姚剛　齊玉東　董慶超　司維超

摘要：隨著軍隊(duì)信息化工作的進(jìn)行，越來(lái)越多的軍事信息系統(tǒng)被開發(fā)出來(lái)，如何更好地管理各個(gè)系統(tǒng)的用戶和權(quán)限已成為一個(gè)重要的研究課題。單點(diǎn)登錄技術(shù)可以實(shí)現(xiàn)一次登錄，訪問(wèn)所有授權(quán)的系統(tǒng)。在分析了軍事信息系統(tǒng)的現(xiàn)狀和現(xiàn)有單點(diǎn)登錄技術(shù)的特點(diǎn)基礎(chǔ)上，得出了適合于軍事信息系統(tǒng)的單點(diǎn)登錄技術(shù)。針對(duì)某軍事信息系統(tǒng)，總結(jié)其單點(diǎn)登錄需求，給出了總體方案和系統(tǒng)組成，設(shè)計(jì)了權(quán)限管理、用戶身份映射等關(guān)鍵模塊，并給出了具體實(shí)現(xiàn)方法。實(shí)踐表明，單點(diǎn)登錄技術(shù)的應(yīng)用將會(huì)大大提高工作效率，促進(jìn)信息化工作的進(jìn)行。

關(guān)鍵詞：?jiǎn)吸c(diǎn)登錄；軍事信息系統(tǒng)；CAS

0引言

隨著軍隊(duì)信息化工作的展開和推進(jìn)，部隊(duì)人員在工作中會(huì)應(yīng)用接觸越來(lái)越多的信息系統(tǒng)。這對(duì)于用戶和管理員都造成了一定的實(shí)踐操作困擾：用戶如果要登錄多個(gè)系統(tǒng)，不僅要面對(duì)多個(gè)登錄界面，可能還要記憶不同的用戶名和口令：而管理員則需要維護(hù)各個(gè)系統(tǒng)中的用戶，保持用戶的一致性。同時(shí)，頻繁的輸入密碼對(duì)于安全性也帶來(lái)了潛在的風(fēng)險(xiǎn)。因此，迫切需要一種技術(shù)來(lái)解決登錄效率和安全性問(wèn)題。單點(diǎn)登錄技術(shù)（SS0，Single Sign-On），即用戶只需要登錄一次就可以訪問(wèn)網(wǎng)絡(luò)中所有相互信任的系統(tǒng)。這種登錄技術(shù)是開發(fā)應(yīng)用系統(tǒng)的一種趨勢(shì)，其設(shè)計(jì)關(guān)鍵是所有的系統(tǒng)共享一個(gè)身份認(rèn)證信息，實(shí)現(xiàn)一次登錄，訪問(wèn)所有授權(quán)系統(tǒng)。

1軍事信息系統(tǒng)現(xiàn)狀

隨著軍隊(duì)信息化進(jìn)程的日趨深入，部隊(duì)各業(yè)務(wù)部門產(chǎn)生了多個(gè)信息系統(tǒng)。在長(zhǎng)期的應(yīng)用過(guò)程中，形成了各自獨(dú)立的用戶庫(kù)和認(rèn)證方法，并且訪問(wèn)機(jī)制、編程語(yǔ)言不統(tǒng)一。重點(diǎn)表現(xiàn)在以下2個(gè)方面：

1）多個(gè)應(yīng)用需要多個(gè)客戶端。由于軍隊(duì)的信息化是一個(gè)循序漸進(jìn)的過(guò)程，不同的應(yīng)用系統(tǒng)出現(xiàn)的時(shí)期也各有差異，而且還有許多都是C/S模式的系統(tǒng)，從而使一臺(tái)電腦上需要安裝多個(gè)客戶端才能應(yīng)用各個(gè)系統(tǒng)：

2）操作復(fù)雜且成本高。對(duì)于用戶來(lái)說(shuō)，同一用戶可能要兼顧處理多個(gè)應(yīng)用系統(tǒng)，因此在登錄多個(gè)系統(tǒng)時(shí)要輸入不同的用戶名和口令。對(duì)于管理員來(lái)說(shuō)，管理員則要管理和維護(hù)各個(gè)系統(tǒng)的數(shù)據(jù)庫(kù)。

綜上分析可知，要實(shí)現(xiàn)單點(diǎn)登錄的研發(fā)設(shè)計(jì)，需要滿足以下功能：

1）將所有應(yīng)用系統(tǒng)的人口集成到瀏覽器中，從而免去多個(gè)客戶端的安裝：

2）提供統(tǒng)一身份管理和單點(diǎn)登錄。將現(xiàn)有的應(yīng)用系統(tǒng)的用戶規(guī)劃組織為統(tǒng)一性質(zhì)，完成統(tǒng)一的用戶認(rèn)證。在統(tǒng)一用戶的基礎(chǔ)上，實(shí)現(xiàn)單點(diǎn)登錄功能。在統(tǒng)一用戶登錄到某一應(yīng)用系統(tǒng)（通常是門戶站點(diǎn)）后，當(dāng)需要訪問(wèn)其他應(yīng)用系統(tǒng)時(shí)，不必再次登錄就可以直接進(jìn)入應(yīng)用系統(tǒng)。

2單點(diǎn)登錄技術(shù)概述

目前，單點(diǎn)登錄的技術(shù)可以分為開源和商用兩種模式。使用較多的開源單點(diǎn)登錄框架包括Yale CAS、Open SSO、Jsecuriy、Shibboleth等，各個(gè)框架各有特點(diǎn)。同樣，市場(chǎng)上也存在有單點(diǎn)登錄產(chǎn)品，包括Net Passport、Liberty等單點(diǎn)登錄系統(tǒng)。上述單點(diǎn)登錄的應(yīng)用技術(shù)和實(shí)現(xiàn)手段均能夠初步解決重復(fù)登錄的問(wèn)題，但是目前仍呈現(xiàn)出諸多有待完善的缺點(diǎn)。而本文研究核心則設(shè)定為其與軍事信息系統(tǒng)的結(jié)合，充分考慮貼合部隊(duì)的任務(wù)需求，同事也著重關(guān)注并引入了系統(tǒng)安全性、易用性、經(jīng)濟(jì)性等方面因素。Passport單點(diǎn)登錄系統(tǒng)和Liberty單點(diǎn)登錄系統(tǒng)中負(fù)責(zé)身份認(rèn)證的服務(wù)器由國(guó)外公司控制，用戶身份和系統(tǒng)的保密性及安全性受到威脅，不適合作為結(jié)合的對(duì)象系統(tǒng)。開源登錄框架中Open SSO、Jsecuriy、Shibboleth的適用范圍較窄且部署相對(duì)復(fù)雜，而CAS單點(diǎn)登錄系統(tǒng)（Central Authentication Service）部署簡(jiǎn)單、成本經(jīng)濟(jì)，支持多種平臺(tái)應(yīng)用，安全可靠，因此本文研究即將CAS與軍事信息系統(tǒng)進(jìn)行了結(jié)合。

CAS作為較為成熟的框架，是Yale大學(xué)研發(fā)的免費(fèi)開源框架，并且已經(jīng)創(chuàng)建了諸多商業(yè)框架的應(yīng)用實(shí)例。從CAS的結(jié)構(gòu)體系看，CAS包括2部分：CAS Server和CAS Client。其中，Server將重點(diǎn)執(zhí)行對(duì)用戶的認(rèn)證工作，需要獨(dú)立部署，而其要處理的用戶相關(guān)信息包括用戶名/密碼等憑證。Client則用于分析處理對(duì)客戶端受保護(hù)資源的訪問(wèn)請(qǐng)求，當(dāng)需要對(duì)請(qǐng)求方提交身份認(rèn)證時(shí)，即重定向到CAS Server進(jìn)行認(rèn)證。CAS Client需要與受保護(hù)的客戶端應(yīng)用部署在一起，以Filter方式保護(hù)相應(yīng)的資源，過(guò)濾從客戶端發(fā)送的每一個(gè)Web請(qǐng)求，并且CAS Client會(huì)分析HTTP請(qǐng)求中是否包含請(qǐng)求Service Ticket，如果沒(méi)有，則說(shuō)明該用戶還未經(jīng)過(guò)認(rèn)證；于是CAS Client會(huì)重定向用戶請(qǐng)求到CAS Server，并傳遞Service（要訪問(wèn)的目的資源地址）。

3應(yīng)用實(shí)例

3.1需求分析

某軍事項(xiàng)目研究需要涉及多個(gè)應(yīng)用系統(tǒng)進(jìn)行協(xié)同工作。部隊(duì)人員需要接觸多個(gè)信息系統(tǒng)的賬號(hào)和密碼，存在一定的安全隱患。實(shí)踐發(fā)現(xiàn)，不同應(yīng)用系統(tǒng)之間各自的特色功能、設(shè)計(jì)方案和開發(fā)技術(shù)均有所不同。此外，不同應(yīng)用系統(tǒng)開發(fā)時(shí)間前后各異、耗時(shí)長(zhǎng)短不一，各自建立有相互獨(dú)立的用戶數(shù)據(jù)庫(kù)和用戶認(rèn)證體系，用戶信息互不兼容、數(shù)據(jù)格式互不統(tǒng)一，導(dǎo)致各應(yīng)用系統(tǒng)間信息關(guān)聯(lián)困難，形成了猶如障礙的信息壁壘，難以達(dá)成信息共享，靈活辦公。進(jìn)一步地，細(xì)節(jié)問(wèn)題可描述呈現(xiàn)在操作使用方面：訪問(wèn)不同應(yīng)用系統(tǒng)需要依次登錄，過(guò)程枯燥而繁雜，耗費(fèi)精力，并且大量的賬號(hào)和密碼信息在輸入時(shí)難免出錯(cuò)，進(jìn)而影響效率。為此，將單點(diǎn)登錄技術(shù)與該軍事信息系統(tǒng)相互結(jié)合，在各應(yīng)用系統(tǒng)的登錄認(rèn)證機(jī)制中引入單點(diǎn)登錄技術(shù)，使用戶僅通過(guò)一次身份認(rèn)證，便能夠獲得所有應(yīng)用系統(tǒng)的訪問(wèn)授權(quán)，實(shí)現(xiàn)“一次登錄、全網(wǎng)漫游”。

3.2應(yīng)用研究設(shè)計(jì)

3.2.1總體設(shè)計(jì)方案

為了實(shí)現(xiàn)用戶的快速登錄和訪問(wèn)，設(shè)計(jì)時(shí)通過(guò)信息門戶的方式展示相關(guān)新聞和所有應(yīng)用系統(tǒng)的人口。將門戶的登錄和各應(yīng)用系統(tǒng)的人口集成在首頁(yè)的顯著位置。將CAS技術(shù)應(yīng)用到現(xiàn)有系統(tǒng)，具體可分為2部分來(lái)展開研究設(shè)計(jì)：將多個(gè)應(yīng)用系統(tǒng)與CAS Client部署整合到一起，為用戶提供相應(yīng)服務(wù)和資源：CAS Server與原有應(yīng)用系統(tǒng)的用戶登錄數(shù)據(jù)庫(kù)相互連接，負(fù)責(zé)用戶身份信息的認(rèn)證和管理。在實(shí)際的具體分析時(shí)，本文采用模塊化的設(shè)計(jì)方案，將系統(tǒng)分為客戶端和服務(wù)器兩個(gè)相互耦合的模塊，分別對(duì)應(yīng)CAS單點(diǎn)登錄系統(tǒng)中的CAS Client和CAS Server。并根據(jù)后續(xù)處理功能不同，客戶端與服務(wù)器下將分別設(shè)有各自定制子模塊。

3.2.2權(quán)限管理模塊設(shè)計(jì)

在權(quán)限管理時(shí)，需要建立統(tǒng)一的用戶登錄數(shù)據(jù)庫(kù)，技術(shù)設(shè)計(jì)實(shí)體主要包括有用戶、角色、應(yīng)用系統(tǒng)和權(quán)限。權(quán)限管理模塊在整體上規(guī)定了用戶所屬角色、分配權(quán)限、驗(yàn)證用戶訪問(wèn)權(quán)限。具體研發(fā)信息如下：

1）用戶。即請(qǐng)求訪問(wèn)使用并獲取本系統(tǒng)服務(wù)和資源的用戶，是用戶登錄數(shù)據(jù)庫(kù)的關(guān)鍵主體部分：

2）角色。本系統(tǒng)中，用戶和角色兩者是相互關(guān)聯(lián)的，用戶是具體客觀存在的人，角色是用戶在本系統(tǒng)中擁有的身份，如有的角色負(fù)責(zé)對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行授權(quán)，而有的角色則只負(fù)責(zé)查看用戶的訪問(wèn)權(quán)限；

3）應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)就是用戶請(qǐng)求訪問(wèn)的服務(wù)和資源，為方便本系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄的功能，根據(jù)不同應(yīng)用系統(tǒng)的特點(diǎn)，在應(yīng)用系統(tǒng)類的組織籌建上主要包含了應(yīng)用系統(tǒng)的名稱、域名、IP地址、端口等信息；

4）權(quán)限。權(quán)限是用戶真實(shí)執(zhí)行的操作，不同的操作對(duì)應(yīng)不同的功能，分配給不同的角色，而用戶根據(jù)分派角色的不同，則具備不同的權(quán)限。權(quán)限類的設(shè)計(jì)建立包含了用戶可能執(zhí)行的操作（通常指訪問(wèn)的應(yīng)用系統(tǒng)）和角色的身份。

面向?qū)ο蟮臄?shù)據(jù)庫(kù)設(shè)計(jì)思想簡(jiǎn)化了用戶數(shù)據(jù)庫(kù)建立的研發(fā)內(nèi)容，只需要?jiǎng)?chuàng)建實(shí)體，再根據(jù)實(shí)際情況錄入用戶信息。本系統(tǒng)優(yōu)化推出的用戶登錄數(shù)據(jù)庫(kù)中，綜上4種實(shí)體類之間的關(guān)系基本為：用戶與角色之間為依賴關(guān)系，權(quán)限分配給不同角色，從而用戶也將訪問(wèn)不同的應(yīng)用系統(tǒng)，實(shí)體關(guān)系模型可見(jiàn)于圖1。

在系統(tǒng)中，采用角色和權(quán)限管理，從而方便對(duì)資源的訪問(wèn)，其中角色是權(quán)限的集合，權(quán)限是可以訪問(wèn)和執(zhí)行的業(yè)務(wù)功能的集合。一個(gè)用戶可擁有多個(gè)角色，同一角色可多次授予不同的操作員。一個(gè)角色可配有多個(gè)權(quán)限，對(duì)于特定資源的訪問(wèn)，不同的權(quán)限組合構(gòu)成不同的角色。一個(gè)權(quán)限對(duì)應(yīng)多個(gè)功能點(diǎn)和數(shù)據(jù)訪問(wèn)規(guī)則，同一功能點(diǎn)或數(shù)據(jù)訪問(wèn)控制規(guī)則可與多個(gè)權(quán)限形成互相關(guān)聯(lián)。

3.2.3用戶身份映射模塊設(shè)計(jì)

在用戶登錄數(shù)據(jù)庫(kù)中增加用戶身份映射表，用于存儲(chǔ)服務(wù)器與各個(gè)應(yīng)用系統(tǒng)的用戶身份映射關(guān)系，假設(shè)用戶A在系統(tǒng)中用戶身份映射關(guān)系如表1所示。

用戶A在服務(wù)器登錄后，訪問(wèn)應(yīng)用系統(tǒng)A時(shí)，系統(tǒng)將根據(jù)其身份映射信息查詢?cè)撚脩粼趹?yīng)用系統(tǒng)A中的身份信息A1，并進(jìn)行訪問(wèn)控制；同樣，訪問(wèn)應(yīng)用系統(tǒng)B時(shí)，得到用戶名為A2，對(duì)應(yīng)用系統(tǒng)B進(jìn)行訪問(wèn)控制。用戶身份映射模塊結(jié)構(gòu)則如圖2所示。

3.2.4系統(tǒng)工作流程設(shè)計(jì)

當(dāng)在門戶網(wǎng)站上進(jìn)行單點(diǎn)登錄時(shí)，首先需要對(duì)訪問(wèn)用戶的身份信息予以審核認(rèn)證，此過(guò)程中用戶將提供個(gè)人身份證明（正確的賬號(hào)和密碼），若用戶信息與數(shù)據(jù)庫(kù)信息匹配則認(rèn)證成功，系統(tǒng)發(fā)放相應(yīng)票據(jù)并允許用戶訪問(wèn)系統(tǒng)。根據(jù)用戶登錄時(shí)的狀態(tài)，則可劃分有首次登錄系統(tǒng)和登錄后訪問(wèn)其他應(yīng)用系統(tǒng)。在此，將對(duì)其分別展開研究論述如下。

3.2.4.1首次登錄流程

用戶首次登錄流程如圖3所示。用戶首次登錄系統(tǒng)時(shí)，服務(wù)器需要對(duì)用戶身份信息進(jìn)行驗(yàn)證，主要登錄流程的步驟內(nèi)容可設(shè)計(jì)詳解為：

1）用戶通過(guò)瀏覽器訪問(wèn)客戶端應(yīng)用系統(tǒng)；

2）客戶端接收用戶的訪問(wèn)請(qǐng)求，將訪問(wèn)請(qǐng)求重定向至服務(wù)器，對(duì)用戶身份驗(yàn)證，過(guò)程攜帶要訪問(wèn)資源的URL（統(tǒng)一資源定位符），以便認(rèn)證通過(guò)后返回請(qǐng)求資源；

3）服務(wù)器判斷當(dāng)前用戶狀態(tài)為首次登錄，為用戶提供登錄界面：

4）用戶輸入賬號(hào)和密碼，結(jié)果返回服務(wù)器；

5）服務(wù)器通過(guò)用戶認(rèn)證模塊，查詢用戶登錄數(shù)據(jù)庫(kù)，驗(yàn)證用戶身份信息，若驗(yàn)證不通過(guò)，則訪問(wèn)失敗，需要再次輸入身份信息；若驗(yàn)證通過(guò)，則將登錄賬號(hào)發(fā)送到權(quán)限管理模塊進(jìn)行驗(yàn)證：

6）權(quán)限管理模塊驗(yàn)證該用戶是否有權(quán)限訪問(wèn)目標(biāo)系統(tǒng)，通過(guò)查詢用戶數(shù)據(jù)庫(kù)，驗(yàn)證用戶權(quán)限，并返回查詢結(jié)果給服務(wù)器：

7）若驗(yàn)證通過(guò)，生成并緩存sT驗(yàn)證票據(jù)（Service Ticket）；反之則訪問(wèn)失敗，重新登錄；

8）攜帶服務(wù)器生成的sT票據(jù)，通過(guò)用戶瀏覽器，訪問(wèn)客戶端應(yīng)用系統(tǒng)：

9）客戶端請(qǐng)求服務(wù)器驗(yàn)證該sT的有效性，并將ST票據(jù)銷毀。

綜合以上設(shè)計(jì)步驟后，客戶端應(yīng)用系統(tǒng)將允許用戶訪問(wèn)并提供請(qǐng)求資源和服務(wù)。

3.2.4.2登錄后訪問(wèn)其他客戶端應(yīng)用系統(tǒng)流程

登錄后訪問(wèn)其他客戶端應(yīng)用系統(tǒng)流程如圖4所示。用戶登錄系統(tǒng)后再次訪問(wèn)其他應(yīng)用系統(tǒng)時(shí)，無(wú)需再次進(jìn)行身份信息認(rèn)證，主要登錄流程的步驟內(nèi)容可設(shè)計(jì)詳解為：

1）用戶登錄系統(tǒng)后，再次訪問(wèn)其他客戶端應(yīng)用系統(tǒng)；

2）客戶端首先檢查用戶瀏覽器Cookie文件中是否存有sT票據(jù)，若不存在，則將訪問(wèn)請(qǐng)求重定向到服務(wù)器；

3）服務(wù)器從用戶瀏覽器Cookie中獲取TGC票據(jù)，并驗(yàn)證該TGC是否合法有效；

4）權(quán)限管理模塊通過(guò)查詢用戶數(shù)據(jù)庫(kù)，驗(yàn)證用戶的權(quán)限，并返回結(jié)果給服務(wù)器；

5）服務(wù)器生成并緩存sT驗(yàn)證票據(jù)：

6）攜帶sT驗(yàn)證票據(jù)，訪問(wèn)客戶端應(yīng)用系統(tǒng)；

7）客戶端請(qǐng)求服務(wù)器驗(yàn)證票據(jù)有效性，并銷毀sT。

綜合以上設(shè)計(jì)步驟后，客戶端應(yīng)用系統(tǒng)則允許用戶免密碼就可以提供請(qǐng)求資源和服務(wù)。

3.3單點(diǎn)登錄技術(shù)的具體實(shí)現(xiàn)

3.3.1系統(tǒng)開發(fā)環(huán)境

完成單點(diǎn)登錄技術(shù)的具體實(shí)現(xiàn)，首先需要對(duì)環(huán)境系統(tǒng)進(jìn)行部署與配置。系統(tǒng)環(huán)境的建立過(guò)程中，需要用到的軟件主要包括有：Tomcat 7.2（免費(fèi)開源的WEB應(yīng)用服務(wù)器）；JDK6（JAVA的運(yùn)行編輯環(huán)境）；CAS Service版本CAS-Server-3.4.8-release；CAS Client版本CAS-Client-3.2.1-release；MYSQL數(shù)據(jù)庫(kù)版本MYSQL-5.6.24-win32；MYSQL連接JDBC驅(qū)動(dòng)版本MYSQL-connector-java-5.6-bin.jar。

3.3.2系統(tǒng)客戶端模塊的實(shí)現(xiàn)

本系統(tǒng)的設(shè)計(jì)主旨就是將軍事信息系統(tǒng)各個(gè)應(yīng)用系統(tǒng)和CAS Client二者相互結(jié)合部署，組成完整的單點(diǎn)登錄系統(tǒng)的客戶端部分。其核心思想是將需要的CAS Client相關(guān)配置文件（Portal Application Server）指定分發(fā)到各應(yīng)用系統(tǒng)中，并對(duì)相關(guān)配置文件提供準(zhǔn)確設(shè)定。該方案特點(diǎn)是兩者同時(shí)部署在同一個(gè)服務(wù)器上，緊密結(jié)合，高度集成，操作管理融為一體、且快捷簡(jiǎn)便。用戶訪問(wèn)客戶端應(yīng)用系統(tǒng)時(shí)，首先被身份認(rèn)證過(guò)濾器攔截，檢查用戶瀏覽器Cookie中是否具有授權(quán)票據(jù)sT，若存在則允許訪問(wèn)，否則將重定向至服務(wù)器進(jìn)行身份認(rèn)證，通過(guò)認(rèn)證后攜帶服務(wù)器生成票據(jù)重新訪問(wèn)，此時(shí)身份認(rèn)證過(guò)濾器將允許訪問(wèn)操作。訪問(wèn)請(qǐng)求通過(guò)用戶身份過(guò)濾器的允許后，將會(huì)被票據(jù)檢驗(yàn)過(guò)濾器攔截。重定向至服務(wù)器檢驗(yàn)授權(quán)票據(jù)是否有效，只有檢驗(yàn)有效后方可實(shí)現(xiàn)應(yīng)用系統(tǒng)訪問(wèn)。

3.3.3系統(tǒng)服務(wù)器模塊的實(shí)現(xiàn)

根據(jù)某軍事信息系統(tǒng)的工作現(xiàn)狀：部分早期開發(fā)的應(yīng)用系統(tǒng)內(nèi)置的用戶數(shù)據(jù)庫(kù)信息比較完善，認(rèn)證機(jī)制也比較健全；而部分新建應(yīng)用系統(tǒng)的用戶認(rèn)證體系相對(duì)而言卻并不完整。因此，本文著眼實(shí)際情況，將系統(tǒng)服務(wù)器的實(shí)現(xiàn)分為2類。一類是新建統(tǒng)一的用戶登錄數(shù)據(jù)庫(kù)，與CAS Server連接，方便所有新建系統(tǒng)的用戶注冊(cè)和登錄：另一類是將原有應(yīng)用系統(tǒng)用戶身份信息進(jìn)行映射，建立用戶身份信息映射模塊，精簡(jiǎn)工作任務(wù)。用戶登錄時(shí)，服務(wù)器通過(guò)數(shù)據(jù)庫(kù)連接驅(qū)動(dòng)，在統(tǒng)一用戶登錄數(shù)據(jù)庫(kù)中查詢用戶身份信息，并將結(jié)果返回服務(wù)器進(jìn)行用戶身份信息認(rèn)證。因此要替換服務(wù)器原有的認(rèn)證方式（CAS Server的原有認(rèn)證機(jī)制），以用戶登錄數(shù)據(jù)庫(kù)中的信息服務(wù)器作為新的認(rèn)證方式，具體做法為：在服務(wù)器WEB-INF＼lib配置文件中，編輯deployerConfigContext.xml文件，找到CAS Server認(rèn)證方式的類并將其刪除。系統(tǒng)服務(wù)器模塊重點(diǎn)針對(duì)授權(quán)票據(jù)展開處理，用戶成功登錄后，服務(wù)器模塊生成授權(quán)票據(jù)并導(dǎo)人瀏覽器Cookie中，驗(yàn)證客戶端授權(quán)票據(jù)的有效性，當(dāng)訪問(wèn)請(qǐng)求結(jié)束后銷毀該票據(jù)。

3.4實(shí)施效果

單點(diǎn)登錄技術(shù)應(yīng)用于該軍事信息系統(tǒng)后，用戶在關(guān)聯(lián)門戶網(wǎng)站中依規(guī)輸入其帳號(hào)和密碼，系統(tǒng)會(huì)對(duì)合法性做出判定，對(duì)單點(diǎn)登錄的代理程序發(fā)出請(qǐng)求并在各個(gè)應(yīng)用服務(wù)器中對(duì)系統(tǒng)賬戶合法性進(jìn)行判斷，從而實(shí)現(xiàn)單點(diǎn)登錄，對(duì)系統(tǒng)的功能和安全發(fā)揮了良好的保護(hù)作用。

4結(jié)束語(yǔ)

軍事信息系統(tǒng)數(shù)量的日益增加將會(huì)使單點(diǎn)登錄技術(shù)的應(yīng)用范圍也趨于廣闊。本文在分析了現(xiàn)有單點(diǎn)登錄技術(shù)和軍事信息系統(tǒng)現(xiàn)狀的基礎(chǔ)上，研發(fā)提出了某軍事信息系統(tǒng)單點(diǎn)登錄技術(shù)的具體設(shè)計(jì)和實(shí)現(xiàn)方案，從而減少了用戶記憶多個(gè)密碼的麻煩，降低了密碼遭遇竊取的風(fēng)險(xiǎn)。實(shí)踐表明，單點(diǎn)登錄技術(shù)不但能提高工作效率，而且能更好地保護(hù)系統(tǒng)和用戶信息的安全。