CN105592003B - 一种基于通知的跨域单点登录方法及系统 - Google Patents
一种基于通知的跨域单点登录方法及系统 Download PDFInfo
- Publication number
- CN105592003B CN105592003B CN201410563541.5A CN201410563541A CN105592003B CN 105592003 B CN105592003 B CN 105592003B CN 201410563541 A CN201410563541 A CN 201410563541A CN 105592003 B CN105592003 B CN 105592003B
- Authority
- CN
- China
- Prior art keywords
- authentication center
- authentication
- session
- browser
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种基于通知的跨域单点登录方法,其包括:步骤S1,信任通道建立;步骤S2,全局认证凭证生成;步骤S3,用户身份认证;步骤S4,单点登录。借助web服务器的原有会话机制,以安全的加密通道传递会话ID,在认证服务端维护会话ID与认证凭证的关系,实现身份认证和单点登录,具有效率高、安全性高、实现成本低的特点。此外,本发明还提供一种基于通知的跨域单点登录系统,包括:客户端、应用服务端、认证中心三大模块,任意接入认证中心的应用端需携带重定向组件,认证中心负责认证凭证的生成、管理、销毁等工作,应用服务端与认证中心需建立互信通道,复用web服务的会话特性,实现跨域单点登录,具有复杂度低、安全性高、可靠性强的优点。
Description
技术领域
本发明属于网络信息安全技术领域,特别涉及一种基于通知的跨域单点登录方法及系统。
背景技术
随着互联网技术的迅猛发展,各种网络应用系统应运而生,同一用户在不同的系统中有不同的账号密码,造成了用户名密码的泛滥,同时也带来了安全隐患。
单点登录(SSO,Single Sign-On)技术的出现,解决了同一用户在互联网不同系统中的登录问题。该技术将身份认证交由统一的认证服务端,认证服务端产生统一的认证凭证,实现用户身份的认证与校验。
对于跨域SSO技术其核心在身份认证及认证信息共享方面,目前主要有三种实现方式:第一,采用session共享技术实现认证信息共享或通过cookies记录认证信息;第二,通过令牌适配器,将域内令牌认证生成跨域令牌,跨域令牌直接传递给用户终端;第三,构建本地URL与互联网URL映射,通过验证本地URL登录来认证互联网URL登录。其中,第一种方法在不便于保存认证信息,时效性控制存在限制;第二种方法,在令牌的生成、传递、控制过程中影响认证效率和准确性;第三种方法,实现过程比较复杂,容易消耗存储资源。
为此需要提出一种简洁、易于实现且安全性高、效率高的单点登录认证方法及系统,以解决当前企事业单位及互联网应用中,同一用户多个系统的用户登录问题。
发明内容
鉴于此,本发明公开了一种基于通知的跨域单点登录方法及系统,该方法利用Web服务器的原有会话机制,建立互信通道,以安全的加密通道传递会话ID,在认证服务端维护会话ID与认证凭证的关系,实现身份认证和单点登录,具有效率高、安全性高、实现成本低的特点。
本发明提供了一种基于通知的跨域单点登录方法,该方法涉及认证中心、应用端、客户浏览器端,其包括:
步骤S1:建立信任通道,在认证中心与应用端采用一定的加密技术建立互信的加密通道;
步骤S2:生成全局认证凭证,并绑定会话ID;
步骤S3:用户身份认证,实现单一应用端与认证中心的登录;
步骤S4:跨域认证,实现第三方应用端的登录。
特别地,任意应用端部署了负责发送重定向请求的组件,当用户通过浏览器访问应用时,应用请求浏览器重定向到认证中心,并携带会话ID。
更进一步,步骤S2生成的是一个全局认证凭证,该凭证具有一定的时效性,由认证中心管理维护,认证凭证的生成包括以下步骤:
步骤S21,用户通过客户端(浏览器)访问应用服务端(应用端A);
步骤S22,应用端A向浏览器发送重定向到认证中心的请求;
步骤S23,浏览器接收请求,携带会话ID,重定向到认证中心;
步骤S24,认证中心生成全局认证凭证,并绑定会话ID。
全局认证凭证生产后,用户需求进行身份认证,其认证过程包括:
步骤S31,浏览器接收用户名和密码的输入,并将认证信息发送给应用端A;
步骤S32,应用端A通过加密通道向认证中心提交用户名及密码等认证信息;
步骤S33,认证中心进行用户名及密码的验证,如果正确,则置认证凭证为登录状态,如果不正确,则将验证错误反馈给客户端浏览器,进行重新登录;
步骤S34,登录成功后,认证中心通过加密通道返回登录成功的信息给应用端A;
步骤S35,应用端A置为登录状态。
至此,生成了认证凭证并实现了认证中心和单一应用端A的登录。
