西北農(nóng)林科技大學(xué)信息資源系統(tǒng)技術(shù)規(guī)范

1、西北農(nóng)林科技大學(xué)信息資源系統(tǒng)技術(shù)規(guī)范為了進(jìn)一步規(guī)范我校數(shù)字校園建設(shè)，保障信息資源共享和信息資源系統(tǒng)集成，根據(jù)西北農(nóng)林科技大學(xué)數(shù)字校園建設(shè)規(guī)劃，特制訂以下技術(shù)規(guī)范：1、 適用范圍：各職能部門改建、新建的信息管理系統(tǒng)、信息資源系統(tǒng)等；2、 系統(tǒng)規(guī)范：信息資源系統(tǒng)的服務(wù)端（Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器）能夠在Unix、Linux操作系統(tǒng)上運(yùn)行，支持Oracle數(shù)據(jù)庫(kù)；3、 架構(gòu)規(guī)范：信息資源系統(tǒng)應(yīng)采用B/S結(jié)構(gòu)的三層架構(gòu)，即Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，以方便用戶使用；4、 開發(fā)技術(shù)規(guī)范：應(yīng)采用JavaEE（J2EE）標(biāo)準(zhǔn)、組件技術(shù)及在數(shù)據(jù)交換上對(duì)XML的支持；5、 數(shù)據(jù)交換規(guī)范

2、：當(dāng)業(yè)務(wù)系統(tǒng)需要與數(shù)字校園平臺(tái)的公共數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)交換時(shí)，要按照學(xué)校制定的數(shù)據(jù)同步方案執(zhí)行（附1）；6、 信息編碼規(guī)范：信息資源系統(tǒng)所用編碼應(yīng)符合教育管理信息化標(biāo)準(zhǔn)（第一部分：學(xué)校管理信息標(biāo)準(zhǔn)）(2003.9)，教育部遠(yuǎn)程教育標(biāo)準(zhǔn)（DLTS）和西北農(nóng)林科技大學(xué)自編編碼規(guī)范；7、 統(tǒng)一身份認(rèn)證集成規(guī)范：B/S架構(gòu)的業(yè)務(wù)系統(tǒng)與數(shù)字校園進(jìn)行SSO集成時(shí)，要按照學(xué)校制定的SSO集成方案執(zhí)行（附2），建議盡量采用集成方案一；8、 擴(kuò)展性規(guī)范：信息資源系統(tǒng)須具有良好的擴(kuò)展性。業(yè)務(wù)系統(tǒng)建設(shè)的長(zhǎng)期性和內(nèi)容的廣泛性決定了系統(tǒng)在構(gòu)建和使用過程中，必然面臨著各類擴(kuò)展性需求，例如業(yè)務(wù)規(guī)模的擴(kuò)展、業(yè)務(wù)類型的擴(kuò)展等。因此

3、要求模塊間應(yīng)相對(duì)獨(dú)立，接口清晰，內(nèi)部的業(yè)務(wù)流程升級(jí)和改造與其它模塊無關(guān)，并為將來學(xué)校二次開發(fā)提供開發(fā)API等；9、 本規(guī)范未盡事宜聯(lián)系校網(wǎng)絡(luò)信息中心；本規(guī)范最終解釋權(quán)歸校網(wǎng)絡(luò)信息中心。二九年四月二十四日附1：數(shù)據(jù)同步方案第一章 數(shù)據(jù)同步流程數(shù)據(jù)同步是指第三方業(yè)務(wù)系統(tǒng)與數(shù)字校園公共平臺(tái)之間進(jìn)行的周期性數(shù)據(jù)交互，包括數(shù)據(jù)從業(yè)務(wù)系統(tǒng)到公共平臺(tái)的同步以及數(shù)據(jù)從公共平臺(tái)到業(yè)務(wù)系統(tǒng)的同步兩個(gè)流程。一、 從業(yè)務(wù)系統(tǒng)到數(shù)字校園平臺(tái)的同步為了實(shí)現(xiàn)數(shù)據(jù)的準(zhǔn)確性同步，需要第三方開發(fā)商在其業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)中建立中間表，該中間表是在數(shù)據(jù)同步過程中數(shù)字化校園平臺(tái)同步工具的操作表，如圖11所示。故需第三方開發(fā)商對(duì)該表賦予一

4、定的操作權(quán)限。圖11該中間表的表結(jié)構(gòu)除了具有原業(yè)務(wù)數(shù)據(jù)表中需同步的字段（字段名、類型和長(zhǎng)度必須相同）外，還須具有標(biāo)識(shí)字段。該字段是用來存儲(chǔ)每條記錄的增加、刪除與修改等操作方式信息。對(duì)于需同步的原數(shù)據(jù)表，可在該表上建立一個(gè)觸發(fā)器，在該表中數(shù)據(jù)發(fā)生變化時(shí)，觸發(fā)器應(yīng)該及時(shí)地將發(fā)生變化的數(shù)據(jù)插入到中間表中，并把操作方式記錄到相應(yīng)的標(biāo)識(shí)字段中，以供數(shù)字化校園平臺(tái)讀取或操作。數(shù)字化校園平臺(tái)也會(huì)在其數(shù)據(jù)庫(kù)中建立相應(yīng)的中間表，其表結(jié)構(gòu)與第三方業(yè)務(wù)系統(tǒng)提供的中間表表結(jié)構(gòu)相同，并周期性的將業(yè)務(wù)系統(tǒng)中間表的數(shù)據(jù)同步到該中間表中。通過數(shù)據(jù)清洗將數(shù)據(jù)及時(shí)的更新公共數(shù)據(jù)庫(kù)中的目標(biāo)表中，進(jìn)而實(shí)現(xiàn)了第三方業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)可持

5、續(xù)地與數(shù)字化校園平臺(tái)之間的同步。二、 從數(shù)字校園平臺(tái)到業(yè)務(wù)系統(tǒng)的同步為了配合第三方業(yè)務(wù)系統(tǒng)從數(shù)字化校園平臺(tái)同步相關(guān)數(shù)據(jù)的需求，數(shù)字化校園平臺(tái)可以根據(jù)其需求為其提供相關(guān)數(shù)據(jù)字段內(nèi)容的中間表，并可以在該表中建立某些標(biāo)識(shí)字段。該中間表作為一個(gè)第三方業(yè)務(wù)系統(tǒng)與數(shù)字化校園平臺(tái)數(shù)據(jù)同步的接口，如圖12所示。圖12數(shù)字化校園平臺(tái)會(huì)及時(shí)地將數(shù)據(jù)的更新情況反映到該表中。同時(shí)可以為第三方開發(fā)商提供對(duì)該中間表進(jìn)行操作的一定權(quán)限，以供其實(shí)現(xiàn)從平臺(tái)公共數(shù)據(jù)表中同步數(shù)據(jù)的需求。第二章 需要第三方廠商做的工作一、 從業(yè)務(wù)系統(tǒng)到數(shù)字校園平臺(tái)在數(shù)據(jù)從第三方業(yè)務(wù)系統(tǒng)到數(shù)字化校園平臺(tái)的同步過程中，數(shù)字化校園平臺(tái)需要第三方開發(fā)商在其

6、業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)中建立一張中間表，并給予對(duì)該表具有一定的操作權(quán)限。在該表中數(shù)據(jù)發(fā)生變化時(shí)，觸發(fā)器應(yīng)該及時(shí)地將發(fā)生變化的數(shù)據(jù)插入到中間表中，并把操作方式記錄到相應(yīng)的標(biāo)識(shí)字段中。如圖21虛線部分所示。圖21二、 從數(shù)字校園平臺(tái)到業(yè)務(wù)系統(tǒng)在數(shù)據(jù)從數(shù)字化校園平臺(tái)到第三方業(yè)務(wù)系統(tǒng)同步的過程中，數(shù)字化校園平臺(tái)只會(huì)為第三方業(yè)務(wù)系統(tǒng)提供相應(yīng)的中間表及一定的對(duì)表操作權(quán)限作為接口供其操作，如圖22虛線部分所示。圖22第三章 數(shù)據(jù)同步數(shù)字校園平臺(tái)做的工作一、 從業(yè)務(wù)系統(tǒng)到數(shù)字校園平臺(tái)在數(shù)據(jù)從第三方業(yè)務(wù)系統(tǒng)到數(shù)字化校園平臺(tái)的同步過程中，數(shù)字化校園平臺(tái)會(huì)從第三方業(yè)務(wù)系統(tǒng)提供的中間表中讀取數(shù)據(jù)到平臺(tái)下的中間表中，并對(duì)其進(jìn)

7、行數(shù)據(jù)清洗，將清洗后的結(jié)果數(shù)據(jù)導(dǎo)入到公共數(shù)據(jù)庫(kù)中，如圖31虛線部分所示。圖31二、 從數(shù)字校園平臺(tái)到業(yè)務(wù)系統(tǒng)在數(shù)據(jù)從數(shù)字化校園平臺(tái)到第三方業(yè)務(wù)系統(tǒng)同步的過程中，數(shù)字化校園平臺(tái)會(huì)為第三方業(yè)務(wù)系統(tǒng)提供相應(yīng)的中間表作為接口供其操作，并把數(shù)據(jù)的更新情況及時(shí)的反映到中間表中以實(shí)現(xiàn)數(shù)據(jù)同步，如圖32虛線部分所示。附2：數(shù)字校園平臺(tái)統(tǒng)一身份認(rèn)證（SSO）解決方案方案1、采用信息平臺(tái)提供的統(tǒng)一身份認(rèn)證系統(tǒng)實(shí)現(xiàn)SSO集成前提：各業(yè)務(wù)系統(tǒng)使用全校統(tǒng)一的教職工號(hào)或?qū)W號(hào)來做為系統(tǒng)的登錄賬號(hào)。實(shí)現(xiàn)：一、CAS客戶端的主要作用1.以filter的形式，對(duì)后方應(yīng)用系統(tǒng)資源進(jìn)行過濾保護(hù)。2.獲得CAS Server頒發(fā)的Se

8、rviceTicket，并憑此ST從CAS Server上取得登錄用戶信息。3.為第三方應(yīng)用提供開發(fā)接口，使得受保護(hù)的應(yīng)用能夠通過CAS認(rèn)證進(jìn)行正確的登錄。二、第三方主要完成的工作1. 第三方系統(tǒng)開發(fā)商需要完成以下兩個(gè)主要工作：1）在自己的應(yīng)用中配置CAS客戶端。2）取消此應(yīng)用原先的認(rèn)證登陸程序（不是必須的），改為根據(jù)CAS認(rèn)證信息處理登陸。2. 在應(yīng)用中配置CAS客戶端需要以下步驟：a）首先需要東軟公司封裝的CAS Client JAR包給第三方系統(tǒng)開發(fā)商。b）在應(yīng)用的web.xml中加入 CAS Filter相關(guān)的filter配置。配置信息如下：其中，filter-class屬性需要指定項(xiàng)

9、目中使用的CAS過濾器類。上面的配置中指定的是默認(rèn)的CAS過濾器類。第三方系統(tǒng)可以根據(jù)處理登陸的操作來擴(kuò)展此類并覆蓋相關(guān)方法。如某應(yīng)用在這里配置了自己擴(kuò)展的類：而url-pattern屬性中需要寫明受保護(hù)資源的URI。一般情況下都是“/*”，它表示此應(yīng)用中的所有資源均需要受到保護(hù)。 c）配置casFilterConfig.xml。這個(gè)文件需要放在對(duì)方應(yīng)用的/WEB-INF/classes下。<loginServer>指的是CAS Server的登陸URL；<validateServer>指的是CAS Server的驗(yàn)證URL（需要這個(gè)配置來告訴CAS Client獲取S

10、ervice Ticket后發(fā)送給這個(gè)地址進(jìn)行驗(yàn)證從而取得用戶信息）。對(duì)于目前公司的CAS Server版本來說這兩項(xiàng)是相同的。<this>指的是當(dāng)前要集成的第三方應(yīng)用的服務(wù)器和端口號(hào)，服務(wù)器可以是機(jī)器名、域名和ip等，最好使用域名。端口不指定的話默認(rèn)是80。<notForceAuthUrls>下的<url-pattern>指定了不需要CAS Filter進(jìn)行過濾的資源。CAS 提供了一個(gè)CASFilterRequestWrapper 類，該類繼承自HttpServletRequestWrapper，主要是重寫了 getRemoteUser() 和getUs

11、erPrincipal ()方法，只要配置<wrapRequest></wrapRequest>的時(shí)候?yàn)槠湓O(shè)置為 true，就可以通過其getRemoteUser（） 方法來獲取登錄用戶名：CASFilterRequestWrapper  reqWrapper=new CASFilterRequestWrapper(request);out.println("The logon user:" + reqWrapper.getRemoteUser();還可以通過其getUserPrincipal()可以得到包含登錄用戶名的Principal對(duì)

12、象：CASFilterRequestWrapper  reqWrapper=new CASFilterRequestWrapper(request);out.println("The logon user:" + reqWrapper. getUserPrincipal ().getName();3. 改為根據(jù)CAS認(rèn)證信息處理登陸第三方j(luò)2ee應(yīng)用可能都會(huì)有特殊的判斷用戶是否已經(jīng)登錄的邏輯以及特殊的存儲(chǔ)在Session中的用戶登錄信息。因此要完成第二個(gè)步驟，第三方j(luò)2ee應(yīng)用可以通過擴(kuò)展CAS Client端提供的cation.tp

13、.sso.client.filter.DefaultCASFilter這個(gè)類，并覆蓋其中的如下四個(gè)方法來實(shí)現(xiàn)在過濾的過程中處理業(yè)務(wù)系統(tǒng)登陸操作，并且在web.xml中的< filter ><filter-class>屬性中寫入自己擴(kuò)展類的類名：a）isNeedCASLoginOrValidate這個(gè)方法判斷請(qǐng)求的用戶是否需要通過CAS登陸和驗(yàn)證。返回true則需要；返回false則不需要并直接進(jìn)入業(yè)務(wù)系統(tǒng)處理登陸后的操作。此方法需要進(jìn)行如下判斷：判斷當(dāng)前獲取的CASReceipt對(duì)象是否有效（代表是否是已經(jīng)通過CAS Server認(rèn)證的用戶），并且對(duì)不需要filter過

14、濾的資源進(jìn)行特殊處理（在casFilterConfig.xml中<notForceAuthUrls>下的<url-pattern>中記錄的資源會(huì)自動(dòng)放行）。注意：第三方系統(tǒng)覆蓋此方法進(jìn)行特殊處理時(shí)必須要調(diào)用此方法進(jìn)行默認(rèn)的處理。如，某應(yīng)用中，覆蓋此方法的例子如下：b）isNeedRedirectToCAS當(dāng)isNeedCASLoginOrValidate方法返回true（代表用戶需要訪問受CAS Client保護(hù)的資源但用戶尚未經(jīng)過CAS Server認(rèn)證）的時(shí)候，正常情況下會(huì)直接轉(zhuǎn)向CAS Server的登陸地址。但如果第三方系統(tǒng)需要在CAS Client將用戶請(qǐng)求重

15、定向到CAS Server進(jìn)行登陸操作之前處理一些特殊邏輯判斷或處理的話，則在此方法中完成其操作。返回true則轉(zhuǎn)向，false則不轉(zhuǎn)向。DefaultCASFilter中的這個(gè)方法直接返回true，轉(zhuǎn)向CAS Server進(jìn)行登錄驗(yàn)證。c）isNeedValidate當(dāng)CAS Server對(duì)登陸用戶完成認(rèn)證后，會(huì)生成Service Ticket放在URL中返回給客戶端瀏覽器重新定向到CAS Client端。CAS Client端得到ST后，正常情況下會(huì)拿著這個(gè)ST去CAS Server端進(jìn)行確認(rèn)以得到用戶的身份信息。但如果第三方系統(tǒng)需要在CAS Client拿著ST去CAS Server進(jìn)行

16、確認(rèn)之前做一些特殊邏輯判斷或處理的話，則需要在此方法中完成其邏輯處理。返回true，則去CAS Server端確認(rèn)并得到用戶身份；返回false，則不去確認(rèn)，這樣也就得不到用戶的身份。DefaultCASFilter中的這個(gè)方法直接返回true，轉(zhuǎn)向CAS Server進(jìn)行確認(rèn)。d）userLoginAndValidated如果用戶已經(jīng)通過了CAS Server的登陸驗(yàn)證，那么在這個(gè)方法中處理登陸驗(yàn)證成功后的操作，比如將需要用到的用戶信息放入session等操作（第三方系統(tǒng)需將自己處理登陸驗(yàn)證后的邏輯寫在這個(gè)類中）。特別注意：第三方系統(tǒng)在其覆蓋方法中做處理之前一定要調(diào)用此方法進(jìn)行默認(rèn)處理：su

17、per.userLoginAndValidated(request, response, receipt);否則就會(huì)導(dǎo)致isNeedCASLoginOrValidate方法得到錯(cuò)誤的結(jié)果。如report3.0中，此方法的覆蓋例子如下：完成以上工作后，通過CAS實(shí)現(xiàn)第三方系統(tǒng)的SSO集成基本也就完成了。方案2、使用與第三方系統(tǒng)共享密鑰方式實(shí)現(xiàn)SSO這種方式實(shí)現(xiàn)SSO要雙方的系統(tǒng)在共享密鑰的設(shè)置（包括密鑰的生成、認(rèn)證過程中密鑰的交換方式等）達(dá)成一致。具體方案如下：Ø 前提條件：1）平臺(tái)用戶賬號(hào)和第三方業(yè)務(wù)系統(tǒng)賬號(hào)如果不同，需要在公共數(shù)據(jù)庫(kù)中建立對(duì)應(yīng)關(guān)系。Ø 實(shí)現(xiàn)條件：1）平臺(tái)服務(wù)器和第三方業(yè)務(wù)系統(tǒng)服務(wù)器的系統(tǒng)時(shí)間要保持一致。因?yàn)榈谌綐I(yè)務(wù)系統(tǒng)需要通過我們傳遞的時(shí)間戳參數(shù)t