以很容易捕獲到cookie的數(shù)值。在本方案中，并沒(méi)有考慮cookie在傳輸時(shí)候的保護(hù)。另外對(duì)cookie的效驗(yàn)也過(guò)于簡(jiǎn)單，并不去檢查發(fā)送cookie的來(lái)源究竟是不是cookie最初的擁有者，也就是說(shuō)無(wú)法區(qū)分正常的用戶和仿造cookie的用戶。
• 當(dāng)其中一個(gè)應(yīng)用的安全性不好，其他所有的應(yīng)用都會(huì)受到安全威脅
  因?yàn)橛?/span>SSO，所以當(dāng)某個(gè)處于 SSO的應(yīng)用被黒客攻破，那么很容易攻破其他處于同一個(gè)SSO保護(hù)的應(yīng)用。

• 當(dāng)前所提供的登錄認(rèn)證模式只有一種：用戶名和密碼，而且為了簡(jiǎn)單，將用戶名和密碼放在內(nèi)存當(dāng)中。事實(shí)上，用戶身份信息的來(lái)源應(yīng)該是多種多樣的，可以是來(lái)自數(shù)據(jù)庫(kù)中，LDAP中，甚至于來(lái)自操作系統(tǒng)自身的用戶列表。還有很多其他的認(rèn)證模式都是商務(wù)應(yīng)用不可缺少的，因此SSO的解決方案應(yīng)該包括各種認(rèn)證的模式，包括數(shù)字證書(shū)，Radius， SafeWord ，MemberShip，SecurID等多種方式。最為靈活的方式應(yīng)該允許可插入的JAAS框架來(lái)擴(kuò)展身份認(rèn)證的接口
• 我們編寫(xiě)的Filter只能用于J2EE的應(yīng)用，而對(duì)于大量非Java的Web應(yīng)用，卻無(wú)法提供SSO服務(wù)。
• 在將Filter應(yīng)用到Web應(yīng)用的時(shí)候，需要對(duì)容器上的每一個(gè)應(yīng)用都要做相應(yīng)的修改，重新部署。而更加流行的做法是Agent機(jī)制：為每一個(gè)應(yīng)用服務(wù)器安裝一個(gè)agent，就可以將SSO功能應(yīng)用到這個(gè)應(yīng)用服務(wù)器中的所有應(yīng)用。
• 當(dāng)前的方案不能支持分別位于不同domain的Web應(yīng)用進(jìn)行SSO。這是因?yàn)闉g覽器在訪問(wèn)Web服務(wù)器的時(shí)候，僅僅會(huì)帶上和當(dāng)前web服務(wù)器具有相同domain名稱的那些cookie。要提供跨域的SSO的解決方案有很多其他的方法，在這里就不多說(shuō)了。Sun的Access Manager就具有跨域的SSO的功能。
• 另外，Filter的性能問(wèn)題也是需要重視的方面。因?yàn)?/span>Filter會(huì)截獲每一個(gè)符合URL映射規(guī)則的請(qǐng)求，獲得cookie，驗(yàn)證其有效性。這一系列任務(wù)是比較消耗資源的，特別是驗(yàn)證cookie有效性是一個(gè)遠(yuǎn)程的http的調(diào)用，來(lái)訪問(wèn)SSOAuth的認(rèn)證服務(wù)，有一定的延時(shí)。因此在性能上需要做進(jìn)一步的提高。例如在本樣例中，如果將URL映射從“.jsp”改成“/*”，也就是說(shuō)filter對(duì)所有的請(qǐng)求都起作用，整個(gè)應(yīng)用會(huì)變得非常慢。這是因?yàn)?，?yè)面當(dāng)中包含了各種靜態(tài)元素如gif圖片，css樣式文件，和其他html靜態(tài)頁(yè)面，這些頁(yè)面的訪問(wèn)都要通過(guò)filter去驗(yàn)證。而事實(shí)上，這些靜態(tài)元素沒(méi)有什么安全上的需求，應(yīng)該在filter中進(jìn)行判斷，不去效驗(yàn)這些請(qǐng)求，性能會(huì)好很多。另外，如果在filter中加上一定的cache，而不需要每一個(gè)cookie效驗(yàn)請(qǐng)求都去遠(yuǎn)端的身份認(rèn)證服務(wù)中執(zhí)行，性能也能大幅度提高。
• 另外系統(tǒng)還需要很多其他的服務(wù)，如在內(nèi)存中定時(shí)刪除無(wú)用的cookie映射等等，都是一個(gè)嚴(yán)肅的解決方案需要考慮的問(wèn)題。

