【技術(shù)應(yīng)用】萼于ＪＡ一型罩塹二墜鎏堊臺(tái)型和實(shí)現(xiàn)基孑ＪＡ—ＳＩＧＣＡＳ統(tǒng)一認(rèn)證亞臺(tái)的＂Ｌ又ｔ３計(jì)和實(shí)壩口蔡永州吳敏摘要：在教育、政府、企事業(yè)等大型機(jī)構(gòu)中．存在系統(tǒng)多、管理分散的問(wèn)題。單點(diǎn)登錄（ＳＳＯ）是

【技術(shù)應(yīng)用】萼于ＪＡ一型罩塹二墜鎏堊臺(tái)型和實(shí)現(xiàn)

基孑ＪＡ—ＳＩＧＣＡＳ

統(tǒng)一認(rèn)證亞臺(tái)的＂Ｌ又ｔ３計(jì)和實(shí)壩

口蔡永州吳敏

摘要：在教育、政府、企事業(yè)等大型機(jī)構(gòu)中．存在系統(tǒng)多、管理分散的問(wèn)題。單點(diǎn)登錄（ＳＳＯ）是解決大型機(jī)構(gòu)內(nèi)多個(gè)應(yīng)用系統(tǒng)統(tǒng)一用戶身份認(rèn)證的有效技術(shù)。ＪＡ—ＳＩＣＣＡＳ使用Ｊａｖａ實(shí)現(xiàn)，是用于Ｗｅｂ的ＳＳＯ協(xié)議。為了實(shí)現(xiàn)多網(wǎng)站統(tǒng)一認(rèn)證，分析單點(diǎn)登錄服務(wù)軟件ＪＡ—

ＳＩＧ

ＣＡＳ和ＣＡＳ認(rèn)證過(guò)程。并結(jié)合平臺(tái)功能需求和安全性考慮。設(shè)計(jì)和實(shí)現(xiàn)基于ＪＡ—ＳＩＧ

ＣＡＳ的統(tǒng)一認(rèn)證平臺(tái)，并針對(duì)應(yīng)用系統(tǒng)給出相應(yīng)的集成方案。

關(guān)鍵詞：ＣＡＳ；ＪＡ—ＳＩＧ；ＳＳＯ；統(tǒng)一認(rèn)證；單點(diǎn)登錄

中圖分類(lèi)號(hào)：Ｃ．４３４文獻(xiàn)標(biāo)識(shí)碼：Ａ文章編號(hào)：１００９—５１９５１２０１０１０１－００６８－０５

ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００９—５１９５．２０１０．０１．０１６

隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，越來(lái)越多的Ｗｅｂ應(yīng)用程序用于支持各種機(jī)構(gòu)的日常工作。在一些教育系統(tǒng)、政府和企事業(yè)組織中，由于不斷地引進(jìn)各類(lèi)系統(tǒng)。不同系統(tǒng)又分別具有獨(dú)立的用戶管理和認(rèn)證子系統(tǒng)。因而管理不同系統(tǒng)用戶的工作隨著系統(tǒng)和用戶數(shù)量的增長(zhǎng)越來(lái)越繁重。對(duì)于系統(tǒng)終端用戶而言。同一機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)需要重復(fù)注冊(cè)和認(rèn)證，不僅使用上不方便并且容易造成混亂。因此，提供一個(gè)統(tǒng)一的用戶身份認(rèn)證機(jī)制。進(jìn)行統(tǒng)一的用戶信息（登錄名、用戶密碼以及各系統(tǒng)公用的用戶屬性信息）管理是十分必要的。單點(diǎn)登錄（Ｓｉｎｇｌｅ

ｓｉｇｎ—

統(tǒng)一用戶注冊(cè)管理以及應(yīng)用系統(tǒng)集成的需求問(wèn)題。

一、ＪＡ—ＳＩＧＣＡＳ及ＣＡＳ認(rèn)證過(guò)程

ＪＡ－ＳＩＧ

ＣＡＳ（又稱(chēng)ＹａｌｅＣＡＳ＠）基于一個(gè)安全

可靠的認(rèn)證協(xié)議為開(kāi)發(fā)者提供了一個(gè)企業(yè)級(jí)的單點(diǎn)登錄解決方案。它支持包括數(shù)據(jù)庫(kù)、ＬＤＡＰ、Ｘ．５０９證書(shū)、ＪＡＡＳ在內(nèi)的多種后端認(rèn)證方案；提供跨平臺(tái)、多語(yǔ)育的客戶端代碼庫(kù)支持。大部分主流Ｗｅｂ開(kāi)發(fā)語(yǔ)言（包括Ｊａｖａ、ＰＨＰ、ＡＳＰ．ＮＥＴ、Ｐｅｒｌ、Ｐｙｔｈｏｎ等）都有相應(yīng)的ＣＡＳ客戶端代碼庫(kù)可供使用；此外，ＣＡＳ是一個(gè)開(kāi)放源碼軟件．提供友好的許可證。

ＣＡＳ中心認(rèn)證服務(wù)被設(shè)計(jì)成一個(gè)獨(dú)立的Ｗｅｂ應(yīng)用程序，用戶通過(guò)登錄ＵＲＬ（Ｉ．ＤｇｉｎＵＲＬ）、驗(yàn)證

ＵＲＬ（Ｖａｌｉｄａｔｉｏｎ

ｏｎ，簡(jiǎn)稱(chēng)ＳＳＯ）就是為解決多系統(tǒng)統(tǒng)一認(rèn)證問(wèn)題而產(chǎn)生的技術(shù)。統(tǒng)一認(rèn)證服務(wù)（Ｃｅｎｔｒａｌ

Ａｕｔｈｅｎｔｉｃａｔｉｏｎ

Ｓｅｒｖｉｃｅ．簡(jiǎn)稱(chēng)ＣＡＳａｏ）是其中一種用于Ｗｅｂ的ＳＳＯ協(xié)議，基于此協(xié)議的服務(wù)器軟件主要有兩種實(shí)現(xiàn)：使用Ｊａｖａ實(shí)現(xiàn)的ＪＡ－ＳＩＧＣＡＳ和使用Ｒｕｂｙ實(shí)現(xiàn)的

