讨论：关于使用IP地址的SSO系统的实现可能性

  关于单点登录SSO系统是否可以通过IP地址来实现呢？

  具体思路是：因为不管是internte还是intranet中每个机子的IP应该都具有其唯一性的特点。那么在多个子系统同时使用一个登录点系统时，我们是不是可以将其登录的IP信息放在SSO系统中某一记录文件或数据中，然后子系统中添加过滤器。使用httpclient发送请求来验证登录情况。如果本方案可行的话，由于没有使用cookies，也就不存在所谓的跨域问题。

  我自己做了个测试，情况如下：

  一个SSO系统 www.ipsso.com

  两个测试子系统 www.nodeone.com和www.nodetwo.com

  两个子系统中分别使用了过滤器在需要登录的页面进行过滤，而SSO系统主要是取得子系统发送来的IP地址去服务器的记录文件中查询本IP的登录信息。本系统使用了properties类型文件，那么如果IP地址对应值为空或“logout”的话，表示没有登录，这时就跳转到登录页面进行登录。如果有用户信息时就直接返回用户信息。从而实现了单点登录过程。

   我在本机做了测试，修改了TOMCAT的端口为80，然后添加两个虚拟目录：

 

<Host name="www.ipsso.com" appBase="webapps/IPSSO"
       	unpackWARs="true" autoDeploy="true"
       	xmlValidation="false" xmlNamespaceAware="false">

       <Context path="/" debug="0" reloadable="false"/>
			</Host>
			
			<Host name="www.nodeone.com" appBase="webapps/nodeOne"
       	unpackWARs="true" autoDeploy="true"
       	xmlValidation="false" xmlNamespaceAware="false">

       <Context path="/" debug="0" reloadable="false"/>
			</Host>
			
			<Host name="www.nodeTwo.com" appBase="webapps/nodeTwo"
       	unpackWARs="true" autoDeploy="true"
       	xmlValidation="false" xmlNamespaceAware="false">

       <Context path="/" debug="0" reloadable="false"/>
</Host>

 另外修改了hosts文件添加了域名：

    127.0.0.1 www.ipsso.com
    127.0.0.1 www.nodeone.com
    127.0.0.1 www.nodetwo.com

 

通过上面的配置，我在本机测试实现了单点登录的操作。为了验证。我只采取了最简单的实现，如果本方案可行的话，就可以很方便的添加关于安全方面的验证。

 

   由于小弟水平有限，不确定这个思路有什么缺陷，还望高手指点指点。

 

 

 

评论

5 楼 huraky 2009-02-23  

如果局域网中的用户都是通过同一个代理上网的话。是不是就不好区分到底是哪台机子的用户登录了呢？

4 楼 cdredfox 2009-02-23  

ghost319 写道

如果是在局域网中，大家使用一个出口IP，你该怎么判断呢？

可以从http消息头中取得该机在局域网中的地址。

3 楼 huraky 2009-02-23  

呵呵。考虑还是不周到，使用一个IP出口时确实不好判断到底是局域网中的哪台机子！
本方案宣布失败！

2 楼 ghost319 2009-02-23  

如果是在局域网中，大家使用一个出口IP，你该怎么判断呢？

1 楼 huraky 2009-02-23  

没有人感兴趣么？