周益飛+蔡利軍

摘要：隨著信息化的發(fā)展，高校業(yè)務(wù)系統(tǒng)也得到了普遍應(yīng)用。這些業(yè)務(wù)系統(tǒng)在不同時(shí)期由不同開發(fā)人員開發(fā)，采用了各種不同的技術(shù)和架構(gòu)，導(dǎo)致系統(tǒng)的用戶和權(quán)限資源分散，不便于統(tǒng)一管理。為統(tǒng)一管理和整合各系統(tǒng)的用戶和權(quán)限，提出了一種基于SOA架構(gòu)的統(tǒng)一身份認(rèn)證系統(tǒng)，并提出具體設(shè)計(jì)方案。該系統(tǒng)具有較強(qiáng)的實(shí)用性，能夠簡化操作且具有更細(xì)粒度的分級(jí)，使得用戶體驗(yàn)更好。

關(guān)鍵詞關(guān)鍵詞：SOA；統(tǒng)一身份認(rèn)證；單點(diǎn)登錄

DOIDOI：10.11907/rjdk.172413

中圖分類號(hào)：TP319

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2017）011006503

0引言

隨著高校信息化的不斷推進(jìn)，各種業(yè)務(wù)系統(tǒng)逐漸增多，信息孤島問題也越來越突出。各個(gè)應(yīng)用系統(tǒng)維護(hù)著各自的一套用戶信息，而高校應(yīng)用系統(tǒng)的使用者基本比較固定，主要為學(xué)生和教師，因而各個(gè)系統(tǒng)維護(hù)著相似的用戶群。這不僅加大了維護(hù)工作量，而且使信息無法得到充分利用。

統(tǒng)一身份認(rèn)證系統(tǒng)[1]可以統(tǒng)一標(biāo)識(shí)、統(tǒng)一管理、統(tǒng)一認(rèn)證分散的用戶和權(quán)限，不僅可以減少工作量，還可以簡化操作。各個(gè)業(yè)務(wù)系統(tǒng)由于開發(fā)時(shí)期不同，因此使用的開發(fā)語言、開發(fā)技術(shù)，以及開發(fā)人員等也不同，導(dǎo)致統(tǒng)一管理比較困難。因此，統(tǒng)一身份認(rèn)證系統(tǒng)需要兼容各類語言和接口。

面向服務(wù)架構(gòu)SOA（ServiceOriented Architecture）[2]技術(shù)是業(yè)務(wù)驅(qū)動(dòng)的框架標(biāo)準(zhǔn)。SOA將集成程序進(jìn)行松散耦合分解[3]，通過接口使各類程序進(jìn)行聯(lián)系。SOA架構(gòu)為業(yè)務(wù)系統(tǒng)集中身份認(rèn)證難題提供了可行的解決方案。

1SOA技術(shù)

SOA是基于服務(wù)的IT架構(gòu)，SOA中服務(wù)的思想是業(yè)務(wù)和技術(shù)既能完全分離[4]，又能自由組合。它將業(yè)務(wù)系統(tǒng)的不同功能單元拆分成多個(gè)子系統(tǒng)[5]，這些功能單元也稱為服務(wù)，服務(wù)之間可通過定義良好的接口和契約聯(lián)系起來。SOA使用戶可以構(gòu)建、部署、整合和調(diào)用這些服務(wù)，且無需依賴某一具體應(yīng)用程序及其運(yùn)行計(jì)算平臺(tái)。

SOA與傳統(tǒng)架構(gòu)相比，具有以下優(yōu)勢[67]：①可以充分利用現(xiàn)有的信息技術(shù)資產(chǎn)；②更易于集成和管理；③能更快地整合業(yè)務(wù)；④減少成本和增加重用；⑤SOA業(yè)務(wù)流程由一系列業(yè)務(wù)服務(wù)組成，可以更輕松地對(duì)其進(jìn)行創(chuàng)建與修改，以滿足不同時(shí)期的需要。

