基于CAS的單點(diǎn)登錄系統(tǒng)應(yīng)用研究

范 圍

（四川化工職業(yè)技術(shù)學(xué)院，646000）

?

基于CAS的單點(diǎn)登錄系統(tǒng)應(yīng)用研究

范 圍

（四川化工職業(yè)技術(shù)學(xué)院，646000）

摘要：隨著信息系統(tǒng)的迅速發(fā)展，各類信息化應(yīng)用系統(tǒng)逐步建立，但是各應(yīng)用系統(tǒng)之間自成體系，從而導(dǎo)致了每使用一個(gè)系統(tǒng)就要重新登錄一次，給用戶的使用和管理員的管理帶來(lái)了很多不便。本文研究基于CAS的單點(diǎn)登錄系統(tǒng)應(yīng)用，很好地解決了使用和管理困難問(wèn)題，介紹了基于CAS的單點(diǎn)登錄系統(tǒng)應(yīng)用設(shè)計(jì)研究，系統(tǒng)采用用戶管理LDAP輕量級(jí)目錄服務(wù)、CAS中央認(rèn)證服務(wù)，設(shè)計(jì)了一個(gè)統(tǒng)一管理界面，通過(guò)Web服務(wù)傳遞用戶參數(shù)，實(shí)現(xiàn)了多應(yīng)用系統(tǒng)的整合。

關(guān)鍵詞：LDAP；CAS；單點(diǎn)登錄；統(tǒng)一界面管理

0　引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，高?；旧弦呀?jīng)具備了完善的網(wǎng)絡(luò)環(huán)境，但是各系統(tǒng)的用戶管理和登錄自成系統(tǒng)，需要獨(dú)立的身份進(jìn)行登錄和管理，這給用戶和管理員帶來(lái)了許多的不便，不利用進(jìn)行統(tǒng)一管理，不能夠?qū)崿F(xiàn)對(duì)信息資源的整合利用。單點(diǎn)登錄英文全稱是SingleSignOn，簡(jiǎn)稱為SSO，單點(diǎn)登錄是解決“信息孤島”問(wèn)題的首選方案。在系統(tǒng)整合解決方案中認(rèn)可度比較高，其作用就是讓用戶可以訪問(wèn)所有相互信任的各子應(yīng)用系統(tǒng)。CAS是針對(duì)Web應(yīng)用開發(fā)設(shè)計(jì)的單點(diǎn)登錄框架，是開源項(xiàng)目。CAS使用SSL協(xié)議實(shí)現(xiàn)CAS Server和CAS Client之間的通訊，安全性很高，解決了單點(diǎn)登錄問(wèn)題。因此，本文針對(duì)數(shù)字校園資源整合需要，采用基于CAS的單點(diǎn)登錄技術(shù)。

1　單點(diǎn)登錄流程以CAS工作機(jī)制

1.1單點(diǎn)登錄流程

單點(diǎn)登錄系統(tǒng)收集所用應(yīng)用系統(tǒng)中用戶的信息，并通過(guò)特定的方法對(duì)用戶身份進(jìn)行驗(yàn)證。管理員將用戶的相關(guān)信息統(tǒng)一存儲(chǔ)在一個(gè)模塊當(dāng)中，這樣只需要進(jìn)行一次添加或刪除即可以實(shí)現(xiàn)對(duì)用戶和賬戶的管理。

單點(diǎn)登錄系統(tǒng)獨(dú)立于應(yīng)用系統(tǒng)的其他服務(wù)之外，實(shí)現(xiàn)了業(yè)務(wù)的整合，其主要優(yōu)點(diǎn)有：

（1）提高了用戶登錄和管理的效率。用戶只需要進(jìn)行一次簡(jiǎn)單的登錄和管理即可，減少了對(duì)應(yīng)用系統(tǒng)訪問(wèn)和操作的時(shí)間次數(shù)，明顯提高了使用管理的效率。

（2）提高了應(yīng)用系統(tǒng)管理的效率。系統(tǒng)維護(hù)人員只需管理和維護(hù)用戶賬戶數(shù)據(jù)庫(kù)，就可以實(shí)現(xiàn)對(duì)全部用戶信息的管理，很大程度上提高了系統(tǒng)管理維護(hù)效率。

（3）提高了開發(fā)人員的工作效率。在開發(fā)和設(shè)計(jì)時(shí)不用考慮對(duì)每個(gè)用戶的逐一添加和改變，因?yàn)閱吸c(diǎn)登錄技術(shù)實(shí)現(xiàn)了對(duì)用戶身份信息的統(tǒng)一管理。

1.2CAS的工作機(jī)制

CAS體系結(jié)構(gòu)分為兩部分：CAS Server和CAS Client。其中CAS Server負(fù)責(zé)對(duì)用戶進(jìn)行認(rèn)證，CAS Client負(fù)責(zé)處理對(duì)受保護(hù)的資源進(jìn)行請(qǐng)求訪問(wèn)。如圖2為CAS基礎(chǔ)協(xié)議體系結(jié)構(gòu)，CAS Server和CAS Client采用SSL技術(shù)進(jìn)行數(shù)據(jù)和信息傳輸，安全性較高。

圖2　CAS基礎(chǔ)協(xié)議體系結(jié)構(gòu)

2　系統(tǒng)框架

本文設(shè)計(jì)的基于CAS的單點(diǎn)登錄系統(tǒng)應(yīng)用，提供統(tǒng)一的身份認(rèn)證功能。以CAS單點(diǎn)登錄系統(tǒng)為中心，輔以CAS認(rèn)證中心、LDAP用戶信息中心、統(tǒng)一接入門戶，各類用戶可以通過(guò)統(tǒng)一門戶進(jìn)行登錄，訪問(wèn)個(gè)性化的服務(wù)，并可以訪問(wèn)其他相關(guān)系統(tǒng)。該設(shè)計(jì)具有結(jié)構(gòu)靈活、系統(tǒng)健壯、安全可靠等特點(diǎn)，能夠較好的滿足用戶要求。

3　系統(tǒng)應(yīng)用

用戶首次訪問(wèn)CAS系統(tǒng)服務(wù)應(yīng)用時(shí)，CAS過(guò)濾器會(huì)對(duì)Web請(qǐng)求進(jìn)行捕獲和重定向登陸頁(yè)面，用戶填寫的用戶名和密碼驗(yàn)證正確后回轉(zhuǎn)向CAS服務(wù)器，對(duì)比Mysal數(shù)據(jù)庫(kù)中的用戶數(shù)據(jù)，如果核實(shí)正確則后臺(tái)服務(wù)器會(huì)生成唯一的ST即用戶身份憑證，已經(jīng)授權(quán)的應(yīng)用系統(tǒng)就可以允許用戶憑借驗(yàn)證憑證在有效時(shí)間內(nèi)訪問(wèn)。

（1）統(tǒng)一用戶組織管理：統(tǒng)一身份認(rèn)證平臺(tái)采用批量導(dǎo)入的方法，在LDAP服務(wù)器中導(dǎo)入用戶基本信息，根據(jù)LDAP分類和用戶實(shí)際身份，管理員可以為用戶進(jìn)行角色權(quán)限授予，并且可以通過(guò)LDAP進(jìn)行統(tǒng)一管理，對(duì)組織內(nèi)所有的應(yīng)用統(tǒng)一進(jìn)行存儲(chǔ)、認(rèn)證和管理。其他基于LDAP的應(yīng)用系統(tǒng)統(tǒng)一可以通過(guò)LDAP服務(wù)器進(jìn)行管理。

（2）統(tǒng)一身份認(rèn)證管理：統(tǒng)一身份認(rèn)證管理即對(duì)用戶單點(diǎn)登錄進(jìn)行管理。目前應(yīng)用系統(tǒng)有B/S、C/S兩種結(jié)構(gòu)，所以對(duì)于不同的應(yīng)用系統(tǒng)管理員可以在CAS中設(shè)置不同的驗(yàn)證方法，如對(duì)于B/S應(yīng)用系統(tǒng)可以允許用戶通過(guò)服務(wù)器登錄一次即可獲取多個(gè)用戶權(quán)限內(nèi)的Web應(yīng)用系統(tǒng)，更加方便簡(jiǎn)單；而對(duì)C/S系統(tǒng)可以通過(guò)IE控件實(shí)現(xiàn)單點(diǎn)登錄，輸入一次用戶名和密碼就可以被授權(quán)訪問(wèn)C/S系統(tǒng)資源。對(duì)于任何結(jié)構(gòu)的系統(tǒng)進(jìn)行統(tǒng)一身份認(rèn)證時(shí)，集成的應(yīng)用系統(tǒng)不需要進(jìn)行任何修改。

（3）數(shù)字證書管理：數(shù)字證書管理步驟依次為數(shù)字證書的制作、發(fā)放和銷毀等，管理員通過(guò)Keytool等工具生成數(shù)字證書并導(dǎo)入數(shù)據(jù)庫(kù)中，供應(yīng)用系統(tǒng)下載使用。另外，數(shù)字證書管理還具有在線查詢證書的使用情況的功能，可以實(shí)現(xiàn)對(duì)其數(shù)字證書的撤銷和銷毀操作。

（4）監(jiān)控管理：監(jiān)控管理基于LDAP、CAS的各系統(tǒng)的基本展現(xiàn)，其中包括各認(rèn)證節(jié)點(diǎn)的動(dòng)態(tài)拓?fù)浔O(jiān)控和支撐服務(wù)器的運(yùn)行狀態(tài)。以只讀方式顯示常規(guī)的配置信息，可以對(duì)CAS中心服務(wù)器的各子服務(wù)器進(jìn)行監(jiān)測(cè)并分析其結(jié)果。一旦系統(tǒng)或服務(wù)器出現(xiàn)異常就會(huì)自動(dòng)報(bào)警，并通過(guò)E-mail通知負(fù)責(zé)人進(jìn)行處理以保證系統(tǒng)的穩(wěn)定運(yùn)行。

4　結(jié)語(yǔ)

基于CAS的單點(diǎn)登錄系統(tǒng)應(yīng)用中用戶登錄一次就可以訪問(wèn)相互信任的應(yīng)用系統(tǒng)，明顯減少了登錄的出錯(cuò)幾率和系統(tǒng)管理員的重復(fù)性工作，系統(tǒng)的安全性得到了增強(qiáng)，可以更加方便的管理用戶信息，添加或刪除一用戶信息、取消對(duì)資源的訪問(wèn)權(quán)限等。

參考文獻(xiàn)

[1]董昭.門戶網(wǎng)站的統(tǒng)一認(rèn)證與單點(diǎn)登錄技術(shù)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化.2010

[2]鐘林棲.基于CAS協(xié)議的單點(diǎn)登錄系統(tǒng)的研究[D].成都:四川大學(xué).2006

[3]曹志通.基于SAML的單點(diǎn)登錄安全模型的研究[D].重慶:重慶大學(xué).2010

[4]賴慎祿,李新,及俊川.可插入式單點(diǎn)登錄技術(shù)的應(yīng)用[J].計(jì)算機(jī)工程.2008

[5]向偉,張偉華.統(tǒng)一權(quán)限管理系統(tǒng)單點(diǎn)登錄的實(shí)現(xiàn)[J].武漢理工大學(xué)學(xué)報(bào)(信息與管理工程版).2009

Research on the application of single sign on system based on CAS

Fan Wei
（Sichuan Vocational College of Chemical Technology，646000）

Abstract：This paper based on CAS single sign on system application,well solves the use and management of difficult problems,CAS single point login system design and Application Research Based on,the system uses user management with LDAP lightweight directory service,CAS central authentication service,a unified management interface is designed, pass the user parameters through web services, to achieve the integration of multi application system is introduced in this paper.

Keywords：LDAP;CAS;single sign on;unified interface management