单点登录方法、装置及系统制造方法及图纸

本发明专利技术实施例提供的单点登录方法、装置及系统，涉及数据通信领域。所述方法包括：通过应用系统接收到未登录用户的客户端发起的业务访问时，查找单点登录服务器的公网地址；再向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；然后接收所述客户端基于所述公网地址在所述单点登录服务器完成登录后，再基于所述单点登录服务器发送的目标为所述应用系统地址发起的重定向信息发起的访问请求，以此解决NAT组网下多网络集群门户的单点登录问题，实现简单，可扩展性强。

Single sign on method, device and system

The invention provides a single sign on method, a device and a system provided by the embodiment of the invention, relating to the field of data communication. The method includes: through the application of the system to receive the logged in user client initiated business visit, find the SSO server's public address; to initiate the business access client is targeted to the public address redirection information, the redirection information also carries the application address; then receives the client based on the public address to complete the login on the SSO server, then the server sends a single sign on target for the redirection information of the application system launched at the address access request based on, in order to solve the problem of single sign on, multi cluster network portal NAT network to achieve a simple, scalability.

【技术实现步骤摘要】

本专利技术涉及数据通信领域，具体而言，涉及一种单点登录方法、装置及系统。
技术介绍
现有大部分业务系统一般集成比较多的应用系统，并提供统一的入口地址和单点登录，这种门户系统在实际部署中一般会采用NAT(NetworkAddressTranslation，网络地址转换)组网模式，以解决公网地址紧缺和安全性问题。由于单点登录服务器、应用系统是分布式部署的，因此集群门户、应用系统重定向到单点登录服务器的地址无法确定(单点登录服务器在NAT设备上映射了多个地址)。该问题业界一般处理方式为使用DNS(DomainNameSystem，域名系统)来解决，即在每个网络中增加一个DNS服务器，将单点登录服务器地址(所在网络内网地址)和域名的外网地址和端口配置在DNS服务器中，集群门户和应用系统重定向单点登录服务器的地址为域名，然后客户端的浏览器首先查找DNS服务器，解析到单点登录服务器的域名对应的IP地址和端口，然后通过NAT设备转换为内网的地址和端口，从而单点登录服务器完成单点登录认证。但该实现方案存在如下问题：每个网络都需要额外的DNS服务器，新增网络也涉及DNS服务器和配置的变更，必然会增加客户的投资和部署复杂度，扩展性较差。
技术实现思路
有鉴于此，本专利技术实施例的目的在于提供一种单点登录方法、装置及门户系统，以改善上述问题。第一方面，本专利技术实施例提供了一种单点登录方法，所述方法包括：应用系统接收到未登录用户的客户端发起的业务访问时，获取单点登录服务器的公网地址；向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；接收所述客户端基于所述公网地址在所述单点登录服务器完成登录后，再基于所述单点登录服务器发送的目标为应用系统地址的重定向信息发起的访问请求。第二方面，本专利技术实施例提供了一种单点登录方法，所述方法包括：应用系统接收到未登录用户的客户端发起的业务访问时，获取单点登录服务器的公网地址；所述应用系统向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；所述客户端基于所述公网地址通过NAT设备向所述单点登录服务器发送携带所述应用系统地址的登录请求；所述单点登录服务器验证成功后，向所述客户端发送目标为所述应用系统地址的重定向信息；所述客户端基于所述目标为所述应用系统地址的重定向信息，访问所述应用系统。第三方面，本专利技术实施例提供了一种单点登录装置，应用于应用系统，所述装置包括：获取单元，用于接收到未在所述应用系统登录的用户的客户端发起的业务访问时，获取单点登录服务器的公网地址；发送单元，用于向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；接收单元，用于接收所述客户端基于所述公网地址在所述单点登录服务器完成登录后，再基于所述单点登录服务器发送的目标为应用系统地址的重定向信息发起的访问请求。第四方面，本专利技术实施例提供了一种单点登录系统，所述系统包括应用系统、单点登录服务器、NAT设备，所述应用系统、单点登录服务器位于所述NAT设备的局域网侧；所述应用系统，用于接收到未登录用户的客户端发起的业务访问时，获取单点登录服务器的公网地址以及向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；所述单点登录服务器，用于接收所述客户端基于所述公网地址通过所述NAT设备发送携带所述应用系统地址的登录请求，以及验证所述登录请求成功后，向所述客户端发送目标为所述应用系统地址的重定向信息；所述应用系统，还用于接收所述客户端基于所述应用系统地址发送的访问请求。本专利技术实施例提供的单点登录方法、装置及系统，通过应用系统接收到未登录用户的客户端发起的业务访问时，获取单点登录服务器的公网地址；再向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；然后接收所述客户端基于所述公网地址在所述单点登录服务器完成登录后，再基于所述单点登录服务器发送的目标为应用系统地址的重定向信息发起的访问请求，以此解决NAT组网下多网络集群门户的单点登录问题，实现简单，可扩展性强。本专利技术的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术实施例了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1为本专利技术实施例的应用环境示意图；图2为本专利技术第一实施例提供的单点登录方法的流程图；图3为本专利技术第二实施例提供的单点登录方法的时序图；图4为本专利技术第三实施例提供的单点登录装置的结构框图。具体实施方式下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本专利技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。本专利技术各实施例如无特别说明均可应用于如图1所示的环境中，如图1所示，单点登录系统中，包括应用系统100、单点登录服务器200、NAT设备300。所述应用系统100、单点登录服务器200位于所述NAT设备300的局域网侧。其中，应用系统100包括业务系统和/或集群门户。例如，政府、学校门户管理系统。客户端400可以为PC(personalcomputer)电脑、平板电脑、手机、电子阅读器、笔记本电脑、智能电视、机顶盒、车载终端等终端设备安装的网页浏览器或者应用客户端。所述网络500可以为有线或网线网络。客户端400通过网络500可以访问NAT设备300的局域网内的应用系统100。在本实施例中，应用系统100，用于接收到未登录用户的业务访问时，获取单点登录服务器200的公网地址以及向发起所述业务访问的客户端400发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址。其中，单点登录服务器200，用于接收所述客户端400基于所述公网地址通过所述NAT设备300发送携带所述应用系统地址的登录请求，以及验证所述登录请求成功后，向所述客户端400发送目标为所述应用系统地址的重定向信息。应用系统100，还用于接收所述客户端400基于所述应用系统地址发送的访问请求。本专利技术实施例中客户端400为浏览器或者APP。本文档来自技高网...

【技术保护点】
一种单点登录方法，其特征在于，所述方法包括：应用系统接收到未登录用户的客户端发起的业务访问时，获取单点登录服务器的公网地址；向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；接收所述客户端基于所述公网地址在所述单点登录服务器完成登录后，再基于所述单点登录服务器发送的目标为所述应用系统地址的重定向信息发起的访问请求。

【技术特征摘要】
1.一种单点登录方法，其特征在于，所述方法包括：应用系统接收到未登录用户的客户端发起的业务访问时，获取单点登录服务器的公网地址；向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；接收所述客户端基于所述公网地址在所述单点登录服务器完成登录后，再基于所述单点登录服务器发送的目标为所述应用系统地址的重定向信息发起的访问请求。2.根据权利要求1所述的方法，其特征在于，所述获取单点登录服务器的公网地址，包括：获取所述客户端的IP地址段；查找与所述IP地址段对应的单点登录服务器的公网地址。3.根据权利要求2所述的方法，其特征在于，所述查找与所述IP地址段对应的单点登录服务器的公网地址，包括：基于本地存储的映射表查找与所述IP地址段对应的单点登录服务器的公网地址，所述映射表保存有对应的IP地址段以及单点登录服务器的公网地址。4.根据权利要求1-3任一所述的方法，其特征在于，所述应用系统地址为所述应用系统认证的指向所述应用系统的URL地址。5.一种单点登录方法，其特征在于，所述方法包括：应用系统接收到未登录用户的客户端发起的业务访问时，获取单点登录服务器的公网地址；所述应用系统向发起所述业务访问的客户端发送目标为所述公网地址的重定向信息，所述重定向信息还携带有所述应用系统地址；所述客户端基于所述公网地址通过NAT设备向所述单点登录服务器发送携带所述应用系统地址的登录请求；所述单点登录服务器验证成功后，向所述客户端发送目标为所述应用系统地址的重定向信息；所述客户端基于所述目标为所述应用系统地址的重定向信息，访问所述应用系统。6.一种单点登录装置，其特征在于，应用于应用系统，所述装置包括：...

【专利技术属性】
技术研发人员：李超，邓鹏，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川;51