SSO单点登录解决方案——Filter方式

SSO单点登录解决方案

2008-11-21 14:26:57|  分类：单点登录 |  标签：|字号大中小 订阅

一般来说，Web应用需要SSO的功能，应该通过以下的交互过程来调用身份认证服务的提供的认证服务：

　　Web应用中每一个需要安全保护的URL在访问以前，都需要进行安全检查，如果发现没有登录（没有发现认证之后所带的cookie），就重新定向到SSOAuth中的login.jsp进行登录。

　　登录成功后，系统会自动给你的浏览器设置cookie，证明你已经登录过了。

　　当你再访问这个应用的需要保护的URL的时候，系统还是要进行安全检查的，但是这次系统能够发现相应的cookie。

　　有了这个cookie，还不能证明你就一定有权限访问。因为有可能你已经logout,或者cookie已经过期了，或者身份认证服务重起过，这些情况下，你的cookie都可能无效。应用系统拿到这个cookie，还需要调用身份认证的服务，来判断cookie时候真的有效，以及当前的cookie对应的用户是谁。

　　如果cookie效验成功，就允许用户访问当前请求的资源。

　　以上这些功能，可以用很多方法来实现：

　　在每个被访问的资源中（JSP或Servlet）中都加入身份认证的服务，来获得cookie，并且判断当前用户是否登录过。不过这个笨方法没有人会用:-)。

　　可以通过一个controller，将所有的功能都写到一个servlet中，然后在URL映射的时候，映射到所有需要保护的URL集合中（例如*.jsp，/security/*等）。这个方法可以使用，不过，它的缺点是不能重用。在每个应用中都要部署一个相同的servlet。

　　Filter是比较好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。（Filter的使用可以参考JavaWolrd的文章http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html）Filter是一个具有很好的模块化，可重用的编程API，用在SSO正合适不过。本样例就是使用一个filter来完成以上的功能。

 

package SSO; import java.io.*; import java.net.*; import java.util.*; import java.text.*; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.*; import org.apache.commons.httpclient.*; import org.apache.commons.httpclient.methods.GetMethod; public class SSOFilter implements Filter {     private FilterConfig filterConfig = null;     private String cookieName="WangYuDesktopSSOID";     private String SSOServiceURL=  "http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth";     private String SSOLoginPage= "http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp";          public void init(FilterConfig filterConfig) {         this.filterConfig = filterConfig;         if (filterConfig != null) {