The present invention relates to a single sign on method, system and electronic device, which is used to realize session sharing among cross domain application systems. The SSO method first through second application system is established between the user and the server session, and the session ID stored in the session corresponding to cache data in the server under the domain name, the user requests to access the first application system of protected resources, the server will be judged and authorized by the existing session ID avoid re login authentication, in order to achieve cross domain application access authorization. The public can realize the functions of single sign on and single point exit.
【技术实现步骤摘要】
单点登录方法及系统、电子设备
本公开涉及计算机网络
,尤其涉及一种单点登录方法及系统、电子设备。
技术介绍
单点登录(SingleSign-On,简称SSO)是指在多个应用系统中,用户只需进行一次身份认证,即可访问所有相互信任的应用系统。CAS(CentralAuthenticationService)是一种针对计算机网络应用的单点登录系统,CAS服务器负责对用户的身份进行认证,CAS客户端负责处理对应用系统中受保护资源的访问请求。目前,利用CAS实现单点登录的方法主要包括采用身份票据和采用令牌两种形式。第一,如图1所示,采用身份票据(ticket)的形式。具体而言,用户请求访问CAS客户端即应用系统的服务资源;CAS客户端重定向到CAS服务器,通过CAS服务器对用户的身份进行认证;CAS服务器随机生成一个身份票据ticket传递给CAS客户端;CAS客户端将身份票据ticket传递给CAS服务器进行验证;CAS服务器在验证成功后将认证结果返回至CAS客户端。基于这种方式,若要实现单点退出,可将CAS服务器和应用系统置于同一个域中,当一个应用系统退出时,则会清除同域名下的所有cookie,从而达到统一退出的目的,但是这种方式无法做到跨域的单点退出。若要实现跨域的单点退出,CAS服务器需要记录各个应用系统的注册信息,使得所有接入的子系统都同步退出当前登录会话,但这种方式对于应用系统的改造量较大,需要开放接口给CAS服务器以备通知调用。第二,如图2所示,采用令牌(token)的形式。具体而言,当用户请求访问应用系统A的服务资源时,应用系统A的CAS服务器 ...
【技术保护点】
一种单点登录方法,用于实现跨域应用系统间的会话共享,其特征在于,所述单点登录方法包括:接收第一应用系统发送的携带有第一应用标识的认证请求,并对所述第一应用标识进行验证;根据所述第一应用标识在服务器缓存中查找对应的会话,并在查找到所述会话后对所述会话对应的会话标识进行验证;根据所述第一应用标识以及所述会话标识生成对应于所述第一应用系统的第一访问令牌,并将所述会话标识以及所述第一访问令牌发送至所述第一应用系统;其中,所述会话由第二应用系统建立,且所述第一应用系统和所述第二应用系统为相互信任的系统;所述第一应用系统、所述第二应用系统、以及服务器的域名均不相同。
【技术特征摘要】
1.一种单点登录方法,用于实现跨域应用系统间的会话共享,其特征在于,所述单点登录方法包括:接收第一应用系统发送的携带有第一应用标识的认证请求,并对所述第一应用标识进行验证;根据所述第一应用标识在服务器缓存中查找对应的会话,并在查找到所述会话后对所述会话对应的会话标识进行验证;根据所述第一应用标识以及所述会话标识生成对应于所述第一应用系统的第一访问令牌,并将所述会话标识以及所述第一访问令牌发送至所述第一应用系统;其中,所述会话由第二应用系统建立,且所述第一应用系统和所述第二应用系统为相互信任的系统;所述第一应用系统、所述第二应用系统、以及服务器的域名均不相同。2.根据权利要求1所述的单点登录方法,其特征在于,所述单点登录方法还包括:接收第二应用系统发送的携带有第二应用标识以及用户登录信息的认证请求,并对所述第二应用标识以及所述用户登录信息进行验证;根据所述第二应用标识生成一会话标识以及对应于所述第二应用系统的第二访问令牌且存储于服务器缓存中,并将所述会话标识以及所述第二访问令牌发送至所述第二应用系统;接收所述第二应用系统根据所述会话标识以及所述第二访问令牌生成的验证信息,并对所述验证信息进行验证;响应验证结果返回一登录页面或者返回所述第二应用系统。3.根据权利要求2所述的单点登录方法,其特征在于,所述生成一会话标识以及对应于所述第二应用系统的第二访问令牌包括:根据所述第二应用标识查找预存的对应于所述第二应用标识的私钥;根据所述第二应用标识以及所述私钥生成所述会话标识以及对应于所述第二应用系统的第二访问令牌,且所述会话标识以及所述第二访问令牌均具有时效性。4.根据权利要求3所述的单点登录方法,其特征在于,所述第二应用标识、所述会话标识、以及所述第二访问令牌均通过所述私钥进行加密。5.根据权利要求4所述的单点登录方法,其特征在于,所述将所述会话标识以及所述第二访问令牌发送至所述第二应用系统包括:通过安全超文本传输协议的形式将加密后的所述会话标识以及所述第二访问令牌发送至所述第二应用系统。6.根据权利要求5所述的单点登录方法,其特征在于,所述接收所述第二应用系统根据所述会话标识以及所述第二访问令牌生成的验证信息,并对所述验证信息进行验证包括:接收所述第二应用系统通过安全超文本传输协议的形式发送的根据解密后的所述会话标识以及所述第二访问令牌所生成的验证信息;根据所述服务器缓存中存储的所述第二访问令牌对所述验证信息中的第二访问令牌进行验证。7.根据权利要求2所述的单点登录方法,其特征在于,所述响应验证结果返回一登录页面或者返回所述第二应用系统包括:验证失败时,响应所述验证失败的结果返回一所述登录页面以重新登录;或...
【专利技术属性】
技术研发人员:谭华林,杨珍良,
申请(专利权)人:恒生电子股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。