技術領域

本發明涉及瀏覽器登錄認證應用領域，具體涉及一種基于客戶端的單點登錄身份認證方法及系統。

背景技術

用戶通過瀏覽器登錄可以進入一個應用系統，訪問該應用系統的相關數據?，F有的瀏覽器登錄認證方式為：每登錄一個應用系統，均需要輸入登錄信息(用戶名和密碼)來進行登錄認證，認證通過(登錄信息正確)則允許登錄對應的應用系統。

但是，上述瀏覽器登錄認證方式使用時存在以下缺陷：

當用戶登錄多個互相信任的應用系統時，需要輸入多次登錄信息來進行身份認證，其操作過程比較繁瑣，不僅操作效率較低，而且多次輸入可能造成登錄信息外泄，安全存在一定隱患。

進一步，上述瀏覽器登錄認證方式需要服務端存儲所有用戶的登錄信息，由于1位用戶會具有多條登錄信息，因此當用戶較多時，服務端儲存的登錄信息的數量比較龐大，不僅占用了內存，而且會存在太多登錄信息之間具備映射關系，其邏輯比較復雜，這嚴重加劇了服務端的負荷，進而降低了工作效率和質量。

發明內容

針對現有技術中存在的缺陷，本發明解決的技術問題為：如何在服務端針對每位用戶僅儲存1條登錄信息的基礎上，只用一次身份認證來完成所有符合用戶登錄權限的應用系統的認證過程。本發明單點登錄和身份認證的操作過程非常簡單，不僅操作效率較高，而且最多只用輸入一次登錄信息，登錄信息難以外泄，比較安全。

為達到以上目的，本發明提供的基于客戶端的單點登錄身份認證方法，包括以下步驟：

S1：服務端創建白名單文件，白名單文件中包括服務端分發的所有登錄信息、以及每條登錄信息對應的登錄權限，服務端為每條下發的登錄信息所屬的客戶端，生成并下發唯一的身份認證令牌，轉到S2；

S2：客戶端將用戶的登錄信息加密后上傳至服務端，轉到S3；

S3：服務端將登錄信息進行解密后，若白名單文件中存在當前登錄信息，轉到S4；

S4：服務端向客戶端下發身份認證信息，轉到S5；

S5：客戶端收到身份認證信息后，通過瀏覽器讀取本地的身份認證令牌，將身份認證令牌上傳至服務端，轉到S6；

S6：將客戶端上傳的身份認證令牌定義為待驗證身份令牌，將服務端本地存儲的當前登錄信息的身份認證令牌定義為標準身份令牌；當待驗證身份令牌是否與標準身份令牌匹配時，轉到S7；

S7：客戶端在白名單文件中獲取當前登錄信息具備登錄權限的所有應用系統后，根據所述所有應用系統生成并顯示應用系統集成頁面。

在上述技術方案的基礎上，S1中所述身份認證令牌附有過期時限，S6中所述待驗證身份令牌與標準身份令牌匹配的標準為：待驗證身份令牌與標準身份令牌相同、且待驗證身份令牌的上傳時間未超過標準身份令牌的過期時限。

在上述技術方案的基礎上，S1至S7之間還包括以下步驟：服務端定期與客戶端同步白名單文件。

在上述技術方案的基礎上，S1中所述登錄信息包括用戶名信息和/或者數字證書信息，用戶名信息為用戶名和密碼。

在上述技術方案的基礎上，S2的流程包括：客戶端通過瀏覽器獲取用戶的登錄信息，將登錄信息加密后上傳至服務端。

本發明提供的基于客戶端的單點登錄身份認證系統，包括設置于服務端上的白名單文件創建模塊、登錄信息驗證模塊和身份認證令牌驗證模塊，還包括設置于客戶端上的登錄信息上傳模塊、身份認證令牌上傳模塊和應用系統登錄模塊；

白名單文件創建模塊用于：創建白名單文件，白名單文件中包括服務端分發的所有登錄信息、以及每條登錄信息對應的登錄權限，為每條下發的登錄信息所屬的客戶端，生成并下發唯一的身份認證令牌；

登錄信息上傳模塊用于：將用戶的登錄信息加密后上傳至服務端的登錄信息驗證模塊；

登錄信息驗證模塊用于：將收到的登錄信息進行解密后，若白名單文件中存在當前登錄信息，向客戶端的身份認證令牌上傳模塊下發身份認證信息；

身份認證令牌上傳模塊用于：收到身份認證信息后，通過瀏覽器讀取本地的身份認證令牌，將身份認證令牌上傳至服務端的身份認證令牌驗證模塊；

身份認證令牌驗證模塊用于：將收到的身份認證令牌定義為待驗證身份令牌，將服務端本地存儲的當前登錄信息的身份認證令牌定義為標準身份令牌；當待驗證身份令牌是否與標準身份令牌匹配時，向客戶端的應用系統登錄模塊發送應用系統登錄信號；