張 振，朱志祥，梁小江

(1.西安郵電大學通信技術(shù)研究所，陜西西安 710061;2.西安未來國際信息股份有限公司研發(fā)中心，陜西西安 710065)

傳統(tǒng)業(yè)務(wù)系統(tǒng)中用戶信息與業(yè)務(wù)數(shù)據(jù)存儲在同一數(shù)據(jù)源，若一個用戶同時需要訪問多個業(yè)務(wù)系統(tǒng)，就需要多次進行登錄認證，而多個業(yè)務(wù)系統(tǒng)的登錄認證信息可能會有差異，對于用戶來說，多次登錄認證和多套用戶名密碼是很不不方便而且繁瑣的，同時，對于管理人員來說多個業(yè)務(wù)系統(tǒng)之間使用不同的用戶數(shù)據(jù)源，易造成用戶數(shù)據(jù)不同步。

一種經(jīng)過優(yōu)化的用戶管理和認證系統(tǒng)，通過將用戶信息從業(yè)務(wù)系統(tǒng)分離并整合成統(tǒng)一用戶管理系統(tǒng)，做到單一的用戶數(shù)據(jù)源，解決了用戶信息同步的問題［1］;通過實現(xiàn)單點認證，用戶只需登錄一次，在同一瀏覽器環(huán)境下，進入其他業(yè)務(wù)系統(tǒng)均無需登錄，使得用戶訪問多個系統(tǒng)更加簡單快捷［2］。這種設(shè)計提高了管理效率，優(yōu)化了用戶體驗，但是當用戶訪問量很大時，單點認證系統(tǒng)的壓力就會很大。用戶數(shù)據(jù)屬于結(jié)構(gòu)化的數(shù)據(jù)，一般都是持久化到關(guān)系型數(shù)據(jù)庫中，進行多表關(guān)聯(lián)，在大量用戶并發(fā)認證并授權(quán)時將會出現(xiàn)大量關(guān)聯(lián)查詢，數(shù)據(jù)庫承受的讀寫壓力過大［3］，這會嚴重影響整個系統(tǒng)的性能。

針對這些問題提出了一套解決方案，該方案使用單一數(shù)據(jù)源保證了用戶數(shù)據(jù)一致性，所有應(yīng)用服務(wù)實現(xiàn)單點認證，并通過應(yīng)用服務(wù)自身對用戶操作進行權(quán)限控制，通過分離業(yè)務(wù)數(shù)據(jù)與用戶數(shù)據(jù)，并對用戶數(shù)據(jù)統(tǒng)一管理，在用戶管理和認證授權(quán)部分結(jié)合數(shù)據(jù)庫與內(nèi)存數(shù)據(jù)庫各自的優(yōu)點實現(xiàn)用戶數(shù)據(jù)讀寫分離，提升系統(tǒng)的管理和訪問應(yīng)答性能。

1 系統(tǒng)架構(gòu)設(shè)計

為保證數(shù)據(jù)的一致性，系統(tǒng)采用單一數(shù)據(jù)源整合維護用戶數(shù)據(jù)，并實現(xiàn)讀寫分離，應(yīng)用服務(wù)只維護業(yè)務(wù)數(shù)據(jù)，多個應(yīng)用服務(wù)之間實現(xiàn)單點認證，即一次登錄便可在任何應(yīng)用間無登錄跳轉(zhuǎn)。該系統(tǒng)主要包括統(tǒng)一用戶管理系統(tǒng)、用戶數(shù)據(jù)信息、單點認證系統(tǒng)和應(yīng)用服務(wù)4大部分，如圖1所示。其中，用戶數(shù)據(jù)信息部分是本方案的設(shè)計重點，將結(jié)構(gòu)化用戶數(shù)據(jù)存儲在數(shù)據(jù)庫中，由統(tǒng)一用戶管理系統(tǒng)進行維護數(shù)據(jù)關(guān)系，同時將用戶數(shù)據(jù)重組成JSON格式的數(shù)據(jù)，存入內(nèi)存數(shù)據(jù)庫中，利用內(nèi)存數(shù)據(jù)庫讀取快速的特點提高單點認證的負載能力和響應(yīng)速度［4］。

