CN101729540A - 基于应用层身份信息同步单点登录方法 - Google Patents
基于应用层身份信息同步单点登录方法 Download PDFInfo
- Publication number
- CN101729540A CN101729540A CN200910186603A CN200910186603A CN101729540A CN 101729540 A CN101729540 A CN 101729540A CN 200910186603 A CN200910186603 A CN 200910186603A CN 200910186603 A CN200910186603 A CN 200910186603A CN 101729540 A CN101729540 A CN 101729540A
- Authority
- CN
- China
- Prior art keywords
- identity information
- user
- server
- application system
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于应用层身份信息同步单点登录方法,该方法包括三个流程,统一目录验证、业务应用验证、身份信息同步,用户需先通过目录验证后,在访问代理服务器、应用层、数据库、目录服务器之间实现业务应用验证和身份信息同步,从而实现新增用户(更改用户身份信息)的操作。该方法的主要优点是独立于应用系统的数据库,减少数据库层面的耦合度;不需要单独开发身份信息的驱动,降低投入费用和开发周期;将即时信息同步改变为使用信息同步,成批更新身份信息,提高数据库的更新效率和降低服务器的负载;通过逻辑判断代理服务器真伪,分析是否存在第三者攻击,降低业务应用和代理服务器之间的契约要求。
Description
技术领域
本发明涉及基于应用层身份信息同步单点登录方法,它是通过应用层完成应用系统与目录之间的身份信息同步,从而实现用户单点登录。
背景技术
随着国内经济实力提升,企业的信息系统越来越多,用户需要记录大量的系统账号和口令,维护这些账号和口令给用户带来了诸多不便,特别是企业门户系统的建设,需要实现接入系统的单点登录。单点登录实现主要是集中存储身份信息,然后代替用户填写应用系统的身份信息(用户名和口令),用户一次可以登录有权访问的应用系统。当用户身份信息更改时,需要将目录中集中存放的身份信息同步到业务应用系统中,保持目录和业务应用系统身份信息一致。当前大多数目录采用的数据库层同步:目录创建同步驱动,由驱动同步数据至数据库中间表,再由中间表通过同步触发器将数据传送给业务应用系统用户表。
从目录建设实际情况,采用数据库层同步方式,目录建设开发周期比较长,目录与集成的业务应用系统紧密耦合,不利于推广和维护。另外,数据库层同步方式在数据发生变动后立即将更新后的身份信息同步到业务系统,用户重新登录系统时发生用户信息的改变即可,也就是使用更新用户身份信息。
发明内容
本发明的目的是提供一种基于应用层身份信息同步单点登录方法,该方法区别于当前中心身份信息管理系统通过驱动将用户身份信息同步至业务应用系统数据库,是基于应用层实现用户登录时,中心身份信息管理系统同步用户身份信息至业务应用系统数据库的方法。
本发明的基于应用层身份信息同步单点登录方法,涉及访问代理服务器、认证服务器、目录服务器、应用层及数据库,它包括三个流程:统一目录验证、业务应用验证、身份信息同步,具体步骤如下:
步骤a:用户发出访问受保护业务应用系统资源页面的请求,访问代理服务器初始化保护资源的页面,并将请求重定向至认证服务器,同时传递给认证服务器与用户请求资源相关的契约;
步骤b:访问代理服务器和客户端浏览器建立会话,客户端浏览器发送一个请求至访问代理服务器的登录链接,该请求被访问代理服务器重定向至认证服务器的登录页面;
步骤c:用户在登录页面中输入目录中登录名和密码等身份信息,该身份信息被认证服务器发送至目录服务器认证,认证成功后,访问代理服务器保持该用户会话,并向业务应用系统传输用户身份信息;
步骤d:业务应用系统获取登录用户身份信息,并在本数据库中验证,如本数据库无该用户身份信息数据,则添加,否则发起目录服务器用户身份信息认证请求;
步骤e:业务应用系统将没有通过系统认证的用户身份信息发送至目录服务器,验证该用户身份信息的合法性;
步骤f:用户身份信息第二次在目录服务器中验证并被确认合法后,业务应用系统同步用户密码等不一致的身份信息至本数据库;
步骤g:业务应用定期比较目录服务器与本数据库用户身份信息异同,禁用目录服务器中已经禁用或删除的用户数据。
本发明的基于应用层身份信息同步单点登录方法,择时二次验证用户身份信息,通过应用层标准接口方式同步用户身份信息,它同数据库层身份信息同步相比具有以下优点:
1、独立于应用系统的数据库,减少数据库层面的耦合度;
2、不需要单独开发身份信息的驱动,降低投入费用和开发周期;
3、将即时信息同步改变为使用信息同步,成批更新身份信息,提高数据库的更新效率和降低服务器的负载;
4、通过逻辑判断代理服务器真伪,分析是否存在第三者攻击,降低业务应用和代理服务器之间的契约要求。
附图说明
图1为本发明总体架构图;
图2为用户通过单点登录应用系统的逻辑流程图。
具体实施方式
名称解释:
(para1,para2)@Point:站点Point的参数1(para1)和参数2(para2);[(para1,para2)@point]’App:站点Point存储App的参数1(para1)和参数2(para2);Response:响应用户请求;
Insert:在业务应用系统中添加新用户;
Update:业务应用系统更新用户身份信息
Reject:拒绝用户请求;
图1是本发明的逻辑结构,主要包含三个部分:统一目录验证(Verify@ED)、业务应用验证(Verify@AS)、身份信息同步(SynID@AS)。用如下形式表示完成的功能和应用模块之间的关系:
第一部分:统一目录验证(Verify@ED)
用户发出访问受保护业务应用系统资源页面的请求,访问代理服务器初始化保护资源的页面,并将请求重定向认证服务器,同时传递给认证服务器与用户请求资源相关的契约。访问代理服务器告知浏览器初始化一个特殊会话,浏览器发送一个请求至访问代理服务器的登录链接,该请求被访问代理服务器重定向至认证服务器的登录页面。用户输入身份信息,如果通过目录服务器认证,该用户身份信息进入“Verify@AS”验证,如果认证失败,访问请求被拒绝;
第二部分:业务应用验证(Verify@AS)
业务应用系统验证由访问代理服务器传送的用户身份信息合法性。如果本数据库中用户身份信息与访问代理服务器传输值保持一致,访问用户合法,业务应用系统返回请求资源。如果验证不成功,用户身份信息进入“SynID@AS”验证;
第三部分:身份信息同步(SynID@AS)
业务应用系统判断数据库中用户登录名与由访问代理服务器中获取的用户登录名(以下称为“代理用户名”同时称由代理服务器获取的密码为“代理密码”)是否一致。在“代理用户名”和“代理密码”值同目录服务器中所存的用户名和密码值一致的情况下,如果“代理用户名与目录服务器中用户登录名不一致,业务应用系统插入用户身份信息至本数据库中;“代理用户名”与本数据库中用户登录名一致,但“代理密码”与目录服务器中用户密码不一致,业务应用系统将本数据库中密码重置为新密码。“代理用户名”和“代理密码”与目录服务器中用户名和用户密码都不一致,该用户身份信息被业务应用系统认定为源于伪造访问代理服务器,从而丢弃。
。
Claims (1)
1.一种基于应用层身份信息同步单点登录方法,涉及访问代理服务器、认证服务器、目录服务器、应用层及数据库,其特征在于:它包括三个流程:统一目录验证、业务应用验证、身份信息同步,具体步骤如下:
步骤a:用户发出访问受保护业务应用系统资源页面的请求,访问代理服务器初始化保护资源的页面,并将请求重定向认证服务器,同时传递给认证服务器与用户请求资源相关的契约;
步骤b:访问代理服务器和客户端浏览器建立会话,客户端浏览器发送一个请求至访问代理服务器的登录链接,该请求被访问代理服务器重定向至认证服务器的登录页面;
步骤c:用户在登录页面中输入目录中登录名和密码等身份信息,该身份信息被认证服务器发送至目录服务器认证,认证成功后,访问代理服务器保持该用户会话,并向业务应用系统传输用户身份信息;
步骤d:业务应用系统获取登录用户身份信息,并在本数据库中验证,如本数据库无该用户身份信息数据,则添加,否则发起目录服务器用户身份信息认证请求;
步骤e:业务应用系统将没有通过系统认证的用户身份信息发送至目录服务器,验证该用户身份信息的合法性;
步骤f:用户身份信息第二次在目录服务器中验证并被确认合法后,业务应用系统同步用户密码等不一致的身份信息至本数据库;
步骤g:业务应用定期比较目录服务器与本数据库用户身份信息异同,禁用目录服务器中已经禁用或删除的用户数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101866034A CN101729540B (zh) | 2009-12-02 | 2009-12-02 | 基于应用层身份信息同步单点登录方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101866034A CN101729540B (zh) | 2009-12-02 | 2009-12-02 | 基于应用层身份信息同步单点登录方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101729540A true CN101729540A (zh) | 2010-06-09 |
| CN101729540B CN101729540B (zh) | 2012-06-06 |
Family
ID=42449746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101866034A Active CN101729540B (zh) | 2009-12-02 | 2009-12-02 | 基于应用层身份信息同步单点登录方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101729540B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102611709A (zh) * | 2012-03-31 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种对第三方资源的访问控制方法及系统 |
| CN103036883A (zh) * | 2012-12-14 | 2013-04-10 | 公安部第一研究所 | 一种安全服务器的安全通讯方法与系统 |
| WO2013056619A1 (zh) * | 2011-10-19 | 2013-04-25 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及系统 |
| CN108418808A (zh) * | 2018-02-07 | 2018-08-17 | 平安科技(深圳)有限公司 | 身份信息更改方法、装置、终端设备及存储介质 |
| CN110430213A (zh) * | 2019-08-15 | 2019-11-08 | 北京奇艺世纪科技有限公司 | 业务请求处理方法、装置及系统 |
| CN110995661A (zh) * | 2019-11-12 | 2020-04-10 | 广州大白互联网科技有限公司 | 一种网证平台 |
