Nghiên cứu dịch vụ Web để xây dựng hệ thống đăng nhập một lần

Việc mỗi tổ chức sở hữu và vận hành nhiều website ngày càng phổ biến trên thế giới. Tuy nhiên, nó thường dẫn đến vấn đề một người dùng cần phải ghi nhớ nhiều tài khoản đăng nhập và mật khẩu để đăng nhập vào các website khác nhau của cùng một tổ chức do cơ sở dữ liệu tồn tại độc lập với nhau.
Nội dung trích xuất từ tài liệu:
Nghiên cứu dịch vụ Web để xây dựng hệ thống đăng nhập một lần Nguyễn Trần Quốc Vinh và Đtg<br /> <br /> Tạp chí KHOA HỌC & CÔNG NGHỆ<br /> <br /> 122(08): 27 - 33<br /> <br /> NGHIÊN CỨU DỊCH VỤ WEB ĐỂ XÂY DỰNG<br /> HỆ THỐNG ĐĂNG NHẬP MỘT LẦN<br /> Nguyễn Trần Quốc Vinh1*, Nguyễn Văn Vương2<br /> 1<br /> <br /> Trường Đại học Sư phạm, Đại học Đà Nẵng<br /> 2Trường Đại học Kinh tế, Đại học Đà Nẵng<br /> <br /> TÓM TẮT<br /> Việc mỗi tổ chức sở hữu và vận hành nhiều website ngày càng phổ biến trên thế giới. Tuy nhiên,<br /> nó thường dẫn đến vấn đề một người dùng cần phải ghi nhớ nhiều tài khoản đăng nhập và mật<br /> khẩu để đăng nhập vào các website khác nhau của cùng một tổ chức do cơ sở dữ liệu tồn tại độc<br /> lập với nhau. Từ đó, vấn đề đăng nhập một lần cho các website trong cùng một tổ chức là một yêu<br /> cầu phổ biến. Tác giả nghiên cứu đã xây dựng giải pháp và xây dựng hệ thống đăng nhập một lần<br /> hoàn toàn mới, cung cấp các dịch vụ xác thực người dùng dựa trên cơ sở dữ liệu người dùng tập<br /> trung. Hệ thống được xây dựng dựa trên việc khai thác tính độc lập đối với nền tảng của dịch vụ<br /> web, khả năng chia sẻ cookie giữa các trình duyệt cũng như ứng dụng web. Nghiên cứu cũng tiến<br /> hành triển khai ứng dụng thử nghiệm trên hệ thống đã được xây dựng.<br /> Từ khóa: Xác thực người dùng; đăng nhập một lần; website; cookie; dịch vụ web.<br /> <br /> ĐẶT VẤN ĐỀ*<br /> Ngày nay, việc sở hữu và vận hành nhiều ứng<br /> dụng web đã trở nên phổ biến, đặc biệt là các<br /> tổ chức lớn. Các ứng dụng hoạt động độc lập<br /> với nhau, có thể được phát triển trên những<br /> nền tảng khác nhau. Người dùng phải thực<br /> hiện đăng ký thông tin và đăng nhập lại khi<br /> chuyển sang sử dụng ứng dụng khác.<br /> Tổ chức càng nhiều ứng dụng, người dùng<br /> càng phải nhớ một lượng lớn tên đăng nhập<br /> và mật khẩu khác nhau. Công việc này chiếm<br /> một khoản thời gian lớn của người dùng, làm<br /> giảm hiệu suất phục vụ của toàn hệ thống.<br /> Các nhà phát triển phải giải quyết hàng loạt<br /> vấn đề liên quan đến quản lý cơ sở dữ liệu<br /> người dùng và bảo mật ở các hệ thống khác<br /> nhau. Để giảm bớt thao tác của người dùng,<br /> tăng tính chuyên nghiệp cho hệ thống, xây<br /> dựng hệ thống đăng nhập một lần (ĐNML,<br /> Single Sign On – SSO) được đánh giá là giải<br /> pháp tốt nhất hiện nay.<br /> Đăng nhập một lần là quá trình xác thực<br /> phiên làm việc của người dùng, cho phép sử<br /> dụng một tên đăng nhập và mật khẩu để truy<br /> cập vào nhiều ứng dụng [1]. Sau khi được xác<br /> thực, người dùng có thể truy cập các ứng<br /> *<br /> <br /> Tel: 0914 780898, Email: ntquocvinh@gmail.com<br /> <br /> dụng khác mà không phải đăng nhập lại, các<br /> quyền được trao và thông tin người dùng<br /> được lưu giữ trong suốt phiên làm việc. Như<br /> vậy, hệ thống ĐNML vừa đảm bảo tính thuận<br /> tiện vừa tăng độ bảo mật khi sử dụng. Hơn<br /> nữa, việc quản lý tài khoản tập trung sẽ làm<br /> cho nhà quản trị chuyên tâm vào phát triển<br /> ứng dụng, công việc bảo mật sẽ do hệ thống<br /> ĐNML đảm nhận. Đối với người dùng, họ chỉ<br /> cần một tài khoản cho tất cả các ứng dụng.<br /> Tuy nhiên, hệ thống ĐNML gặp phải vấn đề<br /> đó là cơ chế bảo mật độc lập với nền của ứng<br /> dụng, hoạt động trên kiến trúc riêng biệt [2].<br /> Điều này đặt ra vấn đề các ứng dụng phải<br /> hiểu được và chấp nhận các thông tin xác<br /> thực do ĐNML cung cấp. Đồng thời phải<br /> kiểm tra được tính chính xác của thông tin<br /> xác thực.<br /> CÁC HỆ THỐNG ĐNML TRÊN THẾ GIỚI<br /> Trên thế giới, có nhiều giải pháp ĐNML với<br /> nhiều phiên bản miễn phí và thương mại. Nổi<br /> bật nhất là hệ thống Central Authentication<br /> Service (CAS) và Oracle Enterprise Single<br /> Sign-on (Oracle ESSO).<br /> Hệ thống CAS do có đặc thù là mã nguồn mở<br /> nên cung cấp khả năng mở rộng cho nhà phát<br /> triển và được cộng đồng không ngừng bổ<br /> sung các tính năng mới. CAS client hỗ trợ các<br /> 27<br /> <br /> Nguyễn Trần Quốc Vinh và Đtg<br /> <br /> Tạp chí KHOA HỌC & CÔNG NGHỆ<br /> <br /> ứng dụng được phát triển bằng nhiều ngôn<br /> ngữ như PHP, Java, .NET. Tuy nhiên, tất cả<br /> ứng dụng phải được phát triển bằng một ngôn<br /> ngữ chung nhất, đây chính là hạn chế lớn của<br /> hệ thống CAS.<br /> Khi người dùng chưa đăng nhập, i) ứng dụng<br /> sẽ yêu cầu CAS xác thực tài khoản do người<br /> dùng cung cấp; ii) sau khi xác thực thành<br /> công, CAS trả về cho trình duyệt các chuỗi ký<br /> tự ngẫu nhiên chứa dữ liệu bảo mật và bắt đầu<br /> bằng tiền tố nhất định gọi là các vé (Ticket).<br /> Mỗi vé có một ý nghĩa riêng, CAS sử dụng vé<br /> ủy quyền (Ticket-Granting Ticket - TGT) làm<br /> cơ sở cho CAS thực hiện ĐNML. Ngoài ra,<br /> CAS sử dụng vé dịch vụ (Service Ticket - ST)<br /> được tạo duy nhất cho mỗi ứng dụng. Vé dịch<br /> vụ được dùng một lần trong một phiên làm việc<br /> của người dùng; iii) ứng dụng gửi vé dịch vụ<br /> cho CAS để nhận về mã người dùng và tự động<br /> tạo phiên làm việc cho người dùng [3].<br /> Trường hợp người dùng truy cập vào ứng<br /> dụng khi đã được CAS xác thực, i) ứng dụng<br /> sẽ gửi vé ủy quyền được lấy từ trình duyệt<br /> cho CAS để xác thực; ii) khi xác thực thành<br /> công, CAS sẽ gửi cho ứng dụng v ...