專利名稱:一種跨域名單點登錄的實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種跨域名單點登錄(sso)的實現(xiàn)方法,主要應(yīng)用于
WEB網(wǎng)絡(luò)上的企業(yè)應(yīng)用程序或者多域名的ISP服務(wù)商���。
背景技術(shù):
目前����,較大的企業(yè)內(nèi)部�, 一般都有很多的業(yè)務(wù)支持系統(tǒng)為其提供相 應(yīng)的管理和IT服務(wù)。例如財務(wù)系統(tǒng)為財務(wù)人員提供財務(wù)的管理��、計算 和報表服務(wù)�;人事系統(tǒng)為人事部門提供全公司人員的維護服務(wù);各種業(yè) 務(wù)系統(tǒng)為公司內(nèi)部不同的業(yè)務(wù)提供不同的服務(wù)等等����。這些系統(tǒng)的目的都 是讓計算機來進行復(fù)雜繁瑣的計算工作,來替代人力的手工勞動�����,提高 工作效率和質(zhì)量。這些不同的系統(tǒng)往往是在不同的時期建設(shè)起來的���,運 行在不同的平臺上���;也許是由不同廠商開發(fā),使用了各種不同的技術(shù)和 標(biāo)準(zhǔn)����。如果舉例說國內(nèi)一著名的IT公司,內(nèi)部共有60多個業(yè)務(wù)系統(tǒng)�����, 這些系統(tǒng)包括兩個不同版本的SAP的ERP系統(tǒng)�,12個不同類型和版本 的數(shù)據(jù)庫系統(tǒng),8個不同類型和版本的操作系統(tǒng)����,以及使用了3種不同 的防火墻技術(shù),還有數(shù)十種互相不能兼容的協(xié)議和標(biāo)準(zhǔn)����,這給企業(yè)內(nèi)部 的管理和交流帶來困難,這種情況其實非常普遍����。
實際上,每一個應(yīng)用系統(tǒng)在運行了數(shù)年以后���,都會成為不可替換的 企業(yè)IT架構(gòu)的一部分��,如圖1所示�����。
隨著企業(yè)的發(fā)展��,業(yè)務(wù)系統(tǒng)的數(shù)量在不斷的增加����,老的系統(tǒng)卻不能 輕易的替換�,這會帶來很多的開銷。其一是管理上的開銷��,需要維護的 系統(tǒng)越來越多��。很多系統(tǒng)的數(shù)據(jù)是相互冗余和重復(fù)的,數(shù)據(jù)的不一致性 會給管理工作帶來很大的壓力����。業(yè)務(wù)和業(yè)務(wù)之間的相關(guān)性也越來越大, 例如公司的計費系統(tǒng)和財務(wù)系統(tǒng)��,財務(wù)系統(tǒng)和人事系統(tǒng)之間都不可避免 的有著密切的關(guān)系����。
這些管理系統(tǒng)都存在存在以下缺點
1) 每個單獨的系統(tǒng)都會有自己的安全體系和身份認(rèn)證系統(tǒng)。整合 以前�����,進入每個系統(tǒng)都需要進行登錄��,這樣的局面不僅給管理上帶來了 很大的困難��,在安全方面也埋下了重大的隱患���。
2) 不能實現(xiàn)跨IP和跨域名�����,無法實現(xiàn)信息的多方面交流���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種跨域名單點登錄(sso)的實 現(xiàn)方法����,實現(xiàn)跨域名����、跨IP單點登錄實現(xiàn)方式��。
為了完成一個SSO的功能����,需要三個部分的合作
1. 統(tǒng)一 的身份認(rèn)證服務(wù);
2. 修改Web應(yīng)用�����,使得每個應(yīng)用都通過這個統(tǒng)一的認(rèn)證服務(wù)來進行 身份效驗�����;
3. 實現(xiàn)P3P協(xié)議�。
所述的1中,所有應(yīng)用系統(tǒng)能夠識別和提取認(rèn)證標(biāo)志的信息����,統(tǒng)一
的認(rèn)證服務(wù)負(fù)責(zé)全部用戶登錄事宜��。
即所有應(yīng)用系統(tǒng)共享一個身份認(rèn)證系統(tǒng)��,認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的 認(rèn)i正票據(jù)����。
但是��,統(tǒng)一的認(rèn)證系統(tǒng)并不是說只有單個的認(rèn)證服務(wù)器���,整個系統(tǒng) 可以存在兩個以上的認(rèn)證服務(wù)器應(yīng)用系統(tǒng)可以存在兩個以上的認(rèn)證服 務(wù)器��,認(rèn)證服務(wù)器之間通過標(biāo)準(zhǔn)的通訊協(xié)議��,互相交換認(rèn)證信息����。
