基于OAUTH2.0高校统一身份认证的应用研究胡贞华陈雪花何创新摘要：随着高校信息化建设，已有许多信息化系统得到使用，但由于各系统资源不共享，每个系统的账户信息不通用，导致系统业务无有效的对接。通过发挥OAuth2.0认证协议和SSL加密技术的优点，既可以解决高校统一身份认证平台建设过程中与外部系统互通的安全问题，又能达到校内信息与资源共享的目的。关键词：OAuth2.0；统一身份认证；授权；协议；中圖分类号：TP311：A：1009-3044（2019）06-0265-03ResearchontheApplicationofUnifiedIdentityAuthenticationinUniversitiesBasedonOAUTH2.0HUZhen-hua，CHENXue-hua，HEChuang-xin（NetworkandEducationalTechnologyCenterShaoguanUniversity，Shaoguan512005，China）Abstract：Withtheconstructionofinformationtechnologyincollegesanduniversities，manyinformationsystemshavebeenused，butbecausethesystemresourcesarenotshared，theaccountinformationofeachsystemisnotuniversal，resultinginnoeffectiveinterconnectionofsystemservices.ByutilizingtheadvantagesofOAuth2.0authenticationprotocolandSSLencryptiontechnology，itcannotonlysolvethesecurityproblemofintercommunicationwithexternalsystemsintheprocessofbuildingaunifiedidentityauthenticationplatform，butalsoachievethepurposeofsharinginformationandresourceswithintheschool.Keywords：OAuth2.0；uniformidentityauthentication；authorization；protocol；1背景高校的信息化建设随着信息技术发展在不断前进，学校各级部门的应用系统越来越多。但由于各系统互相独立，账户资源不共享，导致用户在使用多个系统时，需要设置多个账户密码。通过建立一个统一的认证中心，保证账户数据的一致性，不仅能减少开发成本，同时也方便了用户，从而使系统间安全细粒度的业务集成成为可能。在OAuth2.0出现之前，高校的统一认证一般采用openid的集成方式，该方式通过一个共用的密匙来确认授权。但该方式容易被监控，安全性较低，不能够满足当今高校的业务应用需求。OAuth2.0是当前互联网统一认证授权中应用最为广泛的，国内外知名的社交媒体，如twitter、facebook、sina等，都有用到OAuth2.0作为统一认证协议[1]。通过将OAuth2.0作为认证协议，建立统一的认证中心，保证账户数据的一致性，减少开发成本，使系统变的更加安全。2OAuth2.0认证授权技术OAuth（开放授权）协议是一个开放标准，它是OpenID的一个补充完善，允许用户在不提供用户名和密码的情况下，让第三方应用能够访问自己在某一网站上的资源，如用户昵称，头像等信息[2]。OAuth2.0认证授权技术是以原OAuth协议为基础，将重点放在开发的简易性上而进行的版本升级，但OAuth2.0不向下兼容OAuth1.0的协议。OAuth2.0通过允许第三方应用来代表用户获得授权，或者是资源所有者与HTTP服务商之间所授权批准的交互动作代表用户，同时为Web应用、桌面应用、手机和智能家居设备提供专门的认证流程。OAuth2.0定义了四个角色：资源拥有者、资源服务器、客户端、授权服务器，其工作流如图1所示[3]。具体的工作流程是客户端先从资源所有者处获得授权，才能使用授权服务器进行身份验证。授权服务器检查从客户端那边收到的授权认可，如果检查无误，则将分配令牌给客户端。最后，资源服务器检验从客户端那边收到的令牌，若有效则返回客户端所请求的资源。在OAuth2.0中，客户端需要先从资源所有者中获取授权码，然后再使用授权码与授权服务器交换访问令牌。如果从一开始就直接返回访问令牌，则会减少认证时间，提高认证性能，为什么OAuth2.0不这样做呢？原因是客户端与资源所有者通讯时采用重定向链接不是个安全的通讯通道，这种方式不适合进行加密数据的传输，也就不适合传输访问令牌。通过OAuth2.0的验证方式，可以保证授权码只能在客户端中起作用，并且在最后访问令牌的唯一持有方（客户端）保证令牌不被泄露。3OAuth2.0与统一身份认证的结合3.1账户存储形式变更要将OAuth2.0与统一身份认证平台相结合，需要先转变现有的用户账户的数据存储形式，将用户的账户...