[发明专利]单点登录系统及方法

说明书

技术领域

本发明涉及登录系统及方法，更具体地，涉及基于集群技术和共享缓存的单点登录系统及方法。

背景技术

目前，随着基于网络的应用的日益广泛以及不同领域的业务种类的日益丰富，用于单点登录（SSO，即用户只需登录一次就可以访问所有相互信任的跨域应用系统）的系统及方法变得越来越重要。

如图1所示，现有的基于CAS（Central Authentication Service）技术的单点登录系统及方法的基本工作原理如下：当用户通过客户端（例如浏览器）第一次访问位于应用服务器中的应用A时，其被重定向到单点登录服务器（即认证服务器）以执行登录操作；所述单点登录服务器对该用户进行身份验证，并且如果验证通过，则所述单点登录服务器向所述客户端返回用于认证的凭证（Ticket）；随后，当所述用户访问应用B时，应用B判断用户尚未登录，则将用户访问请求转发至单点登录服务器，单点登录服务器检测到用户之前已经登录过，则将用户请求报文转发至应用B，并带有用户已经在单点登录服务器中登录过的凭证，随之所述应用B将把所述凭证传送到所述单点登录服务器以验证其合法性，并且如果验证通过，则所述用户就可以在不用再次登录的情况下访问应用B，其中应用A和应用B可以位于同一物理实体的应用服务器内，也可以位于不同物理实体的应用服务器内。

然而，现有的单点登录系统及方法存在如下问题：由于仅使用单一的单点登录服务器，故其能够提供的并发性能有限，从而难于适用大数据量交互的情况。此外，现有的针对CAS技术的集群化改进方案（例如基于JbossCache的CAS集群技术）仍然存在如下问题：在大的并发情况下，由于数据交互量较大，故导致数据同步延时较大。

因此，存在如下需求：提供可以处理大量的并发数据交互的基于集群技术的单点登录系统及方法。

发明内容

为了解决上述现有技术方案所存在的问题，本发明提出了可以处理大量的并发数据交互的基于集群技术的单点登录系统及方法。

本发明的目的是通过以下技术方案实现的：

一种单点登录系统，所述单点登录系统包括：

客户端，所述客户端用于基于用户指令构造访问请求，并将所述访问请求传送到应用服务器中的目标应用；

应用服务器，所述应用服务器用于解析所述访问请求并基于解析结果判断当前访问请求的状态，以及如果当前访问请求的状态是“第一次访问”，则将所述访问请求转发到接入服务器；

接入服务器，所述接入服务器用于将接收到的所述访问请求分发到所述至少一个单点登录服务器中的一个；

至少一个单点登录服务器，所述至少一个单点登录服务器中的每个在接收到所述访问请求后执行如下操作：（a）在本地缓存器中查找与所述访问请求所对应的用户相关联的信息，并且如果查找到与所述访问请求所对应的用户相关联的信息，则生成与所述访问请求所对应的用户相关联的凭证，并将带有所述凭证的访问请求发送回所述应用服务器；（b）如果在本地缓存器中未查找到与所述访问请求所对应的用户相关联的信息，则在主共享缓存装置中查找与所述访问请求所对应的用户相关联的信息，并且如果查找到与所述访问请求所对应的用户相关联的信息，则生成与所述访问请求所对应的用户相关联的凭证，并将带有所述凭证的访问请求发送回所述应用服务器；（c）如果未在所述主共享缓存装置中查找到与所述访问请求所对应的用户相关联的信息，则经通信链路与所述访问请求所对应的用户进行交互以完成登录操作，并将与所述访问请求所对应的用户相关联的信息分别存储在本地缓存器和主共享缓存装置中；

主共享缓存装置，所述主共享缓存装置用于存储与所述访问请求所对应的用户相关联的信息。

在上面所公开的方案中，优选地，当接收到由所述至少一个单点登录服务器转发来的带有所述凭证的所述访问请求后，所述应用服务器执行所述凭证的验证过程，并且如果验证通过则接受与所述访问请求所对应的用户的访问。

在上面所公开的方案中，优选地，所述至少一个单点登录服务器以共享的方式使用所述主共享缓存装置。

在上面所公开的方案中，优选地，所述应用服务器可以由单一的物理实体构成，也可以由多个不同的物理实体的集合构成。

在上面所公开的方案中，优选地，所述单点登录系统进一步包括：