專利名稱:基于單點登錄的身份認證系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電數(shù)字數(shù)據(jù)處理領(lǐng)域�����,特別是涉及一種基于單點登錄的身份認證系統(tǒng)及方法���。
背景技術(shù):
單點登錄(Single Sign On���,簡稱SS0)是目前比較流行的服務(wù)于企業(yè)業(yè)務(wù)整合的解決方案之一。單點登錄的定義是在多個應(yīng)用系統(tǒng)中���,用戶只需要通過一次身份認證����,即登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。現(xiàn)有技術(shù)中�,耶魯大學開發(fā)的JA-SIG Central Authentication Service (以下簡稱CAS)是一種針對Web應(yīng)用的單點登錄系統(tǒng)。CAS包含服務(wù)器和客戶端�����。服務(wù)器需要獨立部署����,主要負責對用戶的身份認證工作;客戶端負責處理對應(yīng)用系統(tǒng)中受保護資源的訪問請求�����,對于用戶尚未通過身份認證的情況����,將訪問請求重定向到服務(wù)器,由其對用戶進行身份認證�。參照圖1示出的現(xiàn)有技術(shù)CAS實現(xiàn)身份認證的拓撲圖,流程如下:步驟SI I�,客戶端與應(yīng)用系統(tǒng)部署在一起,以Filter方式保護應(yīng)用系統(tǒng)上中的受保護資源�。對于訪問受保護資源的每個Web請求�����,如果用戶未登錄,客戶端分析該請求是否包含服務(wù)票據(jù)(Service Ticket)����,如果沒有服務(wù)票,則說明當前用戶尚未登錄���;步驟S12����,客戶端將訪問請求重定向到服務(wù)器�,并傳遞受保護資源地址,以便登錄成功過后重定向回該地址���;步驟S13��,服務(wù)器與用戶交互�,要求用戶提供用戶名����、密碼等憑證(Credentials)以核對用戶身份,若核對無誤則用戶身份認證成功���;步驟S14�����,服務(wù)器隨機產(chǎn)生一個相當長度��、唯一����、不可偽造的服務(wù)票據(jù),并緩存以待將來驗證�����,之后系統(tǒng)自動重定向到應(yīng)用系統(tǒng)所在地址����,并為客戶端瀏覽器設(shè)置一個授權(quán)票據(jù)Ticket Granted Cookie(TGC);當用戶去訪問其它應(yīng)用,其它應(yīng)用來服務(wù)器認證時,服務(wù)器發(fā)現(xiàn)客戶端瀏覽器已經(jīng)攜帶了授權(quán)票據(jù)�,就不需要用戶提供用戶名,密碼等憑證��,而是直接產(chǎn)生服務(wù)票據(jù)并緩存以待將來驗證�,返回給應(yīng)用;步驟S15����,客戶端收到應(yīng)用系統(tǒng)所在地址和服務(wù)票據(jù),到服務(wù)器進行身份驗證��,以確保服務(wù)票據(jù)的合法性����;步驟S16,服務(wù)器返回用戶信息���,客戶端允許用戶訪問受保護資源���。當用戶在同一個瀏覽器窗口訪問另一個應(yīng)用系統(tǒng),則系統(tǒng)執(zhí)行上述步驟S11���、步驟S12���,略過步驟S13,執(zhí)行步驟S14���、步驟S15及步驟S16�,對用戶而言訪問另一個應(yīng)用系統(tǒng)不
需要再次登錄?,F(xiàn)有技術(shù)的服務(wù)器是一套基于Java實現(xiàn)的服務(wù)�����,該服務(wù)以一個Java WebApplication單獨部署在與servlet2.3兼容的Web服務(wù)器上�����。服務(wù)器生成的服務(wù)票據(jù),TGC以及用戶的信息等�����,都存放在自己的內(nèi)存中��,并依賴于web的會話機制��。當用戶量增加需要服務(wù)器做集群部署時��,CAS的內(nèi)存和會話機制限制了橫向擴展�,不能簡單的通過集群部署來 增加處理能力�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于,針對現(xiàn)有技術(shù)的上述缺陷�����,提供一種基于單點登錄的身份認證系統(tǒng)和方法�。本發(fā)明提供一種基于單點登錄的身份認證系統(tǒng)����,對至少一應(yīng)用系統(tǒng)實現(xiàn)單點登錄��,包括:對用戶身份進行認證��、對通過認證的用戶生成令牌及會話信息的認證服務(wù)器����;分別部署在至少一應(yīng)用系統(tǒng)��、將需要對用戶身份進行認證的訪問請求重定向到認證服務(wù)器�、并根據(jù)收到的令牌保護應(yīng)用系統(tǒng)上的受保護資源的至少一認證客戶端;和緩存包括令牌在內(nèi)的會話信息以供認證服務(wù)器使用的外部緩存����。優(yōu)選地,上述認證客戶端接收用戶發(fā)出的對應(yīng)用系統(tǒng)上受保護資源的訪問請求���;認證客戶端查找令牌以判斷發(fā)出訪問請求的用戶是否已通過身份認證����;對于用戶已通過身份認證的��,允許其訪問受保護資源;對于用戶未通過身份認證的����,將訪問請求重定向到認證服務(wù)器,由其對用戶身份進行認證��;認證客戶端接收認證服務(wù)器返回的令牌����;對令牌進行校驗,令牌校驗成功的���,認證客戶端認為用戶已通過應(yīng)用系統(tǒng)的身份認證���,允許其訪問受保護資源,保存令牌����;對于令牌校驗失敗的,認證客戶端將訪問請求重定向到認證服務(wù)器���,由其對用戶身份進行認證�。優(yōu)選地����,上述認證客戶端包括:權(quán)限框架組件�����,在認證服務(wù)器對用戶完成身份認證后重定向回應(yīng)用系統(tǒng)時��,實現(xiàn)用戶在應(yīng)用系統(tǒng)的登錄����;在認證服務(wù)器對用戶完成登出后�,權(quán)限框架組件根據(jù)認證服務(wù)器的通知��,實現(xiàn)用戶在應(yīng)用系統(tǒng)的登出�;資源保護過濾器,保護應(yīng)用系統(tǒng)受保護的資源僅供完成身份認證的用戶訪問��,對于尚未通過身份認證的用戶��,將其訪問請求重定向到認證服務(wù)器��;框架緩存組件�,保存用戶令牌。