身份認證系統的目標功能

　　通過對整個寬帶門戶網站的需求分析，確定了身份認證系統必須具備以下的功能

　　a)提供統一的認證途徑。寬帶門戶網站的各個內容服務系統是從不同的內容提供商手中獲得的，每個系統都有各自的用戶系統和認證方式。讓用戶每訪問一個內容服務系統就需要登錄一次，顯然是用戶難以接受的認證方式。因此身份認證系統要提供一個統一的身份認證，讓用戶一次登錄，可以訪問全網的資源

　　b)系統具有良好的可擴展性和可集成性。寬帶門戶網站在發展過程中還會不斷地提供新的內容服務，這就要求身份認證系統具有良好的擴展性和可集成性，不僅能支持現有的內容業務系統及其現有的用戶系統，當有新的內容業務系統被部署或開發的時候，這個統一身份認證服務可以作為它的身份認證模塊的形式工作，也就是說，新的內容業務系統可以不自帶用戶系統，可以通過集成該服務的形式來實現等價的功能。

　　c)系統提供跨平臺認證的功能。各個內容業務系統各有特點，分別運行在不同的平臺上，都要能和身份認證系統交互，這就要求身份認證系統提供跨平臺認證的功能。

　　d)系統具有良好的安全性。由于使用內容業務系統，用戶要付費，身份認證系統要保障用戶的安全。

解決方案

1、統一認證的兩種方式

　　統一身份認證系統的核心思想是將用戶統一存儲,對應用系統統一授權,規范內容業務系統的用戶認證方式,從而達到提高整個系統的整體性、可管理性和安全性的效果。內容業務系統要想判斷某一用戶是否可以訪問自己，必須和身份認證系統進行交互。由身份認證系統負責對用戶進行集中認證。

　　用戶訪問內容服務系統可以有兩種方式：通過寬帶門戶網站訪問內容服務系統，或者是直接訪問內容服務系統。根據這兩種訪問方式身份認證系統要提供兩種認證方式。

　　第一種認證方式：用戶直接登陸內容業務系統，內容業務系統將用戶提供的用戶名/密碼等轉發給統一身份認證服務以檢驗其是否通過授權。流程如圖1所示

圖1 第一種身份認證方式

　　第二種認證方式：用戶首先登錄統一身份認證系統，驗證其是否為合法注冊用戶，如果是合法用戶可獲取權限值。由于合法用戶不一定開通了所有的內容服務，所以使用這個權限值訪問內容業務系統時，內容業務系統將根據該權限值與統一身份認證服務進行交互，以檢驗訪問的合法性。流程如圖2所示

圖2 第二種身份認證方式