◆伍孟軒 李 偉 易叔海 程 蒙 劉 川

?

跨域單點(diǎn)登錄解決方案研究

◆伍孟軒 李 偉 易叔海 程 蒙 劉 川

（武漢虹旭信息技術(shù)有限責(zé)任公司 湖北 430200）

為了解決跨域系統(tǒng)集成、子系統(tǒng)技術(shù)逐步升級(jí)以及多個(gè)子系統(tǒng)需要多次登錄的問(wèn)題。本文結(jié)合目前所針對(duì)的業(yè)務(wù)系統(tǒng)特點(diǎn)，提出一種以HTTP、隨機(jī)驗(yàn)證碼（RIC：Random Identififying Code)、票據(jù)（ticket）、加密票據(jù)(mticket)和一次性驗(yàn)證票據(jù)DVP（Dispos-able verification paper）、業(yè)務(wù)應(yīng)用Session和本域Cookie為核心的跨域單點(diǎn)登錄解決方案，該方案以地址重定向的方式請(qǐng)求單點(diǎn)登錄服務(wù)器驗(yàn)證用戶信息并生成ticket、RIC、mticket以及指向RIC的DVP信息，并將對(duì)應(yīng)信息保存到數(shù)據(jù)庫(kù)。然后系統(tǒng)攜帶ticket和DVP信息重定向到目標(biāo)應(yīng)用，并通過(guò)嵌入應(yīng)用中的單點(diǎn)登錄客戶端解析相應(yīng)的票據(jù)、更新銷毀DVP并獲取登錄信息。獲取登錄信息后即可從獨(dú)立共享的資源訪問(wèn)機(jī)制中獲取授權(quán)信息，進(jìn)而保證系統(tǒng)一次登錄便能訪問(wèn)所有子系統(tǒng)受限資源。

單點(diǎn)登錄；Cookie；票據(jù)；跨域；認(rèn)證

0 引言

隨著技術(shù)的逐步發(fā)展，企業(yè)對(duì)自身信息化程度要求不斷提高，為保證已有系統(tǒng)正常運(yùn)行的情況下同時(shí)引入新的功能模塊，企業(yè)面臨遺留系統(tǒng)升級(jí)改造、新系統(tǒng)開發(fā)、第三方系統(tǒng)集成等問(wèn)題。為了保證已有系統(tǒng)正常運(yùn)行，企業(yè)選擇對(duì)遺留系統(tǒng)采取逐步升級(jí)方案，同時(shí)由于企業(yè)信息化的迫切需求，新系統(tǒng)的開發(fā)和第三方系統(tǒng)集成必須同步進(jìn)行。在獨(dú)立于原有系統(tǒng)的基礎(chǔ)上研發(fā)新系統(tǒng)一般都會(huì)涉及開發(fā)一套新用戶權(quán)限認(rèn)證機(jī)制，多套權(quán)限認(rèn)證機(jī)制會(huì)導(dǎo)致用戶需要記錄多個(gè)用戶名和密碼，這樣不僅會(huì)增加了用戶負(fù)擔(dān)而且使用戶密碼泄露的概率增大，更重要的是極大的降低了用戶的工作效率并導(dǎo)致信息系統(tǒng)孤島問(wèn)題。為了提高用戶工作效率、解決信息孤島聯(lián)通和用戶信息安全問(wèn)題，單點(diǎn)登錄是面對(duì)企業(yè)信息化發(fā)展的必備解決方案。

單點(diǎn)登錄SSO（Single Sign-On）指用戶訪問(wèn)部署于不同服務(wù)器的多套業(yè)務(wù)系統(tǒng)時(shí)，用戶只需要登錄一次系統(tǒng)進(jìn)行權(quán)限認(rèn)證便可訪問(wèn)所有被授權(quán)的系統(tǒng)受限資源而不需要在多套系統(tǒng)中進(jìn)行權(quán)限認(rèn)證。

目前，市面上存在一些開源單點(diǎn)登錄解決方案，如CAS[4-5]單點(diǎn)登錄。該方案能較好的實(shí)現(xiàn)單點(diǎn)登錄，但同時(shí)存在一些問(wèn)題。CAS單點(diǎn)登錄是使用Spring Webflow+springMVC構(gòu)建的一種通用重量級(jí)、有狀態(tài)單點(diǎn)登錄架構(gòu)模型，同時(shí)，對(duì)于分布式系統(tǒng)集成也存在較大的學(xué)習(xí)成本。此外相關(guān)文獻(xiàn)也提出了各自的單點(diǎn)登錄方案，文獻(xiàn)[7]提出了一種基于票據(jù)的跨域單點(diǎn)登錄，實(shí)現(xiàn)登錄信息通過(guò)加密網(wǎng)絡(luò)傳輸完成系統(tǒng)登錄認(rèn)證。文獻(xiàn)[8-9]提出了基于cookie保存票據(jù)的跨域單點(diǎn)登錄認(rèn)證方案。文獻(xiàn)[10]提出了一種基于地址統(tǒng)一資源定位器重定向的解決方案，將信息參數(shù)以明文附加在URL的后面，實(shí)現(xiàn)不同應(yīng)用程序之間共享用戶信息。

基于對(duì)SSO模型分析并結(jié)合業(yè)務(wù)應(yīng)用特點(diǎn)，本文基于HTTP、RIC、ticket、mticket、DVP、業(yè)務(wù)系統(tǒng)Session和本域Cookie的綜合優(yōu)勢(shì)提出一種適合于自身業(yè)務(wù)系統(tǒng)的輕量級(jí)權(quán)限認(rèn)證方案。

1 總體架構(gòu)

跨域單點(diǎn)登錄總體方案如圖1所示，系統(tǒng)包括客戶端、單點(diǎn)登錄服務(wù)器、門戶管理子系統(tǒng)、web應(yīng)用、認(rèn)證授權(quán)數(shù)據(jù)庫(kù)和單點(diǎn)登錄客戶端。

1.1門戶管理子管理系統(tǒng)

門戶管理子管理系統(tǒng)包括系統(tǒng)登錄界面、權(quán)限管理模塊以及一些公用的系統(tǒng)模塊。本方案中重點(diǎn)在于關(guān)注系統(tǒng)登錄模塊，而權(quán)限管理等模塊可根據(jù)具體的實(shí)施方案確定；門戶管理子系統(tǒng)登錄界面提供訪問(wèn)所有業(yè)務(wù)系統(tǒng)的統(tǒng)一入口，并為用戶提供用戶名和密碼承載界面以及認(rèn)證請(qǐng)求的提交入口。

1.2認(rèn)證授權(quán)數(shù)據(jù)庫(kù)

認(rèn)證授權(quán)數(shù)據(jù)庫(kù)用于存儲(chǔ)門戶管理子系統(tǒng)所涉及到的相關(guān)資源信息的存儲(chǔ)和單點(diǎn)登錄服務(wù)器生成的標(biāo)識(shí)信息。認(rèn)證數(shù)據(jù)庫(kù)存儲(chǔ)信息具體包括：用戶注冊(cè)信息、資源信息、資源授權(quán)信息和認(rèn)證服務(wù)器生成的標(biāo)識(shí)信息。

1.3單點(diǎn)登錄服務(wù)器

單點(diǎn)登錄服務(wù)器屬于系統(tǒng)認(rèn)證核心功能。按照登錄驗(yàn)證規(guī)則，可以將單點(diǎn)登錄服務(wù)器分解成如下功能：用戶身份認(rèn)證規(guī)則、RIC生成規(guī)則、Ticket生成規(guī)則、DVP生成規(guī)則、mticket生成規(guī)則、DVP與RIC映射規(guī)則以及有效標(biāo)識(shí)數(shù)據(jù)存儲(chǔ)、Ticket定期校驗(yàn)、系統(tǒng)登出。

1.4單點(diǎn)登錄客戶端

單點(diǎn)登錄客戶端嵌入門戶管理子系統(tǒng)和Web應(yīng)用中，用于請(qǐng)求重定向、請(qǐng)求轉(zhuǎn)發(fā)以及根據(jù)處理請(qǐng)求中攜帶cookie、mticket或者ticket、DVP信息，從而確定系統(tǒng)是否處于登錄狀態(tài)。

1.5 web應(yīng)用

web應(yīng)用即目標(biāo)應(yīng)用，授權(quán)用戶能夠訪問(wèn)目標(biāo)應(yīng)用并進(jìn)行相應(yīng)的業(yè)務(wù)操作，比如:數(shù)據(jù)搜索、數(shù)據(jù)錄入等一系列功能。

圖 1 總體架構(gòu)

2 詳細(xì)設(shè)計(jì)

本方案中包括三個(gè)主要服務(wù)：?jiǎn)吸c(diǎn)登錄客戶端服務(wù)、單點(diǎn)登錄服務(wù)器服務(wù)和認(rèn)證授權(quán)數(shù)據(jù)庫(kù)服務(wù)，單點(diǎn)登錄客戶端和單點(diǎn)登錄服務(wù)器相互協(xié)作，共同完成跨域單點(diǎn)登錄。單點(diǎn)登錄客戶端的功能包括：（1）根據(jù)用戶請(qǐng)求所攜帶的參數(shù)判斷當(dāng)前用戶所處狀態(tài)（登錄、未登錄）；（2）根據(jù)用戶狀態(tài)將用戶請(qǐng)求轉(zhuǎn)發(fā)。單點(diǎn)登錄服務(wù)器的功能包括：（1）接收由單點(diǎn)登錄客戶端所轉(zhuǎn)發(fā)的用戶驗(yàn)證請(qǐng)求；（2）驗(yàn)證用戶信息的有效性；（3）根據(jù)規(guī)則生成相應(yīng)的用戶標(biāo)識(shí)信息，并將標(biāo)識(shí)信息保存至認(rèn)證授權(quán)數(shù)據(jù)庫(kù)；（4）用戶認(rèn)證后的重定向問(wèn)題。認(rèn)證授權(quán)數(shù)據(jù)庫(kù)服務(wù)：用于存儲(chǔ)門戶管理子系統(tǒng)所涉及到的相關(guān)資源信息（Web應(yīng)用訪問(wèn)地址、用戶信息、系統(tǒng)日志）的存儲(chǔ)和單點(diǎn)登錄服務(wù)器生成的標(biāo)識(shí)信息（Ticket、mticket、RIC、DVP）。下面對(duì)三種服務(wù)的詳細(xì)介紹：

2.1單點(diǎn)登錄客戶端

單點(diǎn)登錄客戶端作為單點(diǎn)登錄核心服務(wù)之一，其所包含的核心規(guī)則如圖2所示。單點(diǎn)登錄服務(wù)器中的各種規(guī)則敘述如下：

（1）檢測(cè)請(qǐng)求是否包含mticket和DVP參數(shù)：用于單點(diǎn)登錄客戶端所攔截的請(qǐng)求中是否具有著兩個(gè)參數(shù)信息，從而判斷系統(tǒng)是否處于登錄狀態(tài)；

（2）檢測(cè)cookie中是否包含mticket以及SessionId參數(shù)：用于單點(diǎn)登錄客戶端所攔截的請(qǐng)求中是否具有著兩個(gè)參數(shù)信息，從而判斷系統(tǒng)是否處于登錄狀態(tài)；

（3）判斷用戶登錄狀態(tài)有效性：用于判斷認(rèn)證授權(quán)數(shù)據(jù)庫(kù)中是否存在ticket相關(guān)信息，通過(guò)DVP尋找出RIC信息，并通過(guò)RIC對(duì)mticket進(jìn)行解密以獲取明文ticket；

（4）保存用戶信息到session：并將sessionId和mticket存入cookie中，用于保持用戶的登錄狀態(tài)；

（5）更新DVP：更新認(rèn)證授權(quán)數(shù)據(jù)庫(kù)中與mticket對(duì)應(yīng)的DVP；

（6）檢測(cè)請(qǐng)求是否攜帶Web應(yīng)用連接（sublink）作為參數(shù)：用于判斷用戶是否請(qǐng)求Web應(yīng)用；

（7）地址重定向：根據(jù)單點(diǎn)登錄客戶端的判斷，做出相應(yīng)的重定向動(dòng)作，重定向到單點(diǎn)服務(wù)器或者重定向到Web應(yīng)用。

圖2 單點(diǎn)登錄客戶端

2.2單點(diǎn)登錄服務(wù)器

單點(diǎn)登錄服務(wù)器作為單點(diǎn)登錄核心服務(wù)之一，其所包含的核心規(guī)則如圖3所用。單點(diǎn)登錄服務(wù)器中的各種規(guī)則敘述如下：

（1）用戶認(rèn)證模塊：用于驗(yàn)證用戶名和密碼是否有效，如果無(wú)效，則地址重定向模塊將單點(diǎn)登錄客戶端所轉(zhuǎn)發(fā)的請(qǐng)求重定向到門戶管理子系統(tǒng)。

（2）Ticket生成規(guī)則：是一種ticket生成方法；Ticket其特性是保持其在認(rèn)證授權(quán)數(shù)據(jù)庫(kù)中的唯一性；Ticket生成函數(shù)為:Ft=Fc+FR+Fts +Fstep，其中Fc根據(jù)系統(tǒng)設(shè)計(jì)的常量值，F(xiàn)R為數(shù)字字母隨機(jī)組合，F(xiàn)ts為當(dāng)前時(shí)間戳，F(xiàn)step為同一時(shí)間票據(jù)產(chǎn)生的個(gè)數(shù)值的順序值。

（3）RIC生成模塊:隨機(jī)化驗(yàn)證碼，用于將ticket信息進(jìn)行加密，RIC用于后臺(tái)運(yùn)行，不會(huì)出現(xiàn)在網(wǎng)絡(luò)傳輸過(guò)程中，所以使用自定義Fric函數(shù)生成字符串復(fù)雜的隨機(jī)驗(yàn)證碼，但是不一定要求RIC唯一。

（4）mticket生成模塊:使用Fmt=E(Ft,Fric)生成加密mticket，其中E(Ft,Fric)為加密函數(shù)，文獻(xiàn)[11]可以把一個(gè)隨機(jī)數(shù)直接視為受高級(jí)密鑰加密過(guò)的密鑰。

（5）DVP生成規(guī)則:一次性驗(yàn)證碼在網(wǎng)絡(luò)上傳輸，用于在后臺(tái)尋找RIC，然后通過(guò)RIC對(duì)mticket進(jìn)行解密，并對(duì)比數(shù)據(jù)庫(kù)中的ticket票據(jù)，從而確定系統(tǒng)是否處于登錄狀態(tài),所以使用自定義Fdvp函數(shù)生成無(wú)規(guī)律可循的雜亂的字符串。

（6）票據(jù)信息保存：用于將標(biāo)識(shí)用戶登錄系統(tǒng)狀態(tài)的信息保存到數(shù)據(jù)庫(kù)中。

（7）地址重定向：用于將用戶請(qǐng)求驗(yàn)證通過(guò)后，生成的mticket、DVP作為訪問(wèn)請(qǐng)求鏈接的URL參數(shù)，請(qǐng)求門戶管理子系統(tǒng)。

圖3 單點(diǎn)登錄客戶端

2.3訪問(wèn)票據(jù)表結(jié)構(gòu)

訪問(wèn)票據(jù)表結(jié)構(gòu)用于存儲(chǔ)經(jīng)過(guò)單點(diǎn)登錄服務(wù)器認(rèn)證的有效用戶信息后系統(tǒng)產(chǎn)生的與用戶相關(guān)的Ticket、mticke、RIC、DVP等信息。系統(tǒng)通過(guò)判斷Ticket是否存在而判斷用戶的登錄狀態(tài)。此外，系統(tǒng)通過(guò)判斷數(shù)據(jù)的時(shí)間戳信息，用于確保用戶登錄是否處于超期。訪問(wèn)票據(jù)表結(jié)構(gòu)屬于系統(tǒng)結(jié)構(gòu)中必不可少的，其表結(jié)構(gòu)設(shè)計(jì)如表1所示。

表1 訪問(wèn)票據(jù)表結(jié)構(gòu)

3 認(rèn)證流程與系統(tǒng)登出

本方案提出的單點(diǎn)登錄的認(rèn)證方案，首先需要部署單點(diǎn)登錄服務(wù)器、門戶管理子系統(tǒng)（單點(diǎn)登錄客戶端嵌入其中）和認(rèn)證授權(quán)數(shù)據(jù)庫(kù)；根據(jù)總體方案搭建系統(tǒng)后，登錄門戶管理子系統(tǒng)配置用戶信息以及用戶授權(quán)信息即可實(shí)現(xiàn)單點(diǎn)登錄。系統(tǒng)對(duì)于未登錄用戶(A_unlogin)訪問(wèn)業(yè)務(wù)應(yīng)用時(shí)主要涉及三個(gè)方面的交互：（1）用戶與單點(diǎn)登錄客戶端之間的交互；（2）單點(diǎn)登錄客戶端與單點(diǎn)登錄服務(wù)器之間的交互;（3）單點(diǎn)登錄客戶端、單點(diǎn)登錄服務(wù)器與認(rèn)證授權(quán)數(shù)據(jù)庫(kù)之間的交互。

3.1系統(tǒng)登錄

以A_unlogin用戶訪問(wèn)門戶管理子系統(tǒng)所管理的應(yīng)用為例；用戶請(qǐng)求登錄時(shí)序圖如圖4所示，下面結(jié)合圖4描述用戶登錄時(shí)序圖：

（1）用戶訪問(wèn)統(tǒng)一門戶管理子系統(tǒng)，單點(diǎn)登錄客戶端檢查訪問(wèn)連接中用戶是否攜帶mticket、DVP參數(shù)。如果沒(méi)有攜帶mticket、DVP參數(shù)，則直接返回到統(tǒng)一門戶管理系統(tǒng)的用戶登錄界面。

（2）在門戶管理子系統(tǒng)登錄界面輸入用戶名和密碼，門戶管理界面攜帶用戶名和密碼請(qǐng)求單點(diǎn)登錄服務(wù)器。

（3）單點(diǎn)登錄服務(wù)器將密碼加密，然后與認(rèn)證授權(quán)數(shù)據(jù)庫(kù)中的身份信息進(jìn)行對(duì)比。

（4）如果身份驗(yàn)證不通過(guò)，則單點(diǎn)登錄服務(wù)器將請(qǐng)求重定向到門戶管理子系統(tǒng)。

（5）如果身份認(rèn)證通過(guò)，單點(diǎn)登錄服務(wù)器通過(guò)隨機(jī)化算法生成隨機(jī)驗(yàn)證碼（RIC）、通過(guò)ticket生成策勵(lì)生成一個(gè)永遠(yuǎn)不會(huì)重復(fù)出現(xiàn)的明文ticket、根據(jù)一次性票據(jù)生成規(guī)則生成無(wú)規(guī)律可尋的DVP字符串，然后將ticket與RIC通過(guò)對(duì)稱加密算法進(jìn)行加密，生成加密mticket。

（6）單點(diǎn)登錄服務(wù)器將ticket、mticket、RIC、DVP、ticket生成時(shí)間等信息存入認(rèn)證授權(quán)數(shù)據(jù)庫(kù)中。

（7）單點(diǎn)登錄服務(wù)器將產(chǎn)生的mticket、DVP數(shù)據(jù)作為門戶管理子系統(tǒng)URL的參數(shù)，請(qǐng)求統(tǒng)一門戶管理子系統(tǒng)。

（8）單點(diǎn)登錄客戶端檢查mticket和DVP，單點(diǎn)登錄客戶端查詢認(rèn)證授權(quán)數(shù)據(jù)庫(kù)，通過(guò)DVP尋找出RIC信息，并通過(guò)RIC對(duì)mticket進(jìn)行解密以獲取明文ticket然后再通過(guò)明文ticket查找出用戶信息。最后將用戶信息保存在Session同時(shí)更新DVP的值和數(shù)據(jù)庫(kù)中ticket的生成時(shí)間，并將sessionId和mticket信息存入本域cookie；一切正常運(yùn)行后，用戶即可進(jìn)入門戶管理子系統(tǒng)的首頁(yè)。

（9）通過(guò)門戶管理子系統(tǒng)訪問(wèn)應(yīng)用A，門戶管理子系統(tǒng)攜帶應(yīng)用A的url（sublink）、mticket和門戶管理子系統(tǒng)本域名的cookie信息請(qǐng)求門戶管理子系統(tǒng)的業(yè)務(wù)系統(tǒng)。

（10）單點(diǎn)登錄客戶端通過(guò)cookie中的SessionId尋找存在業(yè)務(wù)系統(tǒng)的web容器中存在session對(duì)象，如果mticket和session對(duì)象同時(shí)存在，單點(diǎn)登錄客戶端將查詢權(quán)限認(rèn)證數(shù)據(jù)庫(kù)檢測(cè)mticket是否有效。

（11）如果檢測(cè)不到mticket數(shù)據(jù)，則說(shuō)明當(dāng)前用戶登錄已經(jīng)失效，單點(diǎn)登錄客戶端將請(qǐng)求重新定位到門戶子系統(tǒng)登錄界面。

（12）如果檢測(cè)到mticket數(shù)據(jù)，則說(shuō)明用戶處于登錄狀態(tài)；單點(diǎn)登錄通過(guò)mticket查詢認(rèn)證授權(quán)數(shù)據(jù)庫(kù)以獲取最新的DVP，并更新DVP信息；然后再將mticket和DVP作為應(yīng)用系統(tǒng)A的參數(shù)請(qǐng)求業(yè)務(wù)系統(tǒng)A。業(yè)務(wù)系統(tǒng)A中的單點(diǎn)登錄客戶端執(zhí)行（7）、（8）兩個(gè)操作步驟后，即可正常登錄A系統(tǒng)。

本方案中用戶的登錄認(rèn)證過(guò)程是以加密票據(jù)、隨機(jī)數(shù)和本域cookie組合協(xié)作作用，完成用戶的權(quán)限認(rèn)證。

圖4 登錄認(rèn)證流程

3.2系統(tǒng)登出和系統(tǒng)超時(shí)

用戶單點(diǎn)登出相對(duì)而言很簡(jiǎn)單，但是單點(diǎn)登錄過(guò)程中必不可少的。單點(diǎn)登出通過(guò)攜帶加密票據(jù)(mticket)和一次性驗(yàn)證票據(jù)(DVP)請(qǐng)求單點(diǎn)登錄服務(wù)器，服務(wù)器通過(guò)DVP查詢出隨機(jī)驗(yàn)證碼，再對(duì)mticket進(jìn)行解密生成明文ticket，然后根據(jù)明文ticket對(duì)認(rèn)證授權(quán)數(shù)據(jù)庫(kù)中的ticket數(shù)據(jù)進(jìn)行刪除。最后系統(tǒng)重定向到統(tǒng)一用戶管理子系統(tǒng)界面。對(duì)于系統(tǒng)超時(shí)而導(dǎo)致單點(diǎn)登出的問(wèn)題，相比較通過(guò)手動(dòng)點(diǎn)擊單點(diǎn)登出更為簡(jiǎn)單，系統(tǒng)設(shè)計(jì)者只需要在單點(diǎn)登錄服務(wù)器中啟動(dòng)一個(gè)后臺(tái)線程循環(huán)，檢查當(dāng)前時(shí)間與數(shù)據(jù)庫(kù)中的ticket時(shí)間差是否超過(guò)了系統(tǒng)超時(shí)的預(yù)定值，如果超過(guò)了預(yù)定值，直接刪除中央認(rèn)證系統(tǒng)中的ticket，并將系統(tǒng)重定向到門戶管理子系統(tǒng)的登錄界面。

4 系統(tǒng)安全性能

4.1會(huì)話Cookie

本方案中會(huì)話cookie不會(huì)保存用戶的任何敏感信息，cookie在網(wǎng)絡(luò)上傳輸僅僅攜帶瀏覽器與服務(wù)器之間通信的SessionId，會(huì)話cookie中的SessionId可以尋找服務(wù)器端的Session對(duì)象，用于判斷session是否已經(jīng)存在。本方案中存在于內(nèi)存中會(huì)話cookie被設(shè)置成httpOnly的模式并且會(huì)話cookie當(dāng)瀏覽器關(guān)閉的時(shí)候立即失效，所以可以防止cookie被從客戶端獲取和修改。

4.2加密票據(jù)（mticket）、一次性驗(yàn)證票據(jù)（DVP）

用戶請(qǐng)求被重定向到單點(diǎn)登錄服務(wù)器后，單點(diǎn)登錄服務(wù)器隨機(jī)生成驗(yàn)證碼、票據(jù)、加密票據(jù)和一次性驗(yàn)證票據(jù)，并且這些信息與用戶名相關(guān)聯(lián)。系統(tǒng)通過(guò)mticket和DVP登錄系統(tǒng)，并且每次登錄系統(tǒng)后，系統(tǒng)將更新上一次用于解密mticket的DVP索引失效，并生成新的DVP。DVP生命周期短暫，可以有效的防止mticket和DVP被重復(fù)利用。

5 結(jié)束語(yǔ)

本文分析了目前企業(yè)面臨系統(tǒng)升級(jí)的系統(tǒng)登錄問(wèn)題，提出了一種由加密mticket、DVP和會(huì)話cookie實(shí)現(xiàn)一套單點(diǎn)登錄設(shè)計(jì)方案。此方案保證了用戶登錄過(guò)程中系統(tǒng)敏感信息不會(huì)在網(wǎng)絡(luò)上傳播。同時(shí)在用戶認(rèn)證通過(guò)后，系統(tǒng)能夠通過(guò)加密ticket和會(huì)話cookie直接確認(rèn)系統(tǒng)是否處于登錄狀態(tài)，進(jìn)一步減輕了服務(wù)器的認(rèn)證壓力。此外，用戶信息集中式單點(diǎn)登錄方案，使得企業(yè)所有系統(tǒng)共用一套權(quán)限認(rèn)證機(jī)制，能夠更好的應(yīng)用于企業(yè)級(jí)系統(tǒng)升級(jí)和新系統(tǒng)的開發(fā)。同時(shí)，減輕了系統(tǒng)用戶記住大量的用戶名和密碼以及管理員管理用戶的負(fù)擔(dān)，從而提高了用戶訪問(wèn)所有可信系統(tǒng)的便捷性。

[1]高昊江，肖田園.基于SAML改進(jìn)的單點(diǎn)登錄模型研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011.

[2]陳天玉，謝冬青，楊曉紅.基于SAML與XKMS的單點(diǎn)登錄認(rèn)證模型的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用于研究，2010.

[3]梁志罡.基于 Webservice 的混合架構(gòu)單點(diǎn)登錄的設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用，2010.

[4]紹葉秦，陳建平，顧翔.改進(jìn)的Kerberos單點(diǎn)登錄協(xié)議[J].計(jì)算機(jī)工程，2011.

[5]景昌民，唐弟官.開放源碼的CAS單點(diǎn)登錄系統(tǒng)研究[J].現(xiàn)代情報(bào)，2009.

[6]沈杰，朱程榮.基于Yale-CAS的單點(diǎn)登錄的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)，2007.

[7]王國(guó)偉，薛曼君.基于票據(jù)的跨域單點(diǎn)登錄.計(jì)算機(jī)應(yīng)用[J]，2012.

[8]劉潤(rùn)達(dá)，褚云強(qiáng)，宋佳等.一種簡(jiǎn)單的跨域單點(diǎn)登錄的實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2007.

[9]廖禮萍，鮑有文.基于跨域 Cookie 的單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].北京聯(lián)合大學(xué)學(xué)報(bào):自然科學(xué)版，2008.

[10]牛曉菲.基于SOA的跨域單點(diǎn)登錄系統(tǒng)的研究與實(shí)現(xiàn)[D].北京:北京交通大學(xué)，2009.

[11]鄧昀，程小輝.移動(dòng)跨域單點(diǎn)登錄系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010.