陳苗苗++張哲

DOI：10.16644/j.cnki.cn33-1094/tp.2016.09.009

摘 要： 通過對傳統(tǒng)的CAS算法進行改進，使之從傳統(tǒng)的單點登陸功能拓展到業(yè)務系統(tǒng)服務模塊集成，從而使得高校師生能一步直達業(yè)務系統(tǒng)提供的任何服務；改進算法極大地降低了業(yè)務系統(tǒng)與門戶集成的建設成本，提高了搭建高校網(wǎng)上服務大廳的效率，而且配置簡單、技術要求低，因此這是實現(xiàn)高校業(yè)務系統(tǒng)服務集成的一種靈活、簡便的方法。

關鍵詞： CAS； 服務集成； 網(wǎng)上服務大廳

中圖分類號：TP391 文獻標志碼：A 文章編號：1006-8228（2016）09-33-04

Application and practice of improved CAS algorithm in the construction

of university online service hall

Chen Miaomiao， Zhang Zhe

（Hangzhou Polytechnic College， Hangzhou， Zhejiang 311400， China）

Abstract： In this paper， the traditional CAS（Central Authentication Service）algorithm is improved， so that it can expand from the traditional SSO to service integration of business system， and make the teachers and students in universities can directly access to any service provided by business system. The improved algorithm reduces the construction cost of business system greatly， improves the efficiency of building online service hall， and the configuration is simple， technical requirements is low. Therefore， this is a flexible and convenient way to realize the service integration of the business system in university.

Key words： Central Authentication Service； service integration； online service hall

0 引言

隨著互聯(lián)網(wǎng)、信息化的發(fā)展，各大高校已經(jīng)意識到以服務為中心，為師生提供教學、科研、辦公的一站式數(shù)字校園服務平臺理念的重要性。目前高校師生對業(yè)務系統(tǒng)的需求以查詢居多，在使用過程中對各個業(yè)務系統(tǒng)之間的交互不多，所以讓師生直達服務模塊可以使得師生在最短時間內訪問所需服務。目前數(shù)字化校園的服務集成，大多僅限于業(yè)務系統(tǒng)首頁的單點登錄，還沒有做到真正意義上的服務集成。

1 當前高校服務集成面臨的問題

高校信息化建設中，服務集成的真正意義在于能夠方便部署、管理和擴展集成信息和業(yè)務系統(tǒng)[1]，分布的業(yè)務系統(tǒng)希望通過統(tǒng)一的入口提供各種服務。當前主流的服務集成的策略主要有Web Services集成、Iframe+Portlet集成、單點登錄集成。

1.1 Web Services集成

基于Web Services的服務集成，各業(yè)務系統(tǒng)通過Web Services的方式封裝自己的相關服務，供其他業(yè)務系統(tǒng)和門戶調用，門戶通過調用各業(yè)務系統(tǒng)對外發(fā)布的相關服務，對其進行集成、整合，并適度的二次開發(fā)以達到服務集成的目的[2]。

但是Web Services集成最大的缺點在執(zhí)行效率上，Web服務的每個請求、發(fā)送、響應、返回的每個過程中，都需要對xml進行序列和反序列化，從而導致效率方面存在一定的問題[3]。

1.2 Iframe+Portlet集成

Iframe+Portlet集成通過納入Web應用，然后利用form的post或者get方式實現(xiàn)用戶的登錄，但是Iframe+Portlet集成會導致門戶與業(yè)務系統(tǒng)無法提供一致的外觀[4-5]；性能方面，當門戶包含多個portlet時，用戶在提供某個portlet時，其他的portlet的內容也會重新渲染，導致每個portlet重新加載而影響性能[6]。

1.3 單點登錄集成

單點登錄作為實現(xiàn)服務集成的一種技術方案，它整合了校園網(wǎng)絡中的信息和各種業(yè)務系統(tǒng)，為全校師生提供了單一的訪問入口。實現(xiàn)一次登錄即可訪問所有有權訪問的業(yè)務系統(tǒng)，避免師生的頻繁登錄，在一定程度上提升高校師生的效率，為數(shù)字校園的業(yè)務系統(tǒng)提供集中的管理和安全的認證機制，一定程度上實現(xiàn)了業(yè)務系統(tǒng)的無縫鏈接和集成。

無論是Web Services集成還是Iframe+Portlet集成，均需要業(yè)務系統(tǒng)封裝、門戶調用來實現(xiàn)系統(tǒng)的整合，這兩種主流的集成方式無論對業(yè)務系統(tǒng)還是門戶都同樣有著工作量大和技術門檻高的要求[7]，這將導致高校在推行此集成方案時存在較大困難。而通過單點登錄實現(xiàn)業(yè)務系統(tǒng)集成僅限于將各業(yè)務系統(tǒng)的訪問入口集成至門戶首頁，師生尚需要了解業(yè)務系統(tǒng)模塊結構及其劃分，才能在業(yè)務系統(tǒng)中找到所需的服務資源。所以如何做到快速、深入地實現(xiàn)業(yè)務系統(tǒng)集成，讓師生快速獲取到相應的服務才是“以提供服務為理念”的數(shù)字校園應該解決的問題。

2 CAS改進算法

2.1 CAS認證流程

CAS（Central Authentication Service-中心認證服務）技術是由耶魯大學在2004年12月開發(fā)的為web應用提供服務的單點登錄服務，是現(xiàn)在數(shù)字校園服務集成中較為流行和較為成熟的技術[8]。CAS的目的就是使分布在內部各個不同異構系統(tǒng)的認證工作集中在一起，通過一個公用的認證系統(tǒng)統(tǒng)一驗證用戶身份的合法性。通過CAS認證的用戶將獲得CAS頒發(fā)的一個證書，使用這個證書，用戶可以在承認CAS證書的各個系統(tǒng)上自由穿梭訪問，不需要再次的登錄認證[9]。

基于CAS協(xié)議的單點登錄系統(tǒng)體系上主要分為CAS認證服務器、CAS客戶端和瀏覽器[10]。CAS認證服務器是整個統(tǒng)一身份認證的核心部分，需要獨立部署。CAS客戶端通常是Web業(yè)務系統(tǒng)，瀏覽器是師生訪問CAS客戶端的主要工具，它必須支持HTTP重定向、擁有加密引擎支持HTTPS、能解析基本的JavaScript、能安全存儲Cookie信息。CAS的認證流程如圖1。

傳統(tǒng)的CAS客戶端通過取出ticket，生成“ticket驗證URL”，然后發(fā)起http GET請求重定向。在CAS認證流程中，CAS客戶端主要實現(xiàn)以下邏輯[11]。

⑴ 以filter的形式，對B/S結構應用系統(tǒng)資源進行過濾保護，可以保護所有資源，也可以保護單一資源。

⑵ 獲得CAS Server頒發(fā)的ServiceTicket，并憑此ST從CAS Server上取得登錄用戶信息。

⑶ 為第三方應用提供開發(fā)接口，使得受保護的應用能夠根據(jù)CAS認證信息進行正確的登錄。

通過以上的CAS認證流程，傳統(tǒng)高校實現(xiàn)了在獲取CAS頒布的惟一認證證書之后即可實現(xiàn)在各業(yè)務系統(tǒng)之間的單點登錄，從而實現(xiàn)通過數(shù)字校園門戶單一訪問入口訪問各業(yè)務系統(tǒng)的服務資源，完成初步的網(wǎng)上服務大廳的創(chuàng)建工作，這是目前傳統(tǒng)高校在建設網(wǎng)上服務大廳的常用方案。

2.2 CAS客戶端算法改進

通過對CAS客戶端算法的深入研究，對CAS客戶端代碼進行相應的改進，可以實現(xiàn)門戶與業(yè)務系統(tǒng)服務資源的深入集成，最終實現(xiàn)了業(yè)務系統(tǒng)任何深度模塊的直接訪問，方便了師生對常用業(yè)務系統(tǒng)服務的快速訪問，同時降低業(yè)務系統(tǒng)的建設成本，達到一站式服務的最終目標。

CAS客戶端改進算法主要是在CAS客戶端發(fā)出重定向請求之前，對重定向地址進行請求URL解析、關鍵字定位、最終URL提取。以下是對重定向地址處理的核心代碼段：

[String strRedirecturl = request.getParameter（"RedirectUrl"）；

//定位關鍵字，提取最終url

if（strRedirecturl ！= null && strRedirecturl.length（）>0） {

response.sendRedirect（strRedirecturl）； //重定向到最終url

}

else {

response.sendRedirect（"業(yè)務系統(tǒng)首頁"）； //重定向到首頁

}＼&]

業(yè)務系統(tǒng)通過CAS集成時，在登錄入口處對上述算法改進，即在登錄成功后，從request中找到關鍵字RedirectUrl，并獲取到最終的strRedirecturl，如果為空，則跳轉到業(yè)務系統(tǒng)的首頁；如果不為空，則跳轉到獲取的strRedirecturl。strRedirecturl即為業(yè)務系統(tǒng)的任何深度服務模塊地址。

以某高校圖書管理系統(tǒng)的“借閱記錄”頁面為例，用戶通過瀏覽器請求url（http：//ts.hzpt.edu.cn/neusoftcas.aspx？RedirectUrl=http：//ts.hzpt.edu.cn/main/BorrowHistory.aspx）。CAS客戶端通過對請求的url進行解析：首先找到到關鍵字RedirectUrl，然后獲取到用戶最終需要訪問的地址（http：//ts.hzpt.edu.cn/main/BorrowHistory.aspx），最后將該訪問地址重定向給CAS服務器。

本文中基于CAS客戶端改進的業(yè)務服務集成方法，不需要業(yè)務系統(tǒng)重構代碼，只需要在單點登錄處增加代碼段，建設成本非常低；高校信息化管理人員亦可方便地根據(jù)教職工、學生的需求隨時配置服務，而且對信息管理人員的技術要求也不高。但是由于該算法對請求的url地址需要事先配置，所以只允許對靜態(tài)地址進行解析，對動態(tài)生成的地址無法實現(xiàn)進行相關配置。

3 成果展示

下文將以某高校數(shù)字門戶為例，展示該方法在數(shù)字校園門戶中的具體應用場景，同時介紹在數(shù)字校園后臺中如何配置業(yè)務系統(tǒng)提供的服務地址。

3.1 實踐結果展示

目前大多數(shù)高校通過單點登錄提供的服務，僅僅做到了首頁的單點登錄，為了讓高校師生能夠快速直達訪問到業(yè)務系統(tǒng)提供的服務，數(shù)字校園門戶首頁提供了服務墻（“我的信息”），此服務墻使用的技術細節(jié)即為前文中提出的CAS客戶端改進算法。如圖2，每個模塊實際訪問的都是業(yè)務系統(tǒng)的資源，例如師生訪問“借閱歷史”，圖書管理系統(tǒng)開始解析訪問的地址，通過獲取關鍵字RedirectUrl找到實際訪問的地址，再將地址重定向到CAS服務器，經(jīng)過CAS服務器對賬號密碼的認證通過之后，圖書管理系統(tǒng)將請求的資源展示給請師生。

3.2 后臺設置

如圖3中每個服務模塊的地址由數(shù)字校園管理員配置。服務范圍可以選擇該服務提供給誰使用。應用鏈接地址組成：”業(yè)務系統(tǒng)單點登錄地址”+”？RedirectUrl=”+”業(yè)務系統(tǒng)服務模塊地址”。例如，圖書管理系統(tǒng)提供的“借閱歷史”服務，首先輸入圖書管理系統(tǒng)單點登錄地址（http：//ts.hzpt.edu.cn/neusoftcas.aspx），再輸入拼接字符和關鍵字（？RedirectUrl=），最后輸入圖書管理系統(tǒng)借閱歷史的地址（http：//ts.hzpt.edu.cn/main/BorrowHistory.aspx），所以應用鏈接地址就是（http：//ts.hzpt.edu.cn /neusoftcas.aspx？RedirectUrl=http：//ts.hzpt.edu.cn/main/BorrowHistory.aspx）。

4 結束語

傳統(tǒng)的Web Services和iframe+protlet等比較深入的集成方式，雖然可實現(xiàn)很好的集成效果，但在這些模式中，業(yè)務系統(tǒng)與門戶之間，業(yè)務系統(tǒng)與業(yè)務系統(tǒng)之間，均必須利用系統(tǒng)中的接口和函數(shù)進行二次開發(fā)和封裝，其開發(fā)成本太高。而本文中基于CAS改進算法的業(yè)務服務集成方式能夠做到低成本、服務快速集成、入口統(tǒng)一、配置簡單，能快速滿足高校的服務整合需求，實現(xiàn)一個網(wǎng)上服務大廳，真正做到為全校師生提供“一站式”服務。

未來提供基于移動互聯(lián)網(wǎng)的服務集成顯得越來越重要，而傳統(tǒng)互聯(lián)網(wǎng)在資源和服務上擁有更加穩(wěn)定成熟的應用基礎。因此，在網(wǎng)絡環(huán)境優(yōu)越的高校，如何依托傳統(tǒng)互聯(lián)網(wǎng)的服務優(yōu)勢，同時利用移動互聯(lián)網(wǎng)的便捷性，快速、輕量地實現(xiàn)基于移動端的數(shù)字校園服務中心，將是以后的研究方向。

參考文獻（References）：

[1] http：//www.soft78.com/article/2012-12/2-ff8080813b2e

07db013b87a14f472bad.html，2016.

[2] 張前峰.基于WebServices的數(shù)字化校園的研究與設計[D].

華僑大學，2005：24-25

[3] 陳明.關于web+service的數(shù)字化校園應用系統(tǒng)的集成[D].電

子科技大學，2006：55-56

[4] 邱春芳.基于門戶和企業(yè)服務總線的應用集成研究及應用[D].

華東理工大學，2013：34-35

[5] 周向軍.Portlet技術在數(shù)字校園中的研究與應用[D].北方工

業(yè)大學，2013：52-54

[6] 李立焰，譚慶平，繳名揚，李玉.JSR 168 Portlet應用中保持

mvc模式帶緩存服務調用方案的研究和實現(xiàn)[J].計算機與信息技術，2006.4：25-28

[7] 羅輝瓊，聶瑞華.基于Portal的門戶開發(fā)技術研究[J].計算機

技術與發(fā)展，2012.8：35-38

[8] 季昉.基于CAS的Web單點登錄系統(tǒng)的應用研究[D].大連海

事大學，2010：45-47

[9] 李勇.基于CAS構建SSO系統(tǒng)的設計與實現(xiàn)[J].曲靖師范學

院學報，2012.3：42-47

[10] 盧清平，楊柳，許曉東.一個基于Yale-CAS的單點登錄解決

方案[J].合肥學院報，2005.3：10-14

[11] 黃永生.基于CAS協(xié)議的單點登錄關鍵技術的研究與應用[D].

中南大學，2010：34-42