技術領域

本申請涉及計算機網絡技術領域，尤其涉及一種單點登錄方法、一種單點登錄設備、一種免登服務器和一種單點登錄系統。

背景技術

隨著信息技術和網絡技術的迅猛發展，各種網絡應用系統越來越多，例如網絡郵箱、專業論壇、公告板系統(BBS，Bulletin?Board?System)等。用戶在使用其中的每個網絡應用系統之前，都必須按照事先約定的用戶名和密碼進行登錄，為此用戶必須記住登錄每個網絡系統所需的用戶名和密碼，對用戶而言，操作非常不便。

為了解決上述問題，單點登錄(SSO，Single?Sign-on)技術應運而生。SSO技術可以為用戶訪問多個網絡應用系統提供便利，用戶在登錄第一個網絡應用系統時，會被客戶端引導到免登服務器進行登錄；免登服務器根據用戶提供的用戶名、密碼(或客戶端對用戶密碼加密后獲得的驗證信息)等登錄信息進行身份驗證，如果通過身份驗證，返回給用戶一個認證憑據ticket；用戶在后續訪問其他網絡應用系統時會攜帶該ticket，其他網絡應用系統在接收到用戶的訪問請求后會根據該ticket到免登服務器中驗證ticket的合法性，如果該ticket是合法的，用戶就可以無需再次登錄而直接訪問其他應用系統。

附圖1為用戶在第一次登錄網絡應用系統，以及在免登服務器進行驗證過程的示意圖。

步驟101、步驟102，用戶通過客戶端、網頁瀏覽器向免登服務器發送單點登錄請求消息，該消息中包含用戶標識UID、第一簽名信息以及想要訪問的目標網頁的統一資源定位符(URL，Uniform?Resource?Locator)，其中第一簽名信息是客戶端對UID、密碼和目標網頁的URL進行加密處理后獲得的；

步驟103，免登服務器接收到單點登錄請求后，根據單點登錄請求中包含的UID查找到UID對應的密碼，并根據事先與客戶端預定的加密方法，對UID、查找到的密碼和單點登錄請求中包含的目標網頁的URL進行加密，獲得第二簽名信息，并對第一簽名信息與第二簽名信息進行比對，在二者一致時，為用戶分配ticket，并進入步驟104；

步驟104，將分配的ticket發送給網頁瀏覽器，指示網頁瀏覽器跳轉到單點登錄請求消息中包含的目標網頁的URL中；

步驟105，頁面瀏覽器向目標應用系統發送請求消息，該消息包含所請求的目標網頁的URL以及ticket；

步驟106，目標網頁對應的網絡應用系統對ticket進行身份驗證；

步驟107，目標網絡應用系統在步驟106身份驗證成功后，向用戶返回所請求的目標網頁的頁面內容。

如果上述步驟102發送的單點登錄請求消息被其他惡意用戶采用黑客軟件截取到，那么其他用戶就可以向免登服務器發送請求，在驗證成功后冒充該用戶訪問目標網絡應用系統。

為了避免上述問題，免登服務器向用戶下發ticket時確定了該ticket的有效時間，例如5分鐘等，在超出有效時間后，使用該ticket將無法請求到目標應用系統的頁面內容。然而，即使設定了較短的ticket有效時間，仍然難以避免惡意用戶在較短的時間內冒充合法用戶訪問目標網絡應用系統。

發明內容

本申請實施例提供一種單點登錄方法，用以解決在現有單點登錄技術中，非法用戶冒充合法用戶訪問目標頁面的問題。

對應地，本申請實施例還提供了一種單點登錄設備、免登服務器和一種單點登錄系統。

本申請實施例提供的技術方案如下：

一種單點登錄方法，包括：

單點登錄設備中的客戶端處理單元向網頁服務單元發送注冊請求；

網頁服務單元確定與注冊請求中包含的目標網頁URL唯一對應的本地URL，并存儲所述本地URL與目標網頁URL的對應關系，以及將包含所述本地URL的注冊響應發送給客戶端處理單元；

客戶端處理單元接收到注冊響應后向免登服務器發送包含驗證信息和所述本地URL的登錄請求；

單點登錄設備接收免登服務器基于登錄請求中的驗證信息對用戶身份驗證成功后發送的指示，指示單點登錄設備中的網頁瀏覽器向網頁服務單元發送訪問本地URL的請求消息；

網頁服務單元根據所述請求消息，在確定存儲有請求訪問的本地URL與目標頁面URL的對應關系時，指示網頁瀏覽器訪問對應的目標頁面URL。

一種單點登錄方法，包括：

免登服務器接收到單點登錄設備發來的登錄請求后，查找登錄請求中包含的用戶標識對應的密碼，以及

根據用戶標識、查找到的密碼、登錄請求中包含的本地URL，獲得服務器端驗證信息，以及