技術(shù)領(lǐng)域

本發(fā)明涉及基于應(yīng)用層身份信息同步單點(diǎn)登錄方法，它是通過(guò)應(yīng)用層完成 應(yīng)用系統(tǒng)與目錄之間的身份信息同步，從而實(shí)現(xiàn)用戶單點(diǎn)登錄。

背景技術(shù)

隨著國(guó)內(nèi)經(jīng)濟(jì)實(shí)力提升，企業(yè)的信息系統(tǒng)越來(lái)越多，用戶需要記錄大量的 系統(tǒng)賬號(hào)和口令，維護(hù)這些賬號(hào)和口令給用戶帶來(lái)了諸多不便，特別是企業(yè)門 戶系統(tǒng)的建設(shè)，需要實(shí)現(xiàn)接入系統(tǒng)的單點(diǎn)登錄。單點(diǎn)登錄實(shí)現(xiàn)主要是集中存儲(chǔ) 身份信息，然后代替用戶填寫應(yīng)用系統(tǒng)的身份信息(用戶名和口令)，用戶一 次可以登錄有權(quán)訪問(wèn)的應(yīng)用系統(tǒng)。當(dāng)用戶身份信息更改時(shí)，需要將目錄中集中 存放的身份信息同步到業(yè)務(wù)應(yīng)用系統(tǒng)中，保持目錄和業(yè)務(wù)應(yīng)用系統(tǒng)身份信息一 致。當(dāng)前大多數(shù)目錄采用的數(shù)據(jù)庫(kù)層同步：目錄創(chuàng)建同步驅(qū)動(dòng)，由驅(qū)動(dòng)同步數(shù) 據(jù)至數(shù)據(jù)庫(kù)中間表，再由中間表通過(guò)同步觸發(fā)器將數(shù)據(jù)傳送給業(yè)務(wù)應(yīng)用系統(tǒng)用 戶表。

從目錄建設(shè)實(shí)際情況，采用數(shù)據(jù)庫(kù)層同步方式，目錄建設(shè)開(kāi)發(fā)周期比較長(zhǎng)， 目錄與集成的業(yè)務(wù)應(yīng)用系統(tǒng)緊密耦合，不利于推廣和維護(hù)。另外，數(shù)據(jù)庫(kù)層同 步方式在數(shù)據(jù)發(fā)生變動(dòng)后立即將更新后的身份信息同步到業(yè)務(wù)系統(tǒng)，用戶重新 登錄系統(tǒng)時(shí)發(fā)生用戶信息的改變即可，也就是使用更新用戶身份信息。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于應(yīng)用層身份信息同步單點(diǎn)登錄方法，該方法 區(qū)別于當(dāng)前中心身份信息管理系統(tǒng)通過(guò)驅(qū)動(dòng)將用戶身份信息同步至業(yè)務(wù)應(yīng)用 系統(tǒng)數(shù)據(jù)庫(kù)，是基于應(yīng)用層實(shí)現(xiàn)用戶登錄時(shí)，中心身份信息管理系統(tǒng)同步用戶 身份信息至業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)的方法。

本發(fā)明的基于應(yīng)用層身份信息同步單點(diǎn)登錄方法，涉及訪問(wèn)代理服務(wù)器、 認(rèn)證服務(wù)器、目錄服務(wù)器、應(yīng)用層及數(shù)據(jù)庫(kù)，它包括三個(gè)流程：統(tǒng)一目錄驗(yàn)證、 業(yè)務(wù)應(yīng)用驗(yàn)證、身份信息同步，具體步驟如下：

步驟a：用戶發(fā)出訪問(wèn)受保護(hù)業(yè)務(wù)應(yīng)用系統(tǒng)資源頁(yè)面的請(qǐng)求，訪問(wèn)代理服 務(wù)器初始化保護(hù)資源的頁(yè)面，并將請(qǐng)求重定向至認(rèn)證服務(wù)器，同時(shí)傳遞給認(rèn)證 服務(wù)器與用戶請(qǐng)求資源相關(guān)的契約；

步驟b：訪問(wèn)代理服務(wù)器和客戶端瀏覽器建立會(huì)話，客戶端瀏覽器發(fā)送一 個(gè)請(qǐng)求至訪問(wèn)代理服務(wù)器的登錄鏈接，該請(qǐng)求被訪問(wèn)代理服務(wù)器重定向至認(rèn)證 服務(wù)器的登錄頁(yè)面；

步驟c：用戶在登錄頁(yè)面中輸入目錄中登錄名和密碼等身份信息，該身份 信息被認(rèn)證服務(wù)器發(fā)送至目錄服務(wù)器認(rèn)證，認(rèn)證成功后，訪問(wèn)代理服務(wù)器保持 該用戶會(huì)話，并向業(yè)務(wù)應(yīng)用系統(tǒng)傳輸用戶身份信息；

步驟d：業(yè)務(wù)應(yīng)用系統(tǒng)獲取登錄用戶身份信息，并在本數(shù)據(jù)庫(kù)中驗(yàn)證，如 本數(shù)據(jù)庫(kù)無(wú)該用戶身份信息數(shù)據(jù)，則添加，否則發(fā)起目錄服務(wù)器用戶身份信息 認(rèn)證請(qǐng)求；

步驟e：業(yè)務(wù)應(yīng)用系統(tǒng)將沒(méi)有通過(guò)系統(tǒng)認(rèn)證的用戶身份信息發(fā)送至目錄服 務(wù)器，驗(yàn)證該用戶身份信息的合法性；

步驟f：用戶身份信息第二次在目錄服務(wù)器中驗(yàn)證并被確認(rèn)合法后，業(yè)務(wù) 應(yīng)用系統(tǒng)同步用戶密碼等不一致的身份信息至本數(shù)據(jù)庫(kù)；

步驟g：業(yè)務(wù)應(yīng)用定期比較目錄服務(wù)器與本數(shù)據(jù)庫(kù)用戶身份信息異同，禁 用目錄服務(wù)器中已經(jīng)禁用或刪除的用戶數(shù)據(jù)。

本發(fā)明的基于應(yīng)用層身份信息同步單點(diǎn)登錄方法，擇時(shí)二次驗(yàn)證用戶身份 信息，通過(guò)應(yīng)用層標(biāo)準(zhǔn)接口方式同步用戶身份信息，它同數(shù)據(jù)庫(kù)層身份信息同 步相比具有以下優(yōu)點(diǎn)：

1、獨(dú)立于應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)，減少數(shù)據(jù)庫(kù)層面的耦合度；

2、不需要單獨(dú)開(kāi)發(fā)身份信息的驅(qū)動(dòng)，降低投入費(fèi)用和開(kāi)發(fā)周期；

3、將即時(shí)信息同步改變?yōu)槭褂眯畔⑼剑膳律矸菪畔ⅲ岣邤?shù)據(jù) 庫(kù)的更新效率和降低服務(wù)器的負(fù)載；

4、通過(guò)邏輯判斷代理服務(wù)器真?zhèn)危治鍪欠翊嬖诘谌吖簦档蜆I(yè)務(wù) 應(yīng)用和代理服務(wù)器之間的契約要求。

附圖說(shuō)明

圖1為本發(fā)明總體架構(gòu)圖；

圖2為用戶通過(guò)單點(diǎn)登錄應(yīng)用系統(tǒng)的邏輯流程圖。

具體實(shí)施方式

名稱解釋：

(para1，para2)Point：站點(diǎn)Point的參數(shù)1(para1)和參數(shù)2(para2)； [(para1，para2)point]’App：站點(diǎn)Point存儲(chǔ)App的參數(shù)1(para1)和參數(shù)2(para2)； Response：響應(yīng)用戶請(qǐng)求；

Insert：在業(yè)務(wù)應(yīng)用系統(tǒng)中添加新用戶；

Update：業(yè)務(wù)應(yīng)用系統(tǒng)更新用戶身份信息

Reject：拒絕用戶請(qǐng)求；