Java实现单点登录
转自:https://www.cnblogs.com/sdgf/p/4909166.html
1 什么是单点登陆
- 用户每天平均 16 分钟花在身份验证任务上 - 资料来源: IDS
- 频繁的 IT 用户平均有 21 个密码 - 资料来源: NTA Monitor Password Survey
- 49% 的人写下了其密码,而 67% 的人很少改变它们
- 每 79 秒出现一起身份被窃事件 - 资料来源:National Small Business Travel Assoc
- 全球欺骗损失每年约 12B - 资料来源:Comm Fraud Control Assoc
- 到 2007 年,身份管理市场将成倍增长至 $4.5B - 资料来源:IDS
- 提高 IT 效率:对于每 1000 个受管用户,每用户可节省$70K
- 帮助台呼叫减少至少1/3,对于 10K 员工的公司,每年可以节省每用户 $75,或者合计 $648K
- 生产力提高:每个新员工可节省 $1K,每个老员工可节省 $350 �资料来源:Giga
- ROI 回报:7.5 到 13 个月 �资料来源:Gartner
- 所有应用系统共享一个身份认证系统。
统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行效验,判断其有效性。 - 所有应用系统能够识别和提取ticket信息
要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。
- 单一的用户信息数据库并不是必须的,有许多系统不能将所有的用户信息都集中存储,应该允许用户信息放置在不同的存储中,如下图所示。事实上,只要统一认证系统,统一ticket的产生和效验,无论用户信息存储在什么地方,都能实现单点登录。
- 统一的认证系统并不是说只有单个的认证服务器,如下图所示,整个系统可以存在两个以上的认证服务器,这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议,互相交换认证信息,就能完成更高级别的单点登录。如下图,当用户在访问应用系统1时,由第一个认证服务器进行认证后,得到由此服务器产生的ticket。当他访问应用系统4的时候,认证服务器2能够识别此ticket是由第一个服务器产生的,通过认证服务器之间标准的通讯协议(例如SAML)来交换认证信息,仍然能够完成SSO的功能。
- 统一的身份认证服务。
- 修改Web应用,使得每个应用都通过这个统一的认证服务来进行身份效验。
1 package com.ll.singlelogin; 2 3 4 import javax.servlet.http.*; 5 import java.util.*; 6 7 8 public class SingleLogin implements HttpSessionListener { 9 10 11 // 保存sessionID和username的映射 12 private static HashMap hUserName = new HashMap(); 13 14 15 /** 以下是实现HttpSessionListener中的方法* */ 16 public void sessionCreated(HttpSessionEvent se) { 17 } 18 19 20 public void sessionDestroyed(HttpSessionEvent se) { 21 hUserName.remove(se.getSession().getId()); 22 } 23 24 25 /** 26 * isAlreadyEnter-用于判断用户是否已经登录以及相应的处理方法 27 * 28 * @param sUserName 29 * String-登录的用户名称 30 * @return boolean-该用户是否已经登录过的标志 31 */ 32 public static boolean isAlreadyEnter(HttpSession session, String sUserName) { 33 boolean flag = false; 34 // 如果该用户已经登录过,则使上次登录的用户掉线(依据使用户名是否在hUserName中) 35 if (hUserName.containsValue(sUserName)) { 36 flag = true; 37 // 遍历原来的hUserName,删除原用户名对应的sessionID(即删除原来的sessionID和username) 38 Iterator iter = hUserName.entrySet().iterator(); 39 while (iter.hasNext()) { 40 Map.Entry entry = (Map.Entry) iter.next(); 41 Object key = entry.getKey(); 42 Object val = entry.getValue(); 43 if (((String) val).equals(sUserName)) { 44 hUserName.remove(key); 45 } 46 } 47 // 添加现在的sessionID和username 48 hUserName.put(session.getId(), sUserName); 49 System.out.println("hUserName = " + hUserName); 50 } else {// 如果该用户没登录过,直接添加现在的sessionID和username 51 flag = false; 52 hUserName.put(session.getId(), sUserName); 53 System.out.println("hUserName = " + hUserName); 54 } 55 return flag; 56 } 57 58 59 /** 60 * isOnline-用于判断用户是否在线 61 * 62 * @param session 63 * HttpSession-登录的用户名称 64 * @return boolean-该用户是否在线的标志 65 */ 66 public static boolean isOnline(HttpSession session) { 67 boolean flag = true; 68 if (hUserName.containsKey(session.getId())) { 69 flag = true; 70 } else { 71 flag = false; 72 } 73 return flag; 74 } 75 }
web.xml部署于/App/WEB-INF下
1 <?xml version= "1.0 " encoding= "ISO-8859-1 "?> 2 3 <!DOCTYPE web-app 4 PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN " 5 "http://java.sun.com/j2ee/dtds/web-app_2.3.dtd "> 6 7 <web-app> 8 9 <listener> 10 <listener-class> 11 com.inspirer.dbmp.SessionListener 12 </listener-class> 13 </listener> 14 15 </web-app>
应用部分
1.在你的登录验证时,调用SessionListener.isAlreadyEnter(session, "admin ")
既可以判断该用户名的用户是否登录过,又可以使上次登录的用户掉线
2.其他页面调用SessionListener.isOnline(session),可以判断该用户是否在线.
