基于SOA的統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計

周益飛+蔡利軍

摘要：隨著信息化的發(fā)展，高校業(yè)務(wù)系統(tǒng)也得到了普遍應(yīng)用。這些業(yè)務(wù)系統(tǒng)在不同時期由不同開發(fā)人員開發(fā)，采用了各種不同的技術(shù)和架構(gòu)，導(dǎo)致系統(tǒng)的用戶和權(quán)限資源分散，不便于統(tǒng)一管理。為統(tǒng)一管理和整合各系統(tǒng)的用戶和權(quán)限，提出了一種基于SOA架構(gòu)的統(tǒng)一身份認(rèn)證系統(tǒng)，并提出具體設(shè)計方案。該系統(tǒng)具有較強的實用性，能夠簡化操作且具有更細(xì)粒度的分級，使得用戶體驗更好。

關(guān)鍵詞關(guān)鍵詞：SOA；統(tǒng)一身份認(rèn)證；單點登錄

DOIDOI：10.11907/rjdk.172413

中圖分類號：TP319

文獻標(biāo)識碼：A文章編號文章編號：16727800（2017）011006503

0引言

隨著高校信息化的不斷推進，各種業(yè)務(wù)系統(tǒng)逐漸增多，信息孤島問題也越來越突出。各個應(yīng)用系統(tǒng)維護著各自的一套用戶信息，而高校應(yīng)用系統(tǒng)的使用者基本比較固定，主要為學(xué)生和教師，因而各個系統(tǒng)維護著相似的用戶群。這不僅加大了維護工作量，而且使信息無法得到充分利用。

統(tǒng)一身份認(rèn)證系統(tǒng)[1]可以統(tǒng)一標(biāo)識、統(tǒng)一管理、統(tǒng)一認(rèn)證分散的用戶和權(quán)限，不僅可以減少工作量，還可以簡化操作。各個業(yè)務(wù)系統(tǒng)由于開發(fā)時期不同，因此使用的開發(fā)語言、開發(fā)技術(shù)，以及開發(fā)人員等也不同，導(dǎo)致統(tǒng)一管理比較困難。因此，統(tǒng)一身份認(rèn)證系統(tǒng)需要兼容各類語言和接口。

面向服務(wù)架構(gòu)SOA（ServiceOriented Architecture）[2]技術(shù)是業(yè)務(wù)驅(qū)動的框架標(biāo)準(zhǔn)。SOA將集成程序進行松散耦合分解[3]，通過接口使各類程序進行聯(lián)系。SOA架構(gòu)為業(yè)務(wù)系統(tǒng)集中身份認(rèn)證難題提供了可行的解決方案。

1SOA技術(shù)

SOA是基于服務(wù)的IT架構(gòu)，SOA中服務(wù)的思想是業(yè)務(wù)和技術(shù)既能完全分離[4]，又能自由組合。它將業(yè)務(wù)系統(tǒng)的不同功能單元拆分成多個子系統(tǒng)[5]，這些功能單元也稱為服務(wù)，服務(wù)之間可通過定義良好的接口和契約聯(lián)系起來。SOA使用戶可以構(gòu)建、部署、整合和調(diào)用這些服務(wù)，且無需依賴某一具體應(yīng)用程序及其運行計算平臺。

SOA與傳統(tǒng)架構(gòu)相比，具有以下優(yōu)勢[67]：①可以充分利用現(xiàn)有的信息技術(shù)資產(chǎn)；②更易于集成和管理；③能更快地整合業(yè)務(wù)；④減少成本和增加重用；⑤SOA業(yè)務(wù)流程由一系列業(yè)務(wù)服務(wù)組成，可以更輕松地對其進行創(chuàng)建與修改，以滿足不同時期的需要。

2統(tǒng)一身份認(rèn)證

統(tǒng)一身份認(rèn)證系統(tǒng)[8]的主要特點是統(tǒng)一標(biāo)識、統(tǒng)一管理、統(tǒng)一認(rèn)證用戶和權(quán)限，所有業(yè)務(wù)系統(tǒng)的用戶和權(quán)限進行統(tǒng)一維護。與緊耦合的用戶認(rèn)證方式相比，該方式能為業(yè)務(wù)系統(tǒng)提供各種接口，且安全性更高[9]。通過綁定接口，業(yè)務(wù)系統(tǒng)可以直接獲得統(tǒng)一身份認(rèn)證系統(tǒng)對用戶和權(quán)限信息的反饋，同時統(tǒng)一身份認(rèn)證系統(tǒng)使用以上接口可以完成各類業(yè)務(wù)系統(tǒng)的互信和互通。

統(tǒng)一認(rèn)證模式的核心[10]是為各業(yè)務(wù)系統(tǒng)提供統(tǒng)一身份認(rèn)證服務(wù)。當(dāng)用戶需要登錄某個應(yīng)用系統(tǒng)時，首先登錄統(tǒng)一身份系統(tǒng)驗證身份，之后即可訪問該用戶有權(quán)限訪問的所有統(tǒng)一身份認(rèn)證系統(tǒng)已集成的應(yīng)用系統(tǒng)。

3基于SOA的統(tǒng)一身份認(rèn)證系統(tǒng)

統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計思想是統(tǒng)一管理各業(yè)務(wù)系統(tǒng)的用戶登錄，并且給各業(yè)務(wù)系統(tǒng)提供接口。

對用戶而言，用戶在登錄某個應(yīng)用系統(tǒng)時，打開登錄界面，直接跳轉(zhuǎn)進入統(tǒng)一身份認(rèn)證的登錄界面，通過登錄統(tǒng)一身份認(rèn)證系統(tǒng)進行身份驗證后，再進入用戶想要訪問的系統(tǒng)。同時，用戶可以在統(tǒng)一身份認(rèn)證系統(tǒng)主頁面中，訪問所有有權(quán)限訪問的系統(tǒng)，并且根據(jù)自己的賬號權(quán)限選擇使用某類權(quán)限進入系統(tǒng)，比如有用戶具有多個角色，既是系統(tǒng)管理人員，又是普通用戶。用戶還可以將賬號綁定到郵箱或手機，用于忘記密碼時重置密碼。

對于系統(tǒng)管理人員而言，各應(yīng)用系統(tǒng)按照統(tǒng)一身份認(rèn)證的統(tǒng)一接口集成單點登錄，單點登錄接口完成后由系統(tǒng)管理人員將該業(yè)務(wù)系統(tǒng)加入統(tǒng)一身份認(rèn)證的認(rèn)證管理平臺，并進行授權(quán)；對所有用戶設(shè)置用戶角色權(quán)限，并進行分類和分組，如教職工類人員還可細(xì)分成教師和職工組，以更細(xì)粒度地管理用戶；通過系統(tǒng)的監(jiān)控模塊，監(jiān)控系統(tǒng)運行情況，并審計用戶登錄情況，以防暴力破解或非法登錄系統(tǒng)等情況出現(xiàn)。

對于其他業(yè)務(wù)系統(tǒng)建設(shè)人員而言，只需按照統(tǒng)一身份認(rèn)證的集成接口完成單點登錄，將業(yè)務(wù)系統(tǒng)加入統(tǒng)一身份認(rèn)證的認(rèn)證管理中。無需在業(yè)務(wù)系統(tǒng)中單獨設(shè)置用戶權(quán)限和角色，以減少用戶導(dǎo)入和設(shè)置權(quán)限等工作量。

因此，統(tǒng)一身份認(rèn)證系統(tǒng)應(yīng)包括身份管理模塊、身份認(rèn)證模塊、對外服務(wù)模塊3個功能模塊。

3.1系統(tǒng)功能設(shè)計

基于SOA的統(tǒng)一身份認(rèn)證系統(tǒng)功能結(jié)構(gòu)如圖1所示。

圖1統(tǒng)一身份認(rèn)證系統(tǒng)功能結(jié)構(gòu)

身份管理模塊包括賬號管理、認(rèn)證管理、授權(quán)管理、審計管理、系統(tǒng)管理5部分：

（1）賬號管理：包括賬號列表、批量操作、賬號同步、賬號統(tǒng)計等功能，可實現(xiàn)身份證號的增加、刪除、修改、過期設(shè)置、鎖定/解鎖和加入組操作，還包括轉(zhuǎn)為校友、單賬號和批量操作等功能。

（2）認(rèn)證管理：包括認(rèn)證應(yīng)用、認(rèn)證統(tǒng)計、OAuth管理等功能，可管理需要集成的各類應(yīng)用系統(tǒng)，以及各類應(yīng)用系統(tǒng)能訪問的用戶權(quán)限，查詢各系統(tǒng)的認(rèn)證細(xì)節(jié)，以及各個應(yīng)用通過統(tǒng)一身份認(rèn)證訪問的統(tǒng)計信息。

（3）授權(quán)管理：包括群組授權(quán)、用戶授權(quán)、批量授權(quán)、授權(quán)統(tǒng)計等功能。將用戶進行分組管理，基于性能考慮群組授權(quán)和用戶授權(quán)，通過圖表形式的統(tǒng)計賬號進行入組和出組操作統(tǒng)計。

（4）審計管理：包括賬號審計、認(rèn)證審計、授權(quán)審計、差異審計等功能，以檢測認(rèn)證和授權(quán)中出現(xiàn)的問題。賬號審計包括對休眠賬號、孤兒賬號、密碼強度不符合規(guī)范的賬號的審計；認(rèn)證審計包括對惡意認(rèn)證賬號、暴力破解的賬號和惡意認(rèn)證的IP地址的審計；授權(quán)審計包括空組和無組審計；差異審計包括對LADP丟失賬號和數(shù)據(jù)庫丟失賬號等的審計。endprint

（5）系統(tǒng)管理：包括系統(tǒng)操作日志、服務(wù)器狀態(tài)、會話狀態(tài)、總體狀態(tài)、系統(tǒng)告警、監(jiān)控配置等功能。

身份認(rèn)證模塊包括統(tǒng)一身份認(rèn)證和單點登錄功能，可實現(xiàn)認(rèn)證過程，使用戶能暢快訪問系統(tǒng)。

對外服務(wù)模塊包括集成接口和身份自助服務(wù)2部分。

（1）集成接口：包括各類接口，如LDAP接口、CAS接口、OAuth接口、代理接口、SAML接口等。支持各類接口語言，包括Java、PHP、.Net等，支持Android、iOS等手機的登錄接入和反向代理認(rèn)證服務(wù)器認(rèn)證，使各個應(yīng)用系統(tǒng)能實現(xiàn)統(tǒng)一身份認(rèn)證和單點登錄。

（2）身份自助服務(wù)：包括用戶信息、找回密碼、郵箱綁定、手機號綁定等，以滿足用戶對自己賬號信息和密碼信息的維護需求。

3.2SOA在統(tǒng)一身份認(rèn)證系統(tǒng)中的應(yīng)用設(shè)計

統(tǒng)一身份認(rèn)證系統(tǒng)通過SOA架構(gòu)進行分層，一共分為6層：基礎(chǔ)功能層、組件層、服務(wù)整合層、業(yè)務(wù)流程層、業(yè)務(wù)展現(xiàn)層、服務(wù)總線。

圖2SOA體系結(jié)構(gòu)

（1）基礎(chǔ)功能層：統(tǒng)一身份認(rèn)證系統(tǒng)中的程序資源。

（2）組件層：將底層的業(yè)務(wù)邏輯封裝成組件，并將每個功能模塊進行封裝，單獨調(diào)用。

（3）服務(wù)整合層，包括3類功能性模塊：①業(yè)務(wù)服務(wù)，指比較完整且能暴露給最終用戶的服務(wù)，如身份自助服務(wù)模塊；②業(yè)務(wù)功能服務(wù)，主要是一些比較具體的業(yè)務(wù)操作，可被更上層的服務(wù)調(diào)用，一般封裝在系統(tǒng)操作過程中，如用戶信息檢索、用戶賬號存儲等；③技術(shù)功能服務(wù)，主要實現(xiàn)一些底層的技術(shù)功能，如日志服務(wù)、審計服務(wù)等。

（4）業(yè)務(wù)流程層：通過封裝后的服務(wù)構(gòu)建業(yè)務(wù)系統(tǒng)中的各種流程。如用戶登錄系統(tǒng)流程為在集成系統(tǒng)中判斷用戶是否有權(quán)限，有權(quán)限則進行下一步，登錄進入系統(tǒng)。

（5）業(yè)務(wù)展現(xiàn)層：提供接口服務(wù)，可以用基于Portal的系統(tǒng)進行構(gòu)建，主要通過在web.xml文件中加入對應(yīng)的過濾器進行配置。

（6）服務(wù)總線：提供一個基礎(chǔ)環(huán)境支持以上5層的運行。

4結(jié)語

基于SOA的統(tǒng)一身份認(rèn)證系統(tǒng)可統(tǒng)一管理校內(nèi)外各類應(yīng)用及系統(tǒng)的登錄、訪問和相互間的認(rèn)證，充分保證訪問時權(quán)限的細(xì)粒度控制，使得用戶體驗更好。

參考文獻參考文獻：

[1]李莉.基于CAS的校園統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn)[J].教育探索，2016，32（10）：7273.

[2]劉偉.基于業(yè)務(wù)應(yīng)用集成體系架構(gòu)探討[J].軟件導(dǎo)刊，2013（8）：1719.

[3]徐遇霄.基于Java的SOA分層研究與設(shè)計[J].艦船電子工程，2010，30（6）：124129.

[4]黃飛飛.基于SOA架構(gòu)的企業(yè)統(tǒng)一用戶身份認(rèn)證平臺研究[J].中國管理信息化，2016，19（19）：5658.

[5]李若鷺，張靜，劉士彬，等.基于SOA架構(gòu)的移動GIS快速開發(fā)平臺[J].測繪通報，2013（5）：115116.

[6]張亞.基于SOA架構(gòu)軟件服務(wù)可靠性評價方法研究[J].計算機技術(shù)與發(fā)展，2015（4）：6770.

[7]吳曉，李丹寧.基于SOA架構(gòu)的企業(yè)信息門戶實現(xiàn)[J].貴州科學(xué)，2015，33（6）：1419.

[8]潛昕，羅沙白，盧康權(quán).構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系[J].軟件，2013，34（1）：1719.

[9]趙龍，李秀紅，馬玉爽.OAuth2.0讓統(tǒng)一身份認(rèn)證更安全[J].中國教育網(wǎng)絡(luò)，2017（1）：7475.

[10]趙巍.基于SOA架構(gòu)的綜合行政管理系統(tǒng)開發(fā)技術(shù)研究[J].價值工程，2015，34（2）：185186.

責(zé)任編輯（責(zé)任編輯：黃健）endprint