門戶系統(tǒng)單點(diǎn)登錄技術(shù)探究

（中車青島四方機(jī)車車輛股份有限公司，山東 青島 266111）

0 引言

門戶系統(tǒng)需要利用統(tǒng)一的入口實(shí)現(xiàn)資源和應(yīng)用集成，以便為用戶提供多層次的服務(wù)。登錄門戶系統(tǒng)時(shí)，用戶只需要登錄一次就可訪問(wèn)多個(gè)應(yīng)用系統(tǒng)，避免系統(tǒng)多次對(duì)用戶身份進(jìn)行認(rèn)證，從而為用戶獲取資源提供便利。因此，加強(qiáng)門戶系統(tǒng)單點(diǎn)登錄技術(shù)的研究，是系統(tǒng)提供一站式服務(wù)的重要基礎(chǔ)保障。

1 門戶系統(tǒng)的登錄問(wèn)題

在大數(shù)據(jù)、云計(jì)算等信息技術(shù)取得快速發(fā)展的背景下，門戶系統(tǒng)可以完成統(tǒng)一協(xié)作平臺(tái)的建立，提供統(tǒng)一時(shí)搜索引擎，實(shí)現(xiàn)各種系統(tǒng)的連接以及數(shù)據(jù)的整合，為信息資源的整合利用提供了技術(shù)支撐。通過(guò)門戶系統(tǒng)，用戶可以對(duì)與之相關(guān)的業(yè)務(wù)系統(tǒng)進(jìn)行訪問(wèn)。按照傳統(tǒng)登錄方案，無(wú)論登錄哪個(gè)系統(tǒng)都要完成身份認(rèn)證；在每個(gè)系統(tǒng)擁有單獨(dú)登錄信息的情況下，實(shí)現(xiàn)系統(tǒng)切換需要重新輸入登錄信息。在各種信息管理系統(tǒng)不斷增多的情況下，用戶需要記憶的信息也會(huì)增多，這就會(huì)導(dǎo)致用戶在登錄門戶系統(tǒng)時(shí)有較大的負(fù)擔(dān)，無(wú)法充分發(fā)揮系統(tǒng)集成資源的作用[1]。此外，用戶如果要完成多個(gè)系統(tǒng)的同時(shí)登錄，就需要完成復(fù)雜的操作。因此就給系統(tǒng)應(yīng)用集成帶來(lái)困難，在影響用戶工作效率的同時(shí)，增加了系統(tǒng)出錯(cuò)的概率。

2 門戶系統(tǒng)的單點(diǎn)登錄技術(shù)分析

2.1 單點(diǎn)登錄方案

結(jié)合門戶系統(tǒng)登錄存在的問(wèn)題，研究人員加強(qiáng)了單點(diǎn)登錄技術(shù)的應(yīng)用，將各系統(tǒng)身份認(rèn)證步驟整合在一起，提供專門的身份認(rèn)證服務(wù)，確保用戶通過(guò)1次登錄就可以在互信應(yīng)用中隨意切換。單點(diǎn)登錄作為用戶管理機(jī)制的1種，能夠提供統(tǒng)一認(rèn)證和授權(quán)行為的管理服務(wù)，用戶身份一經(jīng)認(rèn)證就可以授權(quán)給各種應(yīng)用系統(tǒng)。從技術(shù)應(yīng)用原理上來(lái)看，在用戶通過(guò)客戶端打開(kāi)門戶系統(tǒng)的登錄窗口后，輸入的用戶名、密碼等將被系統(tǒng)服務(wù)器接收，經(jīng)過(guò)驗(yàn)證后順利進(jìn)行系統(tǒng)登錄。在對(duì)門戶系統(tǒng)中的應(yīng)用服務(wù)進(jìn)行訪問(wèn)時(shí)，系統(tǒng)可以完成賬號(hào)、密碼的自動(dòng)匹配和校驗(yàn)，實(shí)現(xiàn)系統(tǒng)之間用戶身份的快速認(rèn)證，因此用戶無(wú)需重復(fù)輸入賬號(hào)密碼。

采用單點(diǎn)登錄方案，需要實(shí)現(xiàn)信息數(shù)據(jù)和界面的集成。針對(duì)門戶系統(tǒng)提供的基礎(chǔ)服務(wù)，采用抽取、重組和鏈接等技術(shù)實(shí)現(xiàn)系統(tǒng)之間信息流程的整合，對(duì)系統(tǒng)應(yīng)用和數(shù)據(jù)進(jìn)行集成。結(jié)合用戶需要，在門戶系統(tǒng)中展現(xiàn)的各類系統(tǒng)數(shù)據(jù)需要得到集成，確保應(yīng)用界面、圖表等可以集中展示。根據(jù)用戶實(shí)際關(guān)注的內(nèi)容，在門戶系統(tǒng)界面上進(jìn)行各種應(yīng)用的集中展示，能夠方便用戶實(shí)現(xiàn)各種系統(tǒng)的快速登錄，確保各種數(shù)據(jù)信息得到快速處理，進(jìn)而為用戶獲取資源提供便利。

2.2 總體技術(shù)架構(gòu)

結(jié)合門戶系統(tǒng)的單點(diǎn)登錄技術(shù)方案，對(duì)各個(gè)應(yīng)用系統(tǒng)擁有的認(rèn)證模塊和權(quán)限控制模塊進(jìn)行整合，完成門戶系統(tǒng)設(shè)計(jì)，實(shí)現(xiàn)對(duì)各種應(yīng)用系統(tǒng)的統(tǒng)一訪問(wèn)控制。從總體技術(shù)架構(gòu)上來(lái)看，單點(diǎn)登錄技術(shù)架構(gòu)由目錄接口層、目錄服務(wù)層和訪問(wèn)接口層構(gòu)成。在目錄接口層，可以實(shí)現(xiàn)各種系統(tǒng)用戶身份認(rèn)證目錄服務(wù)器的連接。采用輕量級(jí)的目錄訪問(wèn)協(xié)議，為各種系統(tǒng)提供數(shù)據(jù)信息交換接口，保證各系統(tǒng)的相互訪問(wèn)需求能夠得到滿足。按照標(biāo)準(zhǔn)的LDAP協(xié)議標(biāo)準(zhǔn)，實(shí)現(xiàn)單點(diǎn)登錄的門戶系統(tǒng)可以與各種系統(tǒng)交互用戶的身份驗(yàn)證信息，為系統(tǒng)之間用戶身份相互驗(yàn)證功能的實(shí)現(xiàn)提供技術(shù)支持。在目錄服務(wù)層，需要采用微軟活動(dòng)目錄服務(wù)技術(shù)提供統(tǒng)一驗(yàn)證基準(zhǔn)記錄；需要擁有完善配置的服務(wù)器來(lái)存儲(chǔ)用戶和系統(tǒng)的各種資源信息，同時(shí)也包括訪問(wèn)權(quán)限信息可以在系統(tǒng)驗(yàn)證用戶身份時(shí)提供參考標(biāo)準(zhǔn)[2]。在該層支撐下，門戶系統(tǒng)將擁有對(duì)各種連接系統(tǒng)的管理權(quán)限，因此可以為單點(diǎn)登錄技術(shù)的實(shí)現(xiàn)提供保障。在訪問(wèn)接口層，需要集中提供認(rèn)證服務(wù)的驗(yàn)證接口模塊，對(duì)不同應(yīng)用系統(tǒng)需要提供不同的模塊，以便利用應(yīng)用程序?qū)崿F(xiàn)接口服務(wù)的集中認(rèn)證。

2.3 登錄表單生成

在門戶系統(tǒng)與各應(yīng)用系統(tǒng)之間，采取了服務(wù)器-客戶端的通信模式，需要由服務(wù)器負(fù)責(zé)進(jìn)行用戶信息數(shù)據(jù)的接收，然后為各應(yīng)用系統(tǒng)提供成功登錄的證明。在整個(gè)過(guò)程中，系統(tǒng)需要完成加密數(shù)據(jù)庫(kù)的建立，從而實(shí)現(xiàn)用戶認(rèn)證信息的存儲(chǔ)。在成功完成登錄半靜態(tài)調(diào)度（SPS）S驗(yàn)證后，可以從加密數(shù)據(jù)庫(kù)中獲得用戶信息，用于訪問(wèn)其他系統(tǒng)服務(wù)器。而在門戶系統(tǒng)數(shù)據(jù)庫(kù)中，需要存放登錄表單。在用戶第一次訪問(wèn)階段，需要利用系統(tǒng)的應(yīng)用程序?qū)τ脩舻卿浉鞣N系統(tǒng)的信息進(jìn)行集成，形成登錄表單（見(jiàn)表1），作為用戶通過(guò)門戶系統(tǒng)訪問(wèn)各種應(yīng)用系統(tǒng)的憑證。在應(yīng)用程序中，需要對(duì)表單中的字段編號(hào)、順序等進(jìn)行設(shè)置，確保用戶的登錄表單能夠自動(dòng)生成，實(shí)現(xiàn)用戶不同賬戶信息的映射，必要時(shí)重新建立表單定向。在對(duì)數(shù)據(jù)庫(kù)中的憑證進(jìn)行檢查時(shí)，采取適合的方式，從憑證存儲(chǔ)區(qū)獲取憑證，完成相應(yīng)系統(tǒng)的登錄。

2.4 用戶身份認(rèn)證

采用通用接口對(duì)應(yīng)用程序進(jìn)行調(diào)用，在用戶身份認(rèn)證的基礎(chǔ)上保證數(shù)據(jù)傳輸?shù)陌踩?。?shí)際應(yīng)用中，在對(duì)用戶身份進(jìn)行認(rèn)證時(shí)，需要采用證書(shū)機(jī)制和安全套接層（SSL）代理機(jī)制，在完成信息認(rèn)證后向應(yīng)用系統(tǒng)傳輸信息。在SSL客戶端和服務(wù)器之間，需要監(jiān)理加密通道，保證數(shù)據(jù)安全傳輸。客戶端的界面操作，包括登錄代理、CA認(rèn)證服務(wù)器、憑證數(shù)據(jù)庫(kù)、SSL通信、LDAP目錄服務(wù)器等。它可以用于用戶數(shù)字證書(shū)進(jìn)行申請(qǐng)、保存和注銷的管理，以加強(qiáng)對(duì)用戶信息安全的保護(hù)。在各系統(tǒng)之間，擁有共享密鑰，數(shù)據(jù)庫(kù)與相應(yīng)的認(rèn)證服務(wù)被稱為密鑰分發(fā)中心。在登錄門戶系統(tǒng)后，經(jīng)過(guò)密鑰分發(fā)中心成功認(rèn)證的用戶可以獲得安全認(rèn)證憑證，在訪問(wèn)其他應(yīng)用系統(tǒng)時(shí)出示這一憑證就可以獲得應(yīng)用服務(wù)[3]。在第三方認(rèn)證上，通過(guò)代理可以提供統(tǒng)一的認(rèn)證機(jī)制，同時(shí)完成對(duì)已經(jīng)應(yīng)用的認(rèn)證模塊的修改。

2.5 用戶憑證管理

在用戶憑證的管理上，采用 LADP服務(wù)器進(jìn)行憑證保存，其核心為目錄信息樹(shù)，他可以對(duì)用戶基本信息、權(quán)限角色信息等進(jìn)行存儲(chǔ)。在用戶完成1次登錄后，可以獲得用戶登錄和授權(quán)信息，并在數(shù)據(jù)庫(kù)（DB）中保存。在通過(guò)標(biāo)準(zhǔn)目錄訪問(wèn)協(xié)議接口進(jìn)行系統(tǒng)登錄時(shí)，可以完成對(duì)目錄信息的訪問(wèn)，實(shí)現(xiàn)用戶信息驗(yàn)證，然后通過(guò)單點(diǎn)登錄完成各應(yīng)用系統(tǒng)的統(tǒng)一登錄。對(duì)應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)時(shí)，認(rèn)證服務(wù)器可以從LDAP服務(wù)器中獲取信息，并根據(jù)信息從數(shù)據(jù)庫(kù)中調(diào)取憑證，完成從用戶身份到憑證的映射。在信息映射方面，用戶注冊(cè)時(shí)可以生成全局唯一的ID，按照認(rèn)證應(yīng)用類型、訪問(wèn)方式等在對(duì)應(yīng)注冊(cè)文件中進(jìn)行保存。采用標(biāo)準(zhǔn)接口，可以使后續(xù)應(yīng)用系統(tǒng)的接入符合接口驗(yàn)證標(biāo)準(zhǔn)，保證系統(tǒng)之間能夠順利實(shí)現(xiàn)信息交換。用戶登錄門戶系統(tǒng)后，可以利用憑證管理器實(shí)現(xiàn)對(duì)憑證對(duì)象的緩存。如果用戶需要對(duì)應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)，可以先通過(guò)管理器完成對(duì)憑證對(duì)象的查找，避免因反復(fù)創(chuàng)建憑證而導(dǎo)致系統(tǒng)運(yùn)行效率過(guò)低。

3 門戶系統(tǒng)的單點(diǎn)登錄技術(shù)實(shí)現(xiàn)

3.1 應(yīng)用系統(tǒng)門戶改造

在實(shí)現(xiàn)企業(yè)門戶系統(tǒng)開(kāi)發(fā)方案的過(guò)程中，需要先對(duì)企業(yè)現(xiàn)有的各種應(yīng)用系統(tǒng)的登錄功能進(jìn)行改造，確保系統(tǒng)單點(diǎn)登錄技術(shù)能夠順利實(shí)現(xiàn)。具體來(lái)講，就是按照之前的技術(shù)路線對(duì)各業(yè)務(wù)系統(tǒng)進(jìn)行集中改造，利用門戶系統(tǒng)使各種應(yīng)用系統(tǒng)的多賬號(hào)問(wèn)題得到解決。門戶系統(tǒng)部署在IBM L924服務(wù)器上，共包括2臺(tái)、而安全認(rèn)證網(wǎng)關(guān)在獨(dú)立的IBM L922服務(wù)器上部署，各服務(wù)器統(tǒng)一配置Windows Server 2016系統(tǒng)，各系統(tǒng)連接用戶數(shù)最大能夠達(dá)到1 300。通過(guò)采用B/S架構(gòu)，在門戶系統(tǒng)中對(duì)各系統(tǒng)的用戶管理和登錄管理等模塊進(jìn)行集成；首先，對(duì)登錄網(wǎng)頁(yè)進(jìn)行修改，將登錄界面及相關(guān)ID、密碼等代碼刪除；其次增設(shè)安全認(rèn)證網(wǎng)關(guān)接口函數(shù)，可以通過(guò)調(diào)用函數(shù)對(duì)原本ID等代碼進(jìn)行獲??；最后，采用URL地址將門戶系統(tǒng)網(wǎng)頁(yè)打開(kāi)后，就可以完成絕對(duì)URL地址的設(shè)定，確保獲取的代碼可以順利傳遞至系統(tǒng)的主網(wǎng)頁(yè)。各應(yīng)用系統(tǒng)的入口網(wǎng)頁(yè)和主網(wǎng)頁(yè)在相同的服務(wù)器上運(yùn)行，并設(shè)置了相同的目錄，在客戶端登錄時(shí)將被安全認(rèn)證網(wǎng)關(guān)隔離，難以利用內(nèi)存實(shí)現(xiàn)ID等代碼的傳遞。因此，還要利用URL參數(shù)傳遞方式，并通過(guò)增設(shè)IP和加密，在服務(wù)器上建立相應(yīng)的文該文件，利用字符序列進(jìn)行加密和解密，使系統(tǒng)各層的安全漏洞得到有效解決。在從安全認(rèn)證網(wǎng)關(guān)對(duì)證書(shū)管理系統(tǒng)的ID進(jìn)行獲取時(shí)，需要保證其與用戶管理模板擁有相同的ID。直接利用接口函數(shù)獲取用戶ID，在關(guān)鍵信息輸入框里對(duì)ID等信息進(jìn)行編輯，然后調(diào)用接口函數(shù)，并從目錄數(shù)據(jù)庫(kù)中獲取信息。在網(wǎng)關(guān)中將登陸頁(yè)面設(shè)定為門戶系統(tǒng)的入口頁(yè)面，然后將各應(yīng)用系統(tǒng)的入口地址設(shè)定為安全認(rèn)證網(wǎng)關(guān)，就可以完成對(duì)系統(tǒng)登錄的改造。

3.2 數(shù)據(jù)表關(guān)系映射

門戶系統(tǒng)與各應(yīng)用系統(tǒng)間實(shí)現(xiàn)單點(diǎn)登錄，需做好對(duì)各應(yīng)用系統(tǒng)主數(shù)據(jù)表的對(duì)照，保證用戶信息得到科學(xué)映射，從而建立相應(yīng)的用戶映射表，為后續(xù)各種數(shù)據(jù)信息的調(diào)用和認(rèn)證提供支持。

在各系統(tǒng)間開(kāi)展臨時(shí)會(huì)話時(shí)，需要建立會(huì)話表，其中包括FlashID、FlashEID等通用字段以及對(duì)應(yīng)系統(tǒng)的信息字段，確保信息數(shù)據(jù)可以在系統(tǒng)間正常傳遞。如圖1所示，通過(guò)做好主數(shù)據(jù)表的關(guān)系設(shè)置，可以使數(shù)據(jù)信息得到一一映射，為單點(diǎn)登錄功能的實(shí)現(xiàn)提供了數(shù)據(jù)支撐。采用單點(diǎn)登錄技術(shù)實(shí)現(xiàn)注冊(cè)操作，可以直接定向至注冊(cè)頁(yè)面、返回登錄頁(yè)面和自動(dòng)生成ID。完成用戶信息創(chuàng)建后，會(huì)將驗(yàn)證信息存儲(chǔ)到門戶系統(tǒng)儲(chǔ)存在用戶本地終端上的數(shù)據(jù)（Cookie）以及相關(guān)數(shù)據(jù)庫(kù)中，完成基本映射表的創(chuàng)建，使用戶主數(shù)據(jù)表的關(guān)系得到確認(rèn)。在修改信息時(shí)，需要重新完成非關(guān)鍵信息和映射關(guān)系的設(shè)定，并對(duì)信息進(jìn)行保存，傳入本地Cookie和臨時(shí)會(huì)話表并完成時(shí)域（Session）狀態(tài)變量的創(chuàng)建。利用門戶系統(tǒng)對(duì)用戶身份進(jìn)行驗(yàn)證，將自動(dòng)生成Cookie和安全憑據(jù)（TSC）信息，利用Cookie和Session對(duì)用戶登錄狀態(tài)進(jìn)行確認(rèn)。TSC為安全憑據(jù)，可以作為用戶認(rèn)證身份的憑據(jù)。而Cookie可以通過(guò)數(shù)據(jù)加密保證數(shù)據(jù)的安全，只要確認(rèn)其驗(yàn)證信息有效就可以根據(jù)Session中的變量進(jìn)行業(yè)務(wù)系統(tǒng)加載。

表1 用戶登錄信息主表

3.3 首次登錄系統(tǒng)流程

用戶首次登錄任何一個(gè)應(yīng)用系統(tǒng)時(shí)，在用戶名和密碼輸入后，系統(tǒng)將發(fā)起網(wǎng)絡(luò)會(huì)話，向門戶系統(tǒng)SSO發(fā)出登錄認(rèn)證服務(wù)申請(qǐng)。如圖2所示，門戶系統(tǒng)根據(jù)站點(diǎn)請(qǐng)求，將對(duì)用戶名和密碼的合法性進(jìn)行驗(yàn)證，根據(jù)客戶端安全認(rèn)證網(wǎng)關(guān)的目標(biāo)地址對(duì)USB Key用戶證書(shū)進(jìn)行獲取，傳遞給服務(wù)器確認(rèn)是否合法。確認(rèn)通過(guò)驗(yàn)證后，可以生成TSC對(duì)會(huì)話用戶進(jìn)行標(biāo)識(shí)，并在臨時(shí)會(huì)話表中對(duì)站點(diǎn)標(biāo)識(shí)符進(jìn)行記錄。門戶系統(tǒng)將獲得的用戶信息數(shù)據(jù)和TSC返給應(yīng)用系統(tǒng)后，子站應(yīng)用系統(tǒng)可以完成系統(tǒng)登錄處理。如果請(qǐng)求無(wú)法通過(guò)驗(yàn)證，應(yīng)用系統(tǒng)只能接受到錯(cuò)誤代碼。完成狀態(tài)碼校驗(yàn)后，可以利用Cookie對(duì)驗(yàn)證信息進(jìn)行保存，并對(duì)相關(guān)數(shù)據(jù)進(jìn)行記錄。未通過(guò)驗(yàn)證，將提示登陸失敗。由于用戶注冊(cè)和認(rèn)證都將在門戶系統(tǒng)中實(shí)現(xiàn)，因此各應(yīng)用系統(tǒng)無(wú)需提供登錄服務(wù)，只需要通過(guò)門戶系統(tǒng)授權(quán)后就能實(shí)現(xiàn)單點(diǎn)登錄操作，讓用戶直接進(jìn)入業(yè)務(wù)界面處理相關(guān)業(yè)務(wù)。

圖1 系統(tǒng)主數(shù)據(jù)表關(guān)系

圖 2 用戶身份首次驗(yàn)證流程

3.4 登錄狀態(tài)轉(zhuǎn)移過(guò)程

實(shí)現(xiàn)單點(diǎn)登錄就意味用戶在完成一次登錄后，進(jìn)入權(quán)限允許的其他應(yīng)用系統(tǒng)時(shí)不需要再次登錄。因?yàn)榇藭r(shí)用戶所在客戶端瀏覽器中存儲(chǔ)了之前登錄門戶系統(tǒng)后的Cookie，可以直接將Cookie發(fā)送至門戶系統(tǒng)完成認(rèn)證。在實(shí)際操作時(shí)，需要利用站點(diǎn)Cookie開(kāi)展網(wǎng)絡(luò)會(huì)話，驗(yàn)證登錄狀態(tài)，查找userset、Flashrun等映射表中的關(guān)鍵信息。確認(rèn)用戶權(quán)限可以進(jìn)行其他系統(tǒng)的登錄后，系統(tǒng)將跳轉(zhuǎn)至登錄界面實(shí)現(xiàn)自動(dòng)登錄，使用戶在正常業(yè)務(wù)界面進(jìn)行操作。如果用戶權(quán)限不允許，門戶系統(tǒng)將提示用戶無(wú)法完成登錄狀態(tài)轉(zhuǎn)移。

對(duì)單點(diǎn)登錄技術(shù)的實(shí)際效果進(jìn)行分析，可以發(fā)現(xiàn)除首次登錄門戶系統(tǒng)網(wǎng)頁(yè)時(shí)響應(yīng)速度較慢以外，其他實(shí)現(xiàn)登錄狀態(tài)轉(zhuǎn)移的操作可以在3 s～5 s獲得響應(yīng)，可以達(dá)到理想的登錄效果。

3.5 系統(tǒng)注銷登出管理

采用單點(diǎn)登錄技術(shù)，要求用戶在完成系統(tǒng)操作后注銷退出，以免給系統(tǒng)使用的安全性帶來(lái)較大的威脅。在注銷操作時(shí)，同樣可以實(shí)現(xiàn)單點(diǎn)注銷，通過(guò)1次操作將所有應(yīng)用系統(tǒng)中的臨時(shí)會(huì)話等信息刪除。在應(yīng)用系統(tǒng)中點(diǎn)擊退出按鈕后，系統(tǒng)將向門戶系統(tǒng)發(fā)送注銷申請(qǐng)，并將本地會(huì)話取消。門戶系統(tǒng)根據(jù)申請(qǐng)，向之前用戶登錄的應(yīng)用系統(tǒng)發(fā)出注銷指令，將系統(tǒng)隨機(jī)FlashID清除，確保其他登錄系統(tǒng)的運(yùn)行代碼都處于終止?fàn)顟B(tài)，并恢復(fù)到原本的狀態(tài)值，繼而使用戶退出全部系統(tǒng)。

4 結(jié)論

總的來(lái)說(shuō)，單點(diǎn)登錄技術(shù)的應(yīng)用，使用戶通過(guò)一次身份驗(yàn)證就可以實(shí)現(xiàn)各種應(yīng)用系統(tǒng)的切換登錄，為門戶系統(tǒng)的一站式服務(wù)提供了有效的保障，為用戶獲取信息資源提供了更便利的途徑。在實(shí)際應(yīng)用中，單點(diǎn)登錄技術(shù)還需要不斷地探索與創(chuàng)新，通過(guò)制定科學(xué)的研究方案，提升單點(diǎn)登錄的技術(shù)水平，讓它為用戶帶來(lái)更好的操作體驗(yàn)。