【正文】 一個動態(tài)的網(wǎng)站不僅需要編程語言的支持，還要有強有力的信息存儲能力，這就需要數(shù)據(jù)。 另外 MySql 為多種編程語言提供了 API。目前 MySql 被廣泛地應(yīng)用在 Inter 上的中小型網(wǎng)站中。 Web Service 提供服務(wù)與平臺無關(guān)，關(guān)鍵是要找到能夠運行在某個操作系統(tǒng)下的能部署 Web service 環(huán)境的應(yīng)用服務(wù)器。Linux 服務(wù)器具有低成本、性能卓越、代碼開放等特性。3．靈活性　　系統(tǒng)可以靈活滿足企業(yè)用戶的實際需要，從用戶的需求出發(fā)，使用戶的身份和訪問控制信息都能靈活的進行配置，并且能夠適應(yīng)將來的擴展需要，滿足企業(yè)實際的業(yè)務(wù)需要。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn) 系統(tǒng)性能目標(biāo)統(tǒng)一身份認(rèn)證系統(tǒng)將管理海量的用戶和成員站點信息，這對予系統(tǒng)的性能要求很高，同時網(wǎng)絡(luò)的性能要求也很高，所以基于Web Service統(tǒng)一身份認(rèn)證要能夠達到以下性能目標(biāo)：1．安全性　　身份驗證機制設(shè)計合理，充分考慮系統(tǒng)的安全性，能夠防止目前常見網(wǎng)絡(luò)攻擊（監(jiān)聽、重發(fā)、篡改斷言等）的機制，防止攻擊者的非法訪問，使系統(tǒng)安全得到保障。 (2)、對用戶與成員站點之間的權(quán)限控制。 系統(tǒng)設(shè)計目標(biāo) 系統(tǒng)功能目標(biāo) 統(tǒng)一身份認(rèn)證系統(tǒng)需要實現(xiàn)兩大功能： (1)、對用戶和系統(tǒng)的身份認(rèn)證。并且國內(nèi)的一些企事業(yè)單位在進行網(wǎng)絡(luò)建設(shè)的過程中，往往也會出現(xiàn)注重硬件建設(shè)而輕視軟件建設(shè)的做法，這樣更加限制了網(wǎng)絡(luò)系統(tǒng)內(nèi)部資源的利用。另外，在當(dāng)下國內(nèi)很多的高校都在進行找數(shù)字化、信息化校園建設(shè)，而針對校園網(wǎng)絡(luò)中眾多的應(yīng)用系統(tǒng)，如數(shù)字圖書館習(xí)題、OA 系統(tǒng)、教學(xué)資源管理系統(tǒng)等，就十分有必要提出一種解決方案，來保證校園網(wǎng)內(nèi)訪問的順暢和安全。尤其是在某個公司、學(xué)校或者其他組織單位的統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)中，都各自擁有著眾多的應(yīng)用子系統(tǒng)，而每一個應(yīng)用子系統(tǒng)都有著自己獨立的用戶認(rèn)證機制。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)第四章 系統(tǒng)功能分析與結(jié)構(gòu)設(shè)計在本章中，主要根據(jù)目前國內(nèi)一般公司、校園或者其他組織單位的網(wǎng)絡(luò)系統(tǒng)存在的用戶管理和認(rèn)證問題，并借鑒國內(nèi)外相關(guān)的研究成果，提出一種較為通用的、統(tǒng)一的、應(yīng)用級的、基于角色的用戶認(rèn)證系統(tǒng)的設(shè)計思路。通過以上設(shè)置，我們可以獲得各個用戶所需要的系統(tǒng)權(quán)限。角色為不同業(yè)務(wù)權(quán)限的組合，表達為：Ri = [A1][∪A2][∪A3][ ∪ …][∪An] 該式表明，一個角色權(quán)限可以定義為幾個不同的業(yè)務(wù)權(quán)限的組合?！　』跈?quán)限分散的統(tǒng)一認(rèn)證系統(tǒng)提出了一套基于用戶、用戶組、業(yè)務(wù)和角色相結(jié)合的身份控制系統(tǒng)，具體的實現(xiàn)如下：　　設(shè)：系統(tǒng)定義m個用戶分別為UUU3.......Um；n個業(yè)務(wù)分別為AAA3.....An；p個用戶組分別為GGG3.....Gp．用戶組是相關(guān)用戶的組合，具體表達為：Gk = [U1][∪U2] [∪U3] [∪…] [∪Um] 公式中[]表示可選的意思，該公式表明，一個用戶組可以定義為數(shù)個用戶的組合。如果要采用統(tǒng)一集中的權(quán)限控制策略，那么各自的應(yīng)用系統(tǒng)都修改比較大。　　在每個應(yīng)用系統(tǒng)中，采用二次鑒權(quán)，也就是用戶統(tǒng)一集中管理，單點登錄只解決用熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)戶登錄和用戶能否有進入某個應(yīng)用的權(quán)限問題，而在每個業(yè)務(wù)系統(tǒng)的權(quán)限則由各自的業(yè)務(wù)系統(tǒng)進行控制。該系統(tǒng)將采用基于角色的用戶訪問控制模型(RBAC) ，并且參考LDAP用戶樹狀模型的特點，并對該模型進行擴充，引入了用戶組，較適合于用戶的授權(quán)與管理定義。以統(tǒng)一身份認(rèn)證服務(wù)為核心的： 以統(tǒng)一身份認(rèn)證服務(wù)為核心的服務(wù)使用模式 基于權(quán)限分散的統(tǒng)一授權(quán)　　目前，大部分公司或者其他組織單位的網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀是每個應(yīng)用子系統(tǒng)都是由不同的單位來開發(fā)，并且將來新系統(tǒng)也只能是從外面采購或者第三方公司定制開發(fā)，這種現(xiàn)狀造成系統(tǒng)的權(quán)限管理只能是一種松耦合的權(quán)限管理方式?！　?2)、以統(tǒng)一身份認(rèn)證服務(wù)為核心的服務(wù)使用模式用戶登錄統(tǒng)一身份認(rèn)證服務(wù)后，即可使用所有支持統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)?！　?) 、應(yīng)用系統(tǒng)A創(chuàng)建一個系統(tǒng)會話(Session，系統(tǒng)A自己的機制)，并將應(yīng)用系統(tǒng)A 自熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)己的權(quán)限令牌返回給用戶?！　?) 、統(tǒng)一認(rèn)證服務(wù)核查自己的應(yīng)用系統(tǒng)注冊庫(使用UDDI Registry)，看看應(yīng)用系統(tǒng)A是否已經(jīng)是統(tǒng)一認(rèn)證服務(wù)的用戶系統(tǒng)，同時在用戶注冊庫中核查由應(yīng)用系統(tǒng) A轉(zhuǎn)發(fā)過來的用戶名和密碼。： 身份認(rèn)證組件模式　　1) 、用戶使用在統(tǒng)一認(rèn)證服務(wù)注冊的用戶名和密碼(也可能是其它授權(quán)信息，比如數(shù)字簽名等)登錄應(yīng)用系統(tǒng)A?！　〗y(tǒng)一認(rèn)證的應(yīng)用模式主要有三種：(1) 以應(yīng)用系統(tǒng)的身份認(rèn)證組件形式工作這個應(yīng)用模式是最基本的應(yīng)用模式，處在主導(dǎo)地位的是應(yīng)用系統(tǒng)。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn) 統(tǒng)一身份認(rèn)證模式　　統(tǒng)一身份認(rèn)證是由一個全網(wǎng)絡(luò)系統(tǒng)范圍內(nèi)唯一的認(rèn)證服務(wù)系統(tǒng)接管應(yīng)用各自的認(rèn)證模塊，應(yīng)用系統(tǒng)只需要遵循統(tǒng)一認(rèn)證服務(wù)調(diào)用接口，利用簽名認(rèn)證、用戶名／口令認(rèn)證等多種認(rèn)證方式來實現(xiàn)用戶身份的認(rèn)證過程。2) 在將安全相關(guān)事件記入審計日志時，用戶身份要被記錄下來。通過認(rèn)證，可以將一個系統(tǒng)的參與者綁定為計算機內(nèi)部的身份表達。如用戶的指紋或者視網(wǎng)膜，這是最安全也是最昂貴的方式，而且就目前的技術(shù)而言，其本身識別率沒有達到100%，現(xiàn)在更多利用其作為輔助驗證的手段。例如鑰匙、身份證等，這是日常生活中常見 的驗證身份方法，在計算機系統(tǒng)中，主要用于CA的身份識別。例如用戶密碼和用戶名，這是目前軟件系統(tǒng)最常用的方法，雖然不一定是最安全的方法。如非授權(quán)的非法問題，身份認(rèn)證是對用戶身份的證實，用以識別合法或者非法的用戶，阻止未授權(quán)用戶訪問網(wǎng)絡(luò)資源。系統(tǒng)使用許多不同的方法來表達用戶身份。就計算機系統(tǒng)而言，身份是實體的一種計算機表達。 用戶身份認(rèn)證服務(wù)　　用戶身份認(rèn)證服務(wù)允許管理員方便地對各種規(guī)模的用戶進行統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)?！　?4)、基于角色的授權(quán)管理模塊　　身份統(tǒng)一認(rèn)證平臺授權(quán)范圍主要是認(rèn)定哪些角色可以使用哪些系統(tǒng)，而對于這些角色在系統(tǒng)中能夠使用哪些應(yīng)用，使用到什么程度是由各應(yīng)用系統(tǒng)來確定的。在統(tǒng)一認(rèn)證平臺中，用戶享有的權(quán)限主要由其在應(yīng)用系統(tǒng)中擔(dān)任的角色來確定。用戶的基本信息包括：包括個人姓名，登錄密碼，注冊郵箱等信息，包括對這些數(shù)據(jù)的錄入、修改和刪除等功能。(3)、簡單方便的用戶管理界面用戶管理模塊負(fù)責(zé)用戶的數(shù)據(jù)管理，它應(yīng)包括以下子模塊：　　1) 、用戶基本信息維護子模塊。　　2) 、角色視圖對于每個應(yīng)用系統(tǒng)內(nèi)部的角色的數(shù)據(jù)進行維護管理。通過管理權(quán)限的下放，可以快速實現(xiàn)對用戶資料的更新，簡化用戶(組)管理帶來的工作量?！　〗y(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計思想就是要將機構(gòu)、用戶統(tǒng)一存儲，對應(yīng)用系統(tǒng)統(tǒng)一授權(quán)，規(guī)范應(yīng)用系統(tǒng)的用戶認(rèn)證方式，從而提高整個系統(tǒng)的完整性、安全性。： 身份統(tǒng)一認(rèn)證體系結(jié)構(gòu)圖當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)1的時候，因為還沒有登錄，會被引導(dǎo)到認(rèn)證系統(tǒng)中進行登錄（1） ；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進行身份效驗，如果通過效驗，應(yīng)該返回給用戶一個認(rèn)證的憑據(jù)－－ticket（2） ；　　 用戶再訪問別的應(yīng)用的時候（3，5）就會將這個ticket 帶上，作為自己認(rèn)證的憑據(jù)；應(yīng)用系統(tǒng)接受到請求之后會把ticket送到認(rèn)證系統(tǒng)進行效驗，檢查ticket的合法性（4，6） ；如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了。　　本文主要就其中如何實現(xiàn)身份的集中認(rèn)證問題做進一步的研究。使用戶在完成身份認(rèn)證后無須再次登錄就可以接受該網(wǎng)絡(luò)系統(tǒng)中其他信息服務(wù)系統(tǒng)提供熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)的服務(wù)。各應(yīng)用系統(tǒng)只需保留角色和權(quán)限控制，用戶數(shù)據(jù)庫資源統(tǒng)一保存在認(rèn)證服務(wù)器中，用戶和角色的管理由應(yīng)用系統(tǒng)自行管理，從而簡化了應(yīng)用系統(tǒng)中用戶管理模塊的建設(shè)?！　∷?，在一個網(wǎng)絡(luò)系統(tǒng)建設(shè)中，必須通過科學(xué)的集中認(rèn)證技術(shù)，實現(xiàn)應(yīng)用系統(tǒng)的用戶集中管理和統(tǒng)一認(rèn)證，徹底改變各自為政、管理松散的用戶管理模式；充分發(fā)揮企業(yè)或者其他組織單位內(nèi)部網(wǎng)絡(luò)管理維護部門的管理職責(zé)，規(guī)范用戶操作行為。這嚴(yán)重影響了用戶使用的效率，并對整個系統(tǒng)的安全帶來了極大的隱患。 身份統(tǒng)一認(rèn)證服務(wù)的體系結(jié)構(gòu)　　一個網(wǎng)絡(luò)系統(tǒng)內(nèi)部運行的應(yīng)用系統(tǒng)都有其自身的用戶系統(tǒng)和認(rèn)證方式，結(jié)果造成多套用戶共存及用戶信息冗余、用戶多密碼記憶及多點登錄。例如企業(yè)辦公自動化系統(tǒng)、企業(yè)公文管理系統(tǒng)、企業(yè)職工管理系統(tǒng)、企業(yè)客戶管理系統(tǒng)等等，這些應(yīng)用系統(tǒng)都在一個完善的企業(yè)網(wǎng)絡(luò)系統(tǒng)中得到了充分的應(yīng)用。CXF強調(diào)代碼優(yōu)先的設(shè)計方式（codefirst design)，使用了簡單的 API使得從現(xiàn)有的應(yīng)用開發(fā)服務(wù)變得方便。大多數(shù)配置都可以API來完成，替代了比較繁瑣的XML 配置文件， CXF39。鑒于 Spring 的廣泛應(yīng)用，對很多團隊來說這是非常有吸引力的一點。 2) 對 Spring 的友好支持。其最突出的兩個優(yōu)勢是： 1) 對 JAXWS 規(guī)范的完整實現(xiàn)。在本文的研究中，主要采用的Web Service框架是CXF，下面將著重介紹CXF框架的熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)相關(guān)信息。 Web Service 框架 Web Service擁有的主流框架有CXF、Axis2 、Xfire等，每一個框架都含有各自的優(yōu)點與缺點。6)、Web 服務(wù)授權(quán) (WS—Authorization)，定義了如何處理對訪問和交換數(shù)據(jù)的授權(quán)。　　4) 、Web 服務(wù)安全會話 (WS—Secure conversation)，定義了如何使用在Web 服務(wù)策略、Web服務(wù)信任和Web服務(wù)隱私中定義的規(guī)則，來在用于交換數(shù)據(jù)的服務(wù)之間建立安全會話?！　?) 、Web 服務(wù)信任(WS—Trust)，定義了安全交換的信任模型。 Web Service 的安全性實現(xiàn)　　用于Web服務(wù)的安全性協(xié)議是從 Web服務(wù)安全性 (WS—Security)規(guī)范開始的，該規(guī)范為安全通信定義了基于令牌的體系結(jié)構(gòu)。UDDI計劃的核心組件是UDDI企業(yè)登記中心，和一個用XML文檔來描述企業(yè)和其提供的Web應(yīng)用服務(wù)?！　母拍钌蟻碚f，UDDI企業(yè)登記中心所提供的信息包含三個主要部分：　　“白頁”包括了地址，聯(lián)系方法，和已知的標(biāo)識；　　“黃頁”包括了基于分類學(xué)的工業(yè)劃分；“綠頁”包括了關(guān)于該企業(yè)提供的服務(wù)的技術(shù)信息，包含了指向特定的Web應(yīng)用服務(wù)的鏈接或是URL等。企業(yè)級UDDI服務(wù)還可幫助組織機構(gòu)創(chuàng)建并部署更加可靠且更具智能化特征的應(yīng)用程序。使用WSDL工具，幾乎不用手工編寫代碼就能夠讓應(yīng)用程序整合新的服務(wù)?！　SDL是Web服務(wù)體系結(jié)構(gòu)的基礎(chǔ)，它提供了一個通用語言，用來描述服務(wù)和整合這些服務(wù)的平臺?！　ervice：是一個粗糙命名的元素，代表端口的集合；相關(guān)服務(wù)訪問點的集合?！　inding：包含了如何將抽象接口的元素(portType)轉(zhuǎn)變?yōu)榫唧w表示的細(xì)節(jié)，具體表示也就是指特定的數(shù)據(jù)格式和協(xié)議的結(jié)合；特定端口類型的具體協(xié)議和數(shù)據(jù)格式規(guī)范的綁定?！　ortType：對于某個訪問入口點類型所支持操作的抽象集合?！　peration：對服務(wù)中所支持操作的抽象描述?！　essage：通信消息數(shù)據(jù)結(jié)構(gòu)的抽象類型化定義。 Web 服務(wù)說明語言 WSDL　　WSDL(Web Service Description Language)Web服務(wù)器描述語言是用XML 文檔來描述Web服務(wù)的標(biāo)準(zhǔn)，是Web服務(wù)的接口定義語言，由 Ariba、Intel、IBM、MS等共同提出，通過WSDL，可描述Web 服務(wù)的三個基本屬性：　　1) 、務(wù)做些什么——服務(wù)所提供的操作　　2) 、如何訪問服務(wù)——和服務(wù)交互的數(shù)據(jù)格式以及必要協(xié)議　　3) 、服務(wù)位于何處——協(xié)議相關(guān)的地址，如URL　　WSDL文檔以端口集合的形式來描述Web 服務(wù)，WSDL服務(wù)描述包含對一組操作和消息的一個抽象定義，綁定到這些操作和消息的一個具體協(xié)議，和這個綁定的一個網(wǎng)絡(luò)端點規(guī)范?！　∩鲜鲞^程使用了請求/響應(yīng)傳送基本原理，請求 /響應(yīng)交換可以是同步的，也可以是異步的，通常在大多數(shù)分布式計算環(huán)境中都很常見。消息經(jīng)過整個SOAP基礎(chǔ)結(jié)構(gòu)，將XMI，消息轉(zhuǎn)換為目標(biāo)編程語言中的對象。響應(yīng)的SOAP消息在④被提供給SOAP 運行，到達目的地服務(wù)請求者?！　?3)、Web服務(wù)負(fù)責(zé)處理請求信息并生成一個響應(yīng)。如果應(yīng)用程序需要，SOAP運行時負(fù)責(zé)將XML 消息轉(zhuǎn)換為特定于編程語言的對象?！　?2)、網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)在②將消息傳送到服務(wù)提供者的SOAP運行時(例如一個SOAP服務(wù)器)。服務(wù)請求者將此信息和服務(wù)提供者的網(wǎng)址一起提供給SOAP基礎(chǔ)結(jié)構(gòu)(例如一個SOAP 客戶機運行時)。 用SOAP的XML消思傳遞　　(1)、服務(wù)提供者的應(yīng)用程序在①創(chuàng)建一條SOAP消息。SOAP可以和各種網(wǎng)絡(luò)協(xié)議(如HTTP、SMTP、FTP等)相結(jié)合使用，或者將這些協(xié)議重新封裝后使用。SOAP(Simple Object Access Protocol，簡單對象訪問協(xié)議)是一種簡單的、輕量級的基于XML的機制，用于在網(wǎng)絡(luò)應(yīng)用程序之間進行結(jié)構(gòu)化數(shù)據(jù)交換的消息傳遞協(xié)議?！　?3)、XML Web Service已經(jīng)過注冊，以便潛在用戶能夠輕易地找到這些服務(wù)，這是通過通用發(fā)現(xiàn)、說明和集成(UDDI)來完成的?！　?2)、XML Web