基于CAS单点登录的高校教务管理系统设计探讨

　　摘要：目前高校教学系统的认证机制大多是采用用户名和密码来进行登录，若用户需要访问不同系统中的资源，传统的认证机制必然会耗费大量的时间。因此在统一框架下，建立单点登录的安全机制，降低多个系统不同登录模式带来的安全风险及用户信息维护成本，已成为高校门户网站建设中的重要课题。
　　关键词：单点登录；CAS；高校教务管理系统；认证机制；高校门户网站 文献标识码：A
　　中图分类号：TP311 文章编号：1009-2374（2015）12-0017-02 DOI：10.13535/j.cnki.11-4406/n.2015.12.009
　　1 概述
　　随着网络技术的日益普及以及教育投入的不断增加，校园网已经逐渐成为了高校正常运作中必不可少的部分。同时，校园网内部建立了越来越多的系统以满足不断拓展的工作业务的需求。不同的系统大都是在不同时期建设的，设计针对于不同的功能，而且编写系统的开发单位也会不同。所以，每个校园网站的内部系统都有专属的一套安全规范以及身份认证体系。用户必须使用该系统专门配置的对应的账号进行登录才可以使用这些系统。若用户需要访问不同系统中的资源，那么他每进入一个系统就必须输入一次相应的账号进行登录。这种访问方式必然会耗费用户大量的时间去登录系统，同时用户也被迫需要花费精力去记忆大量的账号信息。因此，大多数的用户会采用容易记忆却过于简单的登录账号密码；一些用户会将登录的账号密码记录在纸条上，以避免遗忘；还有一些用户为了节约登录时间，在不使用系统服务时不退出。由此我们可以看到，利用传统的登录方式的系统既增加用户的负担，也很容易导致违反基本安全策略的事件发生，使得系统安全性降低，且更容易受到攻击。
　　另外，目前采用的传统的用户名密码认证机制的校园网，内部不同的系统都必须保存各自的用户信息数据库，这就给校园网的管理增加了很大的难度。例如当学校新增了一名员工，校园网的管理员就必须在该员工有权访问的校园网的所有系统中逐一为该员工建立一套账号，而如果用户忘记了密码及系统提供的找回方式，就只能与管理员联系，通过复杂的审查核实流程，取回密码，这直接造成了系统和安全管理资源的开销。若该员工离开学校，校园网的管理员又必须在各个系统中将其账号一一删除。这一做法无疑增加了管理员的工作量，而且很可能产生某些遗漏，埋下校园网安全隐患。
　　由此可见，如何才能更有效地对校园网信息系统进行管理，是校园网所面临的一个重要问题。我们发现这是由于分散的用户信息管理所造成的，同一用户的登录信息在校园网内部的各个系统之间完全没有关联，这就使得用户每登录一个系统就要进行一次身份验证。因此将各系统用户登录信息进行统一验证，成为校园网改善门户网站整体用户身份验证的关键问题之一。
　　2 教务管理系统需求分析
　　学院教务管理系统是一个涉及教务管理各环节、面向学校各部门以及各层次用户的多模块综合管理信息系统，主要包含公共信息管理、收费注册管理、招生管理系统、毕业论文管理、课程选课管理、教学计划管理、成绩管理等多个子系统。各子系统之间既相互关联，又相互独立，构成了一个复杂的综合教务管理信息系统。
　　目前学院独立的校园网系统包括招生管理系统、职业鉴定管理系统、毕业论文管理管理系统。这几个校园网站系统都是在独立服务器上运行的，而且都是采用B/S（Browser/Server）结构，管理用户通过浏览器就可以访问。
　　第一，教务处和学校各个部门管理工作有合理的分工和交互，各行其责。为便利日常工作，非常有必要开发校级的教务管理系统和其他系级的单点登录应用系统。这些系统应具有统一的用户名称和密码的管理、增删、授权等功能。
　　第二，为了保证学校和院（系）两级系统的数据的一致性，需要对相关的数据进行安全管理，以保证良好的数据质量。
　　第三，需要定期的数据备份和方便的数据恢复，以减少或避免不可抗力所造成的可能的数据损失。
　　第四，具有良好的人机交互界面。由于系统将有较大的数据量，原始数据的导入、输入及编辑等操作应当简易，并支持多方式的修改。
　　根据以上教务管理的基本需求，本文设计系统主要完成的任务有两个：前台功能和后台功能。前台功能主要是运行和用户相关的处理，如提供课程信息、选课管理、学员注册、成绩查询、教师评价等。后台功能主要是运行后台管理员权限操作，用于对学员的信息管理和维护。
　　3 单点登录技术
　　单点登录系统（Single Sign On，缩写SSO），这一解决方案正是针对这一关键问题而提出的。单点登录系统集中保存和管理原来分散的用户管理。各个系统之间可以进行用户身份的自动认证，于是校园网的管理员只需要在唯一的用户信息数据库中进行添加和删除用户账号。
　　在单点登录系统中需采用中心认证服务，CAS（Central Authentication Service）。采用CAS的目的就是集中分布在一个学院内部各个异构系统的认证工作，通过一个公用的认证系统统一管理和验证用户身份。用户若在CAS上认证通过，将获得CAS颁发的一个证书。用户可以使用CAS证书在承认此证书的各个内部系统自由访问，不需要重复登录认证。
　　4 系统设计
　　我们将教务管理系统应用在职责上分成3层：表示层（Presentation Layer）、业务层（Business Layer）、持久层（Persistence Layer）。
　　表示层采用的是Struts2.0框架，Web页面技术采用的是JavaScript技术。
　　业务层采用的是Spring框架，分为Web控制层、Service层、DAO层以分离控制层与业务逻辑层。
　　持久层采用实体关系映射工具Hibernate完成。它可以通过Hibernate将关系型的数据库的数据映射成对象，以实现以面向对象的方式进行操作数据库。