目標:用戶Login一次之後可以訪問同一Server上的不同Webapp 具體實現上采用Tomcat的Single SignOn實現 主要分為下面幾個步驟:
修改Tomcat conf/serverxml 打開SSO支持
<Host> 節點下增加一個Value節點
<Valve className=orgapachecatalinaauthenticatorSingleSignOn
debug= requireReauthentication=false/>
</Host>container認證realm userroleserverxml的<Realm>設置
tomcat的認證機制有個要素 user 和 role
user 是區別一個個用戶的唯一識別了
role 就是一些抽象的權限級別比如adminmanagermemberguest等等都是可以自己定義的一個user可以擁有多種role
可是tomcat怎麼去拿到我的user/role信息呢?我的這些數據都在數據庫裡阿? 可以在tomcat的serverxml裡用 <Realm> tag來讀取這些信息並且tomcat提供了種現成的Realm實現其中有從文件裡讀的有從JDBC讀的有從DataSource讀的也有從LDAP讀的具體Realm的寫法和提供的幾種Realm的配置方法可以參考tomcat自己的文檔在此不作細述 (把tomcat自帶的webapp: tomcatdocswar 展開看裡面的 config/l) 如果連這些現成的配置都不能滿足你的要求的話那也可以考慮自己寫一個Realm的實現類來滿足具體要求下面舉一個JDBC的Realm的配置例子看一下
<Realm className=orgapachecatalinarealmJDBCRealm debug=
driverName=yourjdbcdriverhere
connectionURL=yourjdbcurlhere
connectionName=test
connectionPassword=test
userTable=users
userNameCol=user_name
userCredCol=user_pass
userRoleTable=user_roles
roleNameCol=role_name />webapp使用SSO
告訴tomcat這個webapp要通過container的認證
目標:用戶Login一次之後可以訪問同一Server上的不同Webapp 具體實現上采用Tomcat的Single SignOn實現 主要分為下面幾個步驟:
修改Tomcat conf/serverxml 打開SSO支持
<Host> 節點下增加一個Value節點
<Valve className=orgapachecatalinaauthenticatorSingleSignOn
debug= requireReauthentication=false/>
</Host>container認證realm userroleserverxml的<Realm>設置
tomcat的認證機制有個要素 user 和 role
user 是區別一個個用戶的唯一識別了
role 就是一些抽象的權限級別比如adminmanagermemberguest等等都是可以自己定義的一個user可以擁有多種role
可是tomcat怎麼去拿到我的user/role信息呢?我的這些數據都在數據庫裡阿? 可以在tomcat的serverxml裡用 <Realm> tag來讀取這些信息並且tomcat提供了種現成的Realm實現其中有從文件裡讀的有從JDBC讀的有從DataSource讀的也有從LDAP讀的具體Realm的寫法和提供的幾種Realm的配置方法可以參考tomcat自己的文檔在此不作細述 (把tomcat自帶的webapp: tomcatdocswar 展開看裡面的 config/l) 如果連這些現成的配置都不能滿足你的要求的話那也可以考慮自己寫一個Realm的實現類來滿足具體要求下面舉一個JDBC的Realm的配置例子看一下
<Realm className=orgapachecatalinarealmJDBCRealm debug=
driverName=yourjdbcdriverhere
connectionURL=yourjdbcurlhere
connectionName=test
connectionPassword=test
userTable=users
userNameCol=user_name
userCredCol=user_pass
userRoleTable=user_roles
roleNameCol=role_name />webapp使用SSO
告訴tomcat這個webapp要通過container的認證
具體做法 在webxml裡面加上如下的配置
<securityconstraint>
<webresourcecollection>
<webresourcename>btBT下載 </webresourcename>
<urlpattern>/*</urlpattern>
</webresourcecollection>
<authconstraint>
<! role name 指定哪個role可以訪問可以為多個role
<rolename>intrauser</rolename>
</authconstraint>
</securityconstraint>選擇一種認證方法
在webxml裡面加上如下的配置
<loginconfig>
<authmethod>BASIC</authmethod>
<realmname>Intra Web Application</realmname>
</loginconfig>
<securityrole>
<description>The role that is required to access intrasites</description>
<rolename>intrauser</rolename>
</securityrole>這裡有個要點
authmethod
舉例為了簡單用了最基本的一種BASIC若使用BASIC方式當你去訪問受保護認證的資源時浏覽器會彈出一個小窗口讓你輸入用戶名和密碼(就像我們訪問ioffice時第一次彈出來的那個認證窗口)其他還有幾種認證方式如FORMDIGESTCLIENTCERT其中FORM是可以自己寫login畫面的當然html的form內容有些規定(要符合jee和container的要求嘛) DIGEST是一種加密的傳輸而CLIENTCERT沒有查過有興趣可以去查一下
realmname
這個realmname是這個webapp的認證realm名注意幾個處於同一SSO下的webapp他們的realmname要設成一樣的值 如果不設成一樣那麼換一個webapp就要重新認證一次達不到SSO的效果
如何取得當前的User信息
原本都習慣在login以後把一些login用戶信息放到session裡面的 現在認證都交給container去做了我們的webapp怎麼拿到login用戶信息啊? 確實現在我們的webapp能做的只有從request裡面拿到login用戶的userid了
String userid = requestgerRemoteUser();
以上是在一個Tomcat Container上的SSO實現
如果是不同的Container上的webapp要做SSO這種時候一種可行的方案是最前面架一個webserver(比如apache)在webserver這層承擔SSO的認證任務後面內部就可用掛多個container了 具體都用到的時候再調查吧
From:http://tw.wingwit.com/Article/program/Java/ky/201311/27903.html