1、數(shù)十年來(lái)，隨著網(wǎng)絡(luò)的迅猛發(fā)展，各種各樣的信息化系統(tǒng)不斷涌現(xiàn)。每個(gè)系統(tǒng)對(duì)應(yīng)著各自不同的應(yīng)用，各個(gè)系統(tǒng)為了保證其自身的安全問(wèn)題，提供更為可靠的信息化服務(wù)，都會(huì)有一套自己的身份認(rèn)證系統(tǒng)。信息系統(tǒng)在方便我們大家工作的時(shí)候，也必然會(huì)帶來(lái)一定的消耗，例如我們要去記住自己在各個(gè)不同的系統(tǒng)中相關(guān)口令。系統(tǒng)多了，自然麻煩。單點(diǎn)登錄應(yīng)運(yùn)而生。常見(jiàn)的單點(diǎn)登錄的框架式基于SAML2.0的，這一框架要解決的首要問(wèn)題是傳統(tǒng)信息化應(yīng)用系統(tǒng)與單點(diǎn)登錄的集成問(wèn)題。信息化

2、系統(tǒng)采用的身份認(rèn)證方式有HTTP的幾種協(xié)議，還包括FORM。本篇論文所要解決的關(guān)鍵問(wèn)題就是搭建在IIS服務(wù)器上的WEB應(yīng)用系統(tǒng)的單點(diǎn)登錄集成。單點(diǎn)登錄集成是基于SAML2.0框架的。
　　 為解決上述問(wèn)題，采用微軟提供的ISAPI，開(kāi)發(fā)了面向IIS服務(wù)器的插件，以實(shí)現(xiàn)對(duì)IIS服務(wù)器的功能擴(kuò)展。該系列插件處理了面向IIS服務(wù)器的請(qǐng)求和響應(yīng)，完成了單點(diǎn)登錄的集成。此插件在擴(kuò)展IIS服務(wù)器功能的同時(shí)，并不會(huì)改變服務(wù)器原始的身份認(rèn)證的機(jī)

3、制。
　　 開(kāi)發(fā)的第一系列服務(wù)器插件是面向BASIC身份認(rèn)證的，這一系列插件的主要工作是處理HTTP請(qǐng)求和響應(yīng)的頭部以及驗(yàn)證和解析斷言、設(shè)置Cookie等。具體主要工作是，獲取訪問(wèn)的URL、修改響應(yīng)頭部完成重定向、驗(yàn)證身份信息的合法性、將身份和授權(quán)信息存儲(chǔ)在Cookie中并加密處理、解密Cookie獲取其中的授權(quán)信息、根據(jù)身份認(rèn)證協(xié)議的需要構(gòu)造請(qǐng)求頭部，斷言處理等。
　　 開(kāi)發(fā)的第二系列服務(wù)器插件是面向Kerberos身

4、份認(rèn)證的。本系列插件主要做的是處理HTTP請(qǐng)求和響應(yīng)、獲取請(qǐng)求的URL并保存、獲取Cookie中的身份信息、判斷是否需要重定向到身份服務(wù)系統(tǒng)或者需要同KDC(Key DistributionCenter)交互構(gòu)造認(rèn)證頭部等。還有一個(gè)主要功能是要驗(yàn)證并解析斷言，將身份信息設(shè)置在Cookie中。最后對(duì)這種單點(diǎn)登錄的系統(tǒng)集成進(jìn)行了改進(jìn)，設(shè)計(jì)了一個(gè)代理模塊，由代理模塊同KDC交互產(chǎn)生SpnegoToken，然后代理再和服務(wù)器插件通信，將Toke