sso【跨域】单点登录【解决附赠200分】,该如何解决

sso【跨域】单点登录【解决附赠200分】
任务： 写一个单点登录接口。

目的：来整合其他的网站(可能是jsp asp php ...做的)，实现sso。

表现：也就是整合进来的网站，只要符合我的接口标准，都可以单点登录。

条件：目前所有的用户都在一个表里放置。

具体要求：

1、 A用户在www.mysite1.com登录成功后，无论是点击链接，或是在地址栏输入www.mysite2.com都可以在mysite2显示登录状态。
  到其他的网站也是一个样子。

2、单点注销，同上，A用户在mysite1注销后，访问其他网站同样是注销状态。


求源码实现！解决附赠200分

[解决办法]
sso up
没研究过
[解决办法]
cas部署你会不会；代码部分可以在考虑
[解决办法]
我看cas太麻烦了,就自己写了一个
http://xblue3.download.csdn.net/
我自己写过一个模块,呵呵
<基于对称加密的简单单点登录系统sso>
http://download.csdn.net/source/619881

用servlet,对称加密实现的单点登录!
可以跨域,不使用cookies的!
初步代码!
laiqinyi#at#gmail.com 
用的是PBEWithMD5AndDES的对称加密,还用SHA-1等摘要算法!
理论上比较安全的,呵呵,你帮忙测试一下?


[解决办法]
PBEWithMD5AndDES
有什么成盐因子,密钥,什么的,应该够强悍了!
[解决办法]
Cookie里有个方法setDomain()方法，可以将Cookie发给其他服务器~
[解决办法]

探讨

我看cas太麻烦了,就自己写了一个
http://xblue3.download.csdn.net/
我自己写过一个模块,呵呵
<基于对称加密的简单单点登录系统sso>
http://download.csdn.net/source/619881

用servlet,对称加密实现的单点登录!
可以跨域,不使用cookies的!
初步代码!
laiqinyi#at#gmail.com
用的是PBEWithMD5AndDES的对称加密,还用SHA-1等摘要算法!
理论上比较安全的,呵呵,你帮忙测试一下?

[解决办法]
我们采用的是session处理的方式，用servlet写个验证器，在相应的控制器里加上验证来完成对它权限的判断使用，在其他域的使用需要使用RMI来实现了，不过spring提供了很好的处理办法，将用户管理暴露给其他域，通过接口去实现调用就好了
[解决办法]
小雨,我不会,没弄过
[解决办法]
不会，友情帮顶 ,兼学习
[解决办法]

探讨

我们采用的是session处理的方式，用servlet写个验证器，在相应的控制器里加上验证来完成对它权限的判断使用，在其他域的使用需要使用RMI来实现了，不过spring提供了很好的处理办法，将用户管理暴露给其他域，通过接口去实现调用就好了

[解决办法]
在门户项目中，经常会遇到如何实现单点登录的问题，下面就本人的经验做个总结。欢迎大家进行补充讨论。
单点登录的具体实现有很多种选择，包括：

1. 采用专门的SSO商业软件： 主要有：Netgrity的Siteminder，已经被CA收购。Novell 公司的iChain。RSA公司的ClearTrust等。
2. 采用门户产品供应商自己的SSO产品，如：BEA的WLES，IBM 的Tivoli Access Manager，Sun 公司的identity Server，Oracle公司的OID等。
3. 这些商业软件一般适用于客户对SSO的需求很高，并且企业内部采用COTS软件如：Domino,SAP,Sieble的系统比较多的情况下采用。并结合身份管理。统一认证等项目采用。采用这些软件一般都要对要集成的系统做些改造，如在要集成的系统上安装AGENT。现在一般只提供常见软件如：Domino,SAP,Sieble，常见应用服务器：weblogic,websphere等的AGENT。要先统一这些系统的认证。一般采用 LDAP或数据库。然后才能实现SSO。比较麻烦。
4. 另外，如果不想掏银子，也有OPEN SOURCE的SSO软件可选：主要有：http://www.josso.org/ https://opensso.dev.java.net/ http://www.sourceid.org/ 等。具体怎么样就不清楚了。

　　如果项目对SSO的要求比较低，又不想对要被集成的系统做任何改动，可采用下面介绍的方式简单实现：下面我们通过一个例子来说明。假如一个门户项目要对下面的几个系统做SSO。

图一

　　用户在这些系统中的用户名，密码各不相同，如：员工号为001的员工在这些系统中的用户名，密码分别如下：
用户 系统 用户名 密码
001 Portal系统 A 1234
001 邮件系统 B 2345
001 DOMINO系统 C AAAA
001 报销系统 D CCCC
001 工资系统 E BBBB
首先，建立员工在PORTAL系统中的用户名和其他系统中的用户名之间的对应关系

　　首先，要建立员工在PORTAL系统中的用户名和其他系统中的用户名之间的对应关系并保存。可保存在表中或LDAP中或文件系统中。当然要考虑这些系统之间的数据同步问题。比较好的方式是找到用户在这些系统中的都存在的唯一信息（如员工号，MAIL地址，姓名等）。通过唯一信息实时到各个系统中去取认证所需要的信息。就不需要考虑数据同步问题。比较实用。可以建立类似下面的表：密码可采用加密保存。如果是采用BEA的Weblogic Portal,可采用UUP来保存这些信息。

(
user varchar2(20), /*用户名*/
app_name varchar2(20), /*应用系统*/
architect varchar2(4), /*应用系统的架构BS或CS*/

app_company varchar2(50), /*用户所属分公司*/
app_department varchar2(50), /*用户所在的部门*/
app_user varchar2(15), /*在该系统中的用户名*/
app_passwd varchar2(15), /*在该系统中的密码*/
app_cookie varchar2(30), /*COOKIE名称*/
form_user varchar2(20), /*认证页面中FORM的用户名字段*/
form_passwd varchar2(20), /*认证页面中FORM的密码字段*/
app_special varchar2(20) /*其他*/
);

通过IFRAME或超连接方式集成目标系统，并进行SSO

　　通过IFRAME或超连接方式集成目标系统,并在URL中带上用户名和密码。如集成DOMINO可采用如下方式：

　　<IFRAME src=http://host1/names.nsf?Login&Username=admin&Password=pass&RedirectTo=/names.nsf
width="100%" frameborder="0" align="center" height="100%" hspace="0" marginheight="0" marginwidth="0" scrolling="yes" style="background-color:#f7f7ff;">
</IFRAME>

　　或：
Href src=“http://localhost/names.nsf?Login&Username=admin&Password=password&RedirectTo=/names.nsfhost1/names.nsf?Login&Username=admin&Password=pass&RedirectTo=/names.nsf”
以上采用的是在HTTP中直接传递明码，为提高安全性，可采用HTTPS来传递用户名和密码。另外采用这种方式被集成的系统必须支持FORM方式认证。J2EE应用，DOMINO等都支持FORM认证。

　　这两种方式如果SSO成功，就自动进入目标系统的界面，如果实现会显示目标系统的登录界面。其效果图如下：

登录界面

　　这种方式，必须维护对应关系表，如上面的sso_info。更好的方式是提供界面，让最终用户自己维护这种对应关系，可模仿Compoze portlets for lotus的做法，在用户第一次进入要与之做SSO的系统时，如DOMINO系统，显示一个界面，让用户自己输入他在该系统中的用户名/密码等信息。并保存到表中或LDAP等其他数据源中。以后用户要进入这些系统时，就直接从表中或其他数据源中取用户的用户名/密码等信息，帮助用户做认证。建议采用这种方式。如下图所示。如果用户改变了自己在DOMINO系统中的用户名，密码。从门户系统进入DOMINO系统时，认证会失败，就重新显示类似下面的界面。让用户重新输入他在DOMINO系统中新的用户名，密码并保存。

认证失败

　　以上这种实现方式，一般需要浏览器支持COOKIE，所以要注意浏览器的配置，在开发阶段，为方便调试，可设置IE，让它显示COOKIE的名称。如下所示：

浏览器的配置

　　采用这种方式，对要集成的系统不需要做任何的改动。如果PORTAL系统中的用户在被集成的系统中的权限都一样，可采用建立一个通用用户的做法。也就是所有在PORTAL系统中的用户都采用这个通用用户进入目标系统。这种方式等于是采用页面集成方式做集成。比较方便使用。另外，有时候需要采用调用API，或配置Adapter等应用集成方式来集成其他系统，一般也是通过定义一个连接专用的用户。在API中或在配置Adapter的时候写死。如采用JAVA API方式集成DOMINO：

　　lotus.domino.Session dominoSession = NotesFactory.createSession(dominoServer, “admin”, “password”);
CS结构实现方式

　　经常有人问CS结构的应用如何实现SSO，本人的建议是对这种系统不要自己去实现SSO。很麻烦，其实输个用户名，密码没什么大不了的。如果要实现，一是采用商业软件。另外也可以采用以下方式：在PORTAL的PORTLET上建立超连接。并通过APPLET方式启动CS结构的应用系统的登录界面。然后通过如下的方式把用户名/密码传递过去。

　　-不能做任何改动的客户端 - WIN消息（给登录窗口发送用户名，密码等登录所需要的信息）,模拟键盘（java有模拟键盘输入的API）

　　-可以做改动的客户端 - 参数传递，并让登录的EXE文件读取参数进行认证。

　　因为要让APPLET执行本地的EXE文件，所以必须对IE中的JRE的安全进行设置。

对IE中的JRE的安全进行设置
其他：

　　在采用以上方式实现了SSO后，要注意LOGOUT，可采用与LOGIN相同的方式。也可以通过被集成系统的超时设置来实现。
[解决办法]

探讨

在门户项目中，经常会遇到如何实现单点登录的问题，下面就本人的经验做个总结。欢迎大家进行补充讨论。
单点登录的具体实现有很多种选择，包括：

1. 采用专门的SSO商业软件： 主要有：Netgrity的Siteminder，已经被CA收购。Novell 公司的iChain。RSA公司的ClearTrust等。
2. 采用门户产品供应商自己的SSO产品，如：BEA的WLES，IBM 的Tivoli Access Manager，Sun 公司的identity Server，Oracle公司的OID等。
3. …

[解决办法]
还没有试过!
[解决办法]
cookies domain属性可以试一下
[解决办法]

探讨

Cookie里有个方法setDomain()方法，可以将Cookie发给其他服务器~

[解决办法]
我们研究的SSO是使用Novell公司的NAM
[解决办法]
我所知道的方法是在纯java环境，因公司原因不能相告因为是自己研发的，
你要的这种跨语言平台的单点，我确实帮不到你了，小雨。
可以看看开源的东西，先看懂原理了在自己写。
最近在出差不方便学习，或者做研究，试验之类的事情。
[解决办法]
Sorry不知
------解决方案--------------------

做个中转服务器，呵呵
[解决办法]
关注下
[解决办法]
MARK一下，

查看更多 下一篇