互信應(yīng)用系統(tǒng)間身份認(rèn)證系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)應(yīng)用學(xué)科領(lǐng)域�,尤其是互信應(yīng)用系統(tǒng)間身份認(rèn)證系統(tǒng)。
【背景技術(shù)】
[0002]隨著全球信息化和Internet技術(shù)的迅速發(fā)展��,系統(tǒng)間的相互協(xié)作越來(lái)越多��,統(tǒng)一管理互信應(yīng)用系統(tǒng)是全球信息化發(fā)展的必然趨勢(shì)��。統(tǒng)一管理互信應(yīng)用系統(tǒng)能夠提供或整合互信應(yīng)用系統(tǒng)內(nèi)部的多種信息系統(tǒng)����,并以統(tǒng)一的用戶界面方式提供給用戶,為企業(yè)的管理者��、應(yīng)用提供商和用戶提供統(tǒng)一的服務(wù)接入點(diǎn)。
[0003]目前計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中采用單點(diǎn)登錄(Single Sign_On��,簡(jiǎn)稱SSO)模型��,解決用戶在互信應(yīng)用系統(tǒng)之間一次登錄就能訪問(wèn)其他授權(quán)的應(yīng)用系統(tǒng)的問(wèn)題�����。單點(diǎn)登錄認(rèn)證有許多優(yōu)越性�,使用戶不必記下過(guò)多的登錄口令,間接減少了口令泄露的幾率���;減少了用戶等待返回認(rèn)證結(jié)果的時(shí)間,促進(jìn)工作效率的提升�����;能夠提高應(yīng)用系統(tǒng)的安全性��,減少安全風(fēng)險(xiǎn)�。
[0004]身份認(rèn)證就是證實(shí)用戶真實(shí)身份的真實(shí)性。在現(xiàn)實(shí)系統(tǒng)中��,每個(gè)成員都有一個(gè)與之對(duì)應(yīng)的數(shù)字身份����,憑借它來(lái)防止非法用戶通過(guò)身份欺詐訪問(wèn)系統(tǒng)資源���。身份認(rèn)證中常用的安全技術(shù)包括密碼技術(shù)、消息摘要����、數(shù)字簽名和數(shù)字證書(shū)等。
[0005]安全的身份認(rèn)證是所有應(yīng)用系統(tǒng)的入口�����,統(tǒng)一管理平臺(tái)所整合的互信應(yīng)用系統(tǒng)往往具有相對(duì)獨(dú)立的身份認(rèn)證和授權(quán)機(jī)制�����,這使得軟件平臺(tái)和用戶必須面對(duì)安全機(jī)制的多樣性和異構(gòu)性�,從而導(dǎo)致用戶身份嚴(yán)重不一致,用戶信息無(wú)法統(tǒng)一�����,系統(tǒng)授權(quán)管理復(fù)雜等問(wèn)題�����。因此研宄設(shè)計(jì)出一種有效的、實(shí)用的且具有安全強(qiáng)度的互信應(yīng)用系統(tǒng)間身份認(rèn)證方法�����,具有重要的現(xiàn)實(shí)意義����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明要解決的技術(shù)問(wèn)題在于針對(duì)現(xiàn)有技術(shù)中的缺陷,提供一種互信應(yīng)用系統(tǒng)間身份認(rèn)證系統(tǒng)��。
[0007]本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是:一種互信應(yīng)用系統(tǒng)間身份認(rèn)證系統(tǒng)����,包括:
用戶管理模塊,用于保存和維護(hù)用戶信息��,所述用戶信息包括用戶注冊(cè)的賬號(hào)和密碼信息�;
登錄驗(yàn)證模塊�����,用于驗(yàn)證由應(yīng)用系統(tǒng)A發(fā)出的用戶賬號(hào)和密碼的有效性�;若驗(yàn)證通過(guò),將賬號(hào)和密碼和應(yīng)用系統(tǒng)A的標(biāo)識(shí)包裝為票根TGT (Ticket Granting Ticket)��,并返回該票根TGT給應(yīng)用系統(tǒng)A ;應(yīng)用系統(tǒng)A為用戶注冊(cè)的應(yīng)用系統(tǒng);
所述應(yīng)用系統(tǒng)A的標(biāo)識(shí)為系統(tǒng)A的appKey和appSecret �;
獲取票據(jù)模塊,用于根據(jù)應(yīng)用系統(tǒng)A發(fā)送的用戶票根TGT�����、應(yīng)用系統(tǒng)A的標(biāo)識(shí)信息appKey和appSecret����、用戶需要訪問(wèn)的第三方互信應(yīng)用系統(tǒng)B的服務(wù)URL包裝為訪問(wèn)應(yīng)用系統(tǒng)A的票據(jù)ST (Service Ticket),并返回ST給應(yīng)用系統(tǒng)A ;
其中應(yīng)用系統(tǒng)A和應(yīng)用系統(tǒng)B為互信系統(tǒng)�����,所述各互信應(yīng)用系統(tǒng)以appKey作為自身的唯一標(biāo)識(shí)�,各互信應(yīng)用系統(tǒng)通過(guò)標(biāo)識(shí)信息appKey和appSecret確認(rèn)對(duì)方身份,appSecret是與appKey對(duì)應(yīng)的一個(gè)密鑰���;
驗(yàn)證票據(jù)模塊���,用于根據(jù)應(yīng)用系統(tǒng)B提交的票據(jù)ST及應(yīng)用系統(tǒng)B的標(biāo)識(shí)信息appKey和appSecret驗(yàn)證票據(jù)ST的有效性;認(rèn)證后�����,向應(yīng)用系統(tǒng)B返回允許用戶訪問(wèn)或禁止用戶訪問(wèn)信息;所述應(yīng)用系統(tǒng)B提交的票據(jù)ST由應(yīng)用系統(tǒng)A提交給應(yīng)用系統(tǒng)B ;
退出登錄模塊���,用于銷毀登錄驗(yàn)證模塊中利用賬號(hào)和密碼包裝的票根TGT�。
[0008]按上述方案����,所述用戶管理模塊、登錄驗(yàn)證模塊�����、獲取票據(jù)模塊�、驗(yàn)證票據(jù)模塊、退出登錄模塊均采用Restful Web Services架構(gòu)����。
[0009]采用Restful Web Services架構(gòu)顯著的優(yōu)勢(shì)是:1)統(tǒng)一接口,就是指REST通過(guò)統(tǒng)一的鏈接接口對(duì)相應(yīng)資源進(jìn)行操作���,這里的資源是指REST將網(wǎng)絡(luò)上所有的信息都抽取成為某種資源��。REST以URI來(lái)確定資源,其充分地發(fā)揮了 HTTP本身具備的分布式特性���,將HTTP提供的四種基本方法(GET��、POST�����、PUT及DELETE)分別對(duì)應(yīng)資源的一種操作(查詢�、創(chuàng)建、修改及刪除)����;2)無(wú)狀態(tài)性,即要求通信必須建立在無(wú)狀態(tài)的基礎(chǔ)之上����,也就是每次request請(qǐng)求應(yīng)該包含此次請(qǐng)求的所有信息。這樣當(dāng)此次request請(qǐng)求出現(xiàn)局部錯(cuò)誤時(shí)�����,不會(huì)涉及到request歷史�����,只需對(duì)當(dāng)前的request進(jìn)行相應(yīng)的處理即可���。同時(shí)�����,這樣也有利于對(duì)資源的釋放�����。當(dāng)然����,這是在需要發(fā)送相應(yīng)的重復(fù)數(shù)據(jù)開(kāi)銷的基礎(chǔ)上得到的,有時(shí)會(huì)對(duì)效率產(chǎn)生影響�。
[0010]按上述方案,所述用戶管理模塊提供包括用戶注冊(cè)服務(wù)�����、修改用戶信息服務(wù)��、用戶查詢服務(wù)和用戶刪除服務(wù)在內(nèi)的功能�����。
[0011]按上述方案,所述登錄驗(yàn)證模塊���、獲取票據(jù)模塊、驗(yàn)證票據(jù)模塊�����、退出登錄模塊中����,在各互信應(yīng)用系統(tǒng)間傳遞票據(jù)均使用單點(diǎn)登錄系統(tǒng)中的票據(jù)機(jī)制。
[0012]傳遞票據(jù)的過(guò)程包括:登錄驗(yàn)證模塊提交賬號(hào)���、密碼�、所屬應(yīng)用系統(tǒng)標(biāo)識(shí)到認(rèn)證系統(tǒng)��,獲取綁定用戶信息的TGT (Ticket Granting Ticket)票根�����;獲取票據(jù)模塊提交TGT票根��、所訪問(wèn)應(yīng)用系統(tǒng)標(biāo)識(shí)到認(rèn)證系統(tǒng)��,獲取訪問(wèn)應(yīng)用系統(tǒng)票據(jù)ST (Service Ticket);驗(yàn)證票據(jù)模塊提交票據(jù)ST�、應(yīng)用系統(tǒng)標(biāo)識(shí)到認(rèn)證系統(tǒng)���,驗(yàn)證用戶是否具有訪問(wèn)權(quán)限;退出登錄模塊銷毀TGT���。
[0013]按上述方案���,所述每個(gè)應(yīng)用系統(tǒng)配備的標(biāo)識(shí)appKey為互信應(yīng)用系統(tǒng)間的唯一標(biāo)識(shí),身份認(rèn)證系統(tǒng)與各應(yīng)用系統(tǒng)共享該標(biāo)識(shí)信息��。
[0014]按上述方案����,所述獲取票據(jù)模塊產(chǎn)生的票據(jù)ST有效期為60秒,并在驗(yàn)證票據(jù)模塊中驗(yàn)證成功后即失效��。
[0015]本發(fā)明產(chǎn)生的有益效果是:
1.互信應(yīng)用系統(tǒng)間的身份認(rèn)證采用票據(jù)機(jī)制�����,票據(jù)在應(yīng)用系統(tǒng)間的傳遞和共享不會(huì)使用戶的賬號(hào)和密碼等敏感信息明文傳遞��,即互信應(yīng)用系統(tǒng)間無(wú)需使用用戶的賬號(hào)和密碼就可以完成身份認(rèn)證��。
[0016]2.互信應(yīng)用系統(tǒng)間的身份認(rèn)證方法采用Restful Web Services架構(gòu),通過(guò)URL就可以定位相應(yīng)REST資源�,并對(duì)其進(jìn)行相應(yīng)的CRUD操作,使信息資源的處理變得更加簡(jiǎn)單�,使用HTTPS協(xié)議保證認(rèn)證過(guò)程的安全性。因此�,C/S架構(gòu)�����、B/S架構(gòu)軟件均可使用該認(rèn)證系統(tǒng)完成互信應(yīng)用系統(tǒng)間的身份認(rèn)證����。
【附圖說(shuō)明】
[0017]下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明,附圖中:
圖1是本發(fā)明實(shí)施例的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0018]為了使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合實(shí)施例����,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解��,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明���,并不用于限定本發(fā)明�����。
[0019]如圖1所示���,一種互信應(yīng)用系統(tǒng)間身份認(rèn)證系統(tǒng)��,包括:
用戶管理模塊�,用于保存和維護(hù)用戶信息���,所述用戶信息包括用戶注冊(cè)的賬號(hào)和密碼信息��;
用戶管理模塊提供包括用戶注冊(cè)服務(wù)��、修改用戶信息服務(wù)����、用戶查詢服務(wù)和用