Ｒｕｂｙ

ＣＡＳ—Ｓｅｒｖｅｒ⑦。

ＵＲＬ）以及注銷(xiāo)ＵＲＬ（Ｉｍｇｏｕｔ

ＵＲＬ，

可選）對(duì)其進(jìn)行訪問(wèn)。ＣＡＳ認(rèn)證過(guò)程包含兩類(lèi)：Ｗｅｂ應(yīng)用服務(wù)認(rèn)證和代理認(rèn)證，如圖１。

目前基于ＣＡＳ協(xié)議單點(diǎn)登錄系統(tǒng)的研究并不少見(jiàn)，但大多側(cè)重于協(xié)議本身和認(rèn)證接口的分析。筆者在已有研究的基礎(chǔ)上提出一個(gè)完整的統(tǒng)一認(rèn)證平臺(tái)解決方案。此平臺(tái)除采用定制擴(kuò)展版本的ＪＡ—ＳＩＧＣＡＳ作為單點(diǎn)登錄認(rèn)證服務(wù)器外．還提供統(tǒng)一用戶注冊(cè)和編輯模塊（針對(duì)終端用戶）、統(tǒng)一用戶管理模塊（針對(duì)平臺(tái)管理員）以及應(yīng)用系統(tǒng)接口模塊（針對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)人員），從而解決多系統(tǒng)的單點(diǎn)登錄、

圖１

～

，

’●一一－●

ＣＡＳ認(rèn)證流程示意圖（翻譯自ＣＡＳ架構(gòu)文檔）

?６８?

現(xiàn)代遠(yuǎn)程教育研究Ｉ

２０１０年１期，總１０３期Ｉ

萬(wàn)方數(shù)據(jù)

基于ＪＡ—ｓＩＧ

ＣＡＳ

～認(rèn)證平臺(tái)的設(shè)計(jì)和實(shí)現(xiàn)【技術(shù)應(yīng)用】

１．Ｗｅｂ應(yīng)用服務(wù)認(rèn)證

。份，代理應(yīng)用必須通過(guò)ＰＧＴ向ＣＡＳ索要ＰＴ，在拿到這是用戶在訪問(wèn)受保護(hù)Ｗｅｂ應(yīng)用服務(wù)所需要的認(rèn)證。在此過(guò)程中ＣＡＳ使用如下兩種票據(jù)：ＴＧＣ

（ＴｉｃｋｅｔＧｒａｎｔｉｎｇ

Ｃｏｏｋｉｅ。ＣＡＳ發(fā)放給用戶的身份憑

證。一般情況以Ｃｏｏｋｉｅ形式發(fā)放，相當(dāng)于用戶與ＣＡＳ之間的會(huì)話ＩＤ．ＣＡＳ通過(guò)檢查ＴＧＣ確定用戶是否已經(jīng)登錄并通過(guò)身份）和ＳＳＴ（Ｓｅｒｖｉｃｅ

Ｔｉｃｋｅｔ，

服務(wù)票據(jù)。ＣＡＳ發(fā)送給相關(guān)應(yīng)用服務(wù)的用戶身份憑證。為了防止“中間人”攻擊的發(fā)生。ＳＴ被設(shè)計(jì)為一次性票據(jù)，在一次驗(yàn)證過(guò)程后立刻失效）。

完整的Ｗｅｂ應(yīng)用服務(wù)認(rèn)證在圖ｌ中的流程表

示為：１－＋２—３＿珥。步驟ｌ，用戶瀏覽器向受保護(hù)

Ｗｅｂ應(yīng)用服務(wù)發(fā)送初始化請(qǐng)求。步驟２，應(yīng)用將用戶重定向至ＣＡＳ進(jìn)行認(rèn)證。并在ＵＲＬ中附加服務(wù)ＩＤ。若ＣＡＳ檢測(cè)到ＴＧＣ，進(jìn)行下一步；若沒(méi)有，提示用戶輸入用戶名、密碼登錄，在用戶成功登錄后發(fā)放ＴＧＣ并進(jìn)入下一步。步驟３，ＣＡＳ將用戶定向回Ｗｅｂ應(yīng)用地址，并在ＵＲＬ中附帶ＳＴ。步驟４，應(yīng)用將ＳＴ交給ＣＡＳ進(jìn)行驗(yàn)證．得到正確的用戶身份。

２．代理認(rèn)證

用戶可能需要訪問(wèn)一些瀏覽器不能直接訪問(wèn)的資源．典型情況如非Ｗｅｂ服務(wù)提供的資源．這就需要進(jìn)行代理認(rèn)證．借助一個(gè)Ｗｅｂ應(yīng)用服務(wù)作為用戶身份代理對(duì)目標(biāo)服務(wù)進(jìn)行訪問(wèn)。除１’ｃＣ和ＳＴ外，代理認(rèn)證還需要如下票據(jù)：

（１）ＰＴ（Ｐｒｏｘｙ

Ｔｉｃｋｅｔ）：代理票據(jù)。代理應(yīng)用通過(guò)

Ｐｒ向目標(biāo)應(yīng)用表明代理身份，目標(biāo)服務(wù)在拿到Ｆｒｒ之后需通過(guò)ＣＡＳ驗(yàn)證其有效性。

（２）ＰＧＴ（Ｐｒｏｘｙ

Ｇｒａｎｔｉｎｇ

Ｔｉｃｋｅｔ）：由ＣＡＳ發(fā)放

給持有效ＳＴ的代理應(yīng)用的票據(jù)。代理應(yīng)用憑Ｐ（汀從ＣＡＳ獲得Ｐｒｒ。此票據(jù)與目標(biāo)服務(wù)、認(rèn)證用戶身份形成唯一關(guān)聯(lián)。ＰＧＴ是一次性票據(jù)。

（３）ＰＧＴｌＯＵ（ＰｒｏｘｙＧｒａｎｔｉｎｇＴｉｃｋｅｔＩＯＵ）：可看

作ＰＧＴ的索引。代理應(yīng)用必須能自行維護(hù)ＰＧＴＩＯＵ和ｐＧＴ的對(duì)應(yīng)關(guān)系表．當(dāng)ＰＧＴ失效后，對(duì)應(yīng)的ＰＧＴｌ０Ｕ也同時(shí)失效．可以從對(duì)應(yīng)關(guān)系表中刪除。

