單點(diǎn)登陸的技術(shù)實(shí)現(xiàn)機(jī)制

rickyfang

來源于：

小靈云芝的博客

http://blog.sina.com.cn/xiaolingyuanzi

 

單點(diǎn)登陸的技術(shù)實(shí)現(xiàn)機(jī)制
隨著SSO技術(shù)的流行，SSO的產(chǎn)品也是滿天飛揚(yáng)。所有著名的軟件廠商都提供了相應(yīng)的解決方案。在這里我并不想介紹自己公司（Sun Microsystems）的產(chǎn)品，而是對SSO技術(shù)本身進(jìn)行解析，并且提供自己開發(fā)這一類產(chǎn)品的方法和簡單演示。有關(guān)我寫這篇文章的目的，
單點(diǎn)登錄的機(jī)制其實(shí)是比較簡單的，用一個現(xiàn)實(shí)中的例子做比較。頤和園是北京著名的旅游景點(diǎn)，也是我常去的地方。在頤和園內(nèi)部有許多獨(dú)立的景點(diǎn)，例如“蘇州街”、“佛香閣”和“德和園”，都可以在各個景點(diǎn)門口單獨(dú)買票。很多游客需要游玩所有德景點(diǎn)，這種買票方式很不方便，需要在每個景點(diǎn)門口排隊買票，錢包拿進(jìn)拿出的，容易丟失，很不安全。于是絕大多數(shù)游客選擇在大門口買一張通票（也叫套票），就可以玩遍所有的景點(diǎn)而不需要重新再買票。他們只需要在每個景點(diǎn)門口出示一下剛才買的套票就能夠被允許進(jìn)入每個獨(dú)立的景點(diǎn)。
單點(diǎn)登錄的機(jī)制也一樣，如下圖所示，當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)1的時候，因?yàn)檫�沒有登錄，會被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄（1）；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份效驗(yàn)，如果通過效驗(yàn)，應(yīng)該返回給用戶一個認(rèn)證的憑據(jù)－－ticket（2）；用戶再訪問別的應(yīng)用的時候（3，5）就會將這個ticket 帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請求之后會把ticket送到認(rèn)證系統(tǒng)進(jìn)行效驗(yàn)，檢查ticket的合法性（4，6）。如果通過效驗(yàn)，用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了。

從上面的視圖可以看出，要實(shí)現(xiàn)SSO，需要以下主要的功能：

• 所有應(yīng)用系統(tǒng)共享一個身份認(rèn)證系統(tǒng)。
  統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對ticket進(jìn)行效驗(yàn)，判斷其有效性。
• 所有應(yīng)用系統(tǒng)能夠識別和提取ticket信息
  要實(shí)現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對ticket進(jìn)行識別和提取，通過與認(rèn)證系統(tǒng)的通訊，能自動判斷當(dāng)前用戶是否登錄過，從而完成單點(diǎn)登錄的功能。

上面的功能只是一個非常簡單的SSO架構(gòu)，在現(xiàn)實(shí)情況下的SSO有著更加復(fù)雜的結(jié)構(gòu)。有兩點(diǎn)需要指出的是：

• 單一的用戶信息數(shù)據(jù)庫并不是必須的，有許多系統(tǒng)不能將所有的用戶信息都集中存儲，應(yīng)該允許用戶信息放置在不同的存儲中，如下圖所示。事實(shí)上，只要統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一ticket的產(chǎn)生和效驗(yàn)，無論用戶信息存儲在什么地方，都能實(shí)現(xiàn)單點(diǎn)登錄。

• 統(tǒng)一的認(rèn)證系統(tǒng)并不是說只有單個的認(rèn)證服務(wù)器，如下圖所示，整個系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間要通過標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級別的單點(diǎn)登錄。如下圖，當(dāng)用戶在訪問應(yīng)用系統(tǒng)1時，由第一個認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的ticket。當(dāng)他訪問應(yīng)用系統(tǒng)4的時候，認(rèn)證服務(wù)器2能夠識別此ticket是由第一個服務(wù)器產(chǎn)生的，通過認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議（例如SAML）來交換認(rèn)證信息，仍然能夠完成SSO的功能。

