级别: 中级
2008 年 1 月 31 日
本 文首先简单介绍了 IBM WI/SSO 的基本概念及其实现方式,在此基础上着重讨论 Eager Sign in 登录认证方式,指出和分析 Eager Sign in 的一些问题,并且提供相应的解决方案。WI/SSO 默认的 Eager Sign in 将用户认证信息直接提交到 WebSEAL 提供的认证表单,缺乏灵活性以及适用性。本文的解决方案在自定义登录页面和 WebSEAL 认证表单之间加入了中间过程,将该登录认证过程分为两步提交:1)提供一个自定义登录页面和 Servlet 用来收集用户认证信息,通常是用户名和口令;2)在服务器端将该 Servlet 收集到的认证信息连同必要的 HTTP 请求数据通过 HttpClient 一同提交到 WebSEAL 的认证表单,并根据 WebSEAL 返回的结果进行相应的处理。如果在认证过程中发生任何错误,通过结果处理可以转到自定义的错误页面,避免 WebSEAL 默认的认证错误处理。该解决方案的优点在于其灵活性以及适用性,可以有效地提升用户体验。
SSO 基本概念
单点登录(Single Sign On,简称为 SSO),是目前比较流行的企业业务整合的解决方案之一。利用 SSO,用户只需在应用服务器上登录一次,便可以访问启用了 SSO 域中的任何应用服务器,而无需再次登录。其实质就是获得对企业资源的访问权限。
单点登录不仅是企业应用集成(EAI)的一个重要方面,还是 SOA 按需时代的要求之一。它不仅降低安全风险和管理消耗,并且大大简化 SOA 的安全问题,从而提高服务之间的合作效率。
SSO 实现
SSO 并不是 Java EE 中的标准实现,而是各中间件提供商在提供 Java EE 应用服务器集群时提供的一种共享认证信息的机制,所以各厂商提供的实现方式不一样。例如 IBM 的 WebSphere 是通过 Cookies 记录认证信息,BEA 的 WebLogic 通过 Session 共享技术实现认证信息的共享,国内深圳金蝶的 Apusic 采用的技术和 BEA WebLogic 基本一致。
WI/SSO 基本概念及原理
IBM 提供的 SSO 解决方案——WI/SSO(Web Identity/Single Sign On)是 IBM 为其外部应用提供的标准用户服务,用来对 ibm.com 的用户进行注册,授权以及管理。它允许用户通过 IBM Tivoli Access Manager(TAM) 中的 WebSEAL 逆向代理安全服务器组件访问被保护的应用程序。WebSEAL 会对用户进行统一认证,并且管理用户认证信息。
如 图 1 所示,WebSEAL 位于外部和内部防火墙之间的非保护区(Demilitarized Zone,DMZ),用来向绿色区域的 Web 服务器转发请求。它会一直跟踪受保护的 IP 地址,接收发往 Web 服务器或应用服务器的请求,提供认证和授权服务,并在发送请求前把该请求的地址更改为实际目标地址转发出去。
图 2 以一个典型的用户登录会话为例,描述了 WI/SSO 认证过程。
首先,用户请求 ibm.com 域中任何被 WebSEAL 保护的资源,并将用户名 / 口令或者证书提交给 WebSEAL,要求认证;
WebSEAL 利用 LDAP 注册表中存储的用户信息对用户进行认证;
WebSEAL 签发一个 LTPA 令牌,在本地缓存并发送给 Web 服务器,最后发送到应用服务器;
应用服务器接受令牌并允许用户访问受保护的资源;WebSEAL 通过将 SSL 会话标识或者用户请求带来的的其它 Cookie 映射到 LTPA 令牌来维护状态,并且将它们发送到应用服务器。
在 整个认证过程中, WI/SSO 还提供一些用于单点登录的标准静态页面,例如登录页面、帐户被锁页面等等。通常这些静态页面用来重定向到 WI 用户服务应用中相应 JSP 页面,同时设置一些 Cookie 的值。表 1 列出了几个重要的静态 HTML 页面与 JSP 页面、Cookie 之间的对应关系。
静态页面相应的 JSP设置的 Cookies描述
login.html login.jsp?persistParge=true PD-ERR=%ERROR_CODE%
PD-REFPAGE=%URL%
PD-REFERER=%REFERER% 登录页面
acct_locked.html acc_locked.jsp PD-REFPAGE=%URL% 五次登录,帐户被锁
help.html help.jsp PD-REFPAGE=%URL% 已登录用户再次登录
WI/SSO 的登录认证方式
IBM WI/SSO 方案提供两种基本登录认证方式:
标准登录认证
使用标准方式登录认证时,在应用中页面中需要添加一个标记为类似“现在登录”的链接,指向受 WebSEAL 保护的任何资源,点击该链接将自动导向到 WI/SSO 登录页面(如图 3 所示)。
由图 3 可知,标准登录认证方式的登录页面是由 WebSEAL 统一提供的,这势必会导致在对遗留系统进行 SSO 方案集成时,登录、修改密码、出错等页面风格与企业应用风格不一致的问题,同时也会给用户造成一定的困惑。
为解决此问题,WI/SSO 中还提供另一种更为灵活的登录认证方式,这就是 Eager Sign in。
Eager Sign in 登录认证
Eager Sign in 登录认证方式允许应用提供根据企业应用风格自定义的登录页面,不再使用 WebSEAL 提供的标准登录页面,并且以 WebSEAL 所认可的方式提交认证请求。之后,WebSEAL 会对用户提交的认证信息进行认证,如果认证成功,会将用户重定向到应用指定的目标页面;否则,将用户重定向到 WebSEAL 标准的错误页面或者相应的登录 / 修改口令 / 用户被锁页面。
通过上面的介绍可以看到,Eager Sign in 登录认证方式的登录页面可以由企业应用自身提供,保持了遗留应用系统的整体风格,从而带来更完美的用户体验。因此,本文后面部分将着重介绍这种登录认证方式,并结合其不足提出改进的解决方案。
回页首
Eager Sign in 登录认证方式要求用户根据企业应用整体风格自定义登录页面。为了以 WebSEAL 所认可的方式提交用户认证请求,需要在自定义的登录页面中加入一个 Form 表单,如下所示:
第二步,将采集到的认证信息用户名和口令参数连同必要的 Cookie、Header 提交到 WebSEAL 的认证表单,并对返回结果进行分析处理。具体如下:
(1) 在向 WebSEAL 认证表单提交认证信息之前,首先利用 HttpClient Get 方法尝试获取一个受保护的页面,用于判断该用户是否已经登录。如果返回响应状态是 SC_OK 200,并且返回内容为所访问的受保护页面,则说明该页面已找到,用户可以直接访问到受保护的资源,即用户已经成功登录过,不需要再次提交认证信息;否则 说明该用户没有登录,需要继续执行(2),向 WebSEAL 提交认证信息。
(2) 在提交认证请求之前,为了能控制页面转向流程,首先需要禁止 HttpClient Post 方法的自动转向功能:
将 登录页面采集到的认证信息如用户名和口令参数连同必要的 Cookie、Header 拷贝到 postMethod 中。值得注意的是,为了符合 WebSEAL 的规范,定制登录成功页面,需要为 HttpClient 额外添加两个会话 Cookie,分别是 PD-SGNPAGE 和 PD-FROMPAGE。其中,
1. PD-SGNPAGE ——指定用户认证成功后所导向的目标页面编码后的 URL;
2. PD-FROMPAGE ——指定用户选择“取消”后所显示页面编码后的 URL。它必须是一个没有被保护的页面,并且可能是与目前所显示页面相同的页面(带有登录表单的页面)。
(3) 提交 postMethod 并判断返回状态代码:
int statusCode = ssoHttpClient.executeMethod(postMethod);
如 果返回 SC_OK 200 状态,说明登录失败或者已经登录,转入认证失败处理,要么是无效的用户名 / 口令,要么是多次尝试失败被锁,要么是已经登录再次提交认证信息;如果返回 SC_MOVED_TEMPORARILY 302 状态,说明登录成功,将会重定向到 loginredir.jsp 页面,继续请求重定向页面,最终会重定向到受保护的目标页面。
其 中,HTTP 的返回代码为 200 说明页面已经找到,对 GET 和 POST 请求的应答文档跟在后面。返回代码为 302 是暂时重定向,说明所请求的资源在一个不同的 URL 处临时保存。出现该状态代码时,HttpClient 的方法(和客户端浏览器类似)一般会自动访问 HTTP 请求头中 Location 头指定的 URL。将 HttpClient 的方法自动转向功能取消掉,所以需要再次发起请求才能完成重定向,这带来的好处是我们可以控制页面的转向。
认证成功
将 认证信息提交到 WebSEAL 认证表单后,如果认证成功,则执行如图 4 所示的流程。请求 loginredir.jsp 页面,并判断返回状态代码,如果页面请求成功,会再次返回 SC_MOVED_TEMPORARILY 302 状态。同时,loginredir.jsp 还会根据用户标识设置 IBMISS 和 IBMISP 两个 Cookie 值,并重定向到 PD-SGNPAGE Cookie 中指定的登录成功后显示的目标页面。
继续请求用户指定的登录成功后显示的目标页面,并判断返回状态代码,如果请求成功,返回 SC_OK 200 状态,说明目标页面已经找到,可以访问受 WebSEAL 保护的页面。
为了将目标页面返回给用户浏览器端,还需要将 postMethod 中的 Header 和 HttpClient 获取到的 Cookie 加到 HttpServletResponse 中以发送给客户端浏览器。至此,用户完成登录认证,并定向到登录成功页面。
认证失败
图 5 描述了用户登录失败的情况。可以看到,由于分步登录方案人为控制认证流程,Servlet 可以捕获 WebSEAL 重定向到标准错误页面的响应,从而可以导向到应用自定义的错误页面。这样就避免了 Eager sign in 不能自定义错误处理页面的问题。
将认证信息提交到 WebSEAL 认证表单后,如果认证失败,返回 SC_OK 200 状态,则执行如图 5 所示的流程。
WebSEAL 返回的响应页面内容如下:
IBM Registration>/title><br></head><br></html><br>可 以看出,该页面的作用是设置 PD-REFPAGE、PD-REFERER 和 PD-ERR 三个 Cookie 值,并且交由客户端自动刷新页面到请求头中所指定的 URL,可能是要求再次登录或者帐户被锁的页面。在这里,我们可以通过匹配自动刷新的 URL 地址的方法判断用户认证的失败原因,包括如下两种情况:无效的用户名 / 口令,多次失败尝试用户被锁。另外还有一种情况是:用户已经登录但仍然提交认证信息到 WebSEAL 认证表单,自动刷新的目标 URL 会是 help.jsp。<br>其中,PD-REFPAGE 代表了用户所请求的页面或 WebSEAL 缓存的页面 url。这个 url 认证成功后 WebSEAL 所应该请求的页面。<br>PD-REFERER 代表了请求从哪儿来的页面,或是 HTTP referrer 请求头。如果用户在地址栏手动输入地址,或是使用书签触发一个登录的流程,该 Cookie 的值即为空“none”,意味着不能判定 referrer 请求头。<br>PD-ERR 通过登录或账户管理页面设置。该 Cookie 的值即错误编码用来查找错误信息。<br>认证失败的情况如下:<br>无效的用户名 / 口令<br>如 果用户提交了非法或者无效的用户名 / 口令,则 WebSEAL 返回自动刷新到要求再次登录的页面,刷新的目标 URL 是 https://www-304.ibm.com/usrsrvc/account/userservices/jsp/login.jsp?persistPage=true<br>多次登录失败尝试<br>用 户多次输入错误的用户名 / 口令,提交到 WebSEAL 认证表单,则 WebSEAL 返回自动刷新到提示用户被锁的页面,刷新的目标 URL 是 https://www-304.ibm.com/usrsrvc/account/userservices/jsp/acct_locked.jsp<br>已经登录再次提交认证信息<br>如果用户已经成功登录并且再次提交认证信息,则 WebSEAL 返回自动刷新到提示用户已经登录的页面,刷新的目标 URL 是 https://www-304.ibm.com/usrsrvc/account/userservices/jsp/help.jsp<br>最后,需要 Get 方法中的 Header 和 HttpClient 的 Cookie 一并加入 HttpServletResponse 中返回给用户,并根据分析的失败原因,重新请求应用中定义的相应错误处理页面。<br>从 上面的介绍中可以看出,该方案保留了 Eager Sign in 方式自定义登录页面的优点,能够很好地和遗留系统的页面风格保持一致。还针对 Eager Sign in 方式缺少灵活性和适用性的问题,使用分步登录认证的策略,即使用 HttpClient 模拟客户端浏览器与 WebSEAL 进行交互认证。一旦在该过程中发生认证错误,HttpClient 能捕获该错误并重定向到应用本身的错误处理页面,这样也实现了错误页面的定制,提升了用户体验。<br>此外,由于分步登录的方案能够人为控制页面 转向流程,使用户有可能在 WI/SSO 方案之外根据企业已有应用系统的认证策略增加一些安全措施,减少了迁移的工作量,做到了与遗留系统认证模块的完美结合。并且,由于集成了已有的认证策略, 用户在登录之后,不必将受保护应用的所有页面请求都通过 WebSEAL 逆向代理服务器转向,从而提高了应用的性能。<br>下面介绍在利用 HttpClient 实现 WI/SSO Eager Sign in 过程中可能遇到的一些问题及其解决办法。<br>字符编码和 Content-Length 请求头<br>自定义登录页面的编码方式可能出现在不同地方,一是服务器返回的 HTTP 头中,二是得到的 html/xml 页面中。为正确读取认证信息,在服务器端读取用户提交的信息时必须指定字符编码。从请求中获取参数时,设置字符编码方式一般是:<br>httpRequest.setCharacterEncoding("UTF-8");<br>一旦设置完请求的编码方式,则会按照 UTF-8 的方式读取用户提交的参数值。<br>将 参数通过 HttpClient 接口添加到 Post 方法后,HttpClient 会对整个提交的内容进行编码,从而导致实际的内容长度和请求 Content-Length 头不一致,所以最好在处理请求头时忽略 Content-Length 头。或者调用 HttpClient 接口对内容进行编码后获取新的内容长度,从而保证传入的 Content-Length 值和实际内容长度一致,以便能够正确的提交到 WebSEAL 认证表单。<br>String content = EncodingUtil.formUrlEncode(postMethod.getParameters(),<br>postMethod.getRequestCharSet());<br>postMethod.setRequestHeader("Content-Length", "" content.length());<br>Cookie 处理<br>HttpClient Cookie 规范参数<br>在 HttpClient 中有两种方法来指定 Cookie 规范的使用:<br>HttpClient client = new HttpClient();<br>client.getState().setCookiePolicy(CookiePolicy.COMPATIBILITY);<br>这种方法设置的规范只对当前 HttpState 有效。另一种方法是指定系统的属性,对每个新建立的 HttpState 对象都有效。<br>System.setProperty(“apache.commons.httpclient.cookiespec”, “COMPATIBILITY”);<br>PD-ERR 和 PD-ID<br>用 户认证成功后,会生成 PD-ID Cookie,当该 Cookie 被添加到客户浏览器之后,任何到受 SSO 保护的应用的请求都会附上该 Cookie。同样,用户输入了无效的用户名 / 口令提交到 WebSEAL 认证表单进行认证时,会生成 PD-ERR Cookie,除非显式地清除,该 Cookie 会一直存在客户端的请求中直到当前会话结束。<br>用户认证失败后,SSO 生成 PD-ERR 同时清除 PD-ID;用户再次提交正确的用户名 / 口令 , 认证成功后,SSO 会生成 PD-ID 同时清除 PD-ERR Cookie。所以我们需要在服务器端对客户浏览器的请求的 Cookie 和 HttpClient 认证结果中的 Cookie 进行同步,以到达认证状态的一致性。<br>Cookie 域<br>WI/SSO 所生成的所有 Cookie 的域都被指定为 ibm.com,从而保证在 ibm.com 域下的受 SSO 保护的应用之间作边界切换时能够共享 Cookie。但是有时候从请求中获取 Cookie 时 Domain 和 Path 可能都为空,所以不得不重置这些 Cookie,将其 Domain 设置为 ibm.com,Path 设置为“/”,这样,发送到 ibm.com 域下所有应用的请求都会附上这些 Cookie。<br>支持 HTTPS 协议<br>WI/SSO 依赖于 SSL 进行用户信息的传递。HttpClient 提供对 SSL 的支持,但是在使用 SSL 之前必须安装 JSSE。这里有两种方法可以打开 HTTPS 连接,一种是将服务器颁发的证书导入到本地的 keystore 中,另一种是扩展 HttpClient 来实现自动接受证书。就第一种方法可以参考引用中的 HttpClient 入门文章,下面介绍第二种方法。<br>扩展 HttpClient 实现自动接受证书<br>因为这种方法自动接受证书,因此存在一定的安全问题,所以在使用该方法前请仔细考虑应用系统的安全需求,在真正产品中并不建议使用自动接受证书或者接受所有证书。<br>具体步骤如下:<br>提 供一个自定义的 Socket factory。自定义的类必须实现 HttpClient 接口 org.apache.commons.httpclient.protocol.SecureProtocolSocketFactory,在实现接口 的类中调用自定义的 X509TrustManager,就这些类的实现可以参考 HttpClient 官方网站。<br>创建一个 org.apache.commons.httpclient.protocol.Protocol 实例,指定协议名称和默认的端口号: Protocol https = new Protocol(“https”, new MySecureProtocolSocketFactory(), 443);<br>注册创建的 https 协议对象,然后就可以按照普通方式打开 HTTPS 的目标地址 Protocol.registerProtocol(“https”, https);<br>HttpClient 重定向<br>HttpClient 支持自动转向处理,但是像 POST 和 PUT 方式这种要求接受后继服务的请求方式,暂时不支持自动转向,因此如果碰到 POST 方式提交后返回的是 301 或者 302 的话需要自己处理,所要请求的地址可以在头字段 location 中得到。不过需要注意的是,有时候 location 返回的可能是相对路径,因此需要对 location 返回的值做一些处理才可以发起向新地址的请求。<br>另外除了在头中包 含的信息可能使页面发生重定向外,在页面中也有可能会发生页面的重定向。引起页面自动转发的标签是:<meta http-equiv="refresh" content="5; url=http://www.ibm.com/us">。如果你想在程序中也处理这种情况的话得自己分析页面来实现转向。需要注意的是,在上面那 个标签中 url 的值也可以是一个相对地址,如果是这样的话,需要对它做一些处理后才可以转发。<br>为了禁止 httpClient 自动重定向,需要在 post 之前将 httpClient 的重定向功能关闭:<br>httpMethod.setFollowRedirects(false);<br><img style='max-width:300px;' id="img19" src="http://image5.360doc.cn/DownloadImg/2009/11/12/19525_8867462_5.gif" /><br><img style='max-width:300px;' id="img20" src="http://image5.360doc.cn/DownloadImg/2009/11/12/19525_8867462_1.gif" /><br><img style='max-width:300px;' id="img21" src="http://image5.360doc.cn/DownloadImg/2009/11/12/19525_8867462_1.gif" /><br><img style='max-width:300px;' id="img22" src="http://image5.360doc.cn/DownloadImg/2009/11/12/19525_8867462_6.gif" />回页首<br>本 文针对 WI/SSO 中 Eager Sign in 的登录认证方式缺少灵活性和适用性的问题提出了分步登录的认证方案。该方案不仅保留了 Eager Sign in 方式自定义登录页面的优点,还实现了错误页面的定制,结合了已有系统的认证策略,从而做到与遗留系统认证模块的完美结合,提升了用户体验。<br>值得注意的是,我们并不能保证本文所提出的分布登录认证方案可以完美地实现企业应用单点登录集成。如果读者希望采用本方案,请参考 IBM WI/SSO 的文档以了解更多的信息。<br>WI 文档<br>Web Identity Support Wiki<br>developerWorks 文章多目录环境中的单点登录:“别再说登录” 对 SSO 的基本概念做了详细的介绍。<br>developerWorks 文章将 IBM Tivoli Access Manager 3.9 与 WebSphere Application Server 集成在一起: 一个完整的安全性解决方案 讨论了 TAM 给 WAS 带来的安全特性,介绍了 TAM 与 WAS 结合的 SSO 方案。<br>User Services - SSO Adopter Guide 与User Services - WebSEAL SSO design 详细介绍了 WI/SSO 方案的原理及实现。<br>HTTPClient 的主页 ,你可以在这里得到关于 HttpClient 更加详细的信息。<br>developerWorks 文章HttpClient 入门 介绍了 HttpClient 的基本功能及使用方法,并根据作者实际工作经验给出了一些常见问题的解决方法,具有很强的实用性。</div>
<div class="list-group">
<a href="/article/bijdgwb" class="list-group-item">利用声卡可以实现</a>
<a href="/article/bigfwtm" class="list-group-item">利用vb实现文件分割</a>
<a href="/article/biixqxi" class="list-group-item">利用C++如何编程实现?</a>
<a href="/article/biixrap" class="list-group-item">利用C++如何编程实现?</a>
<a href="/article/bhsbgho" class="list-group-item">怎样利用共享文件夹实现资源共享?</a>
<a href="/article/bhyelus" class="list-group-item">如何利用QQ实现多方视频?</a>
<a href="/article/biaapkg" class="list-group-item">如何利用上网电脑实现网上打电话</a>
<a href="/article/biaybcb" class="list-group-item">如何利用VB实现这个功能?</a>
<a href="/article/bibtfyw" class="list-group-item">如何利用ADSL实现家庭共享上网</a>
<a href="/article/bicthvu" class="list-group-item">利用VB6.0如何实现打印!!!!!!!</a>
<a href="/article/bieajfo" class="list-group-item">如何利用javascript实现前进与后退?</a>
<a href="/article/biftkrq" class="list-group-item">如何实现WIN98利用交换机上网</a>
<a href="/article/biilmar" class="list-group-item">能不能利用邮件实现远程关机</a>
<a href="/article/bijywfe" class="list-group-item">利用ASP实现数据库转换的问题</a>
<a href="/article/bijfhcr" class="list-group-item">关于java HttpClient 类的问题</a>
<a href="/article/bihcunb" class="list-group-item">请问Wi-Fi和单位内部的自己安装的通过无线路由器实现的无线局域网是不是一回事?</a>
<a href="/article/bhriohq" class="list-group-item">学校如何实现利用现有网络来看电视</a>
<a href="/article/bhrugtm" class="list-group-item">怎么利用网卡+集线器实现一网两机?</a>
<a href="/article/bhskfmi" class="list-group-item">怎样利用74LS112实现三组彩灯控制</a>
<a href="/article/bhsucak" class="list-group-item">请问只有一个用户名怎么利用hub实现ADSL多用户</a>
<a href="/article/bhtdbyo" class="list-group-item">新手求组:利用Helix Server实现MMS</a>
<a href="/article/bhtjhpy" class="list-group-item">利用什么可以实现电子邮件的安全运输</a>
<a href="/article/bhtmsam" class="list-group-item">利用outlook怎么实现发信的后缀自加</a>
<a href="/article/bhtspmn" class="list-group-item">如何利用c/vc/c#实现重新启动计算机?</a>
</div>
</div>
</div>
</div>
</div>
</div>
<footer id="footer" class="footer hidden-print">
<div class="container">
<div class="panel panel-default">
<div class="panel-heading">相关问题</div>
<div class="panel-body">
<a class="btn btn-default" href="/article/bhtmcgw" title="《向少奇同志学习!》">《向少奇同志学习!》</a>
<a class="btn btn-default" href="/article/bhtmcgx" title="指甲形状暴露你的性格和健康状况_">指甲形状暴露你的性格和健康状况_</a>
<a class="btn btn-default" href="/article/bhtmcgy" title="一组简洁实用的网页边框">一组简洁实用的网页边框</a>
<a class="btn btn-default" href="/article/bhtmcgz" title="“80後”遭遇激情難燒的歲月">“80後”遭遇激情難燒的歲月</a>
<a class="btn btn-default" href="/article/bhtmcha" title="汽车保险与理赔操作指南(十)">汽车保险与理赔操作指南(十)</a>
<a class="btn btn-default" href="/article/bhtmchb" title="文革史料:《无产阶级革命派大联合,夺走资本主义道路当权派的权!》">文革史料:《无产阶级革命派大联合,夺走资本主义道路当权派的权!》</a>
<a class="btn btn-default" href="/article/bhtmchc" title="香蕉核桃饼干\\草莓酱夹心小饼干\\蜜柚饼干\\果酱饼干\\百分百橙香饼干">香蕉核桃饼干\\草莓酱夹心小饼干\\蜜柚饼干\\果酱饼干\\百分百橙香饼干</a>
<a class="btn btn-default" href="/article/bhtmchd" title="附图]179种家庭美食的做法(上)">附图]179种家庭美食的做法(上)</a>
<a class="btn btn-default" href="/article/bhtmche" title="《解开生命原点的秘密》1、“腹针疗法”、神阙调控系统、“护颈养脑”操(视频)(相关链接不适合您的食物可能是毒药 分清体质,一补就准、陈允斌、科学实验室)">《解开生命原点的秘密》1、“腹针疗法”、神阙调控系统、“护颈养脑”操(视频)(相关链接不适合您的食物可能是毒药 分清体质,一补就准、陈允斌、科学实验室)</a>
<a class="btn btn-default" href="/article/bhtmchf" title="汽车保险与理赔操作指南(九)">汽车保险与理赔操作指南(九)</a>
<a class="btn btn-default" href="/article/bhtmchg" title="[整理]Windows XP集成安装光盘制作完全教程">[整理]Windows XP集成安装光盘制作完全教程</a>
<a class="btn btn-default" href="/article/bhtmchh" title="怎么帮助自卑的人找到自我价值感--北京海明心理咨询中心">怎么帮助自卑的人找到自我价值感--北京海明心理咨询中心</a>
<a class="btn btn-default" href="/article/bhtmchi" title="巴塞罗纳:高迪的一场梦">巴塞罗纳:高迪的一场梦</a>
<a class="btn btn-default" href="/article/bhtmchj" title="文学类文本阅读(小说) 板块(考题)精">文学类文本阅读(小说) 板块(考题)精</a>
<a class="btn btn-default" href="/article/bhtmchk" title="中国十大最美的村镇2">中国十大最美的村镇2</a>
<a class="btn btn-default" href="/article/bhtmchl" title="测一测你的身体缺什么?">测一测你的身体缺什么?</a>
<a class="btn btn-default" href="/article/bhtmchm" title="与思维导图对话系列">与思维导图对话系列</a>
<a class="btn btn-default" href="/article/bhtmchn" title="陆游:被春天放逐的腊梅!">陆游:被春天放逐的腊梅!</a>
<a class="btn btn-default" href="/article/bhtmcho" title="2008年新课标《语文》复习中考必备手册(2)">2008年新课标《语文》复习中考必备手册(2)</a>
<a class="btn btn-default" href="/article/bhtmchp" title="精美的自然风景">精美的自然风景</a>
<a class="btn btn-default" href="/article/bhtmchq" title="全球市场价值最高的前100家公司排行榜(截至3月9日)">全球市场价值最高的前100家公司排行榜(截至3月9日)</a>
<a class="btn btn-default" href="/article/bhtmchr" title="一个中国军人眼中的南海问题(2011-06-21 13:06:30)转载标签: 乔良南海问题老百姓主权 分类: 军事 一个中国军人眼中的南海问题(全文) ——空军少将乔良谈">一个中国军人眼中的南海问题(2011-06-21 13:06:30)转载标签: 乔良南海问题老百姓主权 分类: 军事 一个中国军人眼中的南海问题(全文) ——空军少将乔良谈</a>
<a class="btn btn-default" href="/article/bhtmchs" title="谢国忠:中国经济的增长以牺牲家庭福利为代价">谢国忠:中国经济的增长以牺牲家庭福利为代价</a>
<a class="btn btn-default" href="/article/bhtmcht" title="一组漂亮的网页边框">一组漂亮的网页边框</a>
<a class="btn btn-default" href="/article/bhtmchu" title="清末黄自元楷书间架结构帖九十二法">清末黄自元楷书间架结构帖九十二法</a>
<a class="btn btn-default" href="/article/bhtmchv" title="未来几个月中国房地产企业或死掉1/3">未来几个月中国房地产企业或死掉1/3</a>
<a class="btn btn-default" href="/article/bhtmchw" title="医学知识">医学知识</a>
<a class="btn btn-default" href="/article/bhtmchx" title="六字大明咒的功德:">六字大明咒的功德:</a>
<a class="btn btn-default" href="/article/bhtmchy" title="] 男性不可不吃的12种食物">] 男性不可不吃的12种食物</a>
<a class="btn btn-default" href="/article/bhtmchz" title="中共历届最高领导集体【组图】">中共历届最高领导集体【组图】</a>
<a class="btn btn-default" href="/article/bhtmcia" title="有声播讲:《话说汉武大帝》全集">有声播讲:《话说汉武大帝》全集</a>
</div>
</div></div>
<div class="copy-right">
<p>偶看新闻,客观、专业、权威的知识性互动百科全书。</p></div>
</footer>
<div class="copy-right"> <div class="container">
<div class="col-md-12">
<a href="https://www.q-5.net/" target="_blank">最新新闻</a> <a href="https://www.wacths.com/" target="_blank">沃茨手表网</a>
<a href="https://www.csdndoc.com/" target="_blank">CSDN程序文档</a>
<a href="https://www.cmjoy.com/" target="_blank">上海旅游网</a> <a href="https://www.smbaike.com/" target="_blank">神马百科</a> <a href="https://www.familylifemag.com/" target="_blank">程序博客</a>
<a href="https://www.xjpta.cn/" target="_blank">香蕉皮作业帮</a> <a href="https://www.cidugushi.com/" target="_blank">景德镇新闻网</a> <a href="https://www.uyuyao.com/" target="_blank">余姚信息网</a>
<a href="https://www.zuoyewang.cc/" target="_blank">作业帮作业网</a> <a href="https://www.wenda8.com/" target="_blank">互助问答吧</a> <a href="https://www.16lo.com/" target="_blank">16楼社区</a>
<a href="https://www.zyebang.com/">解题作业帮</a><a href="https://www.6210k.com/">艺术百科</a><a href="http://www.ld5.top/">亮点网</a><a href="http://www.smbaike.com/">神马百科</a>
<a href="https://www.smwenxue.com/">神马文学网</a>
<a href="https://www.zuoye5.com/">拍题作业网</a>
<a href="https://www.uczhidao.com/">UC知道</a>
<a href="https://www.52sanwen.top/">我爱散文网</a>
<a href="https://www.bfwang.top/">北方网</a>
<a href="https://www.kexue5.top/">科学网</a>
<a href="https://www.wenku1.top/">第一文库网</a>
<a href="https://www.wszyw.top/">微思作业网</a>
<a href="https://www.wz51.top/">我要文章网</a>
<a href="https://www.dsp33.cn/">都市新闻网</a><a href="https://www.xofi.com.cn/">西欧教育</a><a href="https://www.xs2xf.cn/">西山新闻网</a><a href="https://www.holoes.com.cn/">好楼房产信息网</a>
<a href="https://www.9x1x.cn/">九乡新闻网</a><a href="https://www.vnql.com.cn/">农企信息网</a><a href="https://www.xnvm.com.cn/">仙女们写真照片</a><a href="https://www.lumta.com.cn/">音乐简谱网</a><a href="https://www.miliya.com.cn/">米粒芽</a><a href="https://www.xuexiaodaquan.net/">学校大全网</a><a href="https://www.wz95.cn/">95后网站</a><a href="https://www.ranatlanta.cn/">汝南网</a><a href="https://www.opuo.com.cn/">欧普网</a><a href="https://www.7c4.com.cn/">宝宝故事网</a>
<a href="https://www.pp6a.cn/">神马品牌网</a>
<a href="https://www.hzxzt.com.cn/">杭州交通信息网/"></a>
<a href="https://www.hzsgz.com.cn/">杭州市高中教育平台</a>
<a href="https://www.crrcn.cn/">查人人中国名人网</a>
<a href="https://www.amzr.com.cn/">爱美之人</a>
<a href="https://www.scmpx.com.cn/">上车买票</a>
<a href="https://www.azxt.com.cn/">安卓系统之家</a>
<a href="https://www.520sdw.cn/">中科新闻网</a>
<a href="https://www.218zy.cn/">科学院研究所</a>
<a href="https://www.ekowh.cn/">高考快车</a>
<a href="https://www.520gsw.cn/">高考志愿帮</a>
<a href="https://www.madbar.cn/">大学志愿大全</a>
<a href="https://www.oisogo.cn/">高校问答</a>
<a href="https://www.togowu.cn/">高考问答</a>
<a href="https://www.mdeusa.cn/">中考百科</a>
<a href="https://www.520bzw.cn/">大学知道</a>
<a href="https://www.9uwang.cn/">久游网</a>
</div></div></div> </body>
</html>
偶看新闻