圖1 系統(tǒng)整體架構(gòu)

1.1 統(tǒng)一用戶管理系統(tǒng)

統(tǒng)一用戶管理系統(tǒng)，包括系統(tǒng)管理和應(yīng)用服務(wù)管理兩部分。系統(tǒng)管理集中維護所有用戶的基本信息，并對系統(tǒng)本身的用戶角色和權(quán)限進行控制管理;應(yīng)用服務(wù)管理并對所有應(yīng)用服務(wù)進行注冊管理，并對各應(yīng)用的用戶進行角色劃分實現(xiàn)應(yīng)用的權(quán)限管理。角色是應(yīng)用服務(wù)不同模塊權(quán)限的集合，決定了用戶對應(yīng)用服務(wù)不同模塊的訪問控制權(quán)限［5］。系統(tǒng)設(shè)計如圖2所示。

圖2 統(tǒng)一用戶管理系統(tǒng)

1.2 用戶數(shù)據(jù)信息

用戶數(shù)據(jù)信息主要包括數(shù)據(jù)庫中用戶信息的持久化以及適配用戶信息到內(nèi)存數(shù)據(jù)庫。由于用戶數(shù)據(jù)初始化后改動較少，數(shù)據(jù)寫的壓力并不大，所以統(tǒng)一用戶管理系統(tǒng)直接對數(shù)據(jù)庫進行操作。系統(tǒng)運行過程中伴隨著大量的用戶數(shù)據(jù)讀取，用戶認證需要獲取用戶的驗證信息，認證通過后還需將用戶的基本信息和用戶的權(quán)限通過認證系統(tǒng)下發(fā)給業(yè)務(wù)系統(tǒng)，整個過程中需要對數(shù)據(jù)庫進行多次關(guān)聯(lián)查詢，并發(fā)量大時給數(shù)據(jù)庫造成較大壓力，系統(tǒng)整體性能將會降低。認證授權(quán)過程中數(shù)據(jù)只有讀取，這樣就可將數(shù)據(jù)結(jié)構(gòu)重組成業(yè)務(wù)系統(tǒng)容易獲取，且足夠輕量以便在網(wǎng)絡(luò)中傳輸，選擇內(nèi)存數(shù)據(jù)庫來存儲重組后的用戶數(shù)據(jù)，在系統(tǒng)開始時將所有用戶信息重組同步到內(nèi)存數(shù)據(jù)中，之后針對個別用戶的修改可進行單個數(shù)據(jù)的同步，這樣在系統(tǒng)運行過程中，利用內(nèi)存數(shù)據(jù)庫讀寫速度快的特點來提高認證授權(quán)速度。充分利用數(shù)據(jù)庫和內(nèi)存數(shù)據(jù)庫的特點，實現(xiàn)數(shù)據(jù)的讀寫分離，并提高數(shù)據(jù)使用的靈活性。

數(shù)據(jù)庫中數(shù)據(jù)存儲在數(shù)據(jù)表中，主要數(shù)據(jù)的表為用戶、角色、權(quán)限，用戶與角色多對多關(guān)聯(lián)，角色與權(quán)限多對多關(guān)聯(lián)，這樣通過角色將用戶與權(quán)限信息綁定［6］，在內(nèi)存數(shù)據(jù)庫中，數(shù)據(jù)保存為鍵值對形式，將用戶名作為鍵值代表一個用戶，將用戶基本信息，角色信息包括權(quán)限信息進行數(shù)據(jù)重組，封裝成輕量級的JSON數(shù)據(jù)作為值保存在內(nèi)存數(shù)據(jù)庫中，這樣只通過用戶名就可直接查詢到用戶的所有信息［7］，有效減少了數(shù)據(jù)查詢的壓力。由于內(nèi)存數(shù)據(jù)庫將數(shù)據(jù)存儲在內(nèi)存中，數(shù)據(jù)讀取速度很快，系統(tǒng)在用戶認證時能夠快速讀取到數(shù)據(jù)進行響應(yīng)，如圖3所示。