代理認(rèn)證在圖ｌ中的流程表示為：ｌ一２—３—

４－ｑ一５。和Ｗｅｂ服務(wù)認(rèn)證相比，代理認(rèn)證多出了

獲取和驗(yàn)證ＰＴ的步驟。在圖１步驟２中，代理應(yīng)用除發(fā)送服務(wù)ＩＤ外還必須傳遞回調(diào)地址參數(shù)（ｐ舀Ｕｄ）。相應(yīng)地，在步驟４中，ＣＡＳ的返同信息中增加了ＰＧＴＩＯＵ，同時(shí)通過(guò)回調(diào)地址將對(duì)應(yīng)ＰＧＴ發(fā)送給代理應(yīng)用；之后，為了向目標(biāo)服務(wù)表明代理身

萬(wàn)方數(shù)據(jù)

Ｐｒ之后，進(jìn)入步驟４ａ和５ａ，完成代理認(rèn)證過(guò)程。

二、基于ＪＡ—ＳＩＧＣＡＳ的統(tǒng)一認(rèn)證平臺(tái)設(shè)計(jì)

該統(tǒng)一認(rèn)證平臺(tái)的設(shè)計(jì)目標(biāo)是為大型機(jī)構(gòu)提供一個(gè)從用戶注冊(cè)到系統(tǒng)集成的完整的解決方案，因此需要如下功能：第一．支持多個(gè)不同域名站點(diǎn)的單點(diǎn)登錄，如Ａ．ｃｏｒｎ、Ｂ．ｃｏｒｎ、Ｃ．ｃｏｒｎ等；用戶通過(guò)Ａ站點(diǎn)登錄之后。在未注銷(xiāo)的情況下訪問(wèn)Ｂ站點(diǎn)不需要再次輸入用戶名和密碼。單點(diǎn)登錄的認(rèn)證協(xié)議必須從設(shè)計(jì)上保證安全性。第二。使用統(tǒng)一的關(guān)系型數(shù)據(jù)庫(kù)作為用戶數(shù)據(jù)存儲(chǔ)后端。第三。為服務(wù)站點(diǎn)用戶提供統(tǒng)一的注冊(cè)、信息編輯以及密碼取回等操作界面：并為統(tǒng)一認(rèn)證平臺(tái)管理員提供統(tǒng)一用戶管理功能。第四，在實(shí)現(xiàn)上述功能的同時(shí)，提供一套完整的應(yīng)用系統(tǒng)集成方案。為應(yīng)用系統(tǒng)開(kāi)發(fā)人員提供基于ＳＯＡＰ的用戶注冊(cè)和信息更新接口。

根據(jù)上述功能需求，我們對(duì)平臺(tái)進(jìn)行了功能模塊劃分。確定了平臺(tái)架構(gòu)設(shè)計(jì)（如圖２所示）。虛線框內(nèi)為統(tǒng)一認(rèn)證平臺(tái)的組成模塊。為了防止外部應(yīng)用直接讀寫(xiě)用戶數(shù)據(jù)庫(kù)帶來(lái)的安全隱患．我們將用戶數(shù)據(jù)庫(kù)直接讀寫(xiě)權(quán)限控制在統(tǒng)一認(rèn)證平臺(tái)以內(nèi)。外部系統(tǒng)讀寫(xiě)相關(guān)信息可以通過(guò)ＣＡＳ協(xié)議、ＳｏＡＰ接口以及瀏覽器跳轉(zhuǎn)．通過(guò)平臺(tái)預(yù)定義模塊進(jìn)行相關(guān)操作。這三種方式均在認(rèn)證平臺(tái)的控制范圍，因此可以從根本上保證用戶數(shù)據(jù)的安全性．防止由于外部應(yīng)用系統(tǒng)的錯(cuò)誤操作帶來(lái)的安全問(wèn)題。此外．

對(duì)平臺(tái)的所有訪問(wèn)活動(dòng)均通過(guò)Ｈ冊(cè)進(jìn)行．５個(gè)模

塊均部署同一域名下，共用一個(gè)ＳＳＬ證書(shū)，以確保

認(rèn)證信息在傳輸過(guò)程中的保密性。

圈２基于ＪＡ—ＳｌＧＣＡＳ的統(tǒng)一認(rèn)證平臺(tái)架構(gòu)

?６９?

【技術(shù)應(yīng)旦！量?。径。炖锾枚嬂飯佐~(yú)型嬰

三、基于ＪＡ—ＳＩＧＣＡＳ統(tǒng)一認(rèn)證平臺(tái)的實(shí)現(xiàn)

在上述模塊中，除ＪＡ－ＳＩＧＣＡＳ外。其余模塊均使用開(kāi)發(fā)效率較高的ＰＨＰ實(shí)現(xiàn)。下面我們就各組成模塊進(jìn)行介紹：

１．豫戶數(shù)搪薄

ＪＡ—ＳＩＧ

ＣＡＳ支持多種后端認(rèn)證方案，我們選

擇具有跨平臺(tái)運(yùn)行能力的ＭｙＳＱＬ數(shù)據(jù)庫(kù)作為統(tǒng)一用戶信息數(shù)據(jù)庫(kù)。

２．ＪＡ－ＳＩＧＣＡＳ

ＪＡ—ＳＩＧ

ＣＡＳ為統(tǒng)一認(rèn)證平臺(tái)提供單點(diǎn)登錄和

代理認(rèn)證服務(wù)，在部署ＣＡＳ過(guò)程中。我們對(duì)其做了必要的定制和修改。

首先，定制后端認(rèn)證方案。ＣＡＳ以替換認(rèn)證處理器（ＡｕｔｈｅｎｔｉｃａｔｉｏｎＨａｎｄｌｅｒ）的方式設(shè)定不同的后端認(rèn)證方案，使用ＭｙＳＱＬ數(shù)據(jù)庫(kù)作為用戶存儲(chǔ)后端涉及到基于ＪＤＢＣ接口的認(rèn)證處理器的一系列相關(guān)配置。另外，為了增強(qiáng)用戶密碼安全性，我們?yōu)槠脚_(tái)使用的認(rèn)證處理器增加了定制的密碼加密器

