本發明公開了一種基于互聯網Web端的統一身份認證體系，包括入站認證、認證框架、認證器以及用戶倉庫，所述的入站認證通過認證框架與認證器通訊連接，所述的用戶倉庫與認證框架通訊連接，其中，所述的入站認證包含請求處理和應答返回兩個部分，所述的認證框架包含會話管理和認證器配置兩個部分，所述的認證器包括本地認證器和聯邦認證器。通過上述，本發明的基于互聯網Web端的統一身份認證體系及其認證方法，將各系統或應用獨立的用戶整合到統一的用戶管理平臺，并且讓各系統或應用與該體系進行對接，從而達到一個賬號可以訪問各個系統或應用的目的，從而提高了用戶的使用體驗。

技術領域

本發明涉及政企系統管理領域，尤其涉及一種基于互聯網Web端的統一身份認證體系和方法。

背景技術

隨著數字化的不斷普及，大型公司或者單位的各個部門逐漸形成了與本身業務相關的各種各樣系統，幾乎每個系統都需要識別操作者的身份，并根據其不同的身份，分配一定的權限，做一些操作上的限制。結果很多公司或者部門都在各個系統便各自設計了一套用戶資料和權限管理的機制，并提供了用戶登錄認證，這樣滿足了上面的需求，但由此帶來和用戶賬號管理不方便，用戶資料不統一等等問題。

當前政企領域中多系統、多應用且系統和應用都擁有各自的用戶管理體系，造成用戶需要牢記多套賬戶密碼，給用戶造成困擾的問題。

發明內容

本發明主要解決的技術問題是提供一種基于互聯網Web端的統一身份認證體系和方法，將各系統或應用獨立的用戶整合到統一的用戶管理平臺，并且讓各系統或應用與該體系進行對接，從而達到一個賬號可以訪問各個系統或應用的目的，從而提高了用戶的使用體驗。

為解決上述技術問題，本發明采用的一個技術方案是：提供了一種基于互聯網Web端的統一身份認證體系，包括入站認證、認證框架、認證器以及用戶倉庫，所述的入站認證通過認證框架與認證器通訊連接，所述的用戶倉庫與認證框架通訊連接，其中，所述的入站認證包含請求處理和應答返回兩個部分，所述的認證框架包含會話管理和認證器配置兩個部分，所述的認證器包括本地認證器和聯邦認證器。

在本發明一個較佳實施例中，所述的

請求處理，負責請求協議的解析；

應答返回，負責請求結果的包裝和返回；

會話管理，負責用戶的統一會話維護；

認證器配置，負責預先定義使用哪種認證器并在用戶請求過程中為用戶請求選擇對應的認證器對用戶進行認證；

本地認證器，指使用用戶名和密碼方式的認證；

聯邦認證器，指使用QQ、微信賬號進行的認證；

用戶倉庫，指存儲用戶賬號密碼、用戶基本信息及附加信息的數據庫。

在本發明一個較佳實施例中，所述的入站認證還與客戶端通訊連接。

為解決上述技術問題，本發明采用的另一個技術方案是：提供了一種基于互聯網Web端的統一身份認證體系的認證方法，包括以下具體步驟：

a、互聯網用戶從客戶端的系統或應用發起基于國際化標準協議SAML2.0的統一身份認證請求，認證體系首先判斷用戶是否已完成認證，如果已完成認證則直接將認證結果返回，整個認證流程結束；

b、如果未完成認證，則直接進入以下處理流程：

b1、入站認證組件負責校驗請求中包含的系統或應用信息是否合法，即系統或應用信息是否在認證體系內登記，如果不合法則直接返回錯誤提示信息；如果合法則對請求進行協議解析，然后將請求轉發至認證框架；

b2、認證框架渲染認證界面提示用戶輸入賬號密碼信息，互聯網用戶輸入賬號密碼并將輸入的數據提交至認證框架，認證框架通過預先定義的認證器配置選擇認證器并由認證器負責對互聯網用戶進行認證；