CN101771534B - 网络浏览器的单一登录方法及其系统 - Google Patents
网络浏览器的单一登录方法及其系统 Download PDFInfo
- Publication number
- CN101771534B CN101771534B CN2008101905369A CN200810190536A CN101771534B CN 101771534 B CN101771534 B CN 101771534B CN 2008101905369 A CN2008101905369 A CN 2008101905369A CN 200810190536 A CN200810190536 A CN 200810190536A CN 101771534 B CN101771534 B CN 101771534B
- Authority
- CN
- China
- Prior art keywords
- website
- network service
- token
- web
- security token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种网络浏览器的单一登录方法及其系统,该方法为通过网站与网络服务身份认证信息的单一登录方法,亦为一种单一登录(SSO)的机制,使得使用者认证信息,得以跨越网站和后端网络服务间流通。使用者进行一次登入程序后,即可同时登入不同的网站,并且在不同的网站以自己的身份存取网站后端的服务。本发明可以让网络服务直接识别控管终端使用者,进而做到依照终端使用者身份的权限控管。由于本发明使用现行的SSO解决方案为基础,当系统部署者在导入本机制前已具备网站或网络服务的单一登录系统时,本机制可以在保留现行系统的前提下,快速部署到系统之中。
Description
技术领域
本发明是属于一种网络系统,尤指一种网络浏览器的单一登录方法及其系统。
背景技术
一般而言,单一登录(Single Sign On,SSO)领域(Domain)表示一群服务因一套SSO机制而得以分享认证信息,传统上网络服务(Web Service)仅向作为客户端的网站(Web Site)进行验证动作,而非针对操作Web Site的使用者进行验证。换句话说,Web Site和Web Service分属不同的SSO Domain,使得Web Service仅知存取该服务的客户端Web Site,而不知客户端Web Site的操作者是谁。此种状况将使得Web Service无法针对特定的使用者做出正确的权限区隔,仅能依靠客户端Web Site进行判断。但是,我们若能通过SSO服务将使用者的身份信息从前端使用者透通到后端的Web Service,将可以使得Web Service可以强化其安全认证,并自行设定其授权范围,同时兼顾到使用者的便利性。
请参阅图1,显示出网络的一后端服务(Back End Servive,BES)与网站是分别使用不同的认证信息,亦即SSO没有将Web Site与Web Service的认证信息整合,当一位使用者(例如:鲍伯(Bob))10通过执行(Run)浏览器(Browser)浏览网页,在传统的SSO机制下,Bob在网站A(Web Site A)登入(Login),则强迫登入后向一Web Site的身份供应器(Identity Provider,IDP)要求其核发可供网站认证的SSO予使用者,而用自己专属的Web Site安全令牌(SecurityToken,ST)去存取网站B(Web Site B)(如图中由Web Site A指向Browser的箭头11,接着又由Browser指向Web Sit B的箭头12),即可利用Browser存取Web Site A(如图中由Browser指向Web Sit A的箭头)和Web Site B等两个网站,且获得该二网站的回应(如图中由Web Sit A或Web site B指向Browser的箭头),亦即一个Web Site IDP提供多个Web Site以令牌(Token)为基础的SSO认证服务。其中,Web Site B会使用后端Web Service作为数据来源,而且一个Web Service IDP提供多个Web Service以Token为基础的SSO认证服务,但是Web Service只知其存取的客户端是Web Site B,即仅知WebSite B已登入WSE(Web Services Enhancements,网络服务增强技术),而不知其操作者原来是Bob。因此,后端的Web Service并不能通过在Browser终端使用者10的身份去判断授权问题,仅能判断使用者是来自Web Site B,此对于Web Service处理授权问题,确实是一大限制。
因此,本发明想要将Web Site的SSO Domain扩及到后端的Web Service,如此一来就可以解决Web Service无法得知终端使用者10身份信息,同时也不会带给使用者任何额外的操作流程。但是,Web Site系统和Web Service系统等各自有别,在异质系统间的SSO流程和传输信息的方式,亦有着许多的差异。请参阅图2,本发明所属技术领域中具有通常知识者20可以看出WebSite SSO和Web Service SSO的应用技术有许多的不同之处:
1、通信协定:Web Site是超文件传输协定(Hypertext Transmission Protocol,HTTP)宣告/接通(POST/GET)的约束(Binding),Web Service则是简易对象通讯协定(Simple Object Access Protocol,SOAP亦可称之为POAS)的Binding;
2、安全协定:Web Site使用安全装配阶层(Secure Socket Layer,SSL),WebService(WS)则是WS-Security;以及
3、系结SSO信息的方法:Web Site要将认证信息利用POST或GET方法系结到表单(FORM)或全球资源定位器(Uniform Resource Locator,URL)内,但Web Service必须将认证信息夹带于SOAP封包内。
请参阅图3,举例来说,国际的结构信息标准组织(Organization for theAdvancement of Structured Information Standards,OASIS)即在安全性断言标记语言(Security Assertion Markup Language,SAML)2.0的标准中为Web Site和Web Service的单一登录提供明确的实作方法。在SAML 2.0的例子中,使用者代表(User Agent,UA)要存取服务端时,身份信息会先经过IdentityProvider(IDP)的认证,并将身份信息载于Security Token(ST)中,而且服务供应器(Service Provider,SP)仅信任IDP,认证的过程包括可靠请求(AuthnRequest),唯有IDP发出的ST才是合法的身份信息来源。
关于如何应用ST以进行SSO,却是在不同的情境下有不同的作法,例如SAML 2.0就定义了数种不同的特性数据(Profile),每种Profile描述不同的应用情境下的SSO标准实做方法。其中,Web SSO Profile和增强客户程序/代理主机(Enhanced Client/Proxy)SSO Profile分别表示在Web Site和Web Service的环境下,应用SAML实做SSO的方式。然而,我们可以从表1中看出,两者应用的技术有显著差异,包含应用的通信协定和系结ST到通信协定的方法,都有所不同,可见要整合Web Site和Web Service的SSO有其需克服的困难。
表1 SAML Profiles
| SAMLProfile | 适用情境 | 适用Binding | 应用技术 |
| Web SSO | 跨网站SSO | HTTP RedirectHTTP POSTHTTP Artifact | HTTPPOST/GETHTTPRedirectCookieSSL |
| EnhancedClient/ProxySSO | 跨Web Service或其他服务SSO | PAOS | SOAPWS-*/SSL |
上表中的Cookie是指小型文字档案。
请参阅图4,为US 7,249,375B2(下称甲案),Method and Apparatus forEnd-to-End Identity Propagation,Jul.2007,甲案描述一种单一登录的方法,将前端应用程序与后端应用程序整合在一个SSO Domain之中。在甲案的情境中,所有的应用程序(包含前端与后端)都信任同一个安全性ST,而甲案可以将使用者40身份信息在前端与后端应用程序之间分享,且甲案只有一个SSO服务器(Server)41。
请参阅图5,为US 2008/0,014,931 A1(下称乙案),Distribute NetworkIdentity,Jan.2008的架构,该乙案描述一种单一登录的方法,包括有服务供应器A(SP A)50,SSO Domain有多个IDP A,B 51,52,各IDP之间形成信任链结(Trust Chain),使得分散在各地的服务可以有各自的IDP,唯该乙案并无异质接口整合的解决方案。又乙案的Token会记录该Token曾经被那些IDP认可,各IDP形成一个Trust Chain,且该乙案无法得知所得的Token状态是否被WebSite IDP确实更新过。
有鉴于此,根据本发明的范例将建立一套基于现行SSO标准上的跨异质系统单一登录机制,使得建置者在无须大幅修改既有的SSO机制的情况下,得以将Web Site及Service Service的使用者的认证信息整合,达成跨越WebSite与Web Service的单一登录。
发明内容
根据本发明的一范例为一种网络浏览器的单一登录方法,其步骤包括由一第一网站验证一登入数据,当该第一网站验证该登入数据为正确时,即向该网络浏览器提供一网站安全令牌,利用该网站安全令牌以存取一第二网站,由该第二网站提供一网络服务安全令牌,于验证该网站安全令牌为正确时,将该网络服务安全令牌发给该第二网站,并由该第二网站提供该网络服务安全令牌,以及该第二网站凭该网络服务安全令牌以存取一应用信息,于是将该应用信息传送至该第一网站。
根据本发明的另一范例为一种单一登录方法,其步骤包括取得一网站安全令牌,利用该网站安全令牌以请求一网络服务安全令牌,于验证该网站安全令牌为正确时,发给该网络服务安全令牌,以及凭该网络服务安全令牌,以存取一应用信息。
另外本发明的一范例乃一种网络浏览器的单一登录系统,包含一第一网站,系用以验证一登入数据,一网站身份供应器,当该第一网站验证该登入数据为正确时,该网站身份供应器即提供一网站安全令牌至该网络浏览器,一第二网站,其接受该网站安全令牌,一网络服务身份供应器,系用以提供一网络服务安全令牌,并因应该第二网站的一请求指令,而向该网站身份供应器验证该网站安全令牌,以决定是否将该网络服务安全令牌的发给该第二网站,以及一网络服务中心,其接受该网络服务安全令牌而提供一应用信息至该第二网站,于是由该第二网站将该应用信息传送至该第一网站。
若是从另一个可采行的模式来看,本发明乃一种单一登录系统,包含一网站身份供应器,系用以提供一网站安全令牌,一网络服务身份供应器,系用以提供一网络服务安全令牌,并因应一请求指令,并于验证该网站安全令牌为正确时,以决定该网络服务安全令牌的是否发给,以及一网络服务中心,其接受该网络服务安全令牌而提供一应用信息。
附图说明
图1是已知的SSO未将Web Site与Web Service的认证信息整合示意图;
图2是已知的Web Site SSO与Web Service SSO的技术差异示意图;
图3是已知的SAML 2.0单一登录基本模式示意图;
图4是已知的单一登录模式的架构示意图;
图5是又一已知的单一登录模式的架构示意图;
图6是根据本发明的一范例网络浏览器的单一登录方法及其系统的运作流程概念示意图;
图7是根据本发明的一范例系统循序示意图;以及
图8是根据本发明的一范例网络浏览器的单一登录方法及其系统的示意图。
附图标号:
10:使用者 11:指向浏览器的箭头
12:指向网站B的箭头 20:通常知识者
40:使用者
41:SSO服务器 50:服务供应器A
51:IDP A 52:IDP B
60:SSO系统 70:请求安全令牌
71:请求安全令牌的回复 80:病人
81:地区医院 82:诊所
83:病历交换中心 84:网站IDP
85:网络服务IDP
具体实施方式
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图式作详细说明如下。
请参阅图6,为一种网络浏览器的SSO系统60内有两个网站Web Site A(即第一网站)、Web Site B(即第二网站),此二个Web Site是属于SAMLHTTP POST/重新定向(Redirect)/加工品(Artifact)的Binding,且同在一个WebSite IDP的认证成败和其本身权限的管辖下,后端有一个Web Service,而且此Service是通过另一个Web Service IDP进行此Web Service的SingleSign-On。当Brower要求存取该第一网站时,即由第一网站验证一登入数据(包括帐号及密码等),使用者10可以利用Web Site IDP的SSO功能取得Web SiteST,并登入Web Site A与Web Site B。当使用者10欲通过第二网站B存取后端的Web Service时,第二网站B按SAML PAOS Binding的机制先向所属的Web Service IDP要求一份认证,此认证即为一个网络服务安全令牌(WebService ST),而Web Service IDP则要求网站B,在正式提供该认证给第二网站B之前,须先检核第二网站B已经自该Web Site IDP所取得的Web Site ST作为网络服务的身份认证的凭据,并且向Web Site IDP请求证实该第二网站B提供的Web Site ST合法后,即可以证实第二网站B的使用者确实是通过正常程序而登入该第二网站B者,藉以建立Web Site IDP与Web Service IDP之间的沟通机制,故发给第二网站B的使用者10的该Web Service ST,如此一来,使用者便可以凭着Web Service ST而通过第二网站B以存取Web Service中的应用信息,更将Web Site和Web Service整合成单一Single Sign-On Domain。
通过此类型的机制,可以使得使用者10登入一次即可使用自身的身份认证信息存取权限内的任何Web Site与Web Service;Web Site与Web Service均可通过SSO机制得知目前的终端的使用者10的身份;Web Service可确保终端使用者10已经通过正常程序登入SSO Domain内的网站。
若已经具有符合SAML标准或其他以Identity Provider为基础的网站或Web Service SSO机制,便无须更换Identity Provider。根据图6中所示步骤为:首先要求存取Web Site A;判断若未曾登入,则强迫登入后向Web Site IDP要求网站SSO的Web Site ST;并发给Web Site ST;及存取Web Site A;之后Web Site ST要求存取Web Site B;由于Web Site B需要Web Service提供数据,所以先凭Web Site ST向Web Service的Web Service IDP要求WebService ST;向Web Site IDP验证Web Site ST是否合法;并回复Web Site ST是否合法;判断后发给Web Service ST;凭Web Service ST存取Web Service;Web Service回复使用者;并在Web Site B呈现网页内容。
请参阅图7,显示出按本发明的机制的运作方法所包括的步骤的流程,即为当使用者登入某网站,并且该网站的页面系需呼叫某Web Service的内容,以作为网页呈现的数据时的流程如下:
1、使用者利用操作该网络浏览器以要求存取一网站(例如:该第一网站),如该网站检核使用者仍未曾登入,则将使用者导向网站登入页,待使用者输入帐号、密码或操作其他身份检核机制,例如公开金钥架构(Public KeyInfrastructure,PKI)芯片卡检核;
2、若登入成功,网站向Web Site IDP发出SSO请求(Request);
3、Web Site IDP检查SSO Request是否合法,若合法,则发给夹带有WebSite ST的SSO回复(Response);
4、网站(例如:Web Site B)接受使用者10存取请求,当提供网页内容时,需要呼叫Web Service,且该服务需要一个Web Service ST才能通过认证,此时网站检查本身并无该服务的安全性凭证,于是凭Web Site Token向该服务所属的Web Service IDP发出一请求安全令牌(Request Security Token,RST)70,以要求服务所需的Web Service ST;
5、Web Service IDP向Web Site IDP验证步骤4取得的Web Site ST是否合法;
6、Web Site IDP回复Web Service IDP其Web Site ST的合法性。在步骤5与6中,要检验Token的合法性,我们可以先检验Token的签章是否合法,再将Token的流水号和使用者ID传回Web Site IDP,检验使用者是否还在合法的登入期间内,若使用者是一个合法的Single Sign-On使用者,则判定该Token是有效的;
7、Web Service IDP根据步骤6的结果,向网站做出一请求安全令牌的回复(Request Security Token Response,RSTR)71,若步骤6判定Web Site Token为合法,则RSTR将夹带有Web Service ST,若不合法,则继续判断;
8、网站凭Web Service ST向Web Service要求服务;
9、Web Service向Web Service IDP检验Web Service ST是否合法;
10、Web Service IDP回复Web Service ST的合法性;
11、将Web Service回传的结果送交网站;以及
12、网站将网页呈现于浏览器。
请参阅图8为另一范例,某一地区医院81与多家诊所82合作,多家诊所共同成立若干社区医疗群的体系,并且通过一第三方的病历交换中心83,其为一种网络服务中心,整合各诊所82及地区医院81的病历数据,其为一种应用信息。地区医院81亦协助各社区医疗群内的各诊所82建立具备基本门诊查询、预约及会员机制的网站,且各诊所82及地区医院81的网站均可互相Single Sign-On。地区医院81的网站提供病人查询近一年在此医疗体系内就医记录的功能,体系内的社区医疗群诊所82会定时将病历数据传给病历交换中心83。社区医疗群所属诊所的病患Bob 80可先从就医的诊所82登入,再连结至地区医院81的网站查询就医记录,而地区医院81网站再通过病历交换中心83的Web Service取得社区医疗群内各诊所82的就医记录,此就医记录即为一种应用信息。
在此情境下,病人80的会员数据在其就诊的诊所82,因此必须从其诊所82的网站登入,并且在登入的时候向身份中心(Identity Centre)取得Web SiteST。其后为了查询个人就医记录,可以利用SSO机制连结到地区医院网站的个人就医记录查询页面。该页面利用病历交换中心的Web Service查询各诊所的就医纪录,因此必须先通过交换中心的Web Service IDP取得Web ServiceST,再向Web Service取得各诊所的就诊数据。其中,Web Service因为可以得知操作者的身份认证信息,进一步可以加强对于病历等机密性数据的安全控管,其流程如下:
1.Bob通过社区医疗群的诊所网站登入,同时取得Web Site IDP 84发给的Web Site ST;
2.凭Web Site ST 84可登入地区医院网站查询就医记录;
3.地区医院网站向Web Service IDP 85请求Web Service ST;
4.Web Service IDP 85向Web Site IDP 84请求验证Bob是否是通过一个合法管道的登入网站者;
5.回复Web Service ST给地区医院网站;
6.地区医院网站凭Web Service ST存取病历交换中心的Web Service时,Web Service可知存取者是来自地区医院的Bob,并判断此人有无存取权限;以及
7.将网站页面数据传回给使用者。
经由上述的流程,即可让Web Service中心(即病历交换中心)认定地区医院的Bob要查Bob的就医记录。
因此我们将IDP进行二阶层配置,将IDP区分为Web Site IDP与WebService IDP。所有的Web Site将共用一个Web Site IDP,且该Web Site IDP可以和多个Web Service IDP合作。Web Site IDP除了担任Web Site的SSO工作外,还肩负管辖下Web Service IDP进行认证的工作。使用者登入网站时将取得Web Site IDP核发的Web Site ST,更当进一步达成使用者10可利用WebSite ST向Web Service IDP要求Web Service ST,以存取所需的Web Service。
