基于CAS統一身份認證的設計

陳利鋒

摘 要：在高校信息化的高速發展下，系統集成已成為高校信息化管理的重要組成部分。使用獨立的身份認證系統來實現平臺之間身份信息的交換和共享成為系統集成的普遍做法。如何應對高并發，多用戶的并發請求，是保障認證系統穩定，高效運行的重要問題。因此設計一套合理的認證系統架構來解決這些問題顯得尤為重要。本文通過采用CAS開源軟件，結合Redis實現分布式的多認證模式，達到統一身份認證效果。

關鍵詞：信息化建設 身份認證 CAS Redis

引言

隨著計算機技術和網絡技術的迅猛發展，目前高校已經具備了完善的網絡環境，但是各系統的用戶管理和登錄自成系統，通過獨立的身份進行登錄和管理，這給校園用戶和管理員帶來了許多的不便，主要體現在不利于進行統一管理，不能夠實現對信息資源的整合利用。基于以上原因，提出了單點登陸的概念。所謂單點登陸是指通過同一套用戶名密碼登陸一次，就能訪問其他集成到身份認證平臺的系統資源，不用多次登陸認證。高校數字校園的建設需在遵循同一標準與規范的情況下，通過系統的集成與整合，構建一個完整統一、高效穩定、安全可靠的認證系統。[1]

一、設計目標

通過對需求分析，身份認證系統主要實現以下幾個功能：1.集中用戶管理;2.集中認證管理;3.集中授權管理。集中用戶管理主要指身份認證系統的用戶賬號都存在于一套集中的數據庫中，對于賬號的維護主要對賬戶的增刪改三種賬號異動進行管理。所以我們將從賬號的來源、賬號在使用過程中的操作、賬號銷戶三個方向對賬號做維護，對增刪改等操作都將提供相應的接口，便于和其他系統的交互。集中認證主要指對接入統一身份認證平臺的系統進行管理，對接入身份認證系統提供安全可靠的認證服務，實現強身份認證服務;實現單點登錄功能，通過一個站點登陸可以訪問其他站點，無須再次驗證;支持web系統認證集成，APP等應用可以進行認證。集中授權主要是在系統中設置相應的角色信息，同時給用戶分配不同的角色狀態，根據角色來達到區分目的。每個系統都有角色和權限，通過給賬號設置不同的權限來達到功能的劃分。通過在身份認證平臺中設置后返回給接入系統，系統可以直接控制用戶權限。

二、系統設計

根據設計目標，系統可以歸納為身份管理、數據存儲、身份認證、對外服務等幾個主要層次;身份管理主要是管理用戶信息;在數據儲存層，主要使用Oracle數據庫和Redis庫，Oracle數據庫主要用來儲存系統的配置信息，如認證系統的配置，任務調度信息等;根據Redis的特性，我們使用它存儲用戶信息，作為認證庫，提高認證使用感知。在底層服務層我們提供了rest身份認證接口、日志記錄等接口。如圖3-1系統功能架構圖所示：

圖3-1 系統功能架構圖

同時設計了多種認證模式來實現系統認證，主要為通過API方式、代理模式與Redis接口。API集成模式提供各種開發語言和多環境的身份認證集成。API集成對被集成系統的侵入性強，往往需要理解CAS協議的具體流程，并對集成應用的認證模塊進行替換。它在CAS協議中作為CAS的客戶端負責與CAS Server進行交互完成認證。代理模式通過簡化身份認證集成的流程，降低集成成本，提高集成成功率，通常作為單點登錄集成的一種重要的集成手段。Redis接口最大的優點是有極高的性能，但是只能進行認證而不能進行SSO。Redis接口的認證直接使用和Redis服務器交互，不需要處理復雜的CAS協議交互，加Redis服務器性能極高，使得Redis接口在應對高并發應用時也表現出極佳的性能。[2]

結語

統一身份認證平臺的建立將為學校信息系統管理者帶來更安全便捷的網上用戶管理方式，為師生帶來更安全、高效的使用環境，達到統一認證、統一管理、單點登陸的效果。同時為校園后續的信息化建設提供支撐。

參考文獻

[1]郭楚杰.數字化校園中統一身份認證平臺的設計[J].湖南工業大學學報，2010（3）.

[2]張潔，龍輝.基于CAS的統一身份認證系統的研究與實現[J]..技術與市場.2018（07）.