统一办公门户单点登录实施方案目地意义统一门户实现办公系统单点登录后将集中解决日常办公过程中由应用系统过多带来的以下几个问题。访问控制的问题各应用系统缺乏一个统一的访问控制入口，每个系统独立对外开放地址和端口以提供访问，随着系统的增多，无疑会增加非法人员进入系统的途径。并且各个系统独立授权，用户权限分散，访问控制规则不一，给我行实施统一的安全策略造成了极大的障碍。系统登录的问题随着应用系统的增多，使用户经常需要在各系统间切换，需要频繁输入用户名、口令进行登录，给用户的工作带来了不便，影响工作效率。有些人员将多个系统设置成同一口令，危害到了应用系统的安全性。安全管理的问题目前我行各应用系统独立维护一套用户，认证，权限和审计系统，并且由相应的管理员进行管理和维护，当系统增多时，系统管理员的工作复杂度会成倍增加，尤其是花费大量的时间在增加和删除用户，修改密码。往往会因为忘记将一个离职员工从系统中解除其权限，而造成极大的安全风险。用户信息库的问题目前我行存在着多个应用系统，由于各个系统在立项、设计和运行管理时候都是独自工作、相对孤立，各个系统在用户设计上都有不同程度的重复建设和数据冗余，影响工作效率。而且由于各个孤立的系统管理各自人员信息库，人员信息没有一个权威统一的来源，分别手工管理，很容易造成信息不一致的情况，带来管理和安全上的麻烦和隐患。邮件单点登录模块设计LtpaTokenSSO服务器门户LtpaTokenConfigBundleBase642.认证成功3.获取密钥1.有效性验证6.生成令牌环4填充令牌配置信息编码5.编码Dominoserverloginform邮件数据库7.写入cookie文件列表：Base64.javabase64编码和解码的类Bundle.javaproperties资源文件的处理类LtpaConfig.javaToken资料配置类。LtpaToken.java产生和解析LtpaToken的类LtpaConfig_zh_CN.properties配置文件vDomino服务器SSO原理首先，服务器DNS名称必须为同一个Domain中（即XXX.bg-abc.com），配置SSO时为相关Domino服务器配置统一的SSOKey[Secret]。当用户在其中某一台服务器登录时，服务器验证成功后生成一个Token(LtpaToken)，保存在浏览器Cookie中，Token的Domain被设置成固定域名(.bg-abc.com,目的是为了后缀是.bg-abc.com的服务器都可以访问此Token)。Token的内容由[Header],[CreationDate],[ExpirationDate],[UserName],以及这4个部分与[Secret]Hash加密（SHA1）的HashCode组成。Header[4BYTES]+CreationDate[8BYTES]+ExpirationDate[8BYTES]+username[variable]+SHA1(Header+Creation+Expiration+Username+Secret)[20BYTES]当此用户访问另一台Domino服务器时，服务器端检测到LtpaToken，将LtpaToken解码(Base64)，并验证LtpaToken是否有效。a).系统取ExpirationDate和当前系统时间做比较，判断是否过期b).系统会判断是否存在名为[UserName]的用户c).取LtpaToken后20位之前的数据和[Secret]进行Hash加密(SHA1)，得到20位的HashCode，然后和LtpaToken的后20位进行比较当LtpaToken验证通过时服务器为该用户放行。用户登录SSO服务器验证通过，返回Token，并存储在Cookie中提交用户名和密码用户跳转到Domino服务器服务器检测到Cookie中的Token，并使用SSOKey[Secret]验证其是否合法用户正常访问domino服务器验证合法，为用户放行使用Java程序参与Domino服务器SSO我们只需要利用DominoSSO机制编写相应的Java程序即可实现与Domino服务器的SSO。a).用户登录(Login)用户登录验证成功后，利用DominoLtpaToken的编码机制，生成LtapToken存储在Cookie中，并将此Cookie的domain设置成bg-abc.com，Path设置为/（可参考附录LtpaTokenClass的实现方法）。b).开发JavaFilter验证用户LtpaToken分析LtpaToke