【技術(shù)應(yīng)用】萼于ＪＡ一型罩塹二墜鎏堊臺型和實現(xiàn)基孑ＪＡ—ＳＩＧＣＡＳ統(tǒng)一認(rèn)證亞臺的＂Ｌ又ｔ３計和實壩口蔡永州吳敏摘要：在教育、政府、企事業(yè)等大型機構(gòu)中．存在系統(tǒng)多、管理分散的問題。單點登錄（ＳＳＯ）是

【技術(shù)應(yīng)用】萼于ＪＡ一型罩塹二墜鎏堊臺型和實現(xiàn)

基孑ＪＡ—ＳＩＧＣＡＳ

統(tǒng)一認(rèn)證亞臺的＂Ｌ又ｔ３計和實壩

口蔡永州吳敏

摘要：在教育、政府、企事業(yè)等大型機構(gòu)中．存在系統(tǒng)多、管理分散的問題。單點登錄（ＳＳＯ）是解決大型機構(gòu)內(nèi)多個應(yīng)用系統(tǒng)統(tǒng)一用戶身份認(rèn)證的有效技術(shù)。ＪＡ—ＳＩＣＣＡＳ使用Ｊａｖａ實現(xiàn)，是用于Ｗｅｂ的ＳＳＯ協(xié)議。為了實現(xiàn)多網(wǎng)站統(tǒng)一認(rèn)證，分析單點登錄服務(wù)軟件ＪＡ—

ＳＩＧ

ＣＡＳ和ＣＡＳ認(rèn)證過程。并結(jié)合平臺功能需求和安全性考慮。設(shè)計和實現(xiàn)基于ＪＡ—ＳＩＧ

ＣＡＳ的統(tǒng)一認(rèn)證平臺，并針對應(yīng)用系統(tǒng)給出相應(yīng)的集成方案。

關(guān)鍵詞：ＣＡＳ；ＪＡ—ＳＩＧ；ＳＳＯ；統(tǒng)一認(rèn)證；單點登錄

中圖分類號：Ｃ．４３４文獻標(biāo)識碼：Ａ文章編號：１００９—５１９５１２０１０１０１－００６８－０５

ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００９—５１９５．２０１０．０１．０１６

隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，越來越多的Ｗｅｂ應(yīng)用程序用于支持各種機構(gòu)的日常工作。在一些教育系統(tǒng)、政府和企事業(yè)組織中，由于不斷地引進各類系統(tǒng)。不同系統(tǒng)又分別具有獨立的用戶管理和認(rèn)證子系統(tǒng)。因而管理不同系統(tǒng)用戶的工作隨著系統(tǒng)和用戶數(shù)量的增長越來越繁重。對于系統(tǒng)終端用戶而言。同一機構(gòu)的不同業(yè)務(wù)系統(tǒng)需要重復(fù)注冊和認(rèn)證，不僅使用上不方便并且容易造成混亂。因此，提供一個統(tǒng)一的用戶身份認(rèn)證機制。進行統(tǒng)一的用戶信息（登錄名、用戶密碼以及各系統(tǒng)公用的用戶屬性信息）管理是十分必要的。單點登錄（Ｓｉｎｇｌｅ

ｓｉｇｎ—

統(tǒng)一用戶注冊管理以及應(yīng)用系統(tǒng)集成的需求問題。

一、ＪＡ—ＳＩＧＣＡＳ及ＣＡＳ認(rèn)證過程

ＪＡ－ＳＩＧ

ＣＡＳ（又稱ＹａｌｅＣＡＳ＠）基于一個安全

可靠的認(rèn)證協(xié)議為開發(fā)者提供了一個企業(yè)級的單點登錄解決方案。它支持包括數(shù)據(jù)庫、ＬＤＡＰ、Ｘ．５０９證書、ＪＡＡＳ在內(nèi)的多種后端認(rèn)證方案；提供跨平臺、多語育的客戶端代碼庫支持。大部分主流Ｗｅｂ開發(fā)語言（包括Ｊａｖａ、ＰＨＰ、ＡＳＰ．ＮＥＴ、Ｐｅｒｌ、Ｐｙｔｈｏｎ等）都有相應(yīng)的ＣＡＳ客戶端代碼庫可供使用；此外，ＣＡＳ是一個開放源碼軟件．提供友好的許可證。

ＣＡＳ中心認(rèn)證服務(wù)被設(shè)計成一個獨立的Ｗｅｂ應(yīng)用程序，用戶通過登錄ＵＲＬ（Ｉ．ＤｇｉｎＵＲＬ）、驗證

ＵＲＬ（Ｖａｌｉｄａｔｉｏｎ

ｏｎ，簡稱ＳＳＯ）就是為解決多系統(tǒng)統(tǒng)一認(rèn)證問題而產(chǎn)生的技術(shù)。統(tǒng)一認(rèn)證服務(wù)（Ｃｅｎｔｒａｌ

Ａｕｔｈｅｎｔｉｃａｔｉｏｎ

Ｓｅｒｖｉｃｅ．簡稱ＣＡＳａｏ）是其中一種用于Ｗｅｂ的ＳＳＯ協(xié)議，基于此協(xié)議的服務(wù)器軟件主要有兩種實現(xiàn)：使用Ｊａｖａ實現(xiàn)的ＪＡ－ＳＩＧＣＡＳ和使用Ｒｕｂｙ實現(xiàn)的

Ｒｕｂｙ

ＣＡＳ—Ｓｅｒｖｅｒ⑦。

ＵＲＬ）以及注銷ＵＲＬ（Ｉｍｇｏｕｔ

ＵＲＬ，

可選）對其進行訪問。ＣＡＳ認(rèn)證過程包含兩類：Ｗｅｂ應(yīng)用服務(wù)認(rèn)證和代理認(rèn)證，如圖１。

目前基于ＣＡＳ協(xié)議單點登錄系統(tǒng)的研究并不少見，但大多側(cè)重于協(xié)議本身和認(rèn)證接口的分析。筆者在已有研究的基礎(chǔ)上提出一個完整的統(tǒng)一認(rèn)證平臺解決方案。此平臺除采用定制擴展版本的ＪＡ—ＳＩＧＣＡＳ作為單點登錄認(rèn)證服務(wù)器外．還提供統(tǒng)一用戶注冊和編輯模塊（針對終端用戶）、統(tǒng)一用戶管理模塊（針對平臺管理員）以及應(yīng)用系統(tǒng)接口模塊（針對應(yīng)用系統(tǒng)開發(fā)人員），從而解決多系統(tǒng)的單點登錄、

圖１

～

，

’●一一－●

ＣＡＳ認(rèn)證流程示意圖（翻譯自ＣＡＳ架構(gòu)文檔）

?６８?

現(xiàn)代遠程教育研究Ｉ

２０１０年１期，總１０３期Ｉ

萬方數(shù)據(jù)

基于ＪＡ—ｓＩＧ

ＣＡＳ

～認(rèn)證平臺的設(shè)計和實現(xiàn)【技術(shù)應(yīng)用】

１．Ｗｅｂ應(yīng)用服務(wù)認(rèn)證

。份，代理應(yīng)用必須通過ＰＧＴ向ＣＡＳ索要ＰＴ，在拿到這是用戶在訪問受保護Ｗｅｂ應(yīng)用服務(wù)所需要的認(rèn)證。在此過程中ＣＡＳ使用如下兩種票據(jù)：ＴＧＣ

（ＴｉｃｋｅｔＧｒａｎｔｉｎｇ

Ｃｏｏｋｉｅ。ＣＡＳ發(fā)放給用戶的身份憑

證。一般情況以Ｃｏｏｋｉｅ形式發(fā)放，相當(dāng)于用戶與ＣＡＳ之間的會話ＩＤ．ＣＡＳ通過檢查ＴＧＣ確定用戶是否已經(jīng)登錄并通過身份）和ＳＳＴ（Ｓｅｒｖｉｃｅ

Ｔｉｃｋｅｔ，

服務(wù)票據(jù)。ＣＡＳ發(fā)送給相關(guān)應(yīng)用服務(wù)的用戶身份憑證。為了防止“中間人”攻擊的發(fā)生。ＳＴ被設(shè)計為一次性票據(jù)，在一次驗證過程后立刻失效）。

完整的Ｗｅｂ應(yīng)用服務(wù)認(rèn)證在圖ｌ中的流程表

示為：１－＋２—３＿珥。步驟ｌ，用戶瀏覽器向受保護

Ｗｅｂ應(yīng)用服務(wù)發(fā)送初始化請求。步驟２，應(yīng)用將用戶重定向至ＣＡＳ進行認(rèn)證。并在ＵＲＬ中附加服務(wù)ＩＤ。若ＣＡＳ檢測到ＴＧＣ，進行下一步；若沒有，提示用戶輸入用戶名、密碼登錄，在用戶成功登錄后發(fā)放ＴＧＣ并進入下一步。步驟３，ＣＡＳ將用戶定向回Ｗｅｂ應(yīng)用地址，并在ＵＲＬ中附帶ＳＴ。步驟４，應(yīng)用將ＳＴ交給ＣＡＳ進行驗證．得到正確的用戶身份。

２．代理認(rèn)證

用戶可能需要訪問一些瀏覽器不能直接訪問的資源．典型情況如非Ｗｅｂ服務(wù)提供的資源．這就需要進行代理認(rèn)證．借助一個Ｗｅｂ應(yīng)用服務(wù)作為用戶身份代理對目標(biāo)服務(wù)進行訪問。除１’ｃＣ和ＳＴ外，代理認(rèn)證還需要如下票據(jù)：

（１）ＰＴ（Ｐｒｏｘｙ

Ｔｉｃｋｅｔ）：代理票據(jù)。代理應(yīng)用通過

Ｐｒ向目標(biāo)應(yīng)用表明代理身份，目標(biāo)服務(wù)在拿到Ｆｒｒ之后需通過ＣＡＳ驗證其有效性。

（２）ＰＧＴ（Ｐｒｏｘｙ

Ｇｒａｎｔｉｎｇ

Ｔｉｃｋｅｔ）：由ＣＡＳ發(fā)放

給持有效ＳＴ的代理應(yīng)用的票據(jù)。代理應(yīng)用憑Ｐ（汀從ＣＡＳ獲得Ｐｒｒ。此票據(jù)與目標(biāo)服務(wù)、認(rèn)證用戶身份形成唯一關(guān)聯(lián)。ＰＧＴ是一次性票據(jù)。

（３）ＰＧＴｌＯＵ（ＰｒｏｘｙＧｒａｎｔｉｎｇＴｉｃｋｅｔＩＯＵ）：可看

作ＰＧＴ的索引。代理應(yīng)用必須能自行維護ＰＧＴＩＯＵ和ｐＧＴ的對應(yīng)關(guān)系表．當(dāng)ＰＧＴ失效后，對應(yīng)的ＰＧＴｌ０Ｕ也同時失效．可以從對應(yīng)關(guān)系表中刪除。

代理認(rèn)證在圖ｌ中的流程表示為：ｌ一２—３—

４－ｑ一５。和Ｗｅｂ服務(wù)認(rèn)證相比，代理認(rèn)證多出了

獲取和驗證ＰＴ的步驟。在圖１步驟２中，代理應(yīng)用除發(fā)送服務(wù)ＩＤ外還必須傳遞回調(diào)地址參數(shù)（ｐ舀Ｕｄ）。相應(yīng)地，在步驟４中，ＣＡＳ的返同信息中增加了ＰＧＴＩＯＵ，同時通過回調(diào)地址將對應(yīng)ＰＧＴ發(fā)送給代理應(yīng)用；之后，為了向目標(biāo)服務(wù)表明代理身

萬方數(shù)據(jù)

Ｐｒ之后，進入步驟４ａ和５ａ，完成代理認(rèn)證過程。

二、基于ＪＡ—ＳＩＧＣＡＳ的統(tǒng)一認(rèn)證平臺設(shè)計

該統(tǒng)一認(rèn)證平臺的設(shè)計目標(biāo)是為大型機構(gòu)提供一個從用戶注冊到系統(tǒng)集成的完整的解決方案，因此需要如下功能：第一．支持多個不同域名站點的單點登錄，如Ａ．ｃｏｒｎ、Ｂ．ｃｏｒｎ、Ｃ．ｃｏｒｎ等；用戶通過Ａ站點登錄之后。在未注銷的情況下訪問Ｂ站點不需要再次輸入用戶名和密碼。單點登錄的認(rèn)證協(xié)議必須從設(shè)計上保證安全性。第二。使用統(tǒng)一的關(guān)系型數(shù)據(jù)庫作為用戶數(shù)據(jù)存儲后端。第三。為服務(wù)站點用戶提供統(tǒng)一的注冊、信息編輯以及密碼取回等操作界面：并為統(tǒng)一認(rèn)證平臺管理員提供統(tǒng)一用戶管理功能。第四，在實現(xiàn)上述功能的同時，提供一套完整的應(yīng)用系統(tǒng)集成方案。為應(yīng)用系統(tǒng)開發(fā)人員提供基于ＳＯＡＰ的用戶注冊和信息更新接口。

根據(jù)上述功能需求，我們對平臺進行了功能模塊劃分。確定了平臺架構(gòu)設(shè)計（如圖２所示）。虛線框內(nèi)為統(tǒng)一認(rèn)證平臺的組成模塊。為了防止外部應(yīng)用直接讀寫用戶數(shù)據(jù)庫帶來的安全隱患．我們將用戶數(shù)據(jù)庫直接讀寫權(quán)限控制在統(tǒng)一認(rèn)證平臺以內(nèi)。外部系統(tǒng)讀寫相關(guān)信息可以通過ＣＡＳ協(xié)議、ＳｏＡＰ接口以及瀏覽器跳轉(zhuǎn)．通過平臺預(yù)定義模塊進行相關(guān)操作。這三種方式均在認(rèn)證平臺的控制范圍，因此可以從根本上保證用戶數(shù)據(jù)的安全性．防止由于外部應(yīng)用系統(tǒng)的錯誤操作帶來的安全問題。此外．

對平臺的所有訪問活動均通過Ｈ冊進行．５個模

塊均部署同一域名下，共用一個ＳＳＬ證書，以確保

認(rèn)證信息在傳輸過程中的保密性。

圈２基于ＪＡ—ＳｌＧＣＡＳ的統(tǒng)一認(rèn)證平臺架構(gòu)

?６９?

【技術(shù)應(yīng)旦！量?。径。炖锾枚嬂飯佐~型嬰

三、基于ＪＡ—ＳＩＧＣＡＳ統(tǒng)一認(rèn)證平臺的實現(xiàn)

在上述模塊中，除ＪＡ－ＳＩＧＣＡＳ外。其余模塊均使用開發(fā)效率較高的ＰＨＰ實現(xiàn)。下面我們就各組成模塊進行介紹：

１．豫戶數(shù)搪薄

ＪＡ—ＳＩＧ

ＣＡＳ支持多種后端認(rèn)證方案，我們選

擇具有跨平臺運行能力的ＭｙＳＱＬ數(shù)據(jù)庫作為統(tǒng)一用戶信息數(shù)據(jù)庫。

２．ＪＡ－ＳＩＧＣＡＳ

ＪＡ—ＳＩＧ

ＣＡＳ為統(tǒng)一認(rèn)證平臺提供單點登錄和

代理認(rèn)證服務(wù)，在部署ＣＡＳ過程中。我們對其做了必要的定制和修改。

首先，定制后端認(rèn)證方案。ＣＡＳ以替換認(rèn)證處理器（ＡｕｔｈｅｎｔｉｃａｔｉｏｎＨａｎｄｌｅｒ）的方式設(shè)定不同的后端認(rèn)證方案，使用ＭｙＳＱＬ數(shù)據(jù)庫作為用戶存儲后端涉及到基于ＪＤＢＣ接口的認(rèn)證處理器的一系列相關(guān)配置。另外，為了增強用戶密碼安全性，我們?yōu)槠脚_使用的認(rèn)證處理器增加了定制的密碼加密器

（Ｐａｓｓｗｏｒｄ

Ｅｎｃｏｄｅｒ）。

其次，修改ＣＡＳ的Ｈ１－Ｉ－Ｐ客戶端代碼。允許代理應(yīng)用使用自簽名的ＳＳＬ證書。為了提高信息傳輸過程中的安全性。ＣＡＳ協(xié)議規(guī)定ＣＡＳ服務(wù)器和客戶

端之間的通信必須通過安全鏈接（Ｈ刪）進行。為

了執(zhí)行這項規(guī)定，ＣＡＳ服務(wù)器在與代理應(yīng)用的通信代碼中強制進行ＳＳＬ證書的合法性檢查。但在實際使用中．為使用不同域名的每個代理應(yīng)用購買ＳＳＬ證書成本是非常高的．另外由于ＣＡＳ服務(wù)器對應(yīng)用系統(tǒng)的訪問僅限于服務(wù)器間的信息通信。因而為每個域名購買安全證書也是沒有必要的，因此，在代理應(yīng)用端使用自簽名的ＳＳＬ證書就可以保證傳輸安全性?；谶@些考慮。我們對ＣＡＳ的Ｈ＇ＩＴＰ客戶端代碼做了相應(yīng)的修改。使用自定義的信任管理器和證書域名檢查規(guī)則，允許使用自簽名的ＳＳＬ證書。

第三。增加基于ＪａｖａＳｃｒｉｐｔ的登錄狀態(tài)檢測。缺省情況下ＣＡＳ采用Ｈ１ＴｒＰ跳轉(zhuǎn)的方式進行登錄狀態(tài)的檢測，在用戶未登錄的情況下，應(yīng)用站點需先跳轉(zhuǎn)到ＣＡＳ檢查ＴＧＣ狀態(tài)再跳轉(zhuǎn)回來．這需要經(jīng)過兩次Ｈ１ＴＩ＇Ｐ重定向，對于公用的Ｗｅｂ服務(wù)。這種方式會帶來一個顯著的問題：服務(wù)網(wǎng)站不能被Ｃ．ｏｏｇｌｅ、百度等常見搜索引擎索引。為了避免這個問題，我們?yōu)椋茫粒釉黾恿嘶冢剩幔觯幔樱悖颍椋穑舻目缬虻卿?/p>

?７０?

萬方數(shù)據(jù)

狀態(tài)檢測方式。使用Ｊａｖａ．Ｓｃｒｉｐｔ跨域檢查ＴＧＣ的存在．若檢測到ＴＧＣ。則通過ＪａｖａＳｅｒｉｐｔ指令完成服務(wù)栗據(jù)的分發(fā)．這就避免了用戶在未登錄狀態(tài)不必要ｓ研舭制器實現(xiàn)此檢測機制，該控制器的主體代

的兩次ＨＴｒＰ重定向。具體做法是通過增加一個

碼如下：

ｐｒｏｔｅｃｔｅｄ

ＭｏｄｅｌＡｎｄＶｉｅｗ

ｈａｎｄｌｅＲｅｑｕｅｓｔＩｎｔｅｍａｌ（ｎｎａｌ

ＨｔｔｐＳｅｒｖｌｅｔＲｅｑｕｅｓｔｒｅｑｕｅｓｔ，ｆｉｎａｌ

ＨｔｔｐＳｅｒｖｌｅｔＲｅｓｐｏｎｓｅ

ｒｅｓｐｏｎｓｅ）

ｔｈｒｏｗｓ

Ｅｘｃｅｐｔｉｏｎ

ｌ

／／獲得應(yīng)用服務(wù)ＵＲＬ

ｆｉｎａｌ

Ｓｔｒｉｎｇ

ｓｅｒｖｉｃｅＵｒｌ＝ｒｅｑｕｅｓｔ．ｇｅｔＰａｒａｍｅｔｅｒｒ

ｓｅｒｖｉｃｅ＂）；

／／檢測ＴＧＣ是否存在

ｆｉｎａｌＳｔｒｉｎｇ

ｔｉｃｋｅｔＧｒａｎｔｉｎｇＴｉｃｋｅｔＩｄ＝ｔｈｉｓ．

ｔｉｃｋｅｔＧｒａｎｔｉｎｇＴｉｃｋｅｔＣｏｏｋｉｅＣ，ｅｎｅｒａｔｏｒ．ｒｅｔｒｉｅｖｅＣ，ｏｏｋｉｅＶａｌｕｅ

（ｒｅｑｕｅｓｔ）；

／／發(fā)送Ｈ，Ｉ－】［Ｐ頭信息

ｒｅｓｐｏｎｓｅ．ｓｅｔＨｅａｄｅｒ（”Ｃａｃｈｅ－Ｃｏｎｔｒｏｌ”．”ｎｏ－ｓｔｏｒｅ＂）；ｒｅｓｐｏｎｓｅ．ｓｅｔＨｅａｄｅｒ（”Ｐｒａｇｍａ”，＂ｎｏ－ｃａｃｈｅ＂）；ｒｅｓｐｏｎｓｅ．ｓｅｔＤａｔｅＨｅａｄｅｒ（＂Ｅｘｐｉｒｅｓ＂，０Ｌ）；

ｒｅｓｐｏｎｓｅ．ｓｅｔＣｏｎｔｅｎｔＴｙｐｅ（＂ｔｅｘｔ／ｊａｖａｓｃｒｉｐｔ；ｃｈａｒｓｅｔ－－ｕｆｆ－８＇９；／／若應(yīng)用服務(wù)ＵＲＬ或ＴＧＣ為空。返回空指令

