本發明屬于信息化系統技術領域，提供樹狀拓撲認證系統群的實現方法：當本機認證系統接收到應用的認證訪問信號時，判斷是否存在第三方認證系統；若存在第三方認證系統，則本機認證系統要求瀏覽器遷轉所述應用跳轉第三方認證系統；當應用經所述瀏覽器向第三方認證系統提供登錄憑證且登錄成功后，本機認證系統獲取第三方簽發的ST；當本機認證系統向第三方認證系統校驗所述ST后，生成本機認證系統的TGT并與第三方的認證系統的ST進行綁定；通過本機認證系統基于本機系統的TGT向應用簽發應用側ST；當應用獲取到本機認證系統的應用側ST向本機認證系統發起校驗且成功后，為所述瀏覽器提供服務。

技術領域

本發明涉及信息化系統技術領域，尤指一種樹狀拓撲認證系統群的實現方法和裝置。

背景技術

隨著各行各業信息化系統的復雜度不斷提升，業務應用軟件根據高內聚低耦合的原則，逐步被拆分為多個子應用系統，各應用系統均需要對用戶進行認證鑒權，統一認證服務就是不可或缺的一部分。在各子應用系統集成統一登錄認證系統后，使用戶在訪問不同應用時只需要登陸一次，即可訪問所有系統，避免了重復登錄，達到更好的用戶體驗。

當前應用系統的統一認證，普遍使用jasig-認證系統(Central AuthenticeService)中央單點統一認證。如圖2所示：用戶第一次訪問應用通過認證系統中央認證登錄過程。如圖3所示：用戶已登陸過認證系統而訪問另一應用的過程。認證系統的基本認證過程是：

1、用戶訪問應用服務器A，由于此時并未授權，應用服務器A引導用戶直接訪問認證服務器

2、認證服務器發現用戶并未登陸過，要求用戶登錄。用戶登陸后發放TGT(TicketGranted Ticket)，即授權票據，表明用戶已經獲得了認證服務的認證授權。

3、認證服務器發現用戶原先是先訪問的某應用服務器A，會使用用戶的TGT，簽發針對上述應用服務器A的ST(Service Ticket)，即服務票據，并返還給用戶。

4、用戶拿到這個ST后再次訪問上述應用服務器A。

5、上述應用服務器A發現用戶有ST，便拿著ST向認證服務器校驗該票據的有效性，即詢問認證服務器是否是為本身這個應用服務所簽發。

6、認證服務器返回ST校驗結果給上述應用服務器A，應用服務器A將用戶會話置于受信任隊列，向用戶提供后續應用服務。

7、此時，用戶再次訪問另一個應用系統B時，由于此時用戶會話不在B的受信任列表里，B依然會引導用戶直接訪問認證服務器。

8、此時，認證服務器發現用戶已經存在TGT，表示用戶已經登陸過，直接會針對應用系統B發放另一個新的ST，返回給用戶，用戶即可通過該ST去訪問應用服務器B，避免了二次登陸。

從上述流程可以看出，一旦兩個應用服務都對接好認證系統系統后，認證系統系統可以實現讓用戶登陸一次，即可跨應用獲取資源的效果。認證系統由于向內封閉票據的認證和簽發過程，對外只能獲取到一個已綁定特定應用服務的ServiceTicket，且ST僅能夠被校驗一次，這使得其簽發的票據就如一張特定電影院的電影票，一旦進入這個特定電影院的校驗過程，隨即失效，是非常安全的，這是其認證業務上的優點。但針對認證系統中央統一認證來說，其票據的緩存和發放是集中在認證服務器的，一旦這個服務器的票據緩存節點或認證節點出現異常，會導致認證系統出現“單點故障”，這是其穩定性的缺點。