论文部分内容阅读
一、什么是SSO
SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。
为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企業门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。使用单点登录整合后,只需要登录一次就可以进入多个系统,而不需要重新登录,这不仅仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。
二、SSO的选型与实现
软件系统要实现单点登录,通常不建议使用session会话,以减轻服务端维护session的成本。可以选择使用cookie结合浏览器缓存来维护会话,实现单点登录。但是如果系统存在移动设备客户端,就不能使用cookie,那么使用cookie结合浏览器缓存的方案似乎无法得到解决,而移动设备客户端中又存在两个应用:纯文字的简版和3G多媒体版,进一步讨论之后,决定移动设备之间与WEB之间不同步登录状态。但是移动设备端的各个应用要进行登录状态同步。
基于以上思路,确定初步的方案,即在WEB客户端使用cookie结合浏览器缓存,在移动设备客户端依然使用session会话结合缓冲存储区来实现单点登录,无论是 WEB客户端或者移动设备客户端,都调用后台发布的服务,本身并不直接连接数据库,后台服务组集群管理集中式的缓存,各个客户端维护自身的缓存。
1.缓存组件的选择
由于存在WEB端与移动设备端,应用都在集群环境中,所以使用一个好的分布式缓存似乎也是项目稳定性的关键,Java的集群平台Terracotta与Java的进程内缓存框架ehcache是个不错的选择,由于hibernate官方推荐的第三方缓存组件是ehcache,如果服务端已经使用了ehcache作为hibernate缓存组件,再对系统进行分布式缓存集成Trracotta,那就显得非常的简单。但如果是开发新的项目,而使用集中式缓存管理策略对分布式缓存的效率和缓存服务器扩展有一定的好处,于是决定采用高性能的分布式的内存对象缓存系统memcache进行缓存服务器的搭建。
2.会话维护与过期所存在的问题
使用session登录会比较简单,服务器端可以设置session的过期时间。而使用cookie设置过期时间,浏览器会将cookie数据写入硬盘上保存,这时即使用户关闭浏览器,cookie文件还未到过期时间还是保存在硬盘上,这就存在一些不安全的隐患,但是如果设置cookie的过期时间为一个小于0的数值,则cookie保存在客户端的内存中,这样,用户只要不关闭浏览器,cookie就不会失效,也会存在一些安全隐患。
用户会话的缓存信息也将会有问题。由于缓存在创建的时候就会有一个创建时间,创建之后,根据配置的缓存策略来管理缓存元素。缓存一旦创建,只要到了配置的过期时间,就一定会销毁缓存元素,这样,客户端的会话即使依然真实存在,也无法通过缓存来获取用户的数据,用户的登录状态也将消失。
3.会话维护与过期存在问题的解决方案
使用cookie进行会话的维护,为了使得cookie的信息尽量的保密和安全,需要对cookie进行加密,而由于cookie的会话的设计依然存在一些问题,所以使用另外一种方案对cookie进行设计,用户登录时,生成一个名为SSO_LOGIN的cookie,此cookie保存三个信息,用户名|生成时间|加密数据。用户登录时,将用户名、生成时间和密钥组合并进行MD5加密,然后将用户名、生成时间和MD5的加密数据连起来作为cookie的值写入客户端,并将cookie的过期值设置为负数(关闭浏览器失效),通过后台发布的服务将用户信息写入中心缓存中,这样,用户每进行一次请求,都直接从中心缓存中获取用户信息。当用户客户端的cookie失效时,让用户进入登录流程;当中心缓存中无用户信息时,也让用户进入登录流程。这样就必须保证用户在活动期间,中心缓存中的用户信息不能过期,有两种解决方案,一是设置缓存策略时间较长,如果用户数比较多,无疑会较大程度的提高服务器管理缓存所花的成本。第二种方案,用户每获取一次信息,则更新一次缓存,将用户信息的缓存策略的过期时间设置和cookie的过期时间一致。虽然第二种方案在一定程度上提高了缓存管理的成本,但是综合性能方面第二种比第一种有优势。
三、总结
通过以上的分析,可以总结出来整个单点登录的过程:WEB客户端,用户登录时,生成 cookie和中心缓存,用户每进行一次请求,首先取出cookie,验证加密数据;其次取出cookie的生成时间与现在的时间进行对比,验证是否过期;再次,若验证通过则调用服务获取缓存中的用户信息并刷新缓存的生成时间,若验证不通过或者过期,则进入用户登录流程;最后,获取到用户信息之后,刷新 cookie的生成时间,重新写入cookie到客户端。这样只要用户的浏览器中存在相关的cookie并没有过期(用户关闭浏览器或者在超过设置 cookie的有效期),则在该域名的路径下面所有的项目都可以获取到用户登录状态和信息。
而移动设备端的SSO登录将变得更为简单,用户登录之后,获取服务器分配给用户浏览器的sessionID,将sessionID作为KEY值,用户信息作为VALUE值生成中心缓存,这样用户访问该域名下的所有的应用,只要使用的是同一个浏览器(sessionID无变化),并且在session的有效期内,都可以获取用户信息,同步登录信息,实现单点登录。
参考文献:
[1]胡毅时.基于Web服务的单点登录系统的研究与实现.北京航空航天大学学报 ,2004,3
[2]孔宁.Internet上的单点登录研究.CNNIC通讯,2005,26
(注:河北工业职业技术学院资助科研项目)
SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。
为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企業门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。使用单点登录整合后,只需要登录一次就可以进入多个系统,而不需要重新登录,这不仅仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。
二、SSO的选型与实现
软件系统要实现单点登录,通常不建议使用session会话,以减轻服务端维护session的成本。可以选择使用cookie结合浏览器缓存来维护会话,实现单点登录。但是如果系统存在移动设备客户端,就不能使用cookie,那么使用cookie结合浏览器缓存的方案似乎无法得到解决,而移动设备客户端中又存在两个应用:纯文字的简版和3G多媒体版,进一步讨论之后,决定移动设备之间与WEB之间不同步登录状态。但是移动设备端的各个应用要进行登录状态同步。
基于以上思路,确定初步的方案,即在WEB客户端使用cookie结合浏览器缓存,在移动设备客户端依然使用session会话结合缓冲存储区来实现单点登录,无论是 WEB客户端或者移动设备客户端,都调用后台发布的服务,本身并不直接连接数据库,后台服务组集群管理集中式的缓存,各个客户端维护自身的缓存。
1.缓存组件的选择
由于存在WEB端与移动设备端,应用都在集群环境中,所以使用一个好的分布式缓存似乎也是项目稳定性的关键,Java的集群平台Terracotta与Java的进程内缓存框架ehcache是个不错的选择,由于hibernate官方推荐的第三方缓存组件是ehcache,如果服务端已经使用了ehcache作为hibernate缓存组件,再对系统进行分布式缓存集成Trracotta,那就显得非常的简单。但如果是开发新的项目,而使用集中式缓存管理策略对分布式缓存的效率和缓存服务器扩展有一定的好处,于是决定采用高性能的分布式的内存对象缓存系统memcache进行缓存服务器的搭建。
2.会话维护与过期所存在的问题
使用session登录会比较简单,服务器端可以设置session的过期时间。而使用cookie设置过期时间,浏览器会将cookie数据写入硬盘上保存,这时即使用户关闭浏览器,cookie文件还未到过期时间还是保存在硬盘上,这就存在一些不安全的隐患,但是如果设置cookie的过期时间为一个小于0的数值,则cookie保存在客户端的内存中,这样,用户只要不关闭浏览器,cookie就不会失效,也会存在一些安全隐患。
用户会话的缓存信息也将会有问题。由于缓存在创建的时候就会有一个创建时间,创建之后,根据配置的缓存策略来管理缓存元素。缓存一旦创建,只要到了配置的过期时间,就一定会销毁缓存元素,这样,客户端的会话即使依然真实存在,也无法通过缓存来获取用户的数据,用户的登录状态也将消失。
3.会话维护与过期存在问题的解决方案
使用cookie进行会话的维护,为了使得cookie的信息尽量的保密和安全,需要对cookie进行加密,而由于cookie的会话的设计依然存在一些问题,所以使用另外一种方案对cookie进行设计,用户登录时,生成一个名为SSO_LOGIN的cookie,此cookie保存三个信息,用户名|生成时间|加密数据。用户登录时,将用户名、生成时间和密钥组合并进行MD5加密,然后将用户名、生成时间和MD5的加密数据连起来作为cookie的值写入客户端,并将cookie的过期值设置为负数(关闭浏览器失效),通过后台发布的服务将用户信息写入中心缓存中,这样,用户每进行一次请求,都直接从中心缓存中获取用户信息。当用户客户端的cookie失效时,让用户进入登录流程;当中心缓存中无用户信息时,也让用户进入登录流程。这样就必须保证用户在活动期间,中心缓存中的用户信息不能过期,有两种解决方案,一是设置缓存策略时间较长,如果用户数比较多,无疑会较大程度的提高服务器管理缓存所花的成本。第二种方案,用户每获取一次信息,则更新一次缓存,将用户信息的缓存策略的过期时间设置和cookie的过期时间一致。虽然第二种方案在一定程度上提高了缓存管理的成本,但是综合性能方面第二种比第一种有优势。
三、总结
通过以上的分析,可以总结出来整个单点登录的过程:WEB客户端,用户登录时,生成 cookie和中心缓存,用户每进行一次请求,首先取出cookie,验证加密数据;其次取出cookie的生成时间与现在的时间进行对比,验证是否过期;再次,若验证通过则调用服务获取缓存中的用户信息并刷新缓存的生成时间,若验证不通过或者过期,则进入用户登录流程;最后,获取到用户信息之后,刷新 cookie的生成时间,重新写入cookie到客户端。这样只要用户的浏览器中存在相关的cookie并没有过期(用户关闭浏览器或者在超过设置 cookie的有效期),则在该域名的路径下面所有的项目都可以获取到用户登录状态和信息。
而移动设备端的SSO登录将变得更为简单,用户登录之后,获取服务器分配给用户浏览器的sessionID,将sessionID作为KEY值,用户信息作为VALUE值生成中心缓存,这样用户访问该域名下的所有的应用,只要使用的是同一个浏览器(sessionID无变化),并且在session的有效期内,都可以获取用户信息,同步登录信息,实现单点登录。
参考文献:
[1]胡毅时.基于Web服务的单点登录系统的研究与实现.北京航空航天大学学报 ,2004,3
[2]孔宁.Internet上的单点登录研究.CNNIC通讯,2005,26
(注:河北工业职业技术学院资助科研项目)