2020年12月
7bbuu基于宿主系统身份验证的URL加密验证机制研究与应用 黄亮
(中冶南方城市建设工程技术有限公司,湖北武汉430223)渗透印章
【摘要】随着信息化水平不断提升,用户对应用系统的使用要求越来越高。为了解决公司各个独立的业务系统中用户管理和身份认证不统一,用户数据不同步,用户入口不统一,导致用户需要独立登录公司各个业务系统,系统管理员需要独立维护各个业务系统权限和数据等问题。本文介绍一种利用宿主系统的身份验证机制,通过URL加密传值的方式,来实现集成系统的身份验证,从而达到降低开发成本,提高用户使用便利性的目的。 【关键词】统一身份认证;统一用户管理;URL加密
【中图分类号】TP391【文献标识码】A【文章编号】1006-4222(2020)12-0215-02
0前言
随着信息化建设不断深入,公司管理要求不断提升,业务系统也在不断增加。但由于各个业务系统建设时间不同,使用的开发语言、开发架构也不统一,各个业务系统都建立了一套用户身份管理模块,这就导致用户在使用不同系统时都需要完成一次登录操作,使用起来诸多不便,特别是有用户权限增删改时管理员需要做大量的配置工作,严重影响工作效率。因此建立一种机制解决用户登录烦琐的问题,使用户登录一次即可访问不同业务系统非常有必要了。
1现状分析
目前公司的业务系统建设主要采用购买和自研两种形式,其中采购的软件系统大部分是以购买的方式获取软件的使用权,软件供应商为了系统快速上线,都会要求公司提供单独的服务器,并在服务器上部署独立的数据库和操作系统,尽量避免与其他系统产生关联,减少系统故障。而自研的系统也因为项目团队之间缺少沟通,缺乏统筹而使各个系统相互独立。这样就导致了各个业务系统用户管理不一致、数据不统一、信息不能实时共享,用户使用和系统管理起来也十分不便。
每个系统都有一套独立的用户管理和身份验证功能,所以公司每新建一个系统,相关员工就会增加一套新的用户名和密码。据不完全统计,公司每个人至少拥有5套以上的用户名和密码,部分同事甚至拥有更多的用户名和密码用以完成日常工作。在用户新增、离职或者岗位调整时,系统管理员需要同时在多个系统增加、修改或者删除这些账户,并配置相应的权限。这不仅增加了用户使用系统的难度,
而且管理上也容易出错,长此以往,公司数据库将存在众多“僵尸”账户、错误账户和用户权限。这种账户管理模式在很大程度上给公司的管理带来不少困难。
气浮转台
2研究目标
为了解决公司业务系统中用户管理和身份认证不一致的问题,决定利用用户使用最频繁的协同办公系统构建统一的身份认证服务。需要达到的功能和目标如下:
(1)基于协同办公系统,使用户登录协同办公系统后,即可以打开其他业务系统,用户不需要再次在其他业务系统上进行身份验证,一次登录即可获取到可登录系统权限,根据权限决定是否可以直接打开其他业务系统。协同办公系统与域控系统集成,采用AD域控进行统一身份认证,用户使用域控用户名和密码即可以通过协同办公系统登录多个业务系统,免除保存记忆多套用户名密码的烦恼。
(2)提供统一、集中、有效的用户管理,做到与协同办公系统用户数据统一,利用协同办公系统的身份验证功能,尽量减少用户信息和权限配置。一方面避免各个成员站点自行管理用户数据而造成数据冗余,另一方面也减少了成员站点开发工作量,成员站点只需要从协同办公系统获取用户基础数据,保证了用户数据一致性。
(3)对成员站点进行统一管理,一方面可以提高用户对系统的使用体验,用户登录公司协同办公系
统就可以直接通过链接访问挂载的其他系统。另一方面成员站点可以在其系统中配置好不同用户角和对应权限,做到方便集成。
3关键技术与实践
3.1统一身份认证
根据公司信息化建设特点,目前公司采用AD域控对公司用户的基础信息和认证状态进行统一组织和管理。通过AD 域控建立统一的企业目录,对用户和应用访问进行集中控制,为公司业务系统的有机整合提供必要支撑。
专题综述215
2020年12月
统一用户管理主要解决公司内部各业务系统之间用户身份认证不统一带来的问题,实现用户数据共享,消除用户数据冗余。统一身份认证用于集中式管理公司内所有用户的身份数据,对用户进行分级授权、分级管理;各成员站点实现统一用户名和密码管理,使得所有用户在协同办公系统中可以登录一次、全网通行;为各成员站点提供用户统一的身份认证服务,提供用户数据同步服务,
实现用户数据的统一管理。3.2统一用户管理
现有的各个独立业务系统各自建立了一套用户管理系
统,当同一个用户需要使用多个业务系统,就需要管理员在多个系统中分配账号,用户需要管理不同系统的账号和密码。
统一用户将用户信息进行统一管理和维护,统一用户各项属性,为多应用的整合提供了较好的方案。
首先由管理员通过定时任务从集团人力资源系统定时获取变化的用户身份信息同步到域控系统用于统一用户认证,同时将用户基本信息同步到协同办公系统用于统一用户管理,使协同办公系统数据库中的用户信息为本公司最原始最权威的用户数据,这就保证了协同办公系统的用户信息与集团人资系统的信息保持一致。
通过协同办公系统对用户信息进行统一管理,保证用户信息统一,不仅减少了成员站点的开发工作量,脉动测速中心
也降低了用户数据维护量。
3.3成员站点URL 加密验证机制
成员站点通过链接的方式发布在协同办公系统上,当用
户点击成员站点链接时,
会通过URL 地址跳转到指定成员站点页面,并通过URL 传递用户信息到成员站点,根据用户权限显示相关信息和操作权限等。
具体流程如下:
(1)在宿主系统中的创建成员站点跳转页面,
并将成员站点链接发布协同办公系统前台页面供用户使用。
(2)在跳转页面中通过协同办公系统的相关接口中获取用户工号等信息。
(3)对跳转URL 的参数进行拼装,并对参数进行加密,
将参数和加密结果作为参数传递给成员站点。
(4)在成员站点中获取URL 参数,并对参数进行加密,然后与URL 加密的参数进行校对,如果结果一致则可以获得访问权限,
图1为简单的URL 加密方式。为了保证链接的一次性和安全性,可以在参数加入用户操作时间,并在对参数加密时加上公钥,或者自定义一种加密算法,然后在成员站点中增加页面超时验证,这样可以提高访问安全性。在成员站点中,通过接收到的参数,并通过公钥或自定义加密算法,对加密参数进行比对,检查是否为合法访问。在参数中加入用户点击链接的时间可以用于检测用户在线状态,并判断用户链接的有效性。通过加入公钥或自定义加密算法,可以增加参数加密的强度,
保证用户链接被盗用后不能被打开,如图2所示。
本次开发的成员站点—个人信息查询系统涉及个人岗位信息和个人工资、奖金以及五险一金等敏感数据,对系统保密性要求较高。由于公司协同办公系统与域控集成,实现了个人办公电脑加域后免登录即可打开协同办公系统,这样导致用户电脑没有锁屏的情况下存在个人信息查询系统可能被打开的风险。因此,我们在个人信息查询系统入口页面增加手机短信验证功能,当用户在协同办公系统点击成
员站点一个人信息查询系统链接时,成员站点向协同办公系统请求登录用户的手机号码,并向其手机号码中发送6位数字短信验证码,用户在2min 内输入验证码,通过验证后,
系统才可以跳转到个人信息查询系统主界面,皮尔斯电子
如图3所示。4结束语
本文中以公司的信息化实际情况为背景,提出一种简单
的系统集成方法,用于解决轻量化系统集成过程中存在的统一身份认证和统一用户管理问题。该方案可以为用户提供统一的用户管理及维护,为多个成员站点提供唯一登录窗口,通过宿主系统认证后无须重复认证,方便用户使用,减少开发工作量。
参考文献
[1]李烨.基于多应用系统下统一用户认证的研究与实现[J].网络安全
技术与应用,2019(12):26-29.
[2]严骏.单点登录和统一用户认证设计与实现[J].信息与电脑,2016(12):59-60.
[3]李丽,
刘云峰,欧阳容彬,等.北京大学统一用户认证系统的优化与实践[J].武汉大学学报:理学版,2012(增刊1):237-241.[4]邹晓燕,
张志峰.短信验证在加强企业对公网站中的实际应用[J].科学与财富,2015(32):257.
[5]靳淑娟,赵薇.企业用户管理研究与应用[J].网络空间安全,2017(4):24-27.
收稿日期:2020-11-02
作者简介:黄亮
(1985-),男,汉族,湖北洪湖人,工程师,硕士研究生,研究方向为企业信息化研究
与应用。
图1简单URL 加密方
式系统中断控制器
图2复杂URL 加密验证方
式
图3个人信息查询系统加密验证方式
专题综述
216
