文档介绍:页脚下载后可删除,如有侵权请告知删除!
基于LDAP的单点登录方案的设计与实现
1工程背景
随着信息技术和网络技术的广泛普及,政府、公司、学校等公共系统的内部出现了各种各样的应用管理系统。这些管理系统中最重要的一类就是基于B/S构造的Web应用系统,如电子邮件效劳等。这些应用一般通过浏览器访问Web效劳器,效劳器以页面表单的方式要求用户输入登录参数,用户输入并提交后,由Web效劳器的脚本程序进展身份验证。
近年来,Web应用的使用进入成熟阶段,提供的信息和效劳也越来越多。成功地管理和保护Web应用的信息和资源已经成为一个越来越复杂的挑战。身份认证管理是保护Web信息和资源的核心局部。一般的身份认证方法是在每个应用系统中保存各自的用户信息并建立独立的身份验证模块,使用独立的认证机制在各自的身份认证模块中认证。这种传统的身份认证方法将用户的“网络身份〞分割成许多独立的碎片,这些碎片构成了繁多的一对一的客户效劳关系,导致了更多的平安风险。同时如果用户要频繁访问不同系统,每进入一个系统就要登录一次,这无疑会消耗大量的时间,并且用户需要记忆大量的账号信息。
因此,基于平安和效率的考虑,信息系统急需有一个统一的、具有较高平安控制的身份验证和授权系统,以保证数据平安和用户操作方便。在本文中,我设计并实现了一个基于LDAP的单点登录系统,它能够很好地解决用户身份验证和授权的问题。
2单点登录系统介绍
单点登录系统(Single Sign-On,SSO),是指当用户访问多个需要认证的系统应用时,只需要初始进展一次登录和身份认证,就可以访问具有权限的任何系统,而不需要再次登录,后续系统会自动获取用户信息,从而识别出用户的身份。这样,无论用户要访问多少个不同系统间的关联应用,他只需要进展一次登录,而不需要用户重复输入认证信息。单点登录技术可以简化用户访问多种系统应用,防止用户由于需要记忆众多账号信息而出现的遗忘,而且可以减少口令等重要信息在网络传播时被截获的危险。
本系统中采用LDAP目录来保存用户信息。LDAP(LightweightDirectoryAccessProtocol)即为轻量级目录访问协议,它基于标准,但是简单了很多,而且可以根据需要定制。LDAP目录中可以存储各种类型的数据,包括电子邮件地址、邮件路由信息、联系人列表等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至是主要的数据源都可以放在任何地方。LDAP协议是跨平台和标准的协议,因此应用程序就不用为LDAP目录放在什么样的效劳器上操心了。
3传统的用户登录模式
传统的认证机制是基于用户名和密码的,每一个系统都建立有自己的用户信息数据库,用以验证用户的身份。用户要访问不同的系统就需要在各个系统中建立相应的帐号。
当其要访问一个系统中的资源时,用户首先要登录进入该系统,如果他同时要访问处于多个系统中的资源,用户就不得不按照各个系统的要求分别登录进入相应的系统。
近年来,为了实现企业的信息化、电子商务和其他需求,出现了越来越多的网络应用系统,在这种传统的用户登录模式下,这些企业的网络用户和系统管理员不得不面对这些现实:
(1)用户需要使用其中的任何一个应用的时候都需要做一次身份认证;
页脚下载后可删除,如有侵权请告知删除