| CN111339521A (zh) * | 2020-02-17 | 2020-06-26 | 北京金和网络股份有限公司 | 一种基于web单点登录用户集成方法和系统 |
-
2009
- 2009-12-02 CN CN2009101866034A patent/CN101729540B/zh active Active
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013056619A1 (zh) * | 2011-10-19 | 2013-04-25 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及系统 |
| CN102611709A (zh) * | 2012-03-31 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种对第三方资源的访问控制方法及系统 |
| CN102611709B (zh) * | 2012-03-31 | 2014-11-12 | 北京奇虎科技有限公司 | 一种对第三方资源的访问控制方法及系统 |
| CN103036883A (zh) * | 2012-12-14 | 2013-04-10 | 公安部第一研究所 | 一种安全服务器的安全通讯方法与系统 |
| CN103036883B (zh) * | 2012-12-14 | 2015-11-04 | 公安部第一研究所 | 一种安全服务器的安全通讯方法与系统 |
| CN108418808A (zh) * | 2018-02-07 | 2018-08-17 | 平安科技(深圳)有限公司 | 身份信息更改方法、装置、终端设备及存储介质 |
| CN108418808B (zh) * | 2018-02-07 | 2020-06-19 | 平安科技(深圳)有限公司 | 身份信息更改方法、装置、终端设备及存储介质 |
| CN110430213A (zh) * | 2019-08-15 | 2019-11-08 | 北京奇艺世纪科技有限公司 | 业务请求处理方法、装置及系统 |
| CN110995661A (zh) * | 2019-11-12 | 2020-04-10 | 广州大白互联网科技有限公司 | 一种网证平台 |
| CN111339521A (zh) * | 2020-02-17 | 2020-06-26 | 北京金和网络股份有限公司 | 一种基于web单点登录用户集成方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101729540B (zh) | 2012-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729540B (zh) | 基于应用层身份信息同步单点登录方法 | |
| US12095752B2 (en) | System for managing remote software applications | |
| CN109787976B (zh) | 信息更新方法、装置、计算机设备及存储介质 | |
| CN110278187B (zh) | 多终端单点登录方法、系统、同步服务器及介质 | |
| CN103248699B (zh) | 一种单点登录信息系统的多账号处理方法 | |
| CN104717261B (zh) | 一种登录方法和桌面管理设备 | |
| CN102629929B (zh) | 一种获取数据的方法、系统及装置 | |
| EP2107757A1 (en) | Identity management | |
| CN102904870B (zh) | 服务器装置及信息处理方法 | |
| CN101183940A (zh) | 一种多应用系统对用户身份进行认证的方法 | |
| EP2359576A2 (en) | Domain based authentication scheme | |
| CN102916946B (zh) | 接入控制方法及系统 | |
| CN104065616A (zh) | 单点登录方法和系统 | |
| CN101645900A (zh) | 一种跨域权限管理系统及方法 | |
| CN112217793B (zh) | 一种适用于电力物联网的跨体系信任管理系统 | |
| CN101971184A (zh) | 根据标准协议opc ua通信且具有用于认证的单点登录机制的客户端/服务器系统及在这样的系统中实施单点登录的方法 | |
| CN103746969A (zh) | 车载终端认证的方法及认证服务器 | |
| US11245577B2 (en) | Template-based onboarding of internet-connectible devices | |
| CN101951319A (zh) | 一种支持异构应用模块数据整合的统一身份认证方法 | |
| CN101883106A (zh) | 基于数字证书的网络接入认证方法和网络接入认证服务器 | |
| CN112966253A (zh) | 一种第三方应用集成登录方法、登录装置及平台 | |
| CN103747051A (zh) | 车载终端的服务平台 | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN115510496A (zh) | 数据库访问控制方法及相关装置 | |
| CN109426870A (zh) | 预约申请方法、第一终端、处理服务器及第一应用服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |