单点登陆设计原理

http://blog.csdn.net/j2eeweiwei/article/details/

2381332

单点登录设计原理

分类： 权限控管 Java 2008-05-04 13:12 244 人阅读 评论(0) 收藏 举报

本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策

略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复

登录问题。

随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，

统一用户管理的基本原理

一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储

方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息

同步会增加系统的复杂性，增加管理的成本。

例如，用户 X 需要同时使用 A 系统与 B 系统，就必须在 A 系统与 B 系统中都创建用户 X，

这样在 A、B 任一系统中用户 X 的信息更改后就必须同步至另一系统。如果用户 X 需要同

时使用 10 个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他 9 个系统。

用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常

复杂。

不同的个体。

2．UUMS 向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，各应用

系统可以选择本系统所需要的部分或全部属性。

3．应用系统对用户基本信息的增加、修改、删除和查询等请求由 UUMS 处理。

4．应用系统保留用户管理功能，如用户分组、用户授权等功能。

5．UUMS 应具有完善的日志功能，详细记录各应用系统对 UUMS 的操作。

统一用户认证是以 UUMS 为基础，对所有应用系统提供统一的认证方式和认证策略，以识

别用户身份的合法性。

统一用户认证应支持以下几种认证方式:匿名、用户名密码、PK/CA 数字、IP 地址、时间

段、访问次数

以上认证方式应采用模块化设计，管理员可灵活地进行装载和卸载，同时还可按照用户的

要求方便地扩展新的认证模块。

认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。管理员可以根据认

证策略对认证方式进行增、删或组合，以满足各种认证的要求。比如，某集团用户多人共

用一个账户，用户通过用户名密码访问系统，访问必须限制在某个 IP 地址段上。该认证策

略可表示为: 用户名/密码“与”IP 地址认证。

PKI/CA 数字证书认证虽不常用，但却很有用，通常应用在安全级别要求较高的环境中。

PKI（Public Key Infrastructure）即公钥基础设施是利用公钥理论和数字证书来确保系统信

息安全的一种体系。

在公钥体制中，密钥成对生成，每对密钥由一个公钥和一个私钥组成，公钥公布于众，私

法授权者偷看）、完整性（不能被非法篡改）和有效性（数据不能被签发者否认）。

数字证书有时被称为数字身份证，数字证书是一段包含用户身份信息、用户公钥信息以及

身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。

完整的 PKI 系统应具有权威认证机构 CA（Certificate Authority）、证书注册系统

Protocol，在线证书状态协议）协议提供查询用户证书的服务，用来验证用户签名的合法

性; 备份恢复系统负责数字证书、密钥和系统数据的备份与恢复。

单点登录

单点登录（SSO，Single Sign-on）是一种方便用户访问多个系统的技术，用户只需在登

录时进行一次注册，就可以在多个系统间自由穿梭，不必重复输入用户名和密码来确定身

份。单点登录的实质就是安全上下文（Security Context）或凭证（Credential）在多个应

用系统之间的传递或共享。当用户登录系统时，客户端软件根据用户的凭证（例如用户名

和密码）为用户建立一个安全上下文，安全上下文包含用于验证用户的安全信息，系统用

这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。遗憾的是 J2EE 规范

并没有规定安全上下文的格式，因此不能在不同厂商的 J2EE 产品之间传递安全上下文。

须相同;

Session 是一种服务器端机制，当客户端访问服务器时，服务器为客户端创建一个惟一的

SessionID，以使在整个交互过程中始终保持状态，而交互的信息则可由应用自行指定，

因此用 Session 方式实现 SSO，不能在多个浏览器之间实现单点登录，但却可以跨域。

实现 SSO 有无标准可寻？如何使业界产品之间、产品内部之间信息交互更标准、更安全呢？

基于此目的，OASIS（结构化信息标准促进组织）提出了 SAML 解决方案（有关 SAML 的

知识参看链接）。