CN103118025B - 基于入网认证的单点登录方法、装置及认证服务器 - Google Patents
基于入网认证的单点登录方法、装置及认证服务器 Download PDFInfo
- Publication number
- CN103118025B CN103118025B CN201310041648.9A CN201310041648A CN103118025B CN 103118025 B CN103118025 B CN 103118025B CN 201310041648 A CN201310041648 A CN 201310041648A CN 103118025 B CN103118025 B CN 103118025B
- Authority
- CN
- China
- Prior art keywords
- information
- application system
- authentication client
- user
- proof
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于入网认证的单点登录方法、装置及认证服务器,该方法包括:接收到第一认证客户端发送的入网认证请求后,若确定第一用户已注册,生成第一身份凭据并获取第一用户通过第一认证客户端可访问应用系统的地址信息;将第一身份凭据添加到获取的每个地址信息后,发送给第一认证客户端;接收到应用系统发送的第二身份凭据后,确定第二身份凭据对应的第二用户是否通过入网认证;若通过,确定第二用户是否可以通过第二认证客户端访问应用系统,并根据确定结果通知应用系统向第二认证客户端发送相应信息。该方案既节省网络资源,又提高登录效率;同时确保了应用系统的安全性。
Description
技术领域
本发明涉及网络技术领域,尤指一种基于入网认证的单点登录(SingleSignOn,SSO)方法、装置及认证服务器。
背景技术
企业应用集成可以在不同层面上进行,例如:在数据存储层面上的“数据大集中”、在传输层面上的“通用数据交换平台”、在应用层面上的“业务流程整合”、在用户界面上的“通用企业门户”等等,还有一个层面上的集成变得越来越重要,那就是“身份认证”的整合,即“SSO”,这是目前比较流行的企业业务整合的解决方案之一。SSO的定义是用户只需要登录一次就可以访问所有相互信任的多个应用系统。可以通过网络服务(WebService)使原来孤立的多个应用系统之间实现相互通信、信息共享,WebService是一个软件接口。
当用户接入网络后第一次访问应用系统1时,若该用户尚未登录,会被应用系统1引导到统一认证系统的登录页面,然后由用户输入并提交身份信息给统一认证系统进行身份认证;统一认证系统根据用户提供的身份信息,进行身份认证,若通过,会返给用户一个认证凭据(ticket);当用户再访问应用系统2时,可以在访问请求中携带该ticket,应用系统2接收到访问请求后会把该ticket发送到统一认证系统进行校验,检查ticket的合法性。若通过校验,用户不用再登录就可以直接访问应用系统2。
在现有技术中,用户可以直接接入网络,身份认证通过后就可以完成SSO,这个过程中只需要一次身份认证即可。但是,一旦部署入网认证,例如802.1x认证,那么接入网络也需要进行一次身份认证,也就是说要完成SSO,需要进行两次身份认证,这样既浪费网络资源,又影响登录效率。并且,在进行SSO认证时,仅考虑用户身份信息,这样用户使用任意的客户端都可以访问应用系统,对于财务系统这种安全性要求较高的应用系统,就会存在安全隐患。
发明内容
本发明实施例提供一种基于入网认证的SSO方法、装置及认证服务器,用以解决现有技术中存在的完成SSO需要进行两次身份认证导致的浪费网络资源和影响登录效率以及仅考虑用户身份信息导致应用系统的安全性较差的问题。
一种基于入网认证的SSO方法,包括:
在接收到第一认证客户端发送的携带用户身份信息和第一认证客户端信息的入网认证请求后,若确定所述用户身份信息对应的第一用户已注册,根据所述用户身份信息和所述第一认证客户端信息生成第一身份凭据并获取所述第一用户通过所述第一认证客户端可访问应用系统的地址信息,所述入网认证请求是所述第一认证客户端接收到所述第一用户输入的所述用户身份信息后发送的;将所述第一身份凭据添加到获取的每个地址信息后,发送给所述第一认证客户端;以及
在接收到应用系统发送的第二身份凭据后,确定所述第二身份凭据对应的第二用户是否通过入网认证,所述第二身份凭据是所述应用系统接收到所述第二用户使用的第二认证客户端发送的携带所述应用系统的地址信息的访问请求后、解析所述应用系统的地址信息得到的;
若通过入网认证,确定所述第二用户是否可以通过所述第二认证客户端访问所述应用系统,并根据确定结果通知所述应用系统向所述第二认证客户端发送相应信息。
一种基于入网认证的SSO装置,包括:
第一信息处理单元,用于在接收到第一认证客户端发送的携带用户身份信息和第一认证客户端信息的入网认证请求后,若确定所述用户身份信息对应的第一用户已注册,根据所述用户身份信息和所述第一认证客户端信息生成第一身份凭据并获取所述第一用户通过所述第一认证客户端可访问应用系统的地址信息,所述入网认证请求是所述第一认证客户端接收到所述第一用户输入的所述用户身份信息后发送的;将所述第一身份凭据添加到获取的每个地址信息后,发送给所述第一认证客户端;
第二信息处理单元,用于在接收到应用系统发送的第二身份凭据后,确定所述第二身份凭据对应的第二用户是否通过入网认证,所述第二身份凭据是所述应用系统接收到所述第二用户使用的第二认证客户端发送的携带所述应用系统的地址信息的访问请求后、解析所述应用系统的地址信息得到的;若通过入网认证,确定所述第二用户是否可以通过所述第二认证客户端访问所述应用系统,并根据确定结果通知所述应用系统向所述第二认证客户端发送相应信息。
一种认证服务器,包括上述基于入网认证的SSO装置。
本发明有益效果如下:
本发明实施例提供的基于入网认证的SSO方法、装置及认证服务器,通过在接收到第一认证客户端发送的携带用户身份信息和第一认证客户端信息的入网认证请求后,若确定所述用户身份信息对应的第一用户已注册,根据所述用户身份信息和所述第一认证客户端信息生成第一身份凭据并获取所述第一用户通过所述第一认证客户端可访问应用系统的地址信息,所述入网认证请求是所述第一认证客户端接收到所述第一用户输入的所述用户身份信息后发送的;将所述第一身份凭据添加到获取的每个地址信息后,发送给所述第一认证客户端;以及在接收到应用系统发送的第二身份凭据后,确定所述第二身份凭据对应的第二用户是否通过入网认证,所述第二身份凭据是所述应用系统接收到所述第二用户使用的第二认证客户端发送的携带所述应用系统的地址信息的访问请求后、解析所述应用系统的地址信息得到的;若通过入网认证,确定所述第二用户是否可以通过所述第二认证客户端访问所述应用系统,并根据确定结果通知所述应用系统向所述第二认证客户端发送相应信息。该方案中用户在完成SSO时,只需要进行一次入网认证即可,点击携带身份凭据的应用系统的地址信息,就可实现访问应用系统,这样既节省网络资源,又提高登录效率;同时,在生成身份凭据时,不仅要考虑用户身份信息,还需要考虑认证客户端信息,也就是说只有该用户使用专用的客户端才能访问应用系统,这样就确保了应用系统的安全性。
附图说明
图1为本发明实施例中基于入网认证的SSO方法的流程图;
图2为本发明实施例中基于入网认证的SSO装置的结构示意图;
图3为本发明实施例中优选的基于入网认证的SSO方法的流程图。
具体实施方式
针对现有技术中存在的完成SSO需要进行两次身份认证导致的浪费网络资源和影响登录效率以及仅考虑用户身份信息导致应用系统的安全性较差的问题,本发明实施例提供的基于入网认证的SSO方法,该方法的流程如图1所示,执行步骤如下:
S10:接收第一认证客户端发送的携带用户身份信息和第一认证客户端信息的入网认证请求,入网认证请求是第一认证客户端接收到第一用户输入的用户身份信息后发送的。
当第一用户要进行SSO时,首先需要进行入网认证,在第一认证客户端输入用户身份信息,用户身份信息可以包括用户名和密码等,第一认证客户端将第一用户的用户身份信息和第一认证客户端信息携带在入网认证请求中,第一认证客户端信息包括硬盘序列号、中央处理器(CenterProcessingUnit,CPU)序列号、互联网协议(InternetProtocol,IP)地址等等。
S11:确定用户身份信息对应的第一用户是否已注册,若未注册,执行S12;否则,执行S13。
S12:通知第一用户进行注册。
若第一用户是第一次进行入网认证,首先通知第一用户进行注册。
S13:根据用户身份信息和第一认证客户端信息生成第一身份凭据并获取第一用户通过第一认证客户端可访问应用系统的地址信息。
应用系统需要管理员预先对其注册,注册信息可以包括应用系统名称、地址信息、拥有访问权限的用户以及认证客户端等等。
若第一用户不是第一次进行入网认证,可以根据用户身份信息和第一认证客户端信息生成第一身份凭据,并获取第一用户通过第一认证客户端可访问应用系统的地址信息。
S14:将第一身份凭据添加到获取的每个地址信息后,发送给第一认证客户端。
S15:接收应用系统发送的第二身份凭据,第二身份凭据是应用系统接收到第二用户使用的第二认证客户端发送的携带应用系统的地址信息的访问请求后、解析应用系统的地址信息得到的。
第二身份凭据可以是第一身份凭据,也可以是其它身份凭据;相应地,第二用户可以是第一用户,也可以是其他用户。
第二用户接收到添加了第二身份凭据的可访问应用系统的地址信息后,直接点击想要访问的应用系统的地址信息,第二认证客户端向应用系统发送携带应用系统的地址信息的访问请求,应用系统接收到访问请求后,解析出应用系统的地址信息中携带的第二身份凭据,并发出。
其中第一身份凭据和第二身份凭据可以是随机字符串,也可以是采用现有技术的算法根据用户身份信息和认证客户端信息计算出来的,当然也可以采用其他方式计算,这里不再一一赘述。
S16:确定第二身份凭据对应的第二用户是否通过入网认证,若通过入网认证,执行S17;否则,执行S18。
S17:确定第二用户是否可以通过第二认证客户端访问应用系统,并根据确定结果通知应用系统向第二认证客户端发送相应信息。
在确定第二身份凭据对应的第二用户已经通过入网认证后,再确定第二用户是否有权限通过第二认证客户端访问应用系统,根据确定的结果不同,通知应用系统向第二认证客户端发送的信息也不相同。
S18:通知第二认证客户端入网认证失败。
如果第二身份凭据对应的第二用户没有通过入网认证,则通知第二认证客户端入网认证失败,第二认证客户端可以重新发起入网认证。
其中,可以先执行S10-S14,再执行S15-S18;也可以同时执行S10-S14和S15-S18;也可以先执行S15-S18,再执行S10-S14。这里是以先执行S10-S14,再执行S15-S18为例进行说明的。
该方案中用户在完成SSO时,只需要进行一次入网认证即可,点击携带身份凭据的应用系统的地址信息,就可实现访问应用系统,这样既节省网络资源,又提高登录效率;同时,在生成身份凭据时,不仅要考虑用户身份信息,还需要考虑认证客户端信息,也就是说只有该用户使用专用的客户端才能访问应用系统,这样就确保了应用系统的安全性。
具体的,上述S11中的确定用户身份信息对应的第一用户已注册,具体包括:在存储的已注册用户的用户身份信息中查询用户身份信息;若查询到,确定用户身份信息对应的第一用户已注册。
在用户注册后,需要存储用户的身份信息,后续用户需要进行入网认证时,直接根据存储的用户身份信息就可以确定用户是否已注册。
具体的,上述S13中的根据用户身份信息和第一认证客户端信息获取第一用户通过第一认证客户端可访问应用系统的地址信息,具体包括:
在存储的用户身份信息与可访问应用系统的地址信息的对应关系中,获取用户身份信息对应的可访问应用系统的地址信息;以及
在存储的认证客户端信息与可访问应用系统的地址信息的对应关系中,获取第一认证客户端对应的可访问应用系统的地址信息;
将用户身份信息和第一认证客户端都对应的可访问应用系统的地址信息作为第一用户通过第一认证客户端可访问应用系统的地址信息。
通过该步骤就可以实现,用户只有在专用的认证客户端上才能访问应用系统,例如对于财务系统,只有专门的财务人员,在专用的认证客户端上才能进行访问,这样就可以确保财务系统的安全性。
较佳的,上述S13中的根据用户身份信息和第一认证客户端信息生成第一身份凭据之后,还包括:存储第一身份凭据。
上述S16中的确定第二身份凭据对应的第二用户是否通过入网认证,具体包括:在存储的第一身份凭据中查询第二身份凭据;若查询到第二身份凭据,则确定第二用户通过入网认证。
在生成第一身份凭据后,可以存储该第一身份凭据,当接收到应用系统发送的第二身份凭据后,可以直接查询已存储的第一身份凭据,来确定第二身份凭据是否通过入网认证。
具体的,上述S17中的确定第二用户是否可以通过第二认证客户端访问应用系统,根据确定结果通知应用系统向第二认证客户端发送相应信息,具体包括:
根据第二身份凭据确定第二用户的用户身份信息和第二认证客户端信息;
在存储的用户身份信息与可访问应用系统的地址信息的对应关系中,查询应用系统的地址信息是否对应第二用户的用户身份信息;以及在存储的认证客户端信息与可访问应用系统的地址信息的对应关系中,查询应用系统的地址信息是否对应第二认证客户端信息;
若查询到应用系统的地址信息对应第二用户的用户身份信息且应用系统的地址信息对应第二认证客户端信息,则确定第二用户通过第二认证客户端可以访问应用系统,通知应用系统向第二认证客户端发送登录成功信息;
若查询到应用系统的地址信息不对应第二用户的用户身份信息和/或应用系统的地址信息不对应第二认证客户端信息,则确定第二用户不可通过第二认证客户端访问应用系统,通知应用系统向第二认证客户端发送登录受限信息。
由于身份凭据是根据用户身份信息和认证客户端信息得到的,所以可以根据身份凭据得到用户身份信息和认证客户端信息。
如果第二用户通过第二认证客户端有权访问应用系统,就可以通知应用系统,然后由应用系统向第二认证客户端发送登录成功信息;如果第二用户通过第二认证客户端无权访问应用系统,就可以通知应用系统,然后由应用系统向第二客户端发送登录受限信息。
基于同一发明构思,本发明实施例提供一种基于入网认证的SSO装置,该装置可以设置在认证服务器中,结构如图2所示,包括:
第一信息处理单元20,用于在接收到第一认证客户端发送的携带用户身份信息和第一认证客户端信息的入网认证请求后,若确定用户身份信息对应的第一用户已注册,根据用户身份信息和第一认证客户端信息生成第一身份凭据并获取第一用户通过第一认证客户端可访问应用系统的地址信息,入网认证请求是第一认证客户端接收到第一用户输入的用户身份信息后发送的;将第一身份凭据添加到获取的每个地址信息后,发送给第一认证客户端;
第二信息处理单元21,用于在接收到应用系统发送的第二身份凭据后,确定第二身份凭据对应的第二用户是否通过入网认证,第二身份凭据是应用系统接收到第二用户使用的第二认证客户端发送的携带应用系统的地址信息的访问请求后、解析应用系统的地址信息得到的;若通过入网认证,确定第二用户是否可以通过第二认证客户端访问应用系统,并根据确定结果通知应用系统向第二认证客户端发送相应信息;若未通过入网认证,则通知第二认证客户端入网认证失败。
具体的,上述第一信息处理单元20,用于确定用户身份信息对应的第一用户已注册,具体用于:在存储的已注册用户的用户身份信息中查询用户身份信息;若查询到,确定用户身份信息对应的第一用户已注册。
具体的,上述第一信息处理单元20,用于根据用户身份信息和第一认证客户端信息获取第一用户通过第一认证客户端可访问应用系统的地址信息,具体用于:在存储的用户身份信息与可访问应用系统的地址信息的对应关系中,获取用户身份信息对应的可访问应用系统的地址信息;以及在存储的认证客户端信息与可访问应用系统的地址信息的对应关系中,获取第一认证客户端对应的可访问应用系统的地址信息;将用户身份信息和第一认证客户端都对应的可访问应用系统的地址信息作为第一用户通过第一认证客户端可访问应用系统的地址信息。
较佳的,上述第一信息处理单元20,还用于,在根据用户身份信息和第一认证客户端信息生成第一身份凭据之后,存储第一身份凭据。
上述第二信息处理单元21,用于确定第二身份凭据对应的第二用户是否通过入网认证,具体用于:在存储的第一身份凭据中查询第二身份凭据;若查询到第二身份凭据,则确定第二用户通过入网认证。
具体的,第二信息处理单元21,用于确定第二用户是否可以通过第二认证客户端访问应用系统,根据确定结果通知应用系统向第二认证客户端发送相应信息,具体用于:根据第二身份凭据确定第二用户的用户身份信息和第二认证客户端信息;在存储的用户身份信息与可访问应用系统的地址信息的对应关系中,查询应用系统的地址信息是否对应第二用户的用户身份信息;以及在存储的认证客户端信息与可访问应用系统的地址信息的对应关系中,查询应用系统的地址信息是否对应第二认证客户端信息;若查询到应用系统的地址信息对应第二用户的用户身份信息且应用系统的地址信息对应第二认证客户端信息,则确定第二用户通过第二认证客户端可以访问应用系统,通知应用系统向第二认证客户端发送登录成功信息;若查询到应用系统的地址信息不对应第二用户的用户身份信息和/或应用系统的地址信息不对应第二认证客户端信息,则确定第二用户不可通过第二认证客户端访问应用系统,通知应用系统向第二认证客户端发送登录受限信息。
下面以第一认证客户端为802.1x认证客户端、第一认证服务器为802.1x认证服务器为例说明上述基于入网认证的SSO方法,如图3所示,具体执行步骤如下:
S30:上网用户在802.1x认证客户端输入用户名和密码。
S31:802.1x认证客户端将其硬盘序列号、以及接收到的用户名和密码携带在入网认证请求中发送给802.1x认证服务器。
这里是将802.1x认证客户端的硬盘序列号作为认证客户端信息,当然也可以是CPU序列号、IP地址等等。
S32:802.1x认证服务器接收到入网请求后,在存储的已注册用户的用户名和密码中查询入网请求中携带的用户名和密码,若查到,执行S34;若查不到,执行S33。
S33:向802.1x认证客户端发送注册页面。
S34:根据用户名、密码和硬盘序列号生成身份凭据,以及获取上网用户通过802.1x认证客户端可访问应用系统的地址信息。
S35:将生成的身份凭据添加到获取的每个地址信息后,发送给802.1x认证客户端。
S36:802.1x认证客户端向上网用户显示接收到的地址信息。
S37:上网用户点击想要访问的应用系统的地址信息。
S38:802.1x认证客户端向应用系统发送携带应用系统的地址信息的访问请求。
S39:应用系统接收到访问请求后,解析应用系统的地址信息中的身份凭据,并将解析后的身份凭据发送给802.1x认证服务器。
应用服务器可以通过802.1x认证服务器开放的网络服务(WebService)接口向802.1x认证服务器发送身份凭据。
S40:802.1x认证服务器确定身份凭据对应的上网用户是否通过入网认证,若是,执行S42;否则,执行S41。
这里还是需要验证身份凭据对应的上网用户是否通过入网认证,因为802.1x认证客户端有可能修改了接收到的地址信息中的身份凭据。
S41:802.1x认证服务器向802.1x认证客户端发送入网认证失败信息。
如果802.1x认证客户端修改了接收到的地址信息中的身份凭据,然后再发送的访问请求中携带了修改后的身份凭据,这时候802.1x认证服务器就可以确定修改后的身份凭据对应的上网用户并没有通过入网认证,直接通知802.1x认证客户端显示入网认证失败信息即可。
S42:802.1x认证服务器确定上网用户是否可以通过802.1x认证客户端访问应用系统,若是,执行S43;否则,执行S45。
S43:802.1x认证服务器通知应用系统向802.1x认证客户端发送登录成功信息,执行S44。
S44:应用系统向802.1x认证客户端发送登录成功页面。
S45:802.1x认证服务器通知应用系统向802.1x认证客户端发送登录受限信息,执行S46。
S46:应用系统向802.1x认证客户端发送登录受限页面。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1.一种基于入网认证的单点登录方法,其特征在于,包括:
在接收到第一认证客户端发送的携带用户身份信息和第一认证客户端信息的入网认证请求后,若确定所述用户身份信息对应的第一用户已注册,根据所述用户身份信息和所述第一认证客户端信息生成第一身份凭据并获取所述第一用户通过所述第一认证客户端可访问应用系统的地址信息,所述入网认证请求是所述第一认证客户端接收到所述第一用户输入的所述用户身份信息后发送的;将所述第一身份凭据添加到获取的每个地址信息后,发送给所述第一认证客户端;根据用户身份信息和第一认证客户端信息生成第一身份凭据之后,还包括:存储第一身份凭据;
以及
在接收到应用系统发送的第二身份凭据后,确定所述第二身份凭据对应的第二用户是否通过入网认证,确定第二身份凭据对应的第二用户是否通过入网认证,具体包括:在存储的第一身份凭据中查询第二身份凭据,若查询到第二身份凭据,则确定第二用户通过入网认证,所述第二身份凭据是所述应用系统接收到所述第二用户使用的第二认证客户端发送的携带所述应用系统的地址信息的访问请求后、解析所述应用系统的地址信息得到的;
若通过入网认证,确定所述第二用户是否可以通过所述第二认证客户端访问所述应用系统,并根据确定结果通知所述应用系统向所述第二认证客户端发送相应信息。
2.如权利要求1所述的方法,其特征在于,还包括:
若未通过入网认证,则通知所述第二认证客户端入网认证失败。
3.如权利要求1所述的方法,其特征在于,根据所述用户身份信息和所述第一认证客户端信息获取所述第一用户通过所述第一认证客户端可访问应用系统的地址信息,具体包括:
在存储的用户身份信息与可访问应用系统的地址信息的对应关系中,获取所述用户身份信息对应的可访问应用系统的地址信息;以及
在存储的认证客户端信息与可访问应用系统的地址信息的对应关系中,获取所述第一认证客户端对应的可访问应用系统的地址信息;
将所述用户身份信息和所述第一认证客户端都对应的可访问应用系统的地址信息作为所述第一用户通过所述第一认证客户端可访问应用系统的地址信息。
4.如权利要求1-3任一所述的方法,其特征在于,确定所述第二用户是否可以通过所述第二认证客户端访问所述应用系统,根据确定结果通知所述应用系统向所述第二认证客户端发送相应信息,具体包括:
根据所述第二身份凭据确定所述第二用户的用户身份信息和所述第二认证客户端信息;
在存储的用户身份信息与可访问应用系统的地址信息的对应关系中,查询所述应用系统的地址信息是否对应所述第二用户的用户身份信息;以及在存储的认证客户端信息与可访问应用系统的地址信息的对应关系中,查询所述应用系统的地址信息是否对应所述第二认证客户端信息;
若查询到所述应用系统的地址信息对应所述第二用户的用户身份信息且所述应用系统的地址信息对应所述第二认证客户端信息,则确定所述第二用户通过所述第二认证客户端可以访问所述应用系统,通知所述应用系统向所述第二认证客户端发送登录成功信息;
若查询到所述应用系统的地址信息不对应所述第二用户的用户身份信息和/或所述应用系统的地址信息不对应所述第二认证客户端信息,则确定所述第二用户不可通过所述第二认证客户端访问所述应用系统,通知所述应用系统向所述第二认证客户端发送登录受限信息。
5.一种基于入网认证的单点登录装置,其特征在于,包括:
第一信息处理单元,用于在接收到第一认证客户端发送的携带用户身份信息和第一认证客户端信息的入网认证请求后,若确定所述用户身份信息对应的第一用户已注册,根据所述用户身份信息和所述第一认证客户端信息生成第一身份凭据并获取所述第一用户通过所述第一认证客户端可访问应用系统的地址信息,所述入网认证请求是所述第一认证客户端接收到所述第一用户输入的所述用户身份信息后发送的;将所述第一身份凭据添加到获取的每个地址信息后,发送给所述第一认证客户端;还用于根据用户身份信息和第一认证客户端信息生成第一身份凭据之后,存储第一身份凭据;
第二信息处理单元,用于在接收到应用系统发送的第二身份凭据后,确定所述第二身份凭据对应的第二用户是否通过入网认证,确定第二身份凭据对应的第二用户是否通过入网认证,具体包括:在存储的第一身份凭据中查询第二身份凭据,若查询到第二身份凭据,则确定第二用户通过入网认证,所述第二身份凭据是所述应用系统接收到所述第二用户使用的第二认证客户端发送的携带所述应用系统的地址信息的访问请求后、解析所述应用系统的地址信息得到的;若通过入网认证,确定所述第二用户是否可以通过所述第二认证客户端访问所述应用系统,并根据确定结果通知所述应用系统向所述第二认证客户端发送相应信息。
6.如权利要求5所述的装置,其特征在于,所述第二信息处理单元,还用于:
若未通过入网认证,则通知所述第二认证客户端入网认证失败。
7.如权利要求5所述的装置,其特征在于,所述第一信息处理单元,用于根据所述用户身份信息和所述第一认证客户端信息获取所述第一用户通过所述第一认证客户端可访问应用系统的地址信息,具体用于:
在存储的用户身份信息与可访问应用系统的地址信息的对应关系中,获取所述用户身份信息对应的可访问应用系统的地址信息;以及
在存储的认证客户端信息与可访问应用系统的地址信息的对应关系中,获取所述第一认证客户端对应的可访问应用系统的地址信息;
将所述用户身份信息和所述第一认证客户端都对应的可访问应用系统的地址信息作为所述第一用户通过所述第一认证客户端可访问应用系统的地址信息。
8.如权利要求5-7任一所述的装置,其特征在于,所述第二信息处理单元,用于确定所述第二用户是否可以通过所述第二认证客户端访问所述应用系统,根据确定结果通知所述应用系统向所述第二认证客户端发送相应信息,具体用于:
根据所述第二身份凭据确定所述第二用户的用户身份信息和所述第二认证客户端信息;
在存储的用户身份信息与可访问应用系统的地址信息的对应关系中,查询所述应用系统的地址信息是否对应所述第二用户的用户身份信息;以及在存储的认证客户端信息与可访问应用系统的地址信息的对应关系中,查询所述应用系统的地址信息是否对应所述第二认证客户端信息;
若查询到所述应用系统的地址信息对应所述第二用户的用户身份信息且所述应用系统的地址信息对应所述第二认证客户端信息,则确定所述第二用户通过所述第二认证客户端可以访问所述应用系统,通知所述应用系统向所述第二认证客户端发送登录成功信息;
若查询到所述应用系统的地址信息不对应所述第二用户的用户身份信息和/或所述应用系统的地址信息不对应所述第二认证客户端信息,则确定所述第二用户不可通过所述第二认证客户端访问所述应用系统,通知所述应用系统向所述第二认证客户端发送登录受限信息。
9.一种认证服务器,其特征在于,包括如权利要求5-8任一所述的基于入网认证的单点登录装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310041648.9A CN103118025B (zh) | 2013-01-30 | 2013-01-30 | 基于入网认证的单点登录方法、装置及认证服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310041648.9A CN103118025B (zh) | 2013-01-30 | 2013-01-30 | 基于入网认证的单点登录方法、装置及认证服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103118025A CN103118025A (zh) | 2013-05-22 |
CN103118025B true CN103118025B (zh) | 2016-01-27 |
Family
ID=48416299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310041648.9A Active CN103118025B (zh) | 2013-01-30 | 2013-01-30 | 基于入网认证的单点登录方法、装置及认证服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103118025B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107172034A (zh) * | 2017-05-10 | 2017-09-15 | 珠海市小源科技有限公司 | 公共wifi连接的实名认证方法及装置 |
CN107222476B (zh) * | 2017-05-27 | 2018-02-16 | 国网山东省电力公司 | 一种认证服务方法 |
CN107070894A (zh) * | 2017-06-26 | 2017-08-18 | 武汉火凤凰云计算服务股份有限公司 | 一种基于企业云服务平台的软件集成方法 |
CN109492375B (zh) * | 2018-11-01 | 2021-07-16 | 北京京航计算通讯研究所 | 基于java中间件集成模式的sap erp单点登录系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710621A (zh) * | 2012-05-22 | 2012-10-03 | 中兴通讯股份有限公司 | 一种用户认证方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7562224B2 (en) * | 2005-04-04 | 2009-07-14 | Cisco Technology, Inc. | System and method for multi-session establishment for a single device |
-
2013
- 2013-01-30 CN CN201310041648.9A patent/CN103118025B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710621A (zh) * | 2012-05-22 | 2012-10-03 | 中兴通讯股份有限公司 | 一种用户认证方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103118025A (zh) | 2013-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5694344B2 (ja) | クラウド認証を使用する認証 | |
TWI725958B (zh) | 雲端主機服務權限控制方法、裝置和系統 | |
WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
US9401909B2 (en) | System for and method of providing single sign-on (SSO) capability in an application publishing environment | |
US20190199707A1 (en) | Using a service-provider password to simulate f-sso functionality | |
US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
US9923906B2 (en) | System, method and computer program product for access authentication | |
WO2017024791A1 (zh) | 一种处理授权的方法和设备 | |
CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
US20160248752A1 (en) | Multi factor user authentication on multiple devices | |
WO2017036003A1 (zh) | 一种可信网络身份管理和验证系统和方法 | |
US20100077208A1 (en) | Certificate based authentication for online services | |
CN104378376A (zh) | 基于soa的单点登录方法、认证服务器和浏览器 | |
CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
US9479533B2 (en) | Time based authentication codes | |
Sharma et al. | Identity and access management-a comprehensive study | |
US9479495B2 (en) | Sending authentication codes to multiple recipients | |
Bazaz et al. | A review on single sign on enabling technologies and protocols | |
US20120204248A1 (en) | Provisioner for single sign-on and non-single sign-on sites, applications, systems, and sessions | |
CN103118025B (zh) | 基于入网认证的单点登录方法、装置及认证服务器 | |
JP2017523508A (ja) | セキュアな統合型クラウドストレージ | |
US10021107B1 (en) | Methods and systems for managing directory information | |
CN108243164B (zh) | 一种电子政务云计算跨域访问控制方法和系统 | |
US20130191894A1 (en) | Integrating Server Applications with Multiple Authentication Providers | |
CN114006751B (zh) | 一种使用临时认证码的校园系统单点登录方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |
|
CP01 | Change in the name or title of a patent holder |