后返回给用户一个OpenAM的token。如果请求中包含token,则首先认证OpenAM的token是否正确,如果正确,则认为keystone也通过认证。同样获取第二认证系统即key stone用户信息,再获取keys tone的token,步骤同上。如果OpenAM没有此token,则需要去keystone去检测是否符合token认证,如果符合则保存token到OpenAM的token认证库中,以能够下次不用去key stone中进行token认证。如果key stone认证不通过,则本次认证失败。认证流程可以参考图2所示,图2为本发明实施例所提供的Opens tack系统集成的认证方法的流程示意图。
[°09°]即其他系统和keystone保护的Openstack的集成,包括几个部分。部署第一认证系统即OpenAM节点后,连接第二认证系统即keystone节点,获取keystone的用户信息保存到O P e n A M本地库;安装映射策略,其他系统用户信息到k e y s t ο n e用户信息的映射;安装sess1n 的hash 缓存。
[0091 ] 对混合包含Keystone认证和其他认证的系统集成时,可以选择OpenAM和Keystone的混合认证方法,这样可以满足不同认证模型的需求,又可以把系统集成的成本降到最低。构建一个token映射机制和一个缓存机制,可以高效的实现token的管理,进一步实现快速的认证。可以方便、高效的实现key stone保护的资源,如Openstack的资源,和其他系统的集成,可以有效的管理和保护Openstack的资源和业务系统的资源,而且实现比较简单高效,从而达到与Openstack系统集成的目的。
[0092]基于上述技术方案,本发明实施例所提供的系统集成的认证方法,该方法通过其他系统的第一认证系统和系统的第二认证系统的联合认证,完成对集成系统的共同认证,具体可以通过联合身份验证获得第一认证系统及第二认证系统的对应映射令牌,并返回用户第一认证系统的令牌,用户可以通过该令牌通过第一认证系统的认证,并通过该令牌对应的第二认证系统的令牌通过第二认证系统的认证,即可以在系统集成时,完成公同认证。
[0093]基于上述实施例,所述完成认证之后该方法还可以包括:
[0094]接收用户发送的资源访问请求及第一令牌;
[0095]利用所述第一认证系统验证所述第一令牌是否正确;
[0096]若所述第一令牌正确,则查找所述第一令牌对应的第二令牌,并将所述第二令牌及所述资源访问请求发送给资源系统;
[0097]利用所述第二认证系统验证所述第二令牌是否正确;
[0098]若所述第二令牌正确,则将所述资源访问请求对应的资源地址返回给用户。
[0099]该过程是利用上述方法生产对应的两个令牌之后,利用第一令牌进行资源访问请求的过程。
[0100]其中,仍然以上述实施例中举得例子进行本过程的说明,当有用户请求发送到OpenAM时,需要访问key stone和OpenAM共同保护的资源时,OpenAM首先认证,然后获取资源,返回给用户。请参考图3,具体过程如下:
[0?0? ] 用户user携带token来访问key stone保护的资源。OpenAM节点首先会去hash缓存中去认证OpenAM的token,如果认证失败,则拒绝访问key stone保护的一切资源。如果认证通过,则OpenAM的转换模块,修改请求头的token为keystone的token,转发该请求到相应的资源节点上即通过第一令牌得到第二令牌,利用得到的第二令牌进行Openstack资源访问请求。OpenAM节点获取keystone保护的资源地址后,重新生成新的响应,包含资源地址信息等,返回给客户端。这里Op en AM节点也起到了一个反向代理的功能。这样资源被Op en AM和keystone共同管理,达到了统一认证和管理的目的,也就和Openstack进行了统一集成。访问OpenAM和key s tone共同保护的资源流程如图3所示。可以方便、高效的实现key stone保护的资源,如Openstack的资源,和其他系统的集成,可以有效的管理和保护Openstack的资源和业务系统的资源,而且实现比较简单高效,从而达到与Openstack系统集成的目的。
[0102]基于上述技术方案,本发明实施例所提供的系统集成的认证方法,该方法通过其他系统的第一认证系统和系统的第二认证系统的联合认证,完成对集成系统的共同认证,具体可以通过联合身份验证获得第一认证系统及第二认证系统的对应映射令牌,并返回用户第一认证系统的令牌,用户可以通过该令牌通过第一认证系统的认证,并通过该令牌对应的第二认证系统的令牌通过第二认证系统的认证,即可以在系统集成时,完成公同认证;且可以方便、高效的实现第二认证系统所保护的资源,如Openstack的资源,和其他系统的集成,可以有效的管理和保护系统的资源和业务系统的资源,而且实现比较简单高效,从而达到与系统与其他系统集成的目的。
[0103]本发明实施例提供了系统集成的认证方法,该方法能够在系统集成时,完成公同认证。
[0104]下面对本发明实施例提供的系统集成的认证系统进行介绍,下文描述的系统集成的认证系统与上文描述的系统集成的认证方法可相互对应参照。
[0105]请参考图4,图4为本发明实施例所提供的系统集成的认证系统的结构框图;该系统可以包括:
[0106]接收模块100,用于接收用户发送的认证信息,并判断所述认证信息中是否含有令牌;
[0107]第一认证模块110,用于若未含有,则根据所述认证信息,利用第一认证系统进行用户身份认证,若用户身份认证通过,则生成第一令牌及对应的第二令牌,并返回用户所述第一令牌,完成认证;
[0108]第二认证模块120,用于若含有,则利用所述第一认证系统认证所述令牌是否是第一令牌,若是第一令牌,则生成与所述第一令牌对应的第二令牌,完成认证;
[0109]第三认证模块130,用于若不是第一令牌,则利用第二认证系统认证所述令牌是否是第二令牌,若是第二令牌,则生成与所述第二令牌对应的第一令牌,并返回用户生成的所述第一令牌,完成认证。
[0110]可选的,所述第一认证模块110可以包括:
[0111]身份认证单元,用于根据所述认证信息,利用第一认证系统进行用户身份认证;
[0112]用户信息获取单元,用于若用户身份认证通过,则在所述第一认证系统获取用户身份对应的所述第二认证系统的用户信息;
[0113]令牌单元,用于利用所述第二认证系统的用户信息获取对应的第二令牌,并将所述第二令牌返回给所述第一认证系统,所述第一认证系统根据接收到的所述第二令牌,生成对应的第一令牌;
[0114]保存单元,用于将所述第一令牌和所述第二令牌映射保存。
[0115]基于上述实施例,该系统还包括:
[0116]连接单元,用于利用所述第一认证系统将所述第二认证系统的用户信息和所有的用户信息进行链接;
[0117]获取单元,用于所述第一认证系统通过所述第二认证系统开放的接口,获取所述第二认证系统的用户信息,并保存到所述第一认证系统的用户信息库中;
[0118]映射单元,用于通过所述第一认证系统的策略机制,映射其他系统的用户信息到所述第二认证系统的用户信息。
[0119]可选的,所述保存单元包括:
[0120]保存子单元,用于将所述第一令牌和所述第二令牌存放到sess1n对象中;将所述sess1n对象进行hash缓存。
[0121]基于上述任意实施例,请参考图5,该系统还可以包括:
[0122]请求模块200,用于接收用户发送的资源访问请求及第一令牌;
[0123]第一验证模块210,用于利