CA與門戶整合的解決方案.doc

CA系統(tǒng)與門戶集成解決方案財(cái)政部信息網(wǎng)絡(luò)中心1. 引言1.1 目標(biāo)通過CA系統(tǒng)與財(cái)政統(tǒng)一門戶（以下簡(jiǎn)稱門戶或Portal）集成，使中央財(cái)政系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄和身份安全認(rèn)證。1.2 預(yù)期讀者本方案的相關(guān)項(xiàng)目管理、分析設(shè)計(jì)和程序開發(fā)人員。2. 需求描述本方案通過中央財(cái)政系統(tǒng)與門戶的有效集成，形成通過門戶實(shí)現(xiàn)單點(diǎn)登錄，把眾多財(cái)政系統(tǒng)入口通過門戶統(tǒng)一實(shí)現(xiàn)CA身份認(rèn)證。具體需求描述如下：1、統(tǒng)一用戶管理。為每個(gè)使用應(yīng)用系統(tǒng)的用戶建立唯一的標(biāo)準(zhǔn)用戶標(biāo)識(shí)其用戶身份，形成標(biāo)準(zhǔn)用戶集并統(tǒng)一管理維護(hù)，同時(shí)建立和維護(hù)標(biāo)準(zhǔn)用戶與應(yīng)用系統(tǒng)用戶的對(duì)照關(guān)系。2、單點(diǎn)登錄和身份認(rèn)證。用戶統(tǒng)一使用標(biāo)準(zhǔn)用戶通過門戶進(jìn)行單點(diǎn)登錄，在登錄過程中，基于CA系統(tǒng)進(jìn)行身份認(rèn)證，并通過標(biāo)準(zhǔn)用戶與應(yīng)用系統(tǒng)用戶的對(duì)照關(guān)系，列出該用戶可登錄的系統(tǒng)列表，用戶選擇后直接登錄相應(yīng)的應(yīng)用系統(tǒng)。3、系統(tǒng)可靠性及應(yīng)急方案。CA系統(tǒng)和門戶系統(tǒng)都采用雙機(jī)方式部署，具有較高的可靠性。在特殊情況下如CA系統(tǒng)或者門戶服務(wù)器宕機(jī)時(shí)，用戶還可以通過原有的用戶名/密碼方式直接訪問應(yīng)用系統(tǒng)。3. 解決方案3.1. 總體架構(gòu)圖3-1門戶、中央財(cái)政系統(tǒng)和CA系統(tǒng)整合總體架構(gòu)圖總體架構(gòu)由中央財(cái)政應(yīng)用系統(tǒng)、門戶、CA系統(tǒng)三部分組成，其中統(tǒng)一用戶管理系統(tǒng)根據(jù)CA系統(tǒng)提供的用戶集整理出用于登錄門戶的標(biāo)準(zhǔn)用戶集，并對(duì)標(biāo)準(zhǔn)用戶信息進(jìn)行管理維護(hù)，同時(shí)通過統(tǒng)一用戶管理系統(tǒng)管理維護(hù)標(biāo)準(zhǔn)用戶與應(yīng)用系統(tǒng)用戶的對(duì)照關(guān)系；門戶提供門戶管理功能，用于實(shí)現(xiàn)各系統(tǒng)的門戶集成和單點(diǎn)登陸；CA系統(tǒng)提供身份認(rèn)證服務(wù)、證書申請(qǐng)及發(fā)放等業(yè)務(wù)。其總體處理流程如下：1、系統(tǒng)管理員通過CA系統(tǒng)提供的證書申請(qǐng)為用戶申請(qǐng)數(shù)字證書。2、CA系統(tǒng)把數(shù)字證書寫入U(xiǎn)SBKEY后，發(fā)放給財(cái)政用戶。 3、從CA系統(tǒng)已梳理的用戶集中，選擇可以登錄門戶的用戶，按照標(biāo)準(zhǔn)用戶命名規(guī)則維護(hù)并存儲(chǔ)到統(tǒng)一用戶管理系統(tǒng)并對(duì)標(biāo)準(zhǔn)用戶進(jìn)行統(tǒng)一管理。4、應(yīng)用系統(tǒng)將其維護(hù)的應(yīng)用用戶信息發(fā)送到統(tǒng)一用戶管理系統(tǒng)。