一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法
【技術(shù)領(lǐng)域】
:
[0001]本發(fā)明涉及一種單點(diǎn)登錄方法���,更具體涉及一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法�����。
【背景技術(shù)】
:
[0002]單點(diǎn)登錄(Single Sign On, SSO),是指基于用戶/會(huì)話認(rèn)證的一個(gè)過(guò)程,用戶只需一次性提供憑證(僅一次登錄)��,就可以訪問(wèn)多個(gè)應(yīng)用�����。目前單點(diǎn)登錄主要是基于Web的多種應(yīng)用程序�����,即通過(guò)瀏覽器實(shí)現(xiàn)對(duì)多個(gè)B/S架構(gòu)應(yīng)用的統(tǒng)一賬戶認(rèn)證����。
[0003]單點(diǎn)登錄方案有效整合現(xiàn)有業(yè)務(wù)系統(tǒng)�����,解決多個(gè)業(yè)務(wù)系統(tǒng)的用戶統(tǒng)一認(rèn)證問(wèn)題�,實(shí)現(xiàn)單點(diǎn)登錄及訪問(wèn)控制,并采用相關(guān)的安全機(jī)制增強(qiáng)用戶身份認(rèn)證過(guò)程的安全性�����。在某些特定領(lǐng)域,出于信息安全的考慮�����,會(huì)將所轄網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)�,甚至分成多個(gè)網(wǎng)段。例如�����,國(guó)家電網(wǎng)調(diào)度中心的多個(gè)應(yīng)用系統(tǒng)服務(wù)于不同網(wǎng)段的用戶群�,因此需要實(shí)現(xiàn)多個(gè)應(yīng)用針對(duì)于不同網(wǎng)段的統(tǒng)一登錄。
[0004]商業(yè)SSO —般適用于客戶對(duì)SSO的需求很高���,但商業(yè)SSO軟件除了價(jià)格問(wèn)題外����,另一個(gè)重要問(wèn)題就是對(duì)客戶自己的應(yīng)用系統(tǒng)支持未必十分完善����;開(kāi)源SSO基本不能滿足對(duì)內(nèi)外網(wǎng)及多網(wǎng)段應(yīng)用統(tǒng)一登錄的需求。故提出一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法����,以解決上述問(wèn)題。
【發(fā)明內(nèi)容】
:
[0005]本發(fā)明的目的是提供一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法��,該方法減少系統(tǒng)冗余操作��,降低實(shí)施部署難度���,節(jié)省硬件資源成本。
[0006]為實(shí)現(xiàn)上述目的�,本發(fā)明采用以下技術(shù)方案:一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法,所述方法基于CAS實(shí)現(xiàn)�����;所述CAS包括CAS服務(wù)器和CAS客戶端���;所述方法包括以下步驟:
[0007](I)用戶瀏覽器訪問(wèn)CAS客戶端��;
[0008](2)重新定向到CAS服務(wù)器��;
[0009](3)用戶認(rèn)證���;
[0010](4)重定向到CAS客戶端并發(fā)送認(rèn)證參數(shù);
[0011](5)確認(rèn)登錄成功;
[0012](6)登錄成功后����,重定向到請(qǐng)求地址。
[0013]本發(fā)明提供的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法����,所述步驟(I)通過(guò)進(jìn)入CAS的登錄界面訪問(wèn)所述CAS客戶端;所述登錄界面通過(guò)啟動(dòng)其應(yīng)用程序進(jìn)入����。
[0014]本發(fā)明提供的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法,所述CAS的登錄界面要求用戶輸入用戶名和密碼���。
[0015]本發(fā)明提供的另一優(yōu)選的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法���,所述步驟(3)通過(guò)所獲得的用戶名和密碼,在認(rèn)證機(jī)制進(jìn)行認(rèn)證���。
[0016]本發(fā)明提供的再一優(yōu)選的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法����,當(dāng)用戶已經(jīng)成功地登錄CAS時(shí),所述CAS向?yàn)g覽器送回一個(gè)內(nèi)存cookie ;所述cookie并不是真的保存在內(nèi)存中���,而是當(dāng)所述瀏覽器一關(guān)閉����,所述cookie就自動(dòng)過(guò)期����。
[0017]本發(fā)明提供的又一優(yōu)選的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法,當(dāng)用戶認(rèn)證成功后�����,所述CAS服務(wù)器創(chuàng)建一個(gè)隨機(jī)生成的字符串Ticket ;所述CAS將所述ticket�、成功登錄的用戶和用戶申請(qǐng)的服務(wù)聯(lián)系在一起。
[0018]本發(fā)明提供的又一優(yōu)選的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法�����,所述ticket是一次性使用的憑證��,它只對(duì)成功登錄的用戶及其服務(wù)使用一次��,使用過(guò)以后立刻失效�。
[0019]本發(fā)明提供的又一優(yōu)選的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法��,所述步驟(4)中所述CAS客戶端在從其應(yīng)用程序轉(zhuǎn)向CAS的時(shí)候,根據(jù)其客戶端請(qǐng)求來(lái)源��,會(huì)將子系統(tǒng)的地址����,轉(zhuǎn)化為相應(yīng)網(wǎng)段的地址URL來(lái)提交認(rèn)證����,并且將此URL記錄起來(lái);當(dāng)CAS重定向的時(shí)候����,將所述ticket作為一個(gè)參數(shù)傳遞回應(yīng)用程序。
[0020]本發(fā)明提供的又一優(yōu)選的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法�,所述步驟(5)通過(guò)所述參數(shù)驗(yàn)證是否成功登錄��;當(dāng)所述應(yīng)用程序收到ticket之后�����,需要驗(yàn)證ticket ;所述ticket是通過(guò)傳遞給CAS服務(wù)器提供的URL來(lái)實(shí)現(xiàn)校驗(yàn)的�。
[0021]本發(fā)明提供的又一優(yōu)選的一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法�,是所述CAS獲得ticket后,通過(guò)CAS服務(wù)器對(duì)其進(jìn)行判斷:如果判斷所述ticket是有效的���,則返回一個(gè)標(biāo)識(shí)給其應(yīng)用程序��;隨后CAS將ticket作廢����,并且在客戶端留下一個(gè)cookie ;其他應(yīng)用程序就使用該cookie進(jìn)行認(rèn)證,而不再需要輸入用戶名和密碼。
[0022]和最接近的現(xiàn)有技術(shù)相比�,本發(fā)明提供技術(shù)方案具有以下優(yōu)點(diǎn):
[0023]1、本發(fā)明減少用戶在不同系統(tǒng)中登錄耗費(fèi)的時(shí)間���,減少用戶登錄出錯(cuò)的可能性��;
[0024]2����、本發(fā)明實(shí)現(xiàn)安全的同時(shí)避免了處理和保存多套系統(tǒng)用戶的認(rèn)證信息����;
[0025]3、本發(fā)明減少了系統(tǒng)管理員增加�����、刪除用戶和修改用戶權(quán)限的時(shí)間;
[0026]4��、本發(fā)明增加了安全性:系統(tǒng)管理員有了更好的方法管理用戶���,例如可以通過(guò)直接禁止和刪除用戶來(lái)取消該用戶對(duì)所有系統(tǒng)資源的訪問(wèn)權(quán)限�;
[0027]5�����、本發(fā)明對(duì)需要統(tǒng)一認(rèn)證的各子系統(tǒng)沒(méi)有侵入性���,同時(shí)不需要額外的編程����;
[0028]6����、本發(fā)明有較好的擴(kuò)展性,支持多種認(rèn)證機(jī)制及加密算法���;通過(guò)系統(tǒng)相關(guān)命令自定義證書���,能將普通的傳輸協(xié)議轉(zhuǎn)化為更安全的https協(xié)議��。
【附圖說(shuō)明】
[0029]圖1為本發(fā)明的方法流程圖�。
【具體實(shí)施方式】
[0030]下面結(jié)合實(shí)施例對(duì)發(fā)明作進(jìn)一步的詳細(xì)說(shuō)明�����。
[0031]實(shí)施例1:
[0032]如圖1所示�,本例的發(fā)明一種多網(wǎng)段多系統(tǒng)單點(diǎn)登錄方法���,所述方法基于CAS實(shí)現(xiàn);該單點(diǎn)登錄分為“服務(wù)端(CAS Server)”和“客戶端(CAS Client)”���。服務(wù)端為單點(diǎn)登錄服務(wù)器��,而客戶端是類庫(kù)插件包����。使用單點(diǎn)登錄的應(yīng)用程序��,需要把客戶端類庫(kù)插件包集成到自己的系統(tǒng)中�。單點(diǎn)登錄的客戶端通常簡(jiǎn)單實(shí)現(xiàn)插件包提供的認(rèn)證接口���,替換了原來(lái)應(yīng)用程序的認(rèn)證部分代碼。
[0033]某個(gè)應(yīng)用程序首先要發(fā)起第一次認(rèn)證的情況下�����,應(yīng)用程序中嵌入的客戶端類庫(kù)包會(huì)把應(yīng)用程序原來(lái)的登錄畫面攔截掉��,而直接轉(zhuǎn)到單點(diǎn)登錄服務(wù)器的登錄頁(yè)面����;輸入正確的用戶名和密碼后即可進(jìn)入原應(yīng)用程序系統(tǒng),其他子系統(tǒng)在該客戶端亦可直接訪問(wèn)��。
[0034]安全性:
[0035]電網(wǎng)相關(guān)的軟件系統(tǒng)往往需要較高的安全性�。應(yīng)用多網(wǎng)段多系統(tǒng)單點(diǎn)登錄實(shí)現(xiàn)方案用戶只須在單點(diǎn)登錄服務(wù)器輸入正確的用戶名和密碼,服務(wù)端生成用戶登錄的唯一憑證ticket���,在客戶端瀏覽器與各子系統(tǒng)及認(rèn)證服務(wù)器之間��,通過(guò)ticket校驗(yàn)與通訊����,并不會(huì)直接傳輸用戶的相關(guān)信息,安全性相對(duì)較高��。
[0036]原理:1個(gè) cookie+N 個(gè) sess1n
[0037]點(diǎn)登錄服務(wù)器會(huì)在客戶端創(chuàng)建一個(gè)加密的Cookie