CN101626369A - 一种单点登录方法、设备及系统 - Google Patents
一种单点登录方法、设备及系统 Download PDFInfo
- Publication number
- CN101626369A CN101626369A CN200810116578A CN200810116578A CN101626369A CN 101626369 A CN101626369 A CN 101626369A CN 200810116578 A CN200810116578 A CN 200810116578A CN 200810116578 A CN200810116578 A CN 200810116578A CN 101626369 A CN101626369 A CN 101626369A
- Authority
- CN
- China
- Prior art keywords
- user
- application system
- authentication center
- login
- identity token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种单点登录方法,该方法包括:确定请求登录第一应用系统的用户未在其它应用系统登录;当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;当第一应用系统为二级应用系统时则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;第一应用系统按用户身份令牌向用户提供服务页面。本发明同时公开一种单点登录系统。采用本发明可以对认证进行分级管理,并有效分散系统压力。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种单点登录方法、设备及系统。
背景技术
随着社会信息化的发展,各行各业都越来越多的使用互联网这个工具来介绍自己和为客户提供丰富便捷的网上服务。现在人们的日常生活中,需要使用的应用系统越来越多,而一般的,每个应用系统都需要认证用户的身份,从而提供相应的服务,用户每次访问都需要首先成功登录应用系统。这样用户就需要在多个应用系统中设立并且记住多套用户名称和口令,访问时,在每个应用系统都需要输入一次对应的用户名称和口令来登录。这样给用户带来诸多的不便及安全问题。
单点登录技术的出现,正是为了解决以上问题。单点登录是指用户进行一次验证(即使用用户名称和口令登录)后即可以访问相关的多个应用系统的功能。通过单点登录,用户只需要登录一次,便可以实现在多个应用系统中的登录,从而使用户省去了繁琐的逐一登录过程,同时也避免了因为用户在多个应用系统中设置不同的用户名称和口令带来的一系列管理和安全的问题。
在通信领域由于应用系统的不同和运营的需要,现有应用系统一般分级部署:对于需要全网运营的应用系统(称为一级应用系统),建立全网应用平台;对于需要分省、分区域运营的应用系统(称为二级应用系统),建立省级、区域级应用平台。为了减轻大数据量的处理压力,用户数据一般只在用户归属省或者区域进行存放。要实现此类应用系统的单点登录,需要解决不同级别应用系统之间的单点登录问题。
目前有多种技术实现分级应用系统的单点登录,主要包括如下两类:
一、在全网应用平台集中认证和登录
如图1所示,在全网应用平台设立单一集中的公共认证中心,用来认证用户身份,实现全部一级应用系统和二级应用系统的认证和单点登录管理。公共认证中心保存用户身份令牌并且对用户进行验证,用户端仅保存令牌编号,以保证信息安全。用户在不同的应用系统之间进行登录时,对用户的认证请求会送到公共认证中心,公共认证中心会判断用户是否已经在其他系统登录,如果用户没有登录,则提示用户登录,如果用户已经登录,则提供用户的身份信息给应用系统。
发明人经过分析,发现集中认证和登录的实现方案存在如下不足:
实现单点登录的公共认证中心是集中设置的,不能分散部署。集中设置的公共认证中心在用户量激增的情况下,需要不断提高系统处理能力,才能满足需求。但是单一系统的处理能力是有限的,不能无限制增加,因此当用户量达到一定数量时,公共认证中心的处理能力将消耗殆尽,从而影响用户的登录访问,甚至会出现系统瘫痪的极端情况的出现。一旦公共认证中心出现故障,则全网都将无法登录,性能和可靠性无法得到保证。另外,对于很多应用系统来说,由于建设和运营的要求,网站可能分布在不同地方而无法进行集中管理,仅设置一个集中的公共认证中心将使省级业务运营的自主性和灵活性受到影响,不能满足实际需求。
二、分省认证和登录
如图2所示,认证和单点登录管理功能由各省自己提供,用户在一级应用系统登录时,该一级应用系统(通过手工选择或简单的自动判断)与相应的省认证中心直接通信。
发明人经过分析,发现分省认证和登录的实现方案存在如下不足:
若干个一级应用系统与若干个省认证中心形成网状连接,使整个网络架构异常复杂,在跨系统访问中容易形成蜘蛛网式的访问从而导致信息拥塞,不适用规模大、用户量大的系统,不利于系统的维护和业务的扩展。
发明内容
本发明实施例提供一种单点登录方法,用以对认证进行分级管理,并有效分散系统压力,该方法包括:
确定请求登录第一应用系统的用户未在其它应用系统登录;
当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;
当第一应用系统为二级应用系统时,则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;
第一应用系统按用户身份令牌向用户提供服务页面。
本发明实施例还提供一种单点登录系统,用以对认证进行分级管理,并有效分散系统压力,该系统包括:
多个应用系统,其中包括一级应用系统和二级应用系统,用于接收用户的登录请求,按用户身份令牌向用户提供服务页面;
一级认证中心,用于在确定请求登录一级应用系统的用户未在其它应用系统登录时,将用户登录信息提供给用户归属的二级认证中心进行认证;以及,在认证通过后生成用户身份令牌并提供给用户请求登录的一级应用系统;
多个二级认证中心,用于在确定请求登录二级应用系统的用户未在其它应用系统登录时,对用户登录信息进行认证;以及,在认证通过后生成用户身份令牌并提供给用户请求登录的二级应用系统。
本发明实施例中,为一级应用系统设置一个统一的一级认证中心,为二级应用系统设置对应归属的多个二级认证中心,用户可以在多级应用系统多个认证中心并存情况下实施单点登录过程,具体实施时,确定请求登录第一应用系统的用户未在其它应用系统登录;当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;当第一应用系统为二级应用系统时,则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;第一应用系统按用户身份令牌向用户提供服务页面,从而通过在多级应用系统中部署多个认证中心,对认证进行分级管理,分流用户单点登录时的数据流,有效分散系统压力,不仅可以适用于大用户量系统,还可以适应不同场景的需要,具有广泛的应用前景。
附图说明
图1为背景技术中在全网应用平台集中认证和登录的示意图;
图2为背景技术中分省认证和登录的示意图;
图3为本发明实施例中单点登录的处理流程图;
图4为本发明实施例中单点登录的一个具体实例的系统结构图;
图5为本发明实施例中用户首先登录网站A的处理流程图;
图6为本发明实施例中用户首先登录网站C的处理流程图;
图7为本发明实施例中用户在已首先登录网站A时再登录网站C的处理流程图;
图8为本发明实施例中用户在已首先登录网站A时再登录网站B的处理流程图;
图9、图10为本发明实施例中单点登录系统的结构示意图。
具体实施方式
下面结合说明书附图对本发明实施例进行详细说明。
如图3所示,本发明实施例中,单点登录的处理流程如下:
步骤301、确定请求登录第一应用系统的用户未在其它应用系统登录。
步骤302、当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统。
步骤303、当第一应用系统为二级应用系统时,则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统。
步骤304、第一应用系统按用户身份令牌向用户提供服务页面。
图3所示流程中的用户身份令牌是一个文本串,用以标识用户身份,如其内容可以包含用户名称等用户身份信息,可以通过加密手段来保证安全性。
一级认证中心或第一应用系统归属的二级认证中心可以在向第一应用系统提供用户身份令牌之前,为用户身份令牌设置一编号,先向第一应用系统提供用户身份令牌编号;后续第一应用系统根据用户身份令牌编号,获取用户身份令牌。
一个实施例中,第一应用系统向认证中心发送用户身份令牌编号;认证中心根据用户身份令牌编号,查找用户身份令牌;对查找到的用户身份令牌进行有效性检查,在有效性检查通过后,向第一应用系统返回用户身份令牌。
第一应用系统可以先对用户身份令牌进行有效性检查,在有效性检查通过后,向用户提供服务页面。
一个实施例中,用户首先在某一应用系统登录时,该应用系统归属的认证中心向用户提供包含该认证中心标识信息的公共Cookie;用户后续请求登录的应用系统归属的认证中心可以根据用户保存的公共Cookie,确定用户已在至少一个应用系统登录,以及,确定用户首先登录的应用系统。
其中的公共Cookie是一个保留在用户端的文本文件,内容包括用户首次登录的应用系统归属的认证中心的标识信息,例如地址、名称等;一个实施例中,公共Cookie还可以包括用户首次请求登录的会话编号等信息。
在处理用户的首次登录请求时,需要将用户提交的用户登录信息交由用户认证服务器进行认证,由于二级认证中心可以直接与相应的用户认证服务器交互以实现对用户登录信息的验证,而一级认证中心需通过二级认证中心与用户认证服务器相交互,因而由于用户首次登录的应用系统级别的不同,其登录处理流程有所不同。
在步骤302中,如果确定第一应用系统为一级应用系统,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心;用户关联的二级认证中心将用户登录信息交由关联的用户认证服务器进行认证。如果确定第一应用系统为二级应用系统,则第一应用系统归属的二级认证中心将用户登录信息交由关联的用户认证服务器进行认证。
