單點(diǎn)登錄（SSO）的技術(shù)被越來(lái)越廣泛地運(yùn)用到各個(gè)領(lǐng)域的軟件系統(tǒng)當(dāng)中。本文從業(yè)務(wù)的角度分析了單點(diǎn)登錄的需求和應(yīng)用領(lǐng)域；從技術(shù)本身的角度分析了單點(diǎn)登錄技術(shù)的內(nèi)部機(jī)制和實(shí)現(xiàn)手段，并且給出Web-SSO和桌面SSO的實(shí)現(xiàn)、源代碼和詳細(xì)講解；還從安全和性能的角度對(duì)現(xiàn)有的實(shí)現(xiàn)技術(shù)進(jìn)行進(jìn)一步分析，指出相應(yīng)的風(fēng)險(xiǎn)和需要改進(jìn)的方面。本文除了從多個(gè)方面和角度給出了對(duì)單點(diǎn)登錄（SSO）的全面分析，還并且討論了如何將現(xiàn)有的應(yīng)用和SSO服務(wù)結(jié)合起來(lái)，能夠幫助應(yīng)用架構(gòu)師和系統(tǒng)分析人員從本質(zhì)上認(rèn)識(shí)單點(diǎn)登錄，從而更好地設(shè)計(jì)出符合需要的安全架構(gòu)。

單點(diǎn)登錄（Single Sign On），簡(jiǎn)稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。

較大的企業(yè)內(nèi)部，一般都有很多的業(yè)務(wù)支持系統(tǒng)為其提供相應(yīng)的管理和IT服 務(wù)。例如財(cái)務(wù)系統(tǒng)為財(cái)務(wù)人員提供財(cái)務(wù)的管理、計(jì)算和報(bào)表服務(wù)；人事系統(tǒng)為人事部門提供全公司人員的維護(hù)服務(wù)；各種業(yè)務(wù)系統(tǒng)為公司內(nèi)部不同的業(yè)務(wù)提供不同的服務(wù)等等。這些系統(tǒng)的目的都是讓計(jì)算機(jī)來(lái)進(jìn)行復(fù)雜繁瑣的計(jì)算工作，來(lái)替代人力的手工勞動(dòng)，提高工作效率和質(zhì)量。這些不同的系統(tǒng)往往是在不同的時(shí)期建設(shè)起來(lái)的，運(yùn)行在不同的平臺(tái)上；也許是由不同廠商開發(fā)，使用了各種不同的技術(shù)和標(biāo)準(zhǔn)。如果舉例說(shuō)國(guó)內(nèi)一著名的IT資訊公司（名字隱去），內(nèi)部共有60多個(gè)業(yè)務(wù)系統(tǒng)，這些系統(tǒng)包括兩個(gè)不同版本的SAP的ERP系統(tǒng)，12個(gè)不同類型和版本的數(shù)據(jù)庫(kù)系統(tǒng)，8個(gè)不同類型和版本的操作系統(tǒng)，以及使用了3種不同的防火墻技術(shù)，還有數(shù)十種互相不能兼容的協(xié)議和標(biāo)準(zhǔn)，你相信嗎？不要懷疑，這種情況其實(shí)非常普遍。每一個(gè)應(yīng)用系統(tǒng)在運(yùn)行了數(shù)年以后，都會(huì)成為不可替換的企業(yè)IT架構(gòu)的一部分，如下圖所示。

隨著企業(yè)的發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加，老的系統(tǒng)卻不能輕易的替換，這會(huì)帶來(lái)很多的開銷。其一是管理上的開銷，需要維護(hù)的系統(tǒng)越來(lái)越多。很多系統(tǒng)的數(shù) 據(jù)是相互冗余和重復(fù)的，數(shù)據(jù)的不一致性會(huì)給管理工作帶來(lái)很大的壓力。業(yè)務(wù)和業(yè)務(wù)之間的相關(guān)性也越來(lái)越大，例如公司的計(jì)費(fèi)系統(tǒng)和財(cái)務(wù)系統(tǒng)，財(cái)務(wù)系統(tǒng)和人事系 統(tǒng)之間都不可避免的有著密切的關(guān)系。

為了降低管理的消耗，最大限度的重用已有投資的系統(tǒng)，很多企業(yè)都在進(jìn)行著企業(yè)應(yīng)用集成（EAI）。 企業(yè)應(yīng)用集成可以在不同層面上進(jìn)行：例如在數(shù)據(jù)存儲(chǔ)層面上的“數(shù)據(jù)大集中”，在傳輸層面上的“通用數(shù)據(jù)交換平臺(tái)”，在應(yīng)用層面上的“業(yè)務(wù)流程整合”，和用 戶界面上的“通用企業(yè)門戶”等等。事實(shí)上，還用一個(gè)層面上的集成變得越來(lái)越重要，那就是“身份認(rèn)證”的整合，也就是“單點(diǎn)登錄”。

通常來(lái)說(shuō)，每個(gè)單獨(dú)的系統(tǒng)都會(huì)有自己的安全體系和身份認(rèn)證系統(tǒng)。整合以前，進(jìn)入每個(gè)系統(tǒng)都需要進(jìn)行登錄，這樣的局面不僅給管理上帶來(lái)了很大的困難，在安全方面也埋下了重大的隱患。下面是一些著名的調(diào)查公司顯示的統(tǒng)計(jì)數(shù)據(jù)：

用戶每天平均 16 分鐘花在身份驗(yàn)證任務(wù)上 - 資料來(lái)源： IDS

頻繁的 IT 用戶平均有 21 個(gè)密碼 - 資料來(lái)源： NTA Monitor Password Survey

49% 的人寫下了其密碼，而 67% 的人很少改變它們

每 79 秒出現(xiàn)一起身份被竊事件 - 資料來(lái)源：National Small Business Travel Assoc

全球欺騙損失每年約 12B - 資料來(lái)源：Comm Fraud Control Assoc

到 2007 年，身份管理市場(chǎng)將成倍增長(zhǎng)至 $4.5B - 資料來(lái)源：IDS

使用“單點(diǎn)登錄”整合后，只需要登錄一次就可以進(jìn)入多個(gè)系統(tǒng)，而不需要重新登錄，這不僅僅帶來(lái)了更好的用戶體驗(yàn)，更重要的是降低了安全的風(fēng)險(xiǎn)和管理的消耗。請(qǐng)看下面的統(tǒng)計(jì)數(shù)據(jù)：

提高 IT 效率：對(duì)于每 1000 個(gè)受管用戶，每用戶可節(jié)省$70K

幫助臺(tái)呼叫減少至少1/3，對(duì)于 10K 員工的公司，每年可以節(jié)省每用戶 $75，或者合計(jì) $648K

生產(chǎn)力提高：每個(gè)新員工可節(jié)省 $1K，每個(gè)老員工可節(jié)省 $350 ?資料來(lái)源：Giga

ROI 回報(bào)：7.5 到 13 個(gè)月 ?資料來(lái)源：Gartner

另外，使用“單點(diǎn)登錄”還是SOA時(shí)代的需求之一。在面向服務(wù)的架構(gòu)中，服務(wù)和服務(wù)之間，程序和程序之間的通訊大量存在，服務(wù)之間的安全認(rèn)證是SOA應(yīng)用的難點(diǎn)之一，應(yīng)此建立“單點(diǎn)登錄”的系統(tǒng)體系能夠大大簡(jiǎn)化SOA的安全問(wèn)題，提高服務(wù)之間的合作效率。