基于portal技术的电力企业单点登录系统设计与实现

《基于portal技术的电力企业单点登录系统设计与实现》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

密级：中国科学院大学UniversityofChineseAcademyofSciences硕士学位论文指导教师：2013年4月 lIIIIIIllllI!!MIllIIIY2382416JinLuADissertationSubmittedtoUniversityofChineseAcademyofSciencesInpartialfulfillmentoftherequirementForthedegreeofMasterofComputerTechnologyShenyangInstituteofComputingTechnology,ChineseAcademyofSciences4，2013 独创性声明本人郑重声明：所提交的学位论文，是本人在指导教师的指导下，独立进行研究工作所取得的研究成果。尽我所知，文中除特别标注和致谢的地方外，学位论文中不包含其他人或集体已经发表或撰写过的研究成果，也不包含为获得中国科学院大学或其它教育机构的学位或证书所使用过的材料。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。签名：一金 关于学位论文使用授权的说明本人完全了解中国科学院大学有关保管、使用学位论文的规定，其中包括：①学校有权保管、并向有关部门送交学位论文的原件与复印件：②学校可以采用影印、缩印或其它复制手段复制并保存学位论文；③学校可允许学位论文被查阅或借阅；④学校可以公布学位论文的全部或部分内容。(涉密的学位论文在解密后应遵守此规定)签名．金冀导师签名：主鎏垒翌垒蟑日期：切l专．q-}々 摘要随着电力企业的业务规模越来越大，企业内数据量及数据种类也是越来越多，这也使得电力企业中各类应用系统以及相应系统的操作复杂度逐年上升。各类业务应用系统繁多，用户在每每登录不同应用系统时，反复切换登录所需各类应用系统的界面。这样，原有的各类系统登录方式以及应用方式已经不能满足目前用户的工作需求，为方便电力企业员工在工作中，不需用户使用多帐号、多密码、多次登录问题。当单点登录系统账户访问已关联的应用系统时，只需要在单点登录系统中登录一次就可以，不需要重复登录业务应用系统登录界面，也不需要重复认证。对目前业务应用系统的登录进行整合管理，就单点登录系统课题的研究有着重大的意义。本文在查阅研读大量的国内外报告、专著、论文以及网络文献等资料，对与门户及单点登录相关技术进行深入学习的基础上，单点登录相关实现技术包括门户概念、Pottier、单点登录原理、LDAP轻量级目录访问协议及J2EE技术等，针对电力行业的绝大多数应用系统都是B／S模式的现状，及当前电力企业存在的重复登录等效率低下等问题，确定对B／S模式应用系统实现基于BEAportal的进行统一鉴权的技术方案。本文主要完成了系统架构的设计、数据库及功能模块的设计，并实现了单点登录控制中心及用户关联管理等核心功能模块，从而实现一个基于Portal技术的单点登陆系统，并且该系统可以添加、删除、修改应用系统信息，可以基于角色权限进行定制个性化权限，将现有B／S应用系统有效地整合到当前信息门户中。最后，对所实现的系统进行了功能测试，测试结果表明，系统运行稳定、权限设置清晰、明确，很好地完成对现有应用系统的整合，有效地解决了原来电力应用系统重复登陆带来的效率低下、安全风险大等问题。【关键词】门户单点登录B／S模式轻量级目录访问协议 基于pogal技术的电力企业单点登录系统设计与实现AsthesizeofabusinessiSmoreandmol'eelectricpowerenterprises，enterprisedataanddatatypeisalsomoreandmore，whichmakeselectricpowerenterprisesofallkindsofapplicationsystemandthecorrespondingsystemoperationincreasingcomplexity．Allkindsofbusinessapplicationsystems，usersoftenlogindifferentapplicationsystems，allkindsofapplicationsystemsbyrepeatedlyswitchinglogininterface．So，allkindsofsystemloginoriginalandapplicationmodehasbeenunabletomeettheneedsofusers，convenientforelectricpowerenterpriseemployeesinthework，withoutaccount，password，loginproblemsmanyusers．Whentheapplicationsystemofsinglesign-onsystemaccountaccessisassociated，onlyneedtologininthesinglesign-onsysteminacan,donotneedtorepeattheloginserviceapplicationsystemlogininterface，alsodoesnotneedtoberepeatedauthentication．Thebusinessapplicationsystemloginintegrationmanagement，researchonthesinglesign-onsystemresearchisofgreatsignificance．Onthebasisofreadingalotofdomesticandforeignreports，monographs，papersandliteratures，basedonin-depthstudyandportalandsinglesign-ontechnology,singlesign-ontechnologyincludetheconceptofportals，Portlet，singlesign—onprinciple，LDAPLightweightDirectoryAccessProtocolandJ2EEtechnology,aimingatthevastmajorityofthepowerindustryapplicationsystemisinB／Smode，theexistingproblemsandthecurrentpowerenterprisesrepeatedloginandlowefficiency,todeterminetheB／SsystemimplementationofBEAportaltechnologyschemebasedonunifiedauthentication．Thispapermainlycompletedthedesignofsystemarchitecture，databaseandfunctionmodules，andtherealizationofSSOcontrolcenteranduserassociationmanagementmodule，inordertoachieveasinglepointloginsystembasedonPortaltechnology,andthesystemcanadd，delete，modifytheinformationapplicationsystem，canbecustomizedpersonalizedaccessbasedontheroleauthorization,theexistingB／Sapplicationsystemeffectivelyintegratedintothecurrentinformationportal．Finally,thesystemrealizedthefunctiontest，thetestresultsshowthatthesystemisrunningstable，permissionsettings，clear,clear,perfectlycompletetheintegrationofexistingapplicationsystem，effectivelysolvetheoriginalpowersystemlowefficiencycausedbyrepeatlogin,securityrisksandotherissues．[KeyWords]PortalThesinglesign-onB／SmodeLDAPII 目录摘要⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。IABSTRACT⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．II第一章绪论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．11．1课题研究的背景⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯l1．2课题研究的意义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯21．3本人主要工作及论文结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯21．4本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯2第二章单点登录系统相关技术的研究⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯42．1Portal门户⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．42．1．1Portal概念⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。42．1．2Portal的功能⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。42．1．3Portal特点⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。52．1．4Portal技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯52．1．5Portal的优势⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62．1．6门户框架平台概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62．1．7框架平台基础功能⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62．2Portlet介绍⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。72．3Bcaweblogicportal⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。72．4单点登录⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．92．5目录服务技术和轻量级目录访问协议(LDAP)⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．112．6J2EEj5乏JSP⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯lzI2．7XML⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．172．8本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯17第三章需求分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。193．1目前状况⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．193．2系统目标⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯203．3单点登录实际功能需求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。213．4开发环境⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．223．5本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．22第四章单点登录系统的设计与实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．234．1功能设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．234．2数据库设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．25ⅡI 基于portal技术的电力企业单点登录系统设计与实现4-3系统身份认证安全方面的设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．364．4门户分级授权设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．364．5功能实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一394．6基于角色权限定制个性化⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。474。7实现结果展示⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一484．8本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．50第五章单点登录系统测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一5l5．1测试环境⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一515．2测试用例开发⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一5l5．3测试门户系统⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。525．4本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。54结论与展望⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯55参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯57致谢⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．60个人简历、在学期间发表的论文与研究成果⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯6lIV 第一章绪论1．1课题研究的背景近年来，我国电力企业的业务规模越来越大，企业内数据量及数据种类也是越来越多，这也使得电力企业中各类应用系统以及相应系统的操作复杂度逐年上升。原有的各类系统登录方式以及应用方式已经不能满足目前用户的工作需求ll】。根据国家电网“十一五”规划，实现建成SGl96信息工程[21。SGl86工程就是指一体化企业级信息集成平台；人力资源管理、财务(资金)管理、营销管理、协同办公管理、物资管理、安全生产管理、项目管理、综合管理等八大业务应用系统12】；标准规范体系、信息化安全防护体系、管理调控体系、技术研究体系、评价考核体系、人才队伍体系【3】等六个保障体系。那么，我们研究的单点登录课题就是与一体化平台有关，确切的说，单点登录系统是一体化企业级平台最重要的组成部分14】。其中，一体化企业级信息集成平台与各个系统有着紧密的联系【51。企业门户系统的建设必须体现“一体化企业级信息集成平台是八大核心应用系统的关键支撑”的作用。企业门户系统在整个SGl86工程中的总体定位为：企业门户系统是基于一体化企业级信息集成平台的“统一基础服务(即统一安全管理、统一目录服务)”的一个应用系统。企业门户系统是业务应用系统开发和平滑运行的支撑平台，为业务应用系统提供内容的统一的展现、发布、管理、与用户交互的统一平台同。八大业务系统成为电力企业稳定运行的信息保障，在电力企业的各个阶段都有着不可替代到的作用，然而，对于电网的信息系统而言，分属于不同的专业领域，他们互相之间都是单独的、不相关的业务系统，不能共享信息，有下列问题存在【7】：信息系统之间是相互独立的，它们在不同的时期开发设计，并分属于不同的专业．领域，系统之间无法相互访问，就更提不到信息共享；它们之间是没有整体性的概念、成为信息孤岛林立，整合度差的形式；业务流程稳固化，没有办法适应日新月异的工作流程；在使用各类系统时，员工会出现花费大量时间去管理和决策所需要的各类数据，为员工工作带来不便；由于现有很多工作都是多个系统相互协作完成的，不能够对业务进行及时准确地监控和预测。独立开发的系统无法实现多系统协作的工作。建设企业门户系统，是为各类业务系统提出一个平台的概念，各类业务系统都可接入到这个平台上，形成统一的规范及风格。这其中，与各类业务系统里的内容无关[71。单点登录是一体化平台的重要组成部分，门户账户在通过门户进行业务系统的访问时，只需登录一次，就可在门户与各类业务系统 基于portal技术的电力企业单点登录系统设计与实现之间访问。由于账户间已经携带认证，所以不需要重新返回登录界面【81。这样，可以解决工作中系统间重复切换重新登录的问题，根据用户现实情况，在不干扰、不破坏现有系统的基础上保证系统的可靠性、安全性。鉴于本人参与门户项目中的单点登录系统，于是将单点登录作为论文的研究课题。1．2课题研究的意义自从电力企业市场化改革以来，企业正面临着前所未有的信息压力管理，要增强服务意识，降低运营成本，并迫切需要消除其发展中的“信息孤岛，，-，使每一个应用程序既是是独立的，也可以在一起合理有效的工作，把各类不同的业务程序整合到一个完整的信息环境中18】。本文通过BEA平台基于Portal门户技术的开发单点登录系统，使企业员工不需要重复切换登录各类应用系统界面，通过单一渠道访问需要登录的系统。电力企业单点登录系统可以通过一个平台，实现各个业务系统之间的互操作并整合业务系统数据，单点登录系统的课题研究，对于改善企业内部资源、确保信息通畅，提高员工办公时间，加快运营市场化模式，增强电网安全运行等方面都具有重大意义【91。1．3本人主要工作及论文结构本人在电力企业单点登录项目中先后参与需求分析、数据采集、模型分析与处理等部分的设计开发工作。本论文也是按照以下章节进行编著：第一章：绪论。介绍论文研究的课题背景。阐述单点登录研究的意义。第二章：需求分析。介绍电力企业信息化建设的基本情况，对目前状况、系统目标、设计原则、实旅范围、系统架构及开发环境进行分析研究。解决电力企业现实用户实际问题。第三章：单点登录系统相关技术的研究。介绍单点登录相关技术，如：门户、portlet、LDAP等。第四章：单点登录系统的设计与实现。利用门户技术、BEA平台实现单点登录系统。第五章：单点登录系统测试。最后是结论与展望、参考文献及致谢。1．4本章小结本章主要介绍电力企业单点登录系统课题研究的背景、课题研究的意义及对 第一章绪论整片论文框架结构及主要工作介绍。提出“一体化企业级信息集成平台”这一概念。提出“基于portal技术的电力企业单点登录系统设计与实现”课题的重要性。 基于portal技术的电力企业单点登录系统设计与实现2．1Portal门户2．1．1Portal概念第二章单点登录系统相关技术的研究Ponal即为门户，它是通过Web应用程序，把各类不同的信息进行整理合并，为用户展现一个应用清单，这样，用户就可以很方便地对常用的应用程序进行访问f14】。Portal提供大量电子邮件、日历、协同工作、新闻等功能的综合门户应用程序，可以通过访问企业资源规划(ERP)，客户关系管理(CRM)和供应链管理(SCM)和其他的企业应用程序，提高工作效率。BEA的软件解决方案，使用开放的标准，提供门户应用程序编程接口(API)，一般可以很容易的做扩展基础设施计划¨5|。图2．1描述电力企业门户系统的构成图。2．1．2Portal的功能Portal拥有三个功能：图2-1电力企业门户系统图4 第二章单点登录系统相关技术的研究1．Portlet容器：什么是Portlct容器?事实上它和servlet容器很相像，它存放全部的portlet，掌握着portlet的T(生命周期)，并且为T提供需要的环境信息以及资源。Portlet容器处理portlets，对其进行初始化、销毁及发送请求合成响应等。2．内容聚集：聚集由各类portlet所应用生成的内容，是Portlct规范中规定portal的主要工作之一。3．公共服务：公共服务的产生是portlct服务器最重要的一个强项。在portlet规范要求中的，没有涵盖公共服务这项，而是为门户给予丰富的公共服务空间、内容，目的是为了使其不同于其他的竞争者1161。那么就公共服务中，有以下二个我们可以经常用到：(1)单次登录：当用户登录门户一次，无需再分别登录每一个应用，就可以访问其它所有的应用。比方说，只要我登录了我的门户网站，我就能访问为邮件应用、生产管理应用、安全管理应用以及协同办公应用等以及其它的应用，那么就不需要再分别单独登录上述应用程序界面。门户服务器会匹配一个认证，用户只需要在上述应用系统中设定一次登录信息，认证库会将登录信息以密文的形式存储。门户账户登录到门户网站，进行业务访问时，门户服务器会选取正确的认证，可以进入业务系统正常访问。其他业务系统同上。(2)个性化：按照用户的喜好及实用性来设置自己的f-jp界面框架、布局、板式、色彩等【⋯丌。2．13PortaI特点Portal有以下三个特点：1．Personalization(个性化)：用户可根据自己喜好和工作需要来定制适合自己的页面。2．Singlesignon(单点登陆)：一次登录后，可不用反复登录应用界面。3．Contentaggregation(内容聚合)：把内容聚合到统一的界面【1钔。2．1．4Portal技术现有门户Portal技术可分为以下四种：1．企业信息门户(EIP，EnterpriselnformationPortal)按照需求主题，把大量的信息内容进行组织，并依据组织的信息将用户关联起来。2．协作门户(CP，CollaborativePortal)建立项目虚拟的工作区域，为用户团队提供协同工具，并且辅助用户团队协同工作。 基于portal技术的电力企业单点登录系统设计与实现3．专业门户(EP，ExpertisePortals)将用户按照信息的需求，专业理论知识以及依其能力进行关联。4．知识门户(KP，KnowledgePortals)[19】。2．1．5Portal的优势Poaal与客户沟通合作更加紧密，提高生产效率，缩短工作的周期，使效益增加。根据信息流的体系结构，高效运作，进行更好的知识管理，使运营成本降低。通过获得更多的信息，在本地访问应用程序进行协同工作，提高生产效率，提高决策性19j。通过更优的安全性和单点登录，使用更少的密码管理，实现更好的用户体验。通过共同的表达和一致的用户界面，使培训feewith减少。使用Portal，可以快速构建高度可扩展的门户应用程序，简化和加速用户个性化信息的访问和应用。随着客户需求的增加，portal也可以扩展到提供更先进的门户应用程序。结合软件的集成协作，使其他的供应商扩展搜索系统及安全功能得到更好的展现，同时也提供对信息访问单点登录的安全性能。门户解决方案是提供应用集成、IT框架整合、文档管理及协作服务等架构。但是，微软的SharcPointPortalServer2003提供文件、内容管理和检索服务，不支持门户程序标准，难以通过集成门户网站程序，难以与其他安全系统集成，功能和性能取决于W'mdowsServer2003和MicrosoROffice2003，只提供有限的协作服务，难以支持企业客户的需求(并发用户的支持是受限于Windows系统)。在仔细的评估和研究之后，本人认为，BEAWebSpherePortal可以满足当前电力企业需求。因此采用BEAWebSpherePortal门户服务器作为企业门户单点登录系统的开发，本文中涉及到的门户技术主要是指BEAWebSpherePortal门户技术。2．1．6门户框架平台概述企业门户系统提供信息处理和展现的基础是业务应用系统存储的数据及处理的业务流程，业务应用系统的业务接入内容是企业门户系统中展现和处理的核心内容。因此企业门户系统需要因业务应用系统的接入提供有力的支撑平台口01。业务应用系统开发和运行的支撑平台就是企业门户系统框架平台。业务应用系统必须能够在企业门户系统中平滑的运行，是评价企业门户系统的最重要的标准。2．1．7框架平台基础功能“框架平台基础功能”是以portle为框架，并对ponlet容器进行创建、删除等，它包含单点登录、角色权限定制、门户维护与管理等功能，它是企业门户系统的 第二章单点登录系统相关技术的研究最基本需求，是组建企业门户系统的基本要素。企业门户系统的基本功能是虚拟门户、多渠道接入【211。2．2Portlet介绍Portlet是一种专为将合成页面里的内容聚集在一起而设计的Web组件，门户应用的开发实际上可以归结为一系列P0met的开发。pomet容器存放所有ponlet压缩成包的文件。Portlet框架：对作为页面组成基础模块和门户管理核心基础组件的Pottier的生成、修改、删除、共享，以及对Portlct属性的管理圈。门户将Portlet用作用户界面组件，这个用户界面组件为可插入式的，信息系统中用户界面组件可以提供表示层。Ponlet容器嵌入到任意的Portal，只要满足Pottier容器的条件。InvokerAPI为portlet容器的入口点，充当Portlet容器的主调用接口的角色。InvokerAPI将Pottier容器的init，destroy(生存周期)和initPage0，pefformTitle()，PortletService0(基于请求的调用方法)组合在一起。此外portal接入容器服务技术，可拆卸容器注册过的组建功能。2．3Beaweblogicportal1．BEAW．ebLogicPortalBEAWebLogicPortal包含的创新技术能够简化向门户用户交付新出现的Web2．0服务的过程。BEAWebLogicPortal利用以AJAX动态更新页面或portlet的表示框架，充实了门户应用，提供更丰富、具有更高响应性的体验。BEAWebLogicPortal还全面支持由AJAX实现的portlet间通信，改善Tportlet交互性，使portlet可以彼此通信。Web2．0的一个重要方面是应用聚合(mashup)的概念，它使网站或应用可以从多个来源聚合内容，提供一种集成化的体验。BEAWebLogiePortal包含了REST创建器(它基于BEA称为REST创建器的技术)，以实现与外部Web应用、新的聚合或其他门户共gportlet。这一简单的技术使服务组合更加易于使用，并能够比以往更快地加以部署，将WebLogiel7户的价值扩展到更广的业务范围，从而应对更多的IT挑战。为了向业务提供各种各样的门户，企业可以依靠BEAWebLogicPortal来简化定制的面向服务门户的生产和管理。2．统一的门户框架BEAWebLogicPortal提供了灵活、可扩展和可管理的基础。无论企业的运营需要部门门户、分布式门户网络，还是代表公司对外形象的单一门户，BEAWebLogicPortal都是一种有效的解决方案。灵活的部署架构是高效共享门户资源 基于portal技术的电力企业单点登录系统设计与实现和管理门户安全的理想选择。基于标准的门户联合支持跨门户和Web应用的分布式企业门户服务结构，它们能够简便地结合，这样企业可以更快地响应，并为门户用户提供更出色的体验。统一的用户简档使您可以访问驻留在分布式系统内的完整客户信息视图，并将外部数据源与在线和简单的目录访问协议(LDAP)数据结合起来。BEAAquaLogic@DataServicesPlatform的互操作能力，使你能够从企业内外的不同数据源访问、聚集和更新数据，并为业务用户提供定制的门户视图。与BEAAquaLogicBusinessProcessManagementSuite的集成，将支持门户用户浏览和审批对于每个门户用户和个人都十分重要的关键流程。BEAWebL09icPortal的表示服务充分利用了Web2．0AJAX技术，为客户、合作伙伴和员工提供丰富且响应性极高的门户体验。门户的桌面可以针对每个门户用户进行定制，通过定制的布局、外观和个人页面构成个性化视图。分级导航系统包括桌面、页面和工作簿，提供了灵活的门户导航功能。BEAWebLo酉c@Mobilityserve一为Web和移动访问提供统一的软件解决方案，为门户提供无线设备访问。3．门户生命周期管理为了加速门户交付，BEAWebLogicPortal为IT开发人员和门户管理人员提供工具。作为一种开发环境，BEAWebLogicPortal支持SOA，并结合TEclipse和ApacheBeehive等开放源技术。BEAWorkshopforWebLogicPlatform也支持统一的Java、门户、Web等Eclipse开发，以及面向服务的应用。Portlet向导丰富了门户开发流程，并简化了各种portlet的构建，这些portlet支持JavaServerFaees(JSF)、Spring、Struts、JSPNetUlPageFlow、JSR168和WebServicesforRemotePortlets(wsm,)等行业标准技术。在BEAWorkshopforWebLogicqb构建定制f-jp的资源。Portlet向导简化了"BEAWebLogicPortal的pomet构建伫31。BEAWebLogicPortal基于浏览器的工具，使门户管理者能够智能化地组装、配置和管理企业门户。门户管理工具为定制基于角色的管理提供粒度控制和管理任务的委托功能。基于角色的授权支持动态访问内容和门户资源，从而减少了人工管理。4．BEAWebLogicPortal基于浏览器的门户管理工具门户传播(propagation)以许多自动化的传播流程，简化了从开发到生产门户变化的迁移过程。通过与BEAAquaLogicServiceRegistry(服务注册器)的集成提供服务生命周期管理，该软件为服务的发现和决定提供了基于标准的机制。BEAAquaLogicServiceBus(服务总线)确保聚集在联合门户中的服务易于管理、监控并符合服务水平协议(SLA)的规定。开发模型将开发环境与应用运行时闻相结合，使开发人员将精力集中于门户应用而不是基础架构。此外，作为BEAWebLogicEnterprisePlatform啪一部分，BEAWebLogicPortal还采用了共享的安全模型，以 第二章单点登录系统相关技术的研究提供统一的、可利用现有投资的安全模式。5．门户业务服务BEAWebLogiePortal的业务服务，使企业可以逐步为门户用户增加定制的门户功能。预集成的业务服务还能够最大程度地减少项目风险，提供满足独特业务需求的灵活性。BEAWebLogicPortal业务服务提供内容管理、企业搜索、协作服务、交互管理、门户扩展五种：(1)内容管理，可以轻松地增加和管理多个知识库中的内容。(2)企业搜索，帮助访问者轻松的寻找所需的信息。(3)协作服务(包含一个构建定制社区的社区框架基础)，改善组织交互，提高生产力。(4)交互管理，提供定制的、基于规则的个性化，事件和行为追踪，以及通过与访问者交互实现业务目标的框架。(5)门户扩展。门户扩展增加了门户价值，为应对更多的企业挑战提供了解决方案。门户扩展包括跨所有BEA门户解决方案的公用服务。在线商业销售和服务集成的门户，提供关于客户和服务水平的集成化视图，有助于吸引客户，增加赢利。实时协作使门户成为一个虚拟的工作场所，支持团队随时随地共同工作。．NET集成简化了门户内现有微软．NET组件的重用[241。即将上市的fqP分析解决方案，不但简化了对于门户效率的了解，还简化了实现更大成功应该采取的行动。移动服务支持从移动设备访问门户，当信息发生变化时，无论用户身处何处，都可为其提供关键信息。表示层集成简化了门户内现有Web应用部件的聚合(mashup)，使新的服务组合产生价值。2．4单点登录单点登录(SingleSign-on)简称SSO，SSO(SingleSign-On)直译为一次登录，用户只使用一次用户名和口令，就可以访问所有的资源，这对系统管理和维护来说是非常重要的1211。单点登录有效地解决了用户使用网络时的多帐号、多密码、多次登录问题，方便了用户。当单点登录系统账户访问已关联到应用系统时，只需要在单点登录系统中登录一次就可以，不需要重复登录业务系统的登录界面，也不需要重复认证【25】。目前，单点登录也是现在比较流行的企业业务、数据整合的研究方案之一。一般来说，每一个独立的系统都会有着属于自己的身份认证系统和安全体系系统。在进行整合前，进入每一个独立的系统时，都需要进行登录，这不仅给管9 基于portal技术的电力企业单点登录系统设计与实现理上带来了很大的困难，还在安全方面也留下了重大隐患。用户在构建企业单点登录系统时，通常情况运用创建独立的认证平台方式，实现对用户账号的集中管理及用户操作上的权限控制、审计管理行为在统一的认证平台上，且用户仅通过一次登录，可以访问多个应用系统，这样不但用户可以得到更好体验，也简化开发应用系统的过程，管理消耗以及安全风险也随之降低。另外，使用单点登录也降低风险、提升安全性能，管理员也有好的办法，其中包含可以通过对用户进行删除、禁止、取消访问权限的操作，做到用户无法访问业务应用系统。访问单点登录系统的应用，事实上等于对用户身份验证添加另一种安全验证方式，也就是相应采用双重验证方式。对每个用户系统的口令密码信息加密存储在统一的数据库中，加强系统的安全性f26l。电力企业在其信息化建设过程中，建立了一系列基于网络的信息系统和协同办公系统、邮件服务系统、生产管理系统、财务管控系统、安全生产管理系统等业务应用系统，用户在进入各类业务应用系统每次都要进行身份认证，并且按照角色不同分配的权限也不同。用户要记忆各类业务应用系统的登录信息，导致系统不能统一登录认证及授权，不能统一对用户的业务应用系统操作进行分析等。为此相关文献提出“单点登录技术”这一课题[27,44-46】，单点登录技术可以解决上述问题。单点登录的一般模型是由三个部分组成的，分为用户、服务提供者及身份提供者。1．用户，是指通过浏览器，能够使用应用服务的一个单元。2．服务提供者，是指为用户进行具体应用服务的提供者。3．身份提供者，是指对用户进行身份验证的提供者。单点登录的工作流程主要有三个部分，分别为使用Web浏览器的用户、服务提供者和登录服务器。登录服务器提供用户的个人信息、认证信息，服务提供者通过登录服务器，在用户允许的情况下获取用户个人信息。简单的SSO的体系中，会有下面三种角色：User(多个)；Web应用(多个)：SSO认证中心(1个)。单点登录实现方式有统一LDAP验证集成、基于Portal系统LDAP的凭证保险库法、基于OA系统LDAP的凭证保险库法三种：1．统一验证LDAP的集成把业务系统的全部用户信息存放到一个LDAPJ]艮务器内，通过LDAP统一对系统的用户进行验证。它更是有助于用户及权限的管理，但也有缺点。假使该系统用户信息存放在不同平台的数据库，每个用户又分属于不同的组群，反而放在一起 第二章单点登录系统相关技术的研究不适于管理。2．基于Portal系统LDAP的凭证保险库法我们采用Portal系统独立存在的LDAP，由这个LDAP验证Portal系统用户的合法性，经过验证后，用户就登录进Portal系统。而后，在给定权限的portlet业务系统的用户，可以存储各种业务系统中用户的信息，门户系统将这些信息统一管理，然后自动检查各个业务系统的用户信息库，一经查实，门户系统可以展现业务系统的授权信息。我们通常在portlet插A--个iframe，用户访问各类业务系统的授权信息是通过Portlet的iffame[2引。3．基于oA系统LDAP的凭证保险库法：与第二种方法相似，不过相比较之更简单。DominoOA系统它拥有自己一套LDAP，我们不必再为Portal仓J建LDAP服务器，但是有些复杂的是，当使用Portal系统时，即便不用OA系统，OA也要求是开启的。其他方面可采用方法二冽。2．5目录服务技术和轻量级目录访问协议(LDAP)目录服务技术是根据命名在该用户的资源描述以及特定的业务范围，将通信管理化繁为简，用户能够很方便的搜索信息，能够有助于管理人员收纳、管理分布在公司内部的资源。通过检索资源名称130】，可以快速搜索、定位资源名称，这与资源的具体位置无关，只要获取信息资源就可以。LDAP是LightweightDirectoryAccessProtocol英文缩写，中文含义为轻量目录访问协议【311。在RFC中有定义它的核心规范，它是基于X．500标准的，但与X．500不同，现实应用中LDAP更比X．500较为实用和简单。LDAP是用来进入访问的信息协议，而这个信息协议存储在信息目录(也就是LDAP目录)中。LDAP一开始设计运行在TCP／IP协议上，是目录服务在TCP／IP上的实现，因此LDAP对Intemet访问支持要远优于一般的关系型数据犁321。对于LDAP这样一种协议来说，它可以比作一个地址记录簿，根据不同用户的要求，发布LDAP信息到很多资源13引。LDAP是一个更高层次关系数据库的抽象层次，与SQL查询语言等的关系数据库属于同一级别。LDAP最基本的方式就是一个连接数据库的标准方式。LDAP数据库相比其他数据库查询更加快速，可以很快得到查询结果134J。LDAP的应用可以快速选择各个应用系统，利用分布式数据库的特征，即树叶式结构，方便进行基于门户技术的单点登录系统设计。现在，LDAP在企业内得到广泛的应用，它几乎可以在任何系统平台上操作。LDAP不分种类存放着信息资源【35l。例如：EMAIL地址，安全生产数据，公共信息，财务帐套及各类配置信息。系统整合的主要构成部分就是LDAP目录，它可以将在 基于portal技术的电力企业单点登录系统设计与实现公司内部程序的检索过程化繁为简，进而大大增强企业信息系统的效率。门户的单点登录配置的实现，将用户需要的信息存储在LDAP目录服务。LDAP目录服务负责用户注册表管理。当用户在登录门户，门户服务器验证相应用户的LDAP目录服务器。目录服务根据树状形式的信息组织，是一种实现信息管理和服务接口方法目录服务系统由两部分构成，一是分布式数据库，二是数据库。目录服务与关系数据库有所差别，目录只作容易方便的操作，可大批量的查找简单业务、信息；关系型数据库做复杂繁琐的操作，不适合批量查找业务、信息。目录拥有复制功能，这样，可以缩短响应时间，增强两可行，即可靠性、可用性。现在，国际上对于目录服务技术的标准有早期的X．500以及近年发展迅速的LDAP标准两种恻。1．X．500它其实是由多个协议组成的协议族，而不是单个协议。它分为以下的协议：X．501协议的重点在于目录服务概念和基本模型；X．509协议，确定鉴权是怎样在X．500中对目录服务器及客户进行认证；X．51l协议通过X．500协议给予功能性的服务；协议X。518定义了在分布式操作的进程中，进行几台服务器共同处理的目录服务；X．520协议是用来确定属性类型工作的协议；X．525协议时用来做复制工作。复制在目录服务器间的内容。2．LDAP目录访问标准。同样，LDAPV3协议也是协议族。主要有以下协议：RFC2251，RFC2252，RFC2253，RFC2254，RFC2255，RFC2256，RFC2829，RFC2830，RFC1823，RFC2847。其中，RFC2251是LDAPV3的核心协议。在上述协议中，对LDAP目录服务的主要内容以及信息模型进行全方位的涵盖，定义在LDAP目录的字符集和信息样式，描述目录信息(定义对象类，语法规则和模式匹配的属性)；作为一个命名空间：确定用DN和RDN的形式命名互联网的模式：功能模型：允许在通信协议的操作，这些操作在客户端API接口的信息执行：安全框架：确保目录信息的安全性、匿名性。通过结合TLS方式，进行SASL，口令认证等操作；分布式模式：分布式操作框架基于Referral；LDAP扩展框架：U)AP的可扩展框架基于控制和扩展操作。LDAP四种方式构成体系结构，分为信息、命名、功能、安全等四个模型结构。1．信息模型：阐述LDAP信息存在形式。在LDAP根据树状方式构建信息，同面向对象定义相似，条目是树状信息的基本单位。对象类都拥有多个条目。每个对象类由几个属性类型共同构成，他们有继承的特性，有着自己的制度及规则。 第二章单点登录系统相关技术的研究操作中必须提供属性值，这些属性值是对象类型所需要的，它能够对应不止一个值。在建立条目前，需要对所拥有属性的对象类进行定义。2．命名模型：LDAP中的命名模型，既是LDAP中的条目定位方式。它阐述LDAP中的数据是怎样构建。LDAP的每个条目都含有DN、RDN。条目在整个树中仅有的名称标识就是DN，条目在父节点下的唯一名称标识是RDN，就像文件系统，DN就是含有路径的文件名【281。3．功能模型：在LDAP中，阐述数据操作的访问是功能模型的主要任务口9】。LDAP功能模型分为更新类、查询类、放弃操作和扩展操作等四类操作。其中这四类操作中细分为lO种操作。功能模型就是进行数据操作的访问。比如修改、搜索、绑定等。在这些操作中，除扩展操作，其他9种都是是LDAP的基础操作。LDAP在新添功能操作时用到扩展操作，不同的开发商都有这方面功能的需求【19】。4．安全模型：定义安全行为。LDAP安全模型有访问控制、口令认证及安全通道【19】。那么口令认证分为匿名、SASL(SimpleAuthenticationandSecureLayer)和基本认证。LDAP提供了一种基于SSL厂rLS通信安全。啪启动TLS服务通过STARTTLS，可以提供信息安全性的通信；可以根据对TLS业务强制客户端证书进行认证，这样，可以实现服务器和客户端的身份认同的相互认证。LDAP目前没有访问控制标准，但LDAP访问控制是非常灵活的、丰富的，在LDAP访问控制策略是基于访问控制，它不同于现有的应用系统及关系数据库系统，它的实现是基于访问控制列表。在开发的同时，关系数据库利用多个数据库账号进行访问。构建单独的账户表，可以依据不同的账户进行控制幽】。所以一旦访问控制策略的变化，通常需要改变代码。总之，用户数据管理和数据库的数据库访问识别中的应用是分裂的，应用实现复杂的数据访问控制。然而LDAP中，不用考虑访问控制的实现，账户信息管理与访问是关联的。这是因为LDAP语句的访问是基于策略语句的，均是与这些对象在树中的位置和对象本身的数据特征相关，无论数据对象访问控制的访问控制，或主要的对象是数据。LDAP作为控制对象对所有条目、目录有关的或通过某个条件过滤的条目进行授权；进行授权对于授权主体(属于特定组、特定用户所有目录用户)；并且，也可以为一个特定的位置(域名或D地址)访问。LDAP的优势有跨平台、经济实用、复制技术、允许使用ACI四点：1．跨平台。在任何计算机平台上都可用，是LDAP的最大优势，越来越多的LDAP客户端访问LDAP目录，它使用方便，是跨平台协议，几乎支持所有的应用程序，所以不需要考虑放在什么类型的服务器上【131。 基于portal技术的电力企业单点登录系统设计与实现事实上，由于LDAP是一个互联网标准，在得到广大业界的认可，厂商愿意受到LDAP的支持，他们不用费心去想另一端是什么。可以是一个源也可以是一个商业LDAP目录服务器，这是由于使用的是同一个协议，查询命令以及客户端软件与LDAP服务器进行交互【14】。如果是其他协议，每个数据库就会特别订制集成。2。经济实用。LDAP不像关系型数据库那样，费用及维护没有那么多。不需要为连接到LDAP的每一个客户端许可付费。对于LDAP服务安装起来也相对简单，维护起来也很方便。3．复制技术。LDA-P服务器可以复制全部或部分数据，通过用“推”或“拉”的方法。比方说：为了增强数据的安全性，我们把数据“推”到想要到达的部门。LDAP服务器中的复制技术很方便配置，它有着内置的性能【15】。若是在关系型数据库中使用同样的复制方式，首先是很难与管理，再次就是开发数据库厂商会支付高额的费用。4．允许使用ACI。允许使用ACI(一般称为ACL或访问控制列表)来控制数据的写入和读取权限。ACI通过是基于对数据的访问，访问任何数据，都由LDAP目录服务器操作完成，数据与其他数据的访问【161，不需要考虑是否执行在客户端应用程序中的安全检查。LDAP有一个强大的安全模型，这是它与关系数据库很显著的一个差别。它的安全架构主要根据访问控制、口令认证和安全通道。LDAP的访问控制机制是非常灵活的，丰富的，这是根据访问控制列表ACL来实现。此外，这是与关系数据库系统的不同，数据库系统通常架构师用户组或基于角色访问控制【35】。LDAP有三种认证形式，分别为匿名认证，简单认证和SAML(简单认证和安全层)认证。1．匿名认证。当在完全信息披露的条件下使用的身份验证机制，用户不需要提供任何用户信息。2．简单认证。即为简单的密码和口令认证。简单认证即为提供一个用户名和密码的用户标识。3．SAML认证。即为安全层认证。它是根据SSL、TLS的一种数字认证方式旧。2．6J2EE及JSPJ2EE是Java2PlatformEnterpriseEdition的简称，也就是Java2平台企业版【361。J2EE以一组技术规范与指南为核心，包括服务架构、各类组件及技术层次，他们有共同的规格和标准，因此不同平台之间，也都可以很好的兼容。这样，解决过去企业使用信息产品后，彼此不能兼容的问题，解决企业内、外之间不能互通的14 第二章单点登录系统相关技术的研究处境。J2EE搭建商务系统，使其具有可伸缩、灵活、易维护等的特性，提供了优良的机制，相比其他语言有以下优势：1．现有保留的IT资产。鉴于企业需要适合新的商业需求。企业信息系统方面的投资可以利用，那么重新制定全盘方案就变得很重要。这样，一个以渐进的(而不是激进的，全盘否定的)方式建立在已有系统之上的服务器端平台机制是公司所需求的。J2EE架构可以充分利用用户原有的投资，如一些公司使用的BEATuxedo、ⅢMCICS、IBMEncina、InpriseVisiBroker以及NetscapeApplicationServer。其实大体是这样的，J2EE供应商有着很多的行业内信息支撑，客户都要求供应商提供不需舍弃现有资源的方法，J2EE提供了解决办法。由于J2EE平台不限制硬件环境，这样原有供应商的产品就可以J2EE平台自由工作，使得原有硬件环境得以保存，为客户节约成本1371。2．开发耗时小。通过第三方供应商完成复杂的服务端业务，J2EE开发人员可以专注于如何创建的自己的业务，这样做减少开发耗时【38】。第三方开发商拥有状态管理服务、连续性服务、分布式共享数据对象缓存服务等的中间件服务。状态管理服务，开发者可以进行很少的编码，不用担心状态怎样，耗时更少地结束工作；连续性服务，让开发人员可直接编写应用程序，不用通过对数据的访问逻辑进行编码，使得业务程序非常方便维护以及开发；分布式共享数据对象【39】的缓存服务，系统允许开发高性能，大大提高了总体部署。3．异构环境的支持。J2EE应用程序不特定限制在某一操作系统、硬件环境，开发、部署可携带程序在异构环境中【391。所以，基于J2EE程序一旦部署到各种平台上，它的开发设计很合理。这对于异构企业环境非常重要。J2EE标准也允许与J2EE第三方的现有的组件进行兼容，在异构环境中部署节省计划成本。4．可扩展性。企业必须选择一个服务器平台，该平台可以满足商业运行在他们的系统上的新客户，为他们提供良好的可扩展性。为了清除系统中的木桶效应，J2EE有着负载平衡方法，使多个服务器可以整合在一起，来解决问题。在J2EE平台上几乎可以部署到任意软件、硬件环境。拥有可扩展性，对今后信息发展有着重要的影响140J。5．良好的稳定性。任何服务器端平台都要求能够每天24小时运转来满足客户需求。由于互联网是广泛的、全球化的，即便是在夜晚，哪怕是有计划的停机，也会产生严重后果。如果是非计划内宕机，会产生更严重的结果。J2EE平台稳定的运行环境，要求具备长期可用性。在Windows环境下的J2EE部署，对于客户来说，鲁棒性越好，操作系统的性能越好，例如SunSolaris、IBMOS／390。拥有最 基于portal技术的电力企业单点登录系统设计与实现佳鲁棒性的操作系统【411，可以实现可用性在99．999％或者一年五分钟的停机时问。对于选择理想的业务系统来说，这是一个强大的实时性能。JSP是javaserverpage的简称，它是一种动态技术标准，由SunMicrosystems公司倡导、许多公司参与一起建立而成的。JSP网页java程序片段是在传统的网页HTML文件(·．htm，*．html)中加入Java程序片段(Scripflet)和JSP标签构成。Javaserverpage的任务与Servlet的任务相同，都是编程生成Web内容，但是Javaserverpage使用不同的开发范例。Servlct通过编写Java类来创建，而Javaserverpage则使用类是于HTML的语法来创建，这不同于MicrosoR的活动服务页面(ActiveServerPageAsp)技术。它的工作过程是这样的，当Web网站服务端接到要求登录JSP页面命令时，运行指令，并将运行结果和JSP文件中的HTML代码被共同返回给客户端【42】。插入的Java程序段可应用到数据库、网页的重新定向等，以实现构成动态网页所必须拥有的功能。同样，动态网站所必须拥有的功能被建立起来。所有程序在Web网站服务器端执行操作，这样，结果在客户端都显示出来。极大的降低了客户端对浏览器的技术需求标准，即便客户端浏览器不支持Java，访问者依然可以访问JSP网页。JSP有以下5个优势：1．当一次编写后，可在网页内随处运行。除了各类系统的不同之外，代码不用做任何更改。2．系统的多平台使用。可以在任意环境所有平台上开发，在任意状况下进行系统部署，在任意环境中扩展。3．可伸缩性强大。从一个Jar文件到由多台服务器进行集群运行的ServleffJSP，进行Application事务处理、消息处理，一台服务器至多台台服务器之中，Java都能运用其中。4．开发工具多样化和功能强大的支持。Java有许多非常好的开发工具，并而部分可以免费获得，很多可以畅通完好的运行于多种平台之中。5．支持服务器端组件。JSP利用自身J越，ABEANS组建实现实现复杂功能的组件供web页面调用，来增强系统性能。此外，JSP还有九大内置对象。Session对象是九大内置对象之一，在这里，我们重点介绍下session对象，session对象指的是客户端与服务器的一次会话，从客户端连到服务器的一个WebApplication开始，直到客户端与服务器断开连接为止。Session即会话，当客户访问服务器打开浏览器时起，到客户离开服务器关闭浏览器为止，称为一个会话。当客户进入服务器时，也许会在服务器的几个页面之问来回连接，反复刷新页面，这个客户就会被服务器通过某种办法告知，这时16 第二章单点登录系统相关技术的研究就需要session对象。Session对象的lD，在客户第一次进入服务器上的JSP页面时，JSP引擎制作一个session对象，并且分配一个ID号，这个ID号是String类型。JSP引擎把ID号发送给客户端，存放在网络中的Cookie里，就这样session对象与客户之间建立一一对应的关联。客户第二次访问进入同一服务器的其他页面时，不再发送给客户新的session对象，一直到浏览器被客户关闭后，这个客户在服务器端的session对象才被取消，session对象与客户之间建立一一对应的关联也会相应取消。当客户新打开浏览器再连接到上一服务器时，服务器还会为客户重新创建一个新的session对象。2．7XMLXML，为可扩展标记语言(ExtensibleMarkupLanguage，XML)。主要为标记性语言，使电子文件拥有结构化的标记，是允许用户定义自己标记语言的源语言，可以对定义数据类型、数据进行标记，XML适合于Web传输。它提供描述、交换应用程序结构化数据的统一方法。XML相比其他数据库如Access、Oracle及SQLServer等大不相同。它们拥有更高的分析功能和数据存储功能。比如像排序、数据索引、查找等，但是对于XML来说，它只是存储数据。XML优点就是它的表现形式非常简单，这也是与其他的数据表现形式不同的地方。XML与HTML的设计区别是：XML的核心是数据，其重点是数据的内容。而HTML被设计用来显示数据，其重点是数据的显示。XML和HTML语法区别：H刑L的标记不是所有的都需要成对出现，XML则要求所有的标记必须成对出现；HTML标记不区分大小写，XML则大小敏感，即区分大小写。XML可以在任何应用程序中进行写、读数据，这是由于它的简单性决定的，这使XML很快成为数据交换的唯一公共语言。XML再次对SGML的一些内部值、参数进行定义，增强SGML用户友好性，删除很多基本上不常用的功能，由于这些复杂的功能，在网站设计时，显得很繁琐。XML保留了SGML的结构化功能，这样就使得网站设计者可以定义自己的文档类型，XML同时也推出一种新型文档类型，使得开发者也可以不必定义文档类型。‘2．8本章小结本章主要是为实现单点登录系统进行相关技术的研究，介绍门户、Pottlet、单点登录、LDAP轻量级目录访问协议、J2EE、JSP、XML等概念及选择它们作为开17 基于portal技术的电力企业单点登录系统设计与实现发技术的优势114】。在本章中，介绍实现单点登录系统所涉及的相关技术，为下一步开发设计工作做基础准备。18 第三章需求分析3．1目前状况目前，电力系统信息化建设由很多信息系统组成，主要由财务(资金)管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理及邮件等应用系统构成，且这些系统都是基于B／S03rowser／Servcr)的结构，即用户通过访问浏览器进入应用系统工作【9】。财务管理系统。通过财务管理系统，员工进行单位财务报销、结账、出纳等工作管理。营销管理系统。通过营销管理系统，员工可进行营业厅销售电量，窗口服务等工作。安全生产管理系统。通过安全生产管理系统，员工可进行生产方面的工作、比如开展安全生产工作票等作业。协同办公系统。通过协同办公系统，单位人员可以处理各种日常办公。人力资源系统。通过人力资源系统，进行人事调配、工资做表、员工社会保险、养老统筹等工作。物资管理系统。通过物资管理系统。进行物资购买、入库、调配、分发等工作。项目管理系统。通过项目管理系统。员工进行工程项目的开工、竣工工作。综合管理系统。通过综合管理系统，员工进行办公用品、车辆调配等工作。邮件系统。通过邮件系统，单位员工可以发送、接受电子邮件。员工在日常工作中，经常同时访问不同的业务系统，各个系统是相互独立分开的，企业员工在浏览不同业务系统时，往往反复切换登录，这样做操作繁琐，浪费时间。何况当系统较多时，会出现遗忘账号、密码等现象。如果企业员工用同一个用户名、同一个密码，多系统使用的方法操作，又降低安全性，这样，需要大量的计算机管理人员分别维护、管理各个应用系统用户信息。因此，我们这里提出建立一个安全、可靠地单点登录系统1101。具体员工与各类应用系统对应关系见图3．1。19 基于portal技术的电力企业单点登录系统设计与实现财务都员工营销部员工安全监察都员工基层生产单位员工人力瓷源部员工物资部员工生产部项目员工综合服务部员工图3-1员工与应用系统对应关系图然而，各业务应用系统又是彼此相互独立，用户在进入不一样的应用系统时需要单独登录应用系统【111。同时，用户需要在各系统间反复登录、登出操作，操作较繁琐。面对多系统，用户名或密码时有遗忘现象存在，这样对安全性存在隐患，也需要更多的计算机维护人员，维护系统[121。需要快速地获得相关业务信息并加以分析利用。确保各类业务系统不受到干扰，建立安全顺畅的网络环境。3．2系统目标鉴于现有情况，电力企业希望通过开发建立单点登录系统，为企业员工建立 第三章需求分析统一的信息访问、集成平台。使企业员工只需要登录一次，就可以访问需要的不同业务系统，并且要求单点登录系统具有安全性，提供统一的信息认证入口，具有易用性、稳定性的特性。为企业员工节省重复切换各类应用系统时间，简化繁琐操作，提高企业员工的办公效率‘121。3．3单点登录实际功能需求单点登录作为企业门户核心的基础功能之一。用户无需再重复记忆各业务应用系统用户名密码，避免用户重复登录问题，提高员工工作效率【l3|。因此，针对该功能的应用，提出如下要求：1．业务应用的单点登录接入应基于目录服务实现。2．实现接入的业务系统，需关闭原业务系统登录入口，要求用户必须在登录企业门户系统后，通过单点登录功能进入需访问的业务应用。3．公司统一推广的业务应用，必须实现单点登录接入，且需按下图3．2中的图标与系统进行对应展示。对于公司自主研发的业务应用系统，各单位可依据自身实际业务需求，进行选择性的接入。其中直属单位，可根据业务应用实际推广执行情况，进行接入。序号业务柚誊t■纛序号盘套葺澜名囊、■蠢1．1甜惨14Il主力熏翳蘧上营销营理@lS农也管理潦3．营销辅垴决婊霞16市计管理国4’蜜全虹赞蛙17纪峻管理慧5．盗产嚣理凰JS般济法律固&班嚣住曾理倦19心急管理黪7静同舡盛茂20人资茜托黪冀．搦投标参2I时赫管栉妇夸．投璜计划西22葵建管扮奄10．练☆计划醚∞散掘巾心是11．生产统计垦24蠹网邮什浏12．I嗣断舟伟§M项f】蘸期管理络3．远羊!I!墒训茹261姑伯崽i监管甲白酸图3-2图标与系统对应在用户登录过程中，身份验证由目录服务器完成。系统整合的关键也就在于可以由一处进行单点登录，并在登录成功后进行资源的共享。其中业务流程简单2l 基于portal技术的电力企业单点登录系统设计与实现描述如下。1．用户由个人PC终端通过局域网访问门户系统的首页。2。用户在平台首页输入用户名和密码登录到门户系统。3．用户登录应用系统。4。身份验证被发送至目录服务器处，即把该用户名和密码通过统一的加密转换，与服务中进行比对。5．如果存在，则验证成功，返回验证成功的结果；如果比对不成功，则不允许该用户登录到应用系统中。操作其中的相应功能，进而操作数据库服务器中的相应数据。3．4开发环境开发架构：J2EE数据库：LDAP3．0门户中间件：BEAWebLogicPortal9．2浏览器；MicrosoftIntemetExplore7．0以上3．s本章小结本章主要为需求分析阶段。介绍目前电力系统信息状况。提出以通过开发建立单点登录系统，主要是以八大应用系统的接入，为企业员工建立统一的信息访问及集成平台为目标。介绍单点登录系统目前状况、系统目标、实际功能需求、开发环境等。本章明确需求分析，为接下来的工作做好开发设计基础。 第四章单点登录系统的设计与实现4．1功能设计本文主要是基于BEAWebLogicPortal9．2平台、LADP数据库和J2EE语言开发设计实现单点登录功能。用户登录到企业门户系统后通过门户访问受保护的业务应用系统时只需登录一次，就可在门户与各类业务系统之间访问。由于账户间已经携带认证，所以不需要重新返回登录界面。由于接入SSO的应用系统都是现有正在运行使用的系统，这些系统要求不能有较大的程序改动，鉴于此要求单点登录系统设计遵循以下原则：1．对已有的应用系统尽量不作改造。2．不限制待接入系统的开发工具。3．不增加待开发系统的开发难度。单点登录系统的实现范围为分以下三点：1．单点登录系统不涉及统一目录服务的建设。2．单点登录系统只适用于B／S结构应用系统，不适用C／S结构应用系统。3．单点登录系统不涉及分布式部署。单点登录系统架构如下：单点登录系统主要包括用户关联库单点登录控制中心，所有的业务系统接入请求发送到单点登录控制中心，控制中心将验证分析请求数据并进行处理，最后根据验证结果进行访问。单点登录系统体系结构如图禾1所示。从图4．1可以看出，用户管理平台与单点登录控制中心有一定的独立性，单点登录控制中心只需要启动服务请求到用户管理平台，采集和分析结果，不需要涉及更多的系统。单点登录系统与企业门户系统和各业务应用系统的逻辑层次结构如图4．2所示。 基于portal技术的电力全些兰盛鍪茎墨丝堡生皇塞垫一———————————_-—————_———_—————————————————————●—————————————————一。寒／融＼]岛图4-1单点登录系统体系结构图图4-2逻辑层次结构图 第四章单点登录系统的设计与实现根据上述功能定义，进行功能模块的划分。分为单点登录控制中心和用户关联管理：。1．单点登录控制中心(1)单点登录系统的登录：对单点登录系统完成转向、控制，以及各个应用系统的登录。(2)维护应用系统Scssion会话：对已经登录的各个应用系统与登录门户会话的维护。(3)单点登录系统的注销：当从门户登出时，对所有访问单点登录的各个系统进行注销，完成门户登出。2．用户关联管理用户关联管理是对接入单点登录系统的各个应业务用系统与门户账户之间的关联进行管理维护。在用户在登录门户系统进入单点登录后，第一次访问时，需要输入正确的认证信息，信息核实正确后，方可进入单点登录系统，访问其他应用系统。如果修改认证信息后，再次访问时需输入修改后的正确认证信息，方能进入单点登录系统，访问接入的应用系统。在当用户登出门户时，也将注销单点登录中的各个应用系统。4．2数据库设计就目前状态，电力企业预接入的业务系统都已存在着自己的一套用户库，账户名、密码口令、用户数目各不相同。要是将已经使用的用户库整合在一起是不现实的。因此，本文通过使用分布式数据库LDAP，将各个接入单点登录的系统用户与单点登录系统用户进行映射关系，实现单点登录账号管理接入应用系统的宗旨。1．单点登录各个应用系统信息SSO_APPxx，描述应用系统登录、注销等信息，见下表4．1。 基于portal技术的电力企业单点登录系统设计与实现表4-1单点登录各应用系统信息SSO_Appxx。字段名字段代码类型是否备注主键为空应用系统DApplD、，ARCHAR2Y应用系统编号(50)应用系统登App_LoginURLⅥ％RCHAR2N应用系统登录地录URL(50)址应用系统注AppLogoutURLⅥ气RCHAR2N应用系统注销地销URL(50)址应用系统登App_LoginForm_User愀‘捌R2N表单中的用户名录页面FORMname(50)字段的用户名段应用系统登App_LoginForm_Pass、，ARCHAR2N表单中的用户密录页面FORMword(50)码字段的密码字段应用系统会App_Session__Timeout、，ARCHAR2N应用系统会话超话超时时间(10)时时间应用系统登App_LoginFormPara、，ARCHAR2N多个参数名，中录页面其它Names(200)间以：分隔参数名应用系统认App_LoginError_Key嗽(捌MR2N标识认证错误页证错误后返(50)面的关键字信回页面的关息，如不存在用键字信息户、密码错误等备注RBM[ARKⅥ瞰HAR2NY(1000)2．映射信息SSO_UserMap记录用户的一一对应关系，见下表4-2。 第四章单点登录系统的设计与实现表4-2用户映射信息SSQUserMap字段名字段代码类型是否是否为各注主键空用户DUserIDVARCHAR2YNPortal的用户ID(50)应用系统DApplD脚f：黝曰2Y应用系统编号(50)应用系统用App_UserID缴C泓R2N应用系统用户D户D(50)应用系统用App_UserPWD撇倒矗2N应用系统用户密户密码(50)码应用系统登AppLoginFor、，ARCHAR2N多个参数值，中间录页面其他m_ParaValues(200)以：分隔参数值备注REM魄RK、，ARCHAR2NY(1000)4—3。3．SS0_AppID应用系统代码，描述应用系统名称和应用系统ID的关系，见下表表4-3-应用系统代码SSOAppID字段名字段代码类型是否主键是否为空备注应用系统DAppDVARCHAR2(50)Y应用系统编号Appname应用系统名称VARCHAR2(50)N应用系统名称备注REM魄RKVARCHAR2NY(1000)4．数据库中各个接口定义：27 基于portal技术的电力企业单点登录系统设计与实现单点登录应用系统，检索应用系统与门户的关联信息和应用信息，并生成隐式表单提交。接口定义见表4-4。表44loginSSOApp处理检索门户用户与应用系统的关联信息和应用系统的登录信息，生成登录表单隐式提交，单点登录应用系统输入参数名称描述数据类型Associate门户用户D与应用系统关联关系AssociateApplication单点登录关联应用系统信息Application输出参数名称描述数据类型Result三种情况：Stag1．成功登录单点登录系统，登录到关联的应用系统2．单点登录失败，关联应用系统失败，没有创建关联，立即跳转进入登录页面，再次录入登录用户名及密码，再一次登录；3．单点登录失败，关联应用系统失败，更改了应用系统的关联，立即跳转进入到修改登录信息页面，再次录入登录用户名及密码，再一次登录。刷新应用系统的会话接口定义，见表4．5表4-5刷新应用系统的会话表re台eshSSOAppSession处理刷新应用系统的会话输入参数名称描述数据类型App_ID应用系统DString输出参数名称描述数据类型无 第四章单点登录系统的设计与实现刷新所有应用系统的会话，接口定义见表4—6。表4-6昂4新所有应用系统的会话表re骶shAllssoAppsSesskIn处理刷新所有应用系统的会话输入参数名称描述数据类型Applicationlist已登录的应用系统IistApplicafiong}j"象列表输出参数名称描述数据类型无创建门户账号与应用系统账号的关联，接口定义见表4．7。表4．7创建用户关联表addAssociate处理创建门户账号与应用系统账号的关联输入参数名称描述数据类型User口D门户用户账号StringAppID应用系统Ⅲ，单点登录系统管理员S自dng分配给各应用系统App_UserlD应用系统用户DStringApp_UserPWD应用系统用户密码StringAppLoginForm_Para应用系统登录页面所需要的其他参StringValues数值，中间以；分隔REMARK描述信息String输出参数名称描述数据类型返回结构为xxxxxxxx，前部分为是否成功String0：失败，1：成功，后部分为消息信息。删除门户用户账号与应用系统账号的关联，接口定义见表4．8。 基于portal技术的电力企业单点登录系统设计与实现表4-8删除用户关联表deleteAssociate处理删除门户用户账号与应用系统账号的关联输入参数名称描述数据类型UserID门户用户账号StringAppID．应用系统m，由单点登录系统String管理员分配给各应用系统输出参数名称描述数据类型返回结构为XXXXXXXX，前部分为是晰ng否成功O：失败，1：成功，后部分为消息信息。修改门户用户账号与应用系统账号的关联，接口定义见表4．9表4-9修改用户关联updateAssociate处理修改门户用户账号与应用系统账号的关联输入参数名称描述数据类型UserlD门户用户账号StringAppID单点登录系统管理员分配给各应用String系统应用系统mApp_UserlD更改完成后的应用系统用户DStringApp-UserPWD更改完成后的应用系统用户密码StagApp_LoginForm_Para更改完成后的应用系统登录页面所StringValues要求的其他参数值，中间以；分隔RE]MARK描述信息String输出参数名称描述数据类型返回结构为xxxxxxxx,前部分为是否成功String0：失败，1：成功，后部分为消息信息。30 第四章单点登录系统的设计与实现获取帐号与单个应用系统帐号关联，接口定义见表4-10。表4．10获取帐号与单个应用系统帐号关联表gctAssociate处理获取门户用户账号与单个应用系统账号的关联输入参数名称描述数据类型UserIDf-]p用户账号S仃iIlgAppID应用系统m，由单点登录系统String管理员分配给各应用系统输出参数名称描述数据类型Associate返回Associate类的关联对象Associate获取门户用户账号所有的关联，接口定义见表4．11。表4·11获取门户帐号所有的关联表getAllAssociates处理获取门户用户账号所有的关联输入参数名称描述数据类型UserlD门户用户账号s缸ing输出参数名称描述数据类型Associatelist返回Associate对象的列表List根据条件查询门户用户帐号关联，接口定义见表4—12。 基于portal技术的电力企业单点登录系统设计与实现表4-12根据条件查询门户用户帐号关联表queryAssoeiate．处理根据条件查询门户用户帐号关联输入参数名称描述数据类型UserlD门户用户账号StringApplD应用系统D，由单点登录系统string管理员分配给各应用系统App_UserlD更改后的应用系统用户DStringApp_UserPWD更改后的应用系统用户密码StringApp_LoginFormPara更改后的应用系统登录页面StringValues所需要的其它参数值，中间以：分隔RE】ⅥARK描述信息String输出参数名称描述数据类型Associatelist返回Assoeiate萍j"象的列表List获得用户已经单点登录的所有应用系统，接口定义见表4．13。表4一13获得用户已经单点登录的所有应用系统表getAllLoginedSSOApp处理获得用户已经单点登录的所有应用系统输入参数名称描述数据类型UserlD门户用户IDString输出参数名称描述数据类型Associatelist返回用户已单点登录的应用LiSt系统列表，Applieation对象的列表注销单个应用系统，接口定义见表4一1432 第四章单点登录系统的设计与实现表4-14注销单个应用系统表logoutSSOApp处理注销单个应用系统输入，参数名称描述数据类型AppD应用系统D，由单点登录系统String管理员分配给各应用系统Apl?_LogoutURL应用系统注销URLString输出参数名称描述数据类型返回结构为xxxxx,x．xx,前部分为是String否成功O：失败。l：成功，后部分为消息信息。注销所有已登录应用系统，接口定义见表4．15表4-15注销所有已登录应用系统logoutAIISSOApps处理注销所有已登录应用系统输入参数名称描述数据类型Applieationlist已登录的应用系统listApplication对象列表输出参数名称描述数据类型返回结构为xxxxxxxx,前部分为是String否成功O：失败，1：成功。后部分为消息信息。对于应用系统信息维护方面，单点登录系统首先必须配置应用系统的登录信息，然后实现单点登录系统。单点登录系统，需要维护的系统信息有添加信息、修改信息、删除信息、查询信息等操作。添加应用系统信息，接口定义见表4．16。 基于portal技术的电力企业单点登录系统设计与实现表4·16添加应用系统信息表addSSOApp处理创建应用系统单点登录信息输入参数名称描述数据类型Appm应用系统D，由单点登录系统String管理员分配给各应用系统App_Lo舀nURL应用系统登录URLStringApp_LogoutURL应用系统注销URLStringApp_LoginForm_User应用系统登录页面中FORMStringname的用户名字段AppLoginFormPass应用系统登录页面中FORMStringword的密码字段App_SessioILTimeout应用系统会话超时时间SIJingApp_LoginForm_Para应用系统登录页面所需要的StringNames其它参数名，中间以；分隔RE】ⅥARK描述信息String输出参数名称描述数据类型返回结构为xxxxxxxx,前部分为是否成功0：失败l：成功，后部分为消息信息。删除应用系统信息，接口定义见表4．17。表4一17删除应用系统信息表deleteSSOApp处理删除应用系统单点登录信息输入参数名称描述数据类型ApplD应用系统D，由单点登录系统管理员分String配给各应用系统输出参数名称描述数据类型返回结构为xxxxxxxx,前部分为是否成功O：String失败，1：成功，后部分为消息信息。 第四章单点登录系统的设计与实现获取所有应用系统单点登录信息，接口定义见表4．18。表4-18获取所有应用系统单点登录信息getAllAssociates处理获取所有应用系统单点登录信息输入参数名称描述数据类型无输出参数名称描述数据类型Applicationlist返回Application对象的列表liSt根据条件查询应用系统单点登录信息，接口定义见表4-19表4—19根据条件查询应用系统单点登录信息qucryAssociate处理根据条件查询应用系统单点登录信息输入参数名称描述数据类型AppID应用系统D，由单点登录系统String管理员分配给各应用系统App_LoginURL应用系统登录URLStringAppLogoutURL应用系统注销IJluStringApp_LoginFormUser应用系统登录页面中FORMStringnalne的用户名字段App_LoginForm_Pass应用系统登录页面中FORMStringword的密码字段App_Session_Timeout应用系统会话超时时间StringApp_LoginForm_Para应用系统登录页面所需要的StringNames其它参数名，中间以；分隔RE]MARK描述信息String输出参数名称描述数据类型Applicationlist返[]Applieation对象的列表list 基于portal技术的电力企业单点登录系统设计与实现4．3系统身份认证安全方面的设计一般来说，提供应用集群单点登录入口的企业门户系统所带的目录服务系统应该承担起统一身份认证的功能。如果集成外部身份、认证、登录产品，企业门户系统首先作为一个单独应用与其它各应用系统共用身份、认证、登录产品提供的统一用户管理和身份认证管理的功能，其次门户系统作为各应用单点登录的入口或直接通过单点登录获取各应用数据进行展现。“身份、认证、登录”专题的典型设计是站在整个国家电网公司的高度，基于成熟的第三方软件产品，对国家电网公司本部、各网省公司总部及下级单位进行统一目录服务、统一用户管理、单点登录的跨域认证等问题进行方案设计，并提出信息横、纵向跨域交互时因产品不同而进行的整合方案。企业门户系统典型设计为避免重复，将对基于门户平台软件自身提供的功能实现身份、认证、登录的解决方案进行设计，并重点关注“企业门户系统”与“身份、认证、登录”之间存在的关系。网省电力公司如果使用成熟的第三方身份、认证、登录的软件产品，将会与企业门户系统发生如下关系：l、企业门户系统作为一个新建应用，在建设初始，用户从统一目录服务中获取，目录服务提供统一的用户管理。统一目录服务属于企业所有应用系统的统一基础服务，统一目录服务对各新建应用系统(企业门户系统也作为一个应用系统)统一提供的用户管理。2、企业门户系统作为使用统一目录服务、统一认证体系的一个应用系统，用户应通过‘‘身份、认证、登录”的代理服务器登录到企业门户系统。3、用户从企业门户系统中通过单点登录，无重复认证的访问权限内的本单位各应用系统，或基于业务逻辑，通过链接直接定位到应用系统的某项功能处理页面。4、企业门户系统中定制Portlet，获取当前用户在其它应用系统中的权限内的数据(如获取当前用户的未读邮件个数)。5、在本单位企业门户系统中基于业务逻辑，通过链接跨域访问部署在上级、下级、同级单位的企业门户系统中的数据(如通过省级门户中某项业务数据访问相关联的下级单位的同类业务数据)。4．4f-j户分级授权设计从统一目录服务和单点登录同步过来的用户在企业门户系统内部需要实现分36 第四章单点登录系统的设计与实现级的权限控制与管理。企业门户系统内部的分级权限控制可以采用基于用户组的授权、基于规则的授权和委托管理的方式来完成，也可以采用这几种方式组合来最终完成企业门户系统的分级权限控制。例如，系统为不同用户针对不同的业务部门创建一个角色实例，由于不同部门的角色不一样，不同部门的员工登录至JJPortal后会被导引到与它所在部门角色相一致的门户实例，从而实现权限控制。见图4—3。图4-3分级授权图在授权上，门户负责维护自身粗粒度(桌面级、Page级、Portlet级)的系统权限管理，而与业务强相关的细粒度(按钮级)权限控制则由后台的业务系统自身进行维护和管理。门户只作为与用户的展现层交互，而不处理与业务相关的授权控制。1．基于用户组的授权一般来说，门户架构提供了主要的访问控制和客户化途径，它基于用户组成员资格，由管理员分配固定的Portlet子集和门户页面属性实现。为了定义组用户可访问的Portlet子集和门户页面，管理员创建了组门户。实际上，组门户就是该组的门户视图。这种典型的、基于组的访问控制被许多门户产品所采用。特别适用于用户组结构不经常变化的情形，对于Portlet和页面的访问可以准确地映射到用户组。但是在下列情形，这种基于组的访问控制存在不足：对Portlet或页面访问依赖于一组复杂条件，而非简单的组成员资格；对Portlet 基于portal技术的电力企业单点登录系统设计与实现或页面访问需要随着用户档案的变化动态改变，而无需管理员参与。基于组的访问控制在内部员If]户上运行良好。这时，组对应于部门，并且每个部门所访问的Portlet子集足够稳定。另外，在一个外网合作伙伴门户，访问Portlet或页面可能是合作伙伴业务关系的一个功能，可能动态变化，此时采用基于规则的授权就比较合适。2．基于规则的授权在Portal中基于规则的授权以可陈述的业务规则方式表达。在传统的基于组或基于角色的访问控制中，组内的用户或角色同管理员同时出现。而在基于规则的授权中，拥有授权的业务规则变成为可自证明的业务政策，由它来决定用户能否通过Portlct或门户页面访问门户的内容。基于规则的授权包含三个要素：(1)待访问的资源，如Portlet或门户页面。(2)访问该资源的能力，如Portlet是可见的或可编辑的。(3)决定用户拥有权限的业务规则，称为授权片段(EntitlementSegment)。下面的标准可用于定义授权片段：(1)访问者特征(档案属性)(2)H1]曙会话和请求特征(3)时间(天数、日期、两个时间(或日期)之间的时间段)下表4-20总结了通过基于规则的授权能够对门户页面或Portlet所控制的能力。表4-20控制的能力表资源能力描述可见Protlet是否在页面上可见protlet可编辑Protl吐编辑框是否可访问可删除门户访问者是否将protlet从页面删除可见．Proffer是否在页面上可见门户页面可删除门户访问者是否能将页面从页面集中删除基于规则的授权代表了系统级的对规则的特定使用方式。授权适用于特定的门户资源一一Portlet和门户页面，而不是站点上的任意内容和区域。 第四章单点登录系统的设计与实现4．5功能实现用户在企业门户系统中的注册用户帐号，然后对原有的帐号进行一一绑定，并管理注册和绑定的信息。在绑定的过程，需要在控制中心提供一个认证，对应用系统服务器端认证应用系统提供的原有帐号和密码，绑定完成，用户在访问门户时，就会进入相应的应用系统，实现单点登录过程。1．单点登录系统登录实现(1)首次访问用户首次通过单点登录访问控制中心进入应用系统，用户输入相应的认证信息(用户名／密码)到单点登录控制中心，认证信息通过单点登录控制中心发送给应用系统进行检查，检查正确后，方可访问应用系统。见图4．4首次访问流程图。g熠产输入虚雕幕糖的认谶精意删户盘德秘蔼参山e诞向斑用摹蜿挺交谈证黼的硼司卜朋～呲鳓睑醒⋯蝴⋯确’一巷竽⋯一一(翦讽涟信息与当盼登址耀声莲联镞存捌角声-瞥飘库)山0台馥式登陆皮嘲系司图4-4首次访问流程图(2)帐号关联建立后访问应用系统39 基于pozml技术的电力企业单点登录系统设计与实现建立应用系统和门户的用户帐户之间的关联后，用户再通过单点登录访问控制中心应用系统对用户管理平台发送的门户标志，检验门户帐户和应用系统帐户之间是否有关系，如果没有需要让用户输入相应的认证信息(用户名和密码)，单点登录控制中心将认证信息发送给应用系统进行认证，检查正确后，方可进入访问应用系统。见图4．5帐号关联建立后访问应用系统流程图。图4-5帐号关联建立后访闯应用系统流程图(3)应用系统修改帐号信息后访问应用系统当应用系统与单点登录系统建立关联后，用户已修改应用系统的认证信息(比如：密码等)，那么用户在用原来的认证信息访问系统时，登录就会报错，并且登录失败。这样，只有输入修改后的认证信息，修改原有的用户关联，才能正常登录应用系统。2．维护应用系统Session会话实现Sesmon对象是文中提至tJJSP内置对象之一。它是客户端与服务器的一次会话，从客户端连到服务器的一个WebApplication开始，直到客户端与服务器断开连接为40 第四章单点登录系统的设计与实现止。Session即会话，当从客户访问服务器打开浏览器起，到客户离开服务器关闭浏览器为止，称为一个会话。当客户进入服务器时，也许会在服务器的几个页面之间来回连接，反复刷新页面，这个客户就会被服务器通过某种办法告知，这时就需要session对象。Session对象的ID，在客户第一次进入服务器上的JSP页面时，JSP弓I擎制作一个session对象，并且分配一个ID号，这个ID号是String类型。JSP引擎把ID号发送给客户端，存放在网络中的Cookie里，就这样session对象与客户之间建立一一对应的关联。客户第二次访问进入同--N务器的其他页面时，不再发送给客户新的session对象，一直到浏览器被客户关闭后，这个客户在服务器端的session对象才被取消，session对象与客户之间建立一一对应的关联也会相应取消。这样，单点登录用户在登录系统后，首先检测当前访问的会话Session存在否，如若不存在，需要新创建会话Session；若是存在会话Session，那么则继续用原有的会话Session访问各个应用系统，进行工作。如图4．6检测当前访问应用系统的Session流程图。图4-6检测当前访问应用系统的Session流程图为防止应用系统的会话超时，应定时检测各应用系统的Session会话超时时间，采用刷新已登录的应用系统的Session会话，来检测登录应用系统是否会话超时。见图4．7。41 基于portal技术的电力企业单点登录系统设计与实现图4．7定时检测Session超时流程图3．用户关联管理用户关联管理提供门户帐号与各应用系统的关联维护功能。有创建用户关联、删除用户关联、修改用户关联等管理。用户关联管理流程图见图4．8。其中创建用户关联有以下四个步骤：(1)当用户关联管理服务接收到用户发出帐号关联请求时，用户关联管理提供了单点登录的用户标识，同时提供了可以在该应用系统中使用的用户信息(可能包含用户名和密码等)。(2)应用系统收到服务的征询，征询用户信息是否是合法的。若合法则响应服务。(3)若收到合法响应，那么服务就将账号关联的信息存储到用户关联库中，在用户登录单点控制中心进入应用系统后，可以使用相应的账号在应用系统中工作。 第四章单点登录系统的设计与实现(4)用户关联库需保持操作后，这样，创建关联完成。用户关联删除：对于用户关联的删除，主要是在用户关联管理中进行。应用系统把用户在相应的应用系统中删除用户账号，在统一的用户数据库中，用户需要删除关联关系。修改用户关联：用户在应用系统中对应的帐号信息(如用户名／密码)在被应用系统修改后，如果用户登录单点登录系统进行访问业务系统时，用户关联库查找到修改后的认证，返回给认证系统，页面会出现密码口令等用户信息不正确的情况。系统会跳到重新登录页面，在输入修改后的用户信息后，成功登录相应应用系统。图4-8用户关联管理流程图4．单点登录的注销单点登录系统的注销功能与单点登录系统的登录功能是相反的，这个是在单点登录控制中心中提到过的。用户从单点登录接入的各个系统中登出注销，随后进行门户登出操作。用户在进行单点登录注销时，系统首先在系统标识列表中查找单点登录要注销的业务应用系统标识，查找到业务应用系统标识后，与数据库43 基于portal技术的电力企业单点登录系统设计与实现中的应用系统进行比对注销地址，一一对应后，方可进行注销操作。见图4．9。图4-9单点注销流程图(1)单点登录的注销开始于Portal：(2)单点注销模块。查找各个应用系统的单点注销登出地址，控制中心根据注销登出地址把注销信息发送到应用系统后，等待应用系统接收到注销登出信息，做出反应，完成应用系统的登出注销操作。(3)注销Portal上的用户会话记录。4．5分级授权的实现BEAWebLogicPortal的分级授权主要通过授权段定义工具、授权指派工具、授权的实现三个步骤来完成。 第四章单点登录系统的设计与实现1．授权段定义工具授权片段规则是使用浏览器中一个模块来进行定义的。下图4．10显示了该模块的一幅屏幕快照图。一旦定义了基本的授权规则，它们就以XML格式是文件存储，并作为应用部署过程的一部分部署到服务器上。图4．10授权片段屏幕快照图2．授权指派工具随着授权片段定义被部署到服务器上，基于浏览器的门户管理工具就可以看见这些定义。管理员利用基于浏览器的工具将这些定义指定给Portlet或门户页面。下图4-11显示了如何对适用的授权片段cmetUser进行权限设置。对于BookmarkPortlet，片段中Everyone(普通用户)可以显示、编辑，最大化，但不可以删除和最小化。45 基于portal技术的电力企业单点登录系统设计与实现图4．11对适用的授权片段cmetUser进行权限设置图3．授权的实现正如在其它地方所描述的那样，BEAWebLogicPortal能够进行基于规则的个性化设置。一般来说，基于规则的个性化设置采用规则引擎动态决定用户在授权片段内是基于用户档案属性、请求或会话属性，还是基于时间元素。基于这些决定，内容才向用户显示。开发人员利用WebLogicPortal提供的诸如占位符或内容选择器标记等JsP标记来指定网站上显示的个性化内容的区域。另外，BEAWeblogicPortal的授权适用于特定的门户资源Portlet和门户页面，而不是站点上的任意内容和区域。授权完全由管理工具控制，无需JSP开发人员参与。4．5．1分级授权的功能规范系统的分级授权采用基于用户组、基于规则的授权和委托管理结合的方式，其实现的工具根据采用的Portal工具的不同而不同，但具体的功能应当包括以下这几部分。1．下级单位分级授权给下级单位设置管理员，方便一级单位管理更多的下级单位。上级用户可以把整个下级单位的维护管理等权限一次性下放给下级单位的管理人员。2．应用分级授权管理员对下级管理员进行具体的权限的设置，同时管理员也可以栏目为线索分配给用户具体的权限。 第四章单点登录系统的设计与实现3．授权代理系统使用人员或管理员将自己所拥有的企业门户权限委托给另外的用户。委托可以是一个用户对一个用户，一个用户对一组用户，也可以是一组用户对一组用户。4．6基于角色权限定制个性化在企业门户单点登录系统中实现个性化的最常用方法就是通过用户与角色权限管理的关联。用户与角色权限的关联也是最基本的个性化方法。企业门户系统一般有多层管理员，每层管理员有不同的工作职责和权限。例如有普通、高级、组等不同层的管理员机构。管理员们通过角色权限的不同实现自己的不同于他人的设置：按照每层管理员角色的差别，对用户或用户组根据不同的级别，进行设定，包括对于页面、用户以及Portlet应用的访问权限，当访问单点登录系统时，根据不同人员的访问权限不同，所看到的内容也是不同的。如人力资源部门的普通职员进入人力资源门户首先看到人力资源的页面应用，但看不到有关人力资源里的汇总数据报表页面。用户可以根据个性化的基础上，进行角色权限、网站资源的定制。对于门户网站的资源来说，可以比作一个容器，例如桌面、书籍、网站页面或Portlet。可以迸行资源的选择，角色的组件管理，查看、最小化、最大化及编辑等的作用功能管理，可以根据门户资源类型，进行管理功能如下表4．20。表4-20门户资源类型表查看最小化最大化编辑桌面X书籍X页面XportletX比如，若有一个Executive(执行)面板页，该页面应该只由公司领导浏览，那么您可以选择Executive面板页，选择“Executive”角色，再后选择‘'View(浏览)”功能。这样就可以指导系统只对已分配了‘'Executive”角色的用户显示Executive执行面板。没有角色授权的账户不能看见此页面内容。根据资源类型的功能，有三种角色分配方式：1．为单一用户进行角色权限分配；2．为用户组进行角色权限分配；3．根据用户属性动态地将角色分配给用户，创建角色表达式。按照以上方法，用户权限按照角色分配，为实现个性化的定制，使得角色与 基于portal技术的电力企业单点登录系统设计与实现门户资源权限关联。我们拿“人力资源部员工”的角色举例，通过将查看角色权限应用到绑定该角色的人力资源部的BenefitsPortlet，将“人力资源部员工”的角色表达分配给配置文件包含Location=“人力资源部and职称高于经济师”属性的员工账号。这样，来自人力资源部并且职称高于经济师的员工才能看见此Portlet。这样，实现人力资源员工用户的个性化定制。4．7实现结果展示1．当用户登录门户页面时，单击“用户登录”字样界面，进入单点登录系统，见图4—12。-锦州薅部迅l-强化管理扭-严格《安规j-帅军庚到公j-公司开展垒jIn恩宝登省公司本部bgn舄鬣嚣p-镩州势部：菲刻吸取事故款讲筑草春检安全f03-15i·鞍山分部：检修三班开晨主题安全活动{03-14l-办公室：明确劳工台力推进全面并展“母3-1《-变电中心：“小板撮犬作用”职代台精神103—14；．关于开曩廉政风险点排查活动的通知·关于参加国象电网公司春季安全丈检查电视电．关于规范外请培谢师的通知·关于做好{2013年员工学习手册》、《2图4．12单点登录系统登录界面2．弹出用户登录网页，需输入用户名、密码进行单点登录，以作者本人账户为例，输入用户名及密码，见图4．13。露、矬一§ 第四章单点登录系统的设计与实现图4．13输入用户名、密码登录图3．进入单点登录平台界面后，在个人定制中，显示该账户所关联的所有应用系统，如图4—14。4．若想访问单点登录系统中的各应用系统，下面我们以邮件系统为例子，点击“内网邮件”字样，进入访问邮件系统界面，如图4．15。Ⅱ宁鲁电力鲁融公可～壶博l景叫标准化管理i女。鬟喜溲l主毫一覆频益|佰且景主；il祸平音’妇!图4—14单点登录平台界面49 基于portal技术的电力企业单点登录系统设计与实现4．8本章小结图4．15进入邮件界面图在本章中，主要介绍电力企业单点登录系统设计与实现。文章分成功能设计、数据库设计、功能实现、分级授权的实现、基于角色权限定制个性化等方面进行阐述设计与实现。最后是实现结果展示，主要是用户登录，成功进入关联系统，这里以邮件系统为例。 第五章单点登录系统测试5．1测试环境服务器硬件环境：Intel(R)Xeon(R)2．OGHz以上、内存4G以上、硬盘剩余空间200GB以上。服务器软件环境：Windows2003操作系统。客户机硬件环境：Intel(R)Core22．0GHz以上、内存2G以上、硬盘剩余空间80GB以上。客户机软件环境：WindowsXP操作系统以上。5．2测试用例开发测试用例开发的目的是对单点登录进行测试和验证，同时对将目前已经存在的应用系统整合到信息门户进行测试和验证，保证信息门户的良好运行，从而满足使用者提出的需求。测试用例计划的预期对象是门户管理人员、开发管理人员、关键用户等。测试用例采用单机测试，主要检测多系统的单点登录和对目前已经存在的系统进行信息整合两个方面。1．目标本系统的测试用例设计最终将要实现集成开发环境在正式发布前的检测和验证，保障该系统的稳定、准确的运行，确保该系统使用时的安全性和通用性。2．测试过程(1)布署集成开发环境的一些必要的操作。(2)配置单点登录服务器以及单点登录数据库。(3)将现有邮件系统整合进入信息门户。3．测试环境在实现单点登录及系统集成之前，登录现有应用当中的每个业务应用系统都需要输入对应的用户名以及口令。访问当前多个应用系统时j界面不统一。在实现单点登录和系统集成之后，在进入任一系统时，用户都会被重定向到单点登录服务器，并要求提供统一的用户名和相应口令，登录成功后显示统一界面。4．测试方法使用以用户文档为基础构造的测试用例来测试程序和数据。5．中文符合性如表5．1所示。 基于portal技术的电力企业单点登录系统设计与实现表5．1测试中文符合性用例表序号测试内容测试方法预期测试结果l界面中文符合性检查软件界面是否使用简体中界面使用统一的简文。体中文。2字库中文符合性软件无自带中文字库。免测。6．用户界面如表5．2所示。表5-2测试用户界面用例表序号测试内容测试方法预期测试结果在软件的测试运行中检查界光标可以正确定位到输1界面输入面输入是否正常。入域。输入数据有效，输入顺序合理。在软件的测试运行中检查界在1024．768分辨率下，2界面显示面显示是否正常。，界面显示正常。在软件的测试运行中检查界界面文字与提示表达清3界面文字与提示面文字与提示的表达是否清晰，无错误和模糊语义。晰，有无错误和模糊语义。5．3测试门户系统使用单点登录应用之前，用户在登录各个业务系统时需要提供对应该系统的用户名和口令，登录多个系统，需要提供多个不同的口令。使用单点登录之后，用户在登录多个系统的时候都会被重新定向到统一的登录界面，并且提供统一的用户名和口令进行登录，从此不必记忆繁多的用户口令。用户在使用信息门户之前，登录之后看见的页面不统一、不友好。使用门户技术之后，用户登陆成功后，显示给用户的是统一的界面风格和统一的布局，并能按照用户个人需要任意更改控件排列与界面风格。52 第五章单点登录系统测试1．场景说明将一个现有系统加入到当前门户当中，模拟对已知目标地址进行强行访问。2．具体的单点登录样例将被测试的业务应用系统加入到当前门户当中，并将生成的证书配置到服务端和客户端，实现对系统的安全验证。(1)生成服务端证书通过J2EE虚拟机所提供的工具生成服务端证书，并将该证书保存在服务端。(2)生成客户端证书根据上一步生成的服务端证书创建客户端证书。(3)安装服务端证书在服务器上安装服务端证书，并对服务端证书的安装进行测试。在此过程当中要注意虚拟机的配置。因为在客户端可能存在多个虚拟机，一定要将证书绑定到当前Web服务所应用的虚拟机，否则证书不能提供校验用户的功能。(4)安装客户端证书在客户端安装证书，在证书的安装过程当中依旧要注意虚拟机的配置，错误的虚拟机配置将不能提供证书校验功能。(5)在服务器上部署业务应用将业务应用部署在Web服务器的容器文件夹，并重新启动服务器，该业务应用将自动部署在服务器上。(6)通过地址访问保护资源在浏览器当中输入只有登录成功之后才可以访问的保护资源。如果当前用户登录并成功取得了安全证书，则可以直接访问。如果当前用户为非法用户或者未通过登录验证的用户，则直接将该用户的登录请求重新跳转到目录服务器所提供的单点登录系统登录页面，用户再次进行登录以及验证。3．接口测试在项目的集成阶段，主要进行了接口测试。接口测试主要对项目中每个模块之间的接口以及本系统相关的接口进行测试。以邮件系统为例，具体测试用例如表5—3所示。本项目中也严格进行了系统中每个模块之间接口的测试，相互跳转以及参数传递等过程均得到了上百次的测试，及时发现了相关问题并得以解决。 基于portal技术的电力企业单点登录系统设计与实现表5—3单点登录功能测试用例用例名称单点登录功能测试基本描述用户登录系统，记录不同用户登录系统的结果。测试方案分别使用合法用户名、不合法用户名、具有邮箱帐户用户名以及不具有邮箱帐户用户名进行登录系统，查看登录结果是否合格。输入数据1．以合法用户名进行登录。2．以不合法用户名进行登录。3．以具有邮箱帐户用户名进行登录。4．以不具有邮箱帐户用户名进行登录。预期结果1．可以进行登录操作。2．不可以进行登录操作，返回登录页面强制重新输入用户名密码。3．登录成功，返回HomePage首页。4．登录不成功，返回登录页面请求重新输入用户名密码。实际结果与预期结果完全相同。4．测试结果以邮件系统为例，当对受保护页面进行访问的时候，用户的浏览器被重定向到目录服务器的登录页面，表明测试结果正确。5．4本章小结在本章中，主要介绍电力企业单点登录测试。通过测试环境、测试用例开发、测试门户系统等方面进行测试阐述。最终以邮件系统为例，得出测试结果正确结论。 结论与展望本文中电力企业单点登录系统的设计与实现，是基于国家电网公司“十一五”信息发展规划，建设SGl86工程为背景，考虑到电力企业各类应用系统纷繁复杂的登录模式，将以B／S结构的应用系统整合到一起，安全的、统一到一个登录模式。电力企业的业务规模越来越大，企业内数据量及数据种类也是越来越多，这也使得电力企业中各类应用系统以及相应系统的操作复杂度逐年上升。各类应用系统纷繁复杂，用户在每每登录不同应用系统时，反复切换登录所需各类应用系统的界面。这样，原有的各类系统登录方式以及应用方式已经不能满足目前用户的工作需求，所以，对目前应用系统的登录进行整合管理，单点登录系统课题的研究有着重大的意义。本文按照五个章节进行对基于门户的电力企业单点登录系统的设计与实现工作。在第一章中，介绍单点登录课题研究背景，阐述根据国家电网公司“十一五”信息发展规划，国家电网公司正在实施信息化建设工程(SGl86工程)为背景，开发一体化企业级信息集成平台中单点登录系统部分。其中，企业门户系统的建设必须体现“一体化企业级信息集成平台是八大核心应用系统的关键支撑”的作用。在第二章中，主要为需求分析阶段。介绍目前电力系统信息状况，主要由八大应用系统构成，财务(资金)管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理及邮件等业务系统构成，且这些系统都是基于B／S(Browser／Server)的结构，即用户通过访问浏览器进入应用系统工作。提出以通过开发建立单点登录系统，为企业员工建立统一的信息访问、集成平台为目标。使企业员工只需要登录一次，就可以访问需要的不同业务系统，并且要求单点登录系统具有安全性，提供统一的信息认证入口，具有易用性、稳定性的特性。为企业员工节省重复切换各类应用系统时间，简化繁琐操作，提高企业员工的办公效率。以对已有的应用系统尽量不作改造，不限制待接入系统的开发工具，不增加待开发系统的开发难度为设计原则。介绍单点登录是以不涉及统一目录服务的建设、适用于B／S结构应用系统、不涉及分布式部署为实现范围；单点登录控制中心接收到各类应用系统的接入请求，将验证分析请求数据并进行处理，最后根据验证结果进行访问为系统架构；以J2EE开发语言，LDAP3．0数据库，BEAWebLogicPortal9．2门户中间件为开发环境。在第三章中，主要是研究实现单点登录系统进行相关技术，介绍门户、Portlet、单点登录、LDAP轻量级目录访问协议概念。其中，在门户技术中，提到选择portalportal的优势、门户框架平台定义及框架平台基础功能。在介绍Portlet中，提出Portlet是一种专为将合成页面 基于portal技术的电力企业单点登录系统设计与实现里的内容聚集在一起而设计的Web组件，门户应用的开发实际上可以归结为一系列Portlet的开发的理念。介绍单点登录功能为企业门户核心的基础功能之一。用户无需再重复记忆各业务应用系统用户名密码，避免用户重复登录问题，提高员工工作效率。为实现这一功能，做出三条要求。分别为业务应用的单点登录接入应基于目录服务实现：实现接入的业务系统，需关闭原业务系统登录入口，要求用户必须在登录企业门户系统后，通过单点登录功能进入需访问的业务应用；公司统一推广的业务应用，必须实现单点登录接入。并标注有图标与系统对应表，更详尽的列出单点登录系统里，图标的对应关系。最后介绍的是LDAP轻量级目录访问协议，它利用分布式数据库特性，树叶式结构，因此LDAP对Interaet访问支持要远优于一般的关系型数据库。在第四章中，在本章中，主要介绍电力企业单点登录系统设计与实现。文章分成模块划分、应用情况、技术方案、portlet开发及实现结果展示等方面阐述内容。模块划分方面，单点登录控制中心和用户关联维护。其中，单点登录控制中心主要为单点登录系统的登录、应用系统会话(session)的维护、单点登录的注销。单点登录系统的登录，主要实现转向、控制，以及各个应用系统的自动登录等环节。应用系统会话(session)的维护，是对已经登录的各个应用系统与登录门户会话时间的维护。单点登录的注销，是从门户登出时，对所有访问单点登录的各个系统进行注销，完成门户登出。设计方案分为数据库设计、功能实现、应用系统信息维护、基于角色权限定制个性化等。在设计数据库方面，就像前文提到的，就目前状态，电力企业预接入的业务系统都已存在着自己的一套用户库，账户名、密码口令、用户数目各不相同。要是将已经使用的用户库整合在一起是不现实的。因此，本文通过使用分布式数据库LDAP，将各个接入应用系统的账户与单点登录系统账户进行一一对应关系，从而能够实现单点登录账号管理接入应用系统的宗旨。在后面，以邮件系统为例，正确进入用户登录，成功进入关联的应用系统中。经过测试，系统运行稳定、权限设置清晰、明确，很好地完成对现有应用系统的整合。目前电力企业信息门户的建设还存在一些问题，已完成的单点登录系统只是限于a／s结构的应用系统接入，但是一些基于c／s结构的应用系统还没有整合到信息门户中，把C／s结构的应用系统纳入企业信息门户中，是本系统未来需要重点解决的问题。 参考文献[1】辛丽娟．电力企业信息门户设计与实现．电子科技大学硕士论文，2010【2】戢彬．省级电力公司门户系统设计与实现．电子科技大学硕士论文，2011[3】张华．信息化支撑电力行业变革．信息方略，2009【4】孔凡祥，陈泉志．基于“SGl86工程”的农电信息化发展机遇研究．中国电力教育，2010【5】高磊，肖建飞，范俊杰，胡州明．企业门户与目录系统的研究与应用．电力信息化，2011【6】毕睿华．电力系统基于W．cb服务的信息集成平台及其安全性的研究．东南大学硕士论文，2007[7]秦龙，杨伟燕．河南省电力公司虚拟门户的建设与应用．企业家天地下半月刊(理论版)，2009【8】张明．山东电力集团公司信息门户系统分析与设计．山东大学硕士论文。2007【9】王楠．沈阳供电公司企业信息门户系统的设计与实现，东北大学硕士论文，2009110]刘永亮，张卫红，周骏．基于LDAP的校园网统一身份认证的设计叨．计算机与数字工程，2008，(4)：116—118【ll】杜娟，何正国．多系统用户单点登录系统解决方案．科技资讯，2006【12】杨艳春．通用E—LEARNING教育平台PORTAL的设计与实现．山东大学硕士论文，2006[13】杨燕，面向异构目录服务簇的HVVDS系统体系结构研究与实现．华东师范大学硕士论文，2011【14】王雷．校园信息系统统一认证及安全保护的研究与实现．苏州大学，2012【15】邸俊英．基于J2EE平台在线银行系统的实现．哈尔滨理工大学硕士论文。2007【16】赵琨．身份管理系统与企业信息系统的集成与应用研究．上海交通大学硕士论文，2008【17】孙健伟．基于LDAP的统一认证系统的研究与实现．西北大学硕士论文。2007【18】李爱华．统一身份认证系统以及身份认证应用模型的研究和实现．东南大学硕士论文，2007【19】陈鹏．集成SNMP和LDAP一体的IPv6流媒体应用网络管理平台设计与实现．天津大学硕士论文，2009 基于portal技术的电力企业单点登录系统设计与实现f20]何军霞．信息化价值与公司发展．2011年全国电力企业信息化大会，2011[2l】许文娟．基于URP思想的高校人力资源管理系统的设计与实现．同济大学软件学院，2009【22】黄美东．基于LDAP与Kerberos协议的统一认证系统研究与设计．上海交通大学硕士论文，2009【23】李想．基于知识管理的信息门户的研究与应用．2007信息通信网技术业务发展研讨会，2007【24】王婧婧，于鸿漪，阎涛．电力企业实体门户的建设与应用．2009年电力行业信息化年会论文集，2009[25】余霞．数字电视综合业务管理系统．天津大学硕士论文．2009[26】章少强．电力企业管理信息系统tM]．中国电力出版社会，1998【27】杨燕，面向异构目录服务簇的HVVDS系统体系结构研究与实现．华东师范大学硕士论文。2010[28】郑辉．基于LDAP的统一身份认证目录服务系统研究与设计．电子科技大学硕士论文，2009【29]杜娟．LDAP及其在PKI系统中的实现与应用研究．中国科学院研究生院(软件研究所)硕士论文，201l【30】刘晓韬．目录服务中LDAP的基本模型．中国计算机用户，2003【3l】蔡振山．基于LDAP的数据交换引擎系统的设计与实现．天津大学硕士论文．200902】谢飚．基于LDAP的校园网统一身份认证系统研究和实践．合肥工业大学硕士论文．2010[33】刘春光．基于JavaEE的动态生成业务应用平台设计与实现．湖南大学硕士论文，2010【34】靳辉．安全分布式应用系统的研究与开发．天津大学硕士论文，2007【35】唐豫昕．扩展的Struts框架的应用和研究．天津大学硕士论文，2009[36】莫志勇．吉林大学远程教育教学管理系统二次开发——教务管理平台．吉林大学硕士论文．2012[37】李晓薇．基于J2EE架构业务支撑系统管理的原理与实现．南京邮电大学硕士论文，2012【38】王淑云．基于B／S模式的在线考试系统的设计与实现．福建广播电视大学学报，2009【39】李国勇．基于SAML集中认证的研究及其在数字化校园中的实现．重庆大学 参考文献硕士论文，2009【40】周莹．门户网站安全性之单点登录技术研究与实现．东北大学，2007【41】何泓．SGl86现代信息技术对电网系统的影响．福建电脑，2010【42】李焕哲，刘晓亮，郭大权，王凡，曹强，马书敏．J2EE体系结构探讨．河北省科学院学报，2009【43]KeesvanderSluijs，Geert-JanHoubell．ExploitingUserTagstoBuildaSemanticCulturalHeritagePortal，IEEE智能系统(IS)，2010【44】VolchkovA．RevisitingSingleSign—OnaPragmaticApproachinaNewContext【J】，ITProfessional，201l，3(1)：39—45【45】YangC．S，LiuC．YChelaJ．H，cta1．DesignandimplementationofsecureWeb-basedLDAPmanagementsystem【A】，15thInternationalConferenceonInformationNetworking【C】，2009，259-26459 致谢历经一年多的时间，我的工程硕士论文终于完成。在这里，首先要感谢我的导师王淑玲研究员，帮助我、指导我的论文研究课题方向、讨论论文难点，在她的耐心指导、精心点拨、亲切关怀下，我顺利完成论文的编写工作。导师精益求精的工作作风、严肃的科学态度、严谨的治学理念时刻鼓舞着我、激励着我。在这里，我要向王淑玲导师致以衷心的感谢和崇高敬意。同时，也要感谢我的企业导师，辽宁省电力有限公司检修分公司江一峰高级工程师，也要感谢信息专工李岩工程师，是他们给予我工作上的无私帮助和技术支持。感谢我的好朋友东方、刘莉莉就我论文的形成给予很多帮助。感谢辽宁省电力公司的张迅同志、沈阳腾天电子的任志宇、赵岩同志以及我所在单位信息中心的同事们对我的帮助和支持，使我顺利完成了论文课题任务。感谢邹铁坚研究员严谨的科学态度，在整个编写论文过程中严格要求我，给我的毕业论文提出了很多宝贵意见。使我能够完成的毕业论文的编写工作。感谢研究生部的丁健研究员、冷淼老师、卢威老师和何淑云老师长期以来对我的关怀和帮助。感谢我的家人，是他们默默地付出，一直关心我、激励我、支持我，给我以向上的动力，让我可以安心从事论文研究、写作工作。感谢我一切曾经关心我、帮助我的人们。谢谢! 个人简历、在学期间发表的论文与研究成果金露，女，出生于1983年5月20日，2006年7月毕业于辽宁工学院计算机科学与技术专业，获得理学学士学位。2006年参加工作，现为辽宁省电力有限公司检修分公司，从事网络信息管理工作，工程师。61