[发明专利]基于CAS的级联认证方法

摘要

本发明公开了基于CAS的级联认证方法，用户在首次登陆时，由各个跨域的认证服务分别对用户进行一次认证，认证成功就为客户端分配一个TGT，用户客户端只要具备各个认证域的TGT，就可以实现在不同的部署单位之间跨域访问；在CAS框架基础之上，优化和扩展SSO认证机制，打破原有的不能跨部署单位的单点登陆，可以实现各个不同域的认证服务器间的认证联动，用户仅需在其中一个域进行一次登陆，就可以安全地访问其它部署单位，在有权限的业务系统，无需二次登陆，支撑了大型集团公司的跨单位应用整合需求，也提升了用户的应用体验。

主权项

基于CAS的级联认证方法，其特征在于：用户在首次登陆时，由各个跨域的认证服务分别对用户进行一次认证，认证成功就为客户端分配一个TGT，用户客户端只要具备各个认证域的TGT，就可以实现在不同的部署单位之间跨域访问；具体包括以下步骤：1）在CAS客户端组件中，新开发一个Servlet程序，向请求端返回“目标认证服务”地址；2）在CAS服务端，新开发一个基于http协议的“握手接口”，接收用户登陆凭证输入，生成一个FT，再以FT为标识将用户登陆凭证缓存起来，最后向调用端返回FT字段串；3）在CAS服务端处理用户登陆凭证校验时，若用户登陆凭证正确，则将用户登陆凭证缓存起来，生成合法凭证，缓存标识采用当前用户的TGT字段串；4）新开发一个专门用于处理“跨域认证”的http控制器程序，名为“目标控制器”，请求访问时要求传入“目标业务系统”的访问地址；5）“目标控制器”从用户浏览器中获取TGT，然后通过TGT将记录在缓存中的合法凭证取出；6）“目标控制器”向CAS客户端组件中新开发的Servlet程序发起http请求，获取到“目标业务系统”集成的“目标认证服务”地址；7）“目标控制器”调用“握手接口”，在“握手接口”的缓存中临时存储用户登陆凭证，发送用户登陆凭证，并获得FT；8）“目标控制器”将用户请求转发至“目标业务系统”集成的“目标认证服务”，转发时将FT作为参数附带，用于进行登陆过程；9）“目标认证服务”在处理用户登陆流程时，从用户请求的参数中获取FT，再根据FT从“握手接口”的缓存中提取用户登陆凭证，对用户登陆凭证进行校验，续继执行其它CAS登陆过程。