JP2008225941A - Session management device, program and storage medium - Google Patents
Session management device, program and storage medium Download PDFInfo
- Publication number
- JP2008225941A JP2008225941A JP2007064398A JP2007064398A JP2008225941A JP 2008225941 A JP2008225941 A JP 2008225941A JP 2007064398 A JP2007064398 A JP 2007064398A JP 2007064398 A JP2007064398 A JP 2007064398A JP 2008225941 A JP2008225941 A JP 2008225941A
- Authority
- JP
- Japan
- Prior art keywords
- session
- server
- user
- information
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、セッション情報の管理を行うセッション管理装置に関する。 The present invention relates to a session management apparatus that manages session information.
従来、認証・アカウント管理として、ドメイン(ドメインコントローラ)を利用した統合管理が提唱されてきた。ユーザはドメイン上に唯一のアカウントを所持し、ドメイン傘下のWEBサイトにアクセスが可能となる。ドメイン上のアカウントは、他のドメインでは有効ではない。 Conventionally, integrated management using a domain (domain controller) has been proposed as authentication / account management. The user has a unique account on the domain and can access the WEB site under the domain. An account on a domain is not valid in another domain.
複数の既存のWEBサイト提供サーバが存在し、各々がアイデンティティ体系を所有している場合や、複数のアカウントを利用しているユーザがいる場合など、これら全てを1つのドメインに統合することは困難であった。
そこで、ドメインによる統合管理に替えて、WEBサイト提供サーバ間のアイデンティティ連携による認証を行う方法がある。
It is difficult to integrate all of these into one domain, such as when there are multiple existing WEB site provisioning servers, each of which owns an identity system, or when there are users who use multiple accounts Met.
Therefore, there is a method of performing authentication by identity cooperation between WEB site providing servers instead of the integrated management by domain.
また、異なるWEBサイト提供サーバ同士を連携するために、サービスセッション情報を利用し、サービス連携サーバを置いてWEBサイト提供サーバ同士の連携を示すタスクセッションを生成する情報処理システムがある(例えば、[特許文献1]参照。)。
また、異なるWEBサイト提供サーバ同士にまたがるサービスを可能にするために、ポータルサイトを置いて一連の作業をタスクセッションで管理し、その中のWEBサイト提供サーバごとの作業をスレッドセッションとして管理する方法がある(例えば、[特許文献2]参照。)。
また、主WEBサイトにおける1度のユーザ認証により、関連WEBサイトへの正規ユーザであることを保証し、主WEBサイトを介さずに副WEBサイトへ直接アクセスすることを防止することのできるシステムがある(例えば、[特許文献3]参照。)。
In addition, in order to link different WEB site providing servers, there is an information processing system that uses service session information and places a service cooperation server to generate a task session indicating the cooperation between the WEB site providing servers (for example, [[ (See Patent Document 1].)
In addition, in order to enable a service across different WEB site providing servers, a method for managing a series of operations in a task session with a portal site and managing each WEB site providing server as a thread session. (For example, refer to [Patent Document 2].)
In addition, there is a system that guarantees that the user is an authorized user to the related WEB site by one-time user authentication at the main WEB site and prevents direct access to the sub WEB site without going through the main WEB site. (For example, see [Patent Document 3].)
しかしながら、関連WEBサイトへアクセスする際に、連携情報にユーザ情報が含まれていると、連携情報をネットワーク上で引き継いで行く方法は、ユーザ情報の漏洩や漏洩情報を用いた不正アクセス等の危険性が高まり、安全性に問題がある。 However, when user information is included in the linkage information when accessing the related WEB site, the method of taking over the linkage information on the network is dangerous such as leakage of user information or unauthorized access using the leaked information. There is a problem with safety.
また、既に異なるアイデンティティ体系で運用されているWEBサイト提供サーバが、企業合併などにより、1つのグループになることがある。WEBサイト間のアイデンティティ連携による認証連携を行うことは可能であるが、例えば、利用している全てのWEBサイト提供サーバのサービスからログアウトしたり、同一ユーザが異なるアカウントでログインしている全てのWEBサイト提供サーバからログアウトしたり、セッションの連携を行う等の、統合的な管理が困難であるという問題点がある。 In addition, WEB site providing servers that are already operated with different identity systems may become one group due to a corporate merger or the like. It is possible to perform authentication linkage by identity linkage between WEB sites. For example, you can log out from the services of all the WEB site providing servers you use, or all WEB where the same user is logged in with different accounts There is a problem that it is difficult to perform integrated management such as logging out from the site providing server or linking sessions.
また、特許文献1に示すシステムは、WEBサイト提供サーバ同士の連携を関連付ける情報として、個人情報の漏洩の危険性があるユーザ情報に替えて、サービスセッション情報を利用する。しかしながら、特許文献1によるシステムは、別にサービス連携サーバを置いてサービスセッション情報の連携を示すタスクセッションを生成する。従って、特許文献1によるシステムは、連携を示すタスクセッションを導入することでシステムの構成が複雑になり、システム全体として処理負荷が増加するという問題点がある。
Moreover, the system shown in
特許文献2に示す方法は、所定の定められた一連のウェブサービスを処理手順も含めてポータルサイトが管理するものであり、ユーザが関連するWEBサイトに任意にアクセスする場合は想定されていないという問題点がある。
The method shown in
従来例や上記特許文献に示すシステムでは、同一ユーザが、異なる複数のアカウントを利用して同一のWEBサイト提供サーバにログインする場合、WEBサイト管理側では、異なるユーザとして認識してしまうという問題点があった。従って、同一ユーザがアクセスしているにも係らず、統一感のある管理が困難であった。 In the conventional example and the system shown in the above patent document, when the same user logs in to the same WEB site providing server using a plurality of different accounts, the WEB site management side recognizes it as a different user. was there. Therefore, management with a sense of unity is difficult even though the same user is accessing.
また、従来例や上記特許文献に示すシステムでは、サービスアカウント単位での関連WEBサイトとの連携が困難であるという問題がある。例えば、同一ユーザが異なるアカウントでログインし、各アカウントがそれぞれ別の関連するWEBサイトにアクセスする場合に、アクセスのたびにクッキー情報が上書きされてしまうので、元のWEBサイトに戻る時にアクセスしたアカウントとして元のWEBサイトに戻れる保証はない。従って、ユーザにとってWEBサイトの連携に関する操作性が悪いという問題点がある。 In addition, the systems shown in the conventional examples and the above-mentioned patent documents have a problem that it is difficult to link with related WEB sites in service account units. For example, when the same user logs in with a different account and each account accesses a different related WEB site, the cookie information is overwritten each time the access is made, so the account accessed when returning to the original WEB site There is no guarantee that you can return to the original WEB site. Therefore, there is a problem that the operability regarding the cooperation of the WEB site is bad for the user.
本発明は、以上の問題点に鑑みてなされたものであり、提供するWEBサイトの安全性を確保し、ユーザの操作性を向上させることが可能なセッション管理装置を提供することを目的とする。 The present invention has been made in view of the above problems, and an object of the present invention is to provide a session management apparatus capable of ensuring the safety of a provided WEB site and improving user operability. .
前述した目的を達成するために第1の発明は、各種情報を提供する少なくとも1つの情報提供サーバと、前記情報提供サーバにネットワークを介して接続されユーザに属する少なくとも1つの端末装置と、の間の通信単位であるセッションを管理するセッション管理装置であって、前記ユーザが前記端末装置から前記情報提供サーバにアクセスする時に、前記ユーザ毎に一意の第1セッションIDと、前記情報提供サーバが提供するサービス毎に一意の第2セッションIDと、を作成するセッションID作成手段と、前記第1セッションIDと前記第2セッションIDとをアクセス元の前記ユーザの端末装置に送るセッションID送信手段と、1つの前記第1セッションIDと少なくとも1つの前記第2セッションIDとを対応付けてセッション管理情報として登録するセッション登録手段と、前記ユーザの端末装置から送られる前記第1セッションID及び前記第2セッションIDと、前記登録された前記第1セッションID及び前記第2セッションIDと、を照合して、前記ユーザの前記情報提供サーバにおける利用権限を判定するセッション照合手段と、を具備することを特徴とするセッション管理装置である。 In order to achieve the above-described object, the first invention is provided between at least one information providing server that provides various types of information and at least one terminal device that is connected to the information providing server via a network and belongs to a user. A session management apparatus that manages a session that is a communication unit of the user, and when the user accesses the information providing server from the terminal device, a unique first session ID for each user and the information providing server provide Session ID creation means for creating a unique second session ID for each service to be performed; session ID transmission means for sending the first session ID and the second session ID to the terminal device of the user that is the access source; One session ID and at least one second session ID are associated with each other Session registration means for registering as management information, the first session ID and the second session ID sent from the user terminal device, and the registered first session ID and second session ID. A session management unit, comprising: a session verification unit that verifies and determines the use authority of the user in the information providing server.
第1セッションID(ユーザセッションID)は、ユーザ毎に作成される識別IDである。ユーザが端末装置から一旦情報提供サーバにログインした後、異なるアカウントでアクセスした場合には、既に当該ユーザに対して第1セッションIDが作成されているので、新たに第1セッションIDは作成されない。
第2セッションID(サービスセッションID)は、情報提供サーバが提供するサービス毎に作成される識別IDである。第2セッションIDは、ユーザが端末装置から情報提供サーバが提供するサービスにログインする度に作成される。
アカウントは、システム的にログインするためのユーザIDである。1人のユーザが同一の情報提供サーバに対して複数のアカウントを所有することがある。
The first session ID (user session ID) is an identification ID created for each user. When the user logs in to the information providing server once from the terminal device and accesses with a different account, the first session ID is not created because the first session ID has already been created for the user.
The second session ID (service session ID) is an identification ID created for each service provided by the information providing server. The second session ID is created every time the user logs in to the service provided by the information providing server from the terminal device.
The account is a user ID for logging in systematically. One user may have a plurality of accounts for the same information providing server.
第1の発明のセッション管理装置は、ユーザが端末装置から情報提供サーバにアクセスする時に、ユーザ毎に一意の第1セッションIDと、情報提供サーバが提供するサービス毎に一意の第2セッションIDとを作成する。セッション管理装置は、第1セッションIDと第2セッションIDとをアクセス元の端末装置に送り、第1セッションIDと第2セッションIDとを対応付けてセッション管理情報として登録する。セッション管理装置は、ユーザの端末装置から送られる第1セッションID及び第2セッションIDと、登録された第1セッションID及び第2セッションIDとを照合して、ユーザの情報提供サーバにおける利用権限を判定する。 When the user accesses the information providing server from the terminal device, the session management device according to the first aspect of the invention provides a unique first session ID for each user and a unique second session ID for each service provided by the information providing server. Create The session management device sends the first session ID and the second session ID to the access source terminal device, and registers the first session ID and the second session ID in association with each other as session management information. The session management device collates the first session ID and second session ID sent from the user terminal device with the registered first session ID and second session ID, and determines the use authority in the user information providing server. judge.
第1の発明では、ユーザが端末装置から異なるアカウントで情報提供サーバにアクセスした場合でも、同一の第1セッションIDが作成されているので、セッション管理サーバは同一ユーザからのアクセスであると判定することができる。従って、セッション管理サーバは、同一ユーザからのアクセスを統合的に管理することが可能になる。 In the first invention, even when the user accesses the information providing server from a terminal device with a different account, the same first session ID is created, so the session management server determines that the access is from the same user. be able to. Therefore, the session management server can integrally manage access from the same user.
また、セッション管理装置は、ユーザが端末装置からアクセスした情報提供サーバを介して他の情報提供サーバにアクセスする時に、第2セッションIDを連携情報として用いて情報提供サーバと他の情報提供サーバとを連携させるようにしてもよい。
第2セッションIDを連携情報として利用することにより、連携先の情報提供サーバに、ユーザに関する情報が漏洩する危険性を阻止することができる。
The session management device uses the second session ID as linkage information when the user accesses another information providing server via the information providing server accessed from the terminal device, and the information providing server and the other information providing server May be linked.
By using the second session ID as linkage information, it is possible to prevent the risk of leakage of information related to the user to the linkage destination information providing server.
また、セッション管理装置は、ユーザが端末装置から連携先の情報提供サーバを介して連携元の情報提供サーバに再度アクセスする場合、第2セッションIDが示すサービスに基づいてユーザの端末装置に各種情報を提供するようにしてもよい。
これにより、ユーザの端末装置は第2セッションIDが示すサービス毎の情報提供サーバへの連携が可能になり、端末装置の操作性を向上させることができる。
In addition, when the user accesses the cooperation source information providing server again from the terminal device via the cooperation destination information providing server, the session management device receives various information on the user terminal device based on the service indicated by the second session ID. May be provided.
Thereby, a user's terminal device becomes possible [cooperation with the information provision server for every service which 2nd session ID shows], and can improve the operativity of a terminal device.
また、セッション管理装置は、第1セッションID及び第2セッションIDの照合結果が適正でない場合には、ユーザの情報提供サーバにおける利用権限を制限あるいは無効にしてもよい。
これにより、情報提供サーバは利用権利を有するユーザを判別するので、不正アクセスや情報漏洩等を阻止し、安全性を確保することができる。
Moreover, the session management apparatus may restrict or disable the use authority of the user in the information providing server when the collation result of the first session ID and the second session ID is not appropriate.
Thereby, since the information providing server discriminates the user having the right to use, it is possible to prevent unauthorized access and information leakage and to ensure safety.
また、セッション管理装置は、第2セッションIDの照合結果が適正であり、第1セッションIDの照合ができない場合には、ユーザに対してログイン時の認証と比較して簡易な認証を行うようにしてもよい。
これにより、連携先からの第2セッションIDの照合結果が適正であれば、ユーザは簡易な認証で連携元に戻ることができる。簡易な認証は、例えばユーザID、パスワードのうち少なくとも何れかを用いて行う認証である。
In addition, the session management device performs simple authentication compared to the authentication at the time of login for the user when the verification result of the second session ID is appropriate and the verification of the first session ID is not possible. May be.
Thereby, if the collation result of the second session ID from the cooperation destination is appropriate, the user can return to the cooperation source with simple authentication. Simple authentication is authentication performed using, for example, at least one of a user ID and a password.
また、セッション管理装置は、第1セッションIDを情報提供サーバが参照可能なクッキー情報に記録して端末装置に保持させるようにしてもよい。
また、セッション管理装置は、第2セッションIDをURL(Uniform Resource Locator)等のネット位置情報のパラメータに記録して端末装置に送るようにしてもよい。
Further, the session management device may record the first session ID in cookie information that can be referred to by the information providing server and cause the terminal device to hold the first session ID.
Further, the session management apparatus may record the second session ID in a parameter of net position information such as a URL (Uniform Resource Locator) and send it to the terminal apparatus.
第2の発明は、コンピュータを、第1の発明のセッション管理装置として機能させるプログラムである。
第3の発明は、コンピュータを、第1の発明のセッション管理装置として機能させるプログラムを記録したコンピュータ読み取り可能な記録媒体である。
The second invention is a program for causing a computer to function as the session management device of the first invention.
A third invention is a computer-readable recording medium on which a program for causing a computer to function as the session management device of the first invention is recorded.
本発明によれば、提供するWEBサイトの安全性を確保し、ユーザの操作性を向上させることが可能なセッション管理装置を提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the session management apparatus which can ensure the safety | security of the WEB site to provide and can improve a user's operativity can be provided.
以下、添付図面を参照しながら、本発明に係るセッション管理装置の好適な実施形態について詳細に説明する。尚、以下の説明及び添付図面において、略同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略することにする。 Hereinafter, a preferred embodiment of a session management apparatus according to the present invention will be described in detail with reference to the accompanying drawings. In the following description and the accompanying drawings, the same reference numerals are given to components having substantially the same functional configuration, and redundant description is omitted.
