基于CAS神東身份認證與管理平臺的設計與實現(xiàn)
所屬分類:電子論文 閱讀次 時間:2020-12-01 10:06 本文摘要:摘要:基于企業(yè)對信息化的需求越來越多���,神東煤炭集團開發(fā)了全面的信息系統(tǒng)供不同業(yè)務板塊使用�����,各系統(tǒng)統(tǒng)一身份認證互通成為各大業(yè)務系統(tǒng)需要解決的問題����,為減少用戶記錄各系統(tǒng)的不同密碼與賬號的麻煩�����,解決因系統(tǒng)較多給用戶及企業(yè)管理帶來的不便��。神東研發(fā)
摘要:基于企業(yè)對信息化的需求越來越多����,神東煤炭集團開發(fā)了全面的信息系統(tǒng)供不同業(yè)務板塊使用,各系統(tǒng)統(tǒng)一身份認證互通成為各大業(yè)務系統(tǒng)需要解決的問題,為減少用戶記錄各系統(tǒng)的不同密碼與賬號的麻煩�����,解決因系統(tǒng)較多給用戶及企業(yè)管理帶來的不便�。神東研發(fā)人員就神東業(yè)務系統(tǒng)的現(xiàn)狀�,結合當前信息化發(fā)展的趨勢,以及CAS單點開源系統(tǒng)特點�,基于原系統(tǒng)設計開發(fā)出了一套符合神東信息整體規(guī)劃與適應未來業(yè)務發(fā)展的新的統(tǒng)一身份認證與管理平臺。通過此平臺可以解決記密碼難的問題�����,認證安全問題���,多平臺集中登錄問題��,同時增加日志審計模塊便于更好的實現(xiàn)信息審計����,為神東煤炭信息化高速公路奠定基礎���,為煤炭行業(yè)信息化集成提供解決方案����。
關鍵詞:統(tǒng)一身份;單點認證;CAS
1概述
原神東統(tǒng)一身份認證平臺僅支持WEB端的賬號密碼登錄,用戶需要記住賬號密碼���,原系統(tǒng)賬號密碼未設置高安全級別規(guī)則��。隨著移動應用的普及應用�����,原認證系統(tǒng)無法實現(xiàn)手機APP與WEB端通過統(tǒng)一平臺認證��,原認證平臺已無法滿足當前企業(yè)信息化發(fā)展以及企業(yè)信息系統(tǒng)的整體規(guī)劃需要����。由于原身份認證的技術是CAS���,為方便老系統(tǒng)無縫集成��,本系統(tǒng)也基于CAS實現(xiàn)神東統(tǒng)一身份認證���,解決原有系統(tǒng)存在的問題以及適應新的信息化發(fā)展要求,助力企業(yè)信息化整體的發(fā)展�,保障信息系統(tǒng)身份認證的安全與可靠��。
2需求說明
2.1支持多種身份認證神東作為大型煤炭企業(yè)�����,近4萬員工�����,需要通過信息平臺進行業(yè)務處理,需要通過統(tǒng)一身份認證平臺解決信息系統(tǒng)的身份認證問題��,神東統(tǒng)一身份認證平臺需求是實現(xiàn)PC端�����、移動端���、企業(yè)微信平臺身份認證系統(tǒng)集中統(tǒng)一��,根據(jù)平臺特點實現(xiàn)用戶賬號/身份證號/員工編碼與密碼登錄���、手機APP/企業(yè)微信掃碼登錄、短信驗證碼登錄�、企業(yè)微信平臺鑒權登錄等多種認證模式,簡化認證流程,多平臺身份認證互通����,最大化支持多種認證模式,便于用戶訪問多個應用系統(tǒng)�����。
2.2支持移動APP與H5身份認證合并通過平臺能使得APP認證后原生應用與H5應用身份認證統(tǒng)一����,便于多端、跨平臺的應用合并����,解決移動端身份認證難題。
3系統(tǒng)架構設計
3.1CAS工作原理
CAS(CentralAuthenticationService)是由耶魯大學發(fā)起的一個企業(yè)級的�����、開源的項目����,為WEB應用提供可信任的身份單點認證服務。TGT:TGT是CAS為用戶簽發(fā)的登錄票據(jù)����,擁有了TGT���,用戶就可以證明自己在CAS成功登錄過。TGC:存放用戶身份認證憑證的cookie�,在瀏覽器和CASServer間通訊時使用,并且只能基于安全通道傳輸Https)�����,是CASServer用來明確用戶身份的憑證���。ST:客戶端應用的憑證,不可重復����,時效短。認證過程:
(1)用戶訪問A系統(tǒng)資源���,判斷無會話被CAS客戶端攔截����,并重定向到CAS服務器�,檢查無TGT則返回登錄頁面��,并與server和ticket拼接成url返回等待用戶登錄���。
(2)用戶輸入登錄信息后提交,服務器接收驗證是否有效���,有效后返回重定向到server后A資源地址����,并設置CAS服務器域cookies的TGC�����,A系統(tǒng)帶著ticket與CAS服務器驗證票是否有效�,有效后綁定會話與用戶信息,再次訪問A系統(tǒng)則可以正常訪問�。
(3)上述通過后在B系統(tǒng)資源時,判斷會話不存在重定向到單點登錄地址���,判斷存在TGC����,攜帶到服務器認證����,判斷用戶登錄過了��,則不需要再次登錄即可訪問B系統(tǒng)資源�。
3.2系統(tǒng)架構設計
原有的系統(tǒng)實現(xiàn)認證方式單一不靈活�,隨著更安全高效的認證模式的發(fā)展以及認證途徑的多樣化,本系統(tǒng)架構在原有的基礎上進行了優(yōu)化與升級�����,方便快速構建新的認證方式��,基于SOA架構設計���,采用java語言開發(fā),使用關系數(shù)據(jù)庫及緩存技術實現(xiàn)�,通過身份認證模塊接口實現(xiàn)多種不同方式的身份認證,滿足適合本企業(yè)個性化的認證需求��,最終通過CAS實現(xiàn)統(tǒng)一身份認證�����。系統(tǒng)數(shù)據(jù)層通過緩存技術實現(xiàn)數(shù)據(jù)層的訪問與校驗��,提升認證速度,優(yōu)化用戶體驗����,提高系統(tǒng)訪問并發(fā)量,實現(xiàn)大負載高可用���。
4系統(tǒng)功能設計
系統(tǒng)功能主要是基于CAS認證中心����,通過接口開發(fā)的獨立的神東身份認證模塊��,此模塊可根據(jù)需要集成當前流行的各種認證方式�,具有較好的擴展性,后期用戶開發(fā)時勿須研究復雜的CAS認證過程����,只需要基于神東身份認證模塊開發(fā)新的認證接口即可。本系統(tǒng)將結合企業(yè)自身特點�,以及用戶使用信息系統(tǒng)的習慣,實現(xiàn)如下幾個功能模塊�。
4.1賬號密碼認證
基于傳統(tǒng)的身份認證方式,為了更好的與舊系統(tǒng)過渡����,保留原普通賬號密碼認證方式���,同時提高密碼強度校驗規(guī)則,對于弱口令用戶強制按新密碼規(guī)則修改����,密碼規(guī)則包含大小寫字母、數(shù)字��、特殊字符����。長度不少于8位。
4.2企業(yè)微信掃碼認證
通過企業(yè)微信用戶掃描二維碼��,通過企業(yè)微信用戶信息與二維碼token信息進行綁定����,后臺校驗用戶身份,實現(xiàn)企業(yè)微信掃碼后系統(tǒng)自動登錄功能��。該功能的實現(xiàn)���,將免除用戶在瀏覽器中輸入賬號密碼,減少賬號密碼被盜的風險提高了用戶認證的安全性�,因企業(yè)微信的安全可靠性����,用戶經常使用企業(yè)微信后���,將不需要再記住大量的賬號與密碼���,解決用戶登錄應用系統(tǒng)的煩惱。
4.3移動APP掃碼認證
自動生成二維碼��,二維碼設置2分鐘有效期�����,超時后重新生成�,二維碼由系統(tǒng)隨機生成,系統(tǒng)通過代碼實現(xiàn)判斷是否掃碼并確認登錄��,如確認登錄��,則系統(tǒng)自動登錄認證并綁定用戶信息��。移動APP掃碼功能同企業(yè)微信掃碼功能類似�,是基于自建APP掃碼實現(xiàn),該功能也是通過統(tǒng)一身份認證平臺身份認證���,通過APP掃碼實現(xiàn)WEB端免密的登錄認證方式����,此種方式將采用token交換的方式解決登錄認證的安全性���。
4.4移動APP通過企業(yè)微信認證
神東自建移動APP登錄認證方式除了支持傳統(tǒng)的賬號密碼登錄方式����,還支持通過企業(yè)微信的sdk一鍵登錄�,企業(yè)微信為企業(yè)內部的溝通工具,認證機制很安全�,移動APP基于企業(yè)微信一鍵登錄,實現(xiàn)APP端用戶身份認證�����。此功能不需要記住任何用戶名密碼即可實現(xiàn)認證�����,后臺通過統(tǒng)一的身份鑒權模塊����,最終實現(xiàn)單點統(tǒng)一認證,認證成功后����,再次進入APP后將不再需要登錄,通過靜默登錄功能實現(xiàn)免登錄���。
4.5短信驗證碼掃碼認證
短信驗證是當前較流行的簡單認證方式��,通過短信接口實現(xiàn)短信驗證碼的發(fā)送����,設置短信驗證碼的有效期為1分鐘���,可多次發(fā)送驗證碼��,為確保短信驗證安全����,后臺會發(fā)送驗證token至客戶端�,需要客戶提交登錄時發(fā)送到后臺進行token校驗,為確保安全��,驗證碼指定有效期,過期后不能通過認證���。移動端短信驗證通過一鍵獲取手機號的方式��,驗證用戶信息���,驗證手機號用戶狀態(tài),通過后自動發(fā)送短信驗證碼��,為了便于用戶填寫驗證碼�����,系統(tǒng)支持剪切板自動錄入短信驗證碼����,實現(xiàn)用戶快速登錄的目標,此功能極大提高了用戶認證的速度��,提高了用戶體驗��。
4.6十天免登錄
十天免登錄功能基于用戶經常訪問系統(tǒng)時每次需要輸入登錄信息很浪費時間��,為了滿足登錄設備相對固定�,安全意識強的用戶需要�����,針對部分用戶單獨授權實現(xiàn)十天免登錄,通過勾選免登錄選項���,實現(xiàn)十天免登錄�,后期訪問系統(tǒng)直接認證通過���,后臺記錄登錄人ip信息與token驗證信息����,確保免登錄用戶信息不被偽造��。免登錄信息在新的電腦登錄后���,舊的電腦將不能自動免登錄�����,有效保證用戶登錄信息安全����,不被非法用戶使用。
4.7登錄審計日志
記錄用戶的登錄認證方式�����,登錄成功與否��,登錄用戶的客戶端信息如瀏覽器�、分辨率、操作系統(tǒng)等信息��,便于分析用戶登錄數(shù)據(jù)����,以便更好的優(yōu)化升級系統(tǒng)。為確保統(tǒng)一身份認證平臺的安全���,系統(tǒng)對登錄異常信息進行分析���。對于錯誤次數(shù)超過規(guī)定次數(shù)的訪問做拒絕處理。
4.8移動APP靜默登錄認證功能
移動端用戶第一次認證通過后�,后期用戶使用APP時,不再需要輸入驗證信息進行身份認證��。系統(tǒng)基于綁定用戶設備信息以及有效期內的token信息共同識別后臺綁定的用戶信息���,通過統(tǒng)一身份認證平臺后臺實現(xiàn)靜默身份認證����,不需要用戶進行任何操作即可實現(xiàn)身份鑒權的目標。系統(tǒng)不僅有效解決了移動端原身份驗證不能通過單點認證的問題�����,而且解決了移動端webview應用與移動端原生應用共用一套身份證驗證信息���,避免多平臺使用多次認證的麻煩,解決不同平臺系統(tǒng)集成的難題�����,實現(xiàn)一平臺多架構的認證機制��,降低了神東移動業(yè)務集成難度���。
4.9密碼找回���、修改功能
統(tǒng)一身份認證平臺不僅支持用戶登錄認證,同時支持用戶通過短信驗證碼找回密碼與修改密碼����。實現(xiàn)用戶密碼統(tǒng)一管理��,弱口令密碼強制用戶提升安全級別�����。
5系統(tǒng)部署
系統(tǒng)部署一套CAS認證服務器����,統(tǒng)一管理一套組織機構��、用戶名與密碼信息��,通過緩存實現(xiàn)賬號登錄驗證����,提高了登錄認證的速度,為了便于各子系統(tǒng)集成�����,統(tǒng)一用戶組織機構與用戶信息�����,提供子系統(tǒng)用戶信息集成接口,統(tǒng)一維護機構與用戶信息����,減少多點維護造成的時間浪費與數(shù)據(jù)不準確的問題,使用一整套組織��、人員數(shù)據(jù)����,使統(tǒng)一身份認證信息統(tǒng)一可靠。
6結束語
神東新統(tǒng)一身份認證系統(tǒng)可以實現(xiàn)神東各業(yè)務系統(tǒng)一處登錄����,多處漫游訪問�����,使用基于賬號密碼�、短信驗證碼、企業(yè)微信掃碼����、移動APP掃碼等認證方式解決多點的身份認證問題,不再需要記錄很多用戶名密碼���,甚至不需要知道用戶名密碼即可實現(xiàn)身份的鑒權�,解決了用戶登錄系統(tǒng)的麻煩。為了平臺能便于集成各大應用系統(tǒng)���,使信息化系統(tǒng)的更好實施與落地�,本系統(tǒng)采用較通用的認證解決方案���,適用于企業(yè)各大信息系統(tǒng)的統(tǒng)一身份認證的需要��。
自動化論文投稿期刊:《自動化與儀器儀表》(Automation&Instrumentation)雜志創(chuàng)刊于1981年�����,是由重慶市自動化與儀器儀表學會和重慶工業(yè)自動化儀表研究所主辦,其特點是學術水平高���、實用性強、覆蓋面寬��、發(fā)行量大��、廣告效果好�。
新的身份認證系統(tǒng)上線后,經測試,能與現(xiàn)使用的企業(yè)微信平臺充分結合��,擴寬了身份認證方式�����,實現(xiàn)了需求目標���。為了便于實現(xiàn)不同平臺的多渠道認證���,進一步加強了系統(tǒng)接口的擴展能力,有效解決了不同客戶端使用同一認證方式的難題���。未來將根據(jù)企業(yè)信息化發(fā)展需要不斷集成新的客戶端��,真正實現(xiàn)一站式集中認證,有效解決企業(yè)信息化發(fā)展的瓶頸��,降低信息化項目實施成本��。
參考文獻:
[1]沈杰�,朱程榮.基于Yale-CAS的單點登錄的設計與實現(xiàn)[J].計算機技術與發(fā)展,2007(12):144-146.
[2]蘇國輝.基于CAS和LDAP的單點登錄系統(tǒng)設計與實現(xiàn)[J].自動化與儀器儀表��,2017(010):101-103.
[3]孫甲泉.基于LDAP的CAS的校園統(tǒng)一身份認證系統(tǒng)的研究[J].電腦知識與技術,2013(2X):1318-1320.
[4]王崢.基于CAS構建門戶平臺的單點認證模型[D].北京大學��,2008.
[5]王興建��,陳平�����,田小萍.基于微信企業(yè)號的掃碼認證授權的設計與實現(xiàn)[A].中國計算機用戶協(xié)會網(wǎng)絡應用分會.中國計算機用戶協(xié)會網(wǎng)絡應用分會2018年第二十二屆網(wǎng)絡新技術與應用年會論文集[C].中國計算機用戶協(xié)會網(wǎng)絡應用分會:北京聯(lián)合大學北京市信息服務工程重點實驗室�����,2018:4.
[6]譚立球����,費耀平,李建華.企業(yè)信息門戶單點登錄系統(tǒng)的實現(xiàn)[J].計算機工程����,2005,31(17):102-104.
[7]秦怡��,馬自衛(wèi).基于CAS模式的統(tǒng)一認證與門戶管理的研究與實現(xiàn)[J].現(xiàn)代圖書情報技術�����,2008(12):1-7.
[8]王水霞.神東業(yè)務協(xié)同平臺設計與實現(xiàn)[J].陜西煤炭,2013��,32(002):49-51.
[9]張倩.基于SOA架構的企業(yè)應用集成的設計和實現(xiàn)[D].北京交通大學��,2008.
[10]廖露陽�,郭兵.基于AndroidAPP安全登錄認證解決方案[J].現(xiàn)代計算機,2016(12):9-12.
[11]景民昌����,唐弟官.開放源碼的CAS單點登錄系統(tǒng)研究[J].現(xiàn)代情報,2009�,29(003):125-127.
[12]張冬冬.基于CAS實現(xiàn)的單點登錄模型的改進及其應用[D].吉林大學,2011.
作者:賀建榮��,劉明昌����,王歡
轉載請注明來自發(fā)表學術論文網(wǎng):http:///dzlw/25018.html
