技術領域

本發明涉及通信領域，具體涉及一種實現通用單點登錄的方法、裝置和系統。

背景技術

作為一種通用的企業業務整合方案，單點登錄(Single?Sign?On，SSO)已經在企業內部信息系統中得到廣泛應用。實現單點登錄需要一套統一的認證系統，用戶在訪問接入應用系統前，必須先在認證系統通過認證。認證系統在用戶通過認證后記錄用戶登錄狀態，并向用戶瀏覽器核發身份令牌(Token)。用戶瀏覽器在訪問某個應用系統時，應用系統先獲取所述身份令牌，接著向認證服務器校驗該身份令牌的合法性并獲取用戶身份，最后根據校驗結果進行響應。

實現上述單點登錄過程需要接入系統做一定改造，具體方式根據單點接入的產品和技術方案的不同而有所區別。一部分方案需要在接入應用系統的服務器上安裝部署插件，插件可以提前截獲HTTP請求并發往認證服務器，認證服務器會提取身份令牌以進行驗證，之后應用系統可以直接從HTTP請求(如HTTP頭)中獲得用戶身份；另一些方案需要接入系統完成提取身份令牌并發往認證服務器校驗的工作。上述兩種方案中，前一種方案的單點登錄產品需對所有的系統提供插件支持；后一種方案會在進行所述改造時產生的工作量。

由于企業信息化水平的不斷提升，單點登錄技術在企業內部信息系統中的應用極為廣泛，但使用單點登錄面臨著以下幾個問題：

1、企業內部信息化系統環境復雜，單點登錄產品不一定能支持所有的系統。當前的很多單點登錄產品需在接入系統服務器安裝部署插件等，插件雖然豐富，但針對不同種類及版本的操作系統和服務器產品需要部署特定的插件，而由廠商提供的插件盡管品種繁多但數量仍然有限，一旦接入系統使用了單點登錄產品不支持的應用，那么在不改動接入系統架構的情況下無法實現單點登錄。

2、更換單點登錄產品時改造困難、工作量大。企業內部信息化系統有時會因為客觀原因更換單點登錄產品(如更換企業信息化系統的入口)，單點登錄產品一般也會隨入口產品一同更換。一旦更換單點登錄產品，則所有接入到該單點登錄產品的系統需根據新的單點登錄產品的要求重新改造，隨之而來的是大量的開發和測試工作，這些工作必然給系統運行帶來影響，同時也帶來了很多不可控因素。

3、不利于及時定位故障。大部分成熟產品都是將插件安裝部署在接入系統的Web服務器上，攔截了Web服務器接收的所有請求，因此理論上接入系統出現的故障都可能與單點登錄產品有關。由于插件和認證服務器間的通訊對于接入系統不可見，因此接入系統的操作人員在出現故障時很難簡單判斷出故障是否與單點登錄產品有關。

發明內容

有鑒于此，本發明的主要目的在于提供一種實現通用單點登錄的方法、裝置和系統，保證單點登錄的通用性。

為達到上述目的，本發明的技術方案是這樣實現的：

一種實現通用單點登錄的系統，該系統包括服務中間層、接入系統；其中，

所述服務中間層通用于不同單點登錄產品，設置于接入系統與單點登錄認證服務器之間，用于基于通用的單點登錄方式為接入系統進行權限驗證；

所述接入系統，用于根據用戶瀏覽器的訪問請求向服務中間層發送認證請求；以及接收來自服務中間層的認證結果，并根據得到的認證結果完成授權工作。

所述服務中間層包括通用認證服務器、認證處理器和認證適配器；其中，

所述通用認證服務器，用于提供認證服務，接收接入系統的認證請求并將認證結果反饋給接入系統；

所述認證處理器，用于處理接入系統的認證請求并反饋認證結果；

所述認證適配器，用于對不同單點登陸產品提供的認證請求的字符數據進行抽象和封裝，屏蔽不同單點登錄認證服務器之間的差異性，以及提供認證服務以供認證處理器調用。

一種實現通用單點登錄的裝置，該裝置通用于不同單點登錄產品，設置于接入系統與單點登錄認證服務器之間，用于基于通用的單點登錄方式為接入系統進行權限驗證；所述裝置包括通用認證服務器、認證處理器和認證適配器；其中，

所述通用認證服務器，用于提供認證服務，接收接入系統的認證請求并將認證結果反饋給接入系統；

所述認證處理器，用于處理接入系統的認證請求并反饋認證結果；

所述認證適配器，用于對不同單點登陸產品提供的認證請求的字符數據進行抽象和封裝，屏蔽不同單點登錄認證服務器之間的差異性，以及提供認證服務以供認證處理器調用。

所述通用認證服務器，用于：

在處理接入系統的認證請求時，提取并整理認證請求中的請求字符串的數據，將整理后的數據發往單點登錄認證服務器進行認證；和/或，