PHP 和 Oracle Application Server
PHP 是一种强大、灵活的开放源代码脚本语言,它一般用于在 web 页面中生成动态内容。(PHP 类似于 Perl,但远没有那么复杂。关于更多的背景知识,请访问 OTN 的开放源代码开发人员中心。}PHP 为大多数数据库产品(包括 Oracle)提供了一系列随取随用的丰富特性和服务(包括 LDAP、IMAP、SNMP、NNTP、POP3、HTTP、XML、XSL)以及数据库访问模块。PHP 可以作为 CGI 在 Apache 下运行,或者可以配置为 Apache Web Server 模块。
将 PHP 与 Oracle Application Server 集成非常容易,因为 Oracle HTTP Server 是一个 Apache Web Server。Mod_osso 作为 Apache 模块与 Oracle Application Server 集成在一起,因此利用该应用服务器的特性来保护 PHP 页面是一件很简单的事情。
方法 1:PHP 代理页面方法
Mod_osso 通过已注册的 URL 模式来保护 web 页面。它检查通过 Oracle HTTP Server 的所有请求;如果请求或 URL 包含了一个被保护的模式,而请求者还没有在 SSO 服务器上得到验证,那么该请求者将被重定向到 SSO 登录屏幕。SSO 启用 PHP 页面的代理页面方法利用了一个已注册的 URL 模式,该模式被映射到一个特定的 PHP 页面上。通过在 mod_osso.conf 文件中按下面的说明记录该模式,可以向 mod_osso 注册 URL:
<Location /php_apps/ssoreroute.php
require valid-user
authType Basic
</Location
受保护的 PHP 页面充当您想要保护的其它所有 PHP 页面的代理。
在图 1中,PHP 文件(SSOUtils.php;参见列表 1)充当库,它包含了一个名为 checkAuthenticated() 的用户自定义函数,并被包含在我们试图实现 SSO 的 PHP 页面(MyPage.php;参见列表 2)中。该函数在我们要实现 SSO 的页面上运行,并检查请求者是否已在 SSO 服务器上得到了验证。如果请求者还没有得到验证,那么请求者将被自动重定向到 php 代理页面,该页面的 URL 模式在 mod_osso 进行了注册。该 php 代理页面 (ssoreroute.php) 将调用页面的 URL 作为一个参数提取出来。请求者被 mod_osso 重定向到登录屏幕。在成功验证之后,请求者被重定向回 PHP 代理页面,该页面按顺序将请求者重定向回调用页面。
函数 checkAuthenticated() 的 PHP 脚本非常简单:
function checkAuthenticated(){
$SSO_REROUTE = "/php_apps/ssoreroute.php?p_redirect_url=";
$SSO_USER
= getenv("REMOTE_USER");
if (empty($SSO_USER)){
header("Location:".$SSO_REROUTE.$_SERVER['PHP_SELF']);
}
}
PHP 代理页面的脚本同样很简单:
<?php
//重定向回被请求的页面。
header("Location:".$_REQUEST['p_redirect_url']);
?
但登录只是 SSO 服务器完整功能的一部分。我们还能够注销,这通常称为一次性注销。注销基于 SSO 的页面是一个简单的重定向到 URL /osso_logout?p_done_url=<return url 的操作。注销 URL 是 SSO 服务器的一个特性。
下面的函数 ssoLogoutLink(<return url) 创建了一条自定义的注销链接:
function ssoLogoutLink($RETURN_URL=""){
$DONE_URL = "";
if (empty($RETURN_URL)){
$DONE_URL=$_SERVER['PHP_SELF'];
} else {
$DONE_URL=$RETURN_URL;
}
$SSO_LOGOUT_URL = "/osso_logout?p_done_url=".$DONE_URL;
$LOGOUT_LINK
= "<a href=\"".$SSO_LOGOUT_URL."\"Click here to Logout</a";
return $LOGOUT_LINK;
}
代理页面方法是一种非常简单的利用基本 mod_osso 功能来保护 PHP 页面的方法。不过它将请求者限制在了与 mod_osso 相关的默认注销和返回 URL 上。因而,这种方法没有提供非常细粒化的控制。相比而言,在接下来的内容中要讨论的方法通过使用 servlet 和动态指令提供了更细粒化的控制。
方法 2:SSO LoginProxy 和 LogoutProxy Servlet 方法
动态指令是 mod_osso 的特性,它允许开发人员对应用程序与 SSO 服务器的交互方式进行细粒化的控制。动态指令由 HTTP 响应标题和一组专门的错误代码组成。使用动态指令来开始验证和注销的应用程序不需要向 mod_osso 注册 URL 模式。要警惕的一点是,动态指令必须和 OC4J (J2EE) 应用程序(如 servlet 或 JSP)结合使用。
利用了动态指令的 SSO 使能的 PHP 页面可以通过使用一个代理 servlet 来实现,该 servlet 替请求的 PHP 页面将动态指令发送给 mod_osso。下面叙述的方法(参见图 2)使用了两个 servlet,一个用于登录,一个用于注销。
在图 2 中,一个 PHP 文件(SSOUtils.php;参见列表 1)充当了资料库,它包含了一个名称为 checkAuthenticatedProxy() 的用户自定义函数,并被包含在我们试图实现 SSO 的 PHP 页面(MyPage.php;参见列表 2)中。该函数在我们通过 SSO 启用的页面上运行,并检查请求者是否已经在 SSO 服务器上得到了验证。如果该请求者还没有得到验证,那么它将连同一个参数被自动重定向到登录代理 servlet 上,该参数指定了到调用页面的返回 URL。登录代理 servlet 发出所需的动态指令来将一条 SSO 登录请求发送给 SSO 服务器。请求者被 mod_osso 重定向到登录屏幕。在成功验证之后,请求者被重定向回登录代理 servlet 从调用页面接收到的返回 URL 上。
注销过程是类似的:一个 PHP 函数 ssoLogoutLinkProxy(<return url) 运行以创建到注销代理 servlet 的一条超链接。注销代理 servlet 发出所需的动态指令来发送一条 SSO 注销请求给 SSO 服务器。请求者被注销,并被重定向到 SSO 注销屏幕。在单击注销屏幕中的 Return 按钮之后,请求者被重定向回注销代理 servlet 从调用页面接收到的返回 URL 上。
函数 checkAuthenticatedProxy() 的 PHP 脚本基本上和先前的方法中所叙述的 checkAuthenticate() 的 PHP 脚本一样。函数之间主要的区别是重定向 URL。checkAuthenticatedProxy() 的 PHP 脚本是:
function checkAuthenticatedProxy(){
$SSO_REROUTE = "/ssoproxy/loginProxy?p_redirect_url=";
$SSO_USER
= getenv("REMOTE_USER");
if (empty($SSO_USER)){
header("Location:".$SSO_REROUTE.$_SERVER['PHP_SELF']);
}
}
函数 ssoLogoutLinkProxy(<return url) 的 PHP 脚本基本上和函数 ssoLogutLink(<return url) 相同,两个函数之间主要的区别是重定向 URL。ssoLogoutLinkProxy(<return url) 的 PHP 脚本是:
function ssoLogoutLinkProxy($RETURN_URL=""){
$DONE_URL = "";
if (empty($RETURN_URL)){
$DONE_URL=$_SERVER['PHP_SELF'];
} else {
$DONE_URL=$RETURN_URL;
}
$SSO_LOGOUT_URL = "/ssoproxy/logoutProxy?p_done_url=".$DONE_URL;
$LOGOUT_LINK
= "<a href=\"".$SSO_LOGOUT_URL."\"Click here to Logout</a";
return $LOGOUT_LINK;
}
列表 3 中的 Java 类说明了创建上述方法中使用的每一个代理 servlet 所需的代码。两个 servlet 都包含了对一个名为 SSOUtilities 的 Java 类的引用。SSOUtilities 是包含了用来发出动态指令和其它与 SSO 相关功能的封装方法的一个类。两个 servlet 都被映射到了与应用程序相关的web.xml 文件中定义的特定 URL 模式上。
您可以看到,登录代理和注销代理 Servlet 方法对登录和注销之后 PHP 应用程序的流动方式提供了更细粒化的控制。
我应当选择哪种方式?
在看了通过 SSO 启用 PHP 页面的两种方法之后,您可能很自然地想问“我应当选择哪种方法?”,或者更进一步“为什么我要选择更复杂的而不是更简单的解决方案?”这些问题的答案取决于您需要控制 SSO 的程度。如果您所有应用程序或页面需要的是基本的保护,那么 PHP 代理方法将满足您的需要。但如果您的应用程序需要通过使用动态指令来提供更细粒化的控制,那么 SSO LoginProxy 和 LogoutProxy 方法将是更好的选择。
第一种方法可以有效地发挥作用,但没有提供足够的灵活性;它还要求实际向 mod_osso 注册一个 URL 模式,而第二种方法没有这种要求。第二种解决方案不仅提供了动态指令的灵活性,而且可以扩展或改变来满足一组更加定制化的需求。
各有千秋
理论上,任何能够在 Oracle Application Server 下部署的脚本语言(Perl、Python、ColdFusion)都可以使用我提到过的相同方法来与 mod_osso 交互并启用 SSO。