CN106998551B - 一种应用接入鉴权的方法、系统、装置及终端 - Google Patents
一种应用接入鉴权的方法、系统、装置及终端 Download PDFInfo
- Publication number
- CN106998551B CN106998551B CN201610049963.XA CN201610049963A CN106998551B CN 106998551 B CN106998551 B CN 106998551B CN 201610049963 A CN201610049963 A CN 201610049963A CN 106998551 B CN106998551 B CN 106998551B
- Authority
- CN
- China
- Prior art keywords
- application
- authentication
- application client
- service
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Human Computer Interaction (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种应用接入鉴权的方法、系统、装置及终端,该方法包括:接收到应用客户端的登录指令后,根据所述登录指令携带的信息进行登录鉴权,登录鉴权通过后向所述应用客户端返回登录成功响应;接收到所述应用客户端的应用授权信息查询指令后,确定指定用户通过所述应用客户端被授权的业务功能集,将所述业务功能集信息发送给所述应用客户端。本技术方案可以在多应用场景下实现统一接入和完整灵活鉴权。
Description
技术领域
本发明涉及互联网应用以及开放业务平台领域,特别是涉及一种应用接入鉴权的方法、系统、装置及终端。
背景技术
随着3G/4G网络的全覆盖部署,智能手机的普及使用以及移动互联模式向各领域的渗透,不论是提供语音业务/短信业务/彩信业务的电信运营商,还是传统通过线下向用户提供产品服务的企业公司都开发可运行在智能终端(如运行iOS(一种移动操作系统)的iPhone或iPad、运行android OS(安卓操作系统)的手机和Pad等)的APP(即应用客户端),用户可使用APP经由移动网络或wifi网络方便快捷地使用业务或者购买产品服务等。
与需收费的游戏或工具APP不同,通常运营商或企业公司作为应用提供商发布的APP是免费的,用户并不需要为下载安装而单独购买APP,但用户通过APP可使用的功能或享受的服务则与用户从运营商或企业公司所订购的业务、产品或服务相关。
通常运营商有多个业务系统或者单个业务系统提供多个功能,运营商可以将不同功能组合为不同APP,订购不同业务或服务的用户使用不同APP;运营商也可以在同一个APP集成多个功能,不同用户通过一个APP所能访问的功能与其订购信息相关。
服务端所开放的网络端口可被互联网上任何节点访问,而互联网是不可信网络,即使目前已开发使用多种网络安全技术防范网络威胁,但由于每种技术都存在缺陷和漏洞,而且攻击者也可能隐藏于用户群中,所以对于支撑应用运行的后端服务系统仍需树立网络安全意识,假设系统是在暴露在一个不可信网络,服务端收到的请求不一定来自合法APP,请求访问的对象也不一定符合发起请求的用户权限范围(有可能用户账户信息被盗取,或者攻击者本身就是一个用户),故如何实现应用访问的鉴权是在互联网提供应用所面临的首要挑战。
由于应用访问鉴权属于系统基础功能而不属于业务功能范畴,通常应用提供商会独立在业务系统之前部署一套应用接入鉴权系统,该系统一方面暴露业务系统各项API(Application Programming Interface,应用程序编程接口)供应用客户端通过网络调用,另一方面也对判断应用访问执行鉴权,虽然目前存在多种这样的应用接入鉴权方案,但或多或少存在一定缺陷。
大部分应用接入方案只提供用户的登录认证,在登录鉴权成功后向应用客户端返回会话令牌,应用客户端在后续发送请求到应用服务端时需携带会话令牌,只有持有合法令牌的请求才会被接入系统转发给后端业务系统处理。这类接入方案只验证用户的账户和密码,由业务系统自行对用户可使用的业务权限执行鉴权,不仅使得鉴权逻辑的实现侵入各业务系统,而且由于鉴权逻辑实现分散在不同业务系统,一旦需调整或修改鉴权逻辑则涉及每个业务系统修改,改动难度大。
虽然有些应用接入方案会在登录成功响应中返回用户被授权的业务功能集标示,APP在后续请求中携带业务功能集标示,以供应用接入鉴权系统判断APP请求所访问的业务系统是否与携带的业务功能集相符。但这种方案存在明显的安全风险,只要攻击者获知应用协议,那么就可以开发软件模拟APP发送请求并在请求中填写超出用户权限之外业务功能集标示,从而欺骗接入系统以访问非授权的业务资源。
即使某些方案依据用户订购业务信息判断用户是否具有访问所请求的业务资源授权,但这些方案仅针对单一应用场景,而在多应用场景下,提供多个应用的运营商有可能出于市场或运营策略会限制不同APP可访问的业务资源存在差异,差异与用户的服务等级无关。通常运营商的一个用户使用相同的账户和密码登录该运营商的不同APP,所以,攻击者只要获知运营商某个APP的应用协议且持有该运营商任一APP的账户和密码,就可以开发软件模拟被攻击APP发送请求,如果系统未判断请求所来自APP,那么攻击者就能访问超出该APP允许范围外的业务资源,存在漏洞。
现有的开放业务平台所采用的鉴权方案是基于用户购买第三方应用开发商所开发的APP,然后平台基于用户与APP订购信息来判断用户是否可使用一个APP以及该APP预先登记的调用能力集执行鉴权,但如前所述,目前用户下载安装APP通常是免费的,用户并不会单独购买APP,所以不存在用户与APP的订购信息,基于该假设的鉴权方案无法适用。
此外,如果要实现细粒度的APP请求鉴权则需解析应用请求的消息内部,但不同APP的应用协议和消息定义存在差异,现有应用接入鉴权方案只支持针对指定应用的应用协议通过固定编码解析APP请求,一旦新增APP或已有APP的应用协议改变则需修改代码才能解析,无法适应多应用接入场景下可灵活部署新应用以及升级已有应用的要求。
发明内容
本发明实施例提供一种应用接入鉴权的方法、系统、装置及终端,以在多应用场景下实现统一接入。
本发明实施例提供了一种应用接入鉴权的方法,包括:
接收到应用客户端的登录指令后,根据所述登录指令携带的信息进行登录鉴权,登录鉴权通过后向所述应用客户端返回登录成功响应;
接收到所述应用客户端的应用授权信息查询指令后,确定指定用户通过所述应用客户端被授权的业务功能集,将所述业务功能集信息发送给所述应用客户端。
可选地,上述方法还包括:所述登录指令携带的信息包括:所述应用客户端标识、所述应用客户端密钥、用户账户和用户密码信息,
所述根据所述登录指令携带的信息进行登录鉴权,包括:
根据所述应用客户端标识和所述应用客户端密钥确定所述应用客户端合法时,根据所述用户账户和用户密码信息进行登录认证;
登录认证通过后,判断所述指定用户的服务等级是否满足业务功能授权条件,如满足,则登录鉴权通过。
可选地,上述方法还包括:所述确定指定用户通过所述应用客户端被授权的业务功能集,包括:
查询预置的应用鉴权配置数据,获取所述指定用户对应的服务等级,及所述服务等级对应的第一业务功能集;
根据所述应用客户端标识获取所述应用客户端的第二业务功能集;
确定所述第一业务功能集与所述第二业务功能集的交集,为指定用户通过所述应用客户端被授权的业务功能集。
可选地,上述方法还包括:所述接收到所述应用客户端的应用授权信息查询指令后,还包括:
根据所述应用客户端标识查询预置的应用鉴权配置数据,获取所述应用客户端各端口的地址信息,将所述地址信息发送给所述应用客户端。
可选地,上述方法还包括:接收到所述应用客户端的业务请求消息后,对所述业务请求消息进行鉴权;
鉴权通过后,将所述业务请求消息发送给对应的业务系统。
可选地,上述方法还包括:所述对所述业务请求进行鉴权,包括:
