CN111245791B - 一种通过反向代理实现管理和it服务的单点登录方法 - Google Patents

Abstract

一种通过反向代理实现管理和IT服务的单点登录方法，其特征在于，在一个由用户端、有限个应用网站、反向代理服务器和单点登录服务器构成的应用网站单点登录系统中实现的，其中反向代理服务器在收到用户请求后，先验证用户身份一致，然后依次进行判断：单点登录服务器和用户凭证Token和应用网站的用户凭证Cookies。若Token不正确则要求单点登录服务器用户重新登录获得最新的Token返回给浏览器；如果应用网站用户凭证Cookies缺失，则要求在单点登录服务器下发缓存的应用网站Cookies或通过用户的用户名和密码代理用户登录获得Cookies；两项都满足则反向代理服务器向应用网站发出用户单点登录请求。本发明无需修改用户端或应用网站，就能够实现用户对应用网站的单点登录。

Description

一种通过反向代理实现管理和IT服务的单点登录方法

技术领域

一种通过反向代理实现管理和IT服务的单点登录方法，涉及计算机技术领域，具体地，涉及一种通过反向代理实现管理和IT服务的单点登录方法。

背景技术

在企业中，一般有很多的应用系统为其提供管理和IT服务，随着企业的成长和信息的技术的发展，会有更多的系统加入。在传统的分散用户认证管理中，每个业务系统独立做用户的认证工作，用户就需要记住大量的用户名和密码，每进入一个系统都要进行登录，给用户带来了麻烦，同时也加大了系统管理员的认证管理和维护工作。

单点登录SSO(SingleSignOn)就是在一个多系统共存的环境下，用户在一处登录后，就不用在其他系统中登录，也就是用户的一次登录能得到其他所有系统的信任。在实现单点登录的系统中，用户只需进行一次主动的登录操作即可获得所需访问的应用系统和资源的授权，不必多次输入用户名和密码来确定用户身份。企业员工通过单点登录方式登录企业应用能带来很大便利。

但是目前的企业单点登录的实施也存在很多问题。首先，传统的单点登录实现方式有两种，方式一需要应用系统支持单点登录协议，方式二需要在用户端安装插件来劫持登录请求转发给单点登录服务器。方式一要实现单点登录就需要改造原有的应用系统，企业自有系统存在种类繁多、设备老旧、登录方式不兼容的问题，企业使用的第三方SaaS服务更是无法参与改造。方式二则需要限制员工使用指定的客户端访问应用系统，需要逐个人员、设备调整客户端，并进行培训，实施难度大，并且难以对用户的直接访问进行限制，可控性差，并且客户端方式造成单点登录对客户端存在依赖，不能方便使用手机等终端进行单点登录。

在用户访问网站时，网站通常采用Cookies或Token来识别用户身份。

Cookies，有时也用其复数形式Cookies，类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据(通常经过加密)，由用户客户端计算机暂时或永久保存的信息。

Token是在服务端产生的，如果前端使用用户名/密码向服务端请求认证，服务端认证成功，那么在服务端会返回Token给前端，前端可以在每次请求的时候带上Token证明自己的合法地位。

思科技术公司申请的专利“使用单点登录自举到检查代理的重定向”(专利申请号：201580004656.3，公布号CN105917630B)中公布了一种方法和装置，其特征在于认证请求在客户端设备的用户尝试发起与由服务供应商所管理的应用的会话时被生成。认证响应基于从用户接收到的凭证来生成。认证响应包括代表用户的断言。断言的递送资源定位符被重写到代理的资源定位符，以将该断言重定向到代理。认证响应与代理的资源定位符一起发送到客户端设备，从而使得该客户端设备将该断言发送至代理，该代理解码经重写的资源定位符并将断言发送到服务供应商。该专利存在的不足之处是：需要应用网站支持第三方登录协议，对不支持标准第三方登录协议的服务供应商缺乏解决方案。

用友网络科技股份有限公司申请的专利“单点登录装置和方法”(专利申请号：201510521720.7，公布号CN105049448A)中提供了一种单点登录装置，包括：本地终端数据收集单元，用于基于预设用户的配置信息，对获取的配置信息进行处理后，获取本地终端数据；会话建立单元，用于基于获取的本地终端数据，进行安全性处理后，建立起浏览器和第三方系统之间的会话。本发明还提供了一种单点登录方法。通过本发明的技术方案，可以在现有的单点登录方式基础上，充分利用单对象类型完成多对象类型的单点登录，建立多对象类型参与的面向复杂类型单点登录的通用、统一登录思路。该方法存在的不足之处是：企业部署的单点登录依赖本地客户端，无法在新的操作系统上推向，并且无法监控和阻止未经单点登录系统直接访问应用的请求。

浙江数链科技有限公司申请的专利一种单点登录的方法和装置(专利申请号：201711229381.0，公布号CN107948167A)提供一种单点登录的方法，包括：响应于用户针对子系统的登录请求，子系统从本地域下的Cookies中读取共享Token；共享Token在用户通过sso系统的登录认证时分别写入子系统和sso系统本地域下的Cookies；如果在子系统本地域下的Cookies中未读取到所述共享Token，子系统基于单点登录系统的url地址通过url重定向的方式向单点登录系统发送用户登录请求；用户登录请求携带子系统的url地址；sso系统从本地域下的Cookies中读取共享Token；如果从sso系统本地域下的Cookies中读取到所述共享Token，基于子系统的url地址通过url重定向的方式将共享Token返回给子系统；子系统调用sso系统的登录认证接口，将共享Token提交至sso系统发起跨域单点登录认证。该方案的不足之处在于：需要修改子系统使其能够和SSO系统建立联系。

歌尔股份有限公司申请的专利“单点登录应用系统的方法及装置”(专利申请号：201410764382.5，公布号CN104506499B)提供了一种单点登录应用系统的方法及装置，其中的方法包括，将各应用系统接入认证系统，认证系统采集各应用系统中用户的账号信息，在用户登录认证系统后，发起访问应用系统的请求，同时认证系统向用户分配凭据；根据用户访问应用系统的请求调用应用系统，获取应用系统标识；根据用户的凭据和应用系统标识，在采集到的所有用户的账号信息中寻找该用户在该应用系统中的账号信息；根据寻找到的该用户的账号信息登录应用系统。利用本发明提供的单点登录应用系统的方法及装置，能够在实现用户单点登录的同时将应用系统的改造降到最低程度。该方案的不足之处在于：用户需要先访问单点登录系统，没有用户直接访问应用系统时触发单点登录的场景。

广州市冰海网络技术有限公司申请的专利一种远程系统单点登录的方法(专利申请号：201810437416.8，公布号CN108718301A)涉及一种远程系统单点登录方法，该方法包括：第一域的单点登录发起方将通过第一域认证的用户的单点登录认证信息发送给第二域的单点登录中心；在所述单点登录认证信息认证通过后，所述单点登录发起方从所述第二域的单点登录中心接收所述用户的跨域单点登录认证信息，其中，所述跨域单点登录认证信息中包含有所述第二域的单点登录中心的签名信息；所述单点登录发起方向第二域的单点登录接收方发送所述跨域单点登录认证信息。采用本发明方案能够实现跨域的单点登录，且易于部署，无需对现有系统进行过多改动。该专利的不足方案在于需要对客户端进行改造，在实际推广中会存在部署工作量大、用户培训成本高、出现故障难以快速恢复的问题。

为降低单点登录系统的部署成本，减少应用网站纳入单点登录系统中的限制条件，需要采用无需更改客户端和应用网站的系统架构，在用户和应用网站之间增加反向代理服务器，判断用户请求应转发给应用网站还是单点登录服务器。

