基于CAS的單點登錄系統(tǒng)應(yīng)用研究

范 圍

（四川化工職業(yè)技術(shù)學(xué)院，646000）

?

基于CAS的單點登錄系統(tǒng)應(yīng)用研究

范 圍

（四川化工職業(yè)技術(shù)學(xué)院，646000）

摘要：隨著信息系統(tǒng)的迅速發(fā)展，各類信息化應(yīng)用系統(tǒng)逐步建立，但是各應(yīng)用系統(tǒng)之間自成體系，從而導(dǎo)致了每使用一個系統(tǒng)就要重新登錄一次，給用戶的使用和管理員的管理帶來了很多不便。本文研究基于CAS的單點登錄系統(tǒng)應(yīng)用，很好地解決了使用和管理困難問題，介紹了基于CAS的單點登錄系統(tǒng)應(yīng)用設(shè)計研究，系統(tǒng)采用用戶管理LDAP輕量級目錄服務(wù)、CAS中央認(rèn)證服務(wù)，設(shè)計了一個統(tǒng)一管理界面，通過Web服務(wù)傳遞用戶參數(shù)，實現(xiàn)了多應(yīng)用系統(tǒng)的整合。

關(guān)鍵詞：LDAP；CAS；單點登錄；統(tǒng)一界面管理

0　引言

隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，高校基本上已經(jīng)具備了完善的網(wǎng)絡(luò)環(huán)境，但是各系統(tǒng)的用戶管理和登錄自成系統(tǒng)，需要獨立的身份進(jìn)行登錄和管理，這給用戶和管理員帶來了許多的不便，不利用進(jìn)行統(tǒng)一管理，不能夠?qū)崿F(xiàn)對信息資源的整合利用。單點登錄英文全稱是SingleSignOn，簡稱為SSO，單點登錄是解決“信息孤島”問題的首選方案。在系統(tǒng)整合解決方案中認(rèn)可度比較高，其作用就是讓用戶可以訪問所有相互信任的各子應(yīng)用系統(tǒng)。CAS是針對Web應(yīng)用開發(fā)設(shè)計的單點登錄框架，是開源項目。CAS使用SSL協(xié)議實現(xiàn)CAS Server和CAS Client之間的通訊，安全性很高，解決了單點登錄問題。因此，本文針對數(shù)字校園資源整合需要，采用基于CAS的單點登錄技術(shù)。

1　單點登錄流程以CAS工作機(jī)制

1.1單點登錄流程

單點登錄系統(tǒng)收集所用應(yīng)用系統(tǒng)中用戶的信息，并通過特定的方法對用戶身份進(jìn)行驗證。管理員將用戶的相關(guān)信息統(tǒng)一存儲在一個模塊當(dāng)中，這樣只需要進(jìn)行一次添加或刪除即可以實現(xiàn)對用戶和賬戶的管理。

單點登錄系統(tǒng)獨立于應(yīng)用系統(tǒng)的其他服務(wù)之外，實現(xiàn)了業(yè)務(wù)的整合，其主要優(yōu)點有：

（1）提高了用戶登錄和管理的效率。用戶只需要進(jìn)行一次簡單的登錄和管理即可，減少了對應(yīng)用系統(tǒng)訪問和操作的時間次數(shù)，明顯提高了使用管理的效率。

（2）提高了應(yīng)用系統(tǒng)管理的效率。系統(tǒng)維護(hù)人員只需管理和維護(hù)用戶賬戶數(shù)據(jù)庫，就可以實現(xiàn)對全部用戶信息的管理，很大程度上提高了系統(tǒng)管理維護(hù)效率。

（3）提高了開發(fā)人員的工作效率。在開發(fā)和設(shè)計時不用考慮對每個用戶的逐一添加和改變，因為單點登錄技術(shù)實現(xiàn)了對用戶身份信息的統(tǒng)一管理。

1.2CAS的工作機(jī)制

CAS體系結(jié)構(gòu)分為兩部分：CAS Server和CAS Client。其中CAS Server負(fù)責(zé)對用戶進(jìn)行認(rèn)證，CAS Client負(fù)責(zé)處理對受保護(hù)的資源進(jìn)行請求訪問。如圖2為CAS基礎(chǔ)協(xié)議體系結(jié)構(gòu)，CAS Server和CAS Client采用SSL技術(shù)進(jìn)行數(shù)據(jù)和信息傳輸，安全性較高。

圖2　CAS基礎(chǔ)協(xié)議體系結(jié)構(gòu)

2　系統(tǒng)框架

本文設(shè)計的基于CAS的單點登錄系統(tǒng)應(yīng)用，提供統(tǒng)一的身份認(rèn)證功能。以CAS單點登錄系統(tǒng)為中心，輔以CAS認(rèn)證中心、LDAP用戶信息中心、統(tǒng)一接入門戶，各類用戶可以通過統(tǒng)一門戶進(jìn)行登錄，訪問個性化的服務(wù)，并可以訪問其他相關(guān)系統(tǒng)。該設(shè)計具有結(jié)構(gòu)靈活、系統(tǒng)健壯、安全可靠等特點，能夠較好的滿足用戶要求。

