亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于CAS的Web應(yīng)用單點登錄系統(tǒng)的研究

        2014-11-19 18:32:29宋洪娟
        卷宗 2014年10期

        摘 要:本文介紹了單點登錄技術(shù)的基礎(chǔ)理論,分析了三種單點登錄方案,并在基于CAS協(xié)議單點登錄方案基礎(chǔ)上加以改進,設(shè)計了符合某信息門戶實際需求的單點登錄模型,該模型實現(xiàn)了統(tǒng)一用戶管理,集中認證和單點登錄。

        關(guān)鍵詞:單點登錄;Web應(yīng)用;CAS協(xié)議

        0 引言

        近年來隨著企業(yè)信息化建設(shè)的不斷進步以及互聯(lián)網(wǎng)技術(shù)的發(fā)展,企業(yè)在不同階段開發(fā)出了多個應(yīng)用系統(tǒng),這些應(yīng)用系統(tǒng)可能是基于不同技術(shù)實現(xiàn)的,它們有著獨立的安全認證和用戶管理機制。在門戶系統(tǒng)中集成這些應(yīng)用時,這些機制就成了集成的阻礙,增加了用戶登錄出錯的可能性,降低了用戶訪問資源站點的安全性,加重了管理員的負擔(dān)。所以非常必要對門戶系統(tǒng)和接入到其中的資源站點建立統(tǒng)一身份認證,實現(xiàn)單點登錄。

        1 單點登錄技術(shù)及其分類

        單點登錄(Single Sign-On,SSO),即用戶在訪問多個系統(tǒng)和多種受限資源時,只需進行一次登錄和身份驗證,不用重復(fù)登錄,用戶安全信息轉(zhuǎn)換為電子身份后自動地傳遞到多個系統(tǒng),從而提高工作效率和安全性[1]。

        1.1 根據(jù)應(yīng)用系統(tǒng)結(jié)構(gòu)分類

        應(yīng)用系統(tǒng)可以分為客戶端/服務(wù)器(C/S)和瀏覽器/服務(wù)器(B/S)結(jié)構(gòu),單點登錄技術(shù)也可分為針對C/S的基于Windows窗體的單點登錄和針對B/S結(jié)構(gòu)的基于Web的單點登錄技術(shù)。從理論上說,這兩種技術(shù)能夠使用相同的認證和授權(quán)框架結(jié)構(gòu),區(qū)別在于基于Web的單點登錄在實現(xiàn)方式上更多的采用了Web相關(guān)的技術(shù)。

        1.2 根據(jù)實現(xiàn)技術(shù)分類

        按照實現(xiàn)技術(shù)分類,可分為基于腳本(Script)的單點登錄和基于票據(jù)(Ticket)的單點登錄。

        基于腳本的單點登錄技術(shù),一般使用自動化技術(shù),通過一些腳本在客戶端自動為用戶輸入口令和用戶名。用戶ID和密碼大都以明文方式存放在客戶端,存在安全隱患。

        基于票據(jù)的單點登錄技術(shù),其主要目標(biāo)是通過要求目標(biāo)系統(tǒng)進行改造接受訪問票據(jù)來實現(xiàn)SSO,對用戶的驗證工作由SSO服務(wù)器負責(zé),目標(biāo)系統(tǒng)的責(zé)任只是向SSO服務(wù)器驗證訪問票據(jù)的有效性。根據(jù)使用票據(jù)類型的不同,基于票據(jù)的單點登錄可分為基于Cookie的單點登錄、基于Kerberos的單點登錄和基于SAML的單點登錄三種。

        2 三種單點登錄方案

        一直以來,產(chǎn)業(yè)界和理論界紛紛提出了各自的單點登錄解決方案。對單點登錄的研究和開發(fā)工作一直在不斷深入。目前的單點登錄方案主要有Yale-CAS(Central Authentication Service)、Microsoft的Passport和Sun領(lǐng)導(dǎo)下的自由聯(lián)盟(Liberty Alliance)。

