本发明涉及一种统一认证系统的设计方法,尤其涉及一种基于cookie的统一认证系统的设计方法。
背景技术:
当前,各个企业出现了许多不同的业务应用系统,如邮件系统、办公自动化系统等,如何安全和方便地认证用户并控制其访问权限成为系统设计中首要考虑的问题。在网络环境中,只有通过身份认证的用户才能访问网络中的资源。单点登录(singlesign-on,sso)提供了一种机制,让网络环境中不同的应用系统迅速获得统一的认证功能,使得用户只需进行一次登录操作,即可获得所需访问应用系统和资源的授权,不必再次输入用户名和密码来确定用户身份,即实现了“一次登录,多方认证”;目前实现单点登录的解决方案有很多,最有代表性的是microsoft的passport和ibm的websphereportalserver。其中passport单点登录身份认证采用集中式认证和分布式授权的模式;websphereportalserver采用基于cookie的ldap(lightweightdirectoryaccessprotocol,ldap)用户注册中心进行统一认证,尽管上述单点登录产品能够较好地实现单点登录的功能,但是这些方案存在较为复杂、缺乏灵活性、费用较高,而且只能在同一域名下使用的缺点;
鉴于上述分析,本文在通过对基于cookie的统一认证技术的应用研究基础之上,针对跨域问题,提出了一种基于cookie冗余技术的单点登录认证方法,实现了烟草知识产权信息资源综合服务平台的统一认证。
技术实现要素:
一种基于cookie的统一认证系统的设计方法,其特征在于,基于cookie的单点登录认证机制,基于cookie的单点登录认证过程,主要分为两个阶段。第一个阶段,初始用户身份认证,也就是cookie建立的过程。第二个阶段,后续cookie认证阶段。基cookie的首认证流程描述如下:①用户通过客户端web浏览器向成员子系统a发送资源请求;②成员子系统a分析用户请求,检查客户端是否已经存在创建好的有效cookie(包含用户身份信息);③如果没有有效的cookie,则成员子系统将用户的web浏览器重定向到认证服务器。要求用户输入用户名和密码,进行登录认证;④用户进入登录页面,输入用户名和密码,提交给认证服务器验证;⑤认证服务器对提交的用户信息进行认证;⑥如果验证通过,认证服务器会产生一个有效的验证信息发往成员子系统a;⑦成员子系统a收到验证成功的信息后,会产生cookie信息,发送给用户的web浏览器,并将用户的请求重定向到所请求的资源。
后续cookie的认证过程描述如下:①用户携带cookie信息,通过客户端web浏览器向成员子系统b发出资源请求;②成员子系统b从cookie信息中抽取出用户验证信息,发往认证服务器进行验证。③认证服务器对提交的用户信息进行认证验证;④如果验证成功,认证服务器会产生一个有效的验证信息发往成员子系统b;⑤成员子系统b收到验证成功的信息后,向用户提供所请求的资源,如果验证不成功,则拒绝用户访问请求的资源并提示用户重新登录。
上述过程一直持续到cookie的有效时间到期为止。
一种基于cookie的统一认证系统的设计方法,其特征在于,基于cookie冗余技术的跨域单点登录认证的设计,在分布式网络环境下,成员子系统可能分布在不同的dns域名下,本方法采用cookie冗余技术解决跨域问题。利用http重定向技术,通过遍历可信任域列表传递并共享cookie信息。
(1)首次访问:用户首次访问成员子系统创建cookie的过程和传统的基于cookie的单点登录创建cookie的方式是相同的。这里不再重复,经过①②③④步骤,向客户端浏览器中写入成员子系统a所在域a.com所产生的cookie(user@a.com.txt)。
(2)后续访问:①用户请求访问成员子系统b的资源;②成员子系统b分析用户请求,检查客户端是否已经存在创建好的有效cookie,如果没有cookie信息,将用户的web浏览器重定向到认证服务器,进行用户认证;③认证服务器首先循环遍历可信任域列表,取出可以信任域所对应的成员子系统的信息;④依次重定向到其他成员子系统;
认证服务在返回认证信息的时候,发送更新a.com域下cookie有效期的指令给成员子系统a,成员子系统a接到指令后,更新用户客户端a.com域下cookie有效期。
至此,用户客户端上存在了两cookie,分别是成员子系统a(a.com域)和成员子系统b(b.com域)向客户端写入的cookie,而且这两个cookie在内容上是完全一样的,用冗余技术实现了跨域状态下基于cookie的单点登录认证。