優(yōu)選地���,上述認證服務(wù)器接收來自認證客戶端的訪問請求��;認證服務(wù)器根據(jù)用戶登錄狀態(tài)判斷用戶是否已通過身份認證�;對于已通過身份認證的,認證服務(wù)器從外部緩存中獲取已經(jīng)產(chǎn)生的令牌����,加密并根據(jù)令牌生成令牌校驗碼,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源�����;對未通過身份認證的���,引導用戶在頁面輸入身份認證信息���,對用戶進行身份認證;對于身份認證失敗的��,認證服務(wù)器引導用戶繼續(xù)身份認證�����;對于身份認證成功的,認證服務(wù)器設(shè)定用戶狀態(tài)為已通過身份認證�����;產(chǎn)生與用戶身份相應(yīng)的令牌���,設(shè)置到用戶的瀏覽器中���;并將包括令牌在內(nèi)的用戶的會話信息保存到外部緩存;認證服務(wù)器將產(chǎn)生的令牌加密���,并根據(jù)令牌生成令牌校驗碼��,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源。優(yōu)選地����,上述認證服務(wù)器還包括數(shù)據(jù)庫,存儲包括身份認證信息在內(nèi)的用戶信息�;認證服務(wù)器到數(shù)據(jù)庫中查找用戶信息進行身份認證。優(yōu)選地�����,上述外部緩存為單個外部緩存,或集群部署的分布式緩存系統(tǒng)����;認證服務(wù)器為單獨部署的一服務(wù)器,或集群部署的多個服務(wù)器����;外部緩存與認證服務(wù)器為一對一、一對多���、多對一或多對多關(guān)系�����。優(yōu)選地�,上述至少一認證客戶端與認證服務(wù)器之間采用http通信協(xié)議實現(xiàn)通信����,通過瀏覽器重定向通信和/或直接通信。本發(fā)明還提出一種基于單點登錄的身份認證方法��,基于認證服務(wù)器����、至少一認證客戶端和外部緩存對至少一應(yīng)用系統(tǒng)實現(xiàn)單點登錄��,包括:根據(jù)用戶提出的對受保護資源的訪問請求��,認證客戶端查找令牌以判斷用戶是否已通過身份認證的步驟���;對于已通過身份認證的,認證客戶端允許訪問受保護的資源的步驟����;對于未通過身份認證的,認證客戶端將訪問請求重定向到認證服務(wù)器的步驟��;認證服務(wù)器根據(jù)用戶登錄狀態(tài)判斷用戶是否已通過身份認證的步驟����;對于已通過身份認證的用戶,認證服務(wù)器從外部緩存中獲取已經(jīng)產(chǎn)生的令牌���,加密并根據(jù)令牌生成令牌校驗碼,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源的步驟���;對未通過身份認證的用戶����,引導用戶在頁面輸入身份認證信息,對用戶進行身份認證的步驟�����;對于身份認證失敗的���,認證服務(wù)器引導用戶繼續(xù)身份認證的步驟�����;對于身份認證成功的���,認證服務(wù)器設(shè)定用戶登錄狀態(tài)為已通過身份認證;產(chǎn)生與用戶身份相應(yīng)的令牌�����,設(shè)置到用戶的瀏覽器中�;并將包括令牌在內(nèi)的用戶的會話信息保存到外部緩存;認證服務(wù)器將產(chǎn)生的令牌加密�����,并根據(jù)令牌生成令牌校驗碼�����,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源的步驟;認證客戶端接收令牌�,對令牌進行校驗的步驟;認證客戶端對令牌進行校驗�����,令牌校驗成功的���,認證客戶端認為用戶已通過應(yīng)用系統(tǒng)的身份認證����,允許其訪問受保護資源����,保存令牌;對于令牌校驗失敗的���,認證客戶端將訪問請求重定向到認證服務(wù)器�,由其對用戶身份進行認證的步驟�。優(yōu)選地�����,上述認證服務(wù)器還包括數(shù)據(jù)庫,存儲包括用戶賬號��,密碼在內(nèi)的用戶的信息���,基于單點登錄的身份認證方法還包括:認證服務(wù)器優(yōu)先到外部緩存中查找用戶信息的步驟��;對于在外部緩存中未查找到用戶信息的���,認證服務(wù)器到數(shù)據(jù)庫中查找用戶信息,將找至IJ的用戶信息同用戶輸入的信息進行比對����,同時把用戶信息緩存到外部緩存的步驟。優(yōu)選地����,上述認證服務(wù)器預(yù)設(shè)用戶信息分級配置;基于單點登錄的身份認證方法還包括:對于接收到的訪問請求�,認證服務(wù)器根據(jù)訪問請求附帶的應(yīng)用系統(tǒng)的標識,查找與其對應(yīng)的用戶信息分級��,生成符合用戶信息分級的用戶信息�,返回給認證客戶端的步驟����。本發(fā)明認證服務(wù)器使用外部緩存來實現(xiàn)緩存��,降低對認證服務(wù)器的數(shù)據(jù)存取壓力���,提高了訪問速度�。采用外部緩存很容易通過集群部署分布式緩存系統(tǒng)��,支撐因用戶量增加帶來的內(nèi)存使用量的增長�。本發(fā)明還采用令牌(token)替代現(xiàn)有技術(shù)中的服務(wù)票據(jù)。認證服務(wù)器對通過身份認證的用戶生成相應(yīng)令牌并存放在外部緩存中�����。用戶再次訪問本發(fā)明身份認證系統(tǒng)中的所有應(yīng)用系統(tǒng)�,重定向到認證服務(wù)器,認證服務(wù)器認證后�,從外部緩存獲取令牌,攜帶加密后的令牌重定向回應(yīng)用系統(tǒng)����,與應(yīng)用系統(tǒng)配套的認證客戶端根據(jù)該令牌即可確定用戶是否已通過身份認證,從而省去了認證客戶端再次向認證服務(wù)器確認用戶是否通過身份認證的步驟。
