[发明专利]身份提供器管理SSO会话

说明书

本发明提供了用于由身份提供器为多个服务管理SSO会话的方法、系统和计算机程序，该方法包括由身份提供器经由基于cookie的协议来管理关于SSO会话的信息；将参与同一SSO会话信息的依赖方的服务的列表保持在一个会话cookie和具有随机生成的名称的多个临时状态cookie中，由此利用cookie内的位掩码表示来表示会话服务的列表；并且，由此可以将多个临时状态cookie合并为一个状态cookie。

技术领域

本发明涉及用于由身份提供器为多个服务进行SSO会话管理的方法、系统和计算机程序产品。

背景技术

方便地，实施方式还可以被应用于工业软件领域，并且特别地是应用于MOM领域。

最近，术语MOM(制造操作管理)越来越多地被用来代替术语MES(制造执行系统)。

在工业软件领域中，为了集成也可以由不同产品提供的不同web应用之间的登录，身份提供器与web单点登录(SSO)功能一起使用。

被称为中继方的应用可以向身份提供器请求登录会话，并且如果会话存在，则应用可以加入在不同中继方之间共享的全局会话。在全局会话的状态改变或终止时，所有中继方接收到通知。

中继方一般是云中想要加入web SSO会话的web应用或服务，并且中继方从声明中的身份提供器接收认证信息。

为了增加可用性，身份提供器通常在节点的集群中实现。

在本领域中，用于管理和恢复SSO会话的信息通常被存储在服务器侧，例如由web服务器管理的或者在冗余的情况下被保持在外部系统(例如，SQL、分布式缓存)的服务器侧会话。

在这样的场景中，需要增加用于冗余目的的基础设施，同时存在额外硬件和维护复杂性方面的成本增加的相关缺点。

因此，会话状态保持在客户端侧处的web SSO会话管理的技术是期望的选择。

遗憾的是，在本领域中，这样基于客户端的技术可能经历以下挑战性的技术问题中的一个或更多个：

-在对不同节点执行登录请求时能够重建服务列表；

-处理浏览器响应顺序，该浏览器响应顺序不同于http服务器的浏览器响应顺序；

-受到不能超过某个阈值的cookie大小限制。

因此，需要改进的技术。

具体实施方式

上述目的通过用于由身份提供器为多个服务进行SSO会话管理的方法、系统和计算机程序产品来实现，其中，SSO会话信息经由基于cookie的协议保持在客户端侧。

上述目的通过用于由身份提供器为多个服务进行SSO会话管理的方法、系统和计算机程序产品来实现，该方法、系统和计算机程序产品包括：

a)由身份提供器经由基于cookie的协议来管理关于SSO会话的信息；

b)将参与同一SSO会话信息的中继方的服务的列表保持在一个会话cookie和具有随机生成的名称的多个临时状态cookie中，由此利用cookie内的位掩码表示来表示会话服务的列表；并且，由此可以将所述多个临时状态cookie合并为一个状态cookie。

在实施方式中，位掩码可以被有利地以压缩格式表示。

在实施方式中，SSO会话状态可以经由cookie方便地被保存并且可以经由cookie被恢复，并且不需要在服务器侧保持SSO会话状态。

在实施方式中，会话静态信息可以优选地表示为签名的票据，由此票据和签名二者存储在单独的cookie中。