摘 要

单点登录（Single Sign-on）是当前十分热门的身份认证系统与机制，但是由于遗留系统大多是早期的商用解决方案，几乎无法与其他系统共同完成单点登录的逻辑。基于此现状，本文通过Web过滤器实现用户登录信息的代填，并对其中的关键技术和实现方法进行设计，结合统一身份认证系统，完成口令与各子系统账户之间的绑定，从而达到实现单点登录功能的目的。本设计在基于Web 过滤器的单点登录解决方案的基础上进行进一步改进，实现了遗留系统单点登录的功能，是一种有效的单点登录设计方案。

关键词：单点登录；Cookie；Web过滤器；Web 遗留系统

Abstract

Single sign on is the mainstream identity authentication mechanism at present, but because most of the legacy systems are early commercial solutions, it is almost impossible to complete the logic of single sign on with other systems. Based on this situation, this paper uses web filter to fill in the user's login information and designs the key technologies and implementation methods. Combined with the unified identity authentication system, it completes the binding between the password and each subsystem account, thus realizing the single sign on function. This design method is improved on the basis of single sign on based on Web filter and realizes the function of single sign on of legacy system. It is an effective single sign on design scheme.

Keywords：Single Sign-on; Cookie; Web Filter；Web legacy system

目 录

第1章 绪论 1

1.1 研究背景及意义 1

1.2 国内外发展现状 1

1.3 本文的结构 2

第2章 常见单点登录解决方案 3

2.1 CAS单点登录系统 3

2.2 Kerberos网络授权协议 4

2.3 SAML安全断言标记语言 5

第3章 Cookie和Web 过滤器概述 6

3.1 Web过滤器的原理及应用 6

3.2 Cookie的原理和应用 7

3.3 本章小结 9

第4章 基于Web过滤器和Cookie的单点登录系统 10

4.1 系统需求分析 10

4.2 系统整体设计 10

4.3 系统工作流程 12

4.4 单点登录系统的模块设计 14

4.5 本章小结 16

第5章 系统代码及测试 17

5.1 关键代码 17

5.1.1 过滤器代码 17

5.1.2 前端代码 19

5.1.3 登录中心代码 21

5.2 运行结果 22

第6章 总结与展望 25

6.1 总结 25

6.2 展望 26

参考文献 27

致谢 28

第1章 绪论

1.1 研究背景及意义

随着互联网技术的不断发展，信息化、网络化、数字化已经成为当今社会势不可挡的潮流，人们越来越多地感受到网络带来的便利，但是与此同时，随着人们使用的应用程序数量不断增加，用户在使用这些独立、区分的应用系统时所需要记住的登录信息也越来越多，这无疑增加了用户的负担。同时，不同的应用系统采用不同的框架开发，拥有各自独立的使用逻辑与交互逻辑，用户在使用不同应用系统时需要理解不同的登录方式与登录逻辑，这也无疑增加了用户的学习成本。在这种情况下，单点登录的出现是社会信息化与使用人性化的必然趋势。

单点登录是一种十分热门的身份认证和登录授权机制，使得同一用户访问信任域内各不同应用系统时只需要登录一次即可访问不同应用系统，无需多次重复登录验证的功能。但是遗留系统（legacy system）不能修改，无论软件架构、硬件架构，还是数据架构，都是使用的很早期的商用解决方案，大多数都是一些单独、孤立的系统，而且对于后期的运行维护人员来说，他们需要耗费大量的时间与精力对遗留系统的代码进行理解与修改，对于大部分的运维人员而说，遗留系统只能看作黑箱，无法理解内部代码的编写结构与交互逻辑，只能依靠预留的接口完成既定的功能，这对于后期的开发是极其不利的，也几乎无法与其他系统构成一次登录处处认证的逻辑，对不同子系统间的单点登录造成了阻碍。因此，研究开发基于Cookie和过滤器的单点登录技术，使得在Web遗留系统不作修改的情况下，在Web遗留系统实现单点登录功能就显得十分重要。

1.2 国内外发展现状

信息安全是当今最为热点的领域之一，如何在既享受单点登录给用户带来的便利的同时又满足其对个人信息安全的保护，这已经是目前研究的重点。如今已经提出了各种依赖于PKI（Public Key Infrastructure）^[1]，Kerberos^[2]或密码存储的单点登录解决方案，但是它们需要客户端基础结构和新的管理步骤。

CAS单点登录系统、Kerberos网络授权协议、SAML（安全性断言标记语言）^[3]是目前最典型的开源跨域单点登录解决方案，并为所有信任域内的应用与系统提供访问权限。

单点登录方案根据应用程序的登录方式可以分为两类：基于脚本（Script）的单点登录解决方案与基于访问票据（Access Ticket）的单点登录解决方案^[4]。从实现原理及其本质上来说，微软的Windows Passport仍然属于基于访问票据（Access Ticket）的单点登录解决方案。微软构建了一个单点登录系统，并通过Passport.com向用户提供服务。当然，该服务并不是免费开源的，仍需要用户进行有偿购买。用户购买服务后，Windows Passport将为该用户提供服务，存储个人的身份信息至Passport.com中，同时，Passport.com也负责用户身份有效性的验证。与传统的单点登录方案相同，Windows Passport仍然使用Cookie在客户端存放用户的登陆票据，所以当客户端的Cookie失效后，Windows Passport提供的单点登录服务将失效。同时，由于Windows Passport使用Cookie存储个人信息，所以其安全性需要重点考虑。而Sun领导下的Liberty使用SAML标准作为其最基础的协议，它的核心思想是身份联合（Identity Federation），两个Web应用直接可以保留原来的用户认证机制，通过建立他们个人的对应关系来达到单点登录的目的^[5]。

1.3 本文的结构

本文针对web遗留系统主要研究了基于web过滤器和cookie的单点登录，主要结构如下：

第一章主要介绍了课题的现实背景、意义以及目前研究前沿，最后介绍了本文的结构。