CN104539615B - 基于cas的级联认证方法 - Google Patents

Abstract

本发明公开了基于CAS的级联认证方法，用户在首次登陆时，由各个跨域的认证服务分别对用户进行一次认证，认证成功就为客户端分配一个TGT，用户客户端只要具备各个认证域的TGT，就可以实现在不同的部署单位之间跨域访问；在CAS框架基础之上，优化和扩展SSO认证机制，打破原有的不能跨部署单位的单点登陆，可以实现各个不同域的认证服务器间的认证联动，用户仅需在其中一个域进行一次登陆，就可以安全地访问其它部署单位，在有权限的业务系统，无需二次登陆，支撑了大型集团公司的跨单位应用整合需求，也提升了用户的应用体验。

Description

基于CAS的级联认证方法

技术领域

本发明涉及信息技术领域，具体的说，是基于CAS的级联认证方法。

背景技术

CAS是主流的SSO开源解决方案，主要实现基于B/S结构的应用系统用户SSO，交互协议主要基于http及安全的https。

传统的SSO技术只能支撑用户在同一个部署单位内的业务系统SSO，无法实现跨部署单位（域）的SSO。

原生CAS技术提供的SSO认证机制如下：

1.由客户端和服务端两部分组成；在应用时，客户端被集成到业务系统运行时环境中（此处的业务系统是指需要集成SSO认证的系统），服务端则独立部署。

2.用户访问业务系统时，内置的CAS客户端组件会拦截用户请求，并检查用户会话有效性。如果会话有效，则允许访问；如果会话无效，则将用户请求转发至服务端，进入下一步。

3.CAS服务端检测用户客户端是否存储了TGT，如果有则说明已经登陆过，则自动为客户端生成用于访问业务系统使用的ST，并将请求再次转发到业务系统端。业务系统根据第2步的描述再次进行ST和会话校验。但如果检测到客户端没有TGT，服务端将会展现登陆界面，要求用户登陆，并进入下一步。

4.用户输入登陆认证信息并提交，CAS服务器对登陆信息进行校验，校验通过则为客户端生成TGT，同时产生ST，然后将请求转发到业务系统。此时用户将成功进入系统，并建立有效的Session。

这种机制只能支持本部署单位（域）范围内的系统单点登陆。如果同一个用户在不同单位都具备某套系统的访问权限，那么该用户必须分别在不同的单位进行一次登陆，用户体验较差，而在大型集团公司，此类应用场景十分普遍。

在大型集团公司的应用架构中，往往存着一些业务系统采用分级/分单位部署，例如总部和各分子公司均单独部署。但分子公司与总部业务系统又具有系统整合需求，这种系统整合主要采用界面集成的方式，最典型的就是企业门户系统。界面的集成，尤其是跨单位、跨域的场景下，就必须依赖具备级联能力的SSO技术支撑。标准的开源CAS框架，只能做到相同部署单位内业务系统的用户单点登陆（SSO），无法做到跨部署单位的SSO贯穿。这样的限制，无法支撑大型集团公司的跨单位的应用整合，因此必须寻求突破，为了支撑集团各单位与总部的系统整合，提升用户体验，必须打破原有的SSO限制，实现跨部署单位间的单点登陆共享，最终支撑业务系统整合。

发明内容

本发明的目的在于提供基于CAS的级联认证方法，在CAS框架基础之上，优化和扩展SSO认证机制，打破原有的不能跨部署单位的单点登陆，可以实现各个不同域的认证服务器间的认证联动，用户仅需在其中一个域进行一次登陆，就可以安全地访问其它部署单位，在有权限的业务系统，无需二次登陆，支撑了大型集团公司的跨单位应用整合需求，也提升了用户的应用体验。

本发明通过下述技术方案实现：基于CAS的级联认证方法，用户在首次登陆时，由各个跨域的认证服务分别对用户进行一次认证，认证成功就为客户端分配一个TGT，用户客户端只要具备各个认证域的TGT，就可以实现在不同的部署单位之间跨域访问；具体包括以下步骤：

1）在CAS客户端组件中，新开发一个Servlet程序，向请求端返回“目标认证服务”地址；

2）在CAS服务端，新开发一个基于http协议的“握手接口”，接收用户登陆凭证输入，生成一个FT，再以FT为标识将用户登陆凭证缓存起来，最后向调用端返回FT字段串；

3）在CAS服务端处理用户登陆凭证校验时，若用户登陆凭证正确，则将用户登陆凭证缓存起来，生成合法凭证，缓存标识采用当前用户的TGT字段串；

4）新开发一个专门用于处理“跨域认证”的http控制器程序，名为“目标控制器”，请求访问时要求传入“目标业务系统”的访问地址；

5）“目标控制器”从用户浏览器中获取TGT，然后通过TGT将记录在缓存中的合法凭证取出；

6）“目标控制器”向CAS客户端组件中新开发的Servlet程序发起http请求，获取到“目标业务系统”集成的“目标认证服务”地址；

7）“目标控制器”调用“握手接口”，在“握手接口”的缓存中临时存储用户登陆凭证，发送用户登陆凭证，并获得FT；

8）“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”，转发时将FT作为参数附带，用于进行登陆过程；

9）“目标认证服务”在处理用户登陆流程时，从用户请求的参数中获取FT，再根据FT从“握手接口”的缓存中提取用户登陆凭证，对用户登陆凭证进行校验，续继执行其它CAS登陆过程。

在CAS框架基础之上，优化和扩展SSO认证机制，打破原有的不能跨部署单位的单点登陆，可以实现各个不同域的认证服务器间的认证联动，用户仅需在其中一个域进行一次登陆，就可以安全地访问其它部署单位，在有权限的业务系统，无需二次登陆，支撑了大型集团公司的跨单位应用整合需求，也提升了用户的应用体验。

进一步的，为更好的实现本发明，在所述步骤8）中，“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”时，用户客户端收到一个跳转响应，跳转地址是“目标认证服务”的认证地址，向“目标认证服务”发起一个登陆认证请求，“目标认证服务”将收到用户客户端的“跨域认证请求”，在处理“跨域认证请求”时，首先从用户客户端解析是否具备有效的TGT，如果有效，则为用户客户端生成一个ST，然后将请求转发“系统访问流程”；如果无效则返回进行步骤9）。

进一步的，为更好的实现本发明，在所述步骤9）中，对用户登陆凭证进行校验包括以下步骤：

9.1）、身份验证成功：

9.1.1）、生成TGT、写Cookie：“跨域认证身份”校验成功，进入标准的CAS功能流程，即为用户客户端生成TGT，并将TGT写入CAS客户端Cookie中；

9.1.2）、生成ST、响应跳转：TGT产生成功后，再根据TGT为用户生成ST，然后将用户请求跳转至“系统访问流程”；

9.2）身份验证无效则响应登陆页面：在“跨域认证身份”校验失败的情况下，将返回一个登陆页面给用户客户端，要求用户进行登陆。

进一步的，为更好的实现本发明，所述“跨域认证身份”为“级联认证身份”。

进一步的，为更好的实现本发明，所述“系统访问流程”包括以下步骤：

（1）访问拦截：由“目标业务系统”处理，内置在“目标业务系统”中的“目标认证服务”的“认证客户端组件”将拦截到用户访问请求并调用“会话/ST校验”来决定下一步流程；

（2）“会话/ST校验”：由认证客户端组件检查“目标业务系统”中是否具备有效的Session会话，如果有效，则允许用户访问系统资源；如果没有会话，则检查访问请求中是否提供了有效的ST，如果具备有效的ST，则为用户创建一个有效的Session，并允许用户访问系统资源，如果没有提供有效的ST，则将请求转发至步骤8），重新进行登陆过程。

进一步的，为更好的实现本发明，所述“目标业务系统”为“级联目标业务系统”；所述“目标认证服务”为“级联目标认证服务”；所述“跨域认证”为“级联认证”；所述“握手接口”为“级联握手接口”；所述“目标控制器”为“级联控制器”。

本发明与现有技术相比，具有以下优点及有益效果：

（1）本发明在CAS框架基础之上，优化和扩展SSO认证机制，打破原有的不能跨部署单位的单点登陆，可以实现各个不同域的认证服务器间的认证联动，用户仅需在其中一个域进行一次登陆，就可以安全地访问其它部署单位，在有权限的业务系统，无需二次登陆，支撑了大型集团公司的跨单位应用整合需求，也提升了用户的应用体验。

（2）本发明扩展新的处理过程，与原有的单点登陆机制有效地结合，而不破坏原有的流程结构，这使得在无需级联认证的应用场景中，仍然可以采用原有功能。

（3）本发明可动态支持任意不同部署域间的级联认证服务，而无需预先对系统进行配置。

（4）本发明所述的用户登陆凭证在本地认证服务和目标认证服务中具有一致性。

附图说明

图1为本发明所述级联认证具体的处理流程图。

具体实施方式

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

级联认证：指用户跨部署单位的单点登陆，传统的单点登陆一般只适用于系统部署单位内部，不能实现在不同的部署域之间共享，采用级联认证技术，可以实现用户在不同的部署单位之间的业务系统单点登陆。

部署单位/部署域：即单套4A平台部署的范围，例如大型集团公司分别会在总部、各个分/子公司分别部署一套，中的每一套，就是一个部署单位。

跨单位/跨域：指不同部署单位间的认证系统或业务的通讯。

SSO：指单点登陆。

CAS：一种开源的SSO认证技术。

ST：服务票，用于客户端访问一个业务时提供的有效票据。

TGT：身份票，用于标识用户认证状态，以Cookie形式存储在客户端，同时存储在服务端缓存。

FT：级联票，用于标识一次级联认证请求，并可映射到具体的登陆凭证。

用户登陆凭证：即用户登陆系统时应提供的身份证明信息，常用的用户登陆凭证有账户/密码、数字证书等。

认证服务：指CAS服务器，用于处理用户登陆过程，验证用户登陆凭证，并提供SSO支持。

级联目标业务系统：指部署在用户所在单位之外的，且当前用户具有一定访问权限的业务系统。例如在电力行业，省公司用户可能会具有某套总部业务系统的访问需求，那么总部这套业务系统对于省公司用户来说，就是级联目标业务系统。

级联目标认证服务：指级联目标业务系统在其部署域内集成的认证服务器。

实施例1：

基于CAS的级联认证方法，用户在首次登陆时，由各个跨域的认证服务分别对用户进行一次认证，认证成功就为客户端分配一个TGT，用户客户端只要具备各个认证域的TGT，就可以实现在不同的部署单位之间跨域访问；具体包括以下步骤：

1）在CAS客户端组件中，新开发一个Servlet程序，向请求端返回级联目标认证服务地址；

2）在CAS服务端，新开发一个基于http协议的级联握手接口，接收用户登陆凭证输入，生成一个FT，再以FT为标识将用户登陆凭证缓存起来，最后向调用端返回FT字段串；

3）在CAS服务端处理用户登陆凭证校验时，若用户登陆凭证正确，则将用户登陆凭证缓存起来，生成合法凭证，缓存标识采用当前用户的TGT字段串；

4）新开发一个专门用于处理级联认证的http控制器程序，名为“级联控制器”，请求访问时要求传入级联目标业务系统的访问地址；

5）级联控制器从用户浏览器中获取TGT，然后通过TGT将记录在缓存中的合法凭证取出；

6）级联控制器向CAS客户端组件中新开发的Servlet程序发起http请求，获取到级联目标业务系统集成的级联目标认证服务地址；

7）级联控制器调用级联握手接口，在级联握手接口的缓存中临时存储用户登陆凭证，发送用户登陆凭证，并获得FT；

8）级联控制器将用户请求转发至级联目标业务系统集成的级联目标认证服务，转发时将FT作为参数附带，用于进行登陆过程；

9）级联目标认证服务在处理用户登陆流程时，从用户请求的参数中获取FT，再根据FT从级联握手接口的缓存中提取用户登陆凭证，对用户登陆凭证进行校验，续继执行其它CAS登陆过程。

在CAS框架基础之上，优化和扩展SSO认证机制，打破原有的不能跨部署单位的单点登陆，可以实现各个不同域的认证服务器间的认证联动，用户仅需在其中一个域进行一次登陆，就可以安全地访问其它部署单位，在有权限的业务系统，无需二次登陆，支撑了大型集团公司的跨单位应用整合需求，也提升了用户的应用体验。

可动态支持任意不同部署域间的级联认证服务，而无需预先对系统进行配置。

用户登陆凭证在本地认证服务和目标认证服务中具有一致性。

实施例2：

本实施例是在上述实施例的基础上进一步优化，进一步的，为更好的实现本发明，在所述步骤8）中，级联控制器将用户请求转发至级联目标业务系统集成的级联目标认证服务时，用户客户端收到一个跳转响应，跳转地址是级联目标认证服务的认证地址，向级联目标认证服务发起一个登陆认证请求，级联目标认证服务将收到用户客户端的级联认证请求，在处理请求时，首先从用户客户端解析是否具备有效的TGT，如果有效，则为用户客户端生成一个ST，然后将请求转发“系统访问流程”；如果无效则返回进行步骤9）。

扩展新的处理过程，与原有的单点登陆机制有效地结合，而不破坏原有的流程结构，这使得在无需级联认证的应用场景中，仍然可以采用原有功能。

实施例3：

本实施例是在实施例1的基础上进一步优化，进一步的，为更好的实现本发明，在所述步骤9）中，对用户登陆凭证进行校验包括以下步骤：

9.1）、身份验证成功：

9.1.1）、生成TGT、写Cookie：级联认证身份校验成功，进入标准的CAS功能流程，即为用户客户端生成TGT，并将TGT写入CAS客户端Cookie中；

9.1.2）、生成ST、响应跳转：TGT产生成功后，再根据TGT为用户生成ST，然后将用户请求跳转至“系统访问流程”；

9.2）身份验证无效则响应登陆页面：在级联认证身份校验失败的情况下，将返回一个登陆页面给用户客户端，要求用户进行登陆。

实施例4：

本实施例是在实施例2或3的基础上进一步优化，进一步的，为更好的实现本发明，所述“系统访问流程”包括以下步骤：

（1）访问拦截：由本地业务系统处理，内置在级联目标业务系统中的级联目标认证服务的“认证客户端组件”将拦截到用户访问请求并调用“会话/ST校验”来决定下一步流程；

（2）会话/ST校验：由认证客户端组件检查级联目标业务系统中是否具备有效的Session会话，如果有效，则允许用户访问系统资源；如果没有会话，则检查访问请求中是否提供了有效的ST，如果具备有效的ST，则为用户创建一个有效的Session，并允许用户访问系统资源，如果没有提供有效的ST，则将请求转发至步骤8），重新进行登陆过程。

实施例5：

本实施例是在上述任一实施例的基础上进一步优化，如图1所示，实现级联认证需要四个基本参与者：本地用户、本地认证服务、跨单位的业务系统（级联目标业务系统）、跨单位认证服务（级联目标认证服务）。

级联认证具体的处理流程如下：

1、级联访问：

用户在浏览器中输入本地认证服务的级联处理地址，并附带要级联访问的业务系统地址，此处的所指的业务系统是部署在用户所在单位以外的其它单位的系统（但当前用户具有访问权限），即级联目标业务系统，例如总部或分公司，由本地认证服务执行级联访问处理，访问的最终目标是指定的业务系统。

2、获取客户端Cookie：

本地（用户所在单位）认证服务受理用户级联请求，并从用户浏览器Cookie中获取TGT信息。

3、提取用户验证信息：

本地认证服务根据TGT在服务器内部缓存中获取到用户的登陆信息（账号信息），所缓存的用户信息，是在用户首次成功登陆后所记录下来的。

4、获取级联认证服务地址：

本地认证服务通过HTTP协议调用级联目标业务系统（级联访问的目标系统）的级联握手接口，获取级联目标业务系统所集成的级联目标认证服务（跨单位的）地址。此处的级联接口，由集成到业务系统中的认证客户端组件提供。

5、查询并返回认证服务地址：

级联目标业务系统接收http远程调用，将系统本地集成的本地认证服务器地址返回。这一过程的处理，由内置在级联目标业务系统中的级联目标认证服务客户端组件来完成。

6、传输认证信息并获取FT：

本地认证服务调用级联目标认证服务的级联接口，将合法的用户登陆信息传递过去，并接收返回的FT标识。为确保传输安全，接口的调用过程采用HTTPS协议。

7、缓存认证信息并生成FT：

级联目标认证服务的级联接口，将接收到本地认证服务发送的用户登陆信息，并将登陆信息临时缓存起来，同时为该用户生成一个FT并返回。

8、跳转至级联认证地址：

本地认证服务完成级联认证的交互，后将请求转发至登陆流程，转发时会将第7步中获取到的FT作为参数附带。

9、登陆请求：

用户客户端收到一个跳转响应，跳转地址是级联目标认证服务的认证地址，向距离目标认证服务器发起一个登陆认证请求。

10、TGT校验：

级联目标认证服务将收到客户端的级联认证请求，在处理级联认证请求时，首先从客户端解析是否具备有效的TGT；如果有效，则为用户客户端生成一个ST，然后将请求转发系统访问流程（11、生成ST响应跳转，12、系统访问）；如果为无效，则进行身份校验。

11-A、身份校验：

级联目标认证服务从认证请求中获取FT（FT在第8步做跳转时已经传过来），并根据FT从缓存中找到对应的用户登陆信息（此处的登陆信息已经在第7步时缓存起来），再对用户登陆信息的正确性进行校验。如果校验成功，进入12-A，校验失败进入12-B。

12-A、生成TGT、写Cookie：

级联认证身份校验成功，进入标准的CAS功能流程，即为用户客户端生成TGT，并将TGT写入CAS客户端Cookie中，顺序进入13-A。

12-B、响应登陆页面：

在级联认证身份校验失败的情况下，将返回一个登陆页面给用户客户端，要求用户进行登陆。

13-A、生成ST、响应跳转：

TGT产生成功后，再根据TGT为用户生成ST，然后将用户请求跳转至系统访问流程，进入12步。

13、访问拦截：

由级联目标业务系统处理，内置在级联目标业务系统中的认证服务客户端组件将拦截到用户访问请求，并调用第14步来决定下一步流程。

14、会话/ST校验

由认证客户端组件检查级联目标业务系统中是否具备有效的Session会话，如果有效，则允许用户访问系统资源(15-A、允许访问)；如果无效则进入“15-B、响应跳转”（如果没有会话，则检查访问请求中是否提供了有效的ST，如果具备有效的ST，则为用户创建一个有效的Session，并允许用户访问系统资源，如果没有提供有效的ST，则将请求转发至第9步，重新进行登陆过程。

所述的用户登陆凭证在本地认证服务和目标认证服务中具有一致性；扩展新的处理过程，与原有的单点登陆机制有效地结合，而不破坏原有的流程结构，这使得在无需级联认证的应用场景中，仍然可以采用原有功能；可动态支持任意不同部署域间的级联认证服务，而无需预先对系统进行配置。

本发明在CAS框架基础之上，优化和扩展SSO认证机制，打破原有的不能跨部署单位的单点登陆，可以实现各个不同域的认证服务器间的认证联动，用户仅需在其中一个域进行一次登陆，就可以安全地访问其它部署单位，在有权限的业务系统，无需二次登陆，支撑了大型集团公司的跨单位应用整合需求，也提升了用户的应用体验。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims (2)

1.基于CAS的级联认证方法，其特征在于：用户在首次登陆时，由各个跨域的认证服务分别对用户进行一次认证，认证成功就为客户端分配一个TGT，用户客户端只要具备各个认证域的TGT，就可以实现在不同的部署单位之间跨域访问；具体包括以下步骤：

1）在CAS客户端组件中，新开发一个Servlet程序，向请求端返回“目标认证服务”地址；

2）在CAS服务端，新开发一个基于http协议的“握手接口”，接收用户登陆凭证输入，生成一个FT，再以FT为标识将用户登陆凭证缓存起来，最后向调用端返回FT字段串；

3）在CAS服务端处理用户登陆凭证校验时，若用户登陆凭证正确，则将用户登陆凭证缓存起来，生成合法凭证，缓存标识采用当前用户的TGT字段串；

4）新开发一个专门用于处理“跨域认证”的http控制器程序，名为“目标控制器”，请求访问时要求传入“目标业务系统”的访问地址；

5）“目标控制器”从用户浏览器中获取TGT，然后通过TGT将记录在缓存中的合法凭证取出；

6）“目标控制器”向CAS客户端组件中新开发的Servlet程序发起http请求，获取到“目标业务系统”集成的“目标认证服务”地址；

7）“目标控制器”调用“握手接口”，在“握手接口”的缓存中临时存储用户登陆凭证，发送用户登陆凭证，并获得FT；

8）“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”，转发时将FT作为参数附带，用于进行登陆过程；

9）“目标认证服务”在处理用户登陆流程时，从用户请求的参数中获取FT，再根据FT从“握手接口”的缓存中提取用户登陆凭证，对用户登陆凭证进行校验，续继执行其它CAS登陆过程；

在所述步骤8）中，“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”时，用户客户端收到一个跳转响应，跳转地址是“目标认证服务”的认证地址，向“目标认证服务”发起一个登陆认证请求，“目标认证服务”将收到用户客户端的“跨域认证请求”，在处理“跨域认证请求”时，首先从用户客户端解析是否具备有效的TGT，如果有效，则为用户客户端生成一个ST，然后将请求转发“系统访问流程”；如果无效则返回进行步骤9）；

在所述步骤9）中，对用户登陆凭证进行校验包括以下步骤：

9.1）、身份验证成功：

9.1.1）、生成TGT、写Cookie：“跨域认证身份”校验成功，进入标准的CAS功能流程，即为用户客户端生成TGT，并将TGT写入CAS客户端Cookie中；

9.1.2）、生成ST、响应跳转：TGT产生成功后，再根据TGT为用户生成ST，然后将用户请求跳转至“系统访问流程”；

9.2）身份验证无效则响应登陆页面：在“跨域认证身份”校验失败的情况下，将返回一个登陆页面给用户客户端，要求用户进行登陆；

所述“跨域认证身份”为“级联认证身份”；

所述“系统访问流程”包括以下步骤：

（1）访问拦截：由“目标业务系统”处理，内置在“目标业务系统”中的“认证客户端组件”将拦截到用户访问请求并调用“会话/ST校验”来决定下一步流程；

（2）“会话/ST校验”：由认证客户端组件检查“目标业务系统”中是否具备有效的Session会话，如果有效，则允许用户访问系统资源；如果没有会话，则检查访问请求中是否提供了有效的ST，如果具备有效的ST，则为用户创建一个有效的Session，并允许用户访问系统资源，如果没有提供有效的ST，则将请求转发至步骤8），重新进行登陆过程。

2.根据权利要求1所述的基于CAS的级联认证方法，其特征在于：所述“目标业务系统”为“级联目标业务系统”；所述“目标认证服务”为“级联目标认证服务”；所述“跨域认证”为“级联认证”；所述“握手接口”为“级联握手接口”；所述“目标控制器”为“级联控制器”。