单点认证方法和系统与流程

本发明涉及互联网领域，具体而言，涉及一种单点认证方法和系统。

背景技术：

在早期互联网技术(internet Technology，IT)应用服务建设时，并没有考虑到用户的多元化需求，导致目前的现状是各个IT应用服务领域拥有本身的用户群，这些IT应用服务的用户无法便捷的享受到其他IT应用服务。单点登录(Single Sign On，SSO)是用户只需要登录一次就可以访问所有相互信任的IT应用服务，它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制，从而带给用户统一的、完整的和流畅的互联网服务。

相关技术中的单点登录，是在SSO环境单独部署认证服务器，业务系统需要在接入该认证服务器认证中心的认证系统进行一一的认证，通过认证后获取登录路径，跳转到访问业务页面。

在实际操作过程中，每次对业务页面进行访问都需要在该认证服务器的认证中心的认证系统进行认证，这样单独部署认证服务器增加了服务器的运行成本和运维成本。

技术实现要素：

有鉴于此，本发明实施例的目的在于提供一种单点认证方法和系统，以实现用户只需一次认证登录就可以访问所有相互信任的IT应用服务，从而给用户带来统一的、完整的和流畅的互联网服务。

第一方面，本发明实施例提供了一种单点认证方法，包括：

当获取到对业务页面的访问指令时，判断缓存认证票据Cookie TGT路径是否存在，其中，所述访问指令包括用户想要访问的业务页面对应的应用地址；

如果否，则对所述用户进行身份验证，并在所述用户身份验证通过时生成Cookie TGT路径；

如果是，则推送服务票据(Service Ticket,ST)到所述业务页面对应的应用地址，使所述用户登录所述业务页面。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，对所述用户进行身份验证，并在所述用户身份验证通过时生成Cookie TGT路径，包括：

获取所述用户的认证凭证，对所述用户进行身份验证；

当所述认证凭证通过验证后，则生成所述用户的认证票据(Ticket Granting Ticket,TGT)；

根据生成的所述TGT，向所述用户分配访问所述业务页面的ST；

生成Cookie TGT路径，并推送所述ST到所述业务页面对应的应用地址。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，推送服务票据ST到所述业务页面对应的应用地址，使所述用户登录所述业务页面，包括：

推送服务票据ST到所述业务页面对应的应用地址；

访问接收到所述ST的应用地址对应的业务页面；

将用户的所述认证凭证发送到用户想要访问的业务页面对应的应用地址，使所述用户登录所述业务页面。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述方法还包括：

通过所述Cookie TGT路径，使所述用户登录已进行身份验证的业务页面。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述方法，还包括：

所述方法还包括：

当获取到退出指令时，注销所述用户的认证凭证，并将所述用户的TGT设置为失效状态；

向所述用户已登录的业务页面发送退出请求，结束所述用户对所述业务页面的访问。

第二方面，本发明实施例提供了一种单点认证系统，包括：

Cookie TGT路径判断模块，用于当获取到对业务页面的访问指令时，判断缓存认证票据Cookie TGT路径是否存在，其中，所述访问指令包括用户想要访问的业务页面对应的应用地址；

Cookie TGT路径生成模块，用于在判断认证Cookie TGT路径是否存在的判断结果为否时，对所述用户进行身份验证，并在所述用户身份验证通过时生成Cookie TGT路径；

第一业务页面登录模块，用于在判断认证Cookie TGT路径是否存在的判断结果为是时，推送服务票据ST到所述业务页面对应的应用地址，使所述用户登录所述业务页面。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述Cookie TGT路径生成模块包括：

用户身份验证单元，用于获取所述用户的认证凭证，对所述用户进行身份验证；

TGT生成单元，用于当所述认证凭证通过验证后，则生成所述用户的认证票据TGT；

ST分配单元，用于根据生成的所述TGT，向所述用户分配访问所述业务页面的ST；

Cookie TGT路径生成单元，用于生成Cookie TGT路径，并推送所述ST到所述业务页面对应的应用地址。

结合第二方面，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述第一业务页面登录模块包括：

ST推送单元，用于推送服务票据ST到所述业务页面对应的应用地址；

业务页面访问单元，用于访问接收到所述ST的应用地址对应的业务页面；

业务页面登录单元，用于将用户的所述认证凭证发送到用户想要访问的业务页面对应的应用地址，使所述用户登录所述业务页面。

结合第二方面，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述系统还包括：

第二业务页面登录模块，用于通过所述Cookie TGT路径，使所述用户登录已进行身份验证的业务页面。

结合第二方面，本发明实施例提供了第二方面的第四种可能的实施方式，其中，所述系统还包括：

认证凭证注销模块，用于当获取到退出指令时，注销所述用户的认证凭证，并将所述用户的TGT设置为失效状态；

退出登录模块，用于向所述用户已登录的业务页面发送退出请求，结束所述用户对所述业务页面的访问。

本发明实施例提供的一种单点认证方法和系统，在获取到对业务页面的访问指令时，生成ST并将其推送到对应的应用地址，再通过生成的Cookie TGT路径对对应的业务页面进行登录，从而通过一次对用户身份的验证就可以使用户登录想要登录的任何业务页面，与现有技术中需要接入该认证服务器认证中心的认证系统进行一一的认证的方法相比，无需进行多次认证就可以访问所有相互信任的IT应用服务，从而为用户带来统一的、完整的和流畅的互联网服务体验。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例所提供的一种单点认证方法的流程图；

图2示出了本发明实施例所提供的一种单点认证系统的结构示意图；

图3示出了本发明实施例所提供的一种单点认证退出的流程图；

图4示出了本发明实施例所提供的一种单点退出系统的结构示意图。

图标：

附图2中，各标号所代表的部件列表如下：

20-Cookie TGT路径判断模块；21-Cookie TGT路径生成模块；

22-第一业务页面登录模块。

附图4中，各标号所代表的部件列表如下：

40-认证凭证注销模块；41-退出登录模块。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

考虑到相关技术中的单点登录，是在SSO环境单独部署认证服务器，业务系统需要在接入该认证服务器认证中心的认证系统进行一一的认证，通过认证后获取登录路径，跳转到访问业务页面。

在实际操作过程中，每次对业务页面进行访问都需要在该认证服务器的认证中心的认证系统进行认证，这样单独部署认证服务器增加了服务器的运行成本和运维成本。基于此，本发明实施例提供了一种单点认证方法和系统，下面通过实施例进行描述。

实施例1

本实施例提出的单点认证方法的执行主体是单点登录服务器组件和单点登录客户端组件，通过一次对用户身份的验证，生成ST并将其推送到对应的应用地址，再通过生成的Cookie TGT路径对对应的业务页面进行登录。为了单点登录的过程更加的简捷，更加流畅的对客户进行互联网服务，增加用户的体验感。参见图1，本实施例提供一种单点认证方法，包括：

步骤S102，当获取到对业务页面的访问指令时，判断缓存认证票据Cookie TGT路径是否存在，其中，访问指令包括用户想要访问的业务页面对应的应用地址。在判断结果为否时，执行步骤S104；在判断结果为是时，执行步骤S106。

Cookie是指网站为了辨别用户身份进行跟踪而存储在用户本地终端上的数据，也可称为在浏览器上的缓存，该数据通常经过加密处理。

TGT一般主要包括以下信息：缓存名称、键、用户名、用户数字帐号、登录信息和创建时间等。

Cookie TGT是Cookie中所存储的认证票据标识。

ST是在用户所持有的TGT合法的情况下，由票据管理模块(Ticket Manage Moudule，TMM)分配和管理票据信息，也即只有通过用户合法身份认证之后，用户才能访问应用的资源，ST是一次性的，即ST经由单点登录客户端通过后台端对端接口方式发送给单点登录服务器，单点登录服务器完成验证后将用户的认证信息发送给单点登录客户端，并注销ST，该过程的交互是安全的，不会暴露用户的认证信息给客户端或者浏览器。

ST主要包括以下信息：缓存名称、键、TGT、应用地址、第一次登录标识和创建时间等。

本发明是在CAS协议的基础上扩展出一组单点登录组件，单点登录服务器组件和单点登录客户端组件，真正实现了简单易用可拔插。

步骤S104，对用户进行身份验证，并在用户身份验证通过时生成CookieTGT路径。

步骤S104具体包括步骤(1)至步骤(4)：

(1)获取用户的认证凭证，对用户进行身份验证；

(2)当认证凭证通过验证后，则生成用户的认证票据TGT；

(3)根据生成的TGT，向用户分配访问业务页面的ST；

(4)生成Cookie TGT路径，并推送ST到业务页面对应的应用地址。

用户在所登录的单点登录客户端上进行个人认证信息的输入，形成用户的认证凭证，便于单点登录服务器对用户的认证凭证进行获取，以对用户进行身份验证，认证凭证经过验证后，生成用户的认证票据TGT，在生成TGT的基础上进而对需要访问的业务页面分配服务票据ST，从而单点登录服务器生成Cookie TGT路径，并推送所生成的ST到需要访问的业务页面对应的应用地址，对该业务页面进行登录。

步骤S106，推送服务票据ST到业务页面对应的应用地址，使用户登录业务页面。

步骤S104具体包括步骤(1)至步骤(3)：

(1)推送服务票据ST到业务页面对应的应用地址；

(2)访问接收到ST的应用地址对应的业务页面；

(3)将用户的认证凭证发送到用户想要访问的业务页面对应的应用地址，使用户登录业务页面。

当存在认证Cookie TGT路径的时，单点登录服务器直接推送分配给需要访问业务页面的ST到对应的应用地址，进而访问该ST的应用地址对应的业务页面，同时发送用户的认证凭证到用户想要访问的业务页面对应的应用地址，使用户登录业务页面。

除此之外，该方法还包括：通过Cookie TGT路径，使用户登录已进行身份验证的业务页面。

除了能够对分配ST的业务页面进行登录，单点登录服务器也能够根据Cookie TGT路径，允许用户认证凭证通过验证的用户对已验证的本业务页面进行登录。

参见图3，该方法还包括单点退出过程，具体包括步骤(1)和步骤(2)；

(1)当获取到退出指令时，注销用户的认证凭证，并将用户的TGT设置为失效状态；

(2)向用户已登录的业务页面发送退出请求，结束用户对业务页面的访问。

该方法不仅能够实现对相互信任的业务页面进行单点登录，也能够实现单点推出的操作，单点登录服务器通过获取用户通过单点登录客户端发出的退出指令，注销用户的认证凭证，将用户的TGT设置为失效状态，向用户已登录的业务页面发送退出请求，退出已登录的业务页面，从而实现单点退出。

综上所述，本实施例提供的一种单点认证方法，在获取到对业务页面的访问指令时，生成ST并将其推送到对应的应用地址，再通过生成的Cookie TGT路径对对应的业务页面进行登录，从而通过一次对用户身份的验证就可以使用户登录想要登录的任何业务页面，与现有技术中需要接入该认证服务器认证中心的认证系统进行一一的认证的方法相比，无需进行多次认证就可以访问所有相互信任的IT应用服务，从而为用户带来统一的、完整的和流畅的互联网服务体验。

实施例2

参见图2，本实施例提供单点认证系统，包括：

Cookie TGT路径判断模块20，用于当获取到对业务页面的访问指令时，判断认证Cookie TGT路径是否存在，其中，访问指令包括用户想要访问的业务页面对应的应用地址；

Cookie TGT路径生成模块21，用于在判断认证Cookie TGT路径是否存在的判断结果为否时，对用户进行身份验证，并在用户身份验证通过时生成Cookie TGT路径；

第一业务页面登录模块22，用于在判断认证Cookie TGT路径是否存在的判断结果为是时，推送服务票据ST到业务页面对应的应用地址，使用户登录业务页面。

Cookie TGT路径生成模块21包括：

用户身份验证单元，用于获取用户的认证凭证，对用户进行身份验证；

TGT生成单元，用于当认证凭证通过验证后，则生成用户的认证票据TGT；

ST分配单元，用于根据生成的TGT验证，向用户分配访问业务页面的ST；

Cookie TGT路径生成单元，用于生成Cookie TGT路径，并推送ST到业务页面对应的应用地址。

第一业务页面登录模块22包括：

ST推送单元，用于推送服务票据ST到业务页面对应的应用地址；

业务页面访问单元，用于访问接收到ST的应用地址对应的业务页面；

业务页面登录单元，用于将用户的认证凭证发送到用户想要访问的业务页面对应的应用地址，使用户登录业务页面。

系统还包括：

第二业务页面登录模块，用于通过Cookie TGT路径，使用户登录已进行身份认证的业务页面。

参见图4，系统还包括：

认证凭证注销模块40，用于当获取到退出指令时，注销用户的认证凭证，并将用户的TGT设置为失效状态；

退出登录模块41，用于向用户已登录的业务页面发送退出请求，结束用户对业务页面的访问。

综上所述，本实施例提供的一种单点认证系统，在获取到对业务页面的访问指令时，生成ST并将其推送到对应的应用地址，再通过生成的Cookie TGT路径对对应的业务页面进行登录，从而通过一次对用户身份的验证就可以使用户登录想要登录的任何业务页面，与现有技术中需要接入该认证服务器认证中心的认证系统进行一一的认证的方法相比，无需进行多次认证就可以访问所有相互信任的IT应用服务，从而为用户带来统一的、完整的和流畅的互联网服务体验。