3　系統(tǒng)應(yīng)用

用戶首次訪問CAS系統(tǒng)服務(wù)應(yīng)用時，CAS過濾器會對Web請求進(jìn)行捕獲和重定向登陸頁面，用戶填寫的用戶名和密碼驗證正確后回轉(zhuǎn)向CAS服務(wù)器，對比Mysal數(shù)據(jù)庫中的用戶數(shù)據(jù)，如果核實正確則后臺服務(wù)器會生成唯一的ST即用戶身份憑證，已經(jīng)授權(quán)的應(yīng)用系統(tǒng)就可以允許用戶憑借驗證憑證在有效時間內(nèi)訪問。

（1）統(tǒng)一用戶組織管理：統(tǒng)一身份認(rèn)證平臺采用批量導(dǎo)入的方法，在LDAP服務(wù)器中導(dǎo)入用戶基本信息，根據(jù)LDAP分類和用戶實際身份，管理員可以為用戶進(jìn)行角色權(quán)限授予，并且可以通過LDAP進(jìn)行統(tǒng)一管理，對組織內(nèi)所有的應(yīng)用統(tǒng)一進(jìn)行存儲、認(rèn)證和管理。其他基于LDAP的應(yīng)用系統(tǒng)統(tǒng)一可以通過LDAP服務(wù)器進(jìn)行管理。

（2）統(tǒng)一身份認(rèn)證管理：統(tǒng)一身份認(rèn)證管理即對用戶單點登錄進(jìn)行管理。目前應(yīng)用系統(tǒng)有B/S、C/S兩種結(jié)構(gòu)，所以對于不同的應(yīng)用系統(tǒng)管理員可以在CAS中設(shè)置不同的驗證方法，如對于B/S應(yīng)用系統(tǒng)可以允許用戶通過服務(wù)器登錄一次即可獲取多個用戶權(quán)限內(nèi)的Web應(yīng)用系統(tǒng)，更加方便簡單；而對C/S系統(tǒng)可以通過IE控件實現(xiàn)單點登錄，輸入一次用戶名和密碼就可以被授權(quán)訪問C/S系統(tǒng)資源。對于任何結(jié)構(gòu)的系統(tǒng)進(jìn)行統(tǒng)一身份認(rèn)證時，集成的應(yīng)用系統(tǒng)不需要進(jìn)行任何修改。

（3）數(shù)字證書管理：數(shù)字證書管理步驟依次為數(shù)字證書的制作、發(fā)放和銷毀等，管理員通過Keytool等工具生成數(shù)字證書并導(dǎo)入數(shù)據(jù)庫中，供應(yīng)用系統(tǒng)下載使用。另外，數(shù)字證書管理還具有在線查詢證書的使用情況的功能，可以實現(xiàn)對其數(shù)字證書的撤銷和銷毀操作。

（4）監(jiān)控管理：監(jiān)控管理基于LDAP、CAS的各系統(tǒng)的基本展現(xiàn)，其中包括各認(rèn)證節(jié)點的動態(tài)拓?fù)浔O(jiān)控和支撐服務(wù)器的運行狀態(tài)。以只讀方式顯示常規(guī)的配置信息，可以對CAS中心服務(wù)器的各子服務(wù)器進(jìn)行監(jiān)測并分析其結(jié)果。一旦系統(tǒng)或服務(wù)器出現(xiàn)異常就會自動報警，并通過E-mail通知負(fù)責(zé)人進(jìn)行處理以保證系統(tǒng)的穩(wěn)定運行。

4　結(jié)語

基于CAS的單點登錄系統(tǒng)應(yīng)用中用戶登錄一次就可以訪問相互信任的應(yīng)用系統(tǒng)，明顯減少了登錄的出錯幾率和系統(tǒng)管理員的重復(fù)性工作，系統(tǒng)的安全性得到了增強(qiáng)，可以更加方便的管理用戶信息，添加或刪除一用戶信息、取消對資源的訪問權(quán)限等。

參考文獻(xiàn)

[1]董昭.門戶網(wǎng)站的統(tǒng)一認(rèn)證與單點登錄技術(shù)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化.2010

[2]鐘林棲.基于CAS協(xié)議的單點登錄系統(tǒng)的研究[D].成都:四川大學(xué).2006

[3]曹志通.基于SAML的單點登錄安全模型的研究[D].重慶:重慶大學(xué).2010

[4]賴慎祿,李新,及俊川.可插入式單點登錄技術(shù)的應(yīng)用[J].計算機(jī)工程.2008

[5]向偉,張偉華.統(tǒng)一權(quán)限管理系統(tǒng)單點登錄的實現(xiàn)[J].武漢理工大學(xué)學(xué)報(信息與管理工程版).2009

Research on the application of single sign on system based on CAS

Fan Wei
（Sichuan Vocational College of Chemical Technology，646000）

Abstract：This paper based on CAS single sign on system application,well solves the use and management of difficult problems,CAS single point login system design and Application Research Based on,the system uses user management with LDAP lightweight directory service,CAS central authentication service,a unified management interface is designed, pass the user parameters through web services, to achieve the integration of multi application system is introduced in this paper.

Keywords：LDAP;CAS;single sign on;unified interface management