[发明专利]一种Web系统身份认证系统和方法

说明书

本发明涉及一种Web系统身份认证系统和方法，该方法包括获取身份数据LtpaToken；获取用户应用授权；再次访问其他集成的应用系统，通过相同的流程进行认证，获取用户UID后只需要到应用授权平台查询是否具备本系统访问权限即可。本发明基于LTPAToken的离散化Web系统身份认证，用于解决大型企业各独立应用之间的统一身份认证需求和多平台多入口需求。

技术领域

本发明属于计算机信息系统身份认证领域，尤其是一种Web系统身份认证系统和方法。

背景技术

随着信息技术的不断发展，企业信息化的深度和广度也不断扩展，支撑不同维度、不同领域发展的专业化信息系统越来越多，其为企业发展和变革提供了有效支撑，但也增加了数据治理方面的难度。为了让用户方便的使用这些信息系统，大部分企业会构建自己的统一身份认证中心，通过同一套身份数据控制所有系统的访问权限，同时统一应用入口。

目前，行业内比较常见的统一身份认证技术如：CAS、OAuth 2.0、SAML2.0等应用较为成熟，这些技术特点是通过构建统一、集中的用户身份管理和授权管理实现系统身份认证，通过集中管理和授权降低系统运维成本，提高用户体验，可以很好地实现一个账号多系统访问的需求。但是随着应用系统集成数量不断攀升，认证服务器的压力越来越大、越来越重要，反而造成运维困难。其次，随着覆盖多行业、多维度的众多信息系统接入，以统一身份认证作为应用的入口在实际应用中并非最合理实施方案，例如以销售系统、生产系统、办公系统等平台级应用作为同类应用系统的多入口应用场景，相对集中的应用入口管控在实际应用中更容易被接受。

因此，在拥有大量信息化系统和用户群体的大型企业中，需要研究一种既能实现统一用户身份管理、应用系统授权管理，又能满足多入口模式的身份认证体系，通过分散用户认证请求降低认证系统压力，同时支持以任一系统为平台构建应用入口，围绕“统一身份管理”构建离散化的身份认证系统。

发明内容

本发明提供一种Web系统身份认证系统和方法，基于LTPAToken的离散化Web系统身份认证，用于解决大型企业各独立应用之间的统一身份认证需求和多平台多入口需求，属于计算机信息系统身份认证领域。

本发明的技术方案具体如下：

一种Web系统身份认证系统，包括Web浏览器、身份认证平台、至少一个业务应用系统和应用授权平台；

Web浏览器与身份认证系统、业务应用系统交互，并通过Cookie功能共享登录授权产生的LtpaToken；

身份认证平台集中管理用户身份数据，并提供基于账号、密码的身份认证功能，用户认证成功后创建加密的LptaToken，在用户发起退出操作后清理LptaToken；

应用授权平台统一管理集成到身份认证平台的应用系统，包括应用基本信息、授权访问密钥，以及是否平台级应用，并从身份认证平台同步人员身份信息，用于支撑应用访问授权管理，同时提供安全API查询用户应用访问权限；

业务应用系统集成统一身份认证的业务应用系统，当用户请求系统需要授权的资源时，通过校验LptaToken和应用账号授权，决定用户是否具有资源访问权限；当用户在本系统发起退出操作时，需要重定向到身份认证平台，执行单点退出。

进一步地，包括第一业务应用系统和第二业务应用系统。

进一步地，身份认证平台、应用授权平台以及所有集成统一身份认证的应用系统都部署在同一个根域名下。

本发明还涉及的一种Web系统身份认证方法，包括如下步骤：

获取身份数据LtpaToken；

获取用户应用授权；

再次访问其他集成的应用系统，通过相同的流程进行认证，获取用户UID后只需要到应用授权平台查询是否具备本系统访问权限即可。