CN104539615A - 基于cas的级联认证方法 - Google Patents
基于cas的级联认证方法 Download PDFInfo
- Publication number
- CN104539615A CN104539615A CN201410832772.1A CN201410832772A CN104539615A CN 104539615 A CN104539615 A CN 104539615A CN 201410832772 A CN201410832772 A CN 201410832772A CN 104539615 A CN104539615 A CN 104539615A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- target
- cas
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000008569 process Effects 0.000 claims description 43
- 238000012795 verification Methods 0.000 claims description 17
- 235000014510 cooky Nutrition 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 11
- 238000010200 validation analysis Methods 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 abstract description 11
- 208000011038 Cold agglutinin disease Diseases 0.000 description 34
- 208000020345 childhood apraxia of speech Diseases 0.000 description 34
- 208000014155 speech-language disorder-1 Diseases 0.000 description 34
- 238000005516 engineering process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 210000004258 portal system Anatomy 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了基于CAS的级联认证方法,用户在首次登陆时,由各个跨域的认证服务分别对用户进行一次认证,认证成功就为客户端分配一个TGT,用户客户端只要具备各个认证域的TGT,就可以实现在不同的部署单位之间跨域访问;在CAS框架基础之上,优化和扩展SSO认证机制,打破原有的不能跨部署单位的单点登陆,可以实现各个不同域的认证服务器间的认证联动,用户仅需在其中一个域进行一次登陆,就可以安全地访问其它部署单位,在有权限的业务系统,无需二次登陆,支撑了大型集团公司的跨单位应用整合需求,也提升了用户的应用体验。
Description
技术领域
本发明涉及信息技术领域,具体的说,是基于CAS的级联认证方法。
背景技术
CAS是主流的SSO开源解决方案,主要实现基于B/S结构的应用系统用户SSO,交互协议主要基于http及安全的https。
传统的SSO技术只能支撑用户在同一个部署单位内的业务系统SSO,无法实现跨部署单位(域)的SSO。
原生CAS技术提供的SSO认证机制如下:
1.由客户端和服务端两部分组成;在应用时,客户端被集成到业务系统运行时环境中(此处的业务系统是指需要集成SSO认证的系统),服务端则独立部署。
2.用户访问业务系统时,内置的CAS客户端组件会拦截用户请求,并检查用户会话有效性。如果会话有效,则允许访问;如果会话无效,则将用户请求转发至服务端,进入下一步。
3.CAS服务端检测用户客户端是否存储了TGT,如果有则说明已经登陆过,则自动为客户端生成用于访问业务系统使用的ST,并将请求再次转发到业务系统端。业务系统根据第2步的描述再次进行ST和会话校验。但如果检测到客户端没有TGT,服务端将会展现登陆界面,要求用户登陆,并进入下一步。
4.用户输入登陆认证信息并提交,CAS服务器对登陆信息进行校验,校验通过则为客户端生成TGT,同时产生ST,然后将请求转发到业务系统。此时用户将成功进入系统,并建立有效的Session。
这种机制只能支持本部署单位(域)范围内的系统单点登陆。如果同一个用户在不同单位都具备某套系统的访问权限,那么该用户必须分别在不同的单位进行一次登陆,用户体验较差,而在大型集团公司,此类应用场景十分普遍。
在大型集团公司的应用架构中,往往存着一些业务系统采用分级/分单位部署,例如总部和各分子公司均单独部署。但分子公司与总部业务系统又具有系统整合需求,这种系统整合主要采用界面集成的方式,最典型的就是企业门户系统。界面的集成,尤其是跨单位、跨域的场景下,就必须依赖具备级联能力的SSO技术支撑。标准的开源CAS框架,只能做到相同部署单位内业务系统的用户单点登陆(SSO),无法做到跨部署单位的SSO贯穿。这样的限制,无法支撑大型集团公司的跨单位的应用整合,因此必须寻求突破,为了支撑集团各单位与总部的系统整合,提升用户体验,必须打破原有的SSO限制,实现跨部署单位间的单点登陆共享,最终支撑业务系统整合。
发明内容
本发明的目的在于提供基于CAS的级联认证方法,在CAS框架基础之上,优化和扩展SSO认证机制,打破原有的不能跨部署单位的单点登陆,可以实现各个不同域的认证服务器间的认证联动,用户仅需在其中一个域进行一次登陆,就可以安全地访问其它部署单位,在有权限的业务系统,无需二次登陆,支撑了大型集团公司的跨单位应用整合需求,也提升了用户的应用体验。
本发明通过下述技术方案实现:基于CAS的级联认证方法,用户在首次登陆时,由各个跨域的认证服务分别对用户进行一次认证,认证成功就为客户端分配一个TGT,用户客户端只要具备各个认证域的TGT,就可以实现在不同的部署单位之间跨域访问;具体包括以下步骤:
1)在CAS客户端组件中,新开发一个Servlet程序,向请求端返回“目标认证服务”地址;
2)在CAS服务端,新开发一个基于http协议的“握手接口”,接收用户登陆凭证输入,生成一个FT,再以FT为标识将用户登陆凭证缓存起来,最后向调用端返回FT字段串;
3)在CAS服务端处理用户登陆凭证校验时,若用户登陆凭证正确,则将用户登陆凭证缓存起来,生成合法凭证,缓存标识采用当前用户的TGT字段串;
4)新开发一个专门用于处理“跨域认证”的http控制器程序,名为“目标控制器”,请求访问时要求传入“目标业务系统”的访问地址;
5)“目标控制器”从用户浏览器中获取TGT,然后通过TGT将记录在缓存中的合法凭证取出;
6)“目标控制器”向CAS客户端组件中新开发的Servlet程序发起http请求,获取到“目标业务系统”集成的“目标认证服务”地址;
7)“目标控制器”调用“握手接口”,在“握手接口”的缓存中临时存储用户登陆凭证,发送用户登陆凭证,并获得FT;
8)“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”,转发时将FT作为参数附带,用于进行登陆过程;
9)“目标认证服务”在处理用户登陆流程时,从用户请求的参数中获取FT,再根据FT从“握手接口”的缓存中提取用户登陆凭证,对用户登陆凭证进行校验,续继执行其它CAS登陆过程。
在CAS框架基础之上,优化和扩展SSO认证机制,打破原有的不能跨部署单位的单点登陆,可以实现各个不同域的认证服务器间的认证联动,用户仅需在其中一个域进行一次登陆,就可以安全地访问其它部署单位,在有权限的业务系统,无需二次登陆,支撑了大型集团公司的跨单位应用整合需求,也提升了用户的应用体验。
进一步的,为更好的实现本发明,在所述步骤8)中,“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”时,用户客户端收到一个跳转响应,跳转地址是“目标认证服务”的认证地址,向“目标认证服务”发起一个登陆认证请求,“目标认证服务”将收到用户客户端的“跨域认证请求”,在处理“跨域认证请求”时,首先从用户客户端解析是否具备有效的TGT,如果有效,则为用户客户端生成一个ST,然后将请求转发“系统访问流程”;如果无效则返回进行步骤9)。
进一步的,为更好的实现本发明,在所述步骤9)中,对用户登陆凭证进行校验包括以下步骤:
9.1)、身份验证成功:
9.1.1)、生成TGT、写Cookie:“跨域认证身份”校验成功,进入标准的CAS功能流程,即为用户客户端生成TGT,并将TGT写入CAS客户端Cookie中;
9.1.2)、生成ST、响应跳转:TGT产生成功后,再根据TGT为用户生成ST,然后将用户请求跳转至“系统访问流程”;
9.2)身份验证无效则响应登陆页面:在“跨域认证身份”校验失败的情况下,将返回一个登陆页面给用户客户端,要求用户进行登陆。
进一步的,为更好的实现本发明,所述“跨域认证身份”为“级联认证身份”。
进一步的,为更好的实现本发明,所述“系统访问流程”包括以下步骤:
(1)访问拦截:由“目标业务系统”处理,内置在“目标业务系统”中的“目标认证服务”的“认证客户端组件”将拦截到用户访问请求并调用“会话/ST校验”来决定下一步流程;
(2)“会话/ST校验”:由认证客户端组件检查“目标业务系统”中是否具备有效的Session会话,如果有效,则允许用户访问系统资源;如果没有会话,则检查访问请求中是否提供了有效的ST,如果具备有效的ST,则为用户创建一个有效的Session,并允许用户访问系统资源,如果没有提供有效的ST,则将请求转发至步骤8),重新进行登陆过程。
进一步的,为更好的实现本发明,所述“目标业务系统”为“级联目标业务系统”;所述“目标认证服务”为“级联目标认证服务”;所述“跨域认证”为“级联认证”;所述“握手接口”为“级联握手接口”;所述“目标控制器”为“级联控制器”。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明在CAS框架基础之上,优化和扩展SSO认证机制,打破原有的不能跨部署单位的单点登陆,可以实现各个不同域的认证服务器间的认证联动,用户仅需在其中一个域进行一次登陆,就可以安全地访问其它部署单位,在有权限的业务系统,无需二次登陆,支撑了大型集团公司的跨单位应用整合需求,也提升了用户的应用体验。
(2)本发明扩展新的处理过程,与原有的单点登陆机制有效地结合,而不破坏原有的流程结构,这使得在无需级联认证的应用场景中,仍然可以采用原有功能。
(3)本发明可动态支持任意不同部署域间的级联认证服务,而无需预先对系统进行配置。
(4)本发明所述的用户登陆凭证在本地认证服务和目标认证服务中具有一致性。
附图说明
图1为本发明所述级联认证具体的处理流程图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
级联认证:指用户跨部署单位的单点登陆,传统的单点登陆一般只适用于系统部署单位内部,不能实现在不同的部署域之间共享,采用级联认证技术,可以实现用户在不同的部署单位之间的业务系统单点登陆。
部署单位/部署域:即单套4A平台部署的范围,例如大型集团公司分别会在总部、各个分/子公司分别部署一套,中的每一套,就是一个部署单位。
跨单位/跨域:指不同部署单位间的认证系统或业务的通讯。
SSO:指单点登陆。
CAS:一种开源的SSO认证技术。
ST:服务票,用于客户端访问一个业务时提供的有效票据。
TGT:身份票,用于标识用户认证状态,以Cookie形式存储在客户端,同时存储在服务端缓存。
FT:级联票,用于标识一次级联认证请求,并可映射到具体的登陆凭证。
用户登陆凭证:即用户登陆系统时应提供的身份证明信息,常用的用户登陆凭证有账户/密码、数字证书等。
认证服务:指CAS服务器,用于处理用户登陆过程,验证用户登陆凭证,并提供SSO支持。
级联目标业务系统:指部署在用户所在单位之外的,且当前用户具有一定访问权限的业务系统。例如在电力行业,省公司用户可能会具有某套总部业务系统的访问需求,那么总部这套业务系统对于省公司用户来说,就是级联目标业务系统。
级联目标认证服务:指级联目标业务系统在其部署域内集成的认证服务器。
实施例1:
基于CAS的级联认证方法,用户在首次登陆时,由各个跨域的认证服务分别对用户进行一次认证,认证成功就为客户端分配一个TGT,用户客户端只要具备各个认证域的TGT,就可以实现在不同的部署单位之间跨域访问;具体包括以下步骤:
1)在CAS客户端组件中,新开发一个Servlet程序,向请求端返回级联目标认证服务地址;
2)在CAS服务端,新开发一个基于http协议的级联握手接口,接收用户登陆凭证输入,生成一个FT,再以FT为标识将用户登陆凭证缓存起来,最后向调用端返回FT字段串;
3)在CAS服务端处理用户登陆凭证校验时,若用户登陆凭证正确,则将用户登陆凭证缓存起来,生成合法凭证,缓存标识采用当前用户的TGT字段串;
4)新开发一个专门用于处理级联认证的http控制器程序,名为“级联控制器”,请求访问时要求传入级联目标业务系统的访问地址;
5)级联控制器从用户浏览器中获取TGT,然后通过TGT将记录在缓存中的合法凭证取出;
6)级联控制器向CAS客户端组件中新开发的Servlet程序发起http请求,获取到级联目标业务系统集成的级联目标认证服务地址;
7)级联控制器调用级联握手接口,在级联握手接口的缓存中临时存储用户登陆凭证,发送用户登陆凭证,并获得FT;
8)级联控制器将用户请求转发至级联目标业务系统集成的级联目标认证服务,转发时将FT作为参数附带,用于进行登陆过程;
9)级联目标认证服务在处理用户登陆流程时,从用户请求的参数中获取FT,再根据FT从级联握手接口的缓存中提取用户登陆凭证,对用户登陆凭证进行校验,续继执行其它CAS登陆过程。
在CAS框架基础之上,优化和扩展SSO认证机制,打破原有的不能跨部署单位的单点登陆,可以实现各个不同域的认证服务器间的认证联动,用户仅需在其中一个域进行一次登陆,就可以安全地访问其它部署单位,在有权限的业务系统,无需二次登陆,支撑了大型集团公司的跨单位应用整合需求,也提升了用户的应用体验。
可动态支持任意不同部署域间的级联认证服务,而无需预先对系统进行配置。
用户登陆凭证在本地认证服务和目标认证服务中具有一致性。
实施例2:
本实施例是在上述实施例的基础上进一步优化,进一步的,为更好的实现本发明,在所述步骤8)中,级联控制器将用户请求转发至级联目标业务系统集成的级联目标认证服务时,用户客户端收到一个跳转响应,跳转地址是级联目标认证服务的认证地址,向级联目标认证服务发起一个登陆认证请求,级联目标认证服务将收到用户客户端的级联认证请求,在处理请求时,首先从用户客户端解析是否具备有效的TGT,如果有效,则为用户客户端生成一个ST,然后将请求转发“系统访问流程”;如果无效则返回进行步骤9)。
