技術(shù)領(lǐng)域

本發(fā)明涉及集中認證服務(wù)系統(tǒng)(CAS，Central?Authentication?Service)，具 體涉及一種提高CAS業(yè)務(wù)黏性的方法及負載均衡(LB，Load?Balance)設(shè)備。

背景技術(shù)

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機構(gòu)中的廣泛應(yīng)用，很多機構(gòu)和單位已經(jīng) 擁有了各種各樣的應(yīng)用系統(tǒng)，如辦公自動化系統(tǒng)、人力資源管理系統(tǒng)、財務(wù)系 統(tǒng)、客戶關(guān)系管理系統(tǒng)、企業(yè)資源計劃(ERP，Enterprise?Resource?Planning) 系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學校一卡通系統(tǒng)以及其它的業(yè)務(wù)應(yīng)用系統(tǒng)。用戶如 果要想享受到這些應(yīng)用系統(tǒng)帶來的諸多好處，就需要登錄到相應(yīng)的應(yīng)用系統(tǒng) 中，而每個應(yīng)用系統(tǒng)都要求用戶遵循其獨立的身份認證安全策略，比如要求輸 入用戶身份標識(ID，identification)和對應(yīng)的口令。

顯然，過多的應(yīng)用系統(tǒng)對于用戶使用以及系統(tǒng)維護都是不利的。為了簡化 用戶登錄和提高信息系統(tǒng)整體的安全性，現(xiàn)有技術(shù)提出了單點登錄(SSO， Single?Sign-On)技術(shù)，即通過用戶的一次性鑒別登錄，可獲得訪問多個系統(tǒng) 和應(yīng)用軟件的授權(quán)，使得用戶可對所有被授權(quán)的各類信息資源進行無縫地訪 問。CAS是一種針對網(wǎng)站(Web)應(yīng)用的單點登錄機制。CAS是由耶魯大學 發(fā)起的一個開源項目，目前已經(jīng)成為事實上的工業(yè)標準。下面簡單介紹CAS 系統(tǒng)的基本概念：

CAS服務(wù)器(CAS?Server)：主要負責完成對用戶的認證工作；

Web應(yīng)用程序服務(wù)器(Web?Application?Server)：本發(fā)明中簡稱為Web服 務(wù)器，用于在接收到用戶對本地Web應(yīng)用的受保護資源的訪問請求時，將用 戶重定向到CAS服務(wù)器以進行身份認證，而Web服務(wù)器本身不執(zhí)行用戶名加 密碼等類似的認證；

Web瀏覽器(Web?Browser)：用戶的Web瀏覽器，也可以稱為CAS系統(tǒng) 中的客戶端。

圖1示出了CAS的體系結(jié)構(gòu)及工作流程，其中虛線表示安全超文本傳輸 協(xié)議(HTTPS，Secure?Hypertext?Transfer?Protocol)流量，實線表示超文本傳 輸協(xié)議(HTTP，Hypertext?Transfer?Protocol)流量。如圖1所示，CAS工作流 程包括：

步驟1，Web瀏覽器向Web服務(wù)器發(fā)出HTTP訪問請求，比如，訪問以 下網(wǎng)站http://www.h3c.com。

步驟2，Web服務(wù)器接收到上述訪問請求后，向Web瀏覽器返回網(wǎng)址 (HTTP)重定向響應(yīng)，指示W(wǎng)eb瀏覽器去往CAS服務(wù)器進行身份認證。

步驟3，Web瀏覽器根據(jù)重定向響應(yīng)中的內(nèi)容，通過HTTPS方式訪問CAS 服務(wù)器的Login?URL，比如：https://secure.h3c.com/CAS/servlet/login。Login?URL 處理實際的主(primary)認證：提示用戶輸入NetID(簡單地說就是用戶名) 及其密碼，并進行驗證。(根據(jù)具體部署而定，CAS可協(xié)同后端的認證業(yè)務(wù)服 務(wù)程序一起進行驗證，圖1中未示出該部分)。

這里，Web瀏覽器在向CAS服務(wù)器訪問Login?URL的時候，將攜帶HTTP 訪問請求參數(shù)，用以指示自己希望訪問的Web服務(wù)，比如步驟1中的 http://www.h3c.com，該參數(shù)稱為ServiceID，此時Web瀏覽器向CAS服務(wù)器 發(fā)出的登錄請求如下所示：

https://secure.h3c.com/CAS/login？service＝http://www.h3c.com/authtication.jsp

步驟4，如果用戶身份認證通過，CAS服務(wù)器將為Web瀏覽器生成一個 長字符串，稱為服務(wù)票據(jù)(Service?Ticket或Ticket)，并在自身內(nèi)部數(shù)據(jù)庫內(nèi) 創(chuàng)建一個Service?Ticket和ServiceID關(guān)聯(lián)：(Service?Ticket、ServiceID)；然后， 重定向該Web瀏覽器到最初的Web服務(wù)器(根據(jù)ServiceID，CAS服務(wù)器知 道應(yīng)該將用戶重定向到哪個URL，該ServiceID也被稱為“callBack?URL”)。

步驟5，Web瀏覽器根據(jù)重定向響應(yīng)中的callBack?URL，向?qū)?yīng)的Web 服務(wù)器重新發(fā)出訪問請求，并攜帶所述Service?Ticket作為請求參數(shù)，比如，