公司一直用weblogic开发,CA有现成的sso agent for weblogic,只需要简单封装即可,主要是通过filter+serevlet来实现的。
后来又有了sso agent from jboss,自己也设想一下tomcat/jetty 替换weblogic 来作为web server,所以考虑custom sso agent for web container的开发.
大致的设计架构:
- 组件1:authenticator/filter:可以支持cross domain,cookie,form
- 组件2:loginModule/Provider:包括Identity 和Form 个独立组件
- tomcat 使用 jaas(sso realm + form realm) + authenticator来实现
- jetty 使用 jass(sso realm _+ realm )+ authenticator来实现
- sso realm 和 form realm 都是标准的jaas实现,tomcat 和jetty 分别继承自身的FormAuthenticator来扩展.
认证流程处理:
a.SSO跨域
需要配置siteminder 的cookie provider,用于生成cookie和SESSION,以便于不同域cookie生成的桥梁;
.判断请求是否已经认证过,如何认证过直接通过。
.如果是登陆请求j_security_check,使用SMSSION来登陆,如果通过,realm 认证(获取权限role);认证成功,跳转到cookieprovider(生成cookieprovider domain的cookie或smsession);如何认证成功,结束。
.使用SSO Cookie登陆,如果通过,realm认证;认证成功,跳转到cookieprovider(生成cookieprovider domain的cookie或smsession);如果认证成功,结束
.跳转到登陆页面.
b.SSO同域
.判断请求是否已经认证过,如何认证过直接通过。
.如果是登陆请求j_security_check,使用SSO Cookie登陆,如果通过,realm认证(获取权限role).如何认证成功,结束
.跳转到登陆页面.
c.非SSO
.realm认证。如果成功,跳转到welcome页面。否则跳转到登陆错误页面.
smagent sdk 4.x 是需要在policy server上配置静态密钥,5.x 就可以先注册生成Smhost.conf,smagent加载即可
参考
JAAS:http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/tutorials/index.html
SiteMinder:https://support.ca.com/cadocs/0/CA%20SiteMinder%20r6%200%20SP6-ENU/Bookshelf_Files/HTML/index.htm?toc.htm?937146.html