【正文】 另外 MySql 為多種編程語言提供了 API。目前 MySql 被廣泛地應用在 Inter 上的中小型網(wǎng)站中。 Web Service 提供服務與平臺無關，關鍵是要找到能夠運行在某個操作系統(tǒng)下的能部署 Web service 環(huán)境的應用服務器。Linux 服務器具有低成本、性能卓越、代碼開放等特性。3．靈活性　　系統(tǒng)可以靈活滿足企業(yè)用戶的實際需要，從用戶的需求出發(fā)，使用戶的身份和訪問控制信息都能靈活的進行配置，并且能夠適應將來的擴展需要，滿足企業(yè)實際的業(yè)務需要。熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)21 系統(tǒng)性能目標統(tǒng)一身份認證系統(tǒng)將管理海量的用戶和成員站點信息，這對予系統(tǒng)的性能要求很高，同時網(wǎng)絡的性能要求也很高，所以基于Web Service統(tǒng)一身份認證要能夠達到以下性能目標：1．安全性　　身份驗證機制設計合理，充分考慮系統(tǒng)的安全性，能夠防止目前常見網(wǎng)絡攻擊（監(jiān)聽、重發(fā)、篡改斷言等）的機制，防止攻擊者的非法訪問，使系統(tǒng)安全得到保障。 (2)、對用戶與成員站點之間的權限控制。 系統(tǒng)設計目標 系統(tǒng)功能目標 統(tǒng)一身份認證系統(tǒng)需要實現(xiàn)兩大功能： (1)、對用戶和系統(tǒng)的身份認證。并且國內(nèi)的一些企事業(yè)單位在進行網(wǎng)絡建設的過程中，往往也會出現(xiàn)注重硬件建設而輕視軟件建設的做法，這樣更加限制了網(wǎng)絡系統(tǒng)內(nèi)部資源的利用。另外，在當下國內(nèi)很多的高校都在進行找數(shù)字化、信息化校園建設，而針對校園網(wǎng)絡中眾多的應用系統(tǒng)，如數(shù)字圖書館習題、OA 系統(tǒng)、教學資源管理系統(tǒng)等，就十分有必要提出一種解決方案，來保證校園網(wǎng)內(nèi)訪問的順暢和安全。尤其是在某個公司、學?；蛘咂渌M織單位的統(tǒng)一的網(wǎng)絡系統(tǒng)中，都各自擁有著眾多的應用子系統(tǒng)，而每一個應用子系統(tǒng)都有著自己獨立的用戶認證機制。熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)20第四章 系統(tǒng)功能分析與結構設計在本章中，主要根據(jù)目前國內(nèi)一般公司、校園或者其他組織單位的網(wǎng)絡系統(tǒng)存在的用戶管理和認證問題，并借鑒國內(nèi)外相關的研究成果，提出一種較為通用的、統(tǒng)一的、應用級的、基于角色的用戶認證系統(tǒng)的設計思路。通過以上設置，我們可以獲得各個用戶所需要的系統(tǒng)權限。角色為不同業(yè)務權限的組合，表達為：Ri = [A1][∪A2][∪A3][ ∪ …][∪An] 該式表明，一個角色權限可以定義為幾個不同的業(yè)務權限的組合。　　基于權限分散的統(tǒng)一認證系統(tǒng)提出了一套基于用戶、用戶組、業(yè)務和角色相結合的身份控制系統(tǒng)，具體的實現(xiàn)如下：　　設：系統(tǒng)定義m個用戶分別為UUU3.......Um；n個業(yè)務分別為AAA3.....An；p個用戶組分別為GGG3.....Gp．用戶組是相關用戶的組合，具體表達為：Gk = [U1][∪U2] [∪U3] [∪…] [∪Um] 公式中[]表示可選的意思，該公式表明，一個用戶組可以定義為數(shù)個用戶的組合。如果要采用統(tǒng)一集中的權限控制策略，那么各自的應用系統(tǒng)都修改比較大?！　≡诿總€應用系統(tǒng)中，采用二次鑒權，也就是用戶統(tǒng)一集中管理，單點登錄只解決用熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)19戶登錄和用戶能否有進入某個應用的權限問題，而在每個業(yè)務系統(tǒng)的權限則由各自的業(yè)務系統(tǒng)進行控制。該系統(tǒng)將采用基于角色的用戶訪問控制模型(RBAC) ，并且參考LDAP用戶樹狀模型的特點，并對該模型進行擴充，引入了用戶組，較適合于用戶的授權與管理定義。以統(tǒng)一身份認證服務為核心的： 以統(tǒng)一身份認證服務為核心的服務使用模式 基于權限分散的統(tǒng)一授權　　目前，大部分公司或者其他組織單位的網(wǎng)絡系統(tǒng)的現(xiàn)狀是每個應用子系統(tǒng)都是由不同的單位來開發(fā)，并且將來新系統(tǒng)也只能是從外面采購或者第三方公司定制開發(fā)，這種現(xiàn)狀造成系統(tǒng)的權限管理只能是一種松耦合的權限管理方式。　　(2)、以統(tǒng)一身份認證服務為核心的服務使用模式用戶登錄統(tǒng)一身份認證服務后，即可使用所有支持統(tǒng)一身份認證服務的應用系統(tǒng)。　　5) 、應用系統(tǒng)A創(chuàng)建一個系統(tǒng)會話(Session，系統(tǒng)A自己的機制)，并將應用系統(tǒng)A 自熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)18己的權限令牌返回給用戶?！　?) 、統(tǒng)一認證服務核查自己的應用系統(tǒng)注冊庫(使用UDDI Registry)，看看應用系統(tǒng)A是否已經(jīng)是統(tǒng)一認證服務的用戶系統(tǒng)，同時在用戶注冊庫中核查由應用系統(tǒng) A轉發(fā)過來的用戶名和密碼。： 身份認證組件模式　　1) 、用戶使用在統(tǒng)一認證服務注冊的用戶名和密碼(也可能是其它授權信息，比如數(shù)字簽名等)登錄應用系統(tǒng)A?！　〗y(tǒng)一認證的應用模式主要有三種：(1) 以應用系統(tǒng)的身份認證組件形式工作這個應用模式是最基本的應用模式，處在主導地位的是應用系統(tǒng)。熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)17 統(tǒng)一身份認證模式　　統(tǒng)一身份認證是由一個全網(wǎng)絡系統(tǒng)范圍內(nèi)唯一的認證服務系統(tǒng)接管應用各自的認證模塊，應用系統(tǒng)只需要遵循統(tǒng)一認證服務調(diào)用接口，利用簽名認證、用戶名／口令認證等多種認證方式來實現(xiàn)用戶身份的認證過程。2) 在將安全相關事件記入審計日志時，用戶身份要被記錄下來。通過認證，可以將一個系統(tǒng)的參與者綁定為計算機內(nèi)部的身份表達。如用戶的指紋或者視網(wǎng)膜，這是最安全也是最昂貴的方式，而且就目前的技術而言，其本身識別率沒有達到100%，現(xiàn)在更多利用其作為輔助驗證的手段。例如鑰匙、身份證等，這是日常生活中常見 的驗證身份方法，在計算機系統(tǒng)中，主要用于CA的身份識別。例如用戶密碼和用戶名，這是目前軟件系統(tǒng)最常用的方法，雖然不一定是最安全的方法。如非授權的非法問題，身份認證是對用戶身份的證實，用以識別合法或者非法的用戶，阻止未授權用戶訪問網(wǎng)絡資源。系統(tǒng)使用許多不同的方法來表達用戶身份。就計算機系統(tǒng)而言，身份是實體的一種計算機表達。 用戶身份認證服務　　用戶身份認證服務允許管理員方便地對各種規(guī)模的用戶進行統(tǒng)一認證和統(tǒng)一授權?！　?4)、基于角色的授權管理模塊　　身份統(tǒng)一認證平臺授權范圍主要是認定哪些角色可以使用哪些系統(tǒng)，而對于這些角色在系統(tǒng)中能夠使用哪些應用，使用到什么程度是由各應用系統(tǒng)來確定的。在統(tǒng)一認證平臺中，用戶享有的權限主要由其在應用系統(tǒng)中擔任的角色來確定。用戶的基本信息包括：包括個人姓名，登錄密碼，注冊郵箱等信息，包括對這些數(shù)據(jù)的錄入、修改和刪除等功能。(3)、簡單方便的用戶管理界面用戶管理模塊負責用戶的數(shù)據(jù)管理，它應包括以下子模塊：　　1) 、用戶基本信息維護子模塊。　　2) 、角色視圖對于每個應用系統(tǒng)內(nèi)部的角色的數(shù)據(jù)進行維護管理。通過管理權限的下放，可以快速實現(xiàn)對用戶資料的更新，簡化用戶(組)管理帶來的工作量?！　〗y(tǒng)一身份認證系統(tǒng)的設計思想就是要將機構、用戶統(tǒng)一存儲，對應用系統(tǒng)統(tǒng)一授權，規(guī)范應用系統(tǒng)的用戶認證方式，從而提高整個系統(tǒng)的完整性、安全性。： 身份統(tǒng)一認證體系結構圖當用戶第一次訪問應用系統(tǒng)1的時候，因為還沒有登錄，會被引導到認證系統(tǒng)中進行登錄（1） ；根據(jù)用戶提供的登錄信息，認證系統(tǒng)進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑據(jù)－－ticket（2） ；　　 用戶再訪問別的應用的時候（3，5）就會將這個ticket 帶上，作為自己認證的憑據(jù)；應用系統(tǒng)接受到請求之后會把ticket送到認證系統(tǒng)進行效驗，檢查ticket的合法性（4，6） ；如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應用系統(tǒng)2和應用系統(tǒng)3了。　　本文主要就其中如何實現(xiàn)身份的集中認證問題做進一步的研究。使用戶在完成身份認證后無須再次登錄就可以接受該網(wǎng)絡系統(tǒng)中其他信息服務系統(tǒng)提供熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)14的服務。各應用系統(tǒng)只需保留角色和權限控制，用戶數(shù)據(jù)庫資源統(tǒng)一保存在認證服務器中，用戶和角色的管理由應用系統(tǒng)自行管理，從而簡化了應用系統(tǒng)中用戶管理模塊的建設?！　∷?，在一個網(wǎng)絡系統(tǒng)建設中，必須通過科學的集中認證技術，實現(xiàn)應用系統(tǒng)的用戶集中管理和統(tǒng)一認證，徹底改變各自為政、管理松散的用戶管理模式；充分發(fā)揮企業(yè)或者其他組織單位內(nèi)部網(wǎng)絡管理維護部門的管理職責，規(guī)范用戶操作行為。這嚴重影響了用戶使用的效率，并對整個系統(tǒng)的安全帶來了極大的隱患。 身份統(tǒng)一認證服務的體系結構　　一個網(wǎng)絡系統(tǒng)內(nèi)部運行的應用系統(tǒng)都有其自身的用戶系統(tǒng)和認證方式，結果造成多套用戶共存及用戶信息冗余、用戶多密碼記憶及多點登錄。例如企業(yè)辦公自動化系統(tǒng)、企業(yè)公文管理系統(tǒng)、企業(yè)職工管理系統(tǒng)、企業(yè)客戶管理系統(tǒng)等等，這些應用系統(tǒng)都在一個完善的企業(yè)網(wǎng)絡系統(tǒng)中得到了充分的應用。CXF強調(diào)代碼優(yōu)先的設計方式（codefirst design)，使用了簡單的 API使得從現(xiàn)有的應用開發(fā)服務變得方便。大多數(shù)配置都可以API來完成，替代了比較繁瑣的XML 配置文件， CXF39。鑒于 Spring 的廣泛應用，對很多團隊來說這是非常有吸引力的一點。 2) 對 Spring 的友好支持。其最突出的兩個優(yōu)勢是： 1) 對 JAXWS 規(guī)范的完整實現(xiàn)。在本文的研究中，主要采用的Web Service框架是CXF，下面將著重介紹CXF框架的熊海斌：基于 Web Service 的統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)12相關信息。 Web Service 框架 Web Service擁有的主流框架有CXF、Axis2 、Xfire等，每一個框架都含有各自的優(yōu)點與缺點。6)、Web 服務授權 (WS—Authorization)，定義了如何處理對訪問和交換數(shù)據(jù)的授權?！　?) 、Web 服務安全會話 (WS—Secure conversation)，定義了如何使用在Web 服務策略、Web服務信任和Web服務隱私中定義的規(guī)則，來在用于交換數(shù)據(jù)的服務之間建立安全會話?！　?) 、Web 服務信任(WS—Trust)，定義了安全交換的信任模型。 Web Service 的安全性實現(xiàn)　　用于Web服務的安全性協(xié)議是從 Web服務安全性 (WS—Security)規(guī)范開始的，該規(guī)范為安全通信定義了基于令牌的體系結構。UDDI計劃的核心組件是UDDI企業(yè)登記中心，和一個用XML文檔來描述企業(yè)和其提供的Web應用服務。　　從概念上來說，UDDI企業(yè)登記中心所提供的信息包含三個主要部分：　　“白頁”包括了地址，聯(lián)系方法，和已知的標識；　　“黃頁”包括了基于分類學的工業(yè)劃分；“綠頁”包括了關于該企業(yè)提供的服務的技術信息，包含了指向特定的Web應用服務的鏈接或是URL等。企業(yè)級UDDI服務還可幫助組織機構創(chuàng)建并部署更加可靠且更具智能化特征的應用程序。使用WSDL工具，幾乎不用手工編寫代碼就能夠讓應用程序整合新的服務?！　SDL是Web服務體系結構的基礎，它提供了一個通用語言，用來描述服務和整合這些服務的平臺。　　service：是一個粗糙命名的元素，代表端口的集合；相關服務訪問點的集合?！　inding：包含了如何將抽象接口的元素(portType)轉變?yōu)榫唧w表示的細節(jié)，具體表示也就是指特定的數(shù)據(jù)格式和協(xié)議的結合；特定端口類型的具體協(xié)議和數(shù)據(jù)格式規(guī)范的綁定?！　ortType：對于某個訪問入口點類型所支持操作的抽象集合?！　peration：對服務中所支持操作的抽象描述?！　essage：通信消息數(shù)據(jù)結構的抽象類型化定義。 Web 服務說明語言 WSDL　　WSDL(Web Service Description Language)Web服務器描述語言是用XML 文檔來描述Web服務的標準，是Web服務的接口定義語言，由 Ariba、Intel、IBM、MS等共同提出，通過WSDL，可描述Web 服務的三個基本屬性：　　1) 、務做些什么——服務所提供的操作　　2) 、如何訪問服務——和服務交互的數(shù)據(jù)格式以及必要協(xié)議　　3) 、服務位于何處——協(xié)議相關的地址，如URL　　WSDL文檔以端口集合的形式來描述Web 服務，WSDL服務描述包含對一組操作和消息的一個抽象定義，綁定到這些操作和消息的一個具體協(xié)議，和這個綁定的一個網(wǎng)絡端點規(guī)范?！　∩鲜鲞^程使用了請求/響應傳送基本原理，請求 /響應交換可以是同步的，也可以是異步的，通常在大多數(shù)分布式計算環(huán)境中都很常見。消息經(jīng)過整個SOAP基礎結構，將XMI，消息轉換為目標編程語言中的對象。響應的SOAP消息在④被提供給SOAP 運行，到達目的地服務請求者?！　?3)、Web服務負責處理請求信息并生成一個響應。如果應用程序需要，SOAP運行時負責將XML 消息轉換為特定于編程語言的對象?！　?2)、網(wǎng)絡基礎結構在②將消息傳送到服務提供者的SOAP運行時(例如一個SOAP服務器)。服務請求者將此信息和服務提供者的網(wǎng)址一起提供給SOAP基礎結構(例如一個SOAP 客戶機運行時)。 用SOAP的XML消思傳遞　　(1)、服務提供者的應用程序在①創(chuàng)建一條SOAP消息。SOAP可以和各種網(wǎng)絡協(xié)議(如HTTP、SMTP、FTP等)相結合使用，或者將這些協(xié)議重新封裝后使用。SOAP(Simple Object Access Protocol，簡單對象訪問協(xié)議)是一種簡單的、輕量級的基于XML的機制，用于在網(wǎng)絡應用程序之間進行結構化數(shù)據(jù)交換的消息傳遞協(xié)議。　　(3)、XML Web Service已經(jīng)過注冊，以便潛在用戶能夠輕易地找到這些服務，這是通過通用發(fā)現(xiàn)、說明和集成(UDDI)來完成的?！　?2)、XML Web Service可以非常詳細地說明