本发明专利技术公开了一种实现通用单点登录的方法、装置和系统,在接入系统与单点登录认证服务器之间设置通用于不同单点登录产品的服务中间层;所述服务中间层基于通用的单点登录方式为接入系统进行权限验证时,服务中间层通过接入系统接收用户浏览器的访问请求,将其中包含的身份令牌提交给单点登录认证服务器进行验证,并接收单点登录认证服务器返回的认证结果。本发明专利技术使得各接入系统与服务中间层交互,而不是直接与单点登录产品交互,并且服务中间层提供通用的单点登录方式,因而保证了单点登录的通用性,能够统一为各接入系统进行权限验证。
【技术实现步骤摘要】
本专利技术涉及通信领域,具体涉及一种实现通用单点登录的方法、装置和系统。
技术介绍
作为一种通用的企业业务整合方案,单点登录(Single Sign 0n,SS0)已经在企业内部信息系统中得到广泛应用。实现单点登录需要一套统一的认证系统,用户在访问接入应用系统前,必须先在认证系统通过认证。认证系统在用户通过认证后记录用户登录状态,并向用户浏览器核发身份令牌(Token)。用户浏览器在访问某个应用系统时,应用系统先获取所述身份令牌,接着向认证服务器校验该身份令牌的合法性并获取用户身份,最后根据校验结果进行响应。实现上述单点登录过程需要接入系统做一定改造,具体方式根据单点接入的产品和技术方案的不同而有所区别。一部分方案需要在接入应用系统的服务器上安装部署插件,插件可以提前截获HTTP请求并发往认证服务器,认证服务器会提取身份令牌以进行验证,之后应用系统可以直接从HTTP请求(如HTTP头)中获得用户身份;另一些方案需要接入系统完成提取身份令牌并发往认证服务器校验的工作。上述两种方案中,前一种方案的单点登录产品需对所有的系统提供插件支持;后一种方案会在进行所述改造时产生的工作量。由于企业信息化水平的不断提升,单点登录技术在企业内部信息系统中的应用极为广泛,但使用单点登录面临着以下几个问题:1、企业内部信息化系统环境复杂,单点登录产品不一定能支持所有的系统。当前的很多单点登录产品需在接入系统服务器安装部署插件等,插件虽然丰富,但针对不同种类及版本的操作系统和服务器产品需要部署特定的插件,而由厂商提供的插件尽管品种繁多但数量仍然有限,一旦接入系统使用了单点登录产品不支持的应用,那么在不改动接入系统架构的情况下无法实现单点登录。2、更换单点登录产品时改造困难、工作量大。企业内部信息化系统有时会因为客观原因更换单点登录产品(如更换企业信息化系统的入口),单点登录产品一般也会随入口产品一同更换。一旦更换单点登录产品,则所有接入到该单点登录产品的系统需根据新的单点登录产品的要求重新改造,随之而来的是大量的开发和测试工作,这些工作必然给系统运行带来影响,同时也带来了很多不可控因素。3、不利于及时定位故障。大部分成熟产品都是将插件安装部署在接入系统的Web服务器上,拦截了 Web服务器接收的所有请求,因此理论上接入系统出现的故障都可能与单点登录产品有关。由于插件和认证服务器间的通讯对于接入系统不可见,因此接入系统的操作人员在出现故障时很难简单判断出故障是否与单点登录产品有关。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种实现通用单点登录的方法、装置和系统,保证单点登录的通用性。为达到上述目的,本专利技术的技术方案是这样实现的:一种实现通用单点登录的系统,该系统包括服务中间层、接入系统;其中,所述服务中间层通用于不同单点登录产品,设置于接入系统与单点登录认证服务器之间,用于基于通用的单点登录方式为接入系统进行权限验证;所述接入系统,用于根据用户浏览器的访问请求向服务中间层发送认证请求;以及接收来自服务中间层的认证结果,并根据得到的认证结果完成授权工作。所述服务中间层包括通用认证服务器、认证处理器和认证适配器;其中,所述通用认证服务器,用于提供认证服务,接收接入系统的认证请求并将认证结果反馈给接入系统;所述认证处理器,用于处理接入系统的认证请求并反馈认证结果;所述认证适配器,用于对不同单点登陆产品提供的认证请求的字符数据进行抽象和封装,屏蔽不同单点登录认证服务器之间的差异性,以及提供认证服务以供认证处理器调用。一种实现通用单点登录的装置,该装置通用于不同单点登录产品,设置于接入系统与单点登录认证服务器之间,用于基于通用的单点登录方式为接入系统进行权限验证;所述装置包括通用认证服务器、认证处理器和认证适配器;其中,所述通用认证服务器,用于提供认证服务,接收接入系统的认证请求并将认证结果反馈给接入系统;所述认证处理器,用于处理接入系统的认证请求并反馈认证结果;所述认证适配器,用于对不同单点登陆产品提供的认证请求的字符数据进行抽象和封装,屏蔽不同单点登录认证服务器之间的差异性,以及提供认证服务以供认证处理器调用。所述通用认证服务器,用于:在处理接入系统的认证请求时,提取并整理认证请求中的请求字符串的数据,将整理后的数据发往单点登录认证服务器进行认证;和/或,在反馈认证结果时,根据认证请求的请求字符串和单点登录认证服务器的反馈结果,整理需要反馈的数据,并将整理后的数据反馈给接入系统。所述装置基于通用的单点登录方式为接入系统进行权限验证时,所述通用认证服务器用于:通过接入系统接收用户浏览器的访问请求,将其中包含的身份令牌提交给单点登录认证服务器进行验证,并接收单点登录认证服务器返回的认证结果。所述装置支持HTTP。—种实现通用单点登录的方法,在接入系统与单点登录认证服务器之间设置通用于不同单点登录产品的服务中间层,该方法还包括:在所述服务中间层基于通用的单点登录方式为接入系统进行权限验证时,服务中间层通过接入系统接收用户浏览器的访问请求,将其中包含的身份令牌提交给单点登录认证服务器进行验证,并接收单点登录认证服务器返回的认证结果。在进行所述权限验证之前,该方法还包括:用户浏览器向单点登录认证服务器发起认证请求,接收发放的身份令牌,并向接入系统发起包含该身份令牌的访问请求;和/或,在进行所述权限验证之后,该方法还包括:服务中间层将认证结果返回给接入系统,接入系统根据得到的认证结果完成授权工作。所述服务中间层基于通用的单点登录方式为接入系统进行权限验证时,对不同单点登陆产品提供的认证请求的字符数据进行抽象和封装,屏蔽不同单点登录认证服务器之间的差异性。接入系统通过HTTP方式以XML数据格式与服务中间层进行通讯。本专利技术使得各接入系统与服务中间层交互,而不是直接与单点登录产品交互,并且服务中间层提供通用的单点登录方式,因而保证了单点登录产品间的通用性,能够统一为各接入系统进行权限验证。附图说明图1为本专利技术实施例的单点登录系统示意图;图2为本专利技术实施例的单点登录流程图;图3为本专利技术实施例的单点登录流程简图。具体实施例方式在实际应用中,可以对单点登录产品提供的认证请求的字符数据(如:现有成熟的多个单点登录产品提供的认证请求的字符数据)进行抽象、封装,并增加通用的服务中间层(如=HTTP服务中间层,下面以HTTP服务中间层为例进行描述)。各接入系统与服务中间层交互,而不是直接与单点登录产品交互;并且服务中间层提供通用的单点登录方式(如=HTTP单点登录方式),以便为各接入系统进行权限验证。下面结合附图并应用具体实例对本专利技术进行详细描述。参见图1,图1中,HTTP服务中间层处于接入系统和单点登录认证服务器之间,能够分别与接入系统和单点登录认证服务器进行交互,以屏蔽接入系统与单点登录认证服务器之间的直接交互。HTTP服务中间层可以包含三部分:通用认证服务器(如HTTP认证服务器,下面以HTTP认证服务器为例进行描述)、认证处理器和认证适配器。DHTTP认证服务器HTTP认证服务器能够提供认证服务,接收接入系统的认证请求并将认证结果反馈给接入系统,接收的数据格式参照数据接口规范,HTTP认证服务器与接入系统的交互可以遵循目前所通用的协议,如H本文档来自技高网...
【技术保护点】
一种实现通用单点登录的系统,其特征在于,该系统包括服务中间层、接入系统;其中,所述服务中间层通用于不同单点登录产品,设置于接入系统与单点登录认证服务器之间,用于基于通用的单点登录方式为接入系统进行权限验证;所述接入系统,用于根据用户浏览器的访问请求向服务中间层发送认证请求;以及接收来自服务中间层的认证结果,并根据得到的认证结果完成授权工作。
【技术特征摘要】
1.一种实现通用单点登录的系统,其特征在于,该系统包括服务中间层、接入系统;其中, 所述服务中间层通用于不同单点登录产品,设置于接入系统与单点登录认证服务器之间,用于基于通用的单点登录方式为接入系统进行权限验证; 所述接入系统,用于根据用户浏览器的访问请求向服务中间层发送认证请求;以及接收来自服务中间层的认证结果,并根据得到的认证结果完成授权工作。2.根据权利要求1所述的系统,其特征在于,所述服务中间层包括通用认证服务器、认证处理器和认证适配器;其中, 所述通用认证服务器,用于提供认证服务,接收接入系统的认证请求并将认证结果反馈给接入系统; 所述认证处理器,用于处理接入系统的认证请求并反馈认证结果;所述认证适配器,用于对不同单点登陆产品提供的认证请求的字符数据进行抽象和封装,屏蔽不同单点登录认证服务器之间的差异性,以及提供认证服务以供认证处理器调用。3.一种实现通用单点登录的装置,其特征在于,该装置通用于不同单点登录产品,设置于接入系统与单点登录认证服务器之间,用于基于通用的单点登录方式为接入系统进行权限验证;所述装置包括通用认证服务器、认证处理器和认证适配器;其中, 所述通用认证服务器,用于提供认证服务,接收接入系统的认证请求并将认证结果反馈给接入系统; 所述认证处理器,用于处理接入系统的认证请求并反馈认证结果;所述认证适配器,用于对不同单点登陆产品提供的认证请求的字符数据进行抽象和封装,屏蔽不同单点登录认证服务器之间的差异性,以及提供认证服务以供认证处理器调用。4.根据权利要求3所述的装置,其特征在于,所述通用认证服务器,用于: 在处理接入系统的认证请求时,提取并整理认证请求中的请求字符串的数据,将整理后的数据发往单...
【专利技术属性】
技术研发人员:江卫冲,王春华,俞新华,叶璐,刘利明,陈若鹏,
申请(专利权)人:中国移动通信集团江苏有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。