单点登录的DEMO和技术文档资源-CSDN文库

共27个文件

cs：7个

pdb：4个

dll：4个

单点登录

需积分: 9 6 浏览量 2010-04-01 13:03:38 上传评论收藏 1.28MB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

SSO.rar （27个子文件）

SSO

script.sql 7KB

LoginInfo

bin

Debug

LoginInfo.dll 16KB

LoginInfo.pdb 16KB

obj

LoginInfo.csproj.FileList.txt 142B

Debug

LoginInfo.dll 16KB

LoginInfo.pdb 16KB

Refactor

TempPE

FetchKey.cs 2KB

Properties

AssemblyInfo.cs 1KB

Info.cs 482B

LoginInfo.csproj 2KB

跨平台跨服务器跨网站SSO（单点登录）的方案.doc 32KB

单点登录技术文档.doc 1.48MB

WebSiteTest

Web.Config 2KB

LogOut.aspx.cs 1KB

App_Data

Default.aspx 1KB

Default.aspx.cs 8KB

LogOut.aspx 445B

Bin

LoginInfo.dll 16KB

LoginInfo.pdb 16KB

LogOutErr.gif 2KB

Web.Config 2KB

LogOut.aspx.cs 1KB

App_Data

Default.aspx 439B

Default.aspx.cs 4KB

LogOut.aspx 589B

Bin

LoginInfo.dll 16KB

LoginInfo.pdb 16KB

单点登录技术文档

张昀 * 2006.12

说明：本文档在我们最大努力范围之内确保其正确性、实效性和可观性，但并不代表所有

的观点都是正确的，而仅代表个人看法。如发现不当之处，请多指教，谢谢！

另外，本文并不是给初学者看的。虽然我们尽可能把每个概念和操作步骤都说得比较明白

但是如果您对于 Linux 系统不是很熟的话，很多操作仍然可能存在困难。这种情况下我们

建议您直接下载虚拟机安装试用，边实践边学习。

联系邮件：mypersonal1971@gmail.com。

1、单点登录概述

单点登录的英文名称为 Single Sign-On，简写为 SSO，它是一个用户认证的过程，允许

用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新

输入密码。IBM 对 SSO 有一个形象的解释“单点登录、全网漫游”。

SSO 将一个企业内部所有域中的用户登录和用户帐号管理集中到一起，SSO 的好处显

而易见：

1. 减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性

2. 实现安全的同时避免了处理和保存多套系统用户的认证信息

3. 减少了系统管理员增加、删除用户和修改用户权限的时间

4. 增加了安全性：系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用

户来取消该用户对所有系统资源的访问权限

对于内部有多种应用系统的企业来说，单点登录的效果是十分明显的。很多国际上的

企业已经将单点登录作为系统设计的基本功能之一。

1.1　单点登录产品

商业 SSO 软件

 专门的 SSO 商业软件

 主要有：Netgrity 的 Siteminder，已经被 CA 收购。Novell 公司的 iChain。RSA 公

第 1 页

司的 ClearTrust 等。

 门户产品供应商自己的 SSO 产品，

 如： BEA 的 WLES ， IBM 的 Tivoli Access Manager ， Sun 公司的 identity

Server，Oracle 公司的 OID 等。

上述商业软件一般适用于客户对 SSO 的需求很高，并且企业内部采用

Domino、SAP、Sieble 等系统比较多的情况下。单点登录产品通常需要在应用软件中增加

代理模块，而商业 SSO 产品主要针对大型软件制作了代码模块。

因此，商业 SSO 软件除了价格问题外，另一个重要问题就是对客户自己的应用系统支

持未必十分完善。

开源 SSO 软件

 Opensso

 https://opensso.dev.java.net/

 OpenSSO 基于 Sun Java System Access Manager ，是 Sun 公司支持的一个开源的

SSO 项目。

 OpenSSO 体系结构设计合理，功能比较强大。然而缺点是客户端支持不够广泛，

似乎只是对基于 J2EE 的应用支持的比较好。

 josso

 http://www.josso.org/

 这是另一个 Java 写的单点登录产品，通常认为比 OpenSSO 更成熟一些。

 JOSSO 支持的客户端包括 Java，PHP 和 ASP。

 CAS