更进一步,步骤S4当用户访问任意互联网第三方应用端B时,执行以下步骤,实现跨域认证登录:
步骤S41,用户通过浏览器访问应用端B;
步骤S42,应用B通过所部署的代理组件向浏览器发送重定向到认证中心的请求;
步骤S43,浏览器携带会话ID,重定向到认证中心;
步骤S44,认证中心完成认证凭证与会话ID之间的绑定;
步骤S45,认证中心模拟浏览器向应用B发送HTTP登录请求,并携带会话ID;
步骤S46,应用B通过加密通道,向认证中心获取会话ID对应的用户信息;
步骤S47,认证中心通过加密通道返回用户信息,第三方应用B实现本地登录,将会话置为登录状态。
此外本发明还提供了一种基于通知的跨域单点登录系统,该系统包括:负责身份认证和全局认证凭证生成的认证中心M_C、应用服务端M_A以及用户接口浏览器端M_I等三个模块。
其中,认证中心是核心模块,有多少个第三方应用需要单点登录,则需要提供相应的应用服务端及浏览器端接入认证中心。
认证中心负责全局认证凭证的生成、管理、销毁等工作,包括会话ID与全局认证凭证关系的维护。
应用服务端与认证中心之间,通过加密技术建立互信通道。
应用服务端负责向认证中心发送用户认证信息,以及在接受认证中心发送的HTTP登录请求后,向认证中心发送“用户信息”查询请求。
同时,任意第三方应用需要部署代理组件,主要负责发送重定向请求,辅助执行HTTP请求。
本发明例中提供了一种基于通知的跨域单点登录方法及系统,即将会话ID作为用户身份的标识,由认证中心进行用户身份认证,并统一维护、管理用户身份与认证凭证的关系,在认证中心与应用服务端的相互通信间建立安全通道,复用Web应用服务器的会话特性,实现跨域单点登录,技术方案具有安全性高、复杂度低的特点,有利于快速实施单点登录的继承。
附图说明
图1为本发明实施例提供的一种基于通知的跨域单点登录方法流程图。
图2为本发明实施例提供的一种基于通知的跨域单点登录方法中全局认证凭证生成方法流程图。
图3为本发明实施例提供的一种基于通知的跨域单点登录方法中用户身份认证流程图。
图4为本发明实施例提供的一种基于通知的跨域单点登录方法中单点登录方法流程图。
图5为本发明实施例提供的一种基于通知的跨域单点登录系统模块图。
具体实施方案
为了能更加清楚明白的阐述本发明实施例的目的、技术方法及优点,以下结合附图对本发明实施例提供的技术方案进行详细说明。
图1示出了本发明实施例的一种基于通知的跨域单点登录方法流程图。
如图1所示,根据本发明实施例的基于通知的跨域单点登录方法,包括三大流程块:信任通道的建立S1,全局认证凭证的生成S2,用户身份认证S3,单点登录S4。
其中,信任通道的建立可以通过加密算法实现,如SSL等,信任通道建成后,相互信任的双方便可进行安全通信。
当用户通过浏览器访问应用端时,便生成全局凭证S2,如图2所示,其过程如下:
步骤S21,用户通过客户端(浏览器)访问应用服务端(应用端A);
步骤S22,应用端A向浏览器发送重定向到认证中心的请求;
步骤S23,浏览器接收请求,携带会话ID,重定向到认证中心;
步骤S24,认证中心生成全局认证凭证,并绑定会话ID。
当用户通过浏览器向应用服务端发送登录信息请求登录时,需要进行用户身份认证,其流程图如图3所示,包括以下步骤:
步骤S31,用户通过浏览器向应用端A发送用户名和密码等认证信息请求登录;
步骤S32,应用端A通过加密通道向认证中心提交认证信息;
步骤S33,认证中心进行用户名及密码的验证,如果正确,则置全局凭证为登录状态,如果不正确,则将验证错误反馈给客户端浏览器,进行重新登录;
步骤S34,登录成功后,认证中心通过加密通道返回登录成功的信息给应用端A;
步骤S35,应用端A置为登录状态。
此时,便生成了用户的全局认证凭证,并实现了在应用端A及认证中心的登录。
如果此时,用户再访问应用B,便会开始进行单点登录,其实现流程如图4所示,包括以下步骤:
步骤S41,用户通过浏览器访问应用B;
步骤S42,应用B向浏览器发送重定向到认证中心的请求;
步骤S43,浏览器携带会话ID,重定向到认证中心;
步骤S44,认证中心完成会话ID与全局认证凭证的绑定;
步骤S45,认证中心模拟浏览器,通过加密通道,向应用B发送HTTP登录请求,携带会话ID;
步骤S46,应用B通过加密通道,根据会话ID,向认证中心获取用户信息;
步骤S47,应用B实现本地登录。
此时,应用B完成登录,跨域单点登录方法实现了应用A和应用B的同时登录。
需要特别说明的是,应用A和应用B是两个对等的应用服务端,两者所部署的环境及具备的功能是一样的,这里只是为了区分进行的编号。
此外,本发明实施例还提供了一种基于通知的跨域单点登录系统,该系统模块图如图5所示,由认证中心M_C、应用服务端M_A、客户端(浏览器)M_I三大模块组成。
其中,认证中心M_C,负责身份认证和全局凭证的生成、管理、销毁,包括会话ID与全局认证凭证关系的维护。
应用服务端M_A与认证中心M_C之间,通过加密技术建立互信通道。
