SSO身份統(tǒng)一認證系統(tǒng)技術(shù)實現(xiàn)

1、用戶身份統(tǒng)一認證系統(tǒng)西安維信軟件有限公司2014年4月22日.目錄一、認證中心的主要功能：3二、認證中心的設(shè)計要求：3三、對業(yè)務(wù)系統(tǒng)的要求：4四、認證中心的登錄4五、SSO 驗證實現(xiàn)過程5六、接口設(shè)計7七、業(yè)務(wù)系統(tǒng)的集成工作10.專業(yè)學習資料.一、認證中心的主要功能：1）用戶登錄認證 （平臺機構(gòu) 、用戶名和密碼的校驗、數(shù)字證書簽名校驗 、實時短信校驗 ）2）憑證生成和傳遞3）憑證有效性檢查4）記錄日志、提供審計5）關(guān)聯(lián)系統(tǒng)信息的維護6）證書的管理和公共服務(wù)二、認證中心的設(shè)計要求：1）考慮到憑證的安全性 ，引入了加密和數(shù)字簽名技術(shù)；2）不提供注冊功能 ，而是分別在各自應(yīng)用進行注冊，但提供到各個系

2、統(tǒng)的注冊鏈接 ；3）注銷系統(tǒng)時 ，只需清除認證中心的Session 信息即可 ，其它已經(jīng)通過認證登錄過的業(yè)務(wù)系統(tǒng)不受影響；4）各應(yīng)用系統(tǒng)的用戶信息分別各自管理，綜合接入平臺提供平臺統(tǒng)一機構(gòu)和統(tǒng)一用戶信息的生成和維護功能，并提供平臺統(tǒng)一用戶和應(yīng)用系統(tǒng)用戶的綁定功能 ；5）認證中心專有憑證模塊負責憑證的創(chuàng)建，解析及驗證 ，并對外提供服務(wù)接口；6）業(yè)務(wù)系統(tǒng)可根據(jù)憑證得到用戶的相關(guān)信息，比如業(yè)務(wù)系統(tǒng)用戶機構(gòu)、用.專業(yè)學習資料.戶名等信息 ，認證中心對外提供用戶信息獲取服務(wù)；7）提供應(yīng)用系統(tǒng)管理功能，方便統(tǒng)計登錄行為 ，提供審計和日志功能 ，方便將其他應(yīng)用系統(tǒng)經(jīng)過簡單配置，就可加入認證整合系統(tǒng)中，方便證

3、書的注冊、注銷、查詢等；8）為了確保認證中心的健壯 ，系統(tǒng)支持熱備份等功能 。三、對業(yè)務(wù)系統(tǒng)的要求：1）憑證信息的相互傳送都是已加密的方式進行傳送，即使憑證信息被截取到，也無法解析到憑證信息中的內(nèi)容，各業(yè)務(wù)系統(tǒng)只可使用自己的私鑰才可以解密憑證信息 ；2）業(yè)務(wù)系統(tǒng)不可以每次都去認證中心驗證，所以可將憑證保存在會話中，即 Session 的方式；3）業(yè)務(wù)系統(tǒng)不要過于復雜，以方便和現(xiàn)有系統(tǒng)的整合，建議采用過濾器或Servlet 方式；4）由于業(yè)務(wù)系統(tǒng)的權(quán)限管理機制可能不同，故認證中心不做權(quán)限管理，由業(yè)務(wù)系統(tǒng)自己負責 ；5）業(yè)務(wù)系統(tǒng)和認證中心的通信采用Web Services接口服務(wù) 。四、認證中心的

4、登錄業(yè)務(wù)系統(tǒng)要使用認證中心進行驗證操作，第一次需要登錄一次認證中心，之后的認證的操作則不需要再次登錄認證中心。.專業(yè)學習資料.機構(gòu)號：柜員號：密碼：短信效驗碼：59秒發(fā)送效驗碼登錄當認證中心登錄成功之后，用戶便可在認證中心的 “業(yè)務(wù)應(yīng)用列表 ”當中選擇相應(yīng)的業(yè)務(wù)系統(tǒng) ，進行業(yè)務(wù)系統(tǒng)的用戶登錄驗證操作。五、SSO 驗證實現(xiàn)過程1、當用戶要使用認證中心進行業(yè)務(wù)系統(tǒng)的統(tǒng)一認證時候，分為兩種情況 ：a) 用戶未登錄過統(tǒng)一認證系統(tǒng)此時用戶的瀏覽器界面首先會跳轉(zhuǎn)到認證中心的登錄地址，用戶輸入相關(guān)的登錄信息 （機構(gòu)號、柜員號 、密碼、短信效驗碼等 ），待驗證通過后，則會跳轉(zhuǎn)到認證中心的 “業(yè)務(wù)系統(tǒng)列表 ”頁

