给出如下描述以使得本领域技术人员能够实现和使用本发明，并在特定应用及其要求的上下文中提供如下描述。对所公开的实施例的各种修改对本领域技术人员而言将会是显而易见的，并且在此所定义的一般原理可适用于其它实施例和应用而不偏离本发明的精神和范围。因而，本发明并不限于所示的实施例，而是符合与在此所公开的原理和特征一致的最广的范围。
在该具体实施方式中所描述的数据结构和代码通常存储于计算机可读存储介质中，其可以是任何可存储计算机系统使用的代码和/或数据的设备或介质。这包括，但不限于，易失性存储器、非易失性存储器、磁和光存储设备，诸如磁盘驱动器、磁带、CD(光盘)、DVD(数字多用途光盘或数字视频光盘)，或其它能够存储已知或之后开发的计算机可读介质的介质。
概述
本发明的一个实施例提供了单点登录会话桥接器，此后被称为“桥接器”，其解决桥接与各种安全令牌相关联的不同域的问题。所述桥接器通过将来自于一个域的安全令牌转换成另一个、和/或将一种类型的安全令牌转换成另一种类型的安全令牌来实现上述目的。
例如，在本发明的一个实施例中，当用户点击与一应用程序相关联的链接时，该应用程序向桥接器发出会话令牌、或鉴权令牌。在本实施例中，桥接器可存在于目标系统的虚拟域中，其中目标系统为第二应用程序的宿主，并且链接指向该目标系统。此后，桥接器能够将鉴权令牌转换成与目标系统相关联的形式。使用转换的鉴权令牌，桥接器验证目标系统的用户，并且随后将用户重新引导到目标系统。
计算机系统
图1说明了根据本发明实施例的计算环境100。
计算环境100通常可包括任何类型的计算机系统，其可包括基于微处理器、大型计算机、数字信号处理器、便携式计算设备、个人管理器、设备控制器和装置内的计算引擎的计算机系统。具体地，计算环境100可包括客户机110、膝上电脑120、网络130、服务器140、服务器150、服务器160、应用程序145、应用程序165和桥接器190。
客户机110和膝上电脑120通常可包括网络上的任何节点，所述节点具有计算能力并具有在整个网络上通信的机构。
网络130通常可包括任意类型的能将计算节点耦合在一起的有线或无线通信信道。这包括，但不限于，局域网、广域网，或网络的组合。在本发明的一个实施例中，网络130包括因特网。
服务器140、150和160通常可包括计算机网络上的任何节点，所述计算机网络包括用于服务来自于客户机的对计算和/或数据存储资源的请求的机构。
应用程序145和165通常可包括任何计算机程序。在本发明的一个实施例中，服务器140执行应用程序145，并且服务器160执行应用程序165。
在本发明的一个实施例中，应用程序145和165是同一应用程序的实例。
在本发明的一个实施例中，应用程序145和165是不同应用程序的实例。
在本发明的一个实施例中，应用程序145和165是同一应用程序的组分。
桥接器190通常可包括任何系统，所述系统接收与第一应用程序145相关联的形式的鉴权令牌并将该鉴权令牌转换成与第二应用程序16相关联的形式。在本发明的一个实施例中，桥接器190可以是由客户机110、膝上电脑120或服务器(诸如服务器140)作为其宿主的应用程序。
在本发明的一个实施例中，用户112通过客户机110访问应用程序145。在用户112可开始使用应用程序145之前，用户112向应用程序145进行验证，这包含应用程序145创建与用户112相关联的鉴权令牌。当使用应用程序145时，用户112点击指向应用程序145的链接以发送命令执行请求至桥接器190，所述命令执行请求包括鉴权令牌和应用程序165将执行的命令。桥接器190然后将鉴权令牌转换成应用程序165可处理的形式。然后，桥接器190发送修改的命令执行请求至应用程序165，所述修改的命令执行请求包括转换的鉴权令牌以及应用程序165将执行的命令。
在本发明的一个实施例中，桥接器190响应接收来自应用程序145的鉴权令牌，而向第三方系统(例如服务器150)请求第二鉴权令牌，其中所述第二鉴权令牌是与应用程序165相关联的形式。此后，服务器150发送该第二鉴权令牌至桥接器190，桥接器190随后将该第二鉴权令牌和应用程序165将要执行的命令一起发至应用程序165。
在本发明的一个实施例中，管理员122通过膝上电脑120向桥接器190提供规则。这些规则指示桥接器190如何将鉴权令牌转换成其它类型的鉴权令牌。
在本发明的一个实施例中，桥接器190向用户112呈现与桥接器190、应用程序145或应用程序165相关联的用户界面。在本发明的一个实施例中，该用户界面是非交互的。在这个实施例中，用户界面可向用户112提供命令执行请求的状态报告，或与应用程序145、应用程序165或桥接器190相关联的溅射屏幕。
在本发明的一个实施例中，用户界面是交互的。在本实施例中，用户112通过用户界面向桥接器190提供信息。桥接器190可使用该信息来促进对命令执行请求的处理。
在本发明的一个实施例中，命令执行请求包括使桥接器190能够自定义用户界面的数据。
在本发明的一个实施例中，桥接器190不向用户112呈现用户界面。在本实施例中，用户112意识不到桥接器190的存在。本实施例允许体系结构在用户112使用多个应用程序时向用户112提供无缝的体验。
转换命令执行请求
图2示出根据本发明实施例、将命令执行请求从与第一应用程序相关联的格式转换成与第二应用程序相关联的格式的过程的流程图。
该过程开始于桥接器190接收于来自应用程序145的命令执行请求，服务器140是该应用程序145的宿主(步骤202)。在本发明的一个实施中，命令执行请求包括：目标统一资源定位器(URL)，其中所述目标统一资源定位器指定应用程序165的位置；第一鉴权令牌类型，其指定第一鉴权令牌的形式，其中第一鉴权令牌的形式是与应用程序145关联的；第二鉴权令牌类型，其指定第二鉴权令牌的形式，其中第二鉴权令牌的形式是与应用程序165相关联的；与第一鉴权令牌相关联的用户标识符；使得应用程序165能够执行命令的有效负荷数据；和应用程序165将要执行的命令。
在本发明的一个实施例中，目标URL指定与应用程序165相关联的网页的位置。
在本发明的一个实施例中，目标URL指定进入应用程序165的进入点。
在本发明的一个实施例中，通过使用熟悉本领域的人员已知的任何协议，命令执行请求可指定应用程序165的位置，或进入应用程序165的进入点。
然后，桥接器190检验第一鉴权令牌的有效性，所述第一鉴权令牌包含在命令执行请求中(步骤204)。注意，这是多步骤过程，下文将参照图3对其进行更为详细地描述。
在本发明的一个实施例中，第一鉴权令牌可包括cookie、数字证书、用户名/密码对、密钥、生物识别符、以及熟悉本领域的人员已知的其它任何形式的鉴权令牌。
在检验第一鉴权令牌的有效性之后，桥接器190将第一鉴权令牌转换成与应用程序165相关联的形式，以获得第二鉴权令牌(步骤206)。注意，这是多步骤过程，下文将参照图4对其进行更为详细地描述。
在本发明的一个实施例中，第二鉴权令牌可包括cookie、数字证书、用户名/密码对、密钥、生物识别符、以及熟悉本领域的人员已知的其它任何形式的鉴权令牌。
在本发明的一个实施例中，服务器140是应用程序145和应用程序165的主机。
在本发明的一个实施例中，应用程序145和应用程序165是同一应用程序的两个组分。
然后，桥接器190修改命令执行请求，以通过将第一鉴权令牌替换为第二鉴权令牌来创建修改的命令执行请求(步骤208)。
在本发明的一个实施例中，桥接器190修改从应用程序145接收的命令以创建修改的命令(步骤210)。为创建该修改的命令，桥接器190改变该命令的格式以匹配与应用程序165相关联的格式。这使得应用程序165能够执行该命令。在创建该修改的命令之后，桥接器190将修改的命令包含在修改的命令执行请求中(步骤212)。例如，在本发明的一个实施例中，应用程序145以如下顺序格式化命令：命令类型，变量，然后是变量值。然而，应用程序165格式化同一命令，以在指定变量值之后指定该命令类型。因而，对于将执行由应用程序145发出的命令的应用程序165而言，桥接器190重新格式化来自于应用程序145的命令以匹配与应用程序165相关联的命令格式。这些步骤是可选的，如环绕步骤210和212的虚线所示出的那样。
一旦桥接器190已完成创建修改的命令执行请求，桥接器190就将该修改的命令执行请求发送至应用程序165(步骤214)。
检验鉴权令牌
图3示出根据本发明实施例、说明检验鉴权令牌的过程的流程图。
该过程开始于桥接器190试图识别第一鉴权令牌的第一鉴权令牌类型(步骤302)，第一鉴权令牌包含于命令执行请求中。在本发明的一个实施例中，桥接器190试图通过将第一鉴权令牌的格式与一组已知的鉴权令牌格式进行比较来识别第一鉴权令牌类型。在这个实施例中，管理员122在桥接器190接收命令执行请求之前、向桥接器190指定一组已知的鉴权令牌格式。这使应用程序145能够与使用不同鉴权令牌类型的应用程序通信而不用修改应用程序145。
在本发明的一个实施例中，命令执行请求指定第一鉴权令牌类型。
如果桥接器190能够识别第一鉴权令牌类型，那么桥接器190使用与第一鉴权令牌类型相关联的解密规则来解密第一鉴权令牌，从而获得解密的第一鉴权令牌(步骤304)。
在本发明的一个实施例中，桥接器190在识别第一鉴权令牌类型之前解密第一鉴权令牌。在这个实施例中，桥接器190能够识别解密规则而不用识别第一鉴权令牌类型。
在本发明的一个实施例中，应用程序145不解密第一鉴权令牌，因此，桥接器190不必解密第一鉴权令牌。
在解密第一鉴权令牌之后，桥接器190检验解密的第一鉴权令牌的有效性(步骤306)。检验解密的第一鉴权令牌的有效性可包含：检验解密的第一鉴权令牌未过期；检验解密的第一鉴权令牌与用户标识符相关联，其中该用户标识符与用户112相关联；检验解密的第一鉴权令牌未被篡改；以及熟悉本领域的人员已知的任何其它令牌检验过程。
在本发明的一个实施例中，检验解密的第一鉴权令牌未被篡改可包含：检验与该解密的第一鉴权令牌关联的散列值；检验与该解密的第一鉴权令牌相关联的数字证书；检验与该解密的第一鉴权令牌相关联的密钥；以及熟悉本领域的人员已知的识别该解密的第一鉴权令牌是否已被篡改的任何其它过程。
如果桥接器190确定该解密的第一鉴权令牌是有效的，那么桥接器190前进至步骤206。如果桥接器190不能识别第一鉴权令牌类型，或如果桥接器190确定该解密的第一鉴权令牌不是有效的，那么桥接器190拒绝命令执行请求(步骤308)。桥接器190然后向应用程序145发送错误消息(步骤310)。在这一点上，该过程结束，并且桥接器190不会继续至步骤206。
在本发明的一个实施例中，发送错误消息可包括报告鉴权令牌过期，报告鉴权令牌是无效的，报告桥接器190不能确定如何将鉴权令牌转换成与应用程序165相关联的格式，报告桥接器190不可用，以及报告熟悉本领域的人员已知的任何其它错误消息类型。
在本发明的一个实施例中，桥接器190可请求用户112用应用程序145重新验证。在这个实施例中，在用户112用应用程序145重新验证之后，应用程序145重新发送命令执行请求。
在本发明的一个实施例中，桥接器190不向应用程序145发送错误消息。
转换鉴权令牌
图4示出根据本发明实施例、说明将与第一鉴权令牌类型相关联的第一鉴权令牌转换成第二鉴权令牌类型的过程的流程图。
该过程开始于桥接器190试图识别第二鉴权令牌类型，其中该第二鉴权令牌类型是与应用程序165相关联的(步骤402)。在本发明的一个实施例中，桥接器190基于命令执行请求的目标应用程序(例如，应用程序165)确定第二鉴权令牌类型。在这个实施例中，在桥接器190接收该命令执行请求之前，管理员122将第二鉴权令牌类型与应用程序165关联起来。
在本发明的一个实施例中，应用程序145将第二鉴权令牌类型包括在命令执行请求中。
如果桥接器190成功识别第二鉴权令牌类型，那么桥接器190确定是否存在与第一鉴权令牌类型和第二鉴权令牌类型相关联的转换规则(步骤404)。注意，该转换规则指定如何将第一鉴权令牌转换成与第二鉴权令牌类型相关联的格式、以获得第二鉴权令牌。在本发明的一个实施例中，在桥接器190接收命令执行请求之前，管理员122将转换规则与第一鉴权令牌类型和第二鉴权令牌类型关联起来。
如果桥接器190成功识别与第二鉴权令牌类型相关联的转换规则，那么桥接器190确定是否存在用户标识符映射(步骤406)。注意，该用户标识符映射为第一用户标识符、第一鉴权令牌类型和第二鉴权令牌类型的给定组合指定第二用户标识符。桥接器190将第二用户标识符包括在修改的命令执行请求中，所述修改的命令执行请求由桥接器190发送至应用程序165。
在本发明的一个实施例中，第一用户标识符和第二用户标识符是相同的用户识别符。
如果桥接器190成功识别用户标识符映射，那么桥接器190使用转换规则来创建第二鉴权令牌类型的第二鉴权令牌(步骤408)。桥接器190然后继续执行步骤208。
在本发明的一个实施例中，桥接器190使用转换规则和用户标识符映射的组合来促进第二鉴权令牌的创建。
在本发明的一个实施例中，桥接器190通过向与第二鉴权令牌类型相关联的第三方(例如，服务器150)请求第二鉴权令牌来创建第二鉴权令牌。例如，如果第二鉴权令牌类型指示应用程序165需要数字证书来验证用户112，以及服务器150是认证授权方，那么桥接器190可联系服务器150以获得数字证书。服务器150然后可将第二鉴权令牌发送至桥接器190。
如果桥接器190不能识别第二鉴权令牌类型、转换规则、或用户标识符映射，那么桥接器190拒绝命令执行请求(步骤410)。此后，桥接器190发送错误消息至应用程序145(步骤412)。在这一点上，该过程结束，并且桥接器190不继续至步骤208。
在本发明的一个实施例中，发送错误消息可包括报告鉴权令牌是过期的，鉴权令牌是无效的，桥接器190不能确定如何将鉴权令牌转换成与应用程序165相关联的格式，桥接器190是不可用的，以及熟悉本领域的人员已知的任何其它错误消息类型。
在本发明的一个实施例中，桥接器190可联系用户112以请求对第一鉴权令牌类型、第二鉴权令牌类型、转换规则或用户标识符映射的识别。在这个实施例中，桥接器190可存储用户112对该请求的响应。因而，如果桥接器190从用户112接收第二命令执行请求，则桥接器190将能够在没有用户112的辅助下完成该请求。注意，这个实施例可使用户112对桥接器190进行编程，以执行除那些由管理员122编程的鉴权令牌转换之外的鉴权令牌转换。
在本发明的一个实施例中，桥接器190可联系管理员122以请求对第一鉴权令牌类型、第二鉴权令牌类型、转换规则或用户标识符映射的识别。在这个实施例中，在桥接器190接收命令执行请求之前，管理员122无需指定一组已知的鉴权令牌格式、将鉴权令牌格式与可用的应用程序关联起来、指定转换规则、或指定用户标识符映射。
在本发明的一个实施例中，桥接器190不向应用程序145发送错误消息。
上述对本发明实施例的描述仅出于说明和描述的目的。它们无意是穷举的或将本发明限制为所公开的形式。因此，对于本领域技术人员来说许多修改和变化都是显而易见的。另外，上述的公开并无意限制本发明。本发明的范围由所附权利要求限定。