CC BY
18
УДК 004.42
И. Д. Тарасенко, В. А. Дударев
РАЗРАБОТКА СИСТЕМЫ ЕДИНОЙ АВТОРИЗАЦИИ ДЛЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ ПО МАТЕРИАЛОВЕДЕНИЮ
Ключевые слова: неорганические вещества, база данных, информационная система, система единой авторизации, кроссдо-
менное разделение ресурсов.
Проблема обеспечения авторизованного доступа к информационным ресурсам по свойствам неорганических веществ и материалов традиционно решается с помощью разработки индивидуальных систем авторизации. Одновременно количество материаловедческих ресурсов, предназначенных для информационного обслуживания специалистов-химиков, растет. В ИМЕТ РАН насчитывается несколько информационных систем с собственными системами авторизации, что делает их использование со стороны специалистов неудобным вследствие необходимости авторизации на каждом из них. Решению этой проблемы с помощью создания единой информационной системы авторизации на базе технологии кроссдоменного разделения ресурсов (CORS) посвящена настоящая статья.
Keywords: inorganic substances, database, information system, single sign-on, cross-origin resource sharing.
Problem of authorized access to information resources on inorganic substances and materials properties is traditionally solved by means of individual authorization systems development. At the same time the number of materials science resources increases for chemists information service. At IMET RAS there are several information systems with proprietary authorization systems, that makes them hard to use for specialists because of need to authorize on each of them. Current article is devoted to the solution of that problem by means of single sign-on information system development based on cross-origin resource sharing technology, also known as CORS
Введение
На сегодняшний день глобальная сеть Интернет включает в себя более семисот миллионов сайтов [1]. И практически каждый сайт имеет свою систему авторизованного доступа. Зачастую, такой подход вынуждает нас хранить в уме обилие самых разных логинов и паролей. А чем больше имен и паролей должны запомнить пользователи, тем выше шанс утери или кражи данных. Решением проблемы хаоса учетных данных является технология SSO (Single Sing-On). SSO - технология доступа к различным Интернет-ресурсам посредством единой процедуры аутентификации. Такой подход позволяет пользователю свести множество своих учетных данных в разных системах к единому профилю и экономит время пользователя за счет отсутствия необходимости повторных регистраций. Из недостатков SSO следует выделить возрастающую важность единого профиля в контексте информационной безопасности, так как при успешной атаке на профиль злоумышленник получает доступ сразу ко всем данным, ассоциированным с профилем SSO и всем информационным ресурсам, доступ к которым осуществляется с использованием этого профиля. Таким образом, при создании единого входа требуется уделять повышенное внимание к защите учетных данных пользователя.
Разработка информационной системы (ИС) "с нуля" может представляться оправданной лишь в том случае, если имеется ярко выраженная специфика предметной области, затрудняющая или делающая нецелесообразным использование стандартных программных подсистем. Большинство современных информационных систем строятся на базе существующих программных платформ. К ним относятся: операционные системы, системы управления базами данных и другое программное обеспечение. Правильный выбор технологической плат-
формы приведет к минимизации издержек при создании информационной системы и повышению экономической эффективности [2].
Разработка системы
Нами было принято решение применить технологию единого входа в Web-приложения информационных систем по свойствам неорганических веществ и материалов, разработанных в Институте металлургии и материаловедения им. А.А. Байкова РАН (ИМЕТ РАН), для организации авторизованного доступа пользователей к ряду информационных систем по свойствам неорганических веществ и материалов [3].
Так как в ИМЕТ РАН используется платформа Microsoft, то при создании единого профиля пользователя для доступа к материаловедческим ИС нами была разработана реляционная структура базы данных (БД) в Microsoft SQL Server (рис. 1). БД содержит подробную информацию о пользователе и его роде деятельности. Эта информация необходима для проведения в дальнейшем статистических исследований поведения пользователей в разрезе различных фокус-групп.
Реализация доступа к БД со стороны разрабатываемого на платформе Windows Web-приложения осуществима с использованием одного из интерфейсов доступа к БД: ODBC, MFC ODBC, DAO, RDO, OLE DB, ADO и ADO.Net. В качестве основных критериев для выбора интерфейса доступа нами были использованы следующие критерии: наличие объектной модели, возможность работы с нереляционными источниками данных, наличие низкоуровневого контроля, производительность, поддержка разъединенной модели работы с БД, а также соотношение «функциональность / объем» для программного кода. По результатам нашего сравнительного анализа было выявлено, что интер-
фейс ADO.NET предоставляет простую и гибкую объектную модель, обладающую при этом неплохой производительностью. Это делает ADO.NET наилучшим решением для разработки клиент-серверных приложений для БД с технологической платформы Microsoft Windows, поэтому нами был использован именно этот интерфейс доступа к БД при создании Web-приложения единой системы авторизации.
SSO_BusinessTypes
ButinessTypelD
NameRu
NameEn
S50_Countries
CountrylD
NameRu
NameEn
Codei
Codeä
SSO Purposes
1? PurposelD NameRu NameEn
SSO Users
Î UserlD
ButinessTypelD
CountrylD
Occupatio nID
PostlD
PurposelD
AddressType
Oig
Department
FirttName
MiddleName
LastName
Password
Address
City
State
Posta ICode
Phone
RegDate
Date Record
Comments
AccessFtags
SSO Occupations
? DccupationID NameRu NameEn
PostID
NameRu
NameEn
Рис. 1 - Реляционная структура профиля пользователя ИС единой авторизации
На основе разработанной реляционной структуры данных создана ИС единой авторизации, поддерживающая русскоязычный и англоязычный пользовательский интерфейс. ИС доступна по адресу http://sso.imet-db.ru/ и в настоящий момент используется для авторизации пользователей ИС по ширине запрещенной зоны неорганических веществ «Bandgap».
Важно отметить, что основной проблемой, решенной при создании единой ИС авторизации, являлась организация AJAX запросов к серверу ИС авторизации, совмещенная с передачей значений cookie между разными доменами, которая в силу безопасности запрещена. В результате анализа способов решения данной проблемы (JSONP, прокси-рование клиентских запросов сервером, CORS), был выбран относительно недавно появившийся механизм CORS [4]. Cross-origin resource sharing (CORS) - механизм, позволяющий клиентскому сценарию JavaScript создать на странице запрос к другому домену, отличному от того, с которого этот JavaScript был загружен. Подобный перекрестный между доменами запрос запрещен во всех браузерах политикой безопасности, CORS определяет механизм настройки серверных заголовков протокола HTTP таким способом, благодаря которому браузер и Web-сервер получают возможность взаимодействия. Т.е. сервер самостоятельно определяет, позволять или
нет подобные перекрестные запросы со стороны других доменов с возможностью фильтрации запросов. Стоит отдельно отметить, что несмотря на недавнее (16 января 2014 г.) утверждение в качестве рекомендации W3C, CORS поддерживается всеми современными браузерами: IE9+, Firefox, Chrome, Safari, Opera.
Серверная поддержка CORS в ИС единой авторизации реализована в ASP.Net приложении путем добавления (после успешной проверки домена исходящего запроса) HTTP-заголовков Access-Control-Allow-Origin и Access-Control-Allow-Credentials. Таким образом, удалось осуществить безопасную кроссдоменную авторизацию с использованием легковесных AJAX-запросов к серверу ИС авторизации, совмещенную с передачей значений cookie
Заключение
По мере использования система единой авторизации будет нами развиваться и дорабатываться. В ближайшем будущем планируется подключение других ИС по свойствам неорганических веществ и материалов [5], разработанных в ИМЕТ РАН, к которым будет открыт свободный доступ. Таким образом, разработанная система авторизации станет единым центром хранения и обработки информации о пользователях ИС по свойствам неорганических веществ и материалов ИМЕТ РАН. Это дополнительно упростит создание интегрированной системы по свойствам неорганических веществ и материалов за счет минимизации количества систем безопасности подлежащих сопряжению [6], что в свою очередь упростит организацию поиска закономерностей в распределенных БД по свойствам неорганических веществ и материалов [7].
Работа выполнена при частичной финансовой поддержке РФФИ (проект 14-07-3103214).
Литература
1. Информация с сайта Сybersecurity. Netcraft: количество сайтов в сети достигло 739 млн, 5 сентября 2013. Доступно по ссылке http://cybersecurity.ru/net/180795.html.
2. В.В. Липаев, Технико-экономическое обоснование проектов сложных программных средств. Синтег, Москва, 2004. 284 с.
3. Н.Н. Киселева, В.А. Дударев, Информационные технологии, 12, 63-66 (2010).
4. Информация с сайта W3C. Спецификация Cross-Origin Resource Sharing, 16 января 2014. Доступно по ссылке http://www.w3.org/TR/cors/.
5. А. Л. Абдуллин, В.Г. Крюков, К.А. Березовская, Вестник Казанского технологического университета, 16, 10, 299303 (2013).
6. В.В. Масютин, В.А. Дударев, Интеграл, 6, 30-31 (2010).
7. А.П. Кирпичников, А. Л. Осипова, И.С. Ризаев, Вестник Казанского технологического университета, 15, 3, 157160 (2012).
© И. Д. Тарасенко - асп. Московского госуд. ун-та тонких химических технологий имени М.В. Ломоносова, berkut257@gmail.com; В. А. Дударев - к.т.н., вед. науч. сотр. Лаборатории полупроводниковых материалов Института металлургии и материаловедения им. А.А. Байкова РАН, vic@imet.ac.ru.
© I. D. Tarasenko - post graduate student at Lomonosov Moscow State University of Fine Chemical Technologies (MITHT) , berkut257@gmail.com; V. A. Dudarev - candidate of technical sciences and leading researcher of the Laboratory of semiconductor materials of the A.A. Baikov Institute of Metallurgy and Materials Science of the Russian Academy of Sciences, vic@imet.ac.ru.
