[发明专利]一种实现通用单点登录的方法、装置和系统

说明书

技术领域

本发明涉及通信领域，具体涉及一种实现通用单点登录的方法、装置和系统。

背景技术

作为一种通用的企业业务整合方案，单点登录(Single Sign On，SSO)已经在企业内部信息系统中得到广泛应用。实现单点登录需要一套统一的认证系统，用户在访问接入应用系统前，必须先在认证系统通过认证。认证系统在用户通过认证后记录用户登录状态，并向用户浏览器核发身份令牌(Token)。用户浏览器在访问某个应用系统时，应用系统先获取所述身份令牌，接着向认证服务器校验该身份令牌的合法性并获取用户身份，最后根据校验结果进行响应。

实现上述单点登录过程需要接入系统做一定改造，具体方式根据单点接入的产品和技术方案的不同而有所区别。一部分方案需要在接入应用系统的服务器上安装部署插件，插件可以提前截获HTTP请求并发往认证服务器，认证服务器会提取身份令牌以进行验证，之后应用系统可以直接从HTTP请求(如HTTP头)中获得用户身份；另一些方案需要接入系统完成提取身份令牌并发往认证服务器校验的工作。上述两种方案中，前一种方案的单点登录产品需对所有的系统提供插件支持；后一种方案会在进行所述改造时产生的工作量。

由于企业信息化水平的不断提升，单点登录技术在企业内部信息系统中的应用极为广泛，但使用单点登录面临着以下几个问题：

1、企业内部信息化系统环境复杂，单点登录产品不一定能支持所有的系统。当前的很多单点登录产品需在接入系统服务器安装部署插件等，插件虽然丰富，但针对不同种类及版本的操作系统和服务器产品需要部署特定的插件，而由厂商提供的插件尽管品种繁多但数量仍然有限，一旦接入系统使用了单点登录产品不支持的应用，那么在不改动接入系统架构的情况下无法实现单点登录。

2、更换单点登录产品时改造困难、工作量大。企业内部信息化系统有时会因为客观原因更换单点登录产品(如更换企业信息化系统的入口)，单点登录产品一般也会随入口产品一同更换。一旦更换单点登录产品，则所有接入到该单点登录产品的系统需根据新的单点登录产品的要求重新改造，随之而来的是大量的开发和测试工作，这些工作必然给系统运行带来影响，同时也带来了很多不可控因素。

3、不利于及时定位故障。大部分成熟产品都是将插件安装部署在接入系统的Web服务器上，拦截了Web服务器接收的所有请求，因此理论上接入系统出现的故障都可能与单点登录产品有关。由于插件和认证服务器间的通讯对于接入系统不可见，因此接入系统的操作人员在出现故障时很难简单判断出故障是否与单点登录产品有关。

发明内容

有鉴于此，本发明的主要目的在于提供一种实现通用单点登录的方法、装置和系统，保证单点登录的通用性。

为达到上述目的，本发明的技术方案是这样实现的：

一种实现通用单点登录的系统，该系统包括服务中间层、接入系统；其中，

所述服务中间层通用于不同单点登录产品，设置于接入系统与单点登录认证服务器之间，用于基于通用的单点登录方式为接入系统进行权限验证；

所述接入系统，用于根据用户浏览器的访问请求向服务中间层发送认证请求；以及接收来自服务中间层的认证结果，并根据得到的认证结果完成授权工作。

所述服务中间层包括通用认证服务器、认证处理器和认证适配器；其中，

所述通用认证服务器，用于提供认证服务，接收接入系统的认证请求并将认证结果反馈给接入系统；

所述认证处理器，用于处理接入系统的认证请求并反馈认证结果；

所述认证适配器，用于对不同单点登陆产品提供的认证请求的字符数据进行抽象和封装，屏蔽不同单点登录认证服务器之间的差异性，以及提供认证服务以供认证处理器调用。

一种实现通用单点登录的装置，该装置通用于不同单点登录产品，设置于接入系统与单点登录认证服务器之间，用于基于通用的单点登录方式为接入系统进行权限验证；所述装置包括通用认证服务器、认证处理器和认证适配器；其中，

所述通用认证服务器，用于提供认证服务，接收接入系统的认证请求并将认证结果反馈给接入系统；

所述认证处理器，用于处理接入系统的认证请求并反馈认证结果；

所述认证适配器，用于对不同单点登陆产品提供的认证请求的字符数据进行抽象和封装，屏蔽不同单点登录认证服务器之间的差异性，以及提供认证服务以供认证处理器调用。

所述通用认证服务器，用于：

在处理接入系统的认证请求时，提取并整理认证请求中的请求字符串的数据，将整理后的数据发往单点登录认证服务器进行认证；和/或，