龔 藝，紀(jì) 娟，王洪海

（四川廣播電視大學(xué)， 四川 成都 610073）

一、引言

隨著高校信息化建設(shè)深入發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，各類信息系統(tǒng)逐漸增多，例如學(xué)工系統(tǒng)、在線學(xué)習(xí)平臺(tái)、教務(wù)管理系統(tǒng)、校園一卡通系統(tǒng)等已經(jīng)成為校園網(wǎng)信息管理的重要手段。業(yè)務(wù)復(fù)雜性、開(kāi)發(fā)難度、管理模式等多種因素導(dǎo)致大多數(shù)系統(tǒng)相對(duì)獨(dú)立管理和運(yùn)行，信息孤島、信息安全等問(wèn)題日益突現(xiàn)。多個(gè)系統(tǒng)并存使得校園網(wǎng)用戶被迫擁有多個(gè)不同用戶賬號(hào)和用戶密碼，在用戶體驗(yàn)度、安全隱患、管理員管理和維護(hù)難度等方面都帶來(lái)諸多負(fù)面影響。在校園網(wǎng)中多個(gè)信息系統(tǒng)的基礎(chǔ)上實(shí)現(xiàn)單點(diǎn)登錄具有重要的現(xiàn)實(shí)意義。

單點(diǎn)登錄（Single Sign-On）簡(jiǎn)單地說(shuō),就是用戶在一個(gè)登陸點(diǎn)進(jìn)行身份驗(yàn)證后,便可以根據(jù)該身份對(duì)一組與該登陸點(diǎn)相關(guān)的應(yīng)用進(jìn)行訪問(wèn)。也就是一次驗(yàn)證,多次登陸[1]。通過(guò)單點(diǎn)登錄系統(tǒng)，實(shí)現(xiàn)用戶一次登錄，即可自由訪問(wèn)已經(jīng)建立了信任關(guān)系的多個(gè)業(yè)務(wù)系統(tǒng)，從而實(shí)現(xiàn)用戶只需登錄一次即可在多個(gè)系統(tǒng)之間自由切換。

二、單點(diǎn)登錄技術(shù)研究

目前較為流行的單點(diǎn)登錄實(shí)現(xiàn)方式有：基于Passport協(xié)議實(shí)現(xiàn)，基于Liberty協(xié)議實(shí)現(xiàn),基于CAS協(xié)議實(shí)現(xiàn),基于UCenter實(shí)現(xiàn)等。

基于Passport的單點(diǎn)登錄是Microsoft公司所提出的基于Kerberos認(rèn)證機(jī)制的單點(diǎn)登錄平臺(tái)，其認(rèn)證過(guò)程通過(guò)Passport服務(wù)器驗(yàn)證用戶信息后返回認(rèn)證票據(jù)?；赑assport協(xié)議的單點(diǎn)登錄有單點(diǎn)失效的風(fēng)險(xiǎn)，也容易成為黑客攻擊的目標(biāo)。另外Passport協(xié)議是基于微軟系統(tǒng)開(kāi)發(fā)，協(xié)議代碼并未公開(kāi)，應(yīng)用范圍較為有限。

基于Liberty Alliance協(xié)議是一個(gè)與Internet任何器件相連都能實(shí)現(xiàn)的具有開(kāi)放性的、聯(lián)合性的、統(tǒng)一身份識(shí)別的解決方案，該協(xié)議是基于SAML的認(rèn)證機(jī)制實(shí)現(xiàn)的，所以其應(yīng)用性及其廣泛，可以支持多種技術(shù)去做單點(diǎn)登錄服務(wù)[2]。相對(duì)于Passport協(xié)議Liberty Alliance摒棄了中央集中式的服務(wù)方式，轉(zhuǎn)而由每個(gè)Web應(yīng)用維護(hù)身份提供者和服務(wù)提供者列表。但是這些列表的維護(hù)需要手動(dòng)維護(hù)，使得Liberty的實(shí)現(xiàn)缺乏靈活性。另外Liberty協(xié)議并未開(kāi)源，在實(shí)際實(shí)現(xiàn)過(guò)程中難度較大。

