,其中保存了用户登录的信息,供所有子应用在登录时使用。如果用户此时希望进入其他Web应用程序,则集成在这些应用程序中的单点登录客户端,首先仍然会重定向到CAS服务器。不过此时CAS服务器不再要求用户输入用户名和密码,而是首先自动寻找Cookie,根据Cookie中保存的信息,进行登录。成功校验之后,CAS重定向回到用户的应用程序,各应用程序通过客户端浏览器创建和使用自己的Sess1n。
[0038]CAS登录时处理:
[0039]?应用程序一开始,通常跳过原来的登陆界面,而将登录拦截到CAS的登录界面(如果用户喜欢的话,也可以手工直接进入CAS的登录界面,先进行登录,在启动其他的应用程序)。
[0040].CAS的登录界面处理所谓的“主体认证”。它要求用户输入用户名和密码,就像普通的登录界面一样。
[0041]?主体认证时,CAS获取用户名和密码,然后通过某种认证机制进行认证。通常认证机制是LDAP (或者使用一些标准的认证方法,例如LDAP或者数据库等),在协同平台中采用自定义加密算法结合数据库进行认证。
[0042]?为了进行以后的单点登录,CAS向浏览器送回一个所谓的“内存cookie”。这种cookie并不是真的保存在内存中,而只是浏览器一关闭,cookie就自动过期。这个cookie称为“ticket-granting cookie” (即TGC),用来表明用户已经成功地登录。
[0043]?认证成功后,CAS服务器创建一个很长的、随机生成的字符串,称为“Ticket”。随后,CAS将这个ticket和成功登录的用户,以及服务联系在一起。这个ticket是一次性使用的一种凭证,它只对登录成功的用户及其服务使用一次。使用过以后立刻失效。
[0044]?主体认证完成后,CAS将用户的浏览器重定向,回到原来的应用。CAS客户端,在从应用转向CAS的时候,根据客户端请求来源,会将子系统的地址,转化为相应网段的地址URL来提交认证,并且将此URL记录起来,因此CAS知道谁在调用自己。CAS重定向的时候,将ticket作为一个参数传递回去。
[0045]?收到ticket之后,应用程序需要验证ticket。这是通过将ticket传递给一个校验URL来实现的。校验URL也是CAS服务器提供的。
[0046].CAS通过校验路径获得了 ticket之后,通过服务器内部对其进行判断。如果判断为有效,则返回一个标识给应用程序。
[0047]?随后CAS将ticket作废,并且在客户端留下一个cookie。
[0048]以后其他应用程序就使用这个cookie进行认证,而不再需要输入用户名和密码。
[0049]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员尽管参照上述实施例应当理解:依然可以对本发明的【具体实施方式】进行修改或者等同替换,这些未脱离本发明精神和范围的任何修改或者等同替换,均在申请待批的本发明的权利要求保护范围之内。
【主权项】
1.本方法是一种多网段多系统单点登录方法,所述方法基于CAS实现;所述CAS包括CAS服务器和CAS客户端;其特征在于:所述方法包括以下步骤: (1)用户浏览器访问CAS客户端; (2)重新定向到CAS服务器; (3)用户认证; (4)重定向到CAS客户端并发送认证参数; (5)确认登录成功; (6)登录成功后,重定向到请求地址。2.如权利要求1所述的一种多网段多系统单点登录方法,其特征在于:所述步骤(I)通过进入CAS的登录界面访问所述CAS客户端;所述登录界面通过启动其应用程序进入。3.如权利要求2所述的一种多网段多系统单点登录方法,其特征在于:所述CAS的登录界面要求用户输入用户名和密码。4.如权利要求3所述的一种多网段多系统单点登录方法,其特征在于:所述步骤(3)通过所获得的用户名和密码,在认证机制进行认证。5.如权利要求4所述的一种多网段多系统单点登录方法,其特征在于:当用户已经成功地登录CAS时,所述CAS向浏览器送回一个内存cookie ;所述cookie并不是真的保存在内存中,而是当所述浏览器一关闭,所述cookie就自动过期。6.如权利要求5所述的一种多网段多系统单点登录方法,其特征在于:当用户认证成功后,所述CAS服务器创建一个随机生成的字符串Ticket ;所述CAS将所述ticket、成功登录的用户和用户申请的服务联系在一起。7.如权利要求6所述的一种多网段多系统单点登录方法,其特征在于:所述ticket是一次性使用的凭证,它只对成功登录的用户及其服务使用一次,使用过以后立刻失效。8.如权利要求7所述的一种多网段多系统单点登录方法,其特征在于:所述步骤(4)中所述CAS客户端在从其应用程序转向CAS的时候,根据其客户端请求来源,会将子系统的地址,转化为相应网段的地址URL来提交认证,并且将此URL记录起来;当CAS重定向的时候,将所述ticket作为一个参数传递回应用程序。9.如权利要求8所述的一种多网段多系统单点登录方法,其特征在于:所述步骤(5)通过所述参数验证是否成功登录;当所述应用程序收到ticket之后,需要验证ticket ;所述ticket通过传递给CAS服务器提供的URL来实现校验的。10.如权利要求9所述的一种多网段多系统单点登录方法,其特征在于:所述CAS获得ticket后,通过CAS服务器对其进行判断;如果判断所述ticket是有效的,则返回一个标识给其应用程序;随后CAS将ticket作废,并且在客户端留下一个cookie ;其他应用程序就可以使用该cookie进行认证,而不再需要输入用户名和密码。
【专利摘要】本发明涉及一种多网段多系统单点登录方法,所述方法基于CAS实现;所述CAS包括CAS服务器和CAS客户端;所述方法包括以下步骤:用户浏览器访问CAS客户端;重新定向到CAS服务器;用户认证;重定向到CAS客户端并发送认证参数;确认登录成功;登录成功后,重定向到请求地址。本发明方法可以减少用户在不同系统中登录耗费的时间,减少用户登录出错的可能性;实现安全登录的同时也避免了处理和保存多套系统用户认证信息的情况。
【IPC分类】H04L29/08, H04L29/06
【公开号】CN105592026
【申请号】CN201410645753
【发明人】臧主峰, 刘琳, 李勤新, 翟媛媛, 陈勇, 潘志敏, 李明节, 常青, 李尹, 李亚楼, 田芳
【申请人】国家电网公司, 中国电力科学研究院, 国网浙江省电力公司
【公开日】2016年5月18日
【申请日】2014年11月14日