ｉｆ（ｓｅｒｖｌｃｅＵｄ＝＝ｎｕｌｌ¨ｔｉｃｋｅｔＧｒａｎｔｉｎｇＴｉｃｋｅｔＩｄ＝＝ｎｕｎ）｛ｒｅｔｕｒｎｎｕｌｌ；ｌ

／／檢測到ＴＧＣ，準(zhǔn)備發(fā)送跳轉(zhuǎn)指令

ＳｅｒｖｌｅｔＯｕｔｐｕｔＳｔｒｅａｍｏｕｔ＝ｒｅｓｐｏｎｓｅ．ｇｅｔＯｕｔｐｕｔＳｔｒｅａｍ０；

畸

恤ｎａｌ

Ｗｅｂ舢】ｐＩｉ蒯咖Ｓｅ而ｃｅｓｅｒｖｉｃｅ銣囂Ⅱｍ幢ｂ血ｊ日ｃＩ理

ｅｘｔｒａｃｔＳｅｒｖｉｃｅ（ｒｅｑｕｅｓｔ）；

／／通過ＴＧＣ獲得ＳＴ

ｆｉｎａｌＳｔｒｉｎｇ

ｔｉｃｋｅｔ＝ｔｈｉｓ．ｃｅｎｔｒａｌＡｕｔｈｅｎｔｉｃａｔｉｏｎＳｅｒｖｉｃｅ．

ｇｒａｎｔＳｅｒｖｉｃｅＴｉｃｋｅｔ（ｔｉｃｋｅｔＧｌ＇ａｎｔｉｎｇＴｉｃｋｅｔＩｄ，ｓｅｒｖｉｃｅ）；

／／通過ＪａｖａＳｃｒｉｐｔ發(fā)送跳轉(zhuǎn)指令，發(fā)放ＳＴ給應(yīng)用站點，完成單點登錄動作

?

Ｓｔｒｉｎｇ

ｕｒｌ＝ｓｅｒｖｉｃｅ．ｇｅｔＲｅｓｐｏｎｓｅ（ｔｉｃｋｅｔ）．ｇｅｔＵｒｌ０；

ｏｕｔ．ｐｒｉｎｔ（＂ｗｉｎｄｏｗ．１０ｃａｔｉｏｎ＝＂＋ｕｒｌ＋”’１；｝

ｃａｔｃｈ（Ｅｘｃｅｐｔｉｏｎｅｘ）｛

ｌ／／若此過程發(fā)生異常，則返回空指令，不做操作。應(yīng)用服務(wù)仍可通過傳統(tǒng)方式進行單點登錄

現(xiàn)代遠程教育研究ｆ鯽。年１期，總１０３期Ｉ

ｒｅｔｕｒｎ

ｎｕｌｌ；

ｌ

最后，進行用戶登錄訪問頁面相關(guān)的模板定制，編譯、打包。進行該模塊的服務(wù)器部署和測試工作。?

３．用戶注冊模塊

ＪＡ—ＳＩＧ

ＣＡＳ并不包含用戶注冊模塊．因此我

們在平臺中提供了統(tǒng)一用戶注冊模塊。用戶在此模塊進行統(tǒng)一的注冊操作（填寫用戶名、密碼以及公用的用戶信息屬性）。忘記密碼的用戶也可以通過該模塊找回密碼。外部應(yīng)用系統(tǒng)可以通過跳轉(zhuǎn)或者鏈接的形式引導(dǎo)用戶進入統(tǒng)一注冊頁面。并通過ＵＲＬ參數(shù)傳遞注冊來源，以便注冊模塊在完成用戶注冊操作后正確將用戶返回到相關(guān)的應(yīng)用。

值得一提的是。外部應(yīng)用并不一定要通過統(tǒng)一的用戶注冊模塊完成用戶注冊操作?？紤]到某些應(yīng)用系統(tǒng)需要其用戶提供額外的用戶信息屬性。我們通過應(yīng)用系統(tǒng)接口模塊提供用戶注冊的ＳＯＡＰ接口，以便應(yīng)用系統(tǒng)可以通過ＡＰＩ的方式進行注冊，為應(yīng)用系統(tǒng)開發(fā)人員提供選擇上的靈活性。

４．用戶信息編輯模塊

用戶在登錄認(rèn)證之后可通過此模塊進行密碼、注冊信息修改以及通過Ｅｍａｉｌ找回登錄密碼等操作。和注冊模塊類似。外部應(yīng)用系統(tǒng)如果不包括用戶編輯模塊．可通過跳轉(zhuǎn)或鏈接的形式引導(dǎo)用戶進入編輯模塊進行修改操作。編輯模塊允許外部應(yīng)用通過ＵＲＬ傳遞應(yīng)用地址，在完成操作后返回到應(yīng)用系統(tǒng)頁面。此外。應(yīng)用系統(tǒng)接口模塊同樣提供相關(guān)的ＳＯＡＰ接口供應(yīng)用系統(tǒng)調(diào)用進行相關(guān)信息操作。所不同的是，對于用戶信息的編輯要求做接口調(diào)用時提供Ｐｒ（即代理票據(jù)）。

５．統(tǒng)一用戶管理后臺

這是一個專為平臺管理員提供的模塊，提供對用戶數(shù)據(jù)庫的管理功能，允許對用戶進行列表查看、搜索、信息編輯、啟用和禁用帳號等操作。

６．應(yīng)用系統(tǒng)接口（ＳｏＡＰ

Ｓｅｒｖｅｒ）

應(yīng)用系統(tǒng)接口模塊為應(yīng)用系統(tǒng)開發(fā)人員提供基于ＳＯＡＰ的用戶信息訪問和操作接口，這個模塊的存在既防止了由于外部應(yīng)用隨意讀寫數(shù)據(jù)庫帶來的安全性問題。又為應(yīng)用開發(fā)人員提供了操作上的便利。對于開發(fā)人員而言，該模塊就是一個ＳＯＡＰ服務(wù)器。目前主流的Ｗｅｂ開發(fā)工具均能找到ＳｏＡＰ客戶端代碼庫．因而通過ＳＯＡＰ提供遠程調(diào)用接口完全滿足跨平臺支持的需求。目前該模塊提供如下

萬方數(shù)據(jù)

基于ＪＡ—ＳＩＧＣＡＳ

一認(rèn)證平臺的設(shè)計和實現(xiàn)【技術(shù)應(yīng)用】

５個接口：用戶信息獲取接口、新用戶注冊接口、登錄用戶信息更新接口、用戶密碼修改接口以及用戶

Ｅｍａｉｌ驗證狀態(tài)設(shè)置接口。

上述接口中。除了新用戶注冊接口不需要進行用戶身份認(rèn)證之外．其余接口均需要調(diào)用接口的應(yīng)用系統(tǒng)通過代理認(rèn)證過程獲得Ｐｒ．并在調(diào)用接口時傳遞Ｐｒｒ參數(shù)以標(biāo)識相關(guān)操作的目標(biāo)用戶。

在錯誤處理方面。我們采用不同的ＳＯＡＰ異常信息來區(qū)分錯誤的類型，應(yīng)用開發(fā)人員可以根據(jù)在ＳＯＡＰ調(diào)用代碼中捕捉到的異常信息做相應(yīng)的處理。

四、基于ＪＡ—ＳｌＧＣＡＳ統(tǒng)一認(rèn)證平臺的應(yīng)用

整合方案

如圖２所示。應(yīng)用系統(tǒng)需要將用戶登錄認(rèn)證、用戶注冊以及用戶信息更新等操作與統(tǒng)一認(rèn)證平臺進行整合。由于不同應(yīng)用系統(tǒng)結(jié)構(gòu)也不盡相同，因此整合應(yīng)用到統(tǒng)一認(rèn)證平臺的步驟并不是固定不變的。為了降低整合過程中應(yīng)用系統(tǒng)的修改工作、提高相關(guān)模塊的運行效率，我們建議應(yīng)用系統(tǒng)開發(fā)人員從以下幾個方面考慮統(tǒng)一認(rèn)證平臺具體整合方案：

１．用戶數(shù)據(jù)庫

對于新開發(fā)的應(yīng)用系統(tǒng)，整合ＣＡＳ認(rèn)證并不一定要求維護本地用戶數(shù)據(jù)庫。應(yīng)用系統(tǒng)完全可以直接通過統(tǒng)一認(rèn)證平臺提供的多種接口方式進行必要的認(rèn)證和用戶數(shù)據(jù)修改工作。但使用遠程調(diào)用或Ｈ１ｒ即跳轉(zhuǎn)的方式資源消耗比直接訪問本地數(shù)據(jù)要高。效率相對也較低，所以通常建議開發(fā)人員在整合統(tǒng)一認(rèn)證接口時考慮建立本地用戶數(shù)據(jù)庫，隨時將通過遠程調(diào)用接口獲取的用戶數(shù)據(jù)同步到本地。在這里。本地數(shù)據(jù)庫起到緩存的作用，用以提高認(rèn)證后的數(shù)據(jù)訪問效率．同時減輕統(tǒng)一認(rèn)證平臺的系統(tǒng)負(fù)擔(dān)。

而對于已存在的、需要將認(rèn)證部分整合到統(tǒng)一認(rèn)證平臺的應(yīng)用系統(tǒng)，則不需要另外增加本地用戶數(shù)據(jù)庫。只需考慮數(shù)據(jù)同步的問題。對于應(yīng)用系統(tǒng)已有的而統(tǒng)一認(rèn)證系統(tǒng)沒有的用戶，可以通過ＳｏＡＰ注冊接口批量導(dǎo)入，用戶的唯一性根據(jù)其注冊的Ｅｍａｉｌ來確定。

２．本地用戶會話（Ｓｅｓｓｉｏｎ）管理

直接ＣＡＳ認(rèn)證過程需要經(jīng)過兩次Ｈ１ｆｒＰ跳轉(zhuǎn)，開銷較大．因此建議開發(fā)人員在用戶通過認(rèn)證之

?７１?