圖3 用戶數(shù)據(jù)信息適配過程

將用戶數(shù)據(jù)重組并存入內(nèi)存數(shù)據(jù)庫，通過降低數(shù)據(jù)查詢次數(shù)來提高數(shù)據(jù)查詢速度，同時利用內(nèi)存讀取快的特點提高數(shù)據(jù)讀取速度，又因為用戶數(shù)據(jù)重組后更加輕量靈活，也給系統(tǒng)的網(wǎng)絡(luò)傳輸和數(shù)據(jù)處理提供了便利。

1.3 單點認證系統(tǒng)

所有應(yīng)用服務(wù)的認證過程統(tǒng)一由單點認證系統(tǒng)承擔，用戶只需認證一次，就可實現(xiàn)所有應(yīng)用服務(wù)之間無登錄自由跳轉(zhuǎn)［8］。單點認證系統(tǒng)從內(nèi)存數(shù)據(jù)庫中讀取用戶信息并分發(fā)給用戶正在訪問的應(yīng)用服務(wù)，應(yīng)用服務(wù)獲取到單點認證系統(tǒng)反饋的用戶信息，就可通過用戶權(quán)限實現(xiàn)對用戶的訪問控制，因網(wǎng)絡(luò)傳輸過程中涉及關(guān)鍵信息，故采用Https方式進行數(shù)據(jù)傳輸［9］。單點認證授權(quán)過程如圖4所示。

圖4 單點認證授權(quán)過程

1.4 應(yīng)用服務(wù)

應(yīng)用服務(wù)是本系統(tǒng)的最終業(yè)務(wù)實體，它只維護自身系統(tǒng)的業(yè)務(wù)數(shù)據(jù)，并不持有或維護用戶數(shù)據(jù)，用戶只有在單點認證通過后，用戶當前訪問的應(yīng)用服務(wù)才會獲得用戶數(shù)據(jù)，并通過獲取到的用戶數(shù)據(jù)對用戶進行權(quán)限控制，不同角色的用戶因為獲得的權(quán)限不同，所以在同一個應(yīng)用服務(wù)上可進行的操作是不同的［10］。

2 系統(tǒng)實現(xiàn)與測試結(jié)果

2.1 系統(tǒng)實現(xiàn)

(1)統(tǒng)一用戶管理系統(tǒng)?；赟SH(Struts2，Spring，Hibernate)組合框架編程實現(xiàn)。

(2)用戶數(shù)據(jù)信息。采用MySQL+REDIS實現(xiàn)，數(shù)據(jù)修改只操作MySQL數(shù)據(jù)庫，REDIS只作為單點認證系統(tǒng)的數(shù)據(jù)源，只進行從MySQL數(shù)據(jù)庫的同步工作。

(3)單點認證系統(tǒng)。采用開源中央認證服務(wù)(Central Authentication Service，CAS)實現(xiàn)，修改源碼用戶數(shù)據(jù)認證以及屬性返回模塊，使支持讀取內(nèi)存數(shù)據(jù)庫并返回信息。

(4)應(yīng)用服務(wù)權(quán)限控制。采用開源Apache shiro集成CAS實現(xiàn)，應(yīng)用服務(wù)認證成功后解析CAS分發(fā)的用戶角色和權(quán)限信息，實現(xiàn)對用戶的權(quán)限控制。

2.2 測試過程

本方案測試重點為用戶數(shù)據(jù)信息部分，同時測試單點認證系統(tǒng)和應(yīng)用服務(wù)信息的權(quán)限控制功能能否正常工作。數(shù)據(jù)讀取測試步驟如下:

步驟1 使用MySQL數(shù)據(jù)庫作為統(tǒng)一用戶管理系統(tǒng)的數(shù)據(jù)源，同時作為單點認證系統(tǒng)的認證數(shù)據(jù)源，從數(shù)據(jù)庫讀取100 000條用戶數(shù)據(jù)用時357 s。

步驟2 使用MySQL數(shù)據(jù)庫作為統(tǒng)一用戶管理系統(tǒng)的數(shù)據(jù)源，使用REDIS內(nèi)存數(shù)據(jù)庫作為單點認證系統(tǒng)的認證數(shù)據(jù)源，從數(shù)據(jù)庫讀取100 000條用戶數(shù)據(jù)用時123 s。

單點認證和授權(quán)測試使用了兩套不同的內(nèi)容管理系統(tǒng)，均需登錄認證后才能進行操作。認證和授權(quán)測試步驟如下:

步驟1 使用管理員用戶登錄內(nèi)容管理系統(tǒng)1，登錄后再頁面顯示用戶角色信息。登錄頁面如圖5，登錄成功頁面如圖6所示。

圖5 單點認證系統(tǒng)界面

圖6 內(nèi)容管理系統(tǒng)管理員頁面

步驟2 通過內(nèi)容管理系統(tǒng)1上的鏈接進入內(nèi)容管理系統(tǒng)2，進入頁面如圖7所示。

圖7 內(nèi)容管理系統(tǒng)2管理員頁面

步驟3 退出登錄，使用普通用戶登錄任意一個內(nèi)容管理系統(tǒng)，登錄成功頁面如圖8所示。

圖8 內(nèi)容管理系統(tǒng)1普通用戶界面

2.3 測試結(jié)論

(1)使用內(nèi)存數(shù)據(jù)庫進行優(yōu)化后，查詢數(shù)據(jù)速度提升了約3倍。

(2)多個應(yīng)用之間可實現(xiàn)單點認證，能通過返回的JSON數(shù)據(jù)解析到權(quán)限信息，并在系統(tǒng)中正確體現(xiàn)。

3 結(jié)束語

用戶數(shù)據(jù)實現(xiàn)了統(tǒng)一管理，利用數(shù)據(jù)庫和內(nèi)存數(shù)據(jù)庫的優(yōu)點將數(shù)據(jù)適配存儲，實現(xiàn)用戶數(shù)據(jù)的讀寫分離，既能保證用戶數(shù)據(jù)的關(guān)系映射，又能快速響應(yīng)各應(yīng)用服務(wù)對用戶數(shù)據(jù)的請求。由于應(yīng)用服務(wù)本身不持有和維護用戶信息，實現(xiàn)單點認證同時獲取到授權(quán)信息，提高了整個系統(tǒng)的易用性和安全性，使得整個系統(tǒng)性能得到大幅提升。

［1］王茜，史晨昱，李安穎，等.基于統(tǒng)一用戶管理的辦公業(yè)務(wù)資源系統(tǒng)集成［J］.計算機技術(shù)與發(fā)展，2014，1(1):200－203.

［2］張濤，王秉坤.使用 CAS在Tomcat中實現(xiàn)單點登錄［EB/OL］.(2008 －4 －10)［2014 －11 －18］http://www.ibm.com/developerworks/cn/opensource/os－cn－cas/.

［3］Russell J T Dyer，李紅軍，李冬梅.MySQL核心技術(shù)手冊［M］.北京:機械工業(yè)出版社，2009.

［4］陸嘉恒.大數(shù)據(jù)挑戰(zhàn)與NoSQL數(shù)據(jù)庫技術(shù)［M］.北京:電子工業(yè)出版社，2013.

［5］張琪.基于角色的權(quán)限管理系統(tǒng)的設(shè)計與實現(xiàn)［D］.成都:電子科技大學，2013.

［6］徐斌，袁健.基于Web2.0的用戶權(quán)限管理研究與實現(xiàn)［J］.計算機工程，2008，34(13):157 －159.

［7］劉國鈞.JavaScript核心概念及實踐［M］.北京:人民郵電出版社，2013.

［8］景民昌，唐弟官.開放源碼的CAS單點登錄系統(tǒng)研究［J］.現(xiàn)代情報，2009，29(3):125 －127.

［9］趙艷芳.基于CAS的統(tǒng)一認證平臺的設(shè)計與實現(xiàn)［J］.云南大學學報:自然科學版，2013，35(S2):165 －168.

［10］黃經(jīng)贏.基于Shiro框架的細粒度權(quán)限控制系統(tǒng)的設(shè)計與實現(xiàn)［J］.廣東技術(shù)師范學院學報:自然科學，2013(7):20－23.