基于統一身份認證的校園信息系統用戶信息整合的設計與實踐

摘要：數字化校園為師生提供了便捷的校園生活服務、多種類的在線學習支持與課程智能管理服務。在教育信息化2.0的推動下，數字化校園建設正在從融合應用向創新發展轉變。如何整合數字化校園中的多類信息系統的用戶，以簡化用戶登錄過程、統一管理用戶信息，并在整合的過程中實現創新發展，是本文探討的內容。統一身份認證是數字化校園建設中的重要一環，它能夠將校園內的各類信息系統整合起來，實現對用戶身份的統一管理和認證，簡化用戶登錄流程，提高管理效率，增強系統安全性。

關鍵字：數字化校園；統一身份認證；系統整合

一、引言

校園數字化建設邁上了新的臺階，具備在線學習、教務管理、校園服務等功能的多類信息系統，可為在校學生、遠程教育學員、歷屆校友等提供全面的信息化服務。面對功能林立的業務系統，管理者和使用者均提出了更高需求的問題——避免數據重復錄入和抵抗信息網絡安全威脅。因此，將龐大的業務系統進行優化整合是數字化校園建設的必經之路。業務整合后，將使數據進一步得到合并、用戶登錄入口得到有效收斂、信息安全得到有效保障。在此過程中，將用戶信息進行整合是實現業務整合的首要步驟。與此同時，得到全面而統一的用戶數據，也為校園用戶管理及后續開發利用提供了數據基礎。

本文對某一數字化校園信息系統用戶整合案例進行深入分析，針對案例建設中的工作要點和技術應用技巧，提出了建設思路與經驗總結。使用基于統一身份認證的信息系統整合，有效地管理了大數量級用戶數據，簡化了用戶登錄過程，促進了業務系統的全面整合，最終以最小的成本搭建完成了強健的整合框架并支持業務系統后續的可持續擴展。

二、用戶信息整合技術原理

（一）逐個業務分析，確認統一認證可行

在進行系統用戶信息整合的初始階段，應首先整理所有信息系統的業務功能和用戶需求，重點對業務系統用戶登錄流程做出充分的技術與功能梳理，確認統一身份認證技術在每一個業務系統中可行。

在本案例中，統一身份認證采用OAuth2.0認證的方式。OAuth2.0是一種開放授權標準，它允許用戶在一個平臺上授權，即可在其他平臺上使用。這不僅簡化了用戶登錄過程，更能確保數據交互的通用性、安全性和便攜性。

圖1所示為基于OAuth2.0認證方式的業務架構圖。位于公網中的學生首先向指定學習專區發送登錄請求，學習專區接收到學生賬號和密碼后，將信息重定向至統一身份認證服務。統一身份認證服務向用戶數據庫驗證學生信息的正確性，如正確則將相關信息以令牌形式返回給學生端頁面。學生端可以通過獲取到的令牌訪問指定專區，從而實現身份的認證與識別。如果同一身份認證在數據庫中校驗失敗，則向學生端發送訪問失敗原因及重新登錄頁面。

為了保證用戶信息的安全，同一賬號重新登錄超過5次，該賬號將被鎖定。待鎖定時間結束，學生方可重新嘗試登錄。

（二）全盤統計數據，建立整體數據結構

每一個業務系統都會因開發環境、業務需求、生命周期的不同而擁有風格迥異的數據結構。為了確保統一身份認證平臺傳輸數據的一致性和系統的穩定性，需要對所有相關數據進行分析和統計，并在此基礎上建立整體數據結構。這一架構不僅支持數據的快速交換，還為未來的系統擴展和升級提供了堅實的基礎。

在本案例中，首先找到了每一個學期專區用戶表的用戶唯一識別碼，并將其納入統一身份認證平臺用戶總庫表。當用戶訪問指定學習專區時，通過該專區編碼和該用戶在統一身份認證中的訪問令牌，驗證請求，生成授權碼，成功登錄到專區頁面。

（三）建立數據目錄，精簡用戶認證信息

為了實現對系統用戶的進一步整合，需要在統一身份認證平臺數據庫中建立用戶數據目錄，同時精簡各子系統的用戶信息表。這使得各子系統不保存或者保存最小量的用戶敏感信息，從而最大化地保護數據安全。在系統整合過程中，出于業務需要，個別子系統需保留部分用戶敏感信息。出于數據安全考慮，在數據庫中可對該敏感信息進行加密保存，在程序設計中可加入管理員身份角色判斷是否顯示該部分敏感信息[1]。

與此同時，完整而詳細的數據目錄還可以幫助數據分析者更好地了解用戶需求和行為，為學生畫像、學生行為分析、市場營銷、校友管理等提供基礎數據支持和決策分析。

（四）完善數據交換，推動認證全面可用

在實現統一身份認證的過程中，數據交換是關鍵的一環，需要不斷完善數據交換機制，確保數據的安全性和實時性，推動認證系統的全面可用性。在此過程中，應及時將各學習專區的自建新用戶、已刪除用戶向統一身份認證用戶數據庫進行同步。不同于傳統統一身份認證結構，對于以系統整合為目的的多系統用戶認證，應考慮將用戶信息進行統一歸集，避免用戶信息在各系統非必要的散落。

三、實踐解決方案

（一）子系統新建用戶數據同步問題

對于新建用戶，共分為以下兩種方式：一是在子系統新建用戶賬號時（一般為管理員從管理后臺批量導入），由子系統數據庫將新建用戶數據同步至統一身份認證用戶數據庫中；二是學生申請注冊學習時，由學生在子系統登錄頁選擇注冊，系統定向跳轉至統一身份認證用戶注冊頁面。學生注冊成功后，用戶注冊信息存儲至統一身份認證用戶數據庫，并回傳至子系統頁面，由子系統數據庫進行二次錄入。

與此同時，由于在統一身份認證下的各子系統均設置了單獨的管理人員和培訓對象，每個子系統對用戶信息的填寫要求也各不相同，如圖2所示。

在本整合方案中，每一個用戶均設有唯一識別碼ID，以此確保數據認證的唯一性和準確性。當批量導入或者新申請注冊發生身份證號重復時，系統自動發出提示并返回原操作。

（二）歷史數據清洗與遷移問題

1.排列用戶唯一識別碼

各子系統向統一身份認證用戶數據庫遷移數據時，將進行唯一用戶識別碼ID統一排布，如子系統用戶表中不含用戶識別碼，則需手工批量加入。對于多個子系統中身份證號相同的用戶，使用同一用戶識別碼；不含身份證號的用戶，如在多個子系統中使用相同手機號和姓名，則使用同一用戶識別碼；如用戶既不含身份證號也不含手機號等具有唯一識別身份的屬性，則使用單獨的用戶識別碼進行標注。

2.規范用戶屬性

當學生登錄之后并訪問指定系統時，由于賬號可能存在不一致，這就需要在統一身份認證平臺內支持賬號映射能力，自動轉換為可訪問系統的內部賬號。而支持映射能力，需要規范的用戶數據表做支撐，所以，在設計統一身份認證用戶數據庫時，應注重用戶信息的規范化設置，以達到在健全用戶信息庫的同時又滿足各子系統所需不同用戶身份的需求，實現賬號映射。

其次，除基礎的用戶名、姓名、密碼、身份證號、手機號、教育背景、工作經歷、社會關系、培訓經歷、榮譽證書等信息，還應設置過期日期，以實現自動沉淀歷史數據的功能[2]。

另外，為用戶設置分組管理，可進一步輔助實現用戶對于多個子系統的訪問權限。

3.日志記錄和審計

完成數據遷移后，在進行數據清洗和統一身份認證的日常管理時，做好日志記錄和審計工作，對及時解決統一身份認證故障具有重要作用，其中包括：無效數據、空值錯誤、準確性錯誤、數據格式錯誤、重復數據等，應在遷移命令、新建用戶、刪改用戶時設為自動記錄，并定期根據提示進行問題排除和修復。同時，系統應記錄用戶的登錄、登出，以及權限變更等操作，可追蹤和分析用戶行為，發現潛在的安全問題，從而研究進一步的改進措施。

四、整合成效及經驗梳理

經過上述基于統一身份認證的多系統用戶信息整合，進一步簡化了用戶的登錄流程、提高了整體管理效率、增強了系統安全性、提升了用戶體驗，并為業務系統的全面整合打下了堅實的基礎，如圖2所示。與此同時，統一身份認證平臺的建立，積累了比以往更加準確和全面的用戶數據，在此基礎上可進一步開展對學生信息的大模型分析與建設。在本案例建設過程中，共梳理出以下三項重點經驗：

（一）一一擊破，推進數據整合工作

在統一身份認證中，逐個分析業務系統是指對每個需要接入統一身份認證系統的業務系統進行逐一分析和評估，以確定該業務系統的接入方案和具體的實現方式。具體需要考慮以下四個方面：

一是業務系統的用戶身份認證方式：不同的業務系統可能有不同的用戶身份認證方式，比如用戶名密碼、短信驗證碼、第三方登錄等。需要對每個業務系統的認證方式進行分析，以確定如何與統一身份認證系統進行集成；

二是業務系統的用戶權限管理：對于每個業務系統，需要明確其用戶權限管理策略，包括用戶角色、權限劃分等。在接入統一身份認證系統時，需要將業務系統的權限管理與認證系統進行關聯；

三是業務系統的數據安全性要求：不同的業務系統對數據安全性的要求可能不同。在接入統一身份認證系統時，需要考慮業務系統的數據安全性要求，并采取相應的措施，以確保數據的安全性；

四是業務系統的技術架構和接口規范：對于每個業務系統，需要了解其技術架構和接口規范，以確定如何與統一身份認證系統進行集成。

（二）提前規劃，強健系統一體化架構

事實上，用戶信息整合方案不僅包含采用何種統一身份認證模式，還應考慮以下四個問題：

一是認證方式的選擇：基于密碼、短信驗證、二次認證等多種方式，需要根據應用場景和安全需求進行選擇；

二是用戶數據的同步：認證系統需要能夠實時同步應用系統中的用戶數據，包括用戶信息、權限等；

三是安全策略的制定：需要制定和執行認證系統的安全策略，包括密碼策略、登錄策略等；

四是應用接入權限控制：需要實現對不同應用的訪問權限控制，以保證應用系統的安全性。

在系統設計之初，應提前規劃好整個系統整合的建設方案和架構。通過強健的系統一體化架構，可以支持未來的擴展和升級需求，提高系統的穩定性和可靠性[3]。

（三）加固安全，保障數據交互的可靠性

安全是系統運行的基石。在系統整合建設過程中，應不斷加強安全措施，確保數據交互的可靠性和安全性。安全措施除了加密傳輸、身份驗證、訪問控制等，還包括程序設計與系統運維等方面的安全設置工作，具體如下：

一是在用戶登錄頁面設置密碼輸入錯誤次數限制、設置雙因素認證，防止惡意用戶暴力破解；

二是根據業務實際做好系統數據備份工作；

三是設置各業務系統的用戶安全策略和訪問權限。

五、結束語

希望參考上述策略和建議，可構建起一個統一、高效、安全的身份認證體系，為師生提供更加便捷、可靠的服務。這不僅能夠提升校園信息系統的整體性能，也能夠為校園的信息化建設奠定堅實的基礎。

作者單位：張瑜潔 北京國家會計學院

參考文獻

[1]谷松，張月琳.統一身份認證在數字化校園中的應用[J].中山大學學報，2019，（11）：104-105.

[2]袁先珍，崔益峰.基于校園信息門戶的統一身份認證系統[J].微計算機應用，2018，（02）：14-15.

[3]李翔，晁愛農，劉孟強.LDAP的研究及其在統一身份認證系統中的應用[J].計算機應用，2018，（08）：26-27.