專利名稱:?jiǎn)我徽J(rèn)證授權(quán)管理系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種認(rèn)證授權(quán)技術(shù),尤指一種多個(gè)應(yīng)用系統(tǒng)的認(rèn)證授權(quán)技術(shù)。
背景技術(shù):
現(xiàn)有的Web服務(wù)登錄解決方案是利用每個(gè)Web應(yīng)用服務(wù)器對(duì)會(huì)話過(guò)程中用戶信息的保存和客戶端對(duì)Cookie的支持而達(dá)成的登錄方案,其中Cookie是一種網(wǎng)絡(luò)服務(wù)器傳遞給瀏覽器的信息。
用戶在同一個(gè)瀏覽器第一次瀏覽其中任何一個(gè)Web服務(wù)器的時(shí)候,都需要輸入一套該系統(tǒng)中存儲(chǔ)的用戶名和密碼,導(dǎo)致兩個(gè)明顯的問(wèn)題1.當(dāng)一企業(yè)擁有多個(gè)應(yīng)用系統(tǒng)時(shí),由于每個(gè)系統(tǒng)都需要獨(dú)立的一套用戶名和密碼數(shù)據(jù),故系統(tǒng)工程師必須維護(hù)多套用戶名和密碼(包括修改用戶名/密碼和登錄系統(tǒng)時(shí)的操作)。
2.由于不同Web應(yīng)用服務(wù)之間的會(huì)話信息無(wú)法共享,用戶在使用同一個(gè)瀏覽器每次首次登錄一個(gè)網(wǎng)站時(shí),必須重復(fù)地輸入用戶名和密碼;而不論該用戶名和密碼是否是相同的或者該用戶名和密碼是否在同一個(gè)數(shù)據(jù)庫(kù)中。
上述Web服務(wù)登錄解決方案,其優(yōu)點(diǎn)在于易于設(shè)計(jì)和實(shí)現(xiàn),用戶操作簡(jiǎn)單且得到大部分Web服務(wù)器的支持;缺點(diǎn)在于基于會(huì)話的安全性較低且無(wú)法在多個(gè)Web服務(wù)器之間實(shí)現(xiàn)統(tǒng)一認(rèn)證授權(quán)后單一登錄的功能。
臺(tái)灣智慧財(cái)產(chǎn)局于2003年8月21日公告的公告編號(hào)為548592,名稱為“應(yīng)用程序單一登錄系統(tǒng)與方法”的專利,其客戶端計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)鏈接一應(yīng)用程序服務(wù)器及一單一登錄服務(wù)器。其中客戶端計(jì)算機(jī)將應(yīng)用程序登錄信息登錄帳號(hào)及登錄密碼送至單一登錄服務(wù)器進(jìn)行加密,然后單一登錄服務(wù)器再將加密后的登錄信息傳送至客戶端計(jì)算機(jī),客戶端計(jì)算機(jī)將其解密后,登錄應(yīng)用程序服務(wù)器,最后,客戶端計(jì)算機(jī)再將登錄信息傳回單一登錄服務(wù)器進(jìn)行加密。
上述專利雖然安全性有所提高,但其單一登錄服務(wù)器從本質(zhì)意義上講,只起到一個(gè)加密的作用,仍是無(wú)法解決在多個(gè)應(yīng)用服務(wù)系統(tǒng)之間的統(tǒng)一認(rèn)證授權(quán),單一登錄的功能。
針對(duì)先前技術(shù)的不足,急需解決多個(gè)應(yīng)用服務(wù)系統(tǒng)的統(tǒng)一認(rèn)證授權(quán)單一登錄的問(wèn)題。
發(fā)明內(nèi)容首先對(duì)本發(fā)明中所涉及的相關(guān)術(shù)語(yǔ)說(shuō)明如下。
Cookie,一條極為短小的信息,其能夠被網(wǎng)站服務(wù)器自動(dòng)地放置在一臺(tái)計(jì)算機(jī)的硬盤(pán)中。通過(guò)Cookie網(wǎng)站服務(wù)器可以識(shí)別是否是第一次訪問(wèn),或是再一次訪問(wèn)。
通用認(rèn)證授權(quán)(UAAS)服務(wù)器是認(rèn)證,授權(quán)和用戶管理的入口。
重定向HTTP協(xié)議的重定向功能,每個(gè)Web網(wǎng)站服務(wù)器利用此項(xiàng)功能將每個(gè)用戶的首次訪問(wèn)重定向到UAAS進(jìn)行統(tǒng)一授權(quán)服務(wù)。
本發(fā)明的主要目的在于提供一種單一認(rèn)證授權(quán)管理系統(tǒng),其可以解決多個(gè)應(yīng)用服務(wù)系統(tǒng)之間用戶認(rèn)證信息和用戶授權(quán)信息整合的問(wèn)題,實(shí)現(xiàn)用戶登錄一次即可訪問(wèn)多個(gè)應(yīng)用服務(wù)系統(tǒng)的功能。