3 WEB-SSO的實(shí)現(xiàn)
隨著互聯(lián)網(wǎng)的高速發(fā)展，WEB應(yīng)用幾乎統(tǒng)治了絕大部分的軟件應(yīng)用系統(tǒng)，因此WEB-SSO是SSO應(yīng)用當(dāng)中最為流行。WEB-SSO有其自身的特點(diǎn)和優(yōu)勢，實(shí)現(xiàn)起來比較簡單易用。很多商業(yè)軟件和開源軟件都有對WEB-SSO的實(shí)現(xiàn)。其中值得一提的是OpenSSO （https://opensso.dev.java.net），為用Java實(shí)現(xiàn)WEB-SSO提供架構(gòu)指南和服務(wù)指南，為用戶自己來實(shí)現(xiàn)WEB-SSO提供了理論的依據(jù)和實(shí)現(xiàn)的方法。 
為什么說WEB-SSO比較容易實(shí)現(xiàn)呢？這是有WEB應(yīng)用自身的特點(diǎn)決定的。
眾所周知，Web協(xié)議（也就是HTTP）是一個無狀態(tài)的協(xié)議。一個Web應(yīng)用由很多個Web頁面組成，每個頁面都有唯一的URL來定義。用戶在瀏覽器的地址欄輸入頁面的URL，瀏覽器就會向Web Server去發(fā)送請求。如下圖，瀏覽器向Web服務(wù)器發(fā)送了兩個請求，申請了兩個頁面。這兩個頁面的請求是分別使用了兩個單獨(dú)的HTTP連接。所謂無狀態(tài)的協(xié)議也就是表現(xiàn)在這里，瀏覽器和Web服務(wù)器會在第一個請求完成以后關(guān)閉連接通道，在第二個請求的時候重新建立連接。Web服務(wù)器并不區(qū)分哪個請求來自哪個客戶端，對所有的請求都一視同仁，都是單獨(dú)的連接。這樣的方式大大區(qū)別于傳統(tǒng)的（Client/Server）C/S結(jié)構(gòu),在那樣的應(yīng)用中，客戶端和服務(wù)器端會建立一個長時間的專用的連接通道。正是因?yàn)橛辛藷o狀態(tài)的特性，每個連接資源能夠很快被其他客戶端所重用，一臺Web服務(wù)器才能夠同時服務(wù)于成千上萬的客戶端。

但是我們通常的應(yīng)用是有狀態(tài)的。先不用提不同應(yīng)用之間的SSO，在同一個應(yīng)用中也需要保存用戶的登錄身份信息。例如用戶在訪問頁面1的時候進(jìn)行了登錄，但是剛才也提到，客戶端的每個請求都是單獨(dú)的連接，當(dāng)客戶再次訪問頁面2的時候，如何才能告訴Web服務(wù)器，客戶剛才已經(jīng)登錄過了呢？瀏覽器和服務(wù)器之間有約定：通過使用cookie技術(shù)來維護(hù)應(yīng)用的狀態(tài)。Cookie是可以被Web服務(wù)器設(shè)置的字符串，并且可以保存在瀏覽器中。如下圖所示，當(dāng)瀏覽器訪問了頁面1時，web服務(wù)器設(shè)置了一個cookie，并將這個cookie和頁面1一起返回給瀏覽器，瀏覽器接到cookie之后，就會保存起來，在它訪問頁面2的時候會把這個cookie也帶上，Web服務(wù)器接到請求時也能讀出cookie的值，根據(jù)cookie值的內(nèi)容就可以判斷和恢復(fù)一些用戶的信息狀態(tài)。

Web-SSO完全可以利用Cookie結(jié)束來完成用戶登錄信息的保存，將瀏覽器中的Cookie和上文中的Ticket結(jié)合起來，完成SSO的功能。
為了完成一個簡單的SSO的功能，需要兩個部分的合作：

• 統(tǒng)一的身份認(rèn)證服務(wù)。
• 修改Web應(yīng)用，使得每個應(yīng)用都通過這個統(tǒng)一的認(rèn)證服務(wù)來進(jìn)行身份效驗(yàn)。