单点登录（SSO）服务(续）

7 真正安全的全方位SSO解决方案：Kerberos

我们的样例程序（桌面SSO和WEB-SSO）都有一个共性：要想将一个应用集成到我们的SSO解决方案中，或多或少的需要修改应用程序。Web应用需要配置一个我们预制的filter；桌面应用需要加上我们桌面SSO的JAAS模块（至少要修改JAAS的配置文件）。可是有很多程序是没有源代码和无法修改的，例如常用的远程通讯程序telnet和ftp等等一些操作系统自己带的常用的应用程序。这些程序是很难修改加入到我们的SSO的解决方案中。

事实上有一种全方位的SSO解决方案能够解决这些问题，这就是Kerberos协议（RFC 1510）。Kerberos是网络安全应用标准(http://web.mit.edu/kerberos/)，由MIT学校发明，被主流的操作系统所采用。在采用kerberos的平台中，登录和认证是由操作系统本身来维护，认证的凭证也由操作系统来保存，这样整个桌面都可以处于同一个SSO的系统保护中。操作系统中的各个应用（如ftp,telnet）只需要通过配置就能加入到SSO中。另外使用Kerberos最大的好处在于它的安全性。通过密钥算法的保证和密钥中心的建立，可以做到用户的密码根本不需要在网络中传输，而传输的信息也会十分的安全。

目前支持Kerberos的操作系统包括Solaris, windows,Linux等等主流的平台。只不过要搭建一个Kerberos的环境比较复杂，KDC（密钥分发中心）的建立也需要相当的步骤。Kerberos拥有非常成熟的API，包括Java的API。使用Java Generic Security Services(GSS) API并且使用JAAS中对Kerberos的支持（详细信息请参见Sun的Java&Kerberos教程http://java.sun.com/ j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html），要将我们这个样例改造成对Kerberos的支持也是不难的。 值得一提的是在JDK6.0 （http://www.java.net/download/jdk6）当中直接就包含了对GSS的支持，不需要单独下载GSS的包。

 

8 总结

本文的主要目的是阐述SSO的基本原理，并提供了一种实现的方式。通过对源代码的分析来掌握开发SSO服务的技术要点和充分理解SSO的应用范围。但是，本文仅仅说明了身份认证的服务，而另外一个和身份认证密不可分的服务----权限效验，却没有提到。要开发出真正的SSO的产品，在功能上、性能上和安全上都必须有更加完备的考虑。

作者简介

王昱是Sun中国工程研究院的Java工程师，现在的主要负责全球合作伙伴的技术支持。作为一名Java资深工程师和架构师，王昱在Java 的很多领域都有多年的造诣，特别是在Java虚拟机、J2EE技术(包括EJB, JSP/Servlet, JMS和Web services等技术)、集群技术和Java应用性能调优上有着较为丰富的经验。曾经多次在重要的Java会议发表演讲，并在国际著名的Java技术站 点发表文章。

 

资源链接

• OpenSSO 的网站： https://opensso.dev.java.net
• 在java应用中使用掩码的密码提示：http://java.sun.com/developer/technicalArticles/Security/pwordmask/
• Kerberos的资源网站：http://web.mit.edu/kerberos/
• Sun的Java&Kerberos教程：http://java.sun.com/j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html
• Apache社区提供的HttpClient工具包网址：http://jakarta.apache.org/commons/index.html）
• Filter的使用教程文章：http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html
• 我的博客http://yuwang881.blog.sohu.com/3184816.html