基於Cookie的單點登錄輕量級實現方法
2023-10-23 12:13:37 2
基於Cookie的單點登錄輕量級實現方法
【專利摘要】本發明涉及計算機【技術領域】,請求保護一種基於Cookie的單點登錄方法,用戶在系統內的其中任意一個應用中登錄後在多個應用間進行無縫切換。當用戶在系統內應用間進行切換時,即當用戶瀏覽器攜帶Cookie重定向到要切換的目標Web應用時,目標Web應用單元的LoginFilter從Cookie中讀取信任憑證並攜帶信任憑證向認證伺服器請求有效性檢驗;認證服務系統檢驗後返回用戶的登錄信息,LoginFileter根據返回信息完成用戶在當前應用的登錄授權設置。本發明提出了一種輕量級的單點登錄解決方案,以信任憑據共享為核心來完成單點登錄功能,具有穩定、便捷、安全、易於擴展等優點。
【專利說明】基於Cookie的單點登錄輕量級實現方法
【技術領域】
[0001] 本發明涉及計算機技術。具體涉及一種在各個Web應用系統之間快捷的單點登錄 方法。
【背景技術】
[0002] 企業等機構的內部伺服器上通常需要部署多個Web應用。這些Web應用一般都是 在不同時期由不同的人員開發,大多使用著獨立的安全認證機制,導致用戶常常需要在各 個應用系統之間切換時需要多次登錄,帶來了不少麻煩和安全隱患。
[0003] 帶來麻煩和安全隱患的主要原因是口令的記憶和管理。傳統的認證系統都是基於 用戶名口令認證方式,而用戶為了簡便,一般都採用相同的口令,甚至使用相同的用戶名和 密碼。一旦其中有個別系統的用戶帳戶被不法分子截獲,有可能在多個系統中造成連鎖危 害。同時,隨著系統的增多,出錯的可能性就會增加,受到非法截獲和破壞的可能性也會 增大。在開發方面,軟體設計人員也不得不在創建一個新的應用時為其創建新的登錄系統, 造成了資源浪費。
[0004] 為了解決上述問題,一種名為單點登錄(Single Sign-on, SS0)的概念被提出。它 的提出是企業信息化不斷深化以及網絡應用不斷推廣的必然結果。所謂單點登錄,簡單地 說,就是用戶在一個登錄點進行身份驗證後,便可以根據該身份對一組與該登錄點相關的 應用進行訪問。SS0方便用戶訪問多個系統,用戶只需進行一次登錄操作,就可以在多個 Web應用系統間自由切換,不必重複輸入用戶名和密碼來確定身份。SS0技術將原來分散 的用戶管理集中起來,各個系統通過將同一使用者在當前系統使用的帳戶與其他系統的帳 戶建立聯繫進行用戶的身份認證。實現SS0的典型模型有經紀人模型、代理模型、代理和經 紀人模型、網關模型和令牌模型。
[0005] 具體的解決方案和應用產品有微軟的passport、IBM的Web Sphere等。儘管上述 SS0產品能夠較好地實現單點登錄功能,然而這些方案和產品有著各自的弱點,最明顯的 就是它們大都比較複雜且缺乏靈活性,在項目實踐中很難快速實施。
【發明內容】
[0006] 本發明針對現有技術的上述缺陷,在分析研究了上述一些SS0方案的基礎上,提 出了一種輕量級的單點登錄解決方案,在採用小型文本數據Cookie(某些網站為了辨別用 戶身份而儲存在用戶本地終端上的小型文本數據(通常經過加密))的基礎上結合信任憑 據,以信任憑據共享為核心來完成單點登錄功能,具有穩定、便捷、安全、易於擴展等優點。
[0007] 本發明解決上述技術問題的技術方案是,提出一種基於Cookie的單點登錄及系 統切換方法。用戶在一個應用中請求登錄,登錄後可在系統內應用間進行無縫切換,用戶 在系統內任一應用中的登錄註銷等操作對於系統內其他應用可產生一樣的登錄註銷等效 果。所述系統內應用間進行切換具體包括,用戶瀏覽器攜帶Cookie重定向到要切換的目 標應用,目標應用單元的LoginFilter從Cookie中讀取信任憑證,攜帶信任憑證向認證服 務器請求有效性檢驗,認證服務系統將有效性檢驗結果發回LoginFilter,如校驗失敗返回 到SS0系統重新填寫登錄帳戶信息;如果認證伺服器校驗信任憑據成功,認證服務系統給 LoginFilter返回用戶的登錄信息,LoginFilter根據返回的信息完成用戶在當前應用的 登錄授權設置。
[0008] 當用戶首次在一個應用中請求登錄時,系統執行如下步驟:由Web應用的 LoginFilter轉發登錄請求給認證服務系統,用戶瀏覽器重定向到認證服務系統;用戶 向SS0認證服務系統提交登錄帳戶及口令;如果帳戶口令驗證成功,認證服務系統將保 存用戶的登錄信息並設置用戶的全局登錄狀態;認證服務系統將與用戶對應的信任憑 證寫入Cookie中;用戶瀏覽器攜帶Cookie重定向到此前用戶訪問的應用;Web應用的 LoginFilter從Cookie中讀取信任憑證,然後攜帶信任憑證向認證伺服器請求有效性 檢驗,有效性檢驗結果由認證服務系統發回LoginFilter ;如果信任憑據校驗成功,貝1J認 證服務系統給LoginFilter返回用戶的登錄信息,LoginFilter根據返回的信息完成用 戶在當前應用的登錄授權設置。當用戶在某個應用中提交註銷請求時,將由當前應用的 LogoutFilter接收並轉發至SS0伺服器,註銷全局狀態後,再下發註銷應用Session信息的 請求,應用中的登出過濾器LogoutFilter註銷當前應用信息。用戶在某個應用中提交註銷 請求;當前應用中的LogoutFilter接收請求並轉發到認證服務系統;認證服務系統註銷當 前用戶的登錄狀態,刪除憑證信息;認證服務系統依次向所有應用的LogoutFilter發送注 銷請求;每個LogoutFilter接收到認證伺服器的註銷請求後,進行所在應用內部的用戶登 錄信息註銷操作。
[0009] 本發明提出了一種輕量級的單點登錄解決方法,此方法具有較好的可實施性和操 作性,較高的可管理性及安全性,易用及可擴展等特點,使所有網絡Web應用資源之間進行 無縫訪問,從而提高網絡用戶的工作效率,降低網絡操作費用,減少管理人員的維護工作 複雜性。
【專利附圖】
【附圖說明】
[0010] 圖1SS0系統框架示意圖;
[0011] 圖2系統內第一次登錄示意流程圖;
[0012] 圖3登錄後系統內應用間切換流程示意圖;
[0013] 圖4用戶登錄後在系統內註銷流程示意圖。
【具體實施方式】
[0014] 在SS0的框架中主要涉及兩個部分,一個是網站的伺服器,一個是用戶的瀏覽器。
[0015] 在網站的伺服器中,部署著具有不同功能的Web應用,包括管理用戶登錄認證授 權的認證服務系統和其他需要SS0功能支持的目標應用。認證服務系統是SS0的調控中 心,用戶向伺服器發送的所有請求都先經過應用的Filter, Filter包括LoginFilter和 LogoutFilter。當用戶發送的是與登錄認證相關的請求時,Filter會將請求轉發給認證服 務系統,認證服務系統接收到請求後進行相應處理,包括保存用戶的登錄信息和設置用戶 的全局登錄狀態等。如若是其他的服務請求,則Filter不會對該請求進行幹預。
[0016] 認證服務系統運作的核心思想與Liberty協議類似,是身份聯合(Identity Federation)。通過制定一種規則將同一個用戶在不同應用系統下的帳戶進行聯繫,例如統 一帳戶名和口令,對各個系統的帳戶進行綁定等。本文中的系統採取同一用戶口令的方式, 用戶的註冊、登錄以及註銷請求都由認證服務系統來完成。
[0017] 表1. 2. 1認證用戶表主要欄位信息
【權利要求】
1. 基於Cookie的單點登錄及系統切換方法,該方法包括:用戶在一個應用中請求登 錄,登錄後在系統內應用間進行無縫切換,用戶在系統內任一應用中的登錄註銷對於其他 應用產生同樣的登錄註銷操作,其特徵在於,所述系統內應用間進行切換具體包括,用戶瀏 覽器攜帶Cookie重定向到此前用戶訪問的應用;Web應用單元的LoginFilter從Cookie中 讀取信任憑證,攜帶信任憑證向認證伺服器請求有效性檢驗,認證服務系統將有效性檢驗 結果發回LoginFilter,如校驗失敗回到SSO系統重新填寫登錄帳戶信息;如果信任憑據校 驗成功,認證服務系統給LoginFilter返回用戶的登錄信息,LoginFilter根據返回的信息 完成用戶在當前應用的登錄授權設置。
2. 根據權利要求1所述的方法,其特徵在於,當用戶首次在一個應用中請求登錄時,包 括步驟:由Web應用的LoginFi Iter轉發登錄請求給認證服務系統,用戶瀏覽器重定向到認 證服務系統;用戶向SSO認證服務系統提交登錄帳戶及口令;如果帳戶口令驗證成功,認證 服務系統將保存用戶的登錄信息並設置用戶的全局登錄狀態;認證服務系統將與用戶對應 的信任憑證寫入Cookie中;用戶瀏覽器攜帶Cookie重定向到此前用戶訪問的應用;Web應 用的LoginFiIter從Cookie中讀取信任憑證,然後攜帶信任憑證向認證伺服器請求有效性 檢驗,有效性檢驗結果由認證服務系統發回LoginFilter ;如果信任憑據校驗成功,則認證 服務系統給LoginFilter返回用戶的登錄信息,LoginFilter根據返回的信息完成用戶在 當前應用的登錄授權設置。
3. 根據權利要求1所述的方法,其特徵在於,當用戶在某個應用中提交註銷請求時,將 由當前應用的Log0UtFilter接收並轉發至SSO伺服器,註銷全局狀態後,再下發註銷應用 Session信息的請求,應用中的LogoutFilter註銷當前應用下信息。
4. 根據權利要求3所述的方法,其特徵在於,用戶在某個應用中提交註銷請求;當前應 用中的Log0UtFilter接收請求並轉發到認證服務系統;認證服務系統註銷當前用戶的登 錄狀態,刪除憑證信息;認證服務系統依次向所有應用的Log 0UtFilter發送註銷請求;每 個Log0UtFilter接收到認證伺服器的註銷請求後,進行所在應用內部的用戶登錄信息注 銷操作。
【文檔編號】H04L29/06GK104320423SQ201410668869
【公開日】2015年1月28日 申請日期:2014年11月19日 優先權日:2014年11月19日
【發明者】白明澤, 舒坤賢, 李家彪, 冉奇, 歐陽超, 郭嘉蒙, 趙傑 申請人:重慶郵電大學