一种跨域单点登录系统及其方法技术方案

本发明专利技术公开了一种跨域单点登录系统及其方法，涉及互联网技术领域。本系统是客户端（10）和门户管理子系统（30）连接；单点登录服务器（20）、门户管理子系统（30）和web应用（40）分别与认证授权数据库（50）连接；单点登录客户端（60）包括第1单点登录客户端（60_31）和第2单点登录客户端（60_41），分别嵌入在门户管理子系统（30）和web应用（40）中。本发明专利技术①利用加密票据和一次性随机验证码共确定用户信息是否有效；有效避免用户数据泄密的问题；②借助本域内存cookie（信息包）携带的sessionId（会话控制）和加密票据（mticket）信息，即可确认门户管理子系统和Web应用是否处于登录状态；③适用于门户管理子系统统一管理资源的单点登录解决方案。

A cross domain single sign on system and its method

The invention discloses a cross - domain single - point login system and its method, which relates to the field of Internet technology. This system is the client (10) and the gateway management subsystem (30) connected; the SSO server (20), portal management subsystem (30) and web (40) respectively, and the application of authentication and authorization database connection (50); single sign on the client (60) including first single sign on the client (60_31 second) and single sign on the client (60_41), are embedded in the portal management system (30) and web (40) in the application. The present invention using encrypted notes and one-time random verification code to determine whether the user information is effectively avoided; user data leakage problem; the use of the domain cookie (packet) memory carry sessionId (session control) and encrypted notes (mticket) information, which can confirm the portal management subsystem and the Web application is in the log state; single sign on the application to the portal management system unified resource management solutions.

【技术实现步骤摘要】
一种跨域单点登录系统及其方法
本专利技术涉及互联网
，尤其涉及一种跨域单点登录系统及其方法。技术背景随着技术的逐步发展，企业对自身信息化程度要求不断提高，为保证已有系统正常运行的情况下同时引入新的功能模块，企业面临遗留系统升级改造、新系统开发和第三方系统集成等问题。为了保证已有系统正常运行，企业选择对遗留系统采取逐步升级方案；同时由于企业信息化的迫切需求，新系统的开发和第三方系统集成必须同步进行。独立于原有系统研发新系统一般都会涉及开发自己的用户权限认证机制，多套权限认证机制会导致用户需要记录多个用户名和密码，这样不仅会增加了用户负担而且导致用户密码泄露的概率增大，更重要的是极大地降低了用户的工作效率和信息系统孤岛问题。为了解决提高用户工作效率、信息孤岛联通和用户信息安全问题，单点登录解决方案是面对企业信息化发展必备解决方案。单点登录SSO(SingleSing-On)指用户访问部署于不同服务器的多套业务系统时，用户只需要登录一次系统进行权限认证便可访问所有被授权的系统受限资源。
技术实现思路
本专利技术的目的就在于克服现有单点登录技术中的缺点和不足，提供一种跨域单点登录系统及其方法。本专利技术的目的是这样实现的：一、跨域单点登录系统(简称系统)包括客户端、单点登录服务器、门户管理子系统、web应用、认证授权数据库和单点登录客户端；其连接关系是：客户端和门户管理子系统连接；单点登录服务器、门户管理子系统和web应用分别与认证授权数据库连接；单点登录客户端包括第1单点登录客户端和第2单点登录客户端，分别嵌入在门户管理子系统和web应用中。二、跨域单点登录方法(简称方法)详见具体实施方式。本专利技术具有下列优点和积极效果：①利用加密票据和一次性随机验证码共确定用户信息是否有效；由于网络传输过程中，不会涉及到任何用户数据信息，从而可以有效避免用户数据泄密的问题；另外，由于一次性随机验证码有效时间短，可以更好地避免加密票据和一次性随机验证在网络传输过程中被截取和通过截取数据重试登录的问题。②借助本域内存cookie(信息包)携带的sessionId(会话控制)和加密票据(mticket)信息，即可确认门户管理子系统和Web应用是否处于登录状态；减少了已登录用户请求单点登录服务器的次数；此外，门户管理子系统和Web应用直接使用本域cookie确定用户状态，可以消除了目前借助cookie实现单点登录方案中通过程序读取cookie的弊病。③适用于门户管理子系统统一管理资源的单点登录解决方案。附图说明图1是本系统的结构方框图；图2是单点登录服务器20的内部规则详解图；图3是单点登录客户端60的内部规则详解图；图4是单点登录客户端60的认证流程图；图5是单点登录认证流程图。图中：10—客户端，11—第1客户端，12—第2客户端，……1N—第N客户端，N是自然数，0≤N≤1000；20—单点登录服务器，21—用户认证规则，22—票据(Ticket)生成规则，23—随机验证码(RIC)生成规则，24—加密票据(mticket)生成规则，25—一次性验证码(DVP)生成规则，26—票据信息保存，27—地址重定向；30—门户管理子系统；40—web应用；50—认证授权数据库；60—单点登录客户端，60_31—第1单点登录客户端，60_41—第2单点登录客户端；61—检测请求是否包含mticket和DVP参数，62—检测cookie中是否包含mticket以及SessionId参数，63—判断用户登录状态有效性，64—保存用户信息到session并将sessionId和mticket存入cookie中，65—更新DVP，66—检测请求是否携带Web应用连接(sublink)作为参数，67—地址重定向。具体实施方式下面结合附图和实施例详细说明。一、系统1、总体如图1，本系统包括客户端10、单点登录服务器20、门户管理子系统30、web应用40、认证授权数据库50和单点登录客户端60；其连接关系是：客户端10和门户管理子系统30连接；单点登录服务器20、门户管理子系统30和web应用40分别与认证授权数据库50连接；单点登录客户端60包括第1单点登录客户端60_31和第2单点登录客户端60_41，分别嵌入在门户管理子系统30和web应用40中。工作原理：本系统包括两个主要服务：单点登录客户端60和单点登录服务器20，单点登录客户端60和单点登录服务器20相互协作，共同完成跨域单点登录；单点登录客户端60的功能包括：1、根据用户请求所携带的参数判断当前用户所处状态(登录、未登录)；2、根据用户状态将用户请求转发；单点登录服务器20的功能包括：1、接收由单点登录客户端60所转发的用户验证请求；2、验证用户信息的有效性；3、根据规则生成相应的用户标识信息；并将标识信息保存至认证授权数据库50；4、用户认证后的重定向问题。以用户处于登出状态为例简要说明第1单点登录客户端60_31和单点登录服务器20的协作机制，未登录用户访问门户管理子系统30，第1单点登录客户端60_31根据请求中所携带的参数判断用户处于未登录状态；第1单点登录客户端60_31将门户管理子系统30的URL、用户信息作为请求参数与单点登录服务器20地址拼接，生成新的请求地址；第1单点登录客户端60_31根据新的请求地址发起重定向请求，单点登录服务器20接受请求并验证用户名和密码；如果验证不通过，单点登录服务器20根据门户管理子系统30地址重定向到门户管理子系统30登录界面；如果验证通过，则单点登录服务器20根据预定义规则生成票据(ticket)、随机验证码(RIC)、一次性验证码(DVP)以及通过RIC对ticket进行加密生成加密票据(mticket)，并将生成的信息和用户信息作为一条记录保存到认证授权数据库50；单点登录服务器20将门户管理子系统30的URL地址与mticket、DVP参数拼接，通过拼接的请求地址发起重定向请求；嵌入门户管理子系统30中的第1单点登录客户端60_31接收参数并使用DVP对mticket解密生成ticket，然后查询认证授权数据库50；如果ticket不存在，说明，门户管理子系统30登录状态失效；如果ticket存在，通过ticket查找该用户相关的数据信息，然后将用户信息存入会话Session会话并更新DVP，此外，第单点登录客户端60_31将mticket、sessionID存入Cookie；最后，用户可访问门户管理子系统30资源管理界面；对于已登录用户通过门户管理子系统30访问其他Web应用40，将由第2单点登录客户端60_41判断用户是否处于登录状态。2、功能块1)客户端10客户端10包括第1、2……N客户端11、12……1N，用于访问应用资源。2)单点登录服务器20如图2，单点登录服务器20包括依次交互的用户认证规则21、票据(Ticket)生成规则22、随机验证码(RIC)生成规则23、加密票据(mticket)生成规则24、一次性验证码(DVP)生成规则25、票据信息保存26和地址重定向27；(1)用户认证规则21是用于验证用户名和密码是否有效，如果无效，则地址重定向27将第1单点登录客户端61所转发的请求重定向到门户管理子本文档来自技高网...

【技术保护点】
一种跨域单点登录系统，其特征在于：包括客户端（10）、单点登录服务器（20）、门户管理子系统（30）、web应用（40）、认证授权数据库（50）和单点登录客户端（60）；其连接关系是：客户端（10）和门户管理子系统（30）连接；单点登录服务器（20）、门户管理子系统（30）和web应用（40）分别与认证授权数据库（50）连接；单点登录客户端（60）包括第1单点登录客户端（60_31）和第2单点登录客户端（60_41），分别嵌入在门户管理子系统（30）和web应用（40）中。

【技术特征摘要】
1.一种跨域单点登录系统，其特征在于：包括客户端（10）、单点登录服务器（20）、门户管理子系统（30）、web应用（40）、认证授权数据库（50）和单点登录客户端（60）；其连接关系是：客户端（10）和门户管理子系统（30）连接；单点登录服务器（20）、门户管理子系统（30）和web应用（40）分别与认证授权数据库（50）连接；单点登录客户端（60）包括第1单点登录客户端（60_31）和第2单点登录客户端（60_41），分别嵌入在门户管理子系统（30）和web应用（40）中。2.按权利要求1所述的一种跨域单点登录系统，其特征在于：所述的单点登录服务器（20）包括依次交互的用户认证规则（21）、票据生成规则（22）、随机验证码生成规则（23）、加密票据生成规则（24）、一次性验证码生成规则（25）、票据信息保存（26）和地址重定向（27）。3.按权利要求1所述的一种跨域单点登录系统，其特征在于：所述的单点登录客户端（60）包括依次交互的检测请求是否包含mticket和DVP参数（61）、检测cookie中是否包含mticket以及SessionId参数（62）、判断用户登录状态有效性（63）、保存用户信息到session并将sessionId和mticket存入cookie中（64）、更新DVP（65）、检测请求是否携带Web应用连接作为参数（66）和地址重定向（67）。4.按权利要求1所述的一种跨域单点登录系统，其特征在于：所述的单点登录客户端（60）的工作流程是：A、用户通过门户管理子系统操作门户管理子系统的资源（70）；B、第1单点登录客户端检查访问连接中用户是否携带mticket、DVP参数（71）；C、如果步骤B中检测到mticket、DVP两个参数同时存在，判断用户登录状态有效性，通过DVP寻找出RIC信息，并通过RIC对mticket进行解密以获取明文ticket（72）；如果步骤B中检测到mticket、DVP两个参数不存在，则第1单点登录客户端通过检测cookie中是否包含mticket以及SessionId参数检查cookie中的SessionId所对应Web应用40中是否存在存在session对象（75）；如果存在，则检查认证授权数据库50中miticket（76），若果mticket有效，则说明用户处于登录状态；如果不存在，而用户返回门户管理子系统登...

【专利技术属性】
技术研发人员：伍孟轩，李伟，
申请(专利权)人：武汉虹旭信息技术有限责任公司，
类型：发明
国别省市：湖北,42