CN110519296B - 一种异构web***的单点登录与登出方法 - Google Patents

Abstract

本发明公开了一种异构web***的单点登录与登出方法，其特征在于，在异构web***环境中，通过在单点认证中心配置主‑从应用匹配表和登录与登出操作表，在主应用完成登录与登出后向单点登录认证中心请求获取从应用信息，并主动告知各子应用同步执行登录与登出，包括单点登录方法和单点登出方法。可以达到避免子应用登录时需要去请求认证中心执行登录，减少不同异构***跟SSO认证中心的频繁交互从而降低SSO认证中心的负载；在不改动原始异构web***的条件下，以最小代码修改量解决多账号体系的web异构***单点登录问题的效果。

Description

一种异构web***的单点登录与登出方法

技术领域

本发明属于互联网技术领域，具体涉及一种异构web***的单点登录与登出方法。

背景技术

随着企业的发展，***越来越多，为了方便用户操作，需要解决“登录一次即可访问其他相互信任的应用***”的问题，单点登录***应运而生。所述单点登录(Single SignOn，简称SSO)，是指在多个应用***中，只需要登录一次即可访问其他相互信任的应用***。现有大部分实现单点登录的***都是同构***，即不同***拥有同一个账号体系，通常实现过程是：登录集成在认证***中，当用户第一次访问应用***1的时候，因为还没有登录，会被引导到认证***中进行登录；根据用户提供的登录信息，认证***进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候就会将这个ticket带上，作为自己认证的凭据，应用***接受到请求之后会把ticket送到认证***进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用***2和应用***3了。然而这种普遍被认可的方法并不是真正意义上的同步登录，因为***2和***3只有在访问登录时从认证***中请求获取到账号密码才能实现登录，每一次的登录都需要请求认证***，频繁的请求无疑增加认证***的负载率；再者，如若针对不同的账号体系的单点登录，不仅需要在认证***配置适用于不同账号的登录认证，且每一次账号体系的变更都带来繁重的修改工作。

市面上关于异构***间的单点登录方法鲜有提出，专利“一种异构WEB***单点登录的方法”利用CAS客户端能方便集成各种技术架构下WEB***的这一优势，步骤有：步骤S1：单点登录客户端从用户请求URL中读取ST信息，若读取成功，执行步骤S5；若读取失败，执行步骤S2；步骤S2：单点登录客户端从浏览器Cookie中读取TGT信息，若存在，执行步骤S4；若不存在，执行步骤S3；步骤S3：单点登录服务端验证用户身份认证信息并生成TGT；步骤S4：单点登录服务端认证TGT并生成ST；步骤S5：单点登录服务端认证ST并加载页面内容。虽然该专利基于传统的CAS进行改造，解决了现有异构WEB***单点登录难度高、***稳定性差的问题，但仍不能避免异构web应用每次登陆访问对认证中心的频繁请求，且也没有实现真正意义上的同步登录；如若将该专利技术应用解决不同账号体系的单点登录，改造难度也颇大。

综上，如何在不修改原web异构***的条件下，支持多账号体系的主动式单点登录与登出方法是当前值得探究的难题。

发明内容

本发明所要解决的技术问题是克服现有技术的不足，提供一种异构web***的单点登录与登出方法：在异构web***环境中，通过在单点认证中心配置主-从应用匹配表和登录/登出操作表，在主应用完成登录/登出后向单点登录认证中心请求获取从应用信息，并主动告知各子应用同步执行登录/登出，以避免子应用登录时需要去请求认证中心执行登录，减少不同异构***跟SSO认证中心的频繁交互从而降低SSO认证中心的负载；另一方面，在不改动原始异构web***的条件下，以最小代码修改量解决多账号体系的web异构***单点登录问题。

