2023年基于Web Services單點登錄系統(tǒng)的設(shè)計與實現(xiàn)

第基于WebServices單點登錄系統(tǒng)的設(shè)計與實現(xiàn)

信息化的進一步發(fā)展,使企業(yè)內(nèi)部應(yīng)用系統(tǒng)增多,用戶訪問這些系統(tǒng)時,需記住多個口令,多次登錄,降低了工作效率。針對這個問題,提出了一種基于WebServices的單點登錄系統(tǒng)。文中介紹了當(dāng)前幾種單點登錄技術(shù),利用WebServices技術(shù)實現(xiàn)了跨企業(yè)內(nèi)部應(yīng)用系統(tǒng)邊界的單點登錄。詳細分析了內(nèi)嵌于門戶系統(tǒng)的單點登錄機制.提供了安全的第三方接口,用戶只需登錄門戶系統(tǒng)即可訪問任何

維普資訊

62

CoueaNo906mptrEr.20

基于WeeisbSrc單點登錄系統(tǒng)的設(shè)計與實現(xiàn)★ve賈宗星。董麗麗

(西安建筑科技大學(xué)信息與控制工程學(xué)院，陜西西安705)105摘要：信息化的進一步發(fā)展，企業(yè)內(nèi)部應(yīng)用系統(tǒng)增多，使用戶訪問這些系統(tǒng)時，需記住多個口令，多次登錄，降低了工作效率。針對這個問題，提出了一種基于Weeve的單點登錄系統(tǒng)。文中介紹了當(dāng)前幾種單點登錄技術(shù)，利用WebSriscbSris術(shù)實現(xiàn)了跨企業(yè)內(nèi)部應(yīng)用系統(tǒng)邊界的單點登錄。細分析了內(nèi)嵌于門戶系統(tǒng)的單點登錄機制，ec技ve詳提供了安全的第三方接口，戶只需登錄門戶系統(tǒng)即可訪問任何一個授權(quán)應(yīng)用系統(tǒng)的實現(xiàn)原理與方法。用

關(guān)鍵詞：單點登錄；認證；Web服務(wù)；令牌

O引言多，部署這些應(yīng)用系統(tǒng)面臨雙重的安全挑戰(zhàn)：,首先必須保證只有合法的用戶才能訪問相應(yīng)的應(yīng)用資源；其次，實施安全保護措施時應(yīng)盡量避免增加用戶的負擔(dān)。因為隨著業(yè)務(wù)系統(tǒng)的增加，問不同的應(yīng)用系統(tǒng)采用不同的口令，訪導(dǎo)致每個用戶需要

子身份標識，用戶通過該電子身份標識去訪問其它應(yīng)用服務(wù)有一個中央用戶數(shù)據(jù)庫，易于對用戶數(shù)據(jù)進行管理和信息的維護。主要缺點是需要修改原有應(yīng)用，來適應(yīng)所采用的認證機制，而對于舊系統(tǒng)的改造，是項艱巨的工作。()基于代理的方案(gn_aeS2AetBsdSO)這是一種軟件實

從而實現(xiàn)單點登錄。BkrBsdSO方案的主要優(yōu)點是oeaeS_隨著信息化進一步發(fā)展，企業(yè)內(nèi)新增的應(yīng)用系統(tǒng)越來越器，

記住多個口令，用戶每訪問一個應(yīng)用資源都需要登錄一次，大現(xiàn)方式，被稱為“代理”的程序可以運行在客戶端或者服務(wù)器上，gn部大降低了工作效率。針對這個問題，本文在基于We服務(wù)的分作為用戶與應(yīng)用服務(wù)器之問的通信中轉(zhuǎn)站。若Aet署在客b它口令列表，自動替用戶完成登錄過布式環(huán)境中，利用AS.T技術(shù)設(shè)計實現(xiàn)了跨企業(yè)內(nèi)部應(yīng)用戶端，能裝載獲得用戶名/PNE系統(tǒng)邊界的單點登錄機制。該單點登錄機制內(nèi)嵌于門戶系統(tǒng)，

程，客戶端程序的認證負擔(dān)。若Aet減輕gn部署在服務(wù)器端，它就是服務(wù)

器的認證系統(tǒng)和客戶端認證方法之問的“”翻譯。當(dāng)軟件供應(yīng)商提供了大量的與原有應(yīng)用程序通信的aet,gn時

提供了安全的第三方接口，用于將后來開發(fā)的應(yīng)用系統(tǒng)注冊到門戶系統(tǒng)，用戶只需登錄門戶系統(tǒng)即可使用授權(quán)的其他應(yīng)用系統(tǒng)的功能。

AetadSO方案可使應(yīng)用遷移變得十分容易。gnbsSe缺點是需要針對每個應(yīng)用系統(tǒng)提供相對應(yīng)的代理插件，實施和維護相對復(fù)雜，不僅要考慮用戶的身份信息，還需增加各個代理本身的身份

1當(dāng)前幾種單點登錄技術(shù)所謂單點登錄(igino,SnlSg—n以下簡稱SO)就是指當(dāng)eS,

因此管理控制相對困難。用戶訪問多個需要進行認證的應(yīng)用系統(tǒng)時，只需要在初始進信息和設(shè)置各個代理軟件的權(quán)限，()基于網(wǎng)關(guān)的方案(twyBsdSO)在網(wǎng)絡(luò)入13Gaa_aeSe:1行一次登錄和身份認證，可以訪問其具有權(quán)限的任何系統(tǒng)，就處設(shè)置防火墻或?qū)Ｓ眉用芡ㄐ旁O(shè)備作為網(wǎng)關(guān)，而資源則被隔離而不需要再次登錄，后續(xù)系統(tǒng)會自動獲得用戶信息，從而識別首出用戶身份。單點登錄系統(tǒng)把原來分散的用戶管理集中起來，在受信網(wǎng)段內(nèi)。當(dāng)用戶需要訪問網(wǎng)關(guān)后面的應(yīng)用服務(wù)器時，

各系統(tǒng)依靠相互信賴的關(guān)系進行用戶身份的認證。由于用戶的信息是集中保存和管理的，管理員只需在一個統(tǒng)一的用戶信息數(shù)據(jù)庫中添加、刪除用戶賬號，不必在多個系統(tǒng)中分別設(shè)置用戶信息數(shù)據(jù)庫，從而提高了整個系統(tǒng)的安全性，也方便了系統(tǒng)管理。

先需要通過網(wǎng)關(guān)連接的用戶數(shù)據(jù)庫進行認證，認證通過后網(wǎng)關(guān)

自動將用戶身份傳遞到要訪問的目標應(yīng)用服務(wù)器進行認證，經(jīng)應(yīng)用服務(wù)器認證通過后，用戶通過網(wǎng)關(guān)對應(yīng)用系統(tǒng)進行后續(xù)的訪問。該方案對應(yīng)用系統(tǒng)基本不做任何改變，只要配置和網(wǎng)關(guān)相互認證的模塊即可，容易實現(xiàn)用戶對應(yīng)用系統(tǒng)的資料加密可

目前單點登錄技術(shù)主要分為以下幾類:(1)基于經(jīng)紀人的方案(rkrBsdSOBoeaeS)引入一個可_

傳輸，實施和維護相對簡單。缺點是對應(yīng)用系統(tǒng)的身份認證和訪問都需要經(jīng)過網(wǎng)關(guān)，大用戶量訪問時，率降低。如采用一個效網(wǎng)關(guān)，則該網(wǎng)關(guān)失效會導(dǎo)致整個系統(tǒng)的癱瘓，采用多個網(wǎng)關(guān)而

信的第三方作為經(jīng)紀人，如

集中式認證服務(wù)器。這種方案最突出的例子是Kreo認證系統(tǒng)。該方案由三部分組成：ersb支持認

時需考慮如何及時同步更新網(wǎng)關(guān)上的用戶信息數(shù)據(jù)庫的內(nèi)容，

證服務(wù)的客戶端、認證服務(wù)器、支持認證服務(wù)的應(yīng)用服務(wù)器。其使其保持一致。根據(jù)上述對各種單點登錄方案的分析，結(jié)合實際需求，本中，認證服務(wù)器扮演著經(jīng)紀人的角色，的認證都是由它來所有文提出了一種門戶系統(tǒng)單點登錄機制，它在門戶系統(tǒng)上提供了完成的。其工作流程是：所有的客戶機在訪問系統(tǒng)資源之前由企業(yè)以后開發(fā)的應(yīng)用系統(tǒng)(以下均稱應(yīng)用認證服務(wù)器進