5、面 ；b) 用戶已登錄過統(tǒng)一認證系統(tǒng)如果用戶之前已經(jīng)登錄過認證中心，則當前用戶的瀏覽器頁面會直接跳轉(zhuǎn)到 “業(yè)務(wù)系統(tǒng)列表 ”。2、當進入到 “業(yè)務(wù)系統(tǒng)列表 ”之后 ，用戶通過選擇相應(yīng)的業(yè)務(wù)系統(tǒng)，然后頁面會跳轉(zhuǎn)到業(yè)務(wù)系統(tǒng)中“用于重定向到SSO 驗證服務(wù)認證地址的轉(zhuǎn)發(fā)地址”，跳轉(zhuǎn)完成后 ，業(yè)務(wù)系統(tǒng)自身會生成一個用于驗證本次認證請求的隨機.專業(yè)學習資料.碼，并攜帶認證中心所提供的應(yīng)用編號，向認證中心發(fā)起一次用戶驗證請求（即將頁面重定向到認證中心所提供的“用于業(yè)務(wù)系統(tǒng)請求SSO 驗證服務(wù)的認證地址 ”）。3、當認證中心接收到業(yè)務(wù)系統(tǒng)發(fā)起的用戶驗證請求后，首先認證中心會從SSO服務(wù)端的 Session 中

6、獲取到當前所登錄用戶的用戶信息，然后再從業(yè)務(wù)系統(tǒng)的請求當中接收到由業(yè)務(wù)系統(tǒng)所發(fā)送的隨機碼和應(yīng)用編號，根據(jù)認證中心登陸的用戶編號，業(yè)務(wù)系統(tǒng)的應(yīng)用編號，從數(shù)據(jù)庫查詢到業(yè)務(wù)系統(tǒng)所需要的映射用戶信息。然后再將業(yè)務(wù)系統(tǒng)所發(fā)送的隨機碼等信息通過相關(guān)加密方式生成一個用于本次業(yè)務(wù)系統(tǒng)登錄認證的憑證信息，返還給業(yè)務(wù)系統(tǒng)。4、業(yè)務(wù)系統(tǒng)通過回調(diào)地址接收到認證中心所返回的憑證信息，然后對其的可用性進行檢測 （驗簽、隨機碼比對 、憑證可用性效驗等）。如果當前憑證信息正確無誤且可用，則對其進行解密。隨后業(yè)務(wù)系統(tǒng)根據(jù)自己的需求，從憑證信息中獲取到相應(yīng)的用戶信息，加載自己系統(tǒng)的用戶權(quán)限、菜單等信息 ，跳轉(zhuǎn)到業(yè)務(wù)系統(tǒng)自身的系統(tǒng)

7、界面，即完成了一次SSO 登錄驗證過程。.專業(yè)學習資料.SSO驗證登錄客戶端瀏覽器業(yè)務(wù)系統(tǒng)SSO服務(wù)用戶訪問業(yè)務(wù)判斷是否登錄重定向 ( 攜帶業(yè)務(wù)驗證頁面判斷 SSO系統(tǒng)是應(yīng)用系統(tǒng)編號和隨機碼 )否登錄已登錄業(yè)務(wù)系統(tǒng)解密數(shù)據(jù)登錄成功返回憑證數(shù)據(jù)沒有登錄OSS登錄頁面將憑證發(fā)送驗證隨即碼和憑證到服務(wù)器驗證WebServic 憑證驗證可用性服務(wù)器返回驗證接口結(jié)果 boolean加載該用戶權(quán)限,登錄成功頁展現(xiàn)用戶業(yè)務(wù)頁面六、接口設(shè)計1） 憑證的設(shè)計 （算法、結(jié)構(gòu)）a) 憑證采用 RAS 非對稱密碼算法 ，服務(wù)端采用電子信封和數(shù)字簽名生成一個用于業(yè)務(wù)系統(tǒng)登錄驗證的憑證信息 ；b) 憑證的數(shù)據(jù)采用 JSO

8、N 格式存儲 ，結(jié)構(gòu)包括 ：i. 當驗證成功后 ，返回響應(yīng)碼 (00)和驗證通過的用戶信息憑證 ，.專業(yè)學習資料.如：響應(yīng) 碼 user:brhId:用 戶機 構(gòu)編 號 ,userId: 用戶 編號,caSerialId:CA證 書 序 列 號 ,ssoUseId:”用SSO戶 編號 ”tokenMark:, 憑證唯一標識,clientMark: 業(yè)務(wù)系統(tǒng)所生成的隨機碼 ,signData: 簽名值 ；ii. 當驗證失敗后 ，則返回響應(yīng)碼和未通過驗證的異常信息憑證 ；響應(yīng)碼 errInfo: 詳細的異常信息說明 。響應(yīng)碼說明 ：響應(yīng)碼響應(yīng)碼詳細說明0 驗證通過01代表當前所請求的應(yīng)用信息不存在

9、；02代碼當前所請求的應(yīng)用暫時不可用；03代表當前所請求的應(yīng)用在SSO 服務(wù)端暫為添加映射用戶信息；4 代表當前所請求的應(yīng)用在 SSO 服務(wù)端中的映射用戶信息不可用 ；9 其他異常信息 ；2） 認證中心提供用于業(yè)務(wù)系統(tǒng)請求SSO 驗證服務(wù)的認證地址業(yè)務(wù)系統(tǒng)每次使用SSO 驗證服務(wù) ，需請求以下鏈接 ：http:/serverIp:port/verificationApp?appId=應(yīng)用編號 &clientMark=業(yè)務(wù)系統(tǒng)隨機碼應(yīng)用編號將會由SSO 服務(wù)提供 ，業(yè)務(wù)系統(tǒng)隨機碼由業(yè)務(wù)系統(tǒng)自身生成。.專業(yè)學習資料.3） 業(yè)務(wù)系統(tǒng)提供用于重定向到SSO 驗證服務(wù)認證地址的轉(zhuǎn)發(fā)地址當需要進行登錄驗證

10、時 ，SSO 系統(tǒng)首先跳轉(zhuǎn)到此地址，然后由業(yè)務(wù)系統(tǒng)自身生成一個隨機碼，并攜帶認證系統(tǒng)所分配給自己的應(yīng)用編號，重定向到認證中心所提供的用于業(yè)務(wù)系統(tǒng)請求SSO 驗證服務(wù)的認證地址 ：http:/clientIp:port/SSOLoginRedirect4） 業(yè)務(wù)系統(tǒng)提供接收服務(wù)端返回憑證的回調(diào)地址http:/clientIp:port/SSOLoginServlet接收服務(wù)端返回的憑證 （String ）：響應(yīng)碼 + 憑證業(yè)務(wù)應(yīng)用系統(tǒng)讀取響應(yīng)碼判斷憑證是否正確返回，解密憑證讀取隨機碼（clientMark ），驗證隨機碼是否是業(yè)務(wù)系統(tǒng)生成。5） 認證中心提供業(yè)務(wù)系統(tǒng)用于驗證本次憑證相關(guān)信息的We

11、bService接口地址當業(yè)務(wù)通過回調(diào)地址接收到SSO 服務(wù)端的憑證信息后，需要對憑證信息進行相關(guān)的驗證操作 ，此時就需要調(diào)用SSO 服務(wù)端的 WebService 接口進行驗證 ，此接口地址為 ：http:/serverIp:port/service/SSOService?wsdl調(diào)用方法及說明 ：方法名稱方法說明方法參數(shù)返回結(jié)果verificationToken用于驗證憑證信息是String ，憑證唯一標Boolean ， 憑證是否否可用識 (唯一標識為憑證可用信息中的 tokenMark值).專業(yè)學習資料.6） 認證中心提供業(yè)務(wù)系統(tǒng)用于本地驗簽，解密數(shù)據(jù)相關(guān)方法相關(guān)的方法都位于sso_c

