单点登录系统的设计与实现方案

目的

对目前已有的 Web 应用系统,和将来待开发的 Web 应用系统系统进行集成,实现单点登录。

要求

   1. 对已有的 Web 应用系统不作大规模改造。
   2. 不限制待开发的 Web 应用系统的开发工具。
   3. 不增加待开发系统的开发难度。

分析

   1. 目前,已有的系统都各自维护自己的一套用户库,每个系统中的用户数、用户名、密码几乎都各不相同。要将已有的用户库进行统一是不现实的。因此,我们可以通过将单点登录系统中的用户与其它个系统中的用户建立映射,来实现用一个帐号来管理多个系统的目的。

   2. 已有的 Web 应用系统、以及待开发的 Web 应用系统,可能不在同一个域下,虽然会话本身是保存在服务器端,但是会话 id 是需要 cookie 来传递的,而 cookie 不允许跨域访问,而且考虑到各个系统的开发工具也各不相同,即使在同一个域下,不同的开发工具所开发的应用程序之间也很难共享会话,因此要用共享会话的方式来实现单点登录也不现实。因此我们通过在客户端浏览器、单点登录系统和 Web 应用系统之间传递临时会话,并让 Web 应用系统直接到单点登录系统中获取认证信息来实现单点登录。为保证不同开发工具都能够到单点登录系统获取认证信息,我们采用 xml-rpc 在 Web 应用系统和单点登录系统之间进行通讯。

实现

单点登录系统中设置 4 个表:

   1. 单点登录系统用户表,包含 user_id,name,password 3 个字段。

   2. Web 应用系统表,包含 app_id,name(Web 应用系统名称),checkurl(Web 应用系统中用来验证用户登录的程序地址) 3 个字段。

   3. 单点登录系统用户到各个 Web 应用系统的用户映射表,包含id,user_id,app_id,name,password 5 个字段。

   4. 临时会话表,包含 hash(临时会话的 hash 编号),id(对应单点登录系统用户到各个 Web 应用系统的用户映射表中的 id 字段) 2个字段。

用户登录单点登录系统时,通过单点登录系统用户表中的字段来验证用户身份。登录以后,用户可以设置各个系统到该系统用户的映射关系。设置好以后,当通过该系统进入其他某个 Web 应用系统时,该系统会为该用户和该系统生成一个临时会话编号(hash),并转到 Web 应用系统中的登录检测页面,登录检测页面通过获取到的临时会话编号,来调用单点登录系统的获取用户名和密码的 xml-rpc API,如果用户名密码如果正确,则转到正常登录后的页面,如果不正确,则转到登录错误的页面。这里,xml-rpc API 在返回用户名和密码后,将删除单点登录系统数据库中相应的临时会话,这样不但用户名、密码都是在服务器之间进行传递的,并且临时会话存在的时间也是尽可能的短,因此只要保证服务器之间的对话不能被监听,即可保证安全性。

已有系统需要增加一个用于单点登录系统的登录验证页面,该页面工作过程大致如下:

   1. 获取 客户端 hash 值
   2. 通过 hash 值得到用户名和密码(xml-rpc 调用)
   3. 通过用户名和密码进行身份验证
   4. 返回身份验证后的页面

单点登录系统设计实现⽅案 单点登录系统设计实现⽅案 ⽬的: 对⽬前已有的 Web 应⽤系统,和将来待开发的 Web 应⽤系统进⾏集成,实现单点登录。 要求: 1. 对已有的 Web 应⽤系统不作⼤规模改造。 2. 不限制待开发的 Web 应⽤系统的开发⼯具。 3. 不增加待开发系统的开发难度。 分析: 1. ⽬前,已有的系统都各⾃维护⾃⼰的⼀套⽤户库,每个系统中的⽤户数、⽤户名、密码⼏乎都各不相同。要将已有的⽤户库进⾏统⼀是 不现实的。因此,我们可以通过将单点登录系统中的⽤户与其它个系统中的⽤户建⽴映射,来实现⽤⼀个帐号来管理多个系统的⽬的。 2. 已 有的 Web 应⽤系统、以及待开发的 Web 应⽤系统,可能不在同⼀个域下,虽然会话本⾝是保存在服务器端,但是会话 id 是需要 cookie 来传递的,⽽ cookie 不允许跨域访问,⽽且考虑到各个系统的开发⼯具也各不相同,即使在同⼀个域下,不同的开发⼯具所开发的 应⽤程序之间也很难共享会话,因此要⽤共享会话的⽅ 式来实现单点登录也不现实。因此我们通过在客户端浏览器、单点登录系统Web 应⽤系统之间传递临时会话,并让 Web 应⽤系统直接到单点登录系统中获取认证信息来实现单点登录。为保证不同开发⼯具都能够到单点 登录系统获取认证信息,我们采⽤ xml-rpc 在 Web 应⽤系统单点登录系统之间进⾏通讯。 实现单点登录系统中设置 4 个: 1. 单点登录系统⽤户,包含 user_id,name,password 3 个字段。 2. Web 应⽤系统,包含 app_id,name(Web 应⽤系统名称),checkurl(Web 应⽤系统中⽤来验证⽤户登录的程序地址) 3 个字 段。 3. 单点登录系统⽤户到各个 Web 应⽤系统的⽤户映射,包含id,user_id,app_id,name,password 5 个字段。 4. 临时会话,包含 hash(临时会话的 hash 编号),id(对应单点登录系统⽤户到各个 Web 应⽤系统的⽤户映射中的 id 字段) 2个 字段。 ⽤户登录单点登录系统时,通过单点登录系统⽤户中的字段来验证⽤户⾝份。登录以后,⽤户可以设置各个系统到该系统⽤户的映射关 系。设置好以后,当 通过该 系统进⼊其他某个 Web 应⽤系统时,该系统会为该⽤户和该系统⽣成⼀个临时会话编号(hash),并转到 Web 应⽤系统中的登录检测页⾯,登录检测页⾯通过获取到的临时会话编号,来调⽤单点登录系统的获取⽤户名和密码的 xml-rpc API,如 果⽤户名密码如果正确,则转到正常登录后的页⾯,如果不正确,则转到登录错误的页⾯。这⾥,xml-rpc API 在返回⽤户名和密码后,将 删除单点登录系统数据库中相应的临时会话,这样不但⽤户名、密码都是在服务器之间进⾏传递的,并且临时会话存在的时间也是尽可能 的 短,因此只要保证服务器之间的对话不能被监听,即可保证安全性。 已有系统需要增加⼀个⽤于单点登录系统的登录验证页⾯,该页⾯⼯作 过程⼤致如下: 1. 获取 客户端 hash 值 2. 通过 hash 值得到⽤户名和密码(xml-rpc 调⽤) 3. 通过⽤户名和密码进⾏⾝份验证 4. 返回⾝份验证后的页⾯
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值