基于Web-Service的統(tǒng)一用戶系統(tǒng)

基于ＷｅｂＳｅｒｖｉｃｅ的統(tǒng)一用戶系統(tǒng)

【摘要】隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)發(fā)展，各種應(yīng)用系統(tǒng)越來越多。對于用戶來說每天需要使用的軟件系統(tǒng)也很多，由于這些系統(tǒng)相互獨立，用戶在使用每個應(yīng)用系統(tǒng)之前都必須按照相應(yīng)的系統(tǒng)身份進行登錄，為此用戶必須記住每一個系統(tǒng)的用戶名和密碼，這給用戶帶來了不少麻煩。這對于多個運營機構(gòu)的系統(tǒng)可能是無法避免的，但是對于同一個運營商的多個網(wǎng)站或是一個企業(yè)的多個子系統(tǒng)，就可以利用統(tǒng)一用戶認(rèn)證、單點登錄等概念來解決這種問題。

【關(guān)鍵詞】WebService單點登錄統(tǒng)一用戶系統(tǒng)

隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)發(fā)展，各種應(yīng)用系統(tǒng)越來越多。對于用戶來說每天需要使用的軟件系統(tǒng)也很多，由于這些系統(tǒng)相互獨立，用戶在使用每個應(yīng)用系統(tǒng)之前都必須按照相應(yīng)的系統(tǒng)身份進行登錄，為此用戶必須記住每一個系統(tǒng)的用戶名和密碼，這給用戶帶來了不少麻煩。這對于多個運營機構(gòu)的系統(tǒng)可能是無法避免的，但是對于同一個運營商的多個網(wǎng)站或是一個企業(yè)的多個子系統(tǒng)，就可以利用統(tǒng)一用戶認(rèn)證、單點登錄等概念來解決這種問題。

1統(tǒng)一用戶認(rèn)證和單點登錄

統(tǒng)一用戶認(rèn)證

統(tǒng)一用戶認(rèn)證為了解決多系統(tǒng)中存在的多重帳號/口令管理而提出的解決方案，它是由統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證和接口服務(wù)等三部分組成。統(tǒng)一用戶管理，建立權(quán)威的、適合各應(yīng)用系統(tǒng)使用的統(tǒng)一帳號數(shù)據(jù)庫，帳號數(shù)據(jù)庫可基于活動目錄或關(guān)系型數(shù)據(jù)庫建立。統(tǒng)一用戶管理模塊，可供系統(tǒng)管理人員和各單位內(nèi)部管理員使用，可以分級維護所有的組織單位和人員信息，包括：用戶添加、用戶管理、組織單位管理、角色管理、用戶角色關(guān)系配置。接口服務(wù)，對外提供標(biāo)準(zhǔn)的，允許其他應(yīng)用系統(tǒng)調(diào)用。主要接口包括：組織架構(gòu)和用戶帳號信息的下載接口；用戶登錄驗證接口；用戶管理、組織架構(gòu)管理的接口等。

單點登錄

單點登錄是一種方便用戶訪問多個系統(tǒng)的技術(shù)，用戶只需在登錄時進行一次注冊，就可以在多個系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份。單點登錄的實質(zhì)就是安全上下文或憑證在多個應(yīng)用系統(tǒng)之間的傳遞或共享。當(dāng)用戶登錄系統(tǒng)時，客戶端軟件根據(jù)用戶的憑證為用戶建立一個安全上下文，安全上下文包含用于驗證用戶的安全信息，系統(tǒng)用這個安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限。

統(tǒng)一用戶組的管理

用戶組主要用來區(qū)別各類不同用戶，通過把用戶加入到某一個用戶組來實現(xiàn)該用戶的權(quán)限分配。管理員可以添加自定義的用戶組，從而實現(xiàn)靈活的系統(tǒng)配置。

2WebService簡介

WebService主要是為了使原來各孤立的站點之間的信息能夠相互通信、共享而提出的一種接口。WebService所使用的是Internet上統(tǒng)一、開放的標(biāo)準(zhǔn)，如HTTP、XML、SOAP、WSDL等，所以WebService可以在任何支持這些標(biāo)準(zhǔn)的環(huán)境中使用。注：SOAP協(xié)議，它是一個用于分散和分布式環(huán)境下網(wǎng)絡(luò)信息交換的基于XML的通訊協(xié)議。在此協(xié)議下，軟件組件或應(yīng)用程序能夠通過標(biāo)準(zhǔn)的HTTP協(xié)議進行通訊。它的設(shè)計目標(biāo)就是簡單性和擴展性，這有助于大量異構(gòu)程序和平臺之間的互操作性，從而使存在的應(yīng)用程序能夠被廣泛的用戶訪問。

3基于WebService的統(tǒng)一用戶系統(tǒng)的特點

數(shù)據(jù)資源安全性

利用WebService的開發(fā)方法最大程度的保護了數(shù)據(jù)庫資源及用戶信息的安全，甚至可以將系統(tǒng)數(shù)據(jù)庫放在內(nèi)網(wǎng)中，外部用戶在登錄驗證時是無法直接通過網(wǎng)絡(luò)訪問到用戶數(shù)據(jù)庫的。而且由于用戶的每次數(shù)據(jù)訪問都要通過該系統(tǒng)，我們就可以監(jiān)控到用戶的訪問要求是否合法，保障應(yīng)用了該統(tǒng)一用戶系統(tǒng)的其他系統(tǒng)數(shù)據(jù)資源的安全性。

有效的記錄用戶的訪問行為

同樣由于WebService的開發(fā)模式和用戶驗證的規(guī)則，使用戶每一次的數(shù)據(jù)請求都要經(jīng)過系統(tǒng)的驗證部分，我們可以在這里利用統(tǒng)一的規(guī)則截獲該用戶請求數(shù)據(jù)的條件，比如檢索關(guān)鍵詞、查詢信息的分類。在記錄之后通過某種規(guī)則的篩選便可以對用戶進行分類細(xì)化，從而提供更有針對性的服務(wù)及信息推送。

不影響已有的系統(tǒng)核心流程

利用WebService技術(shù)開發(fā)的用戶系統(tǒng)可不影響已有其他系統(tǒng)的核心流程，只需要在客戶端系統(tǒng)中的注冊、登錄、修改信息等模塊中添加相應(yīng)的WebService方法調(diào)用的代碼，就可以在客戶端系統(tǒng)中進行上述操作的同時完成統(tǒng)一用戶數(shù)據(jù)庫的更新。

一次開發(fā)多次利用

該系統(tǒng)在第一次開發(fā)完成并形成較為詳細(xì)的開發(fā)接口后，對于需要應(yīng)用該統(tǒng)一用戶系統(tǒng)的其他軟件系統(tǒng)，只需要在統(tǒng)一用戶數(shù)據(jù)庫中為新系統(tǒng)初始化一些基本的權(quán)限信息之后就可以開始應(yīng)用了。對現(xiàn)有的數(shù)據(jù)庫結(jié)構(gòu)及程序不需要做更多的修改。

4系統(tǒng)的設(shè)計原理及方案

設(shè)計原理

統(tǒng)一用戶系統(tǒng)的核心在于將所有的用戶信息保存于中央數(shù)據(jù)庫中，任何用戶在訪問資源的時候都需要通過WebService進行數(shù)據(jù)調(diào)用，所以系統(tǒng)可以在調(diào)用數(shù)據(jù)前對該用戶進行驗證，進入中央數(shù)據(jù)庫的用戶表中驗證該用戶的有效性，如果驗證成功將把這個用戶的臨時信息寫在數(shù)據(jù)表中，認(rèn)為是已登錄狀態(tài)，在下次訪問時先檢測這些臨時信息，如果已登錄則直接返回數(shù)據(jù)結(jié)果，如果未登錄則重新請求驗證信息。

利用用戶組進行權(quán)限劃分

在整個統(tǒng)一用戶系統(tǒng)中分為三個組群：用戶、用戶組、資源。其中用戶為注冊登錄過程中的一般使用者；用戶組為按一定規(guī)則劃分的用戶；資源則是根據(jù)不同系統(tǒng)來確定的，有的系統(tǒng)為某些特定的數(shù)據(jù)，有的系統(tǒng)為不同的頻道，或者是某個功能。用戶不與資源產(chǎn)生直接的訪問關(guān)系，而通過組來完成。

所有的用戶都被分到不同的組中，正常情況下，每個用戶應(yīng)只屬于一個用戶組。對資源的訪問關(guān)系由組來完成，某一個用戶是否對某種資源有訪問的權(quán)限是由該用戶所屬的組是否對該資源是否有訪問的權(quán)限決定的。

重要表介紹

在基于WebService的統(tǒng)一用戶系統(tǒng)中，除了一般的用戶系統(tǒng)中必不可少的用戶表、用戶組表、用戶與用戶組關(guān)系表、資源清單表等，最重要的表是登錄狀態(tài)表，它起到了一般系統(tǒng)中Session或Cookie的作用。

在該表中有用戶帳號、權(quán)限標(biāo)識、統(tǒng)一認(rèn)證標(biāo)識、最后訪問時間幾個字段，其中統(tǒng)一認(rèn)證標(biāo)識是該表的主鍵。由于該表訪問極為頻繁，因此保留必要字段的最小集是十分必要的。這幾個字段主要有以下作用：

用戶帳號：記錄某個用戶是否已經(jīng)登錄

權(quán)限標(biāo)識：記錄某個已登錄用戶在整個統(tǒng)一用戶系統(tǒng)中的資源訪問權(quán)限

統(tǒng)一認(rèn)證標(biāo)識：用于與用戶帳號一并驗證已登錄用戶的有效性

最后訪問時間：用于判斷是否訪問超時

系統(tǒng)工作流程

在整個統(tǒng)一用戶系統(tǒng)的登錄過程中，主要包含用戶、需要訪問的資源、WebService接口、用戶表、用戶登錄狀態(tài)表幾個主體部分。

首先，在用戶第一次訪問某個需要驗證的資源或主動登錄時，它手中只有用戶帳號和密碼，并沒有登錄狀態(tài)表中的統(tǒng)一認(rèn)證標(biāo)識，這時它需要發(fā)送自己的用戶帳號和密碼將通過WebService接口訪問用戶表以判斷該用戶的有效性，如果用戶帳號和密碼不匹配則驗證失敗。如果驗證成功，則讀取該用戶的權(quán)限并生成32位的隨機碼寫入登錄狀態(tài)表中，這個32位的隨機碼就是統(tǒng)一認(rèn)證標(biāo)識，用來在后續(xù)的操作中與用戶帳號一并驗證用戶是否已登錄或是否超時。之后返回給用戶統(tǒng)一驗證標(biāo)識。

這時該用戶的狀態(tài)已經(jīng)變?yōu)榈卿?，?dāng)再次需要訪問資源時，將只需要發(fā)送用戶帳號和統(tǒng)一驗證標(biāo)識給WebService接口。接口將認(rèn)為該用戶已經(jīng)登錄，直接在登錄狀態(tài)表中利用用戶帳號和統(tǒng)一驗證標(biāo)識檢索結(jié)果，如果存在記錄，并且當(dāng)前時間與最后訪問時間間隔不超過系統(tǒng)默認(rèn)的超時時間，便認(rèn)為該用戶有效且已登錄，直接讀取該用戶的權(quán)限，如果權(quán)限認(rèn)可則返回用戶所需資源，如果沒有訪問該資源的權(quán)限則給用戶相應(yīng)的提示。完成后更新該記錄的最后訪問時間，以保持該用戶的活躍狀態(tài)。

如果在登錄狀態(tài)表中未檢索到結(jié)果或當(dāng)前時間與最后訪問時間間隔已經(jīng)超過了系統(tǒng)默認(rèn)的超時時間，則認(rèn)為該用戶尚未登錄或已經(jīng)閑置過長時間導(dǎo)致超時。這時將返回提示并重新向該用戶所取用戶名和密碼。

開發(fā)方案簡述

根據(jù)上述設(shè)計原理、表結(jié)構(gòu)介紹以及系統(tǒng)的工作流程，即可進行統(tǒng)一用戶系統(tǒng)的開發(fā)。不論使用JAVA平臺還是.NET平臺都可以完成所需的功能，并且可以跨平臺使用。

5總結(jié)

利用WebService的技術(shù)，可以很好的解決統(tǒng)一