【Single Sign On】Domino平台应用与构异系统实现单点登录

本部分的描述仅适用于单一的Domino平台应用与构异系统实现单点登录。

1.1 Domino LTPA Cookie **生成原理**

在与 Domino 做 SSO 的时候，会使用 LTPA Token的认证方式，本文描述它的生成原理，通过它我们可以自己编码生成身份认证的 cookie，实现 SSO。

首先，这个 cookie 由以下部分组成：

·LTPA token 版本（4字节）

·创建时间（8字节）

·过期时间（8字节）

·用户名（可变长度）

·Domino LTPA 密钥（20字节）

接下来分别说明各部分的具体内容：

·LTPA token 版本目前 Domino 只有一种值：0x0001

·创建时间为以十六进制方式表示的Unix time，例如:2009-04-09 13:52:42 (GMT +8) =
1239256362 = 49DD8D2A。

·过期时间=创建时间 + SSO 配置文档的过期时间（LTPA_TokenExpiration域）

·用户名为 Names 中用户文档的FullName域值；如：Squall Zhong/Digiwin

·Domino LTPA 密钥通过 Base64编码后，保存在 SSO 配置文档的LTPA_DominoSecret域中

当然不能将密钥直接发送给浏览器，所以将上述部分合并起来（如上图），计算 SHA-1 校验和。

然后用 SHA-1 校验和替换掉 Domino LTPA 密钥，最后再将内容通过 Base64 编码，形成最终的 cookie 发送给浏览器（如上图）。这样如果 cookie 中的任何内容被修改，校验和就不对了，达到了防篡改的效果。所以最终LTPA
Cookie所得到的值为以下公式组成：

SHA-1=LTPA**版本号+创建时间+过期时间+用户名+Domino LTPA 密钥**

LTPA Cookie= Base64(LTPA**版本号+创建时间+过期时间+用户名+SHA-1)**

1.2 **异构系统所需信息**

·Domino 所使用的DNS域，如：vgolive.com

·过期时间(分钟)，如：30

·Domino LTPA 密钥

·Domino验证字名称，如：/O=VGOLive Technology

注：用户名可以通过Domino验证字进行拼接，如异构系统中用户名为SquallZhong，相应在Domino中的DN就是CN=SquallZhong/O=VGOLive
Technology。此类情况仅限于Domino中的CN与异构系统中的用户名一致。如果不一致，需要异构系统做用户对应

1.3 **实现**

Base64解码/编码所需Jar包：apache-commons-codec-1.3.jar**以上**

SHA-1的校验使用java.security.MessageDigest类

转换字符集使用：Cp850

1.3.1 **解析**

show source

01 import org.apache.commons.codec.binary.Base64; 

02…... 

03final String CHARSET = “Cp850”; 

04byte[] dominoSecret = Base64.decodeBase64(ltpaDominoSecret.getBytes()); 

05byte[] ltpa = Base64.decodeBase64(ltpaToken.getBytes()); 

06ByteArrayInputStream stream = new ByteArrayInputStream(ltpa); 

07int usernameLength = ltpa.length – 40; 

08byte header[] = new byte[4]; 

09byte creation[] = new byte[8]; 

10byte expires[] = new byte[8]; 

11byte username[] = new byte[usernameLength]; 

12byte[] sha = new byte[20]; 

13// ``读取LTPAToken版本号

14stream.read(header, 0, 4); 

15if (header[0] != 0 || header[1] != 1 || header[2] != 2|| header[3] != 3) 

16 throw new IllegalArgumentException(“Invalid
ltpaToken format”); 

17 // ``读取开始时间

18 stream.read(creation, 0, 8); 

19 // ``读取到期时间

20 stream.read(expires, 0, 8); 

21 // ``读取Domino用户DN

22 stream.read(username, 0, usernameLength); 

23 // ``读取SHA校验和

24 stream.read(sha, 0, 20); 

25 // ``转换用户名

26 char characters[] = new char[usernameLength]; 

27 try { 

28 InputStreamReader isr = new InputStreamReader( 

29 new ByteArrayInputStream(username), 

30 CHARSET); 

31 isr.read(characters); 

32 } catch (Exception e) { 

33 } 

34 // ``获得Domino用户DN

35 String dn = new String(characters); 

36 // ``获得创建时间

37 Date creationDate = new Date( 

38 Long.parseLong(new String(creation), 16) * 1000); 

39 // ``获得到期时间

40 Date expiresDate = new Date( 

41 Long.parseLong(new String(expires), 16) * 1000); 

42…... 

43// ``创建LTPA Token

44 ByteArrayOutputStream ostream = new ByteArrayOutputStream(); 

45 try { 

46 // LTPA Token``版本号

47 ostream.write(header); 

48 // ``创建时间

49 ostream.write(creation); 

50 // ``过期时间

51 ostream.write(expires); 

52 // Domino``用户DN，如CN=SquallZhong/O=DigiWin

53 ostream.write(username); 

54 // Domino LTPA ``密钥

55 ostream.write(dominoSecret); 

56 ostream.close(); 

57 } catch (IOException e) { 

58 throw new RuntimeException(e); 

59 } 

60 // ``进行 SHA-1 校验和

61 MessageDigest md; 

62 try { 

63 md = MessageDigest.getInstance(“SHA-1”); 

64 md.reset(); 

65 } catch (NoSuchAlgorithmException e) { 

66 throw new RuntimeException(e); 

67 } 

68 byte[] digest = md.digest(ostream.toByteArray()); 

69 // ``完成 SHA-1 校验和，digest长度为20

70 boolean valid = MessageDigest.isEqual(digest, sha);

1.3.2 **生成**

show source

01 /** 

02 * ``为指定用户创建有效的LTPA Token.创建时间为<tt>now</tt>.

03 * 

04 * @param username 

05 *            - ``用户名，注：使用用户全称，如：CN=SquallZhong/O=VGOLive Technology

06 * @param creationTime 

07 *            - ``创建时间

08 * @param durationMinutes 

09 *            - ``到期时间，单位：分钟

10@param ltpaSecretStr 

11 *            - Domino Ltpa ``加密字符串

12 * @return - ``返回已Base64编码的Ltpa Cookie.

13 * @throws NoSuchAlgorithmException 

14 * @throws Base64DecodeException 

15 */

16 public static String createLtpaToken(String username, 

17 GregorianCalendar creationTime, int durationMinutes, 

18 String ltpaSecretStr) throws NoSuchAlgorithmException { 

19 // Base64``解码ltpaSecretStr

20 byte[] ltpaSecret = Base64.decodeBase64(ltpaSecretStr.getBytes()); 

22 byte[] usernameArray = username.getBytes(); 

23 byte[] workingBuffer = new byte[preUserDataLength 

24 + usernameArray.length + ltpaSecret.length]; 

25 

26 // ``设置ltpaToken版本至workingBuffer

27 System.arraycopy(ltpaTokenVersion, 0, workingBuffer, 0, 

28 ltpaTokenVersion.length); 

29 // ``获得过期时间，过期时间=当前时间+到期时间(分钟)

30 GregorianCalendar expirationDate = (GregorianCalendar) creationTime 

31 .clone(); 

32 expirationDate.add(Calendar.MINUTE, durationMinutes); 

33 

34 // ``转换创建时间至16进制字符串

35 String hex = dateStringFiller 

36 + Integer.toHexString( 

37 (int) (creationTime.getTimeInMillis() / 1000)) 

38 .toUpperCase(); 

40 System.arraycopy(hex.getBytes(), hex.getBytes().length 

41 - dateStringLength, workingBuffer, creationDatePosition, 

42 dateStringLength); 

43 

44 // ``转换过期时间至16进制字符串

45 hex = dateStringFiller 

46 + Integer.toHexString( 

47 (int) (expirationDate.getTimeInMillis() / 1000)) 

48 .toUpperCase(); 

49 // ``设置过期时间至workingBuffer

50 System.arraycopy(hex.getBytes(), hex.getBytes().length 

51 - dateStringLength, workingBuffer, expirationDatePosition, 

52 dateStringLength); 

53 

54 // ``设置用户全称至workingBuffer

55 System.arraycopy(usernameArray, 0, workingBuffer, preUserDataLength, 

56 usernameArray.length); 

57 

58 // ``设置已Base64解码ltpaSecret至workingBuffer

59 System.arraycopy(ltpaSecret, 0, workingBuffer, preUserDataLength 

60 + usernameArray.length, ltpaSecret.length); 

61 // ``创建Hash字符串

62 byte[] hash = createHash(workingBuffer); 

63 

64 // ltpaToken``版本+开始时间(16进制)+到期时间(16进制)+用户全名+SHA-1(ltpaToken版本+开始时间(16进制)+到期时间(16进制)+用户全名)

65 byte[] outputBuffer = new byte[preUserDataLength + usernameArray.length 

66 + hashLength]; 

67 System.arraycopy(workingBuffer, 0, outputBuffer, 0, preUserDataLength 

68 + usernameArray.length); 

69 System.arraycopy(hash, 0, outputBuffer, preUserDataLength 

70 + usernameArray.length, hashLength); 

71 // ``返回已Base64编码的outputBuffer

72 return new String(Base64.encodeBase64(outputBuffer)); 

73 } 

74…...

 

本文与同事在2013年设计一级部署系统架构时所定，同事曾经发表于百度文库