(1.セッション管理システム1の構成)
最初に、図1を参照しながら、セッション管理システム1の構成について説明する。
図1は、セッション管理システム1の構成図である。
本発明に係るセッション管理装置は、セッション管理システム1において情報提供サーバのセッションを管理するセッション管理サーバである。
(1. Configuration of session management system 1)
First, the configuration of the
FIG. 1 is a configuration diagram of the
The session management apparatus according to the present invention is a session management server that manages a session of an information providing server in the
セッション管理システム1は、端末装置5と情報提供サーバとしてのサーバ(A1)11−1、サーバ(A2)11−2、・・とサーバB19とが、ネットワーク7で接続されて構成される。さらに複数の端末装置5及びサーバが接続されていてもよい。
The
端末装置5は、ユーザ3に属する。サーバ(A1)11−1、サーバ(A2)11−2、・・、はそれぞれ事業者(A1)9−1、事業者(A2)9−2、・・、に属する。事業者(A1)9−1、事業者(A2)9−2、・・、はグループA13として提携関係にあり、端末装置5は、サーバ(A1)11−1、サーバ(A2)11−2、・・、がそれぞれ提供しているWEBサイト間を、見かけ上単一のサーバが提供しているようにアクセス(画面遷移)することが可能である。 The terminal device 5 belongs to the user 3. The server (A1) 11-1, the server (A2) 11-2,... Belong to the business operator (A1) 9-1, the business operator (A2) 9-2,. The business operator (A1) 9-1, the business operator (A2) 9-2,... Are in a partnership relationship as a group A13, and the terminal device 5 includes a server (A1) 11-1 and a server (A2) 11-2. It is possible to access (screen transition) between WEB sites provided by... As if they were provided by a single server.
即ちユーザ3は、グループA13に属するいずれかのサーバA11(サーバ(A1)11−1、サーバ(A2)11−2、・・)にログインすると、見かけ上すべてのサーバA11が一体となり1つのWEBサイト提供サーバが構成され、ユーザ3はこの単一のWEBサイト提供サーバにログインして利用しているのと同等である。 That is, when the user 3 logs in to any of the servers A11 (server (A1) 11-1, server (A2) 11-2,...) Belonging to the group A13, all the servers A11 seem to be integrated into one WEB. A site providing server is configured, and the user 3 is equivalent to logging in and using this single WEB site providing server.
セッション管理サーバ15は、グループA13内の全てのサーバA11のアクセスに関する情報であるセッション情報を管理する。
The
サーバB19及びセッション管理サーバ21は、事業者B17に属する。セッション管理サーバ21は、サーバB19のアクセスに関する情報であるセッション情報を管理する。
The server B19 and the
次に、図2を参照しながらセッション管理システム1の構成について更に詳細に説明する。
図2は、セッション管理システム1の構成を詳細に示す図である。
Next, the configuration of the
FIG. 2 is a diagram showing the configuration of the
(1−1.端末装置5の構成)
端末装置5は、ネットワーク7を介してサーバA11、サーバB19、セッション管理サーバ15及びセッション管理サーバ21に接続可能なコンピュータ等の装置である。
(1-1. Configuration of Terminal Device 5)
The terminal device 5 is a device such as a computer that can be connected to the
端末装置5は、WEBページ要求手段25と、WEBページ表示手段27を有する。WEBページ要求手段25は、WEBページを提供する事業者のサーバA11又はサーバB19に、WEBページを要求する手段である。、WEBページ表示手段27は、サーバA11から提供されるWEBページ55、又はサーバB19から提供されるWEBページ83を表示する手段である。
端末装置5は、WEBページ55と共に提供されるセッションに関するセッション情報23(図4)を受信して保存する。セッション情報23についての詳細は後述する。
The terminal device 5 includes a WEB
The terminal device 5 receives and stores the session information 23 (FIG. 4) related to the session provided together with the
(1−2.セッション管理サーバ15の構成)
セッション管理サーバ15は、セッション取得手段33、セッション照合手段35、ユーザセッションID作成手段43、サービスセッションID作成手段45、セッション登録手段47、連携手段49及び記憶部にセッション管理情報37等を有するコンピュータ等の装置である。
(1-2. Configuration of Session Management Server 15)
The
セッション管理サーバ15は、全てのサーバA11に関するセッション情報をセッション管理情報37(図5)に登録して管理する。セッション管理サーバ15は端末装置5から送られるユーザセッションID29、サービスセッションID31を取得し、端末装置5にユーザセッションID29、サービスセッションID31を送信する。
The
セッション取得手段33は、端末装置5からWEBページ要求と共に送られるセッションに関する情報(ユーザセッションID29、サービスセッションID31)を取得する。
セッション照合手段35は、セッション取得手段33が取得したセッションに関する情報を、セッション管理情報37(図5)の登録情報と照合する。
The
The
ユーザセッションID作成手段43は、ユーザ3毎に一意の識別情報であるユーザセッションID29を作成する。ユーザセッションID29の作成には、ユーザに関する識別情報(例えばユーザID)等を利用してもよい。
サービスセッションID作成手段45は、ユーザ3が端末装置5からログインするサービス毎に一意の識別情報となるサービスセッションID31を作成する。
セッション登録手段47は、作成されたユーザセッションID29及びサービスセッションID31をセッション管理情報37に登録する。
連携手段49は、セッション管理情報37に登録されているサービスセッションID31を連携情報としてWEBページ55作成時にサーバA11に提供する。
セッション管理情報37についての詳細は後述する。
The user session
The service session
The
The
Details of the
(1−3.サーバA11の構成)
サーバA11は、ユーザ認証手段39、WEBページ作成手段51及び記憶部にユーザ情報41、コンテンツ情報53等を有するコンピュータ等の装置である。
ユーザ認証手段39は、端末装置5から送られる認証情報(ユーザIDやパスワード等)をユーザ情報41(図7)と照合し、当該端末装置5のユーザ3が正当な利用者であるかどうかを認証する。
WEBページ作成手段51は、コンテンツ情報53の中から該当するコンテンツを取り出しWEBページ55を作成する。コンテンツ情報53は、文字・数値・映像・画像・音声等のコンテンツである。
(1-3. Configuration of Server A11)
The server A11 is a device such as a computer having user authentication means 39, WEB page creation means 51, and user information 41,
The user authentication means 39 collates the authentication information (user ID, password, etc.) sent from the terminal device 5 with the user information 41 (FIG. 7), and determines whether or not the user 3 of the terminal device 5 is a valid user. Certify.
The WEB page creation means 51 takes out the corresponding content from the
(1−4.セッション管理サーバ21の構成)
セッション管理サーバ21は、セッション取得手段63、セッション照合手段65、セッションID作成手段73、セッション登録手段75、連携手段77及び記憶部にセッション管理情報71等を有するコンピュータ等の装置である。
(1-4. Configuration of Session Management Server 21)
The
セッション管理サーバ21は、サーバB19のセッション情報をセッション管理情報71(図6)に登録して管理する。セッション管理サーバ21はユーザ3の端末装置5から送られるセッションID61及び連携情報としてのサービスセッションID31を取得し、端末装置5にセッションID61及び連携情報としてのサービスセッションID31を送信する。
The
セッション取得手段63は、端末装置5からWEBページ要求と共に送られるセッションに関する情報を取得する。
セッション照合手段65は、セッション取得手段63が取得したセッションに関する情報を、セッション管理情報71(図6)の登録情報と照合する。
The session acquisition unit 63 acquires information regarding the session sent from the terminal device 5 together with the WEB page request.
The
セッションID作成手段73は、アクセスを識別する一意の識別情報であるセッションID61を作成する。
セッション登録手段75は、作成されたセッションID61をセッション管理情報71に登録する。
連携手段77は、セッション管理情報71に登録されている連携情報103(サービスセッションID31)をWEBページ83作成時にサーバB19に提供する。
セッション管理情報71についての詳細は後述する。
The session ID creation means 73 creates a
The session registration means 75 registers the created
The
Details of the
(1−5.サーバB19の構成)
サーバB19は、ユーザ認証手段67、WEBページ作成手段79及び記憶部にユーザ情報69、コンテンツ情報81等を有するコンピュータ等の装置である。それぞれの構成は、サーバA11と同じであるので説明を省略する。
(1-5. Configuration of Server B19)
The server B19 is a device such as a computer having user authentication means 67, WEB page creation means 79, and
(2.ハードウェア構成)
次に、図3を参照しながら、端末装置5、サーバA11、サーバB19、セッション管理サーバ15及びセッション管理サーバ21のハードウェア構成について説明する。
図3は、端末装置5、サーバA11、サーバB19、セッション管理サーバ15及びセッション管理サーバ21のハードウェア構成図である。尚、図3のハードウェア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
(2. Hardware configuration)
Next, the hardware configuration of the terminal device 5, the server A11, the server B19, the
FIG. 3 is a hardware configuration diagram of the terminal device 5, the
端末装置5、サーバA11、サーバB19、セッション管理サーバ15及びセッション管理サーバ21は、CPU151、メモリ153、記憶部155、表示部157、入力部159、出力部161、通信部163がシステムバス165を介して接続されて構成される。
The terminal device 5, the
CPU151(Central Processing Unit)は、演算装置(四則演算や比較演算等)や、ハードウェアやソフトウェアの動作制御を行う装置である。 A CPU 151 (Central Processing Unit) is an arithmetic device (four arithmetic operations, comparison operations, etc.), and a device that performs hardware and software operation control.
