用 Oracle AS 10g 为PHP提供的一次性登录

PHP 和 Application Server
　　
　　PHP 是一种强大、灵活的开放源代码脚本语言，它一般用于在 web 页面中生成动态内容。（PHP 类似于 Perl，但远没有那么复杂。关于更多的背景知识，请访问 OTN 的开放源代码开发人员中心。}PHP 为大多数数据库产品（包括 ）提供了一系列随取随用的丰富特性和服务（包括 LDAP、IMAP、SNMP、NNTP、POP3、HTTP、XML、XSL）以及数据库访问模块。PHP 可以作为 CGI 在 Apache 下运行，或者可以配置为 Apache Web Server 模块。
　　
　　将 PHP 与 Application Server 集成非常容易，因为 HTTP Server 是一个 Apache Web Server。Mod_osso 作为 Apache 模块与 Application Server 集成在一起，因此利用该应用服务器的特性来保护 PHP 页面是一件很简单的事情。
　　
　　方法 1：PHP 代理页面方法
　　Mod_osso 通过已注册的 URL 模式来保护 web 页面。它检查通过 HTTP Server 的所有请求；如果请求或 URL 包含了一个被保护的模式，而请求者还没有在 SSO 服务器上得到验证，那么该请求者将被重定向到 SSO 登录屏幕。SSO 启用 PHP 页面的代理页面方法利用了一个已注册的 URL 模式，该模式被映射到一个特定的 PHP 页面上。通过在 mod_osso.conf 文件中按下面的说明记录该模式，可以向 mod_osso 注册 URL：
　　
　　
　　<Location /php_apps/ssoreroute.php>
　　require valid-user
　　authType Basic
　　</Location>
　　
　　受保护的 PHP 页面充当您想要保护的其它所有 PHP 页面的代理。
　　 　
　　在图 1中，PHP 文件（SSOUtils.php；参见列表 1）充当库，它包含了一个名为 checkAuthenticated() 的用户自定义函数，并被包含在我们试图实现 SSO 的 PHP 页面（MyPage.php；参见列表 2）中。该函数在我们要实现 SSO 的页面上运行，并检查请求者是否已在 SSO 服务器上得到了验证。如果请求者还没有得到验证，那么请求者将被自动重定向到 php 代理页面，该页面的 URL 模式在 mod_osso 进行了注册。该 php 代理页面 (ssoreroute.php) 将调用页面的 URL 作为一个参数提取出来。请求者被 mod_osso 重定向到登录屏幕。在成功验证之后，请求者被重定向回 PHP 代理页面，该页面按顺序将请求者重定向回调用页面。
　　
　　函数 checkAuthenticated() 的 PHP 脚本非常简单：
　　
　　function checkAuthenticated(){
　　
　　$SSO_REROUTE = "/php_apps/ssoreroute.php?p_redirect_url=";
　　$SSO_USER　　= getenv("REMOTE_USER");
　　
　　if (empty($SSO_USER)){
　　
　　header("Location:".$SSO_REROUTE.$_SERVER['PHP_SELF']);
　　
　　　}
　　
　　}
　　
　　PHP 代理页面的脚本同样很简单：
　　
　　<?php
　　
　　//重定向回被请求的页面。
　　header("Location:".$_REQUEST['p_redirect_url']);
　　
　　?>
　　
　　但登录只是 SSO 服务器完整功能的一部分。我们还能够注销，这通常称为一次性注销。注销基于 SSO 的页面是一个简单的重定向到 URL /osso_logout?p_done_url=<return url> 的操作。注销 URL 是 SSO 服务器的一个特性。
　　
　　下面的函数 ssoLogoutLink(<return url>) 创建了一条自定义的注销链接：
　　
　　
　　function ssoLogoutLink($RETURN_URL=""){
　　
　　$DONE_URL = "";
　　
　　if (empty($RETURN_URL)){
　　$DONE_URL=$_SERVER['PHP_SELF'];
　　} else {
　　$DONE_URL=$RETURN_URL;
　　　}
　　
　　$SSO_LOGOUT_URL = "/osso_logout?p_done_url=".$DONE_URL;
　　　
　　$LOGOUT_LINK　　= "<a href=/"".$SSO_LOGOUT_URL."/">Click here to Logout</a>";
　　
　　return $LOGOUT_LINK;
　　
　　}
　　
　　代理页面方法是一种非常简单的利用基本 mod_osso 功能来保护 PHP 页面的方法。不过它将请求者限制在了与 mod_osso 相关的默认注销和返回 URL 上。因而，这种方法没有提供非常细粒化的控制。相比而言，在接下来的内容中要讨论的方法通过使用 servlet 和动态指令提供了更细粒化的控制。

　　
　　方法 2：SSO LoginProxy 和 LogoutProxy Servlet 方法
　　
　　动态指令是 mod_osso 的特性，它允许开发人员对应用程序与 SSO 服务器的交互方式进行细粒化的控制。动态指令由 HTTP 响应标题和一组专门的错误代码组成。使用动态指令来开始验证和注销的应用程序不需要向 mod_osso 注册 URL 模式。要警惕的一点是，动态指令必须和 OC4J (J2EE) 应用程序（如 servlet 或 JSP）结合使用。
　　
　　利用了动态指令的 SSO 使能的 PHP 页面可以通过使用一个代理 servlet 来实现，该 servlet 替请求的 PHP 页面将动态指令发送给 mod_osso。下面叙述的方法（参见图 2）使用了两个 servlet，一个用于登录，一个用于注销。
　　
　　在图 2 中，一个 PHP 文件（SSOUtils.php；参见列表 1）充当了资料库，它包含了一个名称为 checkAuthenticatedProxy() 的用户自定义函数，并被包含在我们试图实现 SSO 的 PHP 页面（MyPage.php；参见列表 2）中。该函数在我们通过 SSO 启用的页面上运行，并检查请求者是否已经在 SSO 服务器上得到了验证。如果该请求者还没有得到验证，那么它将连同一个参数被自动重定向到登录代理 servlet 上，该参数指定了到调用页面的返回 URL。登录代理 servlet 发出所需的动态指令来将一条 SSO 登录请求发送给 SSO 服务器。请求者被 mod_osso 重定向到登录屏幕。在成功验证之后，请求者被重定向回登录代理 servlet 从调用页面接收到的返回 URL 上。
　　
　　注销过程是类似的：一个 PHP 函数 ssoLogoutLinkProxy(<return url>) 运行以创建到注销代理 servlet 的一条超链接。注销代理 servlet 发出所需的动态指令来发送一条 SSO 注销请求给 SSO 服务器。请求者被注销，并被重定向到 SSO 注销屏幕。在单击注销屏幕中的 Return 按钮之后，请求者被重定向回注销代理 servlet 从调用页面接收到的返回 URL 上。
　　
　　函数 checkAuthenticatedProxy() 的 PHP 脚本基本上和先前的方法中所叙述的 checkAuthenticate() 的 PHP 脚本一样。函数之间主要的区别是重定向 URL。checkAuthenticatedProxy() 的 PHP 脚本是：
　　
　　function checkAuthenticatedProxy(){
　　
　　$SSO_REROUTE = "/ssoproxy/loginProxy?p_redirect_url=";
　　$SSO_USER　　= getenv("REMOTE_USER");
　　
　　if (empty($SSO_USER)){
　　
　　header("Location:".$SSO_REROUTE.$_SERVER['PHP_SELF']);
　　
　　　}
　　
　　}
　　
　　函数 ssoLogoutLinkProxy(<return url>) 的 PHP 脚本基本上和函数 ssoLogutLink(<return url>) 相同，两个函数之间主要的区别是重定向 URL。ssoLogoutLinkProxy(<return url>) 的 PHP 脚本是：
　　
　　function ssoLogoutLinkProxy($RETURN_URL=""){
　　
　　$DONE_URL = "";
　　
　　if (empty($RETURN_URL)){
　　$DONE_URL=$_SERVER['PHP_SELF'];
　　} else {
　　$DONE_URL=$RETURN_URL;
　　　}
　　
　　$SSO_LOGOUT_URL = "/ssoproxy/logoutProxy?p_done_url=".$DONE_URL;
　　　
　　$LOGOUT_LINK　　= "<a href=/"".$SSO_LOGOUT_URL."/">Click here to Logout</a>";
　　
　　return $LOGOUT_LINK;
　　
　　}
　　
　　列表 3 中的 Java 类说明了创建上述方法中使用的每一个代理 servlet 所需的代码。两个 servlet 都包含了对一个名为 SSOUtilities 的 Java 类的引用。SSOUtilities 是包含了用来发出动态指令和其它与 SSO 相关功能的封装方法的一个类。两个 servlet 都被映射到了与应用程序相关的web.xml 文件中定义的特定 URL 模式上。
　　
　　您可以看到，登录代理和注销代理 Servlet 方法对登录和注销之后 PHP 应用程序的流动方式提供了更细粒化的控制。 

　　
　　我应当选择哪种方式？
　　在看了通过 SSO 启用 PHP 页面的两种方法之后，您可能很自然地想问“我应当选择哪种方法？”，或者更进一步“为什么我要选择更复杂的而不是更简单的解决方案？”这些问题的答案取决于您需要控制 SSO 的程度。如果您所有应用程序或页面需要的是基本的保护，那么 PHP 代理方法将满足您的需要。但如果您的应用程序需要通过使用动态指令来提供更细粒化的控制，那么 SSO LoginProxy 和 LogoutProxy 方法将是更好的选择。
　　
　　第一种方法可以有效地发挥作用，但没有提供足够的灵活性；它还要求实际向 mod_osso 注册一个 URL 模式，而第二种方法没有这种要求。第二种解决方案不仅提供了动态指令的灵活性，而且可以扩展或改变来满足一组更加定制化的需求。
　　
　　各有千秋
　　理论上，任何能够在 Oracle Application Server 下部署的脚本语言（Perl、Python、ColdFusion）都可以使用我提到过的相同方法来与 mod_osso 交互并启用 SSO。