OA之“单点登录方案

一、方案描述

单点登录(Single Sign On,简称SSO)就是:用户成功登录一个系统后,利用这个系统的身份,直接进入另一个系统(或其它多个系统)。下面我们以A和B两个系统为例进行说明:

A系统

1、这里A系统作为“身份源”,用户首先登录A系统。A系统主菜单中提供一个按钮(称为:SSO按钮),点击该按钮可进入B系统。点击按钮后的执行步骤:

  • 向自己系统申请一个令牌(这里叫做token0),token0同时保存在自己系统中。
  • 向B系统发SSO登录请求,请求带上两个参数:用户姓名 和token0 。

2、A系统提供一个“SSO验证接口”,供B系统进行身份验证。

B系统

B系统提供一个“SSO登录请求URL”,供用户从A系统SSO登录。

B系统收到A系统用户的SSO登录请求后执行的步骤:

  • 确认本系统有该用户(姓名相同)
  • 向A系统“SSO验证接口”发验证请求,验证请求带上参数:用户姓名、token0.和token1等,这里token1是B系统的令牌。
  • A系统收到B系统的SSO验证请求后:首先确认请求的用户身份,并确认用户已经登录;然后验证token0是自己发出去的令牌。验证通过后,使用token0和token1进行“MD5加密转换”(加密转换方法是A系统和B系统约定好的),最后产生一个8位字符串的验证码,将验证码返回B系统。验证失败返回空字符串。
  • B系统收到验证码后,也使用token0和token1进行“MD5加密转换”(与A系统的加密换换方法相同),产生一个8位字符串与返回的验证码进行比对,比对通过后,用户就登录B系统。比对不通过,或返回的验证码为空,就重定向到B系统自己的登录页面。

归纳一下:

A系统作为“身份源”,提供:SSO按钮 和SSO验证接口。

B系统提供:SSO登录请求URL

A系统发出令牌token0,B系统发出令牌token1,两边采用相同MD5加密转换进行验证。

二、OA作为A系统(身份源)

1、登录B系统的“SSO按钮”

在webapps\taioa8\WEB-INF\taioa\app\view\base目录,找到MenuBar.js文件,该文件是系统主菜单,文件最后有如下代码:

// 登录B系统的SSO按钮(名称需实际替换)

text : ‘<span style=”font-weight:bold;font-size:12px;color:#FFFFFF;”>SSO BSystem</span>’,

listeners : {

  “click” : function() {

       SSOLogin.getSSOToken(function(result, e) {

           if (result.code == 100) {

               var ssoName = result.ssoName;

               var token0 = result.token0;

               // B系统的SSO登录URL(需实际替换)

          var url = “http://192.168.0.103:8080/taioa8/taioa/ssoLogin?ssoName=”

                         + ssoName + “&token0=” + token0;

               window.open(url);

                         }

                 })

        }

}

这段代码就是:SSO按钮,点击后向B系统发登录请求。实施时将“按钮名称和“url”进行实际替换。

2SSO验证接口

该接口是WebService接口,接口服务地址为:

http://服务器地址:端口/taioa8/webservice/taiWebService?wsdl

接口方法:

public String verifySSO (String jsonStr)

参数是json字符串:

{

  userName : ’用户名’,  // “OA系统专门为接口创建的用户”的用户名

  password : ‘密码’,    // “OA系统专门为接口创建的用户”的密码

  ssoName : ssoName,  // 要sso登录的用户姓名

token0 : token0,  // A系统的令牌

token1 : token1  // B系统的令牌

}

OA系统专门为接口创建的用户:就是系统管理员在OA中创建一个用户,这个用户是专门安排給接口使用。这个用户与普通用户(人员)没什么两样,但可以设置为“停用”,这样一来就只能从WebService接口进入,进入接口会验证用户身份。

返回值也是json字符串:

{

  success : true/false,  //是否验证成功

  message : “字符串 ”,  //失败时,返回的失败信息

  code :“验证码” ,  //验证成功时,返回的验证码

position: ”岗位字符串”,  //格式如:\计划财务部\部长,有多个岗位时用逗号连接

  role: ”角色字符串”,  // OA组织架构中赋予的角色,格式如:党委委员,有多个角色时用逗号连接

  mobile:”手机号”

}

MD5加密转换:

验证成功,返回一个8位字符串供B系统比对,加密转换是:

token1+”&&&”+token0 ,进行MD5转换获得32位字符串(MD5转换返回16字节数组,再转32位16进制字符串),字符串转大写字符,取子串substring(3, 11)做验证码。(注意这里是取字符串的第4位到第11位)

三、OA作为B系统

1SSO登录URL

http://服务器地址:端口/taioa8/taioa/ssoLogin?ssoName=”

                         + ssoName + “&token0=” + token0;

2、向A系统发出SSO验证请求

收到SSO登录请求后,会向A系统发出验证请求,验证请求使用WebService客户端(MyClient)发送:

MyClient.request(url, “verifySSO”, jsonStr);

这里:url是A系统WebService服务的url,verifySSO是A系统SSO验证接口的方法名称,jsonStr是请求参数。

请求参数jsonStrjson字符串:

{

  userName : ’用户名’,  // A系统为接口访问注册的用户名

  password : ‘密码’,    // A系统为接口访问注册的用户密码

  ssoName : ssoName,  //要sso登录的用户姓名

token0 : token0,  // A系统的令牌

token1 : token1  // B系统(OA)的令牌

}

请求返回值要求是json字符串:

{

  success : true/false,  //是否验证成功

  message : “字符串 ”,  //失败时,返回的失败信息

  code :“验证码” ,  //验证成功时,返回的验证码

}

MD5加密转换:

A系统验证成功,返回一个8位字符串供B系统比对,加密转换是:

token1+”&&&”+token0 ,进行MD5转换获得32位字符串(MD5转换返回16字节数组,再转32位16进制字符串),字符串转大写字符,取子串substring(3, 11)做验证码。(注意这里是取字符串的第4位到第11位)

3、配置文件WebServiceSSO.properties

该文件在webapps\taioa8\properties目录下,用于配置A系统SSO验证接口的url,以及用户名和密码(A系统可以要求接口访问需要用户名和密码),配置文件如:

#SSO验证接口(WebService服务)

url = http://192.168.0.102:8080/taioa8/webservice/taiWebService?wsdl

userName = bsystem

password = 666666