メモリ153は、RAM及びROM等のメモリである。RAM(Random Access Memory)は、ROM(Read Only Memory)や記憶部155から読み出されたOS(Operating System)のプログラム、アプリケーションプログラム等を記憶する。RAMはCPU151の主メモリやワークエリアとして機能する。
The
記憶部155は、各種データを記憶する装置であり、例えばハードディスクである。記憶部155は、CPU151が実行するプログラム、プログラム実行に必要なデータ、OS、各種データベース等が格納される。
The
表示部157は、表示装置であり、例えば、CRTモニタ、液晶パネルである。表示部157は、コンピュータのビデオ機能を実現するための論理回路(ビデオアダプタ等)を有する。
The
入力部159は、各種データの入力装置であり、例えば、キーボード、マウスである。出力部161は、各種データの出力装置であり、例えばプリンタである。各種メディアとのデータ入出力を行うドライブ装置を入力部159及び出力部161として用いることもできる。
The
通信部163は、ネットワーク165を介して外部装置と接続・通信する通信制御装置である。例えば、TCP/IPを用いたインターネット通信が可能である。
システムバス165は、各装置間の制御信号、データ信号などの授受を媒介する経路である。
The
The
端末装置5、サーバA11、サーバB19、セッション管理サーバ15及びセッション管理サーバ21は、記憶部155やROMや記憶媒体に格納されるプログラム(アプリケーションプログラム、OSのプログラム等)を、メモリ153のRAMにロードしてCPU151の制御の下に、各種処理を実行する。
The terminal device 5, the
(3.セッション情報23、セッション管理情報37、セッション管理情報71、及びユーザ情報41の構成)
(3−1.セッション情報23)
次に、図4を参照しながら、端末装置5が保持するセッション情報23について説明する。
図4は、セッション情報23の構成の一例を示す図である。
サーバA11が提供するWEBページ55や、サーバB19が提供するWEBページ83と共に送られるセッションに関する情報は、端末装置5の記憶部155にセッション情報23として保存される。
(3. Configuration of
(3-1. Session information 23)
Next, the
FIG. 4 is a diagram illustrating an example of the configuration of the
Information relating to the session sent together with the
セッション情報23は、ユーザセッションID87、サービスセッションID89、セッションID91、有効期限93及びアカウント95等の項目を有する。ユーザセッションID87及びサービスセッションID89の項目には、サーバA11からWEBページ55と共に送られるユーザセッションID29及びサービスセッションID31が保存され、有効期限93にはユーザセッションID29及びサービスセッションID31の有効期限が保存される。アカウント95の項目には、端末装置5からサーバA11にログインしたユーザ3のアカウント(例えば「user1@A1」)が保存される。
The
セッションID91の項目には、サーバB19からWEBページ83と共に送られるセッションID61が保存され、有効期限93にはセッションID61の有効期限が保存される。ユーザ3が端末装置5から、サーバB19にログインした場合には、アカウント95の項目にアカウント(例えば「bar@B」)が、保存される。
In the
尚、有効期限93は、端末装置5がサーバA11又はサーバB19にアクセスする度に更新される。また、有効期限93が経過すると、ユーザセッションID29及びサービスセッションID31、またはセッションID61は無効化される。
The
(3−2.セッション管理情報37)
次に、図5を参照しながら、セッション管理サーバ15が保持するセッション管理情報37について説明する。
図5は、セッション管理情報37の構成の一例を示す図である。
セッション管理情報37は、グループA13のセッション管理サーバ15の記憶部155に保存されるセッションに関する情報である。
(3-2. Session management information 37)
Next, the
FIG. 5 is a diagram illustrating an example of the configuration of the
The
セッション管理情報37は、ユーザセッションID87、サービスセッションID89、有効期限93、アカウント95及び連携先97等の項目を有する。ユーザセッションID87及びサービスセッションID89の項目には、ユーザ3が端末装置5からグループA13(サーバA11のいずれか)にログインした時にセッション管理サーバ15によって生成されるユーザセッションID29及びサービスセッションID31が保存され、有効期限93にはユーザセッションID29及びサービスセッションID31の有効期限が保存される。
The
アカウント95の項目には、グループA13(サーバA11のいずれか)にログインしたユーザ3のアカウント(例えば「user1@A1」)が保存される。連携先97には、グループA13(サーバA11のいずれか)が提供するWEBサイトから他のサーバの提供するWEBサイトに遷移する際の連携先(例えば「サーバB」)が保存される。
In the
尚、有効期限93は、ユーザ3が端末装置5によりサーバA11のいずれかにアクセスする度に更新される。また、有効期限93が経過すると、ユーザセッションID29及びサービスセッションID31は無効化される。
また、ユーザセッションID87の値はユーザ3毎に一意である。また、サービスセッションID89の値は、提供されるサービス(アカウント95)毎に一意である。
The
Further, the value of the
(3−3.セッション管理情報71)
次に、図6を参照しながら、セッション管理サーバ21が保持するセッション管理情報71について説明する。
図6は、セッション管理情報71の構成の一例を示す図である。
セッション管理情報71は、事業者B17のセッション管理サーバ21の記憶部155に保存されるセッションに関する情報である。
(3-3. Session management information 71)
Next, the
FIG. 6 is a diagram illustrating an example of the configuration of the
The
セッション管理情報71は、セッションID99、有効期限93、アカウント95、連携元101及び連携情報103等の項目を有する。セッションID99の項目には、ユーザ3が端末装置5により事業者B17(サーバB19)にアクセスした時にセッション管理サーバ21によって生成されるセッションID61が保存され、有効期限93にはセッションID61の有効期限が保存される。
The
アカウント95の項目には、ユーザ3が端末装置5によりサーバB19にログインした時のアカウント(例えば「bar@B」)が保存される。連携元101には、グループA13(サーバA11のいずれか)が提供するWEBページからサーバB19にアクセスした際の連携元(例えば「サーバA1」)が保存される。連携情報103は、連携時に端末装置5から連携情報として送られるサービスセッションID31の値(例えば「SS11」)が保存される。
In the
尚、有効期限93は、ユーザ3が端末装置5によりサーバB19にアクセスする度に更新される。また、有効期限93が経過すると、セッションID99は無効化される。
The
(3−4.ユーザ情報41)
次に、図7を参照しながら、サーバA11が保持するユーザ情報41について説明する。
図7は、ユーザ情報41の構成の一例を示す図である。
ユーザ情報41は、サーバA11の記憶部155に保存されるユーザに関する情報である。
(3-4. User information 41)
Next, the user information 41 held by the server A11 will be described with reference to FIG.
FIG. 7 is a diagram illustrating an example of the configuration of the user information 41.
