Weblogic中通过IdentityAsserter实现SSO

最新推荐文章于 2018-12-20 09:55:18 发布
最新推荐文章于 2018-12-20 09:55:18 发布
阅读量329 收藏
点赞数
分类专栏: weblogic 文章标签: SSO Weblogic Security 配置管理 应用服务器
weblogic8实现SSO的一种简单方案,就是通过IdentityAsserter解决。
步骤一、SSO目标配置 

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Protected Area</web-resource-name>
      <url-pattern>*.jsp</url-pattern>
      <url-pattern>*.do</url-pattern>
      <url-pattern>*.html</url-pattern>
      <url-pattern>*.htm</url-pattern>     
      <url-pattern>*.doc</url-pattern>
      <url-pattern>*.xls</url-pattern> 
      <url-pattern>*.xlsx</url-pattern>
      <url-pattern>*.zip</url-pattern>
      <url-pattern>*.rar</url-pattern>
      <url-pattern>*.jpg</url-pattern>
    </web-resource-collection>
    <auth-constraint>
      <role-name>secrole</role-name>
    </auth-constraint>
</security-constraint>
<login-config>
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>myrealm</realm-name>
</login-config>
<security-role>
    <role-name>secrole</role-name>
</security-role>


步骤二、创建Identity Assertion Provider
1、产生MDF:ImepIdentityAsserter.xml 

<?xml version="1.0" ?>
<!DOCTYPE MBeanType SYSTEM "commo.dtd">
<MBeanType 
	Name = "ImepIdentityAsserter" 
	DisplayName = "ImepIdentityAsserter"
	Package = "com.huawei.netforce.security.sso"
	Extends = "weblogic.management.security.authentication.IdentityAsserter"
	PersistPolicy = "OnUpdate"
>

<MBeanAttribute 
	Name = "ProviderClassName" 
	Type = "java.lang.String"
	Writeable = "false"
	Default = ""com.huawei.netforce.security.sso.ImepIdentityAsserterProviderImpl""
/>

<MBeanAttribute 
	Name = "Description" 
	Type = "java.lang.String"
	Writeable = "false" 
	Default = ""ImepIdentityAsserter Identity Assertion Provider""
/>

<MBeanAttribute 
	Name = "Version" 
	Type = "java.lang.String"
	Writeable = "false" 
	Default = ""1.0""
/>

<MBeanAttribute 
	Name = "SupportedTypes" 
	Type = "java.lang.String[]"
	Writeable = "false" 
	Default = "new String[] {"ImepToken"}"
/>

<MBeanAttribute 
	Name = "ActiveTypes" 
	Type = "java.lang.String[]"
	Default = "new String[] {"ImepToken"}"
/>
</MBeanType>

java -DcreateStubs="true" weblogic.management.commo.WebLogicMBeanMaker -MDF ImepIdentityAsserter.xml -files d:\src

2、创建提供程序实现 

import java.io.PrintStream;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.login.AppConfigurationEntry;
import weblogic.management.security.ProviderMBean;
import weblogic.security.spi.*;
public class ImepIdentityAsserterProviderImpl
    implements AuthenticationProvider, IdentityAsserter
{

    private static final String TOKEN_TYPE = "ImepToken";
    private static final String TOKEN_PREFIX = "username=";
    private String description;

    public ImepIdentityAsserterProviderImpl()
    {
    }

    public AppConfigurationEntry getAssertionModuleConfiguration()
    {
        return null;
    }

    public IdentityAsserter getIdentityAsserter()
    {
        return this;
    }

    public AppConfigurationEntry getLoginModuleConfiguration()
    {
        return null;
    }

    public PrincipalValidator getPrincipalValidator()
    {
        return null;
    }

    public String getDescription()
    {
        return description;
    }

    public void initialize(ProviderMBean mbean, SecurityServices services)
    {
        System.out.println("ImepIdentityAsserterProviderImpl.initialize");
        ImepIdentityAsserterMBean myMBean = (ImepIdentityAsserterMBean)mbean;
        description = myMBean.getDescription() + "\n" + myMBean.getVersion();
    }

    public void shutdown()
    {
    }

    public CallbackHandler assertIdentity(String type, Object token)
        throws IdentityAssertionException
    {
        if(!"ImepToken".equals(type))
        {
            String error = "ImepIdentityAsserterProviderImpl received unknown token type \"" + type + "\"." + " Expected " + "ImepToken";
            throw new IdentityAssertionException(error);
        }
        if(!(token instanceof byte[]))
        {
            String error = "ImepIdentityAsserterProviderImpl received unknown token class \"" + token.getClass() + "\"." + " Expected a byte[].";
            throw new IdentityAssertionException(error);
        }
        byte tokenBytes[] = (byte[])token;
        if(tokenBytes == null || tokenBytes.length < 1)
        {
            String error = "ImepIdentityAsserterProviderImpl received empty token byte array";
            throw new IdentityAssertionException(error);
        }
        String tokenStr = new String(tokenBytes);
        if(!tokenStr.startsWith("username="))
        {
            String error = "ImepIdentityAsserterProviderImpl received unknown token string \"" + type + "\"." + " Expected " + "username=" + "username";
            throw new IdentityAssertionException(error);
        } else
        {
            String userName = tokenStr.substring("username=".length());
            return new ImepCallbackHandlerImpl(userName);
        }
    }
}


import java.io.IOException;
import javax.security.auth.callback.*;

public class ImepCallbackHandlerImpl
    implements CallbackHandler
{
    private String userName;
    public ImepCallbackHandlerImpl(String aUserName)
    {
        userName = aUserName;
    }

    public void handle(Callback callbacks[])
        throws IOException, UnsupportedCallbackException
    {
        for(int i = 0; i < callbacks.length; i++)
        {
            Callback callback = callbacks[i];
            if(!(callback instanceof NameCallback))
                throw new UnsupportedCallbackException(callback, "Unrecognized Callback");
            NameCallback nameCallback = (NameCallback)callback;
            nameCallback.setName(userName);
        }

    }
}


3、MJF打包
java weblogic.management.commo.WebLogicMBeanMaker -MJF ImepIdentityProvider.jar -files d:\src

4、服务端配置
把这个提供程序(ImepIdentityProvider.jar)复制到WL_HOME/server/lib/mbeantypes目录下,然后重新启动服务器。启动管理控制台,并导航到Security/myrealm Providers/Authentication节点。在可用验证器和身份确认器的列表中,应该可以找到“Configure a new ImepIdentityAsserter...”选项。选择这个选项并点击Create,就可以配置身份确认器了。在接下来的选项卡中,您将会注意到,支持的令牌类型被设置为ImepToken和对于ImepToken是活动的令牌。现在,必须重新启动服务器,从而使修改生效。

步骤三、测试
1、URLConnection测试 

    try
    {
        //test账户需要在myrealm中进行配置
        String token = "username=test";
        //是否需要编码可在控制台配置时取消,默认为BASE64编码
        BASE64Encoder encoder = new BASE64Encoder();
        String encodedToken = encoder.encodeBuffer(token.getBytes()); 
        URL url = new URL("http://localhost:7001/app/index.jsp");
        URLConnection connection = url.openConnection();
        connection.setRequestProperty("ImepToken",encodedToken);
        BufferedReader in = new BufferedReader(new InputStreamReader(connection.getInputStream()));
        String line = "";
        while((line = in.readLine()) != null)
        {
            System.out.println(line);
        }
    }
    catch(Exception e)
    {
        e.printStackTrace();
    }


2、SSO源测试
由于IdentityAsserter需要客户端提供令牌,故在请求SSO目标应用时,需要在cookie中增加ImepToken属性
SSO目标在接收token并redirect的servlet代码片段为: 

