编写你自己的单点登录（SSO）服务

jiava9900

浏览: 82423 次
性别:
来自: 天津

最近访客更多访客>>

sxzizml123

yangyansong123

245871388

无色木头

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

java

java 工作

[size=small;]王昱[/size] yuwang881@gmail.com 博客地址http://yuwang881.blog.sohu.com 

[size=small;]关键字：[/size]sso, java, j2ee, jaas

[size=small;]单点登录（[/size]single sign on），简称为 sso，是目前比较流行的企业业务整合的解决方案之一。sso的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

 

[size=small;]随着企业的发展，业务系统的数量在不断的增加，老的系统却不能轻易的替换，这会带来很多的开销。其一是管理上的开销，需要维护的系统越来越多。很多系统的数据是相互冗余和重复的，数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大，例如公司的计费系统和财务系统，财务系统和人事系统之间都不可避免的有着密切的关系。[/size]

[size=small;]通常来说，每个单独的系统都会有自己的安全体系和身份认证系统。整合以前，进入每个系统都需要进行登录，这样的局面不仅给管理上带来了很大的困难，在安全方面也埋下了重大的隐患。下面是一些著名的调查公司显示的统计数据：[/size]

[size=small;]•频繁的[/size] it 用户平均有 21 个密码 - 资料来源： nta monitor password survey

[size=small;]•每[/size] 79 秒出现一起身份被窃事件 - 资料来源：national small business travelassoc

[size=small;]•到[/size] 2007 年，身份管理市场将成倍增长至$4.5b - 资料来源：ids 

[size=small;] [/size]•提高 it 效率：对于每 1000 个受管用户，每用户可节省$70k

[size=small;]•生产力提高：每个新员工可节省[/size] $1k，每个老员工可节省 $350�资料来源：giga

[size=small;]另外，使用“单点登录”还是[/size]soa时代的需求之一。在面向服务的架构中，服务和服务之间，程序和程序之间的通讯大量存在，服务之间的安全认证是soa应用的难点之一，应此建立“单点登录”的系统体系能够大大简化soa的安全问题，提高服务之间的合作效率。

[size=small;]随着[/size]sso技术的流行，sso的产品也是满天飞扬。所有著名的软件厂商都提供了相应的解决方案。在这里我并不想介绍自己公司（sun microsystems）的产品，而是对sso技术本身进行解析，并且提供自己开发这一类产品的方法和简单演示。有关我写这篇文章的目的，请参考我的博客（http://yuwang881.blog.sohu.com/3184816.html）。

[size=small;]单点登录的机制也一样，如下图所示，当用户第一次访问应用系统[/size]1的时候，因为还没有登录，会被引导到认证系统中进行登录（1）；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭据－－ticket（2）；用户再访问别的应用的时候（3，5）就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行效验，检查ticket的合法性（4，6）。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

[size=small;] [/size]

[size=small;]从上面的视图可以看出，要实现[/size]sso，需要以下主要的功能：

[size=small;]统一的认证系统是[/size]sso的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。

[size=small;]要实现[/size]sso的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能。

[size=small;] [/size]•单一的用户信息数据库并不是必须的，有许多系统不能将所有的用户信息都集中存储，应该允许用户信息放置在不同的存储中，如下图所示。事实上，只要统一认证系统，统一ticket的产生和效验，无论用户信息存储在什么地方，都能实现单点登录。 

[size=small;] [/size]•统一的认证系统并不是说只有单个的认证服务器，如下图所示，整个系统可以存在两个以上的认证服务器，这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议，互相交换认证信息，就能完成更高级别的单点登录。如下图，当用户在访问应用系统1时，由第一个认证服务器进行认证后，得到由此服务器产生的ticket。当他访问应用系统4的时候，认证服务器2能够识别此ticket是由第一个服务器产生的，通过认证服务器之间标准的通讯协议（例如saml）来交换认证信息，仍然能够完成sso的功能。

[size=small;] [/size] 

[size=small;]3 web-sso[/size]的实现

[size=small;]为什么说[/size]web-sso比较容易实现呢？这是有web应用自身的特点决定的。 

 

[size=small;]但是我们通常的应用是有状态的。先不用提不同应用之间的[/size]sso，在同一个应用中也需要保存用户的登录身份信息。例如用户在访问页面1的时候进行了登录，但是刚才也提到，客户端的每个请求都是单独的连接，当客户再次访问页面2的时候，如何才能告诉web服务器，客户刚才已经登录过了呢？浏览器和服务器之间有约定：通过使用cookie技术来维护应用的状态。cookie是可以被web服务器设置的字符串，并且可以保存在浏览器中。如下图所示，当浏览器访问了页面1时，web服务器设置了一个cookie，并将这个cookie和页面1一起返回给浏览器，浏览器接到cookie之后，就会保存起来，在它访问页面2的时候会把这个cookie也带上，web服务器接到请求时也能读出cookie的值，根据cookie值的内容就可以判断和恢复一些用户的信息状态。

 

[size=small;]web-sso[/size]完全可以利用cookie结束来完成用户登录信息的保存，将浏览器中的cookie和上文中的ticket结合起来，完成sso的功能。

[size=small;] [/size]1.统一的身份认证服务。

[size=small;]3.1 web sso [/size]的样例

[size=small;]样例下载、安装部署和运行指南：[/size]

[size=small;]•这三个[/size]web应用完全可以单独部署，它们可以分别部署在不同的机器，不同的操作系统和不同的j2ee的产品上，它们完全是标准的和平台无关的应用。但是有一个限制，那两台部署应用（demo1、demo2）的机器的域名需要相同，这在后面的章节中会解释到cookie和domain的关系以及如何制作跨域的web-sso

[size=small;]•解压缩[/size]ssowebdemo1和ssowebdemo2文件，分别在它们/web-inf/下找到web.xml文件，请修改其中的几个初始化参数

<param-name>ssoserviceurl</param-name>

</init-param>

<param-name>ssologinpage</param-name>

</init-param>

[size=small;]•请输入第一个[/size]web应用的测试url（test.jsp）,例如http://wangyu.prc.sun.com:8080/ ssowebdemo1/test.jsp，如果是第一次访问，便会自动跳转到登录界面，如下图

[size=small;] [/size]

[size=small;] [/size] 

[size=small;] [/size] 

[size=small;]3.2.1[/size]身份认证服务代码解析

[size=small;]ssoauth[/size]的代码如下面的列表显示，结构非常简单，先看看这个servlet的主体部分：

import java.io.*;

importjava.text.*;

importjava.util.concurrent.*;

 

importjavax.servlet.http.*;

[size=small;] [/size]static private concurrentmap accounts;

[size=small;] [/size]stringcookiename="wangyudesktopssoid";

[size=small;] [/size]public void init(servletconfig config)throws servletexception {

[size=small;] [/size]domainname=config.getinitparameter("domainname");

[size=small;] [/size]ssoids = new concurrenthashmap();

[size=small;] [/size]accounts.put("wangyu","wangyu");

[size=small;] [/size]accounts.put("carol","carol");

[size=small;] [/size]protected voidprocessrequest(httpservletrequest request, httpservletresponse response) throwsservletexception, ioexception {

[size=small;] [/size]string action =request.getparameter("action");

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

} 

[size=small;]在主要的请求处理方法[/size]processrequest()中，可以很清楚的看到ssoauth的所有功能

[size=small;]2.[/size]如果用户已经登录过本系统，再访问别的应用的时候，是不需要再次登录的。因为浏览器会将第一次登录时产生的cookie和请求一起发送。效验cookie的有效性是ssoauth的主要功能之一。

[size=small;]4.ssoauth[/size]还提供logout服务。

[size=small;] [/size]private void handlerfromlogin(httpservletrequest request,httpservletresponse response) throws servletexception, ioexception {

[size=small;] [/size]string username = request.getparameter("username");

[size=small;] [/size]string password = request.getparameter("password");

[size=small;] [/size]string pass = (string)accounts.get(username);

[size=small;] [/size]if ((pass==null)||(!pass.equals(password))) 

[size=small;] [/size]getservletcontext().getrequestdispatcher("/failed.html").forward(request,response);

[size=small;] [/size]else {

[size=small;] [/size]string gotourl = request.getparameter("goto");

[size=small;] [/size]string newid = createuid();

[size=small;] [/size]ssoids.put(newid, username);

[size=small;] [/size]cookie wangyu = new cookie(cookiename, newid);

[size=small;] [/size]wangyu.setdomain(domainname);

[size=small;] [/size]wangyu.setmaxage(60000);

[size=small;] [/size]wangyu.setvalue(newid);

[size=small;] [/size]wangyu.setpath("/");

[size=small;] [/size]response.addcookie(wangyu);

[size=small;] [/size]system.out.println("login success, goto back url:" + gotourl);

[size=small;] [/size]if (gotourl != null) {

[size=small;] [/size]printwriter out =response.getwriter();

[size=small;] [/size]response.sendredirect(gotourl);

[size=small;] [/size]out.close();

[size=small;] [/size]}

[size=small;] [/size]} 

[size=small;] [/size]}

 

[size=small;]登录成功后，浏览器会到哪个页面呢？那我们回顾一下我们是如何使用身份认证服务的。一般来说我们不会直接访问身份服务的任何[/size]url，包括login.jsp。身份服务是用来保护其他应用服务的，用户一般在访问一个受ssoauth保护的web应用的某个url时，当前这个应用会发现当前的用户还没有登录，便强制将也页面转向ssoauth的login.jsp，让用户登录。如果登录成功后，应该自动的将用户的浏览器指向用户最初想访问的那个url。在handlerfromlogin()这个方法中，我们通过接收“goto”这个参数来保存用户最初访问的url，成功后便重新定向到这个页面中。

[size=small;]其他的方法更加简单，这里就不多解释了。[/size]

[size=small;]要实现[/size]web-sso的功能，只有身份认证服务是不够的。这点很显然，要想使多个应用具有单点登录的功能，还需要每个应用本身的配合：将自己的身份认证的服务交给一个统一的身份认证服务－ssoauth。ssoauth服务中提供的各个方法就是供每个加入sso的web应用来调用的。

[size=small;] [/size]•web应用中每一个需要安全保护的url在访问以前，都需要进行安全检查，如果发现没有登录（没有发现认证之后所带的cookie），就重新定向到ssoauth中的login.jsp进行登录。

[size=small;]•当你再访问这个应用的需要保护的[/size]url的时候，系统还是要进行安全检查的，但是这次系统能够发现相应的cookie。

[size=small;]•如果[/size]cookie效验成功，就允许用户访问当前请求的资源。 

[size=small;]以上这些功能，可以用很多方法来实现：[/size]

[size=small;]•可以通过一个[/size]controller，将所有的功能都写到一个servlet中，然后在url映射的时候，映射到所有需要保护的url集合中（例如*.jsp，/security/*等）。这个方法可以使用，不过，它的缺点是不能重用。在每个应用中都要部署一个相同的servlet。

 

 

 

package sso;

 

import java.io.*;

import java.net.*;

import java.util.*;

import java.text.*;

import javax.servlet.*;

import javax.servlet.http.*;

import javax.servlet.*;

import org.apache.commons.httpclient.*;

importorg.apache.commons.httpclient.methods.getmethod;

 

public class ssofilter implements filter {

[size=small;] [/size]private filterconfig filterconfig = null;

[size=small;] [/size]private string cookiename="wangyudesktopssoid";

[size=small;] [/size]private string ssoserviceurl="http://wangyu.prc.sun.com:8080/ssoauth/ssoauth";

[size=small;] [/size]private string ssologinpage="http://wangyu.prc.sun.com:8080/ssoauth/login.jsp";

 

[size=small;] [/size]public void init(filterconfig filterconfig) {

 

[size=small;] [/size]this.filterconfig = filterconfig;

[size=small;] [/size]if (filterconfig != null) {

[size=small;] [/size]if (debug) {

[size=small;] [/size]log("ssofilter:initializingfilter");

[size=small;] [/size]}

[size=small;] [/size]} 

[size=small;] [/size]cookiename = filterconfig.getinitparameter("cookiename");

[size=small;] [/size]ssoserviceurl =filterconfig.getinitparameter("ssoserviceurl");

[size=small;] [/size]ssologinpage = filterconfig.getinitparameter("ssologinpage");

[size=small;] [/size]}

[size=small;]以上的初始化的源代码有两点需要说明：一是有两个需要配置的参数[/size]ssoserviceurl和ssologinpage。因为当前的web应用很可能和身份认证服务（ssoauth）不在同一台机器上，所以需要让这个filter知道身份认证服务部署的url，这样才能去调用它的服务。另外一点就是由于身份认证的服务调用是要通过http协议来调用的（在本样例中是这样设计的，读者完全可以设计自己的身份服务，使用别的调用协议，如rmi或soap等等），所有笔者引用了apache的commons工具包（详细信息情访问apache 的网站http://jakarta.apache.org/commons/index.html），其中的“httpclient”可以大大简化http调用的编程。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[size=small;]dofilter()[/size]方法的逻辑也是非常简单的，在接收到请求的时候，先去查找是否存在期望的cookie值，如果找到了，就会调用ssoservice(cookievalue)去效验这个cookie的有效性。如果cookie效验不成功或者cookie根本不存在，就会直接转到登录界面让用户登录；如果cookie效验成功，就不会做任何阻拦，让此请求进行下去。在配置文件中，有下面的一个节点表示了此filter的url映射关系：只拦截所有的jsp请求。

<filter-name>ssofilter</filter-name>

</filter-mapping>

[size=small;] [/size]private string ssoservice(string cookievalue) throws ioexception {

[size=small;] [/size]string authaction = "?action=authcookie&cookiename=";

[size=small;] [/size]httpclient httpclient = new httpclient();

[size=small;] [/size]getmethod httpget = new getmethod(ssoserviceurl+authaction+cookievalue);

[size=small;] [/size]try { 

[size=small;] [/size]httpclient.executemethod(httpget);

[size=small;] [/size]string result = httpget.getresponsebodyasstring();

[size=small;] [/size]return result;

[size=small;] [/size]} finally {

[size=small;] [/size]httpget.releaseconnection();

[size=small;] [/size]}

[size=small;] [/size]}

 

[size=small;] [/size]private void logoutservice(string cookievalue) throws ioexception {

[size=small;] [/size]string authaction = "?action=logout&cookiename=";

[size=small;] [/size]httpclient httpclient = new httpclient();

[size=small;] [/size]getmethod httpget = new getmethod(ssoserviceurl+authaction+cookievalue);

[size=small;] [/size]try {

[size=small;] [/size]httpclient.executemethod(httpget);

[size=small;] [/size]httpget.getresponsebodyasstring();

[size=small;] [/size]} finally {

[size=small;] [/size]httpget.releaseconnection();

[size=small;] [/size]}

[size=small;] [/size]}

[size=small;]其他的函数都很简单，有很多都是我的[/size]ide（netbeans）替我自动生成的。

[size=small;]当前这个[/size]web-sso的方案是一个比较简单的雏形，主要是用来演示sso的概念和说明sso技术的实现方式。有很多方面还需要完善，其中安全性是非常重要的一个方面。

[size=small;] [/size]•cookie的长度和复杂度

[size=small;]•[/size]cookie的效验和保护

[size=small;]•当其中一个应用的安全性不好，其他所有的应用都会受到安全威胁[/size]

[size=small;]这些安全漏洞在商业的[/size]sso解决方案中都会有所考虑，提供相关的安全措施和保护手段，例如sun公司的accessmanager，cookie的复杂读和对cookie的保护都做得非常好。另外在opnesso （https://opensso.dev.java.net/）的架构指南中也给出了部分安全措施的解决方案。

[size=small;]除了安全性，当前方案在功能和性能上都需要很多的改进：[/size]

[size=small;]•我们编写的[/size]filter只能用于j2ee的应用，而对于大量非java的web应用，却无法提供sso服务。

[size=small;]•当前的方案不能支持分别位于不同[/size]domain的web应用进行sso。这是因为浏览器在访问web服务器的时候，仅仅会带上和当前web服务器具有相同domain名称的那些cookie。要提供跨域的sso的解决方案有很多其他的方法，在这里就不多说了。sun的access manager就具有跨域的sso的功能。

[size=small;]•另外系统还需要很多其他的服务，如在内存中定时删除无用的[/size]cookie映射等等，都是一个严肃的解决方案需要考虑的问题。 

[size=small;]从[/size]web-sso的概念延伸开，我们可以把sso的技术拓展到整个桌面的应用，不仅仅局限在浏览器。sso的概念和原则都没有改变，只需要再做一点点的工作，就可以完成桌面 sso 的应用。

[size=small;]从网站可以下载一个简单的桌面[/size]sso的样例(http://gceclub.sun.com.cn/wangyu/和全部源码（http://gceclub.sun.com.cn/wangyu/desktop-sso/desktopsso_src.zip），虽然简单，但是它具有桌面sso大多数的功能，稍微加以扩充就可以成为自己的解决方案。

[size=small;] [/size]1.运行此桌面sso需要三个前提条件：

[size=small;]b) [/size]当前桌面需要运行mozilla或netscape浏览器，因为我们将ticket保存到mozilla的cookie文件中

[size=small;]2.[/size]解开desktopsso.zip文件，里面有两个目录bin和lib。

[size=small;]a)ssoserviceurl[/size]要指向websso部署的身份认证的url

[size=small;]c)cookiefilepath[/size]要指向当前用户的mozilla所存放cookie的文件

[size=small;]5.[/size]在bin下的运行脚本可能需要作相应的修改

[size=small;]b) java [/size]运行程序需要放置在当前运行的路径下，否则需要加上java的路径全名。

[size=small;]样例程序包含三个简单的[/size]java控制台程序，这三个程序单独运行都需要登录。如果运行第一个命叫“gamesystem”的程序，提示需要输入用户名和密码：

[size=small;] [/size]

[size=small;]效验成功以后，便会显示当前登录的用户的基本信息等等。[/size]

[size=small;] [/size]

[size=small;] [/size]这时候再运行第二个桌面java应用（mailsystem）的时候，就不需要再登录了，直接就显示出来刚才登录的用户。

[size=small;]第三个应用是[/size]logout，运行它之后，用户便退出系统。再访问的时候，又需要重新登录了。请读者再制裁执行完logout之后，重新验证一下前两个应用的sso：先运行第二个应用，再运行第一个，会看到相同的效果。

[size=small;]这时候再打开[/size]mozilla浏览器，访问以前提到的那两个web应用，会发现只要桌面应用如果登录过，web应用就不用再登录了，而且能显示刚才登录的用户的信息。读者可以在几个桌面和web应用之间进行登录和logout的试验，看看它们之间的sso。

[size=small;]6.3[/size]桌面样例的源码分析

[size=small;] [/size]desktopsso {

[size=small;] [/size]desktopsso.share.passwordloginmodule required;

[size=small;] [/size]desktopsso.share.desktopssologinmodule required;

}; 

 

 

 

 

 

 

 

[size=small;]在[/size]config.properties的文件中，我们配置了它们的值：

ssoserviceurl=http://wangyu.prc.sun.com:8080/ssoauth/ssoauth

ssologinpage=http://wangyu.prc.sun.com:8080/ssoauth/login.jsp

cookiefilepath=c:\\documents andsettings\\yw137672\\applicationdata\\mozilla\\profiles\\default\\hog6z1ji.slt\\cookies.txt 

 

 

 

 

 

 

 

 

 

 

 

[size=small;]下面是[/size]cookielogin()方法的实体，它的逻辑是：先从cookie文件中获得相应的cookie值，通过身份效验服务效验cookie的有效性。如果cookie有效就算登录成功；如果不成功或cookie不存在，用cookie登录就算失败。

 

 

 

 

 

 

 

 

 

 

 

 

 

[size=small;]用用户名和密码登录的方法要复杂一些，通过[/size]callback的机制和屏幕输入输出进行信息交互，完成用户登录信息的获取；获取信息以后通过userauth方法来调用远端ssoauth的服务来判定当前登录的有效性。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[size=small;]cookieauth[/size]和userauth方法都是利用apahce的httpclient工具包和远程的ssoauth进行http连接，获取服务。

 

 

 

 

 

 

 

 

 

 

 

 

 

private string userauth(string username,char[] password) throws ioexception{

[size=small;] [/size]string result = "failed";

[size=small;] [/size]string passwd= new string(password);

[size=small;] [/size]httpclient httpclient = new httpclient(); 

[size=small;] [/size]getmethod httpget = new getmethod(ssoserviceurl+action2+username+"&password="+passwd);

[size=small;] [/size]passwd = null;

[size=small;] [/size]try {

[size=small;] [/size]httpclient.executemethod(httpget);

[size=small;] [/size]result = httpget.getresponsebodyasstring();

[size=small;] [/size]} finally {

[size=small;] [/size]httpget.releaseconnection();

[size=small;] [/size]}

[size=small;] [/size]return result;

 

[size=small;] [/size]}

[size=small;]7 [/size]真正安全的全方位sso解决方案：kerberos

[size=small;]事实上有一种全方位的[/size]sso解决方案能够解决这些问题，这就是kerberos协议（rfc 1510）。kerberos是网络安全应用标准(http://web.mit.edu/kerberos/)，由mit学校发明，被主流的操作系统所采用。在采用kerberos的平台中，登录和认证是由操作系统本身来维护，认证的凭证也由操作系统来保存，这样整个桌面都可以处于同一个sso的系统保护中。操作系统中的各个应用（如ftp,telnet）只需要通过配置就能加入到sso中。另外使用kerberos最大的好处在于它的安全性。通过密钥算法的保证和密钥中心的建立，可以做到用户的密码根本不需要在网络中传输，而传输的信息也会十分的安全。

[size=small;]目前支持[/size]kerberos的操作系统包括solaris, windows,linux等等主流的平台。只不过要搭建一个kerberos的环境比较复杂，kdc（密钥分发中心）的建立也需要相当的步骤。kerberos拥有非常成熟的api，包括java的api。使用java generic security services(gss) api并且使用jaas中对kerberos的支持（详细信息请参见sun的java&kerberos教程http://java.sun.com/ j2se/1.5.0/docs/guide/security/jgss/tutorials/index.html），要将我们这个样例改造成对kerberos的支持也是不难的。 值得一提的是在jdk6.0 （http://www.java.net/download/jdk6）当中直接就包含了对gss的支持，不需要单独下载gss的包。

[size=small;]本文的主要目的是阐述[/size]sso的基本原理，并提供了一种实现的方式。通过对源代码的分析来掌握开发sso服务的技术要点和充分理解sso的应用范围。但是，本文仅仅说明了身份认证的服务，而另外一个和身份认证密不可分的服务----权限效验，却没有提到。要开发出真正的sso的产品，在功能上、性能上和安全上都必须有更加完备的考虑。

[size=small;]王昱是[/size]sun中国工程研究院的java工程师，现在的主要负责全球合作伙伴的技术支持。作为一名java资深工程师和架构师，王昱在java 的很多领域都有多年的造诣，特别是在java虚拟机、j2ee技术(包括ejb, jsp/servlet, jms和web services等技术)、集群技术和java应用性能调优上有着较为丰富的经验。曾经多次在重要的java会议发表演讲，并在国际著名的java技术站 点发表文章。

0
顶

3
踩

分享到：

XML JAVA解析 -- JDOM | BIRT教程及资料

2011-08-19 11:21
浏览 1422
评论(2)
查看更多

2 楼 jiava9900 2011-08-24

xzxw1115 写道

这让人怎么看呢

直接运行

1 楼 xzxw1115 2011-08-19

这让人怎么看呢

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论