專利名稱：單點登錄系統(tǒng)及其實現(xiàn)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種網(wǎng)絡的登錄系統(tǒng)及其實現(xiàn)方法，特別是涉及一種單點登錄系統(tǒng)及其實現(xiàn)方法。
背景技術(shù)：
近年來，隨著電腦的普及與網(wǎng)絡科技的蓬勃發(fā)展，各種基于網(wǎng)絡的應用服務隨之產(chǎn)生。然而，有些網(wǎng)絡服務需要限制使用者的身份以便進行管理，因此，為了識別使用者的身份，通常會提供一個登錄界面提示使用者輸入帳號和密碼，以便根據(jù)使用者所輸入的帳號和密碼進行身份認證。一般而言，常見的登錄方式是通過網(wǎng)絡餅干(Cookie)來達成，且使用者所輸入的帳號和密碼皆預先設置于服務端，以便使用者在輸入相符的帳號和密碼供服務端進行認證后，能夠成功登錄服務端。然而，同一網(wǎng)絡服務可能由多個位于不同網(wǎng)域的服務端所組成， 這將造成使用者使用網(wǎng)絡服務時必須重復進行登入，徒增使用者登入的不便。有鑒于此，單點登錄(Single Sign On, SS0)的概念應運而生，單點登錄是目前比較流行的服務于企業(yè)業(yè)務整合的解決方案之一，SSO使得在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)?，F(xiàn)有流行的單點登錄系統(tǒng)典型的為開源單點登錄產(chǎn)品CAS，其采用Cookie機制，實現(xiàn)過程如下(1)用戶在單點登錄服務器的登錄頁面中，輸入用戶名和密碼；(2)然后單點登錄服務器會對用戶名和密碼進行認證。認證本身并不是單點登錄服務器的功能，因此，通常會引入某種認證機制。認證機制可以有很多種，例如自己寫一個認證程序，或者使用一些標準的認證方法；(3)認證通過之后，單點登錄服務器會和應用程序進行一個比較復雜的交互，這通常是某種授權(quán)機制。CAS使用的是所謂的Ticket (認證憑證)；(4)授權(quán)完成后，CAS把頁面重定向，回到Web應用。Web應用此時就完成了成功的登錄(當然這也是單點登錄的客戶端，根據(jù)返回的Ticket信息進行判斷成功的)；(5)然后單點登錄服務器會在客戶端創(chuàng)建一個Cookie ；(6)如果用戶此時希望進入其他Web應用程序，則安裝在這些應用程序中的單點登錄客戶端，首先仍然會重定向到CAS服務器。不過此時CAS服務器不再要求用戶輸入用戶名和密碼，而是首先自動尋找Cookie，根據(jù)Cookie中保存的信息，進行登錄。登錄之后， CAS服務器重定向回到用戶的應用程序。上述單點登陸系統(tǒng)雖然可以實現(xiàn)所有相互信任的應用系統(tǒng)只需登錄一次的目的， 但其卻存在如下缺點1)不能支持分布式部署；幻登錄后經(jīng)常有用戶不能退出的現(xiàn)象；3) 由于采用spring webf low驗證流程過于復雜，擴展性差；4)目前相關(guān)的文檔較少，而且在運行的過程中若發(fā)現(xiàn)問題很難解決；5)用戶在進去其他web應用的時候需要再次到服務器驗證消耗驗證的時間和服務器端資源。

發(fā)明內(nèi)容
