基于OAuth2.0的校園網(wǎng)統(tǒng)一身份認(rèn)證平臺安全升級

◆許杏 朱朝陽 廖舒航

（廣西大學(xué)信息網(wǎng)絡(luò)中心 廣西 530004）

隨著數(shù)字化校園建設(shè)的推進(jìn)，國內(nèi)大部分高校建設(shè)了校園統(tǒng)一身份認(rèn)證平臺并完成了主要業(yè)務(wù)系統(tǒng)的統(tǒng)一身份認(rèn)證對接。但隨著信息化技術(shù)飛速發(fā)展，傳統(tǒng)認(rèn)證平臺暴露出諸多問題，如安全性降低，訪問管理不夠靈活等，已經(jīng)不能滿足最新的需求[1]。

統(tǒng)一身份認(rèn)證技術(shù)經(jīng)過了Cookie、CAS（Central Authentication Service，中央認(rèn)證服務(wù)）、OAuth（Open Authorization，開放授權(quán)）等認(rèn)證模式。

Cookie認(rèn)證方式最早由網(wǎng)景公司前雇員Lou Montulli于1993年提出[1]。Cookie認(rèn)證要求各服務(wù)器具備統(tǒng)一的域名，將證書存儲在客戶端的cookie中，因此安全性、穩(wěn)定性較高，但Cookie認(rèn)證無法實(shí)現(xiàn)跨域登錄。

CAS是耶魯大學(xué)發(fā)起的解決單點(diǎn)登錄問題的開源項(xiàng)目[2]。CAS包含兩部分：（1）CAS服務(wù)器端，負(fù)責(zé)完成對用戶的登錄認(rèn)證、用戶退出注銷、票據(jù)的生成、校驗(yàn)及過期票據(jù)的銷毀等工作。（2）CAS客戶端，主要部署在各種業(yè)務(wù)應(yīng)用系統(tǒng)中，通過嵌入CAS提供的接口，將業(yè)務(wù)系統(tǒng)的認(rèn)證重定向到CAS服務(wù)器進(jìn)行認(rèn)證。趙侃侃[3]等人通過修改和增加客戶端插件和前端插件，既能支持前后端分離開發(fā)部署的Web應(yīng)用，也能支持前后端集中開發(fā)部署的Web應(yīng)用的單點(diǎn)登錄功能。在CAS協(xié)議，所有與CAS交互均采用SSL協(xié)議，以確保票據(jù)和TGC（Ticket Granted Cookie）的安全。整個協(xié)議的工作過程涉及2次重定向，但進(jìn)行Ticket驗(yàn)證的過程對于用戶是透明的[4]。

與CAS協(xié)議相比，OAuth協(xié)議的授權(quán)使第三方無需使用用戶的用戶名與密碼就可以申請獲得該用戶資源的授權(quán)，為用戶資源的授權(quán)提供了安全、開放的標(biāo)準(zhǔn)，近年來在實(shí)際場景中廣泛使用。……