CN104994102A - 一种基于反向代理的企业信息系统认证和访问控制的方法 - Google Patents
一种基于反向代理的企业信息系统认证和访问控制的方法 Download PDFInfo
- Publication number
- CN104994102A CN104994102A CN201510396460.5A CN201510396460A CN104994102A CN 104994102 A CN104994102 A CN 104994102A CN 201510396460 A CN201510396460 A CN 201510396460A CN 104994102 A CN104994102 A CN 104994102A
- Authority
- CN
- China
- Prior art keywords
- proxy server
- user
- proxy
- access control
- unified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于反向代理的企业信息系统认证和访问控制的方法,属于企业信息系统认证和访问控制的方法,本发明解决传统的单点登录方案具有侵入性,无法有效进行统一认证和统一访问控制,而且实施步骤繁琐的问题。技术方案为:所述方法涉及硬件为代理服务器,所涉及的软件为认证授权应用、被集成应用;代理服务器:为Web服务器,具有代理和反向代理功能;认证授权应用:用于提供用户认证信息和授权信息,为代理服务器提供用户认证和授权服务;被集成应用:为各种被集成的业务应用;用户对于企业信息系统的访问请求以及最终的业务应用响应结果在代理服务器上执行统一认证和统一访问控制。
Description
技术领域
本发明涉及一种企业信息系统认证和访问控制的方法,具体地说是一种基于反向代理的企业信息系统认证和访问控制的方法。
背景技术
随着各企业信息系统不断将内部资源不同程度开放给客户、合作伙伴及员工,企业信息系统的信息财产安全愈发受到重视,所以如何保证信息的私密性、完整性、真实性和可靠性成为企业亟待解决的问题。
企业信息化经过多年的发展,企业信息系统积少成多,而且彼此孤立、标准不一,用户使用过程中需要频繁在各企业信息系统之间切换,众多的用户名和口令也成为用户的记忆负担。因此对企业信息系统的统一安全管理成为大势所趋,包括统一认证、统一访问控制。但是传统的单点登录方案具有侵入性,无法有效进行统一访问控制和审计,而且实施步骤繁琐。
发明内容
本发明的技术任务是针对以上不足之处,提供一种基于反向代理的企业信息系统认证和访问控制的方法。解决传统的单点登录方案具有侵入性,无法有效进行统一认证和统一访问控制,而且实施步骤繁琐的问题。
本发明解决其技术问题所采用的技术方案是:
一种基于反向代理的企业信息系统认证和访问控制的方法,所述方法涉及硬件为代理服务器,所涉及的软件为认证授权应用、被集成应用;代理服务器:为Web服务器,具有代理和反向代理功能;认证授权应用:用于提供用户认证信息和授权信息,为代理服务器提供用户认证和授权服务;被集成应用:为各种被集成的业务应用;用户对于企业信息系统的所有的访问请求都由代理服务器进行代理请求,最终的业务应用响应结果再经由代理服务器反向代理传输给用户,即用户对于企业信息系统的访问请求以及最终的业务应用响应结果在代理服务器上执行统一认证和统一访问控制。
所述方法基于form方式无侵入实现统一认证和统一访问控制;由代理服务器统一代理用户的请求和反向代理最终的业务应用响应结果,并由代理服务器统一保存会话标识和用户凭证,对浏览器暴露唯一的会话标识;代理服务器向被集成应用传递用户凭证时使用form方式,被集成应用获取用户凭证进行模拟登录。
统一认证过程如下:
(1)、用户对于企业信息系统进行访问请求时,代理服务器首先检测是否存在当前用户的会话,如果不存在,代理服务器将用户重定向到认证授权应用的登录页面;
(2)、用户输入用户名和密码后,由代理服务器提交到认证授权应用;
(3)、若认证授权应用通过认证,代理服务器将用户名和密码,以及认证授权应用的会话Cookie保存到本地缓存中,同时生成代理服务器的Cookie返回给浏览器,用于标记用户会话;
(4)、所有的应用对外只暴露一个会话Cookie,而各应用的会话Cookie由代理服务器保存,代理服务器在处理每次客户的访问请求时根据唯一的会话Cookie找到访问应用的会话Cookie,达到维持会话的目的;
(5)、用户再访问业务应用时,代理服务器检测用户是否有业务应用的会话Cookie,则将保存的用户名和密码以form的形式传递给被集成应用种用户请求的对应业务应用,该业务应用从form中提取用户名和密码进行模拟登录;登录成功返回到代理服务器,代理服务器保存该业务应用的会话Cookie,完成业务应用的认证。
统一访问控制过程如下:
(1)、用户对于企业信息系统发起被集成应用中的业务应用页面的访问请求;
(2)、该请求到达代理服务器后,代理服务器首先请求认证授权应用的授权服务;
(3)、由认证授权应用的认证授权服务判定用户是否具有访问该业务应用页面的权限;