为解决上述技术问题，本发明提供一种异构web***的单点登录与登出方法，其特征在于，在异构web***环境中，通过在单点认证中心配置主-从应用匹配表和登录与登出操作表，在主应用完成登录与登出后向单点登录认证中心请求获取从应用信息，并主动告知各子应用同步执行登录与登出，包括单点登录方法和单点登出方法；所述单点登录方法是针对不同账号体系下的主动式单点登录方法，所述单点登出方法是针对不同账号体系下的主动式单点登出方法，具体实现步骤：

步骤1：获取同一个用户在不同web应用的登录账号信息，根据划定的单点登录应用群，建立基于应用的用户登录账号绑定关系，形成主-从应用匹配表，表字段包括：主应用web地址、主应用登录用户名、主应用用户ID、从应用web地址、从应用登录用户名、从应用用户ID；所述主-从应用匹配表保存在单点登录认证中心(所述单点登录认证中心简称为SSO认证中心)；

所述主应用，是用户主动登录或登出的应用；所述从应用，是关联于主应用且一同完成登录的应用；

所述SSO认证中心用于为主应用及从应用提供单点登录服务及登录认证服务；主应用和从应用之间的同步登录均需经SSO认证中心进行身份验证；

基于主-从应用匹配表的记录值，根据主应用的登录账号，确定与主应用同在一个单点登录应用群中的其他所有从应用及相应的登录账号；

步骤2：用户通过浏览器发送访问主应用的请求，待请求经主应用后台服务器响应完成登录后，向SSO认证中心请求单点登录服务；根据SSO认证中心存储的主-从应用匹配表，找到从应用及该用户在从应用中的登录账号信息；主应用根据获取的从应用信息，通知各从应用主动从SSO认证中心获取当前需登录的账号信息，在自己的账号***内执行登录逻辑，具体为：

步骤2-1：主应用解析用户请求访问的URL，URL请求中包括主应用web地址和用户登录账号，URL请求响应后，在主应用的账号***内通过身份验证，完成主应用的登录；主应用完成登录后，打包用户信息、主应用信息及访问Cookie信息一并发送至SSO认证中心请求单点登录认证；

所述用户信息包括：该登录用户的登录用户名、主应用登记的用户ID号及用户IP地址；所述应用信息包括：主应用web地址；

所述Cookie信息用于精准定位同一次的请求记录；

步骤2-2：SSO认证中心根据单点登录认证请求中的用户信息和主应用信息，扫描主-从应用匹配表记录，根据、登录用户名和主应用web地址提取参与本次单点登录的所有从应用的信息，包括从应用Web地址，从应用用户ID及登录用户名，并利用MD5加密算法随机生成验证码(所述验证码简称Token码)，用于校验从应用的登录认证；

步骤2-3：针对每一个匹配到的从应用，生成一条操作记录记入单点登录操作表，表内容包括主应用web地址、主应用登录用户名、从应用web地址、从应用登录用户名，从应用用户ID、Token码、Token状态值；所述Token状态值是用于标识Token码状态的正常与否，值分为“0”和“1”，其中0标识为Token码正常，即说明从应用没有执行登录；其中1标识为Token码失效，即说明从应用已执行登录；Token状态值初次生成时默认为“0”；

步骤2-4：SSO认证中心从单点登录操作表获取各从应用web地址，拼装消息URL为：主应用域名.setCookie？url＝从应用web地址&token＝token码，发送至主应用；

步骤2-5：主应用接收消息并提取消息中从应用的web地址及Token码；

步骤2-6：由于主应用和从应用有不同的域名地址，基于JSONP编写异步登录请求消息URL，主要内容为：login.从应用web地址.com/login/Token码，发往各从应用执行访问；

步骤2-7：从应用响应登录请求，从请求消息中提取Token码发往SSO认证中心；SSO登录认证中心根据Token码扫描单点登录操作表定位单点登录操作记录；如若定位到相应的记录，SSO登录认证中心完成对从应用的单点登录验证，提取从应用用户ID和用户名反馈给从应用；同时将单点登录操作表中Token状态值更新为1；

步骤2-8：待从应用获得用户ID和用户名，从后台数据库调取用户登录账户信息，并在从应用账户***内通过身份验证，执行从应用的登录；

步骤3：待用户退出单点登录应用群中的任一web应用时，由用户主动退出的主应用向SSO认证中心发出单点退出请求；SSO认证中心响应请求并返回所有从应用web地址；主应用根据获取的从应用web地址，通知所有从应用执行登出逻辑。

所述主应用和从应用分属于2个独立的应用***，且具有不同的账号***，即主应用和从应用的登录账号及密码均不一致。

所述步骤3的单点登出步骤具体包括：

步骤301：主应用完成登出后，向SSO认证中心请求单点登出；待SSO认证中心响应主应用用户发出的单点退出请求，基于主-从应用匹配表获取所有与主应用绑定的从应用web地址；

步骤302：SSO认证中心将所有从应用web地址打包成消息发送至主应用；

步骤303：基于JSONP编写异步登出请求消息，消息内容主要为：login.从应用web地址.com/logout，主应用将登出请求消息发往从应用；从应用接收消息后直接执行登出操作。

如若新增一个web应用加入单点登录应用群，在不修改该新web应用原账号***不被修改的前提下，在SSO认证中心的主-从应用匹配表中新增新web应用与其他web应用的登录账号绑定关系，建立同一用户在不同web应用登录账号的匹配；

如若取消一个web应用参与单点登录应用群，在直接在SSO认证中心的主-从应用匹配表中删除该应用与其他web应用间的绑定关系。

所述主应用或从应用还包括移动APP，在移动APP已登录的状态下，移动app去获取其他已登录web应用的登录账号信息，建立该移动APP登录账号与其他已登录web应用登录账号的绑定关系，并将该绑定关系录入主-从应用匹配表中；由于应用的web版和移动app之间共享登录账号，因此匹配表中记录的移动APP登录账号与其他应用web版登录账号绑定，也是应用web版间的账号绑定；然后按照异构web应用间单点登录实施过程，通知该应用web版执行登录操作。

本发明所达到的有益效果:

(1)本发明通过在SSO认证中心建立主-从应用匹配表，建立web异构***间的账号关联性，实现当主应用向SSO认证中心请求登录服务时能获取到关联从应用的登录账号信息，支持不同账号体系间的单点登录与登出，减少为不同账号体系设计访问入口的麻烦，减少大量人工代码编制的工作；

(2)本发明中通过SSO认证中心向主应用反馈从应用相关信息，由主应用主动通知从应用从SSO认证中心中获取账号信息，执行与主应用一同登录，显著提高单点登录效率及响应速度，减轻因不同异构***登录需跟SSO认证中心频繁交互而导致的SSO认证中心高负载。

附图说明

图1为本发明实施例中一种异构web***的单点登录流程图；

图2为本发明实施例中一种异构web***的单点登出流程图；

图3为本发明实施例中移动APP和Web应用间单点登录流程图；

图4为本发明实施例中一种异构web***的单点登录架构简图。

具体实施方式

下面结合附图和示例性实施例对本发明作进一步的说明：

在本发明实施例中，AA.com为主应用，BB.com为从应用，用户W在AA***的登录账号信息是：用户ID：UA-1；用户名：user135；用户W在BB***的登录账号信息：用户名：UB-2；用户名：user246；

如图1所示的一种异构web***的单点登录流程图，具体步骤包括：

步骤S101：在主-从应用匹配表绑定AA.com和BB.com的账号对应关系，表内容包括主应用web地址、主应用登录用户名、主应用用户ID、从应用web地址、从应用登录用户名、从应用用户ID，如下表1；将主-从应用匹配表保存在SSO认证中心，用于获取在单点登录过程中与主应用一同执行登录操作的从应用；