本發(fā)明揭露了一種單一認(rèn)證授權(quán)管理系統(tǒng)。該系統(tǒng)包括有一UAAS服務(wù)器、多個(gè)網(wǎng)站服務(wù)器、多個(gè)客戶端計(jì)算機(jī)。每個(gè)客戶端計(jì)算機(jī)可通過(guò)網(wǎng)絡(luò)登錄到各個(gè)網(wǎng)站服務(wù)器瀏覽網(wǎng)頁(yè),其作為客戶端應(yīng)用程序的運(yùn)行環(huán)境。多個(gè)網(wǎng)站服務(wù)器提供各類應(yīng)用服務(wù),如允許用戶瀏覽某些網(wǎng)頁(yè)內(nèi)容,允許用戶發(fā)表評(píng)論,對(duì)用戶進(jìn)行訪問(wèn)控制等。其連接有一網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù),用于存儲(chǔ)用戶與網(wǎng)站服務(wù)器之間溝通的會(huì)話信息(Cookie)及用戶的授權(quán)信息。其中客戶端計(jì)算機(jī)利用一Cookie保存與一個(gè)網(wǎng)站服務(wù)器的會(huì)話信息,這一會(huì)話信息將會(huì)在不同網(wǎng)站之間瀏覽的過(guò)程中得到保留,例如網(wǎng)站服務(wù)器A的會(huì)話信息并不因?yàn)闉g覽了網(wǎng)站B后,再次回到網(wǎng)站服務(wù)器A時(shí)而丟失。所以,只要一次在UAAS服務(wù)器經(jīng)過(guò)認(rèn)證,就可以在會(huì)話信息中產(chǎn)生可供多次使用的認(rèn)證信息。其中,認(rèn)證信息是用戶的身份標(biāo)識(shí),如正確的用戶帳號(hào)和密碼。UAAS服務(wù)器可集中對(duì)用戶身份驗(yàn)證、集中授權(quán)對(duì)應(yīng)用服務(wù)的訪問(wèn)及集中對(duì)用戶進(jìn)行管理,其包括有一認(rèn)證裝置和一授權(quán)裝置,并連接有一數(shù)據(jù)庫(kù)及一認(rèn)證授權(quán)信息庫(kù)。其中,認(rèn)證裝置用于對(duì)用戶的身份認(rèn)證;授權(quán)裝置用于對(duì)用戶進(jìn)行授權(quán),確認(rèn)用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限;數(shù)據(jù)庫(kù)用于存儲(chǔ)所有的用戶群組及每一用戶群組對(duì)多個(gè)網(wǎng)站服務(wù)器的訪問(wèn)權(quán)限,其中用戶群組包括有管理員、普通用戶等,每一用戶群組擁有對(duì)每個(gè)網(wǎng)站服務(wù)器不同的訪問(wèn)權(quán)限;認(rèn)證授權(quán)信息庫(kù)用于存儲(chǔ)認(rèn)證信息及授權(quán)信息,其中認(rèn)證信息包括用戶帳號(hào)、用戶密碼,授權(quán)信息包括用戶有效性身份驗(yàn)證及用戶訪問(wèn)權(quán)限,其中有效性身份驗(yàn)證如用戶數(shù)字證書(shū)及用戶帳號(hào)及密碼。
其中網(wǎng)站服務(wù)器還包括有一訪問(wèn)請(qǐng)求接收模塊,用于接收客戶端計(jì)算機(jī)發(fā)來(lái)的訪問(wèn)請(qǐng)求;一授權(quán)信息判斷模塊,用于網(wǎng)站服務(wù)器接收到一用戶訪問(wèn)請(qǐng)求后,查詢?cè)摼W(wǎng)站服務(wù)器數(shù)據(jù)庫(kù),判斷是否有該用戶的授權(quán)信息;一重定向模塊,用于將用戶的訪問(wèn)請(qǐng)求重定向到UAAS服務(wù)器,包括重定向用戶的認(rèn)證請(qǐng)求;一授權(quán)信息接收模塊,用于接收UAAS服務(wù)器發(fā)過(guò)來(lái)的用戶的授權(quán)信息;一授權(quán)信息保存模塊,用于將接收到的用戶授權(quán)信息保存到網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)中;一權(quán)限信息發(fā)送模塊,用于將用戶的訪問(wèn)權(quán)限發(fā)送到客戶端計(jì)算機(jī);一訪問(wèn)權(quán)限控制模塊,用于網(wǎng)站服務(wù)器根據(jù)訪問(wèn)權(quán)限管控用戶對(duì)網(wǎng)站的訪問(wèn)。
