论文部分内容阅读
【摘要】目前,各级各类中职学校基本上都已建成校园网,而且都针对各自的教育教学需求和管理的需求在校园网中布署了相应的网络版的应用系统(WEB版)。网络版应用系统的布署给我们的教育教学和教育管理带来了极大的方便,提高了工作效率。但随之也带来了不少问题。如:各个系统一般都要求对用户的身份进行验证,只有用户的身份得到确认后才能使用该系统的相应功能。针对不同的应用布署了不同的系统,这就使得用户必须记住多个用户名和多个密码,进行多次登录,给广大教师的使用带来了极大的不便。
【关键词】中职校 校园网 统一验证平台
【中图分类号】G71 【文献标识码】A 【文章编号】2095-3089(2013)01-0221-02
我校是2009年启动数字化校园建设的,目前在学校中运行着多个应用系统,如办公自动化系统,教务管理系统,财务管理系统,招生管理系统等等。但笔者在日常工作中经常遇到教师因忘记自己的各类密码而要求管理员帮其重设密码和教师反应在多个系统间要多次登录比较麻烦的问题。此次示范校建设,我们通过构建统一校园网验证平台,即单点登录SSO的方法成功解决了上述问题。
一、统一验证平台的构建思想
SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的业务整合的解决方案之一。我们比较了多种方案后,最终采用了SSO方案,教师只需要登录一次系统平台,即通过一个应用中的安全验证后,再访问其他应用中受保护的资源时,不再需要重新登录验证。
二、统一验证平台的具体实现
以下是笔者所在学校各个系统间统一验证平台的构建的具体过程:
1.各应用系统介绍
笔者所在学校的校园网中布署的应用系统有:
(1)信息发布系统(学校网站);
(2)资源管理系统(资源库)用于管理学校内部的资源(教案、课件、试题、教育教学论文、图片等资源)。未登录用户不能下载和打开相应的资源,只有合法登录的用户才能下载和打开;
(3)学校网络办公系统(OA系统);
(4)教务管理系统(正方教务系统);
(5)财务管理系统(国子管理系统);
(6)招生管理系统(教师自己开发)。
2.配置表信息
在开发单点登录系统之前有些重要信息需要确定,然后写入配置信息表中。我校配置信息表中内容如下:
●设置服务器的访问地址。主要是服务器的公共IP地址和站点域名。
●设置可以访问的请求IP网段。主要记录该系统单点登录接口可以访问的IP来源。
●设置系统模块标记。填写各个系统的编号,主要用于变节管理员查询到该请求来自哪个系统。
●设置状态标记。填写True或False,主要方便管理员随时切断单点登录的功能。
3.配置表逻辑结构
4.系统单点登录原理
1)用户通过用户名和密码进入A系统;
2)A系统将配置表中状态为T标记的所有记录读取并打印到前台;
3)当用户点击任意系统后,A系统就会将该用户的编号,以及配置表中的A系统的参数一并通过http协议提交到目的系统中;
4)目的系统则会根据配置表中的REQIP来判断该请求IP是否合法,若合法则继续执行,否则返回错误信息;
5)目标系统只需要到用户表中去寻找该编号对应的用户,并取出其权限,根据相应的权限执行可操作模块;
6)如此反复循环。
5.SSO模式的前提条件
SSO模式需要满足如下条件后才能部署:(1)所有的用户ID要么统一,要么设置匹配规则,我校选择使用教师工号;(2)所有系统必须在配置表中登记真实的信息;(3)所有的系统必须提供接口,用来接收和处理配置表信息的WebServer接口。
6.SSO模式优缺点
SSO模式有很多优点:实施简单,只有短短几行代码执行效率高;安全性高;无需笛卡儿积模式的维护,只要一张配置表即可;扩展性、维护性高;采用即插即用设计原则。同时也存在一些缺点,如对服务器安全性要求较高;旧系统必须有源代码更改权才可加入;目前只限于B/S模式。如何扬长避短需要开发人员不断摸索、不断实践。
7.提高安全性
安全是每个系统最首要的责任,我们采取以下安全措施保证单点登录的安全。
●用户在客户端触发,提交到服务器中处理,所有信息都在服务中,非法窥视不到;
●服务器之间的跳转也限制了IP,只能由指定的IP才可以访问;
●客户端只提供触发功能的Ajax异步执行方法,主要代码在后台服务器上用户无法得知,前端的JavaScript代码只提供了访问服务器接口的功能和仅有的目的系统编号参数;
JS代码与html代码分离在两个文件中,并且服务器过滤了请求IP,非本地IP禁止下载JS文件,而且本地IP还要密钥才能访问,大大提高了安全性;
●每个用户的权限都在相应的系统中分别设置,避免其中一个系统的管理员被攻击从而使整个架构陷于危难之中;
●所有的共用信息都通过加密算法处理后再传输、存储的,避免管理员有意识的获取;
●从系统到模块甚至到用户都有很便捷的开关功能,可以及时的切断危险源。
三、统一验证平台构建的思考
随着网络信息化技术在我国职业学校校园网络中的高速发展及应用,学校门户平台需要及时整合各类信息资源。笔者根据目前学校中电子校务实际运用中存在的信息孤岛问题,研究了单点登录技术的原理及实现方法。由于水平和时间的限制,以及随着对相关理论和开发的深入,还有待于继续努力。
通过此次开发,笔者所在的学校切实解决了教师以往要记住各个系统间的帐号与密码和各个系统要多次登录的问题。方便教师日常的教育、教学工作,进一步提高了教师的工作效率。实现了学校各个系统间用户的统一管理,减轻了系统管理员的工作负担。
参考文献:
[1]Web环境下的SSO实现模式的研究 张挺; 耿继秀 计算机仿真 2005-08-30
[2]基于RBAC的SSO统一权限管理方法 张世龙; 沈玉利 计算机工程与设计 2009-05-16
[3]基于SSL的SSO系统的研究与实现 谭金府 上海海事大学 2007-06-01
【关键词】中职校 校园网 统一验证平台
【中图分类号】G71 【文献标识码】A 【文章编号】2095-3089(2013)01-0221-02
我校是2009年启动数字化校园建设的,目前在学校中运行着多个应用系统,如办公自动化系统,教务管理系统,财务管理系统,招生管理系统等等。但笔者在日常工作中经常遇到教师因忘记自己的各类密码而要求管理员帮其重设密码和教师反应在多个系统间要多次登录比较麻烦的问题。此次示范校建设,我们通过构建统一校园网验证平台,即单点登录SSO的方法成功解决了上述问题。
一、统一验证平台的构建思想
SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的业务整合的解决方案之一。我们比较了多种方案后,最终采用了SSO方案,教师只需要登录一次系统平台,即通过一个应用中的安全验证后,再访问其他应用中受保护的资源时,不再需要重新登录验证。
二、统一验证平台的具体实现
以下是笔者所在学校各个系统间统一验证平台的构建的具体过程:
1.各应用系统介绍
笔者所在学校的校园网中布署的应用系统有:
(1)信息发布系统(学校网站);
(2)资源管理系统(资源库)用于管理学校内部的资源(教案、课件、试题、教育教学论文、图片等资源)。未登录用户不能下载和打开相应的资源,只有合法登录的用户才能下载和打开;
(3)学校网络办公系统(OA系统);
(4)教务管理系统(正方教务系统);
(5)财务管理系统(国子管理系统);
(6)招生管理系统(教师自己开发)。
2.配置表信息
在开发单点登录系统之前有些重要信息需要确定,然后写入配置信息表中。我校配置信息表中内容如下:
●设置服务器的访问地址。主要是服务器的公共IP地址和站点域名。
●设置可以访问的请求IP网段。主要记录该系统单点登录接口可以访问的IP来源。
●设置系统模块标记。填写各个系统的编号,主要用于变节管理员查询到该请求来自哪个系统。
●设置状态标记。填写True或False,主要方便管理员随时切断单点登录的功能。
3.配置表逻辑结构
4.系统单点登录原理
1)用户通过用户名和密码进入A系统;
2)A系统将配置表中状态为T标记的所有记录读取并打印到前台;
3)当用户点击任意系统后,A系统就会将该用户的编号,以及配置表中的A系统的参数一并通过http协议提交到目的系统中;
4)目的系统则会根据配置表中的REQIP来判断该请求IP是否合法,若合法则继续执行,否则返回错误信息;
5)目标系统只需要到用户表中去寻找该编号对应的用户,并取出其权限,根据相应的权限执行可操作模块;
6)如此反复循环。
5.SSO模式的前提条件
SSO模式需要满足如下条件后才能部署:(1)所有的用户ID要么统一,要么设置匹配规则,我校选择使用教师工号;(2)所有系统必须在配置表中登记真实的信息;(3)所有的系统必须提供接口,用来接收和处理配置表信息的WebServer接口。
6.SSO模式优缺点
SSO模式有很多优点:实施简单,只有短短几行代码执行效率高;安全性高;无需笛卡儿积模式的维护,只要一张配置表即可;扩展性、维护性高;采用即插即用设计原则。同时也存在一些缺点,如对服务器安全性要求较高;旧系统必须有源代码更改权才可加入;目前只限于B/S模式。如何扬长避短需要开发人员不断摸索、不断实践。
7.提高安全性
安全是每个系统最首要的责任,我们采取以下安全措施保证单点登录的安全。
●用户在客户端触发,提交到服务器中处理,所有信息都在服务中,非法窥视不到;
●服务器之间的跳转也限制了IP,只能由指定的IP才可以访问;
●客户端只提供触发功能的Ajax异步执行方法,主要代码在后台服务器上用户无法得知,前端的JavaScript代码只提供了访问服务器接口的功能和仅有的目的系统编号参数;
JS代码与html代码分离在两个文件中,并且服务器过滤了请求IP,非本地IP禁止下载JS文件,而且本地IP还要密钥才能访问,大大提高了安全性;
●每个用户的权限都在相应的系统中分别设置,避免其中一个系统的管理员被攻击从而使整个架构陷于危难之中;
●所有的共用信息都通过加密算法处理后再传输、存储的,避免管理员有意识的获取;
●从系统到模块甚至到用户都有很便捷的开关功能,可以及时的切断危险源。
三、统一验证平台构建的思考
随着网络信息化技术在我国职业学校校园网络中的高速发展及应用,学校门户平台需要及时整合各类信息资源。笔者根据目前学校中电子校务实际运用中存在的信息孤岛问题,研究了单点登录技术的原理及实现方法。由于水平和时间的限制,以及随着对相关理论和开发的深入,还有待于继续努力。
通过此次开发,笔者所在的学校切实解决了教师以往要记住各个系统间的帐号与密码和各个系统要多次登录的问题。方便教师日常的教育、教学工作,进一步提高了教师的工作效率。实现了学校各个系统间用户的统一管理,减轻了系统管理员的工作负担。
参考文献:
[1]Web环境下的SSO实现模式的研究 张挺; 耿继秀 计算机仿真 2005-08-30
[2]基于RBAC的SSO统一权限管理方法 张世龙; 沈玉利 计算机工程与设计 2009-05-16
[3]基于SSL的SSO系统的研究与实现 谭金府 上海海事大学 2007-06-01