SSO 的 HTTP 标头中的用户名

Question

我希望向我的一个 Web 应用程序添加单点登录 (SSO)。我现在不想做任何繁重的事情，我只想知道登录用户的 userId，而不需要他们输入用户名。

该网络应用程序是一个内部应用程序，因此我可以保证它们来自 Windows PC 等。

我已经查看过 jCIFS，但这似乎不再受支持，并推荐商业产品。

我还查看了 WAFFLE，但我正在为 playframework 应用程序构建 SSO，该应用程序不使用 Servlet 堆栈，因此我无法使用 SecurityFilter。我试图理解 WindowsLoginModule，但无法真正理解我必须做什么才能实现它。

是否可以只从 HTTP 标头获取用户名，或者在发布标头之前是否需要先进行一些协商？

Answer 1

非繁重的答案

听起来应该可以让您的运营团队实施一个组策略，它将登录的用户名作为 HTTP 标头发送到网络上。

否则，您的假设是正确的，即 IE 和您的服务器之间存在某种协商“舞蹈”。请参阅此处。也许您可以在 Play 代码中伪造这种舞蹈。

沉重的答案

我知道jCIFS和此示例使用 servlet 和过滤器，但可以提取重要的代码位，并可以构建自定义 Play Authenticator（我可以粘贴Scala 示例覆盖 play.api.mvc.Security.Authenticated ，但您的答案标记为 Java）。您只需要请求标头（而不是正文），因此它应该在身份验证器中可行。

PS jCIFS 似乎在您发帖后进行了更新，所以我假设你会重新考虑使用黑客攻击它。我也对未维护的库持谨慎态度，但有时它们只是达到了成熟度和稳定性，从而减少了对更多更新的需求。

Answer 2

Active Directory 使用 Kerberos，因此所有登录用户都应该拥有 kerberos 票证。
快速谷歌发现了这个：

• https://blogs.oracle.com/wyllys/entry/kerberos_web_authentiation_with_apache

如果您想要 Windows 登录详细信息，我认为这是您唯一的选择。

Answer 3

您可以尝试使用 Shiro 在您的应用程序中启用 SSO。
Shiro id 独立于 servlet，并且由于您的框架不支持 Servlet，您可以很容易地使用 Shiro。

您可以创建一个定义 hashPassword 的领域。

您可以配置用户名和 hashPassword，并要求 shiro 使用 hashPassword 对您的用户进行身份验证。

然后，您将为用户分配角色，这将服务于您的 SSO 目的。

您可以对多个应用程序的用户进行身份验证，因此当用户登录到另一个应用程序时，shiro 已经对您进行了身份验证，因此它会立即将您登录到该应用程序中。

您可以浏览 shiro 文档（详尽无遗，您应该能够从以下链接首次配置它：-

http://shiro.apache.org/

为您提供许多开箱即用的身份验证和授权功能以及安全和加密模块。

Answer 4

用户名不会在标头中发送。即使是这样，也不应该依赖它，因为精明的用户可能会伪造这些值。

Answer 5

如果 NTLM 对您来说是一个有效的选择，Jespa 可能是 JCIFS 的一个不错的替代方案。 Jespa（与 JCIFS 不同）支持 NTLM v2 等。它的有限版本（最多 25 个用户）是免费的。

Answer 6

您始终可以从过滤器中获取任何标头。请参阅 HttpServletRequest 的 javadoc。

Answer 7

您希望 Windows 用户自动登录您的 Intranet Web 应用程序。因此，用户帐户将位于活动目录中，通常的微软方式是使用像 NTML 或 Kerberos。尽管有些企业仍在使用 NTML（和 jCIFS）进行 SSO，但通常建议应用程序不要使用 NTLM。

对 Kerberos 和 Java 的快速搜索显示了这个 文章。它似乎依赖于 Java EE 堆栈 (JAAS)。

对于更精简的方法：通常，您无法以可移植的方式在 http 请求中发送用户名。使用 ActivX，您可以执行以下操作：

var wshshell=new ActiveXObject("wscript.shell");
var username=wshshell.ExpandEnvironmentStrings("%username%");

在服务器端，您可以解析 http 标头并使用您选择的技术提取用户名。

那么，安全性在您的 playframework 应用程序中并不重要吗？
为什么不使用长期存在的 cookie？

希望有帮助！

Answer 8

在域中注册了 ActiveDirectory 和工作站的 Intranet 环境中，HTTP SPNEGO Negotiation 支持是最佳选择。但它需要有关 ActiveDirectory 和 Java Kerberos 实现的特定技能。

Spring Security 提供了实现和文档来进行设置。但 Secure.Security 并非旨在支持基于令牌的身份验证（如 HTTP 协商）。因此使用 Spring Security 需要特定的集成模块。

其他选项有 OpenID 和 shibboleth 但两者都需要专用服务器，可以将其配置为执行 SPNEGO 本身。由于有了可用的 Play 模块，您的应用程序中的集成将变得更加容易。

在不进行客户端复杂和不安全/不可靠调整的情况下在 HTTP 标头中获取用户名的唯一方法是在浏览器和应用程序服务器之间使用身份验证代理。大多数这些代理还支持 Kerberos SPNEGO 作为身份验证方式。