        2.1 基于CAS協(xié)議的單點登錄方案[2]

        CAS協(xié)議是一個獨立于平臺的,易于理解的用JAVA實現(xiàn)的開源協(xié)議,支持多方認證和代理功能。它能為多個應(yīng)用提供單點登錄基礎(chǔ)架構(gòu)。它將用戶身份認證集中于單一的Web應(yīng)用,讓用戶簡化他們的密碼管理,從而提高安全性,開發(fā)者可以很容易的修改驗證邏輯。CAS協(xié)議的基礎(chǔ)思想都是基于Kerberos的票據(jù)方式。

        基于CAS協(xié)議的單點登錄方案在安全性上,保證用戶信息不在應(yīng)用系統(tǒng)間傳遞,使用具有更高安全性的票據(jù)驗證用戶和應(yīng)用服務(wù)。在適用性上,它支持多種客戶端,如Java、Perl、Jsp、Asp、Php、Apache和PAM模塊,方便應(yīng)用程序集成。它應(yīng)用范圍很廣,在北美和歐洲的大部分高校和科研院所都采用了CAS,不少企業(yè)也在CAS協(xié)議的基礎(chǔ)上開發(fā)自己的單點登錄產(chǎn)品。

        2.2 微軟Passport單點登錄方案

        Passport是微軟推出的基于Web的統(tǒng)一身份認證系統(tǒng)。其核心的身份認證服務(wù)器以及用戶個人信息服務(wù)器都由微軟集中控制,其技術(shù)細節(jié)不對外公開,因此人們一直對其安全性持懷疑態(tài)度,用戶擔(dān)心其個人資料被泄漏。微軟的Passport系統(tǒng)曾被黑客多次入侵。這些都限制了微軟Passport服務(wù)的進一步推廣。

        2.3 自由聯(lián)盟單點登錄方案

        自由聯(lián)盟規(guī)范依據(jù)了OASIS產(chǎn)業(yè)標(biāo)準(zhǔn),它不是中央集中式的單一登錄模式,而是一種相對開放的模式,在其信任圈中可以存在多個相互獨立的身份提供者。但目前自由聯(lián)盟規(guī)范仍處于研究階段,且其本身的協(xié)議比較復(fù)雜,實現(xiàn)起來具有一定難度,沒有成型的應(yīng)用服務(wù)。

        3 單點登錄系統(tǒng)的設(shè)計

        本文為某信息門戶設(shè)計單點登錄方案。某信息門戶集成了包含論壇、博客、新聞評論、房產(chǎn)信息等應(yīng)用系統(tǒng),用戶在使用多個應(yīng)用系統(tǒng)時需要多次輸入用戶名和密碼獲得各應(yīng)用系統(tǒng)的服務(wù),給用戶的使用帶來極大不便。與此同時系統(tǒng)管理員需要維護多個用戶數(shù)據(jù)庫,加重了工作負擔(dān),也造成了資源的浪費。

        在選取方案時,要考慮到安全性高、易實現(xiàn)、登錄方案成熟等要求。通過對前面三種單點登錄方案的比較,為了解決信息門戶的這些問題,使用基于CAS協(xié)議單點登錄方案,并在此基礎(chǔ)上對其加以改進。信息門戶中用戶群體呈現(xiàn)多樣化,有一般的注冊用戶,也有不同等級的管理人員,并且應(yīng)用系統(tǒng)也會不斷增加,要求新系統(tǒng)在加入信息門戶時,修改較小,最好有通用的接口供其調(diào)用。無論用戶通過門戶登錄,還是通過各個應(yīng)用系統(tǒng)登錄,都能做到單點登錄,全網(wǎng)通行。通過以上分析,提出一個以集中認證服務(wù)器為中心的單點登錄系統(tǒng)模型。整個系統(tǒng)的結(jié)構(gòu)如圖1所示。

        圖1 單點登錄系統(tǒng)模型

        集中認證服務(wù)器實現(xiàn)統(tǒng)一用戶管理、集中認證和單點登錄功能。統(tǒng)一用戶管理包括注冊用戶管理、管理員管理、角色管理、權(quán)限管理、應(yīng)用系統(tǒng)管理、日志管理和基于角色的訪問控制。基于CAS協(xié)議實現(xiàn)集中認證和單點登錄,每個應(yīng)用系統(tǒng)在認證用戶時都通過重定向到集中認證服務(wù)器進行集中身份認證。

        單點登錄系統(tǒng)只解決用戶認證和用戶是否有權(quán)限進入某個應(yīng)用系統(tǒng)的問題,而用戶在應(yīng)用系統(tǒng)的權(quán)限(業(yè)務(wù)權(quán)限)則由各應(yīng)用系統(tǒng)進行控制。其原因是應(yīng)用系統(tǒng)都擁有自己的權(quán)限和資源管理策略。如果采用統(tǒng)一集中的權(quán)限管理策略,雖然用戶權(quán)限管理起來比較方便,但是對應(yīng)用系統(tǒng)的修改比較大,這樣導(dǎo)致應(yīng)用系統(tǒng)集成成本增加,并且各個系統(tǒng)都有自己不同的業(yè)務(wù)邏輯,對應(yīng)用系統(tǒng)的修改可能破壞掉其業(yè)務(wù)邏輯的完整性。統(tǒng)一集中的權(quán)限控制策略對于所有的系統(tǒng)都是自己開發(fā)時比較合適,而對于第三方系統(tǒng)以及以后新的應(yīng)用系統(tǒng)的加入,都會帶來非常多的不方便。基于以上考慮,本文單點登錄系統(tǒng)采用集中認證分級授權(quán)的策略。

        參考文獻

        [1]張挺,耿繼秀. Web環(huán)境下的SSO實現(xiàn)模式研究[J].計算機仿真,2005,22(8):128-129.

        [2]羅時飛.Acegi CAS—構(gòu)建安全的Java系統(tǒng)[M].北京:電子工業(yè)出版社,2007.

        作者簡介

        宋洪娟(1983-),女,山東泰安人,碩士,研究方向:網(wǎng)絡(luò)工程與管理信息系統(tǒng)。現(xiàn)擔(dān)任第二炮兵工程大學(xué)士官學(xué)院教員。

        99国产精品久久久久久久成人热 | 最近中文字幕国语免费| 国产女主播精品大秀系列| 中文亚洲av片在线观看不卡 | av人摸人人人澡人人超碰妓女| 亚洲日韩乱码中文无码蜜桃臀| 无码伊人66久久大杳蕉网站谷歌 | 91国产自拍精品视频| 四虎永久在线精品免费一区二区| 精品三级av无码一区| 国产成人av一区二区三区在线| 国产福利美女小视频| 亚洲综合新区一区二区| 麻豆最新国产av原创| 久久综合九色综合久99| 亚洲爱婷婷色婷婷五月| 无码91 亚洲| 日本在线一区二区免费| 欧美又大粗又爽又黄大片视频| 免费无码又黄又爽又刺激| 国产人碰人摸人爱视频| 欧美日韩精品久久久免费观看| 国产欧美日韩一区二区三区在线 | 中文字幕一区二区三区久久网站| 亚洲 美腿 欧美 偷拍| 精品久久一区二区三区av制服| 高清午夜福利电影在线| 亚洲av无码一区二区三区人妖 | 欧美四房播播| 亚洲a∨无码一区二区| 亚洲一区二区成人在线视频| 成人性生交大片免费看l| 国产精品久久久久一区二区三区| 成人妇女免费播放久久久| 国产精品白浆视频一区| 中文字幕丰满人妻被公强| 亚洲av熟女少妇久久| 漂亮人妻被中出中文字幕久久 | 草草浮力影院| 精品 无码 国产观看| 蜜臀av一区二区三区精品|