本發明提供了一種基于CAS的權限認證系統的工作方法，該權限認證方法包括：CAS服務端根據CAS客戶端發送來的訪問請求進行用戶登錄認證，所述訪問請求包括用戶名和密碼；當用戶處于已登錄狀態時，所述CAS服務端進行用戶權限認證。利用本發明方法不僅利用CAS服務解決了單點登錄的問題，同時解決了用戶權限認證，流程簡單；進一步的用戶只要記住一個應用系統域名即可登錄所有有權限的系統，便于系統管理和用戶操作。

技術領域

本發明涉及中央認證服務Central Authentication Service CAS技術，尤指一種基于CAS的權限認證系統的工作方法。

背景技術

隨著互聯網業務的發展，Web應用系統越來越多，除了需要支持單點登錄功能外，還需要對用戶進行權限控制。單點登錄(Single Sign-ON，簡稱SSO)是一種統一認證和授權機制，是指訪問同一服務器不同應用系統中的受保護資源的同一用戶，只需要登錄一次通過一個應用系統中的安全認證后，再訪問其他應用系統中的受保護資源時，不再需要重新登錄驗證，即用戶只需要登錄一次就可以訪問所有相互信任的應用系統，而不用重復登錄。目前單點登錄領域常用的技術是CAS(Central Authentication Service)技術，CAS是Yale大學發起的一個企業級的開源項目，旨在為Web應用系統提供一種可靠的單點登錄方法，但是CAS技術并不提供對登錄用戶的權限進行認證。

發明內容

針對上述技術問題，本發明提供了一種基于CAS的權限控制方法、裝置及系統，能夠解決現有CAS服務中不進行用戶權限認證，導致無法通過控制用戶權限達到控制用戶訪問的技術問題。

為了達到本發明目的，本發明提供了一種基于中央認證服務CentralAuthentication Service CAS的權限認證方法，包括：

CAS服務端根據CAS客戶端發送來的訪問請求進行用戶登錄認證，所述訪問請求包 括用戶名和密碼；

當用戶處于已登錄狀態時，所述CAS服務端進行用戶權限認證。

進一步地，所述CAS服務端進行用戶權限認證，包括：所述CAS服務端根據自身保存的用戶權限認證信息判斷用戶是否有權限訪問所述CAS客戶端對應的應用系統，所述用戶權限認證信息包括以下至少之一：與所述用戶名對應的有權限訪問的應用系統的系統名稱及其鏈接地址，以及用戶有權限訪問的應用系統的資源。

進一步地，所述CAS服務端根據自身保存的用戶權限認證信息判斷用戶是否有權限訪問所述CAS客戶端對應的應用系統，包括：

當所述訪問請求是請求訪問某一應用系統時，所述CAS服務端根據自身保存的用 戶權限認證信息判斷用戶是否具有訪問所述某一應用系統的資源的權限，如果有權限，則 用戶權限認證通過。

進一步地，所述CAS服務端根據自身保存的用戶權限認證信息判斷用戶是否有權限訪問所述CAS客戶端對應的應用系統，包括：當所述訪問請求是請求登錄所述CAS客戶端對應的應用系統的訪問請求時，所述CAS服務端根據自身保存的用戶權限認證信息判斷用戶是否具有訪問所述CAS客戶端對應的應用系統的資源的權限，如果有權限，則用戶權限認證通過。

進一步地，該方法還包括：

當用戶權限認證通過時，所述CAS服務端生成認證通過消息，該認證通過消息用于 通知所述CAS客戶端用戶登錄成功和權限認證成功。

進一步地，該方法還包括：

當用戶權限認證通過時，所述CAS服務端生成認證通過消息，該認證通過消息用于 通知所述CAS客戶端用戶登錄成功和權限認證成功，以及用戶所有有權限登錄的應用系統 的系統名稱及其鏈接地址

進一步地，該方法還包括：

所述CAS客戶端根據用戶選擇的鏈接地址進入對應的應用系統。