文獻共享平臺中統(tǒng)一認證技術(shù)研究與實現(xiàn)

王強

?

文獻共享平臺中統(tǒng)一認證技術(shù)研究與實現(xiàn)

王強

（天津市科學(xué)技術(shù)信息研究所 科技信息中心，天津 300074）

針對文獻資源共享過程中出現(xiàn)的多點登錄問題，首次提出利用反向代理技術(shù)實現(xiàn)統(tǒng)一認證。通過搭建代理服務(wù)器，對所有文獻資源的URL地址進行代理轉(zhuǎn)換，實現(xiàn)了對文獻資源的代理訪問, 避免了傳統(tǒng)統(tǒng)一認證系統(tǒng)的跨域問題。通過特殊URL參數(shù)完成文獻資源自動登錄，實現(xiàn)單點登錄。對每次訪問進行身份鑒定，禁止非授權(quán)訪問，解決了代理服務(wù)的身份認證問題，最終實現(xiàn)了一種基于反向代理技術(shù)的統(tǒng)一認證系統(tǒng)。系統(tǒng)不需要對文獻資源進行改造即可實現(xiàn)統(tǒng)一認證，解決了多點登錄問題。

統(tǒng)一認證；單點登錄；文獻共享；反向代理

0 引言

文獻資源共享是文獻共享平臺的核心功能，但一直面臨著一個問題，如何安全高效的共享文獻資源。傳統(tǒng)的方法是用戶登錄平臺后再分別登錄各個文獻資源系統(tǒng)。這樣會產(chǎn)生三個問題：（1）平臺管理員需要為用戶在不同資源系統(tǒng)里設(shè)置賬號和密碼，工作量巨大且容易出錯；（2）如果為了減少工作量，設(shè)置了簡單或重復(fù)的賬戶名密碼，用戶信息極易泄露，資源系統(tǒng)存在安全隱患[1]；（3）用戶需要多點登錄，使用不方便。因此，問題的關(guān)鍵是單點登錄。

1 相關(guān)工作

單點登錄，指的是用戶只需要主動進行一次身份認證，就可以訪問權(quán)限范圍內(nèi)的所有應(yīng)用系統(tǒng)，無須重復(fù)認證，即“一處登錄，多處訪問”[1]。目前對單點登錄的研究主要集中在基于票據(jù)的CAS（Central Authentication Service）協(xié)議[2]、基于XML（Extensible Markup Language，可擴展標記語言）的SAML（Security Assertion Markup Language，安全斷言標記語言）標準、基于Cookie的解決方案以及OpenID和OAuth2.0。CAS協(xié)議的基礎(chǔ)思想是通過唯一的身份票據(jù)來獲取對應(yīng)不同服務(wù)使用請求的服務(wù)票據(jù)．通過服務(wù)票據(jù)來訪問服務(wù)[3]。文獻[3-4]研究了CAS單點登錄系統(tǒng)的設(shè)計與實現(xiàn)，并分別針對CAS的權(quán)限控制和單點退出缺陷進行了改進。SAML利用斷言機制實現(xiàn)跨平臺的認證和授權(quán)，身份提供者提供斷言確定用戶身份，服務(wù)提供者利用斷言控制用戶的訪問權(quán)限，文獻[5]提出了一種基于SAML的Web服務(wù)單點登錄模型，并給出了具體實現(xiàn)。文獻[6]則針對SAML的不足，在站群方面對SAML進行了改進?；贑ookie的解決方案主要是利用Cookie和URL重定向機制完成用戶身份信息的共享與傳遞，實現(xiàn)單點登錄。文獻[7-8]研究了基于Cookie的單點登錄實現(xiàn)，文獻[7]針對跨域問題提出了一種基于Cookie冗余技術(shù)的單點登錄方案。文獻[8]在此基礎(chǔ)上利用加密機制提出了一種可變Cookie的單點登錄方案。文獻[9]分析總結(jié)了當前在Web應(yīng)用中熱門的單點登錄系統(tǒng)的各種實現(xiàn)策略，并針對基于Web請求代理的實現(xiàn)策略給出了一個簡單的系統(tǒng)實現(xiàn)。文獻[10]利用OpenID和OAuth2.0技術(shù)實現(xiàn)了用戶身份信息在互聯(lián)網(wǎng)上的安全共享。。在信息資源共享方面；文獻[11]研究了以信息資源整合方式進行資源共享的平臺的設(shè)計與開發(fā)，文獻[12]主要研究以接口方式對不同子系統(tǒng)的科技信息資源進行共享。文獻[13-15]研究了統(tǒng)一認證在圖書館各業(yè)務(wù)系統(tǒng)之間的應(yīng)用，但對文獻共享平臺與外購文獻資源的統(tǒng)一認證研究較少。綜合來說，目前國內(nèi)對Web系統(tǒng)單點登錄問題的研究主要集中在如何設(shè)計和實現(xiàn)單點登錄系統(tǒng)，但對遺留Web系統(tǒng)的單點登錄問題研究較少，對文獻共享平臺與外購文獻資源的單點登錄問題的研究更是少之又少。

2 基于反向代理的統(tǒng)一認證系統(tǒng)

目前主流的單點登錄的核心策略就是統(tǒng)一認證，基本思想是建立統(tǒng)一的認證服務(wù)來代理所有的應(yīng)用系統(tǒng)的Web請求，由認證服務(wù)統(tǒng)一處理用戶的登錄請求，避免多點登錄。當用戶訪問應(yīng)用系統(tǒng)時，Web請求將先傳入認證服務(wù)，用戶完成認證后再將請求以及用戶信息一并轉(zhuǎn)發(fā)給應(yīng)用系統(tǒng)。除了認證服務(wù)外，需要對每個應(yīng)用系統(tǒng)開發(fā)一個Web請求過濾器，攔截所有的請求，確保用戶訪問的所有請求都會先被認證服務(wù)所處理。文獻[9]詳細闡述了這類系統(tǒng)的實現(xiàn)原理與過程。而在文獻資源共享中，除了自建的資源庫，各個應(yīng)用系統(tǒng)都屬于外購資源庫，通常無法進行二次定制開發(fā)，所以無法直接應(yīng)用主流的單點登錄方案。針對這個問題，本文提出一種基于反向代理的統(tǒng)一認證系統(tǒng)，這種認證系統(tǒng)較好的解決文獻共享平臺中的統(tǒng)一認證問題。

2.1 反向代理技術(shù)

2.2 基于反向代理的統(tǒng)一認證系統(tǒng)

反向代理技術(shù)不僅僅可以代理內(nèi)網(wǎng)服務(wù)器，也可以代理外網(wǎng)服務(wù)器，實際上只要可以被訪問的服務(wù)器都可以被反向代理服務(wù)器代理，所有對被代理服務(wù)器的訪問都會自動轉(zhuǎn)換成對反向代理服務(wù)器的訪問，這一特點非常適合進行統(tǒng)一認證。各種文獻資源服務(wù)器就是被代理服務(wù)器，而反向代理服務(wù)器就是這些資源的統(tǒng)一認證服務(wù)器。

統(tǒng)一認證系統(tǒng)不需要對每個文獻資源進行二次開發(fā)，而是通過預(yù)先制定的規(guī)則，把所有資源的真實URL地址自動轉(zhuǎn)換成認證服務(wù)的代理地址，用戶通過轉(zhuǎn)換后的代理地址訪問資源。統(tǒng)一認證系統(tǒng)借鑒了反向代理的思想，也就是說用戶并不會直接訪問資源，而是通過認證服務(wù)器間接使用。統(tǒng)一認證系統(tǒng)原理如圖1。

3 系統(tǒng)的設(shè)計與實現(xiàn)

3.1 系統(tǒng)整體架構(gòu)與功能模塊

認證系統(tǒng)包含兩種服務(wù)、七個模塊。文獻平臺Web服務(wù)提供文獻平臺基本的Web功能，為方便描述本文簡稱為平臺服務(wù)，這里主要介紹與統(tǒng)一認證相關(guān)的兩個模塊，資源入口模塊和權(quán)限控制模塊；統(tǒng)一認證服務(wù)主要提供統(tǒng)一認證功能，包括地址轉(zhuǎn)換模塊、自動登錄模塊、權(quán)限檢查模塊、獲取網(wǎng)頁模塊和靜態(tài)地址替換五個模塊。

圖1 基于反向代理的統(tǒng)一認證系統(tǒng)原理圖

系統(tǒng)整體架構(gòu)如下圖2：

圖2 統(tǒng)一認證系統(tǒng)架構(gòu)圖

資源入口模塊負責(zé)給用戶提供資源的代理地址入口；權(quán)限控制模塊負責(zé)控制用戶的訪問權(quán)限；地址轉(zhuǎn)換模塊負責(zé)用戶和資源之間的地址轉(zhuǎn)換，為用戶提供轉(zhuǎn)換后的代理地址，為各個資源提供轉(zhuǎn)換前的實際地址；自動登錄模塊判斷是否需要二次登錄，如果需要則向平臺服務(wù)獲取資源認證信息并自動登錄，反之則跳過此模塊；權(quán)限檢查模塊負責(zé)檢查用戶的權(quán)限，與權(quán)限控制模塊共同完成權(quán)限控制，避免用戶越權(quán)訪問；獲取網(wǎng)頁模塊負責(zé)向各個資源獲取網(wǎng)頁內(nèi)容；靜態(tài)地址替換負責(zé)腳本和圖像文件的地址替換，主要用來提高性能。

3.2 系統(tǒng)詳細工作流程

傳統(tǒng)的統(tǒng)一認證系統(tǒng)認證前使用資源A與認證后使用資源B的流程不一樣，涉及到跨域之間的身份共享問題。新系統(tǒng)的統(tǒng)一認證服務(wù)本質(zhì)上代理服務(wù)，并不維護用戶的身份狀態(tài)信息，不存在跨域間的身份共享問題，因此認證前后使用資源的流程都相同，用戶只需要得到資源入口地址，即可自動二次登錄完成認證。

系統(tǒng)詳細流程如下圖3。

治療前兩組PCO2、PO2兩項血氣指標和心率相近,P>0.05;治療后觀察組PCO2、PO2兩項血氣指標和心率優(yōu)于對照組,P<0.05。如表2.

（1）用戶向平臺服務(wù)發(fā)出資源A使用請求，平臺檢查用戶未登錄，返回登錄頁面提示用戶進行登錄；

（2）用戶輸入身份信息進行首次登錄，登錄成功后返回資源A的代理地址，因為所有的文獻資源都由統(tǒng)一認證服務(wù)進行代理，所以這個地址指向了統(tǒng)一認證服務(wù)；

（3）用戶通過平臺返回的代理地址向統(tǒng)一認證服務(wù)發(fā)出請求；

（4）統(tǒng)一認證服務(wù)收到請求后，根據(jù)Cookie信息獲取當前登錄用戶，根據(jù)URL地址獲取當前使用的資源A；

圖3 統(tǒng)一認證系統(tǒng)詳細流程圖

（5）統(tǒng)一認證服務(wù)向平臺服務(wù)請求驗證用戶是否擁有資源A的使用權(quán)限；

（6）權(quán)限驗證通過，平臺服務(wù)返回資源A的認證信息；

（7）統(tǒng)一認證服務(wù)判斷是否需要二次登錄；

（8）統(tǒng)一認證服務(wù)利用第6步返回的認證信息進行二次登錄；

（9）二次登錄成功，返回請求的資源；

3.3 統(tǒng)一認證服務(wù)的具體實現(xiàn)

在文獻平臺的統(tǒng)一認證系統(tǒng)中，統(tǒng)一認證服務(wù)是核心，負責(zé)所有文獻資源的二次登錄和Web請求代理工作。具體的工作流程如下圖4。

（1）地址轉(zhuǎn)換，用戶訪問的地址都是代理地址，并不是真正的文獻資源地址，因此統(tǒng)一認證服務(wù)首先需要把代理地址轉(zhuǎn)換成實際地址，主要利用正則表達式完成；

（2）權(quán)限檢查，統(tǒng)一認證服務(wù)向平臺服務(wù)驗證用戶是否擁有資源的使用權(quán)限，實現(xiàn)對資源的訪問控制。除了校驗權(quán)限外，權(quán)限檢查還可以獲取到資源的用戶名、密碼、以及登錄地址等跟認證信息，以供自動登錄使用。

（3）自動登錄，權(quán)限校驗完成后，統(tǒng)一認證服務(wù)需要判斷是否第一次訪問應(yīng)用，如果是，則自動進行二次登錄，反之則跳過自動登錄。自動登錄主要是利用上一步獲取的認證信息模擬瀏覽器進行表單提交；

圖4 統(tǒng)一認證服務(wù)流程圖

（4）獲取網(wǎng)頁，自動登錄后就會獲取資源的網(wǎng)頁信息。此過程需要確保統(tǒng)一認證服務(wù)能夠返回與原始響應(yīng)一致的HTTP狀態(tài)碼；否則可能出錯；

（5）地址逆向轉(zhuǎn)換，這一步主要是對網(wǎng)頁中的URL地址進行轉(zhuǎn)換，生成包含代理地址的網(wǎng)頁，方便用戶后續(xù)繼續(xù)進行代理請求；

（6）靜態(tài)地址替換，為了降低統(tǒng)一認證服務(wù)的負載，部分圖片和腳本文件就跳過統(tǒng)一認證服務(wù)，直接從遠程服務(wù)器下載；

4 系統(tǒng)設(shè)計過程中的難點以及解決方案

本文所研究的統(tǒng)一認證服務(wù)不存在跨域信息共享問題，重點在于統(tǒng)一認證服務(wù)器可以正確處理HTTP請求的方法，文獻[17]詳細列出了HTTP協(xié)議目前支持的所有方法。但也需要解決下面兩個問題：

（1）如何實現(xiàn)對用戶的訪問控制

統(tǒng)一認證服務(wù)是無狀態(tài)的，如何確保用戶在權(quán)限范圍內(nèi)使用資源，需要對所有Web請求進行鑒權(quán)，即向平臺服務(wù)確認當前用戶是否有權(quán)限使用某個資源。統(tǒng)一認證服務(wù)提交當前用戶和需要使用的資源，Web服務(wù)通過查詢用戶-資源權(quán)限控制表來決定鑒權(quán)是否通過。

（2）如何在平臺服務(wù)與統(tǒng)一認證服務(wù)之間共享用戶信息

平臺服務(wù)和統(tǒng)一認證服務(wù)都采用HTTP協(xié)議，它們之間通過Cookie共享當前的用戶狀態(tài)信息。雖然不同域名只能訪問各自的Cookie，但是下級域名卻可以訪問上一級域名的Cookie。因此只要確保兩個服務(wù)擁有相同的一級域名即可，平臺服務(wù)把當前登錄用戶信息寫入一級域名的Cookie，統(tǒng)一認證服務(wù)通過一級域名的Cookie來獲取當前用戶，并且在每次鑒權(quán)時都通知平臺服務(wù)刷新當前用戶的Session超時時間，避免用戶超時。

5 結(jié)論

目前對文獻資源的共享大多采用IP網(wǎng)段內(nèi)自動認證方式，對于非IP網(wǎng)段的用戶，主要是利用VPN進入內(nèi)網(wǎng)完成認證，多見于高校圖書館。但這種方式需要安裝VPN客戶端或者瀏覽器插件，比較繁瑣，而且需要考慮內(nèi)網(wǎng)的安全性。另外，對于不支持IP網(wǎng)段自動認證的資源，這種方式就無法進行共享。本文研究的統(tǒng)一認證系統(tǒng)通過代理服務(wù)完成自動認證，用戶不會進入內(nèi)網(wǎng)，沒有安全性問題。使用時也不區(qū)分用戶IP，只要可以訪問因特網(wǎng)即可共享文獻資源，方便簡單，已經(jīng)在天津文獻平臺的中實際應(yīng)用。

[1] 郭豪, 王國才, 羅聘. 一種基于Cookie的跨域單點登錄方案設(shè)計[J]. 計算機工程與科學(xué), 2017, 39(7): 1295-1299.

[2] JASIG. CAS協(xié)議[OL]. (2016-9-29)[2018-9-27]. https: // apereo.github.io/cas/4.2.x/protocol/CAS-Protocol.html.

[3] 趙晉, 楊旭東. 基于 CAS 的單點登錄系統(tǒng)的研究與實現(xiàn)[J]. 軟件, 2016, 37(11): 119-124.

[4] 劉峰, 王崢, 曹華平等. 基于CAS的門戶單點登錄方案[J]. 計算機系統(tǒng)應(yīng)用, 2011, 20(6): 77-80.

[5] 張慧, 李建華, 馬華. 一種基于SAML的Web服務(wù)單點登錄模型研究與實現(xiàn)[J]. 計算機系統(tǒng)應(yīng)用, 2008, 17(7): 49-52.

[6] 高昊江, 肖田元. 基于SAML改進的單點登錄模型研究[J]. 計算機工程與設(shè)計, 2011, 32(3): 827-829.

[7] FENG Weihua, LIU Yali. Design and implementation of unified authentication system on cookie[J]. Computer Engineering and Design, 2010, 31(23): 4971-4975.

[8] WANG Guowei, XUE Manjun. Variable cookies based cross domain single sign on[J]. Computer Engineering and Design, 2012, 33(8): 2931-2935.

[9] XU Yan, Ji Yongzhi. Research and Implementation of Single Sign-On Mechanisms for Web Applications[J]. Computer Engineering, 2006, 32(10): 271-273.

[10] 劉艷民, 鄂海紅. 基于OpenID2. 0 的認證授權(quán)系統(tǒng)的分析與設(shè)計[J]. 軟件, 2015, 36(10): 01-04.

[11] 施叢叢, 陳名生, 楊建業(yè)等. 水利信息資源整合共享系統(tǒng)設(shè)計[J]. 軟件, 2015, 36(9): 55-59.

[12] 黃沛. 基于RESTful架構(gòu)的科技信息共享接口系統(tǒng)的設(shè)計[J]. 軟件, 201, 39(7): 170-172.

[13] 林偉明. 基于JasigCAS實現(xiàn)圖書館統(tǒng)一身份認證——以深圳大學(xué)圖書館為例[J]. 現(xiàn)代情報, 2012, 毛海波, 劉柏嵩. 基于Shibboleth的館際跨域認證系統(tǒng)設(shè)計[J]. 現(xiàn)代情報, 2012, 32(5): 30-33.

[14] 王政軍, 俞小怡, 金玉玲. 利用開源軟件FreeRADIUS構(gòu)建圖書館統(tǒng)一認證平臺的研究與實現(xiàn)[J]. 現(xiàn)代情報, 2016, 36(5): 104-109.

[15] 宗娜, 魏更宇. HTTP與CoAP的協(xié)議轉(zhuǎn)換代理的研究[J]. 軟件, 2015, 36(10): 77-82.

[16] 阮曉龍. HTTP協(xié)議狀態(tài)檢測與性能分析軟件的設(shè)計與實現(xiàn)[J]. 軟件, 2015, 36(7): 136-141.

Research and Implementation of Uniform Authentication Mechanisms for Literature Sharing Platform

WANG Qiang

(Center of Science and technology information, Tianjin Institute of science and technology information, Tianjin 300074, China)

To address the problem of multi-sign on in the process of literature sharing，this paper uses the reverse proxy technology to achieve uniform authentication firstly. By setting up a proxy server, address conversion is performed on the URL of all literature systems, and proxy access to literature systems is realized, which avoids the cross-domain problem of traditional uniform authentication system. To achieve single sign-on, the proxy server performs a automatic login by the special URL parameters. It authenticates all access, prohibits unauthorized access, solves the identity authentication problem, and finally realizes a unified authentication system based on reverse proxy technology. The system can realize uniform authentication without reconstructing literature systems and solves the problem of multi-sign on.

Uniform authentication; Single sign-on; Literature sharing; Reverse proxy

TP311.52

A

10.3969/j.issn.1003-6970.2018.11.042

王強(1985-)，男，碩士研究生，工程師，主要研究方向：信息資源管理、統(tǒng)一認證。

王強. 文獻共享平臺中統(tǒng)一認證技術(shù)研究與實現(xiàn)[J]. 軟件，2018，39（11）：202-206