【正文】 　　(3)、XML Web Service已經(jīng)過注冊，以便潛在用戶能夠輕易地找到這些服務(wù)，這是通過通用發(fā)現(xiàn)、說明和集成(UDDI)來完成的。 簡單對象訪問協(xié)議 SOAPIBM、Microsoft以及其它企業(yè)都向W3C建議SOAP作為XML協(xié)議工作組(XML Protocol Working Group)的基礎(chǔ)。SOAP(Simple Object Access Protocol，簡單對象訪問協(xié)議)是一種簡單的、輕量級的基于XML的機制，用于在網(wǎng)絡(luò)應(yīng)用程序之間進(jìn)行結(jié)構(gòu)化數(shù)據(jù)交換的消息傳遞協(xié)議。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)8SOAP包括三部分：一個定義描述消息內(nèi)容的框架的信封、一組表示應(yīng)用程序定義的數(shù)據(jù)類型實例的編碼規(guī)則，以及表示遠(yuǎn)程過程調(diào)用(remote procedure calls，RPC) 和響應(yīng)的約定。SOAP可以和各種網(wǎng)絡(luò)協(xié)議(如HTTP、SMTP、FTP等)相結(jié)合使用，或者將這些協(xié)議重新封裝后使用。一個簡單的SOAP消息表示：　 POST /StudentInfo HTTP/　　Host：localhost　　Content—Type：text/xml：charset=”utf一8”　　Content—Length：640SOAPAction： ”GetStudentInfo” 消息傳遞。 用SOAP的XML消思傳遞　　(1)、服務(wù)提供者的應(yīng)用程序在①創(chuàng)建一條SOAP消息。SOAP消息調(diào)用由服務(wù)提供者提供的Web服務(wù)操作的請求。服務(wù)請求者將此信息和服務(wù)提供者的網(wǎng)址一起提供給SOAP基礎(chǔ)結(jié)構(gòu)(例如一個SOAP 客戶機運行時)。SOAP客戶機運行時與一個底層網(wǎng)絡(luò)協(xié)議(例如 HTTP)交互，然后在網(wǎng)絡(luò)上將SOAP消息發(fā)送出去?！　?2)、網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)在②將消息傳送到服務(wù)提供者的SOAP運行時(例如一個SOAP服務(wù)器)。 SOAP服務(wù)器將到服務(wù)提供者的Web服務(wù)請求消息路由。如果應(yīng)用程序需要，SOAP運行時負(fù)責(zé)將XML 消息轉(zhuǎn)換為特定于編程語言的對象。這個轉(zhuǎn)換由消息中可以找到的編碼模式所控制?！　?3)、Web服務(wù)負(fù)責(zé)處理請求信息并生成一個響應(yīng)。該響應(yīng)也是一條 SOAP消息。響應(yīng)的SOAP消息在④被提供給SOAP 運行，到達(dá)目的地服務(wù)請求者。(4)、響應(yīng)消息在④由服務(wù)請求者節(jié)點上的聯(lián)網(wǎng)基礎(chǔ)結(jié)構(gòu)接收。消息經(jīng)過整個SOAP基礎(chǔ)結(jié)構(gòu)，將XMI，消息轉(zhuǎn)換為目標(biāo)編程語言中的對象。然后，響應(yīng)消息被提供給應(yīng)用熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)9程序?！　∩鲜鲞^程使用了請求/響應(yīng)傳送基本原理，請求 /響應(yīng)交換可以是同步的，也可以是異步的，通常在大多數(shù)分布式計算環(huán)境中都很常見。其它傳送基本原理，如單向消息傳遞(無響應(yīng) )，通知 (推動式響應(yīng)) 以及發(fā)布/訂閱，也可能用到SOAP。 Web 服務(wù)說明語言 WSDL　　WSDL(Web Service Description Language)Web服務(wù)器描述語言是用XML 文檔來描述Web服務(wù)的標(biāo)準(zhǔn)，是Web服務(wù)的接口定義語言，由 Ariba、Intel、IBM、MS等共同提出，通過WSDL，可描述Web 服務(wù)的三個基本屬性：　　1) 、務(wù)做些什么——服務(wù)所提供的操作　　2) 、如何訪問服務(wù)——和服務(wù)交互的數(shù)據(jù)格式以及必要協(xié)議　　3) 、服務(wù)位于何處——協(xié)議相關(guān)的地址，如URL　　WSDL文檔以端口集合的形式來描述Web 服務(wù)，WSDL服務(wù)描述包含對一組操作和消息的一個抽象定義，綁定到這些操作和消息的一個具體協(xié)議，和這個綁定的一個網(wǎng)絡(luò)端點規(guī)范。WSDL文檔被分為兩種類型：服務(wù)接口(Service Interface) 和服務(wù)實現(xiàn)(Service Implementations)，文檔基本結(jié)構(gòu)框架如圖 ： 文檔基本結(jié)構(gòu)框架　　服務(wù)接口文檔中主要元素的作用介紹如下：types：定義了Web服務(wù)使用的所有數(shù)據(jù)類型集合，可被元素的各消息部件所引用?！　essage：通信消息數(shù)據(jù)結(jié)構(gòu)的抽象類型化定義。使用Types所定義的類型來定義整個消息的數(shù)據(jù)結(jié)構(gòu)?！　peration：對服務(wù)中所支持操作的抽象描述。一般單個operation 描述了一個訪問入熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)10口的請求/對應(yīng)消息對?！　ortType：對于某個訪問入口點類型所支持操作的抽象集合。這些操作可以由一個或多個服務(wù)訪問點來支持?！　inding：包含了如何將抽象接口的元素(portType)轉(zhuǎn)變?yōu)榫唧w表示的細(xì)節(jié)，具體表示也就是指特定的數(shù)據(jù)格式和協(xié)議的結(jié)合；特定端口類型的具體協(xié)議和數(shù)據(jù)格式規(guī)范的綁定?！　》?wù)實現(xiàn)文檔中主要元素的作用介紹如下：　　port：定義為協(xié)議/數(shù)據(jù)格式綁定與具體Web 訪問地址組合的單個服務(wù)訪問點。　　service：是一個粗糙命名的元素，代表端口的集合；相關(guān)服務(wù)訪問點的集合?！　∥臋n中portType與message和type元素的細(xì)節(jié)相結(jié)合描述了Web服務(wù)是什么，binding元素描述了如何使用Web 服務(wù)，port及service元素描述了Web服務(wù)的位置?！　SDL是Web服務(wù)體系結(jié)構(gòu)的基礎(chǔ)，它提供了一個通用語言，用來描述服務(wù)和整合這些服務(wù)的平臺。WSDL文件與編程語言無關(guān)，WSDL文檔可以看成是客戶端和服務(wù)器之間的一個協(xié)約。使用WSDL工具，幾乎不用手工編寫代碼就能夠讓應(yīng)用程序整合新的服務(wù)。 統(tǒng)一描述、發(fā)現(xiàn)與集成 UDDI　　UDDI(Universal Description、Discovery and Integration)是一個動態(tài)而靈活的XML Web服務(wù)基礎(chǔ)架構(gòu)，是一套基于 Web的信息與服務(wù)注冊的標(biāo)準(zhǔn)，同時也實現(xiàn)了一組使企業(yè)能將自己能提供的的Web 服務(wù)進(jìn)行登記，以使得別的企業(yè)能夠找到標(biāo)準(zhǔn)；并在此基礎(chǔ)上降低Web服務(wù)及其它編程資源的查詢難度。企業(yè)級UDDI服務(wù)還可幫助組織機構(gòu)創(chuàng)建并部署更加可靠且更具智能化特征的應(yīng)用程序。Web應(yīng)用服務(wù)允許在Web 站點上放置可編程的元素，使得能分布式地得進(jìn)行處理，UDDI企業(yè)登記中心就是用來提升和發(fā)現(xiàn)這些分布的Web應(yīng)用服務(wù)?！　母拍钌蟻碚f，UDDI企業(yè)登記中心所提供的信息包含三個主要部分：　　“白頁”包括了地址，聯(lián)系方法，和已知的標(biāo)識；　　“黃頁”包括了基于分類學(xué)的工業(yè)劃分；“綠頁”包括了關(guān)于該企業(yè)提供的服務(wù)的技術(shù)信息，包含了指向特定的Web應(yīng)用服務(wù)的鏈接或是URL等?！　DDI服務(wù)支持通過基于SOAP 的UDDI應(yīng)用程序編程接口(API)進(jìn)行程序化查詢，同熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)11時，它還提供了具備搜索、發(fā)布與協(xié)調(diào)功能并且能夠兼容Microsoft Inter　Explorer Navigator 。UDDI計劃的核心組件是UDDI企業(yè)登記中心，和一個用XML文檔來描述企業(yè)和其提供的Web應(yīng)用服務(wù)。一般來說，程序或程序員通過UDDI企業(yè)注冊中心來確定應(yīng)用服務(wù)的位置，或描述自己的Web應(yīng)用服務(wù)從而能讓別人使用。 Web Service 的安全性實現(xiàn)　　用于Web服務(wù)的安全性協(xié)議是從 Web服務(wù)安全性 (WS—Security)規(guī)范開始的，該規(guī)范為安全通信定義了基于令牌的體系結(jié)構(gòu)。以此為基礎(chǔ)，有六個主要的組成規(guī)范：　　1) 、Web 服務(wù)策略(WS—Policy)和相關(guān)的規(guī)范，定義了關(guān)于服務(wù)交互方式的策略規(guī)則?！　?) 、Web 服務(wù)信任(WS—Trust)，定義了安全交換的信任模型?！　?) 、Web 服務(wù)隱私(WS—Privacy) ，定義了如何維護(hù)信息的隱私?！　?) 、Web 服務(wù)安全會話 (WS—Secure conversation)，定義了如何使用在Web 服務(wù)策略、Web服務(wù)信任和Web服務(wù)隱私中定義的規(guī)則，來在用于交換數(shù)據(jù)的服務(wù)之間建立安全會話?！　?) 、Web 服務(wù)聯(lián)盟(WS—Federation)，定義了分布式標(biāo)識的規(guī)則以及如何對其進(jìn)行管理。6)、Web 服務(wù)授權(quán) (WS—Authorization)，定義了如何處理對訪問和交換數(shù)據(jù)的授權(quán)。利用 Web 服務(wù)的面向服務(wù)體系結(jié)構(gòu)中的安全性使我們能夠選擇最好的安全技術(shù)來滿足對于驗證、數(shù)據(jù)完整性和機密性的需求。 Web Service 框架 Web Service擁有的主流框架有CXF、Axis2 、Xfire等，每一個框架都含有各自的優(yōu)點與缺點。如Axis2核心是純SOAP處理引擎，并不了解數(shù)據(jù)綁定、傳輸、WSDL等內(nèi)容；Axis ，它完全綁定到請求響應(yīng)調(diào)用；XFire與 Axis2 又是并列的新一代Web Service 平臺，能夠與Spring進(jìn)行結(jié)合并擁有統(tǒng)一的標(biāo)準(zhǔn)等。在本文的研究中，主要采用的Web Service框架是CXF，下面將著重介紹CXF框架的熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)12相關(guān)信息。CXF 框架是由過去的 Celtix 和 XFire 兩個框架合并而來，CXF 在 java 社區(qū)有廣泛的接受度是得益于它能很好的集成 Spring。其最突出的兩個優(yōu)勢是： 1) 對 JAXWS 規(guī)范的完整實現(xiàn)。 作為 java 平臺上的 Web Service 標(biāo)準(zhǔn)，過去既有的 Web Service 產(chǎn)品必然會向這一標(biāo)準(zhǔn)靠攏，而 JAXWS 標(biāo)準(zhǔn)本身大大地降低了開發(fā) WebS ervice 的工作量，對于開發(fā)人員來說，是非常受歡迎的。 2) 對 Spring 的友好支持。 CXF 從 Xfire 繼承而來，對 Spring 有著非常友好的支持。鑒于 Spring 的廣泛應(yīng)用，對很多團(tuán)隊來說這是非常有吸引力的一點。 此外CXF更注重開發(fā)人員的功效（ergonomics ）和嵌入能力（ embeddability） 。大多數(shù)配置都可以API來完成，替代了比較繁瑣的XML 配置文件， CXF39。s API和Spring 的配置文件可以非常好的對應(yīng)。CXF強調(diào)代碼優(yōu)先的設(shè)計方式（codefirst design)，使用了簡單的 API使得從現(xiàn)有的應(yīng)用開發(fā)服務(wù)變得方便。熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)13第三章 基于 Web Service 的身份統(tǒng)一認(rèn)證的技術(shù)研究　　近年來，隨著Inter的飛速發(fā)展，網(wǎng)絡(luò)已經(jīng)滲透到社會的各個領(lǐng)域，基于WEB 的信息交流、信息共享與協(xié)作成為信息網(wǎng)絡(luò)建設(shè)信息化、數(shù)字化的重要發(fā)展方向。例如企業(yè)辦公自動化系統(tǒng)、企業(yè)公文管理系統(tǒng)、企業(yè)職工管理系統(tǒng)、企業(yè)客戶管理系統(tǒng)等等，這些應(yīng)用系統(tǒng)都在一個完善的企業(yè)網(wǎng)絡(luò)系統(tǒng)中得到了充分的應(yīng)用。但是原有的各個系統(tǒng)的身份認(rèn)證都是分別獨立的，使得有關(guān)管理人員進(jìn)行各應(yīng)用系統(tǒng)的管理和各用戶使用這些系統(tǒng)時，擁有多個用戶名和密碼，帶來很多不便之處。 身份統(tǒng)一認(rèn)證服務(wù)的體系結(jié)構(gòu)　　一個網(wǎng)絡(luò)系統(tǒng)內(nèi)部運行的應(yīng)用系統(tǒng)都有其自身的用戶系統(tǒng)和認(rèn)證方式，結(jié)果造成多套用戶共存及用戶信息冗余、用戶多密碼記憶及多點登錄。尤其在執(zhí)行某個應(yīng)用系統(tǒng)的用戶認(rèn)證功能時存在以下問題：　　(1)、一個用戶登錄不同系統(tǒng)就需要采用多個帳號，不容易記憶，而很多用戶在不同系統(tǒng)里面采用同樣的帳號密碼，不安全：　　(2)、不同系統(tǒng)都采用自身的一套認(rèn)證和用戶管理機制，不利于網(wǎng)絡(luò)系統(tǒng)的統(tǒng)一管理；代碼中內(nèi)置的用戶名和密碼需要隨自身的變化經(jīng)常維護(hù)，同時在很多場合下，用戶名和密碼對于程序員來說是不可見的。這嚴(yán)重影響了用戶使用的效率，并對整個系統(tǒng)的安全帶來了極大的隱患。　　(3)、有些用戶離開以后由于缺乏統(tǒng)一管理，還可以登錄網(wǎng)絡(luò)系統(tǒng)內(nèi)的一些業(yè)務(wù)系統(tǒng)?！　∷裕谝粋€網(wǎng)絡(luò)系統(tǒng)建設(shè)中，必須通過科學(xué)的集中認(rèn)證技術(shù)，實現(xiàn)應(yīng)用系統(tǒng)的用戶集中管理和統(tǒng)一認(rèn)證，徹底改變各自為政、管理松散的用戶管理模式；充分發(fā)揮企業(yè)或者其他組織單位內(nèi)部網(wǎng)絡(luò)管理維護(hù)部門的管理職責(zé)，規(guī)范用戶操作行為?！　∩矸萁y(tǒng)一認(rèn)證系統(tǒng)是一個集中的用戶認(rèn)證管理和集成環(huán)境，可管理和分發(fā)用戶的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理服務(wù)。各應(yīng)用系統(tǒng)只需保留角色和權(quán)限控制，用戶數(shù)據(jù)庫資源統(tǒng)一保存在認(rèn)證服務(wù)器中，用戶和角色的管理由應(yīng)用系統(tǒng)自行管理，從而簡化了應(yīng)用系統(tǒng)中用戶管理模塊的建設(shè)。該系統(tǒng)研究可以某網(wǎng)絡(luò)系統(tǒng)用戶提供統(tǒng)一的登錄界面，支持多種身份認(rèn)證方式，包括用戶名、密碼認(rèn)證、數(shù)字證書認(rèn)證等。使用戶在完成身份認(rèn)證后無須再次登錄就可以接受該網(wǎng)絡(luò)系統(tǒng)中其他信息服務(wù)系統(tǒng)提供熊海斌：基于 Web Service 的統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)14的服務(wù)。同時，該系統(tǒng)還將為其他類型的用戶提供相應(yīng)的接口。　　本文主要就其中如何實現(xiàn)身份的集中認(rèn)證問題做進(jìn)一步的研究。實現(xiàn)集中認(rèn)證，最關(guān)鍵的問題是：用戶資料的集中存儲和管理；用戶身份的集中驗證；訪問權(quán)限的集中控制和管理。： 身份統(tǒng)一認(rèn)證體系結(jié)構(gòu)圖當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)1的時候，因為還沒有登錄，會被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄（1） ；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份效驗，如果通過效驗，應(yīng)該返回給用戶一個認(rèn)證的憑據(jù)－－ticket（2） ；　　 用戶再訪問別的應(yīng)用的時候（3，5）就會將這個ticket 帶上，作為自己認(rèn)證的憑據(jù)；應(yīng)用系統(tǒng)接受到請求之后會把ticket送到認(rèn)證系統(tǒng)進(jìn)行效驗，檢查ticket的合法性（4，6） ；如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了。　　需要說明的是，所有的認(rèn)證工作由認(rèn)證前置機完成，而與認(rèn)證相關(guān)的用戶信息將存儲在后臺的認(rèn)證服務(wù)器上?！　〗y(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計思想就是要將機構(gòu)、用戶統(tǒng)一存儲，對應(yīng)用系統(tǒng)統(tǒng)