[发明专利]一种面向电视台应用的基于Active Directory的统一认证实现方法

说明书

技术领域

本发明涉及一种统一认证实现方法，尤其是涉及一种面向电视台应用的基于Active Directory的统一认证实现方法。 

背景技术

当前国内外广电行业网络化、信息化程度日益提高。电视台内部根据业务范围划分为多个不同的业务板块，不同的板块根据其业务需求，往往要使用不同的应用系统，例如总控收录系统、新闻制播系统、综合制作系统、演播室系统、媒资管理系统、播出系统等。各个应用系统都需要拥有一份统一的电视台内部人员组成信息，电视台需要为这些应用系统提供诸如部门人员结构、栏目组人员结构等信息，并且这些应用系统都需要提供一个登陆时验证用户名及密码的功能。工作时，用户经常需要在不同的板块之间来回切换。如果按照传统的开发模式，每个应用系统都必须开发各自独立的用户认证模块。这种模式主要存在以下弊端： 

(1)用户认证信息需要在多个应用系统的数据库中的重复存储，从而带来大量的数据冗余，也造成了各个应用系统的重复开发； 

(2)对系统的用户认证信息管理和用户的使用造成诸多不便：用户在注册或更改自己的认证信息时，必须在所有的应用系统中逐个注册或更改，在不同应用系统之间切换时，必须重复多次登录； 

(3)在安全性和系统管理方面，电视台需要大量的IT技术管理人员，分别管理和维护不同系统的用户信息； 

(4)传统的开发模式都是基于关系型数据库的用户认证信息管理模型，读取速度慢，可移植性差。 

电视台信息化建设需要建立可靠、安全、保密的业务系统网络环境，保证电视台的业务不受破坏和干扰。显然，这些传统的开发模式的诸多弊端已经严重影响了基于WEB的应用系统的性能和使用的方便性。 

所以，在电视台内部提供一个单点登陆方法，为各个业务板块提供集中 配置和统一认证功能是非常有必要的。 

单点登录(Single Sign On)，简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。 

目前业界已有很多产品支持SSO，如IBM的WebSphere和BEA的WebLogic，但各家SSO产品的实现方式也不尽相同。WebSphere通过Cookie记录认证信息，WebLogic则是通过Session共享认证信息。Cookie是一种客户端机制，它存储的内容主要包括：名字、值、过期时间、路径和域，路径与域合在一起就构成了Cookie的作用范围，因此用Cookie方式可实现SSO，但域名必须相同。Session是一种服务器端机制，当客户端访问服务器时，服务器为客户端创建一个惟一的SessionID，以使在整个交互过程中始终保持状态，而交互的信息则可由应用自行指定，因此用Session方式实现SSO，不能在多个浏览器之间实现单点登录，但却可以跨域。通常，在一个电视台内部网络中往往包含了多个子网，每个子网都是一个单独的域，并且各个子网中使用的软件也不全为B/S结构，也可能是不使用浏览器的C/S结构，所以上述两种方式在电视台的全台网环境下很难实现。 

发明内容

针对现有技术中存在的问题，本发明的目的是提供一种面向电视台应用的基于Active Directory的统一认证实现方法，该方法能够实现处于不同域中的各个应用系统的单点登陆，应用系统可以为B/S结构或C/S结构。 

为了实现上述目的，本发明采用的技术方案是，面向电视台应用的基于Active Directory的统一认证实现方法，包括如下步骤： 

(1)在Active Directory服务器中统一配置用户信息以及各应用系统的信息； 

(2)用户第一次登陆一个应用系统成功后，获取一个针对该用户的会话令牌，并将该会话令牌存储到被登陆的应用系统中； 

(3)当该用户登陆其它应用系统时，首先将步骤(2)中存储的针对该用户的会话令牌传递至待登录的应用系统，然后待登陆应用系统通过Active Directory服务器验证该用户会话令牌的合法性，如果通过验证，则允许用户登陆，同时更新并返回该用户的会话令牌，并将更新后的会话令牌存入被登陆的应用系统中。