5、在統(tǒng)一用戶管理系統(tǒng)中，建立標(biāo)準(zhǔn)用戶與應(yīng)用系統(tǒng)用戶的對(duì)照關(guān)系，該對(duì)照關(guān)系用來實(shí)現(xiàn)標(biāo)準(zhǔn)用戶對(duì)應(yīng)用系統(tǒng)的訪問權(quán)限。6、用戶將USBKEY插入計(jì)算機(jī)中，打開門戶登錄界面，輸入KEY的密碼，登錄門戶。7、進(jìn)行登錄時(shí)，門戶將USBKEY中存儲(chǔ)的數(shù)字身份證書信息發(fā)送到CA系統(tǒng)的身份認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證。8、認(rèn)證通過后，CA系統(tǒng)返回標(biāo)準(zhǔn)用戶信息的唯一標(biāo)識(shí)，門戶根據(jù)標(biāo)準(zhǔn)用戶信息的唯一標(biāo)識(shí)從統(tǒng)一用戶管理系統(tǒng)中取得對(duì)照關(guān)系，列出該用戶可登錄的系統(tǒng)列表，用戶選擇后直接登錄相應(yīng)應(yīng)用系統(tǒng)。3.2. 系統(tǒng)主要功能3.2.1 CA系統(tǒng)CA系統(tǒng)主要提供數(shù)字證書申請(qǐng)、身份認(rèn)證等服務(wù)。1、數(shù)字證書申請(qǐng)主要是采集用戶信息、申請(qǐng)數(shù)據(jù)證書、生成USB Key并發(fā)放給用戶。2、CA系統(tǒng)提供身份認(rèn)證服務(wù)，供用戶登錄門戶進(jìn)行身份認(rèn)證時(shí)調(diào)用。3.2.2 統(tǒng)一用戶管理系統(tǒng) 統(tǒng)一用戶管理功能統(tǒng)一用戶管理系統(tǒng)基于平臺(tái)生長(zhǎng)，其主要功能如下：1、管理和維護(hù)平臺(tái)標(biāo)準(zhǔn)用戶信息；提供應(yīng)用系統(tǒng)用戶信息同步功能。2、管理維護(hù)標(biāo)準(zhǔn)用戶和應(yīng)用系統(tǒng)用戶的對(duì)照關(guān)系，實(shí)現(xiàn)標(biāo)準(zhǔn)用戶對(duì)應(yīng)用系統(tǒng)的訪問授權(quán)。3、提供標(biāo)準(zhǔn)用戶信息查詢服務(wù)和對(duì)照關(guān)系訪問服務(wù)。4、提供相關(guān)查詢功能，如：查詢標(biāo)準(zhǔn)用戶信息、對(duì)照關(guān)系等。 統(tǒng)一用戶管理工作流程圖3-2統(tǒng)一用戶管理系統(tǒng)主要工作流程統(tǒng)一用戶管理系統(tǒng)的主要工作流程如下：1、增加新用戶時(shí)，首先通過平臺(tái)的用戶管理功能檢查平臺(tái)中是否存在該用戶的標(biāo)準(zhǔn)用戶信息，如果沒有，則按照標(biāo)準(zhǔn)用戶命名規(guī)則在平臺(tái)中新增一個(gè)標(biāo)準(zhǔn)用戶。2、應(yīng)用系統(tǒng)根據(jù)其自身用戶管理流程和命名規(guī)則，在應(yīng)用系統(tǒng)中新增該用戶信息。3、應(yīng)用系統(tǒng)把新增的應(yīng)用用戶信息，通過統(tǒng)一用戶管理系統(tǒng)提供的應(yīng)用系統(tǒng)用戶信息接收服務(wù)，保存到平臺(tái)的應(yīng)用系統(tǒng)用戶信息表中。4、在統(tǒng)一用戶管理系統(tǒng)中，配置標(biāo)準(zhǔn)用戶和應(yīng)用系統(tǒng)用戶對(duì)照關(guān)系，通過對(duì)照關(guān)系的設(shè)置，確定該標(biāo)準(zhǔn)用戶對(duì)應(yīng)用系統(tǒng)的訪問權(quán)限。5、統(tǒng)一用戶管理系統(tǒng)提供查詢標(biāo)準(zhǔn)用戶信息、對(duì)照關(guān)系情況等。3.2.3 財(cái)政統(tǒng)一門戶門戶提供門戶管理功能，用于實(shí)現(xiàn)各系統(tǒng)的門戶集成和單點(diǎn)登錄。. 應(yīng)用系統(tǒng)與門戶集成應(yīng)用系統(tǒng)根據(jù)技術(shù)架構(gòu)的不同，總體上分成B/S和C/S兩大類系統(tǒng)，與門戶集成后兩大類系統(tǒng)在門戶的表現(xiàn)形式統(tǒng)一為門戶中應(yīng)用系統(tǒng)菜單或圖標(biāo)，如下圖所示：圖3-3與門戶集成后的應(yīng)用系統(tǒng)菜單. 單點(diǎn)登錄與CA身份認(rèn)證用戶使用標(biāo)準(zhǔn)用戶訪問門戶實(shí)現(xiàn)單點(diǎn)登錄。門戶在驗(yàn)證用戶信息時(shí)，把數(shù)字證書轉(zhuǎn)發(fā)到CA系統(tǒng)身份認(rèn)證網(wǎng)關(guān)中進(jìn)行身份認(rèn)證。CA系統(tǒng)認(rèn)證示意圖如下圖所示：圖3-4 CA系統(tǒng)認(rèn)證示意圖用戶登錄門戶時(shí)，門戶把數(shù)字證書信息發(fā)送給CA系統(tǒng)進(jìn)行身份認(rèn)證，身份認(rèn)證通過后，用戶通過門戶的菜單訪問應(yīng)用系統(tǒng)，調(diào)用時(shí)采用應(yīng)用系統(tǒng)用戶編碼（UID）和門戶中產(chǎn)生的SESSION ID（SID）。應(yīng)用系統(tǒng)在訪問入口增加過濾器（Filter），過濾器的作用是訪問門戶驗(yàn)證服務(wù)，驗(yàn)證SID的有效性（ 驗(yàn)證該SID是否是當(dāng)前用戶正確登錄門戶后產(chǎn)生的SESSION對(duì)應(yīng)的ID），確保該用戶有權(quán)限訪問應(yīng)用系統(tǒng)。用戶進(jìn)入應(yīng)用系統(tǒng)后，可以直接進(jìn)行業(yè)務(wù)操作。用戶登錄身份認(rèn)證過程如下圖所示：圖3-5用戶登錄身份認(rèn)證過程圖其處理流程如下：1、業(yè)務(wù)用戶把帶有數(shù)字證書的USBKEY插入計(jì)算機(jī)，打開門戶登錄頁(yè)面，輸入KEY的PIN碼，登錄門戶。2、門戶用戶登錄功能自動(dòng)把數(shù)字身份證書信息轉(zhuǎn)發(fā)到身份認(rèn)證網(wǎng)關(guān)，進(jìn)行身份驗(yàn)證。3、身份認(rèn)證網(wǎng)關(guān)返回認(rèn)證結(jié)果，如果認(rèn)證成功，還需返回用戶姓名和身份證號(hào)碼。4、身份認(rèn)證成功后，門戶根據(jù)返回的用戶身份證號(hào)碼和姓名信息訪問統(tǒng)一用戶管理系統(tǒng)，取得該標(biāo)準(zhǔn)用戶對(duì)應(yīng)的應(yīng)用系統(tǒng)權(quán)限以及應(yīng)用系統(tǒng)用戶信息。5、統(tǒng)一用戶管理系統(tǒng)把應(yīng)用系統(tǒng)訪問權(quán)限返回給門戶。6、門戶根據(jù)應(yīng)用系統(tǒng)訪問權(quán)限信息生成主界面返回給業(yè)務(wù)用戶。7、用戶點(diǎn)擊應(yīng)用系統(tǒng)菜單直接訪問應(yīng)用系統(tǒng)。8、用戶點(diǎn)擊應(yīng)用系統(tǒng)菜單后，從門戶啟動(dòng)應(yīng)用系統(tǒng)。9、應(yīng)用系統(tǒng)返回本身的業(yè)務(wù)操作界面。10、用戶在應(yīng)用系統(tǒng)中進(jìn)行相應(yīng)業(yè)務(wù)操作。3.2.4 應(yīng)用系統(tǒng) 應(yīng)用系統(tǒng)用戶信息同步應(yīng)用系統(tǒng)向統(tǒng)一用戶管理系統(tǒng)提供現(xiàn)有用戶信息，由統(tǒng)一用戶管理系統(tǒng)建立標(biāo)準(zhǔn)用戶和應(yīng)用系統(tǒng)用戶之間的對(duì)照關(guān)系。應(yīng)用系統(tǒng)新增、變更或刪除用戶時(shí)，應(yīng)首先提交到統(tǒng)一用戶管理系統(tǒng)，修改標(biāo)準(zhǔn)用戶和應(yīng)用系統(tǒng)用戶的對(duì)照關(guān)系。新建應(yīng)用系統(tǒng)可直接使用標(biāo)準(zhǔn)用戶，從而逐步實(shí)現(xiàn)各財(cái)政應(yīng)用系統(tǒng)用戶的統(tǒng)一。3.3. 部署結(jié)構(gòu)3.3.1 部署結(jié)構(gòu)圖圖3-6部署結(jié)構(gòu)圖門戶、CA系統(tǒng)和財(cái)政應(yīng)用系統(tǒng)所用的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器都集中部署在財(cái)政機(jī)房，以便于系統(tǒng)管理員日常維護(hù)管理。3.4. 技術(shù)實(shí)現(xiàn)方案通過應(yīng)用系統(tǒng)與門戶集成，實(shí)現(xiàn)單點(diǎn)登錄功能。門戶可以集成B/S架構(gòu)和C/S架構(gòu)的兩大類系統(tǒng)，門戶統(tǒng)一通過參數(shù)調(diào)用訪問應(yīng)用系統(tǒng)。在總體架構(gòu)中主要有三大塊系統(tǒng)、CA、門戶、應(yīng)用系統(tǒng)，為了提高系統(tǒng)性能和可靠性，對(duì)CA和門戶系統(tǒng)采取雙機(jī)負(fù)載均衡，并且當(dāng)CA或者門戶服務(wù)不正常時(shí)，業(yè)務(wù)人員仍然可以通過原有的用戶名/密碼方式訪問應(yīng)用系統(tǒng)來繼續(xù)業(yè)務(wù)操作。3.4.1. 門戶驗(yàn)證服務(wù)過程圖3-7 門戶驗(yàn)證服務(wù)過程圖門戶驗(yàn)證服務(wù)首先根據(jù)AID參數(shù)得知是由哪一個(gè)應(yīng)用系統(tǒng)發(fā)起的調(diào)用，進(jìn)而查看統(tǒng)一用戶管理系統(tǒng)中該應(yīng)用系統(tǒng)的“CA安全認(rèn)證功能”配置開關(guān)狀態(tài)，如果開關(guān)處于關(guān)閉狀態(tài)，則表示是人為關(guān)閉了該應(yīng)用系統(tǒng)的CA安全認(rèn)證功能，接口返回值為1，接下來需要改由應(yīng)用系統(tǒng)自行通過原有的用戶名/密碼方式進(jìn)行驗(yàn)證；如果開關(guān)處于開啟狀態(tài)，則調(diào)用一次CA訪問接口，測(cè)試CA服務(wù)是否工作正常，如果返回異常，則接口返回值為1，表示需要改由應(yīng)用系統(tǒng)自行通過原有的用戶名/密碼方式進(jìn)行驗(yàn)證；如果沒有返回異常，則根據(jù)SID值從門戶SESSION池中查找是否有匹配的SESSION，如果能夠查找到，證明SID值有效，再獲取訪問應(yīng)用系統(tǒng)的源IP地址，與創(chuàng)建SESSION的IP進(jìn)行對(duì)比，如果相同，則接口返回值為2，表示驗(yàn)證通過，可以直接進(jìn)入應(yīng)用系統(tǒng)操作界面；如果找不到對(duì)應(yīng)的SESSION或者IP地址，則接口返回值為0，表示驗(yàn)證失敗。需要注意的是，當(dāng)門戶驗(yàn)證服務(wù)返回值為0時(shí)，如果是從門戶訪問應(yīng)用系統(tǒng)，則代表用戶身份非法，不允許進(jìn)入操作界面，要求用戶重新嘗試從門戶登錄；而如果是直接訪問應(yīng)用系統(tǒng)，則代表當(dāng)前門戶和CA服務(wù)工作正常，需要提示用戶必須從門戶系統(tǒng)登錄。應(yīng)用系統(tǒng)調(diào)用門戶驗(yàn)證服務(wù)后如果返回異常，則需要由應(yīng)用系統(tǒng)自行通過原有的用戶名/密碼方式進(jìn)行登錄驗(yàn)證。3.4.2. 從門戶訪問應(yīng)用系統(tǒng)的登錄過程圖3-8從門戶訪問應(yīng)用系統(tǒng)的登錄過程說明1、 業(yè)務(wù)人員使用CA數(shù)字證書登錄門戶。2、 門戶服務(wù)器為用戶產(chǎn)生一個(gè)SESSION，里面包含用戶信息、訪問計(jì)算機(jī)的IP、SID等等信息。其中SID是基于UID，根據(jù)機(jī)器的MAC地址，納秒級(jí)時(shí)間，芯片ID碼及許多可能數(shù)字組成。3、 用戶點(diǎn)擊門戶上的應(yīng)用系統(tǒng)菜單，門戶傳遞portalstep（此時(shí)為1）、標(biāo)準(zhǔn)用戶編號(hào)UID、門戶會(huì)話編號(hào)SID、業(yè)務(wù)系統(tǒng)編號(hào)AID、業(yè)務(wù)系統(tǒng)用戶編碼BUSUSERID以及約定的其他參數(shù)啟動(dòng)應(yīng)用系統(tǒng)。4、 應(yīng)用系統(tǒng)啟動(dòng)時(shí)調(diào)用門戶驗(yàn)證服務(wù)，根據(jù)返回結(jié)果分為三種情況：情況一：返回值為2，表示驗(yàn)證通過，可直接進(jìn)入應(yīng)用系統(tǒng)操作界面；情況二：返回值為0，表示驗(yàn)證失敗，用戶身份非法，不允許登錄應(yīng)用系統(tǒng)；情況三：返回值為1，表示CA系統(tǒng)工作不正常，此時(shí)改由傳統(tǒng)的用戶名/密碼方式進(jìn)行登錄驗(yàn)證，驗(yàn)證通過后可登錄應(yīng)用系統(tǒng)。如果調(diào)用門戶驗(yàn)證服務(wù)返回異常, 則改由傳統(tǒng)的用戶名/密碼方式進(jìn)行登錄驗(yàn)證。3.4.3. 直接訪問應(yīng)用系統(tǒng)的登錄過程圖3-9直接訪問應(yīng)用系統(tǒng)的登錄過程說明當(dāng)用戶直接訪問應(yīng)用系統(tǒng)時(shí)，應(yīng)用系統(tǒng)打開登錄界面，用戶輸入用戶名（即UID）、密碼等信息點(diǎn)擊確定后，應(yīng)用系統(tǒng)將SID設(shè)置為任意一個(gè)初始值（例如0123456789），然后訪問門戶驗(yàn)證服務(wù)，根據(jù)驗(yàn)證返回結(jié)果可分兩種情況：情況一：返回值為0，表示CA和門戶系統(tǒng)都工作正常，應(yīng)用系統(tǒng)應(yīng)產(chǎn)生提示信息，要求用戶必須通過門戶才能登錄應(yīng)用系統(tǒng)。情況二：返回值為1，表示CA服務(wù)不正常，此時(shí)改由使用用戶輸入的用戶名/密碼進(jìn)行傳統(tǒng)方式的驗(yàn)證，驗(yàn)證通過進(jìn)入應(yīng)用系統(tǒng)。如果門戶驗(yàn)證服務(wù)返回異常, 則改由使用用戶輸入的的用戶名/密碼方式進(jìn)行登錄驗(yàn)證。4. 接口標(biāo)準(zhǔn)4.1. 門戶驗(yàn)證接口接口名稱判斷用戶是否登錄門戶系統(tǒng)的接口功能簡(jiǎn)述判斷用戶是否登錄門戶系統(tǒng)傳輸協(xié)議http/hessian/Burlap/Web service等遠(yuǎn)程調(diào)用協(xié)議訪問URL如：http:/域名：端口/portal/servlet?portalstep=1&UID=100&SID=&AID=輸入定義#名稱類型說明1portalstepString從門戶登錄時(shí)設(shè)置為1，否則為02UIDString應(yīng)用系統(tǒng)識(shí)別的用戶ID3SIDString用戶登錄門戶后門戶系統(tǒng)產(chǎn)生的會(huì)話編號(hào)4AIDString 應(yīng)用系統(tǒng)的唯一標(biāo)識(shí),用于得知是哪一個(gè)應(yīng)用系統(tǒng)調(diào)用了本驗(yàn)證接口輸出定義當(dāng)portalstep=1 時(shí)（從門戶登錄）：返回0：驗(yàn)證不通過（用戶身份非法，不允許進(jìn)入應(yīng)用系統(tǒng)）返回1：CA服務(wù)不正常（也可能是當(dāng)前人為地對(duì)該應(yīng)用系統(tǒng)關(guān)閉了CA安全認(rèn)證功能），需要下一步由應(yīng)用系統(tǒng)自行通過原有的用戶名/密碼方式進(jìn)行驗(yàn)證返回2：驗(yàn)證通過，允許登錄進(jìn)入應(yīng)用系統(tǒng)當(dāng)portalstep=0 時(shí)（應(yīng)用系統(tǒng)直接登錄）： 返回0：驗(yàn)證不通過（門戶和CA服務(wù)工作正常，提示要求用戶必須從門戶系統(tǒng)登錄）返回1：CA服務(wù)不正常（也可能是當(dāng)前人為地對(duì)該應(yīng)用系統(tǒng)關(guān)閉了CA安全認(rèn)證功能），需要下一步由應(yīng)用系統(tǒng)自行通過原有的用戶名/密碼方式進(jìn)行驗(yàn)證若返回異常，說明門戶服務(wù)不可用, 需要下一步由應(yīng)用系統(tǒng)自行通過原有的用戶名/密碼方式進(jìn)行驗(yàn)證目前提供web service和Burlap協(xié)議兩種方式訪問接口：web service：http:/域名:端口/services/PortalUser?wsdlBurlap：http:/IP:PORT/ remoting/service/portalverificationservice方法名：bussysVerification（String portalstep,String UID,String SID，String AID）4.2. BS系統(tǒng)實(shí)現(xiàn)接口接口名稱BS應(yīng)用系統(tǒng)用戶登錄接口功能簡(jiǎn)述門戶系統(tǒng)在頁(yè)面上提供應(yīng)用系統(tǒng)的登錄鏈接。用戶在門戶登錄后可點(diǎn)擊鏈接，直接進(jìn)入應(yīng)用系統(tǒng)傳輸協(xié)議HTTP、Burlap、webservice訪問URL如：http:/ 域名：端口/web/servlet? Portalstep=1&UID=100& SID=輸入定義#名稱類型說明1UIDString登錄用戶的唯一標(biāo)識(shí)2SIDString用戶登錄門戶后門戶系統(tǒng)產(chǎn)生的會(huì)話編號(hào)3PortalstepString從門戶訪問應(yīng)用系統(tǒng)時(shí)設(shè)置為14其他參數(shù)視應(yīng)用系統(tǒng)而定輸出定義用戶點(diǎn)擊門戶上的應(yīng)用系統(tǒng)鏈接后，應(yīng)用系統(tǒng)判斷登錄有效后，返回用戶在應(yīng)用系統(tǒng)的操作界面。4.3. CS系統(tǒng)實(shí)現(xiàn)接口接口名稱CS應(yīng)用系統(tǒng)用戶登錄接口功能簡(jiǎn)述門戶系統(tǒng)在頁(yè)面上通過Applet客戶端小程序或者控件調(diào)用本地財(cái)政應(yīng)用系統(tǒng)的可執(zhí)行文件xxx.exe傳輸協(xié)議本地調(diào)用訪問URL如： c:國(guó)庫(kù)集中支付xxx.exe Portalstep=1 UID=100 SID=輸入定義#名稱類型說明1UIDString登錄用戶的唯一標(biāo)識(shí)2SIDString用戶登錄門戶后門戶系統(tǒng)產(chǎn)生的會(huì)話編號(hào)3PortalstepString從門戶訪問應(yīng)用系統(tǒng)時(shí)設(shè)置為14其他參數(shù)視應(yīng)用系統(tǒng)而定輸出定義用戶點(diǎn)擊門戶上的應(yīng)用系統(tǒng)鏈接后，應(yīng)用系統(tǒng)判斷登錄有效后，返回用戶在應(yīng)用系統(tǒng)的操作界面。4.4. 應(yīng)用系統(tǒng)改造實(shí)例和說明Map loginModel = new HashMap(); String sid = 0123456789; /應(yīng)用系統(tǒng)Session id String uid = ; /用戶的定義 String portalstep=0; /判斷是否從門戶登錄 String aid=2; / aid 應(yīng)用系統(tǒng)唯一識(shí)別號(hào)， String value=0; /遠(yuǎn)程接口的返回值 /判斷步驟開始 /1:判斷應(yīng)用系統(tǒng)是門戶登錄還是直接登錄， String portalstep1=request.getParameter(portalstep); if(portalstep1 != null & !.equals(portalstep1) portalstep=portalstep1; if (1.equals(portalstep) / 如果門戶登錄 取得SESSIONID sid = request.getParameter(SID).toString(); /門戶傳過來的Session id uid = request.getParameter(UID); /門戶傳過來的用戶 else /如果應(yīng)用系統(tǒng)登錄，sid=0123456789 uid = request.getParameter(j_username);/取應(yīng)用系統(tǒng)登錄名 try /2:調(diào)用門戶驗(yàn)證服務(wù) BurlapProxyFactory burlap = new BurlapProxyFactory(); PortalUser pu = (PortalUser) burlap.create(PortalUser.class,this.getPortalURL(); value = pu.bussysVerification(portalstep,uid,sid,aid); /調(diào)用遠(yuǎn)程接口 if(1.equals(value) / 返回1的情況 if(0.equals(portalstep) /應(yīng)用系統(tǒng)直接登錄 /表示CA服務(wù)不可用，直接通過原來原有用戶密碼訪問 return doLoginIn(request, response); else/從門戶登錄 /表示CA服務(wù)當(dāng)時(shí)不可用，說明用戶登錄以后CA才不可用的，直接通過原來原有用戶密碼訪問 . else if(2.equals(value)/返回2的情況 /驗(yàn)證通過，可以直接打開操作界面 . else if /返回0的情況 if(0.equals(portalstep) /應(yīng)用系統(tǒng)直接登錄 /提示，該系統(tǒng)需要通過CA安全認(rèn)證，請(qǐng)從門戶登錄 return doLoginIn(request, response); else/從門戶登錄 /不允許進(jìn)入操作界面，提示用戶身份非法，要求用戶重新從門戶登錄 . catch(Exception e) if(0.equals(portalstep) /Exception /系統(tǒng)驗(yàn)證用戶名/密碼,如果驗(yàn)證通過則進(jìn)入應(yīng)用操作界面 else/如果portalstep=1提示門戶信息已變化，請(qǐng)重新登錄門戶。. 5. 系統(tǒng)改造應(yīng)用系統(tǒng)改造視具體系統(tǒng)而定，如果應(yīng)用系統(tǒng)登錄參數(shù)有不確定性，則在用戶登錄之后，應(yīng)用系統(tǒng)應(yīng)該提供一個(gè)界面讓用戶選擇不能確定的條件，然后再進(jìn)入應(yīng)用系統(tǒng)操作界面。5.1. BS架構(gòu)應(yīng)用系統(tǒng)改造BS架構(gòu)的應(yīng)用系統(tǒng)，首先，應(yīng)用系統(tǒng)需要與門戶系統(tǒng)事先確定好傳輸?shù)膮?shù)名和定義，確定portalstep=1為門戶調(diào)用，U