[发明专利]一种Web系统身份认证系统和方法

权利要求书

1.一种Web系统身份认证系统，其特征在于：包括Web浏览器、身份认证平台、至少一个业务应用系统和应用授权平台；

Web浏览器与身份认证系统、业务应用系统交互，并通过Cookie功能共享登录授权产生的LtpaToken；

身份认证平台集中管理用户身份数据，并提供基于账号、密码的身份认证功能，用户认证成功后创建加密的LptaToken，在用户发起退出操作后清理LptaToken；

应用授权平台统一管理集成到身份认证平台的应用系统，包括应用基本信息、授权访问密钥，以及是否平台级应用，并从身份认证平台同步人员身份信息，用于支撑应用访问授权管理，同时提供安全API查询用户应用访问权限；

业务应用系统集成统一身份认证的业务应用系统，当用户请求系统需要授权的资源时，通过校验LptaToken和应用账号授权，决定用户是否具有资源访问权限；当用户在本系统发起退出操作时，需要重定向到身份认证平台，执行单点退出。

2.根据权利要求1所述的Web系统身份认证系统，其特征在于：包括第一业务应用系统和第二业务应用系统。

3.根据权利要求1所述的Web系统身份认证系统，其特征在于：身份认证平台、应用授权平台以及所有集成统一身份认证的应用系统都部署在同一个根域名下。

4.一种Web系统身份认证方法，其特征在于：包括如下步骤：

获取身份数据LtpaToken；

获取用户应用授权；

再次访问其他集成的应用系统，通过相同的流程进行认证，获取用户UID后只需要到应用授权平台查询是否具备本系统访问权限即可。

5.根据权利要求4所述的Web系统身份认证方法，其特征在于：每次访问应用系统，均先检测当前根域名下的LtpaToken是否有效，如果无效则跳转到身份认证平台进行登录，用户通过账号/密码登录身份认证平台后，创建有效的LtpaToken，然后重定向到应用系统。

6.根据权利要求4所述的Web系统身份认证方法，其特征在于：应用系统解析有效的LtpaToken读取用户身份标识UID，然后通过应用授权平台安全接口检查用户是否具备该系统的访问权限，如果具备则返回用户及应用账号信息，应用系统创建自己的Session信息，授权完成。

7.根据权利要求4所述的Web系统身份认证方法，其特征在于：该方法还包括多入口、多中心平台级应用构建，根据企业自身情况可以按某个或某几个应用系统为平台级应用构建多入口、多中心应用场景；

首先，先在应用授权平台将选定的应用授权为平台级应用；

访问平台级应用，完成身份认证；

进行认证授权时，据此动态创建旗下的应用系统入口；

应用单点退出，在任意加入统一身份认证的系统中发起退出登录请求，其先清理自身的登录Session，然后将根域名中的LtpaToken设置为无效，此时用户访问其他应用系统时，重新到身份认证平台进行账户/密码认证，即完成单点退出。