[发明专利]一种企业级的正反向级联认证方法及系统

权利要求书

1.一种企业级的正反向级联认证方法，其特征在于，包括以下步骤：

步骤S100：本地申请级联授权票：统一门户向二级CAS服务端为业务应用申请级联授权票，二级CAS服务端验证请求的合法性以及用户授权范围，若授权合法，则响应用户对应的短时间有效的级联授权票；否则，拒绝请求；

步骤S200：跨域身份核实：统一门户携带级联授权票向一级CAS服务端发起合法性验证，一级CAS服务端首先检查请求数据的完整性，若不完整，则抛弃该请求，并给出提示信息，否则，一级CAS服务端基于级联授权票进行互信认证，验证通过后，一级CAS服务端基于响应用户的级联编码匹配本地用户并检查用户状态，若获取到正常的用户，则一级CAS服务端为业务应用颁发一次性单点票据；否则终止请求，并给出提示信息；

步骤S300：业务应用完成单点登录：业务应用携带一次性单点票据访问自身后台，应用后台基于一次性单点票据到一级CAS服务端进行验证；一级CAS服务端判断一次性单点票据是否合法，若合法，则为业务应用响应当前身份信息；业务用户后台获取到身份信息后，缓存用户信息并生成自身的会话内容，完成用户登录。

2.根据权利要求1所述的一种企业级的正反向级联认证方法，其特征在于，针对认证域之间可内部互通且网络良好的情况，基于Oauth协议进行正反向级联，所述步骤S100中级联授权票为授权码。

3.根据权利要求2所述的一种企业级的正反向级联认证方法，其特征在于，基于授权码的正反向级联认证包括以下步骤：

第一步：统一门户为业务应用申请访问授权码：

用户在统一门户中点击需要访问的一级业务应用，统一门户凭借自身授权信息以及业务应用信息，到二级CAS服务端申请授权码；二级CAS服务端确认当前申请是合法状态，若合法，则为统一门户颁发授权码并将其返回给统一门户；

第二步：统一门户向一级CAS服务端发起级联认证：

统一门户根据获取到的授权码，通过应用ID以及业务应用的回跳地址，二级CAS服务端验证地址，向一级CAS服务端发起提交请求；一级CAS服务端接收到请求，需要确认请求中的参数是否合法，若合法，则基于验票地址以及授权码，对授权码进行合法验证；若授权码合法，则通过验票地址获取到级联用户身份信息，基于级联身份获取本地真实用户信息；一级CAS服务端为需要登录的业务应用地址，颁发一次性单点票据，并重定向到业务应用同时携带单点票据。

4.根据权利要求2所述的一种企业级的正反向级联认证方法，其特征在于，所述一级CAS服务端预先在二级CAS服务端中进行注册，并颁发相应的证书信息，在双方通信的过程中基于证书先行确认。

5.根据权利要求1所述的一种企业级的正反向级联认证方法，其特征在于，针对无法实现内部互通或者内部互通网络差的情况，基于JWT协议进行正反向级联，通过对跨域之间的认证服务身份验证以及级联身份的解析，实现可信的身份认证互通，所述步骤S100中级联授权票为级联身份票。

6.根据权利要求5所述的一种企业级的正反向级联认证方法，其特征在于，基于级联身份票的正反向级联认证包括以下步骤：

第一步：统一门户为业务应用申请级联身份票：

用户在统一门户中点击需要访问的一级业务应用，统一门户凭借自身授权信息以及业务应用信息，到二级CAS服务端申请级联身份票；二级CAS服务端确认当前申请是否为合法状态，若合法，则为门户颁发级联身份票并将其返回给统一门户；

第二步：统一门户向一级CAS服务端发起级联认证：

统一门户持有级联身份票以及二级CAS服务端的身份票，统一门户根据获取到的级联身份票信息，通过应用ID以及业务应用的回跳地址，向一级CAS服务端发起提交请求；一级CAS服务端接收到请求，需要确认请求中的参数是否合法；若参数合法，则首先验证应用身份信息是否匹配，若匹配，则解析当前级联身份票；一级CAS服务端通过解析级联身份票获取到级联用户身份信息，基于级联身份获取本地真实用户信息；一级CAS服务端为需要登录的业务应用地址颁发一次性单点票据，并重定向到业务应用同时携带一次性单点票据。