孫永升

中科軟科技股份有限公司，中國(guó)·北京 100089

1 引言

單點(diǎn)登錄技術(shù)是一個(gè)用戶認(rèn)證的過(guò)程，允許用戶一次性進(jìn)行認(rèn)證之后，訪問系統(tǒng)中不同的應(yīng)用；而不需要訪問每個(gè)應(yīng)用時(shí)都重新輸入密碼。利用單點(diǎn)登錄，可以將企業(yè)的各種信息系統(tǒng)，實(shí)現(xiàn)無(wú)縫切換登陸。

2 需求分析

根據(jù)單點(diǎn)登錄技術(shù)的特點(diǎn)，分為服務(wù)端和客戶端。服務(wù)端需單獨(dú)部署為單點(diǎn)登錄系統(tǒng)，客戶端集成到企業(yè)的各個(gè)信息系統(tǒng)。這就要求這些系統(tǒng)需要采用集群、分布式的方式部署到多臺(tái)物理機(jī)、云服務(wù)器上面，以滿足企業(yè)的需求；物理機(jī)選用華為系統(tǒng)服務(wù)器，云端服務(wù)器采用的阿里云服務(wù)器；不同類型企業(yè)有不同類型信息系統(tǒng)。

單點(diǎn)登錄主要功能：能夠緩存登錄者的信息，實(shí)現(xiàn)各個(gè)系統(tǒng)之間的自如跳轉(zhuǎn)，在各個(gè)功能之間共享基礎(chǔ)數(shù)據(jù)和登錄數(shù)據(jù)。

3 概要設(shè)計(jì)

3.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

某企業(yè)采用B/S架構(gòu)模式進(jìn)行系統(tǒng)部署，用戶可以通過(guò)客戶端訪問單點(diǎn)登錄，可以自由切換到賬戶管理系統(tǒng)、資金管理系統(tǒng)、融資管理系統(tǒng)、用戶管理系統(tǒng)。這些系統(tǒng)通過(guò)對(duì)數(shù)據(jù)庫(kù)的訪問實(shí)現(xiàn)對(duì)流程數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和基礎(chǔ)數(shù)據(jù)的存儲(chǔ)。遠(yuǎn)程客戶通過(guò)VPN方式訪問該企業(yè)的信息系統(tǒng)，局域網(wǎng)用戶則通過(guò)LAN方式訪問系統(tǒng)。

單點(diǎn)登錄系統(tǒng)CAS設(shè)計(jì)，采用的是Cookie機(jī)制，優(yōu)點(diǎn)很多。例如，設(shè)計(jì)理念先進(jìn)、體系結(jié)構(gòu)合理、配置簡(jiǎn)單、客戶端支持廣泛、技術(shù)成熟等。

CAS的實(shí)現(xiàn)原理：?jiǎn)吸c(diǎn)登錄分為“服務(wù)端”和“客戶端”。某個(gè)應(yīng)用程序第一要發(fā)起第1次認(rèn)證，用戶在單點(diǎn)登錄服務(wù)器的登錄頁(yè)面中，輸入用戶名和密碼。第二單點(diǎn)登錄服務(wù)器會(huì)對(duì)用戶名和密碼進(jìn)行認(rèn)證，如LDAP或者數(shù)據(jù)庫(kù)等。認(rèn)證通過(guò)之后，單點(diǎn)登錄服務(wù)器會(huì)和應(yīng)用程序進(jìn)行某種授權(quán)，授權(quán)完成后，CAS把頁(yè)面重定向，回到Web應(yīng)用。單點(diǎn)登錄服務(wù)器會(huì)在客戶端創(chuàng)建一個(gè)Cookie保存用戶登錄的信息，如果用戶此時(shí)希望進(jìn)入其他Web應(yīng)用程序，自動(dòng)尋找Cookie，根據(jù)Cookie中保存的信息，進(jìn)行登錄，登錄之后，CAS重定向回到用戶的應(yīng)用程序[1]。

3.2 部署架構(gòu)設(shè)計(jì)