表1

步骤S102：用户W通过浏览器发送登录AA.com的请求URL，AA.com解析用户请求URL，提取用户W的登录账号信息经在账号***a验证通过，完成用户W对AA.com的登录访问；

步骤S103：AA.com从后台数据库中获取用户W的用户ID和用户名，连同用户IP、应用名及Cookie信息一起打包发送至SSO认证中心请求单点登录认证；

步骤S104：根据用户ID、用户名和应用名称，SSO认证中心从主-从应用匹配表中获取AA.com对应的所有从应用的信息，包括从应用Web地址及用户W在从应用中登记的用户ID和用户名，在本发明实施例中获取到的匹配信息为：BB.com、B-2、user_B2，利用MD5加密算法随机生成验证码(下文称：Token码)，用于校验BB.com的登录认证；

步骤S105：将AA.com、A-1、user_A1、BB.com、B-2、user_B2、Token码、Token状态值一并***单点登录操作表，其中Token状态值是用于标识Token码状态的正常与否，值分为“0”和“1”，其中0标识为Token码正常，即说明从应用没有执行登录；其中1标识为Token码失效，即说明从应用已执行登录；Token状态值初次生成时默认为“0”；

步骤S106：SSO认证中心从单点登录操作表获取BB.com的web地址，拼装消息为：setCookie？url＝BB.com&token＝toke码，发送至主应用AA.com；

步骤S107：AA.com接收消息并提取消息中从应用BB.com的web地址及Token码，基于JSONP编写异步登录请求消息，主要内容为：login.BB.com/login/Token码，通知从应用BB.com执行登录；

步骤S108：BB.com从请求消息中提取Token码发往SSO认证中心；SSO认证中心根据Token码扫描单点登录操作表定位到相应的单点登录操作记录，获取从应用登录的用户ID(B-2)及用户名(user_B2)并反馈给从应用；同时将当前定位到的单点登录操作记录的Token状态值更新为1，表明此Token码已经失效，以防止恶意访问用户伪造相同Token码执行登录；

步骤S109：BB.com根据用户ID：B-2和用户名：user_B2，从后台数据库中获取用户登录密码，并将用户名和登录密码发往账号***b验证，经账号***b验证通过方能完成登录；

待用户欲退出主应用时，主应用向SSO认证中心发出退出请求：SSO认证中心响应请求并返回所有从应用web地址；主应用执行退出，并向其他所有从应用发送停止访问的通知；

如图2所示的一种异构web***的单点登出流程图，具体步骤包括：

步骤S201：主应用完成登出后，向SSO认证中心请求单点登出；待SSO认证中心响应主应用用户发出的单点退出请求，基于主-从应用匹配表获取所有与主应用绑定的从应用web地址；

步骤S202：SSO认证中心将所有从应用web地址打包成消息发送至主应用；

步骤S203：基于JSONP编写异步登出请求消息，消息内容主要为：login.从应用web地址.com/logout，主应用将登出请求消息发往从应用；从应用接收消息后直接执行登出操作；

如图3所示的移动APP和Web应用间单点登录流程图，在本发明实施例中，web***CC有web版(简称：CC.com)和移动版(移动版简称：移动CC)，当前CC.com与BB.com之间不存在绑定关系，单点登录过程具体为：

步骤S301：同一个用户分别在主应用和从应用APP内执行登录操作：移动CC的账号***响应登录请求，通过验证账号信息，完成用户W在移动CC的登录；BB.com的账号***响应登录请求，通过验证账号信息，完成用户W在BB.com的登录

步骤S302：获取主应用和从应用app的账号信息，在SSO认证中心登记主应用和从应用app的账号绑定关系：BB.com以二维码形式开放账号信息获取入口，移动CC通过扫描二维码获取BB.com的登录账号信息，将二者的登录账号信息在主-从应用匹配表中录入，建立BB.com和CC.com的账号绑定关系配置于SSO认证中心；

