基于session機(jī)制的單點(diǎn)登錄方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及軟件應(yīng)用系統(tǒng)開(kāi)發(fā)的單點(diǎn)登錄方法，作用是方便用戶(hù)訪問(wèn)網(wǎng)絡(luò)資源。
【背景技術(shù)】
[0002] 使用單點(diǎn)登錄方法的單點(diǎn)登錄系統(tǒng)整合了過(guò)去分散在各應(yīng)用系統(tǒng)中的信息資源， 為更進(jìn)一步的用戶(hù)個(gè)性化服務(wù)打下了基礎(chǔ)。在多個(gè)應(yīng)用系統(tǒng)中，用戶(hù)只需要登錄一次就可 W訪問(wèn)相互信任的應(yīng)用系統(tǒng)。
[0003] 單點(diǎn)登錄的機(jī)制是；對(duì)于沒(méi)有訪問(wèn)過(guò)的用戶(hù)，第一次登錄時(shí)，首先到登錄系統(tǒng)入口 進(jìn)行登錄的認(rèn)證；對(duì)于登錄用戶(hù)提交的各種信息，登錄系統(tǒng)經(jīng)過(guò)驗(yàn)證，如果該用戶(hù)身份通過(guò) 驗(yàn)證，則登錄系統(tǒng)會(huì)產(chǎn)生一個(gè)有效的身份認(rèn)證的標(biāo)識(shí)返回給用戶(hù)；用戶(hù)即可訪問(wèn)該子系統(tǒng)； 如果該用戶(hù)需要訪問(wèn)其它的子系統(tǒng)的時(shí)候，攜帶著系統(tǒng)返回的身份認(rèn)證標(biāo)識(shí)，請(qǐng)求子系統(tǒng) 訪問(wèn)的權(quán)限，子系統(tǒng)收到請(qǐng)求后，會(huì)對(duì)該用戶(hù)的身份標(biāo)識(shí)進(jìn)行驗(yàn)證，檢查其合法性，如果通 過(guò)了驗(yàn)證，該用戶(hù)可W直接訪問(wèn)該個(gè)應(yīng)用系統(tǒng)。
[0004] 使用單點(diǎn)登錄方法單點(diǎn)登錄系統(tǒng)把原來(lái)自由分散的用戶(hù)進(jìn)行統(tǒng)一的管理，降低了 系統(tǒng)的管理難度。該樣統(tǒng)一的管理，各系統(tǒng)之間通過(guò)信息傳遞來(lái)進(jìn)行用戶(hù)身份的自動(dòng)認(rèn)證。 同時(shí)由于用戶(hù)的信息是集中管理和維護(hù)的，那么管理員的工作量也會(huì)大大的減少。
[0005] 單點(diǎn)登錄的實(shí)現(xiàn)機(jī)制不盡相同，大體分為Cookie機(jī)制和Session機(jī)制兩大類(lèi)。 Cookie是一種客戶(hù)端機(jī)制，本身具有一定的安全局限性和跨域訪問(wèn)局限性。為了保證客 戶(hù)的安全，Cookie文本按域名區(qū)分存儲(chǔ)，Web服務(wù)器就不能讀取其它域存放在客戶(hù)機(jī)的 Cookie文本。如果要實(shí)現(xiàn)基于Cookie的單點(diǎn)登錄，就需要用其它技術(shù)或通訊，使Web服 務(wù)器之間或Web服務(wù)器與認(rèn)證服務(wù)器之間交互信息。Session是一種服務(wù)器端機(jī)制，是記 錄在服務(wù)器端的連接記號(hào)對(duì)象，每個(gè)用戶(hù)與Web服務(wù)器連接都會(huì)產(chǎn)生一個(gè)獨(dú)立的Session 對(duì)象?；赟ession機(jī)制對(duì)于服務(wù)器管理來(lái)說(shuō)是比較理想的。
[0006] 單點(diǎn)登錄系統(tǒng)實(shí)現(xiàn)的目標(biāo)主要有W下幾點(diǎn)。
[0007] 1.從信息的角度看 單點(diǎn)登錄系統(tǒng)減少了信息的重疊，實(shí)現(xiàn)了信息的有效共享。W往不同的應(yīng)用系統(tǒng)中，許 多基礎(chǔ)的信息可能會(huì)存在每個(gè)應(yīng)用系統(tǒng)中，那么就造成了一定的信息重疊。而單點(diǎn)登錄系 統(tǒng)則通過(guò)各子系統(tǒng)間的信息傳遞實(shí)現(xiàn)了不同子系統(tǒng)之間的信息共享。
[0008] 2.從用戶(hù)的角度看 使用單點(diǎn)登錄，減少了重復(fù)的登陸驗(yàn)證，操作方便。用戶(hù)不用每登陸子系統(tǒng)輸入一遍用 戶(hù)信息，而是一次登錄，驗(yàn)證通過(guò)即可通過(guò)各個(gè)子系統(tǒng)的接口訪問(wèn)有權(quán)限的子系統(tǒng)。
[0009] 3.從管理者的角度看 使用單點(diǎn)登錄，減輕了管理的難度，實(shí)現(xiàn)了統(tǒng)一管理。
[0010] 4.從安全的角度看 使用單點(diǎn)登錄，安全性相對(duì)提高。用戶(hù)不必一一記錄每個(gè)應(yīng)用系統(tǒng)的身份信息進(jìn)行登 錄。

【發(fā)明內(nèi)容】

[0011] 基于session機(jī)制的單點(diǎn)登錄方法，解決了多次重復(fù)登錄應(yīng)用系統(tǒng)的問(wèn)題，非常 適用于目前廣泛的中小型應(yīng)用系統(tǒng)，具有很好的安全性、靈活性和可靠性。它操作簡(jiǎn)單，管 理方便且無(wú)需硬件或"第=方"服務(wù)的支持，成本非常低廉。
[0012] 本發(fā)明設(shè)及一種新的單點(diǎn)登錄方法，該方法原理如下。
[0013] 1.單點(diǎn)登錄的方法述過(guò)session共享實(shí)現(xiàn)子系統(tǒng)之間信息的傳遞。
[0014] 2.Session信息對(duì)于不同的客戶(hù)的識(shí)別；session除在服務(wù)器上保存相應(yīng)的信息 夕F，必須對(duì)客戶(hù)端上傳的信息進(jìn)行識(shí)別。而該個(gè)信息來(lái)源于客戶(hù)端的cookie信息，在客戶(hù) 端初次登陸時(shí)，由系統(tǒng)進(jìn)行一個(gè)sessionid的統(tǒng)一分配，而后客戶(hù)端攜帶該信息進(jìn)行訪問(wèn) 時(shí)取出相應(yīng)的sessionid信息，并與服務(wù)器上保存的相應(yīng)的的sessionid進(jìn)行比對(duì)，從而識(shí) 別客戶(hù)端。
[0015] 3.客戶(hù)端信息的記錄；客戶(hù)在保存cookie時(shí)并未真正保存相應(yīng)的sessionid, 該屬性值是存在于瀏覽器進(jìn)程中。而關(guān)閉并重新瀏覽后，cookie雖可上傳，但其中的 sessionid信息已經(jīng)發(fā)生了變化。實(shí)現(xiàn)不同子系統(tǒng)共享session時(shí)，必須要將其cookie信 息的作用域改寫(xiě)為所有域名下，實(shí)現(xiàn)在不同子系統(tǒng)上，同一瀏覽器上傳相同的session信 息（sessionid)。
[0016] 4.session信息生成方式；不同站點(diǎn)中的session信息的產(chǎn)生必須要同步。協(xié)調(diào) 不同的站內(nèi)進(jìn)行相同的session生成機(jī)制。
[0017] 該單點(diǎn)登錄方法的實(shí)現(xiàn)方式如下。
[0018] 1.瀏覽器使用進(jìn)程內(nèi)的session事實(shí)上是由隱形的cookie實(shí)現(xiàn)，利用各站點(diǎn)的 cookie重寫(xiě)技術(shù)，重寫(xiě)cookie的作用域必須為主域（不帶二級(jí)域名）。使cookie在不同 的二級(jí)域名下實(shí)現(xiàn)cookie共享。該技術(shù)用DomainCookie方式實(shí)現(xiàn)，并在web. config等配 置節(jié)中實(shí)現(xiàn)。
[0019] 2.服務(wù)器端使用相同的sessionid分發(fā)，采用直接的數(shù)據(jù)庫(kù)技術(shù)實(shí)現(xiàn)統(tǒng)一。同樣 在web.config等配置文件中實(shí)現(xiàn)。
【具體實(shí)施方式】
[0020] 1.客戶(hù)端需求布署 所需文件，DomainCookie.dll,頂級(jí)域名；sun.com,域名；user.sun.com。
[0021] (1)Web.config文件配置中添加 <httpModules> 配署 <ht1:pModules〉 <addname="Domain"type="DomainCookie.Domain,DomainCookie"/〉 </ht1:pModules〉 說(shuō)明；httpMo化les是入口點(diǎn)，配置后使用請(qǐng)求入口點(diǎn)生效，每個(gè)請(qǐng)求都會(huì)由domaincookie.dll處理，該程序處理時(shí)會(huì)將所有的cookie信息對(duì)于全部域名有效。其中 name是配置名稱(chēng)，標(biāo)識(shí)使用的模塊。Type是配置的程序集。按"類(lèi)名全稱(chēng)，程序集"的方 式布署。
[0022] (2)添加所需要的appsetting屬性 〈appSettings〉 〈add key二"民ootDomain" value二"sun. com"/〉 〈/appsettings〉 說(shuō)明；該配置表示系統(tǒng)中要使用的域名，key的值為dll文件中所需要的變量名稱(chēng)，不 能更改，且必須對(duì)應(yīng)大小寫(xiě)。Value中的值應(yīng)當(dāng)是使用的頂級(jí)域名（又稱(chēng)主域名，根域名）， 不能帶二級(jí)域名的名稱(chēng)。如果當(dāng)前的子系統(tǒng)中用的域名是user.sun.com,這里必須為sun. com,不能是其他。如果改寫(xiě)為其他域名，則cookie無(wú)法帶上來(lái)。
[0023] (3)配置檢驗(yàn) 該配置為保證cookie信息對(duì)所有二級(jí)域名生效。配置完后，建立頁(yè)面測(cè)試，向cookie中寫(xiě)入任意一個(gè)cookie值。
[0024] 然后讓其再進(jìn)行求請(qǐng)獲得cookie,并獲得cookie中的domain屬性，配置成功 后能取到cookie,且其domain屬性為appsettings中所設(shè)置的一樣。不得為二級(jí)域名如 user.sun.com。否則配置失敗。
[00巧]2.服務(wù)端需求布署 數(shù)據(jù)庫(kù)實(shí)例；用戶(hù)名為Sessioner，密碼為123456。
[002引配置步驟： (1)先測(cè)試一下數(shù)據(jù)庫(kù) 請(qǐng)使用用戶(hù)名Sessioner，密碼為123456,確認(rèn)數(shù)據(jù)庫(kù)連接成功。
[0027] (2)配置web. config <sessionStatemode="SQLServer"sqlConnectionString="server=127. 0. 0. 1;uid=Sessioner;pwd=123456;"/〉 3.子系統(tǒng)權(quán)限認(rèn)證方案 (1)用戶(hù)均通過(guò)中屯、認(rèn)證，調(diào)用接口LoginSystem,傳UserName,TimeStamp,VerifyCode，及相應(yīng)的認(rèn)證有時(shí)間TimeSpan。
[0028] (2)各子系統(tǒng)間共享session,如果登陸失敗時(shí)，提示向中屯、認(rèn)證。
[0029] (3)各子系統(tǒng)間的用戶(hù)信息通過(guò)session變量進(jìn)行傳遞。
[0030] (4)登陸參數(shù)設(shè)置。
[0031] 表1登陸上行參數(shù)
【主權(quán)項(xiàng)】
1. 基于session機(jī)制的單點(diǎn)登錄方法(在后面的敘述中簡(jiǎn)稱(chēng)為單點(diǎn)登錄方法)，其特征 在于，包括該方法的原理、參數(shù)和技術(shù)實(shí)現(xiàn)。
2. 根據(jù)權(quán)利要求1所述的單點(diǎn)登錄方法，其特征在于，該單點(diǎn)登錄方法適用于各自功 能獨(dú)立的應(yīng)用系統(tǒng)，各個(gè)子系統(tǒng)可以獨(dú)立開(kāi)發(fā)。
3. 根據(jù)權(quán)利要求1至2所述的單點(diǎn)登錄方法，其特征在于，使用該方法的應(yīng)用系統(tǒng)的不 同子系統(tǒng)可以獨(dú)立部署，并且各自通過(guò)調(diào)用接口訪問(wèn)不同子系統(tǒng)信息資源，應(yīng)用程序中的 不同子系統(tǒng)通過(guò)session實(shí)現(xiàn)信息傳遞。
4. 根據(jù)權(quán)利要求1至3所述的單點(diǎn)登錄方法，其特征在于，session信息對(duì)于不同客戶(hù) 的識(shí)別：當(dāng)客戶(hù)在客戶(hù)端進(jìn)行初次登陸時(shí)，由服務(wù)器端進(jìn)行一個(gè)sessionid的統(tǒng)一分配，之 后客戶(hù)端攜帶該信息進(jìn)行訪問(wèn)時(shí)與數(shù)據(jù)庫(kù)中的信息進(jìn)行比對(duì)，從而識(shí)別客戶(hù)端。
5. 根據(jù)權(quán)利要求1至4所述的單點(diǎn)登錄方法，其特征在于，實(shí)現(xiàn)不同子系統(tǒng)共享 session時(shí)，必須要將其cookie信息的作用域改寫(xiě)為所有域名下，實(shí)現(xiàn)在不同子系統(tǒng)上，同 一瀏覽器上傳相同的session信息（sessionid)。
6. 根據(jù)權(quán)利要求1至5所述的單點(diǎn)登錄方法，其特征在于，不同子系統(tǒng)中的session信 息的產(chǎn)生必須要同步，協(xié)調(diào)不同的子系統(tǒng)內(nèi)進(jìn)行相同的session生成機(jī)制。
7. 根據(jù)權(quán)利要求1至6所述的單點(diǎn)登錄方法，其特征在于，在用戶(hù)中心為所有子系統(tǒng) 提供用戶(hù)驗(yàn)證服務(wù)，用戶(hù)在用戶(hù)中心登錄，調(diào)用登錄系統(tǒng)接口傳入?yún)?shù)，認(rèn)證成功時(shí)，使用 session變量存儲(chǔ)用戶(hù)信息。
8. 根據(jù)權(quán)利要求1至7所述的單點(diǎn)登錄方法，瀏覽器使用進(jìn)程內(nèi)的session事實(shí)上是 由隱形的cookie實(shí)現(xiàn)，利用各站點(diǎn)的cookie重寫(xiě)技術(shù)，重寫(xiě)cookie的作用域。
9. 根據(jù)權(quán)利要求1至8所述的單點(diǎn)登錄方法，其特征在于，重寫(xiě)cookie的作用域必須 為主域（不帶二級(jí)域名），使cookie在不同的二級(jí)域名下實(shí)現(xiàn)cookie共享。
【專(zhuān)利摘要】本發(fā)明涉及一種基于session機(jī)制的單點(diǎn)登錄方法，本發(fā)明的作用是解決了多次重復(fù)登錄應(yīng)用系統(tǒng)的問(wèn)題，在多個(gè)應(yīng)用系統(tǒng)中，用戶(hù)只需要登錄一次就可以訪問(wèn)相互信任的應(yīng)用系統(tǒng)。在本發(fā)明中，單點(diǎn)登錄的方法，通過(guò)session共享實(shí)現(xiàn)子系統(tǒng)之間信息的傳遞。信息共享的關(guān)鍵在于對(duì)于不同的客戶(hù)的識(shí)別，對(duì)客戶(hù)端攜帶的信息與服務(wù)器上保存相應(yīng)的信息進(jìn)行比對(duì)，從而識(shí)別客戶(hù)端。實(shí)現(xiàn)不同子系統(tǒng)共享session時(shí)，必須要將其cookie信息的作用域改寫(xiě)為所有域名下，實(shí)現(xiàn)在不同子系統(tǒng)上，同一瀏覽器上傳相同的session信息。
【IPC分類(lèi)】H04L29-08, H04L9-32, H04L29-06
【公開(kāi)號(hào)】CN104836803
【申請(qǐng)?zhí)枴緾N201510201212
【發(fā)明人】孫艷艷, 耿小媛, 孫踐知
【申請(qǐng)人】北京工商大學(xué)
【公開(kāi)日】2015年8月12日
【申請(qǐng)日】2015年4月24日