（Ｐａｓｓｗｏｒｄ

Ｅｎｃｏｄｅｒ）。

其次，修改ＣＡＳ的Ｈ１－Ｉ－Ｐ客戶端代碼。允許代理應(yīng)用使用自簽名的ＳＳＬ證書(shū)。為了提高信息傳輸過(guò)程中的安全性。ＣＡＳ協(xié)議規(guī)定ＣＡＳ服務(wù)器和客戶

端之間的通信必須通過(guò)安全鏈接（Ｈ刪）進(jìn)行。為

了執(zhí)行這項(xiàng)規(guī)定，ＣＡＳ服務(wù)器在與代理應(yīng)用的通信代碼中強(qiáng)制進(jìn)行ＳＳＬ證書(shū)的合法性檢查。但在實(shí)際使用中．為使用不同域名的每個(gè)代理應(yīng)用購(gòu)買(mǎi)ＳＳＬ證書(shū)成本是非常高的．另外由于ＣＡＳ服務(wù)器對(duì)應(yīng)用系統(tǒng)的訪問(wèn)僅限于服務(wù)器間的信息通信。因而為每個(gè)域名購(gòu)買(mǎi)安全證書(shū)也是沒(méi)有必要的，因此，在代理應(yīng)用端使用自簽名的ＳＳＬ證書(shū)就可以保證傳輸安全性?；谶@些考慮。我們對(duì)ＣＡＳ的Ｈ＇ＩＴＰ客戶端代碼做了相應(yīng)的修改。使用自定義的信任管理器和證書(shū)域名檢查規(guī)則，允許使用自簽名的ＳＳＬ證書(shū)。

第三。增加基于ＪａｖａＳｃｒｉｐｔ的登錄狀態(tài)檢測(cè)。缺省情況下ＣＡＳ采用Ｈ１ＴｒＰ跳轉(zhuǎn)的方式進(jìn)行登錄狀態(tài)的檢測(cè)，在用戶未登錄的情況下，應(yīng)用站點(diǎn)需先跳轉(zhuǎn)到ＣＡＳ檢查ＴＧＣ狀態(tài)再跳轉(zhuǎn)回來(lái)．這需要經(jīng)過(guò)兩次Ｈ１ＴＩ＇Ｐ重定向，對(duì)于公用的Ｗｅｂ服務(wù)。這種方式會(huì)帶來(lái)一個(gè)顯著的問(wèn)題：服務(wù)網(wǎng)站不能被Ｃ．ｏｏｇｌｅ、百度等常見(jiàn)搜索引擎索引。為了避免這個(gè)問(wèn)題，我們?yōu)椋茫粒釉黾恿嘶冢剩幔觯幔樱悖颍椋穑舻目缬虻卿?/p>

?７０?

萬(wàn)方數(shù)據(jù)

狀態(tài)檢測(cè)方式。使用Ｊａｖａ．Ｓｃｒｉｐｔ跨域檢查ＴＧＣ的存在．若檢測(cè)到ＴＧＣ。則通過(guò)ＪａｖａＳｅｒｉｐｔ指令完成服務(wù)栗據(jù)的分發(fā)．這就避免了用戶在未登錄狀態(tài)不必要ｓ研舭制器實(shí)現(xiàn)此檢測(cè)機(jī)制，該控制器的主體代

的兩次ＨＴｒＰ重定向。具體做法是通過(guò)增加一個(gè)

碼如下：

ｐｒｏｔｅｃｔｅｄ

ＭｏｄｅｌＡｎｄＶｉｅｗ

ｈａｎｄｌｅＲｅｑｕｅｓｔＩｎｔｅｍａｌ（ｎｎａｌ

ＨｔｔｐＳｅｒｖｌｅｔＲｅｑｕｅｓｔｒｅｑｕｅｓｔ，ｆｉｎａｌ

ＨｔｔｐＳｅｒｖｌｅｔＲｅｓｐｏｎｓｅ

ｒｅｓｐｏｎｓｅ）

ｔｈｒｏｗｓ

Ｅｘｃｅｐｔｉｏｎ

ｌ

／／獲得應(yīng)用服務(wù)ＵＲＬ

ｆｉｎａｌ

Ｓｔｒｉｎｇ

ｓｅｒｖｉｃｅＵｒｌ＝ｒｅｑｕｅｓｔ．ｇｅｔＰａｒａｍｅｔｅｒｒ

ｓｅｒｖｉｃｅ＂）；

／／檢測(cè)ＴＧＣ是否存在

ｆｉｎａｌＳｔｒｉｎｇ

ｔｉｃｋｅｔＧｒａｎｔｉｎｇＴｉｃｋｅｔＩｄ＝ｔｈｉｓ．

ｔｉｃｋｅｔＧｒａｎｔｉｎｇＴｉｃｋｅｔＣｏｏｋｉｅＣ，ｅｎｅｒａｔｏｒ．ｒｅｔｒｉｅｖｅＣ，ｏｏｋｉｅＶａｌｕｅ

（ｒｅｑｕｅｓｔ）；

／／發(fā)送Ｈ，Ｉ－】［Ｐ頭信息

ｒｅｓｐｏｎｓｅ．ｓｅｔＨｅａｄｅｒ（”Ｃａｃｈｅ－Ｃｏｎｔｒｏｌ”．”ｎｏ－ｓｔｏｒｅ＂）；ｒｅｓｐｏｎｓｅ．ｓｅｔＨｅａｄｅｒ（”Ｐｒａｇｍａ”，＂ｎｏ－ｃａｃｈｅ＂）；ｒｅｓｐｏｎｓｅ．ｓｅｔＤａｔｅＨｅａｄｅｒ（＂Ｅｘｐｉｒｅｓ＂，０Ｌ）；

ｒｅｓｐｏｎｓｅ．ｓｅｔＣｏｎｔｅｎｔＴｙｐｅ（＂ｔｅｘｔ／ｊａｖａｓｃｒｉｐｔ；ｃｈａｒｓｅｔ－－ｕｆｆ－８＇９；／／若應(yīng)用服務(wù)ＵＲＬ或ＴＧＣ為空。返回空指令

ｉｆ（ｓｅｒｖｌｃｅＵｄ＝＝ｎｕｌｌ¨ｔｉｃｋｅｔＧｒａｎｔｉｎｇＴｉｃｋｅｔＩｄ＝＝ｎｕｎ）｛ｒｅｔｕｒｎｎｕｌｌ；ｌ

／／檢測(cè)到ＴＧＣ，準(zhǔn)備發(fā)送跳轉(zhuǎn)指令

ＳｅｒｖｌｅｔＯｕｔｐｕｔＳｔｒｅａｍｏｕｔ＝ｒｅｓｐｏｎｓｅ．ｇｅｔＯｕｔｐｕｔＳｔｒｅａｍ０；

畸

恤ｎａｌ

Ｗｅｂ舢】ｐＩｉ蒯咖Ｓｅ而ｃｅｓｅｒｖｉｃｅ銣囂Ⅱｍ幢ｂ血ｊ日ｃＩ理

ｅｘｔｒａｃｔＳｅｒｖｉｃｅ（ｒｅｑｕｅｓｔ）；

／／通過(guò)ＴＧＣ獲得ＳＴ

ｆｉｎａｌＳｔｒｉｎｇ

ｔｉｃｋｅｔ＝ｔｈｉｓ．ｃｅｎｔｒａｌＡｕｔｈｅｎｔｉｃａｔｉｏｎＳｅｒｖｉｃｅ．

ｇｒａｎｔＳｅｒｖｉｃｅＴｉｃｋｅｔ（ｔｉｃｋｅｔＧｌ＇ａｎｔｉｎｇＴｉｃｋｅｔＩｄ，ｓｅｒｖｉｃｅ）；

／／通過(guò)ＪａｖａＳｃｒｉｐｔ發(fā)送跳轉(zhuǎn)指令，發(fā)放ＳＴ給應(yīng)用站點(diǎn)，完成單點(diǎn)登錄動(dòng)作

?

Ｓｔｒｉｎｇ

ｕｒｌ＝ｓｅｒｖｉｃｅ．ｇｅｔＲｅｓｐｏｎｓｅ（ｔｉｃｋｅｔ）．ｇｅｔＵｒｌ０；

ｏｕｔ．ｐｒｉｎｔ（＂ｗｉｎｄｏｗ．１０ｃａｔｉｏｎ＝＂＋ｕｒｌ＋”’１；｝

ｃａｔｃｈ（Ｅｘｃｅｐｔｉｏｎｅｘ）｛

ｌ／／若此過(guò)程發(fā)生異常，則返回空指令，不做操作。應(yīng)用服務(wù)仍可通過(guò)傳統(tǒng)方式進(jìn)行單點(diǎn)登錄

現(xiàn)代遠(yuǎn)程教育研究ｆ鯽。年１期，總１０３期Ｉ

ｒｅｔｕｒｎ

ｎｕｌｌ；

ｌ

最后，進(jìn)行用戶登錄訪問(wèn)頁(yè)面相關(guān)的模板定制，編譯、打包。進(jìn)行該模塊的服務(wù)器部署和測(cè)試工作。?

３．用戶注冊(cè)模塊

ＪＡ—ＳＩＧ

ＣＡＳ并不包含用戶注冊(cè)模塊．因此我

們?cè)谄脚_(tái)中提供了統(tǒng)一用戶注冊(cè)模塊。用戶在此模塊進(jìn)行統(tǒng)一的注冊(cè)操作（填寫(xiě)用戶名、密碼以及公用的用戶信息屬性）。忘記密碼的用戶也可以通過(guò)該模塊找回密碼。外部應(yīng)用系統(tǒng)可以通過(guò)跳轉(zhuǎn)或者鏈接的形式引導(dǎo)用戶進(jìn)入統(tǒng)一注冊(cè)頁(yè)面。并通過(guò)ＵＲＬ參數(shù)傳遞注冊(cè)來(lái)源，以便注冊(cè)模塊在完成用戶注冊(cè)操作后正確將用戶返回到相關(guān)的應(yīng)用。

值得一提的是。外部應(yīng)用并不一定要通過(guò)統(tǒng)一的用戶注冊(cè)模塊完成用戶注冊(cè)操作。考慮到某些應(yīng)用系統(tǒng)需要其用戶提供額外的用戶信息屬性。我們通過(guò)應(yīng)用系統(tǒng)接口模塊提供用戶注冊(cè)的ＳＯＡＰ接口，以便應(yīng)用系統(tǒng)可以通過(guò)ＡＰＩ的方式進(jìn)行注冊(cè)，為應(yīng)用系統(tǒng)開(kāi)發(fā)人員提供選擇上的靈活性。

４．用戶信息編輯模塊

用戶在登錄認(rèn)證之后可通過(guò)此模塊進(jìn)行密碼、注冊(cè)信息修改以及通過(guò)Ｅｍａｉｌ找回登錄密碼等操作。和注冊(cè)模塊類(lèi)似。外部應(yīng)用系統(tǒng)如果不包括用戶編輯模塊．可通過(guò)跳轉(zhuǎn)或鏈接的形式引導(dǎo)用戶進(jìn)入編輯模塊進(jìn)行修改操作。編輯模塊允許外部應(yīng)用通過(guò)ＵＲＬ傳遞應(yīng)用地址，在完成操作后返回到應(yīng)用系統(tǒng)頁(yè)面。此外。應(yīng)用系統(tǒng)接口模塊同樣提供相關(guān)的ＳＯＡＰ接口供應(yīng)用系統(tǒng)調(diào)用進(jìn)行相關(guān)信息操作。所不同的是，對(duì)于用戶信息的編輯要求做接口調(diào)用時(shí)提供Ｐｒ（即代理票據(jù)）。

５．統(tǒng)一用戶管理后臺(tái)

這是一個(gè)專(zhuān)為平臺(tái)管理員提供的模塊，提供對(duì)用戶數(shù)據(jù)庫(kù)的管理功能，允許對(duì)用戶進(jìn)行列表查看、搜索、信息編輯、啟用和禁用帳號(hào)等操作。

