技術領域

本發明涉及一種網絡的登錄系統及其實現方法，特別是涉及一種單點登錄系統及其實現方法。

背景技術

近年來，隨著電腦的普及與網絡科技的蓬勃發展，各種基于網絡的應用服務隨之產生。然而，有些網絡服務需要限制使用者的身份以便進行管理，因此，為了識別使用者的身份，通常會提供一個登錄界面提示使用者輸入帳號和密碼，以便根據使用者所輸入的帳號和密碼進行身份認證。

一般而言，常見的登錄方式是通過網絡餅干(Cookie)來達成，且使用者所輸入的帳號和密碼皆預先設置于服務端，以便使用者在輸入相符的帳號和密碼供服務端進行認證后，能夠成功登錄服務端。然而，同一網絡服務可能由多個位于不同網域的服務端所組成，這將造成使用者使用網絡服務時必須重復進行登入，徒增使用者登入的不便。

有鑒于此，單點登錄(Single?Sign?On，SSO)的概念應運而生，單點登錄是目前比較流行的服務于企業業務整合的解決方案之一，SSO使得在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。現有流行的單點登錄系統典型的為開源單點登錄產品CAS，其采用Cookie機制，實現過程如下：

(1)用戶在單點登錄服務器的登錄頁面中，輸入用戶名和密碼；

(2)然后單點登錄服務器會對用戶名和密碼進行認證。認證本身并不是單點登錄服務器的功能，因此，通常會引入某種認證機制。認證機制可以有很多種，例如自己寫一個認證程序，或者使用一些標準的認證方法；

(3)認證通過之后，單點登錄服務器會和應用程序進行一個比較復雜的交互，這通常是某種授權機制。CAS使用的是所謂的Ticket(認證憑證)；

(4)授權完成后，CAS把頁面重定向，回到Web應用。Web應用此時就完成了成功的登錄(當然這也是單點登錄的客戶端，根據返回的Ticket信息進行判斷成功的)；

(5)然后單點登錄服務器會在客戶端創建一個Cookie；

(6)如果用戶此時希望進入其他Web應用程序，則安裝在這些應用程序中的單點登錄客戶端，首先仍然會重定向到CAS服務器。不過此時CAS服務器不再要求用戶輸入用戶名和密碼，而是首先自動尋找Cookie，根據Cookie中保存的信息，進行登錄。登錄之后，CAS服務器重定向回到用戶的應用程序。

上述單點登陸系統雖然可以實現所有相互信任的應用系統只需登錄一次的目的，但其卻存在如下缺點：1)不能支持分布式部署；2)登錄后經常有用戶不能退出的現象；3)由于采用spring?webflow驗證流程過于復雜，擴展性差；4)目前相關的文檔較少，而且在運行的過程中若發現問題很難解決；5)用戶在進去其他web應用的時候需要再次到服務器驗證消耗驗證的時間和服務器端資源。

發明內容

為克服上述現有技術存在的不足，本發明的主要目的在于提供一種單點登錄系統及其實現方法，其通過采用輕量級中央認證服務，于所有相互信任的應用系統之間實現了單點登錄功能，具有輕量級、支持分布式部署、可擴展性、安全性及良好的性能等優點。

為達到上述及其他目的，本發明提供一種單點登錄系統，至少包括：

客戶端，該客戶端包括接收模組、分析模組、重定向模組及驗證模組，其中，該接收模組用于Web請求、用戶輸入的認證信息、服務端返回的要訪問的目的資源地址及服務票據；該分析模組，用于于接收到該Web請求后分析該Web請求是否包含服務票據；該重定向模組用于于分析出該Web請求中不包含服務票據時，將該Web請求重定向到服務端登錄地址，并傳遞要訪問的目的資源地址；該驗證模組用于于接收到到服務端返回的要訪問的目的資源地址及服務票據后將其發送至服務端進行身份核實；以及

服務端，該服務端至少包含認證模組、服務票據產生模組及合法性確認模組，其中該認證模組用于接收該認證信息并對其進行認證；服務票據產生模組于該認證模組認證用戶登錄成功后，隨機產生一服務票據，并自動重定向到要訪問的目的資源地址及為該客戶端設置該服務票據；該合法性確認模組用于接收該客戶端發送的要訪問的目的資源地址及服務票據并對其進行身份核實。

進一步地，該服務票據產生模組于該認證模組認證用戶登錄成功后，隨機產生一相當長度、唯一、不可偽造的服務票據。

進一步地，該服務票據產生模組將該服務票據緩存。

進一步地，該客戶端于驗證通過后通過網絡餅干保存該服務票據。

進一步地，該系統還包括一日志記錄端，以記錄用戶的每一次操作。

進一步地，該日志記錄端為一分布式文件服務器。