Nghiên cứu dịch vụ web để xây dựng hệ thống đăng nhập một lần

Nội dung text: Nghiên cứu dịch vụ web để xây dựng hệ thống đăng nhập một lần

1. Nguyễn Trần Quốc Vinh và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 122(08): 27 - 33 NGHIÊN CỨU DỊCH VỤ WEB ĐỂ XÂY DỰNG HỆ THỐNG ĐĂNG NHẬP MỘT LẦN Nguyễn Trần Quốc Vinh1*, Nguyễn Văn Vương2 1Trường Đại học Sư phạm, Đại học Đà Nẵng 2Trường Đại học Kinh tế, Đại học Đà Nẵng TÓM TẮT Việc mỗi tổ chức sở hữu và vận hành nhiều website ngày càng phổ biến trên thế giới. Tuy nhiên, nó thường dẫn đến vấn đề một người dùng cần phải ghi nhớ nhiều tài khoản đăng nhập và mật khẩu để đăng nhập vào các website khác nhau của cùng một tổ chức do cơ sở dữ liệu tồn tại độc lập với nhau. Từ đó, vấn đề đăng nhập một lần cho các website trong cùng một tổ chức là một yêu cầu phổ biến. Tác giả nghiên cứu đã xây dựng giải pháp và xây dựng hệ thống đăng nhập một lần hoàn toàn mới, cung cấp các dịch vụ xác thực người dùng dựa trên cơ sở dữ liệu người dùng tập trung. Hệ thống được xây dựng dựa trên việc khai thác tính độc lập đối với nền tảng của dịch vụ web, khả năng chia sẻ cookie giữa các trình duyệt cũng như ứng dụng web. Nghiên cứu cũng tiến hành triển khai ứng dụng thử nghiệm trên hệ thống đã được xây dựng. Từ khóa: Xác thực người dùng; đăng nhập một lần; website; cookie; dịch vụ web. ĐẶT VẤN ĐỀ* dụng khác mà không phải đăng nhập lại, các Ngày nay, việc sở hữu và vận hành nhiều ứng quyền được trao và thông tin người dùng dụng web đã trở nên phổ biến, đặc biệt là các được lưu giữ trong suốt phiên làm việc. Như tổ chức lớn. Các ứng dụng hoạt động độc lập vậy, hệ thống ĐNML vừa đảm bảo tính thuận với nhau, có thể được phát triển trên những tiện vừa tăng độ bảo mật khi sử dụng. Hơn nền tảng khác nhau. Người dùng phải thực nữa, việc quản lý tài khoản tập trung sẽ làm hiện đăng ký thông tin và đăng nhập lại khi cho nhà quản trị chuyên tâm vào phát triển chuyển sang sử dụng ứng dụng khác. ứng dụng, công việc bảo mật sẽ do hệ thống ĐNML đảm nhận. Đối với người dùng, họ chỉ Tổ chức càng nhiều ứng dụng, người dùng cần một tài khoản cho tất cả các ứng dụng. càng phải nhớ một lượng lớn tên đăng nhập và mật khẩu khác nhau. Công việc này chiếm Tuy nhiên, hệ thống ĐNML gặp phải vấn đề một khoản thời gian lớn của người dùng, làm đó là cơ chế bảo mật độc lập với nền của ứng giảm hiệu suất phục vụ của toàn hệ thống. dụng, hoạt động trên kiến trúc riêng biệt [2]. Các nhà phát triển phải giải quyết hàng loạt Điều này đặt ra vấn đề các ứng dụng phải hiểu được và chấp nhận các thông tin xác vấn đề liên quan đến quản lý cơ sở dữ liệu thực do ĐNML cung cấp. Đồng thời phải người dùng và bảo mật ở các hệ thống khác kiểm tra được tính chính xác của thông tin nhau. Để giảm bớt thao tác của người dùng, xác thực. tăng tính chuyên nghiệp cho hệ thống, xây dựng hệ thống đăng nhập một lần (ĐNML, CÁC HỆ THỐNG ĐNML TRÊN THẾ GIỚI Single Sign On – SSO) được đánh giá là giải Trên thế giới, có nhiều giải pháp ĐNML với pháp tốt nhất hiện nay. nhiều phiên bản miễn phí và thương mại. Nổi bật nhất là hệ thống Central Authentication Đăng nhập một lần là quá trình xác thực Service (CAS) và Oracle Enterprise Single phiên làm việc của người dùng, cho phép sử Sign-on (Oracle ESSO). dụng một tên đăng nhập và mật khẩu để truy cập vào nhiều ứng dụng [1]. Sau khi được xác Hệ thống CAS do có đặc thù là mã nguồn mở thực, người dùng có thể truy cập các ứng nên cung cấp khả năng mở rộng cho nhà phát triển và được cộng đồng không ngừng bổ * Tel: 0914 780898, Email: ntquocvinh@gmail.com sung các tính năng mới. CAS client hỗ trợ các 27
2. Nguyễn Trần Quốc Vinh và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 122(08): 27 - 33 ứng dụng được phát triển bằng nhiều ngôn (Password Reset), quản lý khởi tạo xác thực ngữ như PHP, Java, .NET. Tuy nhiên, tất cả người dùng và tự động tạo “chữ ký tắt” của ứng dụng phải được phát triển bằng một ngôn người dùng (Kiosk Manager), quản lý xác ngữ chung nhất, đây chính là hạn chế lớn của thực (Authentication Manager), các công cụ hệ thống CAS. dành cho quản trị viên (Provisioning Khi người dùng chưa đăng nhập, i) ứng dụng Gateway). Oracle ESSO không chỉ cung cấp sẽ yêu cầu CAS xác thực tài khoản do người xác thực một lần cho ứng dụng nền web mà dùng cung cấp; ii) sau khi xác thực thành còn cho các loại ứng dụng khác [5]. công, CAS trả về cho trình duyệt các chuỗi ký Tại Việt Nam, nhu cầu về việc triển khai hệ tự ngẫu nhiên chứa dữ liệu bảo mật và bắt đầu thống quản lý ĐNML ngày càng trở nên cấp bằng tiền tố nhất định gọi là các vé (Ticket). thiết và đã được triển khai ứng dụng ở nhiều Mỗi vé có một ý nghĩa riêng, CAS sử dụng vé nơi, chủ yếu là dựa trên các hệ thống có sẵn. ủy quyền (Ticket-Granting Ticket - TGT) làm Chẳng hạn, Đại học Đà Nẵng đã xây dựng và cơ sở cho CAS thực hiện ĐNML. Ngoài ra, triển khai hệ thống quản lý đăng nhập tập CAS sử dụng vé dịch vụ (Service Ticket - ST) trung, được công bố trong công trình [6]. Tuy được tạo duy nhất cho mỗi ứng dụng. Vé dịch nhiên, công trình này cũng mới chủ yếu tập vụ được dùng một lần trong một phiên làm việc trung giới thiệu tổng quan về ĐNML, giới của người dùng; iii) ứng dụng gửi vé dịch vụ thiệu mô hình hệ thống tổng quan và các kết cho CAS để nhận về mã người dùng và tự động quả triển khai ứng dụng, chưa chỉ ra được các tạo phiên làm việc cho người dùng [3]. công nghệ được ứng dụng cũng như cách thức Trường hợp người dùng truy cập vào ứng ứng dụng các công nghệ, kỹ thuật khác nhau dụng khi đã được CAS xác thực, i) ứng dụng để xây dựng hệ thống ngoài thông tin về giao sẽ gửi vé ủy quyền được lấy từ trình duyệt thức LDAP. cho CAS để xác thực; ii) khi xác thực thành Nghiên cứu này chỉ rõ kiến trúc của hệ thống, công, CAS sẽ gửi cho ứng dụng vé dịch vụ; cụ thể cách thức ứng dụng công nghệ dịch vụ iii) ứng dụng gửi vé dịch vụ cho CAS để lấy về web [7, 8] cùng với kỹ thuật chia sẻ cookie thông tin mã người dùng và tự động tạo phiên giữa các ứng dụng web để xây dựng hệ thống làm việc cho người dùng [3]. Tất cả được xử lý ĐNML. Việc phân chia rõ ràng giữa quản lý thông qua các liên kết (URL) được trao đổi giữa xác thực và quản lý phân quyền cũng là yêu các ứng dụng web và máy chủ CAS. cầu phổ biến, nghiên cứu chỉ quan đến khía Khác với hệ thống CAS, hệ thống Oracle cạnh quản lý xác thực người dùng. ESSO là bản thương mại do Oracle phát triển. XÂY DỰNG HỆ THỐNG ĐNML Hệ thống này là một giải pháp trọn gói cho việc xác thực và quản lý người dùng đối với Các công nghệ được sử dụng tất cả các ứng dụng do Oracle cung cấp. Tuy Dịch vụ web nhiên, việc triển khai hệ thống này không hề Dịch vụ web (web service) là một tập các đơn giản, tác động lớn đến hệ thống sử dụng chuẩn đặc tả mở rộng khả năng của các chuẩn do phải thay đổi phương thức truy cập hệ có sẵn như XML, URL và HTTP nhằm cung thống [4]. Bên cạnh đó, kinh phí để triển khai cấp chuẩn truyền thông giữa các hệ thống với hệ thống này là khá lớn, chỉ phù hợp với số ít nhau. Dịch vụ web cung cấp các phương thức các doanh nghiệp sẵn sàng chi một số tiền lớn giúp ứng dụng tại máy khách truy cập và sử để triển khai. dụng các dịch vụ như là một ứng dụng web Oracle ESSO có cơ chế xác thực rất phức tạp, thực sự. Về bản chất, dịch vụ web dựa trên dựa trên các công nghệ quản lý đăng nhập XML và HTTP, trong đó XML làm nhiệm vụ (Logon Manager), khôi phục mật khẩu mã hóa và giải mã dữ liệu và dùng SOAP để 28
3. Nguyễn Trần Quốc Vinh và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 122(08): 27 - 33 truyền tải dữ liệu. Một đặc trưng quan trọng được mã hóa giữa một máy chủ và một máy của dịch vụ web đó là không phụ thuộc vào khách [9]. Thông thường, dữ liệu được truyền nền tảng công nghệ nào, điều này được tác qua lại giữa máy khách và máy chủ dưới dạng giả ứng dụng để truyền dữ liệu giữa các ứng không được mã hóa, dữ liệu được truyền tải dụng khác nhau. giữa hai nút mạng có thể được đọc và hiểu Trong hệ thống ĐNML được tác giả xây được bởi một bên thứ ba quan sát ở nút trung dựng, dịch vụ web đóng vai trò trung tâm của gian. Nếu dữ liệu được truyền qua kênh SSL, việc xử lý đăng nhập và quản lý dữ liệu tài nó sẽ được mã hoá và bên thứ ba nằm ở nút khoản người dùng. Nhằm đảm bảo các yêu trung gian sẽ không thể hiểu được nội dung cầu đặt ra, hệ thống ĐNML cần cung cấp các thông điệp. dịch vụ cơ bản như: i) Dịch vụ LogOn cung HTTPS là giao thức HTTP trên nền SSL/TSL. cấp các phương thức truy cập thông tin tài Tất cả dịch vụ của hệ thống ĐNML được xây khoản người dùng dựa trên tên đăng nhập và dựng trong phạm vi nghiên cứu được yêu cầu mật khẩu; ii) dịch vụ VerifySessionKey dùng sử dụng SSL. Mọi kết nối từ máy khách đến để xác thực thông tin phiên làm việc của hệ thống ĐNML đều được thiết lập bằng giao người dùng được gửi kèm yêu cầu của ứng thức HTTPS. Việc mã hoá và giải mã được dụng; iii) dịch vụ AutoLogin trả về thông tin thực hiện theo chứng chỉ số SSL. Nếu chứng người dùng dựa vào thông tin phiên làm việc; chỉ được cấp bởi một tổ chức có uy tín và iv) dịch vụ LogOut hỗ trợ đăng xuất người được chấp nhận rộng rãi trên thế giới, chứng dùng ở tất cả các ứng dụng; v) dịch vụ chỉ sẽ được trình duyệt web cũng như các ứng ChangePassword giúp người dùng thay đổi dụng tự động chấp nhận. Nếu chứng chỉ SSL mật khẩu. Tất nhiên, để có thể sử dụng các dịch vụ web này, người dùng hoặc trình ứng được tạo ra bởi các cá nhân hoặc tổ chức chưa dụng triệu gọi chúng phải cung cấp thông tin được công nhận rộng rãi trên thế giới, người xác thực quyền sử dụng. dùng phải thực hiện thao tác xác nhận chứng chỉ số này khi duyệt web. Tuy nhiên, với ứng Cookie và vấn đề truyền dữ liệu giữa các dụng web truy cập đến dịch vụ web, cần phải ứng dụng lập trình xử lý để mặc định nó luôn luôn tự Cookie là một phần dữ liệu được lưu trữ trên động xác nhận chứng chỉ SSL của máy chủ trình duyệt của máy khách và tồn tại trong một dịch vụ web mà không chờ đợi vào thao tác khoảng thời gian nhất định do ứng dụng web thủ công của con người. quy định. Cookie được trình duyệt tự động gửi theo mỗi khi truy cập đến máy chủ web. Thiết kế hệ thống Cookie của các ứng dụng khác nhau sẽ khác Mô hình xác thực người dùng nhau. Việc lấy thông tin cookie từ một ứng Hệ thống ĐNML dùng một chuỗi ký tự được dụng web khác là rất khó khăn, nhất là khi hai sinh ra ngẫu nhiên và không trùng nhau giữa ứng dụng khác tên miền (domain). Trong các phiên làm việc của người dùng, gọi là nghiên cứu này, tác giả đã tiến hành tạo SessionKey, để nhận biết phiên làm việc của cookie theo cách thay đổi đường dẫn mặc người dùng. Khi người dùng truy cập vào các định để cookie được tạo ra có thể dùng chung trang có yêu cầu xác thực, ứng dụng sẽ gọi cho các ứng dụng có nhu cầu. Đây chính là cơ các dịch vụ của hệ thống ĐNML. Trong sở quan trọng cho việc xây dựng hệ thống trường hợp SessionKey không tồn tại, hoặc ĐNML cho nhiều ứng dụng với tên miền không hợp lệ, ứng dụng sẽ chuyển người khác nhau. dùng đến trang đăng nhập. Vậy, để được xác SSL và kết nối HTTPS thực, người dùng cần phải có tài khoản và mật SSL (Secure Sockets Layer) là công nghệ bảo khẩu hợp lệ hoặc là SessionKey hợp lệ. Hình mật tiêu chuẩn để thiết lập một kết nối đã 1 mô tả quá trình xác thực người dùng. 29
4. Nguyễn Trần Quốc Vinh và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 122(08): 27 - 33 Ứng dụng Hệ thống SSO Hệ thống Quản lý người dùng Browser domain1.udn.vn sso.udn.vn UserManager Gửi thông tin đăng nhập Gọi dịch vụ kiểm tra thông tin đăng nhập Kiểm tra tài khoản với thông tin đăng nhập [tài khoản không tồn tại] Thông báo đăng nhập không thành công [tài khoản tồn tại] Tạo SessionKey Lưu SessionKey vào Lưu SessionKey vào cookie cơ sở dữ liệu của trình duyệt Yêu cầu SessionKey Gửi SessionKey thông qua cookie [Tồn tại SessionKey] Gọi dịch vụ xác thực SessionKey Kiểm tra tài khoản với giá trị SessionKey [SessionKey không tồn tại] Chuyển đến trang đăng nhập Xóa cookie [SessionKey tồn tại] Cập nhật thời hạn SessionKey Gọi dịch vụ lấy thông tin người dùng của phiên làm việc Tìm kiếm người dùng Tạo phiên làm việc cho với SessionKey Chuyển về trang người dùng yêu cầu người dùng Hình 1: Sơ đồ mô tả quá trình xác thực người dùng Ban đầu, trình duyệt không có bất kỳ cookie gia hạn thời gian cho phiên làm việc nếu nào dùng cho việc xác thực với dịch vụ SessionKey hợp lệ. Ứng dụng web sẽ cập ĐNML. Vì vậy, khi người dùng truy cập vào nhật và gửi cookie mới cho trình duyệt web trang web có yêu cầu xác thực ở bất kỳ hệ để nó gửi đến máy chủ web trong lần truy cập thống domain1.udn.vn hoặc domain2.udn.vn sau của người dùng. đều được yêu cầu nhập thông tin người dùng Mô hình đăng xuất một lần (Single Sign Out). tại trang đăng nhập của mỗi hệ thống. Một khi Để kết thúc phiên làm việc, người dùng cần người dùng đăng nhập thành công vào hệ yêu cầu chức năng đăng xuất từ một hệ thống thống, cookie chứa thông tin xác thực cho bất kỳ. Dịch vụ ĐNML sẽ được gọi để hủy người dùng sẽ được tạo và được gửi đến trình duyệt web. SessionKey và xóa phiên làm việc của người dùng. Hình 2 mô tả chức năng đăng xuất một Bấy giờ, nếu người dùng truy cập vào bất cứ hệ thống domain1.udn.vn hoặc lần. Người dùng khi đăng xuất tại một hệ domain2.udn.vn, trình duyệt sẽ gửi cookie thống bất kỳ thì các hệ thống khác cũng tự xác thực đến ứng dụng web. Các ứng dụng động hủy phiên làm việc của người dùng. Lúc web sẽ nhận cookie và gửi SessionKey đến hệ này, mọi thông tin đăng nhập của sẽ bị xóa, thống sso.udn.vn. Nó sẽ kiểm tra và gửi thông người dùng sẽ phải đăng nhập lại để bắt đầu tin người dùng về cho ứng dụng web yêu cầu, phiên làm việc mới. 30
5. Nguyễn Trần Quốc Vinh và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 122(08): 27 - 33 Trình duyệt Ứng dụng Hệ thống SSO Hệ thống Quản lý người dùng Browser domain1.udn.vn sso.udn.vn UserManager Yêu cầu đăng xuất Lấy giá trị SessionKey Gửi SessionKey thông qua cookie Kiểm tra SessionKey [Tồn tại SessionKey] Gửi yêu cầu đăng xuất Xóa SessionKey trong Xóa SessionKey CSDL trên trình duyệt Chuyển đến trang đăng nhập Hình 2: Mô hình Đăng xuất một lần Ứng dụng asp.udn.vn IP: 192.168.20.9 Hệ thống SSO sso.udn.vn IP: 192.168.8.30 IP: 192.168.7.10 Ứng dụng php1.udn.vn php2.udn.vn IP: 192.168.3.3 Hình 3: Sơ đồ thử nghiệm hệ thống ĐNML CÀI ĐẶT THỬ NGHIỆM VÀ ĐÁNH GIÁ thành công một ứng dụng trên nền tảng .NET. KẾT QUẢ Sơ đồ các ứng dụng thử nghiệm hệ thống như Hệ thống ĐNML được xây dựng trong phạm hình 3. Ứng dụng .NET gồm hai trang chính: vi nghiên cứu đã được triển khai ứng dụng Trang đăng nhập và trang hiển thị thông tin thành công tại Trường Đại học Kinh tế - Đại người dùng. Kịch bản thử nghiệm được mô tả học Đà Nẵng từ tháng 5/2013 cho các ứng như sau: Khi truy cập vào trang hiển thị thông dụng web trên các máy chủ web riêng biệt, đó tin người dùng, nếu chưa đăng nhập thì sẽ là các website được xây dựng dựa trên nền chuyển về trang đăng nhập. Nếu người dùng tảng Apache/PHP tapchikhkt.due.udn.vn, đã đăng nhập thì sẽ được chuyển tự động đến hoithao.due.udn.vn và kh.due.udn.vn và tại trang thông tin người dùng. Sau đó, người Trường Đại học Sư phạm – Đại học Đà Nẵng dùng có thể truy cập ở các ứng dụng còn lại từ tháng 11/2013 cho các website mà không cần đăng nhập. scv.ued.udn.vn, conf.ued.udn.vn và Hệ thống ĐNML được xây dựng đã hoàn jse.ued.udn.vn. Để kiểm tra khả năng thích chỉnh các chức năng và giải quyết các vấn đề ứng với các nền tảng lập trình khác nhau, các xác thực người dùng tập trung và ĐNML cho tác giả đã xây dựng, thử nghiệm kết hợp các ứng dụng. Ngoài ra, hệ thống còn đảm 31
6. Nguyễn Trần Quốc Vinh và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 122(08): 27 - 33 bảo được tính bảo mật trong quá trình truyền học Kinh tế - Đại học Đà Nẵng từ tháng dữ liệu giữa ĐNML và các ứng dụng. 5/2013 và Trường Đại học Kinh tế - Đại học Hệ thống ĐNML do các tác giả đề xuất về cơ Đà Nẵng từ tháng 11/2013. Hệ thống hoạt bản đã giải quyết được các hạn chế mà các hệ động hoàn toàn độc lập với nền tảng công thống ĐNML hiện có. Các dịch vụ do hệ nghệ dung để xây dựng các ứng dụng. Tuy thống ĐNML cung cấp có thể được sử dụng nhiên, tác giả chưa thực hiện nghiên cứu so trên nhiều nền tảng khác nhau với các ngôn sánh giữa hệ thống xây dựng được với các hệ ngữ lập trình như .NET, Java, PHP, Việc thống khác về mặt hiệu năng. triển khai hệ thống ĐNML cũng trở nên đơn giản bởi vì mọi thứ được thực hiện qua dịch TÀI LIỆU THAM KHẢO vụ web. Nhà phát triển chỉ cần triệu gọi các 1. Chris Waynforth, “Definition single sign-on dịch vụ của ĐNML trong ứng dụng của mình, (SSO)”, Information Security Magazine Online, (truy cập ngày 11/2/2014). Trong phạm vi bài viết này, tác giả đi sâu về 2. Hồ Văn Hương, Đào Thị Ngọc, “Ứng dụng hệ giải pháp máy chủ ĐNML không cung cấp thống kiểm soát truy nhập mạng theo mô hình truy giao diện đăng nhập. Việc đăng nhập được nhập một lần”, Tạp chí An toàn thông tin, (truy cập ngày 11/2/2014) việc đăng nhập được thực hiện chỉ trên giao 3. Trần Nghi Phú, “Cơ chế Single Sign On phần diện của máy chủ ĐNML bằng cách chuyển 2”, (truy cập ngày 11/2/2014) chủ ĐNML. Với cấu hình này, các ứng dụng 4. “Dịch vụ và giải pháp chứng thực một lần web sử dụng dịch vụ sẽ không đọc được mật Oracle Single Sign On (SSO)”, khẩu của người dùng. Trong mọi trường hợp, máy chủ ĐNML chỉ quản lý về việc xác thực sso.html (truy cập ngày 11/2/2014). người dùng. Các ứng dụng tự quản lý về việc 5. Oracle Corporation, Oracle Enterprise Single phân quyền sử dụng hệ thống của mình. Sign-on Technical Guide, USA, June 2009. 6. Mai Trần Trung Hiếu*, Trịnh Công Duy, Hồ KẾT LUẬN Phan Hiếu, “Nghiên cứu kiến trúc và xây dựng hệ Trong phạm vi nghiên cứu, tác giả đã xây thống chứng thực tập trung cho Đại học Đà dựng hệ thống ĐNML hoàn toàn độc lập với Nẵng”, Tạp chí Khoa học và Công nghệ Đại học các hệ thống và các công bố trước đây bằng Đà Nẵng, số 1(74).2014. ngôn ngữ PHP và dịch vụ web. Hệ thống 7. Robert Daigneau, Service Design Patterns: cung cấp các dịch vụ xác thực người dùng và Fundamental Design Solutions for SOAP/WSDL ĐNML cho nhiều ứng dụng trong cùng một tổ and RESTful Web Services, Pearson Education, chức. Tác giả cũng đã xây dựng thành công 2012. giải pháp dựa trên việc sử dụng dịch vụ web 8. Võ Trung Hùng, Nguyễn Thị Quỳnh Lâm, và chia sẻ cookie giữa các ứng dụng web khác “Nghiên cứu ứng dụng web service xây dựng hệ thống một cửa điện tử”, nhau được xây dựng trên các nền tảng khác nhau, cũng như xây dựng thành công hệ thống (truy cập ngày 11/03/2014). quản lý ĐNML và triển khai ứng dụng thành 9. Hồng Phúc, Nguyễn Ngọc Tuấn, Công nghệ công trên nhiều ứng dụng web tại Trường Đại bảo mật, Nhà xuất bản Thống kê, 2005. 32
7. Nguyễn Trần Quốc Vinh và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 122(08): 27 - 33 SUMMARY BUILDING A SYSTEM FOR SINGLE SIGN ON BASED ON THE WEB SERVICE Nguyen Tran Quoc Vinh1*, Nguyen Van Vuong2 1College of Education – Da Nang University, 2College of Economy – Da Nang University There is an increasing trend around the world that one organization owns and operates several websites. However, it often leads to problem that a user needs to remember multiple login accounts and passwords to log into different sites within the same organization due to database existing independently from each other. Thus, one single sign-on to websites within the same organization is commonly requested. Within the scope of the article, the authors propose solutions and building system of single sign-on services based that provide services of user authentication based on concentrated user database. The system is built based on the exploitation of the independence of the foundation of web services, the ability to share cookies between browsers and web applications. The paper also conducts application testing for the sign-on system that has already been built. Key words: User authentication; single sign on; website; cookie; web service. Ngày nhận bài:30/5/2014; Ngày phản biện:12/6/2014; Ngày duyệt đăng: 25/8/2014 Phản biện khoa học: TS. Huỳnh Công Pháp – Đại học Đà Nẵng * Tel: 0914 780898, Email: ntquocvinh@gmail.com 33