本發(fā)明涉及一種基于票據(jù)的分布式認(rèn)證方法，所述的分布式認(rèn)證方法包括三個(gè)相互連接的物理層架構(gòu)，分別為：1)：應(yīng)用或系統(tǒng)的客戶端(APP/WEB)、2)應(yīng)用或系統(tǒng)服務(wù)后端(APP?SERVER)、3)認(rèn)證服務(wù)系統(tǒng)(SSO)；所述的應(yīng)用或系統(tǒng)服務(wù)后端(APP?SERVER)集成SDK包(sso?client認(rèn)證包)；SDK包(sso?client認(rèn)證包)提供系統(tǒng)認(rèn)證功能，包括內(nèi)容如下：攔截校驗(yàn)本地用戶會(huì)話、驗(yàn)證登錄票據(jù)換取會(huì)話憑證、登出本地會(huì)話、本地會(huì)話管理。

技術(shù)領(lǐng)域

本發(fā)明屬于電子信息技術(shù)領(lǐng)域，尤其是涉及基于票據(jù)的分布式認(rèn)證方法技術(shù)領(lǐng)域。

背景技術(shù)

早期的WEB應(yīng)用都是把各自的服務(wù)代碼打包成一個(gè)war包放入運(yùn)行容器中來(lái)運(yùn)行的，所有的功能、業(yè)務(wù)流程都是由這個(gè)war包來(lái)支持的，那面即使是同一個(gè)大環(huán)境下的各自模塊。

單點(diǎn)登錄(SingleSignOn，SSO),就是通過用戶的一次登錄操作后，即可通過授信的其他關(guān)聯(lián)系統(tǒng)或應(yīng)用軟件的登錄會(huì)話驗(yàn)證，同時(shí)這種實(shí)現(xiàn)也無(wú)需系統(tǒng)管理員對(duì)用戶的登錄狀態(tài)進(jìn)行過多人為干預(yù)，這也就意味著用戶只需要登錄一次即可在其被授予的權(quán)限范圍內(nèi)可以訪問所有相互信任的應(yīng)用系統(tǒng)或軟件。這種方式極大地提高了用戶的訪問效率、系統(tǒng)的集成度，是目前比較流行的分布式系統(tǒng)用戶認(rèn)證授權(quán)方式。

現(xiàn)有的單點(diǎn)登錄認(rèn)證系統(tǒng)針對(duì)各系統(tǒng)的使用場(chǎng)景和需求有多種實(shí)現(xiàn)方式，最具代表性的一般有以下兩種場(chǎng)景解決方案，分別為：

同域名下的單點(diǎn)登錄，實(shí)現(xiàn)步驟：

a、用戶訪問客戶端client-a時(shí)，訪問請(qǐng)求中未攜帶登錄憑證的，服務(wù)將重定向用戶當(dāng)前頁(yè)面至CSA系統(tǒng)登錄頁(yè)面。

b、用戶輸入賬號(hào)登錄密碼后，CSA系統(tǒng)會(huì)將登錄會(huì)話(用戶id和用戶信息)保存，并使用瀏覽器cookie攜帶會(huì)話憑證重定向跳轉(zhuǎn)回原來(lái)的客戶端頁(yè)面。

c、客戶端client-a再次訪問服務(wù)并提交登錄憑證給服務(wù)后端A，由服務(wù)后端A使用該登錄憑證到CSA系統(tǒng)去驗(yàn)證登錄憑證的有效性，若響應(yīng)為登錄憑證有效則用戶可以正常訪問系統(tǒng)，若響應(yīng)為登錄憑證無(wú)效則重定向至CSA系統(tǒng)登錄頁(yè)面。

d、當(dāng)用戶訪問客戶端client-b時(shí)，因同域機(jī)制瀏覽器會(huì)使用相同的登錄憑證訪問服務(wù)后端B，由服務(wù)后端B使用該登錄憑證到CSA系統(tǒng)去驗(yàn)證登錄憑證的有效性，若響應(yīng)為登錄憑證有效則用戶可以正常訪問系統(tǒng)，若響應(yīng)為登錄憑證無(wú)效則重定向至CSA系統(tǒng)登錄頁(yè)面。

(1)不同域名下的單點(diǎn)登錄，實(shí)現(xiàn)步驟：

a、用戶訪問客戶端client-a時(shí)，訪問請(qǐng)求中未攜帶登錄憑證的，服務(wù)將重定向用戶當(dāng)前頁(yè)面至CSA系統(tǒng)登錄頁(yè)面。

b、用戶輸入賬號(hào)登錄密碼后，CSA系統(tǒng)會(huì)將登錄會(huì)話(用戶id和用戶信息)保存，并攜帶會(huì)話票據(jù)ticket重定向跳轉(zhuǎn)回原來(lái)的客戶端頁(yè)面。

c、客戶端client-a接收到會(huì)話票據(jù)ticket后，遞交會(huì)話票據(jù)ticket給服務(wù)后端A，由服務(wù)后端A使用該會(huì)話票據(jù)ticket到CSA系統(tǒng)去驗(yàn)證會(huì)話票據(jù)ticket的有效性。

d、CSA系統(tǒng)校驗(yàn)會(huì)話票據(jù)ticket的有效性，若為有效則響應(yīng)服務(wù)后端A用戶會(huì)話憑證，若無(wú)效則響應(yīng)會(huì)話票據(jù)ticket失效信息。

e、服務(wù)后端A若接收到用戶會(huì)話憑證，則響應(yīng)給客戶端client-a，由客戶端client-a繼續(xù)用戶訪問；服務(wù)后端A若接收到會(huì)話票據(jù)ticket失效信息，則服務(wù)將重定向用戶當(dāng)前頁(yè)面至CSA系統(tǒng)登錄頁(yè)面。

f、當(dāng)用戶訪問客戶端client-b時(shí)，服務(wù)將重定向用戶當(dāng)前頁(yè)面至CSA系統(tǒng)登錄頁(yè)面。因用戶已在CSA系統(tǒng)登錄過，CSA系統(tǒng)并攜帶會(huì)話票據(jù)ticket重定向跳轉(zhuǎn)回原來(lái)的客戶端頁(yè)面。