基于Cookies的单点登录系统的设计与实现.pdf

第35卷第8期 信 息 化 研 究 V01．35No．8 2009年8月 InformatizationResearch Aug．2009 基于 Cookies的单点登录系统的设计与实现 李馥娟 (江苏警官学院公安科技系，江苏省南京市210012) 摘 要：在多应用系统组成的园区网中，如何实现 同应用系统中用户身份的统一管理成为研究 的重点。文中分析了统一身份认证中匿名用户和认证用户的访问特点，利用单点登录和URL(统一资 源定位地置)重定向技术构建了身份认证框架，并对涉及的关键技术和实现方法进行了研究，最后以 ASP(应用服务器提供者)为开发环境给出了软件实现方法。 关键词：统一身份认证 ；单点登录；Cookies；CGI；ASP 中图分类号 ：TP393．08 一 个系统分别使用和维护独立的账户 (用户名和密 0 弓I 言 码)信息，使用很不方便，也不安全。为解决同一园区 由于LDAP(轻型 目录访 问协议)具有的优势，目 网中各应用系统在认证方式上彼此分离的问题，提出 前绝大部分园区网(Intranet)都采用LDAP作为统一 了单点登录的概念，并成为统一身份认证的基础，很快 身份认证 的认证数据库，其 中存放 了 UID(用户标 得到了广泛应用。 识)、口令(Password)等个人信息。而各应用系统中业 单点登录(SingleSign—on)是指先采用强制认证机 务数据的添加、修改、删除、查询等复杂操作，仍然依靠 制对用户进行基本身份验证，如果通过本次验证就可 各独立系统的关系数据库来完成。统一身份认证系统 透明登录本园区网中所有授权的应用系统。这里的园 与应用系统之间形成一对多的关系，通过单点登录技 区网是一个安全域，统一身份认证功能只对加入该安 术实现一次认证多次访 问。基于这一设计思想，如何 全域中的应用系统起作用。部署并运行了单点登录的 解决统一身份认证中的单点登录成为园区网用户普遍 用户客户端，只需用鼠标点击当前应用程序输入窗体 关注的一个热点问题。 目前，可实现单点登录的产品 就可以登录该应用系统，不需每次手工输入该用户登 和技术比较多，主要产品有 Microsoft．NetPassport和 录该应用程序时所需要的用户名和 口令…。 Liberty，主要技术有基于数字证书、令牌、SAML(安全 作为身份管理中的有机组成部分，可以将单点登 声明标记语言)、CAS(中心认证服务)、Kerberos(美国 录简单地定义为：访问同一园区网不同应用系统中的 麻省理工学院开发的用于Athena项 目的网络安全系 受保护资源的同一用户，只需登录一次 (即通过一个 统)和Cookies等。其中，由于基于Cookies的单点登 应用系统中的安全验证)后，再访问本园区网其他应 录技术具有实现容易、占用系统资源较少、支持绝大多 用系统中的受保护资源时，将不需要重新登录验证。 数Web浏览器、使用方便等特点，成为园区网应用的 1．2 Cookies技术 首选。然而，如何针对用户需求来规划和设计具有个 HTFP是一种无状态、面向非连接的应用层协议， 性化的信息门户，在提供单点登录认证方式的同时，根 它不能在服务器上保持对某一次会话的连续状态信 据不同用户类型 (认证用户和匿名用户)提供不同的 息。然而，现实情况是随着 Www 应用的不断普及 ， 访问页面，本文提出了可行的解决方案和思路。