６．應(yīng)用系統(tǒng)接口（ＳｏＡＰ

Ｓｅｒｖｅｒ）

應(yīng)用系統(tǒng)接口模塊為應(yīng)用系統(tǒng)開(kāi)發(fā)人員提供基于ＳＯＡＰ的用戶信息訪問(wèn)和操作接口，這個(gè)模塊的存在既防止了由于外部應(yīng)用隨意讀寫(xiě)數(shù)據(jù)庫(kù)帶來(lái)的安全性問(wèn)題。又為應(yīng)用開(kāi)發(fā)人員提供了操作上的便利。對(duì)于開(kāi)發(fā)人員而言，該模塊就是一個(gè)ＳＯＡＰ服務(wù)器。目前主流的Ｗｅｂ開(kāi)發(fā)工具均能找到ＳｏＡＰ客戶端代碼庫(kù)．因而通過(guò)ＳＯＡＰ提供遠(yuǎn)程調(diào)用接口完全滿足跨平臺(tái)支持的需求。目前該模塊提供如下

萬(wàn)方數(shù)據(jù)

基于ＪＡ—ＳＩＧＣＡＳ

一認(rèn)證平臺(tái)的設(shè)計(jì)和實(shí)現(xiàn)【技術(shù)應(yīng)用】

５個(gè)接口：用戶信息獲取接口、新用戶注冊(cè)接口、登錄用戶信息更新接口、用戶密碼修改接口以及用戶

Ｅｍａｉｌ驗(yàn)證狀態(tài)設(shè)置接口。

上述接口中。除了新用戶注冊(cè)接口不需要進(jìn)行用戶身份認(rèn)證之外．其余接口均需要調(diào)用接口的應(yīng)用系統(tǒng)通過(guò)代理認(rèn)證過(guò)程獲得Ｐｒ．并在調(diào)用接口時(shí)傳遞Ｐｒｒ參數(shù)以標(biāo)識(shí)相關(guān)操作的目標(biāo)用戶。

在錯(cuò)誤處理方面。我們采用不同的ＳＯＡＰ異常信息來(lái)區(qū)分錯(cuò)誤的類(lèi)型，應(yīng)用開(kāi)發(fā)人員可以根據(jù)在ＳＯＡＰ調(diào)用代碼中捕捉到的異常信息做相應(yīng)的處理。

四、基于ＪＡ—ＳｌＧＣＡＳ統(tǒng)一認(rèn)證平臺(tái)的應(yīng)用

整合方案

如圖２所示。應(yīng)用系統(tǒng)需要將用戶登錄認(rèn)證、用戶注冊(cè)以及用戶信息更新等操作與統(tǒng)一認(rèn)證平臺(tái)進(jìn)行整合。由于不同應(yīng)用系統(tǒng)結(jié)構(gòu)也不盡相同，因此整合應(yīng)用到統(tǒng)一認(rèn)證平臺(tái)的步驟并不是固定不變的。為了降低整合過(guò)程中應(yīng)用系統(tǒng)的修改工作、提高相關(guān)模塊的運(yùn)行效率，我們建議應(yīng)用系統(tǒng)開(kāi)發(fā)人員從以下幾個(gè)方面考慮統(tǒng)一認(rèn)證平臺(tái)具體整合方案：

１．用戶數(shù)據(jù)庫(kù)

對(duì)于新開(kāi)發(fā)的應(yīng)用系統(tǒng)，整合ＣＡＳ認(rèn)證并不一定要求維護(hù)本地用戶數(shù)據(jù)庫(kù)。應(yīng)用系統(tǒng)完全可以直接通過(guò)統(tǒng)一認(rèn)證平臺(tái)提供的多種接口方式進(jìn)行必要的認(rèn)證和用戶數(shù)據(jù)修改工作。但使用遠(yuǎn)程調(diào)用或Ｈ１ｒ即跳轉(zhuǎn)的方式資源消耗比直接訪問(wèn)本地?cái)?shù)據(jù)要高。效率相對(duì)也較低，所以通常建議開(kāi)發(fā)人員在整合統(tǒng)一認(rèn)證接口時(shí)考慮建立本地用戶數(shù)據(jù)庫(kù)，隨時(shí)將通過(guò)遠(yuǎn)程調(diào)用接口獲取的用戶數(shù)據(jù)同步到本地。在這里。本地?cái)?shù)據(jù)庫(kù)起到緩存的作用，用以提高認(rèn)證后的數(shù)據(jù)訪問(wèn)效率．同時(shí)減輕統(tǒng)一認(rèn)證平臺(tái)的系統(tǒng)負(fù)擔(dān)。

而對(duì)于已存在的、需要將認(rèn)證部分整合到統(tǒng)一認(rèn)證平臺(tái)的應(yīng)用系統(tǒng)，則不需要另外增加本地用戶數(shù)據(jù)庫(kù)。只需考慮數(shù)據(jù)同步的問(wèn)題。對(duì)于應(yīng)用系統(tǒng)已有的而統(tǒng)一認(rèn)證系統(tǒng)沒(méi)有的用戶，可以通過(guò)ＳｏＡＰ注冊(cè)接口批量導(dǎo)入，用戶的唯一性根據(jù)其注冊(cè)的Ｅｍａｉｌ來(lái)確定。

２．本地用戶會(huì)話（Ｓｅｓｓｉｏｎ）管理

直接ＣＡＳ認(rèn)證過(guò)程需要經(jīng)過(guò)兩次Ｈ１ｆｒＰ跳轉(zhuǎn)，開(kāi)銷(xiāo)較大．因此建議開(kāi)發(fā)人員在用戶通過(guò)認(rèn)證之

?７１?