為克服上述現(xiàn)有技術(shù)存在的不足，本發(fā)明的主要目的在于提供一種單點登錄系統(tǒng)及其實現(xiàn)方法，其通過采用輕量級中央認證服務，于所有相互信任的應用系統(tǒng)之間實現(xiàn)了單點登錄功能，具有輕量級、支持分布式部署、可擴展性、安全性及良好的性能等優(yōu)點。為達到上述及其他目的，本發(fā)明提供一種單點登錄系統(tǒng)，至少包括客戶端，該客戶端包括接收模組、分析模組、重定向模組及驗證模組，其中，該接收模組用于Web請求、用戶輸入的認證信息、服務端返回的要訪問的目的資源地址及服務票據(jù)；該分析模組，用于于接收到該Web請求后分析該Web請求是否包含服務票據(jù)；該重定向模組用于于分析出該Web請求中不包含服務票據(jù)時，將該Web請求重定向到服務端登錄地址，并傳遞要訪問的目的資源地址；該驗證模組用于于接收到到服務端返回的要訪問的目的資源地址及服務票據(jù)后將其發(fā)送至服務端進行身份核實；以及服務端，該服務端至少包含認證模組、服務票據(jù)產(chǎn)生模組及合法性確認模組，其中該認證模組用于接收該認證信息并對其進行認證；服務票據(jù)產(chǎn)生模組于該認證模組認證用戶登錄成功后，隨機產(chǎn)生一服務票據(jù)，并自動重定向到要訪問的目的資源地址及為該客戶端設置該服務票據(jù)；該合法性確認模組用于接收該客戶端發(fā)送的要訪問的目的資源地址及服務票據(jù)并對其進行身份核實。進一步地，該服務票據(jù)產(chǎn)生模組于該認證模組認證用戶登錄成功后，隨機產(chǎn)生一相當長度、唯一、不可偽造的服務票據(jù)。進一步地，該服務票據(jù)產(chǎn)生模組將該服務票據(jù)緩存。進一步地，該客戶端于驗證通過后通過網(wǎng)絡餅干保存該服務票據(jù)。進一步地，該系統(tǒng)還包括一日志記錄端，以記錄用戶的每一次操作。進一步地，該日志記錄端為一分布式文件服務器。進一步地，該客戶端與受保護的客戶端應用部署在一起，以過濾方式保護受保護的資源。為達到上述及其他目的，本發(fā)明提供一種單點登錄的實現(xiàn)方法，包括如下步驟客戶端接收訪問受保護資源的Web請求；分析該Web請求中是否包含服務票據(jù)；該Web請求中不包含服務票據(jù)，則將該Web請求重定向到服務端登錄地址，并向該服務端傳遞要訪問的目的資源地址；該服務端接收用戶輸入的認證信息并進行用戶認證；若登錄成功，該服務端隨機產(chǎn)生一服務票據(jù)；自動重定向到該要訪問的目的資源地址，并為該客戶端設置該服務票據(jù)；以及該客戶端將該要訪問的目的資源地址及服務票據(jù)發(fā)送至該服務端進行身份核實。進一步地，該服務端將該服務票據(jù)進行緩存。進一步地，該客戶端于驗證通過后通過網(wǎng)絡餅干保存該服務票據(jù)。與現(xiàn)有技術(shù)相比，本發(fā)明一種單點登錄系統(tǒng)及其實現(xiàn)方法通過采用輕量級中央認證服務，于所有相互信任的應用系統(tǒng)之間實現(xiàn)了單點登錄功能，具有輕量級、高效性、支持分布式部署、可擴展性、安全性、可維護性及良好的性能等優(yōu)點。


圖1為本發(fā)明一種單點登錄系統(tǒng)的系統(tǒng)結(jié)構(gòu)圖；圖2為本發(fā)明一種單點登錄系統(tǒng)之較佳實施例的架構(gòu)示意圖；圖3為本發(fā)明一種單點登錄實現(xiàn)方法的步驟流程圖。
具體實施例方式以下通過特定的具體實例并結(jié)合