The user information 41 is information about the user stored in the
ユーザ情報41は、アカウント95及びパスワード105等の項目を有する。ユーザ情報41にはアカウント95毎にユーザ3に関する詳細な情報(氏名、住所、取引情報等)を保存してもよいがここでは説明を省略する。
アカウント95の項目には、ユーザ3がサーバA11にログインする時のアカウント(ユーザID)が保存される。尚、同一ユーザ3が、同一のサーバA11に対して複数のアカウント(ユーザID)を所有してもよい。
パスワード105の項目には、アカウント(ユーザID)と両方でユーザ認証を行うための識別IDが保存される。
The user information 41 has items such as an
In the
In the item of the
(4.セッション管理システム1の動作)
次に、図8〜図11を参照しながら、セッション管理システム1の動作について説明する。尚、適宜、図12〜図18を参照しながら端末装置5の表示部157に表示される画面を説明する。
端末装置5は、ユーザ3による入力部159の操作に基づいて、サーバA11及びサーバB19からコンテンツを受け取る。端末装置5は、サーバA11から提供される画面AやサーバB19から提供される画面Bを表示部157に表示する。
(4. Operation of session management system 1)
Next, the operation of the
The terminal device 5 receives content from the server A11 and the server B19 based on the operation of the
(4−1.ログイン時のセッション管理)
図8は、セッション管理サーバ15のログイン時のセッション管理を示すフローチャートである。
端末装置5の表示部15にトップ画面301が表示される。トップ画面301は、例えば、証券会社等が提供する所定のWEBサイトの画面である。端末装置5は、トップ画面301を介してサーバA11(グループA13)にログイン要求を行う。
(4-1. Session management during login)
FIG. 8 is a flowchart showing session management when the
A top screen 301 is displayed on the
図12は、サーバA11が提供するトップ画面301を示す図である。
トップ画面301にアカウント(ユーザID)とパスワードが入力され「ログイン要求ボタン」107がクリックされると、端末装置5からサーバA11及びセッション管理サーバ15にログイン要求が送信される(ステップ1001)。
FIG. 12 is a diagram illustrating a top screen 301 provided by the server A11.
When an account (user ID) and password are input on the top screen 301 and the “login request button” 107 is clicked, a login request is transmitted from the terminal device 5 to the server A11 and the session management server 15 (step 1001).
尚、端末装置5が別のアカウント(ユーザID)を用いて既にサーバA11にログインしている場合には、ユーザ3毎に一意のユーザセッションID29がサーバA11によって既に作成されており、ステップ1001のログインと同時にユーザセッションID29もサーバA11に送られる。
If the terminal device 5 has already logged in to the server A11 using another account (user ID), a unique
サーバA11のユーザ認証手段39は端末装置5から送られるアカウント(ユーザID)とパスワードを、ユーザ情報41(図7)に登録されている値と照合し、ユーザ認証を行う(ステップ1002)。 The user authentication means 39 of the server A11 compares the account (user ID) and password sent from the terminal device 5 with the values registered in the user information 41 (FIG. 7), and performs user authentication (step 1002).
セッション管理サーバ15のセッション取得手段33は、端末装置5から送られるセッション情報を取得し、セッション照合手段35は取得したユーザセッションID29が登録済みであるかどうかをセッション管理情報37(図5)と照合する。
The
ユーザセッションID29が、端末装置5から送られていない、又は送られてきたユーザセッションID29が登録済みでない場合や有効でない場合は(ステップ1003のNO)、ユーザセッションID作成手段43は新たにユーザセッションID29を作成し(例えばユーザセッションID29「US01」)、セッション登録手段47がセッション管理情報37に登録する(ステップ1004)。
If the
ユーザセッションID29が登録済みで且つ有効である(有効期限内)場合(ステップ1003のYES)またはステップ1004で新たにユーザセッションID29の作成・登録が行われた場合、サービスセッションID作成手段45は新たにサービスセッションID31を作成し(例えばサービスセッションID31「SS11」)、セッション登録手段47がセッション管理情報37に登録する(ステップ1005)。尚、セッション登録手段47は、サービスセッションID31の有効期限93と、ユーザのアカウント95(例えば「user1@A1」)を同時にセッション管理情報37に登録する。
If the
サーバA11のWEBページ作成手段51は、コンテンツ情報53の中からコンテンツを引き出してWEBページ55を作成して端末装置5に送る(ステップ1006)。サーバA11は、端末装置5にWEBページ55と共にサービスセッションID31を送る。更に、ユーザセッションID29を送ってもよい。
端末装置5は、WEBページ(サーバA提供画面(1)302)を表示部157に表示する(ステップ1007)。
The WEB page creation means 51 of the server A11 creates a
The terminal device 5 displays the WEB page (server A provision screen (1) 302) on the display unit 157 (step 1007).
図13は、サーバA11が提供するサーバA提供画面(1)302を示す図である。
サーバA提供画面(1)302には、サーバA11や他の関連するサーバが提供するWEBサイトにアクセスするためのボタンやリンクが表示される。
例えば「時価情報」ボタン109は、他の関連サーバ(サーバB19)が提供する時価情報画面へのアクセスボタンである。
FIG. 13 is a diagram showing a server A providing screen (1) 302 provided by the server A11.
On the server A provision screen (1) 302, buttons and links for accessing a WEB site provided by the server A11 and other related servers are displayed.
For example, a “market price information”
サーバA提供画面(1)302(図13)は、ユーザ3が端末装置5からアカウント「user1@A1」でサーバ(A1)11−1にログインした時に表示される画面である。 The server A provided screen (1) 302 (FIG. 13) is a screen displayed when the user 3 logs in to the server (A1) 11-1 from the terminal device 5 with the account “user1 @ A1”.
端末装置5は、WEBページ55と共に送られるユーザセッションID29とサービスセッションID31をセッション情報23に保存する(ステップ1008)。
The terminal device 5 stores the
図14は、ユーザ3が端末装置5から、アカウント「user1@A1」とは異なるアカウント「user2@A1」を用いてサーバ(A1)11−1にログインする画面を示す。サーバA提供画面(2)303(図14)において、アカウント(ユーザID)「user2@A1」とパスワードが入力され、ログインボタン107がクリックされると、ユーザ3はアカウント「user2@A1」でサーバ(A1)11−1にログインすることができる。
FIG. 14 shows a screen in which the user 3 logs into the server (A1) 11-1 from the terminal device 5 using an account “user2 @ A1” different from the account “user1 @ A1”. When the account (user ID) “user2 @ A1” and the password are input on the server A providing screen (2) 303 (FIG. 14) and the
この場合は、既にアカウント「user1@A1」でログインした時にユーザセッションID29がセッション管理情報37(図5)に登録されている。従って、新たにサービスセッションID31「SS12」のみが作成されレコード205(図5)として登録される。
In this case, the
図15は、ユーザ3が端末装置5から、アカウント「user1@A1」及び「user2@A1」の両方でサーバ(A1)11−1を利用している画面を示す。サーバ(A1)11−1側は、2つのアカウント「user1@A1」及び「user2@A1」に対応するユーザセッションID29の値が同一であることから、同一ユーザ3がログインしていることを把握する。
FIG. 15 shows a screen in which the user 3 uses the server (A1) 11-1 from the terminal device 5 with both the accounts “user1 @ A1” and “user2 @ A1”. The server (A1) 11-1 side grasps that the same user 3 is logged in because the values of the
以上の過程を経て、セッション管理サーバ15は、ユーザ3が端末装置5からグループA13のサーバA11にログイン要求すると、サーバA11が提供するサービス毎(サービスアカウント毎)に新たにサービスセッションID31を作成して登録する。また、セッション管理サーバ15は、ユーザセッションID29が登録されていなければ、新たにユーザセッションID29を作成して登録する。
Through the above process, the
このように、セッション管理サーバ15は、ユーザ3毎に一意のユーザセッションID29を作成するので、ユーザセッションID29をユーザ3毎の統合的な処理等に利用することができる。
As described above, since the
例えばセッション管理情報37(図5)のレコード204とレコード205のように、アカウント95の値が異なってもユーザセッションID87の値が同じであることから、同一のユーザ3からのアクセスであることが判る。また、グループA13内の異なるサーバA11(サーバ(A2)11−2)にアカウント95「foo@A2」でログインしているレコード206も、レコード204及びレコード205とユーザセッションID87の値が同じであることから、同一ユーザ3からのアクセスであることが判る。
For example, as in the
また、セッション管理サーバ15は、サービス毎(サービスアカウント毎)に一意のサービスセッションID31を作成するので、サービスセッションID31を提供するサービス毎の統合的な処理に利用することができる。
In addition, since the
また、セッション管理サーバ15は、セッション情報として、ユーザセッションID29とサービスセッションID31とを組み合わせて使用することにより、ユーザ単位の統合管理やサービス毎の管理など、シーンに応じた適切な使い分けが可能である。また、後述するが、他の関連するWEBサイトに連携する場合に、サービスセッションID31のみを連携情報として利用することで情報漏洩に対する安全性を確保することができる。
In addition, the
(4−2.WEBページ更新時のセッション管理)
図9は、セッション管理サーバ15のWEBページ更新時のセッション管理を示すフローチャートである。WEBページの更新は、WEBページの再表示や他のWEBページへの画面移動等を示す。
端末装置5は、サーバA11にログイン後、サーバA11の提供するWEBページの更新要求、或いはグループA13に属する何れかのサーバA11の提供するWEBページを要求する(ステップ2001)。
(4-2. Session management when updating WEB pages)
FIG. 9 is a flowchart showing session management when the WEB page of the
After logging in to the server A11, the terminal device 5 requests a web page update request provided by the server A11 or a web page provided by any server A11 belonging to the group A13 (step 2001).
端末装置5は、WEBページ要求と共に、ログイン後にサーバA11から送られているユーザセッションID29とサービスセッションID31を、サーバA11及びセッション管理サーバ15に送る。
The terminal device 5 sends the
セッション管理サーバ15のセッション取得手段33は、セッションを取得し、セッション照合手段35はセッション管理情報37を基にして、ユーザ3の端末装置5から送られるユーザセッションID29とサービスセッションID31を照合する(ステップ2002)。ユーザセッションID29とサービスセッションID31の有効期限も含めた正当性が認証されると、サーバA11のWEBページ作成手段51はWEBページ55を作成して端末装置5に送る(ステップ2003)。尚、セッション管理サーバ15は、セッション管理情報37の該当する有効期限93を更新する。
The
以上の過程を経て、ユーザ3は端末装置5からグループA13のいずれかのサーバA11にWEBページ要求を行う際に、ユーザセッションID29とサービスセッションID31をセッション管理サーバ15に送る。セッション管理サーバ15は、セッション管理情報37を基にしてユーザセッションID29とサービスセッションID31の正当性を認証した後、有効期限を更新したユーザセッションID29及びサービスセッションID31と共にWEBページ55を端末装置5に送る。
Through the above process, the user 3 sends the
このように、セッション管理サーバ15は、グループA13のいずれかのサーバA11にログインした端末装置5が、いずれかのサーバA11の提供するWEBページ表示や更新を要求する場合に、ログイン時に発行したユーザセッションID29とサービスセッションID31の両方の認証を要求する。
As described above, the
従って、例えば端末装置5から漏洩したサービスセッションID31を利用して、グループA13のいずれかのサーバA11を利用しようとする端末装置からの不正アクセスを阻止することができる。
Therefore, for example, by using the
尚、異なるサーバA11間の画面遷移では、各サーバA11においてログイン処理を行うこともできるが、操作性を考慮してログイン処理を行わないようにしてもよい。この場合、各サーバA11毎にユーザ情報41を保持することに代えて、セッション管理サーバ15でユーザ情報41を一元管理するようにしてもよい。
In the screen transition between different servers A11, the login process can be performed in each server A11, but the login process may not be performed in consideration of operability. In this case, instead of holding the user information 41 for each server A11, the user information 41 may be centrally managed by the
(4−3.連携サーバへの画面遷移時のセッション管理)
図10は、サーバA11が提供するWEBページから、サーバB19が提供するWEBページを要求する際のセッション管理を示すフローチャートである。
端末装置5は、サーバA11にログイン後、サーバA11が提供するWEBページからサーバB19が提供するWEBページを要求する(ステップ3001)。
(4-3. Session management during screen transition to the linked server)
FIG. 10 is a flowchart showing session management when a WEB page provided by the server B19 is requested from a WEB page provided by the server A11.
After logging in to the server A11, the terminal device 5 requests the WEB page provided by the server B19 from the WEB page provided by the server A11 (step 3001).
例えば、端末装置5に表示されるサーバA11が提供するサーバA提供画面(1)302(図13)において、他の関連サーバ(サーバB19)が提供する時価情報画面へのアクセスボタンである「時価情報」ボタン109がクリックされる。
For example, in the server A providing screen (1) 302 (FIG. 13) provided by the server A11 displayed on the terminal device 5, the “market price” is an access button to the market price information screen provided by another related server (server B19). The “information”
端末装置5は、サービスセッションID31をサーバA11のセッション管理サーバ15に送る。セッション管理サーバ15は、セッション管理情報37の該当するサービスセッションID31のレコードに連携先97を登録する(ステップ3002)。例えばサービスセッションID31「SS11」の場合、レコード204の連携先97に「サーバB」が登録される。
The terminal device 5 sends the
また、端末装置5は、WEBページ要求と共にサービスセッションID31を連携情報としてサーバB19のセッション管理サーバ21に送る。端末装置5からの初めてのアクセスの場合、セッション管理サーバ21のセッションID作成手段73はセッションID61を作成し、セッション登録手段75はセッションID61をセッション管理情報71(図6)に登録する(ステップ3003)。
Further, the terminal device 5 sends the
また、セッション管理サーバ21は端末装置5から送られたサービスセッションID31を連携情報103としてセッション管理情報71に登録する(ステップ3004)。
Also, the
例えば、セッション管理情報71のレコード207のセッションID99の項目に、作成されたセッションID31「S31」が登録され、連携元101に「サーバA1」、連携情報103には送られたサービスセッションID31「SS11」が登録される。
For example, the created
サーバB19のWEBページ作成手段79は、コンテンツ情報81の中からコンテンツを引き出してWEBページ83を作成する(ステップ3005)。WEBページ83は、セッションID61、連携情報としてのサービスセッションID31と共に端末装置5に送られる。
端末装置5は、WEBページ(サーバB提供画面305)を表示部157に表示する(ステップ3006)。
The WEB page creation means 79 of the server B19 creates a
The terminal device 5 displays the WEB page (server B provision screen 305) on the display unit 157 (step 3006).
図16は、サーバBが提供するサーバB提供画面305を示す図である。
サーバB提供画面305には、時価情報111が表示される。また、「○○証券注文画面へ」ボタン112は、サーバA11が提供する画面へのアクセスボタンである。
FIG. 16 is a diagram illustrating a server
On the server
端末装置5は、WEBページ83と共に送られるセッションID61「S31」をセッション情報23のセッションID91の項目にレコード203として保存する(ステップ3007)。
The terminal device 5 stores the
以上の過程を経て、ユーザ3が端末装置5によりサーバA11の提供するWEBページから、サーバB19が提供するWEBページを要求すると、サーバA11のセッション管理サーバ15は、連携先97をセッション管理情報37に登録する。連携先であるサーバB19のセッション管理サーバ21は、サーバA11が作成したサービスセッションID31を連携情報103として登録する。セッション管理サーバ21は、セッションID61を作成・登録し、サーバB19はWEBページ83と共にセッションID61と、連携情報としてのサービスセッションID31を端末装置5に送る。
Through the above process, when the user 3 requests the WEB page provided by the
このように、ユーザ3が端末装置5からサーバA11の提供するWEBページから、サーバB19が提供するWEBページを要求すると、サーバA11からは連携情報としてサービスセッションID31が送られる。例えばサービスセッションID31が漏洩したとしても、グループA13のサーバA11を利用するには、ユーザセッションID29とサービスセッションID31の両方の認証が必要であるので、悪意のあるユーザの不正利用を阻止することができる。即ち、サービスセッションID31のみを他の関連するWEBサイトへの連携情報として利用することで、情報漏洩に対する安全性を確保することができる。
尚、サーバA11からサーバB19への連携時にサーバB19においてログイン処理を行うようにしてもよいし、操作性を考慮してログイン処理を行わないようにしてもよい。
Thus, when the user 3 requests the WEB page provided by the server B19 from the WEB page provided by the server A11 from the terminal device 5, the
Note that the login process may be performed in the server B19 at the time of cooperation from the server A11 to the server B19, or the login process may not be performed in consideration of operability.
(4−4.連携元サーバへの画面遷移時のセッション管理)
図11は、サーバB19が提供するWEBページから、サーバA11が提供するWEBページを要求する際のセッション管理を示すフローチャートである。
端末装置5は、サーバA11にログイン後、サーバB19が提供するWEBページに連携して画面遷移し、再びサーバA11の提供するWEBページを要求する(ステップ4001)。
(4-4. Session management during screen transition to the collaboration source server)
FIG. 11 is a flowchart showing session management when a WEB page provided by the server A11 is requested from a WEB page provided by the server B19.
After logging in to the server A11, the terminal device 5 makes a screen transition in cooperation with the WEB page provided by the server B19, and requests the WEB page provided by the server A11 again (step 4001).
例えば、端末装置5に表示されるサーバB19が提供するサーバB提供画面305(図16)において、サーバA11が提供する注文画面へアクセスする「○○証券注文画面へ」ボタン112がクリックされる。
For example, in the server B provision screen 305 (FIG. 16) provided by the
端末装置5は、サーバB19から連携情報として送られているサービスセッションID31「SS11」を基にして、セッション情報23からレコード201を検索し、セッション管理サーバ15が作成したユーザセッションID29を引き出す。
The terminal device 5 searches the record 201 from the
端末装置5は、サーバA11及びセッション管理サーバ15に、WEBページ要求と共に、ユーザセッションID29「US01」とサービスセッションID31「SS11」を送信する。
The terminal device 5 transmits the
セッション管理サーバ15のセッション照合手段35は、セッション管理情報37を基にユーザセッションID29「US01」の照合とサービスセッションID31「SS11」の照合を行う(ステップ4002)。
The
また、セッション照合手段35は、サービスセッションID31「SS11」に対応するアカウント95「user1@A1」を検索する(ステップ4003)。WEBページ作成手段51は、検索されたアカウント95「user1@A1」に対してWEBページ55を作成する(ステップ4004)。
In addition, the
作成されたWEBページ55は、ユーザセッションID29、サービスセッションID31と共に端末装置5に送られる。端末装置5は、WEBページ(サーバA提供画面306)を表示部157に表示する(ステップ4005)。
The created
図17は、サーバA11が提供するサーバA提供画面306を示す図である。
サーバA提供画面306には、注文情報113が表示される。また、端末装置5には「user1さま」が表示され、端末装置5はサーバB19に連携した際のアカウント「user1@A1」でサーバA11に戻ることができる。
FIG. 17 is a diagram showing a server
On the server
尚、端末装置5は、サーバA11及びセッション管理サーバ15に、WEBページ要求と共にサービスセッションID31を送り、ユーザセッションID29を送らない方法を採ってもよい。この場合には、ステップ4002のユーザセッションID29及びサービスセッションID31の照合に替えて、サービスセッションID31の照合後に、サーバA11は、端末装置5に簡易認証を要求してもよい。
The terminal device 5 may adopt a method in which the
図18は、簡易認証のためのサーバA提供画面307を示す図である。パスワード入力欄115にパスワードが入力されると、サーバA11のユーザ認証手段39は再度ユーザ情報41(図7)を基にしてユーザ認証を行う。ログイン時に行ったユーザIDの確認処理は省略される。
FIG. 18 is a diagram showing a server A provision screen 307 for simple authentication. When a password is entered in the
また、ステップ4002のユーザセッションID29及びサービスセッションID31の照合時に、例えば有効期限93が過ぎてユーザセッションID29及びサービスセッションID31が無効化されている場合に、上記簡易認証を行い、再びユーザセッションID29及びサービスセッションID31を有効化するようにしてもよい。
Further, when the
以上の過程を経て、端末装置5がサーバA11にログイン後、サーバB19が提供するWEBページに連携して画面遷移し、再びサーバA11の提供するWEBページを要求する際、端末装置5は連携情報として送られているサービスセッションID31を基に、セッション情報23からユーザセッションID29を引き出す。
Through the above process, after the terminal device 5 logs into the server A11, the screen transitions in cooperation with the WEB page provided by the server B19, and the terminal device 5 requests the WEB page provided by the server A11 again. The
端末装置5は、サーバA11及びセッション管理サーバ15に、WEBページ要求と共に、ユーザセッションID29とサービスセッションID31を送信する。セッション管理サーバ15が、ユーザセッションID29とサービスセッションID31の照合に成功すると、サーバA11は作成したWEBページ55を、ユーザセッションID29、サービスセッションID31と共に端末装置5に送る。
The terminal device 5 transmits a
このように、連携情報としてサービスセッションID31を用いることにより、端末装置5が連携サーバであるサーバB19に遷移した後、元のサーバA11に容易に戻ることができる。また、サービスセッションID31「SS11」に対応するアカウント95に対してWEBページ55を送るので、端末装置5は連携した時のアカウントでサーバA11を利用することができる。
As described above, by using the
サービスセッションID31が提供されるサービス毎(サービスアカウント毎)に一意であることから、端末装置5は遷移先のサーバB19から遷移時のアカウントで元のサーバA11を利用することができ、ユーザ3のサーバA11及びサーバB19のサービス利用時の混乱を低減し操作性を向上させることができる。
Since the
(5.サーバA11とサーバB11の画面遷移)
次に、図19を参照して、サーバA11からの提供画面と、サーバB11からの提供画面の画面遷移を説明する。
図19は、サーバA11からの提供画面と、サーバB19からの提供画面の画面遷移を示す図である。
(5. Screen transition of server A11 and server B11)
Next, with reference to FIG. 19, screen transitions between the provision screen from the server A11 and the provision screen from the server B11 will be described.
FIG. 19 is a diagram illustrating screen transitions between the provision screen from the server A11 and the provision screen from the server B19.
端末装置5が、サーバA11にログインすると、画面302が表示される。サーバB19へのリンクボタン117がクリックされると、セッション管理情報37には「連携先サーバB」の情報が登録され、サーバA11からは連携情報としてサービスセッションIDがサーバB19に送られる。また、サーバB19のセッション管理情報71には、連携情報103としてサービスセッションIDと、「連携元サーバA1」の情報が登録される。
When the terminal device 5 logs in to the server A11, a
サーバB19からの提供画面305が、端末装置5に表示される。画面305の、サーバA11へのリンクボタン119がクリックされると、セッション管理情報71に登録されていた、連携情報であるサービスセッションIDと「連携元サーバA1」の情報が引き出されてサーバA11に送られる。
サーバA11はサービスセッションIDをセッション管理情報37と照合し、照合が成功すると、画面306を端末装置5に表示させる。
A
The server A11 collates the service session ID with the
(6.ユーザセッションID29及びサービスセッションID31の引継)
ユーザセッションID29及びサービスセッションID31の引継に関しては、WEBページ要求(リクエスト)やWEBページ送信(レスポンス)と共に、ユーザセッションID29及びサービスセッションID31を送受可能な方法であれば限定されない。例えば、WWW(World Wide Web)システムでは、クッキー情報やURL(Uniform Resource Locator)のパラメータに記録して送受するようにしてもよい。また、URLのパラメータに記録する場合には、WEBページのリンクに埋め込むようにしてもよい。
(6. Succession of
The takeover of the
尚、WEBページを表示するブラウザのアプリケーションでは、通常、1つのセッション管理サーバの管理下にある情報提供サーバにアクセスする度に、クッキー情報が上書きされる。一方、URLのパラメータは、参照が容易である。 In a browser application that displays a WEB page, cookie information is usually overwritten each time an information providing server under the management of one session management server is accessed. On the other hand, URL parameters are easy to refer to.
ユーザセッションID29は、グループA13以外の他のグループサイト等に参照されることは望ましくない。従って、URLのパラメータではなく、ブラウザのクッキー情報に記録することが望ましい。ユーザセッションID29は、ユーザ3毎に一意であり、同一の値でクッキー情報が上書きされたとしても問題はない。
一方、1人のユーザ3に対して提供されるサービス毎(サービスアカウント毎)にサービスセッションID31が割り当てられることがあるので、サービスセッションID31をクッキー情報に記録すると異なる値で上書きされる可能性がある。従って、URLのパラメータに記録することが望ましい。ユーザセッションID29がなくサービスセッションID31だけではサーバA11の利用権限は制限あるいは無効とされるので、仮に、ユーザセッションID29が第三者に参照されたとしても、セキュリティ上の影響を防止することができる。
The
On the other hand, since a
(7.効果等)
以上詳細に説明したように、本発明の実施の形態に係るセッション管理システム1では、ユーザセッションID29及びサービスセッションID31をシーンに応じて利用することで、顧客の利便性を向上させ、情報漏洩に対する安全性を確保することができる。
(7. Effects, etc.)
As described above in detail, in the
ユーザセッションID29及びサービスセッションID31の両方を照合して、サービスの利用を許可するグループA13では、他のサーバへの連携時にサービスセッションID31のみを連携情報として用いるので、たとえ連携情報が漏洩したとしても、グループA13の不正利用に対する安全性を確保することができる。
In the group A13 that collates both the
また、サービスセッションID31は提供されるサービス毎(ログイン時のサービスアカウント毎)に一意に作成されるので、他のサーバへ連携して再び元のサーバへ戻る際に、サービスセッションID31を連携情報として引き継ぐことで、他のサーバに連携した際のアカウントで元のサーバに戻ることができる。従って、ユーザ3の混乱を低減し操作性を向上させることができる。
In addition, since the
また、同一ユーザ3が、異なるアカウントでグループA13のサーバA11にログインした場合、同一のユーザセッションID29が作成されるので、ユーザセッションID29を利用して例えば一斉ログオフ等の統合的な管理が可能になり、ユーザ3の利便性が向上する。
In addition, when the same user 3 logs in to the server A11 of the group A13 with different accounts, the same
以上、添付図面を参照しながら、本発明にかかるセッション管理システムの好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。 The preferred embodiments of the session management system according to the present invention have been described above with reference to the accompanying drawings, but the present invention is not limited to such examples. It will be apparent to those skilled in the art that various changes or modifications can be conceived within the scope of the technical idea disclosed in the present application, and these are naturally within the technical scope of the present invention. Understood.
1………セッション管理システム
3………ユーザ
5………端末装置
7………ネットワーク
9−1、9−2、・・、………事業者A
11−1、11−2、・・、………サーバA
13………グループA
15………セッション管理サーバ
17………事業者B
19………サーバB
21………セッション管理サーバ
23………セッション情報
25………WEBページ要求手段
27………WEBページ表示手段
29、87………ユーザセッションID
31、89………サービスセッションID
33、63………セッション取得手段
35、65………セッション照合手段
37、71………セッション管理情報
39、67………ユーザ認証手段
41、69………ユーザ情報
43………ユーザセッションID作成手段
45………サービスセッションID作成手段
47、75………セッション登録手段
49、77………連携手段
51、79………WEBページ作成手段
53、81………コンテンツ情報
55、83………WEBページ
61、91、99………セッションID
73………セッションID作成手段
93………有効期限
95………アカウント
97………連携先
101………連携元
103………連携情報
107………ログイン要求ボタン
109………「時価情報」ボタン
111、113………情報表示
115………パスワード入力欄
117………サーバB19への連携ボタン
119………サーバA11へ戻りボタン
151………CPU
153………メモリ
155………記憶部
157………表示部
159………入力部
161………出力部
163………通信部
201〜208………レコード
301………トップ画面
302〜304、307………画面A
305………画面B
1 ......... Session management system 3 ......... User 5 ......... Terminal device 7 ......... Networks 9-1, 9-2,...
11-1, 11-2, ... Server A
13 ... Group A
15 ...
19 ... Server B
21...
31, 89 ……… Service Session ID
33, 63 ......... Session acquisition means 35, 65 ... ... Session verification means 37, 71 ... ...
73 ......... Session ID creation means 93 .........
153 .........
305 ... Screen B
Claims (8)
前記ユーザが前記端末装置から前記情報提供サーバにアクセスする時に、前記ユーザ毎に一意の第1セッションIDと、前記情報提供サーバが提供するサービス毎に一意の第2セッションIDと、を作成するセッションID作成手段と、
前記第1セッションIDと前記第2セッションIDとをアクセス元の前記ユーザの端末装置に送るセッションID送信手段と、
1つの前記第1セッションIDと少なくとも1つの前記第2セッションIDとを対応付けてセッション管理情報として登録するセッション登録手段と、
前記ユーザの端末装置から送られる前記第1セッションID及び前記第2セッションIDと、前記登録された前記第1セッションID及び前記第2セッションIDと、を照合して、前記ユーザの前記情報提供サーバにおける利用権限を判定するセッション照合手段と、
を具備することを特徴とするセッション管理装置。 A session management device that manages a session as a communication unit between at least one information providing server that provides various types of information and at least one terminal device that is connected to the information providing server via a network and belongs to a user. And
A session for creating a unique first session ID for each user and a unique second session ID for each service provided by the information providing server when the user accesses the information providing server from the terminal device ID creation means;
Session ID transmission means for transmitting the first session ID and the second session ID to the terminal device of the user who is the access source;
Session registration means for registering one first session ID and at least one second session ID in association with each other as session management information;
The information providing server of the user by collating the first session ID and the second session ID sent from the terminal device of the user with the registered first session ID and the second session ID Session verification means for determining usage authority in
A session management apparatus comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007064398A JP5097418B2 (en) | 2007-03-14 | 2007-03-14 | Session management apparatus, program, and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007064398A JP5097418B2 (en) | 2007-03-14 | 2007-03-14 | Session management apparatus, program, and storage medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008225941A true JP2008225941A (en) | 2008-09-25 |
JP5097418B2 JP5097418B2 (en) | 2012-12-12 |
Family
ID=39844469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007064398A Expired - Fee Related JP5097418B2 (en) | 2007-03-14 | 2007-03-14 | Session management apparatus, program, and storage medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5097418B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012068834A (en) * | 2010-09-22 | 2012-04-05 | Canon Inc | Information processing apparatus, control method of information processing apparatus, and program |
JP2020123362A (en) * | 2020-03-25 | 2020-08-13 | グーグル エルエルシー | Reducing latency in downloading electronic resources using multiple threads |
US11550638B2 (en) | 2016-04-12 | 2023-01-10 | Google Llc | Reducing latency in downloading electronic resources using multiple threads |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006059370A (en) * | 2004-01-27 | 2006-03-02 | Hitachi Communication Technologies Ltd | System, apparatus and program for integrated application management, server, system, program, server case and communication system for integrated session management, session control server and integrated application server |
-
2007
- 2007-03-14 JP JP2007064398A patent/JP5097418B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006059370A (en) * | 2004-01-27 | 2006-03-02 | Hitachi Communication Technologies Ltd | System, apparatus and program for integrated application management, server, system, program, server case and communication system for integrated session management, session control server and integrated application server |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012068834A (en) * | 2010-09-22 | 2012-04-05 | Canon Inc | Information processing apparatus, control method of information processing apparatus, and program |
US11550638B2 (en) | 2016-04-12 | 2023-01-10 | Google Llc | Reducing latency in downloading electronic resources using multiple threads |
JP2020123362A (en) * | 2020-03-25 | 2020-08-13 | グーグル エルエルシー | Reducing latency in downloading electronic resources using multiple threads |
JP7104091B2 (en) | 2020-03-25 | 2022-07-20 | グーグル エルエルシー | Reduced latency when downloading electronic resources using multiple threads |
Also Published As
Publication number | Publication date |
---|---|
JP5097418B2 (en) | 2012-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103023918B (en) | The mthods, systems and devices logged in are provided for multiple network services are unified | |
US10003667B2 (en) | Profile and consent accrual | |
US6006332A (en) | Rights management system for digital media | |
US8468576B2 (en) | System and method for application-integrated information card selection | |
CN106713271B (en) | Web system login constraint method based on single sign-on | |
WO2013099065A1 (en) | Authentication coordination system and id provider device | |
US8632003B2 (en) | Multiple persona information cards | |
US20100024019A1 (en) | Authentication | |
US20100024015A1 (en) | System and method for simplified login using an identity manager | |
US7188252B1 (en) | User editable consent | |
JP6140735B2 (en) | Access control device, access control method, and program | |
JP2006277715A (en) | Service providing device and program | |
JP4935274B2 (en) | Server and program | |
JP2017033339A (en) | Service provision system, information processing device, program and service use information creation method | |
JPWO2014049709A1 (en) | Policy management system, ID provider system, and policy evaluation apparatus | |
JP7035443B2 (en) | Information processing equipment, information processing systems and programs | |
JP2008015733A (en) | Log management computer | |
JP5097418B2 (en) | Session management apparatus, program, and storage medium | |
JP2003085141A (en) | Single sign-on corresponding authenticating device, network system and program | |
JP4993083B2 (en) | Session management apparatus, program, and storage medium | |
US20050138435A1 (en) | Method and system for providing a login and arbitrary user verification function to applications | |
JP5289104B2 (en) | Authentication destination selection system | |
JP2009093580A (en) | User authentication system | |
JP6305005B2 (en) | Authentication server system, control method, and program thereof | |
JP4814131B2 (en) | Mediation system, program, and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090910 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120523 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120626 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120824 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120911 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120924 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150928 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |