一种基于Web Service的简单SSO系统实现
196 浏览量
2020-10-19
20:31:44
上传
评论
收藏 225KB PDF 举报
一种基于一种基于Web Service的简单的简单SSO系统实现系统实现
分析了现存多种SSO技术的优缺点,针对用户跨系统操作较多的分布式系统,提出了一种基于Web Service的以
权限管理为核心的轻量级的单点登录实现方法。通过在某航空呼叫中心中的运用实践,很好地说明了该方法的
实用性。
摘摘 要:要: 分析了现存多种SSO技术的优缺点,针对用户跨系统操作较多的分布式系统,提出了一种基于
关键词:关键词: 单点登录;
在分布式构架的软件环境下,各协同站点都拥有各自的用户数据库,为解决同一用户在使用不同站点功能时需多次输入用
户密码所带来的安全与管理不便的问题,单点登录机制提供了安全有效的途径。所谓单点登录,即用户在访问多个系统功能时
只需进行一次登录操作, 就可获得所需访问应用系统和资源的授权, 不必多次输入用户名和密码来确定用户身份,即“一次登
录,多处漫游”。应用单点登录机制可有效实现统一认证和资源访问控制。
1 一般单点登录模型一般单点登录模型
现有的实现SSO的产品和方案众多,典型代表有微软的Passport和自由联盟计划[1]。Passport单点登录技术是Microsoft的
重要组成部分。它主要采用集中式认证,分布式授权方案实现。从根本上说, Passport属于一种基于访问票据的集中式单点登
录模式,所有的用户信息都存放在Passort.com中, 由Passort.com负责统一的身份验证。自由联盟计划(Liberty Alliance
Project)与Passport不同,它是基于SMAL标准的一个面向Web应用单点登录的、与平台无关的开放协议,没有设立中心位置
的认证系统,它建立了协作站点与认证系统的联盟关系,两个Web应用之间可以保留原来的用户认证机制, 通过建立它们各自
身份的对应关系来达到SSO的目的。自由联盟计划虽然灵活性很高,但也因其过于自由的联盟组织,当联盟系统过多时将给
管理带来不便。
除了以上两个比较有代表性的产品外,目前实现SSO的典型模型包括经纪人模型、代理模型、代理和经纪人模型、网关模
型以及令牌模型[2]。其中,经济人模型与Passport实现方案类似,采用集中式管理,但是对旧系统改造较大;代理模型要在
每个旧系统上添加一个代理,可移植性好,但管理相对困难;代理和经纪人模型结合了以上两者的优点,移植性好、管理相对
集中;网关模式需要一台专门的网关,多个网关同步数据库比较困难;代理模式因为需要增加新的组件所以也增加了新的管理
负担,但却增加了系统的安全性。
2 本文方案本文方案
通过分析并权衡上述SSO模型的优缺点,针对某些大型企业内部协同合作站点相对固定且相对独立,需要维护独立的用户
数据库,同时又有整个分布式系统环境下某些角色需跨系统操作且跨系统操作较多的特点,本文提出了一种基于Web Service
和票据的集中授权,分布验证的单点登录实现方法。
2.1 Web Service技术技术
Web Service是一种轻量级的独立的通信技术, 是符合某些标准的分布式应用构件,这些标准使它们能够在外部被访问,并
且能够解决某些类型的行业问题。通过简单对象存取协议SOAP(Simple Object Access Protoco)在Web上提供的软件服务,
使用WSDL文件进行说明, 并通过UDDI进行注册[3-4]。如图1 所示, 用户通过UDDI找到某应用的WSDL描述文档后, 便可以通过
SOAP调用该应用提供的Web服务中的一个或多个操作。
Web Service[5]在体系结构、设计、实现与部署等方面都比传统的分布式对象技术更加合理,它对外提供了可调用的接口,
允许外来用户访问敏感信息和控制业务逻辑,虽然与传统的Web开发方式相比,Web Service构建的商务逻辑更加开放和标准
化,但其在安全性上表现出的弱点也给使用者带来很大难题。本文通过Web Service接口暴露的方法来实现系统间部分功能的
协同作用,特别是各系统权限的管理也依靠Web Service技术实现,因而首先要考虑其访问控制上的安全性问题。
基于SOAP的访问控制,多数解决方案利用了SOAP基于XML的特点[5],在很多方面通过XML加密、签名等安全技术对
SOAP协议Header和Body进行扩展来实现其安全性的增强。本文采用Damiani等人[6]提出的基于SOAP消息的过滤机制,通过
校验SOAP头中的认证信息,过滤、修改,将SOAP消息转化为RMA(远程调用)以实现对本地组件的访问控制。提供服务的服
务器端由SOAP网关和本地组件组成,请求服务的SOAP消息到来时,首先要被SOAP网关截获经过解析验证后实现对Web服
务的访问控制。通过校验的请求远程调用本地接口。其过程如图2所示。
资源评论