解析所述业务请求消息,解析出所述应用客户端的标识;
查询预置的应用鉴权配置数据,获取所述应用客户端的标识对应的端口信息;
将查询到的端口信息与接收所述业务请求消息的链路的端口信息进行比对,如一致,则确定所述业务请求消息为合法的请求消息。
可选地,上述方法还包括:所述对所述业务请求进行鉴权,还包括:
所述解析所述业务请求消息还解析出对应的应用端口的信息;
确定所述应用端口下的资源为受限访问时,从所述业务请求消息解析出请求访问的资源标示串;
确定所述资源标示串对应的资源所需授权的业务功能集为对应用户服务等级的业务功能集的子集时,向所述应用客户端返回鉴权成功响应;
确定所述应用端口下的资源为非受限访问时,向所述应用客户端返回所述鉴权成功响应。
可选地,上述方法还包括:所述从所述业务请求消息解析出请求访问的资源标示串,包括:
确定所述应用端口的资源解析模式为标准解析时,根据标准协议从所述业务请求消息解析出请求访问的资源标示串;
确定所述应用端口的资源解析模式为插件解析时,通过所述应用客户端标识对应的应用资源深度包检测插件从所述业务请求消息解析出请求访问的资源标示串。
本发明实施例还提供了一种应用接入鉴权的系统,其中,包括:
登录模块,用于接收到应用客户端的登录指令后,根据所述登录指令携带的信息进行登录鉴权,登录鉴权通过后向所述应用客户端返回登录成功响应;
业务确定模块,接收到所述应用客户端的应用授权信息查询指令后,确定指定用户通过所述应用客户端被授权的业务功能集,将所述业务功能集信息发送给所述应用客户端。
可选地,上述系统还包括:所述登录模块,接收到的所述登录指令携带的信息包括:所述应用客户端标识、所述应用客户端密钥、用户账户和用户密码信息,所述根据所述登录指令携带的信息进行登录鉴权包括:根据所述应用客户端标识和所述应用客户端密钥确定所述应用客户端合法时,根据所述用户账户和用户密码信息进行登录认证;登录认证通过后,判断所述指定用户的服务等级是否满足业务功能授权条件,如满足,则登录鉴权通过。
可选地,上述系统还包括:
所述业务确定模块,确定指定用户通过所述应用客户端被授权的业务功能集包括:查询预置的应用鉴权配置数据,获取所述指定用户对应的服务等级,及所述服务等级对应的第一业务功能集;根据所述应用客户端标识获取所述应用客户端的第二业务功能集;确定所述第一业务功能集与所述第二业务功能集的交集,为指定用户通过所述应用客户端被授权的业务功能集。
可选地,上述系统还包括:
所述业务确定模块,接收到所述应用客户端的应用授权信息查询指令后还包括:根据所述应用客户端标识查询预置的应用鉴权配置数据,获取所述应用客户端各端口的地址信息,将所述地址信息发送给所述应用客户端。
可选地,上述系统还包括:
鉴权模块,用于接收到所述应用客户端的业务请求消息后,对所述业务请求消息进行鉴权;鉴权通过后,将所述业务请求消息发送给对应的业务系统。
可选地,上述系统还包括:
所述鉴权模块,对所述业务请求进行鉴权包括:解析所述业务请求消息,解析出所述应用客户端的标识;查询预置的应用鉴权配置数据,获取所述应用客户端的标识对应的端口信息;将查询到的端口信息与接收所述业务请求消息的链路的端口信息进行比对,如一致,则确定所述业务请求消息为合法的请求消息。
可选地,上述系统还包括:
所述鉴权模块,对所述业务请求进行鉴权还包括:所述解析所述业务请求消息还解析出对应的应用端口的信息;确定所述应用端口下的资源为受限访问时,从所述业务请求消息解析出请求访问的资源标示串,若确定所述资源标示串对应的资源所需授权的业务功能集为对应用户服务等级的业务功能集的子集时,则向所述应用客户端返回鉴权成功响应;确定所述应用端口下的资源为非受限访问时,向所述应用客户端返回所述鉴权成功响应。
可选地,上述系统还包括:
所述鉴权模块,从所述业务请求消息解析出请求访问的资源标示串包括:确定所述应用端口的资源解析模式为标准解析时,根据标准协议从所述业务请求消息解析出请求访问的资源标示串;确定所述应用端口的资源解析模式为插件解析时,通过所述应用客户端标识对应的应用资源深度包检测插件从所述业务请求消息解析出请求访问的资源标示串。
本发明实施例还提供一种应用接入鉴权的方法,包括:
应用客户端启动后,向应用鉴权系统发送登录指令;
接收到所述应用鉴权系统返回的登录成功响应后,向所述应用鉴权系统发送应用授权信息查询指令;
接收所述应用鉴权系统的授权的业务功能集信息后,根据所述业务功能集信息控制交互界面的信息显示。
可选地,上述方法还包括:
所述登录指令携带所述应用客户端的标识、所述应用客户端密钥、用户账户和用户输入的密码。
可选地,上述方法还包括:
所述登录成功响应携带会话令牌信息。
可选地,上述方法还包括:
所述应用客户端向所述应用鉴权系统发送退出指令,所述退出指令携带所述应用客户端的标识、用户账户和所述会话令牌。
本发明实施例还提供一种应用接入鉴权的装置,其中,包括:
登录模块,用于启动后,向应用鉴权系统发送登录指令;接收到所述应用鉴权系统返回的登录成功响应后,向所述应用鉴权系统发送应用授权信息查询指令;
控制模块,用于接收所述应用鉴权系统的授权的业务功能集信息后,根据所述业务功能集信息控制交互界面的信息显示。
可选地,上述装置还包括:
业务模块,用于向所述应用鉴权系统发送业务请求消息,所述业务请求消息携带所述应用客户端的标识、用户账户、所述登录成功响应携带的会话令牌信息和请求访问的应用端口名。
可选地,上述装置还包括:
所述登录模块,还用于向所述应用鉴权系统发送退出指令,所述退出指令携带所述应用客户端的标识、用户账户和所述会话令牌。
本实施例还提供一种终端,包括上述的应用接入鉴权的装置。
本发明实施例提供一种应用接入鉴权的方法、系统、装置及终端,可以在多应用场景下实现统一接入和完整灵活鉴权。
附图说明
图1是本发明实施例的应用接入鉴权的方法的适用场景图。
图2为本发明实施例的应用接入鉴权系统的示意图。
图3为本发明实施例的应用接入鉴权的装置的示意图。
图4为本发明应用示例的应用接入鉴权系统的示意图。
图5是本发明实施例的APP登录认证的流程图。
图6为本发明实施例的校验业务请求的流程图。
图7为本发明实施例的获取业务请求所访问的资源的流程图。
图8本发明实施例的会话鉴权和资源鉴权的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
通过分析和抽象,APP访问系统的本质就是客户端连接服务端一个或多个端口以访问服务端内部一项或多项资源,这里的资源和访问具有广义性,只要是通过网络API所能访问到对象都可认为是资源,不仅包括数据(例如,联系人列表)或媒体(例如,一条电话留言、一段视频)等,也包括应用端口、API接口或函数(例如,打印一封传真)等,访问不仅指通常的CRUD(创建、查询、修改和删除)操作,也包括连接端口以及调用函数或功能。所以,多应用接入鉴权的核心就是系统能验证合法用户通过合法APP只能访问授权范围内的资源,即使在用户账户被滥用(指持有一个合法账户但访问超过该账户非授权的系统侧资源)以及APP被滥用(指APP开发者在APP代码中访问系统侧不允许该APP使用资源),系统也能将被访问的资源限制在一个可控的范围内。
本发明实施例提供一种应用接入鉴权的方法及系统,支持不同APP通过同一个应用接入鉴权系统访问后端一个或多个业务系统,不仅实现多应用统一接入,而且实现多应用的访问鉴权。本实施例的方法利用多项技术,包括设计一套应用鉴权配置模型以及鉴权算法逻辑,设计APP与多应用接入鉴权系统间的交互机制,以及APP在请求中所需提供的参数,并基于应用端口以及资源的概念,通过加载不同应用的资源DPI解析插件识别应用请求所访问的资源,综合地实现完整灵活和细粒度的访问鉴权,如下对本发明实施例的方法做详细描述:
A、应用鉴权配置模型,本实施例设计如下3组配置数据模型:
1、服务等级授权的业务功能集配置
每个用户在系统侧根据其订购的业务或服务被关联到一个服务等级,该模型定义每个服务等级被授权使用的业务功能集,包括如下信息:
1.1、服务等级代码;
1.2、该服务等级被授权的业务功能集,每个业务功能分配唯一的业务功能代码。
2、应用接入配置
该模型定义每个应用(指APP客户端)的基本信息,包括如下:
2.1、APP ID,即应用代码;
2.2、APP key,即应用密钥;
2.3、应用端口集
APP需通过网络访问系统侧端口的全集,每个应用端口包括如下信息:
2.3.1、应用端口名;
2.3.2、应用端口协议类型;
2.3.3、应用端口的网络地址和端口号,不仅配置外网的地址和端口,这组信息会下发给APP以供APP建链,也设置对应内网的端口(因为存在内外网地址的映射,内外地址端口不同),这组信息会在内部用于请求分发和鉴权。
一个网络端口只支持一类协议类型,但可提供多个应用端口。
在多应用系统场景下,一个应用端口有可能服务于多个应用而并非每个应用独占各自的应用端口。
2.4、关联业务功能集
一个APP客户端所实现的功能集对应着系统侧一个或多个业务功能项,针对每个APP所关联的每项业务功能配置如下信息:
2.4.1、业务功能代码;
2.4.2、基本业务功能标志;
表明该业务功能是否是用户允许使用该APP所强制要求的业务功能之一。
一个应用配置的所有带有基本业务功能标志的业务功能集合就是该应用的基本业务功能集。
3、应用资源授权模型
该模型定义每个应用需授权访问的应用端口信息,包括如下:
3.1、APP ID;
3.2、受限应用端口集及资源解析模式;
如果一个应用要限制不同服务等级的用户访问其一个应用端口下不同资源项,则该应用端口配置为该应用的受限应用端口,一个应用可配置一个或多个受限应用端口。
每个受限应用端口需配置资源解析模式,分为如下两类:
a、标准解析
由应用接入鉴权系统按照标准协议从请求消息解析出所访问的资源标示串作为资源鉴权要素。
b、DPI(Deeply Packet Inspection,深度包检测)插件解析
由应用接入鉴权系统将请求消息转发给内部已加载的该应用的应用资源DPI插件解析,由其返回请求消息所访问的资源标示串作为资源鉴权要素。
3.3、受限端口资源集;
一个应用端口可配置一个或多个受限端口资源,每个受限端口资源包括如下属性:
3.3.1、所属应用端口;
3.3.2、资源标示串;
每项端口资源用一个文本串标示,文本串格式和编码由应用确定。
3.3.3、访问资源所需授权的业务功能集;
访问一项端口资源要求用户服务等级所具备的业务功能集合。
以上配置数据中的APP ID、应用端口名、业务功能代码需在APP和系统保持一致,是前后端交互的共同语言,APP在其编码中需使用与系统侧为该APP配置的相同应用端口名(一个APP有一个或多个应用端口),并在编码中理解系统侧所定义的每个业务功能代码的具体含义并与APP本身提供的功能或界面相对应。
B、鉴权算法
基于以上应用鉴权配置模型,采用如下算法以确保完整和严格的鉴权:
登录鉴权算法为:使用一个APP的用户只有当其服务等级的业务功能集与该APP的基本业务功能集的交集非空,才允许该用户使用该APP。
资源鉴权算法为:一个用户通过一个APP发送请求到系统侧一个应用端口以访问某项资源,只有当该应用端口下该被访问资源所需授权的业务功能集为该用户服务等级的业务功能集的子集时,才允许该用户通过该APP访问该应用端口下该资源。
要求APP按照如下的流程和机制与系统侧交互:
首先,APP发送的消息分为通用指令和业务请求两类,前者适用于不同应用并由系统侧统一定义请求和响应的消息格式,通用指令由应用接入鉴权系统直接处理和响应而不会转发给业务系统,包括如下指令:
登录指令,登录指令请求携带APP ID、APP密钥、用户账户和用户输入的密码,登录成功响应返回会话令牌;
应用授权信息查询指令,在登录成功后APP请求查询登录用户通过本APP被授权的业务功能集以及各应用端口地址;
退出指令,该指令的请求携带APP ID、用户账户和会话令牌。
业务请求则与具体的业务功能相关,所有业务请求都需由应用接入鉴权系统鉴权,只有鉴权通过的业务请求才会被应用接入鉴权系统转发给请求对应的业务系统处理,否则应用接入鉴权系统直接返回鉴权失败的错误响应。
其次,APP启动后发送登录指令,APP收到鉴权成功响应后再发送应用授权信息查询指令,APP根据收到授权的业务功能集信息来控制其界面或组件的展示和隐藏,向用户提供可用的交互界面,避免向用户展示其不能使用的功能。当用户退出APP时,APP发送退出指令使得会话令牌失效。
然后,由于系统侧一个网络端口可支持多个应用端口,为支持系统对业务请求执行鉴权,要求APP在发送的业务请求需填写APP ID、用户账户、会话令牌以及该请求访问的应用端口名(说明:这里的应用端口名指APP在应用层数据中填写其所访问的端口名,而非TCP(Transmission Control Protocol,传输控制协议)/UDP(User Datagram Protocol,用户数据包协议)层端口)这组信息。
对于基于短连接链路协议(例如,HTTP(Hyper Text Transfer Protocol,超文本传输协议)、SOAP(Simple Object Access Protocol,简单对象访问协议))的业务请求,APP需在每个业务请求携带这组信息(即APP ID、用户账户、会话令牌以及该请求访问的应用端口名)。对于基于长连接链路协议(例如,IMAP(Internet Mail Access Protocol,因特网邮件访问协议)、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)等)的业务请求,APP需在链路建立后发送的第一个请求中携带这组信息,应用接入鉴权系统会为一条长连接链路缓存这组信息,当在该链路上收到后续业务请求时使用这组信息执行鉴权。
系统侧实现严格和细粒度的应用鉴权,包括如下5个方面:
APP识别,判断请求是否来自合法的客户端;
登录认证,判断使用APP的用户是否为注册用户,是否具有使用该APP的授权;
端口校验,判断APP所填写的应用端口是否与实际访问的端口一致;
会话鉴权,判断访问请求是否来自已登录的APP发送;
资源鉴权,判断APP和用户是否具有所访问资源所要求的业务功能授权。
其中,端口校验和资源校验是为达成本发明实施例所设目标而采用的特有机制,以上流程在后续具体实施例结合图示做详细描述。
由不同应用的应用资源DPI插件负责从APP业务类指令中解析处理所请求访问的资源。
为在通用框架下适应不同应用的应用协议差异,本发明实施例提出应用资源DPI插件解析方法,在应用接入鉴权系统的应用网关服务器上可动态加载和运行多个应用资源DPI插件。
对于每一个APP业务请求,如果该APP应用资源解析模式为DPI插件解析模式,则应用网关服务器内部将请求消息体的内存地址传入该应用对应的DPI插件,DPI插件返回请求所访问资源的资源标示串,应用接入鉴权系统根据资源标示串、用户服务等级以及应用资源授权配置数据判断是否被授权访问该资源。如不允许则应用接入鉴权系统向APP返回鉴权失败响应,否则将请求分发给后端对应的业务系统处理。
如下结合说明书附图及具体实施例进一步说明本发明所采用的设计、方案和技术。
图1本发明实施例的应用接入鉴权的方法的适用场景图,如图1所示,本实施例的鉴权系统涉及的主体包括前端应用和后端系统。
本实施例中,通过前端应用中2个用户(即用户a、用户b)使用2个APP(即APP1、APP2)的范例,体现如下:
不同APP所提供的功能集既可以有差异也可以有交集,例如,APP1和APP2支持功能1.1,但APP1还支持功能1.1,APP2还支持功能2.1。
不同用户通过同一个APP所能使用的功能可能不同,例如,使用APP1,用户a允许使用功能1.1,而用户b允许使用功能1.2。
同一个用户使用不同APP可能使用相同功能也可能不同,例如,用户a通过APP1和APP2都能使用功能1.1,而用户2通过APP1和APP2所能使用的功能没有交集。
后端系统包括:多应用接入鉴权系统(简称接入系统)以及由一个或多个公用基础服务和业务系统构成的业务服务域,前端应用通过接入系统访问后端的基础服务或业务系统,APP上的功能由后端的业务系统提供服务支撑和驱动,例如,APP1上的功能a.1和功能a.2由业务系统A提供服务支撑,而APP2上的功能a.1和功能b.2则分别由业务系统A和业务系统B提供服务支撑。
图2为本发明实施例的应用接入鉴权系统的示意图,如图2所示,本实施例的应用接入鉴权系统包括:
登录模块,用于接收到应用客户端的登录指令后,根据所述登录指令携带的信息进行登录鉴权,登录鉴权通过后向所述应用客户端返回登录成功响应;
业务确定模块,接收到所述应用客户端的应用授权信息查询指令后,确定指定用户通过所述应用客户端被授权的业务功能集,将所述业务功能集信息发送给所述应用客户端。
在一优选实施例中,所述登录模块,接收到的所述登录指令携带的信息可以包括:所述应用客户端标识、所述应用客户端密钥、用户账户和用户密码信息,所述根据所述登录指令携带的信息进行登录鉴权包括:根据所述应用客户端标识和所述应用客户端密钥确定所述应用客户端合法时,根据所述用户账户和用户密码信息进行登录认证;登录认证通过后,判断所述指定用户的服务等级是否满足业务功能授权条件,如满足,则登录鉴权通过。
在一优选实施例中,所述业务确定模块,确定指定用户通过所述应用客户端被授权的业务功能集可以包括:查询预置的应用鉴权配置数据,获取所述指定用户对应的服务等级,及所述服务等级对应的第一业务功能集;根据所述应用客户端标识获取所述应用客户端的第二业务功能集;确定所述第一业务功能集与所述第二业务功能集的交集,为指定用户通过所述应用客户端被授权的业务功能集。
在一优选实施例中,所述业务确定模块,接收到所述应用客户端的应用授权信息查询指令后还可以包括:根据所述应用客户端标识查询预置的应用鉴权配置数据,获取所述应用客户端各端口的地址信息,将所述地址信息发送给所述应用客户端。
在一优选实施例中,还可以包括:
鉴权模块,用于接收到所述应用客户端的业务请求消息后,对所述业务请求消息进行鉴权;鉴权通过后,将所述业务请求消息发送给对应的业务系统。
在一优选实施例中,所述鉴权模块,对所述业务请求进行鉴权可以包括:解析所述业务请求消息,解析出所述应用客户端的标识;查询预置的应用鉴权配置数据,获取所述应用客户端的标识对应的端口信息;将查询到的端口信息与接收所述业务请求消息的链路的端口信息进行比对,如一致,则确定所述业务请求消息为合法的请求消息。
在一优选实施例中,所述鉴权模块,对所述业务请求进行鉴权还可以包括:所述解析所述业务请求消息还解析出对应的应用端口的信息;确定所述应用端口下的资源为受限访问时,从所述业务请求消息解析出请求访问的资源标示串,若确定所述资源标示串对应的资源所需授权的业务功能集为对应用户服务等级的业务功能集的子集时,则向所述应用客户端返回鉴权成功响应;确定所述应用端口下的资源为非受限访问时,向所述应用客户端返回所述鉴权成功响应。
在一优选实施例中,所述鉴权模块,从所述业务请求消息解析出请求访问的资源标示串包括:确定所述应用端口的资源解析模式为标准解析时,根据标准协议从所述业务请求消息解析出请求访问的资源标示串;确定所述应用端口的资源解析模式为插件解析时,通过所述应用客户端标识对应的应用资源深度包检测插件从所述业务请求消息解析出请求访问的资源标示串。
图3为本发明实施例的应用接入鉴权的装置的示意图,如图3所示,本实施例的应用接入鉴权的装置包括:
登录模块,用于启动后,向应用鉴权系统发送登录指令;接收到所述应用鉴权系统返回的登录成功响应后,向所述应用鉴权系统发送应用授权信息查询指令;
控制模块,用于接收所述应用鉴权系统的授权的业务功能集信息后,根据所述业务功能集信息控制交互界面的信息显示。
在一优选实施例中,所述应用接入鉴权的装置还包括:
业务模块,用于向所述应用鉴权系统发送业务请求消息,所述业务请求消息携带所述应用客户端的标识、用户账户、所述登录成功响应携带的会话令牌信息和请求访问的应用端口名。
在一优选实施例中,所述登录模块,还可用于向所述应用鉴权系统发送退出指令,所述退出指令携带所述应用客户端的标识、用户账户和所述会话令牌。
图4为本发明应用示例的应用接入鉴权系统的示意图,如图4所示,本应用示例的应用接入鉴权系统由应用网关服务器、应用鉴权服务器和应用数据服务器组成,在一个多应用接入鉴权系统中每类服务器均可部署多个。应用网关服务器和应用鉴权服务器都需访问应用数据服务器所存储的应用鉴权配置数据。
应用网关服务器由链路接入模块和一个或多个协议解析模块构成,此外,可加载运行一个或多个应用资源DPI插件。
链路接入模块负责监听一个或多个应用端口,响应APP客户端的建链和断链请求,并维护长连接链路的链路会话信息。链路接入模块收到的客户端请求消息分发给不同的协议解析模块处理。协议解析模块按照协议从请求消息解析出APP客户端所提供的鉴权相关信息,校验为合法请求后做进一步处理。
对于通用指令,协议解析模块从消息内容解析出各项指令参数,然后转发给应用鉴权服务器处理;在收到应用鉴权服务器的处理结果时按照协议产生响应消息返回给APP。
对于业务请求,协议解析模块不仅要解析出所携带的鉴权参数,还解析出请求所访问的资源标示串,然后携带鉴权参数和资源标示串请求应用鉴权服务器对本请求执行鉴权;如应用鉴权服务器返回鉴权成功,则协议解析模块将客户端请求的消息体内容分发给请求所对应的业务系统处理,并将业务系统处理结果按照协议编码后通过链路接入模块返回给APP;如应用鉴权服务器返回鉴权失败,则协议解析模块按照协议产生鉴权失败的错误响应,并通过链路接入模块返回给APP。
应用鉴权服务器由通用指令执行模块和鉴权逻辑模块构成,该应用鉴权服务器是应用接入鉴权系统的核心,其对应用网关服务器发送的通用指令请求和鉴权请求执行处理。该应用鉴权服务器一方面会访问多应用接入鉴权系统内部的应用数据服务器以存储和访问应用会话数据,获取应用及鉴权配置数据执行鉴权或返回给APP,另一方面也会访问后端的用户数据库以验证账户、密码并获取用户服务等级等信息。
应用数据服务器存储应用会话记录和应用鉴权配置数据,为实现多应用鉴权,应用会话记录会同时存储用户账户、APP ID和会话令牌这三元组信息。
图5是本发明实施例的APP登录认证的流程图,如图5所示,包括以下步骤:
步骤501、在APP启动后显示登录界面,用户输入账户和密码,APP发送登录指令;
每个APP在发布时都预设应用网关服务器的登录端口地址,登录指令携带APP ID、APP密钥、用户账户和用户密码信息,采用SSL(Security Socket Layer,加密套接字协议层)/TLS(Transport Layer Security,安全传输层协议)链路加密传输。
步骤502、鉴权服务器收到登录指令后,首先根据APP ID和APP密钥识别是否为合法APP,如是合法APP,则转步骤503,进一步根据用户账户和密码执行登录认证,如不是合法APP,则返回非法APP的信息,结束。
步骤503、鉴权服务器根据用户账户和密码判断用户是否为注册用户且密码正确,如果用户账户和密码正确,则转步骤504,否则返回未注册用户,或账户/密码错误等信息,结束;
步骤504、鉴权服务器根据该用户的服务等级判断是否具有使用该APP所需的业务功能授权,如果有,即满足业务功能授权条件,则转步骤505;否则向APP返回无法使用该APP的授权;
步骤505、鉴权服务器为本次登录认证产生一个会话令牌并将用户账户、APP ID、会话令牌这组信息存储在应用数据服务器,然后向APP返回登录成功响应并携带会话令牌。
步骤506、在收到登录成功响应后,APP携带APP ID、用户账户和会话令牌发送应用授权信息查询指令;
步骤507、鉴权服务器根据用户账户、APP ID、会话令牌从应用数据服务器查询是否存在对应的应用会话记录,如存在对应的应用会话记录,表明该用户已通过该APP登录成功,则转步骤508,如不存在,则向APP返回非法会话信息,结束。
