【正文】 這些編程語言包括熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)C、C++、Eiffel、Java、Perl、PHP、Python 、Ruby 和 Tcl 等； 支持多線程，充分利用CPU 資源，優(yōu)化的 SQL 查詢算法，有效地提高查詢速度；既能夠作為一個單獨(dú)的應(yīng)用程序應(yīng)用在客戶端服務(wù)器網(wǎng)絡(luò)環(huán)境中，也能夠作為一個庫而嵌入到其他的軟件中提供多語言支持，常見的編碼如中文的 GB 231BIG5，日文的 Shift_JIS 等都可以用作數(shù)據(jù)表名和數(shù)據(jù)列名；提供 TCP/IP、ODBC 和 JDBC 等多種數(shù)據(jù)庫連接途徑等等。MySql 是一個小型關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，開發(fā)者為瑞典 MySql AB 公司。 運(yùn)行環(huán)境分析 (1)、服務(wù)器使用的操作系統(tǒng)選擇1)　windows xp、windows 7 系統(tǒng)；2)　Linux系統(tǒng)。通過系統(tǒng)的身份和用戶對成員站點(diǎn)的權(quán)限控制，成員站點(diǎn)可在該系統(tǒng)中獲得察看用戶信息的權(quán)限。基于目前國內(nèi)一般網(wǎng)絡(luò)建設(shè)的現(xiàn)狀分析、和上述章節(jié)對身份認(rèn)證系統(tǒng)功能的分析，本章對本文所提出的基于 Web Service 的身份統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行了設(shè)計。這樣一來就無形中增加了用戶登錄信息的風(fēng)險性，同時也使用戶的認(rèn)證流程顯得繁瑣與冗雜。而授予用戶權(quán)限，只需要將相應(yīng)的角色分配給系統(tǒng)用戶即可，而無需直接將權(quán)限分配給用戶，這樣可以更加方便的有效的控制系統(tǒng)權(quán)限。 設(shè)：系統(tǒng)定義了q個角色組分別為RR?Rq。原因是這些應(yīng)用系統(tǒng)都有自己的權(quán)限和資源管理策略，并且都已經(jīng)在各自的業(yè)務(wù)系統(tǒng)內(nèi)部實(shí)現(xiàn)了。即在門戶上只定義用戶在整個系統(tǒng)中的粗權(quán)限，即訪問某個資源的權(quán)限，而在子系統(tǒng)中的權(quán)限則由二次鑒權(quán)來實(shí)現(xiàn)。以后用戶端可以通過這個權(quán)限令牌持續(xù)訪問應(yīng)用系統(tǒng)A ，直至退出系統(tǒng)或是會話超時?！　?) 、應(yīng)用系統(tǒng)A將用戶名和密碼連同自己的標(biāo)識(應(yīng)用系統(tǒng)A 的標(biāo)識)一起轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證服務(wù)，要求統(tǒng)一認(rèn)證服務(wù)完成登錄操作?！　〗y(tǒng)一認(rèn)證結(jié)構(gòu)涉及的實(shí)體主要包括：統(tǒng)一身份認(rèn)證服務(wù)的用戶(UserInfo)、統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)(Application)、應(yīng)用系統(tǒng)的編號(applicationId)及用戶登錄統(tǒng)一身份認(rèn)證服務(wù)后，創(chuàng)建的一個活躍的會話(Session)，并獲得會話的認(rèn)證令牌。不同的系統(tǒng)有不同的表達(dá)方法，但所有的訪問決策和資源分配操作都要假定這種綁定是正確的。3．通過用戶本身所具備的生理特性對其進(jìn)行驗(yàn)證。 身份認(rèn)證的方法1．通過一個用戶所知道的某些信息對其進(jìn)。通常，一個用戶就是約束為一個獨(dú)立實(shí)體的身份，特定的系統(tǒng)也有不同的約束條件。