一种实现web单点登录的方法及装置制造方法及图纸

本发明专利技术公开了一种实现web单点登录方法及装置，方法为，将客户端的代理服务器预设为堡垒机，通过该堡垒机为该客户端设置跨域访问cookie信息，当客户端需要进行单点登录时，直接向堡垒机发送该跨域访问cookie信息，客户端仅根据堡垒机发送的包含用户信息的响应数据包即可实现单点登录，无须在客户端中安装专用登录系统，有效降低了实现单点登录过程的复杂度；并且，客户端仅通过跨域访问cookie信息以及响应数据包实现单点登录，对客户端浏览器没有任何限制，能够适用于各种能够解析上述跨域访问cookie信息以及响应数据包的浏览器，适用性强。

【技术实现步骤摘要】
一种实现web单点登录的方法及装置
本专利技术涉及网络安全领域，尤其涉及一种实现web单点登录的方法及装置。
技术介绍
堡垒机是一种运维安全审计系统，其主要的功能是单点登录、帐号管理、资源授权和操作审计。堡垒机通过对常用的运维协议(如RDP、VNC、HTTP等)采用协议代理的方式，切断了运维人员对服务器的直接访问；具体的，运维人员对服务器进行的所有运维操作都需要经过堡垒机进行。堡垒机将运维人员的操作记录至日志文件中，供审计人员进行安全审计和追责。由此可见，通过堡垒机能够实现单点登录功能，其中，单点登录是指在应用系统中，用户只需要登录一次即可访问所有相互信任的应用系统。采用单点登录方式，能够简化账号登录过程，保护账号和密码的安全，以及便于对账号的统一管理。目前，堡垒机实现单点登录的过程为：在客户端安装专用登录系统(软件)，在该专用登录系统中配置目的web服务器的登录信息，如用户名、密码、登录按钮等；当专用登录系统检测到用户需要访问的目标web服务器时，专用登录系统即启动IE(InternetExplorer；网络探路者)浏览器，在IE浏览器中访问目的web服务器；并由专用登录系统进行用户名密码代填，实现单点登录过程。专用登录系统与IE浏览器之间的信息交互通过浏览器的OLE(ObjectLinkingandEmbedding；对象连接与嵌入)自动化接口实现。OLE技术仅支持IE内核的浏览器，不能支持其他浏览器；并且，采用上述单点登录方式，需要在客户端安装软件，实现过程较为复杂。综上所述，现有技术中，采用堡垒机实现单点登录方式存在实现复杂度高以及适用范围小的问题。
技术实现思路
本专利技术实施例提供一种实现web单点登录的方法及装置，用以解决现有技术中的单点登录方式存在实现复杂度高以及适用范围小的问题。本专利技术实施例提供的具体技术方案如下：一种实现web单点登录的方法，应用于基于堡垒机的系统架构，所述基于堡垒机的系统包括客户端、目的web服务器、以及具备代理服务功能的堡垒机，所述方法包括：所述堡垒机接收客户端发送的目的web服务器访问请求；其中，所述目的web服务器访问请求中携带跨域访问cookie信息，且所述跨域访问cookie信息由所述堡垒机根据在本地的目的web服务器的管理界面中预先设置的所述目的web服务器的服务器信息生成；所述客户端为将所述堡垒机作为代理服务器的客户端；所述堡垒机根据所述跨域访问cookie信息，向目的web服务器转发所述目的web服务器访问请求，通知所述目的web服务器根据所述目的web服务器访问请求生成响应数据包；当所述堡垒机确定所述目的web服务器访问请求中携带的目的web服务器的登录界面的路径信息正确时，在所述响应数据包中添加所述客户端登录所述目的web服务器的用户信息；所述堡垒机将添加用户信息的响应数据包发送至所述客户端，指示所述客户端根据所述添加用户信息的响应数据包单点登录至所述目的web服务器。一种实现web单点登录的装置，应用于基于堡垒机的系统架构，所述基于堡垒机的系统包括客户端、目的web服务器，所述方法包括：接收单元，用于接收客户端发送的目的web服务器访问请求；其中，所述目的web服务器访问请求中携带跨域访问cookie信息和目的web服务器标识，且所述跨域访问cookie信息为根据在目的web服务器的管理界面中预先设置的所述目的web服务器的服务器信息生成；所述客户端为将本地作为代理服务器的客户端；发送单元，用于根据所述跨域访问cookie信息，向目的web服务器转发所述目的web服务器访问请求，通知所述目的web服务器根据所述目的web服务器访问请求生成响应数据包；添加单元，用于当确定所述目的web服务器访问请求中携带的目的web服务器的登录界面的路径信息正确时，在所述响应数据包中添加所述客户端登录所述目的web服务器的用户信息；发送单元，还用于将添加用户信息的响应数据包发送至所述客户端，指示所述客户端根据所述添加用户信息的响应数据包单点登录至所述目的web服务器。本专利技术实施例中，在目的web服务器和客户端之间设置具备代理服务功能的堡垒机，当堡垒机接收到客户端发送的目的web服务器访问请求时，即根据跨域访问cookie信息，直接将客户端发送的目的web服务器访问请求转发至目的web服务器；并将目的web服务器生成的响应数据包添加登录该目的web服务器的用户信息后发送至客户端；客户端加载上述添加用户信息的响应数据包，单点登录至目的web服务器。采用本专利技术是技术方案，将客户端的代理服务器预设为堡垒机，通过该堡垒机为该客户端设置跨域访问cookie信息，当客户端需要进行单点登录时，直接向堡垒机发送该跨域访问cookie信息，客户端仅根据堡垒机发送的包含用户信息的响应数据包即可实现单点登录，无须在客户端中安装专用登录系统，有效降低了实现单点登录过程的复杂度；并且，客户端仅通过跨域访问cookie信息以及响应数据包实现单点登录，对客户端浏览器没有任何限制，能够适用于各种能够解析上述跨域访问cookie信息以及响应数据包的浏览器，适用性强。附图说明图1为本专利技术实施例中基于堡垒机的系统架构示意图；图2为本专利技术实施例中实现web单点登录的流程图；图3为本专利技术实施例中web单点登录过程信令交互示意图；图4为本专利技术实施例中具体应用场景下单点登录流程图；图5为本专利技术实施例中实现web单点登录装置结构示意图。具体实施方式为了解决现有技术中的单点登录方式存在实现复杂度高以及适用范围小的问题。本专利技术实施例中，当堡垒机接收到客户端发送的目的web服务器访问请求时，即根据跨域访问cookie信息，直接将客户端发送的目的web服务器访问请求转发至目的web服务器；并将目的web服务器生成的响应数据包添加登录该目的web服务器的用户信息后发送至客户端；客户端加载上述添加用户信息的响应数据包，单点登录至目的web服务器。采用本专利技术是技术方案，将客户端的代理服务器预设为堡垒机，通过该堡垒机为该客户端设置跨域访问cookie信息，当客户端需要进行单点登录时，直接向堡垒机发送该跨域访问cookie信息，客户端仅根据堡垒机发送的包含用户信息的响应数据包即可实现单点登录，无须在客户端中安装专用登录系统，有效降低了实现单点登录过程的复杂度；并且，客户端仅通过跨域访问cookie信息以及响应数据包实现单点登录，对客户端浏览器没有任何限制，能够适用于各种能够解析上述跨域访问cookie信息以及响应数据包的浏览器，适用性强。参阅图1所示，为本专利技术实施例中基于堡垒机的系统架构示意图，该基于堡垒机的系统包括客户端、堡垒机、目的web服务器。其中，客户端，用于向用户呈现操作界面，并向堡垒机发送目的web服务器登录请求等；堡垒机用于转发客户端至目的web服务器的数据包，以及转发目的web服务器至客户端的数据包，且该堡垒机中包含目的web服务器的管理界面，通过该目的web服务器的管理界面，能够在堡垒机中设置各个目的web服务器的服务器信息，以对各个目的web服务器进行管理，该服务器信息包括服务器标识和可访问域名的对应关系，以及每一个目的web服务器对应的登录界面，该登录界面即为该目的web服务器对应的主页面；目的web服本文档来自技高网...

【技术保护点】
一种实现web单点登录的方法，应用于基于堡垒机的系统架构，其特征在于，所述基于堡垒机的系统包括客户端、目的web服务器、以及具备代理服务功能的堡垒机，所述方法包括：所述堡垒机接收客户端发送的目的web服务器访问请求；其中，所述目的web服务器访问请求中携带跨域访问cookie信息，且所述跨域访问cookie信息由所述堡垒机根据在本地的目的web服务器的管理界面中预先设置的所述目的web服务器的服务器信息生成；所述客户端为将所述堡垒机作为代理服务器的客户端；所述堡垒机根据所述跨域访问cookie信息，向目的web服务器转发所述目的web服务器访问请求，通知所述目的web服务器根据所述目的web服务器访问请求生成响应数据包；当所述堡垒机确定所述目的web服务器访问请求中携带的目的web服务器的登录界面的路径信息正确时，在所述响应数据包中添加所述客户端登录所述目的web服务器的用户信息；所述堡垒机将添加用户信息的响应数据包发送至所述客户端，指示所述客户端根据所述添加用户信息的响应数据包单点登录至所述目的web服务器。

【技术特征摘要】
1.一种实现web单点登录的方法，应用于基于堡垒机的系统架构，其特征在于，所述基于堡垒机的系统包括客户端、目的web服务器、以及具备代理服务功能的堡垒机，所述方法包括：所述堡垒机接收客户端发送的目的web服务器访问请求；其中，所述目的web服务器访问请求中携带跨域访问cookie信息，且所述跨域访问cookie信息由所述堡垒机根据在本地的目的web服务器的管理界面中预先设置的所述目的web服务器的服务器信息生成，并发送给所述客户端，指示所述客户端根据所述跨域访问cookie信息生成目的web服务器访问请求；所述客户端为将所述堡垒机作为代理服务器的客户端；所述堡垒机根据所述跨域访问cookie信息，向目的web服务器转发所述目的web服务器访问请求，通知所述目的web服务器根据所述目的web服务器访问请求生成响应数据包；当所述堡垒机确定所述目的web服务器访问请求中携带的目的web服务器的登录界面的路径信息正确时，在所述响应数据包中添加所述客户端登录所述目的web服务器的用户信息；所述堡垒机将添加用户信息的响应数据包发送至所述客户端，指示所述客户端根据所述添加用户信息的响应数据包单点登录至所述目的web服务器。2.如权利要求1所述的方法，其特征在于，所述堡垒机根据在本地的目的web服务器的管理界面中预先设置的所述目的web服务器的服务器信息生成跨域访问cookie信息的方法，包括：所述堡垒机接收客户端发送的可访问域请求，并根据所述可访问域请求中携带的统一资源定位符URL，获取所述URL中包含的cookie信息字符串；所述堡垒机根据目的web服务器标识，从所述堡垒机的数据库中获取所述目的web服务器标识对应的至少一个可访问域名；其中，所述数据库中保存有在所述目的web服务器的管理界面中预先设置的所述目的web服务器的服务器信息，所述服务器信息包括目的web服务器标识和可访问域名的对应关系，以及服务器登录界面；基于所述cookie信息字符串，分别生成各个可访问域名对应的指定标签；以及根据所述各个可访问域名对应的指定标签，生成包含所有指定标签的响应消息发送至所述客户端，指示所述客户端根据所述各个指定标签，生成相应的可访问域名对应的跨域访问设置请求；当所述堡垒机接收到所述客户端发送的跨域访问设置请求时，根据所述cookie信息字符串，进行跨域访问设置，并生成跨域访问cookie信息。3.如权利要求2所述的方法，其特征在于，所述堡垒机根据所述cookie信息字符串，进行跨域访问设置，并生成跨域访问cookie信息，具体包括：所述堡垒机根据所述cookie信息字符串，获取相应的cookie信息，并将所述cookie信息作为跨域访问cookie信息；其中，所述cookie信息中包括目的web服务器的标识，主账户信息以及从账户信息。4.如权利要求1-3任一项所述的方法，其特征在于，所述堡垒机确定所述目的web服务器访问请求中携带的目的web服务器的登录界面的路径信息是否正确的方法，包括：所述堡垒机获取所述目的web服务器访问请求中携带的目的web服务器的登录界面路径信息和目的web服务器标识；所述堡垒机根据所述目的web服务器标识，在数据库中查询所述目的web服务器的登录界面的路径信息；当所述目的web服务器访问请求中携带的目的web服务器登录界面路径信息和查询得到的所述目的web服务器登录界面的路径信息相同时，所述堡垒机确定所述目的web服务器访问请求中携带的目的web服务器登录界面路径信息正确。5.如权利要求4所述的方法，其特征在于，当所述目的web服务器访问请...

【专利技术属性】
技术研发人员：肖春亮，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11