发明内容

一种通过反向代理实现管理和IT服务的单点登录方法，公开了一种通过反向代理来实现的单点登录方法，其目的是在用户端和应用网站均无需改动的条件下，以最低实施成本实现单点登录功能。

为实现上述目的，本发明提供了一种通过反向代理实现管理和IT服务的单点登录方法，其特征在于，是一种在用户端和有限个应用网站均无需任何改动的情况下，实现一次登录，所有应用网站通用的方法，是在一个由用户端、反向代理服务器、单点登录服务器和有限个应用网站共同组成的应用网站单点登录系统以下简称系统中，依次按以下步骤实现的：

步骤(1)，构建应用网站单点登录系统，包括用户端、反向代理服务器、单点登录服务器，其中：

用户端是一个移动终端或一台主机，向所述反向代理服务器发出申请单点登录已知标记的应用网站的请求，简称用户请求。

反向代理服务器，先验证用户身份无误后，依次判断用户请求中的单点登录服务器用户凭证Token是否正确，应用网站的用户凭证Cookies是否缺失，如果凭证正确又不缺失，则用所述Cookies登录应用网站，若有错误或缺失，则向单点登录服务器下达重定向指令。

单点登录服务器，若收到重定向所述单点登录服务器用户凭证Token重定向指令后，再次核实用户身份后，重新生成正确的所述用户凭证Token向用户浏览器输出，若收到重定向用户应用Cookies的指令，则把缓存的用户上次的所述应用Cookies或通过用户的用户名和密码代理用户登录获得的Cookies发给用户浏览器以填充用户请求缺失的所述Cookies。

步骤(2)，系统初始化：

用户端，设定用户请求的数据项：<用户名、单点登录服务器用户凭证Token、应用网站的用户凭证Cookies、用户IP、应用网站标记编号、登录方式、登录时间、登录次数编号>。

若用户主动正确完整性地单点登录一次应用网站后，得到各组成部分的参数组合成下一次单点登录的初始参数，其中：

单点登录服务器的用户凭证Token由单点登录服务器产生的用于识别用户身份的数据。

应用网站的用户凭证Cookies是由应用网站下发的，用于辨别用户身份，储存在用户本地终端上的数据。

步骤(3)系统按以下步骤单点登录应用网站。

步骤(3.1)，构建一个应用网站单点登录系统。

步骤(3.2)，所述系统的初始化。

步骤(3.3)，用户向反向代理服务器发出单点登录应用网站的请求。

步骤(3.4)，反向代理服务器依次按以下步骤判断用户请求中的单点登录服务器用户凭证Token的正确性，并作相应处理。

步骤(3.4.1)，验证用户请求中是否包含单点登录服务器用户凭证Token，若不包含则将用户请求发送到单点登录服务器的登录页面，并下达重定向所述单点登录服务器用户凭证Token重定向指令，转到步骤(3.4.4)，若包含则转入步骤(3.4.2)。

步骤(3.4.2)，与单点登录服务器发起通信请求提供按照反向代理服务器提供用户名的相对应的最近一次缓存在单点登录服务器的用户凭证Token。

步骤(3.4.3)，检查用户提交的单点登录请求中的用户凭证Token与单点登录服务器返回的相应的最近一次的用户凭证Token是否一致，若一致则转到步骤(3.5)。

若不一致则说明用户请求中的单点登录用户凭证不正确，则将用户请求发送到单点登录服务器的登录页面，并下达重定向所述单点登录服务器用户凭证Token重定向指令，转到步骤(3.4.4)。

步骤(3.4.4)，单点登录服务器，收到反向代理服务器发出的重定向所述单点登录服务器用户凭证Token重定向指令后，需要用户提供身份认证，核实用户身份后会重新生成单点登录服务器用户凭证Token，将所述用户凭证Token返回用户浏览器，并记录在案，缓存这一次登录的用户凭证Token。

步骤(3.5)，反向代理服务器依次按照以下步骤向检查用户请求是否缺省单点登录的应用网站的用户凭证Cookies，并作相应处理。

步骤(3.5.1)，若不缺失，则转到步骤(3.7)。

若缺省则把带有要登录的应用网站标记的用户请求转发到单点登录服务器并下达重定向用户应用Cookies的指令。

步骤(3.5.2)，单点登录服务器把缓存的最近一次登录相对应的应用网站的用户凭证Cookies返回给用户浏览器予以补缺，没有缓存的，用上一次登录时缓存的用户在该应用网站的用户名、密码信息登录应用网站，得到用户Cookies后缓存并返回用户浏览器。

步骤(3.6)，用户浏览器会在收到正确的单点登录服务器返回的用户凭证Token和补齐了用户想要登录应用网站的用户凭证Cookies后，便改变用户请求，向反向代理服务器发起重新单点登录的请求。

步骤(3.7)，反向代理服务器在收到用户的重新单点登录请求后，将包含应用网站Cookies的用户请求转发给所述应用网站。

步骤(3.8)，所述应用网站以用户登录状态处理所述用户请求。

本发明的益处在于，系统改动成本小，适用范围广泛。在企业内部署时，无需为企业员工进行客户端安装、培训工作，也无需对应用网站进行改造，只需要在员工访问应用网站的路径中部署反向代理服务器即可实现单点登录效果，无需对企业的IT架构进行改造。通过本发明，单点登录系统添加应用网站的筛选条件放宽，无需为应用网站进行适配第三方登录协议的调整，企业可以将老旧应用系统加入单点登录系统中，并且可以将使用的第三方SaaS服务也加入到自己的单点登录系统，使单点登录系统能接入应用网站的限制大大减少，进而实现所有应用网站都能通过单点登录系统登录，统一身份验证规则，集中安全审计，纳入零信任安全架构的效果。

附图说明

通过参考以下结合附图的说明及权利要求书的内容，并且随着对本发明的更全面理解，本发明的其它目的及结果将更加明白及易于理解。在附图中：

图1是根据本发明实施例的构建的单点登录应用系统的结构图；

图2为根据本发明实施例的单点登录应用系统流程示意图。

具体实施方式

为实现上述目的，本发明提供了一种通过反向代理实现管理和IT服务的单点登录方法，其特征在于，是一种在用户端和有限个应用网站均无需任何改动的情况下，实现一次登录，所有应用网站通用的方法，是在一个由用户端、反向代理服务器、单点登录服务器和有限个应用网站共同组成的应用网站单点登录系统以下简称系统中，依次按以下步骤实现的：

步骤(1)，构建应用网站单点登录系统，如图1所示，包括用户端、反向代理服务器、单点登录服务器，其中：

用户端即图1中用户浏览器是一个移动终端或一台主机，向所述反向代理服务器发出申请单点登录已知标记的应用网站的请求，简称用户请求。

反向代理服务器，先验证用户身份无误后，依次判断用户请求中的单点登录服务器用户凭证Token是否正确，应用网站的用户凭证Cookies是否缺失，如果凭证正确又不缺失，则用所述Cookies登录应用网站，若有错误或缺失，则向单点登录服务器下达重定向指令。

单点登录服务器，若收到重定向所述单点登录服务器用户凭证Token重定向指令后，再次核实用户身份后，重新生成正确的所述用户凭证Token向用户浏览器输出，若收到重定向用户应用Cookies的指令，则把缓存的用户上次的所述应用Cookies或通过用户的用户名和密码代理用户登录获得的Cookies发给用户浏览器以填充用户请求缺失的所述Cookies。

步骤(2)，系统初始化：

用户端，设定用户请求的数据项：<用户名、单点登录服务器用户凭证Token、应用网站的用户凭证Cookies、用户IP、应用网站标记编号、登录方式、登录时间、登录次数编号>。

若用户主动正确完整性地单点登录一次应用网站后，得到各组成部分的参数组合成下一次单点登录的初始参数，其中：

单点登录服务器的用户凭证Token由单点登录服务器产生的用于识别用户身份的数据。

应用网站的用户凭证Cookies是由应用网站下发的，用于辨别用户身份，储存在用户本地终端上的数据。

步骤(3)如图2所示，系统按以下步骤单点登录应用网站。

步骤(3.1)，构建一个应用网站单点登录系统。

步骤(3.2)，所述系统的初始化。

步骤(3.3)，用户向反向代理服务器发出单点登录应用网站的请求。

步骤(3.4)，反向代理服务器依次按以下步骤判断用户请求中的单点登录服务器用户凭证Token的正确性，并作相应处理。

步骤(3.4.1)，验证用户请求中是否包含单点登录服务器用户凭证Token，若不包含则将用户请求发送到单点登录服务器的登录页面，并下达重定向所述单点登录服务器用户凭证Token重定向指令，转到步骤(3.4.4)，若包含则转入步骤(3.4.2)。

步骤(3.4.2)，与单点登录服务器发起通信请求提供按照反向代理服务器提供用户名的相对应的最近一次缓存在单点登录服务器的用户凭证Token。

步骤(3.4.3)，检查用户提交的单点登录请求中的用户凭证Token与单点登录服务器返回的相应的最近一次的用户凭证Token是否一致，若一致则转到步骤(3.5)。

若不一致则说明用户请求中的单点登录用户凭证不正确，则将用户请求发送到单点登录服务器的登录页面，并下达重定向所述单点登录服务器用户凭证Token重定向指令，转到步骤(3.4.4)。

步骤(3.4.4)，单点登录服务器，收到反向代理服务器发出的重定向所述单点登录服务器用户凭证Token重定向指令后，需要用户提供身份认证，核实用户身份后会重新生成单点登录服务器用户凭证Token，将所述用户凭证Token返回用户浏览器，并记录在案，缓存这一次登录的用户凭证Token。

步骤(3.5)，反向代理服务器依次按照以下步骤向检查用户请求是否缺省单点登录的应用网站的用户凭证Cookies，并作相应处理。

步骤(3.5.1)，若不缺失，则转到步骤(3.7)。

若缺省则把带有要登录的应用网站标记的用户请求转发到单点登录服务器并下达重定向用户应用Cookies的指令。

步骤(3.5.2)，单点登录服务器把缓存的最近一次登录相对应的应用网站的用户凭证Cookies返回给用户浏览器予以补缺，没有缓存的，用上一次登录时缓存的用户在该应用网站的用户名、密码信息登录应用网站，得到用户Cookies后缓存并返回用户浏览器。

步骤(3.6)，用户浏览器会在收到正确的单点登录服务器返回的用户凭证Token和补齐了用户想要登录应用网站的用户凭证Cookies后，便改变用户请求，向反向代理服务器发起重新单点登录的请求。

步骤(3.7)，反向代理服务器在收到用户的重新单点登录请求后，将包含应用网站Cookies的用户请求转发给所述应用网站。

步骤(3.8)，所述应用网站以用户登录状态处理所述用户请求。

Claims (1)

1.一种通过反向代理实现管理和IT服务的单点登录方法，其特征在于，是一种在用户端和有限个应用网站均无需任何改动的情况下，实现一次登录所有应用网站通用的方法，是在一个由用户端、反向代理服务器、单点登录服务器和有限个应用网站共同组成的应用网站单点登录系统以下简称系统中，依次按以下步骤实现的：

步骤(1)，构建应用网站单点登录系统，其中：

用户端是一个移动终端或一台主机，向所述反向代理服务器发出申请单点登录已知标记的应用网站的请求，简称用户请求；

反向代理服务器，先验证用户身份无误后，依次判断用户请求中的单点登录服务器用户凭证Token是否正确，应用网站的用户应用Cookies是否缺失，如果凭证正确又不缺失，则用所述用户应用Cookies登录应用网站，若有错误或缺失，则向单点登录服务器下达重定向指令；

单点登录服务器，若收到重定向所述单点登录服务器用户凭证Token重定向指令后，再次核实用户身份后，重新生成正确的所述用户凭证Token向用户浏览器输出，若收到重定向用户应用Cookies的指令，则把缓存的用户上次的所述用户应用Cookies或通过用户的用户名和密码代理用户登录获得的用户应用Cookies发给用户浏览器以填充用户请求缺失的所述用户应用Cookies；

步骤(2)，系统初始化：

用户端，设定用户请求的数据项：<用户名、单点登录服务器用户凭证Token、应用网站的用户应用Cookies、用户IP、应用网站标记编号、登录方式、登录时间、登录次数编号>；

若用户主动正确完整性地单点登录一次应用网站后，得到各组成部分的参数组合成下一次单点登录的初始参数，其中：

单点登录服务器的用户凭证Token是由单点登录服务器产生的用于识别用户身份的数据；

应用网站的用户应用Cookies是由应用网站下发的，用于辨别用户身份，储存在用户本地终端上的数据；

步骤(3)系统按以下步骤单点登录应用网站；

步骤(3.3)，用户向反向代理服务器发出单点登录应用网站的请求；

步骤(3.4)，反向代理服务器依次按以下步骤判断用户请求中的单点登录服务器用户凭证Token的正确性，并作相应处理；

步骤(3.4.1)，验证用户请求中是否包含单点登录服务器用户凭证Token，若不包含则将用户请求发送到单点登录服务器的登录页面，并下达重定向所述单点登录服务器用户凭证Token重定向指令，转到步骤(3.4.4)，若包含则转入步骤(3.4.2)；

步骤(3.4.2)，与单点登录服务器发起通信请求提供按照反向代理服务器提供用户名的相对应的最近一次缓存在单点登录服务器的用户凭证Token；

步骤(3.4.3)，检查用户提交的单点登录请求中的用户凭证Token与单点登录服务器返回的相应的最近一次的用户凭证Token是否一致，若一致则转到步骤(3.5)；

若不一致则说明用户请求中的单点登录用户凭证不正确，则将用户请求发送到单点登录服务器的登录页面，并下达重定向所述单点登录服务器用户凭证Token重定向指令，转到步骤(3.4.4)；

步骤(3.4.4)，单点登录服务器，收到反向代理服务器发出的重定向所述单点登录服务器用户凭证Token重定向指令后，需要用户提供身份认证，核实用户身份后会重新生成单点登录服务器用户凭证Token，将所述用户凭证Token返回用户浏览器，并记录在案，缓存这一次登录的用户凭证Token；

步骤(3.5)，反向代理服务器依次按照以下步骤检查用户请求是否缺省单点登录的应用网站的用户应用Cookies，并作相应处理；

步骤(3.5.1)，若不缺失，则转到步骤(3.7)；

若缺省则把带有要登录的应用网站标记的用户请求转发到单点登录服务器并下达重定向用户应用Cookies的指令；

步骤(3.5.2)，单点登录服务器把缓存的最近一次登录相对应的应用网站的用户应用Cookies返回给用户浏览器予以补缺，没有缓存的，用上一次登录时缓存的用户在该应用网站的用户名、密码信息登录应用网站，得到应用网站的用户应用Cookies后缓存并返回用户浏览器；

步骤(3.6)，用户浏览器会在收到正确的单点登录服务器返回的用户凭证Token和补齐了用户想要登录应用网站的用户应用Cookies后，便改变用户请求，向反向代理服务器发起重新单点登录的请求；

步骤(3.7)，反向代理服务器在收到用户的重新单点登录请求后，将包含应用网站Cookies的用户请求转发给所述应用网站；

步骤(3.8)，所述应用网站以用户登录状态处理所述用户请求。

Images