单点登录 反向代理方式

单点登录 反向代理方式：
使用反向代理实现单点登录，实际上是利用认证服务器模拟登录应用系统，认证服务器通过用户在客户端输入的信息获取用户名和密码，模拟登录应用系统，这时认证服务器将产生一个随机数(AuthTicket)存在客户端，并在认证服务器数据库中存储该随机数，以此来标识该用户登录过，当点击具体业务系统链接时，认证服务器再次产生一个随机数（SSOTicket），在本地数据库存储该随机数，并且将随机数通过URL传到业务系统。认证服务器会定时删除AuthTicket以及SSOTicket。用户每次登录都要通过认证服务器来验证用户身份，认证服务器验证通过后再转向具体的应用系统，那么很显然，这种单点登录实现方式对认证服务器的性能要求就比较高了，很容易形成瓶颈。
用户用反向代理实现单点登录的难点在于多个应用系统中登录页面的不统一，这时候就必须要有一种能够解析页面代码的工具，这种工具能够从任何页面中抓取该页面的信息，获取完后通过认证服务器展现在客户端供用户登录， Apache的HttpClient工具可以实现表单元素的获取以及表单的提交。
如果应用系统登录页面代码编写不规范，还会涉及域的转换（路径转换）问题，使用velosity或者其他工具在具体配置文件中配置相关信息实现路径的转换，这类似一个过滤器的功能。
还有一个问题，是这样的，如果认证服务器已经认证过的用户在其自身的业务系统中的密码突然修改了，那么你下次登录时如果用以前的密码在认证服务器进行登录可能也能正常登录。这也是需要一定的机制进行解决。

评论

3 楼 bo_hai 2014-11-02  

没有完全看明白。

2 楼 ych19850810 2009-02-19  

clasp 写道

呵！可行性太差了点吧。而且不安全呢。

用反向代理方式实现单点登录肯定是可行的，虽然这种技术在国内还不是很成熟。
安全方面的问题你指的是哪方面呢？

1 楼 clasp 2009-02-19  

呵！可行性太差了点吧。而且不安全呢。