本發(fā)明涉及Web系統(tǒng)身份鑒別技術(shù)領(lǐng)域，特別是一種基于單點(diǎn)登錄的Web系統(tǒng)登錄約束方法。本發(fā)明首先用戶發(fā)出訪問請(qǐng)求，在驗(yàn)證授權(quán)憑證有效時(shí)，單點(diǎn)登錄服務(wù)器驗(yàn)證用戶對(duì)Web應(yīng)用系統(tǒng)的登錄約束規(guī)則是否有效，如果有效，那么單點(diǎn)登錄服務(wù)器將會(huì)給用戶頒發(fā)一個(gè)服務(wù)憑證，否則將繼續(xù)返回當(dāng)前的登錄頁(yè)面。服務(wù)憑證頒發(fā)以后，單點(diǎn)登錄服務(wù)器會(huì)將瀏覽器重定向到用戶請(qǐng)求訪問的Web應(yīng)用系統(tǒng)頁(yè)面上，然后繼續(xù)驗(yàn)證服務(wù)憑證是否有效。本發(fā)明有效解決了單點(diǎn)登錄系統(tǒng)的不同應(yīng)用系統(tǒng)的單獨(dú)約束問題；可以用于基于單點(diǎn)登錄的Web系統(tǒng)。

技術(shù)領(lǐng)域

本發(fā)明涉及Web系統(tǒng)身份鑒別技術(shù)領(lǐng)域，特別是一種基于單點(diǎn)登錄的Web系統(tǒng)登錄約束方法。

背景技術(shù)

隨著企業(yè)業(yè)務(wù)的擴(kuò)大和業(yè)務(wù)的復(fù)雜性增強(qiáng)，企業(yè)所需要的應(yīng)用系統(tǒng)不斷增多，企業(yè)員工在完成日常工作時(shí)，也需要使用不同的應(yīng)用系統(tǒng)來完成。但每個(gè)應(yīng)用系統(tǒng)都有各自的認(rèn)證方式；系統(tǒng)管理員不僅要分別維護(hù)每個(gè)應(yīng)用系統(tǒng)安全策略的完整性，而且還要維護(hù)每個(gè)應(yīng)用系統(tǒng)各自的用戶認(rèn)證數(shù)據(jù)。當(dāng)公司有招聘新員工，需要將其信息添加到應(yīng)用系統(tǒng)時(shí)，系統(tǒng)管理員就需要為新入職的員工分別在每一個(gè)應(yīng)用系統(tǒng)中添加所需要的認(rèn)證信息。單點(diǎn)登錄為滿足上述要求應(yīng)運(yùn)而生，允許用戶完成一次認(rèn)證授權(quán)服務(wù)以后，便可訪問系統(tǒng)中有權(quán)訪問的不同應(yīng)用，而不需要訪問每個(gè)應(yīng)用系統(tǒng)時(shí)，都重新輸入賬戶和密碼。

傳統(tǒng)的單點(diǎn)登錄模型由三個(gè)組成部分：支持身份認(rèn)證服務(wù)的客戶端、認(rèn)證服務(wù)器、支持身份認(rèn)證服務(wù)的應(yīng)用服務(wù)器。其中，所有的身份認(rèn)證都是由認(rèn)證服務(wù)器來完成的。該模型的工作流程是：所有的客戶端在訪問應(yīng)用系統(tǒng)之前在認(rèn)證服務(wù)器端進(jìn)行身份認(rèn)證，為了提供系統(tǒng)的安全性，可采用相互認(rèn)證的方式。當(dāng)用戶通過身份認(rèn)證后，認(rèn)證服務(wù)器返回給客戶端一個(gè)電子身份標(biāo)識(shí)，用戶通過該電子身份標(biāo)識(shí)去訪問其他應(yīng)用系統(tǒng)，從而實(shí)現(xiàn)單點(diǎn)登錄。

針對(duì)不同的安全要求，不同的應(yīng)用系統(tǒng)需要配置不同的登錄約束規(guī)則，比如某個(gè)應(yīng)用系統(tǒng)只允許某類員工在某段時(shí)間內(nèi)使用。這時(shí)候傳統(tǒng)的單點(diǎn)登錄系統(tǒng)就無法針對(duì)不同的應(yīng)用系統(tǒng)進(jìn)行單獨(dú)的靈活的配置。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問題在于一種基于單點(diǎn)登錄的Web系統(tǒng)登錄約束方法；實(shí)現(xiàn)不同應(yīng)用系統(tǒng)的單獨(dú)約束。

本發(fā)明解決上述技術(shù)問題的技術(shù)方案是：

所述的方法包括以下步驟：

步驟1：用戶瀏覽器向Web應(yīng)用系統(tǒng)發(fā)出訪問請(qǐng)求；

步驟2：Web應(yīng)用系統(tǒng)檢查用戶瀏覽器是否存在服務(wù)憑證，如果存在，那么轉(zhuǎn)到步驟9，否則，轉(zhuǎn)到步驟3；

步驟3：把訪問請(qǐng)求重定向到單點(diǎn)登錄服務(wù)器；

步驟4：?jiǎn)吸c(diǎn)登錄服務(wù)器檢查用戶瀏覽器是否存在授權(quán)憑證，如果存在，那么轉(zhuǎn)到步驟5，否則，轉(zhuǎn)到步驟8；

步驟5：?jiǎn)吸c(diǎn)登錄服務(wù)器驗(yàn)證授權(quán)憑證的有效性，如果有效，轉(zhuǎn)到步驟6，否則，轉(zhuǎn)到步驟8；

步驟6：?jiǎn)吸c(diǎn)登錄服務(wù)器驗(yàn)證用戶對(duì)Web應(yīng)用系統(tǒng)的登錄約束規(guī)則是否有效，如果有效，轉(zhuǎn)到步驟7，否則，轉(zhuǎn)到步驟8；

步驟7：?jiǎn)吸c(diǎn)登錄服務(wù)器將會(huì)給用戶頒發(fā)一個(gè)服務(wù)憑證并保存在用戶瀏覽器的Cookie中，將瀏覽器重定向到用戶請(qǐng)求訪問的Web應(yīng)用系統(tǒng)頁(yè)面上，轉(zhuǎn)到步驟1；

步驟8：重定向到單點(diǎn)登錄服務(wù)器的登錄頁(yè)面，輸入登錄驗(yàn)證信息，如果驗(yàn)證信息正確，那么生成授權(quán)憑證并發(fā)送給用戶瀏覽器，用戶瀏覽器把授權(quán)憑證保存在Cookie中，轉(zhuǎn)到步驟5，否則，繼續(xù)執(zhí)行步驟8；

步驟9：允許用戶瀏覽器訪問Web應(yīng)用系統(tǒng)。