• 用戶每天平均 16 分鐘花在身份驗證任務上 - 資料來源： IDS
• 頻繁的 IT 用戶平均有 21 個密碼 - 資料來源： NTA Monitor Password Survey
• 49% 的人寫下了其密碼，而 67% 的人很少改變它們
• 每 79 秒出現一起身份被竊事件 - 資料來源：National Small Business Travel Assoc
• 全球欺騙損失每年約 12B - 資料來源：Comm Fraud Control Assoc
• 到 2007 年，身份管理市場將成倍增長至 $4.5B - 資料來源：IDS

• 提高 IT 效率：對于每 1000 個受管用戶，每用戶可節省$70K
• 幫助臺呼叫減少至少1/3，對于 10K 員工的公司，每年可以節省每用戶 $75，或者合計 $648K
• 生產力提高：每個新員工可節省 $1K，每個老員工可節省 $350 &O5533; 資料來源：Giga
• ROI 回報：7.5 到 13 個月 &O5533; 資料來源：Gartner

• 所有應用系統共享一個身份認證系統。
  統一的認證系統是 SSO 的前提之一。認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功后，認證系統應該生成統一的認證標志（ ticket ），返還給用戶。另外，認證系統還應該對 ticket 進行效驗，判斷其有效性。
• 所有應用系統能夠識別和提取 ticket 信息
  要實現 SSO 的功能，讓用戶只登錄一次，就必須讓應用系統能夠識別已經登錄過的用戶。應用系統應該能對 ticket 進行識別和提取，通過與認證系統的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。

• 單一的用戶信息數據庫并不是必須的，有許多系統不能將所有的用戶信息都集中存儲，應該允許用戶信息放置在不同的存儲中，如下圖所示。事實上，只要統一認證系統，統一 ticket 的產生和效驗，無論用戶信息存儲在什么地方，都能實現單點登錄。

• 統一的認證系統并不是說只有單個的認證服務器，如下圖所示，整個系統可以存在兩個以上的認證服務器，這些服務器甚至可以是不同的產品。認證服務器之間要通過標準的通訊協議，互相交換認證信息，就能完成更高級別的單點登錄。如下圖，當用戶在訪問應用系統 1 時，由第一個認證服務器進行認證后，得到由此服務器產生的 ticket 。當他訪問應用系統 4 的時候，認證服務器 2 能夠識別此 ticket 是由第一個服務器產生的，通過認證服務器之間標準的通訊協議（例如 SAML ）來交換認證信息，仍然能夠完成 SSO 的功能。

1. 統一的身份認證服務。
2. 修改 Web 應用，使得每個應用都通過這個統一的認證服務來進行身份效驗。

• Web-SSO 的樣例是由三個標準 Web 應用組成，壓縮成三個 zip 文件，從 http://gceclub.sun.com.cn/wangyu// 中下載。其中 SSOAuth （ http://gceclub.sun.com.cn/wangyu/ ）是身份認證服務； SSOWebDemo1 （ http://gceclub.sun.com.cn/wangyu/ ）和 SSOWebDemo2 （ http://gceclub.sun.com.cn/wangyu/ ）是兩個用來演示單點登錄的 Web 應用。這三個 Web 應用之所以沒有打成 war 包，是因為它們不能直接部署，根據讀者的部署環境需要作出小小的修改。樣例部署和運行的環境有一定的要求，需要符合 Servlet2.3 以上標準的 J2EE 容器才能運行（例如 Tomcat5,Sun Application Server 8, Jboss 4 等）。另外，身份認證服務需要 JDK1.5 的運行環境。之所以要用 JDK1.5 是因為筆者使用了一個線程安全的高性能的 Java 集合類“ ConcurrentMap” ，只有在 JDK1.5 中才有。
• 這三個 Web 應用完全可以單獨部署，它們可以分別部署在不同的機器，不同的操作系統和不同的 J2EE 的產品上，它們完全是標準的和平臺無關的應用。但是有一個限制，那兩臺部署應用（ demo1 、 demo2 ）的機器的域名需要相同，這在后面的章節中會解釋到 cookie 和 domain 的關系以及如何制作跨域的 WEB-SSO
• 解壓縮 SSOAuth.zip 文件，在 /WEB-INF/ 下的 web.xml 中請修改“ domainname” 的屬性以反映實際的應用部署情況， domainname 需要設置為兩個單點登錄的應用（ demo1 和 demo2 ）所屬的域名。這個 domainname 和當前 SSOAuth 服務部署的機器的域名沒有關系。我缺省設置的是“ .sun.com” 。如果你部署 demo1 和 demo2 的機器沒有域名，請輸入 IP 地址或主機名（如 localhost ），但是如果使用 IP 地址或主機名也就意味著 demo1 和 demo2 需要部署到一臺機器上了。設置完后，根據你所選擇的 J2EE 容器，可能需要將 SSOAuth 這個目錄壓縮打包成 war 文件。用“ jar -cvf SSOAuth.war SSOAuth/” 就可以完成這個功能。
• 解壓縮 SSOWebDemo1 和 SSOWebDemo2 文件，分別在它們 /WEB-INF/ 下找到 web.xml 文件，請修改其中的幾個初始化參數
  <init-param>
  <param-name>SSOServiceURL</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
  </init-param>
  <init-param>
  <param-name>SSOLoginPage</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
  </init-param>
  將其中的 SSOServiceURL 和 SSOLoginPage 修改成部署 SSOAuth 應用的機器名、端口號以及根路徑（缺省是 SSOAuth ）以反映實際的部署情況。設置完后，根據你所選擇的 J2EE 容器，可能需要將 SSOWebDemo1 和 SSOWebDemo2 這兩個目錄壓縮打包成兩個 war 文件。用“ jar -cvf SSOWebDemo1.war SSOWebDemo1/” 就可以完成這個功能。
• 請輸入第一個 web 應用的測試 URL （ test.jsp ） , 例如 http://wangyu.prc.sun.com:8080/ SSOWebDemo1/test.jsp ，如果是第一次訪問，便會自動跳轉到登錄界面，如下圖
  
  
• 使用系統自帶的三個帳號之一登錄（例如，用戶名： wangyu, 密碼： wangyu ），便能成功的看到 test.jsp 的內容：顯示當前用戶名和歡迎信息。
  

• 請接著在同一個瀏覽器中輸入第二個 web 應用的測試 URL （ test.jsp ） , 例如 http://wangyu.prc.sun.com:8080/ SSOWebDemo2/test.jsp 。你會發現，不需要再次登錄就能看到 test.jsp 的內容，同樣是顯示當前用戶名和歡迎信息，而且歡迎信息中明確的顯示當前的應用名稱（ demo2 ）。

package DesktopSSO; ? import java.io.*; import java.net.*; import java.text.*; import java.util.*; import java.util.concurrent.*; ? import javax.servlet.*; import javax.servlet.http.*; ? ? public class SSOAuth extends HttpServlet { ??? ??? static private ConcurrentMap accounts; ??? static private ConcurrentMap SSOIDs; ??? String cookiename="WangYuDesktopSSOID"; ??? String domainname; ??? ??? public void init(ServletConfig config) throws ServletException { ??????? super.init(config); ??????? domainname= config.getInitParameter("domainname"); ??????? cookiename = config.getInitParameter("cookiename"); ??????? SSOIDs = new ConcurrentHashMap(); ??????? accounts=new ConcurrentHashMap(); ??????? accounts.put("wangyu", "wangyu"); ??????? accounts.put("paul", "paul"); ??????? accounts.put("carol", "carol"); ??? } ? ??? protected void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { ??????? PrintWriter out = response.getWriter(); ??????? String action = request.getParameter("action"); ??????? String result="failed"; ??????? if (action==null) { ??????????? handlerFromLogin(request,response); ??????? } else if (action.equals("authcookie")){ ??????????? String myCookie = request.getParameter("cookiename"); ??????????? if (myCookie != null)?result = authCookie(myCookie); ??????????? out.print(result); ??????????? out.close(); ??????? } else if (action.equals("authuser")) { ??????????? result=authNameAndPasswd(request,response); ??????????? out.print(result); ??????????? out.close(); ??????? }?else if (action.equals("logout")) { ??????????? String myCookie = request.getParameter("cookiename"); ??????????? logout(myCookie); ?? ????????? out.close(); ??????? } ??? } ? ..... ? }

1. 如果用戶還沒有登錄過，是第一次登錄本系統，會被跳轉到 login.jsp 頁面（在后面會解釋如何跳轉）。用戶在提供了用戶名和密碼以后，就會用 handlerFromLogin() 這個方法來驗證。
2. 如果用戶已經登錄過本系統，再訪問別的應用的時候，是不需要再次登錄的。因為瀏覽器會將第一次登錄時產生的 cookie 和請求一起發送。效驗 cookie 的有效性是 SSOAuth 的主要功能之一。
3. SSOAuth 還能直接效驗非 login.jsp 頁面過來的用戶名和密碼的效驗請求。這個功能是用于非 web 應用的 SSO ，這在后面的桌面 SSO 中會用到。
4. SSOAuth 還提供 logout 服務。

? private void handlerFromLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { ??????? String username = request.getParameter("username"); ??????? String password = request.getParameter("password"); ??????? String pass = (String)accounts.get(username); ??????? if ((pass==null)||(!pass.equals(password))) ??????????? getServletContext().getRequestDispatcher("/failed.html").forward(request, response); ??????? else { ??????????? String gotoURL = request.getParameter("goto"); ??????????? String newID = createUID(); ??????????? SSOIDs.put(newID, username); ??????????? Cookie wangyu = new Cookie(cookiename, newID); ??????????? wangyu.setDomain(domainname); ??????????? wangyu.setMaxAge(60000); ??????????? wangyu.setValue(newID); ??????????? wangyu.setPath("/"); ??????????? response.addCookie(wangyu); ??????????? System.out.println("login success, goto back url:" + gotoURL); ??????????? if (gotoURL != null) { ??????????????? PrintWriter out = response.getWriter(); ???? ??????????? response.sendRedirect(gotoURL); ??????????????? out.close(); ??????????? } ??????? }?? ??? }

• Web 應用中每一個需要安全保護的 URL 在訪問以前，都需要進行安全檢查，如果發現沒有登錄（沒有發現認證之后所帶的 cookie ），就重新定向到 SSOAuth 中的 login.jsp 進行登錄。
• 登錄成功后，系統會自動給你的瀏覽器設置 cookie ，證明你已經登錄過了。
• 當你再訪問這個應用的需要保護的 URL 的時候，系統還是要進行安全檢查的，但是這次系統能夠發現相應的 cookie 。
• 有了這個 cookie ，還不能證明你就一定有權限訪問。因為有可能你已經 logout, 或者 cookie 已經過期了，或者身份認證服務重起過，這些情況下，你的 cookie 都可能無效。應用系統拿到這個 cookie ，還需要調用身份認證的服務，來判斷 cookie 時候真的有效，以及當前的 cookie 對應的用戶是誰。
• 如果 cookie 效驗成功，就允許用戶訪問當前請求的資源。

• 在每個被訪問的資源中（ JSP 或 Servlet ）中都加入身份認證的服務，來獲得 cookie ，并且判斷當前用戶是否登錄過。不過這個笨方法沒有人會用 :-) 。
• 可以通過一個 controller ，將所有的功能都寫到一個 servlet 中，然后在 URL 映射的時候，映射到所有需要保護的 URL 集合中（例如 *.jsp ， /security/* 等）。這個方法可以使用，不過，它的缺點是不能重用。在每個應用中都要部署一個相同的 servlet 。
• Filter 是比較好的方法。符合 Servlet2.3 以上的 J2EE 容器就具有部署 filter 的功能。（ Filter 的使用可以參考 JavaWolrd 的文章 http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html ） Filter 是一個具有很好的模塊化，可重用的編程 API ，用在 SSO 正合適不過。本樣例就是使用一個 filter 來完成以上的功能。

package SSO; ? import java.io.*; import java.net.*; import java.util.*; import java.text.*; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.*; import org.apache.commons.httpclient.*; import org.apache.commons.httpclient.methods.GetMethod; ? public class SSOFilter implements Filter { ??? private FilterConfig filterConfig = null; ??? private String cookieName="WangYuDesktopSSOID"; ??? private String SSOServiceURL=?"http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth"; ??? private String SSOLoginPage= "http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp"; ??? ??? public void init(FilterConfig filterConfig) { ? ??????? this.filterConfig = filterConfig; ??????? if (filterConfig != null) { ??????????? if (debug) { ??????????????? log("SSOFilter:Initializing filter"); ??????????? } ??????? }??????? ??????? cookieName = filterConfig.getInitParameter("cookieName"); ??????? SSOServiceURL = filterConfig.getInitParameter("SSOServiceURL"); ??????? SSOLoginPage = filterConfig.getInitParameter("SSOLoginPage"); ??? }? ..... ..... ? }

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { ??????? if (debug) log("SSOFilter:doFilter()"); ??????? HttpServletRequest request = (HttpServletRequest) req; ??????? HttpServletResponse response = (HttpServletResponse) res; ??????? String result="failed"; ??????? String url = request.getRequestURL().toString(); ??????? String qstring = request.getQueryString(); ??????? if (qstring == null) qstring =""; ? ??????? // 檢查 http 請求的 head 是否有需要的 cookie ??????? String cookieValue =""; ??????? javax.servlet.http.Cookie[] diskCookies = request.getCookies(); ??????? if (diskCookies != null) { ??????????? for (int i = 0; i < diskCookies.length; i++) { ??????????????? if(diskCookies[i].getName().equals(cookieName)){ ??????????????????? cookieValue = diskCookies[i].getValue(); ? ??????????????????? // 如果找到了相應的 cookie 則效驗其有效性 ??????????????????? result = SSOService(cookieValue); ??????????????????? if (debug) log("found cookies!"); ???????? ??????? } ??????????? } ??????? } ??????? if (result.equals("failed")) { // 效驗失敗或沒有找到 cookie ，則需要登錄 ??????????? response.sendRedirect(SSOLoginPage+"?goto="+url); ??????? } else if (qstring.indexOf("logout") > 1) {//logout 服務 ??????????? if (debug) log("logout action!"); ??????????? logoutService(cookieValue); ??????????? response.sendRedirect(SSOLoginPage+"?goto="+url); ??????? }?else {// 效驗成功 ??????????? request.setAttribute("SSOUser",result); ??????????? Throwable problem = null; ??????????? try { ??????????? ???? chain.doFilter(req, res); ??????????? } catch(Throwable t) { ??????????????? problem = t; ??????????????? t.printStackTrace(); ??????????? }?????? ??????????? if (problem != null) { ??????????????? if (problem instanceof ServletException) throw (ServletException)problem; ??????????????? if (problem instanceof IOException) throw (IOException)problem; ??????????????? sendProcessingError(problem, res); ??????????? } ??????? }?? ??? }

??? private String SSOService(String cookievalue) throws IOException { ??????? String authAction = "?action=authcookie&cookiename="; ??????? HttpClient httpclient = new HttpClient(); ??????? GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue); ??????? try {? ??????????? httpclient.executeMethod(httpget); ??????????? String result = httpget.getResponseBodyAsString(); ??????????? return result; ??????? } finally { ??????????? httpget.releaseConnection(); ??????? } ??? } ??? ??? private void logoutService(String cookievalue) throws IOException { ??????? String authAction = "?action=logout&cookiename="; ??????? HttpClient httpclient = new HttpClient(); ??????? GetMethod httpget = new GetMethod(SSOServiceURL+authAction+cookievalue); ??????? try { ??????????? httpclient.executeMethod(httpget); ??????????? httpget.getResponseBodyAsString(); ??????? } finally { ??????????? httpget.releaseConnection(); ??????? } ??? }

• cookie 的長度和復雜度
  在本方案中， cookie 是有一個固定的字符串（我的姓名）加上當前的時間戳。這樣的 cookie 很容易被偽造和猜測。懷有惡意的用戶如果猜測到合法的 cookie 就可以被當作已經登錄的用戶，任意訪問權限范圍內的資源
• cookie 的效驗和保護
  在本方案中，雖然密碼只要傳輸一次就夠了，可 cookie 在網絡中是經常傳來傳去。一些網絡探測工具（如 sniff, snoop,tcpdump 等）可以很容易捕獲到 cookie 的數值。在本方案中，并沒有考慮 cookie 在傳輸時候的保護。另外對 cookie 的效驗也過于簡單，并不去檢查發送 cookie 的來源究竟是不是 cookie 最初的擁有者，也就是說無法區分正常的用戶和仿造 cookie 的用戶。
• 當其中一個應用的安全性不好，其他所有的應用都會受到安全威脅
  因為有 SSO ，所以當某個處于 SSO 的應用被黒客攻破，那么很容易攻破其他處于同一個 SSO 保護的應用。

