吉大正元身 份认证网关报 文认证应用接 入培训教材_ V2.7_20100816_I2.2.3.docVIP

吉大正元身份认证CA 集中认证应用接入培训教材 Version 2.7 中国·北京市海淀区知春路113号银网中心B座2层 电话：86-010传真：86-010吉大正元信息技术股份有限公司 目录 1 引言 1 1.1 服务概述 1 1.2 适用网关版本 1 2 认证原理 1 3 通信报文 2 3.1 承载协议 2 3.2 认证原文产生服务报文 2 3.2.1 请求报文说明 2 3.2.2 响应报文说明 2 3.3 认证服务报文 3 3.3.1 请求报文说明 3 3.3.2 响应报文说明 5 3.4 标准报文示例 7 3.4.1 认证原文产生服务请求报文示例 7 3.4.2 认证原文产生服务响应报文示例 7 3.4.3 认证服务请求报文示例 7 3.4.4 认证服务响应报文示例 8 4 应用改造流程 9 4.1 第一步：客户端请求认证原文 9 4.2 第二步：服务端请求认证原文 9 4.3 第三步：网关返回认证原文 10 4.4 第四步：服务端返回认证原文 10 4.5 第五步：客户端认证 10 4.6 第六步：应用服务端认证 10 4.7 第七步：网关返回认证响应 10 4.8 第八步：服务端处理 10 引言 服务概述 集中认证服务是吉大正元身份认证网关I（以下简称网关）面向各种应用系统提供的一种统一的、高强度的身份认证服务。通过集中认证服务应用系统可以将用户的身份凭据（证书或用户名/口令） 第一个过程是为了拿到网关提供的认证原文，当用户使用应用系统的客户端程序登录应用服务器时，首先由应用系统的客户端发起，应用客户端先向应用服务端请求认证原文（该认证原文用来生成后面认证服务要用到的认证请求包），应用服务端收到请求后发出请求向网关请求认证原文，网关收到请求后会产生认证原文并将原文返回给应用服务端，应用服务端再将原文返回给应用客户端，应用客户端拿认证原文第一个过程结束。 第二个过程是进行身份认证，应用客户端拿到原文后会弹出一个对话框让用户选择要用来进行身份认证的证书，用户指定证书后应用客户端使用认证原文和用户证书产生认证请求包发给应用服务端，应用服务端收到认证请求包后向网关发起身份认证请求，网关收到请求后根据认证请求包中的内容对用户身份进行认证，认证成功后网关会将认证结果和用户的属性信息返回给应用服务端，应用服务端根据这些信息可以对用户的登录请求做出回应。如果网关对用户进行身份认证时失败，则会向应用服务端返回错误信息，应用服务端可以对这些错误信息加以处理，例如：将信息返回给客户端显示，提示用户重新登录等。 通信报文 集中认证服务支持明文、密文（SSL）两种通讯模式，承载协议采用http协议，业务通信报文采用XML格式，分为报文头和报文体两部分内容。报文头存放通用信息，如服务类型、版本等信息；报文体存放业务数据。 承载协议 集中认证服务采用标准的http协议作为通讯承载协议，下面示例中蓝色部分需要应用系统根据实际环境调整。 请求协议格式范例： POST uri HTTP/1.1 Accept-Language: zh-cn Content-Type: text/plain Accept-Encoding: gzip, deflate Host: ip：port Content-Length: 发送数据长度 Connection: Keep-Alive Cache-Control: no-cache 响应协议格式范例： HTTP/1.1 200 OK Server: Apache-Coyote/1.1 Content-Type: text/xml;charset=UTF-8 Content-Length: 回应数据长度 Date: Wed, 08 Jul 2009 02:11:07 GMT 认证原文产生服务报文 请求报文说明 请求报文分为报文头和报文体，报文头由版本信息和服务类型两部分组成，报文体中是应用标识。 报文头 head version1.0/version servicetypeOriginalService/servicetype /head version：报文版本信息。 servicetype：服务类型，网关会根据服务类型指定的服务将请求分发给该服务。 报文体 body appidtestApp/appid /body appid：应用系统在网关注册的应用标识，网关收到请求时会检查应用标识是否已经在网关注册，如果未注册则拒绝处理，返回错误信息。 响应报文说明 响应报文分为报文头和报文体。报文头由版本信息、服务类型、错误信息状态和错误信息四部分组成。报文体中是认证原文。 报文头 head version1.0/version servicetypeOriginalService