单点登录实现机制：桌面sso

参考链接，感谢作者：https://zm10.sm-tc.cn/?src=l4uLj8XQ0IiIiNGckZ2TkJiM0ZyQktCZlo2Mi5uNmp6S0I/QysrJyszPztGXi5KT&uid=b57ca3ff1c2c123ad2dcbbe6455b695c&restype=1&from=derive&depth=3&link_type=60&wap=false&v=1

桌面SSO和WEB-SSO一样，关键在于如何在用户登录过后保存登录的凭据。

• 在WEB-SSO中，登录的凭据是靠浏览器的cookie机制来完成的；
• 在桌面应用中，可以将登录的凭证保存到任何地方，只要所有SSO的桌面应用都共享这个凭证。

从网站可以下载一个简单的桌面SSO的样例(http://gceclub.sun.com.cn/wangyu/desktop-sso/desktopsso.zip)和全部源码（http://gceclub.sun.com.cn/wangyu/desktop-sso/desktopsso_src.zip），

虽然简单，但是它具有桌面SSO大多数的功能，稍微加以扩充就可以成为自己的解决方案。

一、桌面样例的部署

运行此桌面SSO需要三个前提条件：
a) WEB-SSO的身份认证应用应该正在运行，因为我们在桌面SSO当中需要用到统一的认证服务
b) 当前桌面需要运行Mozilla或Netscape浏览器，因为我们将ticket保存到mozilla的cookie文件中

解开desktopsso.zip文件，里面有两个目录bin和lib。

bin目录下有一些脚本文件和配置文件，其中config.properties包含了三个需要配置的参数：
a) SSOServiceURL要指向WebSSO部署的身份认证的URL
b) SSOLoginPage要指向WebSSO部署的身份认证的登录页面URL
c) cookiefilepath要指向当前用户的mozilla所存放cookie的文件

在bin目录下还有一个login.conf是用来配置JAAS登录模块，本样例提供了两个，读者可以任意选择其中一个（也可以都选），再重新运行程序，查看登录认证的变化
在bin下的运行脚本可能需要作相应的修改
a) 如果是在unix下，各个jar文件需要用“:”来隔开，而不是“;”
b) java 运行程序需要放置在当前运行的路径下，否则需要加上java的路径全名。

二、桌面样例的运行

样例程序包含三个简单的Java控制台程序，这三个程序单独运行都需要登录。如果运行第一个命叫“GameSystem”的程序，提示需要输入用户名和密码：

效验成功以后，便会显示当前登录的用户的基本信息等等。

 这时候再运行第二个桌面Java应用（mailSystem）的时候，就不需要再登录了，直接就显示出来刚才登录的用户。

 

第三个应用是logout，运行它之后，用户便退出系统。再访问的时候，又需要重新登录了。请读者再制裁执行完logout之后，重新验证一下前两个应用的SSO：先运行第二个应用，再运行第一个，会看到相同的效果。

我们的样例并没有在这里停步，事实上，本样例不仅能够和在几个Java应用之间SSO，还能和浏览器进行SSO，也就是将浏览器也当成是桌面的一部分。这对一些行业有着不小的吸引力。

这时候再打开Mozilla浏览器，访问以前提到的那两个WEB应用，会发现只要桌面应用如果登录过，Web应用就不用再登录了，而且能显示刚才登录的用户的信息。读者可以在几个桌面和Web应用之间进行登录和logout的试验，看看它们之间的SSO。

 

三、桌面样例的源码分析

 

桌面SSO的样例使用了JAAS（要了解JAAS的详细的信息请参考http://java.sun.com/products/jaas）。JAAS是对PAM（Pluggable Authentication Module）的Java实现，来完成 Java应用可插拔的安全认证模块。使用JAAS作为Java应用的安全认证模块有很多好处，最主要的是不需要修改源代码就可以更换认证方式。例如原有的Java应用如果使用JAAS的认证，如果需要应用SSO，只需要修改JAAS的配置文件就行了。现在在流行的J2EE和其他 Java的产品中，用户的身份认证都是通过JAAS来完成的。在样例中，我们就展示了这个功能。请看配置文件login.conf

  DesktopSSO {

   desktopsso.share.PasswordLoginModule required;

   desktopsso.share.DesktopSSOLoginModule required;

};

 

当我们注解掉第二个模块的时候，只有第一个模块起作用。在这个模块的作用下，只有test用户（密码是12345）才能登录。当我们注解掉第一个模块的时候，只有第二个模块起作用，桌面SSO才会起作用。

 

所有的Java桌面样例程序都是标准JAAS应用，熟悉JAAS的程序员会很快了解。JAAS中主要的是登录模块（LoginModule）。下面是SSO登录模块的源码：

 public class DesktopSSOLoginModule implements LoginModule {

   ..........

   private String SSOServiceURL = "";

   private String SSOLoginPage = "";

   private static String cookiefilepath = "";  

   .........

 

在config.properties的文件中，我们配置了它们的值：

SSOServiceURL=http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth

SSOLoginPage=http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp

cookiefilepath=C:\\Documents and Settings\\yw137672\\Application Data\\Mozilla\\Profiles\\default\\hog6z1ji.slt\\cookies.txt

 

SSOServiceURL和SSOLoginPage成员变量指向了在Web-SSO中用过的身份认证模块：SSOAuth，这就说明在桌面系统中我们试图和Web应用共用一个认证服务。而cookiefilepath成员变量则泄露了一个“天机”：我们使用了Mozilla浏览器的cookie文件来保存登录的凭证。换句话说，和Mozilla共用了一个保存登录凭证的机制。之所以用Mozilla是应为它的Cookie文件格式简单，很容易编程访问和修改任意的Cookie值。（我试图解析Internet Explorer的cookie文件但没有成功。）

 

下面是登录模块DesktopSSOLoginModule的主体：login()方法。逻辑也是非常简单：先用Cookie来登陆，如果成功，则直接就进入系统，否则需要用户输入用户名和密码来登录系统。

  

 

下面是Cookielogin()方法的实体，它的逻辑是：先从Cookie文件中获得相应的Cookie值，通过身份效验服务效验Cookie的有效性。如果cookie有效就算登录成功；如果不成功或Cookie不存在，用cookie登录就算失败。

 

用户名和密码登录的方法要复杂一些，通过Callback的机制和屏幕输入输出进行信息交互，完成用户登录信息的获取；获取信息以后通过userAuth方法来调用远端SSOAuth的服务来判定当前登录的有效性。

CookieAuth和userAuth方法都是利用apahce的httpclient工具包和远程的SSOAuth进行http连接，获取服务。

还有一个地方需要补充说明的是，

在本样例中，用户名和密码的输入都会在屏幕上显示明文。

如果希望用掩码形式来显示密码，以提高安全性，请参考：http://java.sun.com/developer/technicalArticles/Security/pwordmask/