基于web服務(wù)單點(diǎn)登錄設(shè)計(jì)與實(shí)現(xiàn)

1、2006年第4期(總第74期)沿海企業(yè)與科技COASTALENTERPRISESANDSCIENCE并且結(jié)合WebService提供一個(gè)簡單的單點(diǎn)登錄技術(shù)的實(shí)現(xiàn)對(duì)其關(guān)鍵部分的開發(fā)思想進(jìn)行了詳細(xì)說明?！娟P(guān)鍵詞】SSOADWebService.Net【中圖分類號(hào)】F270.7【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】10077723(2006)04007702隨著信息技術(shù)的迅猛發(fā)展企業(yè)管理越來越離不開信息技術(shù)的支持在信息化建設(shè)的過程中企業(yè)會(huì)引入各種不同的

2、應(yīng)用系統(tǒng)和信息管理系統(tǒng)和其他一些業(yè)務(wù)支撐平臺(tái)如電子郵件系統(tǒng)、MIS、OA、ERP等等?；跇I(yè)務(wù)上的需要這些系統(tǒng)都需要對(duì)使用人員進(jìn)行身份認(rèn)證和權(quán)限管理以保證企業(yè)工作效率及資源安全但由于這些不同的系統(tǒng)間存在著獨(dú)立的用戶認(rèn)證和權(quán)限管理機(jī)制在這種情況下暴露出了以下問題:首先用戶帳戶信息分散在各個(gè)系統(tǒng)增加了應(yīng)用系統(tǒng)的管理和維護(hù)成本而且不同系統(tǒng)間缺乏用戶數(shù)據(jù)同步造成嚴(yán)重的安全隱患。其次用戶在各個(gè)系統(tǒng)中可能設(shè)置了不同的密碼需要記憶縱多的密碼成為用戶的

3、一個(gè)沉重的負(fù)擔(dān)。在這種情況下企業(yè)必須投入大量資源用于解決用戶遺忘密碼不但增加了費(fèi)用而且降低了效率同時(shí)還要承受對(duì)帳戶信息保管不善造成的后果。圖1傳統(tǒng)的系統(tǒng)SingleSignOn(SSO)單點(diǎn)登錄技術(shù)是一種認(rèn)證和授權(quán)機(jī)制它允許注冊(cè)用戶只需要在任一系統(tǒng)上登錄一次而后授權(quán)訪問其他系統(tǒng)無需再進(jìn)行登錄。利用SSO技術(shù)可以集中身份認(rèn)證服務(wù)用戶只需登錄一次就能夠任意訪問企業(yè)內(nèi)的各種應(yīng)用服務(wù)和信息資源而不需要多次輸入的認(rèn)證信息。SSO登錄方式減少了在不

4、同系統(tǒng)中登錄耗費(fèi)的時(shí)間避免了處理和保存多套系統(tǒng)用戶的認(rèn)證信息減少了系統(tǒng)管理員管理用戶權(quán)限的時(shí)間增加了管理的便利性大大增加系統(tǒng)的安全性。圖2使用SSO的系統(tǒng)一、系統(tǒng)描述本次研究的主要目的在于提出一個(gè)簡單的基于WebService的SSO模型以及在該模式下相互認(rèn)證的SSO的服務(wù)架構(gòu)因前述的相關(guān)問題接下來將說明本次研究所提出系統(tǒng)架構(gòu)的概念、系統(tǒng)流程及架構(gòu)。二、單點(diǎn)登錄分類按照現(xiàn)在的單點(diǎn)登錄應(yīng)用情況可劃分為三種單點(diǎn)登錄類型:AD單點(diǎn)登錄、WEB

5、單點(diǎn)登錄和企業(yè)單點(diǎn)登錄。(一)AD單點(diǎn)登錄AD單點(diǎn)登錄是建立在MicrosoftWindowsActiveDirectory(AD)服務(wù)上的WindowsIntegratedSecurity。如果應(yīng)用程序建立在這種通用的安全系統(tǒng)之上應(yīng)用程序便具有SSO的功能。如微軟的Exchange服務(wù)器每次登錄到Windows域后當(dāng)打開Outlook它能自動(dòng)登錄到郵件服務(wù)器上而不需要再重新輸入密碼登錄。(二)WEB單點(diǎn)登錄WEB單點(diǎn)登錄是專門針對(duì)We

6、b應(yīng)用程序的SSO機(jī)制使用一個(gè)公司的網(wǎng)絡(luò)應(yīng)用時(shí)每一次會(huì)話只需輸入一次帳戶和密碼調(diào)用另外一個(gè)公司的應(yīng)用時(shí)SSO可以讓用戶在第二個(gè)公司的應(yīng)用上再次登錄。WebSSO是在外部網(wǎng)絡(luò)上兩個(gè)企業(yè)一商業(yè)合同的形式建立的安全關(guān)系使得用戶從一個(gè)企業(yè)登錄后可以進(jìn)入另一個(gè)企業(yè)的網(wǎng)絡(luò)而不用再次提供登錄憑據(jù)。如Microsoft的Passport認(rèn)證。(三)企業(yè)單點(diǎn)登錄企業(yè)單點(diǎn)登錄是企業(yè)內(nèi)部EAI環(huán)境用中間件集成多種驗(yàn)證機(jī)制實(shí)現(xiàn)多種系統(tǒng)來整體的解決方案。三、We

7、bServiceWebService是基于網(wǎng)絡(luò)的、分布式的模塊化組件執(zhí)行特定的任務(wù)遵守具體的技術(shù)規(guī)范是自包含、自描述、模塊化的應(yīng)用可以在網(wǎng)絡(luò)(通常為Web)中被描述、發(fā)布、查找以及通過Web來調(diào)用。WebServices是以Web的開放標(biāo)準(zhǔn)為基礎(chǔ)其最基本的是HTTP和XML。WebServices與相關(guān)的標(biāo)準(zhǔn)有:UDDI(UniversalDescriptionDiscoveryandIntegration):提供注冊(cè)與搜尋WebSer

8、vice信息的一個(gè)標(biāo)準(zhǔn)。WSDL(WebServiceDescriptionLanguage):描述一個(gè)Web【收稿日期】20060203【作者簡介】王慧(1978)女廣西桂林人柳州職業(yè)技術(shù)學(xué)院助教研究方向:計(jì)算機(jī)應(yīng)用、計(jì)算機(jī)網(wǎng)絡(luò)。77Services的運(yùn)作方式以及指示客戶端與它可能的互動(dòng)方式。SOAP(SimpleObjectAccessProtocol):在網(wǎng)上交換結(jié)構(gòu)化和型別信息的一種通訊協(xié)議。由于WebService是跨平臺(tái)的所

9、以十分適用于實(shí)現(xiàn)SSO的服務(wù)在WebService的開發(fā)架構(gòu)之下任何系統(tǒng)都可以調(diào)用本平臺(tái)的服務(wù)經(jīng)行身份管理和認(rèn)證管理。四、系統(tǒng)架構(gòu)在本系統(tǒng)架構(gòu)中有四個(gè)重要角色認(rèn)證授權(quán)服務(wù)器、WebService服務(wù)器、應(yīng)用程序、用戶。認(rèn)證授權(quán)管理服務(wù)器是一臺(tái)專門負(fù)責(zé)用戶信息管理、授權(quán)發(fā)布認(rèn)證票據(jù)、及身份驗(yàn)證的數(shù)據(jù)庫服務(wù)器該服務(wù)器上存放著用戶基本信息、授權(quán)記錄、及用戶在登錄應(yīng)用系統(tǒng)時(shí)產(chǎn)生的身份驗(yàn)證票據(jù)。WebService是一個(gè)面向用戶和應(yīng)用程序的服務(wù)接

10、口提供SSO系統(tǒng)的對(duì)外接口。系統(tǒng)的服務(wù)通過WebService發(fā)布在網(wǎng)絡(luò)上各種應(yīng)用程序可通過SOAP協(xié)議調(diào)用這些服務(wù)。WebService服務(wù)器在本架構(gòu)下負(fù)責(zé)與認(rèn)證授權(quán)服務(wù)器進(jìn)溝通與傳遞信息是用戶與認(rèn)證授權(quán)服務(wù)器和應(yīng)用程序與認(rèn)證授權(quán)服務(wù)器之間的橋梁。應(yīng)用程序是向用戶提供最終服務(wù)的軟件系統(tǒng)。用戶即一般的使用者是應(yīng)用系統(tǒng)的最終用戶。圖3五、系統(tǒng)流程1.用戶需要訪問某個(gè)應(yīng)用系統(tǒng)向WebService服務(wù)器提出身份認(rèn)證請(qǐng)求。2.WebServi

11、ce服務(wù)器響應(yīng)用戶的請(qǐng)求并把用戶的基本信息提交到認(rèn)證授權(quán)服務(wù)器。3.認(rèn)證授權(quán)服務(wù)器確認(rèn)用戶信息后返回一條用戶合法的登錄票據(jù)并記錄該票據(jù)信息。為保證系統(tǒng)的安全性每個(gè)用戶的票據(jù)只在其當(dāng)次會(huì)話過程中有效離開其當(dāng)次會(huì)話票據(jù)即被視作無效。4.WebService服務(wù)器接收認(rèn)證結(jié)果并把該結(jié)果返回給用戶。5.用戶接收到登錄票據(jù)后便向把該票據(jù)發(fā)到應(yīng)用系統(tǒng)請(qǐng)求服務(wù)。6.在不同的系統(tǒng)切換過程中應(yīng)用系統(tǒng)會(huì)向WebService服務(wù)器申請(qǐng)用戶當(dāng)前票據(jù)是否合法。

12、7.WebService服務(wù)器會(huì)將該票據(jù)返回到認(rèn)證授權(quán)服務(wù)器予以確認(rèn)。8.認(rèn)證授權(quán)服務(wù)器將給票據(jù)與原來登錄的票據(jù)對(duì)比并返回結(jié)果。9.用戶登錄到其有權(quán)可以使用的應(yīng)用系統(tǒng)使用其提供的服務(wù)。六、SSO實(shí)現(xiàn)針對(duì)本系統(tǒng)的基本情況由于微軟的dotNet對(duì)WebService有較好的支持我們采用dotNet為開發(fā)平臺(tái)。有三大部分?jǐn)?shù)據(jù)訪問控制、業(yè)務(wù)邏輯控制和WebService服務(wù)接口。(一)核心的業(yè)務(wù)邏輯控制類信息1.AuthenticationCl

13、ass。用戶認(rèn)證管理類通過對(duì)用戶的身份認(rèn)證的具體邏輯控制實(shí)現(xiàn)。2.UserClass。用戶管理類統(tǒng)一用戶管理接口提供用戶信息管理和密碼管理等服務(wù)。3.RoleClass。系統(tǒng)用戶角色管理角色是具有相同權(quán)限用戶的組是權(quán)限分配的單位與載體。權(quán)限不會(huì)直接分配給特定的用戶用戶要擁有對(duì)某種資源的權(quán)限必須通過角色去關(guān)聯(lián)。一個(gè)用戶可以屬于多個(gè)角色一個(gè)角色可以包括多個(gè)用戶。4.TicketClass。用戶登錄票據(jù)類票據(jù)是用戶身份的唯一標(biāo)志同時(shí)包括了用戶

14、的系統(tǒng)授權(quán)信息。該票據(jù)在不同的系統(tǒng)中傳輸用于用戶的身份識(shí)別。5.AppSystemClass。管理應(yīng)用系統(tǒng)記錄信息。該類登記了現(xiàn)有的軟件服務(wù)系統(tǒng)信息用于對(duì)軟件服務(wù)系統(tǒng)的管理。6.PermissionClass。對(duì)用戶授權(quán)管理。權(quán)限是綁定在特定的資源實(shí)例上的即權(quán)限是角色與的軟件服務(wù)系統(tǒng)的關(guān)聯(lián)。(二)WebService設(shè)計(jì).NET平臺(tái)對(duì)Webservice的構(gòu)建和使用有很好的支持。與其它開發(fā)平臺(tái)不同使用.NET平臺(tái)不需要其他的工具或者SD

15、K就可以完成Webservice的開發(fā)。.NETFramework本身就全面支持Webservice包括服務(wù)器端的請(qǐng)求處理器和對(duì)客戶端發(fā)送和接受SOAP消息的支持。1.SysManagementServiceSysManagementService是SSO系統(tǒng)管理的WebService接口提供對(duì)系統(tǒng)用戶管理、角色管理、應(yīng)用系統(tǒng)管理和授權(quán)管理。應(yīng)用程序可以通過該接口訪問到系統(tǒng)管理的信息。2.AuthorizationServiceAuth

16、orizationService提供對(duì)認(rèn)證、審核和權(quán)限訪問控制的業(yè)務(wù)接口應(yīng)用程序可以調(diào)用戶該服務(wù)驗(yàn)證用戶的身份和權(quán)限但到單點(diǎn)登錄的目的。圖4系統(tǒng)核心類圖七、結(jié)語單點(diǎn)登錄統(tǒng)一了登錄用戶認(rèn)證信息訪問標(biāo)準(zhǔn)減少了在不同系統(tǒng)中的系統(tǒng)用戶的認(rèn)證管理加強(qiáng)了資源的集中控制為用戶減少記憶用戶名稱和密碼節(jié)省時(shí)間。為各種系統(tǒng)整合提供了先決條件為更進(jìn)一步的用戶服務(wù)打下了基礎(chǔ)?！緟⒖嘉墨I(xiàn)】[1]SimonRobinson等編著.C#高級(jí)編程(第2版)[M].北京