CN102325028B - 一种支持多个终端的身份认证与服务授权的方法 - Google Patents

一种支持多个终端的身份认证与服务授权的方法 Download PDF

Info

Publication number
CN102325028B
CN102325028B CN201110278393.9A CN201110278393A CN102325028B CN 102325028 B CN102325028 B CN 102325028B CN 201110278393 A CN201110278393 A CN 201110278393A CN 102325028 B CN102325028 B CN 102325028B
Authority
CN
China
Prior art keywords
message
service
client
identity information
subscriber identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110278393.9A
Other languages
English (en)
Other versions
CN102325028A (zh
Inventor
王敏
杨爱民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jinher Software Co Ltd
Original Assignee
Beijing Jinher Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jinher Software Co Ltd filed Critical Beijing Jinher Software Co Ltd
Priority to CN201110278393.9A priority Critical patent/CN102325028B/zh
Publication of CN102325028A publication Critical patent/CN102325028A/zh
Application granted granted Critical
Publication of CN102325028B publication Critical patent/CN102325028B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种支持多个终端的身份认证与服务授权的方法。包括步骤:定义消息头的用户身份信息对象的数据接口,客户端消息截获处理器组件,不同客户端截取消息头的算法以及SOA服务的基类接口组件,在接收客户端发送的消息后根据不同的协议类型调用不同的算法截取消息头的用户上下文消息,再通过调用消息转换算法把消息头的用户上下文消息转换成用户身份对象,并保存到调用上下文缓存中,调用身份认证处理器对用户的身份信息进行验证,然后服务调用后截获处理将调用上下文缓存中的用户身份信息对象保存在返回消息的消息头中并将结果返回到客户端。本发明的方法,在保证了服务的安全性和可靠性地访问,同时实现了对多终端、多协议的支持。

Description

一种支持多个终端的身份认证与服务授权的方法
技术领域
本发明涉及认证领域和SOA服务领域,特别涉及SOA服务调用的身份认证和授权保护的技术,尤其是应用于企业级服务的安全认证和授权保护。
背景技术
目前基于SOA架构的业务系统是一种趋势,因为SOA面向服务架构出现更加强调了原来从关注技术和成本朝关注业务和价值的转移。或者说通过SOA能够更好的将业务和技术融合起来,使技术和结构更好的为实现业务和价值服务。SOA的核心体现在企业应用或业务功能上的更粗粒度的重用和互操作,以实现更加松散耦合的组粒度的应用服务系统以及服务组件的分布式部署,使得业务系统轻松应对企业商业服务变化、发展的需要。
在实施SOA架构时的关键目标是为了节约成本,实现企业IT资产重用的最大化。这一目标促使人们在实施SOA的时候,必须考虑到可从企业外部访问,这个是因为为了满足企业的业务伙伴的需求,使业务伙伴即外部用户也能像企业内部用户一样访问相同的服务。当业务伙伴基于业务的目的交换业务信息时,这个会话过程应该不会受到阻止:随时可用,当有服务使用者请求服务时,SOA要求服务提供者能够及时响应。
对于企业对外提供的服务或者给其他业务系统提供的服务,为了安全性、可靠性的考虑,需要用户提供服务提供者的身份认证后才能被授权使用相应的服务;而且服务提供者也需要知道哪个用户在使用服务,以便于提供给用户一些特定个性化信息的推送和其他业务的处理;最后要支持多种终端多种协议的访问方式。
其缺点目前来说,主要表现在以下几个方面:可靠性,安全性,性能。在电子商务的应用中,有一个很重要的可靠性,就是不可否认性,信息确保发送且仅且一次以及事务的回滚,这点是必须得到满足的,但是,目前来说,SOA架构还没有为此做好准备。至于安全性我们在下面会做详细的分析。至于性能问题,不可否认,这个SOA架构最遭人诟病的地方。SOA架构的性能稍低,主要是因为SOA的分布性质和web服务协议的开销。任何分布式系统的执行速度都不如独立式系统,因为这里面有网络的制约因素。
基于以上需求,目前常用的系统或方法,并不能提供针对多终端、多协议的服务的身份认证和授权保护机制,因此,我们提供了一种支持多终端、多协议的SOA服务访问进行身份认证和授权使用的框架。
发明内容
本发明的目的在于提供一种支持多个终端的身份认证与服务授权的方法,在保证了服务的安全性和可靠性地访问,并且实现了对多终端、多协议的支持。
为此,本发明公开了一种支持多个终端的身份认证与服务授权的方法。所述身份认证与服务授权的方法步骤如下:
步骤一、定义消息头的用户身份信息对象的数据接口;
步骤二、定义含服务调用前截获处理方法和服务调用后截获处理方法的客户端消息截获处理器组件;
步骤三、定义PC客户端和手机客户端截取消息头的算法;
步骤四、定义SOA服务的基类接口组件,这个组件中包含身份认证处理器和SOA服务的授权逻辑;
步骤五、接收客户端发送的消息;
步骤六、消息截获处理器截获信息,然后根据不同的协议类型调用不同的算法截取消息头的用户上下文消息;
步骤七、通过调用消息转换算法把消息头的用户上下文消息转换成用户身份信息对象,并保存到调用上下文缓存中;
步骤八、在SOA服务的基类接口组件中,调用身份认证处理器将所述的用户身份信息在所有合法的服务器上缓存的用户信息集合中查找看是否存在,如果存在的则为合法用户,SOA服务的基类接口组件将授权继续执行具体的业务逻辑,调用SOA服务的具体的实现,客户端会接收到正确的执行结果的消息,否则为非法用户,客户端将会接收到错误信息的结果;
步骤九、服务调用后截获处理方法将调用上下文缓存中的用户身份信息对象保存在返回消息的消息头中;
步骤十、将结果以消息的形式返回到客户端。
优选的是,所述的支持多个终端的身份认证与服务授权的方法中,步骤一的用户身份信息包括消息编码、消息的会话ID、用户ID,用户密码,用户名和登录的IP。
优选的是,所述的支持多个终端的身份认证与服务授权的方法中,步骤三中PC客户端截取消息头的算法为PC客户端定义一个应用程序上下文对象,实现了第一条的消息头的用户身份信息对象的数据接口,PC客户端请求时将客户端的用户身份信息对象实例加密后放到请求的SOAP消息头中,在客户端消息截获处理器组件的服务调用前截获处理中,获取请求的SOAP消息头中的加密的用户身份信息对象实例,然后解密成用户身份信息对象,并放到调用上下文缓存中。
优选的是,所述的支持多个终端的身份认证与服务授权的方法中,步骤三中手机客户端截取消息头的算法为手机客户端定义一个应用程序上下文JSON对象,实现了第一条的消息头的用户身份信息对象的数据接口,手机客户端发送请求时将客户端的用户身份信息JSON串加密后放到请求的消息头中,在客户端消息截获处理器组件的服务调用前截获处理中,获取请求的消息头中的加密的用户身份信息JSON串,然后解密用户身份信息JSON串,再把JSON串序列化成用户身份信息对象,并放到调用上下文缓存中。
优选的是,所述的支持多个终端的身份认证与服务授权的方法中,手机客户端包括Android和IPhone手机客户端。
本发明的有益效果是:
提供了一种支持多终端、多协议的SOA服务访问进行身份认证和授权使用的框架。通过SOA能够更好的将业务和技术融合起来,使技术和结构更好的为实现业务和价值服务。在企业应用或业务功能上能更粗粒度的重用和互操作,实现了更加松散耦合的组粒度的应用服务系统以及服务组件的分布式部署,使得业务系统轻松应对企业商业服务变化、发展的需要,保证了服务的安全性和可靠性地访问。
附图说明
附图1为该支持多个终端的身份认证与服务授权的方法的流程图。
具体实施方式
下面结合附图对本发明做进一步说明,以使本领域普通技术人员参照本说明书后能够据以实施。
如图1所示,本发明的一种支持多个终端的身份认证与服务授权的方法,包括如下步骤:
步骤一、定义消息头的用户身份信息对象的数据接口
Figure BDA0000092467640000041
步骤二、定义含服务调用前截获处理方法和服务调用后截获处理方法的客户端消息截获处理器组件;
步骤三、定义PC客户端和手机客户端截取消息头的算法;
步骤四、定义SOA服务的基类接口组件,这个组件中包含身份认证处理器和SOA服务的授权逻辑;
步骤五、接收客户端发送的消息;
步骤六、消息截获处理器截获信息,然后根据信息的发送端为PC客户端或手机客户端调用相对应的算法截取消息头的用户上下文消息;
步骤七、PC客户端请求时将客户端的用户身份信息对象实例加密后放到请求的SOAP消息头中,在客户端消息截获处理器组件的服务调用前截获处理中,获取请求的SOAP消息头中的加密的用户身份信息对象实例,然后解密成用户身份信息对象,并放到调用上下文缓存中,手机客户端发送请求时将客户端的用户身份信息JSON串加密后放到请求的消息头中,在客户端消息截获处理器组件的服务调用前截获处理中,获取请求的消息头中的加密的用户身份信息JSON串,然后解密用户身份信息JSON串,再把JSON串序列化成用户身份信息对象,并放到调用上下文缓存中;
步骤八、在SOA服务的基类接口组件中,调用身份认证处理器将所述的用户身份信息在所有合法的服务器上缓存的用户信息集合中查找看是否存在,如果存在的则为合法用户,SOA服务的基类接口组件将授权继续执行具体的业务逻辑,调用SOA服务的具体的实现,客户端会接收到正确的执行结果的消息,否则为非法用户,客户端将会接收到错误信息的结果;
步骤九、服务调用后截获处理方法将调用上下文缓存中的用户身份信息对象保存在返回消息的消息头中;
步骤十、将结果以消息的形式返回到客户端。
另一种实现形式是:
步骤一、定义消息头的用户身份信息对象的数据接口,
Figure BDA0000092467640000051
Figure BDA0000092467640000061
步骤二、定义客户端消息截获处理器组件,包括服务调用前截获处理和服务调用后截获处理。在服务调用前截获客户端发送的消息内容,消息截获处理器根据协议类型,调用不同的算法截取消息头的用户上下文消息;
步骤三、定义PC客户端截取消息头的算法:PC客户端定义一个应用程序上下文对象,实现了第一条的消息头的用户身份信息对象的数据接口,PC客户端请求时将客户端的用户身份信息对象实例加密后放到请求的SOAP消息头中,在客户端消息截获处理器组件的服务调用前截获处理中,获取请求的SOAP消息头中的加密的用户身份信息对象实例,然后解密成用户身份信息对象,并放到调用上下文缓存中;
步骤四、定义手机客户端截取消息头的算法:手机客户端定义一个应用程序上下文JSON对象,实现了第一条的消息头的用户身份信息对象的数据接口,手机客户端发送请求时将客户端的用户身份信息JSON串加密后放到请求的消息头中,在客户端消息截获处理器组件的服务调用前截获处理中,获取请求的消息头中的加密的用户身份信息JSON串,然后解密用户身份信息JSON串,再把JSON串序列化成用户身份信息对象,并放到调用上下文缓存中;
步骤五、定义SOA服务的基类接口组件,在这个组件中统一处理身份认证和授权逻辑,使得具体服务操作的业务开发人员只关心自己的业务逻辑的实现;
步骤六、调用身份认证处理器去对用户的身份信息进行验证,如果验证通过,会去调用具体的SOA服务的实现逻辑并返回正确的执行结果消息,否则会抛出异常信息返回给客户端;
步骤七、由于服务器端会对调用上下文消息进行修改,所以消息截获处理器组件还提供了服务调用后截获处理方法,将调用上下文缓存中的用户身份信息对象在放到返回消息的消息头中。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。

Claims (5)

1.一种支持多个终端的身份认证与服务授权的方法,其特征在于,包括以下步骤:
步骤一、定义消息头的用户身份信息对象的数据接口;
步骤二、定义含服务调用前截获处理方法和服务调用后截获处理方法的客户端消息截获处理器组件;
步骤三、定义PC客户端和手机客户端截取消息头的算法;
步骤四、定义SOA服务的基类接口组件,这个组件中包含身份认证处理器和SOA服务的授权逻辑;
步骤五、接收客户端发送的消息;
步骤六、客户端消息截获处理器组件截获消息,然后根据不同的协议类型调用不同的算法截取消息头的用户上下文消息;
步骤七、通过调用消息转换算法把消息头的用户上下文消息转换成用户身份信息对象,并保存到调用上下文缓存中;
步骤八、在SOA服务的基类接口组件中,调用身份认证处理器将所述的用户身份信息对象在所有合法的服务器上缓存的用户信息集合中查找看是否存在,如果存在的则为合法用户,SOA服务的基类接口组件将授权继续执行具体的业务逻辑,调用SOA服务的具体的实现,客户端会接收到正确的执行结果的消息,否则为非法用户,客户端将会接收到错误信息的结果;
步骤九、服务调用后截获处理方法将调用上下文缓存中的用户身份信息对象保存在返回消息的消息头中;
步骤十、将结果以消息的形式返回到客户端。
2.如权利要求1所述的支持多个终端的身份认证与服务授权的方法,其特征在于,步骤一的用户身份信息对象包括消息编码、消息的会话ID、用户ID,用户密码,用户名和登录的IP。
3.如权利要求1所述的支持多个终端的身份认证与服务授权的方法,其特征在于,步骤三中PC客户端截取消息头的算法为PC客户端定义一个应用程序上下文对象,实现了步骤一的消息头的用户身份信息对象的数据接口,PC客户端请求时将客户端的用户身份信息对象实例加密后放到请求的SOAP消息头中,在客户端消息截获处理器组件的服务调用前截获处理中,获取请求的SOAP消息头中的加密的用户身份信息对象实例,然后解密成用户身份信息对象,并放到调用上下文缓存中。
4.如权利要求1所述的支持多个终端的身份认证与服务授权的方法,其特征在于,步骤三中手机客户端截取消息头的算法为手机客户端定义一个应用程序上下文JSON对象,实现了步骤一的消息头的用户身份信息对象的数据接口,手机客户端发送请求时将客户端的用户身份信息JSON串加密后放到请求的消息头中,在客户端消息截获处理器组件的服务调用前截获处理中,获取请求的消息头中的加密的用户身份信息JSON串,然后解密用户身份信息JSON串,再把JSON串序列化成用户身份信息对象,并放到调用上下文缓存中。
5.如权利要求4所述的支持多个终端的身份认证与服务授权的方法,其特征在于,手机客户端包括Android和IPhone手机客户端。
CN201110278393.9A 2011-09-19 2011-09-19 一种支持多个终端的身份认证与服务授权的方法 Active CN102325028B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110278393.9A CN102325028B (zh) 2011-09-19 2011-09-19 一种支持多个终端的身份认证与服务授权的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110278393.9A CN102325028B (zh) 2011-09-19 2011-09-19 一种支持多个终端的身份认证与服务授权的方法

Publications (2)

Publication Number Publication Date
CN102325028A CN102325028A (zh) 2012-01-18
CN102325028B true CN102325028B (zh) 2014-04-16

Family

ID=45452702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110278393.9A Active CN102325028B (zh) 2011-09-19 2011-09-19 一种支持多个终端的身份认证与服务授权的方法

Country Status (1)

Country Link
CN (1) CN102325028B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9256722B2 (en) * 2012-07-20 2016-02-09 Google Inc. Systems and methods of using a temporary private key between two devices
CN103685473B (zh) * 2013-11-20 2017-01-18 宇龙计算机通信科技(深圳)有限公司 客户端、代理服务器、检索方法及系统
CN104980441A (zh) * 2015-06-26 2015-10-14 浪潮软件股份有限公司 一种实现租户鉴权机制的方法
CN105427149A (zh) * 2015-11-03 2016-03-23 上海特易信息科技有限公司 一种基于soa扩展框架的跨境电子商务bpo服务方法及装置
CN106331066B (zh) * 2016-08-15 2019-06-21 努比亚技术有限公司 电子设备及信息处理方法
US10136320B1 (en) * 2017-11-22 2018-11-20 International Business Machines Corporation Authentication of users at multiple terminals

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1889488A (zh) * 2006-08-03 2007-01-03 上海宝钢钢材贸易有限公司 内联网结构以及建立内联网的方法
CN101155260A (zh) * 2006-09-30 2008-04-02 华为技术有限公司 电子设备的控制方法、鉴权方法和服务器
CN101350717A (zh) * 2007-07-18 2009-01-21 中国移动通信集团公司 一种通过即时通信软件登录第三方服务器的方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7949788B2 (en) * 2007-05-18 2011-05-24 The Pnc Financial Services Group, Inc. Apparatus, systems and methods for transformation services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1889488A (zh) * 2006-08-03 2007-01-03 上海宝钢钢材贸易有限公司 内联网结构以及建立内联网的方法
CN101155260A (zh) * 2006-09-30 2008-04-02 华为技术有限公司 电子设备的控制方法、鉴权方法和服务器
CN101350717A (zh) * 2007-07-18 2009-01-21 中国移动通信集团公司 一种通过即时通信软件登录第三方服务器的方法及系统

Also Published As

Publication number Publication date
CN102325028A (zh) 2012-01-18

Similar Documents

Publication Publication Date Title
US11595816B2 (en) System and method to support identity theft protection as part of a distributed service oriented ecosystem
CN102325028B (zh) 一种支持多个终端的身份认证与服务授权的方法
US9294454B2 (en) Actively federated mobile authentication
US9053306B2 (en) Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium
TWI678909B (zh) 安全認證方法、裝置及系統
US11792179B2 (en) Computer readable storage media for legacy integration and methods and systems for utilizing same
CN105144111A (zh) 用于不同web服务架构的中继服务
CN105991614B (zh) 一种开放授权、资源访问的方法及装置、服务器
US9589122B2 (en) Operation processing method and device
CN103347020B (zh) 一种跨应用认证访问的系统及方法
CN111404695B (zh) 令牌请求验证方法和装置
CN114500082A (zh) 接入认证方法及装置、设备、服务器、存储介质和系统
WO2019184206A1 (zh) 身份认证方法及装置
WO2015149530A1 (zh) M2m应用服务方法、装置及系统
CN109684818A (zh) 一种防止机主登录密码泄露的跨终端式的服务器登录方法
CN113468611B (zh) 安全认证方法、系统、设备及介质
TWI651677B (zh) 網路銀行帳戶的登入方法及應用該登入方法之網路銀行系統
CN112242901B (zh) 服务验证方法、装置、设备及计算机存储介质
CN116346462A (zh) 令牌有效时间的设置方法、对请求信息安全鉴权的方法
CN116933240A (zh) 数据库的访问方法及装置
CN117692213A (zh) 微服务鉴权方法、系统、设备及介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method for supporting identity authentication and service authorization of multiple terminals

Effective date of registration: 20150106

Granted publication date: 20140416

Pledgee: Bank of China Limited by Share Ltd Beijing Century Fortune Central Branch

Pledgor: Beijing Jinher Software Co.,Ltd.

Registration number: 2015990000015

PLDC Enforcement, change and cancellation of contracts on pledge of patent right or utility model