李熹+王林

摘 要：隨著云計算、互聯(lián)網(wǎng)技術(shù)對教育信息化的滲透影響，服務(wù)于教育教學(xué)和教育活動的各類業(yè)務(wù)應(yīng)用系統(tǒng)越來越多，但這些業(yè)務(wù)應(yīng)用系統(tǒng)都不同程度建有獨立的身份認(rèn)證系統(tǒng)。針對目前數(shù)字校園建設(shè)過程中出現(xiàn)的身份認(rèn)證“信息孤島”問題，本文通過整合江西省基礎(chǔ)教育資源網(wǎng)的全省實名教師信息和中小學(xué)生學(xué)籍系統(tǒng)的信息，結(jié)合OAuth開放授權(quán)協(xié)議，構(gòu)建標(biāo)準(zhǔn)、安全的數(shù)字校園身份認(rèn)證開放接口和平臺接入規(guī)范，為其所有業(yè)務(wù)應(yīng)用系統(tǒng)提供集中身份認(rèn)證服務(wù)和接入管理服務(wù)。

關(guān)鍵詞：數(shù)字校園 統(tǒng)一身份認(rèn)證 OAuth協(xié)議

隨著現(xiàn)代信息技術(shù)的迅猛發(fā)展以及對教育信息化的不斷滲透，學(xué)校利用現(xiàn)代信息技術(shù)手段構(gòu)建校園信息化環(huán)境，數(shù)字化、智慧化改造教育教學(xué)環(huán)境，促進學(xué)科教學(xué)與信息技術(shù)的深度融合，變革教育教學(xué)模式的需求不斷提高。就此而言，可以說數(shù)字校園建設(shè)是伴隨著信息技術(shù)的發(fā)展而提出的。目前，數(shù)字校園的建設(shè)水平已經(jīng)成為衡量一個學(xué)?，F(xiàn)代教育技術(shù)運用水平的重要標(biāo)志。

但在數(shù)字校園建設(shè)的初期，主要采用以校為單位，按照“按需、逐個、獨立”的建設(shè)模式進行分散，結(jié)合學(xué)校自身信息化的建設(shè)需求，通過建設(shè)多個業(yè)務(wù)應(yīng)用系統(tǒng)以期達到一定的應(yīng)用效果。但是隨著信息化在學(xué)校教育教學(xué)活動中不斷深入以及與教育教學(xué)的融合，一些問題也不斷顯露出來，主要突出問題有：缺乏總體規(guī)劃、頂層設(shè)計等原因，導(dǎo)致各類數(shù)字校園應(yīng)用系統(tǒng)都建設(shè)獨立的身份認(rèn)證系統(tǒng)，系統(tǒng)之間不能共享用戶數(shù)據(jù)，用戶數(shù)據(jù)得不到及時更新，給用戶的使用帶來極大的不便；缺乏統(tǒng)一的應(yīng)用系統(tǒng)接入規(guī)范，導(dǎo)致各應(yīng)用系統(tǒng)的數(shù)據(jù)交互性、易用性不夠，很難進行數(shù)據(jù)交換；缺乏數(shù)據(jù)信息標(biāo)準(zhǔn)規(guī)范，產(chǎn)生大量“信息孤島”，數(shù)據(jù)的準(zhǔn)確性和科學(xué)性不夠，嚴(yán)重影響決策效率。

基于數(shù)字校園建設(shè)現(xiàn)狀和背景，建設(shè)一套省級數(shù)字校園身份認(rèn)證開放平臺非常有意義，身份認(rèn)證開放平臺通過建立權(quán)威的、實名的基礎(chǔ)用戶數(shù)據(jù)庫，對各類業(yè)務(wù)應(yīng)用系統(tǒng)采用統(tǒng)一的認(rèn)證方式進行集成，實現(xiàn)用戶只需要使用一套賬號和密碼即能訪問不同應(yīng)用系統(tǒng)的效果。同時提高數(shù)字校園平臺的易用性，保證用戶認(rèn)證信息的正確性、完整性和安全性，有效解決各種業(yè)務(wù)應(yīng)用系統(tǒng)之間用戶數(shù)據(jù)同步和更新等問題，從而減輕各數(shù)字校園系統(tǒng)用戶認(rèn)證過程中的麻煩和系統(tǒng)管理成本。

一、身份認(rèn)證平臺分析

數(shù)字校園身份認(rèn)證開放平臺是打造全省數(shù)字校園云平臺中的核心部分，通過建立該平臺可以保護全省數(shù)字校園平臺中身份認(rèn)證信息的權(quán)威性和隱私性，同時可以限制其他各種應(yīng)用程序之間的訪問權(quán)限，為方便用戶應(yīng)用數(shù)字校園軟件進行教學(xué)起到關(guān)鍵作用。根據(jù)對全省數(shù)字校園平臺對身份認(rèn)證的業(yè)務(wù)需求以及現(xiàn)有的軟件開發(fā)基礎(chǔ)和經(jīng)驗，對全省數(shù)字校園身份認(rèn)證開放平臺提出如下的需求：系統(tǒng)按照瀏覽器/服務(wù)器模式進行設(shè)計，基于ASP.NET2.0平臺和MVC系統(tǒng)框架進行軟件開發(fā)。通過統(tǒng)一的數(shù)據(jù)規(guī)范標(biāo)準(zhǔn)，建立全省數(shù)字校園身份認(rèn)證基礎(chǔ)數(shù)據(jù)庫，實現(xiàn)對學(xué)校、教師和學(xué)生信息的統(tǒng)一管理。基于OAuth授權(quán)協(xié)議進行系統(tǒng)認(rèn)證授權(quán)過程設(shè)計。第三方應(yīng)用接入商可以通過具有權(quán)限的接口批量獲取學(xué)校、教師和學(xué)生的信息，具體用戶可以通過授權(quán)協(xié)議，允許第三方應(yīng)用程序從數(shù)字校園身份認(rèn)證平臺中獲取個人的隱私數(shù)據(jù)。全省的數(shù)字校園應(yīng)用都需要與身份認(rèn)證平臺進行對接，是所有數(shù)字校園應(yīng)用的主要入口，因此數(shù)字校園身份認(rèn)證開放平臺需要提供應(yīng)用程序接口，并且開放接口必須具有跨平臺性和兼容性。由于身份認(rèn)證開放平臺是數(shù)字校園應(yīng)用程序的入口，因此需要在接口的調(diào)用權(quán)限上進行管理，并且做到有較高的安全性和可靠性。

在構(gòu)建平臺過程中，用戶與第三方應(yīng)用、開放平臺之間相互信任、交互的安全性是平臺商需要考慮的因素。目前，業(yè)內(nèi)開放平臺用戶身份信任機制主要采用OAuth授權(quán)方式。OAuth授權(quán)方式為客戶端提供了一種代表資源擁有者訪問受保護資源的方法。在客戶端訪問受保護資源之前，它必須先從資源擁有者獲取授權(quán)，然后用訪問許可交換訪問令牌?？蛻舳送ㄟ^向資源服務(wù)器出示訪問令牌來訪問受保護資源。

二、開放平臺設(shè)計

數(shù)字校園開放平臺的架構(gòu)設(shè)計主要采用的是分層架構(gòu)的設(shè)計理念，將系統(tǒng)的總體架構(gòu)分為數(shù)據(jù)層、認(rèn)證服務(wù)層、服務(wù)接口層和應(yīng)用接入層。其各層的主要功能如下：

在數(shù)據(jù)層，依托江西省基礎(chǔ)教育資源網(wǎng)的實名教師數(shù)據(jù)庫和中小學(xué)生學(xué)籍管理系統(tǒng)，按照教育部制定的教育信息化行業(yè)標(biāo)準(zhǔn)，形成標(biāo)準(zhǔn)、規(guī)范的學(xué)校數(shù)據(jù)庫、用戶數(shù)據(jù)庫，將教師用戶和學(xué)生用戶進行統(tǒng)一規(guī)范、統(tǒng)一存儲。

在認(rèn)證服務(wù)層，基于數(shù)據(jù)層提供的基礎(chǔ)數(shù)據(jù)庫，建立身份管理、身份認(rèn)證、授權(quán)管理和安全審計服務(wù)，主要負責(zé)整個身份認(rèn)證開放平臺的認(rèn)證和授權(quán)業(yè)務(wù)，身份認(rèn)證模塊主要處理登錄請求，驗證用戶的認(rèn)證信息；授權(quán)管理模塊主要負責(zé)對第三方應(yīng)用調(diào)用接口的權(quán)限設(shè)置；安全審計服務(wù)模塊主要負責(zé)在認(rèn)證過程中的接口安全和訪問安全等。認(rèn)證服務(wù)層主要是為上層服務(wù)接口層調(diào)用。

在服務(wù)接口層，基于OAuth開放授權(quán)協(xié)議，開發(fā)一系列的開放服務(wù)接口，為第三方應(yīng)用進行數(shù)據(jù)交換時使用。主要采用的是REST API的設(shè)計模式，遵循REST的設(shè)計規(guī)范，將定義好的URI接口數(shù)據(jù)和流程開放。這樣可以解決設(shè)計語言的跨平臺問題，便于第三方應(yīng)用調(diào)用以及開發(fā)，降低集成的難度。

在應(yīng)用接入層，按照約定的系統(tǒng)接入規(guī)范和數(shù)據(jù)標(biāo)準(zhǔn)，利用服務(wù)接口層提供的SDK開發(fā)包，調(diào)用服務(wù)接口層的開放接口，獲取相關(guān)的數(shù)據(jù)進行自身應(yīng)用。集成后的第三方應(yīng)用即可達到利用身份認(rèn)證開放平臺的學(xué)校信息和教師學(xué)生信息，并登錄本身應(yīng)用的效果。

1.基礎(chǔ)用戶數(shù)據(jù)管理

基礎(chǔ)用戶數(shù)據(jù)管理是指按照教育管理信息行業(yè)標(biāo)準(zhǔn)，收集用戶驗證的主要特征，將分散在各種業(yè)務(wù)應(yīng)用系統(tǒng)中的用戶進行統(tǒng)一管理，形成包含學(xué)校信息、教師信息、班級信息和學(xué)生信息的基礎(chǔ)數(shù)據(jù)庫。建立基礎(chǔ)用戶數(shù)據(jù)庫的主要目的是為了能夠在異構(gòu)應(yīng)用系統(tǒng)和身份認(rèn)證平臺上共享一套較為權(quán)威的用戶身份信息，可以實現(xiàn)不同業(yè)務(wù)應(yīng)用系統(tǒng)之間獨立管理和驗證用戶。在此之上建立一套數(shù)據(jù)同步服務(wù)、數(shù)據(jù)管理服務(wù)和數(shù)據(jù)訪問服務(wù)。這樣使得用戶和第三方應(yīng)用可以以安全可信的方式進行訪問。對于已有應(yīng)用系統(tǒng)，建立一套抽取、更新機制，可以將某些權(quán)威數(shù)據(jù)庫作為數(shù)據(jù)的來源，定期從這些數(shù)據(jù)庫中抽取用戶數(shù)據(jù)用于維護基礎(chǔ)用戶數(shù)據(jù)庫，保證基礎(chǔ)數(shù)據(jù)庫中的信息達到實時、準(zhǔn)確、權(quán)威。對于新增業(yè)務(wù)應(yīng)用系統(tǒng)，可以通過按照接口的要求，從基礎(chǔ)用戶數(shù)據(jù)庫中獲取用戶數(shù)據(jù)（不包含驗證信息），用于建立或綁定自身的身份認(rèn)證系統(tǒng)和權(quán)限管理系統(tǒng)。

2.身份認(rèn)證設(shè)計

身份認(rèn)證和登錄授權(quán)是整個身份認(rèn)證開放平臺的核心功能，主要負責(zé)對用戶的身份進行驗證，在整個平臺的身份認(rèn)證和登錄授權(quán)的設(shè)計中，主要是結(jié)合OAuth開放授權(quán)協(xié)議進行的，同時在保證系統(tǒng)的安全性和高并發(fā)需求的情況下，在登錄授權(quán)過程中對用戶的敏感信息進行特殊加密傳輸。身份認(rèn)證和授權(quán)設(shè)計是獨立于數(shù)字校園內(nèi)的其他應(yīng)用系統(tǒng)，對于用戶來說，平臺的用戶ID是唯一的，由其作為整個平臺用戶的統(tǒng)一標(biāo)志，在通過平臺的身份認(rèn)證后，可以從登陸認(rèn)證結(jié)果中獲取到與平臺用戶唯一對應(yīng)的平臺用戶序列號。第三方應(yīng)用利用這個平臺用戶序列號與自身系統(tǒng)的用戶賬號做映射，利用映射后的賬號登錄相應(yīng)的應(yīng)用系統(tǒng)。經(jīng)此種架構(gòu)設(shè)計的身份認(rèn)證平臺，當(dāng)增加一個接入應(yīng)用系統(tǒng)時，只需要在接入的應(yīng)用系統(tǒng)中增加一套平臺用戶序列號與應(yīng)用系統(tǒng)賬號的映射關(guān)系即可，并不影響應(yīng)用系統(tǒng)自身的架構(gòu)，從而解決登錄認(rèn)證過程中不同應(yīng)用系統(tǒng)之間用戶交叉等問題。

平臺賬號登錄是指直接使用平臺賬號登錄第三方系統(tǒng)，步驟如下：用戶點擊在第三方應(yīng)用登錄界面上的“使用平臺賬號登錄”，第三方應(yīng)用將跳轉(zhuǎn)到數(shù)字校園身份認(rèn)證開放平臺的登錄授權(quán)頁面，用戶登錄成功，提示用戶是否同意將身份信息授權(quán)給第三方應(yīng)用訪問。第三方應(yīng)用根據(jù)這個序列號查找自身用戶，如果有已綁定的用戶則繼續(xù)用已綁定的用戶信息登錄應(yīng)用系統(tǒng)，如果不存在該用戶序列號，則在后臺提示用戶利用應(yīng)用系統(tǒng)的賬號與該平臺序列號綁定，建立平臺用戶與應(yīng)用用戶的關(guān)聯(lián)關(guān)系。利用建立關(guān)系后的應(yīng)用系統(tǒng)自身認(rèn)證系統(tǒng)中的用戶登錄，以后在登錄時直接利用平臺用戶與應(yīng)用用戶的關(guān)聯(lián)關(guān)系登錄即可。

三、系統(tǒng)實現(xiàn)

數(shù)字校園身份認(rèn)證開放平臺是基于OAuth開放授權(quán)協(xié)議來實現(xiàn)第三方應(yīng)用的接入和訪問授權(quán)的，系統(tǒng)設(shè)計開發(fā)了基于REST的無狀態(tài)Web服務(wù)接口。數(shù)字校園身份認(rèn)證開放平臺實現(xiàn)了標(biāo)準(zhǔn)的數(shù)據(jù)開放接口，并提供了C#和JavaScript版本的第三方應(yīng)用的接入實例，避免了數(shù)字校園應(yīng)用都構(gòu)建自身的用戶群，節(jié)約了開發(fā)成本和開發(fā)周期，同時有效解決了數(shù)字校園內(nèi)各個應(yīng)用之間的信息孤島問題。使得用戶在使用第三方數(shù)字校園應(yīng)用系統(tǒng)時，不再需要提供身份認(rèn)證信息（賬號、密碼），實現(xiàn)了各種數(shù)字校園應(yīng)用系統(tǒng)的安全接入和用戶信息的統(tǒng)一管理。

目前通過該開放平臺接入的應(yīng)用包括有江西省中小學(xué)數(shù)字校園平臺、江西省一站式互動教學(xué)平臺、江西省中小學(xué)安全知識網(wǎng)絡(luò)答題系統(tǒng)等。接入的學(xué)校自建的數(shù)字校園平臺有南大附中IS平臺、高安中學(xué)數(shù)字校園平臺等。經(jīng)過一段時間的應(yīng)用后，數(shù)字校園身份認(rèn)證開放平臺運行較穩(wěn)定，達到了設(shè)計初期的目的，實現(xiàn)了良好的社會效益。

參考文獻：

[1]劉雍潛，孫默.數(shù)字校園綜合解決方案[M].北京：中央廣播電視大學(xué)出版社，2014.

[2]曹潔水，孫萌用動態(tài)網(wǎng)站技術(shù)ASP.NET構(gòu)建服務(wù)型圖書館網(wǎng)站[J].現(xiàn)代電子技術(shù)，2007（6）.

[3]段浩偉.基于OAuth2.0電子商務(wù)開放平臺與授權(quán)的設(shè)計與實現(xiàn)[D].西安電子科技大學(xué)，2013.

[4]張德林.基于OAuth協(xié)議的校園統(tǒng)一認(rèn)證與授權(quán)系統(tǒng)的研究與實現(xiàn)[D].四川師范大學(xué)，2014.

[5]張艷霞.基于OAuth安全架構(gòu)的企業(yè)地址簿的設(shè)計與實現(xiàn)[D].華南理工大學(xué)，2012.