認(rèn)證裝置包括有一認(rèn)證請(qǐng)求接收模塊,用于接收網(wǎng)站服務(wù)器重定向過(guò)來(lái)的用戶訪問(wèn)的認(rèn)證請(qǐng)求;一認(rèn)證信息判斷模塊,用于查詢認(rèn)證授權(quán)信息庫(kù),判斷是否有該用戶的認(rèn)證信息,若有該用戶的認(rèn)證信息,則轉(zhuǎn)到授權(quán)裝置請(qǐng)求授權(quán);一認(rèn)證信息產(chǎn)生模塊,用于當(dāng)判斷出沒(méi)有該用戶的認(rèn)證信息后,為該用戶產(chǎn)生認(rèn)證信息;認(rèn)證信息保存模塊,用于將該認(rèn)證信息保存在認(rèn)證授權(quán)信息庫(kù)中。
授權(quán)裝置包括有一授權(quán)請(qǐng)求接收模塊,用于接收認(rèn)證裝置轉(zhuǎn)過(guò)來(lái)的授權(quán)請(qǐng)求;一訪問(wèn)權(quán)限產(chǎn)生模塊,用于搜索數(shù)據(jù)庫(kù),查詢?cè)撚脩羲鶎俚挠脩羧航M,生成屬于該用戶的訪問(wèn)權(quán)限;一授權(quán)信息產(chǎn)生模塊,用于產(chǎn)生該用戶的授權(quán)信息;授權(quán)信息保存模塊,用于將該授權(quán)信息保存在認(rèn)證授權(quán)信息庫(kù)中;一授權(quán)信息發(fā)送模塊,用于將該授權(quán)信息發(fā)送到網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)中。
本發(fā)明還提供一種單一認(rèn)證授權(quán)管理方法。包括如下步驟(a)網(wǎng)站服務(wù)器接收客戶端計(jì)算機(jī)發(fā)來(lái)的訪問(wèn)請(qǐng)求;(b)該網(wǎng)站服務(wù)器判斷是否有該用戶的授權(quán)信息,若有則轉(zhuǎn)到步驟(i);(c)若沒(méi)有該用戶授權(quán)信息,則該網(wǎng)站服務(wù)器將訪問(wèn)請(qǐng)求重定向到UAAS服務(wù)器;(d)UAAS判斷是否有該用戶的認(rèn)證信息,若沒(méi)有則進(jìn)行認(rèn)證服務(wù);(e)UAAS進(jìn)行授權(quán)服務(wù);(f)該網(wǎng)站服務(wù)器接收該用戶的授權(quán)信息;(g)該網(wǎng)站服務(wù)器保存該授權(quán)信息;(h)該網(wǎng)站服務(wù)器發(fā)送該用戶的訪問(wèn)權(quán)限到客戶端計(jì)算機(jī);(i)該網(wǎng)站服務(wù)器根據(jù)訪問(wèn)權(quán)限進(jìn)行訪問(wèn)控制。
圖1為本發(fā)明單一認(rèn)證授權(quán)管理系統(tǒng)及方法的計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)圖。
圖2為本發(fā)明UAAS服務(wù)器功能架構(gòu)圖。
圖3為本發(fā)明網(wǎng)站服務(wù)器的功能模塊圖。
圖4為本發(fā)明認(rèn)證裝置的功能模塊圖。
圖5為本發(fā)明授權(quán)裝置的功能模塊圖。
圖6為本發(fā)明單一認(rèn)證授權(quán)管理系統(tǒng)的運(yùn)作流程圖。
圖7為本發(fā)明認(rèn)證裝置的作業(yè)流程圖。
圖8為本發(fā)明授權(quán)裝置的作業(yè)流程圖。
具體實(shí)施方式在本實(shí)施例中,應(yīng)用服務(wù)系統(tǒng)服務(wù)器以網(wǎng)站服務(wù)器為例。
參閱圖1所示,是本發(fā)明單一認(rèn)證授權(quán)管理系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)圖。分布式分布的多個(gè)客戶端計(jì)算機(jī)1通過(guò)網(wǎng)絡(luò)與多個(gè)網(wǎng)站服務(wù)器2及一UAAS服務(wù)器3相連。其中,客戶端計(jì)算機(jī)1設(shè)置有瀏覽器,如Netscape Navigator或Microsoft Internet Explorer,可通過(guò)互聯(lián)網(wǎng)登錄到各個(gè)網(wǎng)站服務(wù)器瀏覽網(wǎng)頁(yè),其作為客戶端應(yīng)用程序的運(yùn)行環(huán)境。
多個(gè)網(wǎng)站服務(wù)器2為提供不同類型服務(wù)的應(yīng)用系統(tǒng)服務(wù)器,其中每個(gè)網(wǎng)站服務(wù)器2包括有一系列功能模塊(如圖3所示),用于完成由接收用戶請(qǐng)求訪問(wèn)到根據(jù)其訪問(wèn)權(quán)限進(jìn)行控制的功能。每一網(wǎng)站服務(wù)器2還通過(guò)數(shù)據(jù)庫(kù)連接與一網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)4相連。其中每個(gè)網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)4用于存儲(chǔ)用戶訪問(wèn)該網(wǎng)站的授權(quán)信息,例如網(wǎng)站服務(wù)器A數(shù)據(jù)庫(kù)存儲(chǔ)的是用戶對(duì)網(wǎng)站服務(wù)器A進(jìn)行訪問(wèn)的授權(quán)信息,包括用戶有效性身份驗(yàn)證及用戶訪問(wèn)權(quán)限,其中有效性身份驗(yàn)證如用戶數(shù)字證書(shū)及用戶帳號(hào)及密碼。
UAAS服務(wù)器3用于認(rèn)證、授權(quán)和用戶信息管理,包括有一認(rèn)證裝置及一授權(quán)裝置(如圖2所示)。其還通過(guò)數(shù)據(jù)庫(kù)連接與一數(shù)據(jù)庫(kù)5及一認(rèn)證授權(quán)信息庫(kù)6相連。其中數(shù)據(jù)庫(kù)5用于存儲(chǔ)所有的用戶群組及每一用戶群組對(duì)每個(gè)網(wǎng)站服務(wù)器的訪問(wèn)權(quán)限,其中用戶群組包括有管理員、普通用戶等,每一用戶群組對(duì)每個(gè)網(wǎng)站服務(wù)器2擁有不同的訪問(wèn)權(quán)限;認(rèn)證授權(quán)信息庫(kù)6用于存儲(chǔ)用戶的認(rèn)證信息及授權(quán)信息,其中認(rèn)證信息包括用戶帳號(hào)、用戶密碼,授權(quán)信息包括用戶有效性身份驗(yàn)證及用戶訪問(wèn)權(quán)限,其中有效性身份驗(yàn)證如用戶數(shù)字證書(shū)及用戶帳號(hào)及密碼。
所述網(wǎng)絡(luò)可以為企業(yè)內(nèi)部網(wǎng)(Intranet)、互聯(lián)網(wǎng)(Internet)或其它類型網(wǎng)絡(luò)。所述數(shù)據(jù)庫(kù)連接可為開(kāi)放式數(shù)據(jù)庫(kù)連接(Open DatabaseConnectivity,ODBC),或者Java數(shù)據(jù)庫(kù)連接(Java DatabaseConnectivity,JDBC)。
參閱圖2所示,是本發(fā)明所述的UAAS服務(wù)器3的功能架構(gòu)圖。該UAAS服務(wù)器3包括有一認(rèn)證裝置31、一授權(quán)裝置32。其中認(rèn)證裝置31用于對(duì)用戶進(jìn)行身份認(rèn)證,其包括有一系列功能模塊圖(如圖4所示);授權(quán)裝置32用于接收認(rèn)證裝置轉(zhuǎn)來(lái)的授權(quán)請(qǐng)求,確認(rèn)用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限及發(fā)送用戶的授權(quán)信息,其包括有一系列功能模塊圖(如圖5所示)。
參閱圖3所示,是本發(fā)明所述的網(wǎng)站服務(wù)器2的功能模塊圖。其包括有一訪問(wèn)請(qǐng)求接收模塊21,用于接收客戶端計(jì)算機(jī)1發(fā)來(lái)的訪問(wèn)請(qǐng)求;一授權(quán)信息判斷模塊22,用于查詢網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)4,判斷是否有該用戶的授權(quán)信息,該授權(quán)信息為存儲(chǔ)于用戶與網(wǎng)站服務(wù)器2的會(huì)話信息(Cookie)中;一重定向模塊23,用于當(dāng)授權(quán)信息判斷模塊判斷出該用戶沒(méi)有該網(wǎng)站服務(wù)器2的授權(quán)信息時(shí),將該用戶的訪問(wèn)請(qǐng)求重定向到UAAS服務(wù)器3進(jìn)行統(tǒng)一認(rèn)證授權(quán);一授權(quán)信息接收模塊24,用于接收UAAS服務(wù)器3給該用戶的授權(quán)信息;一授權(quán)信息保存模塊25,用于將接收到的授權(quán)信息保存到網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)4中;一權(quán)限信息發(fā)送模塊26,用于將用戶的訪問(wèn)權(quán)限發(fā)送到客戶端計(jì)算機(jī)1;一訪問(wèn)權(quán)限控制模塊27,用于網(wǎng)站服務(wù)器2根據(jù)用戶的訪問(wèn)權(quán)限對(duì)用戶的訪問(wèn)進(jìn)行控制。
參閱圖4所示,是本發(fā)明所述的認(rèn)證裝置31的功能模塊圖。其包括有一認(rèn)證請(qǐng)求接收模塊310,用于接收網(wǎng)站服務(wù)器2重定向過(guò)來(lái)的用戶的認(rèn)證請(qǐng)求;一認(rèn)證信息判斷模塊311,用于查詢認(rèn)證授權(quán)信息庫(kù)6,判斷是否有該用戶的認(rèn)證信息,若有該用戶的認(rèn)證信息則轉(zhuǎn)到授權(quán)裝置32請(qǐng)求授權(quán);一認(rèn)證信息產(chǎn)生模塊312,用于當(dāng)判斷出沒(méi)有該用戶的認(rèn)證信息時(shí),給該用戶產(chǎn)生認(rèn)證信息;一認(rèn)證信息保存模塊313,用于將認(rèn)證信息保存于認(rèn)證授權(quán)信息庫(kù)6中。
參閱圖5所示,是本發(fā)明所述的授權(quán)裝置32的功能模塊圖。其包括有一授權(quán)請(qǐng)求接收模塊321,用于接收認(rèn)證裝置31轉(zhuǎn)過(guò)來(lái)的授權(quán)請(qǐng)求;一訪問(wèn)權(quán)限產(chǎn)生模塊322,用于搜索數(shù)據(jù)庫(kù)5,查詢?cè)撚脩羲鶎俚挠脩羧航M,生成屬于該用戶的訪問(wèn)權(quán)限;一授權(quán)信息產(chǎn)生模塊323,用于給用戶產(chǎn)生訪問(wèn)網(wǎng)站服務(wù)器2的授權(quán)信息;一授權(quán)信息保存模塊324,用于將產(chǎn)生的授權(quán)信息保存于認(rèn)證授權(quán)信息庫(kù)6中;一授權(quán)信息發(fā)送模塊325,用于將授權(quán)信息發(fā)送到網(wǎng)站服務(wù)器2。
參閱圖6所示,是本發(fā)明單一認(rèn)證授權(quán)管理系統(tǒng)的運(yùn)作流程圖。以網(wǎng)站服務(wù)器A為例。首先,網(wǎng)站服務(wù)器A通過(guò)訪問(wèn)請(qǐng)求接收模塊21接收一客戶端計(jì)算機(jī)1發(fā)出的訪問(wèn)請(qǐng)求,請(qǐng)求網(wǎng)站服務(wù)器A提供應(yīng)用服務(wù)(步驟S601)。接著,授權(quán)信息判斷模塊22根據(jù)用戶與網(wǎng)站服務(wù)器A之間的會(huì)話信息Cookie,搜索網(wǎng)站服務(wù)器A數(shù)據(jù)庫(kù)4,判斷是否有該用戶的授權(quán)信息(步驟S602);若有則跳至步驟S607;若沒(méi)有該用戶的授權(quán)信息,則說(shuō)明是該用戶第一次訪問(wèn)網(wǎng)站服務(wù)器A,由重定向模塊23將該用戶的訪問(wèn)請(qǐng)求重定向到UAAS服務(wù)器3進(jìn)行統(tǒng)一認(rèn)證授權(quán)服務(wù)(步驟S603)。認(rèn)證授權(quán)完畢,由授權(quán)信息接收模塊24接收UAAS服務(wù)器3發(fā)來(lái)的授權(quán)信息用戶有效性身份驗(yàn)證及用戶的訪問(wèn)權(quán)限(步驟S604),并由授權(quán)信息保存模塊25將其保存于網(wǎng)站服務(wù)器A的數(shù)據(jù)庫(kù)中(步驟S605)。再由權(quán)限信息發(fā)送模塊26將該用戶的訪問(wèn)權(quán)限發(fā)送到客戶端計(jì)算機(jī)1(步驟S606),用戶根據(jù)該訪問(wèn)權(quán)限對(duì)網(wǎng)站服務(wù)器A進(jìn)行訪問(wèn)。同時(shí),網(wǎng)站服務(wù)器A通過(guò)訪問(wèn)權(quán)限控制模塊27對(duì)該用戶的訪問(wèn)進(jìn)行控制(步驟S607)。
參閱圖7所示,是本發(fā)明UAAS服務(wù)器3統(tǒng)一認(rèn)證授權(quán)服務(wù)的認(rèn)證裝置31的作業(yè)流程圖。首先,認(rèn)證裝置31通過(guò)認(rèn)證請(qǐng)求接收模塊310接收重定向模塊23傳送過(guò)來(lái)的用戶認(rèn)證請(qǐng)求(步驟S701)。然后由認(rèn)證信息判斷模塊311查詢認(rèn)證授權(quán)信息庫(kù)6,判斷是否有該用戶的認(rèn)證信息(步驟S702),若有該用戶的認(rèn)證信息,則結(jié)束該認(rèn)證流程,直接轉(zhuǎn)到授權(quán)裝置進(jìn)行授權(quán)請(qǐng)求(如圖8所示);若沒(méi)有該用戶的認(rèn)證信息,則由認(rèn)證信息產(chǎn)生模塊312生成該用戶的認(rèn)證信息(步驟S703),并由認(rèn)證信息保存模塊313將其保存在認(rèn)證授權(quán)信息庫(kù)6中(步驟S704)。認(rèn)證結(jié)束進(jìn)入授權(quán)流程請(qǐng)求授權(quán)(如圖8所示)。
參閱圖8所示,是本發(fā)明UAAS服務(wù)器3統(tǒng)一認(rèn)證授權(quán)服務(wù)的授權(quán)裝置32之作業(yè)流程圖。首先,由授權(quán)請(qǐng)求接收模塊321接收認(rèn)證裝置31傳過(guò)來(lái)的授權(quán)請(qǐng)求(步驟S801);然后由訪問(wèn)權(quán)限產(chǎn)生模塊322搜索數(shù)據(jù)庫(kù)5,查詢?cè)撚脩羲鶎俚挠脩羧航M,生成屬于該用戶的訪問(wèn)權(quán)限(步驟S802),再由授權(quán)信息產(chǎn)生模塊323產(chǎn)生該用戶的授權(quán)信息(步驟S803),最后,保存該用戶的授權(quán)信息于認(rèn)證授權(quán)信息庫(kù)6中(步驟S804),由授權(quán)信息發(fā)送模塊325將該授權(quán)信息發(fā)送到網(wǎng)站服務(wù)器A(步驟S805)。
權(quán)利要求
1.一種單一認(rèn)證授權(quán)管理系統(tǒng),其可應(yīng)用于多個(gè)應(yīng)用服務(wù)系統(tǒng)的統(tǒng)一認(rèn)證授權(quán),其特征在于,該系統(tǒng)包括有一通用認(rèn)證授權(quán)服務(wù)器,透過(guò)網(wǎng)絡(luò)相連接的多個(gè)客戶端計(jì)算機(jī)及提供不同類型應(yīng)用服務(wù)的多個(gè)應(yīng)用系統(tǒng)服務(wù)器,其中通用認(rèn)證授權(quán)服務(wù)器,其連結(jié)有一數(shù)據(jù)庫(kù)及一認(rèn)證授權(quán)信息庫(kù);應(yīng)用系統(tǒng)服務(wù)器,其用于接收用戶的訪問(wèn)請(qǐng)求,當(dāng)判斷出沒(méi)有該用戶的授權(quán)信息時(shí),將該用戶的訪問(wèn)請(qǐng)求重定向到通用認(rèn)證授權(quán)服務(wù)器;所述通用認(rèn)證授權(quán)服務(wù)器,其包括有一認(rèn)證裝置,用于接收用戶身份認(rèn)證請(qǐng)求及對(duì)用戶進(jìn)行身份認(rèn)證及產(chǎn)生認(rèn)證信息;一授權(quán)裝置,用于接收認(rèn)證裝置傳來(lái)的授權(quán)請(qǐng)求,確認(rèn)用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限,產(chǎn)生授權(quán)信息。
2.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中數(shù)據(jù)庫(kù)用于存儲(chǔ)所有的用戶群組及每一用戶群組擁有的訪問(wèn)權(quán)限。
3.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中認(rèn)證授權(quán)信息庫(kù)用于存儲(chǔ)用戶認(rèn)證信息及用戶授權(quán)信息。
4.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中認(rèn)證信息指用戶的身份標(biāo)識(shí)。
5.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中授權(quán)信息指用戶的有效性身份驗(yàn)證及用戶訪問(wèn)權(quán)限。
6.如權(quán)利要求5所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中有效性身份驗(yàn)證指用戶數(shù)字證書(shū)及用戶帳號(hào)及密碼。
7.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中應(yīng)用系統(tǒng)服務(wù)器包括有一訪問(wèn)請(qǐng)求接收模塊,用于接收客戶端計(jì)算機(jī)發(fā)來(lái)的訪問(wèn)請(qǐng)求;一授權(quán)信息判斷模塊,用于查詢服務(wù)器數(shù)據(jù)庫(kù),判斷是否有該用戶的授權(quán)信息;一重定向模塊,用于當(dāng)授權(quán)信息判斷模塊判斷出該用戶沒(méi)有該應(yīng)用系統(tǒng)服務(wù)器的授權(quán)信息時(shí),將該用戶的訪問(wèn)重定向到通用認(rèn)證授權(quán)服務(wù)器進(jìn)行統(tǒng)一認(rèn)證授權(quán),形成認(rèn)證信息及授權(quán)信息;一授權(quán)信息接收模塊,用于接收通用認(rèn)證授權(quán)服務(wù)器給該用戶的授權(quán)信息;一授權(quán)信息保存模塊,用于將接收到的授權(quán)信息保存到服務(wù)器數(shù)據(jù)庫(kù)中;一權(quán)限發(fā)送模塊,用于將用戶的訪問(wèn)權(quán)限發(fā)送到客戶端計(jì)算機(jī);一訪問(wèn)權(quán)限控制模塊,用于應(yīng)用系統(tǒng)服務(wù)器根據(jù)用戶的訪問(wèn)權(quán)限對(duì)用戶的訪問(wèn)進(jìn)行控制。
8.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中認(rèn)證裝置進(jìn)一步包括一認(rèn)證請(qǐng)求接收模塊,用于接收應(yīng)用系統(tǒng)服務(wù)器發(fā)來(lái)的用戶的認(rèn)證請(qǐng)求;一認(rèn)證信息判斷模塊,用于查詢認(rèn)證授權(quán)信息庫(kù),判斷是否有該用戶的認(rèn)證信息,若已有該用戶的認(rèn)證信息,則轉(zhuǎn)入授權(quán)裝置請(qǐng)求授權(quán);一認(rèn)證信息產(chǎn)生模塊,用于產(chǎn)生該用戶的認(rèn)證信息;一認(rèn)證信息保存模塊,用于將產(chǎn)生的用戶認(rèn)證信息保存在認(rèn)證授權(quán)信息庫(kù)。
9.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中授權(quán)裝置進(jìn)一步包括一授權(quán)請(qǐng)求接收模塊,用于接收認(rèn)證裝置轉(zhuǎn)來(lái)的授權(quán)請(qǐng)求;一訪問(wèn)權(quán)限產(chǎn)生模塊,用于搜索數(shù)據(jù)庫(kù),查詢?cè)撚脩羲鶎俚挠脩羧航M,生成屬于該用戶的訪問(wèn)權(quán)限;一授權(quán)信息產(chǎn)生模塊,用于給用戶產(chǎn)生訪問(wèn)應(yīng)用系統(tǒng)服務(wù)器的授權(quán)信息;一授權(quán)信息保存模塊,用于將產(chǎn)生的授權(quán)信息保存于認(rèn)證授權(quán)信息庫(kù)中;一授權(quán)信息發(fā)送模塊,用于將授權(quán)信息發(fā)送到應(yīng)用系統(tǒng)服務(wù)器。
10.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中該應(yīng)用系統(tǒng)服務(wù)器為網(wǎng)站服務(wù)器。
11.如權(quán)利要求1所述的單一認(rèn)證授權(quán)管理系統(tǒng),其特征在于,其中該應(yīng)用系統(tǒng)服務(wù)器為Client/Server架構(gòu)的應(yīng)用系統(tǒng)服務(wù)器。
12.一種單一認(rèn)證授權(quán)管理方法,其適用于通過(guò)一通用認(rèn)證授權(quán)服務(wù)器,在多個(gè)應(yīng)用系統(tǒng)之間實(shí)現(xiàn)單一認(rèn)證授權(quán),其特征在于,該方法包括如下步驟應(yīng)用系統(tǒng)服務(wù)器接收客戶端計(jì)算機(jī)發(fā)來(lái)的服務(wù)請(qǐng)求;該應(yīng)用系統(tǒng)服務(wù)器判斷是否有該用戶的授權(quán)信息;若沒(méi)有該用戶的授權(quán)信息,則將該用戶的訪問(wèn)請(qǐng)求重定向到通用認(rèn)證授權(quán)服務(wù)器,進(jìn)行認(rèn)證授權(quán),生成認(rèn)證信息及授權(quán)信息;該應(yīng)用系統(tǒng)服務(wù)器接收并保存通用認(rèn)證授權(quán)服務(wù)器對(duì)該用戶的授權(quán)信息;該應(yīng)用系統(tǒng)服務(wù)器發(fā)送授權(quán)信息給該用戶;該應(yīng)用系統(tǒng)服務(wù)器對(duì)該用戶進(jìn)行訪問(wèn)控制。
13.如權(quán)利要求12所述的單一認(rèn)證授權(quán)管理方法,其特征在于,其中認(rèn)證信息指用戶帳號(hào)及用戶密碼。
14.如權(quán)利要求12所述的單一認(rèn)證授權(quán)管理方法,其特征在于,其中授權(quán)信息指用戶的有效性身份驗(yàn)證及用戶訪問(wèn)權(quán)限。
15.如權(quán)利要求14所述的單一認(rèn)證授權(quán)管理方法,其特征在于,其中有效性身份驗(yàn)證指用戶數(shù)字證書(shū)及用戶帳號(hào)及密碼。
16.如權(quán)利要求12所述的單一認(rèn)證授權(quán)管理方法,其特征在于,其中判斷是否有該用戶的授權(quán)信息尚包括一步驟若已經(jīng)有該用戶的授權(quán)信息,則該用戶可直接訪問(wèn)該應(yīng)用系統(tǒng)服務(wù)器。
17.如權(quán)利要求12所述的單一認(rèn)證授權(quán)管理方法,其特征在于,其中在通用認(rèn)證授權(quán)服務(wù)器進(jìn)行統(tǒng)一認(rèn)證授權(quán)包括認(rèn)證過(guò)程和授權(quán)過(guò)程。
18.如權(quán)利要求17所述的單一認(rèn)證授權(quán)管理方法,其特征在于,其中認(rèn)證過(guò)程包括如下步驟通用認(rèn)證授權(quán)服務(wù)器接收應(yīng)用系統(tǒng)服務(wù)器發(fā)來(lái)的某用戶的認(rèn)證請(qǐng)求;該通用認(rèn)證授權(quán)服務(wù)器查詢認(rèn)證授權(quán)信息庫(kù),判斷是否有該用戶的認(rèn)證信息;若沒(méi)有,則生成該用戶的認(rèn)證信息;該通用認(rèn)證授權(quán)服務(wù)器保存該認(rèn)證信息于認(rèn)證授權(quán)信息庫(kù)。
19.如權(quán)利要求18所述的單一認(rèn)證授權(quán)管理方法,其特征在于,其中認(rèn)證過(guò)程尚包括一步驟若認(rèn)證授權(quán)信息庫(kù)中已經(jīng)有該用戶的認(rèn)證信息,則直接進(jìn)入授權(quán)流程。
20.如權(quán)利要求17所述的單一認(rèn)證授權(quán)管理方法,其中授權(quán)過(guò)程包括如下步驟通用認(rèn)證授權(quán)服務(wù)器接收給用戶授權(quán)的請(qǐng)求;該通用認(rèn)證授權(quán)服務(wù)器產(chǎn)生該用戶的訪問(wèn)權(quán)限;產(chǎn)生該用戶的授權(quán)信息;該通用認(rèn)證授權(quán)服務(wù)器保存該授權(quán)信息于認(rèn)證授權(quán)信息庫(kù);該通用認(rèn)證授權(quán)服務(wù)器發(fā)送該授權(quán)信息到應(yīng)用系統(tǒng)服務(wù)器。
全文摘要
本發(fā)明揭露一種單一認(rèn)證授權(quán)管理系統(tǒng)及方法。該系統(tǒng)包括有一通用認(rèn)證授權(quán)服務(wù)器、多個(gè)不同服務(wù)類型的應(yīng)用服務(wù)器、多個(gè)客戶端計(jì)算機(jī)、一認(rèn)證授權(quán)信息庫(kù)及一數(shù)據(jù)庫(kù)。本系統(tǒng)所完成的功能是提供一個(gè)統(tǒng)一的認(rèn)證和授權(quán)服務(wù)接口,對(duì)用戶進(jìn)行集中式登記及進(jìn)行用戶身份驗(yàn)證;對(duì)已認(rèn)證的用戶,根據(jù)其訪問(wèn)權(quán)限對(duì)應(yīng)用服務(wù)進(jìn)行訪問(wèn)控制管理。本發(fā)明可實(shí)現(xiàn)多個(gè)應(yīng)用系統(tǒng)在用戶認(rèn)證和授權(quán)方面的整合。
文檔編號(hào)H04L9/32GK1627683SQ20031011255
公開(kāi)日2005年6月15日 申請(qǐng)日期2003年12月9日 優(yōu)先權(quán)日2003年12月9日
發(fā)明者李忠一, 葉建發(fā), 謝躍書(shū) 申請(qǐng)人:鴻富錦精密工業(yè)(深圳)有限公司, 鴻海精密工業(yè)股份有限公司