基于Web的校園網(wǎng)統(tǒng)一身份認證應用淺析

摘 要：基于校園網(wǎng)應用系統(tǒng)數(shù)量眾多，用戶認證未實現(xiàn)統(tǒng)一的現(xiàn)狀，考慮到該現(xiàn)狀會為系統(tǒng)維護帶來難度，相應的維護成本加大的問題，本文擬采用SQL Server數(shù)據(jù)庫技術(shù)，.NET的PassPort認證機制使用HTTP協(xié)議通過IE瀏覽器實現(xiàn)管理站點和請求站點的通信，向應用系統(tǒng)提供標準的SOAP服務，建立校園網(wǎng)統(tǒng)一身份認證平臺。

關鍵詞：校園網(wǎng) 統(tǒng)一身份認證 Web

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1672-3791（2013）01（a）-0028-01

目前，建設數(shù)字化校園已經(jīng)成為現(xiàn)代化高校建設的重點項目之一，基于校園網(wǎng)的應用系統(tǒng)越來越多，在沒有統(tǒng)一身份管理的情況下，不同的系統(tǒng)需要各自維護用戶信息。對于普通用戶而言，需要對每個系統(tǒng)記憶一套登錄名和密碼等信息。隨著系統(tǒng)數(shù)量增加，用戶只能通過降低密碼復雜度來記住不同系統(tǒng)的登錄信息，這樣不僅違背了設立系統(tǒng)的初衷，而且對系統(tǒng)維護的改善也不明顯。統(tǒng)一身份管理能夠讓數(shù)字化校園的管理員集中精力，只要進行一套管理系統(tǒng)的維護，就能提綱挈領統(tǒng)攬全局，這對于系統(tǒng)維護乃至整個數(shù)字化校園的建設都有莫大的裨益。

1 統(tǒng)一身份認證技術(shù)特點

統(tǒng)一身份認證平臺的建設需要在技術(shù)方面的支撐，如以下幾點。

1.1 用戶登錄認證

當用戶登錄系統(tǒng)時，用戶輸入用戶名和密碼，應用系統(tǒng)不對用戶的登錄信息進行認證，而是將取得的登錄信息采用加密方式或明文方式打包送到統(tǒng)一身份認證中心，如果統(tǒng)一身份認證中心認證通過，認證服務會給校園網(wǎng)子應用系統(tǒng)發(fā)一個通過認證的提示信息，用戶就可以進行隨后所需要的操作，否則系統(tǒng)將拒絕用戶的登錄或提示用戶重新輸入賬戶信息和密碼。

1.2 基于統(tǒng)一身份認證的交互

用戶通過登錄統(tǒng)一身份認證中心的頁面進行認證，認證中心對用戶提交的信息進行核查之后生成一個認證令牌，然后發(fā)往用戶具有相應權(quán)限的應用系統(tǒng)。當用戶在界面里點擊某個鏈接時，如果該系統(tǒng)具有認證中心發(fā)放的令牌，那么用戶可以直接登錄，否則將提示用戶沒有權(quán)限進入該系統(tǒng)并且提示重新登錄統(tǒng)一身份認證中心進行賬戶和密碼的輸入。

1.3 基于Web的交互認證

基于Web的認證是一種異地認證。當系統(tǒng)得到登錄口傳送的驗證信息之后，發(fā)送到服務器，Web會對用戶名、密碼等驗證信息進行認證，然后將信息返回給客戶端，同時判定用戶是否具備登錄系統(tǒng)的資格。這種認證模式需要集成到統(tǒng)一身份認證的程序里，放棄分系統(tǒng)的認證功能，將認證工作移交給某個Web服務器。該方法部署簡便，但安全性不高。

2 統(tǒng)一身份認證平臺建設

統(tǒng)一身份認證平臺包含三大邏輯組成部分：目錄、用戶身份管理和用戶認證，統(tǒng)一身份認證系統(tǒng)的設計核心是用戶認證，用目錄服務數(shù)據(jù)庫，集中存儲用戶和子系統(tǒng)的信息，實現(xiàn)統(tǒng)一認證、統(tǒng)一授權(quán)和集中管理。

2.1 平臺設計

本系統(tǒng)擬采用.NET進行設計，系統(tǒng)具有表示層、業(yè)務層、業(yè)務訪問層、數(shù)據(jù)訪問層這四個邏輯框架層次，每個層次有不同的功能。管理界面由.NET實現(xiàn)，管理員遵守HTTP協(xié)議通過IE瀏覽器訪問管理站點，實現(xiàn)用戶信息、部門信息和角色的統(tǒng)一管理。接口使用Web和.NET實現(xiàn)，應用系統(tǒng)通過SOAP協(xié)議與接口組件進行交互，Web的集成引擎將通過各類接口以及功能模塊將各個子應用系統(tǒng)封裝成Web部件之后傳送到UDDI注冊中心，并通過接口去調(diào)用相應的應用服務模塊，實現(xiàn)系統(tǒng)的單點登錄以及授權(quán)服務等相應的服務響應。

本文的校園網(wǎng)統(tǒng)一身份認證平臺的后臺數(shù)據(jù)庫采用的是SQL Server數(shù)據(jù)庫，通過SQL Server數(shù)據(jù)庫存儲校內(nèi)用戶信息和用戶訪問權(quán)限信息，Windows活動目錄是整個校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的基礎，采用標準的LDAP目錄服務數(shù)據(jù)庫，以層次結(jié)構(gòu)、面向?qū)ο蟮臄?shù)據(jù)庫方式存儲校內(nèi)用戶的信息和應用系統(tǒng)的信息，SQL Server數(shù)據(jù)庫和活動目錄實現(xiàn)前臺后臺數(shù)據(jù)的交互以達到數(shù)據(jù)同步的目的，這樣既保證了數(shù)據(jù)的完整性又保證了數(shù)據(jù)的一致性，同時為各類子系統(tǒng)提供用戶信息的使用和共享。

數(shù)據(jù)庫訪問組件通過ADO.NET與數(shù)據(jù)庫前后臺交互。AD組件通過.NET的類庫使用LDAP協(xié)議與目錄交互，同樣達到了前臺和數(shù)據(jù)庫之間的數(shù)據(jù)交互和同步的目的。

2.2 平臺實現(xiàn)

該系統(tǒng)設計重點是使用.NET創(chuàng)建一個XML，提供統(tǒng)一接口，實現(xiàn)對訪問的控制，子系統(tǒng)只要調(diào)用即可。接口支持數(shù)據(jù)結(jié)構(gòu)的動態(tài)改變，當來自底層的目錄發(fā)生變化時，可以通過修改字段映射庫來更改映射信息。

不同的子系統(tǒng)訪問目錄，采用調(diào)用Web的方法，既實現(xiàn)了統(tǒng)一訪問，又減少了對原系統(tǒng)的修改。原系統(tǒng)不需要了解認證系統(tǒng)的結(jié)構(gòu)和調(diào)用方法，既可靠，又方便。統(tǒng)一身份認證平臺主要實現(xiàn)的統(tǒng)一身份認證服務主要具備以下功能：（1）獲取用戶信息；（2）驗證用戶信息；（3）根據(jù)驗證信息控制訪問；（4）對用戶信息進行增刪改查。

3 結(jié)語

本文結(jié)合Windows活動目錄和SQL Server數(shù)據(jù)庫技術(shù)，利用.NET的認證機制，向系統(tǒng)提供SOAP服務，為認證提供通用的接口和頁面，并通過調(diào)用后臺的Web認證技術(shù)實現(xiàn)用戶單點登錄，設計實現(xiàn)了一個基于Web的校園網(wǎng)統(tǒng)一身份認證平臺。校園網(wǎng)統(tǒng)一身份認證平臺，是一個認證管理系統(tǒng)，為不同的子系統(tǒng)提供用戶信息管理服務。該系統(tǒng)將信息統(tǒng)一保存到服務器，保證了信息的穩(wěn)定、可靠、安全；完善的接口連接功能，支持任何平臺的各種子系統(tǒng)的調(diào)用，簡單易行；子系統(tǒng)只需保留角色和權(quán)限控制，信息統(tǒng)一保存，角色管理由子系統(tǒng)管理，簡化了應用系統(tǒng)中用戶管理模塊的建設難度和后期維護。

參考文獻

[1]許竹君.基于校園網(wǎng)的統(tǒng)一身份認證平臺的構(gòu)建[J].信息與電腦，2011（10）：115-116.

[2]孫守強.基于Web的校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的實現(xiàn)[J].新聚焦，2011（3）：8-10.

[3]張沖，武超，楊要科.校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的設計與實現(xiàn)[J].中原工學院學報，2008，8（4）：68-71.