一种应用系统的访问方法及装置与流程

本发明涉及多系统登录访问技术领域，尤其涉及一种快速安全访问应用系统的单点登录实现方案。

背景技术：

随着信息技术和网络技术的迅猛发展，企业内部的需求越来越多，应用系统也越来越多，网络的复杂程度也相应的增加，给企事业单位带来了许多的不便。企业的信息化过程是一个循序渐进的过程，在企业各个业务网站逐步建设的过程中，根据各种业务信息水平的需要构建了相应的应用系统，由于这些应用系统一般是在不同的时期开发完成的，各应用系统由于功能侧重、设计方法和开发技术都有所不同，也就形成了各自独立的用户库和用户认证体系；比如在许多公司信息化建设过程中，统计业务常用的应用系统就有规划设计系统、数据采集系统、数据分析与处理系统、综合数据分析应用系统、统计业务辅助系统、邮件系统、it服务管理系统、统计网站系统等系统；由于这些系统相互独立，拥有独立的用户名和密码，用户在使用每个因公系统之前都必须按照相应的系统身份进行登录，为此用户需要记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性也会增加，收到非法截获和破坏的可能性增大，安全性降低，多个用户名密码也极易记混，如果忘记或记错了某一个业务网站的用户名或密码就无法进行登录，耽误工作，影响工作效率，严重影响信息化带来快捷性和高效性。

此外，多个应用平台就有多个用户管理，这也为系统管理员维护人员系统带来巨大的工作量，并且随着局内信息化进程的推进还会有新的应用系统产生。

技术实现要素：

本文提供一种应用系统的访问方法及装置，可以解决登录多个应用系统时系统切换及登录繁琐的问题。

本文公开了一种应用系统的访问方法，包括：

接收到用户发起的应用系统访问请求时，代理服务器将所述访问请求对应的身份认证信息发送至预先配置的统一身份认证管理平台进行身份认证；

仅当所述访问请求对应的身份认证信息通过预先配置的统一身份认证管理平台的身份认证时，将所述访问请求发送到对应的应用系统进行认证登录。

可选地，上述方法还包括：

当所述访问请求对应的身份认证信息未通过预先配置的统一身份认证管理平台的身份认证时，拦截所述访问请求。

可选地，上述方法中，所述访问请求对应的身份认证信息包括用户登录验证及其请求访问的应用系统的标识信息。

可选地，上述方法中，所述当所述访问请求对应的身份认证信息通过预先配置的统一身份认证管理平台的身份认证时，将所述访问请求发送到对应的应用系统进行认证登录包括：

所述统一身份认证管理平台在本地查询所述访问请求对应的用户登录验证信息及请求访问的应用系统的标识信息，若查询到所述用户登录验证信息，并与请求访问的应用系统的标识信息相匹配，则通过身份认证；

在本地查询所述访问请求对应的应用系统的标识信息对应的资源地址，将所述访问请求发送到该资源地址。

可选地，上述方法还包括：

所述统一身份认证管理平台按照管理员指令对本地存储的身份认证信息进行管理操作，并通过webservice接口将管理操作后的身份认证信息与对应的应用系统进行同步；

其中，所述管理操作包括如下一种或几种：

增加、删除、修改。

可选地，上述方法中，所述代理服务器为apachehttpserve服务器。

本文还公开了一种应用系统的访问装置，包括代理服务器和统一身份认证管理平台，其中：

所述代理服务器，在接收到用户发起的应用系统访问请求时，将所述访问请求对应的身份认证信息发送至所述统一身份认证管理平台；

所述统一身份认证管理平台，对所述访问请求对应的身份认证信息进行身份认证，仅在所述访问请求对应的身份认证信息通过身份认证时，将所述访问请求发送到对应的应用系统进行认证登录。

可选地，上述装置中，所述统一身份认证管理平台，在所述访问请求对应的身份认证信息未通过预先配置的统一身份认证管理平台的身份认证时，拦截所述访问请求。

可选地，上述装置中，所述访问请求对应的身份认证信息包括用户登录验证及其请求访问的应用系统的标识信息。

可选地，上述装置中，所述统一身份认证管理平台，对所述访问请求对应的身份认证信息进行身份认证包括：

所述统一身份认证管理平台在本地查询所述访问请求对应的用户登录验证信息及请求访问的应用系统的标识信息，若查询到所述用户登录验证信息，并与请求访问的应用系统的标识信息相匹配，则通过身份认证；

将所述访问请求发送到对应的应用系统进行认证登录包括：

在本地查询所述访问请求对应的应用系统的标识信息对应的资源地址，将所述访问请求发送到该资源地址。

可选地，上述装置中，所述统一身份认证管理平台，按照管理员指令对本地存储的身份认证信息进行管理操作，并通过webservice接口将管理操作后的身份认证信息与对应的应用系统进行同步；

其中，所述管理操作包括如下一种或几种：

增加、删除、修改。

可选地，上述装置中，所述代理服务器为apachehttpserve服务器。

本申请技术方案运用apachehttpserve服务器和统一身份认证平台设计了一种快速安全访问应用系统的单点登录方案，尤其适用于具有多个业务系统的政府以及企事业单位，要频繁切换各个系统的工作需求，保证各系统间人员同步，解决了频繁的系统切换，繁琐的用户名密码记忆问题；增高了工作效率，做到了“一点登录，处处可达”的效果，让用户体验到单点登录带来的极大方便和快捷。并且通过平台人员管理界面及webservice接口实现了系统间人员统一管理，降低了系统维护成本，

附图说明

图1是本发明实施例中应用系统的访问方法流程图；

图2是本发明实施例中应用系统的访问原理示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文将结合具体实施方式对本发明技术方案作进一步详细说明。需要说明的是，在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

本申请发明人提出，需要建立一套统一的、完善的、科学的单点登录系统，每个用户只需记录一个用户名密码，登录一个平台后即可实现各应用系统的透明跳转，而且实行统一的用户信息管理系统，系统管理员只需维护一套人员信息，更改信息通过平台接口同步更新至各个应用系统，实现人员系统单次维护全公司同步变更，从而大大提高工作效率。

基于上述思想，本实施例提供一种应用系统的访问方法，如图1所示，主要包括如下步骤：

步骤100，接收到用户发起的应用系统访问请求，代理服务器将访问请求对应的身份认证信息发送至预先配置的统一身份认证管理平台；

访问请求对应的身份认证信息至少包括用户登录验证及其请求访问的应用系统的标识信息(例如应用系统的id或名称等标识信息)。

步骤200，统一身份认证管理平台对访问请求对应的身份认证信息进行身份认证，判断是否通过认证，如果通过，进入步骤300，否则该拦截访问请求；

该步骤中，主要是在统一身份认证管理平台本地查询访问请求对应的用户登录验证及其请求访问的应用系统的标识信息，如果查询到此用户登录验证信息，并且该验证信息与请求访问的应用系统也是相匹配的，则认为是通过了身份认证。

步骤300，将该访问请求发送到对应的应用系统进行认证登录。

在上述方法实施之前，可以预先部署httpapacheserve代理服务器，以及配置代理服务器进行认证的统一身份认证管理平台，统一身份认证管理平台中还配置有各应用系统的地址数据库。

另外，还可以根据应用系统的接口标准，本文提供webservice接口，实现统一身份认证管理平台对用户增加、删除和修改操作后，触发接口，与对应的应用系统进行人员信息的同步。其中，统一身份认证管理平台仅对管理员开放操作权限，以保证系统安全性。

本实施例还提供一种应用系统的访问装置，主要包括代理服务器和统一身份认证管理平台。

代理服务器，在接收到用户发起的应用系统访问请求时，将访问请求对应的身份认证信息发送至所述统一身份认证管理平台；

统一身份认证管理平台，对访问请求对应的身份认证信息进行身份认证，仅在访问请求对应的身份认证信息通过身份认证时，将访问请求发送到对应的应用系统进行认证登录。

如果，统一身份认证管理平台，对访问请求对应的身份认证信息进行身份认证时，未通过身份认证，则要拦截访问请求。

具体地，访问请求对应的身份认证信息可以包括用户登录验证及其请求访问的应用系统的标识信息。相应地，统一身份认证管理平台的认证原理如下，即统一身份认证管理平台在本地查询访问请求对应的用户登录验证信息及请求访问的应用系统的标识信息，若查询到此用户登录验证信息，并且与所请求访问的应用系统的标识信息相匹配(即此用户登录验证信息是针对该应用系统的登录信息)，则通过身份认证。之后，统一身份认证管理平台，在本地查询访问请求对应的应用系统的标识信息对应的资源地址，将访问请求转发到该资源地址即可。

下面结合附图说明上述方案的具体实施过程。

实际应用中，可以运用apachehttpserver网页服务器作为代理服务器，是请求资源(即访问多应用系统)的统一入口，代理服务器接收到访问请求先去统一身份认证管理平台进行身份认证。

具体地，本申请方案中预先配置工作过程如下：

首先，部署统一身份认证管理平台，该平台用于用户授权登录管理及人员信息同步任务。该平台可以是一个web应用程序，使用拦截器拦截任意未通过认证的用户发送来得请求，即根据请求的根路径判断请求是否受平台管理，如果地址不受平台管理，系统不做处理，只需要拦截；如果地址受平台管理，平台从请求中获取cookie，即当前访问用户和唯一token标识符。判断用户是否已经登录，若用户已登录找到其请求登录的应用系统的正确资源地址，发送请求到应用系统(包括业务系统)，请求资源。若用户没有登录，则转到统一登录页面让用户登录，登录成功后将用户信息和系统自动生成的一串唯一标识符字符串称为token保存在平台并将用户及token信息封装到cookie里面返给浏览器客户端，用户每次发起请求都会带有cookie值，这样平台每次获取到新的请求就从请求中读取到cookie值判断用户是否登录成功。此登录过程如图2所示。

其次，在统一身份认证管理平台配置应用系统地址数据库，以便在用户身份验证后，能够转发到正确的资源地址，请求资源给用户。这步操作主要是将应用系统的名称、地址、端口及访问根目录信息存储到平台。数据库表结构设计，见表1。

表1为统一身份认证管理平台业务系统地址表结构

然后，部署apachehttpserver，配置资源(即各应用系统)和统一身份认证管理平台的对应关系，即请求的资源(请求访问的应用系统)通过统一身份认证管理平台，进行身份认证。通过访问apache服务器上配置的资源根目录，找到对一个的资源地址(即所要访问的应用系统的地址)，请求会被转发到对应的应用系统，去认证，认证通过后，从数据库读取正确的地址并在请求头中设置用户名，向应用系统地址发起请求，具体配置如下。

最后，应用系统接口收到访问请求后，从请求头里，获取用户登录账号，并将此账号和应用系统数据库里的用户比对，如果用户存在，则成功登录应用系统，获取请求资源返给用户，如果用户不存在，请求失败。

除此之外，还有用户同步。统一身份认证管理平台，存在人员管理的统一界面，管理员在统一身份认证管理平台创建修改或者删除用户后，系统自动调用应用系统的webservice人员信息同步接口，将信息传递给业务系统进行用户同步，当管理人员在平台发生增加、删除以及修改时，就会触发同步操作，做到用户信息实时更新。接口字段以xml形式同步，具体规范如下。

要说明的是，本文中所涉及的应用系统为泛指，包括各种应用程序、业务系统等。

从上述实施例可以看出，本申请技术方案采用代理服务器(例如apachehttpserver)作为资源的统一访问入口、统一身份认证及用户管理平台作为认证的唯一途径。本申请技术方案的有益之处具有如下几点：

(1)减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性，提高工作效率。

(2)运用代理服务器(例如apache服务器)保证了实现的安全，用户统一管理同时避免了处理和保存多套系统用户的认证信息。

(3)减少了系统管理员增加、删除用户和修改用户权限的时间，节省了运维成本。

(4)增加了安全性：系统管理员有了更好的管理用户方案，包括可以通过直接禁止或删除用户来取消该用户对所有系统资源的访问权限等。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。

以上所述，仅为本发明的较佳实例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。