技術領域

本發明涉及通信技術領域，尤其涉及一種單點登錄認證方法及裝置。

背景技術

SSO(Single Sign On，單點登錄)就是在一個多業務系統共存的環境下，用戶在一處登錄后，就不用在其他業務系統中登錄，也就是說，用戶的一次登錄能得到其他所有系統的信任。單點登錄在大型網站里使用得非常頻繁，例如像阿里巴巴這樣的網站，在網站的背后是成百上千的子業務系統，用戶一次操作或交易可能涉及到幾十個子業務系統的協作，如果每個子業務系統都需要用戶認證，不僅用戶使用體驗差，同時各子系統的重復認證授權的邏輯也會是非常復雜的。

目前的單點登錄方法，參見圖1，是通過SSO認證系統對用戶的登錄信息進行合法性校驗后，向用戶端發送token信息；用戶端在訪問其他業務系統時，攜帶token信息，業務系統將該token信息交由SSO認證系統進行認證。然而，對于上述的方法，用戶每次訪問業務系統，對業務系統都會經過SSO認證系統的服務器進行合法性校驗。因此在應用于高并發訪問的場景，會致使SSO認證系統服務器的負荷過高，同時會致使業務系統服務器的響應速度大大降低，導致用戶的使用體驗非常差。因此，有必要提供一種新型的單點登錄方法，提升單點登錄的驗證效率及業務服務器的訪問速度。

發明內容

本發明提供一種單點登錄認證方法及裝置，用以解決現有技術中單點登錄導致SSO認證系統負荷高，影響業務系統服務器響應速度的問題。

為實現上述發明目的，本發明采用下述的技術方案：

依據本發明的一個方面，提供一種單點登錄認證方法，包括：

檢測用戶端發送的業務系統訪問請求是否攜帶用戶登錄標識；其中，所述用戶登錄標識由單點登錄SSO認證系統對所述用戶端發送的攜帶用戶身份標識的登錄請求認證通過后，生成并反饋至所述用戶端；

當檢測到攜帶所述用戶登錄標識時，根據緩存系統中存儲的用戶登錄標識與用戶身份標識的映射關系對所述業務系統訪問請求中的用戶登錄標識進行驗證，當驗證通過后，基于所述用戶登錄標識對應的用戶身份標識與所述用戶端建立會話；其中，所述映射關系由SSO認證系統對所述用戶端的登錄請求認證通過后，將所述用戶端發送的用戶身份標識以及生成的用戶登錄標識建立映射關系并存儲于所述緩存系統中。

進一步地，所述檢測用戶端發送的業務系統訪問請求是否攜帶用戶登錄標識前，所述方法還包括：

檢測用戶端發送的所述業務系統訪問請求是否攜帶用戶身份標識；

若未檢測，則檢測用戶端發送的業務系統訪問請求中是否攜帶用戶登錄標識；

若檢測到，則基于所述用戶身份標識與所述用戶端進行會話。

進一步地，所述方法還包括：

若未檢測到所述業務系統訪問請求中攜帶用戶登錄標識時，則將所述用戶端重定向所述SSO認證系統，由所述SSO認證系統對所述用戶端發送的攜帶用戶身份標識的登錄請求進行認證。

進一步地，所述根據緩存系統中存儲的用戶登錄標識與用戶身份標識的映射關系對所述業務系統訪問請求中的用戶登錄標識進行驗證，具體包括：

判斷所述映射關系中是否存在所述用戶登錄標識；

當存在時，獲取所述用戶登錄標識對應的用戶身份標識以及時間戳信息；

根據所述時間戳信息驗證所述用戶登錄標識是否超時，若未超時，則根據所述用戶身份標識與所述用戶端建立會話，同時更新所述時間戳信息為當前時間；

其中，所述時間戳信息的初始時間由所述SSO認證系統對所述用戶端的登錄請求認證通過后，將認證通過的時間作為初始時間存儲于所述緩存系統。

進一步地，所述方法還包括：

與所述用戶端建立會話后，將所述業務系統對應的系統標識存儲于所述緩存系統中相應的映射關系中；

檢測所述業務系統與所述用戶端的會話情況以及所述業務系統重啟情況；

當檢測到與所述用戶端會話超時、關閉或者檢測到所述業務系統重新啟動時，則將所述映射關系中所述業務系統對應的系統標識刪除。

進一步地，所述將所述映射關系中所述業務系統對應的系統標識刪除后，所述方法還包括：

檢測所述映射關系是否還存在其他業務系統的系統標識，當不存在時，則將所述映射關系從所述緩存系統中刪除。

進一步地，所述緩存系統為分布式緩存系統。

依據本發明的一個方面，提供一種單點登錄認證裝置，用于業務系統中，所述裝置包括：