还剩10页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
某大学信息资源系统技术规范为了进一步规范我校数字校园建设,保障信息资源共享和信息资源系统集成,根据《某大学数字校园建设规划》,特制订以下技术规范
1、适用范围各职能部门改建、新建的信息管理系统、信息资源系统等;
2、系统规范信息资源系统的服务端(Web服务器、应用服务器和数据库服务器)能够在Unix、Linux操作系统上运行,支持Oracle数据库;
3、架构规范信息资源系统应采用B/S结构的三层架构,即Web服务器、应用服务器和数据库服务器,以方便用户使用;
4、__技术规范应采用J__aEE(J2EE)标准、组件技术及在数据交换上对XML的支持;
5、数据交换规范当业务系统需要与数字校园平台的公共数据库进行数据交换时,要按照学校制定的数据同步方案执行(附1);
6、信息编码规范信息资源系统所用编码应符合《教育管理信息化标准》(第一部分学校管理信息标准)
2003.9,___远程教育标准(DLTS)和某大学自编编码规范;
7、统一身份认证集成规范B/S架构的业务系统与数字校园进行SSO集成时,要按照学校制定的SSO集成方案执行(附2),建议尽量采用集成方案一;
8、扩展性规范信息资源系统须具有良好的扩展性业务系统建设的__性和内容的广泛性决定了系统在构建和使用过程中,必然面临着各类扩展性需求,例如业务规模的扩展、业务类型的扩展等因此要求模块间应相对__,接口清晰,内部的业务流程升级和改造与其它模块无关,并为将来学校二次__提供__API等;
9、本规范未尽事宜__校网络信息中心;本规范最终解释权归校网络信息中心二○○九年四月__四日附1数据同步方案第一章数据同步流程数据同步是指第三方业务系统与公共数据库平台(以下简称数据平台)之间进行的周期性数据交互,包括数据从业务系统到数据平台的同步以及数据从数据平台到业务系统的同步两个流程
1、从业务系统到数字校园平台的同步
1.1为了实现数据的准确性同步,根据需要,需要第三方__商在其业务系统的数据库中建立共享数据视图,并授权给数据平台用户只读权限,数据平台对视图进行抽取,将数据抽取到平台的中间表临时表中,如图1-1所示图1-1数据平台也会在其数据库中建立相应的中间表,其表结构与第三方业务系统提供的视图表结构相同,并周期性的将业务系统视图的数据同步到该中间表中通过数据清洗将数据及时的更新公共数据库中的目标表中,进而实现了第三方业务系统中的数据可持续地与数据平台之间的同步
2、从数字校园平台到业务系统的同步为了配合第三方业务系统从数据平台同步相关数据的需求,数据平台为业务系统提供所需数据的视图,并将数据的变化信息体现在数据变更表中,业务系统在第一次初始化所需共享数据后,通过定时读取数据变更表中的数据变更信息,对所需共享数据进行更新,如图1-2所示图1-2第二章需要第三方厂商做的工作
1、从业务系统到数字校园平台在数据从第三方业务系统到数据平台的同步过程中,数据平台需要第三方__商在其业务系统的数据库中建立共享数据视图,并授权给数据平台用户只读权限,数据平台对视图进行抽取如图2-1虚线部分所示图2-
12、从数字校园平台到业务系统在数据从数据平台到第三方业务系统同步的过程中,数据平台为业务系统提供所需数据的视图,并将数据的变化信息体现在数据变更表中,业务系统在第一次初始化所需共享数据后,通过定时读取数据变更表中的数据变更信息,对所需共享数据进行更新,如图2-2虚线部分所示图2-2第三章数据同步数据平台做的工作
1、从业务系统到数据平台在数据从第三方业务系统到数据平台的同步过程中,数据平台会从第三方业务系统提供的视图中读取数据到平台下的中间表中,与数据平台中的历史数据进行对比,将数据的变更信息写到数据变更表中,如图3-1虚线部分所示图3-
12、从数据平台到业务系统在数据从数据平台到第三方业务系统同步的过程中,数据平台会为第三方业务系统提供相应的视图表作为接口供其操作,并把数据的更新情况及时的反映到数据变更表中以实现数据同步,如图3-2虚线部分所示附2数字校园平台单点登陆SSO解决方案方案
1、采用信息平台提供的统一身份认证系统实现SSO
1.使用平台提供的统一身份认证系统CAS进行SSO集成的条件前提条件第三方系统的用户身份信息使用信息平台的用户身份信息;或存在一个第三方系统和信息平台用户身份信息的对应关系表,并由双方系统共同维护实现条件1)需要第三方系统修改代码2)如果第三方系统中包含的不需要认证就能访问的内容过多,则采用共享密钥或是模拟登陆方式
2.具体实现第三方系统__商需要完成以下两个主要工作1)在自己的应用中配置CAS客户端2)取消此应用原先的认证登陆程序(不是必须的),改为根据CAS认证信息处理登陆要完成第一个工作,需要以下步骤1)使用由数字校园平台提供的、封装好的CASClientJAR包,放在应用/WEB-INF/lib/下2)在应用的web.xml中加入CASFilter相关的filter配置其中,filter-class属性需要指定项目中使用的CAS过滤器类上面的配置中指定的是默认的CAS过滤器类第三方系统可以根据处理登陆的操作来扩展此类并覆盖相关方法3)配置casFilterConfig.xml这个文件需要放在对方应用的/WEB-INF/classes下loginServer指的是CASServer的登陆URL;validateServer指的是CASServer的验证URLthis指的是当前要集成的第三方应用的服务器和端口号,服务器可以是机器名、域名和ip等,最好使用域名端口不指定的话默认是80notFor__AuthUrls下的url-pattern指定了不需要CASFilter进行过滤的资源第三方j2ee应用可能都会有特殊的判断用户是否已经登录的逻辑以及特殊的存储在Session中的用户登录信息因此要完成第二个步骤,第三方j2ee应用可以通过扩展CASClient端提供的.DefaultCASFilter这个类,并覆盖其中的如下四个方法来实现在过滤的过程中处理业务系统登陆操作,并且在web.xml中的filterfilter-class属性中写入自己扩展类的类名1)isNeedCASLoginOrValidate这个方法判断请求的用户是否需要通过CAS登陆和验证返回true则需要;返回false则不需要并直接进入业务系统处理登陆后的操作此方法需要进行如下判断判断当前获取的CASRe__ipt对象是否有效(代表是否是已经通过CASServer认证的用户),并且对不需要filter过滤的资源进行特殊处理(在casFilterConfig.xml中notFor__AuthUrls下的url-pattern中记录的资源会自动放行)注意第三方系统覆盖此方法进行特殊处理时必须要调用此方法进行默认的处理2)isNeedRedirectToCAS当isNeedCASLoginOrValidate方法返回true(代表用户需要访问受CASClient保护的资源但用户尚未经过CASServer认证)的时候,正常情况下会直接转向CASServer的登陆地址但如果第三方系统需要在CASClient将用户请求重定向到CASServer进行登陆操作之前处理一些特殊逻辑判断或处理的话,则在此方法中完成其操作返回true则转向,false则不转向DefaultCASFilter中的这个方法直接返回true,转向CASServer进行登录验证3)isNeedValidate当CASServer对登陆用户完成认证后,会生成Servi__Ticket放在URL中返回给客户端浏览器重新定向到CASClient端CASClient端得到ST后,正常情况下会拿着这个ST去CASServer端进行确认以得到用户的身份信息但如果第三方系统需要在CASClient拿着ST去CASServer进行确认之前做一些特殊逻辑判断或处理的话,则需要在此方法中完成其逻辑处理返回true,则去CASServer端确认并得到用户身份;返回false,则不去确认,这样也就得不到用户的身份DefaultCASFilter中的这个方法直接返回true,转向CASServer进行确认4)userLoginAndValidated如果用户已经通过了CASServer的登陆验证,那么在这个方法中处理登陆验证成功后的操作,比如将需要用到的用户信息放入session等操作(第三方系统需将自己处理登陆验证后的逻辑写在这个类中)特别注意第三方系统在其覆盖方法中做处理之前一定要调用此方法进行默认处理super.userLoginAndValidatedrequestresponsere__ipt;否则就会导致isNeedCASLoginOrValidate方法得到错误的结果完成以上工作后,通过CAS实现第三方系统的SSO集成基本也就完成了方案
2、使用与第三方系统共享密钥方式实现SSO这种方式实现SSO要双方的系统在共享密钥的设置(包括密钥的生成、认证过程中密钥的交换方式等)达成一致具体方案如下前提条件1)平台用户账号和第三方业务系统账号如果不同,需要在公共数据库中建立对应关系实现条件1)平台服务器和第三方业务系统服务器的系统时间要保持一致因为第三方业务系统需要通过我们传递的时间戳参数time_stamp来校验请求在时间上的合法性2如果使用静态密钥的话,需要双方系统__商约定好共同使用的密钥KEY是什么(随意,最好复杂些但有规律)如果使用动态密钥的话,那么第三方系统需给我们提供其生成动态密钥的系统接口供我们调用3)双方系统__商约定传递给他们的参数有哪些,以及传递的方式是什么4)承建数字校园平台的东软公司和第三方业务系统__商约定好需要校验的加密字符串en_string的组成规则如第三方业务系统用户名user_name+KEY+time_stamp5)约定好校验字符串的加密方式是MD5或其它加密方式附3统一身份认证的实现方式
1、采用数字校园平台的CAS进行身份认证具体实现参见【附2数字校园平台单点登陆SSO解决方案】中的方案
12、通过数据库认证方式
1.数据平台为业务系统提供数字校园平台用户的账号和__,其中__为MD5加密后的密文形式保存
2.业务系统不为用户提供__修改功能,用户只能在数字校园平台门户中进行__修改
3.当用户登陆业务系统时,业务系统首先读取存于本地数据库中的用户账号信息,如果与提交的登陆信息不匹配,再读取数据平台提供的用户账号信息与用户登陆信息进行比对,并对无法登陆的用户给出相应的信息提示同时将数据平台与本地数据库中不同步的信息更新到本地数据库中
3、通过标准的LDAP协议认证方式
1.数字校园平台为业务系统提供标准的LDAP目录服务,符合LDAPv3版本标准
2.业务系统可以直接使用数字校园平台提供的LDAP目录服务,也可以将数据同步到业务系统本地的LDAP目录中
3.业务系统不为用户提供__修改功能,用户只能在数字校园平台门户中进行__修改
4.当用户登陆业务系统时,首先读取存于本地LDAP中的用户账号信息,如果与提交的登陆信息不匹配,再读取数字校园平台的LDAP中用户账号信息与用户登陆信息进行比对,并对无法登陆的用户给出相应的信息提示同时将数字校园平台LDAP与本地LDAP中不同步的信息更新到本地LDAP中
5.。