【正文】 用戶登錄頁(yè)面的編寫（2） 登錄入口業(yè)務(wù)處理接口類Ihandler的實(shí)現(xiàn)，如果沒有這方面的需求，可以不用實(shí)現(xiàn)Ihandler類，同時(shí)在配置文件不進(jìn)行配置。（3） 配置文件的具體配置2. 身份認(rèn)證模塊上的開發(fā)在身份認(rèn)證模塊上的開發(fā)，需要做的工作如下：（1） 為Credential、WrappingCredential、AuthenticationProvider、AuthenticationExceptionResolver這四個(gè)類提供特定的實(shí)現(xiàn)（2） 配置文件的具體配置 AD認(rèn)證本系統(tǒng)增加一個(gè)數(shù)據(jù)同步模塊，把AD目錄服務(wù)器中域用戶同步到OA系統(tǒng)中，作為系統(tǒng)的用戶帳戶，同時(shí)提供AD域用戶登錄方式，實(shí)現(xiàn)操作系統(tǒng)和應(yīng)用系統(tǒng)的單點(diǎn)登錄, 不影響用戶名和密碼的登錄方式。 AD數(shù)據(jù)同步模塊設(shè)計(jì)為了用來(lái)同步二者的數(shù)據(jù)，需要增加一個(gè)AD域用戶和OA系統(tǒng)用戶關(guān)聯(lián)表：PUB_LDAP_USER。首先把AD目錄服務(wù)器中的域用戶同步到PUB_LDAP_USER表, 然后把PUB_LDAP_USER表的數(shù)據(jù)同步到OA系統(tǒng)的用戶表1. 表設(shè)計(jì)PUB_LDAP_USER LDAP用戶同步表數(shù)據(jù)結(jié)構(gòu)如下：nameprimarykeyrequiredtype漢字列名USER_IDtruetrueVARCHAR用戶登陸名USER_NAMEfalsetrueVARCHAR用戶名稱PASSWORDfalsefalseVARCHAR密碼E_MAILfalsefalseVARCHAR電子郵件MOBILEfalsefalseVARCHAR移動(dòng)電話表411 PUB_LDAP_USER LDAP用戶同步表的數(shù)據(jù)結(jié)構(gòu)2. 類設(shè)計(jì)類名：LdapUserImpl包名：接口：方法：Method NameMethod DescriptionPub void syschronizeLdap()把AD目錄服務(wù)器中的域用戶同步到PUB_LDAP_USER表Pub void syschronizeUser(String userId)把PUB_LDAP_USER表的數(shù)據(jù)同步到OA系統(tǒng)的用戶表Pub void insert(LdapUser ldapUser)向PUB_LDAP_USER表中插入一條記錄Pub void delete(String userId)在PUB_LDAP_USER表中刪除一條記錄表412 LdapUserImpl的方法 AD域用戶登錄方式設(shè)計(jì)AD域用戶登錄方式設(shè)計(jì)主要包括兩個(gè)部分：客戶端Active控件、服務(wù)器端域用戶身份鑒定模塊。1. 單點(diǎn)登錄流程圖43 單點(diǎn)登錄流程圖2. 客戶端Active控件設(shè)計(jì)功能需求：獲取操作系統(tǒng)當(dāng)前登錄用戶的用戶名和域名接口調(diào)用：OBJECT id=AgentApp classid=CLSID:C4353596C6214A51B8FABD1A328F9B12 codebase=/OBJECT用戶名：域名： 說明：當(dāng)以本地用戶登錄操作系統(tǒng)時(shí)，； 當(dāng)以域用戶登錄操作系統(tǒng)時(shí)。3. 服務(wù)器端域用戶鑒定模塊設(shè)計(jì)1) 用戶憑證類類名：AdCredential包名：作用：實(shí)體類，代表域用戶的身份憑證屬性：Attibute NameAttribute TypeAttribute DescriptionusernameString用戶名passwordString密碼domainStringad域名表413 AdCredential的屬性2) 用戶憑證包裝類類名：AdWrappingCredentail接口： WrappingCredentail包名：作用：從用戶的請(qǐng)求中，或許用戶提交的憑證信息，包裝成用戶憑證類屬性：Attibute NameAttribute TypeAttribute Descriptionusername_keyString用戶名的屬性名Password_keyString密碼的屬性名domain_keyString域的屬性名表414 AdWrappingCredentail的屬性方法：Method NameMethod DescriptionPublic Object getCredential( HttpServletRequest request)獲取用戶憑證，并包裝成合適的用戶憑證類表415 AdWrappingCredentail的方法3) 身份鑒定提供者類類名： AdAuthenticationProvider接口：包名：作用：對(duì)用戶的憑證進(jìn)行實(shí)際的鑒定屬性：Attibute NameAttribute TypeAttribute DescriptiondomainStringad服務(wù)器的地址表416 AdAuthenticationProvider的屬性方法：Method NameMethod Descriptionpublic Authentication authenticate(Authentication authentication)鑒定用戶提交的憑證是否正確public boolean supports(Class credentials)判斷該鑒定提供者類是否支持某一個(gè)類型的憑證類表417 AdAuthenticationProvider的方法 用戶名和密碼密碼策略控制[7, 8]是否允許用戶重新使用舊的密碼(強(qiáng)制密碼歷史)，在兩次更改密碼之間的時(shí)間(最大密碼壽命以及最小密碼壽命)，最小密碼長(zhǎng)度(最小密碼長(zhǎng)度)，以及用戶是否必須混合使用大小寫字母、數(shù)字和特殊字符(密碼必須滿足復(fù)雜性要求)。最低要求，應(yīng)該要求每45天更改一次密碼，或要求至少8個(gè)字符的密碼，并確保開啟了密碼必須滿足復(fù)雜性要求設(shè)置。帳戶鎖定策略確定了在特定時(shí)間段內(nèi)鎖定帳戶之前，域控制器能夠接受多少次失敗的登錄嘗試。您可以配置用戶猜測(cè)密碼的次數(shù)(帳戶鎖定閾值)，帳戶將被鎖定的時(shí)間長(zhǎng)度(帳戶鎖定持續(xù)時(shí)間)，以及在成功登錄后多久再重新設(shè)置鎖定帳戶。Loushang系統(tǒng)針對(duì)密碼的管理提供了以下幾種策略（以下說明均按Loushang默認(rèn)設(shè)置）：1. 密碼輸入次數(shù)：輸入3次密碼，如果3次全部錯(cuò)誤的話，會(huì)鎖定帳戶2. 密碼有效時(shí)間pswdLifeTime：密碼超過60天，登錄會(huì)提示修改密碼3. 密碼失效時(shí)間pswdGraceTime用戶密碼失效后必須更改密碼的時(shí)間，如果這段時(shí)間沒有修改密碼，那么帳戶會(huì)被鎖定。這個(gè)是配合pswdLifeTime一起使用的。pswdLifeTime是指密碼需要修改的提示時(shí)間，而pswdGraceTime則是指，提示了密碼需要修改后還有多長(zhǎng)的時(shí)間來(lái)修改密碼，如果這段時(shí)間沒有修改密碼，那么帳號(hào)就被鎖定了！4. 密碼鎖定時(shí)間pswdLockTime：表示帳戶密碼輸入錯(cuò)誤后被鎖定的時(shí)間，過了這段時(shí)間后，賬戶自動(dòng)解鎖。以分鐘計(jì)算，負(fù)數(shù)表示永久。5. 密碼長(zhǎng)度，包括最小長(zhǎng)度和最大長(zhǎng)度6. 是否區(qū)分字母大小寫7. 是否包含特殊字符8. 是否必須同時(shí)包含數(shù)字和字符（如果包含特殊字符，則字符包括字母和特殊字符，否則只包括字母，下同）9. 密碼可用時(shí)間，1為無(wú)限長(zhǎng)，可和現(xiàn)有配置文件設(shè)置結(jié)合考慮10. 密碼失效時(shí)間11. 可否包含用戶名12. 可否與上次使用密碼相同密碼策略可以保證，所有用戶創(chuàng)建的密碼都符合管理員設(shè)置的規(guī)則。首先判斷有沒有使用密碼策略，默認(rèn)的兼容原來(lái)的代碼，即只使用了密碼時(shí)間策略。若用戶設(shè)置了密碼管理策略，則根據(jù)策略來(lái)判斷用戶設(shè)置的密碼是否符合策略要求，不符合則拋出異常提示信息。 靜態(tài)模型管理員密碼策略用戶圖44 用戶密碼策略靜態(tài)圖 動(dòng)態(tài)模型管理員創(chuàng)建密碼管理策略：圖45 管理員創(chuàng)建密碼管理策略圖用戶修改密碼：圖46 用戶修改密碼圖 系統(tǒng)實(shí)現(xiàn)效果圖47 密碼策略信息界面圖在密碼策略中，分三類策略，一個(gè)是密碼內(nèi)容的策略，包括進(jìn)行長(zhǎng)度、特殊字符、大小寫、包含數(shù)字否、與上次密碼相同否的設(shè)定，用戶在進(jìn)行密碼設(shè)置的時(shí)候會(huì)依據(jù)此處策略進(jìn)行合法判斷，直到用戶設(shè)置合法的密碼為止。第二類策略是對(duì)密碼使用時(shí)間的策略，第三類是帳戶鎖定策略，用戶在登錄時(shí)，在規(guī)定輸入次數(shù)內(nèi)，如果密碼不正確，則該帳戶被鎖定，待密碼鎖定時(shí)間過后，改密碼再次可用。此外關(guān)于密碼，為了防止用戶登錄時(shí)登錄密碼被截取，本系統(tǒng)也采用了相關(guān)的加密方式，此處不再詳述。 單點(diǎn)登陸為了支持不同方式下的單點(diǎn)登錄，我們的系統(tǒng)既要支持單認(rèn)證，也要支持雙認(rèn)證的登錄方式，既要支持所有業(yè)務(wù)系統(tǒng)使用一套相同用戶數(shù)據(jù)的用戶數(shù)據(jù)統(tǒng)一方式，也要支持通過關(guān)聯(lián)映射關(guān)系實(shí)現(xiàn)的用戶數(shù)據(jù)統(tǒng)一方式。從上面分析得知，要實(shí)現(xiàn)單點(diǎn)登錄[9, 10]，需要解決以下三個(gè)問題：1. 用戶數(shù)據(jù)統(tǒng)一。2. 統(tǒng)一認(rèn)證。3. 統(tǒng)一認(rèn)證后，與業(yè)務(wù)系統(tǒng)對(duì)接。 單點(diǎn)登錄應(yīng)用總體結(jié)構(gòu)圖圖48 單點(diǎn)登錄應(yīng)用總體結(jié)構(gòu)圖其中，CAS（Central Authentication Service）：集中認(rèn)證服務(wù)CAS_Agent：集中認(rèn)證服務(wù)客戶端代理CAS_Server：集中認(rèn)證服務(wù)服務(wù)器端CAS_Server通過總用戶數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)統(tǒng)一認(rèn)證。每個(gè)業(yè)務(wù)系統(tǒng)都有對(duì)應(yīng)的用戶數(shù)據(jù)庫(kù)。用戶訪問業(yè)務(wù)系統(tǒng)時(shí)，業(yè)務(wù)系統(tǒng)需要把用戶轉(zhuǎn)向集中認(rèn)證系統(tǒng)進(jìn)行統(tǒng)一身份認(rèn)證。因此集中認(rèn)證系統(tǒng)需要有一個(gè)代理端CAS_Agent，部署在業(yè)務(wù)系統(tǒng)上，用來(lái)把用戶的請(qǐng)求轉(zhuǎn)向到集中認(rèn)證系統(tǒng)進(jìn)行統(tǒng)一認(rèn)證。 用戶數(shù)據(jù)統(tǒng)一從上面分析我們知道，用戶數(shù)據(jù)統(tǒng)一有兩種實(shí)現(xiàn)方式：1. 建立一套總的用戶數(shù)據(jù)，業(yè)務(wù)系統(tǒng)不對(duì)用戶數(shù)據(jù)維護(hù)，每個(gè)業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)從總用戶數(shù)據(jù)上同步，業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)是總用戶數(shù)據(jù)的子集。2. 建立一套總的用戶數(shù)據(jù)，每個(gè)業(yè)務(wù)系統(tǒng)使用各自獨(dú)立的用戶數(shù)據(jù)，業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)和總用戶數(shù)據(jù)之間關(guān)聯(lián)映射?？傆脩魯?shù)據(jù)的管理維護(hù)方案：總的用戶數(shù)據(jù)可以存儲(chǔ)在LDAP服務(wù)器上，由LDAP服務(wù)器來(lái)統(tǒng)一管理維護(hù)，也可以存放在數(shù)據(jù)庫(kù)中，由一個(gè)單獨(dú)的應(yīng)用系統(tǒng)來(lái)管理維護(hù)。第一種方式下，業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)管理維護(hù)方案：業(yè)務(wù)系統(tǒng)上建立一個(gè)用戶數(shù)據(jù)同步模塊，用來(lái)從總用戶數(shù)據(jù)上同步下本系統(tǒng)所需要的用戶。業(yè)務(wù)系統(tǒng)只有同步用戶、修改用戶、刪除用戶的功能，不能增加用戶。第二種方式下，業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)管理維護(hù)方案：為業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)增加一個(gè)關(guān)聯(lián)映射表，把總用戶數(shù)據(jù)上的用戶映射到業(yè)務(wù)系統(tǒng)上的用戶。同時(shí)，在業(yè)務(wù)系統(tǒng)上要增加一個(gè)用戶數(shù)據(jù)映射模塊，由管理員來(lái)維護(hù)。映射表的字段描述如下：字段名是否主鍵是否可以為空長(zhǎng)度業(yè)務(wù)含義CAS_USER_ID是否VARCHAR(250)集中認(rèn)證系統(tǒng)的用戶登錄名USER_ID否否VARCHAR(250)業(yè)務(wù)系統(tǒng)的用戶登錄名表418 映射表的字段 統(tǒng)一認(rèn)證的技術(shù)原理統(tǒng)一認(rèn)證[11, 12]是用戶第一次登錄業(yè)務(wù)系統(tǒng)時(shí)，集中身份認(rèn)證系統(tǒng)為每個(gè)客戶端產(chǎn)生一個(gè)全局的token，并存放進(jìn)客戶端瀏覽器的cookie中。當(dāng)用戶再訪問其他業(yè)務(wù)系統(tǒng)時(shí)，集中身份認(rèn)證系統(tǒng)首先從客戶端瀏覽器的cookie中獲取全局的token，然后校驗(yàn)該token在集中身份認(rèn)證系統(tǒng)中是否存在，如果能從客戶端瀏覽器中獲取全局token值，并且該token在系統(tǒng)中存在，則判斷該用戶通過了全局認(rèn)證。 統(tǒng)一認(rèn)證流程統(tǒng)一認(rèn)證大體可分為兩種場(chǎng)景：場(chǎng)景一：用戶首先訪問應(yīng)用系統(tǒng)A1. 用戶訪問業(yè)務(wù)系統(tǒng)A2. 業(yè)務(wù)系統(tǒng)調(diào)用其配置的集中認(rèn)證代理，把用戶的請(qǐng)求轉(zhuǎn)到集中身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證3. 集中身份認(rèn)證系統(tǒng)返回一個(gè)統(tǒng)一登錄界面，提示用戶輸入身份信息4. 用戶輸入身份信息5. 集中身份認(rèn)證系統(tǒng)驗(yàn)證用戶提交的身份信息合法，轉(zhuǎn)向業(yè)務(wù)系統(tǒng)A，同時(shí)返回用戶在總用戶數(shù)據(jù)中的帳號(hào)場(chǎng)景二：用戶再訪問應(yīng)用系統(tǒng)B1. 用戶訪問業(yè)務(wù)系統(tǒng)B2. 業(yè)務(wù)系統(tǒng)調(diào)用其配置的集中認(rèn)證代理，把用戶的請(qǐng)求轉(zhuǎn)到集中身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證3. 集中身份認(rèn)證系統(tǒng)判斷該用戶在此之前已經(jīng)登錄過某一業(yè)務(wù)系統(tǒng)，認(rèn)證通過。4. 集中身份認(rèn)證系統(tǒng)轉(zhuǎn)向用戶所要訪問的業(yè)務(wù)系統(tǒng)，轉(zhuǎn)向業(yè)務(wù)系統(tǒng)B，同時(shí)返回用戶在總用戶數(shù)據(jù)中的帳號(hào)統(tǒng)一認(rèn)證通過后，向業(yè)務(wù)系統(tǒng)提交用戶在總用戶數(shù)據(jù)中的帳號(hào)。這就要求業(yè)務(wù)系統(tǒng)，要把總用戶數(shù)據(jù)中的帳號(hào)映射到業(yè)務(wù)系統(tǒng)中的帳號(hào)。 統(tǒng)一認(rèn)證后，與業(yè)務(wù)系統(tǒng)對(duì)接統(tǒng)一認(rèn)證通過后，集中認(rèn)證系統(tǒng)返回在總用戶數(shù)據(jù)上的用戶帳號(hào)給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)需要把該帳號(hào)映射到本系統(tǒng)對(duì)應(yīng)的用戶帳號(hào)，然后為該用戶帳號(hào)創(chuàng)建登錄會(huì)話。如果業(yè)務(wù)系統(tǒng)還需要做二次認(rèn)證，那么集中認(rèn)證系統(tǒng)還需要把用戶輸入的身份信息提交給業(yè)務(wù)系統(tǒng)。由于一般業(yè)務(wù)系統(tǒng)都提供基于用戶名和密碼方式的認(rèn)證，為了支持業(yè)務(wù)系統(tǒng)的二次認(rèn)證，集中認(rèn)證系統(tǒng)要能支持基于用戶名和密碼的登錄方式。同時(shí)，可以看出，為了實(shí)現(xiàn)二次認(rèn)證，用戶數(shù)據(jù)統(tǒng)一必須采用第一種方式，即業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)和總用戶數(shù)據(jù)是一套用戶數(shù)據(jù)?？傆脩魯?shù)據(jù)上的用戶帳號(hào)映射到業(yè)務(wù)系統(tǒng)對(duì)應(yīng)的用戶帳號(hào)，由業(yè)務(wù)系統(tǒng)端來(lái)實(shí)現(xiàn)。如果業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)是從總用戶數(shù)據(jù)上同步下來(lái)的，那么只要判斷總用戶數(shù)據(jù)上的用戶帳號(hào)在業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)中有無(wú)記錄，如果有，則映射成功，反之映射失??；如果業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)和總用戶數(shù)據(jù)是用關(guān)聯(lián)表的方式映射，那么需要查詢關(guān)聯(lián)表，如果找到對(duì)應(yīng)的映射記錄，則映射成功，反之映射失敗。單點(diǎn)登錄方式如下圖所示，統(tǒng)一認(rèn)證通過后，集中認(rèn)證系統(tǒng)與