基于這樣一個統(tǒng)一的授權(quán)入口，管理員應(yīng)該可以完成以下工作：　　1) 、查詢用戶在整個網(wǎng)絡(luò)系統(tǒng)應(yīng)用中能夠使用哪些系統(tǒng)，在這些系統(tǒng)中分別擁有什么樣的權(quán)限；　　2) 、維護(hù)用戶總體權(quán)限，對于該用戶能夠使用的系統(tǒng)，該模塊通過身份統(tǒng)一認(rèn)證系統(tǒng)管理中西直接對相關(guān)子系統(tǒng)進(jìn)行授權(quán)管理，快速完成用戶全部的授權(quán)管理，而不需要熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)單個進(jìn)入各應(yīng)用系統(tǒng)本身?！　?) 、用戶角色設(shè)置子模塊。包括：角色I(xiàn)D，角色名稱，角色歸屬，以及設(shè)置該角色的所需要的權(quán)限等。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn) 統(tǒng)一用戶身份管理　　用戶身份管理服務(wù)功能可以實(shí)現(xiàn)集中或分布式的工作方式，對一個中央用戶資料數(shù)據(jù)庫進(jìn)行統(tǒng)一操作，系統(tǒng)管理員權(quán)限可以分派到以組為單位，訪問權(quán)限的管理可以下放在各個級別，理論上可以分無限個下放級別。實(shí)現(xiàn)集中認(rèn)證，最關(guān)鍵的問題是：用戶資料的集中存儲和管理；用戶身份的集中驗(yàn)證；訪問權(quán)限的集中控制和管理。該系統(tǒng)研究可以某網(wǎng)絡(luò)系統(tǒng)用戶提供統(tǒng)一的登錄界面，支持多種身份認(rèn)證方式，包括用戶名、密碼認(rèn)證、數(shù)字證書認(rèn)證等?！　?3)、有些用戶離開以后由于缺乏統(tǒng)一管理，還可以登錄網(wǎng)絡(luò)系統(tǒng)內(nèi)的一些業(yè)務(wù)系統(tǒng)。但是原有的各個系統(tǒng)的身份認(rèn)證都是分別獨(dú)立的，使得有關(guān)管理人員進(jìn)行各應(yīng)用系統(tǒng)的管理和各用戶使用這些系統(tǒng)時，擁有多個用戶名和密碼，帶來很多不便之處。s API和Spring 的配置文件可以非常好的對應(yīng)。 CXF 從 Xfire 繼承而來，對 Spring 有著非常友好的支持。CXF 框架是由過去的 Celtix 和 XFire 兩個框架合并而來，CXF 在 java 社區(qū)有廣泛的接受度是得益于它能很好的集成 Spring。利用 Web 服務(wù)的面向服務(wù)體系結(jié)構(gòu)中的安全性使我們能夠選擇最好的安全技術(shù)來滿足對于驗(yàn)證、數(shù)據(jù)完整性和機(jī)密性的需求。　　3) 、Web 服務(wù)隱私(WS—Privacy) ，定義了如何維護(hù)信息的隱私。一般來說，程序或程序員通過UDDI企業(yè)注冊中心來確定應(yīng)用服務(wù)的位置，或描述自己的Web應(yīng)用服務(wù)從而能讓別人使用。Web應(yīng)用服務(wù)允許在Web 站點(diǎn)上放置可編程的元素，使得能分布式地得進(jìn)行處理，UDDI企業(yè)登記中心就是用來提升和發(fā)現(xiàn)這些分布的Web應(yīng)用服務(wù)。WSDL文件與編程語言無關(guān)，WSDL文檔可以看成是客戶端和服務(wù)器之間的一個協(xié)約。　　服務(wù)實(shí)現(xiàn)文檔中主要元素的作用介紹如下：　　port：定義為協(xié)議/數(shù)據(jù)格式綁定與具體Web 訪問地址組合的單個服務(wù)訪問點(diǎn)。一般單個operation 描述了一個訪問入熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)口的請求/對應(yīng)消息對。WSDL文檔被分為兩種類型：服務(wù)接口(Service Interface) 和服務(wù)實(shí)現(xiàn)(Service Implementations)，文檔基本結(jié)構(gòu)框架如圖 ： 文檔基本結(jié)構(gòu)框架　　服務(wù)接口文檔中主要元素的作用介紹如下：types：定義了Web服務(wù)使用的所有數(shù)據(jù)類型集合，可被元素的各消息部件所引用。