技術領域

本發(fā)明涉及網(wǎng)絡訪問技術，特別是涉及一種基于負載均衡的單點登錄方法、系統(tǒng)和負載均衡設備。

背景技術

隨著信息技術和網(wǎng)絡技術的廣泛應用，目前已經(jīng)涌現(xiàn)各種各樣的應用系統(tǒng)，如：辦公自動化(OA)系統(tǒng)、人力資源(HR)管理系統(tǒng)、財務系統(tǒng)、客戶關系管理(CRM)系統(tǒng)、企業(yè)資源計劃(ERP)系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學校一卡通系統(tǒng)等。

用戶需要使用這些應用系統(tǒng)，就必須進行登錄。如果各個應用系統(tǒng)都有獨立的身份認證安全策略，比如要求輸入用戶ID和口令，那么，用戶登錄時出錯的可能性就會越大，受到非法截獲和破壞的可能性會越大，應用系統(tǒng)的安全性就會降低。為了提高安全性、增強用戶體驗，現(xiàn)有技術已經(jīng)提出一種被稱為單點登錄(SSO，Single?Sign-On)的技術，即：用戶只需要一次登錄和驗證，就可以對多個應用系統(tǒng)進行訪問，從而提高系統(tǒng)整體的安全性，提高用戶的工作效率，增強用戶體驗。

圖1是現(xiàn)有技術中實現(xiàn)單點登錄的典型的系統(tǒng)結構示意圖。如圖1所示，該系統(tǒng)包括用戶、網(wǎng)絡(Web)應用服務器、集中認證服務(CAS，CentralAuthentication?Service)服務器。其中，

集中認證服務(CAS，Central?Authentication?Service)服務器，負責完成對用戶的認證。CAS服務器通常獨立部署，其設備產(chǎn)品可能為耶魯集中認證服務器(Yale?CAS?Server)或ESUP?CAS?Server等。

網(wǎng)絡(Web)應用服務器，為用戶提供對應用系統(tǒng)的訪問。

圖1示出了現(xiàn)有技術中單點登錄方法的大致流程，即：

1)用戶向Web應用服務器發(fā)送訪問請求。

2)Web應用服務器向用戶響應HTTP重定向，并在該響應中指示用戶去往CAS服務器進行認證。

3)用戶根據(jù)Web應用服務器返回的HTTP重定向響應，通過HTTPS訪問CAS服務器。這里，用戶實際上是向CAS服務器訪問其Login?URL，Login?URL提示用戶輸入用戶名和密碼，并對用戶名和密碼進行驗證。另外，用戶在向CAS服務器訪問Login?URL的時候，會攜帶HTTP請求參數(shù)，用以指示將要訪問的Web應用服務器，該參數(shù)可以為“Service?ID”。

4)CAS服務器對用戶進行認證，在認證通過后，為用戶生成一個不透明的長字符串“ServiceTicket”，并將“ServiceTicket”、“ServiceID”、“ticket-grantingcookie”等信息通過重定向響應反饋給Web瀏覽器。這里所述不透明長字符串就是指用戶能夠獲得該文本字符串，但并不知道其具體含義。“ServiceTicket”是一次性的，僅可被用戶用于訪問特定的web服務，并且只能使用一次。這里所述“ticket-granting?cookie”是用于標識已經(jīng)成功登錄的用戶，通過“ticket-grantingcookie”，用戶可以實現(xiàn)對多個web應用的單點登錄。也就是說，用戶輸入一次用戶名和密碼就可以訪問CAS服務器管理下的任意Web應用。如果不使用該Cookie，用戶則每次在Web應用將其重定向到CAS服務器時，都需要重新輸入用戶名和密碼。當然，實際應用中，CAS服務器也可以不返回“ticket-grantingcookie”，用戶同樣可以實現(xiàn)單點登錄。

另外，本步驟中，CAS服務器還會在自身內(nèi)部數(shù)據(jù)庫內(nèi)創(chuàng)建一個關聯(lián)，記錄ServiceTicket和ServiceID之間的關聯(lián)關系。

5)用戶根據(jù)重定向響應中的“ServiceID”確定需要訪問的Web應用服務器，向需要訪問的Web應用服務器重新發(fā)送訪問請求，并將“ServiceTicket”作為請求參數(shù)。

6)Web應用服務器通過HTTPS向CAS服務器發(fā)送驗證請求，并在驗證請求中攜帶“ServiceID”和“ServiceTicket”參數(shù)。

7)CAS服務器接收到Web應用服務器發(fā)送的驗證請求時，將內(nèi)部數(shù)據(jù)庫的記錄與請求中所述“ServiceID”和“ServiceTicket”參數(shù)進行驗證，如果一致，說明驗證通過并向Web應用服務器返回驗證成功的信息和對應的用戶名；否則，CAS服務器返回驗證失敗的相關信息。