步骤508、鉴权服务器从用户数据库查询该用户账户对应的服务等级,按服务等级从应用数据服务器的应用鉴权配置数据查询该服务等级的业务功能集,按APP ID从应用鉴权配置数据获取该APP的应用业务功能集,计算2个业务功能集的交集就得到该用户通过该APP被授权的业务功能集,同时从应用数据服务器的应用接入配置数据按APP ID查询到该APP各端口的地址信息,然后向APP返回这两组信息(即用户通过该APP被授权的业务功能集和该APP各端口的地址信息)。
步骤509、APP根据返回的业务功能集确定需显示或隐藏的界面或组件,避免展示用户未授权使用的界面或元素,影响用户体验,而应用端口地址则被APP用于后续发送业务请求。
图6为本发明实施例的校验业务请求的流程图,如图6所示,包括以下步骤:
多应用接入鉴权系统收到一个APP业务请求后,首先需校验该业务请求是否为合法请求,步骤如下:
步骤601、链路接入模块完整接收一个APP业务请求的消息包;
步骤602、链路接入模块按照应用接入配置数据和内网端口确定该APP业务请求的协议类型(一个端口只支持一种协议类型),从而确定分发的协议解析模块;所述协议类型例如,IMAP4(Internet Message Access Protocol 4,交互式数据消息访问协议第四个版本),SMTP(Simple Mail Transfer Protocol,简单邮件传输协议),SOAP(Simple ObjectAccess Protocol,简单对象访问协议)等。
步骤603、链路接入模块将收到业务请求链路的内部端口与请求消息一并转发给对应的协议解析模块处理。
步骤604、协议解析模块按照协议从请求消息解析出APP ID和应用端口名;
步骤605、协议解析模块判断解析出的APP ID和应用端口是否为空,如为空,则向APP返回缺少参数的错误响应;如不为空,则转步骤606;
步骤606、协议解析模块从应用接入配置数据中查询该APP ID和应用端口名对应的记录;
步骤607、协议解析模块判断记录是否存在,如存在,则转步骤608,如不存在,则向APP返回未知应用端口的错误响应。
步骤608、协议解析模块查询到的内部端口与链路接入模块提供的内部端口比较,如两个端口一致,表明该业务请求是一个合法请求,则协议解析模块会继续对该业务请求执行后续处理;否则,表明该业务请求尝试访问与其所填写的应用端口名不符的网络端口,是一个非法请求,故应用网关服务器直接返回应用端口与实际端口不一致的错误响应。
图7为本发明实施例的获取业务请求所访问的资源的流程图,如图7所示,包括以下步骤:
步骤701、对于一个合法的请求消息包,协议处理模块根据APP ID和应用端口名从应用资源授权配置数据查询对应的记录;
步骤702、协议处理模块判断该记录是否存在,如存在,表明该应用端口下的资源受限访问,则转步骤703,如不存在,表明该应用端口下的资源不受限访问,则发送鉴权请求给应用鉴权服务器,不填写资源标示串;
步骤703、协议处理模块判断该应用端口的资源解析模式是否为受限应用端口且标准解析模式,如是,则转步骤704,如是受限应用端口且资源解析模式是插件解析,则转步骤705;
步骤704、如果是受限应用端口且资源解析模式为标准解析,则直接由协议解析模块按照标准协议从消息体解析出请求所访问的资源标示串,然后转向步骤707;
例如,HTTP(Hyper Text Transfer Protocol,超文本传输协议)的业务请求直接采用HTTP请求行作为资源标示串(如,POST voicemail/forwardmsg HTTP/1.1),IMAP协议的业务请求由所选择的文件夹作为资源标示串(例如,IMAP的SELECT Greetings命令,那么Greetings就是资源标示串)。
步骤705、如果是受限应用端口且资源解析模式是插件解析,则协议解析模块将该请求所缓存的消息体地址作为参数向本应用网关服务器已加载的该APP ID对应的应用资源DPI插件发送资源解析请求。
步骤706、应用资源DPI插件收到解析请求后,按照该应用自身的消息接口定义从消息体解析出所请求访问的资源标示串,然后将解析结果返回给协议解析模块;
步骤707、协议解析模块会在发送给应用鉴权服务器的鉴权请求中填写资源标示串。
如步骤706中解析得到的是资源标示串,协议解析模块会在发送给应用鉴权服务器的鉴权请求中填写资源标示串。
如果步骤706中解析到的是非受限应用端口,则协议解析模块不会在发送给应用鉴权服务器的鉴权请求中填写资源标示串。
图8本发明实施例的会话鉴权和资源鉴权的流程图,如图8所示,包括以下步骤:
步骤801、应用网关服务器的协议解析模块向应用鉴权服务器发送鉴权请求,请求中携带APP ID、用户账户、会话令牌、应用端口名和资源标示串这一组信息。
步骤802、应用鉴权服务器的鉴权逻辑模块从鉴权请求中解析出APP ID、用户账户、会话令牌、应用端口名和资源标示串。
步骤803、根据APP ID、用户账户和会话令牌从应用数据服务器查询是否存在对应的应用会话记录,如存在对应的记录,表明该请求来自于已登录成功的APP,故为合法会话的请求,然后转向步骤804,否则返回非法会话错误响应给协议解析模块。
步骤804、通过会话鉴权后,判断鉴权请求中的资源标示串是否为空,如果非空,表明该业务请求访问受限的应用端口,则转步骤805;如果为空,则转步骤808;
步骤805、鉴权逻辑模块从用户数据库查询该用户账户的服务等级,从服务等级授权配置数据中获取该服务等级对应的业务功能集;
步骤806、鉴权逻辑模块根据(APP ID,应用端口,资源标示串)这组信息从应用端口资源授权信息查询对应记录,如果存在对应记录,鉴权逻辑模块获取该记录所设置的业务功能集,然后转向步骤807,如果不存在对应记录,表明该应用该端口不存在该资源,则鉴权逻辑模块向协议解析模块返回未知资源的错误响应;
资源标示串代表所要访问的某项数据或功能的一个字符串,编码格式不限制,只要业务子系统能识别即可。
比如:某个业务支持一个soap请求:
<a>
<b>xxx</b>
<c>yyy</c>
</a>
如果业务认为其中<b>是关键信息,需受控,则业务提供的DPI插件可将“a.b”作为一个资源标示串。
步骤807、鉴权逻辑模块判断服务等级的业务功能集是否大于等于资源所需的业务功能集(即资源所需授权的业务功能集是否为服务等级对应业务功能集的子集),如是,表明该用户允许访问该资源,则转步骤808,否则,表明该用户不具有访问该资源的权限,鉴权逻辑模块向协议解析模块返回无法访问资源的错误响应。
步骤808、鉴权逻辑模块直接向协议解析模块返回鉴权成功的响应。
在收到鉴权成功响应后,应用网关服务器会将APP业务请求转发给对应的业务系统或公用基础服务处理。
以上所述为仅为本发明的优选实施例,并非限制专利的范围,只要使用本发明所述的应用鉴权配置模型和算法逻辑、利用应用端口以及应用端口资源概念在系统侧定义APP可访问的资源范围、要求APP请求携带的鉴权相关的参数、使用应用资源DPI解析插件机制从应用请求解析鉴权所需资源标示串以及资源校验,都在本发明保护范围内。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (24)
1.一种应用接入鉴权的方法,包括:
接收到应用客户端的登录指令后,根据所述登录指令携带的信息进行登录鉴权,登录鉴权通过后向所述应用客户端返回登录成功响应;
接收到所述应用客户端的应用授权信息查询指令后,确定指定用户通过所述应用客户端被授权的业务功能集,将所述业务功能集信息发送给所述应用客户端;
其中,所述登录指令携带的信息包括:所述应用客户端标识、所述应用客户端密钥、用户账户和用户密码信息;
所述根据所述登录指令携带的信息进行登录鉴权,包括:
根据所述应用客户端标识和所述应用客户端密钥确定所述应用客户端合法时,根据所述用户账户和用户密码信息进行登录认证;
登录认证通过后,判断所述指定用户的服务等级是否满足业务功能授权条件,如满足,则登录鉴权通过。
2.如权利要求1所述的方法,其特征在于:所述确定指定用户通过所述应用客户端被授权的业务功能集,包括:
查询预置的应用鉴权配置数据,获取所述指定用户对应的服务等级,及所述服务等级对应的第一业务功能集;
根据所述应用客户端标识获取所述应用客户端的第二业务功能集;
确定所述第一业务功能集与所述第二业务功能集的交集,为指定用户通过所述应用客户端被授权的业务功能集。
3.如权利要求1所述的方法,其特征在于:所述接收到所述应用客户端的应用授权信息查询指令后,还包括:
根据所述应用客户端标识查询预置的应用鉴权配置数据,获取所述应用客户端各端口的地址信息,将所述地址信息发送给所述应用客户端。
4.如权利要求1所述的方法,其特征在于:还包括:
接收到所述应用客户端的业务请求消息后,对所述业务请求消息进行鉴权;
鉴权通过后,将所述业务请求消息发送给对应的业务系统。
5.如权利要求4所述的方法,其特征在于:所述对所述业务请求进行鉴权,包括:
解析所述业务请求消息,解析出所述应用客户端的标识;
查询预置的应用鉴权配置数据,获取所述应用客户端的标识对应的端口信息;
将查询到的端口信息与接收所述业务请求消息的链路的端口信息进行比对,如一致,则确定所述业务请求消息为合法的请求消息。
6.如权利要求5所述的方法,其特征在于:所述对所述业务请求进行鉴权,还包括:
所述解析所述业务请求消息还解析出对应的应用端口的信息;
确定所述应用端口下的资源为受限访问时,从所述业务请求消息解析出请求访问的资源标示串;
确定所述资源标示串对应的资源所需授权的业务功能集为对应用户服务等级的业务功能集的子集时,向所述应用客户端返回鉴权成功响应;
确定所述应用端口下的资源为非受限访问时,向所述应用客户端返回所述鉴权成功响应。
7.如权利要求6所述的方法,其特征在于:所述从所述业务请求消息解析出请求访问的资源标示串,包括:
确定所述应用端口的资源解析模式为标准解析时,根据标准协议从所述业务请求消息解析出请求访问的资源标示串;
确定所述应用端口的资源解析模式为插件解析时,通过所述应用客户端标识对应的应用资源深度包检测插件从所述业务请求消息解析出请求访问的资源标示串。
8.一种应用接入鉴权的系统,其特征在于,包括:
登录模块,用于接收到应用客户端的登录指令后,根据所述登录指令携带的信息进行登录鉴权,登录鉴权通过后向所述应用客户端返回登录成功响应;
业务确定模块,接收到所述应用客户端的应用授权信息查询指令后,确定指定用户通过所述应用客户端被授权的业务功能集,将所述业务功能集信息发送给所述应用客户端;
其中,所述登录指令携带的信息包括:所述应用客户端标识、所述应用客户端密钥、用户账户和用户密码信息;
所述根据所述登录指令携带的信息进行登录鉴权,包括:
根据所述应用客户端标识和所述应用客户端密钥确定所述应用客户端合法时,根据所述用户账户和用户密码信息进行登录认证;
登录认证通过后,判断所述指定用户的服务等级是否满足业务功能授权条件,如满足,则登录鉴权通过。
9.如权利要求8所述的系统,其特征在于:
所述登录模块,接收到的所述登录指令携带的信息包括:所述应用客户端标识、所述应用客户端密钥、用户账户和用户密码信息,所述根据所述登录指令携带的信息进行登录鉴权包括:根据所述应用客户端标识和所述应用客户端密钥确定所述应用客户端合法时,根据所述用户账户和用户密码信息进行登录认证;登录认证通过后,判断所述指定用户的服务等级是否满足业务功能授权条件,如满足,则登录鉴权通过。
10.如权利要求8所述的系统,其特征在于:
所述业务确定模块,确定指定用户通过所述应用客户端被授权的业务功能集包括:查询预置的应用鉴权配置数据,获取所述指定用户对应的服务等级,及所述服务等级对应的第一业务功能集;根据所述应用客户端标识获取所述应用客户端的第二业务功能集;确定所述第一业务功能集与所述第二业务功能集的交集,为指定用户通过所述应用客户端被授权的业务功能集。
11.如权利要求8所述的系统,其特征在于:
所述业务确定模块,接收到所述应用客户端的应用授权信息查询指令后还包括:根据所述应用客户端标识查询预置的应用鉴权配置数据,获取所述应用客户端各端口的地址信息,将所述地址信息发送给所述应用客户端。
12.如权利要求8所述的系统,其特征在于:还包括:
鉴权模块,用于接收到所述应用客户端的业务请求消息后,对所述业务请求消息进行鉴权;鉴权通过后,将所述业务请求消息发送给对应的业务系统。
13.如权利要求12所述的系统,其特征在于:
所述鉴权模块,对所述业务请求进行鉴权包括:解析所述业务请求消息,解析出所述应用客户端的标识;查询预置的应用鉴权配置数据,获取所述应用客户端的标识对应的端口信息;将查询到的端口信息与接收所述业务请求消息的链路的端口信息进行比对,如一致,则确定所述业务请求消息为合法的请求消息。
14.如权利要求13所述的系统,其特征在于:
所述鉴权模块,对所述业务请求进行鉴权还包括:所述解析所述业务请求消息还解析出对应的应用端口的信息;确定所述应用端口下的资源为受限访问时,从所述业务请求消息解析出请求访问的资源标示串,若确定所述资源标示串对应的资源所需授权的业务功能集为对应用户服务等级的业务功能集的子集时,则向所述应用客户端返回鉴权成功响应;确定所述应用端口下的资源为非受限访问时,向所述应用客户端返回所述鉴权成功响应。
15.如权利要求14所述的系统,其特征在于:
所述鉴权模块,从所述业务请求消息解析出请求访问的资源标示串包括:确定所述应用端口的资源解析模式为标准解析时,根据标准协议从所述业务请求消息解析出请求访问的资源标示串;确定所述应用端口的资源解析模式为插件解析时,通过所述应用客户端标识对应的应用资源深度包检测插件从所述业务请求消息解析出请求访问的资源标示串。
16.一种应用接入鉴权的方法,包括:
应用客户端启动后,向应用鉴权系统发送登录指令;
接收到所述应用鉴权系统返回的登录成功响应后,向所述应用鉴权系统发送应用授权信息查询指令;
接收所述应用鉴权系统的授权的业务功能集信息后,根据所述业务功能集信息控制交互界面的信息显示。
17.如权利要求16所述的方法,其特征在于:
所述登录指令携带所述应用客户端的标识、所述应用客户端密钥、用户账户和用户输入的密码。
18.如权利要求16所述的方法,其特征在于:
所述登录成功响应携带会话令牌信息。
19.如权利要求18所述的方法,其特征在于:还包括:
所述应用客户端向所述应用鉴权系统发送业务请求消息,所述业务请求消息携带所述应用客户端的标识、用户账户、所述会话令牌信息和请求访问的应用端口名。
20.如权利要求18所述的方法,其特征在于:还包括:
所述应用客户端向所述应用鉴权系统发送退出指令,所述退出指令携带所述应用客户端的标识、用户账户和所述会话令牌。
21.一种应用接入鉴权的装置,其特征在于,包括:
登录模块,用于启动后,向应用鉴权系统发送登录指令;接收到所述应用鉴权系统返回的登录成功响应后,向所述应用鉴权系统发送应用授权信息查询指令;
控制模块,用于接收所述应用鉴权系统的授权的业务功能集信息后,根据所述业务功能集信息控制交互界面的信息显示。
22.如权利要求21所述的装置,其特征在于:还包括:
业务模块,用于向所述应用鉴权系统发送业务请求消息,所述业务请求消息携带所述应用客户端的标识、用户账户、所述登录成功响应携带的会话令牌信息和请求访问的应用端口名。
23.如权利要求21所述的装置,其特征在于:
所述登录模块,还用于向所述应用鉴权系统发送退出指令,所述退出指令携带所述应用客户端的标识、用户账户和会话令牌。
24.一种终端,其特征在于,包括如权利要求21-23任一项所述的应用接入鉴权的装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610049963.XA CN106998551B (zh) | 2016-01-25 | 2016-01-25 | 一种应用接入鉴权的方法、系统、装置及终端 |
| PCT/CN2016/079209 WO2016188256A1 (zh) | 2016-01-25 | 2016-04-13 | 一种应用接入鉴权的方法、系统、装置及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610049963.XA CN106998551B (zh) | 2016-01-25 | 2016-01-25 | 一种应用接入鉴权的方法、系统、装置及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106998551A CN106998551A (zh) | 2017-08-01 |
| CN106998551B true CN106998551B (zh) | 2021-06-29 |
Family
ID=57392429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610049963.XA Active CN106998551B (zh) | 2016-01-25 | 2016-01-25 | 一种应用接入鉴权的方法、系统、装置及终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106998551B (zh) |
| WO (1) | WO2016188256A1 (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737101B (zh) * | 2017-04-25 | 2021-06-29 | 中国移动通信有限公司研究院 | 一种应用程序的验证方法、装置及云端服务器 |
| CN107580046B (zh) * | 2017-08-31 | 2021-02-23 | 北京奇虎科技有限公司 | 长连接服务系统及方法 |
| CN108052323A (zh) * | 2017-11-22 | 2018-05-18 | 链家网(北京)科技有限公司 | 一种抽奖系统和抽奖方法 |
| CN108901022B (zh) * | 2018-06-28 | 2021-08-20 | 深圳云之家网络有限公司 | 一种微服务统一鉴权方法及网关 |
| CN109376508A (zh) * | 2018-09-26 | 2019-02-22 | 中国平安人寿保险股份有限公司 | 业务单元的管理方法、计算机可读存储介质和终端设备 |
| CN109446081A (zh) * | 2018-10-22 | 2019-03-08 | 江苏满运软件科技有限公司 | 用于html5网页的测试方法、系统、设备以及介质 |
| CN109472167B (zh) * | 2018-11-14 | 2021-07-27 | 北京天威诚信电子商务服务有限公司 | 一种数字签名方法及装置 |
| CN110086813A (zh) * | 2019-04-30 | 2019-08-02 | 新华三大数据技术有限公司 | 访问权限控制方法和装置 |
| CN110232292A (zh) * | 2019-05-06 | 2019-09-13 | 平安科技(深圳)有限公司 | 数据访问权限认证方法、服务器及存储介质 |
| CN110673892B (zh) * | 2019-09-17 | 2023-01-03 | 中电万维信息技术有限责任公司 | 一种基于组件配置的接口统一调用方法 |
| CN112948777B (zh) * | 2019-11-26 | 2023-02-24 | 联易软件有限公司 | 多业务系统权限统一管理方法、装置及系统 |
| CN110943986A (zh) * | 2019-11-27 | 2020-03-31 | 中国银行股份有限公司 | 一种服务访问控制方法及装置、网关 |
| CN111191200B (zh) * | 2019-12-20 | 2023-08-04 | 北京淇瑀信息科技有限公司 | 一种三方联动鉴权页面展示方法、装置和电子设备 |
| CN111010401A (zh) * | 2019-12-23 | 2020-04-14 | 华中科技大学 | 用于分布式水资源管理支持系统的基于token的网络安全框架 |
| CN111581608A (zh) * | 2020-04-09 | 2020-08-25 | 苏宁云计算有限公司 | 基于应用程序登录的鉴权方法、系统及计算机可读存储介质 |
| CN112422490B (zh) * | 2020-04-15 | 2022-07-01 | 岭博科技(北京)有限公司 | 一种基于本地缓存对用户设备进行鉴权的方法及系统 |
| CN113778473A (zh) * | 2020-06-10 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 基于功能配置信息的应用处理方法和装置 |
| CN112073400B (zh) * | 2020-08-28 | 2024-06-14 | 腾讯云计算(北京)有限责任公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN112258103A (zh) * | 2020-09-27 | 2021-01-22 | 北京云杉世界信息技术有限公司 | 一种生鲜冻品库环境数据访问及监控方法 |
| CN112738027B (zh) * | 2020-12-10 | 2023-11-07 | 北京爱知之星科技股份有限公司 | 数据处理方法、装置及电子设备 |
| CN114650316A (zh) * | 2020-12-21 | 2022-06-21 | 中国电信股份有限公司 | 统一消息推送系统、方法和介质 |
| CN112769927B (zh) * | 2020-12-31 | 2023-06-16 | 湖南金鹰卡通传媒有限公司 | 一种应用程序app的客户端微服务系统及其使用方法 |
| CN113645294B (zh) * | 2021-08-06 | 2022-08-26 | 腾讯科技(深圳)有限公司 | 消息获取方法、装置、计算机设备和消息传输系统 |
| CN113742705B (zh) * | 2021-08-30 | 2024-05-24 | 北京一砂信息技术有限公司 | 一种基于ifaa号码认证服务实现的方法及系统 |
| CN113938289B (zh) * | 2021-08-31 | 2024-03-01 | 联通沃音乐文化有限公司 | 一种代理客户端预防拦截机制被滥用和攻击的系统和方法 |
| CN113872979B (zh) * | 2021-09-29 | 2023-11-24 | 北京高途云集教育科技有限公司 | 登录认证的方法、装置、电子设备和计算机可读存储介质 |
| CN115879088A (zh) * | 2021-09-29 | 2023-03-31 | 华为技术有限公司 | 权限检查的方法和电子设备 |
| CN114401114B (zh) * | 2021-12-17 | 2023-08-11 | 上海绚显科技有限公司 | 数据传输方法、装置、电子设备及存储介质 |
| CN114301870A (zh) * | 2021-12-28 | 2022-04-08 | 中国电信股份有限公司 | 用户身份标识管理方法及相关产品 |
| CN114390508B (zh) * | 2021-12-28 | 2023-10-27 | 天翼物联科技有限公司 | 一种用户异步激活方法、系统、装置及存储介质 |
| CN115189958B (zh) * | 2022-07-18 | 2024-01-19 | 西安热工研究院有限公司 | 一种实现多级架构之间认证漫游和鉴权的方法 |
| CN117493362B (zh) * | 2023-11-10 | 2024-05-24 | 中国人民解放军陆军勤务学院 | 一种分布式系统的数据交互校验方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110702A (zh) * | 2007-08-14 | 2008-01-23 | 中兴通讯股份有限公司 | 一种命令行接口权限分级的方法及其系统 |
| CN101374279A (zh) * | 2008-09-19 | 2009-02-25 | 中兴通讯股份有限公司 | 一种移动终端使用iptv业务的系统和方法 |
| CN101478471A (zh) * | 2009-02-04 | 2009-07-08 | 中兴通讯股份有限公司 | 一种mpls/bgp三层虚拟专用网的部署方法和系统 |
| CN102075571A (zh) * | 2010-12-31 | 2011-05-25 | 成都市华为赛门铁克科技有限公司 | 应用程序的执行方法、设备及系统 |
| CN102254272A (zh) * | 2011-06-12 | 2011-11-23 | 辜进荣 | 根据用户特性分类的网络交互平台 |
| CN102457766A (zh) * | 2010-10-18 | 2012-05-16 | Tcl集团股份有限公司 | 一种网络电视的访问权限验证方法 |
| CN105050090A (zh) * | 2015-07-09 | 2015-11-11 | 广东欧珀移动通信有限公司 | 一种播放场景的显示控制方法及播放设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9729642B2 (en) * | 2013-05-24 | 2017-08-08 | International Business Machines Corporation | Sharing web application sessions across multiple devices |
| CN104660566A (zh) * | 2013-11-22 | 2015-05-27 | 中国电信股份有限公司 | 用于鉴权控制的方法和系统 |
-
2016
- 2016-01-25 CN CN201610049963.XA patent/CN106998551B/zh active Active
- 2016-04-13 WO PCT/CN2016/079209 patent/WO2016188256A1/zh active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110702A (zh) * | 2007-08-14 | 2008-01-23 | 中兴通讯股份有限公司 | 一种命令行接口权限分级的方法及其系统 |
| CN101374279A (zh) * | 2008-09-19 | 2009-02-25 | 中兴通讯股份有限公司 | 一种移动终端使用iptv业务的系统和方法 |
| CN101478471A (zh) * | 2009-02-04 | 2009-07-08 | 中兴通讯股份有限公司 | 一种mpls/bgp三层虚拟专用网的部署方法和系统 |
| CN102457766A (zh) * | 2010-10-18 | 2012-05-16 | Tcl集团股份有限公司 | 一种网络电视的访问权限验证方法 |
| CN102075571A (zh) * | 2010-12-31 | 2011-05-25 | 成都市华为赛门铁克科技有限公司 | 应用程序的执行方法、设备及系统 |
| CN102254272A (zh) * | 2011-06-12 | 2011-11-23 | 辜进荣 | 根据用户特性分类的网络交互平台 |
| CN105050090A (zh) * | 2015-07-09 | 2015-11-11 | 广东欧珀移动通信有限公司 | 一种播放场景的显示控制方法及播放设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016188256A1 (zh) | 2016-12-01 |
| CN106998551A (zh) | 2017-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106998551B (zh) | 一种应用接入鉴权的方法、系统、装置及终端 | |
| CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
| CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
| CN106131079B (zh) | 一种认证方法、系统及代理服务器 | |
| US12003547B1 (en) | Protecting web applications from untrusted endpoints using remote browser isolation | |
| CA3112194C (en) | Systems and methods for integrated service discovery for network applications | |
| EP3162103B1 (en) | Enterprise authentication via third party authentication support | |
| CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| CN109873805A (zh) | 基于云安全的云桌面登陆方法、装置、设备和存储介质 | |
| CN111062023B (zh) | 多应用系统实现单点登录的方法及装置 | |
| US10027642B2 (en) | Method of access by a telecommunications terminal to a database hosted by a service platform that is accessible via a telecommunications network | |
| CN106209727B (zh) | 一种会话访问方法和装置 | |
| JP2017097542A (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
| CN113922982A (zh) | 登录方法、电子设备及计算机可读存储介质 | |
| CN109962892A (zh) | 一种登录应用的认证方法及客户端、服务器 | |
| JP2022504499A (ja) | 中間デバイスのシステムオンチップを介したトラフィック最適化のためのシステムおよび方法 | |
| CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
| CN112039873A (zh) | 一种单点登录访问业务系统的方法 | |
| JP6994607B1 (ja) | Saasアプリケーションのためのインテリセンスのためのシステムおよび方法 | |
| CA2844888A1 (en) | System and method of extending a host website | |
| CN117251837A (zh) | 一种系统接入方法、装置、电子设备及存储介质 | |
| CN105656856A (zh) | 资源管理方法和装置 | |
| CN107045603A (zh) | 一种应用的调用控制方法和装置 | |
| CN113691377B (zh) | 设备列表的处理方法与装置 | |
| Andrews et al. | Securing Your Mobile Business with IBM Worklight |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |