專利名稱:一種基于ldap服務的單點登錄實現方法
技術領域:
本發(fā)明涉及一種單點登錄的實現方法����,主要應用于LDAP服務上的單點登錄的實現方法。
背景技術:
目前在很多企業(yè)內部����,一般都有很多的業(yè)務支持系統(tǒng)為其提供相應的管理和IT 服務。例如財務系統(tǒng)為財務人員提供財務的管理�����、計算和報表服務��;人事系統(tǒng)為人事部門提供全公司人員的維護服務�����;各種業(yè)務系統(tǒng)為公司內部不同的業(yè)務提供不同的服務等等���。這些系統(tǒng)的目的都是讓計算機來進行復雜繁瑣的計算工作,來替代人力的手工勞動�����,提高工作效率和質量。這些不同的系統(tǒng)往往是在不同的時期建設起來的��,運行在不同的平臺上��;也許是由不同廠商開發(fā)��,使用了各種不同的技術和標準��。這給企業(yè)內部的管理和交流帶來困難�����,這種情況其實非常普遍�。更進一步,每一個應用系統(tǒng)在運行了數年以后����,都會成為不可替換的企業(yè)內部管理架構的一部分,隨著企業(yè)的發(fā)展�,業(yè)務系統(tǒng)的數量在不斷的增加,需要維護的系統(tǒng)越來越多����。不同系統(tǒng)之間常常需要獨立進行登錄����,每個單獨的系統(tǒng)都會有自己的安全體系和身份認證系統(tǒng)�����。整合以前����,進入每個系統(tǒng)都需要進行登錄,這樣的局面不僅給管理上帶來了很大的困難�����,在安全方面也埋下了重大的隱患���;也無法實現信息的多方面交流。因此人們研制了跨域名單點登錄系統(tǒng)�����,例如專利申請20081014M44. 3提出了一種跨域名單點登錄的實現方法�,以解決這些問題,而目前單點登錄的普遍實行基本方式如下數據庫維護系統(tǒng)A和系統(tǒng)B的用戶存在對應關系��,用戶登入系統(tǒng)A后,請求訪問系統(tǒng)B����,系統(tǒng)B驗證系統(tǒng)A的用戶是否同時是系統(tǒng)B的用戶。這種實現方式的缺點如下需要維護系統(tǒng)A和系統(tǒng)B的用戶對應關系���;從系統(tǒng)A訪問系統(tǒng)B��,僅僅是驗證用戶名���,存在非法登錄系統(tǒng)B的風險;用戶數據保存在某一數據庫(如 ORACLE)中�,不利于使用其它數據庫(如MySQL)的系統(tǒng)的訪問。
發(fā)明內容
本發(fā)明的目的是提供一種基于LDAP服務的單點登錄實現方法���,該方法可實現基于LDAP服務的單點登錄��,且該方法安全可靠��,能夠保證用戶和系統(tǒng)的安全�。本發(fā)明的再一個目的是提供一種基于LDAP服務的單點登錄實現方法����,該方法能夠便于對多個數據庫同時訪問�。為此���,本發(fā)明的實現方法包括如下步驟��。1��、發(fā)送用戶ID和密碼到系統(tǒng)一��;
2���、系統(tǒng)一發(fā)送用戶ID和密碼到LDAP服務器進行認證;
3����、LDAP服務器進行認證并返回認證信息(ticket),登錄系統(tǒng)一��;
4��、若要登錄系統(tǒng)二����,發(fā)送用戶ID和認證信息到LDAP服務器進行認證;
5��、然后返回認證信息給系統(tǒng)二�,登錄系統(tǒng)二。
Ticket的生成方式為
A��、用戶ID和當前時間值(最好精確到毫秒)組成字符串S;
B��、對字符串S進行UTF-8的Base64編碼形成ticket�����。所述的步驟3中�,LDAP服務器根據用戶ID和時間戳生成ticket,并將ticket保存在LDAP服務器中和返回ticket到系統(tǒng)一���,系統(tǒng)一把接收到的ticket以及用戶ID保存在 session 中���。所述步驟4中,當用戶在系統(tǒng)一中需要訪問系統(tǒng)二時�,則發(fā)送帶有EI用戶ID 和ticket的請求發(fā)送到系統(tǒng)二,系統(tǒng)二從系統(tǒng)一的請求中取得用戶ID和ticket�����,并把用戶ID和ticket發(fā)送到LDAP服務器進行驗證,驗證通過后����,允許用戶從系統(tǒng)一直接訪問系統(tǒng)二,在進入系統(tǒng)二之后�����,系統(tǒng)二與系統(tǒng)一一樣��,也把用戶ID和ticket保存在session中�, 以便從系統(tǒng)二訪問其它系統(tǒng)時使用。所述若用戶從系統(tǒng)一或系統(tǒng)二退出時����,session則被清空失效。若用戶登錄在系統(tǒng)一和系統(tǒng)二后�����,用戶退出系統(tǒng)一時�����,系統(tǒng)一中的session被清空失效�����,系統(tǒng)二中依然還儲存有session�����,系統(tǒng)二的登錄依然有效�。若用戶登錄其它的系統(tǒng)三、系統(tǒng)四�����,則重復步驟4 一 5��。若用戶登錄在系統(tǒng)一和系統(tǒng)二后����,再登錄系統(tǒng)三,系統(tǒng)三可以從系統(tǒng)一或系統(tǒng)二獲取用戶ID和ticket�,并把用戶ID和ticket發(fā)送到LDAP服務器進行驗證,驗證通過后�, 直接從系統(tǒng)一或系統(tǒng)二登錄系統(tǒng)三。若用戶重新使用用戶ID和密碼登錄系統(tǒng)一或系統(tǒng)二時��,則重新根據用戶ID和時間戳生產新的ticket���。按照上述方法����,在多個應用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)�����,比如在電子政務���、企業(yè)管理等領域�。其應用方式如下
1�、用戶訪問系統(tǒng)一首頁,
2����、用戶輸入用戶名和密碼,并提交到LDAP服務器�����,
3����、LDAP服務器驗證通過�,
4��、用戶進入系統(tǒng)一�����,
5�����、用戶從系統(tǒng)一直接訪問系統(tǒng)二����。本發(fā)明所達到的技術效果為1�����、用戶信息統(tǒng)一保存在LDAP服務器中���,不必維護系統(tǒng)A和系統(tǒng)B的用戶對應關系���,且可適應于使用任何數據庫的應用系統(tǒng)。2�、以根據用戶ID和時間戳生成的ticket為單點登錄通行證��,避免了非法登錄系統(tǒng)B的風險�����。
圖1本發(fā)明的用戶認證框圖�。圖2為本發(fā)明登錄認證互流程圖�。
具體實施例方式下面結合附圖,對本發(fā)明的實現做進一步說明����。 如圖1所示,為用戶認證框圖�。用戶第一次訪問外部應用系統(tǒng)(包括有多個具體的應用系統(tǒng))的時候,因為還沒有登錄��,會被引導到認證系統(tǒng)中進行驗證再登錄��;如果通過效驗��,LDAP服務器會返回給用戶一個認證的憑據一一 ticket���。當用戶再訪問其它的應用系統(tǒng)的時候��,用戶會將這個ticket帶上���,作為自己認證的憑據�����,應用系統(tǒng)會發(fā)送用戶ID和這個ticket到LDAP進行驗證����,如果通過效驗����,用戶就可以在不用再次登錄的情況下訪問其它的應用系統(tǒng)���。從圖2可以看出����,要實現單點登錄��,其主要的實現步驟為 1�、用戶訪問系統(tǒng)一首頁。2����、用戶輸入用戶ID和密碼�����,并提交到LDAP服務器進行驗證���。3、LDAP服務器驗證用戶ID和密碼����,驗證通過后,LDAP服務器根據用戶ID和時間戳生成ticket�,并將ticket保存在LDAP服務器中和返回ticket到系統(tǒng)一,系統(tǒng)一把接收到的ticket保存在session中����。4、系統(tǒng)一接收到驗證通過信息和ticket后����,進入系統(tǒng)一。5���、若要登錄系統(tǒng)二�,則系統(tǒng)一發(fā)送帶有用戶ID和ticket的請求到系統(tǒng)二。6�����、系統(tǒng)二從系統(tǒng)一的請求中取得用戶ID和ticket���,并發(fā)送用戶ID和認證信息到 LDAP服務器進行認證�����。7��、LDAP服務器認證后�����,返回驗證成功的信息給系統(tǒng)二,則用戶可通過系統(tǒng)一可以直接登錄系統(tǒng)二�,在進入系統(tǒng)二之后,系統(tǒng)二也將用戶ID和ticket儲存在session中以便從系統(tǒng)二訪問其它系統(tǒng)時使用�。若用戶在登錄系統(tǒng)一后,再登錄系統(tǒng)二和系統(tǒng)三��,只通過驗證用戶ID和ticket即可實現系統(tǒng)二和系統(tǒng)三的登錄��;但是當用戶從系統(tǒng)二或系統(tǒng)三訪問系統(tǒng)一時,在用戶登錄系統(tǒng)一的情況下����,仍然要進行ticket和用戶ID的認證。在退出系統(tǒng)二和系統(tǒng)三后��,系統(tǒng)二和系統(tǒng)三會清空session中的用戶ID和ticket�。以上所述僅為本發(fā)明的較佳實施案例而已,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內所作的任何修改�、等同替換和改進等,均應包含在本發(fā)明的保護范圍之內��。
權利要求
1.一種基于LDAP服務的單點登錄實現方法���,其特征在于該方法包括如下步驟1)�、發(fā)送用戶ID和密碼到系統(tǒng)一��;2)�、系統(tǒng)一發(fā)送用戶ID和密碼到LDAP服務器進行認證;3)����、LDAP服務器進行認證并返回認證信息(ticket)����,登錄系統(tǒng)一�����;4)�、若要登錄系統(tǒng)二,發(fā)送用戶ID和認證信息到LDAP服務器進行認證�����;5)���、然后返回認證信息給系統(tǒng)二�����,登錄系統(tǒng)二。
2.如權利要求1所述的基于LDAP服務的單點登錄實現方法�����,其特征在于所述的步驟 3)中,LDAP服務器根據用戶ID和時間戳生成ticket�,并將ticket保存在LDAP服務器中和返回ticket到系統(tǒng)一,系統(tǒng)一把接收到的ticket以及用戶ID保存在session中���。
3.如權利要求1所述的基于LDAP服務的單點登錄實現方法���,其特征在于所述步驟4) 中,當用戶在系統(tǒng)一中需要訪問系統(tǒng)二時�,則發(fā)送帶有用戶ID和ticket的請求發(fā)送到系統(tǒng)二,系統(tǒng)二從系統(tǒng)一的請求中取得用戶ID和ticket�,并把用戶ID和ticket發(fā)送到LDAP 服務器進行驗證,驗證通過后�����,允許用戶從系統(tǒng)一直接訪問系統(tǒng)二�����。
4.如權利要求1所述的基于LDAP服務的單點登錄實現方法�,其特征在于所述若用戶從系統(tǒng)一或系統(tǒng)二退出時,session則被清空失效��。
5.如權利要求1所述的基于LDAP服務的單點登錄實現方法����,其特征在于若用戶登錄其它的系統(tǒng)三���、系統(tǒng)四,則重復步驟4) - 5)����。
6.如權利要求1所述的基于LDAP服務的單點登錄實現方法,其特征在于若用戶重新使用用戶ID和密碼登錄系統(tǒng)一或系統(tǒng)二時�,則重新根據用戶ID和時間戳生產新的ticket。
7.如權利要求1所述的基于LDAP服務的單點登錄實現方法�����,其特征在于Ticket的生成方式為A�、用戶ID和當前時間值(最好精確到毫秒)組成字符串S;B、對字符串S進行UTF-8的Base64編碼形成ticket����。
8.如權利要求1所述的基于LDAP服務的單點登錄實現方法,其特征在于若用戶登錄在系統(tǒng)一和系統(tǒng)二后�,再登錄系統(tǒng)三,系統(tǒng)三可以從系統(tǒng)一或系統(tǒng)二獲取用戶ID和ticket���, 并把用戶ID和ticket發(fā)送到LDAP服務器進行驗證��,驗證通過后��,直接從系統(tǒng)一或系統(tǒng)二登錄系統(tǒng)三�����。
全文摘要
本發(fā)明是一種基于LDAP服務的單點登錄實現方法��,該方法通過發(fā)送用戶ID和密碼到系統(tǒng)一�,系統(tǒng)一發(fā)送用戶ID和密碼到LDAP服務器進行認證�����,LDAP服務器進行認證并返回認證信息(ticket),登錄系統(tǒng)一�����,若要登錄系統(tǒng)二�����,發(fā)送用戶ID和認證信息到LDAP服務器進行認證��;認證后返回認證信息給系統(tǒng)二��,登錄系統(tǒng)二。該方法可實現基于LDAP服務的單點登錄�����,且該方法安全可靠��,能夠保證用戶和系統(tǒng)的安全����。
文檔編號G06F17/30GK102299805SQ201110285429
公開日2011年12月28日 申請日期2011年9月23日 優(yōu)先權日2011年9月23日
發(fā)明者馮劍, 周宏江 申請人:深圳市華波美通信技術有限公司