能源管理平臺(tái)WEB 產(chǎn)品子系統(tǒng)權(quán)限認(rèn)證系統(tǒng)平臺(tái)

目前公司能源產(chǎn)品系統(tǒng)中有能耗監(jiān)測(cè)管理系統(tǒng)、能源計(jì)費(fèi)的系統(tǒng)。未來(lái)還有更多的WEB子系統(tǒng)。目前各個(gè)子系統(tǒng)之間都是獨(dú)立的用戶登錄驗(yàn)證、獨(dú)立的用戶權(quán)限機(jī)制的模塊。維護(hù)這些登錄認(rèn)證和權(quán)限認(rèn)證相當(dāng)?shù)穆闊?，穩(wěn)定性和系統(tǒng)間的集成性效率低下。在公司三合一的大的產(chǎn)品體系架構(gòu)下，需滿足目前公司W(wǎng)EB產(chǎn)品的多個(gè)子系統(tǒng)之間，對(duì)于子系統(tǒng)已經(jīng)授權(quán)的用戶進(jìn)行系統(tǒng)間切換訪問(wèn)時(shí)，無(wú)需多次進(jìn)行子系統(tǒng)重復(fù)的登錄驗(yàn)證，實(shí)現(xiàn)一站登錄站站通的功能，故急需要設(shè)計(jì)出一套穩(wěn)定的，易于擴(kuò)展，維護(hù)方便的統(tǒng)一用戶認(rèn)證平臺(tái)管理系統(tǒng)（NTSAuthenticationSystem）。1.數(shù)據(jù)庫(kù)用戶信息的共享目前所有的WEB子系統(tǒng)的用戶信息都是基于同一個(gè)數(shù)據(jù)庫(kù)同一張用戶表(TB_User)的存儲(chǔ)，相互間共享同一個(gè)用戶表中的用戶信息。2.主域名共享目前所有的WEB子系統(tǒng)都是公司內(nèi)部的產(chǎn)品系統(tǒng)，暫不考慮與外界第三方系統(tǒng)進(jìn)行統(tǒng)一權(quán)限的認(rèn)證無(wú)縫對(duì)接，故可認(rèn)為是主域名共享，子域名獨(dú)立的一個(gè)個(gè)的WEB子系統(tǒng)。3.子系統(tǒng)間SOA模式分布考慮到多個(gè)WEB子系統(tǒng)產(chǎn)品間的相互調(diào)用以及后期產(chǎn)品對(duì)外的公共信息產(chǎn)品服務(wù)API的開(kāi)放,目前子系統(tǒng)間正采用SOA的模式進(jìn)行統(tǒng)一架構(gòu)。概述：總體技術(shù)實(shí)現(xiàn)：各個(gè)WEB子系統(tǒng)通過(guò)配置文件以插件模式接入權(quán)限認(rèn)證中心，權(quán)限中心與子系統(tǒng)間的通信的方式采用Cookies集合WebService，子系統(tǒng)和權(quán)限中心采用一定的回調(diào)機(jī)制，滿足每個(gè)WEB子系統(tǒng)間個(gè)性化靈活的業(yè)務(wù)處理。其他子系統(tǒng)其他子系統(tǒng)權(quán)限認(rèn)證中心用戶共用信息庫(kù)用戶共用信息庫(kù)假設(shè)以我們目前的2個(gè)WEB子系統(tǒng)為例（多個(gè)系統(tǒng)相同原理）。首先我們需要建立一個(gè)獨(dú)立的權(quán)限認(rèn)證中心，我命名為NTSAS()。另外2個(gè)子系統(tǒng)分別為EMS（能源管理系統(tǒng)）、EBS（能源計(jì)費(fèi)系統(tǒng)）。登錄流程描述：假設(shè)用戶訪問(wèn)EMS系統(tǒng)，此時(shí)首先判斷用戶EMS子系統(tǒng)登錄的Cookies信息是否存在，如果存在進(jìn)入EMS系統(tǒng)；如果不存在，判斷NTSAS的Cookies登錄令牌信息是否存在，如果不存在進(jìn)入EMS系統(tǒng)的登錄界面，提示用戶進(jìn)行登錄。如果存在調(diào)用認(rèn)證中心的系統(tǒng)進(jìn)行驗(yàn)證令牌信息判斷，檢測(cè)令牌是否偽造，如果偽造，進(jìn)入EMS系統(tǒng)的登錄界面，提示用戶進(jìn)行登錄。如果認(rèn)證中心判斷合法正確，向子系統(tǒng)頒發(fā)新的令牌信息，回調(diào)子系統(tǒng)寫(xiě)入子系統(tǒng)登錄Cookies（所有頒發(fā)到子系統(tǒng)的令牌信息都是加密的同時(shí)更新認(rèn)證中心的登錄令牌信息。牌信息牌信息錄頁(yè)驗(yàn)證認(rèn)證中心的令牌驗(yàn)證認(rèn)證中心的令牌是否存在存在令牌信息驗(yàn)證認(rèn)證中心的令牌驗(yàn)證認(rèn)證中心的令牌驗(yàn)證令牌合法向子系統(tǒng)頒發(fā)新令向子系統(tǒng)頒發(fā)新令牌，回調(diào)子系統(tǒng)函中心令牌信息所有的令牌信息以加密方式出登出流程描述：假設(shè)用戶登出EMS子系統(tǒng)時(shí)，首先程序先失效子系統(tǒng)的Cookies登錄信息，同時(shí)發(fā)送請(qǐng)求給權(quán)限認(rèn)證中心，權(quán)限認(rèn)證中心收回登錄令牌，同時(shí)刪除認(rèn)證中心的登錄令牌信息，系統(tǒng)回調(diào)EMS子系統(tǒng)方法回到子系統(tǒng)的登錄界面。考慮到每個(gè)WEB子系統(tǒng)業(yè)務(wù)權(quán)限的未知性，如果把所有的WEB子系統(tǒng)的權(quán)限全部集中在認(rèn)證中心中，認(rèn)證中心中的業(yè)務(wù)權(quán)限判斷將變的異常的復(fù)雜和混亂，具有不可維護(hù)性。每次擴(kuò)充WEB子系統(tǒng)，認(rèn)證中心的權(quán)限驗(yàn)證邏輯都需要改變，這是極其不合理的。故本次采用的權(quán)限認(rèn)證設(shè)計(jì)思路是，以插件模式的方式接入權(quán)限認(rèn)證中心。權(quán)限認(rèn)證接入方案：權(quán)限中心有一個(gè)插件接入配置文件，配置文件中包含每一個(gè)子系統(tǒng)各自處理的遠(yuǎn)程調(diào)用方法。插件配置文件負(fù)責(zé)維護(hù)各個(gè)子系統(tǒng)的權(quán)限的開(kāi)發(fā)和調(diào)用的接口。權(quán)限驗(yàn)證流程描述：當(dāng)用戶訪問(wèn)WEB子系統(tǒng)中的每一個(gè)功能模塊時(shí)，該功能在進(jìn)入方法體前，調(diào)用權(quán)限認(rèn)證中心的驗(yàn)證接口，權(quán)限中心認(rèn)證接口讀取接口插件配置文件，調(diào)用插件配置文件中的WEB子系統(tǒng)的遠(yuǎn)程處理的接口進(jìn)行驗(yàn)證，驗(yàn)證完畢后返回給WEB子系統(tǒng)請(qǐng)求的結(jié)果信息，如果有回調(diào)方法同時(shí)觸發(fā)插件配置文件中的WEB子系統(tǒng)的回調(diào)方法。進(jìn)入子系統(tǒng)模塊塊調(diào)用權(quán)限認(rèn)證中心讀取子