基于web服務(wù)單點登錄設(shè)計與實現(xiàn)

1、2006年第4期(總第74期)沿海企業(yè)與科技COASTALENTERPRISESANDSCIENCE并且結(jié)合WebService提供一個簡單的單點登錄技術(shù)的實現(xiàn)對其關(guān)鍵部分的開發(fā)思想進行了詳細說明?！娟P(guān)鍵詞】SSOADWebService.Net【中圖分類號】F270.7【文獻標識碼】A【文章編號】10077723(2006)04007702隨著信息技術(shù)的迅猛發(fā)展企業(yè)管理越來越離不開信息技術(shù)的支持在信息化建設(shè)的過程中企業(yè)會引入各種不同的

2、應(yīng)用系統(tǒng)和信息管理系統(tǒng)和其他一些業(yè)務(wù)支撐平臺如電子郵件系統(tǒng)、MIS、OA、ERP等等?；跇I(yè)務(wù)上的需要這些系統(tǒng)都需要對使用人員進行身份認證和權(quán)限管理以保證企業(yè)工作效率及資源安全但由于這些不同的系統(tǒng)間存在著獨立的用戶認證和權(quán)限管理機制在這種情況下暴露出了以下問題:首先用戶帳戶信息分散在各個系統(tǒng)增加了應(yīng)用系統(tǒng)的管理和維護成本而且不同系統(tǒng)間缺乏用戶數(shù)據(jù)同步造成嚴重的安全隱患。其次用戶在各個系統(tǒng)中可能設(shè)置了不同的密碼需要記憶縱多的密碼成為用戶的

3、一個沉重的負擔(dān)。在這種情況下企業(yè)必須投入大量資源用于解決用戶遺忘密碼不但增加了費用而且降低了效率同時還要承受對帳戶信息保管不善造成的后果。圖1傳統(tǒng)的系統(tǒng)SingleSignOn(SSO)單點登錄技術(shù)是一種認證和授權(quán)機制它允許注冊用戶只需要在任一系統(tǒng)上登錄一次而后授權(quán)訪問其他系統(tǒng)無需再進行登錄。利用SSO技術(shù)可以集中身份認證服務(wù)用戶只需登錄一次就能夠任意訪問企業(yè)內(nèi)的各種應(yīng)用服務(wù)和信息資源而不需要多次輸入的認證信息。SSO登錄方式減少了在不

4、同系統(tǒng)中登錄耗費的時間避免了處理和保存多套系統(tǒng)用戶的認證信息減少了系統(tǒng)管理員管理用戶權(quán)限的時間增加了管理的便利性大大增加系統(tǒng)的安全性。圖2使用SSO的系統(tǒng)一、系統(tǒng)描述本次研究的主要目的在于提出一個簡單的基于WebService的SSO模型以及在該模式下相互認證的SSO的服務(wù)架構(gòu)因前述的相關(guān)問題接下來將說明本次研究所提出系統(tǒng)架構(gòu)的概念、系統(tǒng)流程及架構(gòu)。二、單點登錄分類按照現(xiàn)在的單點登錄應(yīng)用情況可劃分為三種單點登錄類型:AD單點登錄、WEB

5、單點登錄和企業(yè)單點登錄。(一)AD單點登錄AD單點登錄是建立在MicrosoftWindowsActiveDirectory(AD)服務(wù)上的WindowsIntegratedSecurity。如果應(yīng)用程序建立在這種通用的安全系統(tǒng)之上應(yīng)用程序便具有SSO的功能。如微軟的Exchange服務(wù)器每次登錄到Windows域后當打開Outlook它能自動登錄到郵件服務(wù)器上而不需要再重新輸入密碼登錄。(二)WEB單點登錄WEB單點登錄是專門針對We

6、b應(yīng)用程序的SSO機制使用一個公司的網(wǎng)絡(luò)應(yīng)用時每一次會話只需輸入一次帳戶和密碼調(diào)用另外一個公司的應(yīng)用時SSO可以讓用戶在第二個公司的應(yīng)用上再次登錄。WebSSO是在外部網(wǎng)絡(luò)上兩個企業(yè)一商業(yè)合同的形式建立的安全關(guān)系使得用戶從一個企業(yè)登錄后可以進入另一個企業(yè)的網(wǎng)絡(luò)而不用再次提供登錄憑據(jù)。如Microsoft的Passport認證。(三)企業(yè)單點登錄企業(yè)單點登錄是企業(yè)內(nèi)部EAI環(huán)境用中間件集成多種驗證機制實現(xiàn)多種系統(tǒng)來整體的解決方案。三、We

7、bServiceWebService是基于網(wǎng)絡(luò)的、分布式的模塊化組件執(zhí)行特定的任務(wù)遵守具體的技術(shù)規(guī)范是自包含、自描述、模塊化的應(yīng)用可以在網(wǎng)絡(luò)(通常為Web)中被描述、發(fā)布、查找以及通過Web來調(diào)用。WebServices是以Web的開放標準為基礎(chǔ)其最基本的是HTTP和XML。WebServices與相關(guān)的標準有:UDDI(UniversalDescriptionDiscoveryandIntegration):提供注冊與搜尋WebSer

8、vice信息的一個標準。WSDL(WebServiceDescriptionLanguage):描述一個Web【收稿日期】20060203【作者簡介】王慧(1978)女廣西桂林人柳州職業(yè)技術(shù)學(xué)院助教研究方向:計算機應(yīng)用、計算機網(wǎng)絡(luò)。77Services的運作方式以及指示客戶端與它可能的互動方式。SOAP(SimpleObjectAccessProtocol):在網(wǎng)上交換結(jié)構(gòu)化和型別信息的一種通訊協(xié)議。由于WebService是跨平臺的所

9、以十分適用于實現(xiàn)SSO的服務(wù)在WebService的開發(fā)架構(gòu)之下任何系統(tǒng)都可以調(diào)用本平臺的服務(wù)經(jīng)行身份管理和認證管理。四、系統(tǒng)架構(gòu)在本系統(tǒng)架構(gòu)中有四個重要角色認證授權(quán)服務(wù)器、WebService服務(wù)器、應(yīng)用程序、用戶。認證授權(quán)管理服務(wù)器是一臺專門負責(zé)用戶信息管理、授權(quán)發(fā)布認證票據(jù)、及身份驗證的數(shù)據(jù)庫服務(wù)器該服務(wù)器上存放著用戶基本信息、授權(quán)記錄、及用戶在登錄應(yīng)用系統(tǒng)時產(chǎn)生的身份驗證票據(jù)。WebService是一個面向用戶和應(yīng)用程序的服務(wù)接

10、口提供SSO系統(tǒng)的對外接口。系統(tǒng)的服務(wù)通過WebService發(fā)布在網(wǎng)絡(luò)上各種應(yīng)用程序可通過SOAP協(xié)議調(diào)用這些服務(wù)。WebService服務(wù)器在本架構(gòu)下負責(zé)與認證授權(quán)服務(wù)器進溝通與傳遞信息是用戶與認證授權(quán)服務(wù)器和應(yīng)用程序與認證授權(quán)服務(wù)器之間的橋梁。應(yīng)用程序是向用戶提供最終服務(wù)的軟件系統(tǒng)。用戶即一般的使用者是應(yīng)用系統(tǒng)的最終用戶。圖3五、系統(tǒng)流程1.用戶需要訪問某個應(yīng)用系統(tǒng)向WebService服務(wù)器提出身份認證請求。2.WebServi

11、ce服務(wù)器響應(yīng)用戶的請求并把用戶的基本信息提交到認證授權(quán)服務(wù)器。3.認證授權(quán)服務(wù)器確認用戶信息后返回一條用戶合法的登錄票據(jù)并記錄該票據(jù)信息。為保證系統(tǒng)的安全性每個用戶的票據(jù)只在其當次會話過程中有效離開其當次會話票據(jù)即被視作無效。4.WebService服務(wù)器接收認證結(jié)果并把該結(jié)果返回給用戶。5.用戶接收到登錄票據(jù)后便向把該票據(jù)發(fā)到應(yīng)用系統(tǒng)請求服務(wù)。6.在不同的系統(tǒng)切換過程中應(yīng)用系統(tǒng)會向WebService服務(wù)器申請用戶當前票據(jù)是否合法。

12、7.WebService服務(wù)器會將該票據(jù)返回到認證授權(quán)服務(wù)器予以確認。8.認證授權(quán)服務(wù)器將給票據(jù)與原來登錄的票據(jù)對比并返回結(jié)果。9.用戶登錄到其有權(quán)可以使用的應(yīng)用系統(tǒng)使用其提供的服務(wù)。六、SSO實現(xiàn)針對本系統(tǒng)的基本情況由于微軟的dotNet對WebService有較好的支持我們采用dotNet為開發(fā)平臺。有三大部分數(shù)據(jù)訪問控制、業(yè)務(wù)邏輯控制和WebService服務(wù)接口。(一)核心的業(yè)務(wù)邏輯控制類信息1.AuthenticationCl

13、ass。用戶認證管理類通過對用戶的身份認證的具體邏輯控制實現(xiàn)。2.UserClass。用戶管理類統(tǒng)一用戶管理接口提供用戶信息管理和密碼管理等服務(wù)。3.RoleClass。系統(tǒng)用戶角色管理角色是具有相同權(quán)限用戶的組是權(quán)限分配的單位與載體。權(quán)限不會直接分配給特定的用戶用戶要擁有對某種資源的權(quán)限必須通過角色去關(guān)聯(lián)。一個用戶可以屬于多個角色一個角色可以包括多個用戶。4.TicketClass。用戶登錄票據(jù)類票據(jù)是用戶身份的唯一標志同時包括了用戶

14、的系統(tǒng)授權(quán)信息。該票據(jù)在不同的系統(tǒng)中傳輸用于用戶的身份識別。5.AppSystemClass。管理應(yīng)用系統(tǒng)記錄信息。該類登記了現(xiàn)有的軟件服務(wù)系統(tǒng)信息用于對軟件服務(wù)系統(tǒng)的管理。6.PermissionClass。對用戶授權(quán)管理。權(quán)限是綁定在特定的資源實例上的即權(quán)限是角色與的軟件服務(wù)系統(tǒng)的關(guān)聯(lián)。(二)WebService設(shè)計.NET平臺對Webservice的構(gòu)建和使用有很好的支持。與其它開發(fā)平臺不同使用.NET平臺不需要其他的工具或者SD

15、K就可以完成Webservice的開發(fā)。.NETFramework本身就全面支持Webservice包括服務(wù)器端的請求處理器和對客戶端發(fā)送和接受SOAP消息的支持。1.SysManagementServiceSysManagementService是SSO系統(tǒng)管理的WebService接口提供對系統(tǒng)用戶管理、角色管理、應(yīng)用系統(tǒng)管理和授權(quán)管理。應(yīng)用程序可以通過該接口訪問到系統(tǒng)管理的信息。2.AuthorizationServiceAuth

16、orizationService提供對認證、審核和權(quán)限訪問控制的業(yè)務(wù)接口應(yīng)用程序可以調(diào)用戶該服務(wù)驗證用戶的身份和權(quán)限但到單點登錄的目的。圖4系統(tǒng)核心類圖七、結(jié)語單點登錄統(tǒng)一了登錄用戶認證信息訪問標準減少了在不同系統(tǒng)中的系統(tǒng)用戶的認證管理加強了資源的集中控制為用戶減少記憶用戶名稱和密碼節(jié)省時間。為各種系統(tǒng)整合提供了先決條件為更進一步的用戶服務(wù)打下了基礎(chǔ)。【參考文獻】[1]SimonRobinson等編著.C#高級編程(第2版)[M].北京