下面举一具体实例说明本发明实施例的单点登录方法。
如图4所示,在该具体实例中,设置有两级应用系统及分别归属的一级、二级认证中心:网站A和网站B属一级应用系统,均归属于认证中心1(一级认证中心);网站C、网站D属二级应用系统,均归属于认证中心2(二级认证中心);网站E、网站F属二级应用系统,均归属于认证中心3(二级认证中心);认证中心2与用户认证服务器M进行交互,认证中心3与用户认证服务器N进行交互。
假设用户首次登录的是一级应用系统网站A,则如图5所示,用户首次登录网站A的处理流程可以如下:
步骤501、用户请求登录网站A。
步骤502、网站A检查用户的登录状态(即是否在本网站登录),如果已经在本网站登录,则跳转到步骤520。
步骤503、网站A将用户的登录请求重定向至网站A归属的认证中心1。
步骤504、认证中心1确定用户并未保存有公共Cookie,则确定用户的单点登录状态为没有在任一网站登录。
步骤505、认证中心1提示用户进行登录。
步骤506、用户输入登录信息(如用户ID和口令)后提交。
步骤507、认证中心1进行必要的格式检查,如果检查未通过,则进行错误提示,如果检查通过,则执行步骤508。
步骤508、认证中心1在格式检查通过后,根据用户的登录信息查找用户关联的二级认证中心,本例中假设为认证中心2。
步骤509、认证中心1向认证中心2前转用户的登录请求。
步骤510、认证中心2将用户的登录信息提交给用户认证服务器M进行验证。
步骤511、用户认证服务器M进行验证处理。
步骤512、用户认证服务器M向认证中心2返回验证结果。
步骤513、认证中心2向认证中心1返回验证结果。
步骤514、在验证成功时,认证中心1设置用户的公共Cookie并向用户提供。其中的公共Cookie中包括认证中心1的标识信息,如地址、名称等;还可能包括用户首次请求登录的会话编号等信息。认证中心1还可以保存用户的登录标识。如果认证中心1收到的验证结果为失败时,提示错误信息。
步骤515、认证中心1将用户的登录请求重定向到网站A,携带用户身份令牌编号。
步骤516、网站A根据用户身份令牌编号向认证中心1提取用户身份令牌。
步骤517、认证中心1根据用户身份令牌编号查找对应的用户身份令牌,并检查查找到的用户身份令牌的有效性,在有效性检查通过后,执行步骤518。
步骤518、认证中心1向网站A发送用户身份令牌。
步骤519、网站A收到用户身份令牌后,检查其有效性,在有效性检查通过后,执行步骤520。
步骤520、网站A向用户提供服务页面。
在另一例中,假设用户首次登录的是二级应用系统网站C,则如图6所示,用户首次登录网站C的处理流程可以如下:
步骤601、用户请求登录网站C。
步骤602、网站C检查用户的登录状态(即是否在本网站登录),如果已经在本网站登录,则跳转到步骤617。
步骤603、网站C将用户的登录请求重定向至网站C归属的认证中心2。
步骤604、认证中心2确定用户未保存公共Cookie,则确定用户的单点登录状态:用户没有在任一网站登录。
步骤605、认证中心2提示用户进行登录。
步骤606、用户输入登录信息(如用户ID和口令)后提交。
步骤607、认证中心2进行必要的格式检查,如果检查未通过,则进行错误提示,如果检查通过,则执行步骤608。
步骤608、认证中心2在格式检查通过后,将用户的登录信息提交给用户认证服务器M进行验证。
步骤609、用户认证服务器M进行验证处理。
步骤610、用户认证服务器M向认证中心2返回验证结果。
步骤611、在验证成功时,认证中心2设置用户的公共Cookie并向用户提供。其中公共Cookie中包括认证中心2的标识信息,如地址、名称等;还可能包括用户首次请求登录的会话编号等信息。认证中心2还可以保存用户的登录标识。如果认证中心2收到的验证结果为失败时,提示错误信息。
步骤612、认证中心2将用户的登录请求重定向到网站C,携带用户身份令牌编号。
步骤613、网站C根据用户身份令牌编号向认证中心2提取用户身份令牌。
步骤614、认证中心2根据用户身份令牌编号查找对应的用户身份令牌,并检查查找到的用户身份令牌的有效性,在有效性检查通过后,执行步骤615。
步骤615、认证中心2向网站C发送用户身份令牌。
步骤616、网站C收到用户身份令牌后,检查其有效性,在有效性检查通过后,执行步骤617。
步骤617、网站C向用户提供服务页面。
一个实施例中,确定请求登录第二应用系统的用户已在至少一个应用系统登录,并且首先在一级应用系统登录;第二应用系统按从一级认证中心获取的用户身份令牌,向用户提供服务页面。
仍以图4所示网络结构为例,在又一例中,假设用户首先登录网站A,并且在已登录网站A的情况下,再登录网站C进行单点登录。网站A属一级应用系统,归属于认证中心1,网站C属二级应用系统,归属于认证中心2,如图7所示,其处理流程如下:
步骤701、用户请求登录网站C。
步骤702、网站C检查用户的登录状态(即是否在本网站登录),如果已经在本网站登录,则跳转到步骤713,如果未在本网站登录,则执行步骤703。
步骤703、网站C将用户的登录请求重定向至网站C归属的认证中心2。
步骤704、认证中心2通过用户保存的公共Cookie的内容检查用户的单点登录状态,确定用户已经在至少一个网站登录,并且首次登录是在网站A。
步骤705、认证中心2向网站A归属的认证中心1提取用户身份令牌。
步骤706、认证中心1查找到用户身份令牌,并检查其有效性,在有效性检查通过后,执行步骤707。
步骤707、认证中心1向认证中心2返回用户身份令牌。
步骤708、认证中心2将用户的登录请求重定向到网站C,携带用户身份令牌编号。
步骤709、网站C根据用户身份令牌编号向认证中心2提取用户身份令牌。
步骤710、认证中心2根据用户身份令牌编号查找用户身份令牌,并检查查找到的用户身份令牌的有效性,在有效性检查通过后,执行步骤711。
步骤711、认证中心2向网站C发送用户身份令牌。
步骤712、网站C收到用户身份令牌后,检查其有效性,在有效性检查通过后,执行步骤713。
步骤713、网站C向用户提供服务页面。
图7所示流程示出了用户在不同级别的应用系统之间实施单点登录的处理过程,当然,用户也可以在相同级别的应用系统之间实施单点登录的处理过程。例如,用户在首先登录网站C,并且在已登录网站C的情况下,再登录网站E进行单点登录:实施时,网站E归属的认证中心3确定用户已首先在网站C登录后,从网站C归属的认证中心2获取用户身份令牌并提供给网站E,网站E按获得的用户身份令牌向用户提供服务页面,其具体实施流程与图7所示流程类似。
当然,为避免在不同的二级认证中心之间互连而形成网状访问,可以由一级认证中心控制,使不同二级认证中心不可直接通信。实施中,若用户首先登录二级应用系统,则该二级应用系统归属的二级认证中心可在生成用户身份令牌后,将用户身份令牌提交给一级认证中心进行存储。后续该用户请求登录其它一级或二级应用系统时,可向存储有用户身份令牌的一级认证中心获取用户身份令牌,这样不必在二级认证中心之间互连,可以避免形成网状访问。
例如,用户在首先登录网站C,并且在已登录网站C的情况下,再登录网站E进行单点登录:实施时,网站C归属的认证中心2已将生成的用户身份令牌提交给认证中心1。网站E归属的认证中心3确定用户已首先在网站C登录后,直接从认证中心A获取用户身份令牌并提供给网站E,网站E按获得的用户身份令牌向用户提供服务页面。
一个实施例中,用户首先登录的二级应用系统归属的二级认证中心也可以不将用户身份令牌提交给一级认证中心进行存储。后续该用户请求登录其它一级或二级应用系统时,向一级认证中心请求获取用户身份令牌,一级认证中心再从用户首先登录的二级应用系统归属的二级认证中心查询并获取用户身份令牌,这样也不必在二级认证中心之间互连,可以避免形成网状访问。
例如,用户在首先登录网站C,并且在已登录网站C的情况下,再登录网站E进行单点登录:实施时,网站E归属的认证中心3确定用户已首先在网站C登录后,向认证中心1请求获取用户身份令牌,认证中心1从认证中心2查询用户身令牌并提供给网站E,网站E按获得的用户身份令牌向用户提供服务页面。
用户可以在归属于同一认证中心的应用系统之间实施单点登录的处理过程,例如,用户在首先登录网站A之后,再访问网站B,网站B和网站A均归属于认证中心1,如图8所示,具体流程如下:
步骤801、用户请求登录网站B。
步骤802、网站B检查用户的登录状态(即是否在本网站登录),如果已经在本网站登录,则跳转到步骤810。
步骤803、网站B将用户的登录请求重定向至网站B归属的认证中心1。
步骤804、认证中心1检查用户的单点登录状态,确定用户已经在至少一个网站登录,并且首次登录是在网站A。
步骤805、认证中心1在本地获取用户身份令牌,将用户的登录请求重定向到网站B,携带用户身份令牌编号。
步骤806、网站B根据用户身份令牌编号向认证中心1提取用户身份令牌。
步骤807、认证中心1根据用户身份令牌编号查找用户身份令牌,并检查查找到的用户身份令牌的有效性,在有效性检查通过后,执行步骤808。
步骤808、认证中心1向网站B发送用户身份令牌。
步骤809、网站B收到用户身份令牌后,检查其有效性,在有效性检查通过后,执行步骤810。
步骤810、网站B向用户提供服务页面。
图8所示流程示出了用户在归属于同一认证中心的不同一级应用系统之间实施单点登录的处理过程,当然,用户也可以在归属于同一认证中心的不同二级应用系统之间实施单点登录的处理过程,例如,用户在首先登录网站C之后,再访问网站D,网站C和网站D均归属于认证中心B,其具体实施流程与图8所示流程类似。
基于同一发明构思,本发明实施例还提供一种单点登录系统,其结构如图9所示,包括:
多个应用系统,其中包括一级应用系统901和二级应用系统902,用于接收用户的登录请求,按用户身份令牌向用户提供服务页面;
一级认证中心903,用于在确定请求登录一级应用系统的用户未在其它应用系统登录时,将用户登录信息提供给用户归属的二级认证中心进行认证;以及,在认证通过后生成用户身份令牌并提供给用户请求登录的一级应用系统;
多个二级认证中心904,用于在确定请求登录二级应用系统的用户未在其它应用系统登录时,对用户登录信息进行认证;以及,在认证通过后生成用户身份令牌并提供给用户请求登录的二级应用系统。
如图10所示,一个实施例中,图9所示的单点登录系统还包括:
多个用户认证服务器905,分别与关联的二级认证中心相连,用于接收关联的二级认证中心提交的用户登录信息并进行验证。
一个实施例中,一级认证中心还可以用于:在确定请求登录一级应用系统的用户已首先在其它应用系统登录时,将用户身份令牌提供给用户请求登录的一级应用系统;
二级认证中心还可以用于:在确定请求登录二级应用系统的用户已首先在其它应用系统登录时,从一级认证中心获取用户身份令牌并提供给用户请求登录的二级应用系统。
一个实施例中,二级认证中心还可以用于将生成的用户身份令牌提交给一级认证中心进行存储。
一个实施例中,一级认证中心还可以用于查询用户归属的二级认证中心生成的用户身份令牌。
本发明实施例中,一级认证中心可以提供用户登录页面,处理一级应用系统用户的登录请求;对用户的登录请求进行转发,路由用户登录请求至用户归属的二级认证中心(用户归属地二级应用系统归属的认证中心)进行认证;当用户在一级应用系统登录时产生和管理用户身份令牌,维护用户会话,对外提供单点登录服务;当用户在二级应用系统登录时,则存储用户归属的二级应用系统归属的二级认证中心提交的用户身份令牌,或向用户归属的二级认证中心查询用户身份令牌,完成单点登录。
二级认证中心可以提供用户登录页面,处理二级应用系统用户的登录请求;为用户提供登录认证服务(验证用户名和登录密码);若用户在二级应用系统登录,则产生和管理用户身份令牌,维护用户会话,对外提供单点登录服务;若用户在一级应用系统登录,则向一级认证中心查询用户身份令牌,完成单点登录。
实施中,在部署一级、二级认证中心时,可能考虑的因素有:系统配置、系统压力、部署地点限制、运营需要。
多个应用系统可以是提供数据资源、互联网资源等信息的管理平台,例如网站等系统,可以为用户提供统一的用户界面,提供互联网信息资源及相关信息服务。
在多认证中心的情况下,每个认证中心可以负责一个或者多个应用系统的登录管理。对于每个应用系统,可以选择归属于其中一个认证中心。实施中,对于应用系统来说,可以采用事先配置的方法,或者是在用户登录过程中采用一定算法临时确定归属的认证中心。
本发明实施例中,为一级应用系统设置一个统一的一级认证中心,为二级应用系统设置对应归属的多个二级认证中心,用户可以在多级应用系统多个认证中心并存情况下实施单点登录过程,具体实施时,确定请求登录第一应用系统的用户未在其它应用系统登录;当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;当第一应用系统为二级应用系统时,则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;第一应用系统按用户身份令牌向用户提供服务页面,从而通过在多级应用系统中部署多个认证中心,对认证进行分级管理,分流用户单点登录时的数据流,有效分散系统压力,解决了以往单一公共认证中心存在的系统压力集中、不能分散部署等问题;不仅可以适用于大用户量系统,还可以适应不同场景的需要,具有广泛的应用前景。
本发明实施例方法还具备良好的安全性。认证中心在向应用系统提供用户身份令牌时,可以不在跳转过程中直接采用参数传递,而是先给应用系统发一个用户身份令牌编号,由应用系统根据用户身份令牌编号,通过后台向认证中心提取用户身份令牌,从而避免用户身份令牌被截获、篡改等安全问题。
显然,本领域的技术人员可以对本发明进行各种改动和变形而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变形在内。
Claims (9)
1、一种单点登录方法,其特征在于,该方法包括:
确定请求登录第一应用系统的用户未在其它应用系统登录;
当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;
当第一应用系统为二级应用系统时,则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;
第一应用系统按用户身份令牌向用户提供服务页面。
2、如权利要求1所述的方法,其特征在于,二级认证中心对用户登录信息进行认证包括:
二级认证中心将用户登录信息交由关联的用户认证服务器进行认证。
3、如权利要求1或2所述的方法,其特征在于,该方法进一步包括:
确定请求登录第二应用系统的用户已在至少一个应用系统登录;
第二应用系统按从所述一级认证中心获取的用户身份令牌,向用户提供服务页面。
4、如权利要求3所述的方法,其特征在于,当第一应用系统为二级应用系统时,则所述从一级认证中心获取用户身份令牌包括:
一级认证中心存储有第一应用系统归属的二级认证中心在第一次认证后提交的用户身份令牌,在接收到第二应用系统获取用户身份令牌的请求后,直接提供所存储的用户身份令牌;
或,一级认证中心接收到获取第二应用系统获取用户身份令牌的请求后,从所述第一应用系统归属的二级认证中心获取用户身份令牌。
5、一种单点登录系统,其特征在于,包括:
多个应用系统,其中包括一级应用系统和二级应用系统,用于接收用户的登录请求,按用户身份令牌向用户提供服务页面;
一级认证中心,用于在确定请求登录一级应用系统的用户未在其它应用系统登录时,将用户登录信息提供给用户归属的二级认证中心进行认证;以及,在认证通过后生成用户身份令牌并提供给用户请求登录的一级应用系统;
多个二级认证中心,用于在确定请求登录二级应用系统的用户未在其它应用系统登录时,对用户登录信息进行认证;以及,在认证通过后生成用户身份令牌并提供给用户请求登录的二级应用系统。
6、如权利要求5所述的系统,其特征在于,还包括:
多个用户认证服务器,分别与关联的二级认证中心相连,用于接收关联的二级认证中心提交的用户登录信息并进行验证。
7、如权利要求5或6所述的系统,其特征在于,一级认证中心进一步用于:在确定请求登录一级应用系统的用户已首先在其它应用系统登录时,将用户身份令牌提供给用户请求登录的一级应用系统;
二级认证中心进一步用于:在确定请求登录二级应用系统的用户已首先在其它应用系统登录时,从一级认证中心获取用户身份令牌并提供给用户请求登录的二级应用系统。
8、如权利要求7所述的系统,其特征在于,二级认证中心进一步用于将生成的用户身份令牌提交给一级认证中心进行存储。
9、如权利要求7所述的系统,其特征在于,一级认证中心进一步用于查询用户归属的二级认证中心生成的用户身份令牌。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101165788A CN101626369B (zh) | 2008-07-11 | 2008-07-11 | 一种单点登录方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101165788A CN101626369B (zh) | 2008-07-11 | 2008-07-11 | 一种单点登录方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101626369A true CN101626369A (zh) | 2010-01-13 |
| CN101626369B CN101626369B (zh) | 2012-07-25 |
Family
ID=41522057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101165788A Active CN101626369B (zh) | 2008-07-11 | 2008-07-11 | 一种单点登录方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101626369B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457376A (zh) * | 2010-10-29 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算服务统一认证的方法和系统 |
| CN102801687A (zh) * | 2011-05-24 | 2012-11-28 | 鸿富锦精密工业(深圳)有限公司 | 单点登录系统及方法 |
| CN102868706A (zh) * | 2011-07-04 | 2013-01-09 | 中兴通讯股份有限公司 | 一种实现dsn内容业务访问安全的方法和系统 |
| CN104584477A (zh) * | 2013-07-31 | 2015-04-29 | 华为技术有限公司 | 认证方法、生成信任状的方法及相关装置 |
| CN104936177A (zh) * | 2014-03-20 | 2015-09-23 | 中国移动通信集团广东有限公司 | 一种接入认证方法及接入认证系统 |
| CN105100068A (zh) * | 2015-06-29 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 一种实现单点登录的系统及方法 |
| CN105262721A (zh) * | 2015-09-07 | 2016-01-20 | 北京百度网讯科技有限公司 | 账户认证方法及认证装置 |
| CN105516137A (zh) * | 2015-12-08 | 2016-04-20 | 英业达科技有限公司 | 学习平台的认证系统及其方法 |
| CN105871786A (zh) * | 2015-01-22 | 2016-08-17 | 阿里巴巴集团控股有限公司 | 一种用户信息的验证方法、装置和系统 |
| CN105959267A (zh) * | 2016-04-25 | 2016-09-21 | 北京九州云腾科技有限公司 | 单点登录技术中的主令牌获取方法、单点登录方法及系统 |
| CN106572097A (zh) * | 2016-11-01 | 2017-04-19 | 南京邮电大学 | 一种基于移动设备的混合式身份认证方法 |
| CN106603460A (zh) * | 2015-07-31 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种认证方式授权方法及装置 |
| CN109802835A (zh) * | 2019-01-25 | 2019-05-24 | 北京中电普华信息技术有限公司 | 一种安全认证方法、系统及api网关 |
| CN110034933A (zh) * | 2018-12-25 | 2019-07-19 | 中国银联股份有限公司 | 跨系统用户互信认证方法及跨系统用户互信认证系统 |
| CN110278179A (zh) * | 2018-03-15 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 单点登录方法、装置和系统以及电子设备 |
| CN112105015A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 二级认证的方法和装置 |
| CN113792273A (zh) * | 2021-09-13 | 2021-12-14 | 数字广东网络建设有限公司 | 一种身份认证的方法、装置、设备和存储介质 |
| CN115118454A (zh) * | 2022-05-25 | 2022-09-27 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100546245C (zh) * | 2006-01-11 | 2009-09-30 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN101075875B (zh) * | 2007-06-14 | 2011-08-31 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
-
2008
- 2008-07-11 CN CN2008101165788A patent/CN101626369B/zh active Active
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457376A (zh) * | 2010-10-29 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算服务统一认证的方法和系统 |
| CN102457376B (zh) * | 2010-10-29 | 2016-02-10 | 中兴通讯股份有限公司 | 一种云计算服务统一认证的方法和系统 |
| CN102801687A (zh) * | 2011-05-24 | 2012-11-28 | 鸿富锦精密工业(深圳)有限公司 | 单点登录系统及方法 |
| CN102868706A (zh) * | 2011-07-04 | 2013-01-09 | 中兴通讯股份有限公司 | 一种实现dsn内容业务访问安全的方法和系统 |
| CN102868706B (zh) * | 2011-07-04 | 2017-07-14 | 中兴通讯股份有限公司 | 一种实现dsn内容业务访问安全的方法和系统 |
| CN104584477A (zh) * | 2013-07-31 | 2015-04-29 | 华为技术有限公司 | 认证方法、生成信任状的方法及相关装置 |
| CN104584477B (zh) * | 2013-07-31 | 2017-11-17 | 华为技术有限公司 | 认证方法、生成信任状的方法及相关装置 |
| CN104936177A (zh) * | 2014-03-20 | 2015-09-23 | 中国移动通信集团广东有限公司 | 一种接入认证方法及接入认证系统 |
| CN105871786A (zh) * | 2015-01-22 | 2016-08-17 | 阿里巴巴集团控股有限公司 | 一种用户信息的验证方法、装置和系统 |
| CN105871786B (zh) * | 2015-01-22 | 2019-06-04 | 阿里巴巴集团控股有限公司 | 一种用户信息的验证方法、装置和系统 |
| CN105100068A (zh) * | 2015-06-29 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 一种实现单点登录的系统及方法 |
| CN106603460B (zh) * | 2015-07-31 | 2020-05-29 | 阿里巴巴集团控股有限公司 | 一种认证方式授权方法及装置 |
| CN106603460A (zh) * | 2015-07-31 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种认证方式授权方法及装置 |
| CN105262721A (zh) * | 2015-09-07 | 2016-01-20 | 北京百度网讯科技有限公司 | 账户认证方法及认证装置 |
| CN105516137A (zh) * | 2015-12-08 | 2016-04-20 | 英业达科技有限公司 | 学习平台的认证系统及其方法 |
| CN105959267A (zh) * | 2016-04-25 | 2016-09-21 | 北京九州云腾科技有限公司 | 单点登录技术中的主令牌获取方法、单点登录方法及系统 |
