SSO技术应用讨论

网上绍单点登陆（SSO）技术的好文章很多，但重点更多的放在了SSO原理及规范上了，关于如何应用该技术的文章或讨论并不多。SSO应用中涉及的开发工作主要有两块：统一的身份认证服务、具体应用系统的客户化改造 。统一认证服务相对独立，开发中应该不是问题。应用系统改造中怎样的架构体系可降低对软件厂商及开发语言等的依赖？整合现有应用系统实现SSO功能上如何进行框架设计、如何系统重构，尽可能做到系统无关，松耦合……希望大家能讨论。

评论

11 楼 limogogogo 2007-06-15  

请老师指点……

10 楼 limogogogo 2007-06-15  

本帖希望能讨论系统整合中统一认证+应用系统改造的结构设计方案，从更多的现实案例出发，分析所遇到的情况，集思广益，让大家可以清晰的看到在实施SSO项目中需解决的方面、所面临的问题，从而制定开发方案，预估工作量等。

9 楼 onlydo 2007-06-15  

xly_971223 写道

limogogogo 写道

xly_971223 写道

limogogogo 写道

应用系统由多家软件厂商提供，且生产的年限不同，因而在技术、架构、开发语言上存在不同，整合过程中需花很大一部分精力去熟悉了解这些系统。如何设计可尽量减少这方面的工作量？如何设计可使应用系统的客户化改造最小？涉及的影响面最小？我认为尽量不改动应用系统原功能（即不打破原功能逻辑），增加新功能，代替操作者模拟原功能（对用户而言不可见），从而达到预期目的。以下是我的理解，
增加统一身份认证系统，该系统与具体应用系统的用户数据需双向同步。用户登陆应用系统时先转向认证系统进行身份验证。验证通过后客户端代理程序将用户身份与具体应用系统中的用户信息关联，然后自动登陆应用系统。这样，基本不用修改原有逻辑。涉及改动的方面也很独立，就是认证系统、应用系统客户资料管理部分，保证两头数据同步。
不知我的理解是否合理？如何设计同步方案更好？希望能与大家交流。

子应用的用户基本信息可在某个时间点上同步到认证服务器的用户数据库，之后都是去认证服务器认证。
新注册用户注册到认证服务器数据库
这样可解决双向同步问题

假设我有两个应用系统A、B。用户访问A系统，此时转向认证服务器进行身份验证，用户在认证中心注册了A用户并登陆。此时若进行客户信息同步，是A、B系统均同步还是只有A系统同步。若只有A系统同步，当用户从A系统转向访问B系统时，由于B系统不存在A用户，如何通过B系统的身份验证逻辑？

我的意思是在在某个时间点比如今晚12点，停止子应用的用户注册功能，将各个子应用的用户信息同步到认证服务器

fds

8 楼 xly_971223 2007-06-15  

limogogogo 写道

xly_971223 写道

limogogogo 写道

应用系统由多家软件厂商提供，且生产的年限不同，因而在技术、架构、开发语言上存在不同，整合过程中需花很大一部分精力去熟悉了解这些系统。如何设计可尽量减少这方面的工作量？如何设计可使应用系统的客户化改造最小？涉及的影响面最小？我认为尽量不改动应用系统原功能（即不打破原功能逻辑），增加新功能，代替操作者模拟原功能（对用户而言不可见），从而达到预期目的。以下是我的理解，
增加统一身份认证系统，该系统与具体应用系统的用户数据需双向同步。用户登陆应用系统时先转向认证系统进行身份验证。验证通过后客户端代理程序将用户身份与具体应用系统中的用户信息关联，然后自动登陆应用系统。这样，基本不用修改原有逻辑。涉及改动的方面也很独立，就是认证系统、应用系统客户资料管理部分，保证两头数据同步。
不知我的理解是否合理？如何设计同步方案更好？希望能与大家交流。

子应用的用户基本信息可在某个时间点上同步到认证服务器的用户数据库，之后都是去认证服务器认证。
新注册用户注册到认证服务器数据库
这样可解决双向同步问题

假设我有两个应用系统A、B。用户访问A系统，此时转向认证服务器进行身份验证，用户在认证中心注册了A用户并登陆。此时若进行客户信息同步，是A、B系统均同步还是只有A系统同步。若只有A系统同步，当用户从A系统转向访问B系统时，由于B系统不存在A用户，如何通过B系统的身份验证逻辑？