• 當前所提供的登錄認證模式只有一種：用戶名和密碼，而且為了簡單，將用戶名和密碼放在內存當中。事實上，用戶身份信息的來源應該是多種多樣的，可以是來自數據庫中， LDAP 中，甚至于來自操作系統自身的用戶列表。還有很多其他的認證模式都是商務應用不可缺少的，因此 SSO 的解決方案應該包括各種認證的模式，包括數字證書， Radius ， SafeWord ， MemberShip ， SecurID 等多種方式。最為靈活的方式應該允許可插入的 JAAS 框架來擴展身份認證的接口
• 我們編寫的 Filter 只能用于 J2EE 的應用，而對于大量非 Java 的 Web 應用，卻無法提供 SSO 服務。
• 在將 Filter 應用到 Web 應用的時候，需要對容器上的每一個應用都要做相應的修改，重新部署。而更加流行的做法是 Agent 機制：為每一個應用服務器安裝一個 agent ，就可以將 SSO 功能應用到這個應用服務器中的所有應用。
• 當前的方案不能支持分別位于不同 domain 的 Web 應用進行 SSO 。這是因為瀏覽器在訪問 Web 服務器的時候，僅僅會帶上和當前 web 服務器具有相同 domain 名稱的那些 cookie 。要提供跨域的 SSO 的解決方案有很多其他的方法，在這里就不多說了。 Sun 的 Access Manager 就具有跨域的 SSO 的功能。
• 另外， Filter 的性能問題也是需要重視的方面。因為 Filter 會截獲每一個符合 URL 映射規則的請求，獲得 cookie ，驗證其有效性。這一系列任務是比較消耗資源的，特別是驗證 cookie 有效性是一個遠程的 http 的調用，來訪問 SSOAuth 的認證服務，有一定的延時。因此在性能上需要做進一步的提高。例如在本樣例中，如果將 URL 映射從“ .jsp ” 改成“ /* ” ，也就是說 filter 對所有的請求都起作用，整個應用會變得非常慢。這是因為，頁面當中包含了各種靜態元素如 gif 圖片， css 樣式文件，和其他 html 靜態頁面，這些頁面的訪問都要通過 filter 去驗證。而事實上，這些靜態元素沒有什么安全上的需求，應該在 filter 中進行判斷，不去效驗這些請求，性能會好很多。另外，如果在 filter 中加上一定的 cache ，而不需要每一個 cookie 效驗請求都去遠端的身份認證服務中執行，性能也能大幅度提高。
• 另外系統還需要很多其他的服務，如在內存中定時刪除無用的 cookie 映射等等，都是一個嚴肅的解決方案需要考慮的問題。

1. 運行此桌面 SSO 需要三個前提條件：
   a) WEB-SSO 的身份認證應用應該正在運行，因為我們在桌面 SSO 當中需要用到統一的認證服務
   b) 當前桌面需要運行 Mozilla 或 Netscape 瀏覽器，因為我們將 ticket 保存到 mozilla 的 cookie 文件中
   c) 必須在 JDK1.4 以上運行。（ WEB-SSO 需要 JDK1.5 以上）
2. 解開 desktopsso.zip 文件，里面有兩個目錄 bin 和 lib 。
3. bin 目錄下有一些腳本文件和配置文件，其中 config.properties 包含了三個需要配置的參數：
   a) SSOServiceURL 要指向 WebSSO 部署的身份認證的 URL
   b) SSOLoginPage 要指向 WebSSO 部署的身份認證的登錄頁面 URL
   c) cookiefilepath 要指向當前用戶的 mozilla 所存放 cookie 的文件
4. 在 bin 目錄下還有一個 login.conf 是用來配置 JAAS 登錄模塊，本樣例提供了兩個，讀者可以任意選擇其中一個（也可以都選），再重新運行程序，查看登錄認證的變化
5. 在 bin 下的運行腳本可能需要作相應的修改
   a) 如果是在 unix 下，各個 jar 文件需要用“ : ” 來隔開，而不是“ ; ”
   b) java 運行程序需要放置在當前運行的路徑下，否則需要加上 java 的路徑全名。

??? DesktopSSO { ?? desktopsso.share.PasswordLoginModule required; ?? desktopsso.share.DesktopSSOLoginModule required; };

? public class DesktopSSOLoginModule implements LoginModule { ?? .......... ?? private String SSOServiceURL = ""; ?? private String SSOLoginPage = ""; ?? private static String cookiefilepath = "";?? ?? .........

SSOServiceURL=http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth SSOLoginPage=http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp cookiefilepath=C:\\Documents and Settings\\yw137672\\Application Data\\Mozilla\\Profiles\\default\\hog6z1ji.slt\\cookies.txt

??? public boolean login() throws LoginException{ ??????? try { ??????????? if (Cookielogin()) return true; ??????? } catch (IOException ex) { ??????????? ex.printStackTrace(); ??????? } ????? if (passwordlogin()) return true; ????? throw new FailedLoginException(); ? }

??? public boolean Cookielogin() throws LoginException,IOException { ????? String?cookieValue=""; ????? int cookieIndex =foundCookie(); ????? if (cookieIndex<0) ??????????? return false; ????? else ??????????? cookieValue = getCookieValue(cookieIndex); ???? username = cookieAuth(cookieValue); ???? if (! username.equals("failed")) { ???????? loginSuccess =?true; ???????? return true; ???? } ???? return false; ? }

?? public boolean passwordlogin() throws LoginException { ??? // ??? // Since we need input from a user, we need a callback handler ??? if (callbackHandler == null) { ?????? throw new LoginException("No CallbackHandler defined"); ??? } ??? Callback[] callbacks = new Callback[2]; ??? callbacks[0] = new NameCallback("Username"); ??? callbacks[1] = new PasswordCallback("Password", false); ??? // ??? // Call the callback handler to get the username and password ??? try { ????? callbackHandler.handle(callbacks); ????? username = ((NameCallback)callbacks[0]).getName(); ????? char[] temp = ((PasswordCallback)callbacks[1]).getPassword(); ????? password = new char[temp.length]; ????? System.arraycopy(temp, 0, password, 0, temp.length); ????? ((PasswordCallback)callbacks[1]).clearPassword(); ??? } catch (IOException ioe) { ????? throw new LoginException(ioe.toString()); ??? } catch (UnsupportedCallbackException uce) { ????? throw new LoginException(uce.toString()); ??? } ??? ??? System.out.println(); ??? String authresult =""; ??? try { ??????? authresult = userAuth(username, password); ??? } catch (IOException ex) { ??????? ex.printStackTrace(); ??? } ??? if (! authresult.equals("failed")) { ??????? loginSuccess= true; ??????? clearPassword(); ??????? try { ??????????? updateCookie(authresult); ??????? } catch (IOException ex) { ??????????? ex.printStackTrace(); ??????? } ??????? return true; ??? } ?? ? ??? loginSuccess = false; ??? username = null; ??? clearPassword(); ??? System.out.println( "Login: PasswordLoginModule FAIL" ); ??? throw new FailedLoginException(); ? } ?

??????? private String cookieAuth(String cookievalue) throws IOException{ ??????? String result = "failed"; ??????? ??????? HttpClient httpclient = new HttpClient();?????? ??????? GetMethod httpget = new GetMethod(SSOServiceURL+Action1+cookievalue); ??? ??????? try { ??????????? httpclient.executeMethod(httpget); ??????????? result = httpget.getResponseBodyAsString(); ??????? } finally { ??????????? httpget.releaseConnection(); ??????? } ??????? return result; ??? } ? private String userAuth(String username, char[] password) throws IOException{ ??????? String result = "failed"; ??????? String passwd= new String(password); ??????? HttpClient httpclient = new HttpClient();?????? ??????? GetMethod httpget = new GetMethod(SSOServiceURL+Action2+username+"&password="+passwd); ??????? passwd = null; ??? ??????? try { ??????????? httpclient.executeMethod(httpget); ??????????? result = httpget.getResponseBodyAsString(); ??????? } finally { ??????????? httpget.releaseConnection(); ??????? } ??????? return result; ??????? ??? }

• OpenSSO 的網站： https://opensso.dev.java.net/
• 在 java 應用中使用掩碼的密碼提示： http://java.sun.com/developer/technicalArticles/Security/pwordmask/
• Kerberos 的資源網站： http://web.mit.edu/kerberos/
• Sun 的 Java&Kerberos 教程： http://java.sun.com/j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html
• Apache 社區提供的 HttpClient 工具包網址： http://jakarta.apache.org/commons/index.html ）
• Filter 的使用教程文章： http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html

jwebee

我的個人網站