 http://www.ja-sig.org/products/cas/

 这是耶鲁大学开发的单点登录产品，也是我们最后选定的单点登录产品。

 CAS 的优点很多，例如设计理念先进、体系结构合理、配置简单、客户端支持广

泛、技术成熟等等。以后我们还要仔细介绍。

经过广泛分析和比较，最后我们选定 CAS 作为我们的单点登录产品。我们确信这是目

前能够找到的最好的开源单点登录产品。

1.2　单点登录的实现机制

SSO 的实现机制不尽相同，大体分为 Cookie 机制和 Session 机制两大类。

WebLogic 通过 Session 共享认证信息。Session 是一种服务器端机制，当客户端访问服

务器时，服务器为客户端创建一个惟一的 SessionID，以使在整个交互过程中始终保持状态，

而交互的信息则可由应用自行指定，因此用 Session 方式实现 SSO，不能在多个浏览器之间

实现单点登录，但却可以跨域。

WebSphere 通过 Cookie 记录认证信息。Cookie 是一种客户端机制，它存储的内容主要

包括: 名字、值、过期时间、路径和域，路径与域合在一起就构成了 Cookie 的作用范围，

因此用 Cookie 方式可实现 SSO，但域名必须相同。

第 2 页

目前大部分 SSO 产品采用的是 Cookie 机制，CAS 也是如此。

注意，这种机制要求实现单点登录的应用，其余名必须是相同的。例如：

a.chinacreator.com,b.chinacreator.com 就可以经过配置后实现 SSO。

以 CAS 为例，使用 Cookie 实现单点登录的原理图如图 1 所示。

 首先，单点登录分为“服务端”和“客户端”。服务端就是单点登录服务器，而客户端

通常是“函数库”或者“插件”。需要使用单点登录的应用程序，需要把客户端插件安

装到自己的系统中，或者将客户端函数库包括在代码中。单点登录的客户端通常

替换了原来应用程序的认证部分的代码。

 某个应用程序首先要发起第 1 次认证。大部分情况下，应用程序中嵌入的客户端

会把应用程序原来的登录画面屏蔽掉，而直接转到单点登录服务器的登录页面。

图 1 使用 Cookie 实现单点登录的原理图

 用户在单点登录服务器的登录页面中，输入用户名和密码。

 然后单点登录服务器会对用户名和密码进行认证。认证本身并不是单点登录服务

器的功能，因此，通常会引入某种认证机制。认证机制可以有很多种，例如自己

写一个认证程序，或者使用一些标准的认证方法，例如 LDAP 或者数据库等等。

在大多数情况下，会使用 LDAP 进行认证。这是因为 LDAP 在处理用户登录方面，

有很多独特的优势，这在本文的后面还会比较详细地进行介绍。

 认证通过之后，单点登录服务器会和应用程序进行一个比较复杂的交互，这通常

是某种授权机制。CAS 使用的是所谓的 Ticket。具体这点后面还会介绍。

 授权完成后，CAS 把页面重定向，回到 Web 应用。Web 应用此时就完成了成功的

 然后单点登录服务器会在客户端创建一个 Cookie。注意，是在用户的客户端，而

不是服务端创建一个 Cookie。这个 Cookie 是一个加密的 Cookie，其中保存了用户

登录的信息。

第 3 页

单点登录服务器

Cooki

Web 应用

单点登录客户端

Web 应用

单点登录客户端

Web 应用

单点登录客户端

某种授

权机制

LDAP

首次登录认证

 如果用户此时希望进入其他 Web 应用程序，则安装在这些应用程序中的单点登录

客户端，首先仍然会重定向到 CAS 服务器。不过此时 CAS 服务器不再要求用户

输入用户名和密码，而是首先自动寻找 Cookie，根据 Cookie 中保存的信息，进行

这样，就不再需要用户继续输入用户名和密码，从而实现了单点登录。

注意，这种单点登录体系中，并没有通过 http 进行密码的传递（但是有用户名的传

递），因此是十分安全的。

1.3　单点登录、统一用户和单一用户管理

很多人谈论单点登录时，常常和统一用户，以及单一用户管理混淆了，要么误认为单

点登录自然实现了单一用户管理；要么误认为统一用户或者单一用户管理就是单点登录。

实际上，这三个概念是有明确的区别的。

统一用户就是指不同的系统，使用同一套用户处理的机制。

 用户 ID 全局惟一，用户登录名，密码全局唯一，并且统一存储在单一系统中。

 用户的一些属性，如姓名、电话、地址、邮件等，统一存储在单一系统中。尽管

各应用系统还可以自行增加一些属性，但是基本的属性应该统一存储和管理。

 应用系统不应该直接对用户信息的进行增加、修改和删除，但是可以进行查询。

对用户信息的增加、修改和删除，应该由专门的系统进行统一的管理。

目前比较标准的做法，是使用 LDAP 服务器，对用户信息进行统一管理。

很显然，统一用户是单点登录的基础，但是统一用户并不意味着实现了单点登录。

例如，如果我们在 LDAP 服务器中实现了用户的统一管理。然后我们可以设置应用程

序 A 和 B 都使用 LDAP 进行用户认证。虽然此时 A 和 B 用以认证的用户，其用户名和密码

都是一样的（都是从 LDAP 服务器中读出的），但是对应用 A 进行了登录之后，应用 B 还

