專(zhuān)利名稱(chēng):一種基于負(fù)載均衡的單點(diǎn)登錄方法�����、系統(tǒng)和負(fù)載均衡設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)訪問(wèn)技術(shù)�,特別是涉及一種基于負(fù)載均衡的單點(diǎn)登錄方法���、系統(tǒng) 和負(fù)載均衡設(shè)備。
背景技術(shù):
隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用�,目前已經(jīng)涌現(xiàn)各種各樣的應(yīng)用系統(tǒng),如辦 公自動(dòng)化(OA)系統(tǒng)�、人力資源(HR)管理系統(tǒng)、財(cái)務(wù)系統(tǒng)����、客戶(hù)關(guān)系管理(CRM)系統(tǒng)、企業(yè)資 源計(jì)劃(ERP)系統(tǒng)���、政府網(wǎng)上審批系統(tǒng)�����、學(xué)校一卡通系統(tǒng)等�����。用戶(hù)需要使用這些應(yīng)用系統(tǒng)��,就必須進(jìn)行登錄�����。如果各個(gè)應(yīng)用系統(tǒng)都有獨(dú)立的身 份認(rèn)證安全策略���,比如要求輸入用戶(hù)ID和口令�,那么���,用戶(hù)登錄時(shí)出錯(cuò)的可能性就會(huì)越大�, 受到非法截獲和破壞的可能性會(huì)越大��,應(yīng)用系統(tǒng)的安全性就會(huì)降低��。為了提高安全性���、增強(qiáng) 用戶(hù)體驗(yàn)�,現(xiàn)有技術(shù)已經(jīng)提出一種被稱(chēng)為單點(diǎn)登錄(SSO�����,Single Sign-On)的技術(shù),即用 戶(hù)只需要一次登錄和驗(yàn)證�,就可以對(duì)多個(gè)應(yīng)用系統(tǒng)進(jìn)行訪問(wèn),從而提高系統(tǒng)整體的安全性���, 提高用戶(hù)的工作效率�����,增強(qiáng)用戶(hù)體驗(yàn)�����。圖1是現(xiàn)有技術(shù)中實(shí)現(xiàn)單點(diǎn)登錄的典型的系統(tǒng)結(jié)構(gòu)示意圖。如圖1所示�����,該系統(tǒng) 包括用戶(hù)�、網(wǎng)絡(luò)(Web)應(yīng)用服務(wù)器、集中認(rèn)證服務(wù)(CAS�����,CentralAuthentication Service) 服務(wù)器。其中����,集中認(rèn)證服務(wù)(CAS,Central Authentication krvice)服務(wù)器��,負(fù)責(zé)完成對(duì)用 戶(hù)的認(rèn)證��。CAS服務(wù)器通常獨(dú)立部署����,其設(shè)備產(chǎn)品可能為耶魯集中認(rèn)證服務(wù)器(Yale CAS Server)或 ESUP CAS Server 等。網(wǎng)絡(luò)(Web)應(yīng)用服務(wù)器����,為用戶(hù)提供對(duì)應(yīng)用系統(tǒng)的訪問(wèn)。圖1示出了現(xiàn)有技術(shù)中單點(diǎn)登錄方法的大致流程�����,即1)用戶(hù)向Web應(yīng)用服務(wù)器發(fā)送訪問(wèn)請(qǐng)求���。2) Web應(yīng)用服務(wù)器向用戶(hù)響應(yīng)HTTP重定向�,并在該響應(yīng)中指示用戶(hù)去往CAS服務(wù) 器進(jìn)行認(rèn)證�����。3)用戶(hù)根據(jù)Web應(yīng)用服務(wù)器返回的HTTP重定向響應(yīng),通過(guò)HTTPS訪問(wèn)CAS服務(wù) 器��。這里�����,用戶(hù)實(shí)際上是向CAS服務(wù)器訪問(wèn)其Login URL, Login URL提示用戶(hù)輸入用戶(hù)名 和密碼����,并對(duì)用戶(hù)名和密碼進(jìn)行驗(yàn)證。另外��,用戶(hù)在向CAS服務(wù)器訪問(wèn)Login URL的時(shí)候�, 會(huì)攜帶HTTP請(qǐng)求參數(shù),用以指示將要訪問(wèn)的Web應(yīng)用服務(wù)器�,該參數(shù)可以為“krvice ID”�。4)CAS服務(wù)器對(duì)用戶(hù)進(jìn)行認(rèn)證,在認(rèn)證通過(guò)后�����,為用戶(hù)生成一個(gè)不透明的長(zhǎng)字符串 "ServiceTicket",并將 “ServiceTicket�,�����,����、“ServiceID��,���,����、“ticket-grantingcookie” 等信 息通過(guò)重定向響應(yīng)反饋給Web瀏覽器����。這里所述不透明長(zhǎng)字符串就是指用戶(hù)能夠獲得該文 本字符串,但并不知道其具體含義�����?!発rviceTicket”是一次性的,僅可被用戶(hù)用于訪問(wèn)特 定的web服務(wù)�,并且只能使用一次��。這里所述“ticket-granting cookie”是用于標(biāo)識(shí)已經(jīng) 成功登錄的用戶(hù)�����,通過(guò)“ticket-grantingcookie”����,用戶(hù)可以實(shí)現(xiàn)對(duì)多個(gè)web應(yīng)用的單點(diǎn)登 錄���。也就是說(shuō)�����,用戶(hù)輸入一次用戶(hù)名和密碼就可以訪問(wèn)CAS服務(wù)器管理下的任意Web應(yīng)用��。如果不使用該Cookie�,用戶(hù)則每次在Web應(yīng)用將其重定向到CAS服務(wù)器時(shí),都需要重新輸入 用戶(hù)名和密碼。當(dāng)然�����,實(shí)際應(yīng)用中�����,CAS服務(wù)器也可以不返回“ticket-grantingcookie”,用 戶(hù)同樣可以實(shí)現(xiàn)單點(diǎn)登錄�。另外,本步驟中���,CAS服務(wù)器還會(huì)在自身內(nèi)部數(shù)據(jù)庫(kù)內(nèi)創(chuàng)建一個(gè)關(guān)聯(lián)����,記錄 ServiceTicket和krvicelD之間的關(guān)聯(lián)關(guān)系���。5)用戶(hù)根據(jù)重定向響應(yīng)中的“krvicelD”確定需要訪問(wèn)的Web應(yīng)用服務(wù)器����,向需 要訪問(wèn)的Web應(yīng)用服務(wù)器重新發(fā)送訪問(wèn)請(qǐng)求����,并將“^^^⑶打沙討”作為請(qǐng)求參數(shù)。6) Web應(yīng)用服務(wù)器通過(guò)HTTPS向CAS服務(wù)器發(fā)送驗(yàn)證請(qǐng)求����,并在驗(yàn)證請(qǐng)求中攜帶 "ServicelD” 和 “krviceTicket” 參數(shù)。7)CAS服務(wù)器接收到Web應(yīng)用服務(wù)器發(fā)送的驗(yàn)證請(qǐng)求時(shí),將內(nèi)部數(shù)據(jù)庫(kù)的記錄與 請(qǐng)求中所述“ServicelD”和“ServiceTicket”參數(shù)進(jìn)行驗(yàn)證�,如果一致,說(shuō)明驗(yàn)證通過(guò)并向 Web應(yīng)用服務(wù)器返回驗(yàn)證成功的信息和對(duì)應(yīng)的用戶(hù)名�;否則,CAS服務(wù)器返回驗(yàn)證失敗的相
關(guān)fe息����。上述是現(xiàn)有技術(shù)實(shí)現(xiàn)單點(diǎn)登錄的方法。實(shí)際應(yīng)用中�����,隨著網(wǎng)絡(luò)的發(fā)展���,以及出于 性能和高可用性(HA)的考慮��,還對(duì)Web應(yīng)用服務(wù)器和CAS服務(wù)器實(shí)現(xiàn)負(fù)載均衡(LB�����,Load Balance)提出了要求�����。也就是說(shuō)���,如果單點(diǎn)登錄系統(tǒng)中存在多個(gè)Web應(yīng)用服務(wù)器和多個(gè)CAS 服務(wù)器,那么�����,在用戶(hù)訪問(wèn)Web應(yīng)用服務(wù)器時(shí)可以要求實(shí)現(xiàn)負(fù)載均衡����,在用戶(hù)訪問(wèn)CAS服務(wù) 器時(shí)也可以要求實(shí)現(xiàn)負(fù)載均衡。對(duì)這種負(fù)載均衡的要求來(lái)說(shuō)�,現(xiàn)有技術(shù)可以利用傳統(tǒng)的基于L4負(fù)載均衡技術(shù)來(lái) 實(shí)現(xiàn)。圖2是對(duì)多個(gè)Web應(yīng)用服務(wù)器和多個(gè)CAS服務(wù)器實(shí)現(xiàn)負(fù)載均衡的單點(diǎn)登錄的系統(tǒng)結(jié) 構(gòu)示意圖�。如圖2所示,該系統(tǒng)包括2個(gè)真實(shí)CAS服務(wù)器���,并同屬于一個(gè)CAS虛服務(wù)��;該系 統(tǒng)還包括2個(gè)真實(shí)Web應(yīng)用服務(wù)器���,并同屬于一個(gè)Web虛服務(wù)。這樣�,當(dāng)某個(gè)用戶(hù)訪問(wèn)CAS 虛服務(wù)時(shí),負(fù)載均衡設(shè)備可以根據(jù)一定的均衡算法����,可能會(huì)將該訪問(wèn)分發(fā)給真實(shí)的CAS服 務(wù)器1���。當(dāng)另一個(gè)用戶(hù)訪問(wèn)CAS虛服務(wù)器時(shí),負(fù)載均衡設(shè)備同樣可以采用該算法���,并可能將 訪問(wèn)分發(fā)給真實(shí)的CAS服務(wù)器2�?�?傊?����,負(fù)載均衡設(shè)備可以根據(jù)某種均衡算法來(lái)實(shí)現(xiàn)對(duì)CAS 服務(wù)器訪問(wèn)的負(fù)載均衡����。對(duì)于Web應(yīng)用服務(wù)器訪問(wèn)來(lái)說(shuō),負(fù)載均衡設(shè)備可以采用類(lèi)似的方 法來(lái)實(shí)現(xiàn)����,此處不再贅述。但是�,傳統(tǒng)的基于L4負(fù)載均衡技術(shù)中的各個(gè)虛服務(wù)器彼此是獨(dú)立的,對(duì)不同虛服 務(wù)的真實(shí)服務(wù)器的負(fù)載分發(fā)也是獨(dú)立�。假設(shè)用戶(hù)將要訪問(wèn)Web應(yīng)用服務(wù)器1����,并需要在CAS 服務(wù)器1上進(jìn)行認(rèn)證�。如果用戶(hù)訪問(wèn)CAS虛服務(wù)時(shí),其請(qǐng)求被分發(fā)到真實(shí)服務(wù)器CAS服務(wù) 器1上����,而后續(xù)真實(shí)Web應(yīng)用服務(wù)器1訪問(wèn)CAS服務(wù)進(jìn)行認(rèn)證時(shí)����,真實(shí)Web應(yīng)用服務(wù)器1也 必須到真實(shí)CAS服務(wù)器1上才能實(shí)現(xiàn)用戶(hù)合法性驗(yàn)證,即需要進(jìn)行“黏性”訪問(wèn)�����。而按照現(xiàn) 有的基于L4負(fù)載均衡技術(shù)��,Web應(yīng)用服務(wù)器1的訪問(wèn)請(qǐng)求有可能根據(jù)均衡算法被分發(fā)到真 實(shí)服務(wù)器CAS服務(wù)器2上�����,而沒(méi)有被分發(fā)到CAS服務(wù)器1上����。也就是說(shuō)��,目前基于L4負(fù)載 均衡技術(shù)可以實(shí)現(xiàn)負(fù)載均衡��,但卻不能保證上述的“黏性”訪問(wèn)�����,從而可能導(dǎo)致驗(yàn)證失敗�,用 戶(hù)也就無(wú)法訪問(wèn)Web應(yīng)用的業(yè)務(wù)�����。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明第一個(gè)目的是提供一種基于負(fù)載均衡的單點(diǎn)登錄方法��,能保證用戶(hù)訪問(wèn)的真實(shí)Web服務(wù)器可以準(zhǔn)確獲知負(fù)責(zé)為用戶(hù)認(rèn)證的真實(shí)CAS服務(wù)器����,克服現(xiàn)有技 術(shù)無(wú)法實(shí)現(xiàn)黏性訪問(wèn)的問(wèn)題,從而保證用戶(hù)在基于負(fù)載均衡的單點(diǎn)登錄過(guò)程中有效進(jìn)行認(rèn) 證和登錄�����。本發(fā)明第二個(gè)目的是提供一種基于負(fù)載均衡的單點(diǎn)登錄系統(tǒng),能保證用戶(hù)訪問(wèn)的 真實(shí)Web服務(wù)器可以準(zhǔn)確獲知負(fù)責(zé)為用戶(hù)認(rèn)證的真實(shí)CAS服務(wù)器�,克服現(xiàn)有技術(shù)無(wú)法實(shí)現(xiàn) 黏性訪問(wèn)的問(wèn)題,從而保證用戶(hù)在基于負(fù)載均衡的單點(diǎn)登錄過(guò)程中有效進(jìn)行認(rèn)證和登錄��。本發(fā)明的第三個(gè)目的是提供一種負(fù)載均衡設(shè)備����,能保證用戶(hù)訪問(wèn)的真實(shí)Web服務(wù) 器可以準(zhǔn)確獲知負(fù)責(zé)為用戶(hù)認(rèn)證的真實(shí)CAS服務(wù)器,克服現(xiàn)有技術(shù)無(wú)法實(shí)現(xiàn)黏性訪問(wèn)的問(wèn) 題���,從而保證用戶(hù)在基于負(fù)載均衡的單點(diǎn)登錄過(guò)程中有效進(jìn)行認(rèn)證和登錄。為了達(dá)到上述第一個(gè)目的�,本發(fā)明提出的技術(shù)方案為一種基于負(fù)載均衡的單點(diǎn)登錄方法,該方法包括A����、當(dāng)前用戶(hù)通過(guò)負(fù)載均衡LB設(shè)備訪問(wèn)網(wǎng)絡(luò)Web虛服務(wù),并被Web虛服務(wù)下的真實(shí) Web應(yīng)用服務(wù)器重定向到集中認(rèn)證服務(wù)CAS虛服務(wù)進(jìn)行認(rèn)證���;B���、LB設(shè)備和所述真實(shí)Web應(yīng)用服務(wù)器獲知為當(dāng)前用戶(hù)認(rèn)證的CAS虛服務(wù)下的真 實(shí)CAS服務(wù)器,所述真實(shí)CAS服務(wù)器對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證�,并將當(dāng)前用戶(hù)重定向到Web虛服 務(wù)進(jìn)行業(yè)務(wù)訪問(wèn)�����;C����、Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù)器請(qǐng)求所述真實(shí)CAS服務(wù)器進(jìn)行驗(yàn)證�,并根 據(jù)驗(yàn)證結(jié)果實(shí)現(xiàn)當(dāng)前用戶(hù)單點(diǎn)登錄。上述方案中�,所述步驟A包括Al、當(dāng)前用戶(hù)向LB設(shè)備發(fā)送訪問(wèn)Web虛服務(wù)的訪問(wèn)請(qǐng)求��;A2�、LB設(shè)備根據(jù)負(fù)載均衡方法確定Web虛服務(wù)下的一個(gè)真實(shí)Web應(yīng)用服務(wù)器,將 當(dāng)前用戶(hù)IP地址和真實(shí)Web應(yīng)用服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在建立的Web虛服務(wù)轉(zhuǎn)發(fā) 表中�,并根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP地址將步驟Al所述訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給真實(shí)Web應(yīng)用服 務(wù)器;A3�����、真實(shí)Web應(yīng)用服務(wù)器向當(dāng)前用戶(hù)返回重定向響應(yīng)�,并在重定向響應(yīng)中指示當(dāng) 前用戶(hù)到CAS虛服務(wù)進(jìn)行認(rèn)證;A4�、當(dāng)前用戶(hù)根據(jù)步驟A3所述重定向響應(yīng)向LB設(shè)備發(fā)送由CAS虛服務(wù)進(jìn)行認(rèn)證 的認(rèn)證請(qǐng)求。上述方案中,所述步驟B包括Bi�����、LB設(shè)備確定CAS虛服務(wù)下的一個(gè)真實(shí)CAS服務(wù)器�;B2、LB設(shè)備根據(jù)真實(shí)CAS服務(wù)器IP地址將步驟A4所述認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給真實(shí)CAS 服務(wù)器�,并將所述真實(shí)CAS服務(wù)器的IP地址通知給所述真實(shí)Web應(yīng)用服務(wù)器;B3����、真實(shí)CAS服務(wù)器對(duì)當(dāng)前用戶(hù)認(rèn)證后,向當(dāng)前用戶(hù)返回重定向響應(yīng)�����,并在重定向 響應(yīng)中指示當(dāng)前用戶(hù)到Web虛服務(wù)進(jìn)行業(yè)務(wù)訪問(wèn)�����;B4��、當(dāng)前用戶(hù)根據(jù)步驟B3所述重定向響應(yīng)向LB設(shè)備發(fā)送到Web虛服務(wù)進(jìn)行業(yè)務(wù) 訪問(wèn)的訪問(wèn)請(qǐng)求�����;B5�����、LB設(shè)備根據(jù)Web虛服務(wù)轉(zhuǎn)發(fā)表獲取與當(dāng)前用戶(hù)IP地址對(duì)應(yīng)的真實(shí)Web應(yīng)用 服務(wù)器IP地址�,根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給所述真實(shí)Web應(yīng) 用服務(wù)器。
上述方案中�����,所述步驟C包括Cl��、真實(shí)Web應(yīng)用服務(wù)器根據(jù)真實(shí)CAS服務(wù)器的IP地址向所述真實(shí)CAS服務(wù)器發(fā) 送驗(yàn)證請(qǐng)求�;C2、真實(shí)CAS服務(wù)器對(duì)所述真實(shí)Web應(yīng)用服務(wù)器進(jìn)行驗(yàn)證�,并返回驗(yàn)證結(jié)果;C3��、真實(shí)Web應(yīng)用服務(wù)器根據(jù)驗(yàn)證結(jié)果實(shí)現(xiàn)當(dāng)前用戶(hù)單點(diǎn)登錄���。上述方案中����,該方法進(jìn)一步包括事先建立DNS解析資源鎖表�����,用于記錄真實(shí)Web 應(yīng)用服務(wù)器IP地址、DNS資源鎖的值�����、真實(shí)CAS服務(wù)器IP地址之間的對(duì)應(yīng)關(guān)系�����;所述DNS 資源鎖的值表示真實(shí)Web應(yīng)用服務(wù)器是否保存有效的真實(shí)CAS服務(wù)器IP地址����;所述步驟Bl 包括XI、LB設(shè)備接收到當(dāng)前用戶(hù)發(fā)送的由CAS虛服務(wù)進(jìn)行認(rèn)證的認(rèn)證請(qǐng)求���,查詢(xún)事先 建立的CAS虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄����,如果存在�����,則根據(jù)當(dāng)前用戶(hù)IP地址從 CAS虛服務(wù)轉(zhuǎn)發(fā)表中獲取真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器�����,再繼續(xù)執(zhí)行步驟 B2 ����;如果不存在,則繼續(xù)執(zhí)行步驟X2 ����;X2、查詢(xún)事先建立的Web虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄��,如果存在���,則繼 續(xù)執(zhí)行步驟X3 �;如果不存在����,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服務(wù)器,并將當(dāng)前用戶(hù) IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā)表中��,然后繼 續(xù)執(zhí)行步驟B2;X3�����、根據(jù)當(dāng)前用戶(hù)IP地址從Web虛服務(wù)轉(zhuǎn)發(fā)表中獲取對(duì)應(yīng)的真實(shí)Web應(yīng)用服務(wù)器 IP地址,再根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址查詢(xún)事先建立的域名系統(tǒng)DNS解析資源 鎖表�,判斷DNS資源鎖的值是否為0,如果為0�,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服務(wù) 器,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服 務(wù)轉(zhuǎn)發(fā)表中�����,將DNS資源鎖的值加1���,再繼續(xù)執(zhí)行步驟B2 ��;如果不為0�,則根據(jù)真實(shí)Web應(yīng)用 服務(wù)器IP地址從DNS解析資源鎖表中獲取對(duì)應(yīng)的真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS 服務(wù)器�����,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS 虛服務(wù)轉(zhuǎn)發(fā)表中��,將DNS資源鎖的值加1����,然后再繼續(xù)執(zhí)行步驟B2����。上述方案中�����,步驟B2中所述將所述真實(shí)CAS服務(wù)器的IP地址通知給所述真實(shí)Web 應(yīng)用服務(wù)器的方法包括LB設(shè)備根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP地址向所述真實(shí)Web應(yīng)用服務(wù)器發(fā)送攜帶有 真實(shí)CAS服務(wù)器IP地址的DNS刷新請(qǐng)求���,所述真實(shí)Web應(yīng)用服務(wù)器將自身記錄的CAS服務(wù) 器IP地址刷新為所述真實(shí)CAS服務(wù)器IP地址。上述方案中���,所述步驟Cl后�,該方法進(jìn)一步包括LB設(shè)備將DNS解析資源鎖表中DNS資源鎖的值減1�。針對(duì)上述第二個(gè)目的,本發(fā)明提供的技術(shù)方案為一種基于負(fù)載均衡的單點(diǎn)登錄系統(tǒng)�����,該系統(tǒng)包括用戶(hù)端�,用于發(fā)起對(duì)網(wǎng)絡(luò)Web虛服務(wù)的訪問(wèn);根據(jù)Web虛服務(wù)下真實(shí)Web應(yīng)用服務(wù) 器的重定向�,發(fā)送到集中認(rèn)證服務(wù)CAS虛服務(wù)的認(rèn)證請(qǐng)求;根據(jù)CAS虛服務(wù)下真實(shí)CAS服務(wù) 器的重定向�,再發(fā)送到Web虛服務(wù)的業(yè)務(wù)訪問(wèn);負(fù)載均衡LB設(shè)備�����,用于接收用戶(hù)端對(duì)網(wǎng)絡(luò)Web虛服務(wù)的訪問(wèn),并轉(zhuǎn)發(fā)給Web虛服 務(wù)下的真實(shí)Web應(yīng)用服務(wù)器���;獲知為當(dāng)前用戶(hù)認(rèn)證的CAS虛服務(wù)下的真實(shí)CAS服務(wù)器���;將Web虛服務(wù)下真實(shí)Web應(yīng)用服務(wù)器的重定向通知給用戶(hù)端,并將用戶(hù)端發(fā)送的認(rèn)證請(qǐng)求轉(zhuǎn) 發(fā)給CAS虛服務(wù)下的真實(shí)CAS服務(wù)器��;將CAS虛服務(wù)下的真實(shí)CAS服務(wù)器的重定向通知給 用戶(hù)端��,并將用戶(hù)端的業(yè)務(wù)訪問(wèn)轉(zhuǎn)發(fā)給真實(shí)Web應(yīng)用服務(wù)器�����;真實(shí)Web應(yīng)用服務(wù)器���,用于接收由LB設(shè)備轉(zhuǎn)發(fā)的用戶(hù)端的訪問(wèn)����,并通過(guò)LB設(shè)備通 知用戶(hù)端重定向到CAS虛服務(wù)進(jìn)行認(rèn)證����;獲知為當(dāng)前用戶(hù)認(rèn)證的CAS虛服務(wù)下的真實(shí)CAS 服務(wù)器����;再次接收由LB設(shè)備轉(zhuǎn)發(fā)的用戶(hù)端的業(yè)務(wù)訪問(wèn)時(shí)�����,請(qǐng)求真實(shí)CAS服務(wù)器進(jìn)行驗(yàn)證��,并 根據(jù)驗(yàn)證結(jié)果實(shí)現(xiàn)用戶(hù)單點(diǎn)登錄���;真實(shí)CAS服務(wù)器,用于接收用戶(hù)端通過(guò)LB設(shè)備發(fā)送的認(rèn)證請(qǐng)求��,對(duì)用戶(hù)端進(jìn)行認(rèn) 證�����;通過(guò)LB設(shè)備通知用戶(hù)端重定向到Web虛服務(wù)進(jìn)行業(yè)務(wù)訪問(wèn)���;根據(jù)真實(shí)Web應(yīng)用服務(wù)器 發(fā)送的驗(yàn)證請(qǐng)求進(jìn)行驗(yàn)證��。上述方案中����,所述LB設(shè)備包括收發(fā)單元,用于接收用戶(hù)端對(duì)Web虛服務(wù)的訪問(wèn)����,并轉(zhuǎn)發(fā)給Web確定單元處理,根 據(jù)Web確定單元確定出的結(jié)果將用戶(hù)端的訪問(wèn)轉(zhuǎn)發(fā)給Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù) 器�;將Web虛服務(wù)下真實(shí)Web應(yīng)用服務(wù)器的重定向轉(zhuǎn)發(fā)給用戶(hù)端,接收用戶(hù)端發(fā)送的認(rèn)證請(qǐng) 求并轉(zhuǎn)發(fā)給CAS確定單元處理���;根據(jù)CAS確定單元處理確定出的結(jié)果將用戶(hù)端的認(rèn)證請(qǐng)求 轉(zhuǎn)發(fā)給CAS虛服務(wù)下的真實(shí)CAS服務(wù)器��;將CAS確定單元處理確定出的真實(shí)CAS服務(wù)器通 知給真實(shí)Web應(yīng)用服務(wù)器�����;將CAS虛服務(wù)下真實(shí)CAS服務(wù)器的重定向轉(zhuǎn)發(fā)給用戶(hù)端��,接收用 戶(hù)端根據(jù)重定向再次對(duì)網(wǎng)絡(luò)Web虛服務(wù)的訪問(wèn)����,并根據(jù)Web確定單元處理結(jié)果將業(yè)務(wù)訪問(wèn) 轉(zhuǎn)發(fā)給真實(shí)Web應(yīng)用服務(wù)器����;Web確定單元,用于從Web虛服務(wù)下確定一個(gè)真實(shí)Web應(yīng)用服務(wù)器;CAS確定單元�����,用于從CAS虛服務(wù)下確定一個(gè)真實(shí)CAS服務(wù)器����;存儲(chǔ)單元�,用于保存Web虛服務(wù)轉(zhuǎn)發(fā)表,所述Web虛服務(wù)轉(zhuǎn)發(fā)表用于保存用戶(hù)端IP 地址和Web確定單元所確定出的真實(shí)Web應(yīng)用服務(wù)器IP地址的對(duì)應(yīng)關(guān)系�;還用于保存CAS 虛服務(wù)轉(zhuǎn)發(fā)表,所述CAS虛服務(wù)轉(zhuǎn)發(fā)表用于保存用戶(hù)端IP地址和CAS確定單元所確定出的 真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系�����。上述方案中�,所述Web確定單元是根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)Web應(yīng)用服務(wù) 器的。上述方案中��,所述存儲(chǔ)單元進(jìn)一步包括域名系統(tǒng)DNS解析資源鎖表�,用于記錄真 實(shí)Web應(yīng)用服務(wù)器IP地址、DNS資源鎖的值����、真實(shí)CAS服務(wù)器IP地址之間的對(duì)應(yīng)關(guān)系;所 述DNS資源鎖的值表示真實(shí)Web應(yīng)用服務(wù)器是否保存有效的真實(shí)CAS服務(wù)器IP地址;所述CAS確定單元包括第一子單元�����,用于在所述收發(fā)單元接收到用戶(hù)端發(fā)送的由CAS虛服務(wù)進(jìn)行認(rèn)證的 認(rèn)證請(qǐng)求時(shí)��,從存儲(chǔ)單元查詢(xún)CAS虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄�,如果存在,則根 據(jù)當(dāng)前用戶(hù)IP地址從CAS虛服務(wù)轉(zhuǎn)發(fā)表中獲取真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服 務(wù)器��;如果不存在��,則觸發(fā)第二子單元執(zhí)行���;第二子單元�����,用于查詢(xún)存儲(chǔ)單元中Web虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄��, 如果存在����,則繼續(xù)觸發(fā)第三子單元執(zhí)行����;如果不存在�����,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí) CAS服務(wù)器�����,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在 CAS虛服務(wù)轉(zhuǎn)發(fā)表中��;
第三子單元��,用于根據(jù)用戶(hù)端IP地址從存儲(chǔ)單元的Web虛服務(wù)轉(zhuǎn)發(fā)表中獲取對(duì)應(yīng) 的真實(shí)Web應(yīng)用服務(wù)器IP地址,再根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址查詢(xún)存儲(chǔ)單元中 DNS解析資源鎖表�����,判斷DNS資源鎖的值是否為0��,如果為0��,則根據(jù)負(fù)載均衡方法確定一個(gè) 真實(shí)CAS服務(wù)器���,并將用戶(hù)端IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄 在CAS虛服務(wù)轉(zhuǎn)發(fā)表中�����,將DNS資源鎖的值加1 �����;如果不為0����,則根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP 地址從DNS解析資源鎖表中獲取對(duì)應(yīng)的真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器,并 將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā) 表中�,將DNS資源鎖的值加1。上述方案中����,所述LB設(shè)備中收發(fā)單元將CAS確定單元確定出的真實(shí)CAS服務(wù)器通 知給真實(shí)Web應(yīng)用服務(wù)器的方法為向真實(shí)Web應(yīng)用服務(wù)器發(fā)送攜帶有CAS確定單元確定 出的真實(shí)CAS服務(wù)器IP地址的DNS刷新請(qǐng)求;所述真實(shí)Web應(yīng)用服務(wù)器獲知真實(shí)CAS服務(wù)器的方法為真實(shí)Web應(yīng)用服務(wù)器根 據(jù)所述DNS刷新請(qǐng)求將自身記錄的CAS服務(wù)器IP地址刷新為真實(shí)CAS服務(wù)器IP地址�。針對(duì)上述第三個(gè)目的,本發(fā)明提供的技術(shù)方案為一種負(fù)載均衡設(shè)備���,該設(shè)備包括收發(fā)單元�����,用于接收用戶(hù)端對(duì)Web虛服務(wù)的訪問(wèn)����,并轉(zhuǎn)發(fā)給Web確定單元處理,根 據(jù)Web確定單元確定出的結(jié)果將用戶(hù)端的訪問(wèn)轉(zhuǎn)發(fā)給Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù) 器��;將Web虛服務(wù)下真實(shí)Web應(yīng)用服務(wù)器的重定向轉(zhuǎn)發(fā)給用戶(hù)端�,接收用戶(hù)端發(fā)送的認(rèn)證請(qǐng) 求并轉(zhuǎn)發(fā)給CAS確定單元處理;根據(jù)CAS確定單元處理確定出的結(jié)果將用戶(hù)端的認(rèn)證請(qǐng)求 轉(zhuǎn)發(fā)給CAS虛服務(wù)下的真實(shí)CAS服務(wù)器�����;將CAS確定單元處理確定出的真實(shí)CAS服務(wù)器通 知給真實(shí)Web應(yīng)用服務(wù)器��;將CAS虛服務(wù)下真實(shí)CAS服務(wù)器的重定向轉(zhuǎn)發(fā)給用戶(hù)端���,接收用 戶(hù)端根據(jù)重定向再次對(duì)網(wǎng)絡(luò)Web虛服務(wù)的訪問(wèn)�,并根據(jù)Web確定單元處理結(jié)果將業(yè)務(wù)訪問(wèn) 轉(zhuǎn)發(fā)給真實(shí)Web應(yīng)用服務(wù)器��;Web確定單元��,用于從Web虛服務(wù)下確定一個(gè)真實(shí)Web應(yīng)用服務(wù)器��;CAS確定單元�����,用于從CAS虛服務(wù)下確定一個(gè)真實(shí)CAS服務(wù)器�;存儲(chǔ)單元,用于保存Web虛服務(wù)轉(zhuǎn)發(fā)表��,所述Web虛服務(wù)轉(zhuǎn)發(fā)表用于保存用戶(hù)端IP 地址和Web確定單元所確定出的真實(shí)Web應(yīng)用服務(wù)器IP地址的對(duì)應(yīng)關(guān)系�����;還用于保存CAS 虛服務(wù)轉(zhuǎn)發(fā)表�,所述CAS虛服務(wù)轉(zhuǎn)發(fā)表用于保存用戶(hù)端IP地址和CAS確定單元所確定出的 真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系。上述方案中��,所述Web確定單元是根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)Web應(yīng)用服務(wù) 器的�����。上述方案中����,所述存儲(chǔ)單元進(jìn)一步包括域名系統(tǒng)DNS解析資源鎖表,用于記錄真 實(shí)Web應(yīng)用服務(wù)器IP地址���、DNS資源鎖的值�����、真實(shí)CAS服務(wù)器IP地址之間的對(duì)應(yīng)關(guān)系����;所 述DNS資源鎖的值表示真實(shí)Web應(yīng)用服務(wù)器是否保存有效的真實(shí)CAS服務(wù)器IP地址;所述CAS確定單元包括第一子單元����,用于在所述收發(fā)單元接收到用戶(hù)端發(fā)送的由CAS虛服務(wù)進(jìn)行認(rèn)證的 認(rèn)證請(qǐng)求時(shí),從存儲(chǔ)單元查詢(xún)CAS虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄�,如果存在,則根 據(jù)當(dāng)前用戶(hù)IP地址從CAS虛服務(wù)轉(zhuǎn)發(fā)表中獲取真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服 務(wù)器����;如果不存在,則觸發(fā)第二子單元執(zhí)行���;
第二子單元��,用于查詢(xún)存儲(chǔ)單元中Web虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄�����, 如果存在,則繼續(xù)觸發(fā)第三子單元執(zhí)行�����;如果不存在,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí) CAS服務(wù)器�����,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在 CAS虛服務(wù)轉(zhuǎn)發(fā)表中��;第三子單元�,用于根據(jù)用戶(hù)端IP地址從存儲(chǔ)單元的Web虛服務(wù)轉(zhuǎn)發(fā)表中獲取對(duì)應(yīng) 的真實(shí)Web應(yīng)用服務(wù)器IP地址,再根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址查詢(xún)存儲(chǔ)單元中 DNS解析資源鎖表���,判斷DNS資源鎖的值是否為0�,如果為0��,則根據(jù)負(fù)載均衡方法確定一個(gè) 真實(shí)CAS服務(wù)器����,并將用戶(hù)端IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄 在CAS虛服務(wù)轉(zhuǎn)發(fā)表中,將DNS資源鎖的值加1 ��;如果不為0�,則根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP 地址從DNS解析資源鎖表中獲取對(duì)應(yīng)的真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器,并 將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā) 表中�����,將DNS資源鎖的值加1。上述方案中�,所述收發(fā)單元將CAS確定單元處理確定出的真實(shí)CAS服務(wù)器通知給 真實(shí)Web應(yīng)用服務(wù)器的方法為向真實(shí)Web應(yīng)用服務(wù)器發(fā)送攜帶有CAS確定單元處理確定 出的真實(shí)CAS服務(wù)器IP地址的DNS刷新請(qǐng)求。綜上所述�,本發(fā)明提出一種基于負(fù)載均衡的單點(diǎn)登錄方法、系統(tǒng)和負(fù)載均衡設(shè)備����, 由于負(fù)載均衡LB設(shè)備和真實(shí)Web應(yīng)用服務(wù)器可以獲知當(dāng)前用戶(hù)應(yīng)該去往哪一個(gè)真實(shí)CAS 服務(wù)器進(jìn)行認(rèn)證。這樣�,在當(dāng)前用戶(hù)單點(diǎn)登錄時(shí),當(dāng)前用戶(hù)可以請(qǐng)求某個(gè)真實(shí)的CAS服務(wù)器 認(rèn)證���,真實(shí)Web應(yīng)用服務(wù)器也可以訪問(wèn)同一個(gè)真實(shí)的CAS服務(wù)器進(jìn)行驗(yàn)證��,從而實(shí)現(xiàn)“黏性” 訪問(wèn)���,保證用戶(hù)有效地進(jìn)行認(rèn)證和登錄。
圖1是現(xiàn)有技術(shù)中單點(diǎn)登錄的系統(tǒng)結(jié)構(gòu)圖�。圖2是對(duì)多個(gè)Web應(yīng)用服務(wù)器和多個(gè)CAS服務(wù)器實(shí)現(xiàn)負(fù)載均衡的單點(diǎn)登錄的系統(tǒng) 結(jié)構(gòu)示意圖。圖3是本發(fā)明實(shí)現(xiàn)基于負(fù)載均衡的單點(diǎn)登錄方法流程圖���。圖4是本發(fā)明方法實(shí)施例一的方法流程圖����。圖5是本發(fā)明方法實(shí)施例二中系統(tǒng)結(jié)構(gòu)示意圖�。圖6是本發(fā)明方法實(shí)施例二的方法消息流示意圖。圖7是本發(fā)明系統(tǒng)結(jié)構(gòu)示意圖�。圖8是本發(fā)明負(fù)載均衡設(shè)備702的內(nèi)部結(jié)構(gòu)示意圖。圖9是本發(fā)明CAS確定單元803的內(nèi)部結(jié)構(gòu)示意圖�。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面將結(jié)合附圖及具體實(shí)施例對(duì) 本發(fā)明作進(jìn)一步地詳細(xì)描述。如圖3所示����,本發(fā)明實(shí)現(xiàn)基于負(fù)載均衡的單點(diǎn)登錄方法還包括步驟301 當(dāng)前用戶(hù)通過(guò)負(fù)載均衡(LB)設(shè)備訪問(wèn)網(wǎng)絡(luò)(Web)虛服務(wù),并被Web虛 服務(wù)下的真實(shí)Web應(yīng)用服務(wù)器重定向到CAS虛服務(wù)進(jìn)行認(rèn)證�����。
步驟302 =LB設(shè)備和真實(shí)Web應(yīng)用服務(wù)器獲知為當(dāng)前用戶(hù)認(rèn)證的CAS虛服務(wù)下的 真實(shí)CAS服務(wù)器�����,真實(shí)CAS服務(wù)器對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證�,并將當(dāng)前用戶(hù)重定向到Web虛服務(wù) 進(jìn)行業(yè)務(wù)訪問(wèn)。步驟303 =Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù)器請(qǐng)求所述真實(shí)CAS服務(wù)器進(jìn)行驗(yàn) 證,并根據(jù)驗(yàn)證結(jié)果實(shí)現(xiàn)當(dāng)前用戶(hù)單點(diǎn)登錄����。也就是說(shuō),本發(fā)明LB設(shè)備和真實(shí)Web應(yīng)用服務(wù)器可以獲知當(dāng)前用戶(hù)應(yīng)該去往哪一 個(gè)真實(shí)CAS服務(wù)器進(jìn)行認(rèn)證���。這樣����,在當(dāng)前用戶(hù)單點(diǎn)登錄過(guò)程中���,如果當(dāng)前用戶(hù)需要訪問(wèn)真 實(shí)CAS服務(wù)器����,可以根據(jù)該真實(shí)CAS服務(wù)器IP地址訪問(wèn)真實(shí)的CAS服務(wù)器�����;如果真實(shí)Web 應(yīng)用服務(wù)器也需要訪問(wèn)真實(shí)CAS服務(wù)器���,也可以根據(jù)該真實(shí)CAS服務(wù)器IP地址訪問(wèn)真實(shí)的 CAS服務(wù)器���。即�����,當(dāng)前用戶(hù)和真實(shí)Web應(yīng)用服務(wù)器都可以準(zhǔn)確地訪問(wèn)到負(fù)責(zé)當(dāng)前用戶(hù)認(rèn)證的 真實(shí)CAS服務(wù)器����,從而實(shí)現(xiàn)“黏性”訪問(wèn)�����。實(shí)際應(yīng)用中�,基于負(fù)載均衡的單點(diǎn)登錄過(guò)程是一個(gè)比較復(fù)雜的過(guò)程�,本發(fā)明實(shí)施 例一利用圖4將其過(guò)程作一個(gè)大致說(shuō)明。為了在單點(diǎn)登錄過(guò)程實(shí)現(xiàn)CAS服務(wù)器的負(fù)載均衡和Web服務(wù)器的負(fù)載均衡�����,可以 在LB設(shè)備中設(shè)置Web虛服務(wù)轉(zhuǎn)發(fā)表和CAS虛服務(wù)轉(zhuǎn)發(fā)表����。