所谓身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议，需要用户出示更多的信息(如私钥)来证明自己的身份，如Kerberos身份认证系统。

身份认一般与授权控制是相互联系的，授权控制是指一旦用户的身份通过认证以后，确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在数字化校园中，应该有一个统一的身份认证系统供各应用系统使用，但授权控制可以由各应用系统自己管理。

1.1 统一身份认证的流程

统一身份认证服务系统的一个基本应用模式是统一认证模式，它是以统一身份认证服务为核心的服务使用模式。用户登录统一身份认证服务后，即可使用所有支持统一身份认证服务的管理应用系统。

(1) 用户使 用在统一认证服务注册的用户名和密码(也可能是其他的授权信息，比如数字签名等)登陆统一认证服务;

(2) 统一认证服务创建了一个会话，同时将与该会话关联的访问认证令牌返回给用户;

(3) 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;

(4) 该应用系统将访问认证令牌传入统一身份认证服务，认证访问认证令牌的有效性;

(5) 统一身份认证服务确认认证令牌的有效性;

(6)应用系统接收访问，并返回访问结果，如果需要提高访问效率的话，应用系统可选择返回其自身的认证令牌已使得用户之后可以使用这个私有令牌持续访问。

1.2 系统的组成与结构

统一身份认证系统的设计采用层次式结构，主要分为数据层、认证通道层和认证接口层，同时分为多个功能模块，其中最主要的有身份认证模块和权限管理模块。

身份认证模块管理用户身份和成员站点身份。该模块向用户提供在线注册功能，用户注册时必须提供相应信息(如用户名、密码)，该信息即为用户身份的唯一凭证，拥有该信息的用户即为统一身份认证系统的合法用户;身份认证模块还向成员站点提供在线注册功能，成员站点注册时需提供一些关于成员站点的基本信息，还包括为用户定义的角色种类(如普通用户、高级用户、管理员用户)。

权限管理模块主要有:成员站点对用户的权限控制、用户对成员站点的权限控制、成员站点对成员站点的权限控制。用户向某成员站点申请分配权限时，需向该成员站点提供他的某些信息，这些信息就是用户提供给成员站点的权限，而成员站点通过统一身份认证系统身份认证后就可以查询用户信息，并给该用户分配权限，获得权限的用户通过统一身份认证系统身份认证后就可以以某种身份访问该成员站点。成员站点对成员用户信息/角色、权限信息站点的权限控制主要是成员站点控制向其它成员站点提供的调用接口。统一 身 份 认证系统与用户的接口必须同时支持B/S和C/S的模式，同时还必须支持Notes应用认证接口，不同的认证接口具有不同的优势，具有不同的应用场合，如B/S接口不需要专门安装相应的客户端软件，C/S接口的安全性稍高等。