本發(fā)明的實施方式，本領(lǐng)域技術(shù)人員可由本說明書所揭示的內(nèi)容輕易地了解本發(fā)明的其它優(yōu)點與功效。本發(fā)明亦可通過其它不同的具體實例加以施行或應用，本說明書中的各項細節(jié)亦可基于不同觀點與應用，在不背離本發(fā)明的精神下進行各種修飾與變更。圖1為本發(fā)明一種單點登錄系統(tǒng)的系統(tǒng)結(jié)構(gòu)圖。如圖1所示，本發(fā)明一種單點登錄系統(tǒng)，應用于客戶端/服務端的網(wǎng)絡環(huán)境中，其至少包括客戶端110及服務端120，客戶端110負責處理對客戶端受保護資源的訪問請求，需要登錄時，重定向至服務端120，服務端120需獨立部署，主要負責對用戶的認證工作。在客戶端110的部分，客戶端110至少包含接收模組111、分析模組112、重定向模組113及驗證模組114。其中，接收模組111用于接收用戶通過瀏覽器輸入的Web請求以及用戶輸入的認證信息等，同時，接收模組111還用于接收服務端120返回的目的資源地址及服務票據(jù)(Service ticket)；分析模組112，用于于接收到Web請求后分析該Web請求是否包含服務票據(jù)；分析模組112分析出該Web請求中不包含服務票據(jù)，則說明當前用戶尚未登錄，重定向模組113則會將該Web請求重定向到指定好的服務端登錄地址，并傳遞目的資源地址以便登錄成功后轉(zhuǎn)回該地址；驗證模組114用于于接收到服務端120返回的目的資源地址及服務票據(jù)(Service ticket)后，將其發(fā)送至服務端120進行身份核實，以確保服務票據(jù)(Service ticket)的合法性。在服務端120部分，服務端120至少包括認證模組121、服務票據(jù)產(chǎn)生模組122以及合法性確認模組123，其中認證模組121用于接收用戶的認證信息并對其進行認證；服務票據(jù)產(chǎn)生模組122于認證模組121認證用戶登錄成功后，隨機產(chǎn)生一個相當長度、唯一、不可偽造的服務票據(jù)，并自動重定向到要訪問的目的資源地址，并為客戶端設置該服務票據(jù)， 較佳的，服務端120還將該服務票據(jù)(Service ticket)緩存以待將來驗證；合法性確認模組123用于接收客戶端110發(fā)送的目的資源地址及服務票據(jù)(Service ticket)并對其進行身份核實，確保服務票據(jù)的合法性。較佳的，客戶端110還可于驗證通過后通過網(wǎng)絡餅干(Cookie)保存用戶不可偽造的服務票據(jù)信息，從而達到2000(部署到單臺tomCat7TOB服務器中，最大內(nèi)存為1. 5G)個以上的并發(fā)用戶驗證。 當然，為提高本發(fā)明的可維護性，本發(fā)明還可包含一日志記錄端，該日志記錄端可以為一分布式文件服務器，用戶每一次操作都記錄到一日志(log)文件中，log文件存儲于該分布式文件服務器，為維護人員提供日后維護的重要數(shù)據(jù)參數(shù)。 圖2為本發(fā)明一種單點登錄系統(tǒng)之較佳實施例的架構(gòu)示意圖。以下將配合圖2之較佳實施例對本發(fā)明之原理進一步說明。在本發(fā)明較佳實施例中，本發(fā)明之單點登錄系統(tǒng)采用Java語言編寫，其可以在任何Java 6+的平臺上運行，幾乎包括了從Windows到IBMmainframes的每個平臺包含兩個部分，如圖2所示，本發(fā)明之單點登錄系統(tǒng)包含兩部分 Lark CAS Server (服務端 120)禾口 Lark CAS Client (客戶端 110)，其中 Lark CAS Server 需要獨立部署，主要負責對用戶的認證工作；Lark CAS Client負責處理對客戶端受保護資源的訪問請求，需要登錄時，重定向到Lark CAS Server。在本發(fā)明較佳實施例中，Lark CAS Client與受保護的客戶端應用部署在一起，以Filter方式保護受保護的資源。對于訪問受保護資源的每個Web請求(圖中第1步訪問cas client)，Lark CAS Client會分析該請求的Http請求中是否包含krvice Ticket (服務票據(jù))，如果沒有，則說明當前用戶尚未登錄，于是將請求重定向到指定好的Lark CAS krver登錄地址，并傳遞krvice (即要訪問的目的資源地址)，以便登錄成功過后轉(zhuǎn)回該地址(圖中第2步重定向，Service)；用戶在第3步中輸入認證信息，如果登錄成功，Lark CAS krver隨機產(chǎn)生一個相當長度、唯一、 不可偽造的service ticket (服務票據(jù))，并緩存以待將來驗證，之后系統(tǒng)自動重定向到 service所在地址，并為客戶端瀏覽器設置一個ticket，Lark CAS Client在拿到Service 和新產(chǎn)生的ticket(第4步)過后，在第5、6步中與Lark CAS krver進行身份核實，以確保service ticket (服務票據(jù))的合法性。圖3為本發(fā)明一種單點登錄實現(xiàn)方法的步驟流程圖。如圖3所示，本發(fā)明一種單點登錄實現(xiàn)方法，包括如下步驟步驟301，客戶端110接收訪問受保護資源的Web請求；步驟302，分析該Web請求中是否包含服務票據(jù)(Service ticket)；步驟303，若該Web請求中不包含服務票據(jù)，則將該Web請求重定向到指定好的服務端登錄地址，并向服務端傳遞要訪問的目的資源地址，以便登錄成功后轉(zhuǎn)回該地址；步驟304，服務端120接收用戶輸入的認證信息并進行用戶認證；步驟305，若登錄成功，服務端隨機產(chǎn)生一個相當長度、唯一、不可偽造的服務票據(jù)，并緩存以待將來驗證；步驟306，自動重定向到要訪問的目的資源地址，并為客戶端110設置服務票據(jù)； 以及步驟307，客戶端110將要訪問的目的資源地址及服務票據(jù)發(fā)送至服務端120進行身份核實以確保服務票據(jù)的合法性。綜上所述，本發(fā)明一種單點登錄系統(tǒng)及其實現(xiàn)方法通過采用輕量級中央認證服務，于所有相互信任的應用系統(tǒng)之間實現(xiàn)了單點登錄功能，具有輕量級、高效性、支持分布式部署、可擴展性、安全性、可維護性及良好的性能等優(yōu)點，具體如下1、高效性采用緩存和Rest ful相結(jié)合的技術(shù)方案加速用戶驗證過程，驗證通過后采用瀏覽器cookie保存用戶不可偽造的ticket信息，從而到達2000 (部署到單臺tomCat7TOB服務器中，最大內(nèi)存為1.5G)個以上的并發(fā)用戶驗證。2、安全性采用不可偽造的ticket加密方式和服務器端雙重驗證方式保障用戶驗證信息安全。在瀏覽器被關(guān)閉后，在瀏覽器客戶端無任何驗證信息。3、可維護性用戶的每一次都被記錄到日志(log)文件中，log文件存儲在DFS中，為維護人員提供日后維護的重要數(shù)據(jù)參考。 上述實施例僅例示性說明本發(fā)明的原理及其功效，而非用于限制本發(fā)明。任何本領(lǐng)域技術(shù)人員均可在不違背本發(fā)明的精神及范疇下，對上述實施例進行修飾與改變。因此， 本發(fā)明的權(quán)利保護范圍，應如權(quán)利要求書所列。
權(quán)利要求
