一、单点登录方案

单点登录（Single Sign On，简称SSO）就是：用户成功登录一个系统后，利用这个系统的身份（称为：身份源），直接进入另一个系统（或其它多个系统）。

OA是一个全局性的系统，经常会做为身份源使用，从OA直接进入第三方系统。为此OA提供了单点登录验证接口（SSO验证接口），供第三方系统进行身份验证。

OA系统

（一）OA系统作为“身份源”，用户首先登录OA系统。OA系统主菜单中提供一个按钮（称为：SSO按钮），点击该按钮可进入第三方系统。

点击按钮后执行的步骤：

（1） 向自己系统申请一个令牌（这里叫做token0），token0同时保存在自己系统中。

（2） 向第三方系统发SSO登录请求，请求带上两个参数：用户姓名 和token0 。

（二）OA系统提供一个“SSO验证接口”，供第三方系统进行身份验证。

第三方系统（也称：B系统）

第三方系统提供一个“SSO登录请求URL”，供用户从OA系统SSO登录。

第三方系统收到OA系统用户的SSO登录请求后执行的步骤：

（1） 确认本系统有该用户（根据请求参数：用户姓名）

（2） 向OA系统“SSO验证接口”发验证请求，验证请求带上参数：用户姓名、token0和token1等，这里token1是 第三方系统系统的令牌。

（3） OA系统收到第三方系统的SSO验证请求后：首先确认请求的用户身份，并确认用户已经登录OA；然后验证token0是自己发出去的令牌。验证通过后，使用token0和token1进行“MD5加密转换”（加密转换方法是OA系统和第三方系统约定好的），最后产生一个8位字符串的验证码，将验证码返回第三方系统。验证失败返回空字符串。

（4） 第三方系统收到验证码后，也使用token0和token1进行“MD5加密转换”（与OA系统的加密转换方法相同），产生一个8位字符串与返回的验证码进行比对，比对通过后，用户就登录第三方系统。比对不通过，或返回的验证码为空，就重定向到第三方系统自己的登录页面。

归纳一下：

OA系统作为“身份源”，提供：SSO按钮 和SSO验证接口。
第三方系统提供：SSO登录请求URL
OA系统发出令牌token0，第三方系统发出令牌token1，两边采用相同MD5加密转换进行验证。

二、SSO按钮

在webapps\taioa8\WEB-INF\taioa\app\view\base目录，找到MenuBar.js文件，该文件是OA系统主菜单，文件最后有如下代码：

// 单点登录第三方系统（B系统）的SSO按钮名称（需实际替换）

text : ‘SSO BSystem‘,

hidden : true, // 使用时注释掉该项

listeners : {

“click” : function() {

   SSOLogin.getSSOToken(function(result, e) {         if (result.code == 100) {             var ssoName = result.ssoName;             var token0 = result.token0;             // 第三方系统的SSO登录URL（需实际替换）        var url = “http://192.168.0.103:8080/taioa8/taioa/ssoLogin?ssoName=”                       + ssoName + “&token0=” + token0;             window.open(url);                         }               })      } 

}

这段代码就是：SSO按钮，点击后向第三方系统发单点登录请求。实施时将hidden : true注释掉，并将按钮名称和“url”进行实际替换。

三、 SSO验证接口

该接口是WebService接口，接口地址为：

http://服务器地址:端口/taioa8/webservice/taiWebService?wsdl

接口方法：

public String verifySSO (String jsonStr)

参数是json字符串：

{

userName : ’用户名’, // OA专门为接口访问创建的“接口用户”的用户名

password : ‘密码’, // OA专门为接口访问创建的“接口用户”的密码

ssoName : ssoName, // 要sso登录的用户姓名

token0 : token0, // OA系统的令牌

token1 : token1 // 第三方系统的令牌

}

OA专门为接口访问创建的“接口用户”：就是系统管理员在OA中创建一个用户，这个用户是专门安排給接口访问使用。这个用户与普通用户（人员）没什么两样，但可以设置为“停用”，这样一来就只能从WebService接口进入，进入接口会验证用户身份。

返回值也是json字符串：

{

success : true/false, //是否验证成功

message : “字符串 ”, //失败时，返回的失败信息

code :“验证码” , //验证成功时，返回的验证码

position: ”岗位字符串”, //格式如：\计划财务部\部长，有多个岗位时用逗号连接

role: ”角色字符串”, // OA组织架构中赋予的角色，格式如：党委委员，有多个角色时用逗号连接

mobile:”手机号”

}

MD5加密转换：

验证成功，返回一个8位字符串供第三方系统比对，加密转换是：

token1+”&&&”+token0 ，进行MD5转换获得32位字符串（MD5转换返回16字节数组，再转32位16进制字符串），字符串转大写字符，取子串substring（3, 11）做验证码。（注意这里是取字符串的第4位到第11位）