在门户项目中，经常会遇到如何实现单点登录的问题，下面就本人的经验做个总结。欢迎大家进行补充讨论。

单点登录的具体实现有很多种选择，包括：

1. 采用专门的SSO商业软件： 主要有：Netgrity的Siteminder，已经被CA收购。Novell 公司的iChain。RSA公司的ClearTrust等。
2. 采用门户产品供应商自己的SSO产品，如：BEA的WLES，IBM 的Tivoli Access Manager，Sun 公司的identity Server，Oracle公司的OID等。
3. 这些商业软件一般适用于客户对SSO的需求很高，并且企业内部采用COTS软件如：Domino,SAP,Sieble的系统比较多的情况下采用。并结合身份管理。统一认证等项目采用。采用这些软件一般都要对要集成的系统做些改造，如在要集成的系统上安装AGENT。现在一般只提供常见软件如：Domino,SAP,Sieble，常见应用服务器：weblogic,websphere等的AGENT。要先统一这些系统的认证。一般采用LDAP或数据库。然后才能实现SSO。比较麻烦。
4. 另外，如果不想掏银子，也有OPEN SOURCE的SSO软件可选：主要有：http://www.josso.org/https://opensso.dev.java.net/http://www.sourceid.org 等。具体怎么样就不清楚了。

　　如果项目对SSO的要求比较低，又不想对要被集成的系统做任何改动，可采用下面介绍的方式简单实现：下面我们通过一个例子来说明。假如一个门户项目要对下面的几个系统做SSO。

　　用户在这些系统中的用户名，密码各不相同，如：员工号为001的员工在这些系统中的用户名，密码分别如下：

首先，建立员工在PORTAL系统中的用户名和其他系统中的用户名之间的对应关系

　　首先，要建立员工在PORTAL系统中的用户名和其他系统中的用户名之间的对应关系并保存。可保存在表中或LDAP中或文件系统中。当然要考虑这些系统之间的数据同步问题。比较好的方式是找到用户在这些系统中的都存在的唯一信息（如员工号，MAIL地址，姓名等）。通过唯一信息实时到各个系统中去取认证所需要的信息。就不需要考虑数据同步问题。比较实用。可以建立类似下面的表：密码可采用加密保存。如果是采用BEA的Weblogic Portal,可采用UUP来保存这些信息。

	(
	
	user	 varchar2(20),   	/*用户名*/
	app_name varchar2(20),  	/*应用系统*/
	architect varchar2(4),  		/*应用系统的架构BS或CS*/
	app_company varchar2(50),          /*用户所属分公司*/
	app_department varchar2(50),      /*用户所在的部门*/
	app_user varchar2(15),                 /*在该系统中的用户名*/
	app_passwd varchar2(15), 	/*在该系统中的密码*/
	app_cookie varchar2(30),              /*COOKIE名称*/
	form_user varchar2(20),                /*认证页面中FORM的用户名字段*/
	form_passwd varchar2(20),          /*认证页面中FORM的密码字段*/
	app_special  varchar2(20)           /*其他*/
	);

通过IFRAME或超连接方式集成目标系统，并进行SSO

　　通过IFRAME或超连接方式集成目标系统,并在URL中带上用户名和密码。如集成DOMINO可采用如下方式：

　　<IFRAME src=http://host1/names.nsf?Login&Username=admin&Password=pass&RedirectTo=/names.nsf
width="100%" frameborder="0" align="middle" height="100%" hspace="0" marginheight="0" marginwidth="0" scrolling="yes" style="background-color:#f7f7ff;">
</IFRAME>

　　或：
Href src=“http:// host1/names.nsf?Login&Username=admin&Password=pass&RedirectTo=/names.nsf”
以上采用的是在HTTP中直接传递明码，为提高安全性，可采用HTTPS来传递用户名和密码。另外采用这种方式被集成的系统必须支持FORM方式认证。J2EE应用，DOMINO等都支持FORM认证。

　　这两种方式如果SSO成功，就自动进入目标系统的界面，如果实现会显示目标系统的登录界面。其效果图如下：

　　这种方式，必须维护对应关系表，如上面的sso_info。更好的方式是提供界面，让最终用户自己维护这种对应关系，可模仿Compoze portlets for lotus的做法，在用户第一次进入要与之做SSO的系统时，如DOMINO系统，显示一个界面，让用户自己输入他在该系统中的用户名/密码等信息。并保存到表中或LDAP等其他数据源中。以后用户要进入这些系统时，就直接从表中或其他数据源中取用户的用户名/密码等信息，帮助用户做认证。建议采用这种方式。如下图所示。如果用户改变了自己在DOMINO系统中的用户名，密码。从门户系统进入DOMINO系统时，认证会失败，就重新显示类似下面的界面。让用户重新输入他在DOMINO系统中新的用户名，密码并保存。

　　以上这种实现方式，一般需要浏览器支持COOKIE，所以要注意浏览器的配置，在开发阶段，为方便调试，可设置IE，让它显示COOKIE的名称。如下所示：

　　采用这种方式，对要集成的系统不需要做任何的改动。如果PORTAL系统中的用户在被集成的系统中的权限都一样，可采用建立一个通用用户的做法。也就是所有在PORTAL系统中的用户都采用这个通用用户进入目标系统。这种方式等于是采用页面集成方式做集成。比较方便使用。另外，有时候需要采用调用API，或配置Adapter等应用集成方式来集成其他系统，一般也是通过定义一个连接专用的用户。在API中或在配置Adapter的时候写死。如采用JAVA API方式集成DOMINO：

　　lotus.domino.Session dominoSession = NotesFactory.createSession(dominoServer, “admin”, “password”);

CS结构实现方式

　　经常有人问CS结构的应用如何实现SSO，本人的建议是对这种系统不要自己去实现SSO。很麻烦，其实输个用户名，密码没什么大不了的。如果要实现，一是采用商业软件。另外也可以采用以下方式：在PORTAL的PORTLET上建立超连接。并通过APPLET方式启动CS结构的应用系统的登录界面。然后通过如下的方式把用户名/密码传递过去。

　　-不能做任何改动的客户端 - WIN消息（给登录窗口发送用户名，密码等登录所需要的信息）,模拟键盘（java有模拟键盘输入的API）

　　-可以做改动的客户端 - 参数传递，并让登录的EXE文件读取参数进行认证。

　　因为要让APPLET执行本地的EXE文件，所以必须对IE中的JRE的安全进行设置。

其他：

　　在采用以上方式实现了SSO后，要注意LOGOUT，可采用与LOGIN相同的方式。也可以通过被集成系统的超时设置来实现。

单点登录SSO技术资料收集

• 统一用户认证和单点登录解决方案:  计算机世界网上的文章,比较全面的介绍统一用户认证和单点登录解决方案
• 惠普灵动单点登录(SSO)解决方案:  包括C/S结构的系统单点登录解决方案
• 网站用户单点登录系统解决方案:  通过令牌方式实现网站用户单点登录
• WebLogic平台的Web SSO（SAML）解决方案:  在WebLogic 8.1SP4中，提供了用于和Microsoft Windows客户端进行SSO的Single Pass Negotiate Identity Assertion Provider。本文对其做了详细的介绍。
• http://blog.beijingnet.com/index.php?blogId=4:  收录了一些SSO方面的文章
• 应用整合中SSO的技术实现:  作者介绍了南京地税进行应用整合SSO的技术实现方案

对String的深刻理解

刚开始玩java,对其String类，使用有些感触;

1、"abc"与new String("abc");
    经常会问到的面试题：String s = new String("abc");创建了几个String Object?【如这里创建了多少对象? 和一道小小的面试题 】

    这个问题比较简单，涉及的知识点包括：

引用变量与对象的区别；
字符串文字"abc"是一个String对象；
文字池[pool of literal strings]和堆[heap]中的字符串对象。
    一、引用变量与对象：除了一些早期的Java书籍和现在的垃圾书籍，人们都可以从中比较清楚地学习到两者的区别。A aa;语句声明一个类A的引用变量aa[我常常称之为句柄]，而对象一般通过new创建。所以题目中s仅仅是一个引用变量，它不是对象。[ref 句柄、引用与对象]

    二、Java中所有的字符串文字[字符串常量]都是一个String的对象。有人[特别是C程序员]在一些场合喜欢把字符串"当作/看成"字符数组，这也没有办法，因为字符串与字符数组存在一些内在的联系。事实上，它与字符数组是两种完全不同的对象。

        System.out.println("Hello".length());
        char[] cc={'H','i'};
        System.out.println(cc.length);

    三、字符串对象的创建:由于字符串对象的大量使用[它是一个对象，一般而言对象总是在heap分配内存]，Java中为了节省内存空间和运行时间[如比较字符串时，==比equals()快]，在编译阶段就把所有的字符串文字放到一个文字池[pool of literal strings]中，而运行时文字池成为常量池的一部分。文字池的好处，就是该池中所有相同的字符串常量被合并，只占用一个空间。我们知道，对两个引用变量，使用==判断它们的值[引用]是否相等，即指向同一个对象：

String s1 = "abc" ;
String s2 = "abc" ;
if( s1 == s2 ) 
    System.out.println("s1,s2 refer to the same object");
else     System.out.println("trouble");

    这里的输出显示，两个字符串文字保存为一个对象。就是说，上面的代码只在pool中创建了一个String对象。

    现在看String s = new String("abc");语句，这里"abc"本身就是pool中的一个对象，而在运行时执行new String()时，将pool中的对象复制一份放到heap中，并且把heap中的这个对象的引用交给s持有。ok，这条语句就创建了2个String对象。

String s1 = new String("abc") ;
String s2 = new String("abc") ;
if( s1 == s2 ){ //不会执行的语句}

    这时用==判断就可知，虽然两个对象的"内容"相同[equals()判断]，但两个引用变量所持有的引用不同，

    BTW：上面的代码创建了几个String Object? [三个，pool中一个，heap中2个。]
    [Java2 认证考试学习指南 (第4版)( 英文版)p197-199有图解。]


2、字符串的+运算和字符串转换
    字符串转换和串接是很基础的内容，因此我以为这个问题简直就是送分题。事实上，我自己就答错了。

String str = new String("jf"); // jf是接分
str = 1+2+str+3+4;
一共创建了多少String的对象？[我开始的答案：5个。jf、new、3jf、3jf3、3jf34]

    首先看JLS的有关论述：

    一、字符串转换的环境[JLS 5.4 String Conversion]

    字符串转换环境仅仅指使用双元的+运算符的情况，其中一个操作数是一个String对象。在这一特定情形下，另一操作数转换成String，表达式的结果是这两个String的串接。

    二、串接运算符[JLS 15.18.1 String Concatenation Operator + ]

    如果一个操作数/表达式是String类型，则另一个操作数在运行时转换成一个String对象，并两者串接。此时，任何类型都可以转换成String。[这里，我漏掉了"3"和"4"]

如果是基本数据类型，则如同首先转换成其包装类对象，如int x视为转换成Integer(x)。
现在就全部统一到引用类型向String的转换了。这种转换如同[as if]调用该对象的无参数toString方法。[如果是null则转换成"null"]。因为toString方法在Object中定义，故所有的类都有该方法，而且Boolean, Character, Integer, Long, Float, Double, and String改写了该方法。
关于+是串接还是加法，由操作数决定。1+2+str+3+4 就很容易知道是"3jf34"。[BTW :在JLS的15.18.1.3中举的一个jocular little example，真的很无趣。]
    下面的例子测试了改写toString方法的情况.。

class A{
    int i = 10;
    public static void main(String []args){
        String str = new String("jf");
        str += new A();
        System.out.print(str);
    }

    public String toString(){
        return " a.i ="+i+"\n";
    }
}

三、字符串转换的优化

按照上述说法，str = 1+2+str+3+4;语句似乎应该就应该生成5个String对象：

1+2 ＝3，then 3→Integer(3)→"3" in pool? [假设如此]
"3"+str(in heap) = "3jf"     (in heap)
"3jf" +3 ,first 3→Integer(3)→"3" in pool? [则不创建] then "3jf3"
"3jf3"+4 create "4"  in pool
then "3jf34"

    这里我并不清楚3、4转换成字符串后是否在池中，所以上述结果仍然是猜测。

    为了减少创建中间过渡性的字符串对象，提高反复进行串接运算时的性能，a Java compiler可以使用StringBuffer或者类似的技术，或者把转换与串接合并成一步。例如：对于 a + b + c ，Java编译器就可以将它视为[as if]

    new StringBuffer().append(a).append(b).append(c).toString();

    注意，对于基本类型和引用类型，在append(a)过程中仍然要先将参数转换，从这个观点看，str = 1+2+str+3+4;创建的字符串可能是"3"、"4"和"3jf34"[以及一个StringBuffer对象]。

    现在我仍然不知道怎么回答str = 1+2+str+3+4;创建了多少String的对象，。或许，这个问题不需要过于研究，至少SCJP不会考它。

3、这又不同：str = "3"+"jf"+"3"+"4";
    如果是一个完全由字符串文字组成的表达式，则在编译时，已经被优化而不会在运行时创建中间字符串。测试代码如下：

String str1 ="3jf34";
        String str2 ="3"+"jf"+"3"+"4"; 
        if(str1 == str2) {
            System.out.println("str1 == str2");
        }else {
            System.out.println("think again");
        }
        if(str2.equals(str1))
            System.out.println("yet str2.equals(str1)");

    可见，str1与str2指向同一个对象，这个对象在pool中。所有遵循Java Language Spec的编译器都必须在编译时对constant expressions 进行简化。JLS规定：Strings computed by constant expressions (&yacute;15.28) are computed at compile time and then treated as if they were literals.

    对于String str2 ="3"+"jf"+"3"+"4";我们说仅仅创建一个对象。注意，“创建多少对象”的讨论是说运行时创建多少对象。

    BTW：编译时优化

    String x = "aaa " + "bbb ";
    if (false) {
        x = x + "ccc ";
    }
    x +=  "ddd ";

    等价于：

    String x = "aaa bbb ";
    x = x + "ddd ";

4、不变类
    String对象是不可改变的(immutable)。有人对str = 1+2+str+3+4;语句提出疑问,怎么str的内容可以改变？其实仍然是因为不清楚：引用变量与对象的区别。str仅仅是引用变量，它的值——它持有的引用可以改变。你不停地创建新对象，我就不断地改变指向。[参考TIJ的Read-only classes。]

    不变类的关键是，对于对象的所有操作都不可能改变原来的对象[只要需要，就返回一个改变了的新对象]。这就保证了对象不可改变。为什么要将一个类设计成不变类？有一个OOD设计的原则：Law of Demeter。其广义解读是：

    使用不变类。只要有可能，类应当设计为不变类。

1、tomcat下配置虚拟目录

   打开TOMCAT文件下的conf\server.xml文件 ，查找到<ContextManager>标签，并在该标签的结束标签</ContextManager>前面加上：

   <Context path="虚拟目录" docBase="硬盘目录" debug="0" reloadable="true" crossContext="true"/>  

   其中path的值是虚拟目录，docbase的值是你的硬盘的的目录的绝对路径。

   如找不到<ContextManager>元素，可以找

      <Host name="localhost" debug="0" appBase="webapps"
       unpackWARs="true" autoDeploy="true"
       xmlValidation="false" xmlNamespaceAware="false">

   然后添加<Context path="虚拟目录" docBase="硬盘目录" debug="0" reloadable="true" crossContext="true"/>  

2、禁止tomcat目录浏览,将listings设为false

    <servlet>
        <servlet-name>default</servlet-name>
        <servlet-class>
          org.apache.catalina.servlets.DefaultServlet
        </servlet-class>
        <init-param>
            <param-name>debug</param-name>
            <param-value>0</param-value>
        </init-param>
        <init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>

3、设置友好错误页面，配置web.xml

   <error-page>
      <error-code>404</error-code>
      <location>/error.jsp</location>
   </error-page>
   <error-page>
      <error-code>500</error-code>
      <location>/error.jsp</location>
   </error-page>

4、在IE中直接打开其他扩展名的文件

   为了让能在IE浏览器中自动打开其他扩展文件名的文件的设置：
   需要在WEB.XML中进行如下的设置：
   在WEB.XML中添加<mime-mapping>,其中: 
      <extension>: 文件的扩展名 
      <mime-type>: 除了该类型文件的可执行文件,同WINDOW注册表中的  /HKEY_CLASSES_ROOT下该类文件的Content Type 的值一样.

如能在IE中自动打开DOC，XLS，PDF文件的配置如下:

<?xml version="1.0" ?>
<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 1.2//EN"  "http://java.sun.com/j2ee/dtds/web-app_2_2.dtd">
<web-app>
   <mime-mapping>
      <extension>doc</extension>
      <mime-type>application/msword</mime-type>
   </mime-mapping>

   <mime-mapping>
      <extension>xls</extension>
      <mime-type>application/msexcel</mime-type>
   </mime-mapping>

   <mime-mapping>
      <extension>pdf</extension>
      <mime-type>application/pdf</mime-type>
   </mime-mapping>
</web-app>