(4)、认证授权应用将判定后的授权结果返回给代理服务器;
(5)、代理服务器根据授权结果决定是否放行用户对该业务应用页面的请求,同时将授权结果保存,达到统一访问控制的目的。
本发明的一种基于反向代理的企业信息系统认证和访问控制的方法和现有技术相比,具有以下有益效果:
1、所有的请求响应都会经过代理服务器这一层,所以在代理服务器上执行统一认证和访问控制,实现了用户对企业信息系统的资源访问进行统一认证和统一访问控制;
2、基于form方式无侵入实现统一认证和统一访问控制,达到非侵入式认证的目的;
3、实施步骤简便。
附图说明
下面结合附图对本发明进一步说明。
附图1为一种基于反向代理的企业信息系统认证和访问控制的方法的结构关系示意框图。
图中:数字①所标识的是到认证授权应用的请求,数字②所标识的是到被集成应用中的业务应用的请求。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
实施例1:
本发明的一种基于反向代理的企业信息系统认证和访问控制的方法,所述方法涉及硬件为代理服务器,所涉及的软件为认证授权应用、被集成应用;代理服务器:为Web服务器,具有代理和反向代理功能;认证授权应用:用于提供用户认证信息和授权信息,为代理服务器提供用户认证和授权服务;被集成应用:为各种被集成的业务应用;用户对于企业信息系统的所有的访问请求都由代理服务器进行代理请求,最终的业务应用响应结果再经由代理服务器反向代理传输给用户,即用户对于企业信息系统的访问请求以及最终的业务应用响应结果在代理服务器上执行统一认证和统一访问控制。
所述方法基于form方式无侵入实现统一认证和统一访问控制;由代理服务器统一代理用户的请求和反向代理最终的业务应用响应结果,并由代理服务器统一保存会话标识和用户凭证,对浏览器暴露唯一的会话标识;代理服务器向被集成应用传递用户凭证时使用form方式,被集成应用获取用户凭证进行模拟登录。
实施例2:
本发明的一种基于反向代理的企业信息系统认证和访问控制的方法,所述方法涉及硬件为代理服务器,所涉及的软件为认证授权应用、被集成应用;代理服务器:为Web服务器,具有代理和反向代理功能;认证授权应用:用于提供用户认证信息和授权信息,为代理服务器提供用户认证和授权服务;被集成应用:为各种被集成的业务应用;用户对于企业信息系统的所有的访问请求都由代理服务器进行代理请求,最终的业务应用响应结果再经由代理服务器反向代理传输给用户,即用户对于企业信息系统的访问请求以及最终的业务应用响应结果在代理服务器上执行统一认证和统一访问控制。
所述方法基于form方式无侵入实现统一认证和统一访问控制;由代理服务器统一代理用户的请求和反向代理最终的业务应用响应结果,并由代理服务器统一保存会话标识和用户凭证,对浏览器暴露唯一的会话标识;代理服务器向被集成应用传递用户凭证时使用form方式,被集成应用获取用户凭证进行模拟登录。
统一认证过程如下:
(1)、用户对于企业信息系统进行访问请求时,代理服务器首先检测是否存在当前用户的会话,如果不存在,代理服务器将用户重定向到认证授权应用的登录页面;
(2)、用户输入用户名和密码后,由代理服务器提交到认证授权应用;
(3)、若认证授权应用通过认证,代理服务器将用户名和密码,以及认证授权应用的会话Cookie保存到本地缓存中,同时生成代理服务器的Cookie返回给浏览器,用于标记用户会话;
(4)、所有的应用对外只暴露一个会话Cookie,而各应用的会话Cookie由代理服务器保存,代理服务器在处理每次客户的访问请求时根据唯一的会话Cookie找到访问应用的会话Cookie,达到维持会话的目的;
(5)、用户再访问业务应用时,代理服务器检测用户是否有业务应用的会话Cookie,则将保存的用户名和密码以form的形式传递给被集成应用种用户请求的对应业务应用,该业务应用从form中提取用户名和密码进行模拟登录;登录成功返回到代理服务器,代理服务器保存该业务应用的会话Cookie,完成业务应用的认证。
统一访问控制过程如下:
(1)、用户对于企业信息系统发起被集成应用中的业务应用页面的访问请求;
(2)、该请求到达代理服务器后,代理服务器首先请求认证授权应用的授权服务;
(3)、由认证授权应用的认证授权服务判定用户是否具有访问该业务应用页面的权限;
(4)、认证授权应用将判定后的授权结果返回给代理服务器;
(5)、代理服务器根据授权结果决定是否放行用户对该业务应用页面的请求,同时将授权结果保存,达到统一访问控制的目的。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
Claims (4)
1.一种基于反向代理的企业信息系统认证和访问控制的方法,其特征在于所述方法涉及硬件为代理服务器,所涉及的软件为认证授权应用、被集成应用;代理服务器:为Web服务器,具有代理和反向代理功能;认证授权应用:用于提供用户认证信息和授权信息,为代理服务器提供用户认证和授权服务;被集成应用:为各种被集成的业务应用;用户对于企业信息系统的所有的访问请求都由代理服务器进行代理请求,最终的业务应用响应结果再经由代理服务器反向代理传输给用户,即用户对于企业信息系统的访问请求以及最终的业务应用响应结果在代理服务器上执行统一认证和统一访问控制。
2.根据权利要求1所述的一种基于反向代理的企业信息系统认证和访问控制的方法,其特征在于所述方法基于form方式无侵入实现统一认证和统一访问控制;由代理服务器统一代理用户的请求和反向代理最终的业务应用响应结果,并由代理服务器统一保存会话标识和用户凭证,对浏览器暴露唯一的会话标识;代理服务器向被集成应用传递用户凭证时使用form方式,被集成应用获取用户凭证进行模拟登录。
3.根据权利要求1所述的一种基于反向代理的企业信息系统认证和访问控制的方法,其特征在于统一认证过程如下:
(1)、用户对于企业信息系统进行访问请求时,代理服务器首先检测是否存在当前用户的会话,如果不存在,代理服务器将用户重定向到认证授权应用的登录页面;
(2)、用户输入用户名和密码后,由代理服务器提交到认证授权应用;
(3)、若认证授权应用通过认证,代理服务器将用户名和密码,以及认证授权应用的会话Cookie保存到本地缓存中,同时生成代理服务器的Cookie返回给浏览器,用于标记用户会话;
(4)、所有的应用对外只暴露一个会话Cookie,而各应用的会话Cookie由代理服务器保存,代理服务器在处理每次客户的访问请求时根据唯一的会话Cookie找到访问应用的会话Cookie,达到维持会话的目的;
(5)、用户再访问业务应用时,代理服务器检测用户是否有业务应用的会话Cookie,则将保存的用户名和密码以form的形式传递给被集成应用种用户请求的对应业务应用,该业务应用从form中提取用户名和密码进行模拟登录;登录成功返回到代理服务器,代理服务器保存该业务应用的会话Cookie,完成业务应用的认证。
4.根据权利要求1所述的一种基于反向代理的企业信息系统认证和访问控制的方法,其特征在于统一访问控制过程如下:
(1)、用户对于企业信息系统发起被集成应用中的业务应用页面的访问请求;
(2)、该请求到达代理服务器后,代理服务器首先请求认证授权应用的授权服务;
(3)、由认证授权应用的认证授权服务判定用户是否具有访问该业务应用页面的权限;
(4)、认证授权应用将判定后的授权结果返回给代理服务器;
(5)、代理服务器根据授权结果决定是否放行用户对该业务应用页面的请求,同时将授权结果保存,达到统一访问控制的目的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510396460.5A CN104994102A (zh) | 2015-07-08 | 2015-07-08 | 一种基于反向代理的企业信息系统认证和访问控制的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510396460.5A CN104994102A (zh) | 2015-07-08 | 2015-07-08 | 一种基于反向代理的企业信息系统认证和访问控制的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104994102A true CN104994102A (zh) | 2015-10-21 |
Family
ID=54305854
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510396460.5A Pending CN104994102A (zh) | 2015-07-08 | 2015-07-08 | 一种基于反向代理的企业信息系统认证和访问控制的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104994102A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107172114A (zh) * | 2016-03-08 | 2017-09-15 | 深圳市深信服电子科技有限公司 | 基于显式代理环境中访问ftp资源的方法及代理服务器 |
CN109286620A (zh) * | 2018-09-25 | 2019-01-29 | 平安科技(深圳)有限公司 | 用户权限管理方法、系统、设备和计算机可读存储介质 |
CN109309684A (zh) * | 2018-10-30 | 2019-02-05 | 红芯时代(北京)科技有限公司 | 一种业务访问方法、装置、终端、服务器及存储介质 |
CN109587140A (zh) * | 2018-12-06 | 2019-04-05 | 四川长虹电器股份有限公司 | 基于openresty动态口令代理网关的实现方法 |
CN109831435A (zh) * | 2019-01-31 | 2019-05-31 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
