CN101360107A - 一种提高单次登录系统安全的方法、系统及装置 - Google Patents
一种提高单次登录系统安全的方法、系统及装置 Download PDFInfo
- Publication number
- CN101360107A CN101360107A CNA2008101493551A CN200810149355A CN101360107A CN 101360107 A CN101360107 A CN 101360107A CN A2008101493551 A CNA2008101493551 A CN A2008101493551A CN 200810149355 A CN200810149355 A CN 200810149355A CN 101360107 A CN101360107 A CN 101360107A
- Authority
- CN
- China
- Prior art keywords
- application service
- service request
- authorization information
- application server
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种提高单次登录系统安全的方法、系统及装置,其中,该方法包括:应用服务器接收用户客户端发来的携带验证信息的应用服务请求,根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统;SSO系统接收到应用服务请求后,发送允许提供应用服务的通知给应用服务器。采用本发明,可以先由应用服务器直接对当前接收的应用服务请求进行校验,在校验成功后,再将该接收的应用服务请求发送给SSO系统,相比于现有技术直接将应用服务请求发送SSO系统,大大提高了SSO系统的安全。
Description
技术领域
本发明涉及互联网技术,尤其涉及一种提高单次登录(SSO:SingleSign-on)系统安全的方法、系统及装置。
背景技术
目前,在互联网技术中,单次登录技术由于其允许用户简单便捷地访问互联网的优点而得到了发展。
SSO技术的实施,实现了用户只需在首次申请SSO系统的应用服务时验证一次身份(即证明自身身份),之后再申请基于同一SSO系统的任意一个应用服务时,无需另外验证身份,就可方便、快捷地访问该应用服务。
参见图1,图1为现有技术中利用SSO系统实现登录验证的流程示意图。在图1中,当用户客户端首次访问基于某一个SSO系统的任意一个应用服务时,若该用户客户端没有对应该SSO系统的授权票据,则该应用服务对应的应用服务器要求用户输入登录信息如用户名和密码,在用户输入登录信息如用户名和密码之后,如图1所示,该流程包括以下步骤:
步骤101,应用服务器将用户输入的登录信息发送到SSO系统。
具体地,应用服务器将用户输入的登录信息发送到SSO中的票据发放中心。
步骤102,票据发放中心将该登录信息转发给身份认证中心,并在身份认证中心对该登录信息验证成功时,执行步骤103。
其中,身份认证中心存储有用户注册该应用服务时所对应的注册信息,这样,在身份认证中心接收到票据发放中心转发的登录信息时,判断自身存储的注册信息中的登录信息与当前接收的登录信息是否一致,如一致,则确定验证该登录信息成功。
步骤103,票据发放中心发送票据申请请求给SSO系统中的票据认证中心。
步骤104,票据认证中心根据接收的票据申请请求,产生对应的可作为验证信息的授权票据。
其中,该授权票据包括两个副本,这两个副本相互一致或对应,票据认证中心存储其中的一个票据副本。
步骤105,票据认证中心将另一个票据副本发送给票据发放中心。
步骤106,票据发放中心将该票据副本发送给用户客户端。
步骤107,用户客户端存储接收的票据副本,在该用户客户端后续申请基于该SSO系统的任意一个应用服务时,发送应用服务请求给票据认证中心进行认证。
其中,该应用服务请求中携带用户客户端存储的票据副本。
步骤108,票据认证中心根据自身存储的票据副本,对当前接收的应用服务请求中携带的票据副本进行验证,若验证成功,则发送验证成功的通知给应用服务器。该通知中携带允许该应用服务器提供对应的应用服务的信息。
可见,现有的利用SSO系统实现登录验证的过程中,都是由票据认证中心直接验证应用服务请求。这样,就存在一个问题,比如,若票据认证中心当前接收的应用服务请求包含黑客伪照的不安全票据如DoS攻击等信息,这样,就相当于SSO系统中的票据认证中心直接承受了该不安全票据如DoS攻击,如果SSO系统被击倒,则导致此SSO系统的所有应用服务瘫痪。
发明内容
本发明提供了一种提高单次登录系统安全的方法、系统及装置,以便提高SSO系统的安全。
本发明所提供的一种提高单次登录系统安全的方法,包括:
应用服务器接收用户客户端发来的携带验证信息的应用服务请求,根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统;
SSO系统接收到应用服务请求后,发送允许提供应用服务的通知给应用服务器。
本发明提供的一种提高单次登录系统安全的系统,包括:用户客户端、应用服务器和单次登录系统;其中,
所述用户客户端用于发送携带验证信息的应用服务请求给所述应用服务器;
所述应用服务器用于接收所述应用服务请求,根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录系统;
所述单次登录系统用于接收到应用服务请求后,发送允许提供应用服务的通知给所述应用服务器。
本发明提供的一种应用服务器,包括:第一接收单元、第一获取单元和校验单元;其中,
所述第一接收单元用于接收用户客户端发来的携带验证信息的应用服务请求,并接收SSO系统所发送的允许提供应用服务的通知;
所述第一获取单元用于获取对应所述用户客户端的验证信息;
所述校验单元用于根据所述第一获取单元获取的验证信息对所述第一接收单元接收的应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给SSO系统。
本发明提供的一种单次登录系统,包括:
第二接收单元,用于在应用服务器对当前接收的应用服务请求中携带的验证信息校验成功后,接收该应用服务器发送的应用服务请求;
通知单元,用于根据所述第二接收单元接收的应用服务请求,发送允许提供应用服务的通知给应用服务器。
从上述方案可以看出,本发明提供的一种提高单次登录系统安全的方法、系统、应用服务器及单次登录系统。其中,该方法通过应用服务器接收用户客户端发来的携带验证信息的应用服务请求,根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统;SSO系统接收到应用服务请求后,发送允许提供应用服务的通知给应用服务器。可见,本发明先由应用服务器直接对当前接收的应用服务请求进行校验,在校验成功后,再将该接收的应用服务请求发送给SSO系统进行验证,相比于现有技术直接将应用服务请求发送SSO系统,大大提高了SSO系统的安全。
此外,本发明先由应用服务器直接对当前接收的应用服务请求进行校验,相比于现有技术直接将应用服务请求发送SSO系统,可以减轻SSO系统验证所有应用服务请求的压力,使SSO系统“专注”于有效请求,进而提升了SSO系统所支撑的所有应用服务对应的在线用户的容量。
附图说明
图1为现有技术中利用SSO系统实现登录验证的流程示意图;
图2为本发明实施例提供的提高单次登录系统安全的工作流程图;
图3为本发明实施例提供的提高单次登录系统安全的详细工作流程图;
图4为本发明实施例提供的提高单次登录系统安全的另一详细工作流程图;
图5为本发明实施例中提高单次登录系统安全的系统结构图;
图6为本发明实施例中应用服务器的一种结构图;
图7为本发明实施例中单次登录系统的一种结构图。
具体实施方式
本发明实施例提供的一种提高单次登录系统安全的方法,主要是利用应用服务器接收用户客户端发来的携带验证信息的应用服务请求,根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统;SSO系统接收到应用服务请求后,发送允许提供应用服务的通知给应用服务器。采用本发明,可以实现先由应用服务器直接对当前接收的应用服务请求进行校验,而不是现有技术中的由SSO系统直接验证用户客户端发送的应用服务请求,进而提高了SSO系统的安全。并且,本发明中,利用应用服务器对当前接收的应用服务请求进行校验,也能节省SSO系统的性能资源。
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
参见图2,图2为本发明实施例中提供的提高单次登录系统安全的工作流程图。如图2所示,该工作流程可包括以下步骤:
步骤201,应用服务器接收用户客户端发来的携带验证信息的应用服务请求。
步骤202,应用服务器根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,执行步骤203。
这里,应用服务器根据获取的验证信息对应用服务请求中携带的验证信息校验失败时,可直接过滤掉当前接收的应用服务请求。
步骤203,应用服务器发送该当前接收的应用服务请求给SSO系统
步骤204,SSO系统接收到应用服务请求后,发送允许提供应用服务的通知给应用服务器。
如此,用户可直接访问到该应用服务器提供的各种应用服务。
为使本发明实施例的技术方案和优点更加清楚明白,下面对本发明实施例提供的验证登录信息的方法进行详细描述。
参见图3,图3为本发明实施例提供的提高单次登录系统安全的方法的详细工作流程图。在用户客户端发送应用服务请求之前发送的登录信息经身份认证中心验证成功后,如图3所示,该流程包括以下步骤:
步骤301,SSO系统产生对应所述登录信息的第一预验证信息。
这里,第一预验证信息可为表示用户客户端的身份以及用户客户端当前登录状态的信息,其中,该第一预验证信息可以为一个ID值。
优选地,为便于后续的验证操作,该第一预验证信息可包括两个副本,这两个副本是一致的或一一对应的。其中一个副本发放给用户客户端,由用户客户端保留,优选地,如果用户客户端后续申请的应用服务一般是web应用服务,则可将该其中一个副本保存在浏览器中的文本文件(Cookie)中。另一个副本会存放在SSO系统中,具体地,可以采用节(Session)的形式存放在SSO系统中。这里,之所以采用Session的形式存放另一个副本在SSO系统中,是因为用户客户端申请的应用服务(例如网页)是一种无状态的连接程序,应用服务器(例如Web服务器)无法得知用户的浏览状态,利用Session来记录用户的有关身份信息,以供后续的用户再次以此身份对web服务器提供要求时进行确认。
此外,第一预验证信息可以有多种形式,如可以为授权票据(ticket,可简称为票据),或者数字签名等。
步骤302,SSO系统按照预设定的规则变换自身产生的第一预验证信息,得到验证信息,将该验证信息发送给应用服务器。
这里,为节省性能资源,优选地,可将上述发放给用户客户端的副本中的第一预验证信息按照预设定的规则进行变换,得到验证信息,将该验证信息发送给应用服务器。
这里,预设定的规则可以有多种形式,如可以为加密算法,也可以为直接变换第一预验证信息中某一位或多位为预先设定的字符等形式,比如,预设定的规则为将第一预验证信息的最后一位变换为字符“0”。
步骤303,应用服务器接收并存储该SSO系统发来的验证信息,并将接收的验证信息发送给用户客户端。
步骤304,用户客户端存储接收的验证信息,在申请基于该SSO系统的任意一个或一个以上的应用服务时,将该验证信息携带在应用服务请求中发送给所述应用服务器。
这里,可将基于该SSO系统的所有应用服务称为该SSO系统的应用集群。如此,步骤304中的用户客户端申请基于该SSO系统的任意一个或一个以上的应用服务具体为:用户客户端申请该SSO系统的应用集群中的任意一个或一个以上的应用服务。
步骤305,应用服务器判断当前接收到的应用服务请求中所携带的验证信息是否与所存储的来自SSO系统发送的验证信息相对应,如果是,执行步骤306,否则,直接过滤掉当前接收的应用服务请求。
这里,应用服务器判断当前接收到的应用服务请求中所携带的验证信息是否与所存储的来自SSO系统发送的验证信息相对应具体可为:应用服务器判断当前接收到的应用服务请求中所携带的验证信息与所存储的来自SSO系统发送的验证信息中的每一位是否都对应,如果是,则执行步骤306,否则,直接过滤掉当前接收的应用服务请求。
本发明实施例中,为节省应用服务器的性能资源,应用服务器也可只判断当前接收到的应用服务请求中携带的验证信息中是否存在SSO系统对自身产生的第一预验证信息进行变换时所发生变换的各个位对应的信息,具体实现时,步骤302可替换为:SSO系统按照预设定的规则变换自身产生的第一预验证信息,发送针对自身产生的第一预验证信息中发生变换的各个位的信息给应用服务器。步骤303可替换为:应用服务器接收并存储该SSO系统发来的信息。步骤304不变,但在步骤304之前,并在SSO系统按照预设定的规则变换自身产生的第一预验证信息之后,还可包括:SSO系统将按照预设定的规则变换自身产生的第一预验证信息所得到的验证信息发送给用户客户端。步骤305可替换为:应用服务器判断当前接收到的应用服务请求中所携带的验证信息中是否存在SSO系统对产生的第一预验证信息进行变换时发生变换的各个位所对应的信息,如果是,执行步骤306,否则,直接过滤掉当前接收的应用服务请求。
比如,若上述替换后的步骤302中SSO系统发送针对自身产生的第一预验证信息中发生变换的各个位的信息为将SSO系统产生的第一预验证信息的最后一位变换为字符“0”,则在替换后的步骤305中,应用服务器判断当前接收到的应用服务请求中携带的验证信息中的最后一位是否为字符“0”,是则执行步骤306,否则,直接过滤掉当前接收的应用服务请求。
可见,本实施例中,应用服务器首先对当前接收的应用服务请求中携带的验证信息进行了一个预认证。
步骤306,应用服务器将当前校验成功的应用服务请求发送给SSO系统。
本实施例中,为了进一步提高应用服务的可靠性,SSO系统可在接收到应用服务请求后,执行步骤307中的对该接收的应用服务请求中的验证信息进行验证的操作。当然,SSO系统也可以不对应用服务请求中的验证信息进行验证,直接执行步骤308,这需要具体情况具体分析。
步骤307,SSO系统对该接收的应用服务请求中的验证信息进行验证,在验证成功时,执行步骤308。
这里,步骤307具体可为:SSO系统提取所述应用服务器发送的应用服务请求所携带的验证信息,并获取该验证信息变换之前对应的第一预验证信息,判断该第一预验证信息是否与自身产生的第一预验证信息相对应,如果是,则验证成功,执行步骤308。当然,若SSO系统对该接收的应用服务请求验证失败,则确定当前该接收的应用服务请求无效,这样,SSO系统可发送拒绝提供应用服务的通知给上述应用服务器,如此,用户客户端不能申请到上述应用服务器对应的应用服务。
其中,若上述SSO系统产生的第一预验证信息包括两个副本,这两个副本是一致的或一一对应的,其中一个副本发放给用户客户端,由用户客户端保留,并且,该用户客户端保留的副本中的信息为SSO系统对第一预验证信息进行变换所得到的验证信息,另一个副本会存放在SSO系统中,该SSO系统中存储的副本中的第一预验证信息没有发生变换,则SSO系统判断获取的变换之前的第一预验证信息是否与自身所存储的副本中的第一预验证信息相对应,如果是,则确定对该接收的应用服务请求验证成功,执行步骤308。
步骤308,SSO系统发送允许提供应用服务的通知给应用服务器。
可见,本发明实施例利用应用服务器先执行对应用服务器对当前接收到的应用服务请求进行校验,在校验成功时,才发送该应用服务请求(该应用服务请求中携带验证信息如授权票据)给SSO系统,这样,相比于现有技术直接将应用服务请求发送SSO系统,大大提高了SSO系统的安全。并且,采用本发明实施例,即使应用服务器当前接收的应用服务请求中包含黑客尝试伪造的信息,因为应用服务器先执行校验当前接收的应用服务请求,故这些攻击会首先在应用服务器中得到消耗,这样,到达SSO系统后,该不安全攻击的影响就会降低,进而有效防止直接针对SSO系统平台的单纯的不安全攻击。当然,若上述应用服务器承受不了攻击而瘫痪,也只是影响此应用服务器所对应的应用服务,而不会影响基于SSO系统的其他应用服务的正常运行。
需要说明的是,上述按照预设定的规则变换第一预验证信息,将变换后得到的验证信息发送给用户客户端,以及将验证信息发送给应用服务器的操作主要是利用SSO系统执行的。本发明实施例中,也可以由应用服务器执行上述类似的操作,具体可参见图4。
图4为本发明实施例提供的提高单次登录系统安全的方法的另一详细工作流程图;在用户客户端发送应用服务请求之前发送的登录信息经身份认证中心验证成功后,如图4所示,该流程包括以下步骤:
步骤401,SSO系统产生对应所述登录信息的第二预验证信息,将该产生的第二预验证信息发送给应用服务器。
步骤402,应用服务器接收并存储SSO系统发送的对应用户客户端的第二预验证信息。
步骤403,应用服务器按照预设定的规则对来自SSO系统的第二预验证信息进行变换,得到验证信息,将该验证信息发送给对应的用户客户端。
步骤404,用户客户端存储接收的验证信息,在申请基于该SSO系统的任意一个或一个以上的应用服务时,将该验证信息携带在应用服务请求中发送给所述应用服务器。
步骤405,应用服务器判断应用服务请求中携带的验证信息是否与对所存储的来自SSO系统的第二预验证信息进行变换所得到的验证信息相对应,如果是,则校验成功,执行步骤406,否则,直接过滤掉当前接收的应用服务请求。
步骤406,应用服务器获取当前接收的应用服务请求中携带的验证信息所对应的变换之前的第二预验证信息,并更新应用服务请求,将更新后的应用服务请求发送给单次登录SSO系统。
上述更新应用服务请求具体可为:应用服务器将应用服务请求中携带的验证信息更新为该获取的第二预验证信息。
本实施例中,为了进一步提高应用服务的可靠性,SSO系统可在接收到应用服务请求后,执行步骤407。当然,SSO系统也可以不执行步骤407,直接执行步骤408,这需要具体情况具体分析。
步骤407,SSO系统对该接收的应用服务请求中的验证信息进行验证,在验证成功时,执行步骤408。
SSO系统对该接收的应用服务请求中的验证信息进行验证具体可为:SSO系统提取所述应用服务器发送的应用服务请求所携带的第二预验证信息,判断该第二预验证信息是否与自身产生的第二预验证信息相对应,如果是,则验证成功,执行步骤408。当然,若SSO系统对该接收的应用服务请求验证失败,则确定当前该接收的应用服务请求无效,这样,SSO系统可发送拒绝提供应用服务的通知给上述应用服务器,如此,用户客户端不能申请到上述应用服务器对应的应用服务。
步骤408,SSO系统发送允许提供应用服务的通知给应用服务器。
至此,实现了本发明实施例中提高单次登录系统安全的方法。
下面对本发明实施例中提供的提高单次登录系统安全的系统进行描述。
参见图5,图5为本发明实施例中提高单次登录系统安全的系统结构图,如图5所示,该系统包括:用户客户端501、应用服务器502和单次登录系统503。
其中,用户客户端501用于发送携带验证信息的应用服务请求给应用服务器502。
这里,上述验证信息可以有多种形式,如可以为授权票据(ticket,可简称为票据),或者数字签名等。
应用服务器502用于接收所述应用服务请求,根据获取的对应所述用户客户端501的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录系统503。
单次登录系统503用于接收到应用服务请求后,发送允许提供应用服务的通知给应用服务器502。
具体实现时,应用服务器的结构可有多种方式,参见图6,图6为本发明实施例中应用服务器的一种结构图。如图6所示,该应用服务器可包括:第一接收单元601、第一获取单元602和校验单元603。
其中,第一接收单元601用于接收用户客户端发来的携带验证信息的应用服务请求,并在接收SSO系统在接收到应用服务请求后所发送的允许提供应用服务的通知。
第一获取单元602用于获取对应所述用户客户端的验证信息。
校验单元603用于根据第一获取单元602获取的验证信息对第一接收单元601接收的应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统。
优选地,第一获取单元602获取SSO系统发送的验证信息,该验证信息为SSO系统对自身产生的对应用户客户端登陆信息的第一预验证信息进行变换所得到的信息;
校验单元603判断当前接收到的应用服务请求中所携带的验证信息是否与所述第一获取单元获取的验证信息相对应,如果是,则校验成功,执行所述在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统的操作。
优选地,第一获取单元602获取SSO系统产生的对应用户客户端登陆信息的第二预验证信息;
其中,如图6中的虚线所示,该应用服务器进一步可包括:第一变换单元604。
第一变换单元604用于对SSO系统产生的对应用户客户端登陆信息的第二预验证信息进行变换,得到验证信息。
第一获取单元602获取第一变换单元604得到的验证信息。
校验单元603判断所述用户客户端发送的应用服务请求中携带的验证信息是否与第一获取单元602获取的验证信息相对应,如果是,则执行发送该当前接收的应用服务请求给单次登录SSO系统的操作。
优选地,如图6中的虚线所示,该应用服务器进一步可包括:
第二获取单元605用于在校验单元603判断出当前接收的应用服务请求中携带的验证信息与第一获取单元602获取的验证信息相对应之后,并在发送该当前接收的应用服务请求给单次登录SSO系统之前,获取当前接收的应用服务请求中携带的验证信息所对应的变换之前的第二预验证信息,将应用服务请求中携带的验证信息更新为该获取第二预验证信息,将更新后的应用服务请求发送给单次登录SSO系统。
具体实现时,单次登录系统的结构可有多种方式,参见图7,图7为本发明实施例中单次登录系统的一种结构图。如图7所示,该单次登录系统可包括:第二接收单元701和通知单元702。
其中,第二接收单元701用于在应用服务器对当前接收的应用服务请求中携带的验证信息校验成功后,接收该应用服务器发送的应用服务请求。
通知单元702用于根据第二接收单元701接收的应用服务请求,发送允许提供应用服务的通知给应用服务器。
优选地,如图7中的虚线所示,该单次登录系统进一步可包括:验证信息产生单元703和判断单元704。
其中,验证信息产生单元703用于产生对应用户客户端登录信息的第一预验证信息,对该第一预验证信息进行变换,得到验证信息。
第二接收单元701接收的应用服务请求中携带验证信息产生单元703得到的验证信息。
判断单元704用于提取第二接收单元701接收的应用服务请求中所携带的验证信息,并获取该验证信息变换之前对应的第一预验证信息,判断该第一预验证信息是否与验证信息产生单元703产生的第一预验证信息相对应,如果是,则执行通知单元702发送允许提供应用服务的通知给应用服务器的操作。
优选地,验证信息产生单元703还可用于产生对应用户客户端登录信息的第二预验证信息。
第二接收单元701接收的应用服务请求中携带所述验证信息产生单元得到的第二预验证信息。
判断单元704提取所述应用服务器发送的应用服务请求所携带的第二预验证信息,判断该第二预验证信息是否与验证信息产生单元703产生的第二预验证信息相对应,如果是,则执行通知单元702发送允许提供应用服务的通知给应用服务器的操作。
需要说明的是,本发明实施例中,应用服务器和单次登陆系统内部中的各个单元可以是物理功能单元,也可以是软件功能单元,并且各个单元还可进行细分或进行合并,具体实现时,本领域普通技术人员可根据实际情况进行处理,此处不再一一列举。
可见,本发明实施例提供的一种提高单次登录系统安全的方法、系统及装置,其中,该方法包括:应用服务器接收用户客户端发来的携带验证信息的应用服务请求,根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统;SSO系统接收到应用服务请求后,发送允许提供应用服务的通知给应用服务器。采用本发明,可以先由应用服务器直接对当前接收的应用服务请求进行校验,在校验成功后,再将该接收的应用服务请求发送给SSO系统进行验证,相比于现有技术直接将应用服务请求发送SSO系统,大大提高了SSO系统的安全。
此外,本发明先由应用服务器直接对当前接收的应用服务请求进行校验,相比于现有技术直接将应用服务请求发送SSO系统,可以减轻SSO系统验证所有请求的压力,使SSO系统“专注”于有效请求的认证,进而提升了SSO系统所支撑的所有应用服务对应的在线用户的容量。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1、一种提高单次登录系统安全的方法,其特征在于,该方法包括:
应用服务器接收用户客户端发来的携带验证信息的应用服务请求,根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统;
SSO系统接收到应用服务请求后,发送允许提供应用服务的通知给应用服务器。
2、根据权利要求1所述的方法,其特征在于,应用服务器获取对应所述用户客户端的验证信息包括:
在所述用户客户端发送应用服务请求之前发送的登录信息经身份认证中心验证成功后,SSO系统产生对应所述登录信息的第一预验证信息,对该第一预验证信息进行变换,得到所述验证信息,将该验证信息发送给应用服务器;
应用服务器接收并存储该SSO系统发来的验证信息,并将接收的验证信息发送给用户客户端;
所述用户客户端存储接收的验证信息,在申请基于该SSO系统的任意一个或一个以上的应用服务时,将该验证信息携带在应用服务请求中发送给所述应用服务器。
3、根据权利要求2所述的方法,其特征在于,所述应用服务器根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验包括:
应用服务器判断当前接收到的应用服务请求中所携带的验证信息是否与所存储的来自SSO系统发送的验证信息相对应,如果是,则校验成功,执行所述在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统的操作。
4、根据权利要求1所述的方法,其特征在于,应用服务器获取对应所述用户客户端的验证信息包括:
在所述用户客户端发送应用服务请求之前发送的登录信息经身份认证中心验证成功后,SSO系统产生对应所述登录信息的第二预验证信息,将该第二预验证信息发送给应用服务器;
所述应用服务器接收并存储SSO系统发送的第二预验证信息,并对该第二预验证信息进行变换,得到所述验证信息,将该验证信息发送给对应的用户客户端;
所述用户客户端存储接收的验证信息,在申请基于该SSO系统的任意一个或一个以上的应用服务时,将该验证信息携带在应用服务请求中发送给所述应用服务器。
5、根据权利要求4所述的方法,其特征在于,所述应用服务器根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验包括:
应用服务器判断应用服务请求中携带的验证信息是否与对所存储的来自SSO系统的第二预验证信息进行变换所得到的验证信息相对应,如果是,则校验成功,执行所述在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统的操作。
6、根据权利要求3所述的方法,其特征在于,在SSO系统接收到应用服务请求后,并在发送允许提供应用服务的通知给应用服务器之前,进一步包括:
SSO系统提取所述应用服务器发送的应用服务请求所携带的验证信息,并获取该验证信息变换之前的第一预验证信息,判断该第一预验证信息是否与自身产生的第一预验证信息相对应,如果是,则执行发送允许提供应用服务的通知给应用服务器的操作。
7、根据权利要求5所述的方法,其特征在于,应用服务器在判断出当前接收的应用服务请求中携带的验证信息与对所存储的来自SSO系统的第二预验证信息进行变换所得到的验证信息相对应之后,并在发送该当前接收的应用服务请求给单次登录SSO系统之前,进一步包括:
应用服务器获取当前接收的应用服务请求中携带的验证信息变换之前的第二预验证信息,将应用服务请求中携带的验证信息更新为该第二预验证信息;
所述发送该当前接收的应用服务请求给单次登录SSO系统包括:
将更新后的应用服务请求发送给单次登录SSO系统;
在SSO系统接收到应用服务请求后,并在发送允许提供应用服务的通知给应用服务器之前,进一步包括:
SSO系统提取所述应用服务器发送的应用服务请求所携带的第二预验证信息,判断该第二预验证信息是否与自身产生的第二预验证信息相对应,如果是,则执行发送允许提供应用服务的通知给应用服务器的操作。
8、一种提高单次登录系统安全的系统,其特征在于,该系统包括:用户客户端、应用服务器和单次登录系统;其中,
所述用户客户端用于发送携带验证信息的应用服务请求给所述应用服务器;
所述应用服务器用于接收所述应用服务请求,根据获取的对应所述用户客户端的验证信息对应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给单次登录系统;
所述单次登录系统用于接收到应用服务请求后,发送允许提供应用服务的通知给所述应用服务器。
9、一种应用服务器,其特征在于,该应用服务器包括:第一接收单元、第一获取单元和校验单元;其中,
所述第一接收单元用于接收用户客户端发来的携带验证信息的应用服务请求,并接收SSO系统所发送的允许提供应用服务的通知;
所述第一获取单元用于获取对应所述用户客户端的验证信息;
所述校验单元用于根据所述第一获取单元获取的验证信息对所述第一接收单元接收的应用服务请求中携带的验证信息进行校验,在校验成功时,发送该当前接收的应用服务请求给SSO系统。
10、根据权利要求9所述的应用服务器,其特征在于,所述第一获取单元获取SSO系统发送的验证信息,该验证信息为SSO系统对自身产生的对应用户客户端登陆信息的第一预验证信息进行变换所得到的信息;
所述校验单元判断当前接收到的应用服务请求中所携带的验证信息是否与所述第一获取单元获取的验证信息相对应,如果是,则校验成功,执行所述在校验成功时,发送该当前接收的应用服务请求给单次登录SSO系统的操作。
11、根据权利要求9所述的应用服务器,其特征在于,该应用服务器进一步包括:第一变换单元;其中,
所述第一变换单元用于对SSO系统产生的对应用户客户端登陆信息的第二预验证信息进行变换,得到验证信息;
所述第一获取单元获取所述第一变换单元得到的验证信息;
所述校验单元判断所述用户客户端发送的应用服务请求中携带的验证信息是否与所述第一获取单元获取的验证信息相对应,如果是,则执行发送该当前接收的应用服务请求给单次登录SSO系统的操作。
12、根据权利要求11所述的应用服务器,其特征在于,该应用服务器进一步包括:第二获取单元;其中,
所述第二获取单元用于在所述校验单元判断出当前接收的应用服务请求中携带的验证信息与所述第一获取单元获取的验证信息相对应之后,并在发送该当前接收的应用服务请求给单次登录SSO系统之前,获取当前接收的应用服务请求中携带的验证信息所对应的变换之前的第二预验证信息,将应用服务请求中携带的验证信息更新为该第二预验证信息,将更新后的应用服务请求发送给SSO系统。
13、一种单次登录系统,其特征在于,该单次登录系统包括:
第二接收单元,用于在应用服务器对当前接收的应用服务请求中携带的验证信息校验成功后,接收该应用服务器发送的应用服务请求;
通知单元,用于根据所述第二接收单元接收的应用服务请求,发送允许提供应用服务的通知给应用服务器。
14、根据权利要求13所述的单次登录系统,其特征在于,该单次登录系统进一步包括:验证信息产生单元和判断单元;其中,
所述验证信息产生单元用于产生对应用户客户端登录信息的第一预验证信息,对该第一预验证信息进行变换,得到验证信息;
所述第二接收单元接收的应用服务请求中携带所述验证信息产生单元得到的验证信息;
所述判断单元用于提取所述第二接收单元接收的应用服务请求中所携带的验证信息,并获取该验证信息变换之前对应的第一预验证信息,判断该第一预验证信息是否与所述验证信息产生单元产生的第一预验证信息相对应,如果是,则执行所述通知单元发送允许提供应用服务的通知给应用服务器的操作。
15、根据权利要求13所述的单次登录系统,其特征在于,该单次登录系统进一步包括:验证信息产生单元和判断单元;其中,
所述验证信息产生单元用于产生对应用户客户端登录信息的第二预验证信息;
所述第二接收单元接收的应用服务请求中携带所述验证信息产生单元得到的第二预验证信息;
所述判断单元提取所述应用服务器发送的应用服务请求所携带的第二预验证信息,判断该第二预验证信息是否与所述验证信息产生单元产生的第二预验证信息相对应,如果是,则执行所述通知单元发送允许提供应用服务的通知给应用服务器的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101493551A CN101360107A (zh) | 2008-09-19 | 2008-09-19 | 一种提高单次登录系统安全的方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101493551A CN101360107A (zh) | 2008-09-19 | 2008-09-19 | 一种提高单次登录系统安全的方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101360107A true CN101360107A (zh) | 2009-02-04 |
Family
ID=40332444
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101493551A Pending CN101360107A (zh) | 2008-09-19 | 2008-09-19 | 一种提高单次登录系统安全的方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101360107A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917424A (zh) * | 2010-08-05 | 2010-12-15 | 上海酷吧信息技术有限公司 | 多个应用程序中登录信息转移方法 |
| CN102682009A (zh) * | 2011-03-11 | 2012-09-19 | 腾讯科技(北京)有限公司 | 一种用户登录网页的方法及系统 |
| CN103051630A (zh) * | 2012-12-21 | 2013-04-17 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及系统 |
| CN103069741A (zh) * | 2011-08-17 | 2013-04-24 | 华为技术有限公司 | 凭据认证方法及单点登录服务器 |
| CN103370714A (zh) * | 2012-02-17 | 2013-10-23 | 株式会社东芝 | 认证协作系统、id 提供方装置以及程序 |
| CN106302324A (zh) * | 2015-05-20 | 2017-01-04 | 北京神州泰岳软件股份有限公司 | 域内设备的用户认证方法及装置 |
| CN107276963A (zh) * | 2016-04-06 | 2017-10-20 | 泰康之家(北京)投资有限公司 | 一种更新权限的方法及装置 |
| CN113992532A (zh) * | 2021-12-27 | 2022-01-28 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
-
2008
- 2008-09-19 CN CNA2008101493551A patent/CN101360107A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917424A (zh) * | 2010-08-05 | 2010-12-15 | 上海酷吧信息技术有限公司 | 多个应用程序中登录信息转移方法 |
| CN102682009A (zh) * | 2011-03-11 | 2012-09-19 | 腾讯科技(北京)有限公司 | 一种用户登录网页的方法及系统 |
| CN102682009B (zh) * | 2011-03-11 | 2017-02-15 | 腾讯科技(北京)有限公司 | 一种用户登录网页的方法及系统 |
| CN103069741A (zh) * | 2011-08-17 | 2013-04-24 | 华为技术有限公司 | 凭据认证方法及单点登录服务器 |
| CN103370714B (zh) * | 2012-02-17 | 2016-03-16 | 株式会社东芝 | 认证协作系统、id提供方装置以及其控制方法 |
| CN103370714A (zh) * | 2012-02-17 | 2013-10-23 | 株式会社东芝 | 认证协作系统、id 提供方装置以及程序 |
| CN103051630B (zh) * | 2012-12-21 | 2016-01-27 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及系统 |
| CN103051630A (zh) * | 2012-12-21 | 2013-04-17 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及系统 |
| CN106302324A (zh) * | 2015-05-20 | 2017-01-04 | 北京神州泰岳软件股份有限公司 | 域内设备的用户认证方法及装置 |
| CN107276963A (zh) * | 2016-04-06 | 2017-10-20 | 泰康之家(北京)投资有限公司 | 一种更新权限的方法及装置 |
| CN107276963B (zh) * | 2016-04-06 | 2021-09-03 | 泰康之家(北京)投资有限公司 | 一种更新权限的方法及装置 |
| CN113992532A (zh) * | 2021-12-27 | 2022-01-28 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
| CN113992532B (zh) * | 2021-12-27 | 2022-03-25 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101075875B (zh) | 在门户/系统之间实现单点登录的方法及其系统 | |
| CN103888265B (zh) | 一种基于移动终端的应用登录系统和方法 | |
| CN106779716B (zh) | 基于区块链账户地址的认证方法、装置及系统 | |
| US8319984B2 (en) | Image forming system, apparatus, and method executing a process designated by a service request after token validation | |
| CN103023918B (zh) | 为多个网络服务统一提供登录的方法、系统和装置 | |
| CN101360107A (zh) | 一种提高单次登录系统安全的方法、系统及装置 | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| US9419974B2 (en) | Apparatus and method for performing user authentication by proxy in wireless communication system | |
| US8474014B2 (en) | Methods for the secure use of one-time passwords | |
| WO2014201636A1 (zh) | 身份登录方法及设备 | |
| CN104065616A (zh) | 单点登录方法和系统 | |
| US10630574B2 (en) | Link processing method, apparatus, and system | |
| CN101997685A (zh) | 单点登录方法、单点登录系统以及相关设备 | |
| CN101355555A (zh) | 认证系统及认证方法 | |
| CN104954330A (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
| CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| CN111405036A (zh) | 服务访问方法、装置、相关设备及计算机可读存储介质 | |
| CN109495486B (zh) | 一种基于JWT的单页Web应用集成CAS的方法 | |
| CN102624687A (zh) | 基于移动终端的联网程序用户验证方法 | |
| CN102143177A (zh) | 一种Portal认证方法、装置、设备及系统 | |
| CN107819728B (zh) | 网络认证方法、相关装置 | |
| CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN105681258A (zh) | 基于第三方服务器的会话方法和会话装置 | |
| CN1885770B (zh) | 一种认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20090204 |