基于票据的单点登录系统设计与实现摘要：针对传统基于票据的Web应用单点登录系统在组合应用访问上的不足以及基于证书的Web应用单点登录系统存在的效率问题，提出一种改进的基于票据的Web应用单点登录系统。该系统实现了不同域名的Web应用单点登录，引入代理票据实现了组合应用访问时的单点登录，采用票据进行身份认证，避免了数字签名以及多重数字签名带来的认证效率问题。关键词：单点登录；票据；代理票据；TGT；Web应用：TN915?34；TP393文献标识码：A：1004?373X（2015）13?0085?05Abstract：Sincetheinsufficiencyoftraditionalbill?basedWebapplicationsinglesign?on（SSO）systemincombinationapplicationaccess，andtheefficiencyproblemofcertificate?---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---basedWebapplicationSSOsystem，animprovedbill?basedWebapplicationSSOsystemisproposed.TheproposedsystemrealizedWebapplicationSSOofdifferentdomainname，andSSOofcombinationapplicationaccessbyintroducingtheagencybill.Theidentityauthenticationisproceededwiththebilltoavoidtheauthenticationefficiencyproblemscausedbydigitalsignaturesandmulti?digitalsignatures.Keywords：SSO；bill；agencybill；TGT；Webapplication0引言随着网络技术和信息技术的不断发展，用户对于信息和服务的需求不断增加，各种应用服务不断普及，用户使用的应用系统越来越多。用户需要牢记大量应用系统的登录信息，给用户带来了很大的麻烦，为了减少麻烦，用户一般采用相同而且方便记忆的口令，这就带来了极大的安全隐患，同时加上各应用系统的认证系统存在各种差异，严重阻碍了系统间的信息交互，单点登录正是在这一背景下产生的。单点登录的目的是“一次登录，自由切换”，即用户可以在只进行一次主动的身份认证前提下，就可---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---以自由访问多个授权内的应用资源。在Web应用环境下，用户通过访问Web应用获取资源，有时，为了业务功能以及用户体验的需要，某些Web应用之间需要相互访问来获取资源，将后者定义为组合应用访问。传统的基于票据的Web应用单点登录系统在用户登录成功后为其生成一张票据，结合Web应用系统特有的Cookie技术实现了用户访问Web应用时的单点登录，但由于Cookie的限制，该系统要求Web应用必须具备相同的域名，部署起来不太方便，同时该系统并未给出组合应用访问时单点登录的解决方法。基于证书的单点登录系统通过引入多重签名技术给出了组合应用访问时单点登录的解决方法，但是缺点也十分明显，需要对证书链上的每个签名进行验证，认证效率太低。针对上述问题，本文给出一种改进的基于票据的Web应用单点登录系统，解决了Cookie对于Web应用域名的限制，同时引入代理票据解决了组合应用访问时的单点登录，避免了多重数字签名带来的效率问题。1传统单点登录方案1.1基于票据的单点登录传统的基于票据的单点登录在用户的登录信息认证通过后，认---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---证服务器为用户生成一张票据，票据由随机的字符串组成，以键值对的形式附在URL后面，用户携带此票据访问Web应用资源，Web应用验证票据合法后，返回用户访问的资源，同时会附带一个Cookie，Cookie中包含了用户的身份信息，之后用户访问同域名的其他Web应用时会自动携带该Cookie，Web应用通过该Cookie了解到用户已经登录，直接返回访问的资源，无需再次对用户进行身份认证，实现了单点登录。由于Cookie本身对域名的限制，单点登录范围内的Web应用必须含有相同域名，同时该传统方案未给出Web应用之间即组合应用访问的单点登录流程。1.2基于证书的单点登录基于证书的单点登录主要由CA（证书授权）、Web应用服务器和用户三部分组成。通过CA签发证书实现用户访问服务器的单点登录，认证过程与上述方案类型。在面对组合应用访问需求时，用户将证书作为自己的身份凭证委托给Web应用，组合访问链上Web应用依次给证书签名，最后一个Web应用需要...