使用銷毀票據(jù)來完成用戶登錄信息的保存���,對于Web應(yīng)用主要是利 用Cookie結(jié)束�,將瀏覽器中的Cookie和認(rèn)證票據(jù)結(jié)合起來���,完成用戶 登錄的身份認(rèn)證與登出����。
通過上述的方法,可完成不同應(yīng)用系統(tǒng)之間的用戶登錄校驗�,便于 用戶登錄一次即可實現(xiàn)對所有應(yīng)用系統(tǒng)的訪問,對于不同應(yīng)用系統(tǒng)之間 的信息和數(shù)據(jù)交流是非常方便的����。
圖1為現(xiàn)有的不同應(yīng)用系統(tǒng)間的結(jié)構(gòu)框架�,
圖2為本發(fā)明的用戶認(rèn)證框圖,
圖3為本發(fā)明的第一種實現(xiàn)方式結(jié)構(gòu)框圖�����,
圖4為本發(fā)明的第二種實現(xiàn)方式結(jié)構(gòu)框圖����,
圖5為用戶瀏覽頁面的示意圖,
圖6為本發(fā)明實施用戶瀏覽頁面的示意圖����,
圖7為本發(fā)明登錄認(rèn)證及WEB交互流程圖,
圖8為本發(fā)明登出認(rèn)證及WEB交互流程圖�����。
具體實施例方式
下面結(jié)合附圖,對本發(fā)明的實現(xiàn)所進一步說明���。
如圖2所示��,當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)1的時候�����,因為還沒有登 錄�����,會被引導(dǎo)到認(rèn)證系統(tǒng)中進行登錄(1);根據(jù)用戶提供的登錄信息��, 認(rèn)證系統(tǒng)進行身份效驗��,如果通過效驗�,應(yīng)該返回給用戶一個認(rèn)證的憑 據(jù)--票據(jù)(2);用戶再訪問別的應(yīng)用的時候(3, 5)就會將這個票據(jù) 帶上��,作為自己認(rèn)證的憑據(jù)�,應(yīng)用系統(tǒng)接受到請求之后會把票據(jù)送到認(rèn) 證系統(tǒng)進行效驗,檢查票據(jù)的合法性(4�����, 6)。如果通過效驗����,用戶就 可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3 了 。 從圖3可以看出����,要實現(xiàn)SSO,需要以下主要的功能
所有應(yīng)用系統(tǒng)共享一個身份i人證系統(tǒng)。 統(tǒng)一的認(rèn)證系統(tǒng)是SSO的前提之一�����。認(rèn)證系統(tǒng)的主要功能是將用戶
的登錄信息和用戶信息庫相比較�����,對用戶進行登錄認(rèn)證��;認(rèn)證成功后�����, 認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志(票據(jù))���,返還給用戶�。另外�����,認(rèn)證 系統(tǒng)還應(yīng)該對票據(jù)進行效^r����,判斷其有效性。
所有應(yīng)用系統(tǒng)能夠識別和提^^票據(jù)信息 要實現(xiàn)SSO的功能���,讓用戶只登錄一次���,就必須讓應(yīng)用系統(tǒng)能夠識
別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對票據(jù)進行識別和提取���,通過與 認(rèn)證系統(tǒng)的通訊���,能自動判斷當(dāng)前用戶是否登錄過,從而完成單點登錄 的功能����。
上面的功能只是一個非常簡單的SSO架構(gòu)����,在現(xiàn)實情況下的SSO 有著更加復(fù)雜的結(jié)構(gòu)��。有兩點需要指出的是
單一的用戶信息數(shù)據(jù)庫并不是必須的�,有許多系統(tǒng)不能將所有的用 戶信息都集中存儲,應(yīng)該允許用戶信息放置在不同的存儲中�,如圖4所 示。事實上�����,只要統(tǒng)一認(rèn)證系統(tǒng)�����,統(tǒng)一票據(jù)的產(chǎn)生和效驗���,無論用戶信 息存儲在什么地方,都能實現(xiàn)單點登錄�����。
統(tǒng)一的認(rèn)證系統(tǒng)并不是說只有單個的認(rèn)證服務(wù)器��,如圖4所示,整
