省统一身份认证系统

1、省统一身份认证系统各对接系统实施方案陕西省信息中心2019年3月29日文档修订摘要修订号描述著者审阅者 日期V1.0省统一身份认证系统与国家平台对接后，各单位需调整级联登录、登出功能 仇雪鹏2019-03-29V1.1新增接口地址切换提醒仇雪鹏2019-05-15目录 HYPERLINK l _Toc25463_WPSOffice_Level1 第一章 改造背景4 HYPERLINK l _Toc23449_WPSOffice_Level1 第二章 解决问题4 HYPERLINK l _Toc23779_WPSOffice_Level1 第三章 改造功能5 HYPERLINK l _Toc11

2、552_WPSOffice_Level1 1.级联登录5 HYPERLINK l _Toc23449_WPSOffice_Level2 1.1.工作流程5 HYPERLINK l _Toc23779_WPSOffice_Level2 1.2回调地址示例6 HYPERLINK l _Toc23449_WPSOffice_Level3 #1:回调地址及参数说明6 HYPERLINK l _Toc23779_WPSOffice_Level3 #2：回调地址及参数说明6 HYPERLINK l _Toc11552_WPSOffice_Level3 #3：回调地址及参数说明7 HYPERLINK l _

3、Toc11552_WPSOffice_Level2 1.3业务场景7 HYPERLINK l _Toc6925_WPSOffice_Level3 1.3.1场景一7 HYPERLINK l _Toc25743_WPSOffice_Level3 1.3.2场景二8 HYPERLINK l _Toc155_WPSOffice_Level3 1.3.3场景三9 HYPERLINK l _Toc27505_WPSOffice_Level3 1.3.4场景四10 HYPERLINK l _Toc6925_WPSOffice_Level2 1.4 API代码示例11 HYPERLINK l _Toc692

4、5_WPSOffice_Level1 2.级联登出13 HYPERLINK l _Toc25743_WPSOffice_Level2 2.1场景描述13 HYPERLINK l _Toc155_WPSOffice_Level2 2.2交互流程14 HYPERLINK l _Toc27505_WPSOffice_Level2 2.3实现步骤14第一章 改造背景按照 国务院关于加快推进全国一体化在线政务服务平台建设的指导意见（国发201827号）、国务院办公厅关于切实做好各地区各部门政务服务平台与国家政务服务平台对接工作通知（国办函201859号）的对接任务要求，各地区各部门与国家政务服务平台实现

5、对接，为国家政务服务平台的总枢纽作用提供有力支撑，成为全面构建全国一体化在线政务服务平台的重要组成部分。我省结合国家政务服务平台身份认证系统建设，推动各对接单位和部门网上服务在线办理入口深度整合，支持从国家政务服务平台单点登录，直达市级政府和省直部门网上办事界面。按照与国家政务服务平台对接要求，省统一身份系统对个别功能进行了调整，现需要各对接单位和部门对单点登录等功能进行改造。第二章 解决问题根据此对接实施方案，可以解决如下问题：用户在国家政务服务平台登录成功后，同一浏览器访问各对接单位系统时无需二次登录，直接显示为登录状态。用户在某对接单位系统登录成功，按照以下对接流程，该用户可以隐性登录国

6、家政务服务平台。用户在国家政务服务平台或与统一身份认证系统对接的其它单位系统或平台点击“退出”按钮，即有注销用户信息需求时，省统一身份认证系统判断用户登录状态，同步完成用户登出，以实现“一地登出，全网登出”效果。第三章 改造功能1.级联登录1.1.工作流程上图中，可通过request.getParameter(“”)方式获取loginSuccess、renew、pass参数值并进行判断。参数名称取值范围备注loginSuccess1隐性登录标志renewtrue刷新服务标志passtrue服务放行标志1.2回调地址示例#1:回调地址及参数说明 HYPERLINK http:/ip:port/s

7、ysautherserver/authroize?authCheck=true&needAuth=false&client_id=clientId&redirect_uri 25:11980/sysautherserver/authroize?authCheck=true&needAuth=false&client_id=000000001&redirect_uri=回调地址参数名称取值范围备注是否必须authChecktrue检查用户是否登录服务是needAuthtrue/false用户未登录时是否去国家检查。是client_id系统id是redirect_uri客户端回调地址是#2：回调地

