面向Apaache的單點(diǎn)登錄系統(tǒng)集成技術(shù)研究.pdf

1、伴隨著信息社會(huì)的到來(lái)，網(wǎng)絡(luò)已經(jīng)成為了人們生活中不可或缺的工具，越來(lái)越多地影響著人們的生活方式;不同種類的應(yīng)用系統(tǒng)給人們帶來(lái)便捷的同時(shí)，也帶來(lái)了用戶名和密碼繁多不便記憶以及網(wǎng)絡(luò)信息泄露等安全問(wèn)題。傳統(tǒng)的身份認(rèn)證都是在應(yīng)用系統(tǒng)端添加相應(yīng)模塊，使其具有認(rèn)證授權(quán)功能，但是種類繁多的應(yīng)用系統(tǒng)往往屬于多個(gè)組織，這給用戶名的管理帶來(lái)很大的不便;而且再對(duì)應(yīng)用系統(tǒng)進(jìn)行相應(yīng)功能升級(jí)時(shí)，也會(huì)使工作重復(fù)，降低效率。
　　 為了解決以上問(wèn)題，本文通過(guò)研究

2、Apache的模塊開發(fā)技術(shù)和SAML協(xié)議原理，在對(duì)Apache的模塊體系架構(gòu)，過(guò)濾器模塊等機(jī)制進(jìn)行深入了解之后，研究開發(fā)了一種嵌入在Apache服務(wù)器端的身份服務(wù)集成系統(tǒng)，提供了一種安全高效的Web服務(wù)平臺(tái)。本文主要研究實(shí)現(xiàn)了基于SAML協(xié)議的單點(diǎn)登錄系統(tǒng)，使得用戶在訪問(wèn)同一信任域里的不同應(yīng)用系統(tǒng)時(shí)，只需輸入一次用戶名和口令即可方便快捷的訪問(wèn)所有Web應(yīng)用系統(tǒng)，解決了用戶重復(fù)登錄的繁瑣和信息安全問(wèn)題;由于網(wǎng)絡(luò)服務(wù)認(rèn)證方式有很多種，本文針

3、對(duì)較常用的Basic，F(xiàn)orm和kerberos身份認(rèn)證方式，分別實(shí)現(xiàn)了基于SAML的身份認(rèn)證服務(wù)集成系統(tǒng)，兩者的主要區(qū)別在于用戶信息的傳遞方式不同。基于Basic認(rèn)證方式的系統(tǒng)主要進(jìn)行了請(qǐng)求攔截、Cookie檢測(cè)、重定向、斷言解析及頭部修改等操作;基于Form表單的認(rèn)證方式，由于Apache自身并不攜帶此種認(rèn)證方式，因此我們?cè)O(shè)計(jì)實(shí)現(xiàn)了基于Form的身份認(rèn)證方式，解決了HTTP方式傳輸?shù)陌踩珕?wèn)題，并且此系統(tǒng)還對(duì)生成的Cookie進(jìn)行了R

4、C4加密。面向kerberos認(rèn)證方式的系統(tǒng)，在作為反向代理服務(wù)器時(shí)，會(huì)調(diào)用相應(yīng)接口函數(shù)連接KDC，生成token，并修改請(qǐng)求頭部，將token添加進(jìn)去，引導(dǎo)用戶重新進(jìn)行請(qǐng)求驗(yàn)證。
　　 總的來(lái)說(shuō)，這是對(duì)Web應(yīng)用系統(tǒng)完全透明的身份認(rèn)證集成服務(wù)，在不修改Web應(yīng)用系統(tǒng)的前提下，實(shí)現(xiàn)了在Apache服務(wù)器端進(jìn)行身份認(rèn)證服務(wù)的單點(diǎn)登錄系統(tǒng)，解決了早期Web應(yīng)用系統(tǒng)的單點(diǎn)登錄實(shí)現(xiàn)問(wèn)題，降低了實(shí)現(xiàn)難度，提升了開發(fā)效率，具有一定的可操作性