1. 運(yùn)行此桌面SSO需要三個(gè)前提條件：
   a) WEB-SSO的身份認(rèn)證應(yīng)用應(yīng)該正在運(yùn)行，因?yàn)槲覀冊(cè)谧烂?/span>SSO當(dāng)中需要用到統(tǒng)一的認(rèn)證服務(wù)
   b) 當(dāng)前桌面需要運(yùn)行Mozilla或Netscape瀏覽器，因?yàn)槲覀儗?/span>ticket保存到mozilla的cookie文件中
   c) 必須在JDK1.4以上運(yùn)行。（WEB-SSO需要JDK1.5以上）
2. 解開(kāi)desktopsso.zip文件，里面有兩個(gè)目錄bin和lib。
3. bin目錄下有一些腳本文件和配置文件，其中config.properties包含了三個(gè)需要配置的參數(shù)：
   a) SSOServiceURL要指向WebSSO部署的身份認(rèn)證的URL
   b) SSOLoginPage要指向WebSSO部署的身份認(rèn)證的登錄頁(yè)面URL
   c) cookiefilepath要指向當(dāng)前用戶的mozilla所存放cookie的文件
4. 在bin目錄下還有一個(gè)login.conf是用來(lái)配置JAAS登錄模塊，本樣例提供了兩個(gè)，讀者可以任意選擇其中一個(gè)（也可以都選），再重新運(yùn)行程序，查看登錄認(rèn)證的變化
5. 在bin下的運(yùn)行腳本可能需要作相應(yīng)的修改
   a) 如果是在unix下，各個(gè)jar文件需要用“:”來(lái)隔開(kāi)，而不是“;”
   b) java 運(yùn)行程序需要放置在當(dāng)前運(yùn)行的路徑下，否則需要加上java的路徑全名。

DesktopSSO {    desktopsso.share.PasswordLoginModule required;    desktopsso.share.DesktopSSOLoginModule required; };

public class DesktopSSOLoginModule implements LoginModule {    ..........    private String SSOServiceURL = "";    private String SSOLoginPage = "";    private static String cookiefilepath = "";      .........

SSOServiceURL=http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth SSOLoginPage=http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp cookiefilepath=C:\\Documents and Settings\\yw137672\\Application Data\\Mozilla\\Profiles\\default\\hog6z1ji.slt\\cookies.txt

public boolean login() throws LoginException{         try {             if (Cookielogin()) return true;         } catch (IOException ex) {             ex.printStackTrace();         }       if (passwordlogin()) return true;       throw new FailedLoginException();  }

public boolean Cookielogin() throws LoginException,IOException {       String cookieValue="";       int cookieIndex =foundCookie();       if (cookieIndex<0)             return false;       else             cookieValue = getCookieValue(cookieIndex);      username = cookieAuth(cookieValue);      if (! username.equals("failed")) {          loginSuccess = true;          return true;      }      return false;  }

public boolean passwordlogin() throws LoginException {     //     // Since we need input from a user, we need a callback handler     if (callbackHandler == null) {        throw new LoginException("No CallbackHandler defined");     }     Callback[] callbacks = new Callback[2];     callbacks[0] = new NameCallback("Username");     callbacks[1] = new PasswordCallback("Password", false);     //     // Call the callback handler to get the username and password     try {       callbackHandler.handle(callbacks);       username = ((NameCallback)callbacks[0]).getName();       char[] temp = ((PasswordCallback)callbacks[1]).getPassword();       password = new char[temp.length];       System.arraycopy(temp, 0, password, 0, temp.length);       ((PasswordCallback)callbacks[1]).clearPassword();     } catch (IOException ioe) {       throw new LoginException(ioe.toString());     } catch (UnsupportedCallbackException uce) {       throw new LoginException(uce.toString());     }         System.out.println();     String authresult ="";     try {         authresult = userAuth(username, password);     } catch (IOException ex) {         ex.printStackTrace();     }     if (! authresult.equals("failed")) {         loginSuccess= true;         clearPassword();         try {             updateCookie(authresult);         } catch (IOException ex) {             ex.printStackTrace();         }         return true;     }          loginSuccess = false;     username = null;     clearPassword();     System.out.println( "Login: PasswordLoginModule FAIL" );     throw new FailedLoginException();  }

private String cookieAuth(String cookievalue) throws IOException{         String result = "failed";                 HttpClient httpclient = new HttpClient();               GetMethod httpget = new GetMethod(SSOServiceURL+Action1+cookievalue);             try {             httpclient.executeMethod(httpget);             result = httpget.getResponseBodyAsString();         } finally {             httpget.releaseConnection();         }         return result;     }   private String userAuth(String username, char[] password) throws IOException{         String result = "failed";         String passwd= new String(password);         HttpClient httpclient = new HttpClient();               GetMethod httpget = new GetMethod(SSOServiceURL+Action2+username+"&password="+passwd);         passwd = null;             try {             httpclient.executeMethod(httpget);             result = httpget.getResponseBodyAsString();         } finally {             httpget.releaseConnection();         }         return result;             }