某数字教育城接口技术规范

“数字教育城”接口技术规

（——）

（征求意见稿）

市教育局编制

年月

．关于本文档

．围

本部分主要用于“数字教育城”信息系统规划与建设，将分散、异构的应用和信息资源进行整合，通过统一的访问入口，实现各种应用系统的无缝接入和集成。本接口规用于指导软件开发商对接入“数字教育城”的系统进行单点登录整合、用户基础数据下发及同步。

本技术规由三部分组成：

（）单点登录接入规

（）用户基础数据下发规

（）伪单点登录接入规

本规适用于所有接入到“数字教育城”的区域教育信息化应用系统，需要获取“数字教育城”基础用户数据的所有应用，包括市全市性的教育信息化应用系统以及各区（县级市）自行建设的教育信息化应用系统，凡在此围的应用，均需要按照本规进行开发。．术语和定义

凭证：

用户在通过单点登录验证后获得，包含用户的基本信息，如唯一标识、登录名、凭证的有效期等。规文档中以表示凭证。

凭证标识：

用户在通过单点登录验证后获得凭证的唯一标识。

区域教育信息化应用系统：

指以提供教育信息化服务为目的的在较大围（如中等以上城市或者大型城市的某个区）使用的信息化应用系统，具体包括教育管理系统，教育资源共享系统等。

单点登录：

英文全称，简称为，是目前比较流行的企业业务整合的解决方案之一。的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

伪单点：

又称模拟单点登录，应用漫游，代填口令等等。指用户访问一个应用，例如某，首次访问时，伪单点系统会提示输入的用户名和密码，并替保存到数据库中，同时将将用户名和密码填充到动态表单，使用动态生成的表单提交，从而实现自动登录。当用户再次访问该系统时，伪单点登录系统将自动提交表单，实现单点登录。

：

是指一类新型的应用技术，特征在于能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件，就可相互交换数据或集成。

分发：

指的是数据生产者通过各种方式将数据传送到消费者的过程。．作用

通过“数字教育城”接口技术规，可以实现：（）接入到教育城的所有应用系统共享用户基础数据；（）让用户在一次输入用户名密码验证登录后，访问所有应用系统而不需要再输入用户名和密码进行验证；（）用户在一次注销后，即可在所有应用系统实现注销。

．服务逻辑

单点登录技术机制

单点登录（，）是一种统一认证和授权机制，指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过

一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。具体机制如图所示：

图单点登录机制

当用户第一次访问应用系统的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭据（）；用户再访问别的应用的时候，就会将这个带上，作为自己认证的凭据，应用系统接受到请求之后会把送到认证系统进行效验，检查的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统和应用系统。

基于捎带的时间戳同步机制

为了保持接入“数字教育城”各子系统的用户基础数据与源的一致性，本规采用了基于捎带的时间戳同步技术，具体流程如图所示：

图基于时间戳的同步方法

首先在源用户基础信息增加一个时间戳字段，记录数据被修改的时间，同时各子系统也存在有用户基础信息的备份，该备份也有一个时间戳。当用户用单点登录技术登录到子系统时，该用户的基础信息以及时间戳会以的形式捎带到子系统，子系统只需检查捎带过来的时间戳与备份是否一致，如果不一致，则以源系统为准进行修改。

．单点登录接口规

概述

单点登录是一种统一认证和授权机制，指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。主要由统一身份认证平台和认证接口组成，其中认证接口包括：、、，如图所示：

图统一身份认证平台

具体流程如下：

①用户请求访问业务系统。

②业务系统在系统中查看是否有对应请求的有效令牌，若有，则读取对应的身份信息，允许其访问；若没有或令牌无效，则把用户重定向到统一身份认证平台，并携带业务系统地址，进入第③步。

③在统一身份认证平台提供的页面中，用户输入身份凭证信息，平台验证此身份凭证信息，若有效，则生成一个有效的令牌给用户，进入第④步；若无效，则继续进行认证，直到认证成功或退出为止。

图单点登录页面

④用户携带第③步获取的令牌，再次访问业务系统。

⑤业务系统获取用户携带的令牌，提交到认证平台进行有效性检

查和身份信息获取。

⑥若令牌通过有效性检查，则认证平台会把令牌对应的用户身份

信息返回给业务系统，业务系统把身份信息和有效令牌写入会话状

态中，允许用户以此身份信息进行业务系统的各种操作；若令牌未

通过有效性检查，则会再次重定向到认证平台，返回第③步。

通过统一身份认证平台获取的有效令牌，可以在各个业务系统之

间实现应用漫游。

图单点退出页面

用户基础信息及同步

单点登录系统在完成令牌验证后，会将用户基础信息以的形式传

到目标子系统，具体如下表所示：

属性约束释义备注

非空真实

非空用户密码，用加密

非空用户类型，目前有五种：

，学生

，教师

，行政管理人员（非授课教师）

，家长

，以学校为用户名注册的一类账户

数字教育城目前以

学生、教师和行政

管理人员三种角色

为主

用户手机可能为空

非空学生的学籍号，学生专有的属性