换言之,本发明为一种网络浏览器的单一登录方法,其步骤包括由一第一网站(例如:诊所82的网站)验证一登入数据,当该第一网站验证该登入数据为正确时,即向该网络浏览器提供一网站安全令牌,利用该网站安全令牌以存取一第二网站(例如:地区医院81的网站),由该第二网站提供一网络服务安全令牌,于验证该网站安全令牌为正确时,将该网络服务安全令牌发给该第二网站,并由该第二网站提供该网络服务安全令牌,以及该第二网站凭该网络服务安全令牌以存取一应用信息,于是将该应用信息传送至该第一网站。当然,此时的方法还包括由该第二网站向一网络服务身份供应器请求该网络服务安全令牌,网络服务身份供应器向该网站身份供应器验证该网站安全令牌,由该网络服务身份供应器验证该网站安全令牌为正确,并由该第二网站凭该网络服务安全令牌以存取一网络服务中心。
因此,本发明乃为一种单一登录方法,其步骤包括取得一网站安全令牌,利用该网站安全令牌以请求一网络服务安全令牌,于验证该网站安全令牌为正确时,发给该网络服务安全令牌,以及凭该网络服务安全令牌,以存取一应用信息。当然,此时的方法更可以包括由该网络服务身份供应器向该网站身份供应器进行验证。
当然,系统60更可以包括一特定网络服务身份供应器(图中未示出),并由该特定网络服务身份供应器向该网站身份供应器验证该网站安全令牌,亦即该Web Site IDP可以替多个Web Service IDP(包括该特定Web ServiceIDP与该Web Service IDP)确认Web Site ST的合法性。同样地,系统60亦可以包括一特定网络服务中心(图中未示出),其接受该网络服务身份供应器所核发的该网络服务安全令牌,亦即该Web Service IDP可以替多个WebService(包括该特定Web Service中心与该Web Service中心)核发Web ServiceST,以进行SSO,而不同的Web Service可分属不同的Web Service IDP。当使用者登入一个Web Site后,可以不需要再次执行登入程序,即可使用自身的身份,存取各Web Site及Web Service。总之,使用者可以Web Site ST作为身份认证标的,由Web Service IDP向Web Site IDP确认该使用者Web SiteST的合法性,并以此作为是否核发Web Service ST的依据。
若是从另一个可采行的模式来看,本发明乃一种单一登录系统60,包含一网站身份供应器,系用以提供一网站安全令牌,一网络服务身份供应器,系用以提供一网络服务安全令牌,并因应一请求指令,并于验证该网站安全令牌为正确时,以决定该网络服务安全令牌的是否发给,以及一网络服务中心,其接受该网络服务安全令牌而提供一应用信息。当然,此时的系统更可以包含一第一网站(例如:诊所82的网站),其用以验证一登入数据,以及一第二网站(例如:地区医院81的网站),其接受该网站安全令牌,并发出该请求指令。
所以本发明的前后端应用程序可信任不同的安全性ST,进而增加了应用程序部署的弹性,同时可以相容于既有的SSO架构;本发明除了此一种的功能外,使用者可以登入一次即存取多个前端应用程序(网站),同时在不同的网站以自身的身份存取后端应用程序(Web Service);以及本发明以阶层性架构提出可容纳多个Identity Provider的方法。另外本发明跨越Web Site及Web Service两种异质接口的服务;本发明的Token不会记录其他IDP的数据,各Web Site或Web Service也仅接受其所属IDP提供的Token,Web Service也仅信任Web Site IDP,不会形成Trust Chain;以及本发明的Web Service IDP拿到Token会向Web Site IDP确认使用者登入的状况。
综上所述,本发明能通过Web Service IDP向Web Site IDP请求证实网站B所提供的Web Site ST的合法性,即得以证实网站B的使用者确实是通过正常程序而登入该网站B,并且在一个SSO Domain中,确实能够达到同时利用多个Web Service IDP的目的。故凡熟悉本领域的技术人员,得任施匠思而为诸般修饰,然皆不脱如附权利要求范围所欲保护者。
Claims (11)
1.一种网络浏览器的单一登录方法,其特征在于,所述的方法包括:
由第一网站验证登入数据;
当所述第一网站验证所述登入数据为正确时,即向所述网络浏览器提供网站安全令牌;
利用所述网站安全令牌以存取第二网站;
由所述第二网站提供该网站安全令牌;
于验证所述网站安全令牌为正确时,网络服务身份供应器将所述网络服务安全令牌发给所述第二网站,并由所述第二网站提供所述网络服务安全令牌给网络服务中心;以及
所述第二网站凭所述网络服务安全令牌以存取该网络服务中心的应用信息,于是将所述应用信息传送至所述第二网站的使用者。
2.如权利要求1所述的方法,其特征在于,还包括由所述第二网站向网络服务身份供应器请求所述网络服务安全令牌,所述网络服务身份供应器向网站身份供应器验证所述网站安全令牌,由所述网络服务身份供应器验证所述网站安全令牌是否为正确,若判断为正确,则通过所述第二网站凭所述网络服务安全令牌以存取该网络服务中心。
