一种基于LDAP的身份统一验证方法及系统技术方案

本发明专利技术提供了身份验证技术领域的一种基于LDAP的身份统一验证方法及系统，方法包括：步骤S10、在反向代理服务器上配置web应用的反向代理，用于将web应用的验证请求转发到认证服务器；步骤S20、在LDAP服务器上创建用于身份验证的用户数据；步骤S30、反向代理服务器对web应用的验证请求进行拦截，将拦截的验证请求转发到认证服务器；步骤S40、认证服务器将验证请求转发给LDAP服务器，LDAP服务器基于用户数据对验证请求进行身份验证后，生成验证结果；步骤S50、LDAP服务器将验证结果依次通过认证服务器、反向代理服务器以及网络防火墙发送给web应用；步骤S60、web应用基于接收的验证结果执行登录操作。本发明专利技术的优点在于：极大的提升了身份统一验证的便捷性以及安全性。升了身份统一验证的便捷性以及安全性。升了身份统一验证的便捷性以及安全性。

【技术实现步骤摘要】
一种基于LDAP的身份统一验证方法及系统


[0001]本专利技术涉及身份验证
，特别指一种基于LDAP的身份统一验证方法及系统。

技术介绍

[0002]随着互联网的发展，越来越多的web应用涌现出来，为用户提供各种各样的服务。然而，这也带来了一个问题：用户需要在每个web应用对应的web系统中输入用户名和密码进行登录，这不仅给用户带来了麻烦，也增加了用户信息泄露的风险。为了解决这个问题，提出了统一身份验证的概念，它的目标是让用户只需要在一个web系统中登录，就可以在其他web系统中自动登录，而不需要再次输入用户名和密码。
[0003]传统上，有如下几种方法来实现统一身份验证：
[0004]一种是通过session数据共享或者session持久化来实现，这些方法虽然能够实现统一身份验证的目标，但需要维护额外的组件或者数据存储层，增加了web系统复杂性，此外也不能很好地应对大规模并发访问的情况。
[0005]另一种是采用单点登录(SSO)将多个web系统集成起来，它允许用户在一个web系统中登录后，可以在其他web系统中自动登录。然而，这种方法增加了web系统的复杂性，因为需要维护额外的组件和信任关系，还需要对web系统进行一定的改造，根据认证服务器的不同，需要开发不同的认证客户端，再者，还会带来安全风险，因为一旦认证服务器被攻破，攻击者就可以获得所有web系统的访问权限。
[0006]因此，如何提供一种基于LDAP的身份统一验证方法及系统，实现提升身份统一验证的便捷性以及安全性，成为一个亟待解决的技术问题。

技术实现思路

[0007]本专利技术要解决的技术问题，在于提供一种基于LDAP的身份统一验证方法及系统，实现提升身份统一验证的便捷性以及安全性。
[0008]第一方面，本专利技术提供了一种基于LDAP的身份统一验证方法，包括如下步骤：
[0009]步骤S10、在反向代理服务器上配置web应用的反向代理，用于将web应用的验证请求转发到认证服务器；
[0010]步骤S20、在LDAP服务器上创建用于身份验证的用户数据；
[0011]步骤S30、反向代理服务器对web应用的验证请求进行拦截，将拦截的所述验证请求转发到认证服务器；
[0012]步骤S40、认证服务器将所述验证请求转发给LDAP服务器，LDAP服务器基于所述用户数据对验证请求进行身份验证后，生成验证结果；
[0013]步骤S50、LDAP服务器将所述验证结果依次通过认证服务器、反向代理服务器以及网络防火墙发送给web应用；
[0014]步骤S60、web应用基于接收的所述验证结果执行登录操作。
[0015]进一步地，所述步骤S20具体为：
[0016]在LDAP服务器上创建用于身份验证的用户数据，将所述用户数据存储至预先创建的LDAP目录。
[0017]进一步地，所述步骤S30具体为：
[0018]反向代理服务器通过网络防火墙对web应用的验证请求进行拦截，将拦截的所述验证请求利用预设的密钥加密后，基于安全协议转发到认证服务器；所述验证请求至少携带待验证数据以及请求时间。
[0019]进一步地，所述步骤S40具体为：
[0020]所述认证服务器预先存储有用于连接LDAP服务器的URL、DN以及密码；认证服务器基于所述URL、DN以及密码，将所述验证请求转发给LDAP服务器，LDAP服务器利用预设的密钥解密所述验证请求，基于所述用户数据对验证请求进行身份验证后，生成验证结果。
[0021]进一步地，所述步骤S50具体为：
[0022]LDAP服务器将所述验证结果利用预设的密钥加密后，基于安全协议依次通过认证服务器、反向代理服务器以及网络防火墙发送给web应用，并记录验证过程中的日志，基于预设的监管规则对所述日志进行实时监控。
[0023]第二方面，本专利技术提供了一种基于LDAP的身份统一验证系统，包括如下模块：
[0024]反向代理服务器配置模块，用于在反向代理服务器上配置web应用的反向代理，用于将web应用的验证请求转发到认证服务器；
[0025]LDAP服务器配置模块，用于在LDAP服务器上创建用于身份验证的用户数据；
[0026]验证请求拦截模块，用于反向代理服务器对web应用的验证请求进行拦截，将拦截的所述验证请求转发到认证服务器；
[0027]身份验证模块，用于认证服务器将所述验证请求转发给LDAP服务器，LDAP服务器基于所述用户数据对验证请求进行身份验证后，生成验证结果；
[0028]验证结果发送模块，用于LDAP服务器将所述验证结果依次通过认证服务器、反向代理服务器以及网络防火墙发送给web应用；
[0029]登录模块，用于web应用基于接收的所述验证结果执行登录操作。
[0030]进一步地，所述LDAP服务器配置模块具体用于：
[0031]在LDAP服务器上创建用于身份验证的用户数据，将所述用户数据存储至预先创建的LDAP目录。
[0032]进一步地，所述验证请求拦截模块具体用于：
[0033]反向代理服务器通过网络防火墙对web应用的验证请求进行拦截，将拦截的所述验证请求利用预设的密钥加密后，基于安全协议转发到认证服务器；所述验证请求至少携带待验证数据以及请求时间。
[0034]进一步地，所述身份验证模块具体用于：
[0035]所述认证服务器预先存储有用于连接LDAP服务器的URL、DN以及密码；认证服务器基于所述URL、DN以及密码，将所述验证请求转发给LDAP服务器，LDAP服务器利用预设的密钥解密所述验证请求，基于所述用户数据对验证请求进行身份验证后，生成验证结果。
[0036]进一步地，所述验证结果发送模块具体用于：
[0037]LDAP服务器将所述验证结果利用预设的密钥加密后，基于安全协议依次通过认证
服务器、反向代理服务器以及网络防火墙发送给web应用，并记录验证过程中的日志，基于预设的监管规则对所述日志进行实时监控。
[0038]本专利技术的优点在于：
[0039]通过反向代理服务器对web应用的验证请求进行拦截并转发到认证服务器，认证服务器将验证请求转发给LDAP服务器，LDAP服务器基于创建的用户数据对验证请求进行身份验证后，生成验证结果，并将验证结果依次通过认证服务器、反向代理服务器以及网络防火墙发送给web应用，web应用基于接收的验证结果执行登录操作；即通过反向代理服务器将web应用的验证请求转发到LDAP服务器进行验证，而LDAP服务器允许用户在多个web应用间进行无缝切换，不需要在每个web应用中都进行登录，且无需对web应用进行侵入即可实现身份验证，进而极大的提升了身份统一验证的便捷性；通过网络防火墙对web应用和反向代理服务器之间传输的数据进行防护，反向代理服务器、认证服务器以及LDAP服务器之间均通过安全协议进行数据传输，且传输的数据均进行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于LDAP的身份统一验证方法，其特征在于：包括如下步骤：步骤S10、在反向代理服务器上配置web应用的反向代理，用于将web应用的验证请求转发到认证服务器；步骤S20、在LDAP服务器上创建用于身份验证的用户数据；步骤S30、反向代理服务器对web应用的验证请求进行拦截，将拦截的所述验证请求转发到认证服务器；步骤S40、认证服务器将所述验证请求转发给LDAP服务器，LDAP服务器基于所述用户数据对验证请求进行身份验证后，生成验证结果；步骤S50、LDAP服务器将所述验证结果依次通过认证服务器、反向代理服务器以及网络防火墙发送给web应用；步骤S60、web应用基于接收的所述验证结果执行登录操作。2.如权利要求1所述的一种基于LDAP的身份统一验证方法，其特征在于：所述步骤S20具体为：在LDAP服务器上创建用于身份验证的用户数据，将所述用户数据存储至预先创建的LDAP目录。3.如权利要求1所述的一种基于LDAP的身份统一验证方法，其特征在于：所述步骤S30具体为：反向代理服务器通过网络防火墙对web应用的验证请求进行拦截，将拦截的所述验证请求利用预设的密钥加密后，基于安全协议转发到认证服务器；所述验证请求至少携带待验证数据以及请求时间。4.如权利要求1所述的一种基于LDAP的身份统一验证方法，其特征在于：所述步骤S40具体为：所述认证服务器预先存储有用于连接LDAP服务器的URL、DN以及密码；认证服务器基于所述URL、DN以及密码，将所述验证请求转发给LDAP服务器，LDAP服务器利用预设的密钥解密所述验证请求，基于所述用户数据对验证请求进行身份验证后，生成验证结果。5.如权利要求1所述的一种基于LDAP的身份统一验证方法，其特征在于：所述步骤S50具体为：LDAP服务器将所述验证结果利用预设的密钥加密后，基于安全协议依次通过认证服务器、反向代理服务器以及网络防火墙发送给web应用，并记录验证过程中的日志，基于预设的监管规则对所述日志进行实时监控。6.一种基于LDAP的身份统一验证系统，其特征在于：包括如下模...

【专利技术属性】
技术研发人员：方进，
申请(专利权)人：福建新大陆软件工程有限公司，
类型：发明
国别省市：