java 單點登入
- 使用者每天平均 16
- 頻繁的 IT 使用者平均有 21 個密碼 - 資料來源: NTA Monitor Password Survey
- 49% 的人寫下了其密碼,而 67% 的人很少改變它們
- 每 79 秒出現一起身份被竊事件 - 資料來源:National Small Business Travel Assoc
- 全球欺騙損失每年約 12B - 資料來源:Comm Fraud Control Assoc
- 到 2007 年,身份管理市場將成倍增長至 $4.5B - 資料來源:IDS
- 提高 IT
- 幫助臺呼叫減少至少1/3,對於 10K 員工的公司,每年可以節省每使用者 $75,或者合計 $648K
- 生產力提高:每個新員工可節省 $1K,每個老員工可節省 $350 �資料來源:Giga
- ROI 回報:7.5 到 13 個月 �資料來源:Gartner
- 所有應用系統共享一個身份認證系統。
統一的認證系統是SSO的前提之一。認證系統的主要功能是將使用者的登入資訊和使用者資訊庫相比較,對使用者進行登入認證;認證成功後,認證系統應該生成統一的認證標誌(ticket),返還給使用者。另外,認證系統還應該對ticket進行效驗,判斷其有效性。 - 所有應用系統能夠識別和提取ticket資訊
要實現SSO的功能,讓使用者只登入一次,就必須讓應用系統能夠識別已經登入過的使用者。應用系統應該能對ticket進行識別和提取,通過與認證系統的通訊,能自動判斷當前使用者是否登入過,從而完成單點登入的功能。
- 單一的使用者資訊資料庫並不是必須的,有許多系統不能將所有的使用者資訊都集中儲存,應該允許使用者資訊放置在不同的儲存中,如下圖所示。事實上,只要統一認證系統,統一ticket的產生和效驗,無論使用者資訊儲存在什麼地方,都能實現單點登入。
- 統一的認證系統並不是說只有單個的認證伺服器,如下圖所示,整個系統可以存在兩個以上的認證伺服器,這些伺服器甚至可以是不同的產品。認證伺服器之間要通過標準的通訊協議,互相交換認證資訊,就能完成更高級別的單點登入。如下圖,當用戶在訪問應用系統1時,由第一個認證伺服器進行認證後,得到由此伺服器產生的ticket。當他訪問應用系統4的時候,認證伺服器2能夠識別此ticket是由第一個伺服器產生的,通過認證伺服器之間標準的通訊協議(例如SAML)來交換認證資訊,仍然能夠完成SSO的功能。
- 統一的身份認證服務。
- 修改Web應用,使得每個應用都通過這個統一的認證服務來進行身份效驗。
package com.ll.singlelogin; import javax.servlet.http.*; import java.util.*; public class SingleLogin implements HttpSessionListener { // 儲存sessionID和username的對映 private static HashMap hUserName = new HashMap(); /** 以下是實現HttpSessionListener中的方法* */ public void sessionCreated(HttpSessionEvent se) { } public void sessionDestroyed(HttpSessionEvent se) { hUserName.remove(se.getSession().getId()); } /** * isAlreadyEnter-用於判斷使用者是否已經登入以及相應的處理方法 * * @param sUserName * String-登入的使用者名稱稱 * @return boolean-該使用者是否已經登入過的標誌 */ public static boolean isAlreadyEnter(HttpSession session, String sUserName) { boolean flag = false; // 如果該使用者已經登入過,則使上次登入的使用者掉線(依據使使用者名稱是否在hUserName中) if (hUserName.containsValue(sUserName)) { flag = true; // 遍歷原來的hUserName,刪除原使用者名稱對應的sessionID(即刪除原來的sessionID和username) Iterator iter = hUserName.entrySet().iterator(); while (iter.hasNext()) { Map.Entry entry = (Map.Entry) iter.next(); Object key = entry.getKey(); Object val = entry.getValue(); if (((String) val).equals(sUserName)) { hUserName.remove(key); } } // 新增現在的sessionID和username hUserName.put(session.getId(), sUserName); System.out.println("hUserName = " + hUserName); } else {// 如果該使用者沒登入過,直接新增現在的sessionID和username flag = false; hUserName.put(session.getId(), sUserName); System.out.println("hUserName = " + hUserName); } return flag; } /** * isOnline-用於判斷使用者是否線上 * * @param session * HttpSession-登入的使用者名稱稱 * @return boolean-該使用者是否線上的標誌 */ public static boolean isOnline(HttpSession session) { boolean flag = true; if (hUserName.containsKey(session.getId())) { flag = true; } else { flag = false; } return flag; } }
web.xml部署於/App/WEB-INF下
<?xml version= "1.0 " encoding= "ISO-8859-1 "?> <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN " "http://java.sun.com/j2ee/dtds/web-app_2.3.dtd "> <web-app> <listener> <listener-class> com.inspirer.dbmp.SessionListener </listener-class> </listener> </web-app>
應用部分
1.在你的登入驗證時,呼叫SessionListener.isAlreadyEnter(session, "admin ")
既可以判斷該使用者名稱的使用者是否登入過,又可以使上次登入的使用者掉線
2.其他頁面呼叫SessionListener.isOnline(session),可以判斷該使用者是否線上.
轉自:http://blog.csdn.net/java_freshman01/article/details/7202776
採用SSH架構加以說明:
1. 建立一個登入管理類LoginManager
2. 在LoginManager中定義一個集合,管理登入的使用者。
3. 在Spring中將LoginManager配置成單例
4. 如果使用自定義的使用者管理類,則為了說明方便,將此類命名為UserContext(表示使用者授權的上下文)
5. 如果未使用自定義的使用者管理類,則直接使用Session。
6. 在登入授權物件中,檢查使用者是否是合法使用者,如果是合法使用者,則在LoginManager的集合中查詢使用者是否已經線上,如果不線上,則將使用者加入集合。
7. 處理策略一:如果使用者已經線上,則取新登入使用者的Session,將它失效,則能阻止新登入使用者登入。
8. 處理策略二:如果使用者已經線上,則取出線上使用者的Session,將它失效,再把新登入使用者加入LoginManager的集合。則先登入使用者不能執行有許可權的操作,只能重新登入。
1. applicationContext.xml
<bean id="loginManager" class="LoginManager" scope="singleton" /> <bean id="action" class="LoginAction" scopt="prototype" > <property name="laginManager" ref="loginManager" /> </bean>
2. LoginManager.java
Collection<Session> sessions; public Session login(Session session) { for (Session s : sessions) { if (s 與 session 是同一使用者) 策略一: return session 策略二:{ sessions.add(session); // 這兩行在迴圈中操作集合類會丟擲異常 sessions.remove(s); // 此處僅為簡單示範程式碼,實際程式碼中應該在迴圈外處理 return s; } } sessions.add(session); return null; }
3. LoginAction.java
LoginManager loginManager; public String execute() throws Exception { 取session 檢查使用者名稱,密碼 if (是合法使用者) { session = loginManager.login(session); if (null!=session) session.invalidate(); } }
4. 如果自定義了UserContext,則可將集合改成Collection<UserContext> users;
5. UserContext.java
Session session; Session getSession() { return this.session; } boolean login(String userName, String password) { 訪問資料庫,檢查使用者名稱密碼 return 是否合法; } boolean sameUser(UserContext uc) { return uc.userName.equals(this.userName); }
6. 修改LoginManager.java
Collection<UserContext> users; public UserContext login(UserContext user) { for (UserContext uc : users) { if (uc.sameUser(user)) 策略一: return user 策略二:{ users.add(user); // 這兩行在迴圈中操作集合類會丟擲異常 users.remove(uc); // 此處僅為簡單示範程式碼,實際程式碼中應該在迴圈外處理 return uc; } } users.add(user); return null; }
7. 修改LoginAction.java
public String execute() throws Exception { 取session // 也可以在UserContext內部取session。 UserContext user = new UserContext(); user.setSession(session); if (user.login(userName, password)) { UserContext uc = loginManager.login(user); if (null!=uc) uc.getSession().invalidate(); } }