CN103139200A - 一种web service单点登录的方法 - Google Patents
一种web service单点登录的方法 Download PDFInfo
- Publication number
- CN103139200A CN103139200A CN2013100064174A CN201310006417A CN103139200A CN 103139200 A CN103139200 A CN 103139200A CN 2013100064174 A CN2013100064174 A CN 2013100064174A CN 201310006417 A CN201310006417 A CN 201310006417A CN 103139200 A CN103139200 A CN 103139200A
- Authority
- CN
- China
- Prior art keywords
- web service
- client
- request
- authentication
- timestamp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种web service单点登录的方法,通过鉴权中心对客户端的登陆请求进行验证,并返回随机字符串和当前服务器时间给客户端,客户端根据返回的信息和请求数据进行MD5计算得到指纹数据与请求参数构造请求报文,而Webservice应用服务器对请求中时间戳校验,通过后,提取参数请求鉴权中心进行鉴权,并在鉴权成功后,进行业务处理,并把处理结果返回客户端。本发明系统构建在单点登录原理之上,利用MD5运算的不可逆性和完整性的校验原理,验证用户身份,以及参数的完整、未经篡改;利用参与MD5运算的时间戳参数来防止攻击,本发明实现了一次登录即可在不同系统中访问需登录访问的业务,极大提高用户的体验感和便于业务整合,同时提高了web service接口的防攻击能力。
Description
技术领域
本发明属于通信技术领域,具体涉及的是一种web service单点登录的方法。
背景技术
随着移动互联网的发展,android、IOS等智能手机应用大量涌现,为适应市场所需应用的快速变化、便利外部合作方的协作应用,以及对公司软件开发投资的保护,服务提供方纷纷应用SOA架构,提供web service服务;结合当前流行的CAS(统一认证系统)架构,避免重复性的登陆等代码编写工作,使能专注于业务应用。
出于对web service应用的安全性、鉴权、性能等综合性考虑,本发明人提出了一种简单、实用的web service单点登陆方法。
发明内容
本发明的目的在于提供一种简单、实用的web service单点登录的方法,以提高用户的体验感、便于业务整合以及方便实施,同时提高web service接口的防攻击能力。
本发明的目的是通过以下技术方案实现的。
一种web service单点登录的方法,包括步骤:
S1、客户端发送用户标识和密码到鉴权中心,鉴权中心对该用户标识和密码进行验证,如验证通过,则进入S2;否则,则登陆失败;
S2、鉴权中心把生成的随机字符串、当前服务器时间、登陆标识作为用户登录信息存储在系统中,并返回客户端;
S3、客户端接收随机字符串和服务器时间后保存随机字符串,并算出本地时间和服务器时间的相对值,以备后续请求生成时间戳,在会话失效前不再重 复S1、S2、S3;
S4、客户端将请求参数、时间戳和随机字符串进行MD5运算,得到指纹数据,并将该指纹数据连同请求参数、时间戳一起发送给web service应用服务器;
S5、Web service应用服务器收到上述请求后,比较请求时间戳和服务器时间,如果请求时间戳在服务器时间上下一分钟范围内,则提取请求参数、时间戳和指纹数据,并请求鉴权中心进行鉴权;否则,则返回客户端请求非法;
S6、鉴权中心接收web service应用服务器的鉴权请求,根据用户标识从鉴权中心服务器系统中提取用户登录信息,通过请求参数、时间戳和随机字符串进行MD5运算,得到指纹数据,并与请求的指纹数据进行比较,如果相同,则返回web service应用服务器鉴权成功,并更新系统中当前用户登录信息中的登陆时间,然后进入S7;否则,则鉴权失败;进入S8;
S7、Web service应用服务器接收到鉴权成功结果后,根据请求参数进行业务处理,并把处理结果返回客户端,客户端发起新业务请求,重复S4;
S8、Web service应用服务器接收到鉴权失败结果后,直接返回客户端处理失败结果。
优选地,S2还包括:鉴权中心用于处理web service应用的鉴权请求。
本发明与现有技术相比,有益效果在于:本发明提供的web service单点登录的方法,通过鉴权中心对客户端的登陆请求进行验证,并返回随机字符串和当前服务器时间给客户端,客户端根据返回的信息和请求数据进行MD5计算得到指纹数据与请求参数构造请求报文,而Web service应用服务器对请求中时间戳校验,通过后,提取参数请求鉴权中心进行鉴权,并在鉴权成功后,进行业务处理,并把处理结果返回客户端。本发明系统构建在单点登录原理之上,利用MD5运算的不可逆性和完整性的校验原理,验证用户身份,以及参数的完整、未经篡改;利用参与MD5运算的时间戳参数来防止攻击,本发明实现了一次登录即可在不同系统中访问需登录访问的业务,极大提高用户的体验感 和便于业务整合,同时提高了web service接口的防攻击能力。
附图说明
图1为本发明的时序图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
