应用出现访问异常，很大可能是由于网络设备出现故障或者设备关联验证过程中出现了问题造成的。但是在部分情况下，对系统程序的设置也会成为造成异常现象的原因所在。正如本案例所介绍的单点跳转异常情况。

3.1　问题描述

3.1.1　故障现象

某集团公司准备上线SSO单点登录OA业务，但在测试时发现SSO单点登录后，点击OA办公系统链接，不能跳转到正常业务页面，而是跳转到oa.x.com主页。由于此类故障频繁发生，导致单点登录OA业务无法及时上线，严重影响到该集团日常运作和管理。

3.1.2　基本环境描述

业务访问路径逻辑：

客户端(X.X.24.100)àOA办公系统前端(X.X.39.31)àSP Token验证接口机前端(X.X.24.50)。

SSO单点登录OA业务系统具体认证流程：

1、用户在SSO Portal登录系统之后，根据“UserCode-登录名”获取Token；

2、在SSO Protal中点击单点登录关联业务系统(如OA业务系统)的链接，通过Request参数传递Token到业务系统关联页面；

3、业务系统获取到Token之后，调用SSO Portal的Token验证接口机接口(提供WebService和Rest两种规格的接口)进行验证；

4、返回对象的Code为1，代表验证通过，加载关联页面(Data对象为用户的编号、名称和登录名)；

5、返回对象的Code为0或者其他，即验证失败，直接跳转到SSO Portal的登录页面。

图　3-1

3.2　分析过程

点击OA办公系统链接，异常跳转到了http://oa.x.com系统登录页面，如下图所示。

图　3-2

业务应正常跳转到登录页面，如下图所示。

图　3-3

针对此异常跳转产生的时间段(14点13分03秒-14点13分07秒)回溯分析客户端至OA系统前端相应会话，可以看到产生了两条会话连接，如下图所示。

图　3-4

深度解码还原主请求会话(X.X.24.100:64032)，可以看到传完Token参数及后续请求页面链接的情况，如下图所示。

图　3-5

进一步观察分析，发现在GET /HTTP/1.1链接后，还出现了回复数据。查看回复数据的关键字，发现是异常跳转页面——“系统登录”页面的信息，如下图所示。

图　3-6

为进一步分析异常点，选择一次正常会话的数据做对比分析。选取13点55分23秒-13点55分32秒时间段的一次正常业务跳转会话，可以看到正常会话时产生的多线程连接数(17条)明显多于异常会话时的连接数(2条)，如下图所示。

图　3-7

解码还原会话信息发现：传完Token参数、后续请求页面链接及GET /HTTP/1.1连接后，存在新的请求链接：GET /homepage.nsf/RedirectTO HTTP/1.1，如下图所示。

图　3-8

经查看，发现GET /HTTP/1.1链接后，出现的数据和异常情况时不一致，如下图所示。

图　3-9

正常情况下，GET /homepage.nsf/RedirectTO HTTP/1.1后，返回的数据如下图所示。

图　3-10

通过对比分析，查看到从客户端至OA前端在异常跳转情况下的url请求有较大不同：异常跳转情况下的请求缺少GET /homepage.nsf/RedirectTO HTTP/1.1链接，并且多线程连接会话仅为2条，远低于正常情况时的连接会话。

因业务存在Token关联验证流程，因此需关联分析OA前端与SP Token接口机前端的通信会话。

检索异常跳转时同一时间段14点13分03秒-14点13分07秒OA前端与SP Token接口机前端的通信会话，如下图所示。

图　3-11

深度解码还原此会话，发现通过Token验证接口的验证后，SP Token接口机前端返回的Code值是“1”，而默认认证失败返回的Code值应该是“0”，如下图所示。

图　3-12

同样，对比分析正常业务13点55分23秒-13点55分32秒时间段的通信会话，如下图所示。

图　3-13

解码还原会话后发现SP Token接口机前端返回的Code值是“1”。表明验证通过，符合业务程序正常设定，如下图所示。

图　3-14

通过上述分析可以判断，异常跳转出现时，OA前端发送至SP Token接口机前端的Token的验证返回是正常通过的，也就是说SP Token接口机前端正常返回了成功验证消息(Code=1)。OA前端在收到Token的正常验证后，内部程序存在异常，导致无法生成正常OA系统主页链接请求，最终跳转到异常页面。

3.3　分析总结及问题处理

异常跳转发生时从客户端至OA前端系统请求链接与正常业务时出现的请求链接存在很大不同，正常会话时产生的多线程连接(17条)明显多于异常会话时的连接数(2条)。并且异常跳转发生时，OA前端与SP Token接口机前端的Token关联验证阶段，明显看到验证是成功的。因此可以排除是SP Token接口机前端的问题，OA前端系统程序存在较大可疑。

开发人员在听取分析结论后，修改OA前端系统代码，成功解决了Token正常验证后生成跳转链接的不稳定问题。

3.4　价值

运用网络回溯分析技术对数据流进行精准分析，可迅速排除干扰因素，精准定位SSO单点登录跳转异常的发生节点，确定故障根因。避免业务损失，优化运维工作。