JBoss下的单点登陆(SSO)技术实现分析

最新推荐文章于 2018-05-05 01:30:02 发布
最新推荐文章于 2018-05-05 01:30:02 发布
阅读量178 收藏
点赞数
分类专栏: java 文章标签: SSO JBoss EJB MySQL 企业应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlx0710/article/details/83470013
版权

原网址:http://blog.csdn.net/lin_zyang/archive/2007/08/29/1763580.aspx


本文介绍了单点登陆(SSO, Single Sign On)的实现原理,详细地解释了单点登陆的实现原理以及实现过程中的关键点和相关选项的含义,并且通过Josso与JBoss服务器的集成,简要介绍了在JBoss环境中单点登陆的实施。

     随着互联网的不断发展,各种网络化应用服务的不断普及,在大中型企业中,用户可能每天需要登录到许多不同的信息应用系统,如协同办公系统、邮件系统、文件 关系系统、各种网络化的应用服务等。而每个系统都要求拥护遵循它们所定义的一套安全策略,比如要求输入用户名和密码。随着用户所拥有的服务的不断增多,用 户登陆所带来的出错可能性便会随之增加,信息受到非法截获和破坏的可能性也会增大,系统的安全性就会相应降低。同时对于系统管理员来说他除了要管理用户的 用户名和密码之外,还需要对不同的用户进行相应安全策略的设置。这样就势必造成了系统和安全管理资源的开销,降低了生产效率,同时还增加了企业IT部门的 管理成本。为了解决以上的问题,现在很多企业在进行信息化实施的过程中引入了单点登陆,就是先通过一个应用程序的安全验证后,再访问其他应用中的受保护资 源时,不再需要重新登录验证。当然,要求该用户使用的用户名和口令在访问的应用中一致,且拥有足够权限。下面我们将通过Josso与JBoss的集成的单 点登陆(SSO)的实例,对单点登陆(SSO)的原理及其在JBoss环境下的技术实现进行更进一步的分析。
 
    1. 什么是单点登陆(SSO) 
    单点登录(SSO,Single Sign On)是指在分布式环境下,整个系统只有一个可以登录进入的点,它对所有的请求(Request)都是通用的。单点登录可以保证用户能够访问到可以访问的 资源,如果有一个未被授权的请求要求访问被保护的资源,这个请求将自动被导向到相应的验证点进行登录验证。

    2. 单点登录(SSO)的实现原理
    (1) 登陆点。理想的情况是用户通过任何应用系统都能进行登陆,而且效果一样。这种单一的登陆点在整个系统的设计中是唯一认证用户的地方,由登陆点将相应的用户信息传递给应用系统,应用系统利用这些信息来进行用户的验证。

    (2) 应用系统的单点登录(SSO)集成。并不是任何系统都能够使用SSO,只有那些符合SSO规范,使用SSO API的应用系统才具有SSO的功能。简单地说就是要修改已有的应用系统,屏蔽已有的应用系统的用户认证模块,使用系统提供的SSO API来验证用户,以及对用户的操作进行授权。

    (3) 统一的认证,权限信息库。通常SSO要求有统一的认证,权限存放库。但现实中,有的系统无法使用外部的认证,授权信息库,所以就需要在应用系统和SSO认证系统之间进行认证,同时进行授权信息的数据同步。
实 现描述:在用户成功通过SSO认证系统认证之后,系统提供的映射授予权限来为用户登录到其有权可以使用的应用系统。系统提供的映射取消用户权限来实现用户 的注销功能。用户存取由SSO认证系统所提供的安全策略,SSO会话服务保存了对用户授权的证明,这样就不再需要用户重新进行身份验证。在这种方式下,用 户就拥有了访问通过SSO应用系统集成的应用服务的权限,我们提供的SSO Session将会为它保持会话服务。(见图1)


图1 SSO登陆过程

    同时,SSO应用系统还包括的与登录恰恰相反的,统一的注销点,即用户注销,就失去了应用系统集成的应用服务的访问权限。(见图2)


