[发明专利]基于单点技术的统一认证方法及装置

说明书

本发明公开了一种基于单点技术的统一认证方法及装置，方法包括以下步骤，建立Redis服务端，在用户成功认证后，把TGT与ST都存放在Redis服务端；用户单点认证时，cas服务端从cookie中获取到tgtID，以tgtID为key从Redis服务端中获取TGT；cas服务端根据TGT颁发ST并将ST返回给客户端，客户端携带ST访问cas服务端验证用户，并登录。本方案为不同应用系统的提供了不同的个性化登录页面，增加了不同应用系统之间的差异，便于用户更好的识别；采用Redis服务端存储TGT和ST后，能实现cas服务端的分布式部署，提升系统的可靠性；增加用户与应用系统的权限控制，通过在限制用户访问具体的应用系统，来有效的管理不同用户在不同应用系统的权限。

技术领域

本发明涉及到用户信息安全领域，特别是涉及到一种基于单点技术的统一认证方法及装置。

背景技术

cas作为一个web应用系统的单点登录框架，能简单轻便的实现多个web 应用的单点登录功能，但存在以下几个问题：

1、不支持各应用系统个性化的登录页面：cas提供统一的登录页面，但是多个不相关的系统做单点时，统一登录页面如何定义展示元素？实际生产中，一个用户会同时拥有多个应用系统的权限，如服务开通系统、crm系统、智能提速系统等，用户想要在打开服开系统地址时展示服务开通系统个性化的登录页面，以此类推；

2、票据存储于服务器内存，不能实现分布式部署，可靠性不高；

3、接入应用注册采用文件管理，存放在cas服务器，不便于分布式部署时各个节点间的数据同步；

4、不能有效控制用户单点登录到应用系统的权限，即用户只要知道应用系统地址，便可单点登录该应用系统；

5、无统一用户管理、权限管理、资源管理以及角色管理，对系统的安全稽核与审查带来不便。

发明内容

为了解决上述现有技术的缺陷，本发明的目的是提供一种基于单点技术的统一认证方法及装置。

为达到上述目的，本发明的技术方案是：

一种基于单点技术的统一认证方法，包括以下步骤，

建立Redis服务端，在用户成功认证后，把TGT与ST都存放在Redis 服务端；

用户单点认证时，cas服务端从cookie中获取到tgtID，以tgtID为key 从Redis服务端中获取TGT；

cas服务端根据TGT颁发ST并将ST返回给客户端，客户端携带ST 访问cas服务端验证用户，并登录。

进一步地，所述根据TGT颁发ST并将ST返回给客户端，客户端携带 ST访问cas服务端验证用户，并登录步骤，包括，

Cas服务端检查接收到的报文，判断客户端是否使用个性化登录页面登录；

若是，则通过个性化登录的流程分支进行用户登录，并检测用户是否登录成功；

若未登录成功，重定向到个性化登录页面，进行用户登录操作；

若登录成功，则重定到应用系统首页。

进一步地，在所述登录成功，则重定到应用系统首页步骤之后，包括，

客户端获取该用户的相关信息。

进一步地，所述获取该用户的相关信息，发送到客户端步骤，包括以下步骤的一种或多种，

cas服务端通过ST生成一个断言Assertion，客户端通过断言Assertion 中的凭证对象的属性从cas服务端获取该用户的用户信息和权限信息；或者，