基于BEA产品安全机制SSO实现.doc

本DEMO项目的SSO实现方式 可采用的方法1 用户认证信息必须由WebLogic Server的Security Framework负责，常用的方法是存放在LDAP或者Windows AD中 1) 不同系统的用户必须整合为基于完全一致 2) 基于Weblogic server实现认证，详细的方法，可参考（/j2ee/1.4/docs/tutorial/doc/Security5.html#wp182253） 3）Web应用本身不做认证，用户名通过 HttpRequest.getRemoteUser()获得； 4）通过 web.xml 来定义认证方式 5）采用SAML实现SSO 6）实现单点登录的应用必须部署在Weblogic Server 9.2.1版本下 可采用的方法2 采用转发URL的方式，本URL的内容包括后台应用系统的用户名字，应用系统自身完全实现通过名字进行验证的登录机制 1 Weblogic Server安全基础 以下部分描述与 WebLogic Server 中的安全有关的安全基础： 审核 身份验证 安全声明标记语言 (SAML) 单一登录 (SSO) 授权 标识和信任 安全套接口层 (SSL) 防火墙 J2EE 和 WebLogic 安全性 ? 审核 通过审核过程，可以收集、存储和分发有关操作请求及其请求结果的信息（用于非否认目的）。换句话说，审核提供了对计算机活动的电子跟踪。在 WebLogic Server 安全体系结构中，审核提供程序用于提供审核服务。 经过配置后，当更改域配置或调用域中任何资源管理操作时，WebLogic 安全框架会在执行安全操作（例如，身份验证或授权）前后调用审核提供程序。由审核提供程序自行做出审核特定事件的决定，该决定可以基于特定审核条件和/或严重程度级别。可以将包含审核信息的记录写入输出仓库（如 LDAP 服务器、数据库和简单文件）。 身份验证 身份验证是一种机制，调用者用其证明自己正在代表特定用户或系统进行操作。身份验证使用凭据（如用户名/密码组合）响应“您是谁？”这一问题。 在 WebLogic Server 中，身份验证提供程序用于证明用户或系统进程的标识。身份验证提供程序还可以记忆、传输标识信息，并在需要时使标识信息可供系统的各种组件使用（通过主题）。在身份验证过程中，通过签署并验证委托人的真实性，委托人验证提供程序可为包含在主题中的委托人（用户或组）提供附加安全保护。 以下部分描述身份验证概念和功能。 主题和委托人 Java 身份验证和授权服务 (JAAS) Callbackhandler 相互身份验证 Servlet 身份验证筛选器 标识声明提供程序和 LoginModule 标识声明和标记 身份验证类型 主题和委托人 主题和委托人紧密相关。 委托人是作为身份验证的结果指定给用户或组的一个标识。用户和组都可以被应用程序服务器（如 WebLogic Server）用作委托人。Java 身份验证和授权服务（Java Authentication and Authorization Service，简称 JAAS）要求将“主题”作为身份验证信息的容器，包括委托人。 图?3-1 说明用户、组、委托人和主题之间的关系。 图?3-1 用户、组、委托人和主题之间的关系 作为成功进行身份验证的一部分，将签署委托人并将其存储在主题中，以便将来使用。委托人验证提供程序签署委托人，而身份验证提供程序的 LoginModule 则将委托人实际存储在主题中。随后，当调用者试图访问存储在主题中的委托人时，委托人验证提供程序将验证自签署该委托人以来是否被修改过，然后将委托人返回给调用者（假定符合所有其他安全条件）。 任何要代表 WebLogic Server 用户或组的委托人都需要实现 WLSUser 和 WLSGroup 接口，这些接口包含在 weblogic.security.spi 包中。 Java 身份验证和授权服务 (JAAS) 无论客户端是应用程序、Applet、Enterprise JavaBean (EJB) 还是需要身份验证的 Servlet，WebLogic Server 都可使用 Java 身份验证和授权服务 (JAAS) 类对客户端进行可靠安全的身份验证。JAAS 实现了 Java 版的可插入身份验证模块（Pluggable Authentication Module，简称 PAM）框架，该框架使应用程序可以独立于底层身份验证技术。因此，使用 PAM 框架可以使用新的或更新后的身份验证技术，而无需对应用程序进行修改。 WebLogic Server 使用 JAAS 对远程胖客户端进行身份验证，在内部用