2統(tǒng)一身份認(rèn)證

統(tǒng)一身份認(rèn)證系統(tǒng)[8]的主要特點(diǎn)是統(tǒng)一標(biāo)識(shí)、統(tǒng)一管理、統(tǒng)一認(rèn)證用戶和權(quán)限，所有業(yè)務(wù)系統(tǒng)的用戶和權(quán)限進(jìn)行統(tǒng)一維護(hù)。與緊耦合的用戶認(rèn)證方式相比，該方式能為業(yè)務(wù)系統(tǒng)提供各種接口，且安全性更高[9]。通過綁定接口，業(yè)務(wù)系統(tǒng)可以直接獲得統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)用戶和權(quán)限信息的反饋，同時(shí)統(tǒng)一身份認(rèn)證系統(tǒng)使用以上接口可以完成各類業(yè)務(wù)系統(tǒng)的互信和互通。

統(tǒng)一認(rèn)證模式的核心[10]是為各業(yè)務(wù)系統(tǒng)提供統(tǒng)一身份認(rèn)證服務(wù)。當(dāng)用戶需要登錄某個(gè)應(yīng)用系統(tǒng)時(shí)，首先登錄統(tǒng)一身份系統(tǒng)驗(yàn)證身份，之后即可訪問該用戶有權(quán)限訪問的所有統(tǒng)一身份認(rèn)證系統(tǒng)已集成的應(yīng)用系統(tǒng)。

3基于SOA的統(tǒng)一身份認(rèn)證系統(tǒng)

統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)思想是統(tǒng)一管理各業(yè)務(wù)系統(tǒng)的用戶登錄，并且給各業(yè)務(wù)系統(tǒng)提供接口。

對(duì)用戶而言，用戶在登錄某個(gè)應(yīng)用系統(tǒng)時(shí)，打開登錄界面，直接跳轉(zhuǎn)進(jìn)入統(tǒng)一身份認(rèn)證的登錄界面，通過登錄統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行身份驗(yàn)證后，再進(jìn)入用戶想要訪問的系統(tǒng)。同時(shí)，用戶可以在統(tǒng)一身份認(rèn)證系統(tǒng)主頁面中，訪問所有有權(quán)限訪問的系統(tǒng)，并且根據(jù)自己的賬號(hào)權(quán)限選擇使用某類權(quán)限進(jìn)入系統(tǒng)，比如有用戶具有多個(gè)角色，既是系統(tǒng)管理人員，又是普通用戶。用戶還可以將賬號(hào)綁定到郵箱或手機(jī)，用于忘記密碼時(shí)重置密碼。

對(duì)于系統(tǒng)管理人員而言，各應(yīng)用系統(tǒng)按照統(tǒng)一身份認(rèn)證的統(tǒng)一接口集成單點(diǎn)登錄，單點(diǎn)登錄接口完成后由系統(tǒng)管理人員將該業(yè)務(wù)系統(tǒng)加入統(tǒng)一身份認(rèn)證的認(rèn)證管理平臺(tái)，并進(jìn)行授權(quán)；對(duì)所有用戶設(shè)置用戶角色權(quán)限，并進(jìn)行分類和分組，如教職工類人員還可細(xì)分成教師和職工組，以更細(xì)粒度地管理用戶；通過系統(tǒng)的監(jiān)控模塊，監(jiān)控系統(tǒng)運(yùn)行情況，并審計(jì)用戶登錄情況，以防暴力破解或非法登錄系統(tǒng)等情況出現(xiàn)。

對(duì)于其他業(yè)務(wù)系統(tǒng)建設(shè)人員而言，只需按照統(tǒng)一身份認(rèn)證的集成接口完成單點(diǎn)登錄，將業(yè)務(wù)系統(tǒng)加入統(tǒng)一身份認(rèn)證的認(rèn)證管理中。無需在業(yè)務(wù)系統(tǒng)中單獨(dú)設(shè)置用戶權(quán)限和角色，以減少用戶導(dǎo)入和設(shè)置權(quán)限等工作量。

因此，統(tǒng)一身份認(rèn)證系統(tǒng)應(yīng)包括身份管理模塊、身份認(rèn)證模塊、對(duì)外服務(wù)模塊3個(gè)功能模塊。

3.1系統(tǒng)功能設(shè)計(jì)

基于SOA的統(tǒng)一身份認(rèn)證系統(tǒng)功能結(jié)構(gòu)如圖1所示。

圖1統(tǒng)一身份認(rèn)證系統(tǒng)功能結(jié)構(gòu)

身份管理模塊包括賬號(hào)管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理、系統(tǒng)管理5部分：

（1）賬號(hào)管理：包括賬號(hào)列表、批量操作、賬號(hào)同步、賬號(hào)統(tǒng)計(jì)等功能，可實(shí)現(xiàn)身份證號(hào)的增加、刪除、修改、過期設(shè)置、鎖定/解鎖和加入組操作，還包括轉(zhuǎn)為校友、單賬號(hào)和批量操作等功能。

（2）認(rèn)證管理：包括認(rèn)證應(yīng)用、認(rèn)證統(tǒng)計(jì)、OAuth管理等功能，可管理需要集成的各類應(yīng)用系統(tǒng)，以及各類應(yīng)用系統(tǒng)能訪問的用戶權(quán)限，查詢各系統(tǒng)的認(rèn)證細(xì)節(jié)，以及各個(gè)應(yīng)用通過統(tǒng)一身份認(rèn)證訪問的統(tǒng)計(jì)信息。

（3）授權(quán)管理：包括群組授權(quán)、用戶授權(quán)、批量授權(quán)、授權(quán)統(tǒng)計(jì)等功能。將用戶進(jìn)行分組管理，基于性能考慮群組授權(quán)和用戶授權(quán)，通過圖表形式的統(tǒng)計(jì)賬號(hào)進(jìn)行入組和出組操作統(tǒng)計(jì)。

（4）審計(jì)管理：包括賬號(hào)審計(jì)、認(rèn)證審計(jì)、授權(quán)審計(jì)、差異審計(jì)等功能，以檢測認(rèn)證和授權(quán)中出現(xiàn)的問題。賬號(hào)審計(jì)包括對(duì)休眠賬號(hào)、孤兒賬號(hào)、密碼強(qiáng)度不符合規(guī)范的賬號(hào)的審計(jì)；認(rèn)證審計(jì)包括對(duì)惡意認(rèn)證賬號(hào)、暴力破解的賬號(hào)和惡意認(rèn)證的IP地址的審計(jì)；授權(quán)審計(jì)包括空組和無組審計(jì)；差異審計(jì)包括對(duì)LADP丟失賬號(hào)和數(shù)據(jù)庫丟失賬號(hào)等的審計(jì)。endprint

（5）系統(tǒng)管理：包括系統(tǒng)操作日志、服務(wù)器狀態(tài)、會(huì)話狀態(tài)、總體狀態(tài)、系統(tǒng)告警、監(jiān)控配置等功能。

身份認(rèn)證模塊包括統(tǒng)一身份認(rèn)證和單點(diǎn)登錄功能，可實(shí)現(xiàn)認(rèn)證過程，使用戶能暢快訪問系統(tǒng)。

對(duì)外服務(wù)模塊包括集成接口和身份自助服務(wù)2部分。

（1）集成接口：包括各類接口，如LDAP接口、CAS接口、OAuth接口、代理接口、SAML接口等。支持各類接口語言，包括Java、PHP、.Net等，支持Android、iOS等手機(jī)的登錄接入和反向代理認(rèn)證服務(wù)器認(rèn)證，使各個(gè)應(yīng)用系統(tǒng)能實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和單點(diǎn)登錄。

（2）身份自助服務(wù)：包括用戶信息、找回密碼、郵箱綁定、手機(jī)號(hào)綁定等，以滿足用戶對(duì)自己賬號(hào)信息和密碼信息的維護(hù)需求。

3.2SOA在統(tǒng)一身份認(rèn)證系統(tǒng)中的應(yīng)用設(shè)計(jì)

統(tǒng)一身份認(rèn)證系統(tǒng)通過SOA架構(gòu)進(jìn)行分層，一共分為6層：基礎(chǔ)功能層、組件層、服務(wù)整合層、業(yè)務(wù)流程層、業(yè)務(wù)展現(xiàn)層、服務(wù)總線。

圖2SOA體系結(jié)構(gòu)

（1）基礎(chǔ)功能層：統(tǒng)一身份認(rèn)證系統(tǒng)中的程序資源。

（2）組件層：將底層的業(yè)務(wù)邏輯封裝成組件，并將每個(gè)功能模塊進(jìn)行封裝，單獨(dú)調(diào)用。

（3）服務(wù)整合層，包括3類功能性模塊：①業(yè)務(wù)服務(wù)，指比較完整且能暴露給最終用戶的服務(wù)，如身份自助服務(wù)模塊；②業(yè)務(wù)功能服務(wù)，主要是一些比較具體的業(yè)務(wù)操作，可被更上層的服務(wù)調(diào)用，一般封裝在系統(tǒng)操作過程中，如用戶信息檢索、用戶賬號(hào)存儲(chǔ)等；③技術(shù)功能服務(wù)，主要實(shí)現(xiàn)一些底層的技術(shù)功能，如日志服務(wù)、審計(jì)服務(wù)等。

（4）業(yè)務(wù)流程層：通過封裝后的服務(wù)構(gòu)建業(yè)務(wù)系統(tǒng)中的各種流程。如用戶登錄系統(tǒng)流程為在集成系統(tǒng)中判斷用戶是否有權(quán)限，有權(quán)限則進(jìn)行下一步，登錄進(jìn)入系統(tǒng)。

（5）業(yè)務(wù)展現(xiàn)層：提供接口服務(wù)，可以用基于Portal的系統(tǒng)進(jìn)行構(gòu)建，主要通過在web.xml文件中加入對(duì)應(yīng)的過濾器進(jìn)行配置。

（6）服務(wù)總線：提供一個(gè)基礎(chǔ)環(huán)境支持以上5層的運(yùn)行。

4結(jié)語

基于SOA的統(tǒng)一身份認(rèn)證系統(tǒng)可統(tǒng)一管理校內(nèi)外各類應(yīng)用及系統(tǒng)的登錄、訪問和相互間的認(rèn)證，充分保證訪問時(shí)權(quán)限的細(xì)粒度控制，使得用戶體驗(yàn)更好。

參考文獻(xiàn)參考文獻(xiàn)：

[1]李莉.基于CAS的校園統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].教育探索，2016，32（10）：7273.

[2]劉偉.基于業(yè)務(wù)應(yīng)用集成體系架構(gòu)探討[J].軟件導(dǎo)刊，2013（8）：1719.

[3]徐遇霄.基于Java的SOA分層研究與設(shè)計(jì)[J].艦船電子工程，2010，30（6）：124129.

[4]黃飛飛.基于SOA架構(gòu)的企業(yè)統(tǒng)一用戶身份認(rèn)證平臺(tái)研究[J].中國管理信息化，2016，19（19）：5658.

[5]李若鷺，張靜，劉士彬，等.基于SOA架構(gòu)的移動(dòng)GIS快速開發(fā)平臺(tái)[J].測繪通報(bào)，2013（5）：115116.

[6]張亞.基于SOA架構(gòu)軟件服務(wù)可靠性評(píng)價(jià)方法研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2015（4）：6770.

[7]吳曉，李丹寧.基于SOA架構(gòu)的企業(yè)信息門戶實(shí)現(xiàn)[J].貴州科學(xué)，2015，33（6）：1419.

[8]潛昕，羅沙白，盧康權(quán).構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系[J].軟件，2013，34（1）：1719.

[9]趙龍，李秀紅，馬玉爽.OAuth2.0讓統(tǒng)一身份認(rèn)證更安全[J].中國教育網(wǎng)絡(luò)，2017（1）：7475.

[10]趙巍.基于SOA架構(gòu)的綜合行政管理系統(tǒng)開發(fā)技術(shù)研究[J].價(jià)值工程，2015，34（2）：185186.

責(zé)任編輯（責(zé)任編輯：黃?。〆ndprint