2024年5月30日发(作者:)

统一身份认证平台是门户网站建设的基础,主要实现用户管理、身份认证、分级权限管

理和单点登录等功能,以解决门户建设过程中用户定义模糊、用户身份组织零乱、交叉权限

管理和应用系统出口多样性等棘手的问题。

统一认证三大部分

集成身份认证

门户网站的集成身份认证是指多个系统的用户账号、密码等信息资源集中在网站统一

认证鉴权中心,各个系统以中心数据作为用户认证的唯一依据。用户可以通过相应接口来

实现网站已有用户账号密码信息对于相关业务系统的共享,同时通过专有模块来进行各子

系统权限控制。

单点登录(SSO)

网站系统的SSO是指以网站的统一认证(鉴权信息集中)为基础,各个数据业务系统

的用户认证采用单点登录认证模式,一次登录即可在各个业务子系统中完成相应的认证工

作。

Passport会员服务

会员服务是指在网站统一认证的前提下,按照指定的规则将用户划分为不同用户群,

可以为相关业务系统提供会员鉴权服务,还能为各个子系统定制不同的会员服务等级。

统一认证体系架构设计

系统架构与接口设计

门户网站的统一认证鉴权中心建议基于C/S模式设计,保障执行效率,并形成以J2EE

为核心的应用体系构架,用DB+LDAP方式完成对用户各类信息的存储,可以保障存储和

查询效率。

统一认证的核心问题是鉴权中心和各子系统之间的通信接口问题,用户认证接口协议

可以基于标准化HTTP/HTTPS方式实现,使得第三方业务系统的接入不完全依赖于网络环

境。

安全性设计

对于接入系统,认证中心接口协议调用采用HTTPS传输(128位SSL通道加密)的

方式,通信安全问题将转化到HTTPS传输的安全性问题上,而对于HTTPS通道的攻击,

可以由安全体系中监控管理单元的网络扫描等模块专门负责监控。

对于统一认证和SSO接口参数的信息安全,一方面网站可采用专有加密算法对参数内

容进行加密,另一方面,可以采用IP认证策略来保证对接口双方的信任,系统通过通道安

全和信息加密双保险的措施来保证统一认证体系的接口安全。

统一认证体系设计

统一认证鉴权中心面向用户端提供相应的应用服务模块,面向第三方系统提供相应的

身份认证集成接口模块、单点登录集成接口模块、会员服务模块、后台管理模块。

用户单点登录系统(SSO)建议采用模块化的设计,包含功能模块、任务分发器模块、