【技術(shù)ｌ芝?。。欤炷?！壘二！恒里壘皇塹二墜里堊壘塑塑生?。?！嬰

后，建立本地會話用以標(biāo)識用戶身份，避免經(jīng)常性地跳轉(zhuǎn)至ＣＡＳ查詢用戶登錄狀態(tài)。另外要注意在用戶進行注銷操作時，需要先銷毀本地會話記錄．再轉(zhuǎn)至ＣＡＳ注銷接口。

３．用戶信息編輯模塊整合方式

統(tǒng)一認(rèn)證平臺已經(jīng)提供了用戶信息編輯模塊，所以通常情況下應(yīng)用系統(tǒng)僅需要將編輯操作鏈接指向該模塊地址即可。特殊情況下。例如應(yīng)用系統(tǒng)需要用戶填寫額外的用戶信息。則需要在本地數(shù)據(jù)庫保存此類數(shù)據(jù)．并自行提供針對本系統(tǒng)的用戶編輯模塊。保存相關(guān)數(shù)據(jù)時。若涉及到統(tǒng)一用戶數(shù)據(jù)庫的數(shù)據(jù)，需通過ＳＯＡＰ接口將相關(guān)數(shù)據(jù)同步到統(tǒng)一用戶數(shù)據(jù)庫。開發(fā)人員可以根據(jù)需要在方便性與靈活性之間作出選擇。

參考文獻：

【Ｉ］Ｓｉｎｇｌｅｓｉｇｎ－－ｏｎｉｘＢ／０Ｌ】．［２００９－９－３０］．ｈｔｔｐ：／／ｅｎ．ｗｉｋｉｐｅｄｉａ．

ｏｒｇ／ｗｉｋｉ／Ｓｉｎｇｈ＿ｓｉｇｎ－ｏｎ．

如果沒有特別標(biāo)明ＣＡＳ協(xié)議。ＣＡＳ縮寫均表示ＪＡ—ＳＩＧ

ＣＡＳ。

（霪）ｈｔｔｐ：／／ｃｏｄｅ．ｇｏｏｇｌｅ．ｃｏｍ／ｐ／ｒｕｂｙｃａｓ－ｓｅｒｖｅｒ／（勤Ａ－ｓＩＧＣＡＳ最初于２００１年由耶魯大學(xué)（Ｙａｌｅ

Ｕｎｉｖｅｒｓｉｔｙ）

開發(fā)。因而又稱ＹａｌｅＣＡＳ。關(guān)于ＪＡ—固ＧＣＡＳ的發(fā)展歷史可以參閱其官方網(wǎng)站。

（勁Ａ—ＳＩＧＣＡＳ基于Ｓｐｒｉｎｇ框架開發(fā)．關(guān)于該框架的信

息可參見：ｈｔｔｐ：／／ｗｗｗ．ｓｐｒｉｎｇｓｏｕｒｃｅ．ｏ，ｇ／。

［２１ＣＡＳ

ｌ

Ａｒｃｈｉｔｅｃｔｕｒｅ［ＥＢ／ＯＬ］．［２００９－９－３０１．ｈｔｔｐ：／／ｗｗｗ．

ｊａｓｉｇ．ｏｒｇ／ｃａｓ／ｃａｓｌ－ａｒｃｈｉｔｅｃｔｕｒｅ，２００９．

【３］ＣＡＳ

２

Ａｒｃｈｉｔｅｃｔｕｒｅ［ＥＢ／ＯＬ］．［２００９—９－３０１．ｈｔｔｐ：／／ｗｗｗ．

五、結(jié)束語

本文介紹的基于ＪＡ－ＳＩＧＣＡＳ的統(tǒng)一認(rèn)證平臺從統(tǒng)一用戶認(rèn)證管理以及應(yīng)用系統(tǒng)整合出發(fā)，目標(biāo)在于提供一個完整的多網(wǎng)站統(tǒng)一認(rèn)證解決方案。平臺可為大型機構(gòu)多個Ｗｅｂ應(yīng)用系統(tǒng)提供統(tǒng)一的可靠用戶認(rèn)證和用戶管理功能．為系統(tǒng)終端用戶提供使用上的便利，同時為應(yīng)用系統(tǒng)開發(fā)人員提供跨平臺、多語言支持以及便于實施的整合方案。研究下一步將對ＣＡＳ模塊進行性能上的優(yōu)化，提高平臺延展性使其能夠支持海量用戶數(shù)據(jù)。

ｊａｓｉｇ．ｏｒｇ／ｃａｓ／ｃａｓ２－ａｒｃｈｉｔｅｃｔｕｒｅ，２００９．

ｆ４舟腳＆刪，Ｈ【榭ｄ

Ｇ曲瞰，Ａｎｄｙ

Ｎｅｗｍａｎ、ＡｌｄｌｅｗＰｅｎｏ

（２００５）．ＣＡＳ

Ｐｒｏｔｏｃｏｌ【ＥＢ／ＯＨ．【２００９－９－３０１．ｈｔｔｐ：／／ｗｗｗ．ｊａｓｉｇ．

ｏｒｇ／ｃａｓ／ｐｒｏｔｏｃ０１．

【５】沈杰，朱程榮（２００７）．基于Ｙａｌｅ—ＣＡＳ的單點登錄的設(shè)計與實現(xiàn)【Ｊ】．計算機技術(shù)與發(fā)展，１７（１２）：１４４—１４６．

責(zé)任編輯汪燕

作者簡介：

蔡永州，碩士研究生，中國科學(xué)技術(shù)大學(xué)現(xiàn)代教育

技術(shù)中心，安徽合肥２３００２６

吳敏，教授，巾國科學(xué)技術(shù)大學(xué)現(xiàn)代教育技術(shù)中心，

安徽合肥２３００２６

收稿日期：２００９＿０９—３０

注釋：

（Ｄ由于縮寫ＣＡＳ既可以表示ＣＡＳ協(xié)議．叉可以表示

ＪＡ—ＳＩＧＣＡＳ（即ＣＡＳ服務(wù)器軟件）。為避免混淆，本文約定：

（上接第３６頁）

參考文獻：

【１１陳麗（２００４）．遠程教育學(xué)基礎(chǔ)ＩＭ］．北京：高等教育出版

社：１６—２１．

作者簡介：

泰換魚，碩’ｆ：研究生，徐州師范大學(xué)信息傳播學(xué)院，

汀蘇徐州２２１００９

【２】周禮良（２００５）．現(xiàn)代遠程教育學(xué)習(xí)論［ＭＩ．長沙：中南大

學(xué)出版社：４１—４２．

楊成，教授，碩：｝：生導(dǎo)師，徐州師范大學(xué)信息傳播

學(xué)院，江蘇徐州２２１００９

收稿日期：２００９一ｌｌ一３０

牢基金項目：江蘇省教育科學(xué)“十一五”規(guī)劃２００８年課題《Ｄ／２００８／０１／１８６）。徐州師范大學(xué)人文社會科學(xué)培育課題（０７ＰＹＷ０３）：江蘇教育技術(shù)３０年發(fā)展史研究（１９７８—２００８ｌ。

【３１中國網(wǎng)教學(xué)習(xí)卡重拳出擊國內(nèi)遠程教育市場掀波瀾【ＥＢ／ＯＬ］．ｆ２００９—０６－０ｌ】．ｈｔｔｐ：／／ｂｌｏｇ．１６３．ｃｏｍ／ｋｙｈｌｈｌ２３／ｂｌｏｇ／

ｓｔａｔｉｃ／７８８０８６３６２００９５１４４８２７１７４／．

【４凋靈丹，湯立新（２００８）．高校優(yōu)質(zhì)資源共享與提升高等

教育質(zhì)量的研究【Ｊ１．職教探索與研究，（３）：３８－４１．

責(zé)任編輯江穎

?７２?

現(xiàn)代遠程教育研究Ｉ

２０１０年１期，總１０３期ｌ

萬方數(shù)據(jù)

基于JA-SIG CAS統(tǒng)一認(rèn)證平臺的設(shè)計和實現(xiàn)

作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：

被引用次數(shù)：蔡永州， 吳敏， Cai Yongzhou， Wu Min中國科學(xué)技術(shù)大學(xué)現(xiàn)代教育技術(shù)中心,安徽合肥,230026現(xiàn)代遠程教育研究MODERN DISTANCE EDUCATION RESEARCH2010，""(1)0次

參考文獻(5條)

1. Single sign-on 2009

2. CAS 1 Architecture 2009

3. CAS 2 Architecture 2009

4. Susan Bramhall. Howard Gilbert. Andy Newman. Andrew Petro CAS Protocol 2009

5. 沈杰. 朱程榮 基于Yale-CAS的單點登錄的設(shè)計與實現(xiàn) 2007(12)

相似文獻(1條)

1.學(xué)位論文 蔡永州 基于JASIG-CAS的統(tǒng)一認(rèn)證平臺研究及其系統(tǒng)設(shè)計和實現(xiàn) 2010

隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，越來越多的Web 應(yīng)用程序被用于支持各種機構(gòu)的日常工作。在一些教育系統(tǒng)、政府和企事業(yè)等組織，由于不斷地引進各類系統(tǒng)，不同系統(tǒng)又分別具有獨立的用戶管理和認(rèn)證子系統(tǒng)，因而管理不同系統(tǒng)用戶的工作隨著系統(tǒng)和用戶數(shù)量的增長越來越顯得繁重。對于系統(tǒng)終端用戶而言，同一機構(gòu)的不同業(yè)務(wù)系統(tǒng)需要重復(fù)的注冊和認(rèn)證，不僅使用上不方便并且容易造成混亂。為上述大型機構(gòu)提供一個可靠的統(tǒng)一用戶身份認(rèn)證機制、使其能夠進行統(tǒng)一的用戶信息（登錄名、用戶密碼以及各系統(tǒng)公用的用戶屬性信息）管理是本文研究的主要問題。
　　

本文首先調(diào)研和分析了主流的統(tǒng)一認(rèn)證平臺單點登錄解決方案的技術(shù)基礎(chǔ)，并對各方案的優(yōu)點與缺點進行了分析。其次，從統(tǒng)一認(rèn)證平臺的功能需求、性能需求、開發(fā)模式、架構(gòu)方案、技術(shù)開發(fā)框架和系統(tǒng)配置環(huán)境等軟件工程角度，對統(tǒng)一認(rèn)證平臺做了分析與設(shè)計，依據(jù)系統(tǒng)需求提出了系統(tǒng)的數(shù)據(jù)庫設(shè)計與系統(tǒng)設(shè)計框架結(jié)構(gòu)。再次，論述了基于JA-SIG CAS的統(tǒng)一認(rèn)證平臺的認(rèn)證應(yīng)用思想與技術(shù)方法，剖析了基于JA-SIG CAS的統(tǒng)一認(rèn)證平臺各模塊的設(shè)計與實現(xiàn)。接著，從高性能需求的角度探討了統(tǒng)一認(rèn)證平臺的可延展部署架構(gòu)。最后，作者對本文的研究結(jié)論進行概括，并指出研究中存在的問題，給后續(xù)研究者提供參考。
　　

在這里增加二、三句對你上述工作的成果進行評測和評價。作者期望基于JA-SIG CAS的統(tǒng)一認(rèn)證平臺能夠為大型提供支持多平臺的優(yōu)化的應(yīng)用系統(tǒng)整合方案，提高用戶的系統(tǒng)管理效率。

本文鏈接：http://d.wanfangdata.com.cn/Periodical_xdycjyyj201001016.aspx

下載時間：2010年12月9日