Java应用与域实现单点登录，一波无限折啊~~~~

1、最开始采用用脚本获得当前域与用户，提交后不用验证直接登陆，这么大的漏洞，大家懂的！

var wshShell = new ActiveXObject("WScript.Shell");
var computer= wshShell.ExpandEnvironmentStrings("%COMPUTERNAME%");
var username = wshShell.ExpandEnvironmentStrings("%USERNAME%");
//代码手打未调试,出错请baidu

 2、被客户狠狠批了一顿，我们采用了jespa（当时粗心了，没怎么细看，API第一行就写着，我已经死了~~），就想着怎么应用上。结果单域很好的支持了，客户却是多域环境，而且要求出现类型网络邻居那种登陆用户方式（吐血~）。google无数（百度几乎没有），各种开源集成portal也看了，几乎都没有支持过；翻遍开发者的maillist，T~M~D的只有一哥们说改了源码说是支持了（源码的调试信息全是二级制信息，唉，好多位运算，跟一会儿就不知道那个啥啥啥是啥了）。不过总算是搞定了，那个欣慰啊，参考以前博客http://jusescn.iteye.com/blog/757475。

 

3、他已经死了终于出现效果了，本软件不支持最新的visit和win7操作系统，查原因，微软的认证模式由ntlmV1升级到v2模式而且，不向下兼容。神啊，谁救救我啊。

 

4、2种解决方式：

a、客户端修改，win7的机器ntlm兼容v1模式（注册表的一个值啊）

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LmCompatibilityLevel"=dword:00000001

 优点：不用改代码啊。

 缺点：域用户几乎没有权限修改本地注册表，也许服务端管理员可以，但是，在景德镇，你们懂得。

 

b、服务端修改（又有三个选择）：

   I、jespa：商业软件，可以搞定，支持多域或者域/jdbc/神马都可以。

   II、kerberos：spring支持，spring-security-kerberos，呵呵，不是spring的东西都是好东西。自己用就明白了。

   III、spnego：google吧，方正也可以，不过跟 kerberos一样，配置神马把我自己都绕晕了，怎么可能交给实施的。

PS：在景德镇，你会有很多选择，比如，选择A就必须放弃B和CandD，也行还有EFG！某高人曾说，我们为啥要选择啊，这个应该都有。

 

5、但俺是俗人，毫不犹豫的选择了jespa，在景德镇，版权神马的大家都懂。

 

6、哈哈！~一切都是浮云啊。

 

7、但是客户永远是客户啊！有知道单标签DNS没，简单说就是本应该注册名www.sina.com.cn，但是现在只注册sina，T~M~D，客户端不能解析该域名，你让我怎么玩啊。

 

8、神马程序都是浮云，一切都是个圈啊，从这个圈跳到那个圈。

 

9、好嘛，现在，我从事网络管理员工作，研究如何把单标签DNS杀死.

 

10、I`ll be back!