基于web服務單點登錄設計與實現

1、2006年第4期(總第74期)沿海企業(yè)與科技COASTALENTERPRISESANDSCIENCE并且結合WebService提供一個簡單的單點登錄技術的實現對其關鍵部分的開發(fā)思想進行了詳細說明?！娟P鍵詞】SSOADWebService.Net【中圖分類號】F270.7【文獻標識碼】A【文章編號】10077723(2006)04007702隨著信息技術的迅猛發(fā)展企業(yè)管理越來越離不開信息技術的支持在信息化建設的過程中企業(yè)會引入各種不同的

2、應用系統(tǒng)和信息管理系統(tǒng)和其他一些業(yè)務支撐平臺如電子郵件系統(tǒng)、MIS、OA、ERP等等。基于業(yè)務上的需要這些系統(tǒng)都需要對使用人員進行身份認證和權限管理以保證企業(yè)工作效率及資源安全但由于這些不同的系統(tǒng)間存在著獨立的用戶認證和權限管理機制在這種情況下暴露出了以下問題:首先用戶帳戶信息分散在各個系統(tǒng)增加了應用系統(tǒng)的管理和維護成本而且不同系統(tǒng)間缺乏用戶數據同步造成嚴重的安全隱患。其次用戶在各個系統(tǒng)中可能設置了不同的密碼需要記憶縱多的密碼成為用戶的

3、一個沉重的負擔。在這種情況下企業(yè)必須投入大量資源用于解決用戶遺忘密碼不但增加了費用而且降低了效率同時還要承受對帳戶信息保管不善造成的后果。圖1傳統(tǒng)的系統(tǒng)SingleSignOn(SSO)單點登錄技術是一種認證和授權機制它允許注冊用戶只需要在任一系統(tǒng)上登錄一次而后授權訪問其他系統(tǒng)無需再進行登錄。利用SSO技術可以集中身份認證服務用戶只需登錄一次就能夠任意訪問企業(yè)內的各種應用服務和信息資源而不需要多次輸入的認證信息。SSO登錄方式減少了在不

4、同系統(tǒng)中登錄耗費的時間避免了處理和保存多套系統(tǒng)用戶的認證信息減少了系統(tǒng)管理員管理用戶權限的時間增加了管理的便利性大大增加系統(tǒng)的安全性。圖2使用SSO的系統(tǒng)一、系統(tǒng)描述本次研究的主要目的在于提出一個簡單的基于WebService的SSO模型以及在該模式下相互認證的SSO的服務架構因前述的相關問題接下來將說明本次研究所提出系統(tǒng)架構的概念、系統(tǒng)流程及架構。二、單點登錄分類按照現在的單點登錄應用情況可劃分為三種單點登錄類型:AD單點登錄、WEB

5、單點登錄和企業(yè)單點登錄。(一)AD單點登錄AD單點登錄是建立在MicrosoftWindowsActiveDirectory(AD)服務上的WindowsIntegratedSecurity。如果應用程序建立在這種通用的安全系統(tǒng)之上應用程序便具有SSO的功能。如微軟的Exchange服務器每次登錄到Windows域后當打開Outlook它能自動登錄到郵件服務器上而不需要再重新輸入密碼登錄。(二)WEB單點登錄WEB單點登錄是專門針對We

6、b應用程序的SSO機制使用一個公司的網絡應用時每一次會話只需輸入一次帳戶和密碼調用另外一個公司的應用時SSO可以讓用戶在第二個公司的應用上再次登錄。WebSSO是在外部網絡上兩個企業(yè)一商業(yè)合同的形式建立的安全關系使得用戶從一個企業(yè)登錄后可以進入另一個企業(yè)的網絡而不用再次提供登錄憑據。如Microsoft的Passport認證。(三)企業(yè)單點登錄企業(yè)單點登錄是企業(yè)內部EAI環(huán)境用中間件集成多種驗證機制實現多種系統(tǒng)來整體的解決方案。三、We

7、bServiceWebService是基于網絡的、分布式的模塊化組件執(zhí)行特定的任務遵守具體的技術規(guī)范是自包含、自描述、模塊化的應用可以在網絡(通常為Web)中被描述、發(fā)布、查找以及通過Web來調用。WebServices是以Web的開放標準為基礎其最基本的是HTTP和XML。WebServices與相關的標準有:UDDI(UniversalDescriptionDiscoveryandIntegration):提供注冊與搜尋WebSer

8、vice信息的一個標準。WSDL(WebServiceDescriptionLanguage):描述一個Web【收稿日期】20060203【作者簡介】王慧(1978)女廣西桂林人柳州職業(yè)技術學院助教研究方向:計算機應用、計算機網絡。77Services的運作方式以及指示客戶端與它可能的互動方式。SOAP(SimpleObjectAccessProtocol):在網上交換結構化和型別信息的一種通訊協(xié)議。由于WebService是跨平臺的所

9、以十分適用于實現SSO的服務在WebService的開發(fā)架構之下任何系統(tǒng)都可以調用本平臺的服務經行身份管理和認證管理。四、系統(tǒng)架構在本系統(tǒng)架構中有四個重要角色認證授權服務器、WebService服務器、應用程序、用戶。認證授權管理服務器是一臺專門負責用戶信息管理、授權發(fā)布認證票據、及身份驗證的數據庫服務器該服務器上存放著用戶基本信息、授權記錄、及用戶在登錄應用系統(tǒng)時產生的身份驗證票據。WebService是一個面向用戶和應用程序的服務接

10、口提供SSO系統(tǒng)的對外接口。系統(tǒng)的服務通過WebService發(fā)布在網絡上各種應用程序可通過SOAP協(xié)議調用這些服務。WebService服務器在本架構下負責與認證授權服務器進溝通與傳遞信息是用戶與認證授權服務器和應用程序與認證授權服務器之間的橋梁。應用程序是向用戶提供最終服務的軟件系統(tǒng)。用戶即一般的使用者是應用系統(tǒng)的最終用戶。圖3五、系統(tǒng)流程1.用戶需要訪問某個應用系統(tǒng)向WebService服務器提出身份認證請求。2.WebServi

11、ce服務器響應用戶的請求并把用戶的基本信息提交到認證授權服務器。3.認證授權服務器確認用戶信息后返回一條用戶合法的登錄票據并記錄該票據信息。為保證系統(tǒng)的安全性每個用戶的票據只在其當次會話過程中有效離開其當次會話票據即被視作無效。4.WebService服務器接收認證結果并把該結果返回給用戶。5.用戶接收到登錄票據后便向把該票據發(fā)到應用系統(tǒng)請求服務。6.在不同的系統(tǒng)切換過程中應用系統(tǒng)會向WebService服務器申請用戶當前票據是否合法。

12、7.WebService服務器會將該票據返回到認證授權服務器予以確認。8.認證授權服務器將給票據與原來登錄的票據對比并返回結果。9.用戶登錄到其有權可以使用的應用系統(tǒng)使用其提供的服務。六、SSO實現針對本系統(tǒng)的基本情況由于微軟的dotNet對WebService有較好的支持我們采用dotNet為開發(fā)平臺。有三大部分數據訪問控制、業(yè)務邏輯控制和WebService服務接口。(一)核心的業(yè)務邏輯控制類信息1.AuthenticationCl

13、ass。用戶認證管理類通過對用戶的身份認證的具體邏輯控制實現。2.UserClass。用戶管理類統(tǒng)一用戶管理接口提供用戶信息管理和密碼管理等服務。3.RoleClass。系統(tǒng)用戶角色管理角色是具有相同權限用戶的組是權限分配的單位與載體。權限不會直接分配給特定的用戶用戶要擁有對某種資源的權限必須通過角色去關聯(lián)。一個用戶可以屬于多個角色一個角色可以包括多個用戶。4.TicketClass。用戶登錄票據類票據是用戶身份的唯一標志同時包括了用戶

14、的系統(tǒng)授權信息。該票據在不同的系統(tǒng)中傳輸用于用戶的身份識別。5.AppSystemClass。管理應用系統(tǒng)記錄信息。該類登記了現有的軟件服務系統(tǒng)信息用于對軟件服務系統(tǒng)的管理。6.PermissionClass。對用戶授權管理。權限是綁定在特定的資源實例上的即權限是角色與的軟件服務系統(tǒng)的關聯(lián)。(二)WebService設計.NET平臺對Webservice的構建和使用有很好的支持。與其它開發(fā)平臺不同使用.NET平臺不需要其他的工具或者SD

15、K就可以完成Webservice的開發(fā)。.NETFramework本身就全面支持Webservice包括服務器端的請求處理器和對客戶端發(fā)送和接受SOAP消息的支持。1.SysManagementServiceSysManagementService是SSO系統(tǒng)管理的WebService接口提供對系統(tǒng)用戶管理、角色管理、應用系統(tǒng)管理和授權管理。應用程序可以通過該接口訪問到系統(tǒng)管理的信息。2.AuthorizationServiceAuth

16、orizationService提供對認證、審核和權限訪問控制的業(yè)務接口應用程序可以調用戶該服務驗證用戶的身份和權限但到單點登錄的目的。圖4系統(tǒng)核心類圖七、結語單點登錄統(tǒng)一了登錄用戶認證信息訪問標準減少了在不同系統(tǒng)中的系統(tǒng)用戶的認證管理加強了資源的集中控制為用戶減少記憶用戶名稱和密碼節(jié)省時間。為各種系統(tǒng)整合提供了先決條件為更進一步的用戶服務打下了基礎?！緟⒖嘉墨I】[1]SimonRobinson等編著.C#高級編程(第2版)[M].北京