CAS是耶魯大學(xué)的一個(gè)基于JAVA開(kāi)發(fā)的開(kāi)源項(xiàng)目，CAS單點(diǎn)登錄是一個(gè)基于經(jīng)紀(jì)人實(shí)現(xiàn)單點(diǎn)登錄模型。CAS分為兩個(gè)部分：CAS Server和CAS Client,它將認(rèn)證和授權(quán)統(tǒng)一放在了CAS Server去處理，然后在CAS Client統(tǒng)一對(duì)資源進(jìn)行保護(hù)和對(duì)Ticket進(jìn)行驗(yàn)證，兩個(gè)部分在CAS協(xié)議中擔(dān)任的角色互不相同但是又無(wú)法分開(kāi)[3]。

UCenter是北京康盛新創(chuàng)科技有限責(zé)任公司（Comsenz）的一款開(kāi)源一站式登錄解決方案[4]。UCenter提供了用戶同步登錄、退出、注冊(cè)等相關(guān)接口，可以實(shí)現(xiàn)用戶一個(gè)賬號(hào)，一次登錄，全站通行。UCenter可以將 Comsenz旗下的 Discuz、uchome等應(yīng)用無(wú)縫連接起來(lái)，實(shí)現(xiàn)一站式登錄。本文在UCenter基礎(chǔ)上，對(duì)UCenter進(jìn)行擴(kuò)展以滿足校園網(wǎng)單點(diǎn)登錄的需求，連接除了Comsenz旗下系統(tǒng)之外多個(gè)學(xué)校自主開(kāi)發(fā)系統(tǒng)。

三、UCenter通信原理

UCenter由 UCenter server和 UCenter client兩個(gè)部分組成，UCenter server與UCenter client通信主要通過(guò)API接口實(shí)現(xiàn)，UCenter server記錄了所有要實(shí)現(xiàn)單點(diǎn)登錄的UCenter client的接口地址、通信密鑰、應(yīng)用類型等信息，UCenter server通過(guò)MySQL數(shù)據(jù)庫(kù)記錄用戶的用戶名、密碼等信息。UCenter的通信過(guò)程如圖1所示。

圖1 UCenter通信過(guò)程

同步登錄通信步驟為：

(1)用戶應(yīng)用通過(guò)uc_user_login接口向UCenter server發(fā)送用戶名和密碼等信息；

(2)UCenter server接收到用戶名和密碼，通過(guò)向數(shù)據(jù)庫(kù)查詢后向用戶應(yīng)用返回驗(yàn)證是否成功的信息；

(3)用戶應(yīng)用接收到返回信息后，如果驗(yàn)證成功則通過(guò)uc_user_synlogin向UCenter server發(fā)送同步登錄請(qǐng)求；

(4)UCenter server根據(jù)同步登錄請(qǐng)求中的用戶名、密碼信息，以及其所記錄的其他應(yīng)用服務(wù)器信息，例如UCenter clientA、UCenter clientB等應(yīng)用，生成相應(yīng)的同步代碼，并返回給用戶應(yīng)用；

(5)用戶應(yīng)用收到同步代碼后，將同步代碼通過(guò)js的方式通知UCenter clientA和UCenter clientB等應(yīng)用的API接口，其中的js代碼格式為

(6)UCenter client通過(guò)API中在UCenter server端注冊(cè)的接口收到用戶請(qǐng)求后，根據(jù)用戶uid查詢到相應(yīng)的用戶密碼后，為用戶設(shè)置session登錄操作，進(jìn)而完成用戶UCenter clientA,UCenter clientB等登錄的操作，從而實(shí)現(xiàn)多站點(diǎn)同時(shí)登錄。

UCenter同步登出的操作與同步登錄操作類似。

四、校園網(wǎng)單點(diǎn)登錄系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

（一）單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)