3.如权利要求2所述的方法,其特征在于,
若所述网络服务身份供应器验证所述网站安全令牌为错误时,重新进行判断。
4.一种单一登录方法,其特征在于,所述的方法包括:
使用者由第一网站验证登入数据;
取得网站安全令牌;
利用所述网站安全令牌以存取第二网站;
利用所述网站安全令牌以请求网络服务安全令牌;
于验证所述网站安全令牌为正确时,发给所述网络服务安全令牌,并由该第二网站提供所述网络服务安全令牌给网络服务中心;以及
所述第二网站凭所述网络服务安全令牌,以存取该网络服务中心的应用信息。
5.如权利要求4所述的方法,其特征在于,还包括由网络服务身份供应器向网站身份供应器进行验证。
6.如权利要求5所述的方法,其特征在于,
所述的方法是应用于网络浏览器。
7.一种网络浏览器的单一登录系统,其特征在于,所述的系统包含:
第一网站,是用以验证登入数据;
网站身份供应器,当所述第一网站验证所述登入数据为正确时,所述网站身份供应器即提供网站安全令牌至所述网络浏览器;
第二网站,其接受所述网站安全令牌;
网络服务身份供应器,是用以提供网络服务安全令牌,并因应所述第二网站的请求指令,而向所述网站身份供应器验证所述网站安全令牌,以决定是否将所述网络服务安全令牌发给所述第二网站;以及
网络服务中心,其接受所述网络服务安全令牌而提供应用信息至所述第二网站,于是由所述第二网站将所述应用信息呈现于浏览器。
8.如权利要求7所述的系统,其特征在于,还包括特定网络服务身份供应器,并由所述特定网络服务身份供应器向所述网站身份供应器验证所述网站安全令牌。
9.如权利要求7所述的系统,其特征在于,还包括特定网络服务中心,其接受所述网络服务身份供应器所核发的所述网络服务安全令牌。
10.如权利要求7所述的系统,其特征在于,
所述网络服务中心是为病历交换中心。
11.一种单一登录系统,其特征在于,所述的系统包含:
第一网站,是用以验证使用者之登入数据;
网站身份供应器,是用以提供网站安全令牌至网络浏览器;
第二网站,其接受所述网站安全令牌;
网络服务身份供应器,是用以提供网络服务安全令牌,并因应请求指令,并于验证所述网站安全令牌为正确时,将所述网络服务安全令牌发给所述第二网站;以及
网络服务中心,其接受所述网络服务安全令牌而提供应用信息至所述第二网站。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101905369A CN101771534B (zh) | 2008-12-30 | 2008-12-30 | 网络浏览器的单一登录方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101905369A CN101771534B (zh) | 2008-12-30 | 2008-12-30 | 网络浏览器的单一登录方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101771534A CN101771534A (zh) | 2010-07-07 |
| CN101771534B true CN101771534B (zh) | 2012-02-29 |
Family
ID=42504155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101905369A Active CN101771534B (zh) | 2008-12-30 | 2008-12-30 | 网络浏览器的单一登录方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101771534B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102467506B (zh) * | 2010-11-02 | 2015-04-01 | 腾讯科技(深圳)有限公司 | 一种Cookie的处理方法和系统 |
| CN102624737B (zh) * | 2012-03-27 | 2015-05-06 | 武汉理工大学 | 单点登录系统中针对Form身份鉴别的单点登录集成方法 |
| CN105262751A (zh) * | 2015-10-27 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种安全登陆方法及装置 |
| CN107359996B (zh) * | 2016-05-09 | 2020-05-05 | 阿里巴巴集团控股有限公司 | 多网站间的自动登录方法及装置 |
| US11151239B2 (en) | 2017-10-02 | 2021-10-19 | Red Hat, Inc. | Single sign-on management for multiple independent identity providers |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
| WO2008024454A1 (en) * | 2006-08-22 | 2008-02-28 | Interdigital Technology Corporation | Method and apparatus for providing trusted single sign-on access to applications and internet-based services |
| CN101212457A (zh) * | 2006-12-27 | 2008-07-02 | 鸿富锦精密工业(深圳)有限公司 | 网页权限管控系统及方法 |
-
2008
- 2008-12-30 CN CN2008101905369A patent/CN101771534B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
| WO2008024454A1 (en) * | 2006-08-22 | 2008-02-28 | Interdigital Technology Corporation | Method and apparatus for providing trusted single sign-on access to applications and internet-based services |
| CN101212457A (zh) * | 2006-12-27 | 2008-07-02 | 鸿富锦精密工业(深圳)有限公司 | 网页权限管控系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101771534A (zh) | 2010-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI706263B (zh) | 信任登錄方法、伺服器及系統 | |
| US20100154046A1 (en) | Single sign-on method and system for web browser | |
| US8875166B2 (en) | Method and cloud security framework for implementing tenant license verification | |
| CN102801808B (zh) | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 | |
| US8117649B2 (en) | Distributed hierarchical identity management | |
| CN100461667C (zh) | 与异类联合体环境中验证声明相关的拥有证明操作方法和设备 | |
| CN1514569B (zh) | 在不同类联合环境中用于验证的方法和系统 | |
| CN104580184B (zh) | 互信应用系统间身份认证方法 | |
| CN107786571A (zh) | 一种用户统一认证的方法 | |
| US20100100925A1 (en) | Digital Rights Management (DRM)-Enabled Policy Management For An Identity Provider In A Federated Environment | |
| CN106612246A (zh) | 一种模拟身份的统一认证方法 | |
| JP2008523486A (ja) | 名前識別子登録プロファイルをセキュアに結合するための方法およびシステム | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| CN101771534B (zh) | 网络浏览器的单一登录方法及其系统 | |
| ZA200500060B (en) | Distributed hierarchical identity management | |
| CN104579681B (zh) | 互信应用系统间身份认证系统 | |
| CN101989974A (zh) | 一种ssl vpn的内网web访问的安全控制方法 | |
| JP2006031064A (ja) | セッション管理システム及び管理方法 | |
| KR101186695B1 (ko) | 연합 쿠키를 이용한 id 연합 기반의 사이트 연동 방법 | |
| CN105577667A (zh) | 多帐号一键登录及认证机制 | |
| Chen et al. | Design of web service single sign-on based on ticket and assertion | |
| Catuogno et al. | Achieving interoperability between federated identity management systems: A case of study | |
| KR20030075809A (ko) | 멀티도메인으로 구성된 웹사이트에서 단일 로그인에 의한접속자 인증 방법 | |
| Berbecaru et al. | Federating e-identities across Europe, or how to build cross-border e-services | |
| CN103856942A (zh) | 用于智能手机操作系统的单点登录方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |