集群環(huán)境下系統(tǒng)登錄的方法和認證服務(wù)器集群的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,特別涉及一種集群環(huán)境下系統(tǒng)登錄的方法和認證服務(wù)器集群。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的快速發(fā)展和普及,網(wǎng)絡(luò)規(guī)模迅速擴大,各種應(yīng)用系統(tǒng)和用戶數(shù)量也不斷的增加。
[0003]目前很多業(yè)務(wù)場景通常采用部署負載均衡設(shè)備來分派多臺服務(wù)器以便應(yīng)對大數(shù)據(jù)量用戶的訪問,尤其是在用戶登錄應(yīng)用系統(tǒng)進行身份認證環(huán)節(jié)存在并發(fā)量較大的情況,多臺認證服務(wù)器提供的集群環(huán)境可以有效緩解集中認證的壓力。
[0004]當用戶通過門戶網(wǎng)站登錄某個應(yīng)用系統(tǒng)時,負載均衡設(shè)備會隨機指派空閑的認證服務(wù)器對請求給予答應(yīng),將認證請求指向某一臺認證服務(wù)器,服務(wù)器會對賬號信息進行認證并生成根票據(jù),同時將根票據(jù)轉(zhuǎn)發(fā)給門戶網(wǎng)站,門戶網(wǎng)站解析根票據(jù)后生成跳轉(zhuǎn)登錄票據(jù),從而將請求轉(zhuǎn)向要跳轉(zhuǎn)的應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)獲取到跳轉(zhuǎn)登錄票據(jù)后再轉(zhuǎn)發(fā)給認證服務(wù)器以獲取用戶權(quán)限信息。
[0005]由于獲取用戶權(quán)限信息過程采用的是socket通訊方式,負載均衡設(shè)備不支持該方式,因此負載均衡設(shè)備無法知道應(yīng)該將跳轉(zhuǎn)登錄票據(jù)發(fā)送給哪一個認證服務(wù)器,而是隨機發(fā)送。此時如果同步緩存有延遲,沒有將起初認證服務(wù)器上的用戶認證信息和權(quán)限信息同步到被隨機選中的服務(wù)器上的話,應(yīng)用系統(tǒng)就無法獲取用戶權(quán)限信息,鑒權(quán)失敗,導(dǎo)致用戶登錄應(yīng)用系統(tǒng)失敗。
【發(fā)明內(nèi)容】
[0006]鑒于上述問題,本發(fā)明實施例提供一種集群環(huán)境下系統(tǒng)登錄的方法和認證服務(wù)器集群,能夠在集群認證服務(wù)器中準確定位到用戶實際進行身份認證的認證服務(wù)器,避免了由于負載均衡機制的緩存延遲導(dǎo)致定位到其他認證服務(wù)器而獲取不到用戶權(quán)限信息的問題。
[0007]本發(fā)明實施例采用了如下技術(shù)方案:
[0008]本發(fā)明一個實施例提供了一種集群環(huán)境下應(yīng)用系統(tǒng)登錄的方法,所述方法包括:
[0009]認證服務(wù)器集群接收到客戶端通過門戶網(wǎng)站發(fā)送的應(yīng)用系統(tǒng)登錄請求;
[0010]根據(jù)負載均衡方式將所述登錄請求發(fā)送至所述集群中的第一認證服務(wù)器進行身份認證;
[0011]認證通過后,所述門戶網(wǎng)站發(fā)送跳轉(zhuǎn)至所述應(yīng)用系統(tǒng)的登錄信息;
[0012]所述認證服務(wù)器集群通過調(diào)用服務(wù)器到服務(wù)器server to server服務(wù),從所述第一認證服務(wù)器中獲取所述用戶端的用戶權(quán)限信息,根據(jù)所述用戶權(quán)限信息完成所述應(yīng)用系統(tǒng)的認證登錄操作。
[0013]所述認證通過后,所述門戶網(wǎng)站發(fā)送跳轉(zhuǎn)至所述應(yīng)用系統(tǒng)的登錄信息具體為:
[0014]第一認證服務(wù)器認證通過后生成認證根票據(jù)并返回至所述門戶網(wǎng)站;
[0015]所述門戶網(wǎng)站從認證根票據(jù)中解析出跳轉(zhuǎn)至所述應(yīng)用系統(tǒng)的登錄票據(jù),并將所述登錄票據(jù)發(fā)送至所述應(yīng)用系統(tǒng);
[0016]所述應(yīng)用系統(tǒng)將所述登錄票據(jù)發(fā)送回所述認證服務(wù)器集群進行校驗。
[0017]所述認證服務(wù)器集群通過調(diào)用服務(wù)器到服務(wù)器server to server服務(wù),從所述第一認證服務(wù)器中獲取所述用戶端的用戶權(quán)限信息,根據(jù)所述用戶權(quán)限信息完成所述應(yīng)用系統(tǒng)的認證登錄操作包括:
[0018]所述認證服務(wù)器集群根據(jù)負載均衡方式選擇所述集群中的第二認證服務(wù)器對所述登錄票據(jù)進行解析;
[0019]所述第二認證服務(wù)器解析所述登錄票據(jù)獲取對所述客戶端進行身份認證的第一認證服務(wù)器,并調(diào)用服務(wù)器到服務(wù)器server to server服務(wù),從第一認證服務(wù)器中獲取所述用戶端的用戶權(quán)限信息,根據(jù)所述用戶權(quán)限信息完成所述應(yīng)用系統(tǒng)的認證登錄操作。
[0020]所述調(diào)用服務(wù)器到服務(wù)器server to server服務(wù),從第一認證服務(wù)器中獲取所述用戶端的用戶權(quán)限信息包括:
[0021]調(diào)用服務(wù)器到服務(wù)器server to server服務(wù),以套接字socket方式從第一認證服務(wù)器中獲取所述用戶端的用戶權(quán)限信息。
[0022]所述第二認證服務(wù)器解析所述登錄票據(jù)獲取對所述客戶端進行身份認證的第一認證服務(wù)器包括:
[0023]所述第二認證服務(wù)器解析所述登錄票據(jù),獲取對所述客戶端進行身份認證的證服務(wù)器的IP地址信息;
[0024]所述第二認證服務(wù)器從所述認證服務(wù)器集群的負載均衡設(shè)備信息配置文件中匹配得到所述IP地址信息對應(yīng)的服務(wù)器信息,即第一認證服務(wù)器。
[0025]另外,本發(fā)明實施例還提供了一種認證服務(wù)器集群,所述認證服務(wù)器集群包括:
[0026]登錄接收模塊,用于接收所述客戶端通過門戶網(wǎng)站發(fā)送的應(yīng)用系統(tǒng)登錄請求;
[0027]身份認證模塊,用于根據(jù)負載均衡方式將所述登錄請求發(fā)送至所述集群中的第一認證服務(wù)器進行身份認證;
[0028]跳轉(zhuǎn)接收模塊,用于當所述身份認證模塊認證通過后,接收所述門戶網(wǎng)站發(fā)送的跳轉(zhuǎn)至所述應(yīng)用系統(tǒng)的登錄信息;
[0029]登錄操作模塊,用于通過調(diào)用服務(wù)器到服務(wù)器server to server服務(wù),從所述第一認證服務(wù)器中獲取所述用戶端的用戶權(quán)限信息,根據(jù)所述用戶權(quán)限信息完成所述應(yīng)用系統(tǒng)的認證登錄操作。
[0030]所述身份認證模塊還用于,當所述第一認證服務(wù)器認證通過后,生成認證根票據(jù)并返回至所述門戶網(wǎng)站;以便所述門戶網(wǎng)站從認證根票據(jù)中解析出跳轉(zhuǎn)至所述應(yīng)用系統(tǒng)的登錄票據(jù),并將所述登錄票據(jù)發(fā)送至所述應(yīng)用系統(tǒng);
[0031]所述跳轉(zhuǎn)接收模塊具體用于:接收從所述應(yīng)用系統(tǒng)發(fā)送回進行校驗的所述登錄票據(jù)。
[0032]所述登錄操作模塊具體包括:
[0033]解析單元,用于根據(jù)負載均衡方式選擇所述集群中的第二認證服務(wù)器對所述登錄票據(jù)進行解析;
[0034]獲取單元,用于所述第二認證服務(wù)器解析所述登錄票據(jù)獲取對所述客戶端進行身份認證的第一認證服務(wù)器;
[0035]調(diào)用單元,用于調(diào)用服務(wù)器到服務(wù)器server to server服務(wù),從第一認證服務(wù)器中獲取所述用戶端的用戶權(quán)限信息;
[0036]登錄單元,用于根據(jù)所述用戶權(quán)限信息完成所述應(yīng)用系統(tǒng)的認證登錄操作。
[0037]所述調(diào)用單元具體用于:
[0038]調(diào)用服務(wù)器到服務(wù)器server to server服務(wù),以套接字socket方式從第一認證服務(wù)器中獲取所述用戶端的用戶權(quán)限信息。
[0039]所述獲取單元包括:
[0040]IP地址獲取子單元,用于所述第二認證服務(wù)器解析所述登錄票據(jù),獲取對所述客戶端進行身份認證的證服務(wù)器的IP地址信息;
[0041 ] 第一認證服務(wù)器獲取子單元,用于所述第二認證服務(wù)器從所述認證服務(wù)器集群的負載均衡設(shè)備信息配置文件中匹配得到所述IP地址信息對應(yīng)的服務(wù)器信息,即第一認證服務(wù)器。
[0042]可見,本發(fā)明實施例提供了一種集群環(huán)境下系統(tǒng)登錄的方法和認證服務(wù)器集群,通過調(diào)用server to server服務(wù)可以在集群認證服務(wù)器中準確定位到用戶實際進行身份認證的一臺服務(wù)器,避免了由于負載均衡機制的緩存延遲導(dǎo)致定位到其他認證服務(wù)器而獲取不到用戶權(quán)限信息的問題。
[0043]進一步的,本發(fā)明實施例中,server to server服務(wù)以socket方式向集群認證服務(wù)器提供通訊服務(wù),保證實際認證服務(wù)器可以通過該服務(wù)將權(quán)限信息發(fā)送給當前認證服務(wù)器,目標業(yè)務(wù)系統(tǒng)可以在當前認證服務(wù)器獲取用戶權(quán)限信息并完成認證。
【附圖說明】
[0044]圖1為本發(fā)明實施例提供的一種集群環(huán)境下系統(tǒng)登錄的方法流程圖;
[0045]圖2為本發(fā)明實施例提供的一種集群環(huán)境下系統(tǒng)登錄的方法具體實例登錄處理示意圖;
[0046]圖3為本發(fā)明實施例提供的一種認證服務(wù)器集群系統(tǒng)結(jié)構(gòu)框圖。
【具體實施方式】
[0047]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明實施方式作進一步地詳細描述。
[0048]為解決上述問題,本發(fā)明實施例提供一種針對集群環(huán)境下的統(tǒng)一身份認證集中緩存功能的實現(xiàn)方法,即集群環(huán)境下系統(tǒng)登錄的方法:在集群環(huán)境下的每臺認證服務(wù)器中都安裝部署自主研發(fā)的server to server服務(wù),當負載均衡設(shè)備將獲取權(quán)限信息的請求任意指派到某個認證服務(wù)器時,如果這個認證服務(wù)器并非最初進行身份認證的服務(wù)器,而且緩存延遲導(dǎo)