基于Web的校園網統一身份認證應用淺析

摘 要：基于校園網應用系統數量眾多，用戶認證未實現統一的現狀，考慮到該現狀會為系統維護帶來難度，相應的維護成本加大的問題，本文擬采用SQL Server數據庫技術，.NET的PassPort認證機制使用HTTP協議通過IE瀏覽器實現管理站點和請求站點的通信，向應用系統提供標準的SOAP服務，建立校園網統一身份認證平臺。

關鍵詞：校園網 統一身份認證 Web

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1672-3791（2013）01（a）-0028-01

目前，建設數字化校園已經成為現代化高校建設的重點項目之一，基于校園網的應用系統越來越多，在沒有統一身份管理的情況下，不同的系統需要各自維護用戶信息。對于普通用戶而言，需要對每個系統記憶一套登錄名和密碼等信息。隨著系統數量增加，用戶只能通過降低密碼復雜度來記住不同系統的登錄信息，這樣不僅違背了設立系統的初衷，而且對系統維護的改善也不明顯。統一身份管理能夠讓數字化校園的管理員集中精力，只要進行一套管理系統的維護，就能提綱挈領統攬全局，這對于系統維護乃至整個數字化校園的建設都有莫大的裨益。

1 統一身份認證技術特點

統一身份認證平臺的建設需要在技術方面的支撐，如以下幾點。

1.1 用戶登錄認證

當用戶登錄系統時，用戶輸入用戶名和密碼，應用系統不對用戶的登錄信息進行認證，而是將取得的登錄信息采用加密方式或明文方式打包送到統一身份認證中心，如果統一身份認證中心認證通過，認證服務會給校園網子應用系統發一個通過認證的提示信息，用戶就可以進行隨后所需要的操作，否則系統將拒絕用戶的登錄或提示用戶重新輸入賬戶信息和密碼。

1.2 基于統一身份認證的交互

用戶通過登錄統一身份認證中心的頁面進行認證，認證中心對用戶提交的信息進行核查之后生成一個認證令牌，然后發往用戶具有相應權限的應用系統。當用戶在界面里點擊某個鏈接時，如果該系統具有認證中心發放的令牌，那么用戶可以直接登錄，否則將提示用戶沒有權限進入該系統并且提示重新登錄統一身份認證中心進行賬戶和密碼的輸入。

1.3 基于Web的交互認證

基于Web的認證是一種異地認證。當系統得到登錄口傳送的驗證信息之后，發送到服務器，Web會對用戶名、密碼等驗證信息進行認證，然后將信息返回給客戶端，同時判定用戶是否具備登錄系統的資格。這種認證模式需要集成到統一身份認證的程序里，放棄分系統的認證功能，將認證工作移交給某個Web服務器。該方法部署簡便，但安全性不高。

2 統一身份認證平臺建設

統一身份認證平臺包含三大邏輯組成部分：目錄、用戶身份管理和用戶認證，統一身份認證系統的設計核心是用戶認證，用目錄服務數據庫，集中存儲用戶和子系統的信息，實現統一認證、統一授權和集中管理。

2.1 平臺設計

本系統擬采用.NET進行設計，系統具有表示層、業務層、業務訪問層、數據訪問層這四個邏輯框架層次，每個層次有不同的功能。管理界面由.NET實現，管理員遵守HTTP協議通過IE瀏覽器訪問管理站點，實現用戶信息、部門信息和角色的統一管理。接口使用Web和.NET實現，應用系統通過SOAP協議與接口組件進行交互，Web的集成引擎將通過各類接口以及功能模塊將各個子應用系統封裝成Web部件之后傳送到UDDI注冊中心，并通過接口去調用相應的應用服務模塊，實現系統的單點登錄以及授權服務等相應的服務響應。

本文的校園網統一身份認證平臺的后臺數據庫采用的是SQL Server數據庫，通過SQL Server數據庫存儲校內用戶信息和用戶訪問權限信息，Windows活動目錄是整個校園網統一身份認證系統的基礎，采用標準的LDAP目錄服務數據庫，以層次結構、面向對象的數據庫方式存儲校內用戶的信息和應用系統的信息，SQL Server數據庫和活動目錄實現前臺后臺數據的交互以達到數據同步的目的，這樣既保證了數據的完整性又保證了數據的一致性，同時為各類子系統提供用戶信息的使用和共享。

數據庫訪問組件通過ADO.NET與數據庫前后臺交互。AD組件通過.NET的類庫使用LDAP協議與目錄交互，同樣達到了前臺和數據庫之間的數據交互和同步的目的。

2.2 平臺實現

該系統設計重點是使用.NET創建一個XML，提供統一接口，實現對訪問的控制，子系統只要調用即可。接口支持數據結構的動態改變，當來自底層的目錄發生變化時，可以通過修改字段映射庫來更改映射信息。

不同的子系統訪問目錄，采用調用Web的方法，既實現了統一訪問，又減少了對原系統的修改。原系統不需要了解認證系統的結構和調用方法，既可靠，又方便。統一身份認證平臺主要實現的統一身份認證服務主要具備以下功能：（1）獲取用戶信息；（2）驗證用戶信息；（3）根據驗證信息控制訪問；（4）對用戶信息進行增刪改查。

3 結語

本文結合Windows活動目錄和SQL Server數據庫技術，利用.NET的認證機制，向系統提供SOAP服務，為認證提供通用的接口和頁面，并通過調用后臺的Web認證技術實現用戶單點登錄，設計實現了一個基于Web的校園網統一身份認證平臺。校園網統一身份認證平臺，是一個認證管理系統，為不同的子系統提供用戶信息管理服務。該系統將信息統一保存到服務器，保證了信息的穩定、可靠、安全；完善的接口連接功能，支持任何平臺的各種子系統的調用，簡單易行；子系統只需保留角色和權限控制，信息統一保存，角色管理由子系統管理，簡化了應用系統中用戶管理模塊的建設難度和后期維護。

參考文獻

[1]許竹君.基于校園網的統一身份認證平臺的構建[J].信息與電腦，2011（10）：115-116.

[2]孫守強.基于Web的校園網統一身份認證系統的實現[J].新聚焦，2011（3）：8-10.

[3]張沖，武超，楊要科.校園網統一身份認證系統的設計與實現[J].中原工學院學報，2008，8（4）：68-71.