一種單點登錄系統(tǒng)及其實現(xiàn)方法
【專利摘要】本發(fā)明公開了一種單點登錄系統(tǒng)及其實現(xiàn)方法�����,該方法包括如下步驟:客戶機向應用服務器發(fā)送登錄請求���,集成于應用服務器上的登錄認證客戶端將請求轉(zhuǎn)至登錄認證服務器��,登錄認證服務器通過登錄代理服務獲取客戶機的唯一標識���,并將唯一標識、用戶名�����、密碼�、登錄狀態(tài)等登錄信息保存或更新至用戶信息數(shù)據(jù)庫,登錄認證服務器根據(jù)唯一標識查詢用戶登錄信息,并派發(fā)加密令牌給應用服務器�,應用服務器根據(jù)該令牌查詢用戶的登錄情況。本發(fā)明中����,登錄認證服務器通過安裝在客戶機后臺的登錄代理服務獲取客戶機唯一標識,可實現(xiàn)多應用系統(tǒng)間跨瀏覽器�����、跨架構(gòu)(B/S����,C/S)且安全可靠的單點登錄目的�����。
【專利說明】
一種單點登錄系統(tǒng)及其實現(xiàn)方法
【技術(shù)領域】
[0001]本發(fā)明涉及一種單點登錄系統(tǒng)和實現(xiàn)方法����,主要應用于多應用系統(tǒng)間的統(tǒng)一登錄和注銷。
【背景技術(shù)】
[0002]當存在多個業(yè)務系統(tǒng)時���,通過統(tǒng)一的用戶登錄平臺�,只需要進行一次登錄或注銷,即可完成在多個業(yè)務系統(tǒng)中的統(tǒng)一登錄或注銷����,大大方便了用戶的使用和操作。目前����,廣泛使用的基于瀏覽器cookie的單點登錄方法存在以下缺陷:
[0003](I)基于http協(xié)議的訪問請求,在安全性上不能保證,而使用https協(xié)議,傳輸速度慢��。
[0004](2)基于cookie的單點登錄方法是基于瀏覽器的�,其無法跨瀏覽器進行統(tǒng)一登錄和注銷。
[0005](3)由于基于cookie的單點登錄方法是基于瀏覽器的�,故無法在C/S架構(gòu)中使用。
【發(fā)明內(nèi)容】
[0006]為克服以上單點登錄方法的不足和缺陷�����,本發(fā)明提供了一種新的單點登錄方法��,其不僅安全可靠�����,而且可以實現(xiàn)跨瀏覽器和跨架構(gòu)操作����。
[0007]為了解決上述技術(shù)問題���,本發(fā)明公開了一種單點登錄系統(tǒng),其基于一個登錄認證服務器�����,登錄認證客戶端以及用戶信息數(shù)據(jù)庫�,完成客戶機對多個應用服務器的統(tǒng)一登錄/注銷。
[0008]本發(fā)明為實現(xiàn)一種單點登錄系統(tǒng)����,其至少包括以下內(nèi)容:
[0009]系統(tǒng)包括客戶機��、登錄認證服務器�、登錄認證客戶端、用戶信息數(shù)據(jù)庫�。其中,客戶機分為前臺和后臺兩部分��,前臺部分可以為瀏覽器或桌面程序���,可向應用服務器發(fā)送登錄請求�,后臺部分為登錄代理服務,登錄認證服務器訪問該服務生成客戶機的唯一標識��;登錄認證服務器完成用戶登錄情況的查詢校驗等工作���;登錄認證客戶端集成于各個應用中�,實現(xiàn)對登錄請求進行過濾和轉(zhuǎn)發(fā)�����;用戶信息數(shù)據(jù)庫保存客戶機唯一標識��、用戶名����、密碼、登錄狀態(tài)等登錄信息��。
[0010]用戶第一次登錄系統(tǒng)��,可分為通過瀏覽器方式第一次登錄系統(tǒng)以及通過桌面程序方式第一次登錄系統(tǒng)��。其中�,用戶通過瀏覽器方式第一次登錄系統(tǒng),登錄認證服務器將返回一個登錄界面��;用戶通過桌面程序方式第一次登錄系統(tǒng),登錄認證客戶端將返回一個登錄界面��。
[0011]登錄界面可檢測���、自動下載并安裝一個登錄代理程序�����。該程序在客戶機后臺啟動一個登錄代理服務����,該服務與登錄認證服務器保持交互�����,登錄認證服務器可通過該服務獲取到客戶機的mac地址等硬件信息���,作為客戶機的唯一標識。
[0012]單點登錄系統(tǒng)的實現(xiàn)方法包括了登錄請求過程�����、登錄認證過程���、登錄信息持久化過程����、登錄注銷過程。
[0013]在登錄請求過程中�,應用服務器收到客戶機發(fā)來的訪問請求,其集成的登錄認證客戶端會對登錄請求進行解析�����,解析過程包括:
[0014]Al:登錄認證客戶端在應用服務器的會話中找到用戶憑證�����,完成用戶登錄�����。用戶憑證包括客戶機唯一標識和用戶名����;
[0015]A2:登錄認證客戶端在登錄請求中檢測到加密令牌,將加密令牌發(fā)至登錄認證服務器進行校驗�����;
[0016]A3:登錄認證客戶端在登錄請求中未檢測到加密令牌,將登錄請求轉(zhuǎn)至登錄認證服務器����。
[0017]在登錄認證過程中,登錄認證服務器會對應用服務器轉(zhuǎn)發(fā)過來的加密令牌�����、登錄請求�、用戶名和密碼進行校驗認證,至少包括以下內(nèi)容:
[0018]B1:登錄認證服務器對加密令牌進行校驗��,校驗通過后�,銷毀加密令牌,并返回登錄信息至應用服務器�����,在應用會話中保存客戶機唯一標識和用戶名作為用戶憑證�����,完成用戶登錄����;
[0019]B2:登錄認證服務器可檢測客戶機上是否有登錄代理服務,若沒有��,則客戶機返回登錄界面�����;若有���,則通過登錄代理服務獲取客戶機唯一標識����。
[0020]B3:登錄認證服務器可在用戶信息數(shù)據(jù)庫中檢測客戶機唯一標識����。若檢測到該唯一標識有對應的登錄信息,則返回加密令牌給應用服務器��;若未檢測到該唯一標識或其登錄信息����,則客戶機返回登錄頁面。
[0021]B4:登錄認證服務器獲取用戶名和密碼�,在用戶信息數(shù)據(jù)庫中查詢該用戶名和密碼是否有效。
[0022]在登錄信息持久化過程中,登錄認證服務器會將客戶機唯一標識��、用戶名����、密碼等保存至用戶信息數(shù)據(jù)庫中。
[0023]在登錄注銷過程中�����,應用服務器收到客戶機的登錄注銷請求���,會將注銷請求轉(zhuǎn)發(fā)至登錄認證服務器�����,登錄認證服務器獲取客戶機唯一標識����,并更新用戶信息數(shù)據(jù)庫中的用戶登錄信息�。
[0024]本發(fā)明公開了一種單點登錄系統(tǒng)及其實現(xiàn)方法,該方法包括如下步驟:客戶機向應用服務器發(fā)送登錄請求����,集成于應用服務器上的登錄認證客戶端將請求轉(zhuǎn)至登錄認證服務器�,登錄認證服務器通過登錄代理服務獲取客戶機的唯一標識����,并將唯一標識���、用戶名�、密碼�、登錄狀態(tài)等登錄信息保存或更新至用戶信息數(shù)據(jù)庫,登錄認證服務器根據(jù)唯一標識查詢用戶登錄信息��,并派發(fā)加密令牌給應用服務器��,應用服務器根據(jù)該令牌查詢用戶的登錄情況���。本發(fā)明中�,登錄認證服務器通過安裝在客戶機后臺的登錄代理服務獲取客戶機唯一標識�����,可實現(xiàn)多應用系統(tǒng)間跨瀏覽器��、跨架構(gòu)(B/S���,C/S)且安全可靠的單點登錄目的��。
【專利附圖】
【附圖說明】
[0025]下面結(jié)合附圖和【具體實施方式】對本發(fā)明做更進一步的具體說明����,本發(fā)明的上述和/或其他方面的優(yōu)點將會變得更加清楚。
[0026]圖1為單點登錄實施步驟登錄過程圖
[0027]圖2為單點登錄實施步驟注銷過程圖�。
[0028]圖3為單點登錄各階段的信息流轉(zhuǎn)圖。
【具體實施方式】
[0029]實施例
[0030]如圖1?圖3所示����,本實施例具體包括以下內(nèi)容:
[0031]1、第一次登錄應用A
[0032]I.I客戶機請求訪問應用A���。
[0033]1.2應用A上集成的登錄認證客戶端會對該請求進行分析��,在應用A的會話(sess1n)中檢測是否存在用戶憑證���,檢測請求中是否帶有加密令牌。當檢測到會話中無用戶憑證���,且請求中不帶有加密令牌����,進入下一步。
[0034]1.3若用戶通過瀏覽器訪問��,則將該請求重定向到登錄認證服務器���,登錄認證服務器收到應用A重定向過來的請求,向客戶機返回一個用戶登錄驗證頁面���;若用戶通過桌面程序訪問�����,登錄認證服務器檢測到客戶機無登錄代理服務����,則登錄認證客戶端會啟動客戶機的瀏覽器����,返回用戶登錄驗證頁面。
[0035]1.4登錄驗證頁面會要求用戶安裝一個用于檢測客戶機唯一標識的程序�����,用戶同意安裝后�,該程序會自動下載并安裝于客戶機上�����,該程序?qū)⒃诳蛻魴C后臺啟動一個登錄代理服務。登錄認證服務器會時刻與該服務保持交互�����,以獲取客戶機唯一標識。
[0036]1.5用戶在登錄頁面中輸入用戶名和密碼��,登錄認證服務器對用戶名和密碼進行校驗��。若用戶名和密碼正確�,則在用戶信息數(shù)據(jù)庫中添加該用戶的登錄信息,登錄信息至少包括客戶機唯一標識�、用戶名�����、密碼��、登錄狀態(tài)����;若用戶名和密碼校驗不正確,則向客戶機重新返回登錄頁面��,重復本步驟。
[0037]1.6登錄認證服務器生成一個與用戶登錄信息相關聯(lián)的加密令牌����,加密令牌作為參數(shù)隨請求返回至應用A���。
[0038]1.7登錄認證客戶端檢測到請求中的加密令牌,將加密令牌發(fā)送到登錄認證服務器進行校驗���,校驗成功后�����,銷毀加密令牌��,返回登錄信息到應用A��,并在應用A的會話中保存該用戶的憑證�,完成應用A的登錄���。
[0039]2、第一次訪問應用B
[0040]2.1客戶機請求訪問應用B�����。
[0041]2.2應用B上集成的登錄認證客戶端對該請求進行分析,檢測請求中是否帶有加密令牌��,在應用B的會話中檢測是否存在用戶憑證����。當檢測到會話中無用戶憑證���,且請求中不帶有加密令牌,進入下一步�����。
[0042]2.3登錄認證客戶端將請求轉(zhuǎn)至登錄認證服務器����,登錄認證服務器檢測到客戶機上存在登錄代理服務,登錄認證服務器通過該服務獲取客戶機唯一標識�。
[0043]2.4登錄認證服務器在用戶信息數(shù)據(jù)庫中查詢是否存在該唯一標識�����。當?shù)卿浾J證服務器檢測到該唯一標識及其對應的登錄信息���,登錄認證服務器會生成一個加密令牌���,并將該令牌返回給應用B�����。
[0044]2.5應用B收到加密令牌后�����,與登錄認證服務器進行校驗���,校驗成功后,立即銷毀該加密令牌����,返回登錄信息到應用B,將應用B納入單點登錄范圍內(nèi)�,并在應用B的會話中保存該用戶憑證。
[0045]3�����、第二次登錄應用A或應用B
[0046]3.1當用戶下次訪問應用A或應用B的時候,由于各自應用的會話中能夠拿到該請求用戶的憑證���,即可實現(xiàn)直接登錄����。
[0047]4���、用戶注銷應用A或應用B
[0048]4.1用戶向應用A或應用B發(fā)送注銷請求�����。
[0049]4.2應用A或應用B收到注銷請求后�����,將請求發(fā)至登錄認證服務器����,登錄認證服務器通過登錄代理服務獲取客戶機唯一標識�����,并更新用戶信息數(shù)據(jù)庫中的用戶登錄信息��。
[0050]本發(fā)明提供了一種單點登錄系統(tǒng)及其實現(xiàn)方法�,具體實現(xiàn)該技術(shù)方案的方法和途徑很多,以上所述僅是本發(fā)明的優(yōu)選實施方式��,應當指出��,對于本【技術(shù)領域】的普通技術(shù)人員來說�,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾����,這些改進和潤飾也應視為本發(fā)明的保護范圍。本實施例中未明確的各組成部分均可用現(xiàn)有技術(shù)加以實現(xiàn)�。
【權(quán)利要求】
1.一種單點登錄系統(tǒng),其特征在于��,包括客戶機�、登錄認證服務器、登錄認證客戶端�、以及用戶信息數(shù)據(jù)庫,用于對兩個以上不同應用服務器上的不同應用進行統(tǒng)一登錄和注銷管理��; 所述客戶機分為前臺和后臺兩部分��,前臺部分為瀏覽器或桌面程序�����,用于向應用服務器發(fā)送登錄請求,后臺部分為登錄代理服務��,登錄認證服務器訪問該登錄代理服務生成客戶機的唯一標識�; 所述登錄認證服務器完成用戶登錄情況的查詢校驗; 登錄認證客戶端用于集成需要進行統(tǒng)一登錄管理的所有應用�,并對登錄請求進行過濾和轉(zhuǎn)發(fā); 用戶信息數(shù)據(jù)庫保存客戶機唯一標識�、用戶名、密碼以及登錄狀態(tài)的登錄信息��。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其特征在于�����,用戶第一次登錄系統(tǒng)����,分為通過瀏覽器方式第一次登錄系統(tǒng)以及通過桌面程序方式第一次登錄系統(tǒng)���。
3.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,用戶通過瀏覽器方式第一次登錄系統(tǒng)���,登錄認證服務器返回一個登錄界面�����。
4.根據(jù)權(quán)利要求2所述的系統(tǒng)���,其特征在于,用戶通過桌面程序方式第一次登錄系統(tǒng)���,登錄認證客戶端返回一個登錄界面���。
5.根據(jù)權(quán)利要求3或4所述的系統(tǒng),其特征在于�,所述登錄界面用于檢測、自動下載并安裝一個登錄代理程序�����;登錄代理程序安裝后用于在客戶機后臺啟動一個登錄代理服務�,該服務與登錄認證服務器保持交互,登錄認證服務器通過該服務獲取到客戶機的mac地址的硬件信息����,作為客戶機的唯一標識��。
6.一種單點登錄實現(xiàn)方法�,其特征在于�,包括登錄請求步驟、登錄認證步驟�����、登錄信息持久化步驟�����、以及登錄注銷步驟��; 所述登錄請求步驟中��,客戶機向應用服務器發(fā)送登錄請求����,登錄認證客戶端對登錄請求進行解析,包括如下內(nèi)容: Al:登錄認證客戶端在應用服務器的會話中找到用戶憑證�����,完成用戶登錄����;用戶憑證包括客戶機唯一標識和用戶名; A2:如果登錄認證客戶端在登錄請求中檢測到加密令牌��,將加密令牌發(fā)至登錄認證服務器進行校驗��; A3:如果登錄認證客戶端在登錄請求中未檢測到加密令牌�,將登錄請求轉(zhuǎn)至登錄認證服務器; 所述登錄認證步驟中���,包括如下內(nèi)容: B1:如果登錄認證服務器收到加密令牌則對加密令牌進行校驗�����,校驗通過后����,銷毀加密令牌��,并返回登錄信息至應用服務器�,在應用會話中保存客戶機唯一標識和用戶名作為用戶憑證,完成用戶登錄�; B2:登錄認證服務器檢測客戶機上是否有登錄代理服務��,若沒有�,則客戶機返回登錄界面��;若有��,則通過登錄代理服務獲取客戶機唯一標識����; B3:登錄認證服務器在用戶信息數(shù)據(jù)庫中檢測客戶機唯一標識,若檢測到該唯一標識有對應的登錄信息�,則返回加密令牌給應用服務器;若未檢測到該唯一標識或其登錄信息�,則客戶機返回登錄頁面; B4:登錄認證服務器獲取用戶名和密碼���,在用戶信息數(shù)據(jù)庫中查詢該用戶名和密碼是否有效�����,如果有效��,則進行下一步�,否則結(jié)束����; 所述登錄信息持久化步驟��,在登錄頁面輸入用戶名和密碼����,經(jīng)認證有效后����,將連同客戶機唯一標識保存在用戶信息數(shù)據(jù)庫中����; 所述登錄注銷步驟,在客戶機進行登錄注銷操作后��,登錄注銷請求轉(zhuǎn)發(fā)至登錄認證服務器����,登錄認證服務器獲取客戶機唯一標識,并更新用戶信息數(shù)據(jù)庫中的用戶登錄信息��。
【文檔編號】H04L29/06GK104301316SQ201410537914
【公開日】2015年1月21日 申請日期:2014年10月13日 優(yōu)先權(quán)日:2014年10月13日
【發(fā)明者】高翔, 許家堯, 朱子杰 申請人:中國電子科技集團公司第二十八研究所