技术领域
[0001] 本
发明属于互联网技术领域,具体涉及一种基于智慧企业门户的单点登录实现方法。
背景技术
[0002] 近年来,随着OA、PDM、ERP等各类系统的深入应用,以有效整合现有信息资源,实现异构信息共享等为特征的智慧企业门户系统建设逐渐成为国内外企业IT建设的重点。在国外,门户系统已被列入了许多跨国企业、大中型企业的信息化规划中。在国内,电信、金融、石化、电
力、航天、军工等行业的企业门户系统的建设走在前列。如中国航天科工集团,通过构建智慧企业门户系统,集成企业内OA、邮件、AVIDM等多种应用系统,通过跨系统的单点登陆和统一
用户界面等实现了企业门户的整合,为员工构建了统一工作平台。
[0003] 其中单点登录(SSO Single Sign-On)是介于门户和集成的应用系统之间的认证服务,用户登录门户之后,只做一次身份验证,就可以对所有被授权的网络资源进行无缝的
访问,不需要再次输入其他应用系统的验证信息,从而可以提高用户的工作效率,降低系统出错的机率。
[0004] 目前主流的单点登录方法有以Cookie作为凭证媒介、通过JSONP实现、通过页面重定向的方式这几种方式,从而衍生出来CAS、Oauth2等单点登录技术和协议,在互联网企业中应用较为广泛。但在国有企业中,企业信息化建设是分阶段、持续性的,横跨了很多年,在不同时期建设的应用系统,从开发技术、架构设计都可能不同,如采用C#开发的PDM系统、MRPII系统,采用.Net开发的OA系统,采用PHP开发的
网站系统、采用JAVA开发的财务系统,采用Python开发的检索系统。其中有CS架构的也有BS架构的。而使用CAS、Oauth2需要应用系统进行客户端改造开发,对早期的技术兼容性较差,友好性不高,改造工作量大。针对CS架构的系统,基本无法使用这种方法进行改造。同时CAS认证机制建议使用https协议和域名访问,但在许多企业尤其是军工企业内网环境中,无法满足以上要求。虽然在开发过程中可以通过其他技术手段绕过,但是会造成认证过程存在
风险,整体安全性减低的问题。
发明内容
[0005] (一)要解决的技术问题
[0006] 本发明要解决的技术问题是:如何基于智慧企业门户系统(以下简称门户系统)的建设,在门户系统中实现符合国有企业信息化建设现状的单点登录方法,解决应用系统改造难度高,认证过程存在风险的问题。
[0007] (二)技术方案
[0008] 为解决上述技术问题,本发明提供一种基于智慧企业门户的单点登录实现方法,所述方法基于单点登录实现系统来实施,所述单点登录实现系统包括:门户系统端组件和应用系统端组件;
[0009] 所述门户系统端组件包括:认证模
块、缓存服务模块、安全令牌获取模块、比对模块、解密模块、验证模块、反馈模块;
[0010] 所述认证模块包括:安全令牌生成单元、地址调用及信息发送单元;
[0011] 所述应用系统端组件包括:注册
申请模块、回调模块;
[0012] 所述方法包括如下步骤:
[0013] 步骤1:所述注册申请模块向门户系统发送注册信息,对其所属的应用系统进行注册;
[0014] 所述注册信息包括:应用系统的名称、应用系统唯一标识、单点登录认证
接口地址;
[0015] 步骤2:当用户在门户系统中访问应用系统时,由认证模块根据应用系统注册信息,主动向应用系统发起认证
请求,进行握手验证;
[0016] 具体包括:
[0017] 步骤21:由安全令牌生成单元对此次认证请求生成安全令牌;所述安全令牌包括:会话控制信息、用户唯一身份标识、应用系统唯一标识、当前请求
服务器的时间戳和随机数;然后由加密模块将以上信息进行加密,以键值对的模式把随机数和安全令牌,存入到缓存服务模块中;
[0018] 步骤22:在安全令牌生成单元生成安全令牌后,由地址调用及信息发送单元调用应用系统的单点登录认证接口地址,开始第一次握手过程,向应用系统发送包括安全令牌、随机数、门户回调验证地址的门户系统调用请求;
[0019] 步骤3:当应用系统接收到门户系统调用请求后,获取到安全令牌、随机数、门户系统回调验证地址;
[0020] 步骤4:回调模块通过调用门户系统回调验证地址,将安全令牌,随机数和应用系统唯一标识这三个参数形成验证信息,传递给门户系统,开始第二次握手过程;
[0021] 步骤5:当门户系统接收到应用系统返回的验证信息后,在缓存服务模块中,由安全令牌获取模块以键值对的方式,通过随机数获取安全令牌;
[0022] 在服务运行稳定、网络通讯通畅、未被恶意攻击等情况下,通过该方式能够获取到安全令牌,并执行步骤6,进行下一步验证步骤;
[0023] 若无法获取到安全令牌,则表明验证过程出现异常,执行步骤9,进行异常处理;
[0024] 步骤6:门户系统获取到安全令牌后,进行信息校验;
[0025] 由比对模块对缓存服务模块中获取到的安全令牌和应用系统回调的验证信息中返回的安全令牌进行比对;
[0026] 如果比对信息不一致,则表明该次请求有可能被恶意拦截并且篡改了,进入步骤10,异常处理;
[0027] 若信息比对一致,则由解密模块对安全令牌进行解密,然后由验证模块将解密后获得的会话控制信息、用户唯一身份标识、应用系统唯一标识、时间戳和随机数,进行有效性验证;
[0028] 若有效性验证通过,进行步骤7,开始第三次握手过程;
[0029] 若未通过,表明验证信息失效,进行步骤9,异常处理;
[0030] 步骤7:进入到该步骤,表明身份验证请求通过,门户系统的反馈模块将用户唯一标识、验证成功标识生成验证结果成功反馈信息并返回给应用系统;
[0031] 步骤8:应用系统的登录模块接收到验证结果成功反馈信息和用户唯一标识,进行本系统登录;第三次握手过程结束,单点登录过程结束;
[0032] 步骤9:反馈模块将步骤5、步骤6中的验证未通过的失败标识和具体适配原因生成验证结果失败反馈信息返回给应用系统;单点登录过程结束。
[0033] 其中,所述步骤21中,由加密模块将所述会话控制信息、用户唯一身份标识、应用系统唯一标识、当前请求服务器的时间戳和随机数采用对称加密
算法进行加密。
[0034] 其中,所述步骤22中,针对BS架构的应用系统,地址调用及信息发送单元通过支持HTTP协议的客户端编程工具包,将加密后的安全令牌、随机数、门户回调验证地址写入到HTTP协议的消息头中,形成门户系统调用请求并传送给应用系统,以减少被恶意系统拦截篡改的几率。
[0035] 其中,所述步骤22中,针对CS架构的应用系统,若门户系统使用IE浏览器,则地址调用及信息发送单元通过IE浏览器的组件对象模型,通过脚本命令调用起CS客户端;
[0036] 若门户系统使用的为火狐、谷歌浏览器,则地址调用及信息发送单元采用“网景
插件应用程序编程接口”插件,调用起CS客户端;然后将安全令牌、随机数、门户系统回调验证地址形成门户系统调用请求,并以参数方式传递给CS客户端。
[0037] 其中,所述步骤3中,当BS架构的应用系统接收到门户系统调用请求后,在HTTP协议的消息头中获取到安全令牌、随机数、门户系统回调验证地址。
[0038] 其中,所述步骤3中,当CS架构的应用系统接收到门户请求,通过客户端获取到安全令牌、随机数、门户系统回调验证地址后,传递给CS架构的应用系统的服务器端。
[0039] 其中,所述步骤4中的应用系统唯一标识为步骤1中进行注册的应用系统唯一标识保持一致。
[0040] 其中,所述步骤6中验证模块将解密后获得的会话控制信息、用户唯一身份标识、应用系统唯一标识、时间戳和随机数,进行如下有效性验证:
[0041] 步骤61:验证会话控制信息是否在当前门户系统中有效;
[0042] 步骤62:验证应用系统唯一标识和应用系统回调的验证信息中返回的应用系统唯一标识是否一致;
[0043] 步骤63:验证时间戳与门户系统服务器当前时间的差值,若两个时间差值大于预先设定的认证时间
阈值,则该次请求无效。
[0044] 其中,所述步骤63中,认证时间阈值为1500ms。
[0045] 其中,所述步骤7中将验证结果成功反馈信息并返回给应用系统的同时,还删除缓存服务模块中的本次请求安全令牌数据。
[0046] (三)有益效果
[0047] 与
现有技术相比较,本发明具备如下有益效果:
[0048] (1)该方法对各类技术架构开发的应用系统可以使用统一的认证标准,尤其实现了CS架构系统的认证,对应用系统改造工作量少,标准化程度高。
[0049] (2)该方法对https、域名无强制要求,且对BS系统验证全过程均在后台服务端进行,使用高强度的加密方式和完备的鉴权手段,相对于其他使用Cookie存储验证信息的方式,能够有效降低验证信息被恶意拦截篡改的风险。
[0050] (3)该方法作为智慧企业门户系统的功能模块,与门户统一用户、统一权限结合使用,有效的解决了企业信息
孤岛的问题。
[0051] 综上所述,该方法相对于CAS、Oauth2等技术,更符合国有企业各类信息系统集成的要求。
附图说明
[0052] 图1为单点登录认证流程示意图。
[0053] 图2为门户与应用系统交互示意图。
具体实施方式
[0054] 为使本发明的目的、内容、和优点更加清楚,下面结合附图和
实施例,对本发明的具体实施方式作进一步详细描述。
[0055] 为解决现有技术问题,本发明提供一种基于智慧企业门户的单点登录实现方法,如图1及图2所示,所述方法基于单点登录实现系统来实施,所述单点登录实现系统包括:门户系统端组件和应用系统端组件;
[0056] 所述门户系统端组件包括:认证模块、缓存服务模块、安全令牌获取模块、比对模块、解密模块、验证模块、反馈模块;
[0057] 所述认证模块包括:安全令牌生成单元、地址调用及信息发送单元;
[0058] 所述应用系统端组件包括:注册申请模块、回调模块;
[0059] 所述方法包括如下步骤:
[0060] 步骤1:所述注册申请模块向门户系统发送注册信息,对其所属的应用系统进行注册;
[0061] 所述注册信息包括:应用系统的名称、应用系统唯一标识、单点登录认证接口地址;
[0062] 步骤2:当用户在门户系统中访问应用系统时,由认证模块根据应用系统注册信息,主动向应用系统发起认证请求,进行握手验证;
[0063] 具体包括:
[0064] 步骤21:由安全令牌生成单元对此次认证请求生成安全令牌;所述安全令牌包括:会话控制信息(session)、用户唯一身份标识、应用系统唯一标识、当前请求服务器的时间戳和随机数;然后由加密模块将以上信息采用对称加密算法(AES)进行加密,以键值对的模式把随机数和安全令牌,存入到缓存服务模块中;
[0065] 步骤22:在安全令牌生成单元生成安全令牌后,由地址调用及信息发送单元调用应用系统的单点登录认证接口地址,开始第一次握手过程,向应用系统发送包括安全令牌、随机数、门户回调验证地址的门户系统调用请求;
[0066] 针对BS架构的应用系统,地址调用及信息发送单元通过支持HTTP协议的客户端编程工具包,将加密后的安全令牌、随机数、门户回调验证地址写入到HTTP协议的消息头中,形成门户系统调用请求并传送给应用系统,以减少被恶意系统拦截篡改的几率;
[0067] 针对CS架构的应用系统,若门户系统使用IE浏览器,则地址调用及信息发送单元通过IE浏览器的组件对象模型(ActiveX控件),通过脚本命令调用起CS客户端;若门户系统使用的为火狐、谷歌浏览器,则地址调用及信息发送单元采用“网景插件应用程序编程接口(NPAPI)”插件,调用起CS客户端;然后将安全令牌、随机数、门户系统回调验证地址形成门户系统调用请求,并以参数方式传递给CS客户端;
[0068] 步骤3:当BS架构的应用系统接收到门户系统调用请求后,在HTTP协议的消息头中获取到安全令牌、随机数、门户系统回调验证地址;
[0069] 当CS架构的应用系统接收到门户请求,通过客户端获取到安全令牌、随机数、门户系统回调验证地址后,传递给CS架构的应用系统的服务器端;
[0070] 步骤4:BS/CS架构的应用系统,回调模块通过调用门户系统回调验证地址,将安全令牌,随机数和应用系统唯一标识(与门户系统中注册一致)这三个参数形成验证信息,传递给门户系统,开始第二次握手过程;
[0071] 步骤5:当门户系统接收到应用系统返回的验证信息后,在缓存服务模块中,由安全令牌获取模块以键值对的方式,通过随机数获取安全令牌;
[0072] 在服务运行稳定、网络通讯通畅、未被恶意攻击等情况下,通过该方式能够获取到安全令牌,并执行步骤6,进行下一步验证步骤;
[0073] 若无法获取到安全令牌,则表明验证过程出现异常,执行步骤9,进行异常处理;
[0074] 步骤6:门户系统获取到安全令牌后,进行信息校验;
[0075] 由比对模块对缓存服务模块中获取到的安全令牌和应用系统回调的验证信息中返回的安全令牌进行比对;
[0076] 如果比对信息不一致,则表明该次请求有可能被恶意拦截并且篡改了,进入步骤10,异常处理;
[0077] 若信息比对一致,则由解密模块对安全令牌进行解密,然后由验证模块将解密后获得的会话控制信息(session)、用户唯一身份标识、应用系统唯一标识、时间戳和随机数,进行以下三方面有效性验证;
[0078] 步骤61:验证会话控制信息(session)是否在当前门户系统中有效;
[0079] 步骤62:验证应用系统唯一标识和应用系统回调的验证信息中返回的应用系统唯一标识是否一致;
[0080] 步骤63:验证时间戳与门户系统服务器当前时间的差值,若两个时间差值大于预先设定的认证时间阈值(比如1500ms),则该次请求无效;
[0081] 若以上有效性验证均通过,进行步骤7,开始第三次握手过程;
[0082] 若有一项未通过,表明验证信息失效,进行步骤9,异常处理;
[0083] 步骤7:进入到该步骤,表明身份验证请求通过,门户系统的反馈模块将用户唯一标识、验证成功标识生成验证结果成功反馈信息并返回给应用系统,同时删除缓存服务模块中的本次请求安全令牌数据;
[0084] 步骤8:应用系统的登录模块接收到验证结果成功反馈信息和用户唯一标识,进行本系统登录;第三次握手过程结束,单点登录过程结束;
[0085] 步骤9:反馈模块将步骤5、步骤6中的验证未通过的失败标识和具体适配原因生成验证结果失败反馈信息返回给应用系统;单点登录过程结束。
[0086] 其中,所述步骤21中,由加密模块将所述会话控制信息、用户唯一身份标识、应用系统唯一标识、当前请求服务器的时间戳和随机数采用对称加密算法(AES)进行加密。
[0087] 其中,所述步骤22中,针对BS架构的应用系统,地址调用及信息发送单元通过支持HTTP协议的客户端编程工具包,将加密后的安全令牌、随机数、门户回调验证地址写入到HTTP协议的消息头中,形成门户系统调用请求并传送给应用系统,以减少被恶意系统拦截篡改的几率。
[0088] 其中,所述步骤22中,针对CS架构的应用系统,若门户系统使用IE浏览器,则地址调用及信息发送单元通过IE浏览器的组件对象模型(ActiveX控件),通过脚本命令调用起CS客户端;
[0089] 若门户系统使用的为火狐、谷歌浏览器,则地址调用及信息发送单元采用“网景插件应用程序编程接口(NPAPI)”插件,调用起CS客户端;然后将安全令牌、随机数、门户系统回调验证地址形成门户系统调用请求,并以参数方式传递给CS客户端。
[0090] 其中,所述步骤3中,当BS架构的应用系统接收到门户系统调用请求后,在HTTP协议的消息头中获取到安全令牌、随机数、门户系统回调验证地址。
[0091] 其中,所述步骤3中,当CS架构的应用系统接收到门户请求,通过客户端获取到安全令牌、随机数、门户系统回调验证地址后,传递给CS架构的应用系统的服务器端。
[0092] 其中,所述步骤4中的应用系统唯一标识为步骤1中进行注册的应用系统唯一标识保持一致。
[0093] 其中,所述步骤6中验证模块将解密后获得的会话控制信息(session)、用户唯一身份标识、应用系统唯一标识、时间戳和随机数,进行如下有效性验证:
[0094] 步骤61:验证会话控制信息(session)是否在当前门户系统中有效;
[0095] 步骤62:验证应用系统唯一标识和应用系统回调的验证信息中返回的应用系统唯一标识是否一致;
[0096] 步骤63:验证时间戳与门户系统服务器当前时间的差值,若两个时间差值大于预先设定的认证时间阈值(比如1500ms),则该次请求无效。
[0097] 其中,所述步骤63中,认证时间阈值为1500ms。
[0098] 其中,所述步骤7中将验证结果成功反馈信息并返回给应用系统的同时,还删除缓存服务模块中的本次请求安全令牌数据。
[0099] 实施例1
[0100] 如图1及图2所示,本实施例中,包括如下步骤:
[0101] 步骤1:本发明基于门户系统实现单点登录方法,门户系统中已经实现了应用系统注册的功能。以某系统实现单点登录为例,在应用系统注册功能中,注册了系统的名称、系统唯一标识、单点登录认证接口地址。用户进入门户系统,点击门户系统中的该系统菜单,开始向该系统发起认证请求,进行握手验证。
[0102] 步骤2:门户后台生成安全令牌,安全令牌将控制信息(session)、用户名、系统唯一标识、当前服务器时间、随机数以字符串形式进行拼接,使用AES对称加密算法进行加密,自行编写加密函数EncryptAES(),然后将加密后的安全令牌和随机数以键值对的方式,放入到缓存服务中。
[0103] 步骤3:门户系统将安全令牌、随机数、门户系统回调验证地址这三个参数,使用支持HTTP协议的客户端编程工具包(HttpClient技术)写入到HTTP协议的消息头中,传递到应用系统的单点登录接口中。
[0104] 步骤4:应用系统的单点登录接口代码逻辑中,使用request.getHeader()方法获取HTTP协议的消息头中的安全令牌、随机数、门户系统回调验证地址等参数。
[0105] 步骤5:应用系统使用CXF、Axis、Axis2、RPC等技术调用门户系统回调验证地址,将安全令牌、随机数、系统唯一标识回传给门户系统。
[0106] 步骤6:门户系统得到回传参数后,使用随机数作为键key,从缓存服务中,获取安全令牌。
[0107] 步骤7:门户进行验证过程。如果应用系统返回的安全令牌等于从缓存服务中获取的安全令牌,则进行有效性验证。对安全令牌进行AES解密,获得到得控制信息(session)、用户名、系统唯一标识、时间戳和随机数。进行以下三方面有效性验证:1、验证控制信息(session)是否在当前门户系统中有效。2、验证系统唯一标识和应用系统回调验证返回的系统唯一标识是否一致。3、验证服务器时间参数time,与当前服务器时间进行比较nowTime,是否时间参数差值(nowTime-time)小于设定的安全阈值。若以上验证通过,进入步骤8。
[0108] 步骤8:则返回验证成功消息和用户名。删除Redis中的Token值。
[0109] 步骤9:应用系统接收到返回成功值和用户名唯一标识,登录应用系统。
[0110] 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和
变形,这些改进和变形也应视为本发明的保护范围。
