面向Apaache的單點登錄系統(tǒng)集成技術(shù)研究.pdf

1、伴隨著信息社會的到來，網(wǎng)絡(luò)已經(jīng)成為了人們生活中不可或缺的工具，越來越多地影響著人們的生活方式;不同種類的應(yīng)用系統(tǒng)給人們帶來便捷的同時，也帶來了用戶名和密碼繁多不便記憶以及網(wǎng)絡(luò)信息泄露等安全問題。傳統(tǒng)的身份認證都是在應(yīng)用系統(tǒng)端添加相應(yīng)模塊，使其具有認證授權(quán)功能，但是種類繁多的應(yīng)用系統(tǒng)往往屬于多個組織，這給用戶名的管理帶來很大的不便;而且再對應(yīng)用系統(tǒng)進行相應(yīng)功能升級時，也會使工作重復(fù)，降低效率。
　　 為了解決以上問題，本文通過研究

2、Apache的模塊開發(fā)技術(shù)和SAML協(xié)議原理，在對Apache的模塊體系架構(gòu)，過濾器模塊等機制進行深入了解之后，研究開發(fā)了一種嵌入在Apache服務(wù)器端的身份服務(wù)集成系統(tǒng)，提供了一種安全高效的Web服務(wù)平臺。本文主要研究實現(xiàn)了基于SAML協(xié)議的單點登錄系統(tǒng)，使得用戶在訪問同一信任域里的不同應(yīng)用系統(tǒng)時，只需輸入一次用戶名和口令即可方便快捷的訪問所有Web應(yīng)用系統(tǒng)，解決了用戶重復(fù)登錄的繁瑣和信息安全問題;由于網(wǎng)絡(luò)服務(wù)認證方式有很多種，本文針

3、對較常用的Basic，F(xiàn)orm和kerberos身份認證方式，分別實現(xiàn)了基于SAML的身份認證服務(wù)集成系統(tǒng)，兩者的主要區(qū)別在于用戶信息的傳遞方式不同?；贐asic認證方式的系統(tǒng)主要進行了請求攔截、Cookie檢測、重定向、斷言解析及頭部修改等操作;基于Form表單的認證方式，由于Apache自身并不攜帶此種認證方式，因此我們設(shè)計實現(xiàn)了基于Form的身份認證方式，解決了HTTP方式傳輸?shù)陌踩珕栴}，并且此系統(tǒng)還對生成的Cookie進行了R

4、C4加密。面向kerberos認證方式的系統(tǒng)，在作為反向代理服務(wù)器時，會調(diào)用相應(yīng)接口函數(shù)連接KDC，生成token，并修改請求頭部，將token添加進去，引導(dǎo)用戶重新進行請求驗證。
　　 總的來說，這是對Web應(yīng)用系統(tǒng)完全透明的身份認證集成服務(wù)，在不修改Web應(yīng)用系統(tǒng)的前提下，實現(xiàn)了在Apache服務(wù)器端進行身份認證服務(wù)的單點登錄系統(tǒng)，解決了早期Web應(yīng)用系統(tǒng)的單點登錄實現(xiàn)問題，降低了實現(xiàn)難度，提升了開發(fā)效率，具有一定的可操作性