CN111431972A (zh) * | 2020-03-05 | 2020-07-17 | 北京龙归科技有限公司 | 基于idp代理的应用授权方法、设备、存储介质及系统 |
CN112311788A (zh) * | 2020-10-28 | 2021-02-02 | 北京锐安科技有限公司 | 一种访问控制方法、装置、服务器及介质 |
CN114422229A (zh) * | 2022-01-14 | 2022-04-29 | 北京从云科技有限公司 | Web应用单点登录代理方法、装置、登录方法及服务器 |
CN114416211A (zh) * | 2022-01-28 | 2022-04-29 | 广州易行数字技术有限公司 | 一种将工业软件定制化开发转为工业app的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050228848A1 (en) * | 2004-03-22 | 2005-10-13 | Thurston Stacy D | Method and system for operating a peer network |
CN101656609A (zh) * | 2008-08-22 | 2010-02-24 | 华为技术有限公司 | 一种单点登录方法、系统及装置 |
CN101741817A (zh) * | 2008-11-21 | 2010-06-16 | 中国移动通信集团安徽有限公司 | 一种多网络融合系统、装置及方法 |
CN102413454A (zh) * | 2010-09-21 | 2012-04-11 | 中兴通讯股份有限公司 | 一种数据传输的方法及aog系统 |
-
2015
- 2015-07-08 CN CN201510396460.5A patent/CN104994102A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050228848A1 (en) * | 2004-03-22 | 2005-10-13 | Thurston Stacy D | Method and system for operating a peer network |
CN101656609A (zh) * | 2008-08-22 | 2010-02-24 | 华为技术有限公司 | 一种单点登录方法、系统及装置 |
CN101741817A (zh) * | 2008-11-21 | 2010-06-16 | 中国移动通信集团安徽有限公司 | 一种多网络融合系统、装置及方法 |
CN102413454A (zh) * | 2010-09-21 | 2012-04-11 | 中兴通讯股份有限公司 | 一种数据传输的方法及aog系统 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107172114B (zh) * | 2016-03-08 | 2020-06-16 | 深信服科技股份有限公司 | 基于显式代理环境中访问ftp资源的方法及代理服务器 |
CN107172114A (zh) * | 2016-03-08 | 2017-09-15 | 深圳市深信服电子科技有限公司 | 基于显式代理环境中访问ftp资源的方法及代理服务器 |
CN109286620A (zh) * | 2018-09-25 | 2019-01-29 | 平安科技(深圳)有限公司 | 用户权限管理方法、系统、设备和计算机可读存储介质 |
CN109286620B (zh) * | 2018-09-25 | 2022-07-08 | 平安科技(深圳)有限公司 | 用户权限管理方法、系统、设备和计算机可读存储介质 |
CN109309684A (zh) * | 2018-10-30 | 2019-02-05 | 红芯时代(北京)科技有限公司 | 一种业务访问方法、装置、终端、服务器及存储介质 |
CN109587140A (zh) * | 2018-12-06 | 2019-04-05 | 四川长虹电器股份有限公司 | 基于openresty动态口令代理网关的实现方法 |
CN109831435B (zh) * | 2019-01-31 | 2021-06-01 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
CN109831435A (zh) * | 2019-01-31 | 2019-05-31 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
CN111431972A (zh) * | 2020-03-05 | 2020-07-17 | 北京龙归科技有限公司 | 基于idp代理的应用授权方法、设备、存储介质及系统 |
CN111431972B (zh) * | 2020-03-05 | 2022-09-20 | 北京龙归科技有限公司 | 基于idp代理的应用授权方法、设备、存储介质及系统 |
CN112311788A (zh) * | 2020-10-28 | 2021-02-02 | 北京锐安科技有限公司 | 一种访问控制方法、装置、服务器及介质 |
CN114422229A (zh) * | 2022-01-14 | 2022-04-29 | 北京从云科技有限公司 | Web应用单点登录代理方法、装置、登录方法及服务器 |
CN114416211A (zh) * | 2022-01-28 | 2022-04-29 | 广州易行数字技术有限公司 | 一种将工业软件定制化开发转为工业app的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104994102A (zh) | 一种基于反向代理的企业信息系统认证和访问控制的方法 | |
JP7079798B2 (ja) | クラウドサービスにおける動的な柔軟な認証のためのシステム及び方法 | |
US9787659B2 (en) | Techniques for secure access management in virtual environments | |
US9576140B1 (en) | Single sign-on system for shared resource environments | |
US8955082B2 (en) | Authenticating using cloud authentication | |
EP2898441B1 (en) | Mobile multifactor single-sign-on authentication | |
US20170316497A1 (en) | Method for creating, registering, revoking authentication information and server using the same | |
CN104320423B (zh) | 基于Cookie的单点登录轻量级实现方法 | |
US8925053B1 (en) | Internet-accessible service for dynamic authentication and continuous assertion of trust level in identities | |
US20100077469A1 (en) | Single Sign On Infrastructure | |
US20160006567A1 (en) | Cryptographic Device that Binds an Additional Authentication Factor to Multiple Identities | |
CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
AU2018206414A1 (en) | Confirming authenticity of a user to a third-party system | |
US20130212653A1 (en) | Systems and methods for password-free authentication | |
CN103139200A (zh) | 一种web service单点登录的方法 | |
US20170279798A1 (en) | Multi-factor authentication system and method | |
CN107005605A (zh) | 服务授权中的设备标识 | |
US9332433B1 (en) | Distributing access and identification tokens in a mobile environment | |
US20200322151A1 (en) | Apparatus and methods for secure access to remote content | |
WO2018022193A1 (en) | Login proxy for third-party applications | |
Wu et al. | Design and implementation of cloud API access control based on OAuth | |
CN113901429A (zh) | 多租户系统的访问方法及装置 | |
Binu et al. | A mobile based remote user authentication scheme without verifier table for cloud based services | |
US11171945B2 (en) | Time-based token trust depreciation | |
CN103856942A (zh) | 用于智能手机操作系统的单点登录方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151021 |