一種云統(tǒng)一認證方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種云統(tǒng)一認證方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的應(yīng)用越來越普及,信息安全也越來越重要。目前身份管理領(lǐng)域中,訪問安全控制是非常核心的一個領(lǐng)域,單點登錄應(yīng)用是訪問安全控制中最常見的一種登錄方式。單點登陸應(yīng)用系統(tǒng)有以下問題,企業(yè)資源充分依賴于Agent作為攔截器,Agent是客戶端的訪問性能瓶頸;該系統(tǒng)面向終端用戶的,不能針對應(yīng)用服務(wù)器使用;該系統(tǒng)中的IDP,即身份認證點往往都是在一個物理位置,導(dǎo)致該處的訪問很集中,從而導(dǎo)致用戶體驗因為地理位置和網(wǎng)絡(luò)網(wǎng)絡(luò)位置不同而有很大差異;該系統(tǒng)是集中式部署,即使做災(zāi)備也無法做到雙活。
【發(fā)明內(nèi)容】
[0003]鑒于目前信息安全技術(shù)領(lǐng)域存在的上述不足,本發(fā)明提供一種云統(tǒng)一認證方法及系統(tǒng),能夠在就近認證中心進行云認證,實現(xiàn)了多節(jié)點云統(tǒng)一認證。
[0004]為達到上述目的,本發(fā)明的實施例采用如下技術(shù)方案:
[0005]一種云統(tǒng)一認證方法,所述云統(tǒng)一認證方法包括以下步驟:
[0006]建立認證中心節(jié)點;
[0007]判斷用戶的應(yīng)用訪問請求是否具有Token ;
[0008]若沒有Token則向最近節(jié)點的認證中心請求Token ;
[0009]認證中心通過該Token請求并對返回的Token進行節(jié)點標記;
[0010]若有Token則向最近節(jié)點的認證中心發(fā)起Token驗證請求;
[0011]由發(fā)出該Token的源節(jié)點認證中心進行Token校驗;
[0012]根據(jù)校驗結(jié)果決定是否讓用戶訪問應(yīng)用。
[0013]依照本發(fā)明的一個方面,所述建立認證中心節(jié)點包括以下步驟:建立多個由認證路由模塊和訪問控制模塊組成的認證中心節(jié)點。
[0014]依照本發(fā)明的一個方面,所述步驟若沒有Token則向最近節(jié)點的認證中心請求Token具體可為:由發(fā)出應(yīng)用訪問請求的客戶端去最近認證中心的認證路由模塊請求Token,再由認證路由模塊通過訪問訪問控制模塊內(nèi)層Jar包,代替請求方請求Token。
[0015]依照本發(fā)明的一個方面,所述由發(fā)出應(yīng)用訪問請求的客戶端去認證路由模塊請求Token執(zhí)行時,需要傳遞用戶的用戶名和密碼。
[0016]依照本發(fā)明的一個方面,所述步驟認證中心通過該Token請求并對返回的Token進行節(jié)點標記具體可為:由訪問控制模塊認證該Token請求,通過認證后將Token發(fā)給認證路由模塊并由認證路由模塊在添加節(jié)點標記后返回。
[0017]依照本發(fā)明的一個方面,所述步驟若有Token則向最近節(jié)點的認證中心發(fā)起Token驗證請求具體為:由被訪問應(yīng)用向其最近節(jié)點的認證路由模塊發(fā)起Token驗證請求。
[0018]依照本發(fā)明的一個方面,所述步驟由發(fā)出該Token的源節(jié)點的認證中心進行Token校驗包括以下步驟:由認證路由模塊根據(jù)該Token的節(jié)點標記進行源節(jié)點判斷,然后去除該Token的節(jié)點標記,之后由認證路由模塊去發(fā)出發(fā)出該Token的源節(jié)點的認證中心的訪問控制模塊進行Token校驗。
[0019]依照本發(fā)明的一個方面,所述云統(tǒng)一認證方法還包括以下步驟:采用LDAP服務(wù)器存儲所有認證票據(jù)信息。
[0020]依照本發(fā)明的一個方面,所述步驟根據(jù)校驗結(jié)果決定是否讓用戶訪問應(yīng)用包括以下步驟:由認證中心將校驗結(jié)果返回的用戶要訪問的應(yīng)用,由應(yīng)用根據(jù)校驗結(jié)果判斷該Token是否有效,若該Token有效,則允許用戶訪問且認證中心將該Token的有效期一并發(fā)給被訪問應(yīng)用。
[0021]—種云統(tǒng)一認證系統(tǒng),所述云統(tǒng)一認證系統(tǒng)包括:
[0022]客戶端,用于判斷用戶的應(yīng)用訪問請求是否具有Token、發(fā)出Token請求、發(fā)出Token驗證和發(fā)出應(yīng)用訪問請求;
[0023]認證中心節(jié)點,包括認證路由模塊和訪問控制模塊,用于發(fā)放Token及對Token進行校驗;
[0024]應(yīng)用端,用于被用戶訪問。
[0025]本發(fā)明實施的優(yōu)點:本發(fā)明所述的云統(tǒng)一認證方法通過建立由認證路由模塊和訪問控制模塊組成的認證中心節(jié)點、客戶端判斷用戶的應(yīng)用訪問請求是否具有Token、若沒有Token則由客戶端向最近節(jié)點的認證中心請求Token、認證中心通過該Token請求并對返回給客戶端的Token進行節(jié)點標記、若有Token則由被訪問應(yīng)用向最近節(jié)點的認證中心發(fā)起Token驗證請求、由認證路由模塊去發(fā)出該Token的源節(jié)點的訪問控制模塊進行Token校驗、認證中心將校驗結(jié)果返回被訪問應(yīng)用并由被訪問應(yīng)用根據(jù)校驗結(jié)果決定是否讓客戶端訪問的方案,實現(xiàn)了云統(tǒng)一認證,各處的客戶端申請Token時,只需要就近申請Token,而無需關(guān)心認證中心所在位置;被訪問應(yīng)用驗證Token時,只需要和就近認證中心校驗Token即可,而無需知道Token實際是哪里頒發(fā);所有認證中心節(jié)點均是活動狀態(tài),即任何一個認證中心因為各種原因宕機也不會影響任何用戶使用。
【附圖說明】
[0026]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0027]圖1為本發(fā)明所述的一種云統(tǒng)一認證方法實施例一的方法不意圖;
[0028]圖2為本發(fā)明所述的一種云統(tǒng)一認證系統(tǒng)的結(jié)構(gòu)不意圖;
[0029]圖3為本發(fā)明所述的一種云統(tǒng)一認證方法實施例二的方法示意圖。
【具體實施方式】
[0030]下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0031]一種云統(tǒng)一認證方法實施例一
[0032]如圖1所示,一種云統(tǒng)一認證方法,所述云統(tǒng)一認證方法包括以下步驟:
[0033]步驟S1:建立認證中心節(jié)點;
[0034]所述步驟S1建立認證中心節(jié)點,在具體實施時,是建立若干個由認證路由模塊和訪問控制模塊組成的認證中心節(jié)點,所述認證中心節(jié)點通過互聯(lián)網(wǎng)與客戶端和應(yīng)用端相連。因為分建了若干個認證中心節(jié)點,所有認證中心節(jié)點都處于活動狀態(tài),任何一個認證中心節(jié)點出現(xiàn)問題時,也不會出現(xiàn)全體癱瘓的情況,從而不會影響任何用戶使用。
[0035]步驟S2:判斷用戶的應(yīng)用訪問請求是否具有Token ;
[0036]所述步驟S2判斷用戶的應(yīng)用訪問請求是否具有Token的【具體實施方式】可為:當(dāng)用戶通過客戶端發(fā)起訪問應(yīng)用的請求時,客戶端根據(jù)用戶的用戶名和密碼進行判斷,判斷用戶是否具有Token。若沒有Token,則執(zhí)行步驟S3,若有Token,則執(zhí)行步驟S5。
[0037]步驟S3:若沒有Token則向最近節(jié)點的認證中心請求Token ;
[0038]所述步驟S3若沒有Token則向最近節(jié)點的認證中心請求Token的【具體實施方式】可為:由客戶端去最近認證中心的認證路由模塊請求Token,再由認證路由模塊通過訪問訪問控制模塊內(nèi)層Jar包,代替請求方客戶端來請求Token,其中,客戶端需要傳遞用戶的用戶名和密碼給認證路由模塊來進行Token申請。
[0039]步驟S4:認證中心通過該Token請求并對返回的Token進行節(jié)點標記;
[0040]在步驟S3執(zhí)行完后,執(zhí)行步驟S4認證中心通過該Token請求并對返回的Token進行節(jié)點標記,其【具體實施方式】可為:由訪問控制模塊認證該Token請求,在通過認證后,將Token發(fā)給認證路由模塊并由認證路由模塊添加節(jié)點標記,然后返回給客戶端。
[0041]步驟S5:若有Token則向最近節(jié)點的認證中心發(fā)起Token驗證請求;
[0042]所述步驟S5若有Token則向最近節(jié)點的認證中心發(fā)起Token驗證請求的【具體實施方式】可為:被訪問應(yīng)用向其最近節(jié)點的認證路由模塊發(fā)起Token驗證請求,然后執(zhí)行步驟S6。
[0043]步驟S6:由發(fā)出該Token的源節(jié)點的認證中心進行Token校驗;
[0044]所述步驟S6由發(fā)出該Token的源節(jié)點的認證中心進行Token校驗的【具體實施方式】可為:由認證路由模塊根據(jù)該Token的節(jié)點標記判斷該Token的發(fā)放源節(jié)點,然后去該Token的源節(jié)點的認證中心的訪問控制模塊進行該Token校驗,由該認證中心進行Token校驗。
[0045]其中,在由認證路由模塊根據(jù)該Token的節(jié)點標記判斷該Token的發(fā)放源節(jié)點執(zhí)行完后,需執(zhí)行以下步驟:由認證路由模塊去除該Token的節(jié)點標記。
[0046]步驟S7:根據(jù)校驗結(jié)果決定是否讓用戶訪問應(yīng)用;
[0047]所述步驟S7根據(jù)校驗結(jié)果決定是否讓用戶訪問應(yīng)用的【具體實施方式】可為:在訪問控制模塊進行完Token校驗后,將校驗結(jié)果返回認證路由模塊,然后由認證路由模塊將校驗結(jié)果返回到發(fā)起Token校驗的被訪問應(yīng)用,然后由被訪問應(yīng)用根據(jù)校驗結(jié)果決定是否讓客戶端的用戶進行訪問。
[0048]其中,若是校驗結(jié)果為Token有效,也就是允許用戶進行訪問,則由認證中心的訪問控制模塊將該Token的有效期一并發(fā)給被訪問應(yīng)用。
[0049]在實際應(yīng)用中,所有認證票據(jù)信息的存儲是通過LDAP服務(wù)器來進行的,也