基于共享密钥的协议登录

　　基于共享密钥的协议登录机制是高校信息化建设中常用的一种协议认证集成模式，通过共享密钥和其他的信息组合加密完成系统间的认证，它需要在双方系统部署不同程序，但不需要修改原先的认证模块。图2给出采用协议登录机制形成的一般结构：各个业务系统的登录跳转程序都部署在一个入口系统中，而对应的验证程序则部署在各自的业务系统，跳转程序通过HTTP的get或post方法把双方约定的协议数据提交到业务系统的验证程序，验证程序负责验证数据的有效性，若通过验证则跳转到业务系统，否则拒绝使用。

　　此机制一般要求入口系统与业务系统端共同约定用户账号、时间戳、校验码、共享密钥四个参数，并且要求双方系统进行时间同步。入口系统通过跳转程序要求访问业务系统时，需要在url中加入username、time、verify三个参数值，并传递给业务系统。其中verify是由username、time和key组成并采用md5方式加密形成的一个串值。

　　业务系统获取各个参数后，比较业务系统服务器时间与接收的时间戳(time)是否在允许的时间差范围内，如果在允许的范围内，则需将接收到的username 、time及原先设定的key进行md5加密计算，获得的一个串值且同verify进行比较，若一致，则完成了本次的认证登录，并以username的身份访问系统，否则登录失败。

　　通过此机制可以实现单点到多点的单向应用漫游，也可以扩展双方认定的协议内容并进行功能的扩展，比如指定业务系统应用模块参数(module)来实现到具体应用模块的跳转。

　　基于自配置的模拟登录

　　基于自配置的模拟登录机制是针对那些基于Form表单方式登录的Web业务系统设计的，它不需要对业务系统的原有认证模块做任何修改。它利用用户自我配置的业务系统账号、密码等信息，模拟用户使用业务系统登录页面完成登录的过程，在后台直接提交相应的信息到业务系统的登录验证模块，从而完成用户登录的过程。图3描述了形成的主要体系结构。

　　首先在入口系统中建立一个入口系统账号到各个业务系统账号的映射表，此表一般需要包含以下信息：

　　1.入口系统账号：存储入口系统自身的账号。

　　2.业务系统ID：标志不同的业务系统。

　　3.业务系统账号：存储业务系统与入口系统账号对应的账号。

　　4 .业务系统基本角色：存储在业务系统中的角色信息。

　　5.业务系统密码：通过加密方式存储业务系统的密码信息。

　　其次，需要分析业务系统的登录页面和其对应的验证逻辑，并在入口系统中建立对应的自配置程序，包括业务账号密码配置页面、业务账号密码保存页面、业务账号密码修改页面等。

　　用户在使用入口系统首次登录业务系统时，需使用自配置程序把自己在业务系统中对应的账号、密码、角色存入入口系统的映射表中，之后就可直接通过入口系统完成到业务系统的应用跳转。