上篇-分布式用户认证为单点登录护航 (分布式所)

教程大全 2025-07-14 05:42:51 浏览次

分布式用户认证为单点登录护航上篇

2011-05-17 13:35:01近年来，很多高校采用了基于LDAP的用户认证方式，较好地解决了统一身份认证问题，但是直接将LDAP 服务器暴露在其他应用系统和用户面前具有一定的安全风险。另外，在分布式环境下LDAP的访问也有可能受到防火墙的阻挡。而Web Service是目前分布式异构环境下构建复杂系统的重要技术。因此，我们设计了一种Web Service和LDAP相结合的分布式用户认证系统，解决校园网用户统一身份认证问题。

校园网统一身份认证案例描述

某大学现有外网和内网应用系统两大类。内网应用系统包括各院系、机构的二级部门应用系统，大多采用B/S模式实现，B/S模式的WWW服务器一般采用IIS和Apache实现Web访问，还有少量Domino。外网系统可以通过互联网直接访问，不需要认证用户身份。而内网系统需要身份认证才能进行访问，内网中各个系统的用户身份标识和口令又不统一，同一用户访问多个应用系统时需要输入不同的用户名和口令。为了解决身份认证的问题，此大学将身份认证系统作为校园网建设的重要内容之一，从而实现校外用户访问校园网内应用系统的身份认证功能。

统一认证需求分析 — 认证需求

目前校外用户访问校园网内的应用系统时，采用反向代理进行访问控制。现在，我们需要配置一套身份认证系统，当校外用户访问校内应用系统时，系统可以对其进行身份认证，从而取消反向代理服务器。主要需求如下：

1. 用户标识采用统一编码规则

校园网内的用户（包括教师、学生）采用统一的编码规则，实现用户身份的唯一标识(目前校内已有相应的规范)。

2. 身份认证系统与数据中心实时联动

学校已经建设了数据中心，因此身份认证系统中的用户标识可以从数据中心获得，并能与之实施联动。

3. 校内用户无需身份认证

校园网内的用户访问校园网应用系统时，因为已在网络连接时进行了端口认证，因此，无需再次进行身份认证。

4. 校外用户需要身份认证

校外用户访问校园网业务系统时需要进行身份认证，用户通过认证后，再次访问应用系统时，不需要二次认证。

统一认证需求分析 — 单点登录需求

目前用户在使用校园网内的多个业务系统时，必须输入多个用户名和口令进行多次认证，这给用户在使用系统时带来了很多麻烦，同时也增加了系统的维护工作量。因此现在需要有一个系统或机制实现“一次登录，全网可用”，即实现单点登录。主要需求如下：

1.整合所有应用系统

校园网内业务系统大多采用B/S模式，也有少量采用C/S模式，单点登录系统需要整合所有需要登录验证的应用系统。

2.一次认证，多次使用

校园网用户只需在网络连接或初始登录时输入用户名/口令进行认证，认证通过后，用户访问其他系统也使用同一用户身份，无需再次认证。

3.用户资源访问审计

用户登录后对校园网内资源的所有访问都记入日志，以便事后进行审计。

身份认证系统的总体设计和网络构架与实现的内容我们将会在下一节中介绍：分布式用户认证为单点登录护航下篇

【编辑推荐】

SQL Server 2000 和 2005有什么区别?

数据库管理10个最重要的特点特点描述数据库镜像通过新数据库镜像方法，将记录档案传送性能进行延伸。您将可以使用数据库镜像，通过将自动失效转移建立到一个待用服务器上，增强您SQL服务器系统的可用性。在线恢复使用SQL2005版服务器，数据库管理人员将可以在SQL服务器运行的情况下，执行恢复操作。在线恢复改进了SQL服务器的可用性，因为只有正在被恢复的数据是无法使用的，而数据库的其他部分依然在线、可供使用。在线检索操作在线检索选项可以在指数数据定义语言（DDL）执行期间，允许对基底表格、或集簇索引数据和任何有关的检索，进行同步修正。例如，当一个集簇索引正在重建的时候，您可以对基底数据继续进行更新、并且对数据进行查询。快速恢复新的、速度更快的恢复选项可以改进SQL服务器数据库的可用性。管理人员将能够在事务日志向前滚动之后，重新连接到正在恢复的数据库。安全性能的提高SQL Server 2005包括了一些在安全性能上的改进，例如数据库加密、设置安全默认值、增强密码政策、缜密的许可控制、以及一个增强型的安全模式。新的SQL Server Management StudioSQL Server 2005引入了SQL Server Management Studio，这是一个新型的统一的管理工具组。这个工具组将包括一些新的功能，以开发、配置SQL Server数据库，发现并修理其中的故障，同时这个工具组还对从前的功能进行了一些改进。专门的管理员连接SQL Server 2005将引进一个专门的管理员连接，即使在一个服务器被锁住，或者因为其他原因不能使用的时候，管理员可以通过这个连接，接通这个正在运行的服务器。这一功能将能让管理员，通过操作诊断功能、或Transact—SQL指令，找到并解决发现的问题。快照隔离我们将在数据库层面上提供一个新的快照隔离（SI）标准。通过快照隔离，使用者将能够使用与传统一致的视野观看数据库，存取最后执行的一行数据。这一功能将为服务器提供更大的可升级性。数据分割数据分割将加强本地表检索分割，这使得大型表和索引可以得到高效的管理。增强复制功能对于分布式数据库而言，SQL Server 2005提供了全面的方案修改（DDL）复制、下一代监控性能、从甲骨文（Oracle）到SQL Server的内置复制功能、对多个超文本传输协议（http）进行合并复制，以及就合并复制的可升级性和运行，进行了重大的改良。另外，新的对等交易式复制性能，通过使用复制，改进了其对数据向外扩展的支持。有关开发的10个最重要的特点特点描述框架主机使用SQL Server 2005，开发人员通过使用相似的语言，例如微软的Visual C# 和微软的Visual Basic，将能够创立数据库对象。开发人员还将能够建立两个新的对象——用户定义的类和集合。 XML 技术在使用本地网络和互联网的情况下，在不同应用软件之间散步数据的时候，可扩展标记语言（XML）是一个重要的标准。 SQL Server 2005将会自身支持存储和查询可扩展标记语言文件。 2.0 版本从对SQL类的新的支持，到多活动结果集（MARS），SQL Server 2005中的将推动数据集的存取和操纵，实现更大的可升级性和灵活性。增强的安全性SQL Server 2005中的新安全模式将用户和对象分开，提供fine-grain access存取、并允许对数据存取进行更大的控制。另外，所有系统表格将作为视图得到实施，对数据库系统对象进行了更大程度的控制。 Transact-SQL 的增强性能SQL Server 2005为开发可升级的数据库应用软件，提供了新的语言功能。这些增强的性能包括处理错误、递归查询功能、关系运算符PIVOT, APPLY, ROW_NUMBER和其他数据列排行功能，等等。 SQL 服务中介SQL服务中介将为大型、营业范围内的应用软件，提供一个分布式的、异步应用框架。通告服务通告服务使得业务可以建立丰富的通知应用软件，向任何设备，提供个人化的和及时的信息，例如股市警报、新闻订阅、包裹递送警报、航空公司票价等。在SQL Server 2005中，通告服务和其他技术更加紧密地融合在了一起，这些技术包括分析服务、SQL Server Management Studio。 Web服务使用SQL Server 2005，开发人员将能够在数据库层开发Web服务，将SQL Server当作一个超文本传输协议（HTTP）侦听器，并且为网络服务中心应用软件提供一个新型的数据存取功能。报表服务利用SQL Server 2005, 报表服务可以提供报表控制，可以通过Visual Studio 2005发行。全文搜索功能的增强SQL SERVER 2005将支持丰富的全文应用软件。服务器的编目功能将得到增强，对编目的对象提供更大的灵活性。查询性能和可升级性将大幅得到改进，同时新的管理工具将为有关全文功能的运行，提供更深入的了解。有关商业智能特征的10个最重要的特点特点描述分析服务SQL SERVER 2005的分析服务迈入了实时分析的领域。从对可升级性性能的增强、到与微软Office软件的深度融合，SQL SERVER 2005将帮助您，将商业智能扩展到您业务的每一个层次。数据传输服务(DTS)DTS数据传输服务是一套绘图工具和可编程的对象，您可以用这些工具和对象，对从截然不同来源而来的数据进行摘录、传输和加载（ETL），同时将其转送到单独或多个目的地。 SQL SERVER 2005将引进一个完整的、数据传输服务的、重新设计方案，这一方案为用户提供了一个全面的摘录、传输和加载平台。数据挖掘我们将引进四个新的数据挖掘运算法，改进的工具和精灵，它们会使数据挖掘，对于任何规模的企业来说，都变得简单起来。报表服务在SQL SERVER 2005中，报表服务将为在线分析处理（OLAP）环境提供自我服务、创建最终用户特别报告、增强查询方面的开发水平，并为丰富和便于维护企业汇报环境，就允许升级方面，提供增进的性能。集群支持通过支持容错技术移转丛集、增强对多重执行个体的支持、以及支持备份和恢复分析服务对象和数据，分析服务改进了其可用性。主要运行指标主要运行指标(KPIs)为企业提供了新的功能，使其可以定义图表化的、和可定制化的商业衡量标准，以帮助公司制定和跟踪主要的业务基准。可伸缩性和性能并行分割处理，创建远程关系在线分析处理(ROLAP)或混合在线分析处理(HOLAP)分割，分布式分割单元，持续计算，和预制缓存等特性，极大地提升了SQL Server 2005中分析服务的可伸缩性和性能。单击单元当在一个数据仓库中创建一个单元时，单元向导将包括一个可以单击单元检测和建议的操作。预制缓存预制缓存将MOLAP等级查询运行与实时数据分析合并到一起，排除了维护在线分析处理存储的需要。显而易见，预制缓存将数据的一个更新备份进行同步操作，并对其进行维护，而这些数据是专门为高速查询而组织的、它们将最终用户从超载的相关数据库分离了出来。与Microsoft Office System集成在报表服务中，由报表服务器提供的报表能够在Microsoft SharePoint门户服务器和Microsoft Office System应用软件的环境中运行，Office System应用软件其中包括Microsoft Word和Microsoft excel。您可以使用SharePoint功能，订阅报表、建立新版本的报表，以及分发报表。您还能够在Word或Excel软件中打开报表，观看超文本连接标示语言（HTML）版本的报表。

有人知道CACHE数据库吗

CACHE数据库简介Cache数据库对大多数国内IT人员来说还是比较陌生，然而在国外特别是国外的医疗领域，在美国和欧洲的HIS系统中，CACHE数据库所占的比例是最大的，被医疗界公认为首选数据库。以下是该数据库的特点：1、速度快。 Cache数据库在同等条件下查询相同数据比Oracle等普通数据库要快。原因是Cache数据库又叫做后关系型数据库（Post-Relation）,顾名思义，Cache是基于普通关系型数据库如：Oracle, SQL server, Sybase等的基础之上并有所改进而产生的。 2、使用简单。 Cache数据库支持标准SQL语句，因此不太熟悉M语言的用户依然可以轻易对数据库中的数据进行操作。 3、接口容易。 Cache数据库支持ODBC标准接口，因此在与其他系统进行数据交换时非常容易。同时Cache亦可以将数据输出成文本文件格式以供其它系统访问调用。 4、真正的3层结构。 Cache数据库能够真正意义上实现3层结构，实现真正的分布式服务。升级扩容方便。正因为由上述分布式3层结构，所以当医院需要增加客户端PC或医院进行扩大规模时，不需要重新购买或更新主服务器，只需要适当增加二级服务器的数量即可，二级服务器相对来说要比主服务器要便宜许多，因此，医院可节约资金减少重复投资。 5、对象型编辑。 Cache数据库是真正的对象型数据库，开发时用户可直接用数据库定义自己想要的对象，然后再在其它开发工具中调用该对象的方法和属性即可完成开发工作，非常方便。支持远程映射和镜像。 Cache数据库支持远程的映射和镜像，比如在不同城市之间，或在同一城市的不同区域之间，Cache可以进行镜像（Mapping），使不同区域的Cache数据库同步联系起来，虽然在不同区域，但大家使用起来就像共用一个数据库。支6、持WEB开发。 Cache 数据库提供自带的Web开发工具，使用维护非常方便，符合当今软件业发展的趋势。 7、价格便宜。 Cache数据库的价格比Oracle要便宜许多。