基于CAS神東身份認(rèn)證與管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)
所屬分類:電子論文 閱讀次 時(shí)間:2020-12-01 10:06 本文摘要:摘要:基于企業(yè)對(duì)信息化的需求越來越多�����,神東煤炭集團(tuán)開發(fā)了全面的信息系統(tǒng)供不同業(yè)務(wù)板塊使用���,各系統(tǒng)統(tǒng)一身份認(rèn)證互通成為各大業(yè)務(wù)系統(tǒng)需要解決的問題,為減少用戶記錄各系統(tǒng)的不同密碼與賬號(hào)的麻煩����,解決因系統(tǒng)較多給用戶及企業(yè)管理帶來的不便。神東研發(fā)
摘要:基于企業(yè)對(duì)信息化的需求越來越多���,神東煤炭集團(tuán)開發(fā)了全面的信息系統(tǒng)供不同業(yè)務(wù)板塊使用�����,各系統(tǒng)統(tǒng)一身份認(rèn)證互通成為各大業(yè)務(wù)系統(tǒng)需要解決的問題����,為減少用戶記錄各系統(tǒng)的不同密碼與賬號(hào)的麻煩�����,解決因系統(tǒng)較多給用戶及企業(yè)管理帶來的不便���。神東研發(fā)人員就神東業(yè)務(wù)系統(tǒng)的現(xiàn)狀���,結(jié)合當(dāng)前信息化發(fā)展的趨勢(shì)�,以及CAS單點(diǎn)開源系統(tǒng)特點(diǎn)�����,基于原系統(tǒng)設(shè)計(jì)開發(fā)出了一套符合神東信息整體規(guī)劃與適應(yīng)未來業(yè)務(wù)發(fā)展的新的統(tǒng)一身份認(rèn)證與管理平臺(tái)�����。通過此平臺(tái)可以解決記密碼難的問題����,認(rèn)證安全問題,多平臺(tái)集中登錄問題����,同時(shí)增加日志審計(jì)模塊便于更好的實(shí)現(xiàn)信息審計(jì),為神東煤炭信息化高速公路奠定基礎(chǔ)����,為煤炭行業(yè)信息化集成提供解決方案。
關(guān)鍵詞:統(tǒng)一身份;單點(diǎn)認(rèn)證;CAS
1概述
原神東統(tǒng)一身份認(rèn)證平臺(tái)僅支持WEB端的賬號(hào)密碼登錄���,用戶需要記住賬號(hào)密碼���,原系統(tǒng)賬號(hào)密碼未設(shè)置高安全級(jí)別規(guī)則。隨著移動(dòng)應(yīng)用的普及應(yīng)用�����,原認(rèn)證系統(tǒng)無法實(shí)現(xiàn)手機(jī)APP與WEB端通過統(tǒng)一平臺(tái)認(rèn)證�,原認(rèn)證平臺(tái)已無法滿足當(dāng)前企業(yè)信息化發(fā)展以及企業(yè)信息系統(tǒng)的整體規(guī)劃需要。由于原身份認(rèn)證的技術(shù)是CAS�����,為方便老系統(tǒng)無縫集成�����,本系統(tǒng)也基于CAS實(shí)現(xiàn)神東統(tǒng)一身份認(rèn)證���,解決原有系統(tǒng)存在的問題以及適應(yīng)新的信息化發(fā)展要求�����,助力企業(yè)信息化整體的發(fā)展�����,保障信息系統(tǒng)身份認(rèn)證的安全與可靠���。
2需求說明
2.1支持多種身份認(rèn)證神東作為大型煤炭企業(yè)���,近4萬員工,需要通過信息平臺(tái)進(jìn)行業(yè)務(wù)處理���,需要通過統(tǒng)一身份認(rèn)證平臺(tái)解決信息系統(tǒng)的身份認(rèn)證問題����,神東統(tǒng)一身份認(rèn)證平臺(tái)需求是實(shí)現(xiàn)PC端�、移動(dòng)端、企業(yè)微信平臺(tái)身份認(rèn)證系統(tǒng)集中統(tǒng)一��,根據(jù)平臺(tái)特點(diǎn)實(shí)現(xiàn)用戶賬號(hào)/身份證號(hào)/員工編碼與密碼登錄����、手機(jī)APP/企業(yè)微信掃碼登錄、短信驗(yàn)證碼登錄����、企業(yè)微信平臺(tái)鑒權(quán)登錄等多種認(rèn)證模式��,簡(jiǎn)化認(rèn)證流程�,多平臺(tái)身份認(rèn)證互通���,最大化支持多種認(rèn)證模式��,便于用戶訪問多個(gè)應(yīng)用系統(tǒng)。
2.2支持移動(dòng)APP與H5身份認(rèn)證合并通過平臺(tái)能使得APP認(rèn)證后原生應(yīng)用與H5應(yīng)用身份認(rèn)證統(tǒng)一��,便于多端�、跨平臺(tái)的應(yīng)用合并,解決移動(dòng)端身份認(rèn)證難題���。
3系統(tǒng)架構(gòu)設(shè)計(jì)
3.1CAS工作原理
CAS(CentralAuthenticationService)是由耶魯大學(xué)發(fā)起的一個(gè)企業(yè)級(jí)的���、開源的項(xiàng)目,為WEB應(yīng)用提供可信任的身份單點(diǎn)認(rèn)證服務(wù)�����。TGT:TGT是CAS為用戶簽發(fā)的登錄票據(jù)���,擁有了TGT�����,用戶就可以證明自己在CAS成功登錄過���。TGC:存放用戶身份認(rèn)證憑證的cookie���,在瀏覽器和CASServer間通訊時(shí)使用,并且只能基于安全通道傳輸Https)�����,是CASServer用來明確用戶身份的憑證��。ST:客戶端應(yīng)用的憑證����,不可重復(fù),時(shí)效短����。認(rèn)證過程:
(1)用戶訪問A系統(tǒng)資源,判斷無會(huì)話被CAS客戶端攔截����,并重定向到CAS服務(wù)器����,檢查無TGT則返回登錄頁面��,并與server和ticket拼接成url返回等待用戶登錄�����。
(2)用戶輸入登錄信息后提交�,服務(wù)器接收驗(yàn)證是否有效,有效后返回重定向到server后A資源地址���,并設(shè)置CAS服務(wù)器域cookies的TGC,A系統(tǒng)帶著ticket與CAS服務(wù)器驗(yàn)證票是否有效�����,有效后綁定會(huì)話與用戶信息�,再次訪問A系統(tǒng)則可以正常訪問。
(3)上述通過后在B系統(tǒng)資源時(shí)��,判斷會(huì)話不存在重定向到單點(diǎn)登錄地址�,判斷存在TGC,攜帶到服務(wù)器認(rèn)證,判斷用戶登錄過了�����,則不需要再次登錄即可訪問B系統(tǒng)資源�����。
3.2系統(tǒng)架構(gòu)設(shè)計(jì)
原有的系統(tǒng)實(shí)現(xiàn)認(rèn)證方式單一不靈活���,隨著更安全高效的認(rèn)證模式的發(fā)展以及認(rèn)證途徑的多樣化��,本系統(tǒng)架構(gòu)在原有的基礎(chǔ)上進(jìn)行了優(yōu)化與升級(jí)��,方便快速構(gòu)建新的認(rèn)證方式����,基于SOA架構(gòu)設(shè)計(jì)���,采用java語言開發(fā)�,使用關(guān)系數(shù)據(jù)庫及緩存技術(shù)實(shí)現(xiàn)���,通過身份認(rèn)證模塊接口實(shí)現(xiàn)多種不同方式的身份認(rèn)證���,滿足適合本企業(yè)個(gè)性化的認(rèn)證需求���,最終通過CAS實(shí)現(xiàn)統(tǒng)一身份認(rèn)證。系統(tǒng)數(shù)據(jù)層通過緩存技術(shù)實(shí)現(xiàn)數(shù)據(jù)層的訪問與校驗(yàn)����,提升認(rèn)證速度,優(yōu)化用戶體驗(yàn)����,提高系統(tǒng)訪問并發(fā)量,實(shí)現(xiàn)大負(fù)載高可用��。
4系統(tǒng)功能設(shè)計(jì)
系統(tǒng)功能主要是基于CAS認(rèn)證中心�����,通過接口開發(fā)的獨(dú)立的神東身份認(rèn)證模塊���,此模塊可根據(jù)需要集成當(dāng)前流行的各種認(rèn)證方式,具有較好的擴(kuò)展性�����,后期用戶開發(fā)時(shí)勿須研究復(fù)雜的CAS認(rèn)證過程,只需要基于神東身份認(rèn)證模塊開發(fā)新的認(rèn)證接口即可�。本系統(tǒng)將結(jié)合企業(yè)自身特點(diǎn),以及用戶使用信息系統(tǒng)的習(xí)慣�,實(shí)現(xiàn)如下幾個(gè)功能模塊。
4.1賬號(hào)密碼認(rèn)證
基于傳統(tǒng)的身份認(rèn)證方式��,為了更好的與舊系統(tǒng)過渡��,保留原普通賬號(hào)密碼認(rèn)證方式���,同時(shí)提高密碼強(qiáng)度校驗(yàn)規(guī)則��,對(duì)于弱口令用戶強(qiáng)制按新密碼規(guī)則修改��,密碼規(guī)則包含大小寫字母��、數(shù)字���、特殊字符。長度不少于8位�����。
4.2企業(yè)微信掃碼認(rèn)證
通過企業(yè)微信用戶掃描二維碼�,通過企業(yè)微信用戶信息與二維碼token信息進(jìn)行綁定����,后臺(tái)校驗(yàn)用戶身份����,實(shí)現(xiàn)企業(yè)微信掃碼后系統(tǒng)自動(dòng)登錄功能。該功能的實(shí)現(xiàn)���,將免除用戶在瀏覽器中輸入賬號(hào)密碼�,減少賬號(hào)密碼被盜的風(fēng)險(xiǎn)提高了用戶認(rèn)證的安全性�����,因企業(yè)微信的安全可靠性����,用戶經(jīng)常使用企業(yè)微信后,將不需要再記住大量的賬號(hào)與密碼���,解決用戶登錄應(yīng)用系統(tǒng)的煩惱�。
4.3移動(dòng)APP掃碼認(rèn)證
自動(dòng)生成二維碼��,二維碼設(shè)置2分鐘有效期�,超時(shí)后重新生成,二維碼由系統(tǒng)隨機(jī)生成�����,系統(tǒng)通過代碼實(shí)現(xiàn)判斷是否掃碼并確認(rèn)登錄���,如確認(rèn)登錄����,則系統(tǒng)自動(dòng)登錄認(rèn)證并綁定用戶信息�。移動(dòng)APP掃碼功能同企業(yè)微信掃碼功能類似,是基于自建APP掃碼實(shí)現(xiàn)�����,該功能也是通過統(tǒng)一身份認(rèn)證平臺(tái)身份認(rèn)證��,通過APP掃碼實(shí)現(xiàn)WEB端免密的登錄認(rèn)證方式�,此種方式將采用token交換的方式解決登錄認(rèn)證的安全性。
4.4移動(dòng)APP通過企業(yè)微信認(rèn)證
神東自建移動(dòng)APP登錄認(rèn)證方式除了支持傳統(tǒng)的賬號(hào)密碼登錄方式����,還支持通過企業(yè)微信的sdk一鍵登錄,企業(yè)微信為企業(yè)內(nèi)部的溝通工具��,認(rèn)證機(jī)制很安全,移動(dòng)APP基于企業(yè)微信一鍵登錄��,實(shí)現(xiàn)APP端用戶身份認(rèn)證�。此功能不需要記住任何用戶名密碼即可實(shí)現(xiàn)認(rèn)證,后臺(tái)通過統(tǒng)一的身份鑒權(quán)模塊�,最終實(shí)現(xiàn)單點(diǎn)統(tǒng)一認(rèn)證,認(rèn)證成功后���,再次進(jìn)入APP后將不再需要登錄�����,通過靜默登錄功能實(shí)現(xiàn)免登錄�。
4.5短信驗(yàn)證碼掃碼認(rèn)證
短信驗(yàn)證是當(dāng)前較流行的簡(jiǎn)單認(rèn)證方式��,通過短信接口實(shí)現(xiàn)短信驗(yàn)證碼的發(fā)送���,設(shè)置短信驗(yàn)證碼的有效期為1分鐘��,可多次發(fā)送驗(yàn)證碼�,為確保短信驗(yàn)證安全�����,后臺(tái)會(huì)發(fā)送驗(yàn)證token至客戶端��,需要客戶提交登錄時(shí)發(fā)送到后臺(tái)進(jìn)行token校驗(yàn)���,為確保安全���,驗(yàn)證碼指定有效期,過期后不能通過認(rèn)證����。移動(dòng)端短信驗(yàn)證通過一鍵獲取手機(jī)號(hào)的方式,驗(yàn)證用戶信息�����,驗(yàn)證手機(jī)號(hào)用戶狀態(tài)�����,通過后自動(dòng)發(fā)送短信驗(yàn)證碼����,為了便于用戶填寫驗(yàn)證碼,系統(tǒng)支持剪切板自動(dòng)錄入短信驗(yàn)證碼,實(shí)現(xiàn)用戶快速登錄的目標(biāo)����,此功能極大提高了用戶認(rèn)證的速度,提高了用戶體驗(yàn)��。
4.6十天免登錄
十天免登錄功能基于用戶經(jīng)常訪問系統(tǒng)時(shí)每次需要輸入登錄信息很浪費(fèi)時(shí)間�����,為了滿足登錄設(shè)備相對(duì)固定���,安全意識(shí)強(qiáng)的用戶需要�,針對(duì)部分用戶單獨(dú)授權(quán)實(shí)現(xiàn)十天免登錄���,通過勾選免登錄選項(xiàng)����,實(shí)現(xiàn)十天免登錄�,后期訪問系統(tǒng)直接認(rèn)證通過,后臺(tái)記錄登錄人ip信息與token驗(yàn)證信息����,確保免登錄用戶信息不被偽造����。免登錄信息在新的電腦登錄后���,舊的電腦將不能自動(dòng)免登錄���,有效保證用戶登錄信息安全��,不被非法用戶使用�����。
4.7登錄審計(jì)日志
記錄用戶的登錄認(rèn)證方式�����,登錄成功與否�,登錄用戶的客戶端信息如瀏覽器、分辨率��、操作系統(tǒng)等信息��,便于分析用戶登錄數(shù)據(jù)����,以便更好的優(yōu)化升級(jí)系統(tǒng)�����。為確保統(tǒng)一身份認(rèn)證平臺(tái)的安全��,系統(tǒng)對(duì)登錄異常信息進(jìn)行分析�。對(duì)于錯(cuò)誤次數(shù)超過規(guī)定次數(shù)的訪問做拒絕處理�����。
4.8移動(dòng)APP靜默登錄認(rèn)證功能
移動(dòng)端用戶第一次認(rèn)證通過后�,后期用戶使用APP時(shí),不再需要輸入驗(yàn)證信息進(jìn)行身份認(rèn)證�。系統(tǒng)基于綁定用戶設(shè)備信息以及有效期內(nèi)的token信息共同識(shí)別后臺(tái)綁定的用戶信息,通過統(tǒng)一身份認(rèn)證平臺(tái)后臺(tái)實(shí)現(xiàn)靜默身份認(rèn)證�����,不需要用戶進(jìn)行任何操作即可實(shí)現(xiàn)身份鑒權(quán)的目標(biāo)��。系統(tǒng)不僅有效解決了移動(dòng)端原身份驗(yàn)證不能通過單點(diǎn)認(rèn)證的問題��,而且解決了移動(dòng)端webview應(yīng)用與移動(dòng)端原生應(yīng)用共用一套身份證驗(yàn)證信息�,避免多平臺(tái)使用多次認(rèn)證的麻煩��,解決不同平臺(tái)系統(tǒng)集成的難題���,實(shí)現(xiàn)一平臺(tái)多架構(gòu)的認(rèn)證機(jī)制,降低了神東移動(dòng)業(yè)務(wù)集成難度���。
4.9密碼找回����、修改功能
統(tǒng)一身份認(rèn)證平臺(tái)不僅支持用戶登錄認(rèn)證����,同時(shí)支持用戶通過短信驗(yàn)證碼找回密碼與修改密碼��。實(shí)現(xiàn)用戶密碼統(tǒng)一管理�,弱口令密碼強(qiáng)制用戶提升安全級(jí)別。
5系統(tǒng)部署
系統(tǒng)部署一套CAS認(rèn)證服務(wù)器�����,統(tǒng)一管理一套組織機(jī)構(gòu)����、用戶名與密碼信息����,通過緩存實(shí)現(xiàn)賬號(hào)登錄驗(yàn)證�,提高了登錄認(rèn)證的速度,為了便于各子系統(tǒng)集成����,統(tǒng)一用戶組織機(jī)構(gòu)與用戶信息,提供子系統(tǒng)用戶信息集成接口�����,統(tǒng)一維護(hù)機(jī)構(gòu)與用戶信息����,減少多點(diǎn)維護(hù)造成的時(shí)間浪費(fèi)與數(shù)據(jù)不準(zhǔn)確的問題,使用一整套組織��、人員數(shù)據(jù)��,使統(tǒng)一身份認(rèn)證信息統(tǒng)一可靠�。
6結(jié)束語
神東新統(tǒng)一身份認(rèn)證系統(tǒng)可以實(shí)現(xiàn)神東各業(yè)務(wù)系統(tǒng)一處登錄,多處漫游訪問�,使用基于賬號(hào)密碼、短信驗(yàn)證碼����、企業(yè)微信掃碼���、移動(dòng)APP掃碼等認(rèn)證方式解決多點(diǎn)的身份認(rèn)證問題,不再需要記錄很多用戶名密碼��,甚至不需要知道用戶名密碼即可實(shí)現(xiàn)身份的鑒權(quán)�����,解決了用戶登錄系統(tǒng)的麻煩���。為了平臺(tái)能便于集成各大應(yīng)用系統(tǒng)����,使信息化系統(tǒng)的更好實(shí)施與落地����,本系統(tǒng)采用較通用的認(rèn)證解決方案���,適用于企業(yè)各大信息系統(tǒng)的統(tǒng)一身份認(rèn)證的需要�。
自動(dòng)化論文投稿期刊:《自動(dòng)化與儀器儀表》(Automation&Instrumentation)雜志創(chuàng)刊于1981年�,是由重慶市自動(dòng)化與儀器儀表學(xué)會(huì)和重慶工業(yè)自動(dòng)化儀表研究所主辦,其特點(diǎn)是學(xué)術(shù)水平高����、實(shí)用性強(qiáng)��、覆蓋面寬����、發(fā)行量大、廣告效果好���。
新的身份認(rèn)證系統(tǒng)上線后��,經(jīng)測(cè)試��,能與現(xiàn)使用的企業(yè)微信平臺(tái)充分結(jié)合��,擴(kuò)寬了身份認(rèn)證方式����,實(shí)現(xiàn)了需求目標(biāo)��。為了便于實(shí)現(xiàn)不同平臺(tái)的多渠道認(rèn)證�,進(jìn)一步加強(qiáng)了系統(tǒng)接口的擴(kuò)展能力,有效解決了不同客戶端使用同一認(rèn)證方式的難題。未來將根據(jù)企業(yè)信息化發(fā)展需要不斷集成新的客戶端���,真正實(shí)現(xiàn)一站式集中認(rèn)證�����,有效解決企業(yè)信息化發(fā)展的瓶頸�����,降低信息化項(xiàng)目實(shí)施成本���。
參考文獻(xiàn):
[1]沈杰,朱程榮.基于Yale-CAS的單點(diǎn)登錄的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展�����,2007(12):144-146.
[2]蘇國輝.基于CAS和LDAP的單點(diǎn)登錄系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].自動(dòng)化與儀器儀表����,2017(010):101-103.
[3]孫甲泉.基于LDAP的CAS的校園統(tǒng)一身份認(rèn)證系統(tǒng)的研究[J].電腦知識(shí)與技術(shù)�,2013(2X):1318-1320.
[4]王崢.基于CAS構(gòu)建門戶平臺(tái)的單點(diǎn)認(rèn)證模型[D].北京大學(xué),2008.
[5]王興建��,陳平�,田小萍.基于微信企業(yè)號(hào)的掃碼認(rèn)證授權(quán)的設(shè)計(jì)與實(shí)現(xiàn)[A].中國計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì).中國計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì)2018年第二十二屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會(huì)論文集[C].中國計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì):北京聯(lián)合大學(xué)北京市信息服務(wù)工程重點(diǎn)實(shí)驗(yàn)室���,2018:4.
[6]譚立球,費(fèi)耀平����,李建華.企業(yè)信息門戶單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2005�����,31(17):102-104.
[7]秦怡�,馬自衛(wèi).基于CAS模式的統(tǒng)一認(rèn)證與門戶管理的研究與實(shí)現(xiàn)[J].現(xiàn)代圖書情報(bào)技術(shù),2008(12):1-7.
[8]王水霞.神東業(yè)務(wù)協(xié)同平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].陜西煤炭����,2013,32(002):49-51.
[9]張倩.基于SOA架構(gòu)的企業(yè)應(yīng)用集成的設(shè)計(jì)和實(shí)現(xiàn)[D].北京交通大學(xué)����,2008.
[10]廖露陽,郭兵.基于AndroidAPP安全登錄認(rèn)證解決方案[J].現(xiàn)代計(jì)算機(jī)�,2016(12):9-12.
[11]景民昌,唐弟官.開放源碼的CAS單點(diǎn)登錄系統(tǒng)研究[J].現(xiàn)代情報(bào)���,2009���,29(003):125-127.
[12]張冬冬.基于CAS實(shí)現(xiàn)的單點(diǎn)登錄模型的改進(jìn)及其應(yīng)用[D].吉林大學(xué)����,2011.
作者:賀建榮���,劉明昌�����,王歡
轉(zhuǎn)載請(qǐng)注明來自發(fā)表學(xué)術(shù)論文網(wǎng):http:///dzlw/25018.html
