门户系统单点登录技术探究

信 息 技 术

2020 NO.12（下）

中国新技术新产品

门户系统单点登录技术探究

王斌儒 于伟凯 尚永涛

（中车青岛四方机车车辆股份有限公司，山东 青岛 266111）

摘 要：在门户系统的平台功能随着业务需求不断扩展的背景下，门户系统需要管理的子系统也在不断增加。

门户系统入口信息逐渐增多，在登录时给用户带来较大的负担。针对门户系统登录时出现的，该文提出了1种

单点登录的技术方案，该方案可以采取一体化的方法实现用户身份的立体、动态认证，确保用户可以通过一

次验证实现跨系统登录，完成各种应用系统的全方位认证。

关键词：门户系统；单点登录；身份认证

中图分类号：TP 393 文献标志码：A

０　引言

门户系统需要利用统一的入口实现资源和应用集成，

以便为用户提供多层次的服务。登录门户系统时，用户只

需要登录一次就可访问多个应用系统，避免系统多次对用

户身份进行认证，从而为用户获取资源提供便利。因此，

加强门户系统单点登录技术的研究，是系统提供一站式服

务的重要基础保障。

采用单点登录方案，需要实现信息数据和界面的集

成。针对门户系统提供的基础服务，采用抽取、重组和链

接等技术实现系统之间信息流程的整合，对系统应用和数

据进行集成。结合用户需要，在门户系统中展现的各类系

统数据需要得到集成，确保应用界面、图表等可以集中展

示。根据用户实际关注的内容，在门户系统界面上进行各

种应用的集中展示，能够方便用户实现各种系统的快速登

录，确保各种数据信息得到快速处理，进而为用户获取资

源提供便利。

１　门户系统的登录问题

在大数据、云计算等信息技术取得快速发展的背景

下，门户系统可以完成统一协作平台的建立，提供统一时

搜索引擎，实现各种系统的连接以及数据的整合，为信息

资源的整合利用提供了技术支撑。通过门户系统，用户可

以对与之相关的业务系统进行访问。按照传统登录方案，

无论登录哪个系统都要完成身份认证；在每个系统拥有单

独登录信息的情况下，实现系统切换需要重新输入登录信

息。在各种信息管理系统不断增多的情况下，用户需要记

忆的信息也会增多，这就会导致用户在登录门户系统时有

较大的负担，无法充分发挥系统集成资源的作用

[1]

。此外，

用户如果要完成多个系统的同时登录，就需要完成复杂的

操作。因此就给系统应用集成带来困难，在影响用户工作

效率的同时，增加了系统出错的概率。

２．２　总体技术架构

结合门户系统的单点登录技术方案，对各个应用系

统拥有的认证模块和权限控制模块进行整合，完成门户

系统设计，实现对各种应用系统的统一访问控制。从总体

技术架构上来看，单点登录技术架构由目录接口层、目录

服务层和访问接口层构成。在目录接口层，可以实现各种

系统用户身份认证目录服务器的连接。采用轻量级的目

录访问协议，为各种系统提供数据信息交换接口，保证

各系统的相互访问需求能够得到满足。按照标准的LDAP

协议标准，实现单点登录的门户系统可以与各种系统交

互用户的身份验证信息，为系统之间用户身份相互验证

功能的实现提供技术支持。在目录服务层，需要采用微软

活动目录服务技术提供统一验证基准记录；需要拥有完

善配置的服务器来存储用户和系统的各种资源信息，同

时也包括访问权限信息可以在系统验证用户身份时提供

参考标准

[2]

。在该层支撑下，门户系统将拥有对各种连接

系统的管理权限，因此可以为单点登录技术的实现提供

保障。在访问接口层，需要集中提供认证服务的验证接

口模块，对不同应用系统需要提供不同的模块，以便利

用应用程序实现接口服务的集中认证。

２　门户系统的单点登录技术分析

２．１　单点登录方案

结合门户系统登录存在的问题，研究人员加强了单点

登录技术的应用，将各系统身份认证步骤整合在一起，提

供专门的身份认证服务，确保用户通过1次登录就可以

在互信应用中随意切换。单点登录作为用户管理机制的1

种，能够提供统一认证和授权行为的管理服务，用户身份

一经认证就可以授权给各种应用系统。从技术应用原理上

来看，在用户通过客户端打开门户系统的登录窗口后，输

入的用户名、密码等将被系统服务器接收，经过验证后顺

利进行系统登录。在对门户系统中的应用服务进行访问

时，系统可以完成账号、密码的自动匹配和校验，实现系

统之间用户身份的快速认证，因此用户无需重复输入账号

密码。

２．３　登录表单生成

在门户系统与各应用系统之间，采取了服务器-客户

端的通信模式，需要由服务器负责进行用户信息数据的接

收，然后为各应用系统提供成功登录的证明。在整个过程

中，系统需要完成加密数据库的建立，从而实现用户认证

信息的存储。在成功完成登录半静态调度（SPS）S验证后，

可以从加密数据库中获得用户信息，用于访问其他系统服

- 23 -

中国新技术新产品

2020 NO.12（下）

信 息 技 术

务器。而在门户系统数据库中，需要存放登录表单。在用

户第一次访问阶段，需要利用系统的应用程序对用户登录

各种系统的信息进行集成，形成登录表单（见表1），作为

用户通过门户系统访问各种应用系统的凭证。在应用程序

中，需要对表单中的字段编号、顺序等进行设置，确保用

户的登录表单能够自动生成，实现用户不同账户信息的映

射，必要时重新建立表单定向。在对数据库中的凭证进行

检查时，采取适合的方式，从凭证存储区获取凭证，完成

相应系统的登录。

户需要对应用系统进行访问，可以先通过管理器完成对凭

证对象的查找，避免因反复创建凭证而导致系统运行效率

过低。

３　门户系统的单点登录技术实现

３．１　应用系统门户改造

在实现企业门户系统开发方案的过程中，需要先对

企业现有的各种应用系统的登录功能进行改造，确保系

统单点登录技术能够顺利实现。具体来讲，就是按照之

前的技术路线对各业务系统进行集中改造，利用门户系

统使各种应用系统的多账号问题得到解决。门户系统部

署在IBM L924服务器上，共包括2台、而安全认证网

关在独立的IBM L922服务器上部署，各服务器统一配

置Windows Server 2016系统，各系统连接用户数最大能

够达到1 300。通过采用B/S架构，在门户系统中对各系

统的用户管理和登录管理等模块进行集成；首先，对登

录网页进行修改，将登录界面及相关ID、密码等代码删

除；其次增设安全认证网关接口函数，可以通过调用函

数对原本ID等代码进行获取；最后，采用URL地址将门

户系统网页打开后，就可以完成绝对URL地址的设定，

确保获取的代码可以顺利传递至系统的主网页。各应用

系统的入口网页和主网页在相同的服务器上运行，并设

置了相同的目录，在客户端登录时将被安全认证网关隔

离，难以利用内存实现ID等代码的传递。因此，还要利

用URL参数传递方式，并通过增设IP和加密，在服务

器上建立相应的文该文件，利用字符序列进行加密和解

密，使系统各层的安全漏洞得到有效解决。在从安全认

证网关对证书管理系统的ID进行获取时，需要保证其与

用户管理模板拥有相同的ID。直接利用接口函数获取用

户ID，在关键信息输入框里对ID等信息进行编辑，然

后调用接口函数，并从目录数据库中获取信息。在网关

中将登陆页面设定为门户系统的入口页面，然后将各应

用系统的入口地址设定为安全认证网关，就可以完成对

系统登录的改造。

２．４　用户身份认证

采用通用接口对应用程序进行调用，在用户身份认

证的基础上保证数据传输的安全。实际应用中，在对用户

身份进行认证时，需要采用证书机制和安全套接层（SSL）

代理机制，在完成信息认证后向应用系统传输信息。在

SSL客户端和服务器之间，需要监理加密通道，保证数据

安全传输。客户端的界面操作，包括登录代理、CA认证

服务器、凭证数据库、SSL通信、LDAP目录服务器等。

它可以用于用户数字证书进行申请、保存和注销的管理，

以加强对用户信息安全的保护。在各系统之间，拥有共

享密钥，数据库与相应的认证服务被称为密钥分发中心。

在登录门户系统后，经过密钥分发中心成功认证的用户

可以获得安全认证凭证，在访问其他应用系统时出示这

一凭证就可以获得应用服务

[3]

。在第三方认证上，通过

代理可以提供统一的认证机制，同时完成对已经应用的

认证模块的修改。

２．５　用户凭证管理

在用户凭证的管理上，采用 LADP服务器进行凭证保

存，其核心为目录信息树，他可以对用户基本信息、权限

角色信息等进行存储。在用户完成1次登录后，可以获得

用户登录和授权信息，并在数据库（DB）中保存。在通过

标准目录访问协议接口进行系统登录时，可以完成对目录

信息的访问，实现用户信息验证，然后通过单点登录完成

各应用系统的统一登录。对应用系统进行访问时，认证服

务器可以从LDAP服务器中获取信息，并根据信息从数据

库中调取凭证，完成从用户身份到凭证的映射。在信息映

射方面，用户注册时可以生成全局唯一的ID，按照认证应

用类型、访问方式等在对应注册文件中进行保存。采用标

准接口，可以使后续应用系统的接入符合接口验证标准，

保证系统之间能够顺利实现信息交换。用户登录门户系统

后，可以利用凭证管理器实现对凭证对象的缓存。如果用

３．２　数据表关系映射

门户系统与各应用系统间实现单点登录，需做好对各

应用系统主数据表的对照，保证用户信息得到科学映射，

从而建立相应的用户映射表，为后续各种数据信息的调用

和认证提供支持。

在各系统间开展临时会话时，需要建立会话表，其中

表1 用户登录信息主表

字段名称

Ｆｎａｍｅ

ＦｌｏｇｉｎＮＡＭＥ

ＦｕｓｅｒＩＤ

Ｆｓｅｘ

ＦｌｏｇｉｎＰａｓｓｗｏｒｄ

ＦｕｓｅｒＴｅｌｅ

Ｆｕｓｅｒｚｈｉｗｕ

字段含义

用户姓名

登录用户名

用户编号

性别

登录密码

联系电话

职务

字段类型

ＮＶａｒＣｈａｒ（５０）

ＮＶａｒＣｈａｒ（５０）

Ｉｎｔ（４）

Ｉｎｔ（１）

ＮＶａｒＣｈａｒ（５０）

ＮＶａｒＣｈａｒ（２０）

ＮＶａｒＣｈａｒ（２０）

说明

真实姓名

非空

ＰＫ，自增

真实性别

非空

—

—

- 24 -

信 息 技 术

2020 NO.12（下）

中国新技术新产品

包括FlashID、FlashEID等通用字段以及对应系统的信息字

段，确保信息数据可以在系统间正常传递。如图1所示，通

过做好主数据表的关系设置，可以使数据信息得到一一映

射，为单点登录功能的实现提供了数据支撑。采用单点登录

技术实现注册操作，可以直接定向至注册页面、返回登录页

面和自动生成ID。完成用户信息创建后，会将验证信息存

储到门户系统储存在用户本地终端上的数据（Cookie）以及

相关数据库中，完成基本映射表的创建，使用户主数据表的

关系得到确认。在修改信息时，需要重新完成非关键信息和

映射关系的设定，并对信息进行保存，传入本地Cookie和

临时会话表并完成时域（Session）状态变量的创建。利用门

户系统对用户身份进行验证，将自动生成Cookie和安全凭

据（TSC）信息，利用Cookie和Session对用户登录状态进行

确认。TSC为安全凭据，可以作为用户认证身份的凭据。而

Cookie可以通过数据加密保证数据的安全，只要确认其验证

信息有效就可以根据Session中的变量进行业务系统加载。

３．４　登录状态转移过程

实现单点登录就意味用户在完成一次登录后，进入权

限允许的其他应用系统时不需要再次登录。因为此时用户所

在客户端浏览器中存储了之前登录门户系统后的Cookie，可

以直接将Cookie发送至门户系统完成认证。在实际操作时，

需要利用站点Cookie开展网络会话，验证登录状态，查找

userset、Flashrun等映射表中的关键信息。确认用户权限可

以进行其他系统的登录后，系统将跳转至登录界面实现自动

登录，使用户在正常业务界面进行操作。如果用户权限不允

许，门户系统将提示用户无法完成登录状态转移。

对单点登录技术的实际效果进行分析，可以发现除首次

登录门户系统网页时响应速度较慢以外，其他实现登录状态

转移的操作可以在3 s~5 s获得响应，可以达到理想的登录

效果。

３．５　系统注销登出管理

采用单点登录技术，要求用户在完成系统操作后注销退

出，以免给系统使用的安全性带来较大的威胁。在注销操作

时，同样可以实现单点注销，通过1次操作将所有应用系统

中的临时会话等信息删除。在应用系统中点击退出按钮后，

系统将向门户系统发送注销申请，并将本地会话取消。门户

系统根据申请，向之前用户登录的应用系统发出注销指令，

将系统随机FlashID清除，确保其他登录系统的运行代码都

处于终止状态，并恢复到原本的状态值，继而使用户退出全

部系统。

３．３　首次登录系统流程

用户首次登录任何一个应用系统时，在用户名和密码输

入后，系统将发起网络会话，向门户系统SSO发出登录认证

服务申请。如图2所示，门户系统根据站点请求，将对用户

名和密码的合法性进行验证，根据客户端安全认证网关的目

标地址对USB Key用户证书进行获取，传递给服务器确认是

否合法。确认通过验证后，可以生成TSC对会话用户进行标

识，并在临时会话表中对站点标识符进行记录。门户系统将

获得的用户信息数据和TSC返给应用系统后，子站应用系统

可以完成系统登录处理。如果请求无法通过验证，应用系统

只能接受到错误代码。完成状态码校验后，可以利用Cookie

对验证信息进行保存，并对相关数据进行记录。未通过验证，

将提示登陆失败。由于用户注册和认证都将在门户系统中实

现，因此各应用系统无需提供登录服务，只需要通过门户系

统授权后就能实现单点登录操作，让用户直接进入业务界面

处理相关业务。

４　结论

总的来说，单点登录技术的应用，使用户通过一次身份

验证就可以实现各种应用系统的切换登录，为门户系统的一

站式服务提供了有效的保障，为用户获取信息资源提供了更

便利的途径。在实际应用中，单点登录技术还需要不断地探

索与创新，通过制定科学的研究方案，提升单点登录的技术

水平，让它为用户带来更好的操作体验。

参考文献

[1]杨世旺，刘波.门户网站集成第三

方系统单点登录[J].视听，2019（5）：

75-77.

[2]伍孟轩，李伟，易叔海，等.跨域

图1 系统主数据表关系

单点登录解决方案研究[J].网络安全

技术与应用，2018（2）：49-51.

[3]任海艳，梁海玲.基于Portal的企

业门户单点登录和应用集成研究[J].

否通过

计算机光盘软件与应用，2015，18（1）：

166-167.

图 2 用户身份首次验证流程

- 25 -