java domino 单点登录_Domino单点登录LTPAtoken生成原理

Domino单点登录LTPAtoken生成原理

一、WebSphere与Domino之间的SSO

首先让我们来了解一下Websphere与Domino之间是怎么完成SSO的：

1、Web用户向Websphere发起一个登录请求。

2、Websphere判断为合法用户，登录成功。

3、生成ltpatoken，将ltpatoken写入cookie。

这样，当Web用户后续向Domino发起登录请求时，Domino会找到存放在cookie信息中的ltpatoken信息，并且认为这个ltpatoken有效，完成在domino的登录过程。那么这里会有2个疑问。第1个，Domino怎么会找的到Websphere存放的cookie，这就是为什么配置SSO的时候需要2个系统是在同一个DNS域下面，因为浏览器cookie共享的限制，跨域不能共享cookie嘛(当然也能用一些其他的手段生成跨域的cookie，这样其实通过一定的开发是可以让LTPATOKEN 跨域的，本案例不讨论这个问题)。第2个问题，domino找到这个token之后，凭什么认识这个ltpatoken，并且认为它有效呢，所以要求domino和Websphere在生成ltpatoken的时候就有某种约定。这就是为什么配置Domino SSO文档的时候需要引入Websphere的密钥了。有了这些前提Domino和Websphere之间就能互相认识对方生成的ltpatoken，并且从中读出需要登录的用户名，只要用户名匹配得上(这就是为什么W和D需要用同一个LDAP目录)，该用户就完成登录了。以上就是简单的Websphere与Domino之间SSO的原理。当然其实SSO过程还没有这么简单，比如还需要验证ltpatoken的有效期等。

现在我们知道实现SSO的关键在于LtpaToken，Websphere与Domino之间采用LtpaToken 来共享认证信息。

那么基本上任何一个系统只能要完成以下2件事情，它就有可能参与LtpaToken认证的SSO 方案了：

1、能生成一个有效的LtpaToken提供给别人。

2、能解析一个别人生成的LtpaToken。

另外，可能还有一些要求：

1、参与SSO的系统使用同样的密钥生成LtpaToken，称为公钥。

2、参与SSO的用户帐号名称在各系统中一致，因为每个系统从Token中读出了用户名之后

必须要正确关联到本地对应的用户进行登录。

3、参与SSO的系统必须在同一个DNS域下面(跨域的问题前面提过)。