专利名称:一种松耦合单点登录的实现方法及其系统的制作方法
技术领域:
本发明涉及系统的登录认证,更具体地说,涉及一种松耦合单点登录的实现方法 及其系统。
背景技术:
对于运营商或服务提供商而言,其提供的服务系统要求能够实现用户登录,即系 统要能够识别进入其内的用户是否是注册的合法用户,对于非法的登录要能够排除;同时, 在存在多种服务的系统中,这种系统通常有多个单独的服务器,这些服务器由相同或不同 的服务提供商提供,某种服务的合法用户不一定是另外一种服务的合法用户。出于运营的 方便性的考虑,需要对所有用户在各服务器上的登录进行统一的管理。目前的解决方案,是 采用单点登录服务器(SSO Server)对所有用户提供集中的登录认证功能,业务系统通过令 牌(或者ticket)向SSO krver验证用户身份。业务系统的登录依赖SSO Server,而且通 常有部署方面的限制,比如同一个网段,或者需要使用相同的访问地址,内部分发请求等。 或者需要用户、权限数据集中在SSO krver上统一管理,这样对于单点登录服务器(SS0 Server)的影响比较大,对单点登录服务器(SSO Server)的依赖性非常强。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述对单点登录服务器的影响比 较大,对单点登录服务器的依赖性非常强的缺陷,提供一种对单点登录服务器的影响较小、 对单点登录服务器的依赖性较弱的松耦合单点登录的实现方法及其系统。本发明解决其技术问题所采用的技术方案是构造一种松耦合单点登录的实现方 法,包括如下步骤
A)业务服务器获取用户发出的、对于其他业务服务器的登录请求;
B)判断在所述业务服务器中是否有关联列表,如无,执行步骤C);如有,执行步骤D), 所述关联列表包括具有关联关系的单点登录服务器的用户名、业务服务器的用户名和业务 服务器编号;
C)验证所述登录请求中用户信息的合法性,如通过则登录所述业务服务器,所述业务 服务器发送登录信息到单点登录服务器,验证用户,取得该用户对于所述业务服务器的关 联列表,生成并存储转向链接,并返回登录的结果;
D)验证所述登录请求中用户信息的合法性,如通过则所述业务服务器发送由所述关 联列表而得的转向链接所生成的登录链接到所述单点登录服务器,查找所述用户与所述业 务服务器的关联列表并返回,更新所述业务服务器的本地列表,并返回登录的结果。在本发明所述的松耦合单点登录的实现方法中,所述步骤C)进一步包括如下步 骤
Cl)登录所述业务服务器,所述业务服务器验证所述登录信息并将其发送到所述单点 登录服务器;C2)所述单点登录服务器验证所述登录信息,形成关联,并返回所述业务服务器登录的
结果;
C3)所述业务服务器生成转向链接访问所述单点登录服务器,取得关联列表返回; C4)所述业务服务器生成访问链接,并返回用户登录的结果。在本发明所述的松耦合单点登录的实现方法中,所述步骤Cl)进一步包括如下步 骤
CiD以在所述业务服务器注册的本地登录名称登录所述业务服务器;
C12)所述业务服务器验证所述登录信息,对其做出标记;
C13)所述业务服务器发送所述登录信息到所述单点登录服务器。在本发明所述的松耦合单点登录的实现方法中,所述步骤C2)进一步包括如下步 骤
C21)取得在所述单点登录服务器上注册的单点登录名称; C22)取得在所述业务服务器上注册的登录名称;
C23)将所述业务服务器编号、所述单点登录名称和所述业务服务器上注册的登录名称 存储在同一关联列表内,并存储所述关联列表。在本发明所述的松耦合单点登录的实现方法中,所述步骤C3)进一步包括如下步 骤
C31)取出在其上注册的单点登录名称;
C32)查找所述单点登录名称及所述业务服务器上注册的登录名称对应的关联列表; C33)将所述关联列表发送到所述业务服务器。在本发明所述的松耦合单点登录的实现方法中,所述步骤D)进一步包括如下步 骤
Dl)所述业务服务器依据所述关联列表生成登录链接,连接所述单点登录器; D2)所述单点登录服务器验证所述登录链接内容,并返回与所述登录链接内容相关的 关联;
D3)所述业务服务器验证所述关联内容,并存储该关联内容。在本发明所述的松耦合单点登录的实现方法中,还包括如下步骤用户在任意一 个业务服务器上注册时,所述单点登录服务器根据其存储的关联列表对用户在所述业务系 统中注册的用户名进行唯一性验证。在本发明所述的松耦合单点登录的实现方法中,所述关联列表内容包括具有关联 关系的单点登录服务器注册名称、业务服务器登录名称、业务服务器编号、关联关系的有效 时间长度及随机数。本发明还揭示了一种实现松耦合单点登录的系统,包括单点登录服务器和多个业 务服务器,所述单点登录服务器包括用于产生关联列表的关联生成装置和用于应答所述业 务服务器发出的、由转向链接产生的登录链接访问的转向链接应答装置;所述业务服务器 分别包括用于判断在所述业务服务器中是否有关联列表的判断装置和依据所述关联列表 生成转向链接的转向链接生成装置。在本发明所述的系统中,所述关联生成装进一步置包括用于取得所述用户在所 述单点登录服务器上注册的单点登录名称的单点登录名称取得单元、用于取得所述用户在所述业务服务器上注册的登录名称的业务登录名称取得单元和用于将所述业务服务器编 号、所述单点登录名称和所述业务服务器上注册的登录名称存储在同一关联列表内,并存 储所述关联列表的关联单元。在本发明所述的系统中,所述转向链接应答装置进一步包括用于查找所述单点 登录名称及所述业务服务器上注册的登录名称对应的关联列表的关联列表查找单元以及 用于将所述关联列表发送到所述业务服务器的关联列表发送单元。在本发明所述的系统中,所述单点登录服务器还包括用于根据其存储的关联列表 对用户在所述业务系统中注册的用户名进行唯一性验证的用户名称验证装置。在本发明所述的系统中,所述关联列表包括所述用户在所述单点登录服务器注册 的单点登录名称、所述用户在各业务服务器注册且与其他登录名称不重复的业务登录名 称、各业务服务器在所述单点登录服务器上的编号、关联关系的有效时间长度及随机数。实施本发明的松耦合单点登录的实现方法及其系统,具有以下有益效果由于单 点登录服务器将单点登录注册名称及其在各业务服务器上登录的本地登录名称关联并发 送到用户登录的业务服务器,各业务服务器据此产生转向链接,在用户再次请求登录其他 业务服务器时直接由上述单点登录服务器取得所述单点登录注册名称与该其他业务服务 器本地登录名称之间的对应关系,因此可以不需要每次都要在SSO Server端鉴权认证,这 样就极大的减轻了 SSO Server的压力,解除了对SSO Server的依赖。
图1是本发明松耦合单点登录的实现方法及其系统实施例实现方法中用户在各 业务服务器上首次登录的流程图2是所述实施例实现方法中用户再次登录业务服务器的流程图; 图3是所述实施例系统结构示意图; 图4是所述实施例系统中单点登录服务器结构示意图。
具体实施例方式下面将结合附图对本发明实施例作进一步说明。在本发明松耦合单点登录的实现方法及其系统实施例中,用户首先需要在系统中 的单点登录服务器注册以及在系统中的各业务服务器中以不同的本地登录名注册,用户同 时需要分别登录各业务服务器,便于在单点登录服务器中留下用户在不同的业务服务器中 的本地登录名称。这里所说的业务服务器与通常的、一般的服务器具有一定的区别,业务服 务器为实现一个单独的业务系统的服务器,其相对独立,具有独立的用户管理和权限管理、 以及内部的登录认证功能,业务系统通过SSO client API实现业务系统的切换功能。上述 业务服务器都有各自的数据库存放用户信息。其用户的注册,登录信息都是直接在业务系 统(位于上述相应的业务服务器上)中保存。在本实施例中,这些业务服务器包括iEPG、BMS、 CMS系统等等,其中每个业务系统在一个业务服务器上。当用户某一业务服务器A中登录在 系统中的其他任意某业务服务器B时,是以用户在该业务服务器A中注册的本地登录名称 来登录的,除了业务服务器A需要验证该本地登录名是已经注册的合法用户外,还需要验 证该本地登录名称对应的用户是否为已经在单点登录服务器注册的合法用户。因此,除了该业务服务器需要验证该本地登录名称外,还需要在上述单点登录服务器上验证该本地登 录名称对应的单点登录注册名称,所以业务服务器需要将在其上登录的用户的本地登录名 称发送到单点登录服务器,用于供单点登录服务器验证其是否为在单点登录服务器上注册 的用户。在本实施例中对于登录步骤的描述中,为简单起见,设置登录的用户都已在相应的 业务服务器注册。在本实施例中,用户登录业务服务器时需要输入其在该业务服务器上注册的本地 登录名称和密码,此时,该业务服务器首先需要判断该服务器中是否存在与该本地登录名 称有关的关联列表,如果有,表明该用户并非首次登录,其登录的步骤参见图2 ;如果没有, 表明该用户是首次登录,其登录步骤参见图1。在图1中,用户的登录包括如下步骤
步骤S201登录在本步骤中,用户向其希望登录的业务服务器提交注册的本地登录 名称和密码,请求登录到该业务服务器。步骤S202验证用户信息业务服务器由其自身具有的存储装置中(具体而言,是 该业务服务器所具有的数据库中)取出在该业务服务器上注册的登录名称,查找上述用户 提交的本地登录名称,并在找到该名称后验证其密码。步骤S203标记在本步骤中,当上述本地登录名称及其密码被验证后,业务服务 器对本次登录的信息做出标记。步骤S204验证用户在本步骤中,业务服务器将上述经过标记的登录信息发送 到单点登录服务器,用于供上述单点登录服务器验证该登录的用户是否在单点登录服务器 上注册。如果在单点登录服务器上查找不到该用户的注册名称,则该用户对于系统而言是 非法用户;如果找到该用户在上述单点登录服务器上的注册名,则将上述业务服务器编号、 该用户的单点登录用户名和该用户在业务服务器上注册的用户名存储在同一关联列表内, 也就是形成该客户的关联。此外,在本实施例中,用户每次注册一个业务系统的用户名时, 都会在单点登录服务器上添加该用户的单点登录用户名(即SSO-username)、该业务服务器 编号和该用户在该业务服务系统上注册的用户名,形成关联列表并保存该关联列表;这样, 在用户每次注册时,单点登录服务器都会根据关联列表对用户在业务系统中注册的用户名 进行唯一性验证,如果单点登录服务器发现存在相同的用户名,则不允许注册。步骤S205保存关联存储上述步骤中得到的关联,也就是将上述步骤中得到的 关联列表存储在单点登录服务器中;在本实施例中,将上述关联存储在所述单点登录服务 器的数据库中。步骤S206返回登录成功信息在本步骤中,单点登录服务器返回验证用户的结 果到业务服务器。步骤S207保存会话信息业务服务器存储上述会话信息,记录上述用户验证的结果。步骤S208生成转向链接在本步骤中,业务服务器生成转向链接。在本实施例 中,一个转向链接的例子如下http//ssoserver/validate. action SSOUserNam e=xxx&appName=xxx&timeout=xxx&token=xxx&securitycode=xxx (),其中 ssoserver 代表 单点登陆服务器地址,validate, action是请求的动作;?SSOUserName=xxx&appName=xxx&t imeout=xxx&token=xxx&securitycode=xxx 是发出这次请求所带的参数,SSOUserName 登 陆用户名,appName是应用名,timeout失效时长,token用户令牌,securitycode安全码(随机数)等等,在本实施例中,转向链接的作用是通过该链接可以成功转到相应的应用服 务器。步骤S209查询用户权限业务服务器通过上述转向链接,访问单点登录服务器, 由于上述转向链接中带有具体的登录名称,所以,在本步骤中,通过连接到单点登录服务器 来查询使用该登录名称的用户在上述业务服务器中的访问权限。步骤S210返回关联列表在本步骤中,单点登录服务器依据上述查询的用户权 限,得到该用户的关联列表,并将该关联列表返回到上述业务服务器。值得一提的是,一个 业务服务器自然不太可能只有一个用户登录,因此,一段时间之后,任何一个业务服务器都 需要保存从上述单点登录服务器返回的、多个用户的关联列表,这些多个关联列表在保存 在同一个业务服务器上,就形成了该服务器的本地列表。步骤S211保存访问链接业务服务器接收并保存上述关联列表,在本实施例中, 上述关联列表以访问链接的形式存储在该业务服务器中。其主要用于服务器验证用户信 息,然后保存用户状态和访问链接。步骤S212登录成功在本步骤中,业务服务器返回用户登录成功的信息。上述步骤描述了用户初次登陆业务服务器的流程,这些流程不仅验证了用户的登 录信息,而且,在此基础上,还形成了单点登录服务器上注册的登录名称及业务服务器上注 册的本地登录名称之间的关联列表,使得当该用户由已经进行了登录的其他业务服务器跳 转到该业务服务器时,可以直接依据这些数据生成登录链接,在上述单点登录服务器上直 接查找该本地登录名称对应的关联,并在该业务服务器上验证被单点登录服务器发送来的 信息,进而达到直接登录到另一业务服务器的效果。如图2所示,当用户由已经进行了登录 的其他业务服务器跳转到另一业务服务器时,其登录包括如下步骤
步骤S301发出登录请求在本步骤中,用户发出登录请求,该请求同样包括用户登录 该业务服务器的登录名称和密码。步骤S302生成登录链接业务服务器在查找到存储在其数据库中的关联列表 后,判断本次登录并不是该用户在该业务服务器上的首次登录,于是,依据上述关联列表生 成登录链接。步骤S303登录链接验证在本步骤中,业务服务器通过上述步骤中生成的登录 链接访问单点登录服务器,验证该登录链接,也就是验证该登录链接中的内容。步骤S306返回关联由于该用户并不是首先登录该业务服务器,因此,在单点登 录服务器中,存储有上次该用户访问该业务服务器时得到的关联列表,在本步骤中,单点登 录服务器就是依据登录链接的内容,查找到该关联列表,并将该关联列表发送到该业务服 务器。步骤S306验证信息业务服务器接收到上述关联后,虽然单点登录服务器已经 进行验证,但只是验证了关联,所以,在本步骤中,业务服务器还需要对上述登录请求进行 业务服务器登录信息的验证,即将用户输入的登录名称及密码与存储在该服务器数据库中 的登录名称及密码对照。步骤S307保存会话在本步骤中,业务服务器保存上述会话。当单点登录服务器 发送关联到业务服务器后,存储在本地的关联列表也需要更新。这一过程就是在本步骤中 完成的。
步骤S308转向登录成功在本步骤中,业务服务器返回用户登录成功的信息。由上述流程的描述可以看出,用户再次登录业务系统时其操作步骤较为简单。所 以,登录验证对于上述单点登录服务器的影响较小,依赖性也较低。在本实施例中,关联的内容并不是仅仅包括单点登录服务器注册名称、业务服务 器登录名称、业务服务器编号,作为一种较为灵活的设计,上述关联内容还可以包括其他参 数,例如关联关系的有效时间长度及随机数等等。通过上面的描述可知,当用户第一次请求登陆时,应用系统内部验证登陆信息,并 做标记,然后请求OSS krver验证,并保存这种关联关系(即SSO krver用户与应用系统 用户的关联关系),生成有效时长,随机数等信息,返回给应用系统,应用系统把这些信息保 存在会话当中,然后生成转向链接,到SSO krver端查询相关用户关联信息,然后保存带参 数的URL等转向链接信息列表,并返回用户登陆成功;当用户登陆成功后,在另一个系统再 次请求登陆时,应用系统生成登陆链接后,直接去OSS krver端查询关联关系,然后根据这 个关联关系,找到相应的用户,然后返回跳转URL,应用系统同样更新本地列表,然后返回登 陆成功。本发明还揭示了一种实现上述松耦合单点登录的系统,如图3所示,该系统包括 单点登录服务器和多个业务服务器,在图3中,应用系统01、应用系统02、应用系统03均为 业务服务器,而SSO krver为单点登录服务器,上述各服务器分别连接,且各服务器均设置 有数据库(图3中标记为DB部分),用于存储数据或参数,在本实施例中,上述数据库存储 登录名称、密码或关联表等等。在图3中,上述各应用系统中存储的登录名称、密码或关联 表在其各自存储的数据库中的具体的数据存储结构或其数据结构分别被示意性的显示在 图3中的各数据库(DB)之下的框中。在本实施例中,各业务服务器还分别包括依据关联生 成转向链接的转向链接生成装置(图中未示出)以及用于判断在业务服务器中是否有关联 列表的判断装置(图中未示出)。图4示出了本实施例中单点登录服务器的结构示意图,在图4中,单点登录服务器 4包括关联生成装置41、转向链接应答装置42、数据库43以及用户名称验证装置44 ;其中, 关联生成装置41、转向链接应答装置42以及用户名称验证装置44分别与数据库43连接, 便于其由数据库43中取得数据;关联生成装置41用于产生关联列表,其进一步包括单点 登录名称取得单元411、业务登录名称取得单元412以及关联单元413 ;在关联生成装置41 中,单点登录名称取得单元411用于取得用户在单点登录服务器4上注册的单点登录名称, 业务登录名称取得单元412用于取得用户在该业务服务器上注册的登录名称,而关联单元 413用于将该业务服务器编号、该用户单点登录名称和该用户在业务服务器上注册的登录 名称存储在同一关联列表内,并存储该关联列表。在关联列表中,其内容除了包括上述用户 在单点登录服务器4注册的单点登录名称、所述用户在各业务服务器注册且与其他登录名 称不重复的业务登录名称外,还包括各业务服务器在所述单点登录服务器上的编号、关联 关系的有效时间长度及随机数等。转向链接应答装置42用于应答所述业务服务器发出的、 由转向链接产生的登录链接访问;转向链接应答装置42进一步包括关联列表查找单元421 和关联列表发送单元422,其中关联列表查找单元421用于查找单点登录名称及所述业务 服务器上注册的登录名称对应的关联列表;而关联列表发送单元422用于将上述查找到的 关联列表发送到业务服务器的。
此外,在本实施例中,上述单点登录服务器4还包括用户名称验证装置44,用户名 称验证装置44用于根据其存储的关联列表对用户在所述业务系统中注册的用户名进行唯 一性验证,如该用户名是唯一的,则允许其注册,否则,不予注册。。以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并 不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员 来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保 护范围。因此,本发明专利的保护范围应以所附权利要求为准。
权利要求
1.一种松耦合单点登录的实现方法,其特征在于,包括如下步骤A)业务服务器获取用户发出的、对于其他业务服务器的登录请求;B)判断在所述业务服务器中是否有关联列表,如无,执行步骤C);如有,执行步骤D), 所述关联列表包括具有关联关系的单点登录服务器的用户名、业务服务器的用户名和业务 服务器编号;C)验证所述登录请求中用户信息的合法性,如通过则登录所述业务服务器,所述业务 服务器发送登录信息到单点登录服务器,验证用户,取得该用户对于所述业务服务器的关 联列表,生成并存储转向链接,并返回登录的结果;D)验证所述登录请求中用户信息的合法性,如通过则所述业务服务器发送由所述关联 列表而得的转向链接所生成的登录链接到所述单点登录服务器,查找所述用户与所述业务 服务器的关联列表并返回,更新所述业务服务器的本地列表,并返回登录的结果。
2.根据权利要求1所述的松耦合单点登录的实现方法,其特征在于,所述步骤C)进一 步包括如下步骤Cl)登录所述业务服务器,所述业务服务器验证所述登录信息并将其发送到所述单点 登录服务器;C2)所述单点登录服务器验证所述登录信息,形成关联,并返回所述业务服务器登录的结果;C3)所述业务服务器生成转向链接访问所述单点登录服务器,取得关联列表返回;C4 )所述业务服务器生成访问链接,并返回登录的结果。
3.根据权利要求2所述的松耦合单点登录的实现方法,其特征在于,所述步骤Cl)进一 步包括如下步骤CiD以在所述业务服务器注册的本地登录名称登录所述业务服务器;C12)所述业务服务器验证所述登录信息,对其做出标记;C13)所述业务服务器发送所述登录信息到所述单点登录服务器。
4.根据权利要求3所述的松耦合单点登录的实现方法,其特征在于,所述步骤C2)进一 步包括如下步骤C21)取得在所述单点登录服务器上注册的单点登录名称;C22)取得在所述业务服务器上注册的登录名称;C23)将所述业务服务器编号、所述单点登录名称和所述业务服务器上注册的登录名称 存储在同一关联列表内,并存储所述关联列表。
5.根据权利要求4所述的松耦合单点登录的实现方法,其特征在于,所述步骤C3)进一 步包括如下步骤C31)取出所述用户在其上注册的单点登录名称;C32)查找所述单点登录名称及所述业务服务器上注册的登录名称对应的关联列表;C33)将所述关联列表发送到所述业务服务器。
6.根据权利要求5所述的松耦合单点登录的实现方法,其特征在于,所述步骤D)进一 步包括如下步骤Dl)所述业务服务器依据所述关联列表生成登录链接,连接所述单点登录服务器;D2)所述单点登录服务器验证所述登录链接内容,并返回与所述登录链接内容相关的关联;D3)所述业务服务器验证所述关联内容,并存储该关联内容。
7.根据权利要求1-6任意一项所述的松耦合单点登录的实现方法,其特征在于,还包 括如下步骤在任意一个业务服务器上注册时,所述单点登录服务器根据其存储的关联列 表对用户在所述业务系统中注册的用户名进行唯一性验证。
8.根据权利要求7所述的松耦合单点登录的实现方法,其特征在于,所述关联列表还 包括关联关系的有效时间长度及随机数。
9.一种实现松耦合单点登录的系统,包括单点登录服务器和多个业务服务器,其特征 在于,所述单点登录服务器包括用于产生关联列表的关联生成装置和用于应答所述业务服 务器发出的、由转向链接产生的登录链接访问的转向链接应答装置;所述业务服务器分别 包括用于判断在所述业务服务器中是否有关联列表的判断装置和依据所述关联列表生成 转向链接的转向链接生成装置;所述关联列表包括具有关联关系的单点登录服务器的用户 名、业务服务器的用户名和业务服务器编号。
10.根据权利要求9所述的实现松耦合单点登录的系统,其特征在于,所述关联生成装 进一步置包括用于取得所述用户在所述单点登录服务器上注册的单点登录名称的单点登 录名称取得单元、用于取得所述用户在所述业务服务器上注册的登录名称的业务登录名称 取得单元和用于将所述业务服务器编号、所述单点登录名称和所述业务服务器上注册的登 录名称存储在同一关联列表内,并存储所述关联列表的关联单元。
11.根据权利要求10所述的实现松耦合单点登录的系统,其特征在于,所述转向链接 应答装置进一步包括用于查找所述单点登录名称及所述业务服务器上注册的登录名称对 应的关联列表的关联列表查找单元以及用于将所述关联列表发送到所述业务服务器的关 联列表发送单元。
12.根据权利要求10所述的实现松耦合单点登录的系统,其特征在于,所述单点登录 服务器还包括用于根据其存储的关联列表对用户在所述业务系统中注册的用户名进行唯 一性验证的用户名称验证装置。
13.根据权利要求9-12任意一项所述的实现松耦合单点登录的系统,其特征在于,所 述关联列表包括所述用户在所述单点登录服务器注册的单点登录名称、所述用户在各业务 服务器注册且与其他登录名称不重复的业务登录名称、各业务服务器在所述单点登录服务 器上的编号、关联关系的有效时间长度及随机数。
全文摘要
本发明涉及一种松耦合单点登录的实现方法,包括如下步骤首次登录业务服务器时,所述业务服务器发送登录信息到单点登录服务器,验证用户,取得该用户对于所述业务服务器的关联列表,生成并存储转向链接,并返回用户登录的结果;再次登录所述业务服务器时,所述业务服务器发送由所述转向链接生成的登录链接到所述单点登录服务器,查找所述用户与所述业务服务器的关联列表并返回,更新所述业务服务器的连接清单,并返回用户登录的结果。本发明还涉及一种实现松耦合单点登录的系统。实施本发明的松耦合单点登录的实现方法及其系统,具有以下有益效果减轻了SSOServer的压力,解除了对SSOServer的依赖。
文档编号H04L29/06GK102064941SQ20101050499
公开日2011年5月18日 申请日期2010年10月12日 优先权日2010年10月12日
发明者丁永峰 申请人:深圳市同洲电子股份有限公司