8、址及参数说明 HYPERLINK http:/ip:port/sysautherserver/authroize?hide_login=true&client_id=clientId&redirect_uri 25:11980/sysautherserver/authroize?hide_login=true&client_id=000000001&redirect_uri=回调地址参数名称取值范围备注是否必须hide_logintrue隐性登录标志是client_id系统id是redirect_uri客户端回调地址是#3：回调地址及参数说明 HYPERLINK http:/ip:port/s

9、ysautherserver/authroize?response_type=code&client_id=clientId&redirect_uri 25:11980/sysautherserver/authroize?response_type=code&client_id=000000001&redirect_uri=回调地址参数名称取值范围备注是否必须response_typecode固定值是client_id系统id是redirect_uri客户端回调地址是1.3业务场景1.3.1场景一用户未在国家平台登录及省统一身份认证系统登录。用户访问部门系统时，需依次经过下图所示7个步骤。1.

10、3.2场景二用户已在国家平台登录,但未在省统一身份认证系统登录。用户访问部门系统时，需依次经过下图5个步骤。1.3.3场景三用户已在国家平台及省统一身份认证系统登录。用户访问部门系统时，需依次经过下图5个步骤。1.3.4场景四用户访问部门系统，若在第一步的请求地址内加上参数needAuth=false,统一身份认证系统服务端进行轻量检查后（不会检查国家是否登录），直接回调部门地址并携带pass=true参数返回。当前场景只会经过下图3个步骤。1.4 API代码示例示例代码参数说明：clientUri：客户端（对接系统）地址 casServerUrl：服务端（省单点登录系统）地址public v

11、oid doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain chain)throws IOException, ServletException HttpServletRequest request = (HttpServletRequest) arg0;HttpServletResponse response = (HttpServletResponse) arg1;String uri = request.getRequestURI();String queryStr = request.getQueryStrin

12、g();Map parameters = toParameterMap(queryStr);HttpSession session = request.getSession(false);if (session != null) chain.doFilter(request, response); else if (uri.endsWith(.js) | uri.endsWith(.css) chain.doFilter(request, response);return;/ 服务检查是否成功 如服务端返回flag=false，则表示没有用户登录，系统继续进行下一步操作String flag=

13、 parameters.remove(flag);if (StringUtils.isNotBlank(flag) & false.equals(flag) chain.doFilter(request, response);return;/ 隐性登录 如服务端返回loginSuccess=1，则表示用户登录成功String loginSuccess = parameters.remove(loginSuccess);if (StringUtils.isNotBlank(loginSuccess) & 1.equals(loginSuccess) String redirectUrl = th

14、is.casServerUrl + ?hide_login=true&client_id= + clientId + &redirect_uri=+ this.clientUri+ (parameters.isEmpty() ? : ? + constructQueryString(parameters);response.sendRedirect(redirectUrl);return;String renewStr = parameters.remove(renew);/ 是否需要重定向boolean renew = StringUtils.isBlank(renewStr) ? fals

15、e : Boolean.valueOf(renewStr);if (renew) String redirectUrl = this.casServerUrl + ?response_type=code&client_id= + clientId + &redirect_uri=+ this.clientUri+ (parameters.isEmpty() ? : ? + constructQueryString(parameters);response.sendRedirect(redirectUrl);return;/ 服务检查 检查陕西政务服务网是否已有用户登录，如有用户登录则重定向到c

16、lientUri，并携带参数loginSuccess=1；如没有用户登录则重定向到clientUri，并携带参数flag=false；boolean needAuth = true;StringBuilder redirectBuilder = new StringBuilder(this.casServerUrl);redirectBuilder.append(?needAuth=).append(needAuth);redirectBuilder.append(&authCheck=true);redirectBuilder.append(&redirect_uri=).append(th

17、is. clientUri);redirectBuilder.append(&client_id=).append(this.clientId);response.sendRedirect(redirectBuilder.toString();return;2.级联登出2.1场景描述已在A、B等多个部门/系统登录的账号，从任意一个部门系统退出，其它部门系统同步退出。2.2交互流程2.3实现步骤各个单位向省统一身份认证系统提供注销接口服务地址。示例：接口说明各业务系统注销接口接口地址http:/XXXX/ucBinLogout.do请求类型GET接口要求接口地址中不允许带“？”及参数省统一身份认证系统将该注销接口地址按照预分配给各单位的client_id进行匹配，即每个client_id（业务系