1.一種單點登錄系統(tǒng)，至少包括客戶端，該客戶端包括接收模組、分析模組、重定向模組及驗證模組，其中，該接收模組用于Web請求、用戶輸入的認證信息、服務端返回的要訪問的目的資源地址及服務票據(jù)；該分析模組，用于于接收到該Web請求后分析該Web請求是否包含服務票據(jù)；該重定向模組用于于分析出該Web請求中不包含服務票據(jù)時，將該Web請求重定向到服務端登錄地址，并傳遞要訪問的目的資源地址；該驗證模組用于于接收到到服務端返回的要訪問的目的資源地址及服務票據(jù)后將其發(fā)送至服務端進行身份核實；以及服務端，該服務端至少包含認證模組、服務票據(jù)產(chǎn)生模組及合法性確認模組，其中該認證模組用于接收該認證信息并對其進行認證；服務票據(jù)產(chǎn)生模組于該認證模組認證用戶登錄成功后，隨機產(chǎn)生一服務票據(jù)，并自動重定向到要訪問的目的資源地址及為該客戶端設置該服務票據(jù)；該合法性確認模組用于接收該客戶端發(fā)送的要訪問的目的資源地址及服務票據(jù)并對其進行身份核實。
2.如權(quán)利要求1所述的單點登錄系統(tǒng)，其特征在于該服務票據(jù)產(chǎn)生模組于該認證模組認證用戶登錄成功后，隨機產(chǎn)生一相當長度、唯一、不可偽造的服務票據(jù)。
3.如權(quán)利要求2所述的單點登錄系統(tǒng)，其特征在于該服務票據(jù)產(chǎn)生模組將該服務票據(jù)緩存。
4.如權(quán)利要求3所述的單點登錄系統(tǒng)，其特征在于該客戶端于驗證通過后通過網(wǎng)絡餅干保存該服務票據(jù)。
5.如權(quán)利要求1所述的單點登錄系統(tǒng)，其特征在于該系統(tǒng)還包括一日志記錄端，以記錄用戶的每一次操作。
6.如權(quán)利要求5所述的單點登錄系統(tǒng)，其特征在于該日志記錄端為一分布式文件服務器。
7.如權(quán)利要求1所述的單點登錄系統(tǒng)，其特征在于該客戶端與受保護的客戶端應用部署在一起，以過濾方式保護受保護的資源。
8.一種單點登錄的實現(xiàn)方法，包括如下步驟客戶端接收訪問受保護資源的Web請求；分析該Web請求中是否包含服務票據(jù)；該Web請求中不包含服務票據(jù)，則將該Web請求重定向到服務端登錄地址，并向該服務端傳遞要訪問的目的資源地址；該服務端接收用戶輸入的認證信息并進行用戶認證；若登錄成功，該服務端隨機產(chǎn)生一服務票據(jù)；自動重定向到該要訪問的目的資源地址，并為該客戶端設置該服務票據(jù)；以及該客戶端將該要訪問的目的資源地址及服務票據(jù)發(fā)送至該服務端進行身份核實。
9.如權(quán)利要求8所述的單點登錄的實現(xiàn)方法，其特征在于該服務端將該服務票據(jù)進行緩存。
10.如權(quán)利要求8所述的單點登錄的實現(xiàn)方法，其特征在于該客戶端于驗證通過后通過網(wǎng)絡餅干保存該服務票據(jù)。
全文摘要
本發(fā)明公開一種單點登錄系統(tǒng)及其實現(xiàn)方法，該方法包括如下步驟客戶端接收訪問受保護資源的Web請求；分析該Web請求中是否包含服務票據(jù)；若該Web請求中不包含服務票據(jù)，則將該Web請求重定向到服務端登錄地址，并向該服務端傳遞要訪問的目的資源地址；該服務端接收用戶輸入的認證信息并進行用戶認證；若登錄成功，該服務端隨機產(chǎn)生一服務票據(jù)；自動重定向到該要訪問的目的資源地址，并為該客戶端設置該服務票據(jù)；以及該客戶端將該要訪問的目的資源地址及服務票據(jù)發(fā)送至該服務端進行身份核實，本發(fā)明通過輕量級中央認證服務，可于所有相互信任的應用系統(tǒng)之間實現(xiàn)單點登錄目的。
文檔編號H04L29/06GK102571822SQ20121004450
公開日2012年7月11日 申請日期2012年2月27日 優(yōu)先權(quán)日2012年2月27日
發(fā)明者俞曉鴻 申請人:杭州閃亮科技有限公司