基于JOSSO的WEB單點登錄的設計與實現(xiàn)

1、電知識與技術(shù)，。：一基于的單點登錄的設計與實現(xiàn)楊普揭金艮（成都理大學信息工程學院，四川成都）摘要：文章整合實現(xiàn)了一個具有較強擴展性、與其他系統(tǒng)的低耦合性、跨平臺性以及較高的安全性等優(yōu)點的開放式的單點登錄平臺。借助于該平臺。只需對現(xiàn)有應用進行簡單配置，就能實現(xiàn)多個應用的單點登錄。重點介紹的原理和單點登錄的實現(xiàn)過程。關(guān)鍵詞：；單點登錄；中圖分類號：文獻標識碼：文章編號：（）一們斗帕概述隨著信息技術(shù)的發(fā)展計算機網(wǎng)絡在人們的工作和生活中所起的作用越來越大。許多企事業(yè)單位，特別是大型企事業(yè)單位都擁有許多的應用比如協(xié)同辦公系統(tǒng)、人事管理系統(tǒng)、財務系統(tǒng)、資產(chǎn)管理系統(tǒng)等。由于這些系統(tǒng)巨相獨立，用戶在使用每個應

2、用系統(tǒng)之前都必須按照相應的系統(tǒng)身份進行登錄，為此用戶必須住每一個系統(tǒng)的用戶名和密碼，并在不同系統(tǒng)之間來回切換，這給用戶帶來不少麻煩。特別是隨著系統(tǒng)的增多，忘記密碼的可能性就會增加，受到非法截獲和破壞的町能性也會增大，安全性就會相應降低。針對這種情況，需要設計一個通用的系統(tǒng)平臺，對用戶身份進行統(tǒng)一認證，并且，身份認證以后，用戶在一定的時間內(nèi)，可以無縫的訪問其他應用系統(tǒng)，即對多個應用實現(xiàn)單點琶錄。單點登錄即（）的定義足：在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。它可以將這次主要的登錄映射到其他應用中，用于同一個用戶登錄。的目的是提供一次認證用戶的安全方法，并使用該單點認

3、證（針對會話過程）作為訪問其他應用程序、系統(tǒng)和網(wǎng)絡的基礎?，F(xiàn)有的單點登錄技術(shù)方案雖然能在某些方面解決過去傳統(tǒng)認證的部分缺點，但還是存在系統(tǒng)擴展性不強、系統(tǒng)改造工作量大、兼容性和叮移植性差、安全策略不夠完善等缺點。本文研究的目的是實現(xiàn)了一個具有較強擴展性、與其他系統(tǒng)的低耦合性、跨平臺性以及較高的安全性等優(yōu)點開放式的平臺。平臺結(jié)構(gòu)系統(tǒng)總體結(jié)構(gòu)單點登錄平臺統(tǒng)用戶角色首理平臺統(tǒng)一驗證授權(quán)平臺各種，應用系統(tǒng)圖系統(tǒng)總體結(jié)構(gòu)平臺主要由三大部分組成：統(tǒng)一用戶角色管理平臺、統(tǒng)一驗證平臺、及其他應用系統(tǒng)（根據(jù)需要可以集成多個系統(tǒng)）。統(tǒng)一用戶角色管理平臺該平臺足一個獨立的系統(tǒng)，主要負責統(tǒng)一用戶和角色的管理，作為用戶

4、一次登錄的入口，管理用戶信息、角色信息和用戶與角色的對應信息，可對不同的用戶指定不同的角色，而其中的角色賦予應各應用系統(tǒng)的不用資源的訪問權(quán)限。工結(jié)構(gòu)圖圖實現(xiàn)架構(gòu)系統(tǒng)采用、框架，利用各自的優(yōu)點。分層實現(xiàn)系統(tǒng)的開發(fā)，主要負責表現(xiàn)層的實現(xiàn)，主要負責業(yè)務層的實現(xiàn)，主要負責數(shù)據(jù)持久層的實現(xiàn)。收稿日期：作者簡介：楊普（）。男，四川冕寧人，碩士研究生，研究方向：計算機網(wǎng)絡與分布式系統(tǒng)；揭金良（），男，四川內(nèi)江人，教授，研究生導師。研究方向：密碼編碼學與網(wǎng)絡安全、計算機網(wǎng)絡及其應用技術(shù)。本欄目責任編輯：潮媛嬡楊普等：基于的單點登錄的設計與實現(xiàn)統(tǒng)一驗證授權(quán)平臺鼴的體系結(jié)構(gòu)或者說開放式單點登錄。是一個基于的單點登

5、錄的基礎設施的開源項目，其目的是提供一種集中的，平臺中立的，用于用戶驗證和授權(quán)的辮決方案。具有以下特點：可插拔框架：它提供了一個面向組件的基礎設施，支持創(chuàng)造和整合多重認證方案，信任證書及的存放。透明的集成：合作伙伴的應用（即要參與到單點登錄中去的應用）整合到單點巹錄時不需要依賴于任何一個專有的。處理整個認證流程，使用戶的身份通過和的分別地適用于網(wǎng)絡應用與組件。圖跨域和跨組織的單點登錄：它允許用戶只要一次加入安全證書，用戶的身份識別就可以跨域和跨組織進行?？缙脚_：它允許整合和非應用程序，如或微軟的應用程序。它采用基于町上的標準的簡單對象訪問協(xié)議（）作為標準的通信層以提供這種跨平臺的功能。致力于開

6、放式標準：其安全基礎設施是基于，和的標準。的主要內(nèi)容單點登錄網(wǎng)關(guān)：作為單點登錄的服務器或身份提供商，并為在合作伙伴應用中需要認證的用戶提供認證服務。單點登錄代理：作為單點登錄網(wǎng)關(guān)的客戶端，其中認證的請求授予對用戶保護資源訪問，管理整個用戶認證流程。該單點登錄代理驗證單點登錄的，并獲得相關(guān)的用戶信息，區(qū)別于使用協(xié)議的單點登錄網(wǎng)關(guān)的服務。合作伙伴的應用：作為應用程序或服務提供者，其利用單點登錄網(wǎng)關(guān)服務。以驗證用戶身份。平臺實現(xiàn)過程認證流程將一個應用通過集成到單點登錄中去的流程如下：）用戶從某一合作者應用中請求一個受保護的資源。）代理攔截用戶的請求以保護合作者應用資源，因為該用戶請求未經(jīng)過確認。代理

7、將其轉(zhuǎn)發(fā)到位于網(wǎng)關(guān)上的單點登錄表單中。）用戶在表單中填入他的，她的信任證書，這些證書依賴于其選擇的認證方案。這些方案可能要求一種用戶名加密碼的形式或是一個符合協(xié)議的客戶端證書。）網(wǎng)關(guān)處理用戶提交的表單，從預先配置好的存儲介質(zhì)（比如輕量級目錄訪問協(xié)議，數(shù)據(jù)庫等）中導出用戶的信任證書以驗證用戶身份的有效性。）如果用戶的信任證書是有效的，那么用戶身份就通過了認證，同時生成的盾牌（）并將用戶他或她的保存在庫中。隨后，用戶的請求將被轉(zhuǎn)發(fā)到之前請求的受保護資源中。代理攔截用戶請求以保護合作者應用資源，并使用網(wǎng)關(guān)的登錄模塊驗證用戶的有效性，同時使用從網(wǎng)關(guān)獲得被認證的主題。）網(wǎng)關(guān)從管理庫中取出用戶的標志并從身

8、份標志管理庫中獲得相關(guān)用戶的信息。）代理引入被認證的主題，這些主題是從￥網(wǎng)關(guān)的服務在請求中返回的。同時代理將這些主題提交給目標應用。）應用程序處理甲請求，并最終利用和方法操作實例，以獲取經(jīng)過身份認證的用戶的標志，進而執(zhí)行額外的安全斷言。實現(xiàn)過程部署容器本文采用作為容器，確保正確設置環(huán)境變量和指向的安裝目錄。默認用戶已經(jīng)安裝并設置好環(huán)境。建議用戶安裝。集成在下載或最新版本，獲得包，放到砒下目錄下。同時拷貝盯、翻一盯、盯到運行環(huán)境中。配置單點登錄網(wǎng)關(guān)在目錄下的目錄中創(chuàng)建網(wǎng)關(guān)配置文件，其主要是配置網(wǎng)關(guān)使用的核心組件，如（認證者），該組件負責實現(xiàn)一個具體的認證方案；（身份管理員），該組件負責利用已經(jīng)配

9、置好的認證者來識別用戶身份，同時管理經(jīng)過認證的用戶的；（管理員）該組件負責管理一個單點登錄的用戶的的生命周期等。該配置文件是實現(xiàn)的核心?？刂浦脩羯矸莸恼J證和授權(quán)關(guān)鍵在于配置，這里選用的認證方案是方案，即用戶名加密碼的認證方式，其中可以對密碼進行處理，此處采用對密碼進行處理，只需添加幣即可，這樣的話用戶登錄時將對密碼就行處理。用戶的驗證通過從數(shù)據(jù)庫中取得。因為此處采用的是數(shù)據(jù)庫存放用戶的驗證信息，包括用戶名和用戶密碼等本欄目責任編輯：謝媛嬡幻帕剛內(nèi)電奠知識與技術(shù)年第卷第期總第期信息。配置為：這里主要跟本平臺的統(tǒng)一用戶角色管理平臺產(chǎn)生結(jié)合點，就是說，所有的合法用戶的信息。包括用戶名、密碼、角色等

10、都由統(tǒng)一用戶角色管理平臺來進行管理。而這些信息跟其他應用的用戶等信息是相互獨立的。使得本平臺與其他應用的低耦合集成。通過配置一。獲得用戶相對應的角色，通過角色去獲得應用的訪問權(quán)限。具體配置在下面將介紹。配置參與單點登錄的應用在的目錄下創(chuàng)建文件。其主要實現(xiàn)應用集成到單點登錄中。其中關(guān)鍵是配置應用集成，通過配置一個或多個。即可將一個或多個應用參與到單點登錄中。其中的為應用的名稱。這時應將應用拷貝到目錄下的目錄下，與￥應用同目錄。對應用進行簡單改造修改應的文件，在其最后添；、等配置設置相應應用中那些角色對應于那些資源具有訪問權(quán)限，即在這里用戶可以根據(jù)需要配置不同的角色，對應于不同的資源訪問權(quán)限。實現(xiàn)

11、統(tǒng)一用戶角色管理平臺至此，應用的集成基本完成，接下來就是要統(tǒng)一管理上面提到的用戶、角色及其對應關(guān)系。對所有的用戶集巾管理，實現(xiàn)從原先一個用戶使用幾個應用就要幾套密碼到一套密碼實現(xiàn)多個應用的統(tǒng)一管理。平臺采用、的時下最新版本集成開發(fā)，實行分層管理，平臺可擴展性比較強，移植方便。平臺對用戶密碼進行了處理，所以存放的是個字符組成的串形式。數(shù)據(jù)庫設計這里使用來存放用戶的登錄信息。建立三張表。用戶表，如表所示，用于存放用戶的登錄信息，包括用戶編號、登錄名稱、登錄密碼、用戶名稱、用戶描述等。角色表，如表所示，存放角色信息。包括角色編號、角色名稱、角色描述等，注意角色名稱不能有同名存在。用戶角色表，如表所示

12、，存放用戶與角色的對應關(guān)系。相當于一張中間表，操作映射關(guān)系時就只需修改此表的記錄。表角色表表用戶表表用戶角色表用戶管理實現(xiàn)用戶管理界面如圖，可以在此統(tǒng)一實現(xiàn)增加用戶、刪除用戶、查詢用戶、修改用戶、為用戶分配角色等操作。 圖用戶管理界面圖角色管理界面）角色管理實現(xiàn)角色管理界面如圖，可以在此統(tǒng)一實現(xiàn)增加角色、刪除角色、查詢角色、修改角色、查看該角色有哪些用戶等操作。用戶角色管理在用戶管理界面選擇某一用戶，點擊“分配角色”，跳到如圖。此處可以對某一用戶進行分配角色操作，其中選中的為用戶已有的角色。這樣的話，用戶就具有了其所有角色具有的權(quán)限。本欄目責任編輯：謝媛嬡楊普等：基的單點登錄的設計與實現(xiàn)只要用

13、戶在統(tǒng)一登錄入口登錄系統(tǒng)后，就可以訪問所有的授權(quán)資源了。 結(jié)論本文實現(xiàn)了一個開放式的單點登錄平臺，通過前面的介紹，可以看出平臺具有較強擴展性、兼容性、與其他系統(tǒng)的低耦合性、跨平臺性以及較高的安全性等優(yōu)點。是整個系統(tǒng)的核心。其通過一次對來訪者進行身份驗證，為合法用戶分配一個唯一的標志。即一個對其進行了處理，并存放到庫中（如、數(shù)據(jù)庫或等容器）當用戶再次發(fā)起訪問請求時。單點登錄網(wǎng)關(guān)的登錄模塊驗證用戶的有效性同時使用從單點登錄網(wǎng)關(guān)獲得被認證的主圖角色管理界面題。單點登錄網(wǎng)關(guān)從管理庫中取出用戶的并從身份標志管理庫中獲得相關(guān)用戶的信息，這一切對用戶來說是透明的同時義保障了用戶信息的安全性這樣用戶使用多個參

14、與到單點登錄的系統(tǒng)時，就只需記住統(tǒng)一平臺的登錄密碼就能安全有效的訪問相應的資源，而對于該密碼，系統(tǒng)也對其進行了處理，用戶要做的就是牢記該密碼，可以適當?shù)膹碗s一些，畢竟只有這么一個密碼要記住，而這個密碼又是如此的重要，因此傳輸時建議使用連接等措施保護密碼，當然這不屬于本系統(tǒng)的討論范疇。系統(tǒng)采用純開發(fā)實現(xiàn)。口以跨平臺移植。通過對現(xiàn)有應用的簡單改造，只需修改其配置文件，進行簡單的設置，就可以將應用集成到單點登錄系統(tǒng)巾。同時。由于系統(tǒng)提供了統(tǒng)一的用戶角色管理平臺，簡化和規(guī)范了系統(tǒng)的管理，從而簡化了管理的難度，提高了網(wǎng)管人員的作效率，減少了出錯了機會，具有較高的實用價值。改進：由于系統(tǒng)只能處理模式的應用

15、，有一定的局限性，因為有的系統(tǒng)是模式的，本系統(tǒng)對其實現(xiàn)單點登錄缺少支持。參考文獻：林菲統(tǒng)一一身份認證下的單點登錄們網(wǎng)絡安全技術(shù)與應用，（）：李曉陽基于的單點登錄的研究【】計算機工程與應用，（）：盧開澄計算機密碼學計算機網(wǎng)絡中的數(shù)據(jù)保密與安全版北京：清華大學出版社，（上接第頁）綜合。為了獲得其中的動態(tài)數(shù)據(jù)，必須要通過一種方式讓程序運行起來。本課題的設計的方法是，通過在跟蹤服務器上運行事先編寫好的腳本。使被跟蹤的代碼運行起來，然后系統(tǒng)將服務器中跟蹤記錄下的數(shù)據(jù)發(fā)回。因此系統(tǒng)提供了編寫，管理這些腳本的功能模塊。如果當用戶需要通過插件獲得類圖時，登錄系統(tǒng)，進入插件，打開相關(guān)工程后單擊鏈接，系統(tǒng)會顯示當

16、前系統(tǒng)中含有的類名列表。然后選擇若干需要顯示的類圖的類名稱、類圖的關(guān)系深度，最后點擊按鈕。系統(tǒng)會返回所選擇的幾個類的類圖。用戶可以通過系統(tǒng)獲得所需的序列圖。用戶進入相關(guān)工程后單擊鏈接，系統(tǒng)會顯示當前系統(tǒng)中含有的函數(shù)入列表。然后用戶選擇序列圖的一個入口，制定序列圖的嵌套層次以及涉及類的模塊數(shù)，系統(tǒng)會返回此入在數(shù)據(jù)庫里的若干次調(diào)用。隨后用戶選擇其中某一次調(diào)用所在的時間戳，點擊鏈接，系統(tǒng)將返回相應的序列圖。結(jié)束語本課題首先介紹了逆向工程的一些基本原理。而逆向工程則是對遺留軟件工程進行知識恢復的一個很重要，也很可行的方法。而本課題在公司系統(tǒng)的基礎上，設計開發(fā)了系統(tǒng)，通過該系統(tǒng)可以對語言設計的軟件進行逆向分析可以通過類圖與序列圖清晰地展現(xiàn)面向?qū)ο筌浖讓拥脑O計思想。參考文獻：【面向?qū)ο蠼Ｅc設【】影印版北京：中國電力出版社，【：峨，本欄目責任編輯：謝媛嬡 基于JOSSO的WEB單點