陳云芳，李廣志，湯 波

（南京郵電大學(xué) 計算機學(xué)院，江蘇 南京 210003）

一種基于單點登錄的開源課程群系統(tǒng)*

陳云芳，李廣志，湯 波

（南京郵電大學(xué) 計算機學(xué)院，江蘇 南京 210003）

為高效地管理和應(yīng)用高校的網(wǎng)絡(luò)課程，滿足課程教學(xué)過程中不同類型用戶的實際需求，本文提出了一種基于單點登錄的課程群系統(tǒng)，采用用戶信息統(tǒng)一管理、分布式子課程群服務(wù)的應(yīng)用模式，并以單點登錄認證機制實現(xiàn)系統(tǒng)整合。系統(tǒng)以開放源代碼模塊進行構(gòu)建，以耶魯大學(xué)開發(fā)的CAS結(jié)合Open LDAP實現(xiàn)統(tǒng)一認證，以Moodle教學(xué)平臺提供具體的課程服務(wù)，實踐表明它是一種可靠、高伸縮性的開放課程群系統(tǒng)。

課程群；統(tǒng)一認證；單點登錄

一、引言

目前各高校都有著數(shù)量龐大的網(wǎng)絡(luò)課程系統(tǒng)，各個課程組和院系開設(shè)各自的網(wǎng)絡(luò)課程，使用不同的課程服務(wù)系統(tǒng)。用戶更是可能跨院系同時在不同的網(wǎng)絡(luò)課程系統(tǒng)上擁有多門課程，或者在不同的部門兼有教師和學(xué)生等不同身份。這樣繁雜的網(wǎng)絡(luò)課程系統(tǒng)首先造成高校的網(wǎng)絡(luò)資源使用混亂，使用效率降低，教務(wù)、教學(xué)部門不能有效地管理相關(guān)課程，不能整體掌握學(xué)校網(wǎng)絡(luò)課程的開設(shè)和使用情況；其次，用戶登錄不同的課程系統(tǒng)需要使用不同的用戶名和密碼，這給管理者和使用者都帶來諸多不便；再次，傳統(tǒng)的網(wǎng)絡(luò)課程系統(tǒng)通常使用獨立的數(shù)據(jù)存儲模塊和認證模塊，這些模塊的定制開發(fā)造成大量的重復(fù)工作。

為了避免傳統(tǒng)獨立型網(wǎng)絡(luò)課程系統(tǒng)存在的弊端，目前越來越多的高校采用類似于Blackboard的課程平臺。Blackboard教學(xué)平臺是以課程為核心，并且具備很多可以獨立運行而且支持二次開發(fā)的模塊化結(jié)構(gòu)，在網(wǎng)絡(luò)教學(xué)中比較流行的一種教學(xué)平臺。Blackboard教學(xué)管理平臺集數(shù)據(jù)存儲、認證服務(wù)和具體課程服務(wù)于一體，各種服務(wù)都由一臺集中式服務(wù)器提供，方便了高校統(tǒng)一管理，省

*本文受到南京郵電大學(xué)教改項目“云計算模式下的課程教學(xué)網(wǎng)站群系統(tǒng)研究”（JG00410JX10）的資助。去了用戶登錄的繁瑣過程。然而，由于Blackboard的獨立性和集成性，服務(wù)器在使用的高峰期，需承擔巨大的負荷，負載無法均衡。同時，該課程平臺把所有權(quán)限都集中于管理員，也就是由教務(wù)處統(tǒng)一管理，這并不符合課程是各個院系自己負責(zé)建設(shè)和管理的實際教學(xué)情況。

鑒于傳統(tǒng)網(wǎng)絡(luò)教學(xué)系統(tǒng)存在的弊病和類似于Blackboard獨立集成型課程系統(tǒng)存在的問題，本文提出一種基于單點登錄的開源課程群系統(tǒng)的新型解決方案，它繼承了傳統(tǒng)的獨立網(wǎng)絡(luò)教學(xué)課程系統(tǒng)的優(yōu)勢，吸收了集成型課程系統(tǒng)的優(yōu)點，既能滿足單門課程網(wǎng)絡(luò)教學(xué)的基本功能需求，也能滿足高校的課程建設(shè)與管理的現(xiàn)實需求。它是一種支持單點登錄、統(tǒng)一身份認證和獨立權(quán)限兼顧、課程統(tǒng)一管理和獨立建設(shè)兼顧的課程集群系統(tǒng)。

二、基于單點登錄的開源課程群系統(tǒng)

本文提出的“基于單點登錄的開源課程群系統(tǒng)”是指由后臺提供統(tǒng)一的認證模塊，子課程系統(tǒng)通過統(tǒng)一的接口進行認證，且一次登錄可以在整個課程群中漫游而不需要二次登錄的一種課程群系統(tǒng)，其模型如圖1所示。

1．系統(tǒng)的結(jié)構(gòu)

課程群系統(tǒng)可以分為三個層次，第一層是認證模塊，第二層是子課程群，最后一層是終端用戶。前兩層（服務(wù)模塊）都是可以支持二次開發(fā)的模塊化體系結(jié)構(gòu)，并且均可以運行在不同的服務(wù)器上。雖然Blackboard等課程系統(tǒng)軟件的各個模塊也支持二次開發(fā)，各個模塊卻不可以獨立運行，只能將若干個模塊揉和在一起，運行在同一臺服務(wù)器上。

基于單點登錄的開源課程群系統(tǒng)的功能實現(xiàn)主要包括：（1）提供具體課程服務(wù)的子課程群，為各個院系或者為超級大課提供具體課程服務(wù)；（2）統(tǒng)一認證單點登錄模塊，給課程群提供統(tǒng)一的認證登錄服務(wù)。

統(tǒng)一認證單點登錄模塊由高校根據(jù)學(xué)校的實際情況定制，該模塊存儲用戶信息，提供單點登錄服務(wù)。認證模塊的系統(tǒng)管理員可以對整個課程群的用戶信息進行統(tǒng)一管理。各個子課程群系統(tǒng)才是直接面向用戶提供服務(wù)的課程平臺，子課程群系統(tǒng)存儲了具體課程的相關(guān)信息，學(xué)生、老師、教學(xué)組、教務(wù)處等是該系統(tǒng)的最終用戶。每個子課程群就是一個管理域，每個域都有管理員，可以對本域中的用戶信息進行管理，可以分配不同的權(quán)限給不同的用戶。子課程群主要有兩種服務(wù)模式，一種是為院系服務(wù)的子課程群，如圖1所示的院系A(chǔ)和院系B組織的課程，下面再開設(shè)院系內(nèi)部的課程。另外一種是為一些基礎(chǔ)大課服務(wù)的子課程群，如圖1所示的基礎(chǔ)課程A和基礎(chǔ)課程B組織的課程，因為這些課程面向全校數(shù)千學(xué)生用戶，往往有課程所屬的特定功能需求。

2．系統(tǒng)的優(yōu)點

本文提出的基于單點登錄的開源課程群系統(tǒng)與傳統(tǒng)網(wǎng)絡(luò)課程系統(tǒng)及近來流行的Blackboard等集成式課程平臺相比有以下幾個特點：

（1）身份認證、管理與權(quán)限分配分離

不管用戶登錄還是注冊到該課程系統(tǒng)，都需要經(jīng)過認證模塊驗證，即教務(wù)處（或?qū)W校）對用戶的身份進行認證。各個子系統(tǒng)中都有管理者，可以管理該子系統(tǒng)中的所有課程和用戶信息，以及給不同的用戶分配不同的權(quán)限。課程的擁有者被子系統(tǒng)的管理員授予了一定權(quán)限，可以全面管理自己的課程。想要開設(shè)網(wǎng)絡(luò)課程只需要向該域管理員提出申請，管理員審查符合要求，則添加相應(yīng)的課程并授予該申請者相應(yīng)權(quán)限，該申請者就擁有了自己的一門網(wǎng)絡(luò)課程?；蛘哂蛑泄芾韱T分配給某些人相應(yīng)教師角色（擁有相應(yīng)權(quán)限），這些教師角色就可以自己創(chuàng)建課程，免去繁瑣的申請過程。而學(xué)生只要知道選課密鑰就可以自行加入某門課程。這樣的課程群系統(tǒng)實現(xiàn)了身份認證、管理和權(quán)限分離，符合現(xiàn)實情況，即教務(wù)處僅管理、識別教師和學(xué)生的身份，至于用戶在某個具體課程中擁有什么權(quán)限，完全由課程群子系統(tǒng)所決定。正是由于身份識別和權(quán)限分配的分離，避免了在傳統(tǒng)課程系統(tǒng)中，教師開設(shè)幾門網(wǎng)絡(luò)課程也就擁有幾套獨立的課程系統(tǒng)，避免了一位管理者管理不同網(wǎng)絡(luò)課程也就管理幾個不同的系統(tǒng)的問題，避免了無法處理可能的用戶多重身份問題。

（2）使用統(tǒng)一認證單點登錄機制

該系統(tǒng)使用統(tǒng)一認證單點登錄機制，當用戶第一次登錄課程系統(tǒng)時，在客戶端輸入用戶名和密碼，通過統(tǒng)一的接口映射到中央認證模塊，實現(xiàn)統(tǒng)一認證。認證模塊首先查尋該用戶是否存在，如果該用戶不存在則返回登錄失敗；如果查詢到該用戶則向數(shù)據(jù)庫查詢比對，如果比對成功則返回一張憑證，只要瀏覽器沒有關(guān)閉，用戶攜帶此憑證就可以在課程群中所有的子課程系統(tǒng)中無限制漫游，無需重復(fù)登錄，即實現(xiàn)單點登錄功能。這符合實際需求，避免多次使用相同賬號密碼登錄系統(tǒng)，減少了登錄系統(tǒng)時的安全隱患。

（3）課程具有統(tǒng)一使用模式

該課程群系統(tǒng)的所有課程都具有統(tǒng)一的使用模式，系統(tǒng)直接面向廣大師生的課程平臺是子課程群服務(wù)系統(tǒng)，這也是課程群的核心服務(wù)部分，以院系課程或基礎(chǔ)課程為基本組織單位面向廣大師生組織網(wǎng)絡(luò)教學(xué)。雖然每個子課程群系統(tǒng)都是獨立開發(fā)運行的，但是因為全部使用同一課程服務(wù)軟件、具有相同的二次開發(fā)模式，從而具有相似的用戶體驗。教師在各個子課程群中擁有不同課程，學(xué)生在不同子課程群中修學(xué)不同課程，不需要重新學(xué)習(xí)系統(tǒng)的功能使用，從而最小化了系統(tǒng)使用的學(xué)習(xí)負擔。

（4）具有無限拓展性和小負荷壓力

該系統(tǒng)還有很大的靈活性，因為系統(tǒng)數(shù)據(jù)的存儲和具體課程服務(wù)都分布在不同的服務(wù)器上，由于采用集中式認證分散式服務(wù)，每一單獨的課程服務(wù)器都沒有太大的運行負擔，這有別于 Blackboard等集成式課程系統(tǒng)——集認證模塊和課程服務(wù)于同一臺服務(wù)器，當多用戶同時登錄時，該課程系統(tǒng)服務(wù)器會因為負擔太重而降低服務(wù)效率甚至無法正常運行。系統(tǒng)可以根據(jù)需要無限地拓展，這正好符合現(xiàn)實的需求——無限拓展性和小負荷壓力。

三、關(guān)鍵技術(shù)

本文提出的統(tǒng)一認證的開源課程群系統(tǒng)在南京郵電大學(xué)實踐的具體方式是：耶魯大學(xué)開發(fā)的CAS（Central Authentication Service）[1]結(jié)合現(xiàn)在流行的數(shù)據(jù)庫服務(wù)LDAP（Lightweight Directory Access Protocol）[2]實現(xiàn)具有統(tǒng)一認證和單點登錄功能的認證模塊，各個子課程群的功能切實實現(xiàn)用的是一套具有諸多優(yōu)點的課程平臺服務(wù)軟件Moodle[3]來實現(xiàn)。實現(xiàn)該方案的關(guān)鍵技術(shù)包括統(tǒng)一認證和單點登錄的實現(xiàn)、合理分配各級權(quán)限、整合已經(jīng)存在的用戶數(shù)據(jù)和傳統(tǒng)網(wǎng)絡(luò)課程數(shù)據(jù)。

1．技術(shù)背景

CAS是耶魯大學(xué)開發(fā)的單點登錄（Single Sign On）系統(tǒng)，它被設(shè)計成為一個獨立的網(wǎng)絡(luò)應(yīng)用程序，可以作為用戶身份認證模塊加入到網(wǎng)絡(luò)應(yīng)用中。CAS的設(shè)計目標為：（1）為多個Web應(yīng)用提供單點登錄服務(wù)；（2）簡化身份認證的流程；（3）將用戶身份認證集成于單一的Web應(yīng)用。

LDAP是輕量級目錄訪問協(xié)議，而且是跨平臺的和標準的協(xié)議。該協(xié)議是基于X.500標準的，但是簡單了很多，可以根據(jù)需要定制，支持TCP/IP協(xié)議。LDAP對查詢進行了優(yōu)化，讀比寫的性能要優(yōu)秀很多。LDAP服務(wù)器可以用“推”或“拉”的方法備份數(shù)據(jù)。

Moodle是目前比較流行的課程管理平臺，以社會建構(gòu)主義教學(xué)法為其設(shè)計基礎(chǔ)。Moodle的在線教學(xué)模塊采用可自由組合的動態(tài)模塊化設(shè)計，組織在線教學(xué)時就像搭積木一樣簡單。它是一個專門制作基于因特網(wǎng)的課程和網(wǎng)站的軟件包，可以在任何一臺支持PHP的計算機上運行，而且支持多種類型的數(shù)據(jù)庫。

筆者提出的課程群系統(tǒng)主要以上述三種開源代碼為基礎(chǔ)來實現(xiàn)。首先根據(jù)高校的實際情況定制符合客觀需求的LDAP數(shù)據(jù)存儲服務(wù)器。然后配置CAS服務(wù)器，使其與LDAP數(shù)據(jù)庫服務(wù)器連通，能夠雙向讀取和存儲數(shù)據(jù)，即CAS和LDAP二者結(jié)合構(gòu)成認證模塊——實現(xiàn)統(tǒng)一認證、單點登錄機制。然后開放統(tǒng)一接口給Web應(yīng)用連接，對正在使用或者新架設(shè)的Moodle的認證機制進行替換。對于新架設(shè)的Moodle更換原有的認證機制，對于正在使用的Moodle，需要將已經(jīng)存在的數(shù)據(jù)導(dǎo)入到我們定制的LDAP中，然后重新配置它的認證方式使其對接上新開發(fā)的中央認證模塊，這樣就真正建立了符合整個高校需求的基于單點登錄的開源課程群系統(tǒng)。

2．單點登錄的實現(xiàn)

單點登錄是實現(xiàn)用戶統(tǒng)一管理的中央認證模塊。單點登錄，即一點登錄就可全網(wǎng)漫游。各個子課程群與認證模塊緊密相連，實現(xiàn)在一個課程中登錄成功就可以訪問其他所有的課程，無需反復(fù)登錄。功能原理如圖2所示。

用戶瀏覽器第一次訪問并登錄某課程系統(tǒng)時，系統(tǒng)檢查該用戶的Session是否存在，如果不存在則重定向到 CAS服務(wù)器端，檢查 TGT （TicketGranting Ticket），若TGT不存在或者TGT錯誤則重新定向到登錄界面，需要用戶輸入用戶名和密碼，然后通過統(tǒng)一認證的單點登錄服務(wù)器對用戶進行認證。需要注意的是CAS服務(wù)器端本身并不具有認證功能，真正的認證是在LDAP數(shù)據(jù)服務(wù)器中進行的。當LDAP認證完成后，CAS返回給用戶合法的TGT和ST（Service Ticket）給瀏覽器，并重新定向用戶的瀏覽器到原來的課程系統(tǒng)中。課程系統(tǒng)接收到返回的ST之后，再一次重定向到CAS服務(wù)器端請求認證ST的合法有效性，如果合法有效則確認該用戶已經(jīng)正確登錄，課程系統(tǒng)中創(chuàng)建該用戶的Session并且提供相應(yīng)的課程服務(wù)，用戶的瀏覽器重新定向到請求的地址；否則返回錯誤，要求用戶重新輸入用戶名和密碼。用戶登錄成功之后，再次訪問其他的課程系統(tǒng)時，用戶的瀏覽器到達課程系統(tǒng)時提供ST，課程系統(tǒng)把接收到的ST重定向到CAS服務(wù)器端，驗證合法性和是否過期，若ST不存在或者ST過期了，則返回校驗用戶Cookie中攜帶的TGT，如果TGT合法則CAS重新授予用戶一張ST，否則就需要用戶重新登錄，即重新定向到統(tǒng)一登錄界面，要求用戶輸入用戶名和密碼。

3．權(quán)限設(shè)計

單點登錄、統(tǒng)一認證的開源課程群系統(tǒng)存在另外一個重要的問題就是權(quán)限控制。該課程群系統(tǒng)可以使用學(xué)校的所有網(wǎng)絡(luò)資源，由學(xué)校統(tǒng)一規(guī)劃設(shè)計這個系統(tǒng)，學(xué)校設(shè)專人對群系統(tǒng)進行維護；也可以是某個院或幾個院合作規(guī)劃運行這樣的一個課程群。這種運行方式體現(xiàn)了課程群的靈活性，同時也對課程群的設(shè)計提出了更高的要求。整個課程群中的課程可能會很多，用戶量龐大，用戶關(guān)系非常繁雜，分級分層的關(guān)系也比較復(fù)雜，這就要求系統(tǒng)架構(gòu)的設(shè)計者能夠?qū)?quán)限問題考慮清楚。

該系統(tǒng)選用Open LDAP作為系統(tǒng)后臺數(shù)據(jù)存儲的服務(wù)器，可以充分地考慮用戶及用戶組、角色及權(quán)限分配設(shè)計問題。LDAP是以樹狀結(jié)構(gòu)存儲數(shù)據(jù)的，首先要設(shè)計好以什么樣的結(jié)構(gòu)來存儲，本文所提出的例子是以cn= Manager,dc=njupt,dc=com作為LDAP存儲樹的根。我們分別根據(jù)院系和課程進行樹結(jié)構(gòu)的延展。樹的分支的末尾才是真正用戶，在存儲用戶實體的時候需要考慮到角色劃分的問題，例如最簡單的教師和學(xué)生的角色劃分，院系和班級的劃分等。

用戶權(quán)限的真正控制權(quán)在子課程群系統(tǒng)中，即Moodle本身對課程使用者的權(quán)限控制。Moodle安裝成功之后，默認創(chuàng)建一個系統(tǒng)管理員，我們稱之為域管理員。域管理員可以在自己的子課程群中分配權(quán)限，例如可以在自己的域中下放權(quán)限給老師，讓他們可以在該子課程群中創(chuàng)建課程，而課程創(chuàng)建者又可以為自己的課程添加新的老師，而學(xué)生可以通過選課密鑰進入到自己想要選擇的課程。從而這個子課程系統(tǒng)才能真正運行起來。雖然是集中式管理，但是權(quán)限在嚴格的控制基礎(chǔ)上層層下放，讓不同類型的用戶可以參與該課程群系統(tǒng)的管理。權(quán)限分配合理，整個系統(tǒng)會被非常高效地管理，而管理員不會有太多的工作負擔。

四、總結(jié)

經(jīng)過數(shù)年建設(shè)，我校的課程群子系統(tǒng)取得良好的實際應(yīng)用效果。目前的課程群系統(tǒng)中實際運行了4個子課程系統(tǒng)，涵蓋計算機學(xué)院課程子系統(tǒng)、省級精品課程子系統(tǒng)、校級精品課程子系統(tǒng)等多種服務(wù)類型，包括基礎(chǔ)課、專業(yè)課、選修課等多種形態(tài)，還包括高級程序設(shè)計語言、高等數(shù)學(xué)等有特殊功能需求的課程。該課程群系統(tǒng)服務(wù)用戶超過萬人，服務(wù)課程超過200門，累計點擊數(shù)接近億次。

統(tǒng)一認證單點登錄的開源課程群系統(tǒng)，在設(shè)計上充分利用了高校各方面的網(wǎng)絡(luò)資源，具有身份認證與權(quán)限控制分離、一點登錄全網(wǎng)漫游、網(wǎng)絡(luò)課程使用統(tǒng)一化等特點。中央認證單點登錄模塊的實現(xiàn)，減少了傳統(tǒng)網(wǎng)絡(luò)課程的獨立認證模塊的開發(fā)，節(jié)約了人力和財力資源。采取統(tǒng)一認證單點登錄的CAS服務(wù)模塊，可大大減弱數(shù)據(jù)存儲的重復(fù)性和減少占用的網(wǎng)絡(luò)資源。采用用戶身份的統(tǒng)一管理，有助于高校對本校的網(wǎng)絡(luò)教學(xué)的用戶和課程進行管理。正是由于采用了本文所提出的系統(tǒng)架構(gòu)，我們可以在廉價的服務(wù)器上提供伸縮能力極強的高質(zhì)量分布式課程服務(wù)，初步具備了云計算的課程教學(xué)環(huán)境，這也是我們下一步研究工作的方向。

[1]CAS單點登錄[OL].http://www.jasig.org/cas.

[2]LDAP輕量級目錄訪問協(xié)議[EB/OL].http://www. openldap.org/.

[3]Moodle中 國 服 務(wù) 中 心 [EB/OL].http://www. moodlecn.com.

（編輯：金冉）

G420

A

1673-8454（2011）11-0037-04