西北农林科技大学信息资源系统技术规范

西北农林科技大学信息资源系统技术规范为了进一步规范我校数字校园建设，保障信息资源共享和信息资源系统集成，根据《西北农林科技大学数字校园建设规划》，特制订以下技术规范：1、适用范围：各职能部门改建、新建的信息管理系统、信息资源系统等；2、系统规范：信息资源系统的服务端（Web服务器、应用服务器和数据库服务器）能够在Unix、Linux操作系统上运行，支持Oracle数据库；3、架构规范：信息资源系统应采用B/S结构的三层架构，即Web服务器、应用服务器和数据库服务器，以方便用户使用；4、开发技术规范：应采用JavaEE（J2EE）标准、组件技术及在数据交换上对XML的支持；5、数据交换规范：当业务系统需要与数字校园平台的公共数据库进行数据交换时，要按照学校制定的数据同步方案执行（附1）；6、信息编码规范：信息资源系统所用编码应符合《教育管理信息化标准》（第一部分：学校管理信息标准）(2003.9)，教育部远程教育标准（DLTS）和西北农林科技大学自编编码规范；7、统一身份认证集成规范：B/S架构的业务系统与数字校园进行SSO集成时，要按照学校制定的SSO集成方案执行（附2），建议尽量采用集成方案一；8、扩展性规范：信息资源系统须具有良好的扩展性。业务系统建设的长期性和内容的广泛性决定了系统在构建和使用过程中，必然面临着各类扩展性需求，例如业务规模的扩展、业务类型的扩展等。因此要求模块间应相对独立，接口清晰，内部的业务流程升级和改造与其它模块无关，并为将来学校二次开发提供开发API等；9、本规范未尽事宜联系校网络信息中心；本规范最终解释权归校网络信息中心。二二○○○○九九年年四四月月二二十十四四日日附附11：：数据同步方案第一章数据同步流程数据同步是指第三方业务系统与数字校园公共平台之间进行的周期性数据交互，包括数据从业务系统到公共平台的同步以及数据从公共平台到业务系统的同步两个流程。一、从业务系统到数字校园平台的同步为了实现数据的准确性同步，需要第三方开发商在其业务系统的数据库中建立中间表，该中间表是在数据同步过程中数字化校园平台同步工具的操作表，如图1－1所示。故需第三方开发商对该表赋予一定的操作权限。第三方业务系统数据库东软数字化校园平台数据库同步工具同步同步触发器清洗业务数据表中间表中间表公共数据表图1－1该中间表的表结构除了具有原业务数据表中需同步的字段（字段名、类型和长度必须相同）外，还须具有标识字段。该字段是用来存储每条记录的增加、删除与修改等操作方式信息。对于需同步的原数据表，可在该表上建立一个触发器，在该表中数据发生变化时，触发器应该及时地将发生变化的数据插入到中间表中，并把操作方式记录到相应的标识字段中，以供数字化校园平台读取或操作。数字化校园平台也会在其数据库中建立相应的中间表，其表结构与第三方业务系统提供的中间表表结构相同，并周期性的将业务系统中间表的数据同步到该中间表中。通过数据清洗将数据及时的更新公共数据库中的目标表中，进而实现了第三方业务系统中的数据可持续地与数字化校园平台之间的同步。二、从数字校园平台到业务系统的同步为了配合第三方业务系统从数字化校园平台同步相关数据的需求，数字化校园平台可以根据其需求为其提供相关数据字段内容的中间表，并可以在该表中建立某些标识字段。该中间表作为一个第三方业务系统与数字化校园平台数据同步的接口，如图1－2所示。第三方业务系统数据库东软数字化校园平台数据库同步触发器公共数据表中间表图1－2数字化校园平台会及时地将数据的更新情况反映到该表中。同时可以为第三方开发商提供对该中间表进行操作的一定权限，以供其实现从平台公共数据表中同步数据的需求。第二章需要第三方厂商做的工作一、从业务系统到数字校园平台在数据从第三方业务系统到数字化校园平台的同步过程中，数字化校园平台需要第三方开发商在其业务系统的数据库中建立一张中间表，并给予对该表具有一定的操作权限。在该表中数据发生变化时，触发器应该及时地将发生变化的数据插入到中间表中，并把操作方式记录到相应的标识字段中。如图2－1虚线部分所示。第三方业务系统数据库东软数字化校园平台数据库同步工具同步同步触发器清洗业务数据表中间表中间表公共数据表图2－1二、从数字校园平台到业务系统在数据从数字化校园平台到第三方业务系统同步的过程中，数字化校园平台只会为第三方业务系统提供相应的中间表及一定的对表操作权限作为接口供其操作，如图2－2虚线部分所示。第三方业务系统数据库东软数字化校园平台数据库同步触发器公共数据表中间表图2－2第三章数据同步数字校园平台做的工作一、从业务系统到数字校园平台在数据从第三方业务系统到数字化校园平台的同步过程中，数字化校园平台会从第三方业务系统提供的中间表中读取数据到平台下的中间表中，并对其进行数据清洗，将清洗后的结果数据导入到公共数据库中，如图3－1虚线部分所示。第三方业务系统数据库东软数字化校园平台数据库同步工具同步同步触发器清洗业务数据表中间表中间表公共数据表图3－1二、从数字校园平台到业务系统在数据从数字化校园平台到第三方业务系统同步的过程中，数字化校园平台会为第三方业务系统提供相应的中间表作为接口供其操作，并把数据的更新情况及时的反映到中间表中以实现数据同步，如图3－2虚线部分所示。第三方业务系统数据库东软数字化校园平台数据库同步触发器公共数据表中间表附附22：：数字校园平台统一身份认证（SSO）解决方案方案1、采用信息平台提供的统一身份认证系统实现SSO集成前提：各业务系统使用全校统一的教职工号或学号来做为系统的登录账号。实现：一、CAS客户端的主要作用1.以filter的形式，对后方应用系统资源进行过滤保护。2.获得CASServer颁发的ServiceTicket，并凭此ST从CASServer上取得登录用户信息。3.为第三方应用提供开发接口，使得受保护的应用能够通过CAS认证进行正确的登录。二、第三方主要完成的工作1.第三方系统开发商需要完成以下两个主要工作：1）在自己的应用中配置CAS客户端。2）取消此应用原先的认证登陆程序（不是必须的），改为根据CAS认证信息处理登陆。2.在应用中配置CAS客户端需要以下步骤：a）首先需要东软公司封装的CASClientJAR包给第三方系统开发商。b）在应用的web.xml中加入CASFilter相关的filter配置。配置信息如下：其中，filter-class属性需要指定项目中使用的CAS过滤器类。上面的配置中指定的是默认的CAS过滤器类。第三方系统可以根据处理登陆的操作来扩展此类并覆盖相关方法。如某应用在这里配置了自己扩展的类：而url-pattern属性中需要写明受保护资源的URI。一般情况下都是“/*”，它表示此应用中的所有资源均需要受到保护。c）配置casFilterConfig.xml。这个文件需要放在对方应用的/WEB-INF/classes下。loginServer指的是CASServer的登陆URL；validateServer指的是CASServer的验证URL（需要这个配置来告诉CASClient获取ServiceTicket后发送给这个地址进行验证从而取得用户信息）。对于目前公司的CASServer版本来说这两项是相同的。this指的是当前要集成的第三方应用的服务器和端口号，服务器可以是机器名、域名和ip等，最好使用域名。端口不指定的话默认是80。notForceAuthUrls下的url-pattern指定了不需要CASFilter进行过滤的资源。CAS提供了一个CASFilterRequestWrapper类，该类继承自HttpServletRequestWrapper，主要是重写了getRemoteUser()和getUserPrincipal()方法，只要配置wrapRequest/wrapRequest的时候为其设置为true，就可以通过其getRemoteUser（）方法来获取登录用户名：CASFilterRequestWrapperreqWrapper=newCASFilterRequestWrapper(request);out.println(Thelogonuser:+reqWrapper.getRemoteUser());还可以通过其getUserPrincipal()可以得到包含登录用户名的Principal对象：CASFilterRequestWrapperreqWrapper=newCASFilterRequestWrapper(request);out.println(Thelogonuser:+reqWrapper.getUserPrincipal().getName());3.改为根据CAS认证信息处理登陆第三方j2ee应用可能都会有特殊的判断用户是否已经登录的逻辑以及特殊的存储在Session中的用户登录信息。因此要完成第二个步骤，第三方j2ee应用可以通过扩展CASClient端提供的com.neusoft.education.tp.sso.client.filter.DefaultCASFilter这个类，并覆盖其中的如下四个方法来实现在过滤的过程中处理业务系统登陆操作，并且在web.xml中的filterfilter-class属性中写入自己扩展类的类名：a）isNeedCASLoginOrValidate这个方法判断请求的用户是否需要通过CAS登陆和验证。返回true则需要；返回false则不需要并直接进入业务系统处理登陆后的操作。此方法需要进行如下判断：判断当前获取的CASReceipt对象是否有效（代表是否是已经通过CASServer认证的用户），并且对不需要filter过滤的资源进行特殊处理（在casFilterConfig.xml中notForceAuthUrls下的url-pattern中记录的资源会自动放行）。注意：第三方系统覆盖此方法进行特殊处理时必须要调用此方法进行默认的处理。如，某应用中，覆盖此方法的例子如下：b）isNeedRedirectToCAS当isNeedCASLoginOrValidate方法返回true（代表用户需要访问受CASClient保护的资源但用户尚未经过CASServer认证）的时候，正常情况下会直接转向CASServer的登陆地址。但如果第三方系统需要在CASClient将用户请求重定向到CASServer进行登陆操作之前处理一些特殊逻辑判断或处理的话，则在此方法中完成其操作。返回true则转向，false则不转向。DefaultCASFilter中的这个方法直接返回true，转向CASServer进行登录验证。c）isNeedValidate当CASServer对登陆用户完成认证后，会生成ServiceTicket放在URL中返回给客户端浏览器重新定向到CASClient端。CASClient端得到ST后，正常情况下会拿着这个ST去CASServer端进行确认以得到用户的身份信息。但如果第三方系统需要在CASClient拿着ST去CASServer进行确认之前做一些特殊逻辑判断或处理的话，则需要在此方法中完成其逻辑处理。返回true，则去CASServer端确认并得到用户身份；返回false，则不去确认，这样也就得不到用户的身份。DefaultCASFilter中的这个方法直接返回true，转向CASServer进行确认。d）userLoginAndValidated如果用户已经通过了CASServer的登陆验证，那么在这个方法中处理登陆验证成功后的操作，比如将需要用到的用户信息放入session等操作（第三方系统需将自己处理登陆验证后的逻辑写在这个类中）。特别注意：第三方系统在其覆盖方法中做处理之前一定要调用此方法进行默认处理：super.userLoginAndValidated(request,response,receipt);否则就会导致isNeedCASLoginOrValidate方