基于CAS統(tǒng)一身份認(rèn)證的設(shè)計(jì)

（浙江大學(xué)城市學(xué)院 信息與教育技術(shù)中心 浙江杭州 310015）

引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，目前高校已經(jīng)具備了完善的網(wǎng)絡(luò)環(huán)境，但是各系統(tǒng)的用戶管理和登錄自成系統(tǒng)，通過(guò)獨(dú)立的身份進(jìn)行登錄和管理，這給校園用戶和管理員帶來(lái)了許多的不便，主要體現(xiàn)在不利于進(jìn)行統(tǒng)一管理，不能夠?qū)崿F(xiàn)對(duì)信息資源的整合利用。基于以上原因，提出了單點(diǎn)登陸的概念。所謂單點(diǎn)登陸是指通過(guò)同一套用戶名密碼登陸一次，就能訪問(wèn)其他集成到身份認(rèn)證平臺(tái)的系統(tǒng)資源，不用多次登陸認(rèn)證。高校數(shù)字校園的建設(shè)需在遵循同一標(biāo)準(zhǔn)與規(guī)范的情況下，通過(guò)系統(tǒng)的集成與整合，構(gòu)建一個(gè)完整統(tǒng)一、高效穩(wěn)定、安全可靠的認(rèn)證系統(tǒng)。[1]

一、設(shè)計(jì)目標(biāo)

通過(guò)對(duì)需求分析，身份認(rèn)證系統(tǒng)主要實(shí)現(xiàn)以下幾個(gè)功能：1.集中用戶管理；2.集中認(rèn)證管理；3.集中授權(quán)管理。集中用戶管理主要指身份認(rèn)證系統(tǒng)的用戶賬號(hào)都存在于一套集中的數(shù)據(jù)庫(kù)中，對(duì)于賬號(hào)的維護(hù)主要對(duì)賬戶的增刪改三種賬號(hào)異動(dòng)進(jìn)行管理。所以我們將從賬號(hào)的來(lái)源、賬號(hào)在使用過(guò)程中的操作、賬號(hào)銷(xiāo)戶三個(gè)方向?qū)~號(hào)做維護(hù)，對(duì)增刪改等操作都將提供相應(yīng)的接口，便于和其他系統(tǒng)的交互。集中認(rèn)證主要指對(duì)接入統(tǒng)一身份認(rèn)證平臺(tái)的系統(tǒng)進(jìn)行管理，對(duì)接入身份認(rèn)證系統(tǒng)提供安全可靠的認(rèn)證服務(wù)，實(shí)現(xiàn)強(qiáng)身份認(rèn)證服務(wù)；實(shí)現(xiàn)單點(diǎn)登錄功能，通過(guò)一個(gè)站點(diǎn)登陸可以訪問(wèn)其他站點(diǎn)，無(wú)須再次驗(yàn)證；支持web系統(tǒng)認(rèn)證集成，APP等應(yīng)用可以進(jìn)行認(rèn)證。集中授權(quán)主要是在系統(tǒng)中設(shè)置相應(yīng)的角色信息，同時(shí)給用戶分配不同的角色狀態(tài)，根據(jù)角色來(lái)達(dá)到區(qū)分目的。每個(gè)系統(tǒng)都有角色和權(quán)限，通過(guò)給賬號(hào)設(shè)置不同的權(quán)限來(lái)達(dá)到功能的劃分。通過(guò)在身份認(rèn)證平臺(tái)中設(shè)置后返回給接入系統(tǒng)，系統(tǒng)可以直接控制用戶權(quán)限。

二、系統(tǒng)設(shè)計(jì)

根據(jù)設(shè)計(jì)目標(biāo)，系統(tǒng)可以歸納為身份管理、數(shù)據(jù)存儲(chǔ)、身份認(rèn)證、對(duì)外服務(wù)等幾個(gè)主要層次；身份管理主要是管理用戶信息；在數(shù)據(jù)儲(chǔ)存層，主要使用Oracle數(shù)據(jù)庫(kù)和Redis庫(kù)，Oracle數(shù)據(jù)庫(kù)主要用來(lái)儲(chǔ)存系統(tǒng)的配置信息，如認(rèn)證系統(tǒng)的配置，任務(wù)調(diào)度信息等；根據(jù)Redis的特性，我們使用它存儲(chǔ)用戶信息，作為認(rèn)證庫(kù)，提高認(rèn)證使用感知。在底層服務(wù)層我們提供了rest身份認(rèn)證接口、日志記錄等接口。如圖3-1系統(tǒng)功能架構(gòu)圖所示：

圖3-1 系統(tǒng)功能架構(gòu)圖

同時(shí)設(shè)計(jì)了多種認(rèn)證模式來(lái)實(shí)現(xiàn)系統(tǒng)認(rèn)證，主要為通過(guò)API方式、代理模式與Redis接口。API集成模式提供各種開(kāi)發(fā)語(yǔ)言和多環(huán)境的身份認(rèn)證集成。API集成對(duì)被集成系統(tǒng)的侵入性強(qiáng)，往往需要理解CAS協(xié)議的具體流程，并對(duì)集成應(yīng)用的認(rèn)證模塊進(jìn)行替換。它在CAS協(xié)議中作為CAS的客戶端負(fù)責(zé)與CAS Server進(jìn)行交互完成認(rèn)證。代理模式通過(guò)簡(jiǎn)化身份認(rèn)證集成的流程，降低集成成本，提高集成成功率，通常作為單點(diǎn)登錄集成的一種重要的集成手段。Redis接口最大的優(yōu)點(diǎn)是有極高的性能，但是只能進(jìn)行認(rèn)證而不能進(jìn)行SSO。Redis接口的認(rèn)證直接使用和Redis服務(wù)器交互，不需要處理復(fù)雜的CAS協(xié)議交互，加Redis服務(wù)器性能極高，使得Redis接口在應(yīng)對(duì)高并發(fā)應(yīng)用時(shí)也表現(xiàn)出極佳的性能。[2]

結(jié)語(yǔ)

統(tǒng)一身份認(rèn)證平臺(tái)的建立將為學(xué)校信息系統(tǒng)管理者帶來(lái)更安全便捷的網(wǎng)上用戶管理方式，為師生帶來(lái)更安全、高效的使用環(huán)境，達(dá)到統(tǒng)一認(rèn)證、統(tǒng)一管理、單點(diǎn)登陸的效果。同時(shí)為校園后續(xù)的信息化建設(shè)提供支撐。