個系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器����,這些服務(wù)器甚至可以是不同的 產(chǎn)品。認(rèn)證服務(wù)器之間要通過標(biāo)準(zhǔn)的通訊協(xié)議�����,互相交換認(rèn)證信息���,就 能完成更高級別的單點登錄���。當(dāng)用戶在訪問應(yīng)用系統(tǒng)1時,由第一個認(rèn) 證服務(wù)器進行認(rèn)證后����,得到由此服務(wù)器產(chǎn)生的票據(jù)。當(dāng)他訪問應(yīng)用系統(tǒng)
4的時候�����,認(rèn)證服務(wù)器2能夠識別此票據(jù)是由第一個服務(wù)器產(chǎn)生的�����,通 過認(rèn)證服務(wù)器之間標(biāo)準(zhǔn)的通訊協(xié)議(例如SAML)來交換認(rèn)證信息,仍 然能夠完成SSO的功能���。 3 WEB-SSO的實現(xiàn)
眾所周知�,Web協(xié)議(也就是HTTP)是一個無狀態(tài)的協(xié)議�。 一個 Web應(yīng)用由很多個Web頁面組成,每個頁面都有唯一的URL來定義��。 用戶在瀏覽器的地址欄輸入頁面的URL��,瀏覽器就會向Web Server去 發(fā)送請求����。如圖5,瀏覽器向Web服務(wù)器發(fā)送了兩個請求,申請了兩個 頁面���。這兩個頁面的請求是分別使用了兩個單獨的HTTP連接�。所謂無 狀態(tài)的協(xié)議也就是表現(xiàn)在這里�����,瀏覽器和Web服務(wù)器會在第一個請求完 成以后關(guān)閉連接通道����,在第二個請求的時候重新建立連接。Web服務(wù)器 并不區(qū)分哪個請求來自哪個客戶端�,對所有的請求都一視同仁,都是單 獨的連接�。這樣的方式大大區(qū)別于傳統(tǒng)的(Client/Server) C/S結(jié)構(gòu),在那 樣的應(yīng)用中,客戶端和服務(wù)器端會建立一個長時間的專用的連接通道���。 正是因為有了無狀態(tài)的特性�����,每個連接資源能夠^f艮快被其他客戶端所重
用���, 一臺Web服務(wù)器才能夠同時服務(wù)于成千上萬的客戶端。
但是我們通常的應(yīng)用是有狀態(tài)的���。先不用提不同應(yīng)用之間的sso, 在同 一個應(yīng)用中也需要保存用戶的登錄身份信息����。例如用戶在訪問頁面 l的時候進行了登錄��,但是剛才也提到�����,客戶端的每個請求都是單獨的
連接,當(dāng)客戶再次訪問頁面2的時候�����,如何才能告訴Web服務(wù)器��,客戶 剛才已經(jīng)登錄過了呢�����?瀏覽器和服務(wù)器之間有約定通過使用Cookie 技術(shù)來維護應(yīng)用的狀態(tài)���。Cookie是可以被Web服務(wù)器設(shè)置的字符串���, 并且可以保存在瀏覽器中。如圖6所示�����,當(dāng)瀏覽器訪問了頁面1時���,web 服務(wù)器設(shè)置了 一個Cookie,并將這個Cookie和頁面1 一起返回給瀏覽 器��,瀏覽器接到Cookie之后����,就會保存起來�,在它訪問頁面2的時候 會把這個Cookie也帶上,Web服務(wù)器接到請求時也能讀出Cookie的值��, 根據(jù)Cookie值的內(nèi)容就可以判斷和恢復(fù)一些用戶的信息狀態(tài)�����。
Web-SSO完全可以利用Cookie結(jié)束來完成用戶登錄信息的保存��, 將瀏覽器中的Cookie和上文中的Ticket結(jié)合起來����,完成SSO的功能。
4實現(xiàn)P3P協(xié)議
P3P是萬維網(wǎng)聯(lián)盟(W3C)公布的一項隱私保護推薦標(biāo)準(zhǔn)�,旨在為網(wǎng) 上沖浪的Internet用戶提供隱私保護。
通過實現(xiàn)P3P協(xié)議實現(xiàn)跨域�����,跨IP單點登錄���。
通過實現(xiàn)P3P協(xié)議�����,能夠?qū)崿F(xiàn)支持多語言系統(tǒng)����,不管是ASP, .NET, PHP����, JSP均可以通過實現(xiàn)P3P協(xié)議,并實現(xiàn)跨域名��,跨IP單點登錄����。
圖7所示,登錄i人證具體流程為
I�����、 用戶向應(yīng)用網(wǎng)站發(fā)出訪問請求���,應(yīng)用網(wǎng)站驗證是否有本地登
錄票據(jù)�;
a) 如果有票據(jù),生成并保存請求標(biāo)志�,返回授權(quán)頁面;
b) 如果沒有票據(jù)�,執(zhí)行步驟2; 2 ��、 向認(rèn)證中心發(fā)出請求��;
3���、 驗證登錄請求����;
4���、 判斷是否已經(jīng)有登錄票據(jù)���;
a) 已經(jīng)有登錄票據(jù),則記錄清單��,執(zhí)行步驟6;
b) 如果沒有登錄票據(jù)�����,則重新登錄,執(zhí)行步驟5;
5�、 驗證登錄是否成功
a) 登錄成功則生成登錄票據(jù),執(zhí)行步驟6;
b) 如果登錄未成功���,則執(zhí)行步驟4b)����,讓用戶重新登錄�;
6、 記錄登錄清單�,生成登錄應(yīng)答;
7��、 響應(yīng)登錄應(yīng)答����;
8、 驗證登錄應(yīng)答�;
9、 生成本地票據(jù)�����;
10、 更新在線用戶信息
II����、 返回4更權(quán)頁面。 圖8所示�,登出認(rèn)證具體流程為
1、 用戶向網(wǎng)站發(fā)出登出請求����;
2�����、 網(wǎng)站銷毀本地票據(jù)�,并對認(rèn)證中心;
3�、 對認(rèn)證中心發(fā)出登出請求;
4���、 驗證登出請求�;
5��、 銷毀認(rèn)證中心票據(jù)�����;
6、 遍歷單點登錄客戶端應(yīng)用��,逐一銷毀認(rèn)證票據(jù)���;
a)單點登錄客戶端銷毀本地票據(jù)��;單點登錄客戶端請求拿出頁 面����;執(zhí)行步驟8;
7����、 發(fā)出登出請求;
8 ���、 瀏覽器接收訪問注銷面請求�����;
以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明�,凡 在本發(fā)明的精神和原則之內(nèi)所作的任何修改��、等同替換和改進等����,均應(yīng) 包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1�����、一種跨域名單點登錄的實現(xiàn)方法���,其特征在于,該方法在用戶登錄的基礎(chǔ)上�����,還包括以下內(nèi)容A����、設(shè)置統(tǒng)一的認(rèn)證服務(wù),校驗每位用戶的身份���;B�、修改Web應(yīng)用,使得每個應(yīng)用都通過這個統(tǒng)一的認(rèn)證服務(wù)來進行身份效驗�����;C�����、不同的應(yīng)用系統(tǒng)之間實現(xiàn)P3P協(xié)議����。
2、 如權(quán)利要求1所述的跨域名單點登錄的實現(xiàn)方法��,其特征在 于���,所述A中����,所有應(yīng)用系統(tǒng)能夠識別和提取認(rèn)證標(biāo)志的信息����,統(tǒng) 一的認(rèn)證服務(wù)負(fù)責(zé)全部用戶登錄事宜。
3����、 如權(quán)利要求2所述的跨域名單點登錄的實現(xiàn)方法����,其特征在 于����,所有應(yīng)用系統(tǒng)共享一個身份認(rèn)證系統(tǒng),認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的 認(rèn)證票據(jù)���。
4��、 如權(quán)利要求3所述的跨域名單點登錄的實現(xiàn)方法���,其特征在 于,應(yīng)用系統(tǒng)可以存在兩個以上的認(rèn)證服務(wù)器�����,認(rèn)證服務(wù)器之間通過 標(biāo)準(zhǔn)的通訊協(xié)議����,互相交換認(rèn)證信息�。
5�、 如權(quán)利要求1所述的跨域名單點登錄的實現(xiàn)方法�,其特征在 于,對于Web應(yīng)用���,利用Cookie結(jié)束來完成用戶登錄信息的保存����, 將瀏覽器中的Cookie和認(rèn)證票據(jù)結(jié)合起來����,完成用戶身份認(rèn)證。
全文摘要
本發(fā)明是一種跨域名單點登錄的實現(xiàn)方法����,該方法在用戶登錄的基礎(chǔ)上,還包括設(shè)置統(tǒng)一的認(rèn)證服務(wù)��,校驗每位用戶的身份����;修改Web應(yīng)用,使得每個應(yīng)用都通過這個統(tǒng)一的認(rèn)證服務(wù)來進行身份效驗�,以及不同的應(yīng)用系統(tǒng)之間實現(xiàn)P3P協(xié)議。通過上述的方法�,可完成不同應(yīng)用系統(tǒng)之間的用戶登錄校驗�,便于用戶登錄一次即可實現(xiàn)對所有應(yīng)用系統(tǒng)的訪問�����,對于不同應(yīng)用系統(tǒng)之間的信息和數(shù)據(jù)交流是非常方便的����。
文檔編號H04L12/58GK101355527SQ20081014244
公開日2009年1月28日 申請日期2008年8月15日 優(yōu)先權(quán)日2008年8月15日
發(fā)明者贊 蔣 申請人:深圳市中興移動通信有限公司