步骤S303：基于在SSO认证中心录入的账号绑定关系，按照步骤203-步骤209的实施过程，完成从应用(如CC.com)和从应用APP(移动CC)之间的单点登录：BB.com从SSO认证中心获得CC.com的网址及Token码并远程请求CC.com登录；根据Token码，CC.com从SSO认证中心获取用户W登录CC.com的登录账号，经CC.com的账号***验证完成登录。

如图4所示的一种异构web***的单点登录***部署图，包括web***AA.com、SSO认证中心、web***BB.com，其中AA.com和BB.com同属一个单点登录应用群，是相互关联的web应用，但各自拥有相互独立的账号***及登录界面，如图中账号***a和账号***b；

在单点登录环境中，用户主动登录/登出应用为主应用，比如用户W最先登录AA.com，AA.com则为主应用，关联于AA.com一起完成登录的应用是从应用；AA.com和BB.com的匹配关系配置SSO认证中心，两个web应用的单点登录需经SSO认证中心进行验证。

本发明为异构web***的单点登录与登出方法，所达到的有益效果为:

(1)本发明通过在SSO认证中心建立主-从应用匹配表，建立web异构***间的账号关联性，实现当主应用向SSO认证中心请求登录服务时能获取到关联从应用的登录账号信息，支持不同账号体系间的单点登录与登出，减少为不同账号体系设计访问入口的麻烦，减少大量人工代码编制的工作；

(2)本发明中通过SSO认证中心向主应用反馈从应用相关信息，由主应用主动通知从应用从SSO认证中心中获取账号信息，执行与主应用一同登录，显著提高单点登录效率及响应速度，减轻因不同异构***登录需跟SSO认证中心频繁交互而导致的SSO认证中心高负载。

以上实施例不以任何方式限定本发明，凡是对以上实施例以等效变换方式做出的其它改进与应用，都属于本发明的保护范围。

Claims (4)

1.一种异构web***的单点登录与登出方法，其特征在于，在异构web***环境中，通过在单点认证中心配置主-从应用匹配表和登录与登出操作表，在主应用完成登录与登出后向单点登录认证中心请求获取从应用信息，并主动告知各子应用同步执行登录与登出，包括单点登录方法和单点登出方法；所述单点登录方法是针对不同账号体系下的主动式单点登录方法，所述单点登出方法是针对不同账号体系下的主动式单点登出方法，具体实现步骤：步骤1：获取同一个用户在不同web应用的登录账号信息，根据划定的单点登录应用群，建立基于应用的用户登录账号绑定关系，形成主-从应用匹配表，表字段包括：主应用web地址、主应用登录用户名、主应用用户ID、从应用web地址、从应用登录用户名、从应用用户ID；所述主-从应用匹配表保存在单点登录认证中心、所述单点登录认证中心简称为SSO认证中心；所述主应用，是用户主动登录或登出的应用；所述从应用，是关联于主应用且一同完成登录的应用；所述SSO认证中心用于为主应用及从应用提供单点登录服务及登录认证服务；主应用和从应用之间的同步登录均需经SSO认证中心进行身份验证；基于主-从应用匹配表的记录值，根据主应用的登录账号，确定与主应用同在一个单点登录应用群中的其他所有从应用及相应的登录账号；

步骤2：用户通过浏览器发送访问主应用的请求，待请求经主应用后台服务器响应完成登录后，向SSO认证中心请求单点登录服务；根据SSO认证中心存储的主-从应用匹配表，找到从应用及该用户在从应用中的登录账号信息；主应用根据获取的从应用信息，通知各从应用主动从SSO认证中心获取当前需登录的账号信息，在自己的账号***内执行登录逻辑，具体为：

步骤2-1：主应用解析用户请求访问的URL，URL请求中包括主应用web地址和用户登录账号，URL请求响应后，在主应用的账号***内通过身份验证，完成主应用的登录；主应用完成登录后，打包用户信息、主应用信息及访问Cookie信息一并发送至SSO认证中心请求单点登录认证；所述用户信息包括：该登录用户的登录用户名、主应用登记的用户ID号及用户IP地址；所述主应用信息包括：主应用web地址；所述Cookie信息用于精准定位同一次的请求记录；

步骤2-2：SSO认证中心根据单点登录认证请求中的用户信息和主应用信息，扫描主-从应用匹配表记录，根据登录用户名和主应用web地址提取参与本次单点登录的所有从应用的信息，包括从应用Web地址，从应用用户ID及登录用户名，并利用MD5加密算法随机生成验证码，所述验证码简称Token码，用于校验从应用的登录认证；

步骤2-3：针对每一个匹配到的从应用，生成一条操作记录记入单点登录操作表，表内容包括主应用web地址、主应用登录用户名、从应用web地址、从应用登录用户名，从应用用户ID、Token码、Token状态值；所述Token状态值是用于标识Token码状态的正常与否，值分为“0”和“1”，其中0标识为Token码正常，即说明从应用没有执行登录；其中1标识为Token码失效，即说明从应用已执行登录；Token状态值初次生成时默认为“0”；

步骤2-4：SSO认证中心从单点登录操作表获取各从应用web地址，拼装消息URL为：主应用域名.setCookie？url＝从应用web地址&token＝token码，发送至主应用；

步骤2-5：主应用接收消息并提取消息中从应用的web地址及Token码；步骤2-6：由于主应用和从应用有不同的域名地址，基于JSONP编写异步登录请求消息URL，主要内容为：login.从应用web地址.com/login/Token码，发往各从应用执行访问；

步骤2-7：从应用响应登录请求，从请求消息中提取Token码发往SSO认证中心；SSO登录认证中心根据Token码扫描单点登录操作表定位单点登录操作记录；如若定位到相应的记录，SSO登录认证中心完成对从应用的单点登录验证，提取从应用用户ID和用户名反馈给从应用；同时将单点登录操作表中Token状态值更新为1；

步骤2-8：待从应用获得用户ID和用户名，从后台数据库调取用户登录账户信息，并在从应用账户***内通过身份验证，执行从应用的登录；

步骤3：待用户退出单点登录应用群中的任一web应用时，由用户主动退出的主应用向SSO认证中心发出单点退出请求；SSO认证中心响应请求并返回所有从应用web地址；主应用根据获取的从应用web地址，通知所有从应用执行登出逻辑。

2.如权利要求1所述的一种异构web***的单点登录与登出方法，其特征在于：所述主应用和从应用分属于2个独立的应用***，且具有不同的账号***，即主应用和从应用的登录账号及密码均不一致。

3.如权利要求2所述的一种异构web***的单点登录与登出方法，其特征在于：所述步骤3的单点登出步骤具体包括：

步骤301：主应用完成登出后，向SSO认证中心请求单点登出；待SSO认证中心响应主应用用户发出的单点退出请求，基于主-从应用匹配表获取所有与主应用绑定的从应用web地址；

步骤302：SSO认证中心将所有从应用web地址打包成消息发送至主应用；

步骤303：基于JSONP编写异步登出请求消息，消息内容主要为：login.从应用web地址.com/logout，主应用将登出请求消息发往从应用；从应用接收消息后直接执行登出操作。

4.如权利要求3所述的一种异构web***的单点登录与登出方法，其特征在于：如若新增一个web应用加入单点登录应用群，在不修改该新web应用原账号***的前提下，在SSO认证中心的主-从应用匹配表中新增新web应用与其他web应用的登录账号绑定关系，建立同一用户在不同web应用登录账号的匹配；

如若取消一个web应用参与单点登录应用群，在直接在SSO认证中心的主-从应用匹配表中删除该应用与其他web应用间的绑定关系。

Images