[发明专利]一种SSO认证方法、web服务器、认证中心和token校验中心

说明书

本发明公开了一种SSO认证方法，web服务器接收客户端发送的web应用访问请求；web服务器根据所述web应用访问请求向令牌token校验中心发起token校验请求；当web服务器接收到token校验中心返回的token校验成功的消息时，根据所述token校验成功的消息对客户端进行会话认证。本发明同时还公开了一种web服务器、认证服务器和token校验中心。

技术领域

本发明涉及web技术领域，具体涉及一种SSO认证方法、web服务器、认证中心和token校验中心。

背景技术

单点登录(SSO，Single Sign On)是指在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统，它是一种可以将单次主要的登录映射到其他应用中用于同一个用户的登录的机制，是目前比较流行的企业业务整合的解决方案之一。

目前经常采用的SSO方案为基于会话的SSO方案，其基本实现方法为：在用户登录某个应用时，客户端将用户名和密码发送至登录服务器进行验证，验证成功之后，就在客户端和登陆服务器之间建立一个会话，在这个会话维持期间，用户的本次登录就将是有效的。当客户端需要连接其它web应用服务器的时候，web应用服务器会去确认这个会话，如果会话存在，则允许后续操作，会话失效，则拒绝操作。

这种使用会话来实现的单点登录一般局限在同一个应用服务器里面或者小范围之内。但经过多年的建设，我国企业中建立起来了一些基于web的应用系统，这些系统运行在多重操作系统和应用服务器上面，由不同的技术人员在不同时期采用不同的技术建立，采用多种相互独立的用户管理、身份验证系统，因此，这样的环境中为实现单点登陆带来了一定的困难；

当前软件解决方案有：

1)成熟软件的解决方案：IBM Webpshere单点登录方案，微软的.Net passport服务器，Netegrity SiteMinder产品。

2)大多数企业都是通过建设统一认证门户来完成企业内部系统整合，通过各个内部系统局部改造，采用token认证或cookie票据校验的方式实现认证门户与Web应用之间的SSO认证，来完成企业内部系统统一认证。

以上解决方案相对比较成熟，但各自都存在一定的缺陷，具体如下：

1)IBM Webpshere单点登录方案只适合那些只是用IBM Websphere或者Domino应用服务器的环境，支持Intranet，但不支持多Internet域；

2)微软的.Net passport服务器不支持Intranet，但支持多Internet域；

3)Netegrity SiteMinder产品支持的应用类型和系统平台多，但是产品价格昂贵；

4)基于token的SSO认证，实施成本较低，但是一旦跨域的url访问请求被拦截，可利用拦截的url发起伪造的恶意访问，因此存在安全隐患；

5)基于cookie的SSO认证，实施成本较低，将用户一次登录的验证票据保存在客户端cookie及验证服务器中，通过将本地cookie中的验证票据与验证服务器的票据相比较，完成SSO登录验证，该方法存在的问题是一旦客户端的cookie信息被非法获取，则可以根据cookie信息在其他机器中模仿发起url访问，以实现恶意访问，存在安全隐患。

发明内容

为了解决现有存在的技术问题，本发明期望提供一种SSO认证方法、web服务器、认证服务器和token校验中心。

本发明实施例提供了一种单点登陆SSO认证方法，所述方法包括：

网络web服务器接收客户端发送的web应用访问请求；