然后，響應(yīng)消息被提供給應(yīng)用熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)程序。該響應(yīng)也是一條 SOAP消息。 SOAP服務(wù)器將到服務(wù)提供者的Web服務(wù)請求消息路由。SOAP消息調(diào)用由服務(wù)提供者提供的Web服務(wù)操作的請求。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)SOAP包括三部分：一個定義描述消息內(nèi)容的框架的信封、一組表示應(yīng)用程序定義的數(shù)據(jù)類型實(shí)例的編碼規(guī)則，以及表示遠(yuǎn)程過程調(diào)用(remote procedure calls，RPC) 和響應(yīng)的約定。這種說明通常包含在稱為Web服務(wù)說明語言(WSDL)文檔的XML文檔中?！　ML Web Service是在Inter上進(jìn)行分布式計算的基本構(gòu)造塊，它成為應(yīng)用程序集成的平臺。除了易于建立和易于分析外，XML主要的優(yōu)點(diǎn)在于它既與平臺無關(guān)，又與廠商無關(guān)。任何平臺都有它的數(shù)據(jù)表示方法和類型系統(tǒng)，要實(shí)現(xiàn)互操作性，Web Service平臺必須提供一套標(biāo)準(zhǔn)的類型系統(tǒng)，用于溝通不同平臺、編程語言和組件模型中的不同類型系統(tǒng)。服務(wù)描述包含服務(wù)的接口和實(shí)現(xiàn)的細(xì)節(jié)，其中包括服務(wù)的數(shù)據(jù)類型、操作、綁定信息和網(wǎng)絡(luò)位置。 Web 服務(wù)是一個由服務(wù)描述來描述的接口，服務(wù)描述的實(shí)現(xiàn)就是該服務(wù)。對于服務(wù)請求者，可能會在兩個不同的生命周期階段中牽涉到查找操作：在設(shè)計時為了程序開發(fā)而檢索服務(wù)的接口描述，在運(yùn)行時為了調(diào)用而檢索服務(wù)的綁定和位置描述。具體操作為：熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)　　1) 、發(fā)布。同樣，服務(wù)請求者可以從服務(wù)注冊中心以外的其它來源得到服務(wù)描述，例如本地文件、FTP站點(diǎn)、Web 站點(diǎn)、廣告和服務(wù)發(fā)現(xiàn)(Advertisement and Discovery of Services，ADS)或發(fā)現(xiàn)Web 服務(wù)?！　?3)、服務(wù)注冊中心。從體系結(jié)構(gòu)的角度看，這是尋找并調(diào)用服務(wù)，或啟動與服務(wù)的交互的應(yīng)用程序。服務(wù)提供者負(fù)責(zé)創(chuàng)建服務(wù)描述，將服務(wù)描述發(fā)布到一個或多個服務(wù)注冊處，并接收來自一個或多個方法請求者的網(wǎng)絡(luò)服務(wù)調(diào)用消息。 描述了這些操作、提供這些操作的組件及它們之問的交互。支持CORBA、BCOM、EJB 等多種組件標(biāo)準(zhǔn)。以至于在所有層次上的處理都應(yīng)當(dāng)是可管理的，因此需要對管理協(xié)約運(yùn)用同樣的機(jī)制。對于使用者而言，他僅能看到該對象提供的功能列表。這兩個方面使業(yè)務(wù)人員可以就流程或應(yīng)用程序?qū)用媾c他們的合作伙伴進(jìn)行交流，同時為適應(yīng)新形勢或按照需要與不同合作伙伴進(jìn)行合作留有動態(tài)的余地。從技術(shù)層面上講，Web服務(wù)可以更方便地處理數(shù)據(jù)，并且允許軟件更自由地進(jìn)行通信。Web Service是基于網(wǎng)絡(luò)的、分布式的模塊化組件，它執(zhí)行特定的任務(wù)，遵守具體的技術(shù)規(guī)范，這些規(guī)范使得Web Service能與其他兼容的組件進(jìn)行互操作。參考文獻(xiàn)部分主要展示的本文作者完成論文過程中所參考的所有的資料文獻(xiàn)。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)第五章主要是在第四章分析的基礎(chǔ)上，對系統(tǒng)進(jìn)行詳細(xì)的設(shè)計，并根據(jù)設(shè)計來實(shí)現(xiàn)所設(shè)計的系統(tǒng)功能等。3) 以統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、單點(diǎn)登錄三大功能為基礎(chǔ)進(jìn)行程序開發(fā)，實(shí)現(xiàn)基于Web Service 的身份統(tǒng)一認(rèn)證系統(tǒng)的一些主要功能，包括統(tǒng)一應(yīng)用系統(tǒng)管理、統(tǒng)一權(quán)限管理、統(tǒng)一角色管理、統(tǒng)一統(tǒng)計分析、身份認(rèn)證系統(tǒng)管理菜單設(shè)置、統(tǒng)一接口規(guī)范、Web Service 服務(wù)器的部署、Java Web 測試客戶端的建立等，給基于 Web Service 的身份統(tǒng)一認(rèn)證系統(tǒng)的開發(fā)提供了一個好的思路與方法。而要提高網(wǎng)絡(luò)信息安全，前提就是要保證用戶身份認(rèn)證的安全。統(tǒng)一身份認(rèn)證機(jī)制，將同一個用戶在所有應(yīng)用系統(tǒng)中的權(quán)限和身份統(tǒng)一管理和分發(fā)。所謂統(tǒng)一身份認(rèn)證，就是用戶基于最初訪問的一次身份認(rèn)證,就能對其被授權(quán)的資源進(jìn)行無縫訪問，統(tǒng)一身份認(rèn)證是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。 論文研究意義隨著社會信息化的發(fā)展，很多的企事業(yè)單位都建立了自己的獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，其日常辦公也日益依賴于網(wǎng)絡(luò)。這些商業(yè)軟件一般適用于客戶對SSO 的需求很高，并且企業(yè)內(nèi)部采用 COTS軟件OMINO、SAP、Sieble的系統(tǒng)。與微軟的Passport集中認(rèn)證不同，自由聯(lián)盟采用的是一種稱為聯(lián)邦認(rèn)證（Federated Identity）的機(jī)制，即自由聯(lián)盟中的身份提供者不唯一，而是可以相互獨(dú)立存在的，使用聯(lián)邦認(rèn)證的好處是在有可以避免因單點(diǎn)故障而導(dǎo)致的系統(tǒng)癱瘓。如果不使用統(tǒng)一是身份認(rèn)證，勢必造成企業(yè)的工作人員在實(shí)際工作中要頻繁地在各個系統(tǒng)登錄和注銷，嚴(yán)重影響了生產(chǎn)效率；同時，很多系統(tǒng)都要維持一個用戶身份信息是很麻煩的。但是，由于企業(yè)受業(yè)務(wù)、自身?xiàng)l件和當(dāng)時軟件技術(shù)的影響,這些不同的系統(tǒng)往往是在不同的時期建設(shè)起來的，運(yùn)行在不同的平臺上。各系統(tǒng)也許是由不同廠商開發(fā)的，使用了各種不同的技術(shù)和標(biāo)準(zhǔn)。因此，信息系統(tǒng)急需建立一個統(tǒng)一的身份認(rèn)證系統(tǒng),以保證用戶操作的方便和應(yīng)用系統(tǒng)的安全。自由聯(lián)盟相關(guān)協(xié)議的基礎(chǔ)和核心是SAML（Security Assertion Markup Language 安全斷言標(biāo)記語言） 。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)采用這些商用軟件一般都要對要集成的系統(tǒng)做些改造，如在要集成的系統(tǒng)上安裝代理，首先統(tǒng)一這些系統(tǒng)的認(rèn)證方式，然后才能實(shí)現(xiàn)SSO，相對比較麻煩。在這樣的局部的網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)之上，企事業(yè)單位也陸續(xù)建設(shè)了各種業(yè)務(wù)應(yīng)用系統(tǒng)，其中不乏很多提供公共服務(wù)的系統(tǒng)，這些系統(tǒng)各自擁有一套權(quán)限管理機(jī)制和身份認(rèn)證方式。統(tǒng)一身份認(rèn)證的定義是：在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。這樣，各個應(yīng)用系統(tǒng)只需保留角色和權(quán)限控制，用戶相關(guān)的數(shù)據(jù)統(tǒng)一保存在身份認(rèn)證服務(wù)器中，用戶和角色的管理由應(yīng)用系統(tǒng)自行管理，從而簡化了應(yīng)用系統(tǒng)中用戶管理模塊的建設(shè)。本文作者在該系統(tǒng)的研究與實(shí)現(xiàn)中主要完成以下幾方面的任務(wù)：1) 對現(xiàn)代國內(nèi)外身份統(tǒng)一認(rèn)證系統(tǒng)的基本理論和基本思想，以及身份統(tǒng)一認(rèn)證系統(tǒng)的一些重要作用、發(fā)展趨勢等進(jìn)行深入研究，加強(qiáng)身份統(tǒng)一認(rèn)證系統(tǒng)理論方面的理解，并為基于 Web Service 的身份統(tǒng)一認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)建立理論基礎(chǔ)。 論文的組織結(jié)構(gòu)本文針對目前國內(nèi)外的研究現(xiàn)狀，運(yùn)用 Web Service、SSH2 等技術(shù)，以統(tǒng)一用戶管理、統(tǒng)一授權(quán)管理和統(tǒng)一認(rèn)證服務(wù)為實(shí)例，研究基于 Web Service 的身份統(tǒng)一認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)。第六章對統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行總體的評價與分析。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)第二章 Web Service 的應(yīng)用集成 Web Service 概述 什么是 Web Service　　軟件應(yīng)用程序不可能由任何一種專門的環(huán)境來解決，而是需要跨多個操作系統(tǒng)、編程語言和硬件平臺的環(huán)境來實(shí)現(xiàn)。位于Web協(xié)議頂部的高層接口層是通過標(biāo)準(zhǔn)化的 XML消息傳遞訪問的操作。從更高的概念層面上看，Web 服務(wù)可以視為一些工作單元，每個單元處理特定的功能任務(wù)。 Web service 的意義　　Web Service對于Web 開發(fā)者的重要意義在于，當(dāng)我們需要在不同的服務(wù)端、不同的熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)客戶端乃至不同的應(yīng)用類型、不同的計算設(shè)備之間傳遞信息的時候，以往的分布式開發(fā)技術(shù)因?yàn)檫m應(yīng)性不強(qiáng)或者擴(kuò)展能力不足，都難以滿足現(xiàn)代Web開發(fā)的需要，而Web service正好填補(bǔ)了這一空白?！　?2)、Web Service 支持使用松散耦合的分布式應(yīng)用程序這一特征是源于對象/ 組件技術(shù)，當(dāng)一個Web服務(wù)的實(shí)現(xiàn)發(fā)生變更的時候，只要Web 服務(wù)的調(diào)用界面不變，Web服務(wù)實(shí)現(xiàn)的任何變更對調(diào)用者來說都是透明的。 (4)、Web Service 具有高度的可集成能力由于Web服務(wù)采取簡單的、易理解的標(biāo)準(zhǔn) W