一种多网段多系统单点登录方法

一种多网段多系统单点登录方法
【技术领域】
:
[0001]本发明涉及一种单点登录方法，更具体涉及一种多网段多系统单点登录方法。
【背景技术】
:
[0002]单点登录(Single Sign On, SSO),是指基于用户/会话认证的一个过程,用户只需一次性提供凭证(仅一次登录)，就可以访问多个应用。目前单点登录主要是基于Web的多种应用程序，即通过浏览器实现对多个B/S架构应用的统一账户认证。
[0003]单点登录方案有效整合现有业务系统，解决多个业务系统的用户统一认证问题，实现单点登录及访问控制，并采用相关的安全机制增强用户身份认证过程的安全性。在某些特定领域，出于信息安全的考虑，会将所辖网络分为内网和外网，甚至分成多个网段。例如，国家电网调度中心的多个应用系统服务于不同网段的用户群，因此需要实现多个应用针对于不同网段的统一登录。
[0004]商业SSO —般适用于客户对SSO的需求很高，但商业SSO软件除了价格问题外，另一个重要问题就是对客户自己的应用系统支持未必十分完善；开源SSO基本不能满足对内外网及多网段应用统一登录的需求。故提出一种多网段多系统单点登录方法，以解决上述问题。

【发明内容】

:
[0005]本发明的目的是提供一种多网段多系统单点登录方法，该方法减少系统冗余操作，降低实施部署难度，节省硬件资源成本。
[0006]为实现上述目的，本发明采用以下技术方案:一种多网段多系统单点登录方法，所述方法基于CAS实现；所述CAS包括CAS服务器和CAS客户端；所述方法包括以下步骤:
[0007](I)用户浏览器访问CAS客户端；
[0008](2)重新定向到CAS服务器；
[0009](3)用户认证；
[0010](4)重定向到CAS客户端并发送认证参数；
[0011](5)确认登录成功；
[0012](6)登录成功后，重定向到请求地址。
[0013]本发明提供的一种多网段多系统单点登录方法，所述步骤(I)通过进入CAS的登录界面访问所述CAS客户端；所述登录界面通过启动其应用程序进入。
[0014]本发明提供的一种多网段多系统单点登录方法，所述CAS的登录界面要求用户输入用户名和密码。
[0015]本发明提供的另一优选的一种多网段多系统单点登录方法，所述步骤(3)通过所获得的用户名和密码，在认证机制进行认证。
[0016]本发明提供的再一优选的一种多网段多系统单点登录方法，当用户已经成功地登录CAS时,所述CAS向浏览器送回一个内存cookie ;所述cookie并不是真的保存在内存中，而是当所述浏览器一关闭，所述cookie就自动过期。
[0017]本发明提供的又一优选的一种多网段多系统单点登录方法，当用户认证成功后，所述CAS服务器创建一个随机生成的字符串Ticket ;所述CAS将所述ticket、成功登录的用户和用户申请的服务联系在一起。
[0018]本发明提供的又一优选的一种多网段多系统单点登录方法，所述ticket是一次性使用的凭证，它只对成功登录的用户及其服务使用一次，使用过以后立刻失效。
[0019]本发明提供的又一优选的一种多网段多系统单点登录方法，所述步骤(4)中所述CAS客户端在从其应用程序转向CAS的时候，根据其客户端请求来源，会将子系统的地址，转化为相应网段的地址URL来提交认证，并且将此URL记录起来；当CAS重定向的时候，将所述ticket作为一个参数传递回应用程序。
[0020]本发明提供的又一优选的一种多网段多系统单点登录方法，所述步骤(5)通过所述参数验证是否成功登录；当所述应用程序收到ticket之后，需要验证ticket ;所述ticket是通过传递给CAS服务器提供的URL来实现校验的。
[0021]本发明提供的又一优选的一种多网段多系统单点登录方法，是所述CAS获得ticket后，通过CAS服务器对其进行判断:如果判断所述ticket是有效的，则返回一个标识给其应用程序；随后CAS将ticket作废，并且在客户端留下一个cookie ;其他应用程序就使用该cookie进行认证,而不再需要输入用户名和密码。
[0022]和最接近的现有技术相比，本发明提供技术方案具有以下优点:
[0023]1、本发明减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性；
[0024]2、本发明实现安全的同时避免了处理和保存多套系统用户的认证信息；
[0025]3、本发明减少了系统管理员增加、删除用户和修改用户权限的时间；
[0026]4、本发明增加了安全性:系统管理员有了更好的方法管理用户，例如可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限；
[0027]5、本发明对需要统一认证的各子系统没有侵入性，同时不需要额外的编程；
[0028]6、本发明有较好的扩展性，支持多种认证机制及加密算法；通过系统相关命令自定义证书，能将普通的传输协议转化为更安全的https协议。
【附图说明】
[0029]图1为本发明的方法流程图。
【具体实施方式】
[0030]下面结合实施例对发明作进一步的详细说明。
[0031]实施例1:
[0032]如图1所示，本例的发明一种多网段多系统单点登录方法，所述方法基于CAS实现；该单点登录分为“服务端(CAS Server)”和“客户端(CAS Client)”。服务端为单点登录服务器，而客户端是类库插件包。使用单点登录的应用程序，需要把客户端类库插件包集成到自己的系统中。单点登录的客户端通常简单实现插件包提供的认证接口，替换了原来应用程序的认证部分代码。
[0033]某个应用程序首先要发起第一次认证的情况下，应用程序中嵌入的客户端类库包会把应用程序原来的登录画面拦截掉，而直接转到单点登录服务器的登录页面；输入正确的用户名和密码后即可进入原应用程序系统，其他子系统在该客户端亦可直接访问。
[0034]安全性:
[0035]电网相关的软件系统往往需要较高的安全性。应用多网段多系统单点登录实现方案用户只须在单点登录服务器输入正确的用户名和密码，服务端生成用户登录的唯一凭证ticket，在客户端浏览器与各子系统及认证服务器之间，通过ticket校验与通讯，并不会直接传输用户的相关信息，安全性相对较高。
[0036]原理:1个 cookie+N 个 sess1n
[0037]点登录服务器会在客户端创建一个加密的Cookie