12、lient.jar 文件當中 。方法名稱方法說明方法參數(shù)返回結(jié)果verificationSign用于驗證憑證信息是String ， SSO 服務(wù)端Boolean ，驗簽結(jié)果否由SSO 服務(wù)端所發(fā)返回的憑證信息送deAppToken用于解密服務(wù)端所返String ， SSO 服務(wù)端String ， 解密后的憑回的憑證信息中的數(shù)返回的憑證信息證信息據(jù)7） 認證中心提供業(yè)務(wù)系統(tǒng)用于調(diào)用SSO 驗證服務(wù)所需的配置文件業(yè)務(wù)系統(tǒng)調(diào)用SSO 驗證服務(wù)所有所需的相關(guān)配置參數(shù)均存放于ssoCperties文件當中 ，文件當中主要包含以下幾條屬性信息：serviceUrl ：業(yè)務(wù)系統(tǒng)用于調(diào)用 S

13、SO驗資服務(wù)的遠程 WebService 地址；privateKey ：業(yè)務(wù)系統(tǒng)用于驗簽，解密服務(wù)端返回憑證信息的私鑰信息。七、業(yè)務(wù)系統(tǒng)的集成工作業(yè)務(wù)系統(tǒng)如要整合SSO 用戶驗證系統(tǒng) ，需要按以下步驟對現(xiàn)有業(yè)務(wù)系統(tǒng)進行改造 ，為了各業(yè)務(wù)系統(tǒng)更方便的整合SSO 用戶驗證服務(wù) ，以下步驟中會出現(xiàn)部分代碼示例，其中的代碼可能對部分業(yè)務(wù)系統(tǒng)并不適用，各業(yè)務(wù)系統(tǒng)也可以更具具體情況更改其中的代碼。1、將相關(guān)的 JAR 包、配置文件添加到項目當中：sso_client.jar( 該 JAR 包用于調(diào)用遠程SSO 服務(wù)端相關(guān)驗證接口 )；.專業(yè)學習資料.WebService 相關(guān) JAR 包，由于 SSO 服

14、務(wù)端的 WebService 服務(wù)采用Xfire 方式，所以業(yè)務(wù)系統(tǒng)需要自行添加Xfire 的相關(guān) JAR包文件；將 ssoCperties 文件拷貝到業(yè)務(wù)系統(tǒng)的 src 目錄下，并根據(jù)情況修改其中的參數(shù) 。2、集成判斷用戶在線狀態(tài)功能：可以通過Filter 等技術(shù)方式 ，判斷業(yè)務(wù)系統(tǒng)的用戶是否已登錄。如果未登錄，調(diào)轉(zhuǎn)到 SSO的認證地址 http:/serverIp:port/verificationApp?appId=應(yīng)用編號 。3、集成憑證接收 、處理、頁面重定向功能 ：在業(yè)務(wù)系統(tǒng)的 web.xml 文件中增加以下內(nèi)容 ：SSOLoginRedirectSSOLogin

15、ServleSSOLoginServle/ssoLogin.專業(yè)學習資料.SSOLoginRedirect/ssoLoginRedirect創(chuàng)建用于重定向到SSO 驗證服務(wù)認證地址的Servlet ，以下為示例代碼 ：public class SSOLoginRedirect extends HttpServlet publicvoiddoPost(HttpServletRequestrequest,HttpServletResponseresponse)throws ServletException, IOException / 由業(yè)務(wù)系統(tǒng)自己生成一個隨機碼String clientMark

16、 = UUID.randomUUID().toString();/ 將頁面重定向到 SSO 驗證服務(wù)的認證地址response.sendRedirect(http:/serverIp:port/verificationApp?appId=app1&clientMark= + clientMark);創(chuàng)建用于接收認證返回憑證的Servlet ，以下為示例代碼 ：.專業(yè)學習資料.public class SSOLoginServlet extends HttpServlet publicvoiddoPost(HttpServletRequestrequest,HttpServletResponse

17、response)throws ServletException, IOException / 獲取從 SSO 服務(wù)端返回的憑證信息String appT oken = request.getParameter(appToken);/ 對 SSO 服務(wù)端返回的憑證信息進行驗簽操作boolean signState = SSOClientService.verificationSign(appToken);if(signState)/如果驗簽無誤則對憑證信息進行解密操作，SSOBean 實體為對解密后的JSON對象進行封裝而成SSOBean ssoBean = SSOClientService.deAppToken(ap