CN109831408A - 单点登录子系统的登出方法及系统 - Google Patents

Abstract

本发明实施例提供了一种单点登录子系统的登出方法及系统。本发明实施例通过第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和第一客户端本地存储的第二访问标识，判断第一访问标识与第二访问标识是否一致，若不一致则退出第一子系统，第一客户端是单点登录相关子系统中非第一个成功登出的客户端，利用客户端本地的访问标识的失效与否确定是否登出，不需要与CAS服务器进行网络交互，因此不受网络延迟或网络故障的影响，使得即使在网络延迟或网络故障时客户端仍然能够登出单点登录相关子系统，一定程度上解决了现有技术中由于网络原因导致的单点登录子系统的客户端登出不及时或无法登出的问题。

Description

单点登录子系统的登出方法及系统

【技术领域】

本方案涉及通信技术领域，尤其涉及一种单点登录子系统的登出方法及系统。

【背景技术】

单点登录(Single Sign On，简称为SSO)是指在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。这些相互信任的应用系统称为单点登录相关子系统。

在CAS(Central Authentication Service，中央认证服务)集群环境下，当前单点登录相关子系统的登出方式采用异步回调子系统方式，具体的登出过程是：在有多个相关子系统的客户端通过单点登录方式登录了子系统后，第一个登出的客户端退出对应的子系统后，CAS服务器通过网络分别向其他未退出的子系统的客户端发送退出指令，客户端根据CAS服务器的退出指令退出子系统。

这样，如果网络延时，就会出现登出不及时的问题，如果由于网络原因客户端接收不到CAS服务器发送的指令，就无法登出子系统。

【发明内容】

有鉴于此，本方案实施例提供了一种单点登录子系统的登出方法及系统，用以解决现有技术中由于网络原因导致的单点登录子系统的客户端登出不及时或无法登出的问题。

第一方面，本发明实施例提供一种单点登录子系统的登出方法，所述方法包括：

第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和所述第一客户端本地存储的第二访问标识，所述第一访问标识与中央认证服务CAS服务器中存储的访问标识一致；

所述第一客户端判断所述第一访问标识与所述第二访问标识是否一致；

若所述第一访问标识与所述第二访问标识不一致，所述第一客户端退出所述第一子系统；

其中，所述第一客户端是所述单点登录相关子系统中非第一个成功登出的客户端。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，在所述

第一客户端发起访问请求前，所述方法还包括：

第二客户端成功登录第二子系统时，所述CAS服务器生成目标访问标识，并存储在所述CAS服务器中；

所述CAS服务器将所述目标访问标识发送给所述第二客户端和所述浏览器；

所述第二客户端将所述目标访问标识存储在所述第二客户端本地，所述浏览器存储所述目标访问标识；

所述第二客户端是所述单点登录相关子系统中第一个成功登录的客户端，所述第二子系统与所述第一子系统互为单点登录相关，或者，所述第二子系统与所述第一子系统相同。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述方法还包括：

第三客户端成功登录第三子系统时，所述CAS服务器读取存储在所述CAS服务器中的所述目标访问标识；

所述CAS服务器将读取的所述目标访问标识发送给所述第三客户端；

所述第三客户端将所述目标访问标识存储在所述第三客户端本地；

所述第三客户端是所述单点登录相关子系统中非第一个成功登录的子系统的客户端，所述第三子系统与所述第二子系统互为单点登录相关子系统。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述方法还包括：

第四客户端退出第四子系统时，所述CAS服务器清除所述CAS服务器中的目标访问标识和所述第四客户端对应的浏览器中的目标访问标识，所述第四客户端清除所述第四客户端本地存储的目标访问标识；

所述第四客户端是所述单点登录相关子系统中第一个退出登录的客户端，所述第四子系统与所述第一子系统互为单点登录相关子系统。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述第二客户端将所述目标访问标识存储在所述第二客户端本地，包括：

所述第二客户端将所述目标访问标识存储在所述第二客户端的本地Session中。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述浏览器存储所述目标访问标识，包括：

所述浏览器将所述目标访问标识存储在所述浏览器本地的Cookie中。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述方法还包括：

若所述第一访问标识与所述第二访问标识一致，所述第一客户端向所述第一子系统发起访问请求。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问标识为TGT值、随机图形、随机数或者指定元素的组合。

第二方面，本发明实施例提供一种单点登录子系统的登出系统，所述系统包括：

读取模块，设置于第一客户端上，用于第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和所述第一客户端本地存储的第二访问标识，所述第一访问标识与中央认证服务CAS服务器中存储的访问标识一致；

判断模块，设置于所述第一客户端上，用于判断所述第一访问标识与所述第二访问标识是否一致；

退出模块，设置于所述第一客户端上，用于若所述第一访问标识与所述第二访问标识不一致，使所述第一客户端退出所述第一子系统；

其中，所述第一客户端是所述单点登录相关子系统中非第一个成功登出的客户端。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述系统还包括：

访问模块，设置于所述第一客户端上，用于若所述第一访问标识与所述第二访问标识一致，向所述第一子系统发起访问请求。

本发明实施例具有以下有益效果：

本发明实施例，通过第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和第一客户端本地存储的第二访问标识，判断第一访问标识与第二访问标识是否一致，若不一致则退出第一子系统，第一客户端是单点登录相关子系统中非第一个成功登出的客户端，利用客户端本地的访问标识的失效与否确定是否登出，不需要与CAS服务器进行网络交互，因此不受网络延迟或网络故障的影响，使得即使在网络延迟或网络故障时客户端仍然能够登出单点登录相关子系统。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明实施例提供的单点登录子系统的登出方法的流程示例图。

图2是本发明实施例提供的单点登录子系统的登出系统的功能方块图。

【具体实施方式】

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

实施例一

图1是本发明实施例提供的单点登录子系统的登出方法的流程示例图。如图1所示，本实施例中，单点登录子系统的登出方法可以包括如下步骤：

S101，第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和第一客户端本地存储的第二访问标识，第一访问标识与中央认证服务CAS服务器中存储的访问标识一致。

S102，第一客户端判断第一访问标识与第二访问标识是否一致。

S103，若第一访问标识与第二访问标识不一致，第一客户端退出第一子系统。

其中，第一客户端是单点登录相关子系统中非第一个成功登出的客户端。即，第一客户端不是单点登录相关子系统中第一个成功登出的客户端。

其中，浏览器存储的第一访问标识是单点登录相关子系统中各子系统的客户端共享的访问标识。也就是说，单点登录相关子系统中任意一个子系统的客户端都可以获取浏览器存储的第一访问标识。

图1所示实施例中，单点登录相关子系统的任意一个客户端在发起访问请求前，都先判断本地的访问标识是否与浏览器存储的访问标识一致，由于浏览器存储的访问标识与CAS服务器中存储的访问标识始终是一致的，因此，这相当于判断本地的访问标识是否与CAS服务器中存储的访问标识一致。一旦有一个子系统退出，CAS服务器中存储的访问标识、浏览器存储的访问标识和该子系统对应的客户端本地的访问标识就会被清除，但是该子系统的其他相关子系统对应的客户端本地的访问标识不会被清除，这样，如果客户端本地的访问标识与浏览器存储的访问标识不一致，就说明已有相关子系统退出登录，客户端本地的访问标识已经失效，因此客户端就会自动退出其对应的子系统。如此，就保证了在单点登录相关子系统中有一个子系统退出登录时，其他相关子系统也跟着退出登录，从而解决了延迟退出登录或无法退出登录的问题。

并且，第一客户端读取浏览器存储的第一访问标识和第一客户端本地存储的第二访问标识时，都是在第一客户端所在的终端读取，不需要到CAS服务器获取，因此不依赖终端与CAS服务器之间的网络连接，并且步骤S102和步骤S103也不依赖网络连接，因此，无论网络延时还是网络故障，都不影响第一客户端登出第一子系统。

此外，非第一个退出单点登录相关子系统的客户端登出时，不需要CAS服务器作任何处理，而是在客户端本地完成，因此能够减轻CAS服务器的负担，节约CAS服务器的系统开销，并且单点登录的客户端越多，这种减负的效果就越显著。

举例说明。假设A1子系统和A2子系统为单点登录相关子系统，客户端a1先成功登录A1子系统，CAS服务器生成访问标识发送给客户端a1和客户端a1所在的浏览器，并存储在CAS服务器本地。随后，当客户端a2成功登录A2子系统后，CAS服务器也将访问标识发送给客户端a2。

如果客户端a1登出A1子系统，CAS服务器中存储的访问标识、客户端a1本地存储的访问标识和浏览器中存储的访问标识都会被清除，而客户端a2本地存储的访问标识仍然保留。此时，如果客户端a2想要访问A2子系统，在访问前，客户端a2将客户端a2本地存储的访问标识与浏览器中存储的访问标识进行一致性判断，就会发现两者不一致，从而客户端a2自动登出A2子系统。

在一个示例性的实现过程中，单点登录子系统的登出方法还可以包括：第二客户端成功登录第二子系统时，CAS服务器生成目标访问标识，并存储在CAS服务器中；CAS服务器将目标访问标识发送给第二客户端和浏览器；第二客户端将目标访问标识存储在第二客户端本地，浏览器存储目标访问标识；第二客户端是单点登录相关子系统中第一个成功登录的客户端，第二子系统与第一子系统互为单点登录相关子系统，或者，第二子系统与第一子系统相同。

根据本示例，单点登录相关子系统中第一个成功登录的客户端成功登录时，CAS服务器生成目标访问标识，然后CAS服务器、第一个成功登录的客户端和浏览器都存储该目标访问标识。此后，非第一个成功登录的客户端登录单点登录相关子系统时，从CAS服务器获取到目标访问标识存储在客户端本地。

其中，第二客户端与第一客户端可以为同一客户端，也可以为不同的客户端。当第二客户端与第一客户端为同一客户端时，第二子系统与第一子系统相同；当第二客户端与第一客户端为不同的客户端时，第二子系统与第一子系统互为单点登录相关子系统。

需要说明的是，第一客户端是单点登录相关子系统中非第一个成功登出的客户端，但是，第一客户端可以是单点登录相关子系统中第一个成功登录的客户端，也可以不是单点登录相关子系统中第一个成功登录的客户端；第二客户端是单点登录相关子系统中第一个成功登录的客户端，第二客户端可以是单点登录相关子系统中第一个成功登出的客户端，也可以是单点登录相关子系统中非第一个成功登出的客户端。

在上述示例的基础上，在一个示例性的实现过程中，单点登录子系统的登出方法还可以包括：第三客户端成功登录第三子系统时，CAS服务器读取存储在CAS服务器中的目标访问标识；CAS服务器将读取的目标访问标识发送给第三客户端；第三客户端将目标访问标识存储在第三客户端本地；第三客户端是单点登录相关子系统中非第一个成功登录的子系统的客户端(即第三客户端不是单点登录相关子系统中第一个成功登录的子系统的客户端)，第三子系统与第二子系统互为单点登录相关子系统。

其中，第三客户端可以是单点登录相关子系统中除第二客户端以外的任何一个客户端。例如，第三客户端可以是第一客户端，此时，目标访问标识就是第一客户端本地存储的第二访问标识。

在一个示例性的实现过程中，单点登录子系统的登出方法还可以包括：第四客户端退出第四子系统时，CAS服务器清除CAS服务器中的目标访问标识和浏览器中的目标访问标识，第四客户端清除第四客户端本地存储的目标访问标识；第四客户端是单点登录相关子系统中第一个退出登录的客户端，第四子系统与第一子系统互为单点登录相关子系统。

根据本示例，第一个退出登录的客户端登出单点登录相关子系统后，该客户端本地、浏览器及CAS服务器都将清除自身存储的访问标识。但是除该客户端以外的其他已登录单点登录相关子系统的客户端中的访问标识仍然保留。

在一个示例性的实现过程中，第二客户端将访问标识存储在第二客户端本地，包括：第二客户端将访问标识存储在第二客户端的本地Session中。

其中，Session是客户端的一种存储结构。

在一个示例性的实现过程中，浏览器存储访问标识，包括：浏览器将访问标识存储在浏览器本地的Cookie中。

其中，Cookie是浏览器的一种存储结构。

在一个示例性的实现过程中，单点登录子系统的登出方法还可以包括：

若第一访问标识与第二访问标识一致，第一客户端向第一子系统发起访问请求。

根据本示例，当第一访问标识与第二访问标识一致时，说明第一客户端的访问标识仍然是有效的，因此第一客户端可以向第一子系统发起访问请求。

在一个示例性的实现过程中，访问标识为TGT值、随机图形、随机数或者指定元素的组合。

例如，访问标识可以是符号、字母、数字三者的任意组合。

其中，第一访问标识、第二访问标识、目标访问标识都是访问标识，第一访问标识、第二访问标识、目标访问标识的构成是相同的，即如果第一访问标识是TGT值，那么第二访问标识、目标访问标识也都是TGT值，不过是作为第一访问标识的TGT值与作为第二访问标识的TGT值可能相同也可能不同。

需要说明的是，访问标识用于确保一个单点登录子系统的客户端退出登录后，其他相关的单点登录子系统的客户端也同时退出登录，并且其他相关的单点登录子系统的客户端的登出不需要与CAS服务器交互。单点登录相关子系统的第一个退出登录的客户端登出后，CAS服务器和浏览器存储的访问标识以及第一个退出登录的客户端本地存储的访问标识都会改变，而单点登录相关子系统的其他未登出的客户端本地存储的访问标识不变，这样就会使其他未登出的客户端因本地存储的访问标识与浏览器存储的访问标识不一致而自动登出。单点登录相关子系统的任意一个客户端登录后登出，再次登录时访问标识均发生变化。

需要说明的是，单点登录子系统的任一客户端都可以具有上述第一客户端、第二客户端、第三客户端、第四客户端的功能，本文中用第一客户端、第二客户端、第三客户端、第四客户端表示在同一次单点登录登出过程中登录或登出时机不同的客户端。

本发明实施例提供的单点登录子系统的登出方法，通过第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和第一客户端本地存储的第二访问标识，判断第一访问标识与第二访问标识是否一致，若不一致则退出第一子系统，第一客户端是单点登录相关子系统中非第一个成功登出的客户端，利用客户端本地的访问标识的失效与否确定是否登出，不需要与CAS服务器进行网络交互，因此不受网络延迟或网络故障的影响，使得即使在网络延迟或网络故障时客户端仍然能够登出单点登录相关子系统。

实施例二

本发明实施例提供了一种单点登录子系统的登出系统，该单点登录子系统的登出系统用于执行前述实施例一中的单点登录子系统的登出方法。

图2是本发明实施例提供的单点登录子系统的登出系统的功能方块图。如图2所示，单点登录子系统的登出系统可以包括：

第一读取模块210，设置于第一客户端上，用于第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和第一客户端本地存储的第二访问标识，第一访问标识与中央认证服务CAS服务器中存储的访问标识一致；

判断模块220，设置于第一客户端上，用于判断第一访问标识与第二访问标识是否一致；

退出模块230，设置于第一客户端上，用于若第一访问标识与第二访问标识不一致，使第一客户端退出第一子系统；

其中，第一客户端是单点登录相关子系统中非第一个成功登出的客户端。

在一个示例性的实现过程中，所述系统还可以包括：

标识生成模块，设置于CAS服务器中，用于第二客户端成功登录第二子系统时，生成目标访问标识，并存储在CAS服务器中；

第一发送模块，设置于CAS服务器中，用于将目标访问标识发送给第二客户端和浏览器；

第一存储模块，设置于第二客户端中，用于将目标访问标识存储在第二客户端本地；

浏览器存储模块，用于将目标访问标识存储在浏览器中；

第二客户端是单点登录相关子系统中第一个成功登录的客户端，第二子系统与第一子系统互为单点登录相关，或者，第二子系统与第一子系统相同。

在一个示例性的实现过程中，所述系统还可以包括：

第二读取模块，设置于CAS服务器中，用于第三客户端成功登录第三子系统时，读取存储在CAS服务器中的目标访问标识；

第二发送模块，设置于CAS服务器中，用于将读取的目标访问标识发送给第三客户端；

第二存储模块，设置于第三客户端中，用于将目标访问标识存储在第三客户端本地；

第三客户端是单点登录相关子系统中非第一个成功登录的子系统的客户端，第三子系统与第二子系统互为单点登录相关子系统。

在一个示例性的实现过程中，所述系统还可以包括：

第一清除模块，设置于CAS服务器中，用于第四客户端退出第四子系统时，清除CAS服务器中的目标访问标识和第四客户端对应的浏览器中的目标访问标识；

第二清除模块，设置于第四客户端中，用于清除第四客户端本地存储的目标访问标识；

第四客户端是单点登录相关子系统中第一个退出登录的客户端，第四子系统与第一子系统互为单点登录相关子系统。

在一个示例性的实现过程中，第一存储模块在用于将目标访问标识存储在第二客户端本地时，具体用于：将目标访问标识存储在第二客户端的本地Session中。

在一个示例性的实现过程中，浏览器存储模块在用于将目标访问标识存储在浏览器中时，具体用于：将目标访问标识存储在浏览器本地的Cookie中。

在一个示例性的实现过程中，所述系统还可以包括：

访问模块，设置于第一客户端中，若第一访问标识与第二访问标识一致，向所述第一子系统发起访问请求。

在一个示例性的实现过程中，访问标识为TGT值、随机图形、随机数或者指定元素的组合。

需要说明的是，任意一个客户端可以包括第一客户端、第二客户端、第三客户端、第四客户端中的全部模块，不同模块使用的时机不同。

举例说明。客户端M中包括第一读取模块210、判断模块220、退出模块230、第一存储模块、第二存储模块、第二清除模块、访问模块。当客户端M是单点登录相关子系统中第一个成功登录的客户端时，客户端M使用第一存储模块；当客户端M是单点登录相关子系统中第一个成功登出的客户端时，客户端M使用第二清除模块；当客户端M是单点登录相关子系统中非第一个成功登出的客户端时，客户端M使用第一读取模块210、判断模块220、退出模块230以及访问模块；当客户端M是单点登录相关子系统中非第一个成功登录的客户端时，客户端M使用第二存储模块。

本发明实施例提供的单点登录子系统的登出系统与本发明前述实施例一提供的单点登录子系统的登出方法相对应，因此，本实施例未详细说明的地方，请参见前述实施例一中相应部分的说明，此处不再赘述。

本发明实施例提供的单点登录子系统的登出系统，通过第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和第一客户端本地存储的第二访问标识，判断第一访问标识与第二访问标识是否一致，若不一致则退出第一子系统，第一客户端是单点登录相关子系统中非第一个成功登出的客户端，利用客户端本地的访问标识的失效与否确定是否登出，不需要与CAS服务器进行网络交互，因此不受网络延迟或网络故障的影响，使得即使在网络延迟或网络故障时客户端仍然能够登出单点登录相关子系统。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (10)

1.一种单点登录子系统的登出方法，其特征在于，所述方法包括：

第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和所述第一客户端本地存储的第二访问标识，所述第一访问标识与中央认证服务CAS服务器中存储的访问标识一致；

所述第一客户端判断所述第一访问标识与所述第二访问标识是否一致；

若所述第一访问标识与所述第二访问标识不一致，所述第一客户端退出所述第一子系统；

其中，所述第一客户端是所述单点登录相关子系统中非第一个成功登出的客户端。

2.根据权利要求1所述的方法，其特征在于，在所述第一客户端发起访问请求前，所述方法还包括：

第二客户端成功登录第二子系统时，所述CAS服务器生成目标访问标识，并存储在所述CAS服务器中；

所述CAS服务器将所述目标访问标识发送给所述第二客户端和所述浏览器；

所述第二客户端将所述目标访问标识存储在所述第二客户端本地，所述浏览器存储所述目标访问标识；

所述第二客户端是所述单点登录相关子系统中第一个成功登录的客户端，所述第二子系统与所述第一子系统互为单点登录相关，或者，所述第二子系统与所述第一子系统相同。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

第三客户端成功登录第三子系统时，所述CAS服务器读取存储在所述CAS服务器中的所述目标访问标识；

所述CAS服务器将读取的所述目标访问标识发送给所述第三客户端；

所述第三客户端将所述目标访问标识存储在所述第三客户端本地；

所述第三客户端是所述单点登录相关子系统中非第一个成功登录的子系统的客户端，所述第三子系统与所述第二子系统互为单点登录相关子系统。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

第四客户端退出第四子系统时，所述CAS服务器清除所述CAS服务器中的目标访问标识和所述第四客户端对应的浏览器中的目标访问标识，所述第四客户端清除所述第四客户端本地存储的目标访问标识；

所述第四客户端是所述单点登录相关子系统中第一个退出登录的客户端，所述第四子系统与所述第一子系统互为单点登录相关子系统。

5.根据权利要求2所述的方法，其特征在于，所述第二客户端将所述目标访问标识存储在所述第二客户端本地，包括：

所述第二客户端将所述目标访问标识存储在所述第二客户端的本地Session中。

6.根据权利要求2所述的方法，其特征在于，所述浏览器存储所述目标访问标识，包括：

所述浏览器将所述目标访问标识存储在所述浏览器本地的Cookie中。

7.根据权利要求1～6任一项所述的方法，其特征在于，所述方法还包括：

若所述第一访问标识与所述第二访问标识一致，所述第一客户端向所述第一子系统发起访问请求。

8.根据权利要求1～6任一项所述的方法，其特征在于，所述访问标识为TGT值、随机图形、随机数或者指定元素的组合。

9.一种单点登录子系统的登出系统，其特征在于，所述系统包括：

读取模块，设置于第一客户端上，用于第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和所述第一客户端本地存储的第二访问标识，所述第一访问标识与中央认证服务CAS服务器中存储的访问标识一致；

判断模块，设置于所述第一客户端上，用于判断所述第一访问标识与所述第二访问标识是否一致；

退出模块，设置于所述第一客户端上，用于若所述第一访问标识与所述第二访问标识不一致，使所述第一客户端退出所述第一子系统；

其中，所述第一客户端是所述单点登录相关子系统中非第一个成功登出的客户端。

10.根据权利要求9所述的系统，其特征在于，所述系统还包括：

访问模块，设置于所述第一客户端上，用于若所述第一访问标识与所述第二访问标识一致，向所述第一子系统发起访问请求。