圖1為現(xiàn)有技術(shù)CAS實現(xiàn)身份認證的拓撲圖�����;圖2為本發(fā)明一實施例系統(tǒng)結(jié)構(gòu)示意圖���;圖3為本發(fā)明一實施例系統(tǒng)拓撲圖;圖4為本發(fā)明另一實施例認證客戶端工作流程示意圖�����;圖5為本發(fā)明另一實施例認證服務(wù)器工作流程示意圖���;圖6為本發(fā)明又一實施例認證服務(wù)器工作流程示意圖��;圖7為本發(fā)明再一實施例認證客戶端時序示意圖���;圖8為本發(fā)明一實施例認證客戶端工作流程圖9為本發(fā)明又一實施例身份認證系統(tǒng)工作原理圖;圖10為本發(fā)明再一實施例集群認證服務(wù)器和一外部緩存結(jié)構(gòu)示意圖�����;圖11為本發(fā)明再一實施例集群認證服務(wù)器和集群外部緩存結(jié)構(gòu)示意圖���;圖12為本發(fā)明又一實施例認證服務(wù)器�����、外部緩存及數(shù)據(jù)庫工作關(guān)系圖���;圖13為本發(fā)明一實施例基于單點登錄的身份認證方法流程示意圖�。
具體實施例方式為詳細說明本發(fā)明的技術(shù)內(nèi)容��、構(gòu)造特征���、所達成的目的及效果��,下面將結(jié)合實施例并配合附圖予以詳細說明����。請參閱圖2示出的基于單點登錄的身份認證系統(tǒng)結(jié)構(gòu)示意圖�����,對第I到第n應(yīng)用系統(tǒng)1-1到1-n實現(xiàn)單點登錄���,包括:對用戶身份進行認證�����,對通過認證的用戶生成令牌及會話信息的認證服務(wù)器3 ;分別部署在第I到第n應(yīng)用系統(tǒng)1-1到1-n��,將需要對用戶身份進行認證的訪問請求重定向到認證服務(wù)器3�,根據(jù)收到的令牌保護應(yīng)用系統(tǒng)上的受保護資源的第I到第n認證客戶端2-1到2-n ;和緩存包括令牌在內(nèi)的會話信息,供認證服務(wù)器3使用的外部緩存4����。參見圖本實施例的3示出的本實施例基于單點登錄的身份認證系統(tǒng)拓撲圖,認證服務(wù)器采用發(fā)放令牌(token)替代現(xiàn)有技術(shù)中的服務(wù)票據(jù)�����。當用戶訪問本發(fā)明身份認證系統(tǒng)中的第I應(yīng)用系統(tǒng)1-1��,認證服務(wù)器3自行生成令牌�,用于標明用戶已通過身份認證的用戶標識。認證服務(wù)器3對通過身份認證的用戶生成相應(yīng)令牌并通過cookie方式設(shè)置到用戶的瀏覽器�����;包括令牌在內(nèi)的會話信息存放在外部緩存4中�����。當用戶再次訪問本發(fā)明身份認證系統(tǒng)中的第2應(yīng)用系統(tǒng)1-2,第2應(yīng)用系統(tǒng)1-2配套的第2認證客戶端2-2會重定向到認證服務(wù)器3來認證�����。若認證服務(wù)器3獲取到保存到cookie中的令牌���,校驗證實是認證服務(wù)器3簽發(fā)的���,則可不需要用戶再次輸入用戶密碼認證,而是把令牌加密后返回給第2應(yīng)用系統(tǒng)1-2配套的第2認證客戶端2-2�,第2認證客戶端2-2完成解密校驗令牌無誤后,即可確定用戶是否已通過身份認證���,從而省去了第2認證客戶端2-2再次向認證服務(wù)器3確認用戶是否通過身份認證的步驟�����。本實施例并未使用認證服務(wù)器3自帶的內(nèi)存����,而是使用了外部緩存來存儲包括令牌在內(nèi)的會話信息�,降低對認證服務(wù)器3的數(shù)據(jù)存取壓力,提高了訪問速度�。采用外部緩存很容易通過集群部署分布式緩存系統(tǒng)��,支撐因用戶量增加帶來的內(nèi)存使用量的增長�。本發(fā)明另一實施例提出����,設(shè)置令牌校驗碼,用于對令牌進行校驗���。令牌校驗碼可采用多種方案生成�����,其中一種是認證服務(wù)器根據(jù)令牌、用戶登錄狀態(tài)及為應(yīng)用系統(tǒng)分配的密鑰生成令牌校驗碼�。認證服務(wù)器將令牌及令牌校驗碼隨訪問請求傳送到受保護資源所在的應(yīng)用系統(tǒng)。參照圖4示出的認證客戶端工作流程示意圖�����,以第一認證客戶端2-1及第一應(yīng)用系統(tǒng)1-1為例��,至少一認證客戶端的工作流程如下:步驟S21�����,第一認證客戶端2-1接收用戶發(fā)出的對第一應(yīng)用系統(tǒng)1-1上受保護資源的訪問請求;步驟S22���,第一認證客戶端2-1查找用戶令牌以判斷發(fā)出訪問請求的用戶是否已通過身份認證����;對于用戶已通過身份認證的�,進行步驟S27 ;
步驟S23�����,對于用戶尚未通過身份認證的�,將訪問請求重定向到認證服務(wù)器3,由其對用戶身份進行認證��;步驟S24���,若第一認證客戶端2-1接收來自認證服務(wù)器3返回的令牌�����,則進行步驟S26��,否則進行步驟S25 ��;步驟S25�,引導用戶繼續(xù)進行身份認證,進行步驟S23 ���;步驟S26���,根據(jù)令牌校驗碼對令牌進行校驗,對于令牌校驗成功的����,進行步驟S27 ;否則進行步驟S23 �����;步驟S27���,第一認證客戶端2-1端認為用戶已通過第一應(yīng)用系統(tǒng)1-1的身份認證,允許其訪問受保護資源��。參照圖5示出的認證服務(wù)器工作流程示意圖��,仍以第一認證客戶端2-1及第一應(yīng)用系統(tǒng)1-1為例�����,認證服務(wù)器3的工作流程如下:步驟S31,認證服務(wù)器3接收來自第一認證客戶端2-1的訪問請求�;步驟S32,認證服務(wù)器3根據(jù)用戶登錄狀態(tài)判斷用戶是否已通過身份認證�;步驟S33,對于已通過身份認證的��,認證服務(wù)器3從外部緩存中獲取已經(jīng)產(chǎn)生的令牌�����,加密并根據(jù)令牌生成令牌校驗碼�,進行步驟S36 ;步驟S34���,對于未通過身份認證的��,認證服務(wù)器3引導用戶在頁面輸入身份認證信息�����,對用戶進行身份認證�����;對于身份認證失敗的��,認證服務(wù)器3引導用戶繼續(xù)身份認證�����;對于身份認證成功的���,進行步驟S35 ���;步驟S35,認證服務(wù)器3設(shè)定用戶登錄狀態(tài)為已通過身份認證��;產(chǎn)生與用戶身份相應(yīng)的令牌����,設(shè)置到用戶的瀏覽器中;并將包括令牌在內(nèi)的用戶的會話信息保存到外部緩存��;認證服務(wù)器3將產(chǎn)生的令牌加密��,并根據(jù)令牌生成令牌校驗碼����,進行步驟S36 ;步驟S36�,將訪問請求重定向到受保護資源,將令牌及令牌校驗碼傳送到受保護資源所在的應(yīng)用系統(tǒng)����。上述步驟S34,認證服務(wù)器3對用戶進行身份認證���,是要求提供包括用戶名�、密碼等以核對用戶身份����,若核對無誤則用戶身份認證成功;本實施例的身份認證可采用兩種方式實現(xiàn):1)認證服務(wù)器3作為用戶登錄點�����,通過登錄界面��,引導用戶進行身份認證�;2)認證服務(wù)器3端作為已有單點登錄系統(tǒng)的認證客戶端,引導用戶到已有單點登錄系統(tǒng)做身份認證�。本實施例在用戶已通過身份認證的情況下,第一認證客戶端2-1只需要找出用戶相應(yīng)令牌就允許用戶訪問受保護資源,從而省去了認證客戶端再次向認證服務(wù)器確認用戶是否通過身份認證或確認的步驟��,大大簡化了身份認證流程�����,減少網(wǎng)絡(luò)通訊���,提高系統(tǒng)效率����。本實施例的用戶再次訪問身份認證系統(tǒng)中的其它應(yīng)用系統(tǒng)�����,其它應(yīng)用系統(tǒng)配套的認證客戶端會重定向到認證服務(wù)器來認證���,認證服務(wù)器能獲取到保存到cookie中的令牌�����,校驗證實是服務(wù)器簽發(fā)的后�,可不需要用戶再次輸入用戶密碼認證�����,而是把令牌加密后返回給應(yīng)用系統(tǒng)配套的認證客戶端���,客戶端完成解密校驗令牌無誤后��,即可確定用戶是否已通過身份認證���,從而省去了認證客戶端再次向認證服務(wù)器確認用戶是否通過身份認證的步驟?���;谏鲜鰧嵤├景l(fā)明又一實施例還提出設(shè)置訪問校驗碼���,用于認證服務(wù)器對訪問請求的校驗�����。訪問校驗碼可采用多種方案生成����,其中一種是認證客戶端根據(jù)收到的訪問請求所指向的應(yīng)用系統(tǒng)的標識��、受保護資源地址及為應(yīng)用系統(tǒng)分配的密鑰組合生成字符串,通過MD5產(chǎn)生信息摘要作為訪問校驗碼�����。本實施例認證客戶端的工作流程中步驟S23��,對于用戶尚未通過身份認證的��,將訪問請求重定向到認證服務(wù)器3�,由其對用戶身份進行認證,可將訪問校驗碼隨訪問請求重定向到認證服務(wù)器��。而參照圖6示出的認證服務(wù)器工作流程示意圖���,認證服務(wù)器的工作流程中步驟S31����,認證服務(wù)器3接收來自第一認證客戶端2-1的訪問請求之后增加步驟:步驟S37��,認證服務(wù)器根據(jù)訪問校驗碼校驗訪問請求�����;步驟S38����,對于訪問請求通過校驗的����,進行步驟S32 ;否則進行步驟S38 ��;步驟S39��,認證服務(wù)器返回“訪問請求錯誤”信息�����,由第一認證客戶端2-1向用戶顯示錯誤信息頁面�����?����;谏鲜鰧嵤├?,本發(fā)明再一實施例�����。參照圖7示出的認證客戶端時序示意圖,認證客戶端2包括:權(quán)限框架組件(AuthFilter) 211�,在認證服務(wù)器3對用戶完成身份認證后重定向回應(yīng)用系統(tǒng)I時,實現(xiàn)用戶在應(yīng)用系統(tǒng)的登錄�;在認證服務(wù)器3對用戶完成登出后,權(quán)限框架組件211根據(jù)認證服務(wù)器3的通知���,實現(xiàn)用戶在應(yīng)用系統(tǒng)I的登出���;資源保護過濾器組件(ProtectFilter) 212,保護應(yīng)用系統(tǒng)I受保護的資源僅供完成身份認證的用戶訪問����,對于尚未通過身份認證的用戶,將其訪問請求重定向到認證服務(wù)器3 ;框架緩存組件213:保存用戶在應(yīng)用系統(tǒng)I的登錄信息���。參照圖8示出的認證客戶端工作流程圖��,以第一認證客戶端2-1及第一應(yīng)用系統(tǒng)1-1為例�,本實施例認證客戶端的工作流程如下:步驟S201�,第一認證客戶端2-1接收用戶發(fā)出的訪問第一應(yīng)用系統(tǒng)1-1保護資源的訪問請求;步驟S202���,請求進入權(quán)限框架組件211���,權(quán)限框架組件211判斷訪問請求的url中是否攜帶令牌����;對于訪問請求中攜帶令牌的��,進行步驟S212 ;否則進入步驟S203 ����;步驟S203�����,請求進入資源保護過濾器組件212 ���;步驟S204�,資源保護過濾器組件212到框架緩存組件213中獲取用戶登錄信息����;步驟S205,若框架緩存組件213返回“用戶并未登錄”的登錄信息�,則進行步驟S206 ;否則進行步驟S215 ;步驟S206���,資源保護過濾器組件212重定向訪問請求到認證服務(wù)器3 �����;步驟S207����,權(quán)限框架組件211重定向請求到認證服務(wù)器3 ;步驟S208�����,用戶的瀏覽器訪問認證服務(wù)器3的認證接口 ����;步驟S209,認證服務(wù)器3對用戶完成身份認證后���,認證服務(wù)器3重定向用戶請求回第一應(yīng)用系統(tǒng)1-1 ;步驟S210���,用戶的瀏覽器再次訪問第一應(yīng)用系統(tǒng)1-1的受保護資源,訪問請求的url后攜帶了令牌��;步驟S211����,請求進入權(quán)限框架組件211��,權(quán)限框架組件211解析令牌��;步驟S212��,若權(quán)限框架組件211解析令牌成功��,則進行步驟S213 ;否則進行步驟S203 ����;
步驟S213�,權(quán)限框架組件211完成登錄�����,在框架緩存213保存用戶登錄信息�;步驟S214,框架緩存213返回保存結(jié)果�;步驟S215,請求進入資源保護過濾器組件212請求通過資源保護過濾器組件212�����,訪問第一應(yīng)用系統(tǒng)1-1受保護的資源;步驟S216����,第一應(yīng)用系統(tǒng)1-1返回業(yè)務(wù)頁面;步驟S217���,資源保護過濾器組件212返回業(yè)務(wù)頁面��;步驟S218�����,權(quán)限框架組件211返回業(yè)務(wù)頁面����,流程結(jié)束��。參照圖9所示的身份認證系統(tǒng)工作原理圖��,本發(fā)明提出又一實施例����,認證客戶端和認證服務(wù)器之間的通信,可以通過瀏覽器重定向,也可以是服務(wù)器之間直接通信�����,都采用http通信協(xié)議方式的明文通信�。其中直接通信指認證客戶端應(yīng)用和認證服務(wù)器之間,直接通過http協(xié)議建立連接進行通信�����;而通過瀏覽器重定向����,用戶通過瀏覽器訪問應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)給瀏覽器返回一個重定向指令����,讓瀏覽器去訪問認證服務(wù)器�,并可以攜帶一些參數(shù)。瀏覽器收到指令后���,自動轉(zhuǎn)為訪問認證服務(wù)器�����。而當用戶通過瀏覽器去訪問認證服務(wù)器的時候��,認證服務(wù)器也可以給瀏覽器返回重定向指令�,讓瀏覽器自動去訪問應(yīng)用,并可以攜帶一些參數(shù)?,F(xiàn)有技術(shù)采用https的方式實現(xiàn)客戶端和服務(wù)器之間的通信,該方案雖然安全���,但存在以下不足:現(xiàn)有技術(shù)的客戶端和服務(wù)器之間沒有單獨的認證機制����,要建立服務(wù)器和客戶端的信任只有通過https的訪問方式����,即由服務(wù)器頒發(fā)證書,客戶端于服務(wù)器的交互安全通過證書建立起https的通道��。使用證書方式有如下問題:1�����、生成證書時�,只支持域名方式,不支持IP方式�����。也就是服務(wù)器必須是有獨立域名的,不能直接通過IP的方式訪問�����,這限制了很多使用場景�����;2��、部署服務(wù)器需要配置證書支持SSL協(xié)議���。如果需要客戶端信任該證書����,服務(wù)器的證書需要到證書提供商去購買���;如果不購買證書����,由服務(wù)器自行簽發(fā)證書��,則需要服務(wù)器創(chuàng)建證書��、導出證書��;每個客戶端的JVM中導入證書等步驟���,客戶端才會信任服務(wù)器的證書�。證書的頒發(fā)和導入導出步驟復(fù)雜����,涉及到證書的格式,導入JVM的路徑等�����。對于系統(tǒng)中需要接入多個客戶端來說����,操作繁瑣;3���、客戶端和服務(wù)器之間的訪問通過https的方式建立連接�����,之間會多次交互并加解密傳輸��,使用HTTPS協(xié)議傳輸數(shù)據(jù)的工作效率只有使用HTTP協(xié)議傳輸?shù)氖种?,存在性能瓶頸。本實施例采用http方式通信�,從以下幾方面保證通信安全:1、傳輸過程中的關(guān)鍵數(shù)據(jù)���,采用DES對稱加密��。加密的密鑰由認證服務(wù)器線下分發(fā)給認證客戶端����,認證服務(wù)器保存有頒布的所有的認證客戶端的ID和對應(yīng)的密鑰�。交互時,認證服務(wù)器和認證客戶端使用同一個密鑰進行加解密��。除了對關(guān)鍵數(shù)據(jù)進行加密外����,在http協(xié)議中還定義了消息發(fā)送端會對本次消息的字段以某種方式組合后,計算消息摘要�,以保證消息在傳輸?shù)倪^程中不被更改;2���、不同的認證客戶端與認證服務(wù)器進行交互�,都使用自己獨立的密鑰進行加解密以及計算消息摘要�����,增加本發(fā)明身份認證系統(tǒng)的安全性��;3����、令牌作為用戶登錄身份標識,在認證服務(wù)器可以具有時效性���,只在用戶登錄成功的一段時間內(nèi)有效(可配置)�����。令牌過期后認證客戶端再向認證服務(wù)器提交訪問請求����,就需要對用戶再次進行身份認證����?���;谏鲜鰧嵤├?����,本發(fā)明還提出一實施例�,采用多外部緩存實現(xiàn)用戶會話信息的緩存,采用集群認證服務(wù)器實現(xiàn)大量用戶的身份認證管理?,F(xiàn)有技術(shù)的WEB容器普遍采用session機制做會話期管理,會話保存在web的內(nèi)存中�����。一個web服務(wù)器保存的會話數(shù)受內(nèi)存大小限制����,如果登錄的用戶太多,一個web服務(wù)器不能支撐時�,不容易通過增加web服務(wù)器來橫向擴展,因為要涉及到請求的黏性分發(fā)或者是session同步機制���。本實施例的外部緩存可以為單個外部緩存或集群部署的分布式緩存系統(tǒng)�;認證服務(wù)器可以為單獨部署的一服務(wù)器或集群部署的多個服務(wù)器���;外部緩存與認證服務(wù)器可以是一對一�����、一對多����、多對一或多對多關(guān)系���。本發(fā)明的認證服務(wù)器的web應(yīng)用中并不保存用戶登錄狀態(tài)�,用戶登錄狀態(tài)保存在外部緩存4中�。因此根據(jù)用戶總數(shù)和訪問量的大小,可以很容易的橫向擴展認證服務(wù)器���。本實施例第I至第n認證服務(wù)器3-1至3-n和一外部緩存4的部署方式參照圖10示出的集群認證服務(wù)器和一外部緩存結(jié)構(gòu)示意圖����。而當本身份認證系統(tǒng)的登錄用戶量增大���,一個外部緩存不足以支撐用戶數(shù)量和響應(yīng)時間時����,就需要橫向擴展緩存,本實施例提出通過集群部署緩存來分布式存儲用戶會話信息���。緩存的存儲格式是key-value的形式�。在認證服務(wù)器3存取緩存時����,通過對key進行hash計算,把數(shù)據(jù)分布 到多個緩存實例上����。因存取的時候都是對key進行相同的hash算法,能夠保證同一數(shù)據(jù)的存取都在同一個緩存實例上�����。認證服務(wù)器3的hash算法選用“統(tǒng)一性哈?����!彼惴?����。保障當增加或刪除一個節(jié)點時,只會影響到鄰近節(jié)點上的數(shù)據(jù)���。本實施例第I至第n認證服務(wù)器3-1至3-n和第I至第n外部緩存4_1至4_n的部署方式參照圖11示出的集群認證服務(wù)器和集群外部緩存結(jié)構(gòu)示意圖����。本發(fā)明再提出一實施例�����,認證服務(wù)器3還包括數(shù)據(jù)庫31��,存儲包括身份認證信息在內(nèi)的用戶信息���。認證服務(wù)器3需要認證用戶身份時到數(shù)據(jù)庫中查找用戶信息進行身份認證。參照圖12示出的認證服務(wù)器���、外部緩存及數(shù)據(jù)庫工作關(guān)系圖�,本實施例認證服務(wù)器3的用戶名�、密碼等用戶信息持久保存在數(shù)據(jù)庫31中,包括令牌等用戶的會話信息保存在外部緩存中��。認證服務(wù)器對尚未通過身份認證的用戶進行身份認證�����,是從數(shù)據(jù)庫中獲取該用戶的用戶名、密碼等用戶信息以核對用戶身份���。身份認證完成后���,認證服務(wù)器產(chǎn)生令牌,并把令牌等該用戶的會話信息放到外部緩存�。當該用戶訪問其它應(yīng)用系統(tǒng),其它應(yīng)用系統(tǒng)再重定向請求到認證服務(wù)器認證時�,認證服務(wù)器先查找外部緩存中的會話信息,如果找到該用戶的會話信息中已經(jīng)存在令牌���,就直接把令牌加密����,生成令牌校驗碼重定向回其他應(yīng)用系統(tǒng)����。基于上述實施例����,本發(fā)明提出��,至少一認證服務(wù)器生成令牌可以采用多種規(guī)則�����,其中一種規(guī)則是由數(shù)字和英文字母組成的字符串�����。令牌組成結(jié)構(gòu)如下:認證服務(wù)器編號(三位)+當前時間^ddHHmmss (十位)+流水號(四位)+隨機數(shù)(十位)�����,上述字符串用base64編碼后的字符串��。上述令牌結(jié)構(gòu)保證至少一認證服務(wù)器產(chǎn)生的令牌在本W(wǎng)EB容器中不會重復(fù),不同的認證服務(wù)器產(chǎn)生的令牌相互也不會重復(fù)�����。令牌不重復(fù)的機制能夠保證認證服務(wù)器應(yīng)用的橫向擴展����。
以下給出本發(fā)明一個令牌的具體示例。用戶瀏覽器在訪問至少一認證服務(wù)器時�����,如果需要會話信息,至少一認證服務(wù)器生成值為“624792CF4D83D5C85123F1B7A6B33456”的令牌���,將令牌保存到至少一外部緩存中����,通過cookie方式設(shè)置到用戶瀏覽器中的具體做法如下所示:用戶瀏覽器發(fā)送訪問請求:GET/usercenter/auth.action HTTP/1.1WEB容器返回應(yīng)答(通過Cookie設(shè)置令牌):HTTP/1.1 200 OKSet-Cookie:T0KEN = 624792CF4D83D5C85123F1B7A6B33456 ��;用戶瀏覽器向認證服務(wù)器發(fā)出訪問請求�,再次訪問WEB容器時攜帶令牌:GET/usercenter /auth.action HTTP/1.1Cookie:TOKEN = 624792CF4D83D5C85123F1B7A6B33456?���;谏鲜龈鲗嵤├景l(fā)明還提出用戶信息分級機制����。本實施例的認證服務(wù)器除實現(xiàn)用戶身份認證,還維護用戶信息�����。用戶全部信息都集中存放在認證服務(wù)器的數(shù)據(jù)庫中�。用戶在認證服務(wù)器通過身份認證后���,可以查看和修改自己的用戶信息。認證服務(wù)器預(yù)設(shè)用戶信息分級配置�����,用戶信息中有一些是普通信息����,如昵稱、性別等�����;也有一些敏感信息如用戶的郵箱地址���、用戶綁定的互聯(lián)網(wǎng)的賬號信息等����。在獲取到令牌后�,認證客戶端可使用令牌向認證服務(wù)器請求用戶信息��,對于接收到的訪問請求��,認證服務(wù)器根據(jù)訪問請求附帶的應(yīng)用系統(tǒng)的標識,查找與其對應(yīng)的用戶信息分級�,生成符合用戶信息分級的用戶信息,返回給認證客戶端��。本實施例的身份認證系統(tǒng)內(nèi)的多個應(yīng)用系統(tǒng)�����,并非都是同等信任級別���。用戶用統(tǒng)一方式通過身份認證后��,雖然可以直接訪問所有應(yīng)用系統(tǒng)�����,但不同的應(yīng)用系統(tǒng)獲取到的用戶信息是有差別的�。認證服務(wù)器保存有所有應(yīng)用系統(tǒng)的標識��、密鑰及其對應(yīng)的用戶信息級別����。認證客戶端發(fā)來的訪問請求附帶有應(yīng)用系統(tǒng)的標識,認證服務(wù)器根據(jù)訪問請求附帶的應(yīng)用系統(tǒng)的標識��,查找與其對應(yīng)的用戶信息級別,生成符合用戶信息級別的用戶會話信息���,返回給認證客戶端���。本發(fā)明還提出一種基于單點單點登錄的身份認證方法,基于認證服務(wù)器�、至少一認證客戶端和外部緩存對至少一應(yīng)用系統(tǒng)實現(xiàn)單點登錄,參照圖13示出的單點單點登錄的身份認證方法流程示意圖�,本實施例包括:步驟S501,認證客戶端根據(jù)用戶提出的對受保護資源的訪問請求��,查找令牌以判斷用戶是否已通過身份認證的步驟����;對于已通過身份認證的,進行步驟S510 ;對于未通過身份認證的���,進行步驟S502;步驟S502�����,認證客戶端將訪問請求重定向到認證服務(wù)器的步驟;步驟S503�,認證服務(wù)器根據(jù)用戶登錄狀態(tài)判斷用戶是否已通過身份認證的步驟�����;對于已通過身份認證的用戶��,進行步驟S504 ;否則進行步驟S505 ����;步驟S504����,認證服務(wù)器從外部緩存中獲取已經(jīng)產(chǎn)生的令牌,加密并根據(jù)令牌生成令牌校驗碼���,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源的步驟��;步驟S505����,對未通過身份認證的用戶�����,引導用戶在頁面輸入身份認證信息,對用戶進行身份認證的步驟�;步驟S506,對于身份認證失敗的�����,進行步驟S505����,引導用戶繼續(xù)身份認證;對于身份認證成功的��,進行步驟S507 �;步驟S507,認證服務(wù)器設(shè)定用戶登錄狀態(tài)為已通過身份認證��;產(chǎn)生與用戶身份相應(yīng)的令牌��,設(shè)置到用戶的瀏覽器中���;并將包括令牌在內(nèi)的用戶的會話信息保存到外部緩存��;認證服務(wù)器將產(chǎn)生的令牌加密�����,并根據(jù)令牌生成令牌校驗碼�,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源的步驟;步驟S508�,若認證客戶端接收到認證服務(wù)器返回的令牌��,則進行步驟S509 ;否則進行步驟S502 �;步驟S509,認證客戶端對令牌進行校驗��,令牌校驗成功的��,進行步驟S510 ;否則進行步驟S502 ���;步驟S510�����,認證客戶端認為用戶已通過應(yīng)用系統(tǒng)的身份認證����,允許其訪問受保護資源�����,保存令牌。本發(fā)明中認證客戶端的工作流程參照圖4示出的認證客戶端工作流程示意圖及上述實施例���,故不贅述�。本發(fā)明中認證服務(wù)器的工作流程參照圖5示出的認證服務(wù)器工作流程示意圖及上述實施例����,故不贅述。本發(fā)明又一實施例設(shè)置訪問校驗碼�����,用于認證服務(wù)器對訪問請求的校驗��,認證客戶端的工作流程參照圖6示出的認證服務(wù)器工作流程示意圖及上述實施例���,故不贅述�。本發(fā)明的認證客戶端可包括權(quán)限框架組件211���、資源保護過濾器組件212和框架緩存組件213�����,本實施例認證客戶端的工作流程如圖8示出的認證客戶端工作流程示意圖及上述實施例�����,故不贅述����。基于上述實施例��,本發(fā)明還提出一實施例��。參照圖12示出的認證服務(wù)器���、外部緩存及數(shù)據(jù)庫工作關(guān)系圖,本實施例認證服務(wù)器3的用戶名��、密碼等用戶信息持久保存在數(shù)據(jù)庫31中�����,包括令牌等用戶的會話信息保存在外部緩存中�����。認證服務(wù)器對尚未通過身份認證的用戶進行身份認證��,是從數(shù)據(jù)庫中獲取該用戶的用戶名、密碼等用戶信息以核對用戶身份�。身份認證完成后,認證服務(wù)器產(chǎn)生令牌�,并把令牌等該用戶的會話信息放到外部緩存。當該用戶訪問其它應(yīng)用系統(tǒng)��,其它應(yīng)用系統(tǒng)再重定向請求到認證服務(wù)器認證時���,認證服務(wù)器先查找外部緩存中的會話信息����,如果找到該用戶的會話信息中已經(jīng)存在令牌�,就直接把令牌加密,生成令牌校驗碼重定向回其他應(yīng)用系統(tǒng)���?����;谏鲜鰧嵤├?�,本發(fā)明還提出一實施例��。認證服務(wù)器預(yù)設(shè)用戶信息分級配置�����,本實施例的步驟S510�����,認證客戶端認為用戶已通過應(yīng)用系統(tǒng)的身份認證�����,允許其訪問受保護資源�����,保存令牌之后還可以包括:步驟S511���、認證客戶端使用令牌向認證服務(wù)器請求用戶信息的步驟;步驟S512�����,對于接收到的訪問請求�,認證服務(wù)器根據(jù)訪問請求附帶的應(yīng)用系統(tǒng)的標識,查找與其對應(yīng)的用戶信息分級�,生成符合用戶信息分級的用戶信息��,返回給認證客戶端的步驟�。本實施例參照上述實施例��,故不贅述��。本發(fā)明的基于單點單點登錄的身份認證系統(tǒng)及方法由上述揭露的結(jié)構(gòu)�,可以達到目的和效果,然而以上所揭露僅為本發(fā)明的較佳實施例���,自不能以此限定本發(fā)明的權(quán)利范圍��,至于本發(fā)明的其它等效修飾或變化��,均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍內(nèi)�。
權(quán)利要求
1.一種基于單點登錄的身份認證系統(tǒng)�����,對至少一應(yīng)用系統(tǒng)實現(xiàn)單點登錄����,其特征在于,包括: 對用戶身份進行認證���、對通過認證的用戶生成令牌及會話信息的認證服務(wù)器���; 分別部署在至少一應(yīng)用系統(tǒng)�、將需要對用戶身份進行認證的訪問請求重定向到認證服務(wù)器����、并根據(jù)收到的令牌保護所述應(yīng)用系統(tǒng)上的受保護資源的至少一認證客戶端;和緩存包括令牌在內(nèi)的會話信息以供認證服務(wù)器使用的外部緩存��。
2.根據(jù)權(quán)利要求1所述的基于單點登錄的身份認證系統(tǒng)���,其特征在于: 所述認證客戶端接收用戶發(fā)出的對應(yīng)用系統(tǒng)上受保護資源的訪問請求�����; 所述認證客戶端查找令牌以判斷發(fā)出訪問請求的用戶是否已通過身份認證; 對于用戶已通過身份認證的����,允許其訪問受保護資源; 對于用戶未通過身份認證的���,將所述訪問請求重定向到所述認證服務(wù)器��,由其對用戶身份進行認證�; 所述認證客戶端接收認證服務(wù)器返回的令牌; 對所述令牌進行校驗�,令牌校驗成功的,所述認證客戶端認為用戶已通過應(yīng)用系統(tǒng)的身份認證���,允許其訪問受保護資源�����,保存令牌��;對于令牌校驗失敗的��,所述認證客戶端將訪問請求重定向到所述認證服務(wù)器�,由其對用戶身份進行認證�。
3.根據(jù)權(quán)利要求1所述的基于單點登錄的身份認證系統(tǒng),其特征在于���,所述認證客戶端包括: 權(quán)限框架組件�����,在認證服務(wù)器對用戶完成身份認證后重定向回應(yīng)用系統(tǒng)時�,實現(xiàn)用戶在應(yīng)用系統(tǒng)的登錄;在認證服務(wù)器對用戶完成登出后�����,權(quán)限框架組件根據(jù)認證服務(wù)器的通知�����,實現(xiàn)用戶在應(yīng)用系統(tǒng)的登出�; 資源保護過濾器,保護應(yīng)用系統(tǒng)受保護的資源僅供完成身份認證的用戶訪問��,對于尚未通過身份認證的用戶����,將其訪問請求重定向到認證服務(wù)器; 框架緩存組件����,保存用戶令牌�����。
4.根據(jù)權(quán)利要求1所述的基于單點登錄的身份認證系統(tǒng),其特征在于: 所述認證服務(wù)器接收來自認證客戶端的訪問請求��; 所述認證服務(wù)器根據(jù)用戶登錄狀態(tài)判斷用戶是否已通過身份認證����; 對于已通過身份認證的,認證服務(wù)器從外部緩存中獲取已經(jīng)產(chǎn)生的令牌�����,加密并根據(jù)令牌生成令牌校驗碼���,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源���; 對未通過身份認證的,引導用戶在頁面輸入身份認證信息��,對用戶進行身份認證�; 對于身份認證失敗的,認證服務(wù)器引導用戶繼續(xù)身份認證���; 對于身份認證成功的�����,認證服務(wù)器設(shè)定用戶狀態(tài)為已通過身份認證����;產(chǎn)生與用戶身份相應(yīng)的令牌,設(shè)置到所述用戶的瀏覽器中�;并將包括令牌在內(nèi)的用戶的會話信息保存到外部緩存;認證服務(wù)器將產(chǎn)生的令牌加密��,并根據(jù)令牌生成令牌校驗碼�����,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源�����。
5.根據(jù)權(quán)利要求1至4任意一項所述的基于單點登錄的身份認證系統(tǒng)�����,其特征在于: 所述認證服務(wù)器還包括數(shù)據(jù)庫���,存儲包括身份認證信息在內(nèi)的用戶信息��; 認證服務(wù)器到數(shù)據(jù)庫中查找用戶信息進行身份認證��。
6.根據(jù)權(quán)利要求1至4任意一項所述的基于單點登錄的身份認證系統(tǒng)����,其特征在于:所述外部緩存為單個外部緩存�����,或集群部署的分布式緩存系統(tǒng)�����; 所述認證服務(wù)器為單獨部署的一服務(wù)器�����,或集群部署的多個服務(wù)器���; 所述外部緩存與認證服務(wù)器為一對一����、一對多����、多對一或多對多關(guān)系�。
7.根據(jù)權(quán)利要求1至4任意一項所述的基于單點登錄的身份認證系統(tǒng)���,其特征在于: 至少一認證客戶端與認證服務(wù)器之間采用http通信協(xié)議實現(xiàn)通信����,通過瀏覽器重定向通信和/或直接通信����。
8.一種基于單點登錄的身份認證方法,基于認證服務(wù)器�、至少一認證客戶端和外部緩存對至少一應(yīng)用系統(tǒng)實現(xiàn)單點登錄,其特征在于����,包括: 根據(jù)用戶提出的對受保護資源的訪問請求,認證客戶端查找令牌以判斷用戶是否已通過身份認證的步驟�; 對于已通過身份認證的,認證客戶端允許訪問受保護的資源的步驟�; 對于未通過身份認證的,認證客戶端將訪問請求重定向到認證服務(wù)器的步驟���; 所述認證服務(wù)器根據(jù)用戶登錄狀態(tài)判斷用戶是否已通過身份認證的步驟�; 對于已通過身份認證的用戶���,認證服務(wù)器從外部緩存中獲取已經(jīng)產(chǎn)生的令牌����,加密并根據(jù)令牌生成令牌校驗碼��,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源的步驟�����; 對未通過身份認證的用戶��,引導用戶在頁面輸入身份認證信息���,對用戶進行身份認證的步驟�����; 對于身份認證失敗的����,認證服務(wù)器引導用戶繼續(xù)身份認證的步驟����; 對于身份認證成功的���,認證服務(wù)器設(shè)定用戶登錄狀態(tài)為已通過身份認證;產(chǎn)生與用戶身份相應(yīng)的令牌���,設(shè)置到所述用戶的瀏覽器中��;并將包括令牌在內(nèi)的用戶的會話信息保存到外部緩存���;認證服務(wù)器將產(chǎn)生的令牌加密,并根據(jù)令牌生成令牌校驗碼�,將訪問請求重定向到應(yīng)用系統(tǒng)受保護資源的步驟; 所述認證客戶端接收令牌���,對令牌進行校驗的步驟���; 認證客戶端對所述令牌進行校驗,令牌校驗成功的����,所述認證客戶端認為用戶已通過應(yīng)用系統(tǒng)的身份認證,允許其訪問受保護資源���,保存令牌����;對于令牌校驗失敗的,所述認證客戶端將訪問請求重定向到所述認證服務(wù)器���,由其對用戶身份進行認證的步驟���。
9.根據(jù)權(quán)利要求8所述的基于單點登錄的身份認證方法����,其特征在于,所述認證服務(wù)器還包括數(shù)據(jù)庫��,存儲包括用戶賬號����、密碼在內(nèi)的用戶的信息,所述方法還包括: 認證服務(wù)器優(yōu)先到所述外部緩存中查找用戶信息的步驟��; 對于在外部緩存中未查找到用戶信息的��,認證服務(wù)器到數(shù)據(jù)庫中查找用戶信息�����,將找至IJ的用戶信息同用戶輸入的信息進行比對,同時把用戶信息緩存到外部緩存的步驟�。
10.根據(jù)權(quán)利要求8或9所述的基于單點登錄的身份認證方法,其特征在于�����,所述認證服務(wù)器預(yù)設(shè)用戶信息分級配置��;所述方法還包括: 對于接收到的訪問請求���,認證服務(wù)器根據(jù)訪問請求附帶的應(yīng)用系統(tǒng)的標識�����,查找與其對應(yīng)的用戶信息分級�,生成符合用戶信息分級的用戶信息����,返回給認證客戶端的步驟。
全文摘要
本發(fā)明提供一種基于單點登錄的身份認證系統(tǒng)�,對至少一應(yīng)用系統(tǒng)實現(xiàn)單點登錄,包括對用戶身份進行認證�����,對通過認證的用戶生成令牌及會話信息的認證服務(wù)器;分別部署在至少一應(yīng)用系統(tǒng)����,將需要對用戶身份進行認證的訪問請求重定向到認證服務(wù)器,根據(jù)收到的令牌保護應(yīng)用系統(tǒng)上的受保護資源的至少一認證客戶端�;和緩存包括令牌在內(nèi)的會話信息,供認證服務(wù)器使用的外部緩存�。本發(fā)明還提供一種基于單點登錄的身份認證文件。本發(fā)明的認證服務(wù)器使用外部緩存來實現(xiàn)緩存���,降低對認證服務(wù)器的數(shù)據(jù)存取壓力�,提高了訪問速度�����。本發(fā)明還采用令牌替代現(xiàn)有技術(shù)中的服務(wù)票據(jù)���,省去了認證客戶端再次向認證服務(wù)器確認用戶是否通過身份認證的步驟。
文檔編號H04L9/32GK103188248SQ201110459220
公開日2013年7月3日 申請日期2011年12月31日 優(yōu)先權(quán)日2011年12月31日
發(fā)明者鄧羽, 羅建偉, 楊嚴冬, 陳振民, 李繼勇, 廖炳才 申請人:卓望數(shù)碼技術(shù)(深圳)有限公司