CN116155631A - 一种企业级的正反向级联认证方法及系统 - Google Patents

一种企业级的正反向级联认证方法及系统 Download PDF

Info

Publication number
CN116155631A
CN116155631A CN202310432217.9A CN202310432217A CN116155631A CN 116155631 A CN116155631 A CN 116155631A CN 202310432217 A CN202310432217 A CN 202310432217A CN 116155631 A CN116155631 A CN 116155631A
Authority
CN
China
Prior art keywords
cascade
cas server
authentication
identity
ticket
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310432217.9A
Other languages
English (en)
Other versions
CN116155631B (zh
Inventor
杨智
张捷
张凌浩
黄飞虎
黄可
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Zhongdian Aostar Information Technologies Co ltd
Original Assignee
Sichuan Zhongdian Aostar Information Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Zhongdian Aostar Information Technologies Co ltd filed Critical Sichuan Zhongdian Aostar Information Technologies Co ltd
Priority to CN202310432217.9A priority Critical patent/CN116155631B/zh
Publication of CN116155631A publication Critical patent/CN116155631A/zh
Application granted granted Critical
Publication of CN116155631B publication Critical patent/CN116155631B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明公开了一种企业级的正反向级联认证方法及系统,包括本地申请级联授权票、跨域身份核实、业务应用完成单点登录步骤。统一门户携带级联授权票向一级CAS服务端发起合法性验证,一级CAS服务端首先检查请求数据的完整性,若完整,则一级CAS服务端基于级联授权票进行互信认证,验证通过后,一级CAS服务端基于响应用户的级联编码匹配本地用户并检查用户状态,若获取到正常的用户,则一级CAS服务端为业务应用颁发一次性单点票据;否则终止请求,并给出提示信息。本发明通过对CAS服务的封装与扩展,实现了跨域的正反向级联认证,支撑了企业应用跨域跨级部署的单点登录,同时保证了整个流程的安全性,具有较好的实用性。

Description

一种企业级的正反向级联认证方法及系统
技术领域
本发明属于信息技术领域,具体涉及一种企业级的正反向级联认证方法及系统。
背景技术
CAS是行业外主流的开源单点认证解决方案,其实现了基于B/S结构的多业务应用之间的单点认证,其主要使用http及安全的https实现交互。传统的单点认证技术基本支撑用户在同一个部署域环境内的业务应用单点认证,并未实现跨域服务之间的单点认证。
对与认证系统集成的业务应用来说,CAS作为一个三方的认证平台,用户在通过浏览器登录认证过程成功之后,在浏览器自身域的Cookie中维护一个可信的身份票,来支撑跨各个业务应用的单点认证。
基于CAS方案可以实现本单位多套WEB应用之间的单点认证,但是需要所有集成的业务应用都统一集成同一个域下的一套单点认证CAS服务。但此处依然存在两个问题:一是不能满足在大型企业中存在多级部署时,多套CAS服务之间相互单点的场景。二是多域下CAS如何互信,避免非法搭建服务的来实现登录伪造的情况。
现有技术中存在企业中用户访问不同集成域信息化应用间的统一认证问题。假设业务应用A与B集成总部部署的认证系统甲,而业务应用C与D集成了分子公司二级部署认证系统乙,用户登录业务应用A之后,可以直接在浏览器中访问业务应用B而不用再次登录,实现了单点登录。同理业务应用C和业务应用D也实现了单点登录。而如果业务应用A、B、C、D之间需要有一种方式,能够实现四个业务应用之间的单点登录,那么在认证系统甲和乙之间,则需要互信以及互认证机制,保证跨域之间的单点认证。因此,本发明提出了一种企业级的正反向级联认证方法及系统。
对于大型企业信息化建设时,为方便各业务人员使用,通常会建设一个统一门户作为业务应用的展示入口,各个业务应用遵循统一的开发规范以满足单点的接入。此时对于用户可访问的应用就涉及到的授权问题,而业界为解决该问题,大多采用标准的OAuth2.0协议。而本发明对OAuth2.0进行了改进,实现应用与跨域的单点认证;同时对跨域的用户身份信息扩展统一身份表示,使得跨域CAS服务之间身份信息建立关系,兼顾实现跨域的验证安全性。
发明内容
本发明的目的在于提供一种企业级的正反向级联认证方法及系统,旨在解决企业内多级部署的级联登录问题,支撑了企业应用跨域跨级部署的单点登录,同时保证了整个流程的安全性,具有较好的实用性。
本发明主要通过以下技术方案实现:
一种企业级的正反向级联认证方法,包括以下步骤:
步骤S100:本地申请级联授权票:统一门户向二级CAS服务端为业务应用申请级联授权票,二级CAS服务端验证请求的合法性以及用户授权范围,若授权合法,则响应用户对应的短时间有效的级联授权票;否则,拒绝请求;
步骤S200:跨域身份核实:统一门户携带级联授权票向一级CAS服务端发起合法性验证,一级CAS服务端首先检查请求数据的完整性,若不完整,则抛弃该请求,并给出提示信息,否则,一级CAS服务端基于级联授权票进行互信认证,验证通过后,一级CAS服务端基于响应用户的级联编码匹配本地用户并检查用户状态,若获取到正常的用户,则一级CAS服务端为业务应用颁发一次性单点票据;否则终止请求,并给出提示信息;
步骤S300:业务应用完成单点登录:业务应用携带一次性单点票据访问自身后台,应用后台基于一次性单点票据到一级CAS服务端进行验证;一级CAS服务端判断一次性单点票据是否合法,若合法,则为业务应用响应当前身份信息;业务用户后台获取到身份信息后,缓存用户信息并生成自身的会话内容,完成用户登录。
以上为二级域到一级域的方向级联,将一二级的域信息进行互换,则为正向一级到二级域的正向级联认证。
为了更好地实现本发明,进一步地,针对认证域之间可内部互通且网络良好的情况,基于Oauth协议进行正反向级联,所述步骤S100中级联授权票为授权码。
为了更好地实现本发明,进一步地,基于授权码的正反向级联认证包括以下步骤:
第一步:统一门户为业务应用申请访问授权码:
用户在统一门户中点击需要访问的一级业务应用,统一门户凭借自身授权信息以及业务应用信息,到二级CAS服务端申请授权码;二级CAS服务端确认当前申请是合法状态,若合法,则为统一门户颁发授权码并将其返回给统一门户;
第二步:统一门户向一级CAS服务端发起级联认证:
统一门户根据获取到的授权码,通过应用ID以及业务应用的回跳地址,二级CAS服务端验证地址,向一级CAS服务端发起提交请求;一级CAS服务端接收到请求,需要确认请求中的参数是否合法,若合法,则基于验票地址以及授权码,对授权码进行合法验证;若授权码合法,则通过验票地址获取到级联用户身份信息,基于级联身份获取本地真实用户信息;一级CAS服务端为需要登录的业务应用地址,颁发一次性单点票据,并重定向到业务应用同时携带单点票据。
为了更好地实现本发明,进一步地,所述一级CAS服务端预先在二级CAS服务端中进行注册,并颁发相应的证书信息,在双方通信的过程中基于证书先行确认。
为了更好地实现本发明,进一步地,针对无法实现内部互通或者内部互通网络差的情况,基于JWT协议进行正反向级联,通过对跨域之间的认证服务身份验证以及级联身份的解析,实现可信的身份认证互通,所述步骤S100中级联授权票为级联身份票。