系統(tǒng)部署的各個(gè)服務(wù)器使用物理機(jī)和云服務(wù)器兩種，物理機(jī)硬件設(shè)備采用華為FusionServer 2488H V5機(jī)架服務(wù)器，安裝虛擬機(jī)，虛擬機(jī)使用紅帽Linux操作系統(tǒng)，根據(jù)不同的信息系統(tǒng)，分配不同的內(nèi)存和磁盤空間。例如，賬戶管理系統(tǒng)需要磁盤空間200G、運(yùn)行內(nèi)存40G；云服務(wù)器使用的阿里云服務(wù)器，同樣使用紅帽Linux操作系統(tǒng)，根據(jù)不同的信息系統(tǒng)，分配不同的內(nèi)存和磁盤空間。例如，資金管理系統(tǒng)需要磁盤空間150G、運(yùn)行內(nèi)存30G。

4 實(shí)現(xiàn)與部署

4.1 單點(diǎn)登錄系統(tǒng)詳細(xì)設(shè)計(jì)實(shí)現(xiàn)

以某企業(yè)的賬戶管理系統(tǒng)客戶端為例，描述主要單點(diǎn)登錄過(guò)程的詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)，單點(diǎn)登錄過(guò)程，需要眾多類的支持才能完成登錄認(rèn)證操作，下面針對(duì)客戶端、服務(wù)端對(duì)CAS底層JAR包重點(diǎn)類的調(diào)用配置進(jìn)行說(shuō)明。

客戶端：在web.xml中加載單點(diǎn)登錄SSO的CAS配置文件security-cas.xml，該文件主要用于配置單點(diǎn)登錄地址、登錄成功后返回的地址。

服務(wù)端：在web.xml中加載單點(diǎn)登錄SSO的CAS配置 文 件SafeDispatcherServlet、deployerConfigContext.xml、

warnCookieGenerator.xml、ticketGrantingTicketCookieGenerat or.xml。

deployerConfigContext.xml主要用于配置去除https認(rèn)證，增加參數(shù)p:requireSecure=“false”，是否需要安全驗(yàn)證，即https，false為不采用。

ticketGrantingTicketCookieGenerator.xml在該文件中配置參數(shù)p:cookieSecure=“true”，改參數(shù)與https驗(yàn)證相關(guān)，當(dāng)cookieSecure的值為true則采用https驗(yàn)證；當(dāng)cookieSecure的值為false則禁用https驗(yàn)證。

warnCookieGenerator.xml在該文件中配置參數(shù)p:cookieSecure=“true”，改 參 數(shù) 與https驗(yàn) 證 相 關(guān)，當(dāng)cookieSecure 的值為true則采用https驗(yàn)證；當(dāng)cookieSecure的值為false則禁用https驗(yàn)證。

輸入任意系統(tǒng)登錄地址，跳轉(zhuǎn)到單點(diǎn)登錄login登錄頁(yè)面，輸入用戶名和密碼點(diǎn)擊登錄調(diào)用Authen ticationViaFormAction的submit進(jìn) 行 登 錄，AuthenticationViaFormAction調(diào) 用CASjar包的底層類[2]。

用戶訪問賬戶管理系統(tǒng)的受保護(hù)資源，賬戶管理系統(tǒng)發(fā)現(xiàn)用戶未登錄，跳轉(zhuǎn)至單點(diǎn)登錄模塊系統(tǒng)，并將自己的地址作為參數(shù)。單點(diǎn)登錄系統(tǒng)發(fā)現(xiàn)用戶未登錄，將用戶引導(dǎo)至登錄頁(yè)面，用戶輸入用戶名密碼提交登錄申請(qǐng)。單點(diǎn)登錄系統(tǒng)校驗(yàn)用戶信息，創(chuàng)建用戶與單點(diǎn)登錄系統(tǒng)之間的會(huì)話，稱為全局會(huì)話，同時(shí)創(chuàng)建授權(quán)令牌。

