技術領域

本發明涉及認證領域和SOA服務領域，特別涉及SOA服務調用的身份認證和授權保護的技術，尤其是應用于企業級服務的安全認證和授權保護。

背景技術

目前基于SOA架構的業務系統是一種趨勢，因為SOA面向服務架構出現更加強調了原來從關注技術和成本朝關注業務和價值的轉移。或者說通過SOA能夠更好的將業務和技術融合起來，使技術和結構更好的為實現業務和價值服務。SOA的核心體現在企業應用或業務功能上的更粗粒度的重用和互操作，以實現更加松散耦合的組粒度的應用服務系統以及服務組件的分布式部署，使得業務系統輕松應對企業商業服務變化、發展的需要。

在實施SOA架構時的關鍵目標是為了節約成本，實現企業IT資產重用的最大化。這一目標促使人們在實施SOA的時候，必須考慮到可從企業外部訪問，這個是因為為了滿足企業的業務伙伴的需求，使業務伙伴即外部用戶也能像企業內部用戶一樣訪問相同的服務。當業務伙伴基于業務的目的交換業務信息時，這個會話過程應該不會受到阻止：隨時可用，當有服務使用者請求服務時，SOA要求服務提供者能夠及時響應。

對于企業對外提供的服務或者給其他業務系統提供的服務，為了安全性、可靠性的考慮，需要用戶提供服務提供者的身份認證后才能被授權使用相應的服務；而且服務提供者也需要知道哪個用戶在使用服務，以便于提供給用戶一些特定個性化信息的推送和其他業務的處理；最后要支持多種終端多種協議的訪問方式。

其缺點目前來說，主要表現在以下幾個方面：可靠性，安全性，性能。在電子商務的應用中，有一個很重要的可靠性，就是不可否認性，信息確保發送且僅且一次以及事務的回滾，這點是必須得到滿足的，但是，目前來說，SOA架構還沒有為此做好準備。至于安全性我們在下面會做詳細的分析。至于性能問題，不可否認，這個SOA架構最遭人詬病的地方。SOA架構的性能稍低，主要是因為SOA的分布性質和web服務協議的開銷。任何分布式系統的執行速度都不如獨立式系統，因為這里面有網絡的制約因素。

基于以上需求，目前常用的系統或方法，并不能提供針對多終端、多協議的服務的身份認證和授權保護機制，因此，我們提供了一種支持多終端、多協議的SOA服務訪問進行身份認證和授權使用的框架。

發明內容

本發明的目的在于提供一種支持多個終端的身份認證與服務授權的方法，在保證了服務的安全性和可靠性地訪問，并且實現了對多終端、多協議的支持。

為此，本發明公開了一種支持多個終端的身份認證與服務授權的方法。所述身份認證與服務授權的方法步驟如下：

步驟一、定義消息頭的用戶身份信息對象的數據接口；

步驟二、定義含服務調用前截獲處理方法和服務調用后截獲處理方法的客戶端消息截獲處理器組件；

步驟三、定義PC客戶端和手機客戶端截取消息頭的算法；

步驟四、定義SOA服務的基類接口組件，這個組件中包含身份認證處理器和SOA服務的授權邏輯；

步驟五、接收客戶端發送的消息；

步驟六、消息截獲處理器截獲信息，然后根據不同的協議類型調用不同的算法截取消息頭的用戶上下文消息；

步驟七、通過調用消息轉換算法把消息頭的用戶上下文消息轉換成用戶身份信息對象，并保存到調用上下文緩存中；

步驟八、在SOA服務的基類接口組件中，調用身份認證處理器將所述的用戶身份信息在所有合法的服務器上緩存的用戶信息集合中查找看是否存在，如果存在的則為合法用戶，SOA服務的基類接口組件將授權繼續執行具體的業務邏輯，調用SOA服務的具體的實現，客戶端會接收到正確的執行結果的消息，否則為非法用戶，客戶端將會接收到錯誤信息的結果；

步驟九、服務調用后截獲處理方法將調用上下文緩存中的用戶身份信息對象保存在返回消息的消息頭中；

步驟十、將結果以消息的形式返回到客戶端。

優選的是，所述的支持多個終端的身份認證與服務授權的方法中，步驟一的用戶身份信息包括消息編碼、消息的會話ID、用戶ID，用戶密碼，用戶名和登錄的IP。