图2 SSO注销过程

  3. Josso与JBoss集成的单点登录(SSO)环境的搭建
    (1)、部署环境的准备及配置。
    在搭建单点登陆(SSO)开发环境之前,需要准备的开发工具有:
    JDK1.5.04 (http://java.sun.com) 
    JBoss 4.0.4GA (http://www.jboss.org) 
    josso-1.4.tar (http://www.josso.org) 
    MySQL 5.0和MySQL的JDBC驱动mysql-connector-java-3.1.13-bin.jar (http://www.mysql.org) 
    需要设置的环境有: 

JAVA_HOME = C:\Program Files\Java\jdk1.5.0_09
JBOSS_HOME = D:\JBoss4.0.5GA
JOSSO_HOME = D:\josso1.4

 

    (2)、定义用户模型和安全策略。这里我们采用JAAS的用户模型进行数据模型的设计(如图3)。


图3 SSO的用户模型

    同时,向数据库里添加一些数据。以上操作的SQL脚本另见附件createdb.sql。
    (3)、配置Josso的SSO gateway。在src\resources下可以见到josso-gateway-config.xml,修改其中的设置,原文件中有关于JDBC, DataSource,LDAP等配置的模版,这里我们设置最简单的JDBC连接数据库进行认证,需要修改的有JDBC Credential Store和JDBC Credential Store。详细修改的文件见附件 

JOSSO_USER : 用户的登陆验证信息


JOSSO_ROLE : 保存所有可定义的用户角色


JOSSO_USER_ROLE : 保存每个用户与角色关联的信息


JOSSO_USER_PROPERTY : 保存用户的个人信息
 

josso-gateway-config.xml。 

<!-- ========================================================= -->
 <!-- JDBC Credential Store -->
 <!-- ========================================================= --> 
<credential-store>
 <class>org.josso.gateway.identity.service.store.db.JDBCIdentityStore</class> 
<credentialsQueryString> 
SELECT login AS username , password AS password FROM josso_user WHERE login = ? 
</credentialsQueryString> 
<connectionName>root</connectionName>


 <connectionPassword>123456</connectionPassword> 


<connectionURL>jdbc:mysql://localhost:3306/josso_exam</connectionURL>  


<driverName>com.mysql.jdbc.Driver</driverName> 


</credential-store>


<!-- ========================================================= --> 


<!-- JDBC Identity Store -->


 <!-- ========================================================= --> 


<sso-identity-store> <class> org.josso.gateway.identity.service.store.db.JDBCIdentityStore </class> 


<userQueryString> 


SELECT login FROM josso_user WHERE login = ? 


</userQueryString> 


<rolesQueryString> 


SELECT josso_role.name FROM josso_role , josso_user_role , josso_user


WHERE josso_user.login = ? AND josso_user.login = josso_user_role.login


AND josso_role.name = josso_user_role.name


</rolesQueryString>


 <userPropertiesQueryString>


 SELECT 'user.description' AS name , description AS value


FROM josso_user WHERE login = ? UNION


SELECT name AS name , value AS value FROM josso_user_property WHERE login = ? 


</userPropertiesQueryString> 


<connectionName>root</connectionName> 


<connectionPassword>123456</connectionPassword> 


<connectionURL>jdbc:mysql://localhost:3306/josso_exam</connectionURL>


 <driverName>com.mysql.jdbc.Driver</driverName> 


</sso-identity-store>

    (4)、将MySQL的驱动拷贝到/src/webapp/josso/WEB-INF/lib目录下,供JDBC连接数据库时调用。 
    (5)、配置Josso的登陆点和注销点,在josso-agent-config.xml中修改,这里我们保持Josso系统默认的登陆和注销设置,同 时注意应当把<endpoint>选项的localhost改为主机相对应的IP地址,否则SSO将会失效。 
    (6)、进入命令行模式,转到Josso的主目录下,执行build.bat war、build.bat install-jboss4和build.bat deploy-jboss4即可。 
    (7)、修改JBoss server\default\conf目录下的login-config.xml文件,在里面添加Josso的login模型。 

 <application-policy name = "josso"> 


<authentication> 


<login-module code = "org.josso.jb4.agent.JBossSSOGatewayLoginModule" flag = "required"> 


<module-option name="debug">true</module-option>


 </login-module> 


</authentication> 


</application-policy>  

(8)、修改JBoss server/default/deploy/jbossweb-tomcat55.sar目录下的server.xml文件,在其中添加<Value>选项和<Realm>选项。 

<Valve className="org.josso.tc55.agent.SSOAgentValve" debug="1"/>


<Realm className="org.josso.jb4.agent.JBossCatalinaRealm" 


appName="josso" userClassNames="org.josso.gateway.identity.service.BaseUserImpl" 


roleClassNames="org.josso.gateway.identity.service.BaseRoleImpl" debug="1" />

 (9)、启动JBoss。在浏览器中输入http://localhost:8080/partnerapp/protected ,如果能转到登陆界面,然后输入用户名(user1)和密码(user1pwd)能够进行登陆,那么Josso和JBoss单点登陆(SSO)的集成就大功告成了。
    4. Josso与Web应用安全策略的管理
    Josso在Web应用安全策略的管理主要通过JBoss容器的进行用户权限的分配和取消。它的整个应用模型主要是基于JAAS的安 全策略模型进行拓展,并对Web页面层和EJB应用组件分别进行安全控制,下面我们通过Josso自带的一个例子来说明。
Web页面层的安全控制是在web.xml中通过<login-config>、<security-constraint>和<security-role>标签定义来实现的。
以下是Josso中partnerapp例子对Web页面层的安全控制实现: 

<security-constraint> 


<!-- Sample Security Constraint --> 


<web-resource-collection> 


<!-- We're going to protect this resource and make it available only to users in "role1". -->  


<web-resource-name>public-resources</web-resource-name>


 <url-pattern>/resources/**//*</url-pattern>


<http-method>HEAD</http-method>


<http-method>GET</http-method>


<http-method>POST</http-method>


<http-method>PUT</http-method>


<http-method>DELETE</http-method>


</web-resource-collection>


</security-constraint>


<security-constraint>


<web-resource-collection>


<web-resource-name>protected-resources</web-resource-name>


<url-pattern>/josso/*</url-pattern>


<url-pattern>/protected/*</url-pattern>


<http-method>HEAD</http-method>


<http-method>GET</http-method>


<http-method>POST</http-method>


<http-method>PUT</http-method>


<http-method>DELETE</http-method>


</web-resource-collection>


<auth-constraint>


<role-name>role1</role-name>


</auth-constraint>


<user-data-constraint>


<transport-guarantee>NONE</transport-guarantee>


</user-data-constraint>


</security-constraint>


<login-config>


<auth-method>FORM</auth-method>


<form-login-config>


<form-login-page>/login-redirect.jsp</form-login-page>


<form-error-page>/login-redirect.jsp</form-error-page>


</form-login-config>


</login-config>


<security-role >


<description>Role 1</description>


<role-name>role1</role-name>


</security-role>

 对于EJB应用组件只需在ejb-jar.xml的部署描述符中添加<security-role>中定义相应的安全策略,对于JBoss来 说同时还需要在jboss.xml中添加<security-domain>,以保证当前域的安全策略生效。在partnerapp中的实现 如下: 

<?xml version="1.0" encoding="ISO-8859-1"?>


 <!DOCTYPE ejb-jar PUBLIC '-//Sun Microsystems, Inc.//DTD Enterprise JavaBeans 2.0//EN' 'http://java.sun.com/dtd/ejb-jar_2_0.dtd'> 


<ejb-jar> 


<display-name>Partner Component</display-name> 


<enterprise-beans> 


<session>


 <ejb-name>PartnerComponentEJB</ejb-name> 


<home>org.josso.samples.ejb.PartnerComponentHome</home> 


<remote>org.josso.samples.ejb.PartnerComponent</remote> 


<ejb-class>org.josso.samples.ejb.PartnerComponentEJB</ejb-class>


<session-type>Stateless</session-type> 


<transaction-type>Container</transaction-type> 


</session> 


</enterprise-beans>


<assembly-descriptor> 


<security-role> 


<description>Role 1</description>


 <role-name>role1</role-name> </security-role>


<method-permission> 


<description>Security attributes for 'PartnerComponenttEJB' methods</description> 


<role-name>role1</role-name> <method> <ejb-name>PartnerComponentEJB</ejb-name> 


<method-name>*</method-name> 


</method> 


</method-permission>


<container-transaction> 


<method> 


<ejb-name>PartnerComponentEJB</ejb-name> 


<method-name>*</method-name> 


</method> 


<trans-attribute>Required</trans-attribute> 


</container-transaction> 


</assembly-descriptor> 


</ejb-jar>


<?xml version="1.0" encoding="UTF-8"?> 


<!DOCTYPE jboss PUBLIC


"-//JBoss//DTD JBOSS 3.0//EN" "http://www.jboss.org/j2ee/dtd/jboss_3_0.dtd"> <jboss> 


<security-domain>java:/jaas/josso</security-domain> 


<enterprise-beans> 


<session> 


<ejb-name>PartnerComponentEJB</ejb-name> 


<jndi-name>josso/samples/PartnerComponentEJB</jndi-name> 


</session> 


</enterprise-beans> 


</jboss>

 以上是Josso对Web应用层和EJB组件所关联的安全策略的部署描述,另外在Josso验证的验证过程中,登陆页面、注销页面和通过验证后用户的信息 都是通过JBoss服务器支持的单点登陆模式来实现的。JBoss服务器支持的登录验证机制主要有:基于HTTP的基本验证(采用简单的Base64编 码),基于HTTPS的客户端验证(采用证书验证),基于表单验证(通过表单提交的信息,自己定制验证方式)等;而通过验证后的用户信息可以通过 Servlet的request对象的getUserPrincipal()方法来获得。在这里我们就不多做介绍。相关的信息可以查阅JBoss及 Servlet的文档。 

    5. 小结  
    单点登陆(SSO)是一个很大的议题,在本文中笔者只是简单地通过对单点登陆(SSO)的实现原理和Josso在JBoss环境下的实施的介绍,让读者在一个侧面对单点登陆(SSO)有一定认识。

wlx0710
关注
专栏目录
单点登录 cas 设置回调地址_一篇文章彻底弄懂CAS实现SSO单点登录原理
weixin_39928844的博客
11-21 820
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达 作者|王松柏来源 | urlify.cn/iIV7Zj1. CAS 简介1.1. What is CAS ?CAS ( Central Authentication Service ) 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于 Web SSO )。C...
JBoss下的单点登陆SSO技术实现分析(1)
我的世界我的梦
12-03 1437
导读:   本文介绍了单点登陆SSO, Single Sign On)的实现原理,详细地解释了单点登陆实现原理以及实现过程中的关键点和相关选项的含义,并且通过JossoJBoss服务器的集成,简要介绍了在JBoss环境中单点登陆的实施。   随着互联网的不断发展,各种网络化应用服务的不断普及,在大中型企业中,用户可能每天需要登录到许多不同的信息应用系统,如协同办公系统、邮件系统、文件
JOSSO实现SSO
02-01
JOSSO(Java Open Single Sign-On)是一个开源的J2EE-based的SSO(单点登录)基础结构.它的目的是提供一种用来解决在统一平台上进行用户集中认证的方案.
jboss之设置控制台登录窗口
各研发管理
04-17 1906
安装好jboss并启动jboss后,在浏览器窗口的地址栏里键入http://localhost:8080/jmx-console就可以浏览jboss的部署管理的一些信息,默认情况下不键入任何用户名和密码就可以进入此页面,方便是方便,但真正使用起来还是有点安全隐患,因为不管任何人只要知道server的ip都可以进去访问。下面我们针对此问题对jboss进行配置,使得访问jmx-console也...
JBOSS中控制台JMX-CONSOLE 登录的用户名和密码设置
tanguang_honesty的专栏
05-23 3610
默认情况访问 http://localhost:8080/jmx-console 就可以浏览jboss的部署管理的一些信息,不需要输入用户名和密码,使用起来有点安全隐患。下面我们针对此问题对jboss进行配置,使得访问jmx- console也必须要知道用户名和密码才可进去访问。步骤如下:  i) 找到JBoss安装目录/server/default/deploy/jmx-console.w
josso for tomcat配置 step by step
javasogo
09-21 99
josso for tomcat 5.0.x 配置 step by step josso(Java Open Single Sign-On)是一个开源的基于J2EE的单点登录(SSO - Single Sign-On)架构,他提供了针对web应用的集中用户验证机制。相关文档及下载请访问www.josso.org。 本文简单介绍了在tomcat 5.0.x环境下如何配置及应用joss...
SSO单点登录系统原理分析及功能实现
学亮编程手记
03-04 3569
Sso系统分析什么是sso系统SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。  为什么要有单点登录系统传统的登录实现方式 此方式在只有一个web工程时是没有问题。 集群环境下            ...
CAS实现sso单点登录原理
03-21
"CAS实现sso单点登录原理" CAS(Central Authentication Service)是Yale大学发起的一个企业级的、开源的项目,旨在为Web应用系统提供一种可靠的单点登录解决方法(属于Web SSO)。CAS开始于2001年,并在2004年12月...
集成框架中使用CAS实现单点登录技术方案.pdf
10-08
### 单点登录(SSO技术 单点登录是指用户仅需要一次身份验证,就可以访问多个不同的服务。这是通过集中式身份认证服务器来实现的,它为多个应用系统提供认证服务。 ### CAS(Central Authentication Service) ...
基于Java EE的单点登录技术研究与实现.zip
10-16
总的来说,基于Java EE的单点登录技术研究与实现涉及到网络认证协议、安全性设计、应用服务器配置等多个方面,对于提高企业应用系统的易用性和安全性具有重要意义。在实际项目中,开发者需要根据具体需求选择合适的...
使用AD实现单点登录(SSO)指南
"opensso.pdf 是一份关于使用OpenSSO实现与Active Directory单点登录(SSO)的详细指南。文档由Joey于2006年12月11日编写,涵盖了从软件环境设置到配置Access Manager的各个步骤。" 在本文档中,作者首先介绍了实施...
jboss的控制台加入登录控制
pcera的专栏
01-12 2096
jboss的控制台加入登录控制 1. 进入jmx-console.war,通常此目录在{jboss_home}/server/default/deploy目录下。 2. 编辑该目录下的WEB-INF/web.xml,把部分注释去掉 3. 编辑WEB-INF/jboss-web.xml文件,打开部分注释 注意:这里内容对应的security-domain对应{jboss_ho
与session不同的另一种认证方式--JWT
爱琴孩的博客
05-05 1956
前言 之前被公司的大飞哥狠狠的鄙视了一次,那次向他请教一个shiro中的session问题,大飞哥无意间说:”现在外面有的公司都不用session来保持状态了”;当时我就奇怪了,不用session难道都把用户信息都保存在cookie中。大飞哥没有说话,只给我了一个眼神。确认过眼神,眼神中饱含着你还太年轻的意思!之后碰巧又遇到项目中的一个单点登录功能,这个功能没有使用CAS框架,虽然CAS本身功能...
[转]josso+tomcat配置之josso服务器配置(一)
zsyao的专栏
03-07 157
转自【http://blog.sina.com.cn/s/blog_4aebeb1201008dri.html】 准备文件:1.从 http://www.josso.org/下载apache-tomcat-5.5.25_josso-1.6.zip2.从http://apache.mirror.phpchina.com/tomcat/tomcat-5/v5.5.25/bin/apache-tomc...
log4j additivity 作用
11lingxian
08-11 354
log4j.rootLogger=debug,stdout log4j.appender.stdout=org.apache.log4j.ConsoleAppender log4j.appender.stdout.layout=org.apache.log4j.PatternLayout log4j.appender.stdout.layout.ConversionPattern=%d %...
Log4j 集群环境下的 处理方案
11lingxian
08-11 302
需求:近期有个项目要用到集群部署 + 话单日志,刚开始项目部署在多台linux服务器上,每台服务器上都生成自己的话单,但是对账系统只到一台服务器上取话单,这时就要把所有的话单日志放到同一台机子上;刚开始是通过linux地址映射到同一台机子上的,现在打算尝试用编码到项目里面实现这个需求。         话单格式:订单号|价格|产品id          注:生成的话单文件里面只能有“01010...
客户端NIO实践分析
11lingxian
10-09 273
http://java.csdn.net/index.php/2009/09/23/%e4%b8%93%e5%ae%b6%e4%b8%93%e6%a0%8f%e7%ac%ac%e4%ba%8c%e6%9c%9f%ef%bc%9a%e5%ae%a2%e6%88%b7%e7%ab%afnio%e5%ae%9e%e8%b7%b5%e5%88%86%e6%9e%90/
ant echo message 特殊字符转换
11lingxian
01-27 214
&lt; &amp;lt; &gt; &amp;gt; "  &amp;quot; '  &amp;apos; \n  &amp;#10;  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值