请参阅图1所示,图1为本发明的时序图。其中本发明提供的web service单点登录的方法,具体包括步骤如下:
S1、客户端发送用户标识和密码到鉴权中心,鉴权中心对该用户标识和密码进行验证,如验证通过,则进入S2;否则,则返回登陆失败;
S2、鉴权中心返回随机字符串和当前服务器时间给客户端;
鉴权中心将用户标识、随机字符串和当前服务器时间存储在鉴权中心服务器系统中。
S3、客户端接收随机字符串和服务器时间后保存随机字符串,并算出本地时间和服务器时间的相对值,以备后续请求生成时间戳,在会话失效前不再重复S1、S2、S3;
S4、客户端将请求参数、时间戳和随机字符串进行MD5运算,得到指纹数据,并将该指纹数据连同请求参数、时间戳一起发送给web service应用服务器;
S5、Web service应用服务器收到上述请求后,比较请求时间戳和服务器时间,如果请求时间戳在服务器时间上下一分钟范围内,则提取请求参数、时间戳和指纹数据,并请求鉴权中心进行鉴权;否则,则返回客户端请求非法;
S6、鉴权中心接收web service应用服务器的鉴权请求,根据用户标识从鉴权中心服务器系统中提取用户登录信息,通过请求参数、时间戳和随机字符串进行MD5运算,得到指纹数据,并与请求的指纹数据进行比较,如果相同, 则返回web service应用服务器鉴权成功,并进入S7;否则,则鉴权失败;进入S8;
S7、Web service应用服务器接收到鉴权成功结果后,根据请求参数进行业务处理,并把处理结果返回客户端,客户端发起新业务请求,重复S4;
S8、Web service应用服务器接收到鉴权失败结果后,直接返回客户端处理失败结果。
其中智能手机、PAD等各种客户端访问web service登陆接口,发送用户标识和密码到鉴权中心,鉴权中心验证该用户标识和密码成功后,返回随机字符串(128位或更长的随机字符串,token)和当前服务器时间给客户端,并把该用户标识(如用户名)和随机字符串、当前服务器时间放到鉴权中心服务器系统(Key-Value系统)中保存;客户端接收随机字符串和服务器时间后保存随机字符串,算出本地时间和服务器时间的相对值,以备后续请求生成时间戳,至于密码和随机字符串的网络安全传输在其它文档中再说明。
当客户端请求web service应用时,则将请求参数+时间戳+随机字符串进行MD5运算,以得到指纹数据(sign),并该指纹数据连同请求参数、时间戳一起发送给web service应用服务器,指纹数据和时间戳可放在报文头中,请求参数则可放在报文内容中。
Web service应用服务器接收到上述请求后,首先比较请求时间戳和服务器时间,如果请求时间戳在服务器时间上下一分钟范围内,则提取请求参数、时间戳和指纹数据,并请求鉴权中心进行鉴权;鉴权中心接收到web service应用服务器的鉴权请求后,根据用户标识从Key-Value系统中提取随机字符串,并将请求参数+时间戳+随机字符串进行MD5运算,得到指纹数据,并将该指纹数据与请求的指纹数据进行比较,如果相同,则更新当前请求用户的登陆时间,返回web service应用服务器鉴权成功的信息;否则,则返回鉴权失败的信息。Web service应用服务器接收到鉴权结果后,根据鉴权结果决定进行接下来的业务处理,如果返回的结果为鉴权失败,直接返回客户端处理失败;如果返回结 果为鉴权成功,则根据请求参数进行业务处理,并把处理结果返回给客户端。
本发明构建在单点登录原理之上,利用MD5运算的不可逆性,完整性校验原理,利用保存在客户端和鉴权中心的随机字符串分别参与客户端和鉴权中心的运算,以验证用户身份以及验证参数的完整、未经篡改,利用参与MD5运算的时间戳参数来防止重放攻击。
本发明实现了一种简单、实用的web service单点登录方法,使开发人员能更多的关注业务,用户可在一次登录就在不同系统中访问需登录访问业务,增强了用户体验,方便公司进行业务整合,并融合了部分web service安全性方面的考虑。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种web service单点登录的方法,其特征在于包括步骤:
S1、客户端发送用户标识和密码到鉴权中心,鉴权中心对该用户标识和密码进行验证,如验证通过,则进入S2;否则,则登陆失败;
S2、鉴权中心把生成的随机字符串、当前服务器时间、登陆标识作为用户登录信息存储在系统中,并返回客户端;
S3、客户端接收随机字符串和服务器时间后保存随机字符串,并算出本地时间和服务器时间的相对值,以备后续请求生成时间戳,在会话失效前不再重复S1、S2、S3;
S4、客户端将请求参数、时间戳和随机字符串进行MD5运算,得到指纹数据,并将该指纹数据连同请求参数、时间戳一起发送给web service应用服务器;
S5、Web service应用服务器收到上述请求后,比较请求时间戳和服务器时间,如果请求时间戳在服务器时间上下一分钟范围内,则提取请求参数、时间戳和指纹数据,并请求鉴权中心进行鉴权;否则,则返回客户端请求非法;
S6、鉴权中心接收web service应用服务器的鉴权请求,根据用户标识从鉴权中心服务器系统中提取用户登录信息,通过请求参数、时间戳和随机字符串进行MD5运算,得到指纹数据,并与请求的指纹数据进行比较,如果相同,则返回web service应用服务器鉴权成功,并更新系统中当前用户登录信息中的登陆时间,然后进入S7;否则,则鉴权失败;进入S8;
S7、Web service应用服务器接收到鉴权成功结果后,根据请求参数进行业务处理,并把处理结果返回客户端,客户端发起新业务请求,重复S4;
S8、Web service应用服务器接收到鉴权失败结果后,直接返回客户端处理失败结果。
2.根据权利要求1所述的web service单点登录的方法,其特征在于S2还包括:鉴权中心用于处理web service应用的鉴权请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310006417.4A CN103139200B (zh) | 2013-01-06 | 2013-01-06 | 一种Web service单点登录的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310006417.4A CN103139200B (zh) | 2013-01-06 | 2013-01-06 | 一种Web service单点登录的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103139200A true CN103139200A (zh) | 2013-06-05 |
| CN103139200B CN103139200B (zh) | 2016-06-15 |
Family
ID=48498506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310006417.4A Active CN103139200B (zh) | 2013-01-06 | 2013-01-06 | 一种Web service单点登录的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103139200B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103593406A (zh) * | 2013-10-17 | 2014-02-19 | 北京奇虎科技有限公司 | 一种静态资源标识处理方法及装置 |
| CN104468589A (zh) * | 2014-12-12 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | 一种轻量级会话的实现方法及系统 |
| CN104717187A (zh) * | 2013-12-16 | 2015-06-17 | 中国移动通信集团公司 | 一种登录方法及设备 |
| CN104753881A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 |
| CN105119884A (zh) * | 2015-07-10 | 2015-12-02 | 深圳市美贝壳科技有限公司 | 用于网络通信用户权限的校验方法 |
| CN105933356A (zh) * | 2016-07-07 | 2016-09-07 | 竞技世界(北京)网络技术有限公司 | 一种检测客户端dns劫持的方法及装置 |
| CN106357404A (zh) * | 2016-08-26 | 2017-01-25 | 易联(北京)物联网科技有限公司 | 基于nfc芯片防伪认证的数据加密方法 |
| CN106453303A (zh) * | 2016-10-09 | 2017-02-22 | 武汉斗鱼网络科技有限公司 | 一种用于ios客户端的用户登录状态保存方法及系统 |
| CN106528640A (zh) * | 2016-10-13 | 2017-03-22 | 厦门中控生物识别信息技术有限公司 | 一种基于浏览器的指纹校验方法及系统 |
| CN107835193A (zh) * | 2017-11-30 | 2018-03-23 | 郑州云海信息技术有限公司 | 一种基于签名机制的安全通讯系统及方法 |
| CN109246148A (zh) * | 2018-11-01 | 2019-01-18 | 南方电网科学研究院有限责任公司 | 报文处理方法、装置、系统、设备和计算机可读存储介质 |
| WO2019095567A1 (zh) * | 2017-11-15 | 2019-05-23 | 平安科技(深圳)有限公司 | 单点登录的校验装置、方法及计算机可读存储介质 |
| CN110266653A (zh) * | 2019-05-29 | 2019-09-20 | 深圳市梦网科技发展有限公司 | 一种鉴权方法、系统及终端设备 |
| CN110636041A (zh) * | 2019-08-09 | 2019-12-31 | 西藏宁算科技集团有限公司 | 一种基于OpenResty的云端鉴权方案实现方法及系统 |
| CN111262701A (zh) * | 2020-01-10 | 2020-06-09 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
| CN113630421A (zh) * | 2021-08-24 | 2021-11-09 | 神州网云(北京)信息技术有限公司 | 基于非对称加密算法防web系统数据移植方法 |
| CN114024727A (zh) * | 2021-10-28 | 2022-02-08 | 广东好太太智能家居有限公司 | 一种跨域单点登录方法、系统、鉴权服务器和可读介质 |
| CN114500097A (zh) * | 2022-03-03 | 2022-05-13 | 中国农业银行股份有限公司四川省分行 | 一种基于Web系统单点登录的校验机制 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101763480A (zh) * | 2010-01-22 | 2010-06-30 | 蓝盾信息安全技术股份有限公司 | 一种计算机在线调查取证分析系统及方法 |