应用服务端M_A负责向认证中心M_C发送用户认证信息,以及在接受认证中心发送的HTTP登录请求后,向认证中心M_C发送“用户信息”查询请求。
同时,任意第三方应用需要部署代理组件,主要负责发送重定向请求,辅助执行HTTP请求。
用户通过浏览器M_I向应用服务端M_A提交认证信息,应用服务端M_A自身检测是否已登录,若已登录则反馈认证信息给浏览器M_I,若未登录,则通过加密通道向认证中心M_C发送认证信息,认证中心M_C进行认证信息验证,验证通过后,认证中心M_C置全局认证凭证为登录状态,同时向浏览器发送重定向到应用的命令,应用服务端M_A实现本地登录;验证不通过,则向浏览器发送反馈错误信息,此时,单一应用及认证中心实现了用户登录。
当用户访问第三方应用时,部署在应用服务端的代理组件,通过应用服务端M_A向浏览器M_I发送重定向到认证中心M_C的命令,携带会话ID;认证中心M_C收到会话ID并与对应的认证凭证进行绑定,同时,模拟浏览器向应用服务端M_A发送HTTP登录请求,携带会话ID,应用服务端M_A通过加密通道向认证中心M_C获取会话ID对应的用户信息,从而实现应用服务端M_A的本地登录。
Claims (6)
1.一种基于通知的跨域单点登录方法,其特征在于,包括:
步骤S1,建立信任通道,在认证中心与应用端A采用加密技术建立互信的加密通道;
步骤S2,生产全局认证凭证,并绑定会话ID;
步骤S3,实现用户认证,在单一的应用端A和认证中心实现用户身份认证;
步骤S4,单点登录,实现第三方的应用端B的登录;
其中,步骤S2包括以下步骤:
步骤S21,用户通过客户端的浏览器访问应用端A;
步骤S22,应用端A向浏览器发送重定向到认证中心的请求;
步骤S23,浏览器接收请求,携带会话ID,重定向到认证中心;
步骤S24,认证中心生成全局认证凭证,并绑定会话ID;
其中,步骤S4包括:
步骤S41,用户通过客户端的浏览器访问应用端B;
步骤S42,应用端B通过所部署的代理组件向浏览器发送重定向到认证中心的请求;
步骤S43,浏览器携带会话ID,重定向到认证中心;
步骤S44,认证中心完成认证凭证与会话ID之间的绑定;
步骤S45,认证中心模拟浏览器向应用端B发送HTTP登录请求,并携带会话ID;
步骤S46,应用端B通过加密通道,向认证中心获取会话ID对应的用户信息;
步骤S47,认证中心通过加密通道返回用户信息,应用端B实现本地登录,将会话置为登录状态。
2.如权利要求1所述的基于通知的跨域单点登录方法,其特征在于,任意应用端C都需部署负责发送重定向请求的组件,实现浏览器到认证中心的重定向。
3.如权利要求1所述的基于通知的跨域单点登录方法,其特征在于,步骤S2生产的全局凭证具有一定的时效性,且由认证中心管理维护。
4.如权利要求1所述的基于通知的跨域单点登录方法,其特征在于,用户身份认证包括以下步骤:
步骤S31,浏览器接收用户名和密码的输入,并将认证信息发送给应用端A;
步骤S32,应用端A通过加密通道向认证中心提交用户名及密码等认证信息;
步骤S33,认证中心进行认证信息的验证,如果正确,则置认证凭证为登录状态,如果不正确,则将验证错误反馈给浏览器,进行重新登录;
步骤S34,登录成功后,认证中心通过加密通道返回登录成功的信息给应用端A;
步骤S35,应用端A置为登录状态。
5.一种基于通知的跨域单点登录系统,其特征在于,包括以下模块:
认证中心M_C,负责全局凭证的生成、管理、销毁等工作,包括会话ID与全局认证凭证关系的维护;
应用服务端M_A,携带重定向代理组件,负责向认证中心发送用户认证信息,以及在接受认证中心发送的HTTP登录请求后,向认证中心发送用户信息查询请求;
客户端M_I,用户访问应用的桥梁,通常指浏览器;
其中,认证中心M_C负责的全局凭证的生成包括:在用户通过客户端M_I的浏览器访问应用服务端M_A,并且应用服务端M_A向浏览器发送重定向到认证中心M_C的请求,并且浏览器接收请求,携带会话ID,重定向到认证中心M_C时,认证中心M_C生成全局认证凭证,并绑定会话ID;
其中,认证中心M_C在接收到用于与会话ID对应的用户信息查询请求后,向应用服务端M_A发送与会话ID对应的用户信息。
6.如权利要求5所述的基于通知的跨域单点登录系统,其特征在于,在应用服务端与认证中心之间,通过加密技术建立互信通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410563541.5A CN105592003B (zh) | 2014-10-22 | 2014-10-22 | 一种基于通知的跨域单点登录方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410563541.5A CN105592003B (zh) | 2014-10-22 | 2014-10-22 | 一种基于通知的跨域单点登录方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592003A CN105592003A (zh) | 2016-05-18 |
| CN105592003B true CN105592003B (zh) | 2019-08-09 |
Family
ID=55931227
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410563541.5A Active CN105592003B (zh) | 2014-10-22 | 2014-10-22 | 一种基于通知的跨域单点登录方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592003B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417557B (zh) * | 2016-06-06 | 2021-11-09 | 伊鲁米那股份有限公司 | 认证访问托管应用的客户端的方法、系统和计算机可读介质 |
| CN106612290B (zh) * | 2017-01-19 | 2020-04-03 | 河海大学 | 一种面向系统集成的跨域单点登录方法 |
| CN109274685B (zh) * | 2018-11-02 | 2021-09-17 | 深圳壹账通智能科技有限公司 | 多系统登录方法、装置、计算机设备和存储介质 |
| CN109802835A (zh) * | 2019-01-25 | 2019-05-24 | 北京中电普华信息技术有限公司 | 一种安全认证方法、系统及api网关 |
| CN110765443A (zh) * | 2019-10-24 | 2020-02-07 | 深圳前海环融联易信息科技服务有限公司 | 单点登录的方法、装置、计算机设备及存储介质 |
| CN111062023B (zh) * | 2019-11-26 | 2024-04-30 | 深圳市思迪信息技术股份有限公司 | 多应用系统实现单点登录的方法及装置 |
| CN112788019B (zh) * | 2020-12-30 | 2023-04-07 | 杭州天谷信息科技有限公司 | 一种零信任理念下的应用融合方案 |
| CN113329028B (zh) * | 2021-06-17 | 2022-08-30 | 中国农业银行股份有限公司 | 跨域访问方法及设备 |
| CN113452693B (zh) * | 2021-06-24 | 2024-01-23 | 青岛海尔科技有限公司 | 页面后端的登录方法和装置、存储介质及电子装置 |
| CN113660284B (zh) * | 2021-08-26 | 2023-02-21 | 贵州电子商务云运营有限责任公司 | 一种基于票据的分布式认证方法 |
| CN113965352B (zh) * | 2021-09-18 | 2023-12-01 | 网宿科技股份有限公司 | 第三方网站登录方法、装置、电子设备和存储介质 |
| CN114257407B (zh) * | 2021-11-17 | 2023-09-19 | 广东电网有限责任公司 | 基于白名单的设备连接控制方法、装置、计算机设备 |
| CN117319087B (zh) * | 2023-11-28 | 2024-02-27 | 北京车与车科技有限公司 | 基于集中式认证服务的单点登录方法、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355527A (zh) * | 2008-08-15 | 2009-01-28 | 深圳市中兴移动通信有限公司 | 一种跨域名单点登录的实现方法 |
| CN102098158A (zh) * | 2009-12-10 | 2011-06-15 | 北大方正集团有限公司 | 跨域名单点登录和注销的方法、系统及相应设备 |
| CN102469075A (zh) * | 2010-11-09 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种基于web单点登录的集成认证方法 |
| CN102655494A (zh) * | 2011-03-01 | 2012-09-05 | 广州从兴电子开发有限公司 | 一种基于saml的单点登录模式设计的认证平台 |
-
2014
- 2014-10-22 CN CN201410563541.5A patent/CN105592003B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355527A (zh) * | 2008-08-15 | 2009-01-28 | 深圳市中兴移动通信有限公司 | 一种跨域名单点登录的实现方法 |
