單點登錄方法、單點登錄系統以及相關設備的製作方法

2023-05-22 01:39:21

專利名稱：單點登錄方法、單點登錄系統以及相關設備的製作方法
技術領域：
本申請涉及計算機網絡技術領域，尤其涉及一種單點登錄方法、一種單點登錄設 備、一種免登伺服器和一種單點登錄系統。
背景技術：
隨著信息技術和網絡技術的迅猛發展，各種網絡應用系統越來越多，例如網絡郵 箱、專業論壇、公告板系統(BBS，Bulletin Board System)等。用戶在使用其中的每個網絡 應用系統之前，都必須按照事先約定的用戶名和密碼進行登錄，為此用戶必須記住登錄每 個網絡系統所需的用戶名和密碼，對用戶而言，操作非常不便。為了解決上述問題，單點登錄(SS0，Single Sign-on)技術應運而生。SSO技術可 以為用戶訪問多個網絡應用系統提供便利，用戶在登錄第一個網絡應用系統時，會被客戶 端引導到免登伺服器進行登錄；免登伺服器根據用戶提供的用戶名、密碼(或客戶端對用 戶密碼加密後獲得的驗證信息)等登錄信息進行身份驗證，如果通過身份驗證，返回給用 戶一個認證憑據ticket ；用戶在後續訪問其他網絡應用系統時會攜帶該ticket，其他網絡 應用系統在接收到用戶的訪問請求後會根據該ticket到免登伺服器中驗證ticket的合法 性，如果該ticket是合法的，用戶就可以無需再次登錄而直接訪問其他應用系統。附圖1為用戶在第一次登錄網絡應用系統，以及在免登伺服器進行驗證過程的示 意圖。步驟101、步驟102，用戶通過客戶端、網頁瀏覽器向免登伺服器發送單點登錄請 求消息，該消息中包含用戶標識UID、第一籤名信息以及想要訪問的目標網頁的統一資源定 位符(URL，Uniform Resource Locator)，其中第一籤名信息是客戶端對UID、密碼和目標網 頁的URL進行加密處理後獲得的；步驟103，免登伺服器接收到單點登錄請求後，根據單點登錄請求中包含的UID查 找到UID對應的密碼，並根據事先與客戶端預定的加密方法，對UID、查找到的密碼和單點 登錄請求中包含的目標網頁的URL進行加密，獲得第二籤名信息，並對第一籤名信息與第 二籤名信息進行比對，在二者一致時，為用戶分配ticket，並進入步驟104 ；步驟104，將分配的ticket發送給網頁瀏覽器，指示網頁瀏覽器跳轉到單點登錄 請求消息中包含的目標網頁的URL中；步驟105，頁面瀏覽器向目標應用系統發送請求消息，該消息包含所請求的目標網 頁的URL以及ticket ；步驟106，目標網頁對應的網絡應用系統對ticket進行身份驗證；步驟107，目標網絡應用系統在步驟106身份驗證成功後，向用戶返回所請求的目 標網頁的頁面內容。如果上述步驟102發送的單點登錄請求消息被其他惡意用戶採用黑客軟體截取 到，那麼其他用戶就可以向免登伺服器發送請求，在驗證成功後冒充該用戶訪問目標網絡 應用系統。
為了避免上述問題，免登伺服器向用戶下發ticket時確定了該ticket的有效時 間，例如5分鐘等，在超出有效時間後，使用該ticket將無法請求到目標應用系統的頁面內 容。然而，即使設定了較短的ticket有效時間，仍然難以避免惡意用戶在較短的時間內冒 充合法用戶訪問目標網絡應用系統。

發明內容
本申請實施例提供一種單點登錄方法，用以解決在現有單點登錄技術中，非法用 戶冒充合法用戶訪問目標頁面的問題。對應地，本申請實施例還提供了一種單點登錄設備、免登伺服器和一種單點登錄 系統。本申請實施例提供的技術方案如下一種單點登錄方法，包括單點登錄設備中的客戶端處理單元向網頁服務單元發送註冊請求；網頁服務單元確定與註冊請求中包含的目標網頁URL唯一對應的本地URL，並存 儲所述本地URL與目標網頁URL的對應關係，以及將包含所述本地URL的註冊響應發送給 客戶端處理單元；客戶端處理單元接收到註冊響應後向免登伺服器發送包含驗證信息和所述本地 URL的登錄請求；單點登錄設備接收免登伺服器基於登錄請求中的驗證信息對用戶身份驗證成功 後發送的指示，指示單點登錄設備中的網頁瀏覽器向網頁服務單元發送訪問本地URL的請 求消息；網頁服務單元根據所述請求消息，在確定存儲有請求訪問的本地URL與目標頁面 URL的對應關係時，指示網頁瀏覽器訪問對應的目標頁面URL。一種單點登錄方法，包括免登伺服器接收到單點登錄設備發來的登錄請求後，查找登錄請求中包含的用戶 標識對應的密碼，以及根據用戶標識、查找到的密碼、登錄請求中包含的本地URL，獲得伺服器端驗證信 息，以及在確定出登錄請求包含的驗證信息和伺服器端驗證信息一致後，指示所述單點登 錄設備中的網頁瀏覽器訪問所述本地URL，其中，所述本地URL與用戶要訪問的目標頁面 URL唯一對應。一種單點登錄設備，包括客戶端處理單元，用於向網頁服務單元發送註冊請求，以及在接收到對應的註冊 響應後向免登伺服器發送包含驗證信息和註冊響應中包含的本地URL的登錄請求；網頁服務單元，用於接收註冊請求，確定與註冊請求包含的目標網頁URL唯一對 應的本地URL，並存儲所述本地URL與目標網頁URL的對應關係，向客戶端處理單元發送包 含所述本地URL的註冊響應，以及根據該單點登錄設備中的網頁瀏覽器發來的訪問網頁請 求，在確定存儲有網頁請求中的本地URL與目標頁面URL的對應關係時，指示所述網頁瀏覽 器訪問對應的目標頁面URL。
一種免登伺服器，包括接收單元，用於接收單點登錄設備發來的登錄請求；查找單元，用於查找登錄請求中包含的用戶標識對應的密碼；確定單元，用於按照與單點登錄設備約定的方法，根據登錄請求包含的用戶標識 和本地URL，以及查找單元查找到的密碼，獲得伺服器端驗證信息；判斷單元，用於判斷確定單元獲得的伺服器端驗證信息與所述登錄請求中包含的 驗證信息是否一致；指示單元，用於在判斷單元判斷出伺服器端驗證信息與登錄請求中包含的驗證信 息一致時，指示與所述單點登錄設備中的網頁瀏覽器請求登錄請求中包含的本地URL，其中 所述本地URL與用戶要訪問的目標頁面URL唯一對應。一種單點登錄系統，包括單點登錄設備和免登伺服器，其中，單點登錄設備，用於確定與目標URL唯一對應的本地URL，向免登伺服器發送包含 驗證信息和所述本地URL的登錄請求，以及在根據免登伺服器的指示，確定出存儲有免登 伺服器指示請求的本地URL和目標頁面URL的對應關係時，向網絡側提供目標URL對應頁 面的網頁伺服器發送訪問目標頁面URL的請求消息；免登伺服器，用於接收登錄請求，以及在根據登錄請求中包含的驗證信息，對用戶 身份驗證成功後，指示單點登錄設備訪問登錄請求中包含的URL。本申請實施例通過客戶端在登錄請求消息不再攜帶目標網頁URL，而是攜帶預先 確定的與目標網頁URL唯一對應的本地URL，免登伺服器在驗證通過後，將指示與客戶端位 於同一計算機的網頁瀏覽器請求登錄請求包含的本地URL，與客戶端位於同一計算機的本 地網頁伺服器在判斷出已存儲有網頁瀏覽器請求的本地URL與目標頁面的對應關係時，指 示所述網頁瀏覽器請求對應的目標頁面，避免了攜帶目標網頁URL的登錄請求被非法用戶 獲取而造成的非法用戶冒充合法用戶訪問目標頁面的問題。


圖1為現有單點登錄技術中驗證過程的示意圖；圖2為本申請實施例的主要實現原理流程圖；圖3為本申請實施例一提出的單點登錄方法的流程圖；圖4為本申請實施例二提出的單點登錄方法的流程圖；圖5為本申請實施例三提出的單點登錄方法的流程圖；圖6為本申請實施例提出的單點登錄設備的結構示意圖；圖7為本申請實施例提出的免登伺服器的結構示意圖。
具體實施例方式在現有單點登錄方案中，當單點登錄客戶端向免登伺服器發送的攜帶有用戶標識 UID、籤名信息以及想要訪問的目標網頁URL的登錄請求消息被非法用戶截取後，非法用戶 就可以在冒充用戶向免登伺服器請求驗證後，獲得認證憑據ticket，從而可以訪問目標頁 面，因此存在安全隱患。本申請實施例提出了在登錄請求消息不再攜帶目標網頁URL，而是攜帶預先確定的與目標網頁URL唯一對應的本地URL，免登伺服器在驗證通過後，將指示發出登錄請求消 息的用戶跳轉到本地URL，這樣合法用戶就可以根據預先存儲的本地URL和目標網頁URL的 對應關係獲取目標網頁URL，並通過目標網頁URL訪問目標網頁；而非法用戶由於本地並不 存在與所述本地URL對應的目標網頁URL，因此無法繼續訪問目標頁面，從而避免了現有單 點登錄技術的上述安全問題。下面結合各個附圖對本申請實施例技術方案的主要實現原理具體實施方式
及其 對應能夠達到的有益效果進行詳細地闡述。如圖2所示，本申請實施例的主要實現原理流程如下步驟10，單點登錄設備在向免登伺服器發送登錄請求前，確定與目標網頁唯一對 應的本地URL，並在提供所述本地URL的單點登錄設備中的網頁服務單元中存儲該本地URL 與目標網頁URL的對應關係；步驟20，單點登錄設備向免登伺服器發送登錄請求消息，該登錄請求消息中包含 驗證信息和步驟10確定出的本地URL ；步驟30，免登伺服器根據登錄請求消息中包含的驗證信息，驗證成功後，指示單點 登錄設備中的網頁瀏覽器向單點登錄設備中的網頁服務單元發送訪問登錄請求消息中包 含的本地URL的請求消息；步驟40，所述網頁服務單元在確定出已存儲有網頁瀏覽器請求的本地URL與目標 頁面URL的對應關係時，指示網頁瀏覽器訪問對應的目標頁面。下面將依據本申請上述發明原理，詳細介紹一個實施例來對本申請方法的主要實 現原理進行詳細的闡述和說明。實施例一、請參照附圖3，為本實施例提出的單點登錄方法的流程圖，單點登錄系統包括位 於用戶側的單點登錄設備以及位於網絡側的免登伺服器，其中單點登錄設備中包含客戶端 處理單元、網頁服務單元和網頁瀏覽器，其中客戶端處理單元用於接收用戶輸入的用戶名、 密碼、需要登錄的目標頁面URL，以及向免登伺服器發送登錄請求；該客戶端處理單元可以 是一個獨立的軟體產品，也可以是在現有的瀏覽器的基礎上加以改進形成的瀏覽器形式的 軟體產品。網頁服務單元可以由現有的網頁伺服器來實現，網頁伺服器是用於提供本地網 頁URL，響應網頁瀏覽器的URL訪問請求的軟體產品的統稱，例如廣泛應用與UNIX平臺的 Apache系列產品；網頁瀏覽器是用於根據用戶或其他應用程式的指示，訪問指定的URL的 軟體產品的統稱，例如微軟公司的Internet Explorer系列產品。用戶在進行單點登錄前， 應預先通過客戶端處理單元在免登伺服器中註冊用戶標識以及對應的密碼。步驟301，用戶在單點登錄設備的客戶端處理單元中輸入用戶標識、對應的密碼 以及需要登錄的目標網頁的URL後，客戶端處理單元向與自身位於同一單點登錄設備中 的網頁服務單元發送包含目標網頁URL的註冊請求，例如目標網頁URL為http//www. targetweb. com/item detail = 23445 ；步驟302，網頁服務單元接收到註冊請求後，按照預定的規則，確定與注 冊請求中包含的目標網頁URL唯一對應的本地URL，例如確定本地URL的規則為 「http //127. 0. 0. 1:8808/auth ？ sid = 」 +與註冊請求中包含的目標網頁URL唯一對應的 標識，為上述目標網頁 URLhttp //www. tarRetweb. com/item detail = 23445 確定出的本地 URL 為 http://127. 0. 0. l:8808/auth ？ sid = 123456 並在自身存儲上述目標網頁 URL 與確定出的本地URL的對應關係；步驟303，網頁服務單元將包含步驟302中確定出的本地URL的註冊響應發送給客 戶端處理單元；步驟304，客戶端處理單元接收到網頁服務單元發來的註冊響應後，從註冊響應中 獲取本地URL，按照預先與免登伺服器約定的方法，根據用戶輸入的用戶標識、密碼、註冊響 應中包含的本地URL，確定第一驗證信息，例如，客戶端處理單元首先獲得包含該本地URL、 用戶標識、密碼的字符串，並按照預先與免登伺服器約定的加密方法，例如MD5算法等，對 獲得的字符串加密，為了提高驗證信息的安全性，還可以求取加密後的字符串的哈希反列， 將求取的哈希反列作為第一驗證信息。為了進一步提高驗證信息的安全性，使每次登錄同 一目標網頁時的驗證信息都不同，在確定驗證信息時，不僅可以根據本地URL、用戶標識、密 碼，還可以在此基礎上加入當前的時間信息。步驟305，客戶端處理單元確定出第一驗證信息後，向免登伺服器發送包含用戶標 識、第一驗證信息以及註冊響應中包含的本地URL的登錄請求；步驟306，免登伺服器接收到步驟305中客戶端處理單元發來的登錄請求後，查找 自身預先存儲的與登錄請求中包含的用戶標識對應的密碼，並按照預先與客戶端處理單元 約定的確定驗證信息的方法，例如MD5算法等，根據用戶標識、查找到的密碼、登錄請求包 含的本地URL，獲得第二驗證信息；步驟307，免登伺服器對步驟305中單點登錄設備中客戶端處理單元發來的登錄 請求中包含的第一驗證信息，以及步驟306中確定出的第二驗證信息進行比較，在第一驗 證信息與第二驗證信息一致時，確定驗證成功，進入步驟308，否則確定驗證失敗，丟棄該登 錄請求或返回登錄失敗信息；步驟308，免登伺服器在驗證成功後，指示用戶側單點登錄設備中的網頁瀏覽器 訪問步驟306中接收到的登錄請求中包含的本地URL。與現有技術類似，免登伺服器在驗 證成功後指示網頁瀏覽器訪問登錄請求中包含的本地URL時，可以在指示消息中攜帶認證 憑據。具體的攜帶方式可以為將認證憑據作為登錄請求中包含的本地URL的參數，將攜帶 參數的本地URL指示給網頁瀏覽器。為了提高安全性，還可以按照與網頁伺服器約定的加 密方式，對認證憑據加密，例如攜帶加密後的認證憑據的本地URL為「http://127. 0. 0. 1/ dosth？ sid = 123456&ticket = JDFU324o329jdcvjcv0374023842—8324-8320723043208 4」，其中 ticket 後的新增部分「JDFU324o329jdcvjcv0374023842—8324-83207230432084，， 為加密後的認證憑據；步驟309，單點登錄設備中的網頁瀏覽器根據步驟308中免登伺服器的指示，向同 一單點登錄設備中的網頁服務單元發送訪問上述本地URL的請求消息；步驟310，單點登錄設備中的網頁服務單元在接收到網頁瀏覽器發送的訪問本地 URL的請求消息後，判斷自身存儲的本地URL與目標頁面URL的對應關係中，是否存在與網 頁瀏覽器發送的訪問請求消息中的的本地URL對應的目標頁面URL。若存在，說明步驟305 中的登錄請求包含的本地URL是預先通過註冊過程確定出的，即登錄請求是由該單點登錄 設備中的客戶端處理單元發出的，進入步驟311，否則不進行後續處理；步驟311，網頁服務單元指示網頁瀏覽器向目標網頁URL對應的網頁伺服器發送訪問請求消息。網頁服務單元在指示消息中可以攜帶認證憑據，該認證憑據是根據預先與 免登伺服器預定的加密方法，對步驟310中網頁瀏覽器的訪問請求消息中攜帶的本地URL 解密後獲得的。在步驟301至步驟303的註冊交互過程中，由於客戶端處理單元與網頁服務單元 是位於同一單點登錄設備中的，因此交互過程中的消息不會被網絡中的其他非法用戶獲取 到。本實施例中，網頁服務單元也可獨立於單點登錄設備，例如，在單點登錄設備之外 單獨設置一臺或一組伺服器。只要確保該網頁服務單元與單點登錄設備之間交互的通信安 全，例如，網頁服務單元與單點登錄設置之間通過專線連接等，即可提高單點登錄過程的安 全性。本實施例在用戶向免登伺服器發送登錄請求前，預先確定與用戶請求的目標頁面 URL對應的本地URL，登錄請求中攜帶的不再是目標頁面URL，而是本地URL，因此即使該登 錄請求消息被其他非法用戶截獲，由於非法用戶所使用的計算機中並沒有與本地URL對應 的目標網頁URL，因此非法用戶也無法在驗證成功後冒充該用戶訪問目標頁面URL，從而避 免了登錄請求被非法用戶截獲所可能造成的非法用戶冒充合法用戶登錄目標頁面的問題。實施例二、在實施例一中，是由單點登錄設備中的客戶端處理單元確定第一驗證信息的，在 本實施例中由單點登錄設備中的網頁服務單元來實現確定第一驗證信息的功能，客戶端處 理單元發送給網頁服務單元的註冊請求不僅應包含目標網頁URL，還應該包含用戶輸入的 用戶標識和密碼，網頁服務單元在確定出第一驗證信息後，將第一驗證信息告知客戶端處 理單元，由客戶端處理單元在發送給免登伺服器的登錄請求中攜帶第一驗證信息，具體過 程請參照附圖4所示。步驟401，用戶在單點登錄設備中的客戶端處理單元中輸入用戶標識、對應的密碼 以及需要登錄的目標網頁的URL後，客戶端處理單元向同一單點登錄設備中的網頁服務單 元發送包含目標網頁URL、用戶輸入的用戶標識和用戶標識對應的密碼的註冊請求，例如目 標網頁 URL 為 http //www. targetweb. com/item_detail = 23445 ；步驟402，網頁服務單元接收到註冊請求後，按照預定的規則，確定與注 冊請求中包含的目標網頁URL唯一對應的本地URL，例如確定出的本地URL為 htp//127. 0. 0. 1 8808/auth ？ sid = 123456 ；並保存上述目標網頁URL與確定出的本地 URL的對應關係；步驟403，網頁服務單元在確定出目標網頁URL對應的本地URL後，按照預先與免 登伺服器約定的方法，根據用戶輸入的用戶標識、密碼、註冊響應中包含的本地URL，確定第 一驗證信息，進入步驟404 ；步驟404，網頁服務單元向客戶端發送註冊響應，註冊響應中包含步驟403中確定 出的本地URL和第一驗證信息；步驟405，客戶端處理單元在接收到註冊響應後，向網絡側的免登伺服器發送登錄 請求，登錄請求中包含用戶輸入的用戶標識、以及註冊響應中包含的本地URL和第一驗證 fn息；步驟406，免登伺服器接收到步驟405中單點登錄設備中的客戶端處理單元發來的登錄請求後，從登錄請求中獲得用戶標識，從存儲的用戶標識和密碼的對應關係中查找 到該用戶標識對應的密碼，並按照預先與單點登錄設備中的網頁服務單元約定的確定驗 證信息的方法，根據該用戶標識、查找到的密碼和登錄請求中包含的URL，確定第二驗證信 息；步驟407，免登伺服器對步驟405中單點登錄設備中的客戶端處理單元發來的登 錄請求中包含的第一驗證信息和步驟406中確定出的第二驗證信息進行比較，在二者一致 時，確定驗證成功，進入步驟408，否則，丟棄該登錄請求或告知用戶驗證失敗；步驟408，免登伺服器在驗證成功後，指示用戶側單點登錄設備中的網頁瀏覽器訪 問步驟406中接收到的登錄請求中包含的本地URL，與步驟308類似，免登伺服器可以將認 證憑據作為登錄請求中包含的本地URL的參數；步驟409，網頁瀏覽器根據步驟408中免登伺服器的指示，向同一單點登錄設備中 的網頁服務單元發送訪問上述本地URL的請求消息；步驟410，單點登錄設備中的網頁服務單元在接收到網頁瀏覽器發送的訪問本地 URL的請求消息後，判斷在自身存儲的本地URL與目標頁面URL的對應關係中，是否存在與 網頁瀏覽器發送的訪問請求消息中的本地URL對應的目標頁面URL。若存在，說明步驟405 中的登錄請求包含的本地URL是預先通過註冊過程確定出的，即登錄請求是由該單點登錄 設備中的客戶端處理單元發出的，進入步驟411，否則不進行後續處理；步驟411，網頁服務單元指示網頁瀏覽器向目標網頁URL對應的網頁伺服器發送 發送訪問請求消息。網頁服務單元在指示消息中可以攜帶認證憑據，該認證憑據是根據預 先與免登伺服器預定的加密方法，對步驟410中網頁瀏覽器的訪問請求消息中攜帶的本地 URL解密後獲得的。同理，在本實施例中，網頁服務單元也可獨立於單點登錄設備，例如，在單點登錄 設備之外單獨設置一臺或一組伺服器。只要確保該網頁服務單元與單點登錄設備之間交互 的通信安全，例如，網頁服務單元與單點登錄設置之間通過專線連接等，即可提高單點登錄 過程的安全性。實施例三、在實施例一或實施例二中，第一驗證信息、或第二驗證信息是由客戶端處理單元、 網頁服務單元或免登伺服器按照約定的方法，根據用戶標識、密碼、本地URL確定的，在本 實施例中，確定驗證信息時不僅根據上述三種信息，還包括確定第一驗證信息時的時間信 息，這樣即使使用同一臺計算機，在不同時間訪問同一目標網頁時，確定出的驗證信息也是 不同的，以免使用同一臺計算機的其他非法用戶冒充合法用戶來訪問該目標網頁。具體過 程請參照附圖5所示。步驟501，用戶在單點登錄設備中的客戶端處理單元中輸入用戶標識、對應的密碼 以及需要登錄的目標網頁的URL後，客戶端處理單元向同一單點登錄設備中的網頁服務單 元發送包含目標網頁URL、用戶輸入的用戶標識和用戶標識對應的密碼的註冊請求，例如目 標網頁 URL 為 http //www. targetweb. com/item_detail = 23445 ；步驟502，網頁服務單元接收到註冊請求後，按照預定的規則，確定與注 冊請求中包含的目標網頁URL唯一對應的本地URL，例如確定出的本地URL為 http://127.0-0· l:8808/auth ？ sid = 123456 ；並保存上述目標網頁URL與確定出的本地URL的對應關係；步驟503，網頁服務單元在確定出目標網頁URL對應的本地URL後，按照預先與免 登伺服器約定的方法，根據用戶輸入的用戶標識、密碼、註冊響應中包含的本地URL以及當 前時間信息，確定第一驗證信息，進入步驟504 ；步驟504，網頁服務單元向客戶端發送註冊響應，註冊響應中包含步驟503中確定 出的本地URL、第一驗證信息和該網頁服務單元在確定第一驗證信息時的時間信息；步驟505，客戶端處理單元在接收到註冊響應後，向網絡側的免登伺服器發送登錄 請求，登錄請求中包含用戶輸入的用戶標識、以及註冊響應中包含的本地URL、第一驗證信 息和時間信息；步驟506，免登伺服器接收到步驟505中單點登錄設備中的客戶端處理單元發來 的登錄請求後，從登錄請求中獲得用戶標識，從存儲的用戶標識和密碼的對應關係中查找 到該用戶標識對應的密碼，並按照預先與單點登錄設備中的網頁服務單元約定的確定驗證 信息的方法，根據該用戶標識、查找到的密碼、登錄請求中包含的URL和時間信息，確定第
二驗證信息；步驟507，免登伺服器對步驟505中單點登錄設備中的客戶端處理單元發來的登 錄請求中包含的第一驗證信息和步驟506中確定出的第二驗證信息進行比較，在二者一致 時，確定驗證成功，進入步驟508，否則，丟棄該登錄請求或告知用戶驗證失敗；步驟508，免登伺服器在驗證成功後，指示用戶側單點登錄設備中的網頁瀏覽器訪 問步驟506中接收到的請求登錄請求中包含的本地URL，與步驟308類似，免登伺服器可以 將認證憑據作為登錄請求中包含的網頁URL的參數；步驟509，網頁瀏覽器根據步驟508中免登伺服器的指示，向同一單點登錄設備中 的網頁服務單元發送訪問上述本地URL的請求消息；步驟510，單點登錄設備中的網頁服務單元在接收到網頁瀏覽器發送的訪問本地 URL的請求消息後，判斷在自身存儲的本地URL與目標頁面URL的對應關係中，是否存在與 網頁瀏覽器發送訪問請求消息中的本地URL對應的目標頁面URL。若存在，說明步驟505中 的登錄請求包含的本地URL是預先通過註冊過程確定出的，即登錄請求是由該單點登錄設 備中的客戶端處理單元發出的，進入步驟511，否則不進行後續處理；步驟511，網頁服務單元指示網頁瀏覽器向目標網頁URL對應的網頁伺服器發送 發送訪問請求消息。網頁服務單元在指示消息中可以攜帶認證憑據，該認證憑據是根據預 先與免登伺服器預定的加密方法，對步驟510中網頁瀏覽器的訪問請求消息中攜帶的本地 URL解密後獲得的。其中，為了提高安全性，步驟501中單點登錄設備中的客戶端處理單元發送的注 冊請求中所包含的密碼可以為客戶端處理單元按照與免登伺服器約定的加密方法，對用戶 輸入的密碼加密後獲得的；同樣，免登伺服器根據登錄請求中包含的用戶標識查找到的密 碼為按照約定的加密方法，對用戶在該免登伺服器中註冊時輸入的密碼加密後獲得的。在步驟503中，單點登錄設備中的網頁服務單元根據用戶輸入的用戶標識、密碼、 註冊響應中包含的本地URL以及當前時間信息，確定第一驗證信息的過程與步驟304中客 戶端確定第一驗證信息的過程類似網頁服務單元首先獲得包含該本地URL、用戶標識、密 碼和當前時間的字符串，並按照預先與免登伺服器約定的加密方法，例如MD5算法，對獲得的字符串加密，為了提高驗證信息的安全性，還可以求取加密後的字符串的哈希反列，將求 取的哈希反列作為第一驗證信息。在上述步驟506中，免登伺服器按照與步驟503中確定第一驗證信息類似的方法， 根據用戶標識、查找到的密碼、登錄請求包含的本地URL和時間信息，獲得第二驗證信息。與實施例一相類似，在步驟503中，網頁服務單元確定第一驗證信息的功能也可 以由同一單點登錄設備中的客戶端處理單元來實現。與實施例一相類似，為了保證認證憑據傳輸的安全性，免登伺服器在驗證成功後， 按照預先與單點登錄設備中的網頁服務單元約定的加密方法，對分配給用戶的認證憑據加 密，並在指示單點登錄設備中的網頁瀏覽器訪問本地URL的指示消息中攜帶加密後的認證 憑據的，例如，將加密後的認證憑據作為請求的本地URL的參數，網頁服務單元在判斷出已 存在網頁瀏覽器請求的本地URL與目標頁面URL的對應關係時，按照約定的加密方法對網 頁瀏覽器發送的網頁請求消息中攜帶的已加密的認證憑據解密，並在指示網頁瀏覽器訪問 的目標頁面的指示消息中攜帶解密後的認證憑據。在步驟510中，網頁服務單元在確定出登錄請求是由與網頁瀏覽器位於同一單點 登錄設備中的客戶端處理單元發出的後，還可以清除本地URL與目標頁面URL的對應關係， 這樣可以節省存儲空間。相應地，請參照附圖6，為本申請提出的一種單點登錄設備的結構示意圖，該單點 登錄設備包括客戶端處理單元601、網頁服務單元602和網頁瀏覽器603，其中，客戶端處理單元601，用於向網頁服務單元602發送註冊請求，以及在接收到對應 的註冊響應後向網絡側的免登伺服器發送包含驗證信息和註冊響應中包含的本地URL的 登錄請求；網頁服務單元602，用於接收註冊請求，確定與註冊請求包含的目標網頁URL唯一 對應的本地URL，並存儲所述本地URL與目標網頁URL的對應關係，向客戶端處理單元601 發送包含所述本地URL的註冊響應，以及根據網頁瀏覽器603發來的訪問網頁的請求消息， 在確定存儲有網頁請求消息中的本地URL與目標頁面URL的對應關係時，指示網頁瀏覽器 603訪問對應的目標頁面URL ；網頁瀏覽器603，用於根據網絡側的免登伺服器基於登錄請求中的驗證信息對用 戶身份驗證成功後發送的指示，向網頁伺服器602發送的包含本地URL的訪問網頁的請求 消息，以及根據網頁服務單元602的指示，向目標URL對應的網頁伺服器發送訪問請求消 肩、ο上述單點登錄設備可以位於用戶的同一臺計算機中，其組成部分也可以彼此獨立 位於多臺計算機內或具有數據處理功能的設備內。對應地，本申請還提供了一種網絡側的免登伺服器，請參照附圖7，該免登伺服器 包括接收單元701、查找單元702、確定單元703、判斷單元704和指示單元705，其中，接收單元701，用於接收上述單點登錄設備發來的登錄請求；查找單元702，用於查找登錄請求中包含的用戶標識對應的密碼；確定單元703，用於按照與單點登錄設備約定的方法，根據登錄請求包含的用戶標 識和本地URL，以及查找單元查找到的密碼，獲得伺服器端驗證信息；判斷單元704，用於判斷確定單元703獲得的伺服器端驗證信息與所述登錄請求中包含的驗證信息是否一致；指示單元705，用於在判斷單元704判斷出伺服器端驗證信息與登錄請求中包含 的驗證信息一致時，指示與所述單點登錄設備中的網頁瀏覽器請求登錄請求中包含的本地 URL，其中所述本地URL與用戶要訪問的目標頁面URL唯一對應。為了描述的方便，描述以上系統時以功能分為各種單元分別描述。當然，在實施本 申請時可以把各單元的功能在同一個或多個軟體和/或硬體中實現。顯然，本領域的技術人員可以對本申請進行各種改動和變型而不脫離本申請的精 神和範圍。這樣，倘若本申請的這些修改和變型屬於本申請權利要求及其等同技術的範圍 之內，則本申請也意圖包含這些改動和變型在內。
權利要求
1.一種單點登錄方法，其特徵在於，包括單點登錄設備中的客戶端處理單元向網頁服務單元發送註冊請求； 網頁服務單元確定與註冊請求中包含的目標網頁URL唯一對應的本地URL，並存儲所 述本地URL與目標網頁URL的對應關係，以及將包含所述本地URL的註冊響應發送給客戶 端處理單元；客戶端處理單元接收到註冊響應後向免登伺服器發送包含驗證信息和所述本地URL 的登錄請求；單點登錄設備接收免登伺服器基於登錄請求中的驗證信息對用戶身份驗證成功後發 送的指示，指示單點登錄設備中的網頁瀏覽器向網頁服務單元發送訪問本地URL的請求消 息；網頁服務單元根據所述請求消息，在確定存儲有請求訪問的本地URL與目標頁面URL 的對應關係時，指示網頁瀏覽器訪問對應的目標頁面URL。
2.如權利要求1所述的方法，其特徵在於，所述驗證信息為客戶端處理單元接收到注 冊響應後，按照預先與免登伺服器約定的方法，根據用戶輸入的用戶標識、密碼、以及註冊 響應中包含的本地URL確定出的。
3.如權利要求1所述的方法，其特徵在於，所述驗證信息為網頁服務單元接收到註冊 請求後，按照與免登伺服器約定的方法，根據確定出的與目標網頁唯一對應的本地URL、注 冊請求包含的用戶標識和密碼確定出的；網頁服務單元在確定出驗證信息後，將該驗證信息包含在註冊響應中發送給客戶端。
4.如權利要求3所述的方法，其特徵在於，網頁服務單元根據所述本地URL、註冊請求 包含的用戶標識和密碼、以及當前時間信息，來確定驗證信息；網頁服務單元發送給客戶端的註冊響應還包括所述時間信息； 客戶端處理單元向免登伺服器發送的登錄請求還包括所述時間信息； 免登伺服器根據登錄請求中包含的驗證信息進行驗證，具體包括 免登伺服器查找登錄請求中包含的用戶標識對應的密碼，並根據該用戶標識、查找到的密碼、登錄請求包含的本地URL和時間信息，獲得伺服器端 驗證信息，以及判斷登錄請求中包含的驗證信息和獲得的伺服器端驗證信息是否一致，在一致時，確 定驗證成功；否則，驗證失敗。
5.如權利要求4所述的方法，其特徵在於，網頁服務單元按照與免登伺服器約定的方 法，根據本地URL、註冊請求包含的用戶標識和密碼、以及當前時間信息，獲得驗證信息，具 體包括網頁服務單元獲得包含所述本地URL、用戶標識、密碼、以及當前時間信息的字符串，並 按照與免登伺服器約定的加密方法對獲得的字符串加密，以及 求取加密後的字符串的哈希反列； 網頁服務單元將求取的哈希反列作為驗證信息。
6.如權利要求1至3中任一權利要求所述的方法，其特徵在於，免登伺服器根據登錄請 求中包含的驗證信息，對用戶身份進行驗證，具體包括免登伺服器查找登錄請求中包含的用戶標識對應的密碼，並根據該用戶標識、查找到的密碼和登錄請求包含的本地URL，獲得伺服器端驗證信息，以及判斷登錄請求中包含的驗證信息和獲得的伺服器端驗證信息是否一致，在一致時，確 定驗證成功；否則，驗證失敗。
7.如權利要求1所述的方法，其特徵在於，註冊請求中包含的密碼為客戶端處理單元 按照與免登伺服器約定的加密方法，對用戶輸入的密碼加密後獲得的；免登伺服器根據登錄請求中包含的用戶標識查找到的密碼為按照約定的加密方法，對 用戶在該免登伺服器中註冊時輸入的密碼加密後獲得的。
8.如權利要求1所述的方法，其特徵在於，免登伺服器對用戶身份驗證成功後，指示單 點登錄設備中的網頁瀏覽器請求本地URL時，還包括按照與單點登錄設備中的網頁服務單 元約定的加密方法，對分配給用戶的認證憑據加密，並在指示單點登錄設備中的網頁瀏覽 器訪問本地URL的指示消息中攜帶加密後的認證憑據的步驟；以及網頁服務單元在確定出存儲有網頁瀏覽器訪問的本地URL與目標頁面URL的對應關係 後，還包括對網頁瀏覽器發送的訪問網頁的請求消息中攜帶的已加密的認證憑據解密，並 在指示網頁瀏覽器訪問對應的目標頁面URL的指示消息中攜帶解密後的認證憑據。
9.如權利要求1至3中任一權利要求所述的方法，其特徵在於，網頁服務單元在確定出 存儲有網頁瀏覽器訪問的本地URL與目標頁面URL的對應關係，並指示網頁瀏覽器訪問對 應的目標頁面URL後，還包括網頁服務單元清除存儲的所述本地URL與目標頁面URL的對應關係。
10.如權利要求1所述的方法，其特徵在於，所述網頁服務單元與客戶端處理單元位於 同一單點登錄設備內，或所述網頁服務單元獨立於單點登錄設備。
11.一種單點登錄方法，其特徵在於，包括免登伺服器接收到單點登錄設備發來的登錄請求後，查找登錄請求中包含的用戶標識 對應的密碼，以及根據用戶標識、查找到的密碼、登錄請求中包含的本地URL，獲得伺服器端驗證信息，以及在確定出登錄請求包含的驗證信息和伺服器端驗證信息一致後，指示所述單點登錄設 備中的網頁瀏覽器訪問所述本地URL，其中，所述本地URL與用戶要訪問的目標頁面URL唯—對應。
12.—種單點登錄設備，其特徵在於，包括客戶端處理單元，用於向網頁服務單元發送註冊請求，以及在接收到對應的註冊響應 後向免登伺服器發送包含驗證信息和註冊響應中包含的本地URL的登錄請求；網頁服務單元，用於接收註冊請求，確定與註冊請求包含的目標網頁URL唯一對應的 本地URL，並存儲所述本地URL與目標網頁URL的對應關係，向客戶端處理單元發送包含所 述本地URL的註冊響應，以及根據該單點登錄設備中的網頁瀏覽器發來的訪問網頁請求， 在確定存儲有網頁請求中的本地URL與目標頁面URL的對應關係時，指示所述網頁瀏覽器 訪問對應的目標頁面URL。
13.一種免登伺服器，其特徵在於，包括接收單元，用於接收單點登錄設備發來的登錄請求；查找單元，用於查找登錄請求中包含的用戶標識對應的密碼； 確定單元，用於按照與單點登錄設備約定的方法，根據登錄請求包含的用戶標識和本 地URL，以及查找單元查找到的密碼，獲得伺服器端驗證信息；判斷單元，用於判斷確定單元獲得的伺服器端驗證信息與所述登錄請求中包含的驗證 信息是否一致；指示單元，用於在判斷單元判斷出伺服器端驗證信息與登錄請求中包含的驗證信息一 致時，指示與所述單點登錄設備中的網頁瀏覽器請求登錄請求中包含的本地URL，其中所述 本地URL與用戶要訪問的目標頁面URL唯一對應。
14. 一種單點登錄系統，其特徵在於，包括單點登錄設備和免登伺服器，其中， 單點登錄設備，用於確定與目標URL唯一對應的本地URL，向免登伺服器發送包含驗證 信息和所述本地URL的登錄請求，以及在根據免登伺服器的指示，確定出存儲有免登服務 器指示請求的本地URL和目標頁面URL的對應關係時，向網絡側提供目標URL對應頁面的 網頁伺服器發送訪問目標頁面URL的請求消息；免登伺服器，用於接收登錄請求，以及在根據登錄請求中包含的驗證信息，對用戶身份 驗證成功後，指示單點登錄設備訪問登錄請求中包含的URL。
全文摘要
本發明公開了一種單點登錄方法、單點登錄系統以及相關裝置，用以解決現有技術中非法用戶冒充合法用戶訪問目標頁面的問題。該方法包括客戶端處理單元向網頁服務單元發送註冊請求；網頁服務單元確定與註冊請求中包含的目標網頁URL唯一對應的本地URL，以及將包含所述本地URL的註冊響應發送給客戶端處理單元；客戶端處理單元接收到註冊響應後向免登伺服器發送包含驗證信息和所述本地URL的登錄請求；單點登錄設備接收免登伺服器基於登錄請求中的驗證信息對用戶身份驗證成功後發送的指示，指示網頁瀏覽器向網頁服務單元發送訪問本地URL的請求消息；網頁服務單元根據所述請求消息，指示網頁瀏覽器訪問對應的目標頁面URL。
文檔編號H04L29/06GK101997685SQ20091017126
公開日2011年3月30日 申請日期2009年8月27日 優先權日2009年8月27日
發明者孔勇偉, 彭衛 申請人:阿里巴巴集團控股有限公司