需要再次输入用户名和密码。因此，统一用户并不意味着单点登录。

在图 1 中可以很清楚地看到，用于统一用户管理的 LDAP 服务器，只是单点登录系统

中的一个部分，主要用于认证。

单一用户管理则指所有的用户管理工作都在唯一的地方进行处理，而每个应用程序不

再保留自己的用户管理功能。单一用户管理和统一用户管理的最大区别在于，统一用户管

理之后，每个应用程序仍然保留自己的用户管理功能，用于额外的属性设置；而单一用户

管理时，每个应用程序不再保留自己的用户管理功能。

我们举例来进行说明，最好的例子是“组”。大家都知道，“组”通常包含若干个用户，用

以方便地进行一些设置，例如权限设置等等。

在 LDAP 服务器上可以设置组，但是如果某个应用程序希望使用自己设定的组怎么办？

只能让该应用程序保留设定组的功能。那么又带来下面的问题。

如果应用程序中的组 GroupA 中，例如包含了用户 User1 和 User2。而在 LDAP 服务器

进行统一用户管理时，把用户 User1 删除了，增加了 User3。此时 GroupA 中包含了一个无

效的用户，并且缺少了一个有效的用户。此时怎么办呢？

第 4 页

也没有什么好的办法，只能进行用户的同步。在 LDAP 中进行用户操作之后，有某种

同步的机制，在应用程序中进行相应的修改。

再举一个例子，Zope 中的用户，是具有不同的权限的。而 LDAP 服务器中的用户，则

通常没有权限这个属性。那么，如果 Zope 使用 LDAP 作为自己的用户源，如何设定用户的

属性呢？

目前的解决方法是，在 Zope 中复制一个 LDAP 中的用户，然后手工设置用户的权限。

此时，由于用户被复制了，因此又带来了同步的问题。

因此，即使实现了统一用户管理，仍然可能需要在应用程序之间，设置大量的用户管

理的同步操作（尽管比没有统一用户管理之前简单多了）。这样，实际上没有达到所谓的

“单一用户管理”，即在统一的地方进行全部的用户管理操作。

单一用户管理和应用程序的具体处理机制关系很大，因此目前还没有统一的方法进行

处理。这需要在设计应用程序，以及设计 LDAP 服务器时，进行仔细的设计，并有大量的

代码改造工作。

2、LDAP 和 CAS

由于 LDAP 是单点登录的基础，因此，本章先对 LDAP 做一个介绍，然后再介绍我们

采用的单点登录产品 CAS。

2.1　LDAP 简述

LDAP 是英文“Lightweight Directory Access Protocol”的简称，中文翻译为轻量级目录访

问协议。它是一种因特网上的访问协议，主要用于从服务器上检索信息。

LDAP 服务器用来保存信息，中文有时候也称为目录服务。既然 LDAP 服务器用于保

存信息，那么它和普通的数据库有什么区别呢？

数据库使用“表”来储存数据，可以把一个数据库想象为日常生活中的“表格”。而 LDAP

用“树”来存储数据，可以把它想象为日常生活中的“电话号码簿页”，或者干脆把 LDAP 想象

为大家常用的文件系统，就是由文件夹和文件组成的那种树形结构。

由于 LDAP 的结构方式不同，因此 LDAP 有一个很多特殊的特性，就是查询数据的速

度特别快，但是写数据的速度较慢。LDAP 的另一个特性就是比较适合于按照层次组织信

息，例如企业的组织结构等。

由于 LDAP 的查询速度比数据库快，因此经常用于诸如地址簿、用户帐号存储、组织

结构信息、域名解析系统等需要大量查询的领域。

2.2　LDAP 的结构

图 2 是一个很简单的 LDAP 结构示意图。

首先，我们可以很清楚地看到，LDAP 是按照树形目录进行组织的。

假设公司的域名是 macromedia.com，则 LDAP 首先使用域名作为整个树的根，并且用

第 5 页

评论收藏

内容反馈

zrolli

粉丝: 0
资源: 1

单点登录的DEMO和技术文档

文件列表浏览的Demo

产品文档demo

当前最流行的缓存技术_demo

支付宝全部开发文档+demo+全语言(WEB)

支付宝-开发工具，文档，Demo

单点登录DEMO

单点登录文档

SSO单点登录DEMO

.NET单点登录DEMO

.NET 单点登录DEMO

.net单点登录sso的实现

单点登录源码

zh-sso:集成多种登录验证方式的单点登录系统，适用于PC端和移动端Web应用，支持微信登录验证、手机号登录、邮箱登录等

OrangeUI 1.74 D10.1&D10;.1.2&D10;.2.2 包含安装文档和DEMO， XE10.2编译通过

单点登录技术文档.doc

单点登录技术文档.pdf

单点登录技术

单点登录文档总结

基于springboot、shiro的单点登录系统+源代码+文档说明

java易混点，java零碎知识点，jnpf搭建环境，jvm学习文档，spring全家桶，单点登录文档，常用连接池方法，技术选型

成百上千个Java 源码DEMO 3(1-4是独立压缩包)

成百上千个Java 源码DEMO 4(1-4是独立压缩包)

WebOffice在线编辑Word、Excel、PPT、WPS

SSO单点登录技术

SSC单点登录技术

cas单点登录技术

单点登录对接文档1

跨平台跨服务器跨网站SSO（单点登录）方案的DEMO

最新资源