扩展新的处理过程,与原有的单点登陆机制有效地结合,而不破坏原有的流程结构,这使得在无需级联认证的应用场景中,仍然可以采用原有功能。
实施例3:
本实施例是在实施例1的基础上进一步优化,进一步的,为更好的实现本发明,在所述步骤9)中,对用户登陆凭证进行校验包括以下步骤:
9.1)、身份验证成功:
9.1.1)、生成TGT、写Cookie:级联认证身份校验成功,进入标准的CAS功能流程,即为用户客户端生成TGT,并将TGT写入CAS客户端Cookie中;
9.1.2)、生成ST、响应跳转:TGT产生成功后,再根据TGT为用户生成ST,然后将用户请求跳转至“系统访问流程”;
9.2)身份验证无效则响应登陆页面:在级联认证身份校验失败的情况下,将返回一个登陆页面给用户客户端,要求用户进行登陆。
实施例4:
本实施例是在实施例2或3的基础上进一步优化,进一步的,为更好的实现本发明,所述“系统访问流程”包括以下步骤:
(1)访问拦截:由本地业务系统处理,内置在级联目标业务系统中的级联目标认证服务的“认证客户端组件”将拦截到用户访问请求并调用“会话/ST校验”来决定下一步流程;
(2)会话/ST校验:由认证客户端组件检查级联目标业务系统中是否具备有效的Session会话,如果有效,则允许用户访问系统资源;如果没有会话,则检查访问请求中是否提供了有效的ST,如果具备有效的ST,则为用户创建一个有效的Session,并允许用户访问系统资源,如果没有提供有效的ST,则将请求转发至步骤8),重新进行登陆过程。
实施例5:
本实施例是在上述任一实施例的基础上进一步优化,如图1所示,实现级联认证需要四个基本参与者:本地用户、本地认证服务、跨单位的业务系统(级联目标业务系统)、跨单位认证服务(级联目标认证服务)。
级联认证具体的处理流程如下:
1、级联访问:
用户在浏览器中输入本地认证服务的级联处理地址,并附带要级联访问的业务系统地址,此处的所指的业务系统是部署在用户所在单位以外的其它单位的系统(但当前用户具有访问权限),即级联目标业务系统,例如总部或分公司,由本地认证服务执行级联访问处理,访问的最终目标是指定的业务系统。
2、获取客户端Cookie:
本地(用户所在单位)认证服务受理用户级联请求,并从用户浏览器Cookie中获取TGT信息。
3、提取用户验证信息:
本地认证服务根据TGT在服务器内部缓存中获取到用户的登陆信息(账号信息),所缓存的用户信息,是在用户首次成功登陆后所记录下来的。
4、获取级联认证服务地址:
本地认证服务通过HTTP协议调用级联目标业务系统(级联访问的目标系统)的级联握手接口,获取级联目标业务系统所集成的级联目标认证服务(跨单位的)地址。此处的级联接口,由集成到业务系统中的认证客户端组件提供。
5、查询并返回认证服务地址:
级联目标业务系统接收http远程调用,将系统本地集成的本地认证服务器地址返回。这一过程的处理,由内置在级联目标业务系统中的级联目标认证服务客户端组件来完成。
6、传输认证信息并获取FT:
本地认证服务调用级联目标认证服务的级联接口,将合法的用户登陆信息传递过去,并接收返回的FT标识。为确保传输安全,接口的调用过程采用HTTPS协议。
7、缓存认证信息并生成FT:
级联目标认证服务的级联接口,将接收到本地认证服务发送的用户登陆信息,并将登陆信息临时缓存起来,同时为该用户生成一个FT并返回。
8、跳转至级联认证地址:
本地认证服务完成级联认证的交互,后将请求转发至登陆流程,转发时会将第7步中获取到的FT作为参数附带。
9、登陆请求:
用户客户端收到一个跳转响应,跳转地址是级联目标认证服务的认证地址,向距离目标认证服务器发起一个登陆认证请求。
10、TGT校验:
级联目标认证服务将收到客户端的级联认证请求,在处理级联认证请求时,首先从客户端解析是否具备有效的TGT;如果有效,则为用户客户端生成一个ST,然后将请求转发系统访问流程(11、生成ST响应跳转,12、系统访问);如果为无效,则进行身份校验。
11-A、身份校验:
级联目标认证服务从认证请求中获取FT(FT在第8步做跳转时已经传过来),并根据FT从缓存中找到对应的用户登陆信息(此处的登陆信息已经在第7步时缓存起来),再对用户登陆信息的正确性进行校验。如果校验成功,进入12-A,校验失败进入12-B。
12-A、生成TGT、写Cookie:
级联认证身份校验成功,进入标准的CAS功能流程,即为用户客户端生成TGT,并将TGT写入CAS客户端Cookie中,顺序进入13-A。
12-B、响应登陆页面:
在级联认证身份校验失败的情况下,将返回一个登陆页面给用户客户端,要求用户进行登陆。
13-A、生成ST、响应跳转:
TGT产生成功后,再根据TGT为用户生成ST,然后将用户请求跳转至系统访问流程,进入12步。
13、访问拦截:
由级联目标业务系统处理,内置在级联目标业务系统中的认证服务客户端组件将拦截到用户访问请求,并调用第14步来决定下一步流程。
14、会话/ST校验
由认证客户端组件检查级联目标业务系统中是否具备有效的Session会话,如果有效,则允许用户访问系统资源(15-A、允许访问);如果无效则进入“15-B、响应跳转”(如果没有会话,则检查访问请求中是否提供了有效的ST,如果具备有效的ST,则为用户创建一个有效的Session,并允许用户访问系统资源,如果没有提供有效的ST,则将请求转发至第9步,重新进行登陆过程。
所述的用户登陆凭证在本地认证服务和目标认证服务中具有一致性;扩展新的处理过程,与原有的单点登陆机制有效地结合,而不破坏原有的流程结构,这使得在无需级联认证的应用场景中,仍然可以采用原有功能;可动态支持任意不同部署域间的级联认证服务,而无需预先对系统进行配置。
本发明在CAS框架基础之上,优化和扩展SSO认证机制,打破原有的不能跨部署单位的单点登陆,可以实现各个不同域的认证服务器间的认证联动,用户仅需在其中一个域进行一次登陆,就可以安全地访问其它部署单位,在有权限的业务系统,无需二次登陆,支撑了大型集团公司的跨单位应用整合需求,也提升了用户的应用体验。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (6)
1.基于CAS的级联认证方法,其特征在于:用户在首次登陆时,由各个跨域的认证服务分别对用户进行一次认证,认证成功就为客户端分配一个TGT,用户客户端只要具备各个认证域的TGT,就可以实现在不同的部署单位之间跨域访问;具体包括以下步骤:
1)在CAS客户端组件中,新开发一个Servlet程序,向请求端返回“目标认证服务”地址;
2)在CAS服务端,新开发一个基于http协议的“握手接口”,接收用户登陆凭证输入,生成一个FT,再以FT为标识将用户登陆凭证缓存起来,最后向调用端返回FT字段串;
3)在CAS服务端处理用户登陆凭证校验时,若用户登陆凭证正确,则将用户登陆凭证缓存起来,生成合法凭证,缓存标识采用当前用户的TGT字段串;
4)新开发一个专门用于处理“跨域认证”的http控制器程序,名为“目标控制器”,请求访问时要求传入“目标业务系统”的访问地址;
5)“目标控制器”从用户浏览器中获取TGT,然后通过TGT将记录在缓存中的合法凭证取出;
6)“目标控制器”向CAS客户端组件中新开发的Servlet程序发起http请求,获取到“目标业务系统”集成的“目标认证服务”地址;
7)“目标控制器”调用“握手接口”,在“握手接口”的缓存中临时存储用户登陆凭证,发送用户登陆凭证,并获得FT;
8)“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”,转发时将FT作为参数附带,用于进行登陆过程;
9)“目标认证服务”在处理用户登陆流程时,从用户请求的参数中获取FT,再根据FT从“握手接口”的缓存中提取用户登陆凭证,对用户登陆凭证进行校验,续继执行其它CAS登陆过程。
2.根据权利要求1所述的基于CAS的级联认证方法,其特征在于:在所述步骤8)中,“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”时,用户客户端收到一个跳转响应,跳转地址是“目标认证服务”的认证地址,向“目标认证服务”发起一个登陆认证请求,“目标认证服务”将收到用户客户端的“跨域认证请求”,在处理“跨域认证请求”时,首先从用户客户端解析是否具备有效的TGT,如果有效,则为用户客户端生成一个ST,然后将请求转发“系统访问流程”;如果无效则返回进行步骤9)。
3.根据权利要求1所述的基于CAS的级联认证方法,其特征在于:在所述步骤9)中,对用户登陆凭证进行校验包括以下步骤:
9.1)、身份验证成功:
9.1.1)、生成TGT、写Cookie:“跨域认证身份”校验成功,进入标准的CAS功能流程,即为用户客户端生成TGT,并将TGT写入CAS客户端Cookie中;
9.1.2)、生成ST、响应跳转:TGT产生成功后,再根据TGT为用户生成ST,然后将用户请求跳转至“系统访问流程”;
9.2)身份验证无效则响应登陆页面:在“跨域认证身份”校验失败的情况下,将返回一个登陆页面给用户客户端,要求用户进行登陆。
4.根据权利要求3所述的基于CAS的级联认证方法,其特征在于:所述“跨域认证身份”为“级联认证身份”。
5.根据权利要求2或3或4所述的基于CAS的级联认证方法,其特征在于:所述“系统访问流程”包括以下步骤:
(1)访问拦截:由“目标业务系统”处理,内置在“目标业务系统”中的“认证客户端组件”将拦截到用户访问请求并调用“会话/ST校验”来决定下一步流程;
(2)“会话/ST校验”:由认证客户端组件检查“目标业务系统”中是否具备有效的Session会话,如果有效,则允许用户访问系统资源;如果没有会话,则检查访问请求中是否提供了有效的ST,如果具备有效的ST,则为用户创建一个有效的Session,并允许用户访问系统资源,如果没有提供有效的ST,则将请求转发至步骤8),重新进行登陆过程。
6.根据权利要求1或2或3或4所述的基于CAS的级联认证方法,其特征在于:所述“目标业务系统”为“级联目标业务系统”;所述“目标认证服务”为“级联目标认证服务”;所述“跨域认证”为“级联认证”;所述“握手接口”为“级联握手接口”;所述“目标控制器”为“级联控制器”。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410832772.1A CN104539615B (zh) | 2014-12-29 | 2014-12-29 | 基于cas的级联认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410832772.1A CN104539615B (zh) | 2014-12-29 | 2014-12-29 | 基于cas的级联认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104539615A true CN104539615A (zh) | 2015-04-22 |
| CN104539615B CN104539615B (zh) | 2018-02-06 |
Family
ID=52855084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410832772.1A Expired - Fee Related CN104539615B (zh) | 2014-12-29 | 2014-12-29 | 基于cas的级联认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104539615B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105430014A (zh) * | 2015-12-30 | 2016-03-23 | 福建亿榕信息技术有限公司 | 一种单点登录方法及其系统 |
| CN106357686A (zh) * | 2016-10-26 | 2017-01-25 | 中企动力科技股份有限公司 | 单点认证方法和系统 |
| CN106685998A (zh) * | 2017-02-24 | 2017-05-17 | 浙江仟和网络科技有限公司 | 一种基于cas统一认证服务中间件的sso认证方法 |
| CN106850503A (zh) * | 2015-12-04 | 2017-06-13 | 阿里巴巴集团控股有限公司 | 一种免登录身份认证方法及装置 |
| CN107911379A (zh) * | 2017-11-29 | 2018-04-13 | 链家网(北京)科技有限公司 | 一种cas服务器 |
| CN108600266A (zh) * | 2018-05-09 | 2018-09-28 | 聚龙股份有限公司 | 一种声明过滤认证方法及认证系统 |
| CN109495486A (zh) * | 2018-11-30 | 2019-03-19 | 成都知道创宇信息技术有限公司 | 一种基于JWT的单页Web应用集成CAS的方法 |
| CN109639788A (zh) * | 2018-12-05 | 2019-04-16 | 苏州思必驰信息科技有限公司 | 用于语音对话平台的跨域名联调方法及系统 |
| CN109698828A (zh) * | 2018-12-21 | 2019-04-30 | 浪潮软件集团有限公司 | 一种用户认证的系统及方法 |
| CN110830512A (zh) * | 2019-12-10 | 2020-02-21 | 宝付网络科技(上海)有限公司 | 一种基于域帐户多平台统一认证系统 |
| CN112446015A (zh) * | 2020-12-01 | 2021-03-05 | 山东健康医疗大数据有限公司 | 一种基于两级部署的用户登录认证方法 |
| CN114938279A (zh) * | 2022-06-16 | 2022-08-23 | 浪潮集团有限公司 | 一种基于云平台带安全认证的量子芯片eda设计方法 |
| CN115118454A (zh) * | 2022-05-25 | 2022-09-27 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
| CN116155631A (zh) * | 2023-04-21 | 2023-05-23 | 四川中电启明星信息技术有限公司 | 一种企业级的正反向级联认证方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060143685A1 (en) * | 2004-12-23 | 2006-06-29 | Microsoft Corporation | Systems and processes for managing policy change in a distributed enterprise |
| KR20100040366A (ko) * | 2008-10-10 | 2010-04-20 | 주식회사 드리머아이 | 메모리 카드 기반의 ts 패킷 처리를 위한 수신 제한 시스템 |
-
2014
- 2014-12-29 CN CN201410832772.1A patent/CN104539615B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060143685A1 (en) * | 2004-12-23 | 2006-06-29 | Microsoft Corporation | Systems and processes for managing policy change in a distributed enterprise |
| KR20100040366A (ko) * | 2008-10-10 | 2010-04-20 | 주식회사 드리머아이 | 메모리 카드 기반의 ts 패킷 처리를 위한 수신 제한 시스템 |
Non-Patent Citations (2)
| Title |
|---|
| 季昉: ""基于CAS的Web单点登录系统的应用研究"", 《硕士学位论文》 * |
| 雷传锐: ""基于CAS的跨平台安全单点登录服务的设计与实现"", 《硕士学位论文》 * |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850503A (zh) * | 2015-12-04 | 2017-06-13 | 阿里巴巴集团控股有限公司 | 一种免登录身份认证方法及装置 |
| CN106850503B (zh) * | 2015-12-04 | 2020-07-03 | 阿里巴巴集团控股有限公司 | 一种免登录身份认证方法及装置 |
| CN105430014A (zh) * | 2015-12-30 | 2016-03-23 | 福建亿榕信息技术有限公司 | 一种单点登录方法及其系统 |
| CN105430014B (zh) * | 2015-12-30 | 2019-04-23 | 福建亿榕信息技术有限公司 | 一种单点登录方法及其系统 |
| CN106357686A (zh) * | 2016-10-26 | 2017-01-25 | 中企动力科技股份有限公司 | 单点认证方法和系统 |
| CN106685998B (zh) * | 2017-02-24 | 2020-02-07 | 浙江仟和网络科技有限公司 | 一种基于cas统一认证服务中间件的sso认证方法 |
| CN106685998A (zh) * | 2017-02-24 | 2017-05-17 | 浙江仟和网络科技有限公司 | 一种基于cas统一认证服务中间件的sso认证方法 |
| CN107911379A (zh) * | 2017-11-29 | 2018-04-13 | 链家网(北京)科技有限公司 | 一种cas服务器 |
| CN107911379B (zh) * | 2017-11-29 | 2020-02-21 | 贝壳找房(北京)科技有限公司 | 一种cas服务器 |
| CN108600266A (zh) * | 2018-05-09 | 2018-09-28 | 聚龙股份有限公司 | 一种声明过滤认证方法及认证系统 |
| CN108600266B (zh) * | 2018-05-09 | 2020-09-22 | 聚龙股份有限公司 | 一种声明过滤认证方法及认证系统 |
| CN109495486A (zh) * | 2018-11-30 | 2019-03-19 | 成都知道创宇信息技术有限公司 | 一种基于JWT的单页Web应用集成CAS的方法 |
| CN109495486B (zh) * | 2018-11-30 | 2020-12-22 | 成都知道创宇信息技术有限公司 | 一种基于JWT的单页Web应用集成CAS的方法 |
| CN109639788B (zh) * | 2018-12-05 | 2021-09-24 | 思必驰科技股份有限公司 | 用于语音对话平台的跨域名联调方法及系统 |
| CN109639788A (zh) * | 2018-12-05 | 2019-04-16 | 苏州思必驰信息科技有限公司 | 用于语音对话平台的跨域名联调方法及系统 |
| CN109698828A (zh) * | 2018-12-21 | 2019-04-30 | 浪潮软件集团有限公司 | 一种用户认证的系统及方法 |
| CN110830512A (zh) * | 2019-12-10 | 2020-02-21 | 宝付网络科技(上海)有限公司 | 一种基于域帐户多平台统一认证系统 |
| CN112446015A (zh) * | 2020-12-01 | 2021-03-05 | 山东健康医疗大数据有限公司 | 一种基于两级部署的用户登录认证方法 |
| CN115118454A (zh) * | 2022-05-25 | 2022-09-27 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
| CN115118454B (zh) * | 2022-05-25 | 2023-06-30 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
| CN114938279A (zh) * | 2022-06-16 | 2022-08-23 | 浪潮集团有限公司 | 一种基于云平台带安全认证的量子芯片eda设计方法 |
| CN116155631A (zh) * | 2023-04-21 | 2023-05-23 | 四川中电启明星信息技术有限公司 | 一种企业级的正反向级联认证方法及系统 |
| CN116155631B (zh) * | 2023-04-21 | 2023-07-28 | 四川中电启明星信息技术有限公司 | 一种企业级的正反向级联认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104539615B (zh) | 2018-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104539615A (zh) | 基于cas的级联认证方法 | |
| US10382434B2 (en) | Actively federated mobile authentication | |
| US10541991B2 (en) | Method for OAuth service through blockchain network, and terminal and server using the same | |
| US10225260B2 (en) | Enhanced authentication security | |
| CN109981561A (zh) | 单体架构系统迁移到微服务架构的用户认证方法 | |
| Hammood et al. | A review of user authentication model for online banking system based on mobile IMEI number | |
| CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| KR101238687B1 (ko) | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 | |
| US9032490B1 (en) | Techniques for authenticating a user with heightened security | |
| Oh et al. | The security limitations of sso in openid | |
| Ziyad et al. | Critical review of authentication mechanisms in cloud computing | |
| CN105592026A (zh) | 一种多网段多系统单点登录方法 | |
| CN114978773A (zh) | 一种单包认证方法及系统 | |
| KR101297118B1 (ko) | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 | |
| CN102255904A (zh) | 一种通信网络以及对终端的认证方法 | |
| CN105187417B (zh) | 权限获取方法和装置 | |
| CN106534196A (zh) | 一种抗口令猜测重放攻击的身份验证方法 | |
| CN104243488B (zh) | 一种跨网站服务器的登录认证方法 | |
| US7631344B2 (en) | Distributed authentication framework stack | |
| CN114500074B (zh) | 单点系统安全访问方法、装置及相关设备 | |
| CN111199035A (zh) | 一种接口加密数据传输的单点登录方法 | |
| FI121646B (fi) | Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan | |
| KR101400736B1 (ko) | 신뢰기관과의 연계를 통한 부인방지기능을 포함한 전화인증서 구현방법 및 시스템 | |
| Damabi | Security analysis of the OpenID financial-grade API |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180206 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |