[发明专利]网络应用访问

说明书

本发明总体上涉及网络应用及对网络应用的访问的领域。

本发明致力于解决双网站运行中涉及的问题，例如何处可获得对网络应用(可能由第二方提供或者也可能不是由第二方提供)的访问，以通过服务供应商网络门户(可能由第三方提供或者可能不是由第三方提供)来将服务交付给用户，例如所述网络门户在何处能够进行单一登录(SSO，single sign-on)。

图1示出常规通信网络，所述常规通信网络经由浏览器12和因特网14，为用户10提供对后端服务器(BES，back-end server)28上的应用(例如App1、App2、App3)的访问。浏览器12经由因特网14连接到网络交换机16，所述网络交换机16例如是提供诸如负载均衡和地址转换的标准功能的思科ACE(Cisco ACE)。网络交换机16与网络服务器40通信，所述网络服务器40例如是托管用于网络门户的SiteMinder单一登录网络代理的SunOne服务器。网络服务器40连接到策略服务器42和托管网络门户的应用服务器50。

为了能够使用常规单一登录来访问后端服务器(BES)28上运行的应用，用户10首先必须通过经由网络服务器40登录到网络门户50来进行认证。为了允许访问BES28上运行的应用(比如App1)，成功登录后，门户网络服务器40在浏览器12上显示经认证的已登录用户可访问的应用列表。只有授权用户访问的那些应用会由应用服务器50上的网络门户经由网络服务器40在浏览器12上显示给用户。因特网14中包括有未示出的域名服务器(DNS，domain name server)。利用图1的单一登录系统，BES 28上运行的所有应用(例如App1、App2、App3)共享单个域名服务器(DNS)的记录(例如：sso.<Portal DNS>)。当经由服务器40登录网络门户的用户选择浏览器12中显示的网页上所显示的代表BES 28上运行的应用之一的提示信息时，浏览器12打开新窗口并且生成请求，所述请求包括在DNS中与门户网络服务器40的公共IP地址相关联的URL。当接收到所述请求时，门户网络服务器40上的单一登录网络代理对用户10进行认证，认证成功后，门户网络服务器40将所述请求转送给单一登录代理服务器18。单一登录代理服务器18参考门户数据库32，负责对来自用户10的访问BES28上的应用的请求进行授权，并且负责将用户请求代理到BES 28。

根据(在请求URL中所包括的)上下文路径来确定BES 28上作为所述请求的对象的具体应用。请求用户10由网络服务器40上的单一登录网络代理加入所述请求中的HTTP报头“SM_USER”来标识。用户授权所需的任何其他信息或者在所述请求中提供，或者从门户数据库32获得，由此验证用户访问所请求的应用的授权。

如果网络服务器40上的单一登录网络代理进行了认证，并且单一登录代理服务器18授权用户访问所请求的应用，则单一登录代理服务器18利用Apache Httpclient库，按照常规方式将所述用户请求代理到EBS 28。为了通过单一登录来访问应用，代理服务器18负责将HTTP报头中的、用于认证和授权请求用户10所需的任何信息发送到BES 28。代理网络服务器40上的单一登录网络代理处理BES 28对用户请求的响应，以去除标识BES 28上的应用的任何参数，诸如IP地址、DNS记录以及端口号，从而使得来自浏览器12的任何访问BES 28上的资源的进一步请求都被寻址至网络服务器40上的单一登录网络代理，而不是直接到BES 28。在单一登录代理服务器18上经过适当处理后，来自BES 28的响应经由网络服务器40沿返回路径返回浏览器12。

图1的常规访问系统具有若干缺点。性能因低效的授权和与后端系统的通信而受到限制。对请求进行授权的逻辑相当复杂，因为根据所述请求中的上下文来识别应用很复杂，当所述请求经过单一登录代理服务器18时，需要大量定制编码来处理该请求和响应。

多个同时请求需要在单一登录代理服务器18上创建附加线程。因此用户数量受到单一登录代理服务器18所能够处理的同时发生的线程数量的限制。线程的数量具有实践极限，因为允许大量线程会给SSO代理应用服务器18的性能带来负面影响。常规访问系统不支持诸如负载均衡、故障支持以及连接监测这样的希望获得的特性。