單點(diǎn)登錄系統(tǒng)帶著令牌跳轉(zhuǎn)至最初的請(qǐng)求地址（賬戶管理系統(tǒng)）。賬戶管理系統(tǒng)拿到令牌，去單點(diǎn)登錄系統(tǒng)校驗(yàn)令牌是否有效，單點(diǎn)登錄系統(tǒng)校驗(yàn)令牌，返回有效，注冊(cè)賬戶管理系統(tǒng)。賬戶管理系統(tǒng)使用該令牌創(chuàng)建與用戶的會(huì)話，稱為局部會(huì)話，返回受保護(hù)資源，用戶訪問資金管理系統(tǒng)的受保護(hù)資源。

資金管理系統(tǒng)發(fā)現(xiàn)用戶未登錄，跳轉(zhuǎn)至單點(diǎn)登錄系統(tǒng)，并將自己的地址作為參數(shù)。

單點(diǎn)登錄系統(tǒng)發(fā)現(xiàn)用戶已登錄，跳轉(zhuǎn)回資金管理系統(tǒng)地址，并附上令牌。

資金管理系統(tǒng)拿到令牌，去單點(diǎn)登錄系統(tǒng)校驗(yàn)令牌是否有效，單點(diǎn)登錄模塊系統(tǒng)校驗(yàn)令牌，返回有效，注冊(cè)資金管理系統(tǒng)。

資金管理系統(tǒng)使用該令牌創(chuàng)建與用戶的局部會(huì)話，返回受保護(hù)資源用戶登錄成功之后，會(huì)與單點(diǎn)登錄系統(tǒng)及各信息系統(tǒng)建立會(huì)話，用戶與單點(diǎn)登錄系統(tǒng)建立的會(huì)話稱為全局會(huì)話，用戶與各信息系統(tǒng)建立的會(huì)話稱為局部會(huì)話，局部會(huì)話建立之后，用戶訪問個(gè)信息系統(tǒng)受保護(hù)資源將不再通過(guò)單點(diǎn)登錄系統(tǒng)，全局會(huì)話與局部會(huì)話有如下約束關(guān)系局部會(huì)話存在，全局會(huì)話一定存在；全局會(huì)話存在，局部會(huì)話不一定存在；全局會(huì)話銷毀，局部會(huì)話必須銷毀。

4.2 實(shí)施系統(tǒng)部署

某企業(yè)的不同系統(tǒng)可以部署到物理機(jī)或云服務(wù)器不同類型的服務(wù)器上，下面以部署到物理上的虛擬機(jī)器上的服務(wù)為例來(lái)進(jìn)行說(shuō)明。

首先物理機(jī)器上安裝虛擬機(jī)，并安裝紅帽Linux操作系統(tǒng)，部署選擇200G的硬盤空間，詳細(xì)可劃分為根目錄、home、boot、root等分區(qū)，分配40G運(yùn)行內(nèi)存，并配置網(wǎng)絡(luò)；虛機(jī)和網(wǎng)絡(luò)準(zhǔn)備完畢后；下一步安裝中間件tomcat，其次通過(guò)選擇合適方式將信息系統(tǒng)的應(yīng)用部署到中間件tomcat；最后啟動(dòng)tomcat。以同樣的方式其他信息系統(tǒng)[3]。待所有的信息部署啟動(dòng)完成以后，可以選擇任意系統(tǒng)登錄，然后無(wú)縫切換到其他信息系統(tǒng)。

5 結(jié)語(yǔ)

第一，論文論述了企業(yè)信息系統(tǒng)運(yùn)營(yíng)面臨的現(xiàn)狀；第二，提出了單點(diǎn)登錄技術(shù)在企業(yè)引入的必要性；第三，結(jié)合單點(diǎn)登錄技術(shù)的特點(diǎn)和某企業(yè)各個(gè)信息系統(tǒng)的情況進(jìn)行詳細(xì)的需求分析；第四，從網(wǎng)絡(luò)結(jié)構(gòu)、部署架構(gòu)兩個(gè)方面進(jìn)行概要設(shè)計(jì)；第五，從單點(diǎn)登錄服務(wù)系統(tǒng)代碼實(shí)現(xiàn)層面和實(shí)施部署兩個(gè)層面進(jìn)行實(shí)現(xiàn)。