- 23 -
登录页面背景图信 息 技 术
0 引言
门户系统需要利用统一的入口实现资源和应用集成,以便为用户提供多层次的服务。登录门户系统时,用户只需要登录一次就可访问多个应用系统,避免系统多次对用户身份进行认证,从而为用户获取资源提供便利。因此,加强门户系统单点登录技术的研究,是系统提供一站式服务的重要基础保障。
1 门户系统的登录问题
在大数据、云计算等信息技术取得快速发展的背景下,门户系统可以完成统一协作平台的建立,提供统一时搜索引擎,实现各种系统的连接以及数据的整合,为信息资源的整合利用提供了技术支撑。通过门户系统,用户可以对与之相关的业务系统进行访问。按照传统登录方案,无论登录哪个系统都要完成身份认证;在每个系统拥有单独登录信息的情况下,实现系统切换需要重新输入登录信息。在各种信息管理系统不断增多的情况下,用户需要记忆的信息也会增多,这就会导致用户在登录门户系统时有较大的负担,无法充分发挥系统集成资源的作用[1]。此外,用户如果要完成多个系统的同时登录,就需要完成复杂的操作。
因此就给系统应用集成带来困难,在影响用户工作效率的同时,增加了系统出错的概率。
2 门户系统的单点登录技术分析2.1 单点登录方案
结合门户系统登录存在的问题,研究人员加强了单点登录技术的应用,将各系统身份认证步骤整合在一起,提供专门的身份认证服务,确保用户通过1次登录就可以在互信应用中随意切换。单点登录作为用户管理机制的1种,能够提供统一认证和授权行为的管理服务,用户身份一经认证就可以授权给各种应用系统。从技术应用原理上来看,在用户通过客户端打开门户系统的登录窗口后,输入的用户名、密码等将被系统服务器接收,经过验证后顺利进行系统登录。在对门户系统中的应用服务进行访问时,系统可以完成账号、密码的自动匹配和校验,实现系统之间用户身份的快速认证,因此用户无需重复输入账号密码。
采用单点登录方案,需要实现信息数据和界面的集成。针对门户系统提供的基础服务,采用抽取、重组和链接等技术实现系统之间信息流程的整合,对系统应用和数据进行集成。结合用户需要,在门户系统中展现的各类系统数据需要得到集成,确保应用界面、图表等可以集中展示。根据用户实际关注的内容,在门户系统界面上进行各种应用的集中展示,能够方便用户实现各种系统的快速登录,确保各种数据信息得到快速处理,进而为用户获取资源提供便利。
2.2 总体技术架构
结合门户系统的单点登录技术方案,对各个应用系统拥有的认证模块和权限控制模块进行整合,完成门户系统设计,实现对各种应用系统的统一访问控制。从总体技术架构上来看,单点登录技术架构由目录接口层、目录服务层和访问接口层构成。在目录接口层,可以实现各种系统用户身份认证目录服务器的连接。采用轻量级的目录访问协议,为各种系统提供数据信息交换接口,保证各系统的相互访问需求能够得到满足。按照标准的LDAP 协议标准,实现单点登录的门户系统可以与各种系统交互用户的身份验证信息,为系统之间用户身份相互验证功能的实现提供技术支持。在目录服务层,需要采用微软活动目录服务技术提供统一验证基准记录;需要拥有完善配置的服务器来存储用户和系统的各种资源信息,同时也包括访问权限信息可以在系统验证用户身份时提供参考标准[2]。在该层支撑下,门户系统将拥有对各种连接系统的管理权限,因此可以为单点登录技术的实现提供保障。在访问接口层,需要集中提供认证服务的验证接口模块,对不同应用系统需要提供不同的模块,以便利用应用程序实现接口服务的集中认证。
2.3 登录表单生成
在门户系统与各应用系统之间,采取了服务器-客户端的通信模式,需要由服务器负责进行用户信息数据的接收,然后为各应用系统提供成功登录的证明。在整个过程中,系统需要完成加密数据库的建立,从而实现用户认证信息的存储。在成功完成登录半静态调度(SPS)S 验证后,可以从加密数据库中获得用户信息,用于访问其他系统服
门户系统单点登录技术探究
王斌儒 于伟凯 尚永涛
(中车青岛四方机车车辆股份有限公司,山东 青岛 266111)
摘 要:在门户系统的平台功能随着业务需求不断扩展的背景下,门户系统需要管理的子系统也在不断增加。门户系统入口信息逐渐增多,在登录时给用户带来较大的负担。针对门户系统登录时出现的,该文提出了1种单点登录的技术方案,该方案可以采取一体化的方法实现用户身份的立体、动态认证,确保用户可以通过一次验证实现跨系统登录,完成各种应用系统的全方位认证。关键词:门户系统;单点登录;身份认证中图分类号:TP 393 文献标志码:A
- 24 -
信 息 技 术
务器。而在门户系统数据库中,需要存放登录表单。在用户第一次访问阶段,需要利用系统的应用程序对用户登录各种系统的信息进行集成,形成登录表单(见表1),作为用户通过门户系统访问各种应用系统的凭证。在应用程序中,需要对表单中的字段编号、顺序等进行设置,确保用户的登录表单能够自动生成,实现用户不同账户信息的映射,必要时重新建立表单定向。在对数据库中的凭证进行检查时,采取适合的方式,从凭证存储区获取凭证,完成相应系统的登录。
2.4 用户身份认证
采用通用接口对应用程序进行调用,在用户身份认证的基础上保证数据传输的安全。实际应用中,在对用户身份进行认证时,需要采用证书机制和安全套接层(SSL)代理机制,在完成信息认证后向应用系统传输信息。在SSL 客户端和服务器之间,需要监理加密通道,保证数据安全传输。客户端的界面操作,包括登录代理、CA 认证服务器、凭证数据库、SSL 通信、LDAP 目录服务器等。它可以用于用户数字证书进行申请、保存和注销的管理,以加强对用户信息安全的保护。在各系统之间,拥有共享密钥,数据库与相应的认证服务被称为密钥分发中心。在登录门户系统后,经过密钥分发中心成功认证的用户可以获得安全认证凭证,在访问其他应用系统时出示这一凭证就可以获得应用服务[3]。在第三方认证上,通过代理可以提供统一的认证机制,同时完成对已经应用的认证模块的修改。
2.5 用户凭证管理
在用户凭证的管理上,采用 LADP 服务器进行凭证保存,其核心为目录信息树,他可以对用户基本信息、权限角信息等进行存储。在用户完成1次登录后,可以获得用户登录和授权信息,并在数据库(DB)中保存。在通过标准目录访问协议接口进行系统登录时,可以完成对目录信息的访问,实现用户信息验证,然后通过单点登录完成各应用系统的统一登录。对应用系统进行访问时,认证服务器可以从LDAP 服务器中获取信息,并根据信息从数据库中调取凭证,完成从用户身份到凭证的映射。在信息映射方面,用户注册时可以生成全局唯一的ID,按照认证应用类型、访问方式等在对应注册文件中进行保存。采用标准接口,可以使后续应用系统的接入符合接口验证标准,保证系统之间能够顺利实现信息交换。用户登录门户系统后,可以利用凭证管理器实现对凭证对象的缓存。如果用
户需要对应用系统进行访问,可以先通过管理器完成对凭证对象的查,避免因反复创建凭证而导致系统运行效率过低。
3 门户系统的单点登录技术实现3.1 应用系统门户改造
在实现企业门户系统开发方案的过程中,需要先对企业现有的各种应用系统的登录功能进行改造,确保系统单点登录技术能够顺利实现。具体来讲,就是按照之前的技术路线对各业务系统进行集中改造,利用门户系统使各种应用系统的多账号问题得到解决。门户系统部署在IBM L924服务器上,共包括2台、而安全认证网关在独立的IBM L922服务器上部署,各服务器统一配置Windows Server 2016系统,各系
统连接用户数最大能够达到1 300。通过采用B/S 架构,在门户系统中对各系统的用户管理和登录管理等模块进行集成;首先,对登录网页进行修改,将登录界面及相关ID、密码等代码删除;其次增设安全认证网关接口函数,可以通过调用函数对原本ID 等代码进行获取;最后,采用URL 地址将门户系统网页打开后,就可以完成绝对URL 地址的设定,确保获取的代码可以顺利传递至系统的主网页。各应用系统的入口网页和主网页在相同的服务器上运行,并设置了相同的目录,在客户端登录时将被安全认证网关隔离,难以利用内存实现ID 等代码的传递。因此,还要利用URL 参数传递方式,并通过增设IP 和加密,在服务器上建立相应的文该文件,利用字符序列进行加密和解密,使系统各层的安全漏洞得到有效解决。在从安全认证网关对证书管理系统的ID 进行获取时,需要保证其与用户管理模板拥有相同的ID。直接利用接口函数获取用户ID,在关键信息输入框里对ID 等信息进行编辑,然后调用接口函数,并从目录数据库中获取信息。在网关中将登陆页面设定为门户系统的入口页面,然后将各应用系统的入口地址设定为安全认证网关,就可以完成对系统登录的改造。
3.2 数据表关系映射
门户系统与各应用系统间实现单点登录,需做好对各应用系统主数据表的对照,保证用户信息得到科学映射,从而建立相应的用户映射表,为后续各种数据信息的调用和认证提供支持。
在各系统间开展临时会话时,需要建立会话表,其中
表1 用户登录信息主表
字段名称
字段含义字段类型说明Fname用户姓名NVarChar(50)真实姓名FloginNAME登录用户名NVarChar(50)
非空FuserID用户编号Int(4)PK,自增Fsex
性别Int(1)真实性别FloginPassword登录密码NVarChar(50)非空FuserTeleNVarChar(20)—Fuserzhiwu
职务
NVarChar(20)
—
- 25 -
信 息 技 术
包括FlashID、FlashEID 等通用字段以及对应系统的信息字段,确保信息数据可以在系统间正常传递。如图1所示,通过做好主数据表的关系设置,可以使数据信息得到一一映射,为单点登录功能的实现提供了数据支撑。采用单点登录技术实现注册操作,可以直接定向至注册页面、返回登录页面和自动生成ID。完成用户信息创建后,会将验证信息存储到门户系统储存在用户本地终端上的数据(Cookie)以及相关数据库中,完成基本映射表的创建,使用户主数据表的关系得到确认。在修改信息时,需要重新完成非关键信息和映射关系的设定,并对信息进行保存,传入本地Cookie 和临时会话表并完成时域(Session)状态变量的创建。利用门户系统对用户身份进行验证,将自动生成Cookie 和安全凭据(TSC)信息,利用Cookie 和Session 对用户登录状态进行确认。TSC 为安全凭据,可以作为用户认证身份的凭据。而Cookie 可以通过数据加密保证数据的安全,只要确认其验证信息有效就可以根据Session 中的变量进行业务系统加载。
3.3 首次登录系统流程
用户首次登录任何一个应用系统时,在用户名和密码输入后,系统将发起网络会话,向门户系统SSO 发出登录认证服务申请。如图2所示,门户系统根据站点请求,将对用户名和密码的合法性进行验证,根据客户端安全认证网关的目标地址对USB Key 用户证书进行获取,传递给服务器确认是否合法。确认通
过验证后,可以生成TSC 对会话用户进行标识,并在临时会话表中对站点标识符进行记录。门户系统将获得的用户信息数据和TSC 返给应用系统后,子站应用系统可以完成系统登录处理。如果请求无法通过验证,应用系统只能接受到错误代码。完成状态码校验后,可以利用Cookie 对验证信息进行保存,并对相关数据进行记录。未通过验证,将提示登陆失败。由于用户注册和认证都将在门户系统中实现,因此各应用系统无需提供登录服务,只需要通过门户系统授权后就能实现单点登录操作,让用户直接进入业务界面处理相关业务。
3.4 登录状态转移过程
实现单点登录就意味用户在完成一次登录后,进入权限允许的其他应用系统时不需要再次登录。因为此时用户所在客户端浏览器中存储了之前登录门户系统后的Cookie,可以直接将Cookie 发送至门户系统完成认证。在实际操作时,需要利用站点Cookie 开展网络会话,验证登录状态,查userset、Flashrun 等映射表中的关键信息。确认用户权限可以进行其他系统的登录后,系统将跳转至登录界面实现自动登录,使用户在正常业务界面进行操作。如果用户权限不允许,门户系统将提示用户无法完成登录状态转移。
对单点登录技术的实际效果进行分析,可以发现除首次登录门户系统网页时响应速度较慢以外,其他实现登录状态转移的操作可以在3 s~5 s 获得响应,可以达到理想的登录效果。
3.5 系统注销登出管理
采用单点登录技术,要求用户在完成系统操作后注销退出,以免给系统使用的安全性带来较大的威胁。在注销操作时,同样可以实现单点注销,通过1次操作将所有应用系统中的临时会话等信息删除。在应用系统中点击退出按钮后,系统将向门户系统发送注销申请,并将本地会话取消。门户系统根据申请,向之前用户登录的应用系统发出注销指令,将系统随机FlashID 清除,确保其他登录系统的运行代码都处于终止状态,并恢复到原本的状态值,继而使用户退出全部系统。
4 结论
总的来说,单点登录技术的应用,使用户通过一次身份验证就可以实现各种应用系统的切换登录,为门户系统的一站式服务提供了有效的保障,为用户获取信息资源提供了更便利的途径。在实际应用中,单点登录技术还需要不断地探索与创新,通过制定科学的研究方案,提升单点登录的技术水平,让它为用户带来更好的操作体验。
参考文献
[1]杨世旺,刘波.门户网站集成第三方系统单点登录[J].视听,2019(5):75-77.
[2]伍孟轩,李伟,易叔海,等.跨域
单点登录解决方案研究[J].网络安全技术与应用,2018(2):49-51. [3]任海艳,梁海玲.基于Portal
的企业门户单点登录和应用集成研究[J].
计算机光盘软件与应用,2015,18(1):166-167.
图1 系统主数据表关系
图 2 用户身份首次验证流程
否通过
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论