基于票据的单点登录系统设计与实现摘要：针对传统基于票据的Web应用单点登录系统在组合应用访问上的不足以及基于证书的Web应用单点登录系统存在的效率问题提出一种改进的基于票据的Web应用单点登录系统。该系统实现了不同域名的Web应用单点登录引入代理票据实现了组合应用访问时的单点登录采用票据进行身份认证避免了数字签名以及多重数字签名带来的认证效率问题。关键词：单点登录；票据；代理票据；TGT；Web应用中图分类号：TN915?34；TP393文献标识码：A文章编号：1004?373X（2015）13?0085?05Abstract：Sincetheinsufficiencyoftraditionalbill?basedWebapplicationsinglesign?on（SSO）systemincombinationapplicationaccessandtheefficiencyproblemofcertificate?basedWebapplicationSSOsystemanimprovedbill?basedWebapplicationSSOsystemisproposed.TheproposedsystemrealizedWebapplicationSSOofdifferentdomainnameandSSOofcombinationapplicationaccessbyintroducingtheagencybill.Theidentityauthenticationisproceededwiththebilltoavoidtheauthenticationefficiencyproblemscausedbydigitalsignaturesandmulti?digitalsignatures.Keywords：SSO；bill；agencybill；TGT；Webapplication0引言随着网络技术和信息技术的不断发展用户对于信息和服务的需求不断增加各种应用服务不断普及用户使用的应用系统越来越多。用户需要牢记大量应用系统的登录信息给用户带来了很大的麻烦为了减少麻烦用户一般采用相同而且方便记忆的口令这就带来了极大的安全隐患同时加上各应用系统的认证系统存在各种差异严重阻碍了系统间的信息交互单点登录正是在这一背景下产生的。单点登录的目的是“一次登录自由切换”即用户可以在只进行一次主动的身份认证前提下就可以自由访问多个授权内的应用资源。在Web应用环境下用户通过访问Web应用获取资源有时为了业务功能以及用户体验的需要某些Web应用之间需要相互访问来获取资源将后者定义为组合应用访问。传统的基于票据的Web应用单点登录系统在用户登录成功后为其生成一张票据结合Web应用系统特有的Cookie技术实现了用户访问Web应用时的单点登录但由于Cookie的限制该系统要求Web应用必须具备相同的域名部署起来不太方便同时该系统并未给出组合应用访问时单点登录的解决方法。基于证书的单点登录系统通过引入多重签名技术给出了组合应用访问时单点登录的解决方法但是缺点也十分明显需要对证书链上的每个签名进行验证认证效率太低。针对上述问题本文给出一种改进的基于票据的Web应用单点登录系统解决了Cookie对于Web应用域名的限制同时引入代理票据解决了组合应用访问时的单点登录避免了多重数字签名带来的效率问题。1传统单点登录方案1.1基于票据的单点登录传统的基于票据的单点登录在用户的登录信息认证通过后认证服务器为用户生成一张票据票据由随机的字符串组成以键值对的形式附在URL后面用户携带此票据访问Web应用资源Web应用验证票据合法后返回用户访问的资源同时会附带一个CookieCookie中包含了用户的身份信息之后用户访问同域名的其他Web应用时会自动携带该CookieWeb应用通过该Cookie了解到用户已经登录直接返回访问的资源无需再次对用户进行身份认证实现了单点登录。由于Cookie本身对域名的限制单点登录范围内的Web应用必须含有相同域名同时该传统方案未给出Web应用之间即组合应用访问的单点登录流程。1.2基于证书的单点登录基于证书的单点登录主要由CA（证书授权）、Web应用服务器和用户三部分组成。通过CA签发证书实现用户访问服务器的单点登录认证过程与上述方案类型。在面对组合应用访问需求