文档介绍:基于LDAP的单点登录方案的设计与实现1项目背景随着信息技术和网络技术的广泛普及, 政府、公司、学校等公共系统的内部出现了各种各样的应用管理系统。这些管理系统中最重要的一类就是基于 B/S结构的Web应用系统,如电子邮件服务等。这些应用一般通过浏览器访问 Web服务器,服务器以页面表单的方式要求用户输入登录参数,用户输入并提交后,由Web服务器的脚本程序进行身份验证。近年来,Web应用的使用进入成熟阶段,提供的信息和服务也越来越多。成功地管理和保护Web应用的信息和资源已经成为一个越来越复杂的挑战。 身份认证管理是保护Web信息和资源的核心部分。一般的身份认证方法是在每个应用系统中保存各自的用户信息并建立独立的身份验证模块,使用独立的认证机制在各自的身份认证模块中认证。 这种传统的身份认证方法将用户的“网络身份”分割成许多独立的碎片,这些碎片构成了繁多的一对一的客户服务关系,导致了更多的安全风险。同时如果用户要频繁访问不同系统, 每进入一个系统就要登录一次,这无疑会耗费大量的时间,并且用户需要记忆大量的账号信息。因此,基于安全和效率的考虑,信息系统急需有一个统一的、 具有较高安全控制的身份验证和授权系统,以保证数据安全和用户操作方便。在本文中,我设计并实现了一个基于LDAP的单点登录系统,它能够很好地解决用户身份验证和授权的问题。2单点登录系统介绍单点登录系统(SingleSign-On,SSO),是指当用户访问多个需要认证的系统应用时,只需要初始进行一次登录和身份认证, 就可以访问具有权限的任何系统, 而不需要再次登录,后续系统会自动获取用户信息, 从而识别出用户的身份。 这样,无论用户要访问多少个不同系统间的关联应用,他只需要进行一次登录, 而不需要用户重复输入认证信息。 单点登录技术可以简化用户访问多种系统应用, 避免用户由于需要记忆众多账号信息而出现的遗忘, 而且可以减少口令等重要信息在网络传播时被截获的危险。本系统中米用LDAP目录来保存用户信息。LDAP(essProtocol) 即为轻量级目录访问协议, ,但是简单了很多,而且可以根据需要定制。 LDAP目录中可以存储各种类型的数据,包括电子邮件地址、邮件路由信息、联系人列表等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤, 甚至是主要的数据源都可以放在任何地方。LDAP协议是跨平台和标准的协议, 因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。3传统的用户登录模式传统的认证机制是基于用户名和密码的,每一个系统都建立有自己的用户信息数据库,用以验证用户的身份。用户要访问不同的系统就需要在各个系统中建立相应的帐号。当其要访问一个系统中的资源时, 用户首先要登录进入该系统, 如果他同时要访问处于多个系统中的资源,用户就不得不按照各个系统的要求分别登录进入相应的系统。近年来,为了实现企业的信息化、电子商务和其他需求,出现了越来越多的网络应用系统,在这种传统的用户登录模式下,这些企业的网络用户和系统管理员不得不面对这些现实:用户需要使用其中的任何一个应用的时候都需要做一次身份认证;系统管理员需要对每一个系统设置一种单独的安全策略,而且需要为每个系统中的用户单独授权以保证他们不能访问没有被授权访问的网络资源。传统的用户登录过程的概念结构如图 :帝户略甫策一案证隼统认否面一的陆n-折¥91«-幡off-P鼻1暮wziv她定用-:网络用户登录不同的应用系统时,需要输入相应的用户信息,不同的应用系统用不同的认证策略对用户进行认证。4单点登录模式单点登录,就是用户只需要在网络中主动地进行一次身份认证, 然后就可以访问其被授权使用的所有处在网络上的资源而不需要再参与其它应用的身份认证过程。 这些服务资源可能处在不同的计算机环境中,用户以后的身份认证是系统自动完成的。首先,单点登录系统是采用了结合用户电子身份标识的新的身份认证机制, 这种新的身份认证机制可大大提高系统的安全性。其次,单点登录系统把原来分散的用户管理, 集中起来了。各个系统之间依靠相互授权的方式来进行用户身份的自动认证。用户的账号信息通过统一的电子认证进行管理管理的,管理员只需要修改统一的用户认证信息就可以关联各个系统中的用户。 由此可见单点登录系统的优点有:提高用户的工作效率和带来良好的用户体验。用户不再需要每访问一个应用资源就进行一次身份认证过程,从而使用户有更多的时间从事有益的工作, 同时也可以把用户从繁杂的帐户信息记忆中解脱出来。更好的网络安全性。系统中使用的身份认证机制提供了加密等多种方法,可以防止大部分的网络攻击。同时由于新的身份认证机制使用户