基于Web Services单点登录系统的设计与实现

信息化的进一步发展,使企业内部应用系统增多,用户访问这些系统时,需记住多个口令,多次登录,降低了工作效率。针对这个问题,提出了一种基于Web Services的单点登录系统。文中介绍了当前几种单点登录技术,利用Web Services技术实现了跨企业内部应用系统边界的单点登录。详细分析了内嵌于门户系统的单点登录机制.提供了安全的第三方接口,用户只需登录门户系统即可访问任何

维普资讯

6 2

Co u e a No 9 0 6 mp t r Er . 2 0

基于We e i s bS rc单点登录系统的设计与实现★ ve贾宗星。董丽丽

(西安建筑科技大学信息与控制工程学院，陕西西安 705) 105摘要：信息化的进一步发展，企业内部应用系统增多，使用户访问这些系统时，需记住多个口令，多次登录，降低了工作效率。针对这个问题，提出了一种基于 We ev e的单点登录系统。文中介绍了当前几种单点登录技术，利用 We b S ri s c b Sri s术实现了跨企业内部应用系统边界的单点登录。细分析了内嵌于门户系统的单点登录机制， e c技 v e详提供了安全的第三方接口，户只需登录门户系统即可访问任何一个授权应用系统的实现原理与方法。用

关键词：单点登录；认证；We b服务；令牌

O引言多，部署这些应用系统面临双重的安全挑战：,首先必须保证只有合法的用户才能访问相应的应用资源；其次，实施安全保护措施时应尽量避免增加用户的负担。因为随着业务系统的增加，问不同的应用系统采用不同的口令，访导致每个用户需要

子身份标识，用户通过该电子身份标识去访问其它应用服务有一个中央用户数据库，易于对用户数据进行管理和信息的维护。主要缺点是需要修改原有应用，来适应所采用的认证机制， 而对于旧系统的改造，是项艰巨的工作。 ()基于代理的方案( g n_ ae S 2 A e tB sd S O)这是一种软件实

从而实现单点登录。B krB sd S O方案的主要优点是 o e ae S _随着信息化进一步发展，企业内新增的应用系统越来越器，

记住多个口令，用户每访问一个应用资源都需要登录一次，大现方式，被称为“代理”的程序可以运行在客户端或者服务器上， gn部大降低了工作效率。针对这个问题，本文在基于 We服务的分作为用户与应用服务器之问的通信中转站。若 A e t署在客 b它口令列表，自动替用户完成登录过布式环境中，利用 AS . T技术设计实现了跨企业内部应用户端，能装载获得用户名/ PNE系统边界的单点登录机制。该单点登录机制内嵌于门户系统，

程，客户端程序的认证负担。若 A et减轻 gn部署在服务器端，它就是服务

器的认证系统和客户端认证方法之问的“”翻译。当软件供应商提供了大量的与原有应用程序通信的 a et, gn时

提供了安全的第三方接口，用于将后来开发的应用系统注册到门户系统，用户只需登录门户系统即可使用授权的其他应用系统的功能。

A et a dS O方案可使应用迁移变得十分容易。 gn bs S e缺点是需要针对每个应用系统提供相对应的代理插件，实施和维护相对复杂，不仅要考虑用户的身份信息，还需增加各个代理本身的身份

1当前几种单点登录技术所谓单点登录 ( ig in o, Sn l Sg— n以下简称 S O)就是指当 e S,

因此管理控制相对困难。 用户访问多个需要进行认证的应用系统时，只需要在初始进信息和设置各个代理软件的权限， ()基于网关的方案 ( tw yB sd S O)在网络入 1 3 Ga a_ ae S e: 1 行一次登录和身份认证，可以访问其具有权限的任何系统，就 处设置防火墙或专用加密通信设备作为网关，而资源则被隔离而不需要再次登录，后续系统会自动获得用户信息，从而识别首出用户身份。单点登录系统把原来分散的用户管理集中起来，在受信网段内。当用户需要访问网关后面的应用服务器时，

各系统依靠相互信赖的关系进行用户身份的认证。由于用户 的信息是集中保存和管理的，管理员只需在一个统一的用户信息数据库中添加、删除用户账号，不必在多个系统中分别设置用户信息数据库，从而提高了整个系统的安全性，也方便了系统管理。

先需要通过网关连接的用户数据库进行认证，认证通过后网关

自动将用户身份传递到要访问的目标应用服务器进行认证，经应用服务器认证通过后，用户通过网关对应用系统进行后续的访问。该方案对应用系统基本不做任何改变，只要配置和网关相互认证的模块即可，容易实现用户对应用系统的资料加密可

目前单点登录技术主要分为以下几类 :( 1 )基于经纪人的方案( rk rB sd S O B o e ae S )引入一个可 _

传输，实施和维护相对简单。缺点是对应用系统的身份认证和访问都需要经过网关，大用户量访问时，率降低。如采用一个效网关，则该网关失效会导致整个系统的瘫痪，采用多个网关而

信的第三方作为经纪人，如

集中式认证服务器。这种方案最突出的例子是 K reo认证系统。该方案由三部分组成： e rs b支持认

时需考虑如何及时同步更新网关上的用户信息数据库的内容，

证服务的客户端、认证服务器、支持认证服务的应用服务器。其使其保持一致。根据上述对各种单点登录方案的分析，结合实际需求，本中，认证服务器扮演着经纪人的角色，的认证都是由它来所有文提出了一种门户系统单点登录机制，它在门户系统上提供了完成的。其工作流程是：所有的客户机在访问系统资源之前由 企业以后开发的应用系统 (以下均称应用认证服务器进行身份验证，为提高系统安全性可采用相互认证安全的第三方接口，子系统 )经过注册后，,通过门户系统实现一次性登录即可进行方式。当用户通过身份验证后，认证服务器返回给用户一个电

基金项目：陕西省自然科学研究计划项目( 0 13 ) 2 0 x 0

本文来源：https://www.bwwdw.com/article/pa2m.html