    public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException
    {
        this.doPost(request, response);
    }
    public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException
    {
        String tokenValue = request.getParameter("token");
        String redirect = request.getParameter("redirect");
        if(StringUtils.isNotEmpty(tokenValue))
        {
            //IdentityAsserterProvider从cookie或者header中取token
            Cookie cookie = new Cookie("ImepToken", tokenValue);
            response.addCookie(cookie);
            response.setHeader("ImepToken",tokenValue);
            //添加P3P策略主要解决iframe集成时浏览器阻止跨域cookie
            response.setHeader("P3P","CP=CAO PSA OUR");
            response.sendRedirect(redirect);
        }
    }
Dead_Knight
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Weblogic使用Yale CAS实现单点登陆(SSO)
程序世界
12-20 9663
Weblogic使用Yale CAS实现单点登陆(SSO)耶鲁大学开发的单点登录系统称为CAS(Central Authentication Server)被设计成一个独立的Web应用程序(cas.war)。它目前用几个Java Servlet作为实现并且通过一个Https服务器来运行。要使用单点登陆功能的Web应用作为CAS的一个客户端来运行。由于CAS使用Https协议,所以首
WebLogic平台的Web SSO(SAML)解决方案
02-09
WebLogic平台的Web SSO(SAML)解决方案
Weblogic使用YALE(耶鲁)CAS实现SSO单点登录 的方法.doc
06-24
Weblogic使用YALE(耶鲁)CAS实现SSO单点登录 的方法.doc
简单分析:应用整合SSO的技术实现
02-04
火龙果软件工程技术心 在税务行业信息化发展的关键阶段,应用整合已经非常重要,而应用整合的表现层首先要实现的就是单点登陆(SSO,Singlesign-on的缩写)...我们在系统使用SSO实现用户通过一次认证(authenticate
使用WEBLOGICPORTAL规则引擎实现动态业务逻辑.docx
最新发布
11-22
《使用WEBLOGICPORTAL规则引擎实现动态业务逻辑》 在现代企业级应用,业务逻辑的灵活性和可扩展性至关重要。随着市场环境的快速变化,传统的开发和部署模式往往无法满足这种需求,因为它们通常需要开发人员手动...
SSO的简单实现SSO的简单实现
11-30
以下是对SSO简单实现的详细说明: 在实现SSO时,有多种方法可以选择: 1. **商业软件**:一些大型公司如 Netgrity(Siteminder)、Novell(iChain)、RSA(ClearTrust)等提供专门的SSO解决方案。这些软件通常具备...
通过nodeManager启动weblogic服务.doc
12-23
【描述】: 本文深入探讨了如何构建WebLogic集群,并利用NodeManager实现WebLogic节点的远程启动和停止,旨在帮助管理员掌握集群部署与运维的关键技术。 【标签】: nodemanager, weblogic **一、环境规划** 在构建...
WebLogic ServerIdentity Assertion--转载
06-30 161
在一些典型的公司Web应用程序安全部署,访问受保护应用程序的用户通过企业身份/访问管理产品,如Netegrity 的 SiteMinder,IBM 的WebSEAL 和Oblix 的 Oblix COREid。然而,身份验证服务被委派给应用程序自身的提供程序或应用服务器。   应用服务器根据Web应用程序部署描述文件定义的安 全约束来授权用户。然而,在已配置安全约束用于提供身份验证...
sso-cas全攻略(java版)------tomcat和weblogic配置ssl
yaoweijq的专栏
10-19 5866
<br />为了登陆的安全性,cas默认是用https协议进行用户名与密码的传递。但是tomcat在配置完成后默认并没有开启https端口(8443)。<br />这个时候就需要手工配置。当然,新版本的cas并没有强制使用https协议进行用户名与密码的传递,只是在某些老版本有这方面的<br />限制,写在了源代码。但是为了安全起见,为tomcat配置ssl还是十分必要的。你总不想被大家都能用的抓包工具看到http协议post<br />过去的用户名与密码明文吧?<br />这里我们对tomcat6.0
SiteMinder SSOweblogic10的变化
杨军的博客
09-11 2313
1.问题描述:       在weblogic8下,siteminder sso agent(Servlet) 如果用户没用权限会跳转到wls_http_bridge_not_authorized.jsp页面,而在weblogic10下却直接跳转到403页面?   2.问题定位:       首先说明一下Assert Provider的作用:       .认证cookie的
Weblogic 配置部署项目方式
qq_42306844的博客
12-20 868
Weblogic 配置步骤: 在weblogic部署项目通常有三种方式:第一,在控制台安装部署;第二,将部署包放在domain域autodeploy目录下部署;第三,使用域配置文件config.xml 进行项目的部署。 第一步 1.下载weblogic,设置用户名,密码; 控制台部署 1 启动weblogic服务,登录到weblogic控制台页面,输入用户名和密码,登录到控制台里面 2...
定制自己的WebLogic LDAP Authentication Provider
javasogo
07-16 304
来源: 点击进入   从WebLogic Server 7.0开始,WebLogic Server的安全机制有了全面的改变,实现了一个更加规范的基于JAAS的Security Framework,以及提供了一系列设计良好的Security Service Provider Interface。这样我们可以根据自己的具体需求,通过Custom Security Authentication Pro...
WebLogic配置连接池(通过mbean)
zh029t的专栏
10-24 2939
WebLogic配置连接池(通过mbean) 有关WebLogic配置连接池比较好的解决方案 一般配置weblgoic连接池(或DataSource)都是通过weblogic console界面来配置,通常情况下,因为很多原因,比如类的加载,driver的错误,url的错误,以及其他属性不正确等等原因,而造成配置抛出mbean的异常信息。 这类问题,在本论坛上出现了很多次,而精华区也有
使用WebLogic Server9.2的SAML配置单点登录
arrio的专栏
06-07 3222
简介  SAML标准定义了可靠服务器之间安全信息交换的框架。要了解更多背景信息,请参阅Beth Linker编写的SAML简介(文版,Dev2Dev,2006)。本指南讲述了如何在两个Web应用程序之间设置SAML授权,并提供了这些应用程序的源代码。  本指南描述了涉及两个Web应用程序的简单示例;appA部署在源(本地)站点,而appB部署在目标(远程)站点。您将学习到如何使用Web
启用 WebLogic Server 域之间的信任
honglei225的专栏
09-21 4273
 启用 WebLogic Server 域之间的信任 注意: 在启用 WebLogic Server 域之间的信任后,会将服务器暴露于间人攻击之下。因此,在启用生产环境的信任时应十分谨慎。BEA 建议使用强网络安全,例如
单点登陆
哪里?
04-18 411
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用用于同一个用户的登录的机制。  当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值