• 使用Apache的commons-lang.jar

  StringEscapeUtils.escapeHtml(str);// 汉字会转换成对应的ASCII码，空格不转换

• 自己实现转换，只转换部分字符

  private static String htmlEncode(char c) { switch(c) { case '&': return"&amp;"; case '<': return"&lt;"; case '>': return"&gt;"; case '"': return"&quot;"; case ' ': return"&nbsp;"; default: return c +""; } } /** 对传入的字符串str进行Html encode转换 */ public static String htmlEncode(String str) { if(str ==null || str.trim().equals(""))   return str; StringBuilder encodeStrBuilder = new StringBuilder(); for (int i = 0, len = str.length(); i < len; i++) { encodeStrBuilder.append(htmlEncode(str.charAt(i))); } return encodeStrBuilder.toString(); }

最近在公司做了Web端单点登录(SSO)功能，基于Cookie实现，做完之后感觉有必要总结一下，本文着重讲解Cookie，下文会说明单点登录的实现方案。

Cookie简介

众所周知，Web协议（也就是HTTP）是一个无状态的协议（HTTP1.0）。一个Web应用由很多个Web页面组成，每个页面都有唯一的URL来定义。用户在浏览器的地址栏输入页面的URL，浏览器就会向Web Server去发送请求。如下图，浏览器向Web服务器发送了两个请求，申请了两个页面。这两个页面的请求是分别使用了两个单独的HTTP连接。所谓无状态的协议也就是表现在这里，浏览器和Web服务器会在第一个请求完成以后关闭连接通道，在第二个请求的时候重新建立连接。Web服务器并不区分哪个请求来自哪个客户端，对所有的请求都一视同仁，都是单独的连接。这样的方式大大区别于传统的（Client/Server）C/S结构,在那样的应用中，客户端和服务器端会建立一个长时间的专用的连接通道。正是因为有了无状态的特性，每个连接资源能够很快被其他客户端所重用，一台Web服务器才能够同时服务于成千上万的客户端。
       但是我们通常的应用是有状态的。先不用提不同应用之间的SSO，在同一个应用中也需要保存用户的登录身份信息。例如用户在访问页面1的时候进行了登录，但是刚才也提到，客户端的每个请求都是单独的连接，当客户再次访问页面2的时候，如何才能告诉Web服务器，客户刚才已经登录过了呢？浏览器和服务器之间有约定：通过使用cookie技术来维护应用的状态。Cookie是可以被Web服务器设置的字符串，并且可以保存在浏览器中。如下图所示，当浏览器访问了页面1时，web服务器设置了一个cookie，并将这个cookie和页面1一起返回给浏览器，浏览器接到cookie之后，就会保存起来，在它访问页面2的时候会把这个cookie也带上，Web服务器接到请求时也能读出cookie的值，根据cookie值的内容就可以判断和恢复一些用户的信息状态。

Cookie组成

       cookie是由名称、内容、作用路径、作用域、协议、生存周期组成，另外还有个HttpOnly属性，HttpOnly属性很重要，如果您在cookie中设置了HttpOnly属性，那么通过js脚本(document.cookie)将无法读取到cookie信息，这样能一定程度上的防止XSS攻击，关于XSS可以看我之前的文章--XSS攻击及防御。Tomcat服务器设置的JSESSIONID就是HttpOnly的。
       JavaEE中对cookie做了封装，对应的是下面这个类：

java.lang.Object|+--javax.servlet.http.Cookie

该类可以设置cookie的名称、内容、作用路径、作用域、协议、生存周期，but不能设置HttpOnly属性，不知道这么做是出于什么考虑，如果非要设置HttpOnly的cookie，我们可以通过响应头来处理：

[java] view plaincopy print?

1. response.setHeader("Set-Cookie", "cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HttpOnly");

Cookie作用域
       测试Cookie的作用域需要弄几个域名，修改C:\Windows\System32\drivers\etc\hosts文件，将本机ip映射出四个域名，如下：

[html] view plaincopy print?

1. 127.0.0.1 web1.ghsau.com
2. 127.0.0.1 web2.ghsau.com
3. 127.0.0.1 web1.com
4. 127.0.0.1 web2.com

前两个是2级域名(ghsau.com)相同，3级域名(web1、web2)不同，后两个是2级域名不同。然后我们再写两个jsp，一个用于设置Cookie，另一个用于显示Cookie。
       SetCookie.jsp：

[html] view plaincopy print?

1. <%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%>
2. <%
3. Cookie cookie = new Cookie("test_key", "test_value");
4. cookie.setPath("/");
5. //  cookie.setDomain(".ghsau.com");
6. response.addCookie(cookie);
7. %>

ShowCookie.jsp：

[html] view plaincopy print?

1. <%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%>
2. <%
3. // 输出cookies，过滤掉JSESSIONID
4. Cookie[] cookies = request.getCookies();
5. if(cookies != null)
6. for(Cookie cookie : cookies) {
7. if(cookie.getName().equals("JSESSIONID"))    continue;
8. out.println(cookie.getName() + "-" + cookie.getValue());
9. }
10. %>

将这两个jsp放到应用后，部署到服务器中，启动服务器，我们就可以通过域名来访问了。
       测试一，首先访问http://web1.ghsau.com:8080/WebSSOAuth/SetCookie.jsp，设置cookie后，再访问http://web1.ghsau.com:8080/WebSSOAuth/ShowCookie.jsp，页面输出test_key=test_value，这时我们访问http://web2.ghsau.com:8080/WebSSOAuth/ShowCookie.jsp，发现页面什么都没有输出，这时我们得出结论，cookie默认情况下作用域为当前域名。
       测试二，将SetCookie.jsp第五行注释打开，按照上面的顺序依次访问，我们发现http://web2.ghsau.com:8080/WebSSOAuth/ShowCookie.jsp中输出了http://web1.ghsau.com:8080/WebSSOAuth/SetCookie.jsp中设置的cookie，这时我们得出结论，cookie作用域为父级域名时，所有子级域名都可以得到该cookie，这也是实现跨子域SSO的关键。这时有些朋友可能会想到那我把cookie作用域设置到顶级域名(.com、.net)上，是不是用该顶级域名的网站就都能获取该cookie了？这样设置的cookie，浏览器是不存储的，无效的cookie。

测试三，修改SetCookie.jsp第五行代码为cookie.setDomain(".web2.com")，首先访问http://web1.com:8080/WebSSOAuth/SetCookie.jsp，设置cookie后，这时我们访问http://web2.com:8080/WebSSOAuth/ShowCookie.jsp，发现页面什么都没有输出，这时我们得出结论，cookie不能跨二级域名设置。

Cookie安全性

cookie中的数据通常会包含用户的隐私数据，首先要保证数据的保密性，其次要保证数据不能被伪造或者篡改，基于这两点，我们通常需要对cookie内容进行加密，加密方式一般使用对称加密(单密钥，如DES)或非对称加密(一对密钥，如RSA)，密钥需要保存在服务器端一个安全的地方，这样，别人不知道密钥时，无法对数据进行解密，也无法伪造或篡改数据。另外，像上文提到的，重要的cookie数据需要设置成HttpOnly的，避免跨站脚本获取你的cookie，保证了cookie在浏览器端的安全性。还有我们可以设置cookie只作用于安全的协议(https)，JavaEE中可以通过Cookie类的setSecure(boolean flag)来设置，设置后，该cookie只会在https下发送，而不会再http下发送，保证了cookie在服务器端的安全性，服务器https的设置可以参照该文章。

单点登录(Single Sign On)，简称为SSO，SSO不仅在企业级开发很常用，在互联网中更是大行其道。随便举几个例子，比如我们登录新浪微博后，再访问新浪首页后，我们发现，已经自动登录了；再比如我们登录CSDN后，可以写博客、逛论坛、下载资源等等。前者是完全跨域的单点登录，下文会讲，后者是共同父域下(www.csdn.net、blog.csdn.net、bbs.csdn.net、passport.csdn.net)的单点登录，也就是本文的主要内容。
       单点登录实际上是“身份认证”的整合，当我们存在多个应用时，我们希望登录了其中的一个应用，再访问其他应用时，会自动登录，避免用户重复的体力劳动。单点登录的实现原理是比较简单的，如下图所示，当用户通过浏览器第一次访问应用系统1时，由于还没有登录，会被引导到认证系统进行登录。下面开始单点登录的过程：认证系统根据用户在浏览器中输入的登录信息，进行身份认证，如果认证通过，返回给浏览器一个证明ticket(票)；用户再访问其它应用系统时，会带着ticket；应用系统接收到ticket后，会将其发送到认证系统进行合法性校验；校验通过后，用户就不需要再次输入用户名密码来登录了，从而实现了单点登录的功能。

上面描述的过程实际上是WEB-SSO。要实现SSO，首先必须要有统一的认证系统，其次每个应用系统都通过认证系统来校验用户，所以这需要两方面的配合。WEB-SSO是比较好实现的，尤其是共同父域的情况下，我们可以通过浏览器的cookie来保存ticket。今天我用Servlet技术实现了SSO的主要功能，可以在这里下载项目。

域名准备

       修改hosts文件，映射3个域名：

[html] view plaincopy print?

1. 127.0.0.1 web1.ghsau.com
2. 127.0.0.1 web2.ghsau.com
3. 127.0.0.1 passport.ghsau.com

3个域名必须拥有共同父域(.ghsau.com)，web1和web2用于访问应用系统，passport用于访问认证系统。

项目部署

       项目中包含的是两个Eclipse Project，导入到Eclipse/MyEclipse后，可能需要设置下JavaEE类库。WebSSOAuth为认证系统，WebSSODemo为应用系统，如果映射的域名和我设置的一样，不需要设置，直接部署即可。如果不一样，需要修改下两个项目的web.xml文件。关键配置信息如下：
       WebSSOAuth/WEB-INF/web.xml：

[html] view plaincopy print?

1. <servlet>
2. <servlet-name>SSOAuth</servlet-name>
3. <servlet-class>com.ghsau.servlet.SSOAuth</servlet-class>
4. <init-param>
5. <!-- ticket名称 -->
6. <param-name>cookieName</param-name>
7. <param-value>SSOID</param-value>
8. </init-param>
9. <init-param>
10. <!-- ticket作用域 -->
11. <param-name>domainName</param-name>
12. <param-value>.ghsau.com</param-value>
13. </init-param>
14. <init-param>
15. <param-name>secure</param-name>
16. <param-value>false</param-value>
17. </init-param>
18. <init-param>
19. <!-- ticket内容加密密钥，必须为24个字符，中文算2个字符 -->
20. <param-name>secretKey</param-name>
21. <param-value>111111112222222233333333</param-value>
22. </init-param>
23. <init-param>
24. <!-- 服务器中ticket的有效期，单位分钟 -->
25. <param-name>ticketTimeout</param-name>
26. <param-value>10080</param-value>
27. </init-param>
28. </servlet>
29. <servlet-mapping>
30. <servlet-name>SSOAuth</servlet-name>
31. <url-pattern>/SSOAuth</url-pattern>
32. </servlet-mapping>

WebSSODemo/WEB-INF/web.xml：

[html] view plaincopy print?

1. <filter>
2. <filter-name>SSOAuth</filter-name>
3. <filter-class>com.ghsau.filter.SSOAuth</filter-class>
4. <init-param>
5. <!-- 认证系统服务 -->
6. <param-name>SSOService</param-name>
7. <param-value>http://passport.ghsau.com:8080/WebSSOAuth/SSOAuth</param-value>
8. </init-param>
9. <init-param>
10. <!-- 认证系统登录页面 -->
11. <param-name>SSOLogin</param-name>
12. <param-value>http://passport.ghsau.com:8080/WebSSOAuth/login.jsp</param-value>
13. </init-param>
14. <init-param>
15. <!-- 认证系统ticket名称 -->
16. <param-name>cookieName</param-name>
17. <param-value>SSOID</param-value>
18. </init-param>
19. </filter>
20. <filter-mapping>
21. <filter-name>SSOAuth</filter-name>
22. <url-pattern>*.jsp</url-pattern>
23. </filter-mapping>
24. <filter-mapping>
25. <filter-name>SSOAuth</filter-name>
26. <url-pattern>/logout</url-pattern>
27. </filter-mapping>

如果域名或端口号和我的不一致，可以修改对应配置项。最后部署到应用服务器中，启动服务器。

SSO使用

       首先输入第一个应用系统的访问地址，http://web1.ghsau.com:8080/WebSSODemo/index.jsp，如果是第一次访问的话，会自动跳转到登录页，如下图：

系统中内置了3个用户，张三、李四、王五，用户名和密码皆为拼音全拼，输入zhangsan/zhangsan登录后，会自动跳转到我们刚才访问的页面，页面中显示了登录的用户名及欢迎信息，如下图：

这时，我们再输入第二个应用系统的访问地址，http://web2.ghsau.com:8080/WebSSODemo/index.jsp，我们发现，没有进行第二次登录，同样页面中显示了登录的用户名及欢迎信息，如下图：

我们接着点击Logout注销用户，页面跳转到了登录页面，这时我们再回头访问第一个应用系统的页面，发现同样跳转到了登录页面。这给用户的使用效果就是，一个应用登录了，其它的应用都会自动登录，而一个应用中注销了，其它的应用也都会自动注销，好神奇的样子。
       项目中提供了源码，代码的实现思路就是上面的那个图，ticket保存在cookie中，利用cookie域的特性，实现了ticket在不同应用中都能够获取到，ticket的验证过程是使用了HttpClient来发送的验证请求，ticket的加密使用了3DES，具体可以看DESUtils.Java，好了，就到这里吧

完全跨域的单点登录实现方案基本和上篇文章介绍的一样，只不过生成ticket的过程更复杂些。上篇文章中的项目是不能完全跨域的，由于多个应用系统以及认证系统域不同，也没有共同的父域，导致登录后，认证系统向浏览器写的ticket在其它应用系统中获取不到，这时访问其它应用系统时，没有携带着ticket的cookie，无法认证也无法单点登录。那解决的方案是每个应用系统都向浏览器cookie中写入ticket，请看下图，图中浅蓝色圆角区域代表不同的域，当用户通过浏览器第一次访问应用系统1时，由于还没有登录，会被引导到认证系统进行登录。下面开始单点登录的过程：认证系统根据用户在浏览器中输入的登录信息，进行身份认证，如果认证通过，返回给浏览器一个证明[认证系统_ticket]；这时再通过浏览器将[认证系统_ticket]发送到到应用系统1的设置cookie的url，应用系统1返回给浏览器一个证明[应用系统1_ticket]，这时再将请求重定向到最初访问的页面，以后应用系统1就可以自动登录了。现在用户访问了应用系统2，由于应用系统2没有生成过cookie（但是用户已经在应用系统1登录过一次了），将请求重定向到认证系统；认证系统检测到已经生成过[认证系统_ticket]了，认证通过；再通过浏览器将[认证系统_ticket]发送到到应用系统2的设置cookie的url，应用系统2返回给浏览器一个证明[应用系统2_ticket]，这时再将请求重定向到最初访问的页面。应用系统3也同样原理，我们等于将ticket做了一次同步，保证了每个应用系统都有一份认证系统产生的ticket。剩余的ticket验证过程和上篇文章一样了。

ticket同步的过程用jsonp应该也可以实现，我基于上篇文章中的项目实现了完全跨域的单点登录，可以在这里下载项目。

域名准备

       修改hosts文件，映射3个域名：

[html] view plaincopy print?

1. 127.0.0.1 web1.com
2. 127.0.0.1 web2.com
3. 127.0.0.1 passport.com

三个域名都是独立的，没有共同父域，web1和web2用于访问应用系统，passport用于访问认证系统。

项目部署

       项目中包含的是两个Eclipse Project，导入到Eclipse/MyEclipse后，可能需要设置下JavaEE类库。WebSSOAuth为认证系统，WebSSODemo为应用系统，如果映射的域名和我设置的一样，不需要设置，直接部署即可。如果不一样，需要修改下WebSSODemo/WEB-INF/web.xml文件。关键配置信息如下：

[html] view plaincopy print?

1. <filter>
2. <filter-name>SSOAuth</filter-name>
3. <filter-class>com.ghsau.filter.SSOAuth</filter-class>
4. <init-param>
5. <!-- 认证系统服务 -->
6. <param-name>SSOService</param-name>
7. <param-value>http://passport.com:8080/WebSSOAuth/SSOAuth</param-value>
8. </init-param>
9. <init-param>
10. <!-- 认证系统ticket名称 -->
11. <param-name>cookieName</param-name>
12. <param-value>SSOID</param-value>
13. </init-param>
14. </filter>
15. <filter-mapping>
16. <filter-name>SSOAuth</filter-name>
17. <url-pattern>*.jsp</url-pattern>
18. </filter-mapping>
19. <filter-mapping>
20. <filter-name>SSOAuth</filter-name>
21. <url-pattern>/logout</url-pattern>
22. </filter-mapping>
23. <filter-mapping>
24. <filter-name>SSOAuth</filter-name>
25. <url-pattern>/setCookie</url-pattern>
26. </filter-mapping>

如果域名或端口号和我的不一致，可以修改对应配置项。最后部署到应用服务器中，启动服务器。

SSO使用

首先输入第一个应用系统的访问地址，http://web1.com:8080/WebSSODemo/index.jsp，如果是第一次访问的话，会自动跳转到登录页，如下图：

系统中内置了3个用户，张三、李四、王五，用户名和密码皆为拼音全拼，输入zhangsan/zhangsan登录后，会自动跳转到我们刚才访问的页面，页面中显示了登录的用户名及欢迎信息，如下图：

这时，我们再输入第二个应用系统的访问地址，http://web2.com:8080/WebSSODemo/index.jsp，我们发现，没有进行第二次登录，同样页面中显示了登录的用户名及欢迎信息，如下图：

我们接着点击Logout注销用户，页面跳转到了登录页面，这时我们再回头访问第一个应用系统的页面，发现同样跳转到了登录页面。
       互联网中的完全跨域登录的站点也有很多，如淘宝和天猫，但肯定不是我这样实现的。我的实现中，认证系统和应用系统是通过url参数来传递ticket，可能存在一些不稳定因素。应用系统的每次请求都会通过HTTP远程到认证系统进行验证ticket，速度上应该会慢一些，这里可以改进一步，在每个应用系统中也维护一份tickets，验证时，首先到本系统中验证，如果不存在，再远程到认证系统进行验证，但这也增加了应用系统的代码量

• 用户每天平均 16 分钟花在身份验证任务上 - 资料来源： IDS
• 频繁的 IT 用户平均有 21 个密码 - 资料来源： NTA Monitor Password Survey
• 49% 的人写下了其密码，而 67% 的人很少改变它们
• 每 79 秒出现一起身份被窃事件 - 资料来源：National Small Business Travel Assoc
• 全球欺骗损失每年约 12B - 资料来源：Comm Fraud Control Assoc
• 到 2007 年，身份管理市场将成倍增长至 $4.5B - 资料来源：IDS

• 提高 IT 效率：对于每 1000 个受管用户，每用户可节省$70K
• 帮助台呼叫减少至少1/3，对于 10K 员工的公司，每年可以节省每用户 $75，或者合计 $648K
• 生产力提高：每个新员工可节省 $1K，每个老员工可节省 $350 �资料来源：Giga
• ROI 回报：7.5 到 13 个月 �资料来源：Gartner

• 所有应用系统共享一个身份认证系统。
  统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。
• 所有应用系统能够识别和提取ticket信息
  要实现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能。

• 单一的用户信息数据库并不是必须的，有许多系统不能将所有的用户信息都集中存储，应该允许用户信息放置在不同的存储中，如下图所示。事实上，只要统一认证系统，统一ticket的产生和效验，无论用户信息存储在什么地方，都能实现单点登录。

• 统一的认证系统并不是说只有单个的认证服务器，如下图所示，整个系统可以存在两个以上的认证服务器，这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议，互相交换认证信息，就能完成更高级别的单点登录。如下图，当用户在访问应用系统1时，由第一个认证服务器进行认证后，得到由此服务器产生的ticket。当他访问应用系统4的时候，认证服务器2能够识别此ticket是由第一个服务器产生的，通过认证服务器之间标准的通讯协议（例如SAML）来交换认证信息，仍然能够完成SSO的功能。

1. 统一的身份认证服务。
2. 修改Web应用，使得每个应用都通过这个统一的认证服务来进行身份效验。

• Web-SSO的样例是由三个标准Web应用组成，压缩成三个zip文件，从http://gceclub.sun.com.cn/wangyu/web-sso/中下载。其中SSOAuth（http://gceclub.sun.com.cn/wangyu/web-sso/SSOAuth.zip）是身份认证服务；SSOWebDemo1（http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo1.zip）和SSOWebDemo2（http://gceclub.sun.com.cn/wangyu/web-sso/SSOWebDemo2.zip）是两个用来演示单点登录的Web应用。这三个Web应用之所以没有打成war包，是因为它们不能直接部署，根据读者的部署环境需要作出小小的修改。样例部署和运行的环境有一定的要求，需要符合Servlet2.3以上标准的J2EE容器才能运行（例如Tomcat5,Sun Application Server 8, Jboss 4等）。另外，身份认证服务需要JDK1.5的运行环境。之所以要用JDK1.5是因为笔者使用了一个线程安全的高性能的Java集合类“ConcurrentMap”，只有在JDK1.5中才有。
• 这三个Web应用完全可以单独部署，它们可以分别部署在不同的机器，不同的操作系统和不同的J2EE的产品上，它们完全是标准的和平台无关的应用。但是有一个限制，那两台部署应用（demo1、demo2）的机器的域名需要相同，这在后面的章节中会解释到cookie和domain的关系以及如何制作跨域的WEB-SSO
• 解压缩SSOAuth.zip文件，在/WEB-INF/下的web.xml中请修改“domainname”的属性以反映实际的应用部署情况，domainname需要设置为两个单点登录的应用（demo1和demo2）所属的域名。这个domainname和当前SSOAuth服务部署的机器的域名没有关系。我缺省设置的是“.sun.com”。如果你部署demo1和demo2的机器没有域名，请输入IP地址或主机名（如localhost），但是如果使用IP地址或主机名也就意味着demo1和demo2需要部署到一台机器上了。设置完后，根据你所选择的J2EE容器，可能需要将SSOAuth这个目录压缩打包成war文件。用“jar -cvf SSOAuth.war SSOAuth/”就可以完成这个功能。
• 解压缩SSOWebDemo1和SSOWebDemo2文件，分别在它们/WEB-INF/下找到web.xml文件，请修改其中的几个初始化参数
  <init-param>
  <param-name>SSOServiceURL</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/SSOAuth</param-value>
  </init-param>
  <init-param>
  <param-name>SSOLoginPage</param-name>
  <param-value>http://wangyu.prc.sun.com:8080/SSOAuth/login.jsp</param-value>
  </init-param>
  将其中的SSOServiceURL和SSOLoginPage修改成部署SSOAuth应用的机器名、端口号以及根路径（缺省是SSOAuth）以反映实际的部署情况。设置完后，根据你所选择的J2EE容器，可能需要将SSOWebDemo1和SSOWebDemo2这两个目录压缩打包成两个war文件。用“jar -cvf SSOWebDemo1.war SSOWebDemo1/”就可以完成这个功能。
• 请输入第一个web应用的测试URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/ SSOWebDemo1/test.jsp，如果是第一次访问，便会自动跳转到登录界面，如下图

  

• 使用系统自带的三个帐号之一登录（例如，用户名：wangyu,密码：wangyu），便能成功的看到test.jsp的内容：显示当前用户名和欢迎信息。
  

• 请接着在同一个浏览器中输入第二个web应用的测试URL（test.jsp）,例如http://wangyu.prc.sun.com:8080/ SSOWebDemo2/test.jsp。你会发现，不需要再次登录就能看到test.jsp的内容，同样是显示当前用户名和欢迎信息，而且欢迎信息中明确的显示当前的应用名称（demo2）。

1. 如果用户还没有登录过，是第一次登录本系统，会被跳转到login.jsp页面（在后面会解释如何跳转）。用户在提供了用户名和密码以后，就会用handlerFromLogin()这个方法来验证。
2. 如果用户已经登录过本系统，再访问别的应用的时候，是不需要再次登录的。因为浏览器会将第一次登录时产生的cookie和请求一起发送。效验cookie的有效性是SSOAuth的主要功能之一。
3. SSOAuth还能直接效验非login.jsp页面过来的用户名和密码的效验请求。这个功能是用于非web应用的SSO，这在后面的桌面SSO中会用到。
4. SSOAuth还提供logout服务。

• Web应用中每一个需要安全保护的URL在访问以前，都需要进行安全检查，如果发现没有登录（没有发现认证之后所带的cookie），就重新定向到SSOAuth中的login.jsp进行登录。
• 登录成功后，系统会自动给你的浏览器设置cookie，证明你已经登录过了。
• 当你再访问这个应用的需要保护的URL的时候，系统还是要进行安全检查的，但是这次系统能够发现相应的cookie。
• 有了这个cookie，还不能证明你就一定有权限访问。因为有可能你已经logout,或者cookie已经过期了，或者身份认证服务重起过，这些情况下，你的cookie都可能无效。应用系统拿到这个cookie，还需要调用身份认证的服务，来判断cookie时候真的有效，以及当前的cookie对应的用户是谁。
• 如果cookie效验成功，就允许用户访问当前请求的资源。

• 在每个被访问的资源中（JSP或Servlet）中都加入身份认证的服务，来获得cookie，并且判断当前用户是否登录过。不过这个笨方法没有人会用:-)。
• 可以通过一个controller，将所有的功能都写到一个servlet中，然后在URL映射的时候，映射到所有需要保护的URL集合中（例如*.jsp，/security/*等）。这个方法可以使用，不过，它的缺点是不能重用。在每个应用中都要部署一个相同的servlet。
• Filter是比较好的方法。符合Servlet2.3以上的J2EE容器就具有部署filter的功能。（Filter的使用可以参考JavaWolrd的文章http://www.javaworld.com/javaworld/jw-06-2001/jw-0622-filters.html）Filter是一个具有很好的模块化，可重用的编程API，用在SSO正合适不过。本样例就是使用一个filter来完成以上的功能。

• cookie的长度和复杂度
  在本方案中，cookie是有一个固定的字符串（我的姓名）加上当前的时间戳。这样的cookie很容易被伪造和猜测。怀有恶意的用户如果猜测到合法的cookie就可以被当作已经登录的用户，任意访问权限范围内的资源
• cookie的效验和保护
  在本方案中，虽然密码只要传输一次就够了，可cookie在网络中是经常传来传去。一些网络探测工具（如sniff, snoop,tcpdump等）可以很容易捕获到cookie的数值。在本方案中，并没有考虑cookie在传输时候的保护。另外对cookie的效验也过于简单，并不去检查发送cookie的来源究竟是不是cookie最初的拥有者，也就是说无法区分正常的用户和仿造cookie的用户。
• 当其中一个应用的安全性不好，其他所有的应用都会受到安全威胁
  因为有SSO，所以当某个处于 SSO的应用被黒客攻破，那么很容易攻破其他处于同一个SSO保护的应用。

• 当前所提供的登录认证模式只有一种：用户名和密码，而且为了简单，将用户名和密码放在内存当中。事实上，用户身份信息的来源应该是多种多样的，可以是来自数据库中，LDAP中，甚至于来自操作系统自身的用户列表。还有很多其他的认证模式都是商务应用不可缺少的，因此SSO的解决方案应该包括各种认证的模式，包括数字证书，Radius， SafeWord ，MemberShip，SecurID等多种方式。最为灵活的方式应该允许可插入的JAAS框架来扩展身份认证的接口
• 我们编写的Filter只能用于J2EE的应用，而对于大量非Java的Web应用，却无法提供SSO服务。
• 在将Filter应用到Web应用的时候，需要对容器上的每一个应用都要做相应的修改，重新部署。而更加流行的做法是Agent机制：为每一个应用服务器安装一个agent，就可以将SSO功能应用到这个应用服务器中的所有应用。
• 当前的方案不能支持分别位于不同domain的Web应用进行SSO。这是因为浏览器在访问Web服务器的时候，仅仅会带上和当前web服务器具有相同domain名称的那些cookie。要提供跨域的SSO的解决方案有很多其他的方法，在这里就不多说了。Sun的Access Manager就具有跨域的SSO的功能。
• 另外，Filter的性能问题也是需要重视的方面。因为Filter会截获每一个符合URL映射规则的请求，获得cookie，验证其有效性。这一系列任务是比较消耗资源的，特别是验证cookie有效性是一个远程的http的调用，来访问SSOAuth的认证服务，有一定的延时。因此在性能上需要做进一步的提高。例如在本样例中，如果将URL映射从“.jsp”改成“/*”，也就是说filter对所有的请求都起作用，整个应用会变得非常慢。这是因为，页面当中包含了各种静态元素如gif图片，css样式文件，和其他html静态页面，这些页面的访问都要通过filter去验证。而事实上，这些静态元素没有什么安全上的需求，应该在filter中进行判断，不去效验这些请求，性能会好很多。另外，如果在filter中加上一定的cache，而不需要每一个cookie效验请求都去远端的身份认证服务中执行，性能也能大幅度提高。
• 另外系统还需要很多其他的服务，如在内存中定时删除无用的cookie映射等等，都是一个严肃的解决方案需要考虑的问题。

1. 运行此桌面SSO需要三个前提条件：
   a) WEB-SSO的身份认证应用应该正在运行，因为我们在桌面SSO当中需要用到统一的认证服务
   b) 当前桌面需要运行Mozilla或Netscape浏览器，因为我们将ticket保存到mozilla的cookie文件中
   c) 必须在JDK1.4以上运行。（WEB-SSO需要JDK1.5以上）
2. 解开desktopsso.zip文件，里面有两个目录bin和lib。
3. bin目录下有一些脚本文件和配置文件，其中config.properties包含了三个需要配置的参数：
   a) SSOServiceURL要指向WebSSO部署的身份认证的URL
   b) SSOLoginPage要指向WebSSO部署的身份认证的登录页面URL
   c) cookiefilepath要指向当前用户的mozilla所存放cookie的文件
4. 在bin目录下还有一个login.conf是用来配置JAAS登录模块，本样例提供了两个，读者可以任意选择其中一个（也可以都选），再重新运行程序，查看登录认证的变化
5. 在bin下的运行脚本可能需要作相应的修改
   a) 如果是在unix下，各个jar文件需要用“:”来隔开，而不是“;”
   b) java 运行程序需要放置在当前运行的路径下，否则需要加上java的路径全名。