| CN101815135A (zh) * | 2009-10-27 | 2010-08-25 | 号百信息服务有限公司 | 一种构建电话座席和业务系统之间服务平台的实现方法 |
| US20120095822A1 (en) * | 2010-10-13 | 2012-04-19 | Steven Chiocchi | System and method for delivering and securely redeeming location-specific promotions |
| CN102624740A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种数据交互方法及客户端、服务器 |
-
2013
- 2013-01-06 CN CN201310006417.4A patent/CN103139200B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101815135A (zh) * | 2009-10-27 | 2010-08-25 | 号百信息服务有限公司 | 一种构建电话座席和业务系统之间服务平台的实现方法 |
| CN101763480A (zh) * | 2010-01-22 | 2010-06-30 | 蓝盾信息安全技术股份有限公司 | 一种计算机在线调查取证分析系统及方法 |
| US20120095822A1 (en) * | 2010-10-13 | 2012-04-19 | Steven Chiocchi | System and method for delivering and securely redeeming location-specific promotions |
| CN102624740A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种数据交互方法及客户端、服务器 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103593406A (zh) * | 2013-10-17 | 2014-02-19 | 北京奇虎科技有限公司 | 一种静态资源标识处理方法及装置 |
| CN104717187B (zh) * | 2013-12-16 | 2018-11-23 | 中国移动通信集团公司 | 一种登录方法及设备 |
| CN104717187A (zh) * | 2013-12-16 | 2015-06-17 | 中国移动通信集团公司 | 一种登录方法及设备 |
| CN104753881A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 |
| CN104753881B (zh) * | 2013-12-30 | 2019-03-26 | 格尔软件股份有限公司 | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 |
| CN104468589A (zh) * | 2014-12-12 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | 一种轻量级会话的实现方法及系统 |
| CN105119884A (zh) * | 2015-07-10 | 2015-12-02 | 深圳市美贝壳科技有限公司 | 用于网络通信用户权限的校验方法 |
| CN105933356A (zh) * | 2016-07-07 | 2016-09-07 | 竞技世界(北京)网络技术有限公司 | 一种检测客户端dns劫持的方法及装置 |
| CN106357404A (zh) * | 2016-08-26 | 2017-01-25 | 易联(北京)物联网科技有限公司 | 基于nfc芯片防伪认证的数据加密方法 |
| CN106357404B (zh) * | 2016-08-26 | 2019-06-18 | 北京易联网络科技集团有限公司 | 基于nfc芯片防伪认证的数据加密方法 |
| CN106453303A (zh) * | 2016-10-09 | 2017-02-22 | 武汉斗鱼网络科技有限公司 | 一种用于ios客户端的用户登录状态保存方法及系统 |
| CN106528640B (zh) * | 2016-10-13 | 2019-10-18 | 厦门中控生物识别信息技术有限公司 | 一种基于浏览器的指纹校验方法及系统 |
| CN106528640A (zh) * | 2016-10-13 | 2017-03-22 | 厦门中控生物识别信息技术有限公司 | 一种基于浏览器的指纹校验方法及系统 |
| WO2019095567A1 (zh) * | 2017-11-15 | 2019-05-23 | 平安科技(深圳)有限公司 | 单点登录的校验装置、方法及计算机可读存储介质 |
| CN107835193A (zh) * | 2017-11-30 | 2018-03-23 | 郑州云海信息技术有限公司 | 一种基于签名机制的安全通讯系统及方法 |
| CN109246148A (zh) * | 2018-11-01 | 2019-01-18 | 南方电网科学研究院有限责任公司 | 报文处理方法、装置、系统、设备和计算机可读存储介质 |
| CN110266653A (zh) * | 2019-05-29 | 2019-09-20 | 深圳市梦网科技发展有限公司 | 一种鉴权方法、系统及终端设备 |
| CN110266653B (zh) * | 2019-05-29 | 2021-09-14 | 深圳市梦网科技发展有限公司 | 一种鉴权方法、系统及终端设备 |
| CN110636041A (zh) * | 2019-08-09 | 2019-12-31 | 西藏宁算科技集团有限公司 | 一种基于OpenResty的云端鉴权方案实现方法及系统 |
| CN111262701A (zh) * | 2020-01-10 | 2020-06-09 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
| CN111262701B (zh) * | 2020-01-10 | 2023-05-23 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
| CN113630421A (zh) * | 2021-08-24 | 2021-11-09 | 神州网云(北京)信息技术有限公司 | 基于非对称加密算法防web系统数据移植方法 |
| CN114024727A (zh) * | 2021-10-28 | 2022-02-08 | 广东好太太智能家居有限公司 | 一种跨域单点登录方法、系统、鉴权服务器和可读介质 |
| CN114500097A (zh) * | 2022-03-03 | 2022-05-13 | 中国农业银行股份有限公司四川省分行 | 一种基于Web系统单点登录的校验机制 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103139200B (zh) | 2016-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103139200B (zh) | 一种Web service单点登录的方法 | |
| CN111935094B (zh) | 数据库访问方法、装置、系统及计算机可读存储介质 | |
| CN111556006B (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
| US8869254B2 (en) | User verification using voice based password | |
| US10382426B2 (en) | Authentication context transfer for accessing computing resources via single sign-on with single use access tokens | |
| WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| TWI725958B (zh) | 雲端主機服務權限控制方法、裝置和系統 | |
| US9722984B2 (en) | Proximity-based authentication | |
| US9369286B2 (en) | System and methods for facilitating authentication of an electronic device accessing plurality of mobile applications | |
| CN108600203A (zh) | 基于Cookie的安全单点登录方法及其统一认证服务系统 | |
| WO2016173199A1 (zh) | 一种移动应用单点登录方法及装置 | |
| CN111865882B (zh) | 一种微服务认证方法和系统 | |
| CN109362074B (zh) | 一种混合模式APP中h5与服务端安全通讯的方法 | |
| CN105337949A (zh) | 一种SSO认证方法、web服务器、认证中心和token校验中心 | |
| CN103546430A (zh) | 基于移动终端的身份验证方法、移动终端、服务器及系统 | |
| US9332433B1 (en) | Distributing access and identification tokens in a mobile environment | |
| CN105554098A (zh) | 一种设备配置方法、服务器及系统 | |
| CN106549909B (zh) | 一种授权验证方法及设备 | |
| CN109495486B (zh) | 一种基于JWT的单页Web应用集成CAS的方法 | |
| CN110175448B (zh) | 一种可信设备登录认证方法及具有认证功能的应用系统 | |
| CN110166453A (zh) | 一种基于se芯片的接口认证方法、系统及存储介质 | |
| US11777942B2 (en) | Transfer of trust between authentication devices | |
| WO2014153959A1 (zh) | 用于防止跨站点请求伪造的方法、相关装置及系统 | |
| CN111404695B (zh) | 令牌请求验证方法和装置 | |
| CN114157434A (zh) | 登录验证方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |