单点登陆技术文档

北京选择软件科技有限公司 技术文档 版权所有，按 GPL 规则发布

单点登录技术文档

张昀 * 2006.12

说明：本文档在我们最大努力范围之内确保其正确性、实效性和可观性，但并不代表所有

的观点都是正确的，而仅代表个人看法。如发现不当之处，请多指教，谢谢！

另外，本文并不是给初学者看的。虽然我们尽可能把每个概念和操作步骤都说得比较明白

但是如果您对于 Linux 系统不是很熟的话，很多操作仍然可能存在困难。这种情况下我们

建议您直接下载虚拟机安装试用，边实践边学习。

而易见：

1. 减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性

2. 实现安全的同时避免了处理和保存多套系统用户的认证信息

3. 减少了系统管理员增加、删除用户和修改用户权限的时间

4. 增加了安全性：系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用

户来取消该用户对所有系统资源的访问权限

对于内部有多种应用系统的企业来说，单点登录的效果是十分明显的。很多国际上的

企业已经将单点登录作为系统设计的基本功能之一。

1.1　单点登录产品

商业 SSO 软件

北京选择软件科技有限公司 技术文档 版权所有，按 GPL 规则发布

Server，Oracle 公司的 OID 等。

上 述 商 业 软 件 一 般 适 用 于 客 户 对 SSO 的 需 求 很 高 ， 并 且 企 业 内 部 采 用

Domino、SAP、Sieble 等系统比较多的情况下。单点登录产品通常需要在应用软件中增加

代理模块，而商业 SSO 产品主要针对大型软件制作了代码模块。

因此，商业 SSO 软件除了价格问题外，另一个重要问题就是对客户自己的应用系统支

持未必十分完善。

开源 SSO 软件

 OpenSSO 基于 Sun Java System Access Manager ，是 Sun 公司支持的一个开源的

 JOSSO 支持的客户端包括 Java，PHP 和 ASP。

 这是耶鲁大学开发的单点登录产品，也是我们最后选定的单点登录产品。

 CAS 的优点很多，例如设计理念先进、体系结构合理、配置简单、客户端支持广

泛、技术成熟等等。以后我们还要仔细介绍。

经过广泛分析和比较，最后我们选定 CAS 作为我们的单点登录产品。我们确信这是目

前能够找到的最好的开源单点登录产品。

包括: 名字、值、过期时间、路径和域，路径与域合在一起就构成了 Cookie 的作用范围，

因此用 Cookie 方式可实现 SSO，但域名必须相同。

北京选择软件科技有限公司 技术文档 版权所有，按 GPL 规则发布

a.chinacreator.com,b.chinacreator.com 就可以经过配置后实现 SSO。

以 CAS 为例，使用 Cookie 实现单点登录的原理图如图 1 所示。

 首先，单点登录分为“服务端”和“客户端”。服务端就是单点登录服务器，而客户端

通常是“函数库”或者“插件”。需要使用单点登录的应用程序，需要把客户端插件安

装到自己的系统中，或者将客户端函数库包括在代码中。单点登录的客户端通常

替换了原来应用程序的认证部分的代码。

 某个应用程序首先要发起第 1 次认证。大部分情况下，应用程序中嵌入的客户端

会把应用程序原来的登录画面屏蔽掉，而直接转到单点登录服务器的登录页面。

图 1 使用 Cookie 实现单点登录的原理图

 用户在单点登录服务器的登录页面中，输入用户名和密码。

 然后单点登录服务器会对用户名和密码进行认证。认证本身并不是单点登录服务

器的功能，因此，通常会引入某种认证机制。认证机制可以有很多种，例如自己

写一个认证程序，或者使用一些标准的认证方法，例如 LDAP 或者数据库等等。

在大多数情况下，会使用 LDAP 进行认证。这是因为 LDAP 在处理用户登录方面，

不是服务端创建一个 Cookie。这个 Cookie 是一个加密的 Cookie，其中保存了用户

登录的信息。

单点登录服务器

北京选择软件科技有限公司 技术文档 版权所有，按 GPL 规则发布

登录。登录之后，CAS 重定向回到用户的应用程序。

这样，就不再需要用户继续输入用户名和密码，从而实现了单点登录。

注意，这种单点登录体系中，并没有通过 http 进行密码的传递（但是有用户名的传

递），因此是十分安全的。

很多人谈论单点登录时，常常和统一用户，以及单一用户管理混淆了，要么误认为单

点登录自然实现了单一用户管理；要么误认为统一用户或者单一用户管理就是单点登录。

实际上，这三个概念是有明确的区别的。

统一用户就是指不同的系统，使用同一套用户处理的机制。

 用户 ID 全局惟一，用户登录名，密码全局唯一，并且统一存储在单一系统中。

 用户的一些属性，如姓名、电话、地址、邮件等，统一存储在单一系统中。尽管

各应用系统还可以自行增加一些属性，但是基本的属性应该统一存储和管理。

 应用系统不应该直接对用户信息的进行增加、修改和删除，但是可以进行查询。

对用户信息的增加、修改和删除，应该由专门的系统进行统一的管理。

目前比较标准的做法，是使用 LDAP 服务器，对用户信息进行统一管理。

中的一个部分，主要用于认证。

单一用户管理则指所有的用户管理工作都在唯一的地方进行处理，而每个应用程序不

再保留自己的用户管理功能。单一用户管理和统一用户管理的最大区别在于，统一用户管

理之后，每个应用程序仍然保留自己的用户管理功能，用于额外的属性设置；而单一用户

进行统一用户管理时，把用户 User1 删除了，增加了 User3。此时 GroupA 中包含了一个无

效的用户，并且缺少了一个有效的用户。此时怎么办呢？

北京选择软件科技有限公司 技术文档 版权所有，按 GPL 规则发布

通常没有权限这个属性。那么，如果 Zope 使用 LDAP 作为自己的用户源，如何设定用户的

属性呢？

目前的解决方法是，在 Zope 中复制一个 LDAP 中的用户，然后手工设置用户的权限。

此时，由于用户被复制了，因此又带来了同步的问题。

因此，即使实现了统一用户管理，仍然可能需要在应用程序之间，设置大量的用户管

理的同步操作（尽管比没有统一用户管理之前简单多了）。这样，实际上没有达到所谓的

“单一用户管理”，即在统一的地方进行全部的用户管理操作。

单一用户管理和应用程序的具体处理机制关系很大，因此目前还没有统一的方法进行

处理。这需要在设计应用程序，以及设计 LDAP 服务器时，进行仔细的设计，并有大量的

代码改造工作。

2、LDAP 和 CAS

由于 LDAP 是单点登录的基础，因此，本章先对 LDAP 做一个介绍，然后再介绍我们

采用的单点登录产品 CAS。

2.1　LDAP 简述

LDAP 是英文“Lightweight Directory Access Protocol”的简称，中文翻译为轻量级目录访

由于 LDAP 的结构方式不同，因此 LDAP 有一个很多特殊的特性，就是查询数据的速

度特别快，但是写数据的速度较慢。LDAP 的另一个特性就是比较适合于按照层次组织信

息，例如企业的组织结构等。

由于 LDAP 的查询速度比数据库快，因此经常用于诸如地址簿、用户帐号存储、组织

结构信息、域名解析系统等需要大量查询的领域。

图 2 是一个很简单的 LDAP 结构示意图。

首先，我们可以很清楚地看到，LDAP 是按照树形目录进行组织的。

假设公司的域名是 macromedia.com，则 LDAP 首先使用域名作为整个树的根，并且用