我的意思是在在某个时间点比如今晚12点，停止子应用的用户注册功能，将各个子应用的用户信息同步到认证服务器

7 楼 limogogogo 2007-06-15  

xly_971223 写道

limogogogo 写道

应用系统由多家软件厂商提供，且生产的年限不同，因而在技术、架构、开发语言上存在不同，整合过程中需花很大一部分精力去熟悉了解这些系统。如何设计可尽量减少这方面的工作量？如何设计可使应用系统的客户化改造最小？涉及的影响面最小？我认为尽量不改动应用系统原功能（即不打破原功能逻辑），增加新功能，代替操作者模拟原功能（对用户而言不可见），从而达到预期目的。以下是我的理解，
增加统一身份认证系统，该系统与具体应用系统的用户数据需双向同步。用户登陆应用系统时先转向认证系统进行身份验证。验证通过后客户端代理程序将用户身份与具体应用系统中的用户信息关联，然后自动登陆应用系统。这样，基本不用修改原有逻辑。涉及改动的方面也很独立，就是认证系统、应用系统客户资料管理部分，保证两头数据同步。
不知我的理解是否合理？如何设计同步方案更好？希望能与大家交流。

子应用的用户基本信息可在某个时间点上同步到认证服务器的用户数据库，之后都是去认证服务器认证。
新注册用户注册到认证服务器数据库
这样可解决双向同步问题

假设我有两个应用系统A、B。用户访问A系统，此时转向认证服务器进行身份验证，用户在认证中心注册了A用户并登陆。此时若进行客户信息同步，是A、B系统均同步还是只有A系统同步。若只有A系统同步，当用户从A系统转向访问B系统时，由于B系统不存在A用户，如何通过B系统的身份验证逻辑？

6 楼 xly_971223 2007-06-15  

Arden 写道

单点登录倒还是比较容易实现，比较麻烦的一块就是各个Web应用的Session如何维护这一块比较麻烦！

各个session可以在要求登录的页面加拦截器，判断是否通过了sso认证，然后去sso服务器取得用户信息，在本地登录

5 楼 xly_971223 2007-06-15  

limogogogo 写道

应用系统由多家软件厂商提供，且生产的年限不同，因而在技术、架构、开发语言上存在不同，整合过程中需花很大一部分精力去熟悉了解这些系统。如何设计可尽量减少这方面的工作量？如何设计可使应用系统的客户化改造最小？涉及的影响面最小？我认为尽量不改动应用系统原功能（即不打破原功能逻辑），增加新功能，代替操作者模拟原功能（对用户而言不可见），从而达到预期目的。以下是我的理解，
增加统一身份认证系统，该系统与具体应用系统的用户数据需双向同步。用户登陆应用系统时先转向认证系统进行身份验证。验证通过后客户端代理程序将用户身份与具体应用系统中的用户信息关联，然后自动登陆应用系统。这样，基本不用修改原有逻辑。涉及改动的方面也很独立，就是认证系统、应用系统客户资料管理部分，保证两头数据同步。
不知我的理解是否合理？如何设计同步方案更好？希望能与大家交流。

子应用的用户基本信息可在某个时间点上同步到认证服务器的用户数据库，之后都是去认证服务器认证。
新注册用户注册到认证服务器数据库
这样可解决双向同步问题

4 楼 limogogogo 2007-06-15  

另外还有些疑问：
统一用户管理、认证与单点登陆是否为同一概念？
对于单点登陆，是否应划分为统一用户管理下单点登陆机制、非统一用户下单点登陆机制？

3 楼 Arden 2007-06-15  

单点登录倒还是比较容易实现，比较麻烦的一块就是各个Web应用的Session如何维护这一块比较麻烦！

2 楼 limogogogo 2007-06-15  

应用系统由多家软件厂商提供，且生产的年限不同，因而在技术、架构、开发语言上存在不同，整合过程中需花很大一部分精力去熟悉了解这些系统。如何设计可尽量减少这方面的工作量？如何设计可使应用系统的客户化改造最小？涉及的影响面最小？我认为尽量不改动应用系统原功能（即不打破原功能逻辑），增加新功能，代替操作者模拟原功能（对用户而言不可见），从而达到预期目的。以下是我的理解，
增加统一身份认证系统，该系统与具体应用系统的用户数据需双向同步。用户登陆应用系统时先转向认证系统进行身份验证。验证通过后客户端代理程序将用户身份与具体应用系统中的用户信息关联，然后自动登陆应用系统。这样，基本不用修改原有逻辑。涉及改动的方面也很独立，就是认证系统、应用系统客户资料管理部分，保证两头数据同步。
不知我的理解是否合理？如何设计同步方案更好？希望能与大家交流。

1 楼 limogogogo 2007-06-14  

哪位给介绍一下sohu的单点登陆机制？