本发明涉及网路技术领域,更具体的说是涉及一种基于ukey认证的单点登陆实现方式。
背景技术:
单点登陆sso(singlesignon)简单来说就是在一个多系统共存的环境下,用户在一处登陆后,就不用在其他系统中登陆,也就是用户的一次登陆能得到其他所有系统的信任。
无论在小型网站还是企业网站,单点登录是被广泛使用的解决方案。由于网站规模庞大,涉及的子系统成百上千,如果在每位系统都须要重新认证一遍,不仅历时耗力,对用户来讲感知是非常不好的。
现在实现单点登陆最常用的方案是通过cas实现。cas是centralauthenticationservice的简写,中央认证服务,一种独立开放指令合同。cas是yale学院发起的一个开源项目,旨在为web应用系统提供一种可靠的单点登陆方式,cas在2004年12月即将成为ja-sig的一个项目。但是目前cas只支持用户名密码的认证。
有些时侯,我们可能须要其他的认证方法,针对cas的局限性,我们须要设计一个新的解决方案。
技术实现要素:
针对以上问题,本发明的目的在于提供一种基于ukey认证的单点登陆实现方式,实现了跨域登陆,能够选择登入系统,并可扩充认证方法。
本发明为实现上述目的,通过以下技术方案实现:一种基于ukey认证的单点登陆实现方式,包括:
使用安全管理框架构建身份认证系统,并进行key与系统用户的绑定和身分认证;
通过跨域身分验证解决方案保存认证用户信息;
用户直接进行系统登陆时,首先步入身份认证系统进行身分认证,身份认证成功后,跳转到用户要访问的系统首页,身份认证系统手动挪到身分认证系统首页。
进一步,用户通过身分认证系统进行系统登陆时,身份认证系统向用户展示可访问的系统,用户选择步入。
进一步,所述安全管理框架采用apacheshiro;所述跨域身分验证解决方案采用jsonwebtoken。
进一步,所述身分认证基于pki级别的ukey认证,后台生成随机数,前台使用ukey中的秘钥进行加密,并将密文和私钥传递给后台,后台进行验证,如果通过则认证成功,否则认证失败。
进一步,所述通过跨域身分验证解决方案保存认证用户信息具体为:
通过jsonwebtoken合同生成token,并将用户认证信息保存在memcached中,身份认证系统向提供用户可访问的系统列表,供用户选择。
进一步,用户直接进行系统登陆时,首先步入shiro身分认证系统进行身分认证,检验用户是否登陆过要访问系统,如果是,直接跳转到用户要访问的系统首页;如果否,校验是否有token,如果有token,直接跳转到用户要访问的系统首页;如果没有token,进入身份认证系统首页。
进一步,进入身份认证系统首页后,携带反弹地址重定向到uias进行key登陆,判断该用户是否有权限,如果有则登陆并形成token,并保存,同时返回到要访问的系统。
进一步,用户还可以通过身分认证系统进行系统登陆,登录时,直接在身份认证系统的登入页进行key登陆,登录成功后,身份认证系统向用户展示可访问的系统,用户选择步入。
进一步,用户直接进行系统登陆时,通过shirofiter进行过滤,使访问恳求可以抵达用户的恳求访问的系统地址。
对比现有技术,本发明有益疗效如下:
1、身份认证是基于pki体系的ukey认证,身份认证系统安全可靠,保证了证书的合法性和登陆的合法性。
2、通过使用memcached,解决jsonwebtoken的跨域问题。
3、登录系统可选择。通过认证系统展示了用户可用系统,提供了门户作用。
4、认证方法可扩充,可选择多种认证方法。
本发明提供了一种基于ukey认证的单点登陆实现方式,通过身份认证系统,实现key与系统用户的绑定,身份认证基于pki级别的ukey认证,后台生成随机数,前台使用ukey中的秘钥进行加密,并将密文和私钥传递给后台,后台进行验证,如果通过则认证成功,否则认证失败。
本发明利用jjsonwebtoken生成token.保存认证用户信息。jsonwebtoken(jwt)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方法,用于作为json对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。认证成功后,跳转到要访问的系统,在系统中取得对应的token进行验证。token验证成功在步入系统首页,验证认证跳转回认证系统首页。若直接访问认证系统,则步入认证系统展示用户可访问的系统,用户选择步入。
由此可见,本发明与现有技术相比,具有突出的实质性特征和明显的进步,其施行的有益疗效也是显而易见的。
附图说明
为了更清楚地说明本发明施行例或现有技术中的技术方案,下面将对施行例或现有技术描述中所须要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的施行例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以按照提供的附图获得其他的附图。
附图1是本发明施行例一的方式流程图。
附图2是本发明施行例二的方式流程图。
具体施行方法
下面结合附图对本发明的具体施行方法作出说明。
实施例一:
如图1所示的一种基于ukey认证的单点登陆实现方式,包括:
使用安全管理框架构建身份认证系统,并进行key与系统用户的绑定和身分认证。
通过跨域身分验证解决方案保存认证用户信息。
用户直接进行系统登陆时,首先步入身份认证系统进行身分认证,身份认证成功后,跳转到用户要访问的系统首页,身份认证系统手动挪到身分认证系统首页。
用户通过身分认证系统进行系统登陆时,身份认证系统向用户展示可访问的系统,用户选择步入。
实施例二:
在施行例一的基础上,所述安全管理框架采用apacheshiro;所述跨域身分验证解决方案采用jsonwebtoken。apacheshiro是一个强悍且易用的java安全框架,执行身分验证、授权、密码和会话管理。借助于现有优秀的安全管理框架shiro实现系统的权限管理,同时参考cas模式实现认证系统,系统的认证基于pki级别的ukey认证完成。完成认证后,借助jwt生成token保存在memcached中,用户即可登入其他的系统而不用再进行认证,用户在某一系统登载后,需重新进行认证。sonwebtoken(jwt)是目前最流行的跨域身分验证解决方案。
如图2所示的一种基于ukey认证的单点登陆实现方式,包括:
使用安全apacheshiro构建身份认证系统,并进行key与系统用户的绑定和身分认证。身份认证基于pki级别的ukey认证,后台生成随机数,前台使用ukey中的秘钥进行加密,并将密文和私钥传递给后台,后台进行验证,如果通过则认证成功,否则认证失败。
通过jsonwebtoken合同生成token,并将用户认证信息保存在memcached中,身份认证系统向提供用户可访问的系统列表,供用户选择。
用户直接进行系统登陆时,首先通过shirofiter进行过滤,使访问恳求可以抵达用户的恳求访问的系统地址。然后步入shiro身分认证系统进行身分认证,检验用户是否登陆过要访问系统,如果是,直接跳转到用户要访问的系统首页;如果否,校验是否有token,如果有token,直接跳转到用户要访问的系统首页;如果没有token,进入身份认证系统首页。进入身份认证系统首页后,携带反弹地址重定向到uias进行key登陆,判断该用户是否有权限,如果有则登陆并形成token,并保存,同时返回到要访问的系统。
用户还可以通过身分认证系统进行系统登陆,登录时,直接在身份认证系统的登入页进行key登陆,登录成功后,身份认证系统向用户展示可访问的系统,用户选择步入。
本施行例提供了一种基于ukey认证的单点登陆实现方式,通过身份认证系统,实现key与系统用户的绑定;通过jjsonwebtoken生成token.保存认证用户信息。认证成功后,跳转到要访问的系统,在系统中取得对应的token进行验证。token验证成功在步入系统首页,验证认证跳转回认证系统首页。若直接访问认证系统,则步入认证系统展示用户可访问的系统,用户选择步入。
结合附图和具体施行例,对本发明作进一步说明。应理解,这些施行例仅用于说明本发明而不用于限制本发明的范围。此外应理解,在阅读了本发明讲授的内容以后,本领域技术人员可以对本发明作各类改动或更改,这些等价方式同样落于本申请所限定的范围。
技术特点:
1.一种基于ukey认证的单点登陆实现方式,其特点在于,包括:
使用安全管理框架构建身份认证系统,并进行key与系统用户的绑定和身分认证;
通过跨域身分验证解决方案保存认证用户信息;
用户直接进行系统登陆时,首先步入身份认证系统进行身分认证,身份认证成功后,跳转到用户要访问的系统首页,身份认证系统手动挪到身分认证系统首页。
2.根据权力要求1所述的基于ukey认证的单点登陆实现方式,其特点在于,还包括:
用户通过身分认证系统进行系统登陆时,身份认证系统向用户展示可访问的系统,用户选择步入。
3.根据权力要求2所述的基于ukey认证的单点登陆实现方式,其特点在于:
所述安全管理框架采用apacheshiro;
所述跨域身分验证解决方案采用jsonwebtoken。
4.根据权力要求3所述的基于ukey认证的单点登陆实现方式,其特点在于:
所述身分认证基于pki级别的ukey认证,后台生成随机数,前台使用ukey中的秘钥进行加密,并将密文和私钥传递给后台,后台进行验证,如果通过则认证成功,否则认证失败。
5.根据权力要求3所述的基于ukey认证的单点登陆实现方式,其特点在于,所述通过跨域身分验证解决方案保存认证用户信息具体为:
通过jsonwebtoken合同生成token,并将用户认证信息保存在memcached中,身份认证系统向提供用户可访问的系统列表,供用户选择。
6.根据权力要求3所述的基于ukey认证的单点登陆实现方式,其特点在于:用户直接进行系统登陆时,首先步入shiro身分认证系统进行身分认证,检验用户是否登陆过要访问系统,如果是,直接跳转到用户要访问的系统首页;如果否,校验是否有token,如果有token,直接跳转到用户要访问的系统首页;如果没有token,进入身份认证系统首页。
7.根据权力要求6所述的基于ukey认证的单点登陆实现方式,其特点在于:进入身份认证系统首页后,携带反弹地址重定向到uias进行key登陆,判断该用户是否有权限,如果有则登陆并形成token,并保存,同时返回到要访问的系统。
8.根据权力要求6所述的基于ukey认证的单点登陆实现方式,其特点在于:用户还可以通过身分认证系统进行系统登陆,登录时,直接在身份认证系统的登入页进行key登陆,登录成功后,身份认证系统向用户展示可访问的系统,用户选择步入。
9.根据权力要求3所述的基于ukey认证的单点登陆实现方式,其特点在于:用户直接进行系统登陆时,通过shirofiter进行过滤,使访问恳求可以抵达用户的恳求访问的系统地址。
技术总结
本发明提出的一种基于ukey认证的单点登陆实现方式,通过身份认证系统,实现key与系统用户的绑定;通过jJSON Web Token生成token.保存认证用户信息。认证成功后,跳转到要访问的系统,在系统中取得对应的token进行验证。Token验证成功在步入系统首页,验证认证跳转回认证系统首页。若直接访问认证系统,则步入认证系统展示用户可访问的系统,用户选择步入。
技术研制人员:毕亮亮
受保护的技术使用者:苏州浪潮智能科技有限公司
技术研制日:2019.07.19
技术公布日:2019.11.26
