淺談基于OAUTH2.0統一身份認證的多應用系統優化

段粘粘，王益義

（浙江體育職業技術學院 體育系，浙江 杭州 310012）

0 引言

《國家中長期教育改革和發展規劃綱要》闡述：“充分利用優質資源和先進技術，創新運行機制和管理模式，整合現有資源，構建先進、高效、實用的數字化校園，推進信息化校園建設”。職業教育的快速發展，校園信息化建設經歷了從無到有再到優，實現了質的飛躍。校園網內各種信息系統為師生用戶帶來了很大的便利，但隨著不同業務部門系統的不斷增多，信息共享和大數據融合就成了棘手問題。大部分職業院校起初對數字化校園建設缺乏整體性戰略規劃，相關業務系統僅滿足本部門的使用需求，造成用戶登錄賬號多個、密碼錯誤、賬號密碼不對應等問題。登錄信息不統一，給用戶帶來使用上的不便，增添管理層和系統管理員額外的工作量，還給機房存儲服務器造成很大負擔。因此，建設統一身份認證平臺，用戶身份實行統一管理和認證非常重要。其建設必要性大致如下：

（1）單點登陸模式，即通過一次登陸認證即可登陸校園網內所有應用系統，提高使用者工作效率的同時減輕其工作任務，為日常辦公帶來極大的有效性；（2）通過統一認證平臺操作賬號，避免賬號的遺漏、違建、不規則，數據誤刪除等操作，提高信息化安全性，滿足校園信息化安全建設要求；（3）對訪問行為進行控制和審計，統計在一定周期內惡意認證賬號和暴力密碼猜解賬號及惡意認IP，及時刪除休眠賬號、孤兒賬號等不符合規范要求的賬號，便于統一管理；（4）IT技術的發展，網絡規模的擴大，業務子系統和用戶數量的不斷增加，訪問控制和系統安全問題日漸突出，原有分散的“獨立認證、獨立授權、獨立管理”模式已不滿足學校日益發展的需要；（5）統一身份認證平臺還具有方便性、安全性、擴展性、兼容性強等特點，符合政策監管（GB/T 25070-2019信息安全技術網絡安全等級保護安全設計技術要求）要求。

統一身份認證管理平臺系統的實現，使學校的信息管理更加科學化、便捷化和信息化，解決各業務部門子系統之間信息不分享問題，打破信息化中的數據孤島現象，為學校信息化建設提供更加安全保障措施。為使用人員減輕負擔，為管理人員提供靈活、方便的操作，節約信息管理的成本，提高管理效率，創造良好工作氛圍。

1 技術介紹

本章節主要介紹認證登錄技術、兩種不同的核心登陸方式、密碼加密技術、身份認證功能、J2ee技術和審計管理。

1.1 認證登錄技術

認證登錄技術，登陸采用基于口令的認證方法。用戶可以使用賬號密碼登錄、開啟免登錄、動態密碼登錄、二維碼掃描登錄、RTX集成登錄、聯合登錄（第三方聯合登陸，如：騰訊QQ、新浪微博、微信等）。認證系統中存儲統一身份的技術主要借助LDAP（Lightweight Directory Access Protocol）技術，協助完成存儲用戶權限、身份認證和信息識別[1]。

1.1.1 登錄方式一

動態密碼登錄實現需有短信網關，UCP接口或二次開發對接，在imp（Identity Management Platform）管控臺開啟配置短信網關。操作步驟大致如下：登陸imp管控臺，系統管理—>配置管理—>網關配置，設置ucp接口地址，開啟短信驗證碼，如圖1所示；登錄配置策略，開啟動態密碼，其中動態密碼可配置化（支持不同組合方式，如純數字、大小寫字母與數字組合等），修改方法如圖2；最后綁定用戶通訊號碼。RTX集成登錄跟動態密碼登錄方式相似，不在詳細敘述。

圖1 imp 管控臺設置

圖2 配置策略

1.1.2 登錄方式二

聯合登錄，即借助第三方登錄方式，以學校為單位申請成為開發者，添加至統一身份認證平臺，最后在imp管控臺配置即可完成，如圖3。

圖3 聯合登錄

1.2 加密算法

密碼加密采用多值擴展加密方法[2]，該方法對認證系統版本要求較高，適用于IDS6以上版本，優點是可提供擴展多個加密密碼字段，也可設置自定義加密方式。目前市場上的很多硬件只支持密文認證或需要可解密密碼字段，同時LDAP工具自帶加密方式且不可逆，因此需要采用多值擴展加密方法解決此弊端。實現算法如下：

1.3 身份認證功能

身份認證功能提供了認證服務系統的核心服務，主要用于學校對所有使用者的數字化身份進行登錄驗證，其登錄界面包括PC端、手機端，并且為不同終端提供不同的登錄界面。通過統一認證的登錄界面，系統對用戶輸入的賬號和密碼進行認證，進而為集成的應用系統提供訪問控制功能（SSO）[3]。認證管理模塊主要提供對全校師生身份認證需要集成應用的管理功能，以及認證統計的一些匯總，實際的身份認證服務提供并不在此進行，通過LDAP服務進行。認證應用是用于管理全校已經集成的所有系統，即每個集成的應用系統均需要在此注冊，最終是所有應用系統在認證應用中的功能清晰明了。認證統計模塊主要展現平臺賬號的認證情況，形成認證成功和失敗日志，提供各個認證細節的查詢，包括認證的賬號、認證時間、認證IP等信息。邏輯結構和物理結構如圖4、5。

圖4 認證登錄邏輯結構圖

圖5 認證登錄物理結構圖

1.4 J2ee技術

J2ee技術是統一身份認證系統中的核心技術之一，它是 Java語言的企業級開發標準，是web應用B/S網絡計算模式開發的核心技術，優點在于可移植性高、安全性強[4]。統一身份認證系統開發中借助J2ee技術，使得開發效果高，周期短，對運行環境要求相對較低。J2ee技術和開放授權（Open Authorization，OAuth）的結合使得開發系統程序可以在異構環境中進行移植，不需要針對不同的部署環境單獨部署不同的程序。OAuth協議是第三方授權的開放標準，本文中的認證系統是用的OAuth2.0，通過該標準可訪問某一系統應用中的相關開放信息（如證件照、工號、辦公電話等）。OAuth2.0有五種不同的授權模式，分別是授權碼（authorization code）、簡化（implicit）、密碼（resource owner password credentials）、客戶端（client credentials）和擴展（extension）模式[4]。采用雙認證系統模式，其邏輯結構圖如圖6。

圖6 oauth2.0 部署邏輯圖

1.5 審計管理

審計管理是系統管理員發現登錄賬號、認證和授權中出現的一些問題，院校可自定義審計的閾值來滿足個性化需求，主要分為賬號審計、認證審計、授權審計和差異審計[5]。審計管理包括休眠賬號、孤兒賬號、密碼強度不符合要求的賬號和不規范賬號，通過賬號審計功能可查看詳情，解決異常賬號問題；惡意認證、暴力破解賬號密碼和惡意認證的IP地址可通過認證審計解決；空組或無容器賬號，可通過授權審計查看詳情；LDAP丟失賬號和數據庫丟失賬號通過差異審計辨認出差錯；系統的實時運行狀態可通過監控管理查看各項服務運行的可能性，其界面如圖7。

圖7 系統實時運行狀態

2 系統實現的論述

系統設計的實現，主要包括方案規劃、系統設計、編碼規則、具體實施等方面，其中安全因素是首要準則。系統采用瀏覽器/服務器（B/S）架構，嚴格執行身份認證服務，實現手動、自動備份兩種模式，同時備份到服務器和客戶端，預防服務器癱瘓和硬盤損壞時造成的數據丟失。B/S架構的優勢在于部署簡單，方便用戶隨時隨地查看，權限層次分明，即不同身份人員權限不同。密碼規則采用非對稱（RSA）且不可逆解析加密方法（MD5）進行加密，避免用戶使用跟銀行賬號、郵箱等相同密碼或弱密碼，造成因密碼泄露導致的相關損失[6-7]。

系統設計約束包括業務無關性、標準化規則、高安全性、可集成性、易用性、高穩定性和開放性。業務無關性，與各個被保護的子系統相關業務邏輯無關，支持系統間的單點登錄，選擇性廣，完全基于J2EE技術研發；標準化規則，以國際認證標準的CAS單點登陸方案為基調， 其中標準包括LDAP、OAuth、JASS、SSL等；高安全性指符合安全審計要求，通過安全等級保護測試，多種控制手段結合；可集成性是系統實現過程中最重要的一部分，對不同開發平臺和模式下的應用系統實現認證集成，接入方式簡單、易操作；高穩定性，實時監控設備結合自動預警方案；開放性指OAuth協議是目前互聯網普遍認可且使用率最高的，通過身份認證開放OAuth協議，且被騰訊、Facebook、Google等使用的開放標準。

系統配置和軟硬件配備，統一身份認證服務系統在2臺服務器上分別部署Web服務+應用系統、數據庫。從穩定、可控性能上看，采用2臺刀片服務器，具體配置2CPU，32G內存，2T*2硬盤以保證有足夠計算能力，運算空間和數據安全，采用Linux服務器版操作系統。軟硬件配置清單如表1。

表1 統一身份認證系統軟硬件配置

3 結語

本文以上海工程技術大學高職學院為例，研發基礎OAUTH2.0統一身份認證的多應用系統，很大程度上滿足了師生的日常工作、學習需求。經過6個月的上線試運行，系統穩定、安全性高、可用性強、兼容性強和界面友好等優化功能。