【技術(shù)ｌ芝?。。欤炷?！壘二！恒里壘皇塹二墜里堊壘塑塑生?。?！嬰

后，建立本地會(huì)話用以標(biāo)識(shí)用戶身份，避免經(jīng)常性地跳轉(zhuǎn)至ＣＡＳ查詢用戶登錄狀態(tài)。另外要注意在用戶進(jìn)行注銷(xiāo)操作時(shí)，需要先銷(xiāo)毀本地會(huì)話記錄．再轉(zhuǎn)至ＣＡＳ注銷(xiāo)接口。

３．用戶信息編輯模塊整合方式

統(tǒng)一認(rèn)證平臺(tái)已經(jīng)提供了用戶信息編輯模塊，所以通常情況下應(yīng)用系統(tǒng)僅需要將編輯操作鏈接指向該模塊地址即可。特殊情況下。例如應(yīng)用系統(tǒng)需要用戶填寫(xiě)額外的用戶信息。則需要在本地?cái)?shù)據(jù)庫(kù)保存此類(lèi)數(shù)據(jù)．并自行提供針對(duì)本系統(tǒng)的用戶編輯模塊。保存相關(guān)數(shù)據(jù)時(shí)。若涉及到統(tǒng)一用戶數(shù)據(jù)庫(kù)的數(shù)據(jù)，需通過(guò)ＳＯＡＰ接口將相關(guān)數(shù)據(jù)同步到統(tǒng)一用戶數(shù)據(jù)庫(kù)。開(kāi)發(fā)人員可以根據(jù)需要在方便性與靈活性之間作出選擇。

參考文獻(xiàn)：

【Ｉ］Ｓｉｎｇｌｅｓｉｇｎ－－ｏｎｉｘＢ／０Ｌ】．［２００９－９－３０］．ｈｔｔｐ：／／ｅｎ．ｗｉｋｉｐｅｄｉａ．

ｏｒｇ／ｗｉｋｉ／Ｓｉｎｇｈ＿ｓｉｇｎ－ｏｎ．

如果沒(méi)有特別標(biāo)明ＣＡＳ協(xié)議。ＣＡＳ縮寫(xiě)均表示ＪＡ—ＳＩＧ

ＣＡＳ。

（霪）ｈｔｔｐ：／／ｃｏｄｅ．ｇｏｏｇｌｅ．ｃｏｍ／ｐ／ｒｕｂｙｃａｓ－ｓｅｒｖｅｒ／（勤Ａ－ｓＩＧＣＡＳ最初于２００１年由耶魯大學(xué)（Ｙａｌｅ

Ｕｎｉｖｅｒｓｉｔｙ）

開(kāi)發(fā)。因而又稱(chēng)ＹａｌｅＣＡＳ。關(guān)于ＪＡ—固ＧＣＡＳ的發(fā)展歷史可以參閱其官方網(wǎng)站。

（勁Ａ—ＳＩＧＣＡＳ基于Ｓｐｒｉｎｇ框架開(kāi)發(fā)．關(guān)于該框架的信

息可參見(jiàn)：ｈｔｔｐ：／／ｗｗｗ．ｓｐｒｉｎｇｓｏｕｒｃｅ．ｏ，ｇ／。

［２１ＣＡＳ

ｌ

Ａｒｃｈｉｔｅｃｔｕｒｅ［ＥＢ／ＯＬ］．［２００９－９－３０１．ｈｔｔｐ：／／ｗｗｗ．

ｊａｓｉｇ．ｏｒｇ／ｃａｓ／ｃａｓｌ－ａｒｃｈｉｔｅｃｔｕｒｅ，２００９．

【３］ＣＡＳ

２

Ａｒｃｈｉｔｅｃｔｕｒｅ［ＥＢ／ＯＬ］．［２００９—９－３０１．ｈｔｔｐ：／／ｗｗｗ．

五、結(jié)束語(yǔ)

本文介紹的基于ＪＡ－ＳＩＧＣＡＳ的統(tǒng)一認(rèn)證平臺(tái)從統(tǒng)一用戶認(rèn)證管理以及應(yīng)用系統(tǒng)整合出發(fā)，目標(biāo)在于提供一個(gè)完整的多網(wǎng)站統(tǒng)一認(rèn)證解決方案。平臺(tái)可為大型機(jī)構(gòu)多個(gè)Ｗｅｂ應(yīng)用系統(tǒng)提供統(tǒng)一的可靠用戶認(rèn)證和用戶管理功能．為系統(tǒng)終端用戶提供使用上的便利，同時(shí)為應(yīng)用系統(tǒng)開(kāi)發(fā)人員提供跨平臺(tái)、多語(yǔ)言支持以及便于實(shí)施的整合方案。研究下一步將對(duì)ＣＡＳ模塊進(jìn)行性能上的優(yōu)化，提高平臺(tái)延展性使其能夠支持海量用戶數(shù)據(jù)。

ｊａｓｉｇ．ｏｒｇ／ｃａｓ／ｃａｓ２－ａｒｃｈｉｔｅｃｔｕｒｅ，２００９．

ｆ４舟腳＆刪，Ｈ【榭ｄ

Ｇ曲瞰，Ａｎｄｙ

Ｎｅｗｍａｎ、ＡｌｄｌｅｗＰｅｎｏ

（２００５）．ＣＡＳ

Ｐｒｏｔｏｃｏｌ【ＥＢ／ＯＨ．【２００９－９－３０１．ｈｔｔｐ：／／ｗｗｗ．ｊａｓｉｇ．

ｏｒｇ／ｃａｓ／ｐｒｏｔｏｃ０１．

【５】沈杰，朱程榮（２００７）．基于Ｙａｌｅ—ＣＡＳ的單點(diǎn)登錄的設(shè)計(jì)與實(shí)現(xiàn)【Ｊ】．計(jì)算機(jī)技術(shù)與發(fā)展，１７（１２）：１４４—１４６．