转自:http://blog.csdn.net/java_freshman01/article/details/7202776
采用SSH架构加以说明:
1. 建立一个登录管理类LoginManager
2. 在LoginManager中定义一个集合,管理登录的用户。
3. 在Spring中将LoginManager配置成单例
4. 如果使用自定义的用户管理类,则为了说明方便,将此类命名为UserContext(表示用户授权的上下文)
5. 如果未使用自定义的用户管理类,则直接使用Session。
6. 在登录授权对象中,检查用户是否是合法用户,如果是合法用户,则在LoginManager的集合中查找用户是否已经在线,如果不在线,则将用户加入集合。
7. 处理策略一:如果用户已经在线,则取新登录用户的Session,将它失效,则能阻止新登录用户登录。
8. 处理策略二:如果用户已经在线,则取出在线用户的Session,将它失效,再把新登录用户加入LoginManager的集合。则先登录用户不能执行有权限的操作,只能重新登录。
1. applicationContext.xml
1 <bean id="loginManager" class="LoginManager" scope="singleton" /> 2 <bean id="action" class="LoginAction" scopt="prototype" > 3 <property name="laginManager" ref="loginManager" /> 4 </bean>
2. LoginManager.java
1 Collection<Session> sessions; 2 3 public Session login(Session session) { 4 for (Session s : sessions) { 5 if (s 与 session 是同一用户) 6 策略一: return session 7 策略二:{ 8 sessions.add(session); // 这两行在循环中操作集合类会抛出异常 9 sessions.remove(s); // 此处仅为简单示范代码,实际代码中应该在循环外处理 10 return s; 11 } 12 } 13 sessions.add(session); 14 15 return null; 16 }
3. LoginAction.java
1 LoginManager loginManager; 2 3 public String execute() throws Exception { 4 取session 5 检查用户名,密码 6 if (是合法用户) { 7 session = loginManager.login(session); 8 if (null!=session) session.invalidate(); 9 } 10 }
4. 如果自定义了UserContext,则可将集合改成Collection<UserContext> users;
5. UserContext.java
1 Session session; 2 Session getSession() { 3 return this.session; 4 } 5 6 boolean login(String userName, String password) { 7 访问数据库,检查用户名密码 8 return 是否合法; 9 } 10 11 boolean sameUser(UserContext uc) { 12 return uc.userName.equals(this.userName); 13 }
6. 修改LoginManager.java
1 Collection<UserContext> users; 2 3 public UserContext login(UserContext user) { 4 for (UserContext uc : users) { 5 if (uc.sameUser(user)) 6 策略一: return user 7 策略二:{ 8 users.add(user); // 这两行在循环中操作集合类会抛出异常 9 users.remove(uc); // 此处仅为简单示范代码,实际代码中应该在循环外处理 10 return uc; 11 } 12 } 13 users.add(user); 14 15 return null; 16 }
7. 修改LoginAction.java
1 public String execute() throws Exception { 2 取session // 也可以在UserContext内部取session。 3 UserContext user = new UserContext(); 4 user.setSession(session); 5 if (user.login(userName, password)) { 6 UserContext uc = loginManager.login(user); 7 if (null!=uc) uc.getSession().invalidate(); 8 } 9 }