tomcat 如何实现SSO(单点登录)

tomcat 如何实现单点登录,其中登陆采用MD5机密方式,该如何配置,请指点,主要是md5加密方式如何制定?web.xml中如何配置

解决方案 »

  1.   

    用户Login一次之后,可以访问同一Server上的不同Webapp, 具体实现上采用Tomcat的Single Sign-On实现. 主要分为下面几个步骤:修改Tomcat conf/server.xml,打开SSO支持  <Host> 节点下增加一个Valve节点
        <Valve className="org.apache.catalina.authenticator.SingleSignOn"
               debug="0" requireReauthentication="false"/>
      </Host>container认证realm: user、role、server.xml的<Realm...>设置tomcat的认证机制有2个要素: user 和 role.
    user 是区别一个个用户的唯一识别了。
    role 就是一些抽象的权限级别,比如“admin”、“manager”、“member”、“guest”等等,都是可以自己定义的.一个user可以拥有多种role.“可是tomcat怎么去拿到我的user/role信息呢?我的这些数据都在数据库里阿?” 
    可以在tomcat的server.xml里用 <Realm> tag来读取这些信息,并且tomcat提供了3、4种现成的Realm实现,其中有从文件里读的,有从JDBC读的,有从DataSource读的,也有从LDAP读的。具体Realm的写法,和提供的几种Realm的配置方法,可以参考tomcat自己的文档,在此不作细述。 (把tomcat自带的webapp: tomcat-docs.war 展开,看里面的 config/realm.html) 如果连这些现成的配置都不能满足你的要求的话,那也可以考虑自己写一个Realm的实现类来满足具体要求。
    下面举一个JDBC的Realm的配置例子看一下:  <Realm  className="org.apache.catalina.realm.JDBCRealm"  debug="99"
               driverName="your.jdbc.driver.here"
               connectionURL="your.jdbc.url.here"
               connectionName="test"
               connectionPassword="test"
               userTable="users"
               userNameCol="user_name"
               userCredCol="user_pass"
               userRoleTable="user_roles"
               roleNameCol="role_name" />webapp使用SSO告诉tomcat这个webapp要通过container的认证。
    具体做法: 在web.xml里面加上如下的配置:    <security-constraint>
          <web-resource-collection>
            <web-resource-name>http://www.bt285.cn  BT下载 </web-resource-name>
            <url-pattern>/*</url-pattern>
          </web-resource-collection>
          <auth-constraint>
            <!-- role name 指定哪个role可以访问,可以为多个role,如两个网站:http://www.5a520.cn http://www.feng123.com  -->
            <role-name>intrauser</role-name>
          </auth-constraint>
        </security-constraint>选择一种认证方法
    在web.xml里面加上如下的配置:    <login-config>
          <auth-method>BASIC</auth-method>
          <realm-name>Intra Web Application</realm-name>
        </login-config>
        <security-role>
          <description>The role that is required to access intrasites</description>
          <role-name>intrauser</role-name>
        </security-role>这里有2个要点:
    auth-method举例为了简单用了最基本的一种BASIC。若使用BASIC方式,当你去访问受保护认证的资源时,浏览器会弹出一个小窗口让你输入用户名和密码。(就像我们访问ioffice时,第一次弹出来的那个认证窗口)其他还有几种认证方式如:FORM、DIGEST、CLIENT-CERT。其中FORM是可以自己写login画面的,当然html的form内容有些规定(要符合j2ee和container的要求嘛)。 DIGEST是一种加密的传输,而CLIENT-CERT没有查过,有兴趣可以去查一下。realm-name这个realm-name是这个webapp的认证realm名,注意几个处于同一SSO下的webapp,他们的realm-name要设成一样的值。 如果不设成一样,那么换一个webapp就要重新认证一次,达不到SSO的效果。如何取得当前的User信息原本都习惯在login以后,把一些login用户信息放到session里面的. 现在认证都交给container去做了,我们的webapp怎么拿到login用户信息啊? 确实,现在我们的webapp能做的,只有从request里面拿到login用户的userid了。String userid = request.gerRemoteUser();以上是在一个Tomcat Container上的SSO实现.如果是不同的Container上的webapp要做SSO,这种时候一种可行的方案是,最前面架一个webserver(比如apache),在webserver这层承担SSO的认证任务,后面内部就可用挂多个container了. 具体都用到的时候再调查吧。 我采用这个配置的,不明白MD5如何配置,再就是跳转显示400错误
      

  2.   

    没有要求用cas啊?网上全部是CAS的例子
      

  3.   

    jdbcRealm FOPM验证中web.xml要如何配置,测试后老是报400错误
      

  4.   

    但凡去第三方应用的 一律转到 SSO 获取 票据
    然后带着票据到第三方 
    第三方通过请求 到SSO 验证票据的可靠性
    从对应的票据中获取来自哪个应用
    SSO对应返回给第三方应用对应的用户名或密码或其它认证方式
    这就是SSO,简单吗?