西北农林科技大学信息资源系统技术规范.doc

《西北农林科技大学信息资源系统技术规范.doc》由会员分享，可在线阅读，更多相关《西北农林科技大学信息资源系统技术规范.doc（13页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、西北农林科技大学信息资源系统技术规范为了进一步规范我校数字校园建设，保障信息资源共享和信息资源系统集成，根据西北农林科技大学数字校园建设规划 ，特制订以下技术规范：1、适用范围：各职能部门改建、新建的信息管理系统、信息资源系统等；2、系统规范：信息资源系统的服务端（Web 服务器、应用服务器和数据库服务器）能够在 Unix、Linux 操作系统上运行，支持Oracle 数据库；3、架构规范：信息资源系统应采用 B/S 结构的三层架构，即Web 服务器、应用服务器和数据库服务器，以方便用户使用；4、开发技术规范：应采用 JavaEE（J2EE）标准、组件技术及在数据交换上对 XML 的支持；5、

2、数据交换规范：当业务系统需要与数字校园平台的公共数据库进行数据交换时，要按照学校制定的数据同步方案执行（附 1） ；6、信息编码规范：信息资源系统所用编码应符合教育管理信息化标准 （第一部分：学校管理信息标准）(2003.9)，教育部远程教育标准（DLTS）和西北农林科技大学自编编码规范；7、统一身份认证集成规范：B/S 架构的业务系统与数字校园进行 SSO 集成时，要按照学校制定的 SSO 集成方案执行（附 2） ，建议尽量采用集成方案一；8、扩展性规范：信息资源系统须具有良好的扩展性。业务系统建设的长期性和内容的广泛性决定了系统在构建和使用过程中，必然面临着各类扩展性需求，例如业务规模的扩

3、展、业务类型的扩展等。因此要求模块间应相对独立，接口清晰，内部的业务流程升级和改造与其它模块无关，并为将来学校二次开发提供开发 API 等；9、本规范未尽事宜联系校网络信息中心；本规范最终解释权归校网络信息中心。二二二九年四月二十四日九年四月二十四日九年四月二十四日附附附 1 1 1：数据同步方案第一章第一章 数据同步流程数据同步流程数据同步是指第三方业务系统与公共数据库平台（以下简称数据平台）之间进行的周期性数据交互，包括数据从业务系统到数据平台的同步以及数据从数据平台到业务系统的同步两个流程。一、从业务系统到数字校园平台的同步1.1为了实现数据的准确性同步，根据需要，需要第三方开发商在其业

4、务系统的数据库中建立共享数据视图，并授权给数据平台用户只读权限，数据平台对视图进行抽取，将数据抽取到平台的中间表(临时表)中，如图 11 所示。图 11数据平台也会在其数据库中建立相应的中间表，其表结构与第三方业务系统提供的视图表结构相同，并周期性的将业务系统视图的数据同步到该中间表中。通过数据清洗将数据及时的更新公共数据库中的目标表中，进而实现了第三方业务系统中的数据可持续地与数据平台之间的同步。二、从数字校园平台到业务系统的同步为了配合第三方业务系统从数据平台同步相关数据的需求，数据平台为业务系统提供所需数据的视图，并将数据的变化信息体现在数据变更表中，业务系统在第一次初始化所需共享数据后

5、，通过定时读取数据变更表中的数据变更信息，对所需共享数据进行更新，如图 12 所示。图 12第二章第二章 需要第三方厂商做的工作需要第三方厂商做的工作一、从业务系统到数字校园平台在数据从第三方业务系统到数据平台的同步过程中，数据平台需要第三方开发商在其业务系统的数据库中建立共享数据视图，并授权给数据平台用户只读权限，数据平台对视图进行抽取。如图 21 虚线部分所示。图 21二、从数字校园平台到业务系统在数据从数据平台到第三方业务系统同步的过程中，数据平台为业务系统提供所需数据的视图，并将数据的变化信息体现在数据变更表中，业务系统在第一次初始化所需共享数据后，通过定时读取数据变更表中的数据变更信

6、息，对所需共享数据进行更新，如图 22 虚线部分所示。图 22第三章第三章 数据同步数据平台做的工作数据同步数据平台做的工作一、从业务系统到数据平台 在数据从第三方业务系统到数据平台的同步过程中，数据平台会从第三方业务系统提供的视图中读取数据到平台下的中间表中，与数据平台中的历史数据进行对比，将数据的变更信息写到数据变更表中，如图 31 虚线部分所示。图 31二、从数据平台到业务系统在数据从数据平台到第三方业务系统同步的过程中，数据平台会为第三方业务系统提供相应的视图表作为接口供其操作，并把数据的更新情况及时的反映到数据变更表中以实现数据同步，如图 32 虚线部分所示。附附附 2 2 2：数字

7、校园平台单点登陆数字校园平台单点登陆数字校园平台单点登陆(SSO)(SSO)(SSO)解决方案解决方案解决方案方案方案 1、采用信息平台提供的统一身份认证系统实现、采用信息平台提供的统一身份认证系统实现 SSO1.使用平台提供的统一身份认证系统 CAS 进行 SSO 集成的条件： 前提条件： 第三方系统的用户身份信息使用信息平台的用户身份信息；或存在一个第三方系统和信息平台用户身份信息的对应关系表，并由双方系统共同维护。 实现条件：1）需要第三方系统修改代码。2）如果第三方系统中包含的不需要认证就能访问的内容过多，则采用共享密钥或是模拟登陆方式。2.具体实现：第三方系统开发商需要完成以下两个主

8、要工作：1）在自己的应用中配置 CAS 客户端。2）取消此应用原先的认证登陆程序（不是必须的） ，改为根据 CAS 认证信息处理登陆。要完成第一个工作，需要以下步骤：1）使用由数字校园平台提供的、封装好的 CAS Client JAR 包，放在应用/WEB-INF/lib/下。2）在应用的 web.xml 中加入 CAS Filter 相关的 filter 配置其中，filter-class 属性需要指定项目中使用的 CAS 过滤器类。上面的配置中指定的是默认的 CAS 过滤器类。第三方系统可以根据处理登陆的操作来扩展此类并覆盖相关方法。3）配置casFilterConfig.xml。这个文件

9、需要放在对方应用的/WEB-INF/classes下。指的是 CAS Server 的登陆 URL；指的是CAS Server的验证URL指的是当前要集成的第三方应用的服务器和端口号，服务器可以是机器名、域名和 ip 等，最好使用域名。端口不指定的话默认是 80。下的指定了不需要 CAS Filter 进行过滤的资源。 第三方 j2ee 应用可能都会有特殊的判断用户是否已经登录的逻辑以及特殊的存储在 Session 中的用户登录信息。因此要完成第二个步骤，第三方j2ee 应用可以通过扩展 CAS Client 端提供的com.neusoft.education.tp.sso.client.fi

10、lter.DefaultCASFilter 这个类，并覆盖其中的如下四个方法来实现在过滤的过程中处理业务系统登陆操作，并且在 web.xml 中的属性中写入自己扩展类的类名：1）isNeedCASLoginOrValidate这个方法判断请求的用户是否需要通过 CAS 登陆和验证。返回 true 则需要；返回 false 则不需要并直接进入业务系统处理登陆后的操作。此方法需要进行如下判断：判断当前获取的 CASReceipt 对象是否有效（代表是否是已经通过 CAS Server 认证的用户） ，并且对不需要 filter 过滤的资源进行特殊处理（在 casFilterConfig.xml 中

11、下的中记录的资源会自动放行） 。注意：第三方系统覆盖此方法进行特殊处理时必须要调用此方法进行默认的处理。2）isNeedRedirectToCAS当 isNeedCASLoginOrValidate 方法返回 true（代表用户需要访问受CAS Client 保护的资源但用户尚未经过 CAS Server 认证）的时候，正常情况下会直接转向 CAS Server 的登陆地址。但如果第三方系统需要在 CAS Client将用户请求重定向到 CAS Server 进行登陆操作之前处理一些特殊逻辑判断或处理的话，则在此方法中完成其操作。返回 true 则转向，false 则不转向。DefaultCA

12、SFilter 中的这个方法直接返回 true，转向 CAS Server 进行登录验证。3）isNeedValidate当 CAS Server 对登陆用户完成认证后，会生成 Service Ticket 放在 URL中返回给客户端浏览器重新定向到 CAS Client 端。CAS Client 端得到 ST 后，正常情况下会拿着这个 ST 去 CAS Server 端进行确认以得到用户的身份信息。但如果第三方系统需要在 CAS Client 拿着 ST 去 CAS Server 进行确认之前做一些特殊逻辑判断或处理的话，则需要在此方法中完成其逻辑处理。返回true，则去 CAS Serve

13、r 端确认并得到用户身份；返回 false，则不去确认，这样也就得不到用户的身份。DefaultCASFilter 中的这个方法直接返回 true，转向 CAS Server 进行确认。4）userLoginAndValidated如果用户已经通过了CAS Server的登陆验证，那么在这个方法中处理登陆验证成功后的操作，比如将需要用到的用户信息放入session等操作（第三方系统需将自己处理登陆验证后的逻辑写在这个类中） 。特别注意：第三方系统在其覆盖方法中做处理之前一定要调用此方法进行默认处理：super.userLoginAndValidated(request, response, r

14、eceipt);否则就会导致isNeedCASLoginOrValidate方法得到错误的结果。完成以上工作后，通过 CAS 实现第三方系统的 SSO 集成基本也就完成了。方案方案 2、使用与第三方系统共享密钥方式实现、使用与第三方系统共享密钥方式实现 SSO这种方式实现 SSO 要双方的系统在共享密钥的设置（包括密钥的生成、认证过程中密钥的交换方式等）达成一致。具体方案如下：前提条件：1）平台用户账号和第三方业务系统账号如果不同，需要在公共数据库中建立对应关系。实现条件：1）平台服务器和第三方业务系统服务器的系统时间要保持一致。因为第三方业务系统需要通过我们传递的时间戳参数 time_sta

15、mp 来校验请求在时间上的合法性。2) 如果使用静态密钥的话，需要双方系统开发商约定好共同使用的密钥KEY 是什么（随意，最好复杂些但有规律） 。如果使用动态密钥的话，那么第三方系统需给我们提供其生成动态密钥的系统接口供我们调用。3）双方系统开发商约定传递给他们的参数有哪些，以及传递的方式是什么。4）承建数字校园平台的东软公司和第三方业务系统开发商约定好需要校验的加密字符串 en_string 的组成规则。如：第三方业务系统用户名user_name+KEY+time_stamp。5）约定好校验字符串的加密方式是 MD5 或其它加密方式附附附 3 3 3：统一身份认证的实现方式统一身份认证的实现

16、方式统一身份认证的实现方式一、一、采用数字校园平台的采用数字校园平台的 CAS 进行身份认证进行身份认证具体实现参见【附 2 数字校园平台单点登陆(SSO)解决方案】中的方案 1二、二、通过数据库认证方式通过数据库认证方式1. 数据平台为业务系统提供数字校园平台用户的账号和密码，其中密码为 MD5 加密后的密文形式保存。2. 业务系统不为用户提供密码修改功能，用户只能在数字校园平台门户中进行密码修改。3. 当用户登陆业务系统时，业务系统首先读取存于本地数据库中的用户账号信息，如果与提交的登陆信息不匹配，再读取数据平台提供的用户账号信息与用户登陆信息进行比对，并对无法登陆的用户给出相应的信息提示

17、。同时将数据平台与本地数据库中不同步的信息更新到本地数据库中。三、三、通过标准的通过标准的 LDAP 协议认证方式协议认证方式1. 数字校园平台为业务系统提供标准的 LDAP 目录服务，符合 LDAP v3 版本标准。2. 业务系统可以直接使用数字校园平台提供的 LDAP 目录服务，也可以将数据同步到业务系统本地的 LDAP 目录中。3. 业务系统不为用户提供密码修改功能，用户只能在数字校园平台门户中进行密码修改。4. 当用户登陆业务系统时，首先读取存于本地 LDAP 中的用户账号信息，如果与提交的登陆信息不匹配，再读取数字校园平台的 LDAP 中用户账号信息与用户登陆信息进行比对，并对无法登陆的用户给出相应的信息提示。同时将数字校园平台 LDAP 与本地LDAP 中不同步的信息更新到本地 LDAP 中。