責(zé)任編輯汪燕

作者簡(jiǎn)介：

蔡永州，碩士研究生，中國(guó)科學(xué)技術(shù)大學(xué)現(xiàn)代教育

技術(shù)中心，安徽合肥２３００２６

吳敏，教授，巾國(guó)科學(xué)技術(shù)大學(xué)現(xiàn)代教育技術(shù)中心，

安徽合肥２３００２６

收稿日期：２００９＿０９—３０

注釋?zhuān)?/p>

（Ｄ由于縮寫(xiě)ＣＡＳ既可以表示ＣＡＳ協(xié)議．叉可以表示

ＪＡ—ＳＩＧＣＡＳ（即ＣＡＳ服務(wù)器軟件）。為避免混淆，本文約定：

（上接第３６頁(yè)）

參考文獻(xiàn)：

【１１陳麗（２００４）．遠(yuǎn)程教育學(xué)基礎(chǔ)ＩＭ］．北京：高等教育出版

社：１６—２１．

作者簡(jiǎn)介：

泰換魚(yú)，碩’ｆ：研究生，徐州師范大學(xué)信息傳播學(xué)院，

汀蘇徐州２２１００９

【２】周禮良（２００５）．現(xiàn)代遠(yuǎn)程教育學(xué)習(xí)論［ＭＩ．長(zhǎng)沙：中南大

學(xué)出版社：４１—４２．

楊成，教授，碩：｝：生導(dǎo)師，徐州師范大學(xué)信息傳播

學(xué)院，江蘇徐州２２１００９

收稿日期：２００９一ｌｌ一３０

牢基金項(xiàng)目：江蘇省教育科學(xué)“十一五”規(guī)劃２００８年課題《Ｄ／２００８／０１／１８６）。徐州師范大學(xué)人文社會(huì)科學(xué)培育課題（０７ＰＹＷ０３）：江蘇教育技術(shù)３０年發(fā)展史研究（１９７８—２００８ｌ。

【３１中國(guó)網(wǎng)教學(xué)習(xí)卡重拳出擊國(guó)內(nèi)遠(yuǎn)程教育市場(chǎng)掀波瀾【ＥＢ／ＯＬ］．ｆ２００９—０６－０ｌ】．ｈｔｔｐ：／／ｂｌｏｇ．１６３．ｃｏｍ／ｋｙｈｌｈｌ２３／ｂｌｏｇ／

ｓｔａｔｉｃ／７８８０８６３６２００９５１４４８２７１７４／．

【４凋靈丹，湯立新（２００８）．高校優(yōu)質(zhì)資源共享與提升高等

教育質(zhì)量的研究【Ｊ１．職教探索與研究，（３）：３８－４１．

責(zé)任編輯江穎

?７２?

現(xiàn)代遠(yuǎn)程教育研究Ｉ

２０１０年１期，總１０３期ｌ

萬(wàn)方數(shù)據(jù)

基于JA-SIG CAS統(tǒng)一認(rèn)證平臺(tái)的設(shè)計(jì)和實(shí)現(xiàn)

作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：

被引用次數(shù)：蔡永州， 吳敏， Cai Yongzhou， Wu Min中國(guó)科學(xué)技術(shù)大學(xué)現(xiàn)代教育技術(shù)中心,安徽合肥,230026現(xiàn)代遠(yuǎn)程教育研究MODERN DISTANCE EDUCATION RESEARCH2010，""(1)0次

參考文獻(xiàn)(5條)

1. Single sign-on 2009

2. CAS 1 Architecture 2009

3. CAS 2 Architecture 2009

4. Susan Bramhall. Howard Gilbert. Andy Newman. Andrew Petro CAS Protocol 2009

5. 沈杰. 朱程榮 基于Yale-CAS的單點(diǎn)登錄的設(shè)計(jì)與實(shí)現(xiàn) 2007(12)

相似文獻(xiàn)(1條)

1.學(xué)位論文 蔡永州 基于JASIG-CAS的統(tǒng)一認(rèn)證平臺(tái)研究及其系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn) 2010

隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，越來(lái)越多的Web 應(yīng)用程序被用于支持各種機(jī)構(gòu)的日常工作。在一些教育系統(tǒng)、政府和企事業(yè)等組織，由于不斷地引進(jìn)各類(lèi)系統(tǒng)，不同系統(tǒng)又分別具有獨(dú)立的用戶管理和認(rèn)證子系統(tǒng)，因而管理不同系統(tǒng)用戶的工作隨著系統(tǒng)和用戶數(shù)量的增長(zhǎng)越來(lái)越顯得繁重。對(duì)于系統(tǒng)終端用戶而言，同一機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)需要重復(fù)的注冊(cè)和認(rèn)證，不僅使用上不方便并且容易造成混亂。為上述大型機(jī)構(gòu)提供一個(gè)可靠的統(tǒng)一用戶身份認(rèn)證機(jī)制、使其能夠進(jìn)行統(tǒng)一的用戶信息（登錄名、用戶密碼以及各系統(tǒng)公用的用戶屬性信息）管理是本文研究的主要問(wèn)題。
　　

本文首先調(diào)研和分析了主流的統(tǒng)一認(rèn)證平臺(tái)單點(diǎn)登錄解決方案的技術(shù)基礎(chǔ)，并對(duì)各方案的優(yōu)點(diǎn)與缺點(diǎn)進(jìn)行了分析。其次，從統(tǒng)一認(rèn)證平臺(tái)的功能需求、性能需求、開(kāi)發(fā)模式、架構(gòu)方案、技術(shù)開(kāi)發(fā)框架和系統(tǒng)配置環(huán)境等軟件工程角度，對(duì)統(tǒng)一認(rèn)證平臺(tái)做了分析與設(shè)計(jì)，依據(jù)系統(tǒng)需求提出了系統(tǒng)的數(shù)據(jù)庫(kù)設(shè)計(jì)與系統(tǒng)設(shè)計(jì)框架結(jié)構(gòu)。再次，論述了基于JA-SIG CAS的統(tǒng)一認(rèn)證平臺(tái)的認(rèn)證應(yīng)用思想與技術(shù)方法，剖析了基于JA-SIG CAS的統(tǒng)一認(rèn)證平臺(tái)各模塊的設(shè)計(jì)與實(shí)現(xiàn)。接著，從高性能需求的角度探討了統(tǒng)一認(rèn)證平臺(tái)的可延展部署架構(gòu)。最后，作者對(duì)本文的研究結(jié)論進(jìn)行概括，并指出研究中存在的問(wèn)題，給后續(xù)研究者提供參考。
　　

在這里增加二、三句對(duì)你上述工作的成果進(jìn)行評(píng)測(cè)和評(píng)價(jià)。作者期望基于JA-SIG CAS的統(tǒng)一認(rèn)證平臺(tái)能夠?yàn)榇笮吞峁┲С侄嗥脚_(tái)的優(yōu)化的應(yīng)用系統(tǒng)整合方案，提高用戶的系統(tǒng)管理效率。

本文鏈接：http://d.wanfangdata.com.cn/Periodical_xdycjyyj201001016.aspx

下載時(shí)間：2010年12月9日