魯 學(xué)，汪麗華

（黃石職業(yè)技術(shù)學(xué)院，湖北 黃石435003）

一、問題的提出

不同等級和規(guī)模的學(xué)校，數(shù)字校園建設(shè)任務(wù)涵蓋面雖有所不同，但大體目標(biāo)是實(shí)現(xiàn)學(xué)校的數(shù)字化管理、數(shù)字化教學(xué)、數(shù)字化服務(wù)等等，實(shí)現(xiàn)方式是部署應(yīng)用多種信息系統(tǒng)。事實(shí)上，中高等學(xué)校對應(yīng)于不同的內(nèi)部職能，多年來，逐步建立了多種信息系統(tǒng)，并且，這些系統(tǒng)來自不同的軟件廠商，開發(fā)和運(yùn)行平臺各異，用戶登錄自成體系。雖然這些系統(tǒng)能夠滿足師生不同業(yè)務(wù)的應(yīng)用需要，但用戶要面對不同的登錄地址和帳號，使用繁鎖、帳號易忘，一定程度上削弱了使用熱情。并且，這種格局也不符合數(shù)字校園一體化的性能要求。

另一方面，由某一家開發(fā)商推倒重建并應(yīng)用的所有系統(tǒng)，形成統(tǒng)一平臺的做法難以滿足專業(yè)化要求，也不具有現(xiàn)實(shí)性和必要性。至于基于云架構(gòu)，實(shí)現(xiàn)多院校公共的SaaS行業(yè)應(yīng)用平臺，在相當(dāng)一段時間內(nèi)，對多數(shù)學(xué)校還只能是一種難以實(shí)現(xiàn)的構(gòu)想。那么，如何基于多系統(tǒng)并存的現(xiàn)狀，實(shí)現(xiàn)學(xué)校師生用戶的統(tǒng)一認(rèn)證、單點(diǎn)登錄（SSO）成為數(shù)字校園建設(shè)中的重要課題之一。

二、技術(shù)分析及CAS模型

目前廣為應(yīng)用的各類B/S系統(tǒng)，實(shí)現(xiàn)用戶認(rèn)證和登錄的基本原理是：用戶從瀏覽器輸入用戶名和密碼后提交Web服務(wù)器，Web服務(wù)系統(tǒng)從數(shù)據(jù)庫中比對后，確認(rèn)用戶角色及其擁有的權(quán)限，生成包含相應(yīng)菜單的主頁返回瀏覽器供用戶操作，同時，以Session或其它后臺技術(shù)暫存登錄用戶ID及其權(quán)限信息，這些信息可在服務(wù)器駐留一個有效期時間，以備系統(tǒng)的各功能子模塊進(jìn)行操作鑒權(quán)。但是，不同平臺、不同系統(tǒng)，登錄過程中的具體認(rèn)證過程和駐留信息的參數(shù)和方式各異，并且，多被軟件編譯，除軟件開發(fā)商外，他人不能更改登錄認(rèn)證代碼，無法通過逐個修改的手段，實(shí)現(xiàn)數(shù)字校園多系統(tǒng)統(tǒng)一的登錄認(rèn)證。并且，一個運(yùn)行穩(wěn)定的系統(tǒng)也不主張隨意修改。

CAS（Central Authentication Service）協(xié)議是由美國耶魯大學(xué)2001年發(fā)起建立的一套跨平臺SSO簡單實(shí)效認(rèn)證模型，具有足夠的安全選擇，被很多項(xiàng)目采用。CAS現(xiàn)有1.0、2.0、3.0三個版本：1.0版本奠定了基本的框架協(xié)議，2.0支持多層SSO能力，3.0增強(qiáng)了擴(kuò)展能力，設(shè)計框架支持Sping。由于學(xué)校多系統(tǒng)之間極少存在相互嵌入認(rèn)證，數(shù)字校園的認(rèn)證體系采用CAS1.0即可滿足需要。CAS1.0的認(rèn)證模型如圖1。

圖1

雖然學(xué)?，F(xiàn)有的各種Web應(yīng)用系統(tǒng)，大多不支持CAS協(xié)議，或者說不具有CASClient。但要求軟件開發(fā)商，按照學(xué)校制定的CAS協(xié)議，不需要對既有系統(tǒng)進(jìn)行太多的代碼改動，外加開發(fā)一個獨(dú)立的CAS入口模塊，就可實(shí)現(xiàn)對CAS模型體系的完全兼容，是一種現(xiàn)實(shí)可行的方案。

三、數(shù)字校園統(tǒng)一認(rèn)證方法

圖2 數(shù)字校園統(tǒng)一認(rèn)證集成門戶邏輯時序圖

以上認(rèn)證過程時序圖中包含四類工作對象：PC瀏覽器是用戶登錄各類應(yīng)用的終端；認(rèn)證和集成門戶是專門開發(fā)的具有CASServer功能的新站點(diǎn)，用以實(shí)現(xiàn)用戶的登錄認(rèn)證、CAS票據(jù)ticket的生成、各應(yīng)用系統(tǒng)的CAS入口鏈接集成、提供Service接口用于應(yīng)用的統(tǒng)一認(rèn)證；應(yīng)用CAS模塊相當(dāng)于CASClient端，根據(jù)不同應(yīng)用開發(fā)，是加掛于各應(yīng)用的認(rèn)證入口；數(shù)據(jù)庫系統(tǒng)不屬于CAS模型范疇，泛指存儲系統(tǒng)，以便于時序的清晰描述。以上工作時序總體分四個階段：

（1）門戶認(rèn)證階段。用戶從瀏覽器登錄Web門戶，門戶系統(tǒng)從數(shù)據(jù)庫中檢索用戶帳號，認(rèn)證通過后，可將用戶帳號與時間戳合成一動態(tài)序列值，或用MD5加密成字符串作為ticket，并將這個ticket值連同用戶ID、登錄時間存儲到數(shù)據(jù)庫的ticket表中；同時，觸發(fā)數(shù)據(jù)庫程序，按既定的登錄生命周期時限，清理過期的ticket記錄。

（2）生成門戶主頁階段。門戶系統(tǒng)生成學(xué)校各Web應(yīng)用名稱列表，列表可以是整個應(yīng)用的入口（index），也可以是某一系統(tǒng)的單個應(yīng)用模塊。同時，分別建立各應(yīng)用列表的CAS模塊的入口鏈接，并攜帶兩個參數(shù)，參數(shù)一為動態(tài)生成的且業(yè)已保存到數(shù)據(jù)庫中的ticket字符串，參數(shù)二為Web應(yīng)用模塊對應(yīng)的url。入口鏈接例如：〈a href=”http：//x.x.x.x/JWcas?ticket=987654321ffamp;service=http：//x.x.x.x/cj/lrcj”〉錄入學(xué)生成績〈/a〉。當(dāng)然，在門戶主頁中，還可以增加通知公告等之類的其它常用板塊。門戶系統(tǒng)完成認(rèn)證后，將生成的門戶主頁返回給用戶瀏覽器。

（3）應(yīng)用的CAS認(rèn)證階段。用戶從門戶鏈接列表，點(diǎn)擊進(jìn)入Web應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)運(yùn)行其CAS入口模塊，提取url中攜帶的ticket參數(shù)，從配置文件中讀出門戶的Webservice地址，以ticket為輸入，向門戶的Webservice接口查詢用戶；門戶查詢其數(shù)據(jù)庫的ticket表，若該ticket存在，則返回對應(yīng)的用戶ID，說明該用戶已經(jīng)合法登錄。否則，返回error，說明登錄過期ticket被刪，返回跳轉(zhuǎn)，讓用戶重新登錄門戶。

（4）應(yīng)用的自認(rèn)證階段。應(yīng)用的CAS模塊從門戶的Webservice接口獲得認(rèn)證用戶ID后，從自身數(shù)據(jù)庫的用戶表中檢索用戶ID，若不存在，則返回應(yīng)用自身登錄頁或報出提示信息；若用戶存在，則根據(jù)應(yīng)用自身開發(fā)平臺和設(shè)計規(guī)范，進(jìn)行權(quán)限、session設(shè)置等處理。然后，取出service參數(shù)，作為應(yīng)用模塊的url，返回給用戶瀏覽器，從而實(shí)現(xiàn)Web應(yīng)用的單點(diǎn)登錄（SSO）。

須說明，實(shí)現(xiàn)多系統(tǒng)的統(tǒng)一用戶認(rèn)證有一個前提，即應(yīng)用系統(tǒng)的用戶ID須同認(rèn)證門戶的用戶ID保持一致或建進(jìn)行映射變換，否則，應(yīng)用系統(tǒng)無法進(jìn)行內(nèi)部權(quán)限的辨識。所以，統(tǒng)一認(rèn)證的實(shí)現(xiàn)，還需要多系統(tǒng)信息同步的支持，這是數(shù)字校園建設(shè)中另一個獨(dú)立的課題。

四、結(jié)語

CAS不破壞安全機(jī)制，在安全要求高的場合，也可以按X.509協(xié)議，增加證書、SSL等信任連接。但是，這種CAS模型一般只支持單向的順序認(rèn)證訪問，即從CAS入口模塊跳轉(zhuǎn)到應(yīng)用，反之，若要從應(yīng)用跳轉(zhuǎn)到CAS認(rèn)證，則需要應(yīng)用系統(tǒng)有較大的改動。但是，順向的工作流程符合大多用戶的登錄習(xí)慣，完全能滿足集成需要，是當(dāng)前數(shù)字校園建設(shè)中進(jìn)行系統(tǒng)集成務(wù)實(shí)可行的技術(shù)方案。黃石職業(yè)技術(shù)學(xué)院采用以上方案，2011年開發(fā)了數(shù)字校園統(tǒng)一認(rèn)證和集成門戶系統(tǒng)，運(yùn)行兩年來狀況良好。

[1]秦怡,馬自衛(wèi).基于CAS模式的統(tǒng)一認(rèn)證與門戶管理的研究與實(shí)現(xiàn)[J].數(shù)字圖書館,2008(1).

[2]盧清平,楊柳,許曉東.一個基于Yale-CAS的單點(diǎn)登錄解決方案[J].合肥學(xué)院學(xué)報,2005(9).