互信应用系统间身份认证系统的制作方法

互信应用系统间身份认证系统的制作方法
【技术领域】
[0001]本发明属于计算机应用学科领域，尤其是互信应用系统间身份认证系统。
【背景技术】
[0002]随着全球信息化和Internet技术的迅速发展，系统间的相互协作越来越多，统一管理互信应用系统是全球信息化发展的必然趋势。统一管理互信应用系统能够提供或整合互信应用系统内部的多种信息系统，并以统一的用户界面方式提供给用户，为企业的管理者、应用提供商和用户提供统一的服务接入点。
[0003]目前计算机及网络系统中采用单点登录(Single Sign_On，简称SSO)模型，解决用户在互信应用系统之间一次登录就能访问其他授权的应用系统的问题。单点登录认证有许多优越性，使用户不必记下过多的登录口令，间接减少了口令泄露的几率；减少了用户等待返回认证结果的时间，促进工作效率的提升；能够提高应用系统的安全性，减少安全风险。
[0004]身份认证就是证实用户真实身份的真实性。在现实系统中，每个成员都有一个与之对应的数字身份，凭借它来防止非法用户通过身份欺诈访问系统资源。身份认证中常用的安全技术包括密码技术、消息摘要、数字签名和数字证书等。
[0005]安全的身份认证是所有应用系统的入口，统一管理平台所整合的互信应用系统往往具有相对独立的身份认证和授权机制，这使得软件平台和用户必须面对安全机制的多样性和异构性，从而导致用户身份严重不一致，用户信息无法统一，系统授权管理复杂等问题。因此研宄设计出一种有效的、实用的且具有安全强度的互信应用系统间身份认证方法，具有重要的现实意义。

【发明内容】

[0006]本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种互信应用系统间身份认证系统。
[0007]本发明解决其技术问题所采用的技术方案是:一种互信应用系统间身份认证系统，包括:
用户管理模块，用于保存和维护用户信息，所述用户信息包括用户注册的账号和密码信息；
登录验证模块，用于验证由应用系统A发出的用户账号和密码的有效性；若验证通过，将账号和密码和应用系统A的标识包装为票根TGT (Ticket Granting Ticket)，并返回该票根TGT给应用系统A ;应用系统A为用户注册的应用系统；
所述应用系统A的标识为系统A的appKey和appSecret ；
获取票据模块，用于根据应用系统A发送的用户票根TGT、应用系统A的标识信息appKey和appSecret、用户需要访问的第三方互信应用系统B的服务URL包装为访问应用系统A的票据ST (Service Ticket)，并返回ST给应用系统A ;
其中应用系统A和应用系统B为互信系统，所述各互信应用系统以appKey作为自身的唯一标识，各互信应用系统通过标识信息appKey和appSecret确认对方身份，appSecret是与appKey对应的一个密钥；
验证票据模块，用于根据应用系统B提交的票据ST及应用系统B的标识信息appKey和appSecret验证票据ST的有效性；认证后，向应用系统B返回允许用户访问或禁止用户访问信息；所述应用系统B提交的票据ST由应用系统A提交给应用系统B ;
退出登录模块，用于销毁登录验证模块中利用账号和密码包装的票根TGT。
[0008]按上述方案，所述用户管理模块、登录验证模块、获取票据模块、验证票据模块、退出登录模块均采用Restful Web Services架构。
[0009]采用Restful Web Services架构显著的优势是:1)统一接口，就是指REST通过统一的链接接口对相应资源进行操作，这里的资源是指REST将网络上所有的信息都抽取成为某种资源。REST以URI来确定资源，其充分地发挥了 HTTP本身具备的分布式特性，将HTTP提供的四种基本方法(GET、POST、PUT及DELETE)分别对应资源的一种操作(查询、创建、修改及删除)；2)无状态性，即要求通信必须建立在无状态的基础之上，也就是每次request请求应该包含此次请求的所有信息。这样当此次request请求出现局部错误时，不会涉及到request历史，只需对当前的request进行相应的处理即可。同时，这样也有利于对资源的释放。当然，这是在需要发送相应的重复数据开销的基础上得到的，有时会对效率产生影响。
[0010]按上述方案，所述用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用户删除服务在内的功能。
[0011]按上述方案，所述登录验证模块、获取票据模块、验证票据模块、退出登录模块中，在各互信应用系统间传递票据均使用单点登录系统中的票据机制。
[0012]传递票据的过程包括:登录验证模块提交账号、密码、所属应用系统标识到认证系统，获取绑定用户信息的TGT (Ticket Granting Ticket)票根；获取票据模块提交TGT票根、所访问应用系统标识到认证系统，获取访问应用系统票据ST (Service Ticket);验证票据模块提交票据ST、应用系统标识到认证系统，验证用户是否具有访问权限；退出登录模块销毁TGT。
[0013]按上述方案，所述每个应用系统配备的标识appKey为互信应用系统间的唯一标识，身份认证系统与各应用系统共享该标识信息。
[0014]按上述方案，所述获取票据模块产生的票据ST有效期为60秒，并在验证票据模块中验证成功后即失效。
[0015]本发明产生的有益效果是:
1.互信应用系统间的身份认证采用票据机制，票据在应用系统间的传递和共享不会使用户的账号和密码等敏感信息明文传递，即互信应用系统间无需使用用户的账号和密码就可以完成身份认证。
[0016]2.互信应用系统间的身份认证方法采用Restful Web Services架构，通过URL就可以定位相应REST资源，并对其进行相应的CRUD操作，使信息资源的处理变得更加简单，使用HTTPS协议保证认证过程的安全性。因此，C/S架构、B/S架构软件均可使用该认证系统完成互信应用系统间的身份认证。
【附图说明】
[0017]下面将结合附图及实施例对本发明作进一步说明，附图中:
图1是本发明实施例的结构示意图。
【具体实施方式】
[0018]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
[0019]如图1所示，一种互信应用系统间身份认证系统，包括:
用户管理模块，用于保存和维护用户信息，所述用户信息包括用户注册的账号和密码信息；
用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用