本文中校園網(wǎng)涉及的平臺(tái)主要包括在線學(xué)習(xí)平臺(tái)、在線考試平臺(tái)、學(xué)生空間、教師空間、在線論壇等多個(gè)平臺(tái)，單點(diǎn)登錄系統(tǒng)實(shí)現(xiàn)的目標(biāo)是用戶能夠通過(guò)統(tǒng)一的登錄頁(yè)面進(jìn)入系統(tǒng)，無(wú)須多次登錄即可在多套系統(tǒng)之間正常運(yùn)行使用。由于各系統(tǒng)并未統(tǒng)一部署和建設(shè)，統(tǒng)一管理角色權(quán)限難度較大，因此用戶的角色權(quán)限仍然由各個(gè)系統(tǒng)獨(dú)立控制，但是用戶名和密碼則統(tǒng)一由單點(diǎn)登錄系統(tǒng)統(tǒng)一管理，由單點(diǎn)登錄系統(tǒng)對(duì)用戶、密碼等信息做統(tǒng)一的加密等安全保護(hù)措施，保證用戶的基礎(chǔ)信息統(tǒng)一管理，安全性也得到保障，同時(shí)提高了管理效率。具體的設(shè)計(jì)模型如圖2所示。

單點(diǎn)登錄系統(tǒng)包括單點(diǎn)登錄平臺(tái)、UCenter server、各系統(tǒng)平臺(tái)中的UCenter client接口、UCenter數(shù)據(jù)庫(kù)四個(gè)部分，用戶通過(guò)單點(diǎn)登錄平臺(tái)實(shí)現(xiàn)多個(gè)系統(tǒng)平臺(tái)的登錄，UCenter數(shù)據(jù)庫(kù)統(tǒng)一管理所有平臺(tái)的用戶名和密碼信息。

（二）單點(diǎn)登錄系統(tǒng)實(shí)現(xiàn)

（1）建立UCenter服務(wù)器

首先搭建好UCenter運(yùn)行環(huán)境，具體環(huán)境方案Linux/MySQL5.0/Apache/php5.0.0，下載UCenter1.5.0,通過(guò)FTP上傳到UCenter服務(wù)器，進(jìn)行安裝。

（2）配置UCenter服務(wù)器

UCenter服務(wù)器的配置UCenter Server與UCenter client之間的配置，便于建立UCenter server與UCenter client之間同步通訊，主要參數(shù)配置如表1所示。

表1 主要參數(shù)配置

UCenter服務(wù)器配置包括與數(shù)據(jù)庫(kù)之間連接配置信息，按照工程中實(shí)際設(shè)置配置即可。

（3）UCenter Client接口的實(shí)現(xiàn)

UCenter Client接口主要實(shí)現(xiàn)了在用戶發(fā)起同步登錄請(qǐng)求是，根據(jù)用戶返回的代碼調(diào)用UCenter Client接口，從而實(shí)現(xiàn)UCenter Client的同步登錄和退出。

（4）建立單點(diǎn)登錄平臺(tái)，主要實(shí)現(xiàn)用戶

的單點(diǎn)登錄頁(yè)面，作為用戶應(yīng)用向UCenter server發(fā)送登錄請(qǐng)求，接收UCenter server的驗(yàn)證返回信息后，向UCenter server發(fā)送同步登錄請(qǐng)求，接收UCenter server返回的同步登錄信息后，通過(guò)AJAX異步請(qǐng)求的方式向所有UCenter client發(fā)送js代碼，實(shí)現(xiàn)所有UCenter client的登錄，而用戶感覺(jué)不到后臺(tái)操作。

（三）UCenter與.NET系統(tǒng)整合

UCenter系統(tǒng)的開(kāi)發(fā)環(huán)境為php，在校園網(wǎng)中，學(xué)生空間、教師空間、在線考試平臺(tái)等都是.NET開(kāi)發(fā)環(huán)境，為了能夠?qū)崿F(xiàn)UCenter跨平臺(tái)、跨域?qū)崿F(xiàn)，在單點(diǎn)登錄的實(shí)現(xiàn)過(guò)程中，開(kāi)發(fā)了UCenter通信的類庫(kù)，使得.NET系統(tǒng)通過(guò)UCenter實(shí)現(xiàn)了用戶的同步登錄和登出功能。具體實(shí)現(xiàn)為：

(1)開(kāi)發(fā).NET與UCenter通信的類庫(kù)，并將此類庫(kù)引入到UCenter Client項(xiàng)目中[5]，其通信類庫(kù)的實(shí)現(xiàn)主要代碼為：

在.NET中實(shí)現(xiàn)的類庫(kù)主要包括單點(diǎn)登錄用戶應(yīng)用向 UCenterserver發(fā)送登錄請(qǐng)求的uc_user_login，單點(diǎn)登錄用戶應(yīng)用向UCenter server發(fā)送同步登錄請(qǐng)求的uc_user_synlogin，響應(yīng)單點(diǎn)登錄用戶js代碼響應(yīng)請(qǐng)求的接口SynLogin。

(2)將上述通信類庫(kù)引入單點(diǎn)登錄平臺(tái)項(xiàng)目和UCenter client中，并利用上述類庫(kù)建立登錄頁(yè)面。

(3)在需要實(shí)現(xiàn)同步登錄的UCenter Client項(xiàng)目中，建立ucnet.ashx，作為接收單點(diǎn)登錄用戶應(yīng)用發(fā)送js代碼的響應(yīng)接口,從而實(shí)現(xiàn)UCenter Client本地的登錄事件，主要實(shí)現(xiàn)代碼為：

通過(guò)上述UCenter與.NET的整合，使得UCenter不僅能與PHP系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄，同時(shí)還能實(shí)現(xiàn)與.NET系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄，使得UCenter單點(diǎn)登錄的功能得到了進(jìn)一步的拓展。隨著校園網(wǎng)絡(luò)的不斷發(fā)展，可以將更多的信息系統(tǒng)整合到UCenter中，為校園網(wǎng)給類用戶帶來(lái)系統(tǒng)訪問(wèn)的良好體驗(yàn)，同時(shí)也簡(jiǎn)化了用戶的管理流程。

五、結(jié)束語(yǔ)

隨著教育信息化進(jìn)程的不斷推進(jìn)，校園網(wǎng)的信息系統(tǒng)建設(shè)不斷增加，本文基于UCenter，進(jìn)一步實(shí)施了.NET系統(tǒng)在UCenter系統(tǒng)的整合，很大程度地拓展了UCenter的應(yīng)用范圍，實(shí)現(xiàn)了跨域連接多個(gè)應(yīng)用系統(tǒng)的單點(diǎn)登錄平臺(tái)。隨著信息系統(tǒng)的不斷建設(shè)，在本文研究的基礎(chǔ)上，可以快速地將更多的系統(tǒng)納入到單點(diǎn)登錄平臺(tái)中。

在未來(lái)的單點(diǎn)登錄系統(tǒng)設(shè)計(jì)中，還有許多需要改進(jìn)之處，例如單點(diǎn)登錄系統(tǒng)的安全性問(wèn)題、信息交互的安全性問(wèn)題以及用戶管理的靈活性等問(wèn)題都需要更進(jìn)一步的研究與改進(jìn)。未來(lái)可以考慮引入LDAP方式來(lái)提高用戶信息的查詢速度和效率，引入kerberos協(xié)議加強(qiáng)用戶認(rèn)證的安全性，還可以考慮將用戶角色權(quán)限控制統(tǒng)一納入管理以減輕各系統(tǒng)用戶角色權(quán)限維護(hù)的復(fù)雜性，避免重復(fù)的開(kāi)發(fā)建設(shè)問(wèn)題，從而提高校園網(wǎng)內(nèi)整體的管理效率和安全性，使得校園網(wǎng)內(nèi)用戶擁有更好的信息化訪問(wèn)的體驗(yàn)，同時(shí)減輕校園網(wǎng)管理員的管理工作量，提高管理效率，使校園網(wǎng)信息化建設(shè)邁向更高的臺(tái)階。

參考文獻(xiàn)：

[1]林滿山,郭荷清.單點(diǎn)登錄技術(shù)的現(xiàn)狀及發(fā)展[J].計(jì)算機(jī)應(yīng)用，2004，24（1）：248-250.

[2]吳賢平.基于指紋識(shí)別和CAS的單點(diǎn)登錄模型技術(shù)研宄[J].計(jì)算機(jī)應(yīng)用研究，2012,29(4)：1381-1383。

[3]李慶林.基于WEB的單點(diǎn)登錄和權(quán)限管理技術(shù)研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2017.

[4]王 蕾.基于UCenter的單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].科技視界，2015，(1)：48-49.

[5]Asp.net與UCenter用戶同步之實(shí)施過(guò)程[EB/OL]http：//www.cnblogs.com/CoreCaiNiao/archive/2011/08/25/2153434.html.