为了更好地实现本发明,进一步地,基于级联身份票的正反向级联认证包括以下步骤:
第一步:统一门户为业务应用申请级联身份票:
用户在统一门户中点击需要访问的一级业务应用,统一门户凭借自身授权信息以及业务应用信息,到二级CAS服务端申请级联身份票;二级CAS服务端确认当前申请是否为合法状态,若合法,则为门户颁发级联身份票并将其返回给统一门户;
第二步:统一门户向一级CAS服务端发起级联认证:
统一门户持有级联身份票以及二级CAS服务端的身份票,统一门户根据获取到的级联身份票信息,通过应用ID以及业务应用的回跳地址,向一级CAS服务端发起提交请求;一级CAS服务端接收到请求,需要确认请求中的参数是否合法;若参数合法,则首先验证应用身份信息是否匹配,若匹配,则解析当前级联身份票;一级CAS服务端通过解析级联身份票获取到级联用户身份信息,基于级联身份获取本地真实用户信息;一级CAS服务端为需要登录的业务应用地址颁发一次性单点票据,并重定向到业务应用同时携带一次性单点票据。
为了更好地实现本发明,进一步地,所述一级CAS服务端、二级CAS服务端分别预置有级联密钥信息,在级联授权票验证之前,优先验证当前CAS服务端的身份是否合法。
本发明主要通过以下技术方案实现:
一种企业级的正反向级联认证系统,包括统一门户、一级CAS服务端、二级CAS服务端;所述统一门户用于访问一级业务应用,所述二级CAS服务端设置有级联授权票申请接口以及级联授权票验证接口,用于进行跨域单点认证授权与验证;所述一级CAS服务端设置有表单认证接口,用于提交当前请求待验证信息,且基于级联授权票进行互信验证,获取到合法的身份信息,进而实现为业务应用颁发一次性单点票据。
本发明通过对CAS服务的封装与扩展,实现了跨域的正反向级联认证。本发明提供了两种方式实现级联认证:一是基于Oauth协议的正反向级联,主要原则是谁签发谁验证的方式,适用于认证域之间可以互通的跨域。二是基于JWT协议的正反向级联,通过对跨域之间的认证服务身份验证以及级联身份的解析,实现可信的身份认证互通,适用于认证域之间不具备互通、或者带宽存在问题的跨域认证。
本发明的有益效果如下:
(1)本发明利用CAS协议与OAuth2.0的授权码、JWT认证的两种模式有效结合,分别解决不同场景下,企业内多级部署的级联登录问题,基本支撑了大多企业应用跨域跨级部署的单点登录,同时保证了整个流程的安全性;
(2)本发明基于安全准入与级联身份双重验证的机制,确保了两级统一权限在级联过程中的安全交互,通过级联编码实现了两级身份的一致性,在保证了两级身份各自的个性化同时,也满足了各自对业务应用的需求。在级联认证过程中,通过加强对应用注册信息以及认证自身的互信机制,来保证两级级联认证的安全,同时基于授权码的单次短时间有效方式,避免了授权的重复利用带来的身份安全问题;
(3)本发明在oauth与cas协议基础上,完善了基于JWT的级联认证协议,解决跨域的网络互通响应慢,导致客户体验不佳的问题;
(4)本发明在企业级应用架构中将Oauth、JWT协议与CAS架构的结合。本发明联合统一门户共同实现授权码机制,在多级域中使用授权码作为跨域用户认证的关键要素,形成整个认证过程OAuth到CAS协议、JWT到CAS协议之间的闭环。跨域之间CAS认证服务通过颁发授权码,两个域之间的认证服务通过授权码的校验之后才能正常进入下一步骤,各步骤之间环环相扣,形成整个认证流程的闭环;
(5)跨域级联认证的准入与认证域之间的服务互信加上身份双重核查确保两级CAS服务端的交互安全。在此方案下,两个域之间的认证服务需要建立两两之间的互信机制。第一种是一级域的CAS服务端需要先在二级CAS服务端中进行注册,并颁发相应的证书信息,在双方通信的过程中基于证书先行确认,避免非法的服务端信息伪造。第二种是跨域之间的CAS服务端需要提前预置好级联密钥信息,在进行级联票验证之前,优先验证当前CAS服务端身份是否合法,避免非法的服务端信息伪造;
(6)跨域的CAS服务应连接本侧的权威身份数据源,颁发身份授权验证票能够获取到跨域的身份级联信息,另一个域的CAS服务可以基于级联编码信息在本地权威身份源中获取到唯一的身份数据。在级联认证交互过程中,采用安全的加密通道,避免黑客截取到包之后,对包中数据进行非法篡改。同时对级联票在采用专用通道的同时,对级联票设定短时间一次有效的机制,避免黑客截包之后,反复模拟提交该请求以非法获取用户身份验证信息。
附图说明
图1为本发明的原理框图;
图2为基于授权码的级联认证方法的时序图;
图3为基于级联身份票的级联认证方法的时序图。
具体实施方式
实施例1:
一种企业级的正反向级联认证方法,如图1所示,通过各级CAS服务端的统一权限平台实现正反向级联认证。其中包括以下步骤:
步骤S100:本地申请级联授权票:统一门户向二级CAS服务端为业务应用申请级联授权票,二级CAS服务端验证请求的合法性以及用户授权范围,若授权合法,则响应用户对应的短时间有效的级联授权票;否则,拒绝请求;
步骤S200:跨域身份核实:统一门户携带级联授权票向一级CAS服务端发起合法性验证,一级CAS服务端首先检查请求数据的完整性,若不完整,则抛弃该请求,并给出提示信息,否则,一级CAS服务端基于级联授权票进行互信认证,验证通过后,一级CAS服务端基于响应用户的级联编码匹配本地用户并检查用户状态,若获取到正常的用户,则一级CAS服务端为业务应用颁发一次性单点票据;否则终止请求,并给出提示信息;
步骤S300:业务应用完成单点登录:业务应用携带一次性单点票据访问自身后台,应用后台基于一次性单点票据到一级CAS服务端进行验证;一级CAS服务端判断一次性单点票据是否合法,若合法,则为业务应用响应当前身份信息;业务用户后台获取到身份信息后,缓存用户信息并生成自身的会话内容,完成用户登录。
优选地,本发明提供了两种方式实现级联认证:一是基于Oauth协议的正反向级联,主要原则是谁签发谁验证的方式,适用于认证域之间可以互通的跨域。二是基于JWT协议的正反向级联,通过对跨域之间的认证服务身份验证以及级联身份的解析,实现可信的身份认证互通,适用于认证域之间不具备互通、或者带宽存在问题的跨域认证。
优选地,跨域级联认证的准入与认证域之间的服务互信加上身份双重核查确保两级CAS服务端的交互安全。在此方案下,两个域之间的认证服务需要建立两两之间的互信机制。第一种是一级域的CAS服务端需要先在二级CAS服务端中进行注册,并颁发相应的证书信息,在双方通信的过程中基于证书先行确认,避免非法的服务端信息伪造。第二种是跨域之间的CAS服务端需要提前预置好级联密钥信息,在进行级联票验证之前,优先验证当前CAS服务端身份是否合法,避免非法的服务端信息伪造。
本发明利用CAS协议与OAuth2.0的授权码、JWT认证的两种模式有效结合,分别解决不同场景下,企业内多级部署的级联登录问题,基本支撑了大多企业应用跨域跨级部署的单点登录,同时保证了整个流程的安全性。本发明基于安全准入与级联身份双重验证的机制,确保了两级统一权限在级联过程中的安全交互,通过级联编码实现了两级身份的一致性,在保证了两级身份各自的个性化同时,也满足了各自对业务应用的需求。在级联认证过程中,通过加强对应用注册信息以及认证自身的互信机制,来保证两级级联认证的安全,同时基于授权码的单次短时间有效方式,避免了授权的重复利用带来的身份安全问题。
实施例2:
一种企业级的正反向级联认证方法,如图1,通过各级CAS服务端的统一权限平台实现级联认证,本发明通过对CAS服务的封装与扩展,实现了跨域的正反向级联认证。基于Oauth协议的正反向级联,主要原则是谁签发谁验证的方式,适用于认证域之间可以互通的跨域。主要是针对认证域之间是可内部互通并且网络良好的情况。其中包括以下步骤:
一、本地申请级联授权票
1、统一门户向二级CAS服务端为业务应用申请级联单点票,二级CAS服务端验证请求的合法性以及用户授权范围,如果授权合法,响应短时间有效的一次性授权码,门户向一级CAS服务发起合法性验证,如果不合法,则拒绝请求。
二、跨域身份核实
2、一级CAS服务在接收到认证请求时,首先检查请求数据完整性,如数据不完整则抛弃该请求,并给出提示信息,数据完整则进入下一步;一级CAS服务基于授权码以及二级服务域的CAS服务地址,发起授权码验证,验证完成之后,基于响应用户的级联编码匹配本地用户并检查用户状态,如果获取到正常的用户,继续进行下一步,否则终止请求,并给出提示信息。
优选地,如图2所示,具体步骤如下:
第一步:统一门户为业务应用申请访问授权码
前提条件:用户已登录进入到统一门户,统一门户当前已持有用户信息。
①用户在统一门户中点击需要访问的一级业务应用,统一门户凭借自身授权信息以及业务应用信息,到二级统一权限申请授权码AuthorizationCode;
②二级统一权限确认当前申请是合法状态,为门户颁发AuthorizationCode并将其返回给统一门户。
第二步:统一门户向一级统一权限发起级联认证
前提条件:统一门户已持有为业务应用申请的Authorization Code
①统一门户根据获取到的AuthorizationCode,通过APPID(应用ID)以及业务应用的回跳地址,二级统一权限验证地址,向一级统一权限发起提交请求;
②一级统一权限接收到请求,需要确认请求中的参数是否合法,请求合法则基于验票地址以及授权码,对授权码进行合法验证;
③一级统一权限验证授权码合法的情况下,通过验票地址获取到级联用户身份信息,基于级联身份获取本地真实用户信息。
④一级统一权限为需要登录的业务应用地址,颁发一次性单点票据,并重定向到业务应用同时携带单点票。
第三步:业务应用完成单点登录
①业务应用携带统一权限颁发的ticket访问自身后台;后台基于一次性单点票,到统一认证服务进行单点票验证;
②一级统一权限判断单点票合法使用,则为业务应用响应当前身份信息;
③业务应用后台获取到身份信息之后,缓存用户信息并生成自身的会话信息,完成用户登录。
针对跨域认证的流程,以上为二级域到一级域的方向级联,将一二级的域信息进行互换,则为正向一级到二级域的正向级联认证。整个认证过程中最核心的地方在于一次性授权码是由谁颁发谁验证,确保了授权码的安全可靠性,这样避免了存在多个认证域时,每个认证之间都需要重复记录各个认证域之间的密钥信息,有利于认证域的扩充。
实施例3:
一种企业级的正反向级联认证方法,如图1所示,通过各级CAS服务端的统一权限平台实现级联认证,本发明通过对CAS服务的封装与扩展,实现了跨域的正反向级联认证。基于JWT协议的正反向级联,通过对跨域之间的认证服务身份验证以及级联身份的解析,实现可信的身份认证互通,适用于认证域之间不具备互通、或者带宽存在问题的跨域认证。主要是针对部分跨域之间带宽等限制,导致无法实现内部互通或者内部互通网络查的情况。其中包括以下步骤:
一、本地申请级联授权票
1、统一门户向二级CAS服务端为业务应用申请级联身份票,二级CAS服务端验证请求的合法性以及用户授权范围,如果授权合法,响应短时间有效的一次性级联身份票,门户向一级CAS服务发起合法性验证,如果不合法,则拒绝请求。
二、跨域身份核实
2、一级CAS服务在接收到认证请求时,首先检查请求数据完整性,如数据不完整则抛弃该请求,并给出提示信息,数据完整则进入下一步;一级CAS服务对服务来源方进行验证,验证完成之后对级联身份票进行解析,基于解析出的用户级联编码匹配本地用户并检查用户状态,如果获取到正常的用户,继续进行下一步,否则终止请求,并给出提示信息。
优选地,如图3所示,具体步骤如下:
第一步:统一门户为业务应用申请访问授权码
前提条件:用户已登录进入到统一门户,统一门户当前已持有用户信息。
①用户在统一门户中点击需要访问的一级业务应用,统一门户凭借自身授权信息以及业务应用信息,到二级统一权限申请级联身份票;
②二级统一权限确认当前申请是合法状态,为门户颁发级联身份票并将其返回给统一门户。
第二步:统一门户向一级统一权限发起级联认证
前提条件:统一门户已持有为业务应用申请的级联身份票以及二级权限身份票
①统一门户根据获取到的级联身份票信息,通过APPID(应用ID)以及业务应用的回跳地址,向一级统一权限发起提交请求;
②一级统一权限接收到请求,需要确认请求中的参数是否合法,参数合法则首先验证应用身份信息是否匹配,匹配则解析当前级联身份票;
③一级统一权限通过解析级联身份票获取到级联用户身份信息,基于级联身份获取本地真实用户信息。
④一级统一权限为需要登录的业务应用地址,颁发一次性单点票据,并重定向到业务应用同时携带单点票。
第三步:业务应用完成单点登录
①业务应用携带统一权限颁发的ticket访问自身后台;后台基于一次性单点票,到统一认证服务进行单点票验证;
②一级统一权限判断单点票合法使用,则为业务应用响应当前身份信息;
③业务应用后台获取到身份信息之后,缓存用户信息并生成自身的会话信息,完成用户登录。
本发明在oauth与cas协议基础上,完善了基于JWT的级联认证协议,解决跨域的网络互通响应慢,导致客户体验不佳的问题。本发明在企业级应用架构中将Oauth、JWT协议与CAS架构的结合。本发明联合统一门户共同实现授权码机制,在多级域中使用授权码作为跨域用户认证的关键要素,形成整个认证过程OAuth到CAS协议、JWT到CAS协议之间的闭环。跨域之间CAS认证服务通过颁发授权码,两个域之间的认证服务通过授权码的校验之后才能正常进入下一步骤,各步骤之间环环相扣,形成整个认证流程的闭环。
实施例4:
一种企业级的正反向级联认证系统,包括统一门户、一级CAS服务端、二级CAS服务端;所述统一门户用于访问一级业务应用,所述二级CAS服务端设置有级联授权票申请接口以及级联授权票验证接口,用于进行跨域单点认证授权与验证;所述一级CAS服务端设置有表单认证接口,用于提交当前请求待验证信息,且基于级联授权票进行互信验证,获取到合法的身份信息,进而实现为业务应用颁发一次性单点票据。
优选地,本发明提供了两种方式实现级联认证:一是基于Oauth协议的正反向级联,主要原则是谁签发谁验证的方式,适用于认证域之间可以互通的跨域。二是基于JWT协议的正反向级联,通过对跨域之间的认证服务身份验证以及级联身份的解析,实现可信的身份认证互通,适用于认证域之间不具备互通、或者带宽存在问题的跨域认证。
优选地,以存在子公司CAS服务二级集成域与总公司CAS服务一级集成域为例,假设位于二级集成域的用户,需要访问一级集成域信息化应用进行日常办公。本发明二级集成域的CAS服务新增授权码申请接口以及授权码验证接口,用来进行跨域单点认证授权与验证。此操作由二级域的统一门户来为业务应用申请,申请完成之后将票据、需要验证的CAS服务地址以及验证成功之后的回跳地址,提交到一级集成域CAS服务,同时授权码验证接口用来接收其他服务的授权码合法性验证。在一级域的CAS服务新增一个免密的表单认证接口,用于提交当前请求待验证信息,一级域CAS服务获取到提交的信息,直接基于授权码到二级域CAS服务器去验证授权码合法性,获取到合法的身份信息。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。

Claims (8)

1.一种企业级的正反向级联认证方法,其特征在于,包括以下步骤:
步骤S100:本地申请级联授权票:统一门户向二级CAS服务端为业务应用申请级联授权票,二级CAS服务端验证请求的合法性以及用户授权范围,若授权合法,则响应用户对应的短时间有效的级联授权票;否则,拒绝请求;
步骤S200:跨域身份核实:统一门户携带级联授权票向一级CAS服务端发起合法性验证,一级CAS服务端首先检查请求数据的完整性,若不完整,则抛弃该请求,并给出提示信息,否则,一级CAS服务端基于级联授权票进行互信认证,验证通过后,一级CAS服务端基于响应用户的级联编码匹配本地用户并检查用户状态,若获取到正常的用户,则一级CAS服务端为业务应用颁发一次性单点票据;否则终止请求,并给出提示信息;
步骤S300:业务应用完成单点登录:业务应用携带一次性单点票据访问自身后台,应用后台基于一次性单点票据到一级CAS服务端进行验证;一级CAS服务端判断一次性单点票据是否合法,若合法,则为业务应用响应当前身份信息;业务用户后台获取到身份信息后,缓存用户信息并生成自身的会话内容,完成用户登录。
2.根据权利要求1所述的一种企业级的正反向级联认证方法,其特征在于,针对认证域之间可内部互通且网络良好的情况,基于Oauth协议进行正反向级联,所述步骤S100中级联授权票为授权码。
3.根据权利要求2所述的一种企业级的正反向级联认证方法,其特征在于,基于授权码的正反向级联认证包括以下步骤:
第一步:统一门户为业务应用申请访问授权码:
用户在统一门户中点击需要访问的一级业务应用,统一门户凭借自身授权信息以及业务应用信息,到二级CAS服务端申请授权码;二级CAS服务端确认当前申请是合法状态,若合法,则为统一门户颁发授权码并将其返回给统一门户;
第二步:统一门户向一级CAS服务端发起级联认证:
统一门户根据获取到的授权码,通过应用ID以及业务应用的回跳地址,二级CAS服务端验证地址,向一级CAS服务端发起提交请求;一级CAS服务端接收到请求,需要确认请求中的参数是否合法,若合法,则基于验票地址以及授权码,对授权码进行合法验证;若授权码合法,则通过验票地址获取到级联用户身份信息,基于级联身份获取本地真实用户信息;一级CAS服务端为需要登录的业务应用地址,颁发一次性单点票据,并重定向到业务应用同时携带单点票据。
4.根据权利要求2所述的一种企业级的正反向级联认证方法,其特征在于,所述一级CAS服务端预先在二级CAS服务端中进行注册,并颁发相应的证书信息,在双方通信的过程中基于证书先行确认。
5.根据权利要求1所述的一种企业级的正反向级联认证方法,其特征在于,针对无法实现内部互通或者内部互通网络差的情况,基于JWT协议进行正反向级联,通过对跨域之间的认证服务身份验证以及级联身份的解析,实现可信的身份认证互通,所述步骤S100中级联授权票为级联身份票。
6.根据权利要求5所述的一种企业级的正反向级联认证方法,其特征在于,基于级联身份票的正反向级联认证包括以下步骤:
第一步:统一门户为业务应用申请级联身份票:
用户在统一门户中点击需要访问的一级业务应用,统一门户凭借自身授权信息以及业务应用信息,到二级CAS服务端申请级联身份票;二级CAS服务端确认当前申请是否为合法状态,若合法,则为门户颁发级联身份票并将其返回给统一门户;
第二步:统一门户向一级CAS服务端发起级联认证:
统一门户持有级联身份票以及二级CAS服务端的身份票,统一门户根据获取到的级联身份票信息,通过应用ID以及业务应用的回跳地址,向一级CAS服务端发起提交请求;一级CAS服务端接收到请求,需要确认请求中的参数是否合法;若参数合法,则首先验证应用身份信息是否匹配,若匹配,则解析当前级联身份票;一级CAS服务端通过解析级联身份票获取到级联用户身份信息,基于级联身份获取本地真实用户信息;一级CAS服务端为需要登录的业务应用地址颁发一次性单点票据,并重定向到业务应用同时携带一次性单点票据。
7.根据权利要求5所述的一种企业级的正反向级联认证方法,其特征在于,所述一级CAS服务端、二级CAS服务端分别预置有级联密钥信息,在级联授权票验证之前,优先验证当前CAS服务端的身份是否合法。
8.一种企业级的正反向级联认证系统,其特征在于,包括统一门户、一级CAS服务端、二级CAS服务端;所述统一门户用于访问一级业务应用,所述二级CAS服务端设置有级联授权票申请接口以及级联授权票验证接口,用于进行跨域单点认证授权与验证;所述一级CAS服务端设置有表单认证接口,用于提交当前请求待验证信息,且基于级联授权票进行互信验证,获取到合法的身份信息,进而实现为业务应用颁发一次性单点票据。
CN202310432217.9A 2023-04-21 2023-04-21 一种企业级的正反向级联认证方法及系统 Active CN116155631B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310432217.9A CN116155631B (zh) 2023-04-21 2023-04-21 一种企业级的正反向级联认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310432217.9A CN116155631B (zh) 2023-04-21 2023-04-21 一种企业级的正反向级联认证方法及系统

Publications (2)

Publication Number Publication Date
CN116155631A true CN116155631A (zh) 2023-05-23
CN116155631B CN116155631B (zh) 2023-07-28

Family

ID=86351059

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310432217.9A Active CN116155631B (zh) 2023-04-21 2023-04-21 一种企业级的正反向级联认证方法及系统

Country Status (1)

Country Link
CN (1) CN116155631B (zh)

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163004A (zh) * 2006-10-13 2008-04-16 华为技术有限公司 一种实现认证的方法和系统
WO2008132036A1 (en) * 2007-04-27 2008-11-06 International Business Machines Corporation Cascading authentication system
EP2375669A1 (en) * 2008-12-18 2011-10-12 China Iwncomm Co., Ltd. Method for protecting the first message of security protocol
CN102571822A (zh) * 2012-02-27 2012-07-11 杭州闪亮科技有限公司 单点登录系统及其实现方法
CN104539615A (zh) * 2014-12-29 2015-04-22 中国南方电网有限责任公司 基于cas的级联认证方法
CN106921678A (zh) * 2017-04-27 2017-07-04 中国舰船研究设计中心 一种集成异构舰载信息系统的统一安全认证平台
CN110213246A (zh) * 2019-05-16 2019-09-06 南瑞集团有限公司 一种广域多因子身份认证系统
CN110691099A (zh) * 2019-10-28 2020-01-14 浪潮云信息技术有限公司 一种微服务架构下实现级联授权的系统及方法
CN111901346A (zh) * 2020-07-29 2020-11-06 北京奇艺世纪科技有限公司 一种身份认证系统
CN112100590A (zh) * 2020-09-15 2020-12-18 上饶市中科院云计算中心大数据研究院 一种旅游大数据云平台及其用户权限管理的方法
CN112559555A (zh) * 2020-12-31 2021-03-26 郑州信大捷安信息技术股份有限公司 一种安全可靠的数据采集聚合查询方法和系统
CN112804063A (zh) * 2020-12-31 2021-05-14 深信服科技股份有限公司 一种级联方法及相关装置
CN114036496A (zh) * 2021-10-30 2022-02-11 北京天融信网络安全技术有限公司 基于平台级联的快速认证方法及系统
CN115118454A (zh) * 2022-05-25 2022-09-27 四川中电启明星信息技术有限公司 一种基于移动应用的级联认证系统及认证方法
CN115189958A (zh) * 2022-07-18 2022-10-14 西安热工研究院有限公司 一种实现多级架构之间认证漫游和鉴权的方法

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163004A (zh) * 2006-10-13 2008-04-16 华为技术有限公司 一种实现认证的方法和系统
WO2008132036A1 (en) * 2007-04-27 2008-11-06 International Business Machines Corporation Cascading authentication system
EP2375669A1 (en) * 2008-12-18 2011-10-12 China Iwncomm Co., Ltd. Method for protecting the first message of security protocol
CN102571822A (zh) * 2012-02-27 2012-07-11 杭州闪亮科技有限公司 单点登录系统及其实现方法
CN104539615A (zh) * 2014-12-29 2015-04-22 中国南方电网有限责任公司 基于cas的级联认证方法
CN106921678A (zh) * 2017-04-27 2017-07-04 中国舰船研究设计中心 一种集成异构舰载信息系统的统一安全认证平台
CN110213246A (zh) * 2019-05-16 2019-09-06 南瑞集团有限公司 一种广域多因子身份认证系统
CN110691099A (zh) * 2019-10-28 2020-01-14 浪潮云信息技术有限公司 一种微服务架构下实现级联授权的系统及方法
CN111901346A (zh) * 2020-07-29 2020-11-06 北京奇艺世纪科技有限公司 一种身份认证系统
CN112100590A (zh) * 2020-09-15 2020-12-18 上饶市中科院云计算中心大数据研究院 一种旅游大数据云平台及其用户权限管理的方法
CN112559555A (zh) * 2020-12-31 2021-03-26 郑州信大捷安信息技术股份有限公司 一种安全可靠的数据采集聚合查询方法和系统
CN112804063A (zh) * 2020-12-31 2021-05-14 深信服科技股份有限公司 一种级联方法及相关装置
CN114036496A (zh) * 2021-10-30 2022-02-11 北京天融信网络安全技术有限公司 基于平台级联的快速认证方法及系统
CN115118454A (zh) * 2022-05-25 2022-09-27 四川中电启明星信息技术有限公司 一种基于移动应用的级联认证系统及认证方法
CN115189958A (zh) * 2022-07-18 2022-10-14 西安热工研究院有限公司 一种实现多级架构之间认证漫游和鉴权的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
FREDERICO SCHARDONG,ALEXANDRE AUGUSTO GIRON,FERNANDA LARISA MULLER&RICARDO CUSTODIO, 《SPRINGERLINK 》 *
吴昊: "面向医院信息门户的统一身份认证系统研究", 《中国优秀硕士论文全文数据库》 *

Also Published As

Publication number Publication date
CN116155631B (zh) 2023-07-28

Similar Documents

Publication Publication Date Title
US7747856B2 (en) Session ticket authentication scheme
US8554930B2 (en) Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment
JP5027227B2 (ja) 通信ネットワークにおける認証手順のための方法および装置
US7818576B2 (en) User controlled anonymity when evaluating into a role
EP1427160B1 (en) Methods and systems for authentication of a user for sub-locations of a network location
CN101202753B (zh) 一种客户端访问插件应用系统的方法和装置
US9825938B2 (en) System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration
CN102655494B (zh) 一种基于saml的单点登录模式设计的认证平台
CN112468481B (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
US20140245417A1 (en) Centralized secure management method of third-party application, system and corresponding communication system
US20060218628A1 (en) Method and system for enhanced federated single logout
US20100268932A1 (en) System and method of verifying the origin of a client request
TW201025984A (en) Single sign-on method and system for web browser
US10601809B2 (en) System and method for providing a certificate by way of a browser extension
CN112532599B (zh) 一种动态鉴权方法、装置、电子设备和存储介质
US20030135734A1 (en) Secure mutual authentication system
CN103986734B (zh) 一种适用于高安全性业务系统的鉴权管理方法和系统
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
Oh et al. The security limitations of sso in openid
CN109495486A (zh) 一种基于JWT的单页Web应用集成CAS的方法
US6611916B1 (en) Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment
CN115118454B (zh) 一种基于移动应用的级联认证系统及认证方法
CN116155631B (zh) 一种企业级的正反向级联认证方法及系统
KR20030075809A (ko) 멀티도메인으로 구성된 웹사이트에서 단일 로그인에 의한접속자 인증 방법
CN116436624A (zh) 存储系统的访问方法、装置、计算机可读介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant