[发明专利]基于CAS的级联认证方法

权利要求书

1.基于CAS的级联认证方法，其特征在于：用户在首次登陆时，由各个跨域的认证服务分别对用户进行一次认证，认证成功就为客户端分配一个TGT，用户客户端只要具备各个认证域的TGT，就可以实现在不同的部署单位之间跨域访问；具体包括以下步骤：

1）在CAS客户端组件中，新开发一个Servlet程序，向请求端返回“目标认证服务”地址；

2）在CAS服务端，新开发一个基于http协议的“握手接口”，接收用户登陆凭证输入，生成一个FT，再以FT为标识将用户登陆凭证缓存起来，最后向调用端返回FT字段串；

3）在CAS服务端处理用户登陆凭证校验时，若用户登陆凭证正确，则将用户登陆凭证缓存起来，生成合法凭证，缓存标识采用当前用户的TGT字段串；

4）新开发一个专门用于处理“跨域认证”的http控制器程序，名为“目标控制器”，请求访问时要求传入“目标业务系统”的访问地址；

5）“目标控制器”从用户浏览器中获取TGT，然后通过TGT将记录在缓存中的合法凭证取出；

6）“目标控制器”向CAS客户端组件中新开发的Servlet程序发起http请求，获取到“目标业务系统”集成的“目标认证服务”地址；

7）“目标控制器”调用“握手接口”，在“握手接口”的缓存中临时存储用户登陆凭证，发送用户登陆凭证，并获得FT；

8）“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”，转发时将FT作为参数附带，用于进行登陆过程；

9）“目标认证服务”在处理用户登陆流程时，从用户请求的参数中获取FT，再根据FT从“握手接口”的缓存中提取用户登陆凭证，对用户登陆凭证进行校验，续继执行其它CAS登陆过程。

2.根据权利要求1所述的基于CAS的级联认证方法，其特征在于：在所述步骤8）中，“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”时，用户客户端收到一个跳转响应，跳转地址是“目标认证服务”的认证地址，向“目标认证服务”发起一个登陆认证请求，“目标认证服务”将收到用户客户端的“跨域认证请求”，在处理“跨域认证请求”时，首先从用户客户端解析是否具备有效的TGT，如果有效，则为用户客户端生成一个ST，然后将请求转发“系统访问流程”；如果无效则返回进行步骤9）。

3.根据权利要求1所述的基于CAS的级联认证方法，其特征在于：在所述步骤9）中，对用户登陆凭证进行校验包括以下步骤：

9.1）、身份验证成功：

9.1.1）、生成TGT、写Cookie：“跨域认证身份”校验成功，进入标准的CAS功能流程，即为用户客户端生成TGT，并将TGT写入CAS客户端Cookie中；

9.1.2）、生成ST、响应跳转：TGT产生成功后，再根据TGT为用户生成ST，然后将用户请求跳转至“系统访问流程”；

9.2）身份验证无效则响应登陆页面：在“跨域认证身份”校验失败的情况下，将返回一个登陆页面给用户客户端，要求用户进行登陆。

4.根据权利要求3所述的基于CAS的级联认证方法，其特征在于：所述“跨域认证身份”为“级联认证身份”。

5.根据权利要求2或3或4所述的基于CAS的级联认证方法，其特征在于：所述“系统访问流程”包括以下步骤：

（1）访问拦截：由“目标业务系统”处理，内置在“目标业务系统”中的“认证客户端组件”将拦截到用户访问请求并调用“会话/ST校验”来决定下一步流程；

（2）“会话/ST校验”：由认证客户端组件检查“目标业务系统”中是否具备有效的Session会话，如果有效，则允许用户访问系统资源；如果没有会话，则检查访问请求中是否提供了有效的ST，如果具备有效的ST，则为用户创建一个有效的Session，并允许用户访问系统资源，如果没有提供有效的ST，则将请求转发至步骤8），重新进行登陆过程。

6.根据权利要求1或2或3或4所述的基于CAS的级联认证方法，其特征在于：所述“目标业务系统”为“级联目标业务系统”；所述“目标认证服务”为“级联目标认证服务”；所述“跨域认证”为“级联认证”；所述“握手接口”为“级联握手接口”；所述“目标控制器”为“级联控制器”。