| CN102098158A (zh) * | 2009-12-10 | 2011-06-15 | 北大方正集团有限公司 | 跨域名单点登录和注销的方法、系统及相应设备 |
| CN102469075A (zh) * | 2010-11-09 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种基于web单点登录的集成认证方法 |
| CN102655494A (zh) * | 2011-03-01 | 2012-09-05 | 广州从兴电子开发有限公司 | 一种基于saml的单点登录模式设计的认证平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592003A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105592003B (zh) | 一种基于通知的跨域单点登录方法及系统 | |
| CN102984127B (zh) | 一种以用户为中心的移动互联网身份管理及认证方法 | |
| CN106790194B (zh) | 一种基于ssl协议的访问控制方法及装置 | |
| CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
| CN109327477A (zh) | 认证鉴权方法、装置及存储介质 | |
| CN104378376B (zh) | 基于soa的单点登录方法、认证服务器和浏览器 | |
| KR101708587B1 (ko) | 양방향 권한 부여 시스템, 클라이언트 및 방법 | |
| CN105554098B (zh) | 一种设备配置方法、服务器及系统 | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| CN108600203A (zh) | 基于Cookie的安全单点登录方法及其统一认证服务系统 | |
| CN103685187B (zh) | 一种按需转换ssl认证方式以实现资源访问控制的方法 | |
| CN106209749A (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
| EP2289222B1 (de) | Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client | |
| CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
| CN105657474B (zh) | 在视频应用中使用基于身份签名体制的防盗链方法及系统 | |
| CN101902327A (zh) | 一种实现单点登录的方法、设备及其系统 | |
| CN106911627B (zh) | 一种基于eID的真实身份安全控制方法及其系统 | |
| WO2017042023A1 (en) | Method of managing credentials in a server and a client system | |
| CN111062023B (zh) | 多应用系统实现单点登录的方法及装置 | |
| CN103188207A (zh) | 一种跨域的单点登录实现方法及系统 | |
| CN109672675A (zh) | 一种基于OAuth2.0的密码服务中间件的WEB认证方法 | |
| CN104683306A (zh) | 一种安全可控的互联网实名认证机制 | |
| CN112600674A (zh) | 一种前后端分离系统的用户安全认证方法、装置及存储介质 | |
| CN103716280A (zh) | 数据传输方法、服务器及系统 | |
| Arnedo-Moreno et al. | Secure communication setup for a P2P-based JXTA-overlay platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 Beijing city Haidian District No. 6 Zhichun Road Jinqiu International Building 14 floor 14B04 Patentee after: TOLS INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Haidian District No. 6 Zhichun Road Jinqiu International Building 14 floor 14B04 Patentee before: BEIJING TRS INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |