[发明专利]一种跨域单点登录系统及其方法

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种跨域单点登录系统及其方法。

技术背景

随着技术的逐步发展，企业对自身信息化程度要求不断提高，为保证已有系统正常运行的情况下同时引入新的功能模块，企业面临遗留系统升级改造、新系统开发和第三方系统集成等问题。为了保证已有系统正常运行，企业选择对遗留系统采取逐步升级方案；同时由于企业信息化的迫切需求，新系统的开发和第三方系统集成必须同步进行。独立于原有系统研发新系统一般都会涉及开发自己的用户权限认证机制，多套权限认证机制会导致用户需要记录多个用户名和密码，这样不仅会增加了用户负担而且导致用户密码泄露的概率增大，更重要的是极大地降低了用户的工作效率和信息系统孤岛问题。为了解决提高用户工作效率、信息孤岛联通和用户信息安全问题，单点登录解决方案是面对企业信息化发展必备解决方案。

单点登录SSO(Single Sing-On)指用户访问部署于不同服务器的多套业务系统时，用户只需要登录一次系统进行权限认证便可访问所有被授权的系统受限资源。

发明内容

本发明的目的就在于克服现有单点登录技术中的缺点和不足，提供一种跨域单点登录系统及其方法。

本发明的目的是这样实现的：

一、跨域单点登录系统(简称系统)

包括客户端、单点登录服务器、门户管理子系统、web应用、认证授权数据库和单点登录客户端；

其连接关系是：

客户端和门户管理子系统连接；

单点登录服务器、门户管理子系统和web应用分别与认证授权数据库连接；

单点登录客户端包括第1单点登录客户端和第2单点登录客户端，分别嵌入在门户管理子系统和web应用中。

二、跨域单点登录方法(简称方法)

详见具体实施方式。

本发明具有下列优点和积极效果：

①利用加密票据和一次性随机验证码共确定用户信息是否有效；由于网络传输过程中，不会涉及到任何用户数据信息，从而可以有效避免用户数据泄密的问题；另外，由于一次性随机验证码有效时间短，可以更好地避免加密票据和一次性随机验证在网络传输过程中被截取和通过截取数据重试登录的问题。

②借助本域内存cookie(信息包)携带的sessionId(会话控制)和加密票据(mticket)信息，即可确认门户管理子系统和Web应用是否处于登录状态；减少了已登录用户请求单点登录服务器的次数；此外，门户管理子系统和Web应用直接使用本域cookie确定用户状态，可以消除了目前借助cookie实现单点登录方案中通过程序读取cookie的弊病。

③适用于门户管理子系统统一管理资源的单点登录解决方案。

附图说明

图1是本系统的结构方框图；

图2是单点登录服务器20的内部规则详解图；

图3是单点登录客户端60的内部规则详解图；

图4是单点登录客户端60的认证流程图；

图5是单点登录认证流程图。

图中：

10—客户端，

11—第1客户端，12—第2客户端，……1N—第N客户端，

N是自然数，0≤N≤1000；

20—单点登录服务器，

21—用户认证规则，22—票据(Ticket)生成规则，

23—随机验证码(RIC)生成规则，24—加密票据(mticket)生成规则，

25—一次性验证码(DVP)生成规则，26—票据信息保存，

27—地址重定向；

30—门户管理子系统；

40—web应用；

50—认证授权数据库；

60—单点登录客户端，

60_31—第1单点登录客户端，60_41—第2单点登录客户端；

61—检测请求是否包含mticket和DVP参数，

62—检测cookie中是否包含mticket以及SessionId参数，

63—判断用户登录状态有效性，

64—保存用户信息到session并将sessionId和mticket存入cookie中，

65—更新DVP，

66—检测请求是否携带Web应用连接(sublink)作为参数，

67—地址重定向。

具体实施方式

下面结合附图和实施例详细说明。

一、系统

1、总体