基于WEB服務(wù)單點(diǎn)登錄設(shè)計(jì)與實(shí)現(xiàn)

1、年第期（總第期）沿海企業(yè)與科技，（）基于服務(wù)單點(diǎn)登錄設(shè)計(jì)與實(shí)現(xiàn)王慧（柳州職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息工程系，廣西柳州）【摘要】文章描述了當(dāng)前不同的軟件服務(wù)系統(tǒng)身份認(rèn)證管理、授權(quán)管理存在的問(wèn)題，同時(shí)介紹了單點(diǎn)登錄（）在這方面的解決方法與應(yīng)用；并且結(jié)合提供一個(gè)簡(jiǎn)單的單點(diǎn)登錄技術(shù)的實(shí)現(xiàn)，對(duì)其關(guān)鍵部分的開(kāi)發(fā)思想進(jìn)行了詳細(xì)說(shuō)明。【關(guān)鍵詞】；【中圖分類(lèi)號(hào)】【文獻(xiàn)標(biāo)識(shí)碼】【文章編號(hào)】（）隨著信息技術(shù)的迅猛發(fā)展，企業(yè)管理越來(lái)越離不開(kāi)信息技術(shù)的支持，在信息化建設(shè)的過(guò)程中企業(yè)會(huì)引入各種不同的應(yīng)用系統(tǒng)和信息管理系統(tǒng)和其他一些業(yè)務(wù)支撐平臺(tái)，如電子郵件系統(tǒng)、基于業(yè)務(wù)上的需要這些系統(tǒng)都、等等。需要對(duì)使用人員進(jìn)行身份認(rèn)證和權(quán)限管

2、理，以保證企業(yè)工作效率及資源安全，但由于這些不同的系統(tǒng)間存在著獨(dú)立的用戶(hù)認(rèn)證和權(quán)限管理機(jī)制，在這種情況下暴露出了以下問(wèn)題：首先，用戶(hù)帳戶(hù)信息分散在各個(gè)系統(tǒng)增加了應(yīng)用系統(tǒng)的管理和維護(hù)成本，而且不同系統(tǒng)間缺乏用戶(hù)數(shù)據(jù)同步造成嚴(yán)重的安全隱患。其次，用戶(hù)在各個(gè)系統(tǒng)中可能設(shè)置了不同的密碼，需要記憶縱多的密碼成為用戶(hù)的一個(gè)沉重的負(fù)擔(dān)。在這種情況下企業(yè)必須投入大量資源用于解決用戶(hù)遺忘密碼不但增加了費(fèi)用而且降低了效率，同時(shí)還要承受對(duì)帳戶(hù)信息保管不善造成的后果。一、系統(tǒng)描述本次研究的主要目的在于提出一個(gè)簡(jiǎn)單的基于的模型，以及在該模式下相互認(rèn)證的的服務(wù)架構(gòu)，因前述的相關(guān)問(wèn)題，接下來(lái)將說(shuō)明本次研究所提出系統(tǒng)架構(gòu)的概

3、念、系統(tǒng)流程及架構(gòu)。二、單點(diǎn)登錄分類(lèi)按照現(xiàn)在的單點(diǎn)登錄應(yīng)用情況，可劃分為三種單點(diǎn)登錄類(lèi)型：?jiǎn)吸c(diǎn)登錄、單點(diǎn)登錄和企業(yè)單點(diǎn)登錄。（一）單點(diǎn)登錄單點(diǎn)登錄是建立在（）服務(wù)上的。如果應(yīng)用程序建立在這種通用的安全系統(tǒng)之上，應(yīng)用程序便具有的功能。如微軟的服務(wù)器，每次登錄到域后，當(dāng)打開(kāi)，它能自動(dòng)登錄到郵件服務(wù)器上，而不需要再重新輸入密碼登錄。（二）單點(diǎn)登錄單點(diǎn)登錄是專(zhuān)門(mén)針對(duì)應(yīng)用程序的機(jī)制，使用一個(gè)公司的網(wǎng)絡(luò)應(yīng)用時(shí)每一次會(huì)話(huà)只需輸入一次帳戶(hù)和密碼，調(diào)用另外一個(gè)公司的應(yīng)用時(shí)，可以讓用戶(hù)在第二個(gè)公司的應(yīng)用上再次登錄。是在外部網(wǎng)絡(luò)上，兩個(gè)企業(yè)一商業(yè)合同的形式建立的安全關(guān)系，使得用戶(hù)從一個(gè)企業(yè)圖傳統(tǒng)的系統(tǒng)（）單點(diǎn)登錄技

4、術(shù)是一種認(rèn)證和授權(quán)機(jī)制，它允許注冊(cè)用戶(hù)只需要在任一系統(tǒng)上登錄一次，而后授權(quán)訪問(wèn)其他系統(tǒng)，無(wú)需再進(jìn)行登錄。利用技術(shù)可以集中身份認(rèn)證服務(wù)，用戶(hù)只需登錄一次就能夠任意訪問(wèn)企業(yè)內(nèi)的各種應(yīng)用服務(wù)和信息資源，而不需要多次輸入的認(rèn)證信息。登錄方式，減少了在不同系統(tǒng)中登錄耗費(fèi)的時(shí)間；避免了處理和保存多套系統(tǒng)用戶(hù)的認(rèn)證信息；減少了系統(tǒng)管理員管理用戶(hù)權(quán)限的時(shí)間，增加了管理的便利性，大大增加系統(tǒng)的安全性。登錄后，可以進(jìn)入另一個(gè)企業(yè)的網(wǎng)絡(luò)而不用再次提供登錄憑據(jù)。如的認(rèn)證。（三）企業(yè)單點(diǎn)登錄企業(yè)單點(diǎn)登錄是企業(yè)內(nèi)部環(huán)境用中間件集成多種驗(yàn)證機(jī)制實(shí)現(xiàn)多種系統(tǒng)來(lái)整體的解決方案。三、分布式的模塊化組件，執(zhí)行特是基于網(wǎng)絡(luò)的、定的任

5、務(wù)，遵守具體的技術(shù)規(guī)范，是自包含、自描述、模塊化的應(yīng)用，可以在網(wǎng)絡(luò)（通常為）中被描述、發(fā)布、查找以及通過(guò)來(lái)調(diào)用。是以的開(kāi)放標(biāo)準(zhǔn)為基礎(chǔ)，其最基本的是和。與相關(guān)的標(biāo)準(zhǔn)有：圖使用的系統(tǒng)（）：提供注冊(cè)與搜尋信息的一個(gè)標(biāo)準(zhǔn)。（）：描述一個(gè)【收稿日期】【作者簡(jiǎn)介】王慧（），女，廣西桂林人，柳州職業(yè)技術(shù)學(xué)院助教，研究方向：計(jì)算機(jī)應(yīng)用、 計(jì)算機(jī)網(wǎng)絡(luò)。的運(yùn)作方式，以及指示客戶(hù)端與它可能的互動(dòng)方式。（）：在網(wǎng)上交換結(jié)構(gòu)化和型別信息的一種通訊協(xié)議。由于是跨平臺(tái)的，所以十分適用于實(shí)現(xiàn)的服務(wù)；在的開(kāi)發(fā)架構(gòu)之下，任何系統(tǒng)都可以調(diào)用本平臺(tái)的服務(wù)經(jīng)行身份管理和認(rèn)證管理。四、系統(tǒng)架構(gòu)在本系統(tǒng)架構(gòu)中有四個(gè)重要角色，認(rèn)證授權(quán)服務(wù)器

6、、服務(wù)器、應(yīng)用程序、用戶(hù)。認(rèn)證授權(quán)管理服務(wù)器是一臺(tái)專(zhuān)門(mén)負(fù)責(zé)用戶(hù)信息管理、授權(quán)發(fā)布認(rèn)證票據(jù)、及身份驗(yàn)證的數(shù)據(jù)庫(kù)服務(wù)器，該服務(wù)器上存放著用戶(hù)基本信息、授權(quán)記錄、及用戶(hù)在登錄應(yīng)用系統(tǒng)時(shí)產(chǎn)生的身份驗(yàn)證票據(jù)。是一個(gè)面向用戶(hù)和應(yīng)用程序的服務(wù)接口，提供系統(tǒng)的對(duì)外接口。系統(tǒng)的服務(wù)通過(guò)發(fā)布在網(wǎng)絡(luò)上，各種應(yīng)用程序可通過(guò)協(xié)議調(diào)用這些服務(wù)。服務(wù)器在本架構(gòu)下負(fù)責(zé)與認(rèn)證授權(quán)服務(wù)器進(jìn)？溝通與傳遞信息，是用戶(hù)與認(rèn)證授權(quán)服務(wù)器和應(yīng)用程序與認(rèn)證授權(quán)服務(wù)器之間的橋梁。應(yīng)用程序，是向用戶(hù)提供最終服務(wù)的軟件系統(tǒng)。用戶(hù)，即一般的使用者，是應(yīng)用系統(tǒng)的最終用戶(hù)。圖五、系統(tǒng)流程用戶(hù)需要訪問(wèn)某個(gè)應(yīng)用系統(tǒng)向服務(wù)器提出身份認(rèn)證請(qǐng)求。服務(wù)器響應(yīng)用戶(hù)的

7、請(qǐng)求，并把用戶(hù)的基本信息提交到認(rèn)證授權(quán)服務(wù)器。認(rèn)證授權(quán)服務(wù)器確認(rèn)用戶(hù)信息后返回一條用戶(hù)合法的登錄票據(jù)并記錄該票據(jù)信息。為保證系統(tǒng)的安全性每個(gè)用戶(hù)的票據(jù)只在其當(dāng)次會(huì)話(huà)過(guò)程中有效，離開(kāi)其當(dāng)次會(huì)話(huà)，票據(jù)即被視作無(wú)效。服務(wù)器接收認(rèn)證結(jié)果，并把該結(jié)果返回給用戶(hù)。用戶(hù)接收到登錄票據(jù)后便向把該票據(jù)發(fā)到應(yīng)用系統(tǒng)請(qǐng)求服務(wù)。在不同的系統(tǒng)切換過(guò)程中，應(yīng)用系統(tǒng)會(huì)向服務(wù)器申請(qǐng)用戶(hù)當(dāng)前票據(jù)是否合法。服務(wù)器會(huì)將該票據(jù)返回到認(rèn)證授權(quán)服務(wù)器予以確認(rèn)。認(rèn)證授權(quán)服務(wù)器將給票據(jù)與原來(lái)登錄的票據(jù)對(duì)比，并返回結(jié)果。用戶(hù)登錄到其有權(quán)可以使用的應(yīng)用系統(tǒng)，使用其提供的服務(wù)。六、實(shí)現(xiàn)針對(duì)本系統(tǒng)的基本情況，由于微軟的對(duì)有較好的支持，我們采用為開(kāi)發(fā)

8、平臺(tái)。有三大部分?jǐn)?shù)據(jù)訪問(wèn)控制、業(yè)務(wù)邏輯控制和服務(wù)接口。（一）核心的業(yè)務(wù)邏輯控制類(lèi)信息。用戶(hù)認(rèn)證管理類(lèi)，通過(guò)對(duì)用戶(hù)的身份認(rèn)證的具體邏輯控制實(shí)現(xiàn)。用戶(hù)管理類(lèi)，統(tǒng)一用戶(hù)管理接口，提供用戶(hù)信息管理和密碼管理等服務(wù)。系統(tǒng)用戶(hù)角色管理，角色是具有相同權(quán)限用戶(hù)的組是權(quán)限分配的單位與載體。權(quán)限不會(huì)直接分配給特定的用戶(hù)，用戶(hù)要擁有對(duì)某種資源的權(quán)限，必須通過(guò)角色去關(guān)聯(lián)。一個(gè)用戶(hù)可以屬于多個(gè)角色，一個(gè)角色可以包括多個(gè)用戶(hù)。用戶(hù)登錄票據(jù)類(lèi)，票據(jù)是用戶(hù)身份的唯一標(biāo)志，同時(shí)包括了用戶(hù)的系統(tǒng)授權(quán)信息。該票據(jù)在不同的系統(tǒng)中傳輸，用于用戶(hù)的身份識(shí)別。管理應(yīng)用系統(tǒng)記錄信息。該類(lèi)登記了現(xiàn)有的軟件服務(wù)系統(tǒng)信息，用于對(duì)軟件服務(wù)系統(tǒng)的管理。對(duì)用戶(hù)授權(quán)管理。權(quán)限是綁定在特定的資源實(shí)例上的，即權(quán)限是角色與的軟件服務(wù)系統(tǒng)的關(guān)聯(lián)。（二）設(shè)計(jì)平臺(tái)對(duì)的構(gòu)建和使用有很好的支持。與其它開(kāi)發(fā)平臺(tái)不同，使用平臺(tái)，不需要其他的工具或者就可以完成的開(kāi)發(fā)。本身就全面支持，包括服務(wù)器端的請(qǐng)求處理器和對(duì)客戶(hù)端發(fā)送和接受消息的支持。，是系統(tǒng)管理的接口，提供對(duì)系統(tǒng)用戶(hù)管理、角色管理、應(yīng)用系統(tǒng)管理和授權(quán)管理。應(yīng)用程序可以通過(guò)該接口訪問(wèn)到系統(tǒng)管理的信息。，提供對(duì)認(rèn)證、審核和權(quán)限訪問(wèn)控制的業(yè)務(wù)接口，應(yīng)用程序可以調(diào)用戶(hù)該服務(wù)驗(yàn)證用戶(hù)的身份和權(quán)限，但到單點(diǎn)登錄的目的。圖系統(tǒng)核心類(lèi)圖七、結(jié)語(yǔ)單點(diǎn)登錄統(tǒng)一了登錄用戶(hù)認(rèn)證信息訪問(wèn)標(biāo)準(zhǔn)，減少了在不同