其中,Web虛服務(wù)轉(zhuǎn)發(fā)表用于記 錄用戶(hù)IP地址和真實(shí)Web應(yīng)用服務(wù)器IP地址之間的對(duì)應(yīng)關(guān)系���,CAS虛服務(wù)轉(zhuǎn)發(fā)表用于記 錄用戶(hù)IP地址和真實(shí)CAS服務(wù)器IP地址之間的對(duì)應(yīng)關(guān)系�����。當(dāng)某個(gè)用戶(hù)需要訪問(wèn)Web虛服 務(wù)時(shí)�,就可以為其確定一個(gè)真實(shí)Web應(yīng)用服務(wù)器,并將其IP地址對(duì)應(yīng)記錄在Web虛服務(wù)轉(zhuǎn) 發(fā)表中�。相似地,當(dāng)某個(gè)用戶(hù)需要訪問(wèn)CAS虛服務(wù)時(shí)�,可以為其確定一個(gè)真實(shí)CAS服務(wù)器, 并將其IP地址對(duì)應(yīng)記錄在CAS虛服務(wù)轉(zhuǎn)發(fā)表中�。如圖4所示,該方法包括步驟401 當(dāng)前用戶(hù)向LB設(shè)備發(fā)送訪問(wèn)Web虛服務(wù)的訪問(wèn)請(qǐng)求���。步驟402 =LB設(shè)備根據(jù)負(fù)載均衡方法確定Web虛服務(wù)下的一個(gè)真實(shí)Web應(yīng)用服務(wù) 器�,將當(dāng)前用戶(hù)IP地址和真實(shí)Web應(yīng)用服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在建立的Web虛服 務(wù)轉(zhuǎn)發(fā)表中��,并根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP地址將步驟401所述訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給真實(shí)Web 應(yīng)用服務(wù)器��。步驟403 真實(shí)Web應(yīng)用服務(wù)器向當(dāng)前用戶(hù)返回重定向響應(yīng)�����,并在重定向響應(yīng)中指 示當(dāng)前用戶(hù)到CAS虛服務(wù)進(jìn)行認(rèn)證�。步驟404 當(dāng)前用戶(hù)根據(jù)重定向響應(yīng)向LB設(shè)備發(fā)送由CAS虛服務(wù)進(jìn)行認(rèn)證的認(rèn)證 請(qǐng)求。步驟405 =LB設(shè)備確定CAS虛服務(wù)下的一個(gè)真實(shí)CAS服務(wù)器�����。步驟406 =LB設(shè)備根據(jù)真實(shí)CAS服務(wù)器IP地址將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給真實(shí)CAS服務(wù) 器,并將所述真實(shí)CAS服務(wù)器的IP地址通知給所述真實(shí)Web應(yīng)用服務(wù)器���。步驟407 真實(shí)CAS服務(wù)器對(duì)當(dāng)前用戶(hù)認(rèn)證后�,向當(dāng)前用戶(hù)返回重定向響應(yīng)�����,并在 重定向響應(yīng)中指示當(dāng)前用戶(hù)到Web虛服務(wù)進(jìn)行業(yè)務(wù)訪問(wèn)����。步驟408 當(dāng)前用戶(hù)根據(jù)重定向響應(yīng)向LB設(shè)備發(fā)送到Web虛服務(wù)進(jìn)行業(yè)務(wù)訪問(wèn)的 訪問(wèn)請(qǐng)求���。步驟409 =LB設(shè)備根據(jù)Web虛服務(wù)轉(zhuǎn)發(fā)表獲取與當(dāng)前用戶(hù)IP地址對(duì)應(yīng)的真實(shí)Web 應(yīng)用服務(wù)器IP地址�����,根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給所述真實(shí)Web應(yīng)用服務(wù)器�����。步驟410 真實(shí)Web應(yīng)用服務(wù)器根據(jù)真實(shí)CAS服務(wù)器的IP地址向所述真實(shí)CAS服 務(wù)器發(fā)送驗(yàn)證請(qǐng)求�。步驟411 真實(shí)CAS服務(wù)器對(duì)所述真實(shí)Web應(yīng)用服務(wù)器進(jìn)行驗(yàn)證,并返回驗(yàn)證結(jié)果��。步驟412 真實(shí)Web應(yīng)用服務(wù)器根據(jù)驗(yàn)證結(jié)果實(shí)現(xiàn)當(dāng)前用戶(hù)單點(diǎn)登錄��。這里�����,步驟401 步驟404具體實(shí)現(xiàn)了步驟301,步驟405 步驟409具體實(shí)現(xiàn)了 步驟302,步驟410 步驟412具體實(shí)現(xiàn)了步驟303��。可以看出����,上述流程與現(xiàn)有技術(shù)流程 相似,其區(qū)別包括本發(fā)明利用步驟405在LB設(shè)備確定了一個(gè)真實(shí)CAS服務(wù)器��,在步驟406 中將真實(shí)CAS服務(wù)器的IP地址通知給了真實(shí)Web應(yīng)用服務(wù)器����,在步驟410中真實(shí)Web應(yīng)用 服務(wù)器就可以準(zhǔn)確地到真實(shí)CAS服務(wù)器驗(yàn)證,從而實(shí)現(xiàn)“黏性”訪問(wèn)�。至于步驟406如何具 體地將真實(shí)CAS服務(wù)器的IP地址通知給真實(shí)Web應(yīng)用服務(wù)器,可以在實(shí)際應(yīng)用中�����,比如下 面方法實(shí)施例二所給出的具體通知方法�,此處不再贅述��。本實(shí)施例中�,步驟405實(shí)現(xiàn)的具體方法可以為XI��、LB設(shè)備接收到當(dāng)前用戶(hù)發(fā)送的由CAS虛服務(wù)進(jìn)行認(rèn)證的認(rèn)證請(qǐng)求���,查詢(xún)事先 建立的CAS虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄,如果存在��,則根據(jù)當(dāng)前用戶(hù)IP地址從 CAS虛服務(wù)轉(zhuǎn)發(fā)表中獲取真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器��,再繼續(xù)執(zhí)行步驟 406 ����;如果不存在����,則繼續(xù)執(zhí)行步驟X2 �;X2��、查詢(xún)事先建立的Web虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄��,如果存在����,則繼 續(xù)執(zhí)行步驟X3 �����;如果不存在����,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服務(wù)器���,并將當(dāng)前用戶(hù) IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā)表中,然后繼 續(xù)執(zhí)行步驟406 ���;X3����、根據(jù)當(dāng)前用戶(hù)IP地址從Web虛服務(wù)轉(zhuǎn)發(fā)表中獲取對(duì)應(yīng)的真實(shí)Web應(yīng)用服務(wù)器 IP地址����,再根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址查詢(xún)事先建立的域名系統(tǒng)DNS解析資源 鎖表,判斷DNS資源鎖的值是否為0��,如果為0���,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服務(wù) 器���,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服 務(wù)轉(zhuǎn)發(fā)表中�����,將DNS資源鎖的值加1���,再繼續(xù)執(zhí)行步驟406 ;如果不為0�����,則根據(jù)真實(shí)Web應(yīng)用 服務(wù)器IP地址從DNS解析資源鎖表中獲取對(duì)應(yīng)的真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS 服務(wù)器�����,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS 虛服務(wù)轉(zhuǎn)發(fā)表中,將DNS資源鎖的值加1�,然后再繼續(xù)執(zhí)行步驟406。上述確定真實(shí)CAS服務(wù)器的方法分為以下幾種情況1)如果CAS虛服務(wù)轉(zhuǎn)發(fā)表已經(jīng)存在當(dāng)前用戶(hù)的記錄�,即存在當(dāng)前用戶(hù)IP地址和真 實(shí)CAS服務(wù)器IP地址之間的對(duì)應(yīng)關(guān)系���,說(shuō)明當(dāng)前用戶(hù)此前已經(jīng)到真實(shí)CAS服務(wù)器進(jìn)行過(guò)認(rèn) 證�,此次直接去往該真實(shí)CAS服務(wù)器進(jìn)行認(rèn)證即可����。2)如果CAS虛服務(wù)轉(zhuǎn)發(fā)表不存在當(dāng)前用戶(hù)的記錄,而Web虛服務(wù)轉(zhuǎn)發(fā)表存在當(dāng)前 用戶(hù)的記錄����,則說(shuō)明當(dāng)前用戶(hù)此前訪問(wèn)過(guò)某個(gè)真實(shí)Web應(yīng)用服務(wù)器���,可以根據(jù)該真實(shí)Web應(yīng) 用服務(wù)器當(dāng)前與某個(gè)真實(shí)CAS服務(wù)器動(dòng)態(tài)綁定的情況來(lái)確定一個(gè)真實(shí)CAS服務(wù)器���,這又可 分為以下兩種情況第一種情況�����,如果DNS解析資源鎖表中DNS資源鎖的值為0����,說(shuō)明該真 實(shí)Web應(yīng)用服務(wù)器當(dāng)前并非一定去往某個(gè)真實(shí)CAS服務(wù)器進(jìn)行驗(yàn)證��,該真實(shí)CAS服務(wù)器上沒(méi)有記錄有效的真實(shí)Web應(yīng)用服務(wù)器IP地址��,即���,該真實(shí)Web應(yīng)用服務(wù)器當(dāng)前沒(méi)有與某個(gè) 真實(shí)CAS服務(wù)器綁定����。這種情況下����,LB設(shè)備可以根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服務(wù) 器��,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服 務(wù)轉(zhuǎn)發(fā)表中��。當(dāng)然�����,此時(shí)相當(dāng)于將該真實(shí)Web應(yīng)用服務(wù)器與某個(gè)真實(shí)CAS服務(wù)器綁定了�,可 以將DNS資源鎖的值加1���,將其變?yōu)榉?值����。第二種情況����,如果DNS解析資源鎖表中DNS資 源鎖的值不為0,說(shuō)明該真實(shí)Web應(yīng)用服務(wù)器當(dāng)前應(yīng)該去往某個(gè)真實(shí)CAS服務(wù)器進(jìn)行驗(yàn)證���, 該真實(shí)CAS服務(wù)器上記錄了有效的真實(shí)Web應(yīng)用服務(wù)器IP地址���,即,該真實(shí)Web應(yīng)用服務(wù) 器當(dāng)前已經(jīng)與某個(gè)真實(shí)CAS服務(wù)器進(jìn)行綁定了�����。3)如果CAS虛服務(wù)轉(zhuǎn)發(fā)表和Web虛服務(wù)轉(zhuǎn)發(fā)表都不存在當(dāng)前用戶(hù)的記錄,說(shuō)明當(dāng) 前用戶(hù)此前既沒(méi)有訪問(wèn)過(guò)真實(shí)Web應(yīng)用服務(wù)器�,也沒(méi)有訪問(wèn)過(guò)真實(shí)CAS服務(wù)器。這種情況 下��,LB設(shè)備可以根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服務(wù)器�����,并將當(dāng)前用戶(hù)IP地址和確定 出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā)表中�����。為了更好地說(shuō)明本發(fā)明方案����,下面再用實(shí)施例二進(jìn)行詳細(xì)描述�����。圖5是利用本 實(shí)施例實(shí)現(xiàn)單點(diǎn)登錄的系統(tǒng)結(jié)構(gòu)示意圖��,如圖5所示��,該系統(tǒng)包括1)當(dāng)前用戶(hù),假設(shè)其 IP 地址為 192. 168. 104. 155 ��;2)Web Application 服務(wù)器群的虛服務(wù) Virtual Serverl, 假設(shè)其虛IP地址為192. 168. 88. 1���,域名為web. h3c.com�����。該虛服務(wù)Virtual Serverl包 含兩個(gè)真實(shí)的Web應(yīng)用服務(wù)器���,即Serverl和krver2,其中���,Serverl的真實(shí)IP地址為 192. 168. 66. 63��,Server2 的真實(shí) IP 地址為 192. 168. 168. 66. 64 �;3)CAS 服務(wù)器群的虛服 務(wù)Virtual Server2��,假設(shè)其虛IP地址為192. 168. 88. 3�,域名為cas. h3c. com。該虛服務(wù) Virtual Server2包含兩個(gè)真實(shí)的CAS服務(wù)器�,分別為Server3和Server4,其中,Server3 的真實(shí)IP地址為192. 168. 66. 105�,Server4的真實(shí)IP地址為192. 168. 66. 106 ;4)負(fù)載均 衡設(shè)備(LB, Load Balance)��。本實(shí)施例中�,所述虛服務(wù)Virtual Serverl就是所述Web虛服務(wù),所述krverl和 Server2就是所述真實(shí)Web應(yīng)用服務(wù)器���,所述虛服務(wù)Virtual Server2就是所述CAS虛服 務(wù)����,所述Serverf和Server4就是所述真實(shí)CAS服務(wù)器���。本實(shí)施例中,可以事先在兩個(gè)真實(shí)的Web應(yīng)用服務(wù)器上啟動(dòng)DNS服務(wù)�����,禁用DNS Cache功能�,將真實(shí)的應(yīng)用服務(wù)器作為DNS域中的次服務(wù)器。同時(shí)�����,在LB設(shè)備配置階段��,可 以使能DNS功能,禁用DNS Cache功能�,將LB設(shè)備作為DNS域中的主服務(wù)器。本實(shí)施例還 可以將兩個(gè)虛服務(wù)器使能基于源地址的會(huì)話保持功能��,以便在轉(zhuǎn)發(fā)表中確定某個(gè)真實(shí)服務(wù) 器后����,LB設(shè)備不再根據(jù)負(fù)載均衡算法選擇真實(shí)服務(wù)器,而直接根據(jù)轉(zhuǎn)發(fā)表已有的相應(yīng)表項(xiàng) 轉(zhuǎn)發(fā)報(bào)文�,從而使得用戶(hù)在一次訪問(wèn)中始終訪問(wèn)某個(gè)確定出的真實(shí)服務(wù)器。從本實(shí)施例的上述設(shè)置可以看出��,本實(shí)施例至少包括兩個(gè)虛擬服務(wù)器(VQ���,LB設(shè) 備�、Web服務(wù)和CAS服務(wù)三者之間形成了三角形流量�����,這些流量包括HTTP流量����、HTTPS流量, 屬于第7層,LB設(shè)備實(shí)現(xiàn)的是多VS三角形流量拓?fù)浞荢SL終結(jié)的第7層方法��。另外���,本實(shí)施例可以設(shè)置Web虛服務(wù)轉(zhuǎn)發(fā)表���、CAS虛服務(wù)轉(zhuǎn)發(fā)表和DNS解析資源鎖 表���。其中���,Web虛服務(wù)轉(zhuǎn)發(fā)表的格式如表一所示��,CAS虛服務(wù)轉(zhuǎn)發(fā)表的格式如表二所示��,DNS 解析資源鎖表的格式如表三所示
權(quán)利要求
1.一種基于負(fù)載均衡的單點(diǎn)登錄方法�����,其特征在于,該方法包括A���、當(dāng)前用戶(hù)通過(guò)負(fù)載均衡LB設(shè)備訪問(wèn)網(wǎng)絡(luò)Web虛服務(wù)�����,并被Web虛服務(wù)下的真實(shí)Web 應(yīng)用服務(wù)器重定向到集中認(rèn)證服務(wù)CAS虛服務(wù)進(jìn)行認(rèn)證;B、LB設(shè)備和所述真實(shí)Web應(yīng)用服務(wù)器獲知為當(dāng)前用戶(hù)認(rèn)證的CAS虛服務(wù)下的真實(shí)CAS 服務(wù)器�����,所述真實(shí)CAS服務(wù)器對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證�,并將當(dāng)前用戶(hù)重定向到Web虛服務(wù)進(jìn)行 業(yè)務(wù)訪問(wèn)��;C�、Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù)器請(qǐng)求所述真實(shí)CAS服務(wù)器進(jìn)行驗(yàn)證,并根據(jù)驗(yàn) 證結(jié)果實(shí)現(xiàn)當(dāng)前用戶(hù)單點(diǎn)登錄���。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,所述步驟A包括 Al�����、當(dāng)前用戶(hù)向LB設(shè)備發(fā)送訪問(wèn)Web虛服務(wù)的訪問(wèn)請(qǐng)求;A2、LB設(shè)備根據(jù)負(fù)載均衡方法確定Web虛服務(wù)下的一個(gè)真實(shí)Web應(yīng)用服務(wù)器�����,將當(dāng)前用 戶(hù)IP地址和真實(shí)Web應(yīng)用服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在建立的Web虛服務(wù)轉(zhuǎn)發(fā)表中�����, 并根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP地址將步驟Al所述訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給真實(shí)Web應(yīng)用服務(wù)器; A3���、真實(shí)Web應(yīng)用服務(wù)器向當(dāng)前用戶(hù)返回重定向響應(yīng)�����,并在重定向響應(yīng)中指示當(dāng)前用 戶(hù)到CAS虛服務(wù)進(jìn)行認(rèn)證�;A4����、當(dāng)前用戶(hù)根據(jù)步驟A3所述重定向響應(yīng)向LB設(shè)備發(fā)送由CAS虛服務(wù)進(jìn)行認(rèn)證的認(rèn) 證請(qǐng)求�����。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于,所述步驟B包括 Bi����、LB設(shè)備確定CAS虛服務(wù)下的一個(gè)真實(shí)CAS服務(wù)器;B2�、LB設(shè)備根據(jù)真實(shí)CAS服務(wù)器IP地址將步驟A4所述認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給真實(shí)CAS服務(wù) 器,并將所述真實(shí)CAS服務(wù)器的IP地址通知給所述真實(shí)Web應(yīng)用服務(wù)器�����;B3����、真實(shí)CAS服務(wù)器對(duì)當(dāng)前用戶(hù)認(rèn)證后,向當(dāng)前用戶(hù)返回重定向響應(yīng)�����,并在重定向響應(yīng) 中指示當(dāng)前用戶(hù)到Web虛服務(wù)進(jìn)行業(yè)務(wù)訪問(wèn);B4����、當(dāng)前用戶(hù)根據(jù)步驟B3所述重定向響應(yīng)向LB設(shè)備發(fā)送到Web虛服務(wù)進(jìn)行業(yè)務(wù)訪問(wèn) 的訪問(wèn)請(qǐng)求;B5��、LB設(shè)備根據(jù)Web虛服務(wù)轉(zhuǎn)發(fā)表獲取與當(dāng)前用戶(hù)IP地址對(duì)應(yīng)的真實(shí)Web應(yīng)用服務(wù) 器IP地址�����,根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給所述真實(shí)Web應(yīng)用服 務(wù)器���。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于���,所述步驟C包括Cl、真實(shí)Web應(yīng)用服務(wù)器根據(jù)真實(shí)CAS服務(wù)器的IP地址向所述真實(shí)CAS服務(wù)器發(fā)送驗(yàn) 證請(qǐng)求����;C2���、真實(shí)CAS服務(wù)器對(duì)所述真實(shí)Web應(yīng)用服務(wù)器進(jìn)行驗(yàn)證,并返回驗(yàn)證結(jié)果�����; C3����、真實(shí)Web應(yīng)用服務(wù)器根據(jù)驗(yàn)證結(jié)果實(shí)現(xiàn)當(dāng)前用戶(hù)單點(diǎn)登錄。
5.根據(jù)權(quán)利要求3所述的方法�����,其特征在于�,該方法進(jìn)一步包括事先建立DNS解析資 源鎖表�����,用于記錄真實(shí)Web應(yīng)用服務(wù)器IP地址�、DNS資源鎖的值、真實(shí)CAS服務(wù)器IP地址 之間的對(duì)應(yīng)關(guān)系����;所述DNS資源鎖的值表示真實(shí)Web應(yīng)用服務(wù)器是否保存有效的真實(shí)CAS 服務(wù)器IP地址���;所述步驟Bl包括XI、LB設(shè)備接收到當(dāng)前用戶(hù)發(fā)送的由CAS虛服務(wù)進(jìn)行認(rèn)證的認(rèn)證請(qǐng)求��,查詢(xún)事先建立的CAS虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄�,如果存在,則根據(jù)當(dāng)前用戶(hù)IP地址從CAS 虛服務(wù)轉(zhuǎn)發(fā)表中獲取真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器����,再繼續(xù)執(zhí)行步驟B2 ; 如果不存在���,則繼續(xù)執(zhí)行步驟X2 �;X2�、查詢(xún)事先建立的Web虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄,如果存在�,則繼續(xù)執(zhí) 行步驟X3 ;如果不存在�����,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服務(wù)器�,并將當(dāng)前用戶(hù)IP 地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā)表中,然后繼續(xù) 執(zhí)行步驟B2 ��;X3、根據(jù)當(dāng)前用戶(hù)IP地址從Web虛服務(wù)轉(zhuǎn)發(fā)表中獲取對(duì)應(yīng)的真實(shí)Web應(yīng)用服務(wù)器IP地 址���,再根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址查詢(xún)事先建立的域名系統(tǒng)DNS解析資源鎖表��, 判斷DNS資源鎖的值是否為0���,如果為0,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服務(wù)器�����,并 將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā) 表中��,將DNS資源鎖的值加1��,再繼續(xù)執(zhí)行步驟B2 ���;如果不為0,則根據(jù)真實(shí)Web應(yīng)用服務(wù)器 IP地址從DNS解析資源鎖表中獲取對(duì)應(yīng)的真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器����, 并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn) 發(fā)表中,將DNS資源鎖的值加1�����,然后再繼續(xù)執(zhí)行步驟B2。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于�����,步驟B2中所述將所述真實(shí)CAS服務(wù)器的 IP地址通知給所述真實(shí)Web應(yīng)用服務(wù)器的方法包括LB設(shè)備根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP地址向所述真實(shí)Web應(yīng)用服務(wù)器發(fā)送攜帶有真實(shí) CAS服務(wù)器IP地址的DNS刷新請(qǐng)求��,所述真實(shí)Web應(yīng)用服務(wù)器將自身記錄的CAS服務(wù)器IP 地址刷新為所述真實(shí)CAS服務(wù)器IP地址���。
7.根據(jù)權(quán)利要求4所述的方法��,其特征在于�����,所述步驟Cl后�����,該方法進(jìn)一步包括LB設(shè)備將DNS解析資源鎖表中DNS資源鎖的值減1���。
8.一種基于負(fù)載均衡的單點(diǎn)登錄系統(tǒng)����,其特征在于�,該系統(tǒng)包括用戶(hù)端,用于發(fā)起對(duì)網(wǎng)絡(luò)Web虛服務(wù)的訪問(wèn)�;根據(jù)Web虛服務(wù)下真實(shí)Web應(yīng)用服務(wù)器的 重定向,發(fā)送到集中認(rèn)證服務(wù)CAS虛服務(wù)的認(rèn)證請(qǐng)求���;根據(jù)CAS虛服務(wù)下真實(shí)CAS服務(wù)器的 重定向����,再發(fā)送到Web虛服務(wù)的業(yè)務(wù)訪問(wèn)��;負(fù)載均衡LB設(shè)備����,用于接收用戶(hù)端對(duì)網(wǎng)絡(luò)Web虛服務(wù)的訪問(wèn),并轉(zhuǎn)發(fā)給Web虛服務(wù)下 的真實(shí)Web應(yīng)用服務(wù)器��;獲知為當(dāng)前用戶(hù)認(rèn)證的CAS虛服務(wù)下的真實(shí)CAS服務(wù)器�;將Web 虛服務(wù)下真實(shí)Web應(yīng)用服務(wù)器的重定向通知給用戶(hù)端����,并將用戶(hù)端發(fā)送的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給 CAS虛服務(wù)下的真實(shí)CAS服務(wù)器��;將CAS虛服務(wù)下的真實(shí)CAS服務(wù)器的重定向通知給用戶(hù) 端���,并將用戶(hù)端的業(yè)務(wù)訪問(wèn)轉(zhuǎn)發(fā)給真實(shí)Web應(yīng)用服務(wù)器;真實(shí)Web應(yīng)用服務(wù)器��,用于接收由LB設(shè)備轉(zhuǎn)發(fā)的用戶(hù)端的訪問(wèn)��,并通過(guò)LB設(shè)備通知用 戶(hù)端重定向到CAS虛服務(wù)進(jìn)行認(rèn)證��;獲知為當(dāng)前用戶(hù)認(rèn)證的CAS虛服務(wù)下的真實(shí)CAS服務(wù) 器�;再次接收由LB設(shè)備轉(zhuǎn)發(fā)的用戶(hù)端的業(yè)務(wù)訪問(wèn)時(shí),請(qǐng)求真實(shí)CAS服務(wù)器進(jìn)行驗(yàn)證�,并根據(jù) 驗(yàn)證結(jié)果實(shí)現(xiàn)用戶(hù)單點(diǎn)登錄;真實(shí)CAS服務(wù)器����,用于接收用戶(hù)端通過(guò)LB設(shè)備發(fā)送的認(rèn)證請(qǐng)求,對(duì)用戶(hù)端進(jìn)行認(rèn)證�����;通 過(guò)LB設(shè)備通知用戶(hù)端重定向到Web虛服務(wù)進(jìn)行業(yè)務(wù)訪問(wèn)��;根據(jù)真實(shí)Web應(yīng)用服務(wù)器發(fā)送的 驗(yàn)證請(qǐng)求進(jìn)行驗(yàn)證。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)�,其特征在于,所述LB設(shè)備包括收發(fā)單元��,用于接收用戶(hù)端對(duì)Web虛服務(wù)的訪問(wèn)���,并轉(zhuǎn)發(fā)給Web確定單元處理��,根據(jù)Web 確定單元確定出的結(jié)果將用戶(hù)端的訪問(wèn)轉(zhuǎn)發(fā)給Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù)器���;將 Web虛服務(wù)下真實(shí)Web應(yīng)用服務(wù)器的重定向轉(zhuǎn)發(fā)給用戶(hù)端,接收用戶(hù)端發(fā)送的認(rèn)證請(qǐng)求并 轉(zhuǎn)發(fā)給CAS確定單元處理��;根據(jù)CAS確定單元處理確定出的結(jié)果將用戶(hù)端的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā) 給CAS虛服務(wù)下的真實(shí)CAS服務(wù)器���;將CAS確定單元處理確定出的真實(shí)CAS服務(wù)器通知給 真實(shí)Web應(yīng)用服務(wù)器�����;將CAS虛服務(wù)下真實(shí)CAS服務(wù)器的重定向轉(zhuǎn)發(fā)給用戶(hù)端�����,接收用戶(hù)端 根據(jù)重定向再次對(duì)網(wǎng)絡(luò)Web虛服務(wù)的訪問(wèn)�����,并根據(jù)Web確定單元處理結(jié)果將業(yè)務(wù)訪問(wèn)轉(zhuǎn)發(fā) 給真實(shí)Web應(yīng)用服務(wù)器���;Web確定單元,用于從Web虛服務(wù)下確定一個(gè)真實(shí)Web應(yīng)用服務(wù)器�;CAS確定單元,用于從CAS虛服務(wù)下確定一個(gè)真實(shí)CAS服務(wù)器���;存儲(chǔ)單元�,用于保存Web虛服務(wù)轉(zhuǎn)發(fā)表��,所述Web虛服務(wù)轉(zhuǎn)發(fā)表用于保存用戶(hù)端IP地 址和Web確定單元所確定出的真實(shí)Web應(yīng)用服務(wù)器IP地址的對(duì)應(yīng)關(guān)系��;還用于保存CAS虛 服務(wù)轉(zhuǎn)發(fā)表����,所述CAS虛服務(wù)轉(zhuǎn)發(fā)表用于保存用戶(hù)端IP地址和CAS確定單元所確定出的真 實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)���,其特征在于����,所述Web確定單元是根據(jù)負(fù)載均衡方法 確定一個(gè)真實(shí)Web應(yīng)用服務(wù)器的。
11.根據(jù)權(quán)利要求9所述的系統(tǒng)��,其特征在于�����,所述存儲(chǔ)單元進(jìn)一步包括域名系統(tǒng)DNS 解析資源鎖表���,用于記錄真實(shí)Web應(yīng)用服務(wù)器IP地址���、DNS資源鎖的值、真實(shí)CAS服務(wù)器IP 地址之間的對(duì)應(yīng)關(guān)系��;所述DNS資源鎖的值表示真實(shí)Web應(yīng)用服務(wù)器是否保存有效的真實(shí) CAS服務(wù)器IP地址��;所述CAS確定單元包括第一子單元��,用于在所述收發(fā)單元接收到用戶(hù)端發(fā)送的由CAS虛服務(wù)進(jìn)行認(rèn)證的認(rèn)證 請(qǐng)求時(shí)��,從存儲(chǔ)單元查詢(xún)CAS虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄����,如果存在,則根據(jù)當(dāng) 前用戶(hù)IP地址從CAS虛服務(wù)轉(zhuǎn)發(fā)表中獲取真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器�����; 如果不存在,則觸發(fā)第二子單元執(zhí)行��;第二子單元��,用于查詢(xún)存儲(chǔ)單元中Web虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄�����,如果 存在�����,則繼續(xù)觸發(fā)第三子單元執(zhí)行��;如果不存在�����,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服 務(wù)器��,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛 服務(wù)轉(zhuǎn)發(fā)表中�;第三子單元�,用于根據(jù)用戶(hù)端IP地址從存儲(chǔ)單元的Web虛服務(wù)轉(zhuǎn)發(fā)表中獲取對(duì)應(yīng)的真 實(shí)Web應(yīng)用服務(wù)器IP地址����,再根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址查詢(xún)存儲(chǔ)單元中DNS 解析資源鎖表����,判斷DNS資源鎖的值是否為0,如果為0���,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí) CAS服務(wù)器��,并將用戶(hù)端IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS 虛服務(wù)轉(zhuǎn)發(fā)表中���,將DNS資源鎖的值加1 ;如果不為0�,則根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP地址 從DNS解析資源鎖表中獲取對(duì)應(yīng)的真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器,并將當(dāng) 前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā)表中���, 將DNS資源鎖的值加1�。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)�����,其特征在于��,所述LB設(shè)備中收發(fā)單元將CAS確定單 元確定出的真實(shí)CAS服務(wù)器通知給真實(shí)Web應(yīng)用服務(wù)器的方法為向真實(shí)Web應(yīng)用服務(wù)器發(fā)送攜帶有CAS確定單元確定出的真實(shí)CAS服務(wù)器IP地址的DNS刷新請(qǐng)求;所述真實(shí)Web應(yīng)用服務(wù)器獲知真實(shí)CAS服務(wù)器的方法為真實(shí)Web應(yīng)用服務(wù)器根據(jù)所 述DNS刷新請(qǐng)求將自身記錄的CAS服務(wù)器IP地址刷新為真實(shí)CAS服務(wù)器IP地址�。
13.一種負(fù)載均衡設(shè)備,其特征在于�����,該設(shè)備包括收發(fā)單元����,用于接收用戶(hù)端對(duì)Web虛服務(wù)的訪問(wèn)�,并轉(zhuǎn)發(fā)給Web確定單元處理,根據(jù)Web 確定單元確定出的結(jié)果將用戶(hù)端的訪問(wèn)轉(zhuǎn)發(fā)給Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù)器����;將 Web虛服務(wù)下真實(shí)Web應(yīng)用服務(wù)器的重定向轉(zhuǎn)發(fā)給用戶(hù)端,接收用戶(hù)端發(fā)送的認(rèn)證請(qǐng)求并 轉(zhuǎn)發(fā)給CAS確定單元處理�����;根據(jù)CAS確定單元處理確定出的結(jié)果將用戶(hù)端的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā) 給CAS虛服務(wù)下的真實(shí)CAS服務(wù)器���;將CAS確定單元處理確定出的真實(shí)CAS服務(wù)器通知給 真實(shí)Web應(yīng)用服務(wù)器�;將CAS虛服務(wù)下真實(shí)CAS服務(wù)器的重定向轉(zhuǎn)發(fā)給用戶(hù)端��,接收用戶(hù)端 根據(jù)重定向再次對(duì)網(wǎng)絡(luò)Web虛服務(wù)的訪問(wèn),并根據(jù)Web確定單元處理結(jié)果將業(yè)務(wù)訪問(wèn)轉(zhuǎn)發(fā) 給真實(shí)Web應(yīng)用服務(wù)器�����;Web確定單元��,用于從Web虛服務(wù)下確定一個(gè)真實(shí)Web應(yīng)用服務(wù)器�����;CAS確定單元�����,用于從CAS虛服務(wù)下確定一個(gè)真實(shí)CAS服務(wù)器�;存儲(chǔ)單元,用于保存Web虛服務(wù)轉(zhuǎn)發(fā)表��,所述Web虛服務(wù)轉(zhuǎn)發(fā)表用于保存用戶(hù)端IP地 址和Web確定單元所確定出的真實(shí)Web應(yīng)用服務(wù)器IP地址的對(duì)應(yīng)關(guān)系����;還用于保存CAS虛 服務(wù)轉(zhuǎn)發(fā)表,所述CAS虛服務(wù)轉(zhuǎn)發(fā)表用于保存用戶(hù)端IP地址和CAS確定單元所確定出的真 實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系��。
14.根據(jù)權(quán)利要求13所述的設(shè)備,其特征在于����,所述Web確定單元是根據(jù)負(fù)載均衡方法 確定一個(gè)真實(shí)Web應(yīng)用服務(wù)器的。
15.根據(jù)權(quán)利要求13所述的設(shè)備��,其特征在于�����,所述存儲(chǔ)單元進(jìn)一步包括域名系統(tǒng)DNS 解析資源鎖表���,用于記錄真實(shí)Web應(yīng)用服務(wù)器IP地址�、DNS資源鎖的值���、真實(shí)CAS服務(wù)器IP 地址之間的對(duì)應(yīng)關(guān)系;所述DNS資源鎖的值表示真實(shí)Web應(yīng)用服務(wù)器是否保存有效的真實(shí) CAS服務(wù)器IP地址�����;所述CAS確定單元包括第一子單元�,用于在所述收發(fā)單元接收到用戶(hù)端發(fā)送的由CAS虛服務(wù)進(jìn)行認(rèn)證的認(rèn)證 請(qǐng)求時(shí),從存儲(chǔ)單元查詢(xún)CAS虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄�����,如果存在,則根據(jù)當(dāng) 前用戶(hù)IP地址從CAS虛服務(wù)轉(zhuǎn)發(fā)表中獲取真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器��; 如果不存在����,則觸發(fā)第二子單元執(zhí)行;第二子單元�����,用于查詢(xún)存儲(chǔ)單元中Web虛服務(wù)轉(zhuǎn)發(fā)表是否存在當(dāng)前用戶(hù)的記錄����,如果 存在,則繼續(xù)觸發(fā)第三子單元執(zhí)行����;如果不存在,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí)CAS服 務(wù)器����,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛 服務(wù)轉(zhuǎn)發(fā)表中;第三子單元�,用于根據(jù)用戶(hù)端IP地址從存儲(chǔ)單元的Web虛服務(wù)轉(zhuǎn)發(fā)表中獲取對(duì)應(yīng)的真 實(shí)Web應(yīng)用服務(wù)器IP地址,再根據(jù)所述真實(shí)Web應(yīng)用服務(wù)器IP地址查詢(xún)存儲(chǔ)單元中DNS 解析資源鎖表,判斷DNS資源鎖的值是否為0���,如果為0����,則根據(jù)負(fù)載均衡方法確定一個(gè)真實(shí) CAS服務(wù)器��,并將用戶(hù)端IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS 虛服務(wù)轉(zhuǎn)發(fā)表中����,將DNS資源鎖的值加1 ;如果不為0��,則根據(jù)真實(shí)Web應(yīng)用服務(wù)器IP地址 從DNS解析資源鎖表中獲取對(duì)應(yīng)的真實(shí)CAS服務(wù)器IP地址以確定真實(shí)CAS服務(wù)器�����,并將當(dāng)前用戶(hù)IP地址和確定出的真實(shí)CAS服務(wù)器IP地址的對(duì)應(yīng)關(guān)系記錄在CAS虛服務(wù)轉(zhuǎn)發(fā)表中��, 將DNS資源鎖的值加1���。
16.根據(jù)權(quán)利要求15所述的設(shè)備,其特征在于����,所述收發(fā)單元將CAS確定單元處理確定 出的真實(shí)CAS服務(wù)器通知給真實(shí)Web應(yīng)用服務(wù)器的方法為向真實(shí)Web應(yīng)用服務(wù)器發(fā)送攜 帶有CAS確定單元處理確定出的真實(shí)CAS服務(wù)器IP地址的DNS刷新請(qǐng)求�。
全文摘要
本發(fā)明提供一種基于負(fù)載均衡的單點(diǎn)登錄方法����、系統(tǒng)和負(fù)載均衡設(shè)備,當(dāng)前用戶(hù)通過(guò)負(fù)載均衡(LB)設(shè)備訪問(wèn)網(wǎng)絡(luò)(Web)虛服務(wù)�,并被Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù)器重定向到集中認(rèn)證服務(wù)(CAS)虛服務(wù)進(jìn)行認(rèn)證;LB設(shè)備和真實(shí)Web應(yīng)用服務(wù)器獲知真實(shí)CAS服務(wù)器�����,真實(shí)CAS服務(wù)器對(duì)當(dāng)前用戶(hù)進(jìn)行認(rèn)證����,并將當(dāng)前用戶(hù)重定向到Web虛服務(wù)進(jìn)行業(yè)務(wù)訪問(wèn);Web虛服務(wù)下的真實(shí)Web應(yīng)用服務(wù)器請(qǐng)求真實(shí)CAS服務(wù)器進(jìn)行驗(yàn)證����,并根據(jù)驗(yàn)證結(jié)果實(shí)現(xiàn)當(dāng)前用戶(hù)單點(diǎn)登錄。應(yīng)用本發(fā)明方案���,當(dāng)前用戶(hù)和真實(shí)Web應(yīng)用服務(wù)器都可以準(zhǔn)確地訪問(wèn)到負(fù)責(zé)當(dāng)前用戶(hù)認(rèn)證的真實(shí)CAS服務(wù)器��,從而實(shí)現(xiàn)黏性訪問(wèn)����,保證用戶(hù)有效地進(jìn)行認(rèn)證和登錄。
文檔編號(hào)H04L29/06GK102104483SQ20091026066
公開(kāi)日2011年6月22日 申請(qǐng)日期2009年12月18日 優(yōu)先權(quán)日2009年12月18日
發(fā)明者鄧宏波 申請(qǐng)人:杭州華三通信技術(shù)有限公司