| CN106572097A (zh) * | 2016-11-01 | 2017-04-19 | 南京邮电大学 | 一种基于移动设备的混合式身份认证方法 |
| CN106572097B (zh) * | 2016-11-01 | 2019-07-09 | 南京邮电大学 | 一种基于移动设备的混合式身份认证方法 |
| CN110278179A (zh) * | 2018-03-15 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 单点登录方法、装置和系统以及电子设备 |
| CN110278179B (zh) * | 2018-03-15 | 2021-08-10 | 阿里巴巴集团控股有限公司 | 单点登录方法、装置和系统以及电子设备 |
| CN110034933A (zh) * | 2018-12-25 | 2019-07-19 | 中国银联股份有限公司 | 跨系统用户互信认证方法及跨系统用户互信认证系统 |
| CN109802835A (zh) * | 2019-01-25 | 2019-05-24 | 北京中电普华信息技术有限公司 | 一种安全认证方法、系统及api网关 |
| CN112105015A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 二级认证的方法和装置 |
| CN113792273A (zh) * | 2021-09-13 | 2021-12-14 | 数字广东网络建设有限公司 | 一种身份认证的方法、装置、设备和存储介质 |
| CN115118454A (zh) * | 2022-05-25 | 2022-09-27 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
| CN115118454B (zh) * | 2022-05-25 | 2023-06-30 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101626369B (zh) | 2012-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101626369B (zh) | 一种单点登录方法、设备及系统 | |
| US8683565B2 (en) | Authentication | |
| US10547643B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| CN100568256C (zh) | 用于运行时刻用户帐户创建操作的方法 | |
| CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| CN102598577B (zh) | 使用云认证进行认证的装置和系统 | |
| CN103414684A (zh) | 一种单点登录方法及系统 | |
| CN108701309A (zh) | 一种用于电子商务交易安全的分布式用户简档身份验证系统 | |
| CN102104483B (zh) | 一种基于负载均衡的单点登录方法、系统和负载均衡设备 | |
| CN104378376A (zh) | 基于soa的单点登录方法、认证服务器和浏览器 | |
| CN107210916A (zh) | 条件登录推广 | |
| CN101127606A (zh) | 传输数据对象的方法和装置 | |
| JP2007264835A (ja) | 認証方法およびシステム | |
| CN101729541B (zh) | 多业务平台的资源访问方法及系统 | |
| CN107872455A (zh) | 一种跨域单点登录系统及其方法 | |
| CN104052616A (zh) | 一种对互联网数据中心中的业务进行管理的方法及系统 | |
| CN106341428A (zh) | 一种跨域访问控制方法和系统 | |
| CN106060097B (zh) | 一种信息安全竞赛的管理系统及管理方法 | |
| CN101588390A (zh) | 提高集中认证服务系统业务黏性的方法及负载均衡设备 | |
| CN103546290B (zh) | 具有用户组的第三方认证系统或方法 | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| Jøsang | Identity management and trusted interaction in Internet and mobile computing | |
| CN105162774A (zh) | 虚拟机登陆方法、用于终端的虚拟机登陆方法及装置 | |
| CN103379093B (zh) | 一种实现账号互通的方法及装置 | |
| JP2003242117A (ja) | アクセス管理方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |