一种信任登录方法、服务器及系统
技术领域
本申请涉及软件技术领域,特别涉及一种信任登录的方法、服务器及系统。
背景技术
随着科学技术的不断发展,软件技术得到了飞速的发展,各种应用系统层出不穷。通常情况下,用户在使用应用系统时,需要用户输入账号和密码进行登录,才能享受相应的服务。
客户除了可以通过在系统A上注册的账号和密码登录到系统A上,也可以通过在系统A上注册的的账号和密码登录到信任系统A的系统B上。系统A上的用户登录到信任系统A的系统B上,这种登录方式被称之为信任登录。系统A上的用户信任登录到系统B上后,系统A的用户可可以对系统B提供的相应业务进行访问及操作。
目前,现有的信任登录方案是系统B分配一个信任登录编号给系统A,然后系统A将系统A上的用户登录请求参数以及系统B颁发的登录编号写入信任登录请求,通过密钥对信任登录请求进行加密并发送。系统B根据系统A提供的公钥对接收到的信任登录请求进行解密,解密后,系统B检查信任登录请求中信任登录编号是否合法,如果合法则允许系统A上的用户登录到系统B上,信任登录成功。然而,现有的信任登录一旦登录成功,系统A的客户可以对系统B的所有业务页面进行访问及操作,存在一定的安全隐患。例如:若系统A(如地图应用系统)由于安全性要求较弱被刷库或者盗号,那么可以通过刷库或者盗号获得的用户信息登录系统A,再通过系统A信任登录到系统B(如支付应用系统)上,以对安全性要求更高的系统B上的页面(如支付页面)进行操作,导致安全性要求更高的系统B遭遇风险。
发明内容
本申请实施例提供一种信任登录方法、装置及电子设备,用于解决现有技术中系统之间信任登录存在的安全问题,提高信任登录的安全性。
本申请的第一方面,提供一种信任登录方法,应用于第一服务器,所述方法包括:
接收第二服务器对应的目标客户端发送的页面访问请求,所述页面访问请求用于请求访问所述第一服务器提供的业务页面;
获取并判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限;
若所述临时信任登录令牌具有访问所述业务页面的业务权限,允许所述目标客户端信任登录到所述第一服务器上,返回所述目标客户端请求访问的所述业务页面。
可选的,判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限,包括:
判断所述临时信任登录令牌与所述业务页面的业务身份标识之间是否满足第一映射关系;
若所述临时信任登录令牌与所述业务身份标识之间满足第一映射关系,确定所述临时信任登录令牌具有访问所述业务页面的业务权限。
可选的,所述确定所述临时信任登录令牌具有访问所述业务页面的业务权限,包括:
判断所述临时信任登录令牌与所述业务页面的业务身份标识之间是否满足第一映射关系,及判断所述临时信任登录令牌与所述第一服务器向所述第二服务器颁发的当前信任登录标识之间是否满足第二映射关系;
若所述临时信任登录令牌与所述业务身份标识之间满足所述第一映射关系,且所述临时信任登录令牌与所述当前信任登录标识之间满足所述第二映射关系,确定所述临时信任登录令牌具有访问所述业务页面的业务权限。
可选的,在所述判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限之前,所述方法还包括:
判断所述临时信任登录令牌是否合法,以及判断所述临时信任登录令牌是否过期;
若所述临时信任登录令牌合法且未过期,执行判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限的操作。
可选的,所述业务页面为可嵌入加载到所述目标客户端的页面。
可选的,所述方法还包括:
接收第二服务器发送的令牌获取请求;
基于所述令牌获取请求,判断所述目标客户端是否为授信客户端;
若所述目标客户端是授信客户端,生成所述临时信任登录令牌并设置所述临时信任登录令牌访问页面的业务权限;
通过所述第二服务器将所述临时信任登录令牌发送至所述目标客户端。
可选的,所述基于所述令牌获取请求,判断所述目标客户端是否为授信客户端,包括:
判断所述令牌获取请求中是否包含所述第一服务器向所述第二服务器颁发的当前信任登录标识;
若包含,确定所述目标客户端为授信客户端。
可选的,所述基于所述令牌获取请求,判断所述目标客户端是否为授信客户端,包括:
判断所述目标客户端在所述第一服务器中是否存在对应的第一客户端;
若存在,确定所述目标客户端为授信客户端。
本发明的第二方面,提供一种信任登录方法,应用于第二服务器,所述第二服务器为目标客户端的服务端,所述方法包括:
接收所述目标客户端发送的信任登录请求,所述信任登录请求用于请求登录第一服务器并访问所述第一服务器提供的业务页面;
基于所述信任登录请求,生成令牌获取请求并发送至所述第一服务器;
接收所述第一服务器反馈的临时信任登录令牌,所述临时信任登录令牌具有登录所述第一服务器并访问所述业务页面的业务权限;
将所述临时信任登录令牌反馈至所述目标客户端,以使所述目标客户端通过所述临时信任登录令牌登录所述第一服务器并访问所述业务页面。
可选的,所述基于所述访问请求,生成令牌获取请求并发送至所述第一服务器,包括:
获取所述第一服务器向所述第二服务器颁发的当前信任登录标识,所述当前信任登录标识为获取所述临时信任登录令牌的凭证;
将所述当前信任登录标识写入所述访问请求,以生成所述令牌获取请求。
本发明的第三方面,提供一种第一服务器,包括:
接收单元,用于接收第二服务器对应的目标客户端发送的页面访问请求,所述页面访问请求用于请求访问所述第一服务器提供的业务页面;
判断单元,用于获取并判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限;
访问限制单元,用于在所述临时信任登录令牌具有访问所述业务页面的业务权限时,允许所述目标客户端信任登录到所述第一服务器上,返回所述目标客户端请求访问的所述业务页面。
可选的,所述判断单元,用于:
判断所述临时信任登录令牌与所述业务页面的业务身份标识之间是否满足第一映射关系;
若所述临时信任登录令牌与所述业务身份标识之间满足所述第一映射关系,确定所述临时信任登录令牌具有访问所述业务页面的业务权限。
可选的,所述判断单元,用于:
判断所述临时信任登录令牌与所述业务页面的业务身份标识之间是否满足第一映射关系,及判断所述临时信任登录令牌与所述第一服务器向所述第二服务器颁发的当前信任登录标识之间是否满足第二映射关系;
若所述临时信任登录令牌与所述业务身份标识之间满足所述第一映射关系,且所述临时信任登录令牌与所述当前信任登录标识之间满足所述第二映射关系,确定所述临时信任登录令牌具有访问所述业务页面的业务权限。
可选的,所述判断单元还用于:
在判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限之前,判断所述临时信任登录令牌是否合法,以及判断所述临时信任登录令牌是否过期;
若所述临时信任登录令牌合法且未过期,执行判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限的操作。
可选的,所述业务页面为可嵌入加载到所述目标客户端的页面。
可选的,所述接收单元还用于:接收第二服务器发送的令牌获取请求;
所述判断单元还用于:基于所述令牌获取请求,判断所述目标客户端是否为授信客户端;
所述第一服务器还包括:
生成单元,用于在所述目标客户端是授信客户端时,生成所述临时信任登录令牌并设置所述临时信任登录令牌访问页面的业务权限;
发送单元,用于通过所述第二服务器将所述临时信任登录令牌发送至所述目标客户端。
可选的,所述判断单元,还用于:
判断所述令牌获取请求中是否包含所述第一服务器向所述第二服务器颁发的当前信任登录标识;
若包含,确定所述目标客户端为授信客户端。
可选的,所述判断单元,还用于:
判断所述目标客户端在所述第一服务器中是否存在对应的第一客户端;
若存在,确定所述目标客户端为授信客户端。
本发明的第四方面,提供一种第二服务器,所述第二服务器为目标客户端的服务端,所述第二服务器包括:
接收模块,用于接收所述目标客户端发送的信任登录请求,所述信任登录请求用于请求登录第一服务器并访问所述第一服务器提供的业务页面;
生成模块,用于基于所述信任登录请求,生成令牌获取请求并通过发送模块发送至所述第一服务器;
所述接收模块还用于接收所述第一服务器反馈的临时信任登录令牌,所述临时信任登录令牌具有登录所述第一服务器并访问所述业务页面的业务权限;
所述发送模块还用于将所述临时信任登录令牌反馈至所述目标客户端,以使所述目标客户端通过所述临时信任登录令牌登录所述第一服务器并访问所述业务页面。
可选的,所述生成模块,用于:
获取所述第一服务器向所述第二服务器颁发的当前信任登录标识,所述当前信任登录标识为获取所述临时信任登录令牌的凭证;
将所述当前信任登录标识写入所述访问请求,以生成所述令牌获取请求。
本发明的第五方面,提供一种信任登录系统,所述系统包括:
第一服务器;
第二服务器;
目标客户端,用于发送响应用户对目标访问入口的操作,向所述第二服务器发送信任登录请求,所述信任登录请求用于请求登录所述第一服务器并访问所述第一服务器提供的业务页面;接收所述第二服务器发送的临时信任登录令牌,所述临时信任登录令牌具有访问所述业务页面的业务权限;基于所述临时信任登录令牌,生成访问所述业务页面的访问请求并发送至第一服务器,以请求登录所述第一服务器并访问所述业务页面。
本申请实施例中的上述一个或多个技术方案,至少具有如下技术效果:
本申请实施例在接收第二服务器对应的目标客户端发送的页面访问请求,请求访问第一服务器提供的业务页面时,获取并判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限;若具有该业务权限,允许所述目标客户端信任登录到所述第一服务器上,返回所述目标客户端请求访问的业务页面,使得信任登录的用户访问受临时信任登录令牌的业务权限的限制只能访问对应的业务页面,而系统的其它业务页面不可以访问,解决了现有技术中信任登录存在的安全问题,提高了信任登录的安全性。
附图说明
图1a为本申请实施例一提供的目标客户端信任登录方法的流程图;
图1b为本申请实施例一提供的第二服务器侧信任登录方法的流程图;
图1c为本申请实施例一提供的第一服务器侧信任登录方法的令牌下发流程图;
图1d为本申请实施例一提供的第一服务器侧信任登录方法的令牌验证流程图;
图1e为本申请实施例一提供的信任登录方法的交互示意图;
图2为本申请实施例二提供的第一服务器的示意图;
图3为本申请实施例二提供的第二服务器的示意图;
图4为本申请实施例二提供的一种信任登录系统的示意图。
具体实施方式
下面结合附图对本申请实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。
实施例一
本申请实施例提供一种信任登录方法,该方法应用于一信任登录系统。该系统包含两个应用系统,第一应用系统包含第一服务器和第一客户端,第二应用系统包含第二服务器和第二客户端(即目标客户端),在目标客户端的应用界面中嵌入设置有第一服务器提供的业务页面的目标访问入口,用户可以操作该目标访问入口来触发目标客户端通过信任登录方法来访问第一服务器提供的业务页面。
请参考图1a,为本申请实施例提供的信任登录方法,应用于目标客户端,包括:
S1.1:目标客户端响应用户对目标访问入口的操作,向第二服务器发送信任登录请求,所述信任登录请求用于请求登录第一服务器并访问第一服务器提供的业务页面。
其中,信任登录请求中包含目标客户端所要访问的业务页面的业务ID(Identification,身份标识)。业务ID用于表征目标客户端所要访问的业务页面是哪一个页面。信任登录请求中还可以包含用户账号和密码。用户账号和密码用于请求登录第二服务器,或者,使第二服务器对目标客户端的合法性进行验证。当目标客户端通过用户账号和密码成功登录到第二服务器上,或者,通过第二服务器的合法性验证后,第二服务器才响应目标客户端发送的信任登录请求,向目标客户端发送临时信任登录令牌。
S1.2:目标客户端接收第二服务器响应信任登录请求发送的临时信任登录令牌。
临时信任登录令牌为目标客户端登录第一服务器并访问第一服务器提供的业务页面的凭证。临时信任登录令牌中写有访问业务页面的业务权限,在临时信任登录令牌的业务权限范围以外的业务页面,禁止目标客户端访问。临时信任登录令牌由第一服务器根据第二服务器发送的令牌获取请求生成并反馈至第二服务器,再由第二服务器发送至目标客户端。
S1.3:目标客户端基于接收到的临时信任登录令牌,生成访问第一服务器提供的业务页面的访问请求并发送至第一服务器。
具体的,生成访问业务页面的访问请求时,可以对临时信任登录令牌和所要访问的业务ID进行封装生成访问请求,也可以对临时信任登录令牌、所要访问的业务ID及用户账号进行封装生成访问请求。当访问请求中包含用户账号时,第一服务器可根据第一服务器与第二服务器之间商定的用户映射关系,基于访问请求中的用户账号,为目标客户端查找或建立在第一服务器上的第一用户账号。
在S1.3之后,目标客户端等待第一服务器返回业务页面。当接收到第一服务器返回的业务页面后,对业务页面进行操作。由于目标客户端对第一服务器的业务页面的访问受临时信任登录令牌的业务权限限制,使得目标客户端信任登录到第一服务器时只能访问临时信任登录令牌的业务权限范围内的业务页面,提升了业务页面访问的安全性。
请参考图1b,为本申请实施例提供的信任登录方法,应用于第二服务器,包括:
S2.1:第二服务器接收目标客户端发送的信任登录请求。
S2.2:第二服务器基于接收到的信任登录请求,生成令牌获取请求并发送至第一服务器。
具体的,令牌获取请求可以基于信任登录请求以及第二服务器的服务器标识封装生成。第一服务器可以根据服务器标识判断第二服务器是否为授信服务器。若第二服务器为授信服务器,第一服务器则对令牌获取请求中的信任登录请求进行解析,反馈临时登录令牌。若第二服务器不是授信服务器,第一服务器拒绝向第二服务器反馈临时登录令牌。
令牌获取请求也可以基于信任登录请求以及第一服务器向第二服务器颁发的当前信任登录标识封装生成。当前信任登录标识为第二服务器获取临时信任登录令牌的凭证。若当前信任登录标识合法,第一服务器则对令牌获取请求中的信任登录请求进行解析,判断是否反馈临时登录令牌。若当前信任登录标识不合法,第一服务器拒绝向第二服务器反馈临时登录令牌。
其中,当前信任登录标识可以是一个信任登录编号。信任登录编号由第一服务器向授信的第二服务器颁发。信任登录编号可以为一个固定的编号,一旦颁发在授信期间均有效。信任登录编号也可以为不断更新的动态编号,由第一服务器按照一定的时间周期更新并将更新后的信任登录编号颁发给第二服务器。
S2.3:第二服务器接收第一服务器反馈的临时信任登录令牌,将临时信任令牌发送至目标客户端。
补充说明:第二服务器在S2.1之后可以直接执行S2.2。第二服务器也可以在S2.1之后,对接收到的信任登录请求进行解析,判断该信任登录请求是否合法,如目标客户端是否已经登录到第二服务器上、提供业务页面的第一服务器是否与其签约等。若判断出信任登录请求合法,则执行S2.2,若判断出信任登录请求不合法,则返回目标客户端请求失败的消息。
请参考图1c,为本申请实施例提供的信任登录方法的令牌下发方法,应用于第一服务器,该方法包括:
S3.1:第一服务器接收第二服务器发送的令牌获取请求。
第一服务器在接收到令牌获取请求后,可以直接执行S3.2,也可以基于令牌获取请求判断目标客户端是否为授信客户端,根据判断结果选择是否执行S3.2。
其中,第一服务器基于令牌获取请求,可以通过如下方式判断目标客户端是否为授信客户端:
方式一、判断令牌获取请求中是否包含第一服务器向第二服务颁发的当前信任登录标识。若令牌获取请求中包含当前信任登录标识,则确定目标客户端是授信客户端。反之,若令牌获取请求中不包含当前信任登录标识,则确定目标客户端不是授信客户端。
方式二、通过第一服务器与第二服务器之间的用户映射关系来判断目标客户端是否为授信客户端。第一服务器与第二服务器之间建立信任登录关系时,会建立相互之间用户的映射关系,即为第二服务器上的用户在第一服务器上创建或者查找到对应的目标用户,例如:第二服务上的用户X,登录到第一服务器上时对应为第一服务器上的目标用户X1。为此,第一服务器可以获取令牌获取请求中目标客户端的用户账号,第一服务器判断第一服务器中是否存在与目标客户端的用户账号对应的目标用户账号。若存在目标用户账号,确定目标客户端为授信客户端,反之,则确定目标客户端不是授信客户端。
第一服务器在判断出目标客户端不是授信客户端时,返回请求失败的消息至第二服务器。第一服务器在判断出目标客户端是授信客户端时,继续执行S3.2。
S3.2:基于接收到的令牌获取请求,第一服务器生成临时信任登录令牌并设置临时信任登录令牌访问页面的业务权限。
该业务权限可以是针对某一个业务页面的,也可以是针对多个业务页面的。设置临时信任登录令牌访问页面的业务权限,包括:建立第一映射关系,或者,建立第一映射关系和第二映射关系。第一映射关系为临时信任登录令牌与允许被访问的业务页面的业务ID之间的映射关系。第二映射关系为临时信任登录令牌与第一服务器向第二服务器颁发的当前信任登录标识之间的映射关系。通过第二映射关系,限定临时信任登录令牌只能对应指定的当前信任登录标识(即对应指定的服务器)才有效,进而避免临时信任登录令牌被其它服务器盗用。例如:如表一所示的映射关系,临时信任登录令牌x1579只对具有当前信任登录标识4627对应的第二服务器Y1有效,对其它服务器如Y2则无效。
表一
生成临时信任登录令牌的过程中,可以按照特定的生成规则生成使其具有合法性,也可以为每个临时信任登录令牌设置有效期,一旦过期则该临时信任登录令牌失效。
S3.3:第一服务器通过第二服务器将生成的临时信任登录令牌发送至目标客户端。
请参考图1d,为本申请实施例提供的信任登录方法的令牌验证方法,应用于第一服务器,该方法包括:
S3.4:第一服务器接收第二服务器对应的目标客户端发送的页面访问请求。
S3.5:第一服务器获取并判断所述页面访问请求中的临时信任登录令牌是否具有访问其请求访问的业务页面的业务权限。
具体的,为了提高第一服务器信息反馈的效率,在进行临时信任登录令牌的业务权限判断之前,可以先对临时信任登录令牌的是否合法、是否过期进行判断。若判断出临时信任登录令牌不合法或者已经过期,则拒绝页面访问请求;若判断出临时信任登录令牌合法且未过期则执行临时信任登录令牌的业务权限判断。
具体实施过程中,可以通过如下任一方式判断临时信任登录令牌的业务权限:
方式一、判断临时信任登录令牌与目标终端所要访问的业务页面的业务ID是否满足第一映射关系。具体的,可以根据第一服务器建立的临时信任登录令牌与业务ID之间的第一映射关系,查询页面访问请求中的临时信任登录令牌是否对应访问请求中的业务ID。若查询结果为对应,那么判断出页面访问请求中的临时信任登录令牌与业务ID匹配,临时信任登录令牌具有访问对应业务页面的业务权限,反之,则不具有访问对应业务页面的业务权限。
方式二、判断临时信任登录令牌与目标终端所要访问的业务页面的业务ID是否满足第一映射关系,及判断临时信任登录令牌与第一服务器向目标客户端所属的第二服务器颁发的当前信任登录标识之间是否满足第二映射关系。在判断出临时登录令牌与目标终端所要访问的业务页面的业务ID满足第一映射关系,且临时信任登录令牌与第一服务器向目标客户端所属的第二服务器颁发的当前信任登录标识之间满足第二映射关系时,临时信任登录令牌具有访问对应业务页面的业务权限,反之,则不具有访问对应业务页面的业务权限。例如:假设第一服务器中建立的临时信任登录令牌映射关系如表一所示。第一服务器接收到的页面访问请求中临时信任登录令牌为x6478、所要访问的业务ID为103、目标客户端所属的第二服务器的当前信任登录标识为3450。第一服务器根据表一,判断出页面访问请求中的临时信任登录令牌与业务ID之间满足第一映射关系,但临时信任登录令牌与当前信任登录标识不满足第二映射关系(临时信任登录令牌为x6478对应的当前信任登录标识为3451,不是3450),临时信任登录令牌为x6478可能是盗用、过期等非法令牌,因此,第一服务器可以拒绝此次业务访问请求。
S3.6:第一服务器若判断出临时信任登录令牌具有访问对应业务页面的业务权限,允许目标客户端信任登录到第一服务器上,返回目标客户端请求访问的业务页面。反之,第一服务器若判断出临时信任登录令牌不具有访问对应业务页面的业务权限,禁止目标客户端访问对应业务页面。
具体实施过程中,第一服务器允许目标客户端信任登录到第一服务器上,可以仅在第一服务器上完成信任登录即可,不执行目标客户端到第一服务器的第一客户端的跳转,而是向目标客户端返回业务页面,提升用户的使用体验。例如:地图应用系统A与支付应用系统B,地图应用系统A的用户在目标客户端(即地图客户端软件)上点击访问入口,请求访问支付应用系统B的业务页面C,支付应用系统B只用验证完成目标客户端用户在系统B上的信任登录,然后返回地图客户端软件业务页面C即可,而不用跳转进入支付应用系统B的支付客户端软件中。
进一步的,第一服务器提供的业务页面可以嵌入加载到目标客户端的页面,采用H5页面(即html5页面:采用应用超文本标记语言的第五次修订语言实现的页面)来实现业务页面的业务流程以及业务展示,减少第一服务器的第一应用系统的开发,第一服务器只用完成信任登录返回页面即可,可实现将业务页面推广到更多的应用系统、客户端的目的。
在信任登录后,第一服务器可以在对应的业务页面中埋下标识,如在根据信任登录结果来写目标客户端与业务页面的会话控制session,将目标客户端的用户标识写入session,表明信任登录成功,有效期内目标客户端无需再次登录,业务页面在有效期内可以直接响应目标客户端的业务操作。
请参考图1e,下面通过一个交互实例,来对本申请实施例提供的信任登录方法,进行完整说明。
S1.1:目标客户端响应用户对目标访问入口的操作,向第二服务器发送信任登录请求。
例如:假设在地图APP中嵌入有支付APP的车险访问入口。目标客户端上的用户B点击在地图APP上的车险访问入口,目标客户端响应该点击操作,向地图APP的第二服务器发送信任登录请求。其中,信任登录请求中写有所要访问的业务页面的业务ID、目标客户端的用户账号。
S2.1:第二服务器接收目标客户端发送的信任登录请求。
S2.2:第二服务器基于接收到的信任登录请求,生成令牌获取请求并发送至第一服务器。
第二服务器可以将信任登录请求和第一服务器颁发的当前信任登录标识封装生成令牌获取请求,然后,将封装生成的令牌获取请求发送至第一服务器。例如:地图APP的第二服务器可以先将支付APP的服务器颁发的当前信任登录标识XXX与接收到的信任登录请求进行封装,然后,将封装生成的令牌获取请求发送至支付APP的第一服务器。
S3.1:第一服务器接收第二服务器发送的令牌获取请求。
S3.2:第一服务器生成临时信任登录令牌并设置临时信任登录令牌访问页面的业务权限。
例如:支付APP的第一服务器从接收到的令牌获取请求中获取当前信任登录标识。确认当前信任登录标识与第一服务器保存的向第二服务器颁发的当前信任登录标识是否一致;若一致,可以根据令牌获取请求确定目标客户端访问页面的业务权限,若不一致,则拒绝令牌获取请求。假设确认出地图APP的目标客户端只能访问支付APP的车险页面,则生成临时信任登录令牌,并设置临时信任登录令牌访问页面的业务权限为:只能够访问车险页面,并将生成的临时信任登录令牌发送至地图APP的第二服务器。
S3.3:第一服务器通过第二服务器将生成的临时信任登录令牌发送至目标客户端。
具体的,第一服务器先将临时信任登录令牌发作为令牌获取请求的反馈信息反馈至第二服务器。再由第二服务将临时信任登录令牌发送至目标客户端。
S2.3:第二服务器接收第一服务器反馈的临时信任登录令牌,将临时信任登录令牌发送至目标客户端。具体的,第二服务器还可以将第一服务器颁发的当前信任登录标识与临时信任登录一起发送至目标客户端。
S1.2:目标客户端接收第二服务器发送的临时信任登录令牌。
S1.3:目标客户端基于接收到的临时信任登录令牌,生成访问该业务页面的页面访问请求并发送至第一服务器,以请求登录第一服务器并访问第一服务器提供的业务页面。
例如:目标客户端可以将接收到的临时信任登录令牌、所要访问的业务ID、当前信任登录标识等信息进行封装,将封装生成的页面访问请求发送至支付APP的第一服务器。
S3.4:第一服务器接收第二服务器对应的目标客户端发送的页面访问请求。
S3.5:第一服务器获取并判断所述页面访问请求中的临时信任登录令牌是否具有访问目标客户端请求访问的业务页面的业务权限。
例如:若页面访问请求中包含临时信任登录令牌、所要访问的业务ID、当前信任登录标识。支付APP的第一服务器可以根据其在先建立的临时信任登录令牌的映射关系表如表一所示,判断临时信任登录令牌与业务ID之间是否满足第一映射关系、临时信任登录令牌与当前信任登录标识之间是否满足第二映射关系。在判断出临时信任登录令牌与业务ID之间满足第一映射关系、临时信任登录令牌与当前信任登录标识之间是否满足第二映射关系时,确认临时信任登录令牌具有访问目标客户端请求访问的业务页面的业务权限;反之,则确认临时信任登录令牌不具有访问目标客户端请求访问的业务页面的业务权限,拒绝页面访问请求。
S3.6:第一服务器若判断出临时信任登录令牌具有访问对应业务页面的业务权限,允许目标客户端信任登录到第一服务器上,返回目标客户端请求访问的业务页面。
在上述实施例中,第一服务器通过颁发临时信任登录令牌来限制第二服务器的目标客户端信任登录后的访问业务页面的权限,有效的保护了第一服务器上的其它业务页面,解决了现有技术中全局通用的信任登录存在的安全问题,提高了信任登录的安全性。与此同时,本申请还通过业务页面返回的方式,可实现第二应用系统到第一应用系统,再到第二应用系统的复杂登录,避免了应用系统与应用系统之间的来回跳转,提升了用户体验。
实施例二
基于同一发明构思,本申请实施例还对应提供一种第一服务器200,如图2所示,该第一服务器200包括:
接收单元21,用于接收第二服务器对应的目标客户端发送的页面访问请求,所述页面访问请求用于请求访问所述第一服务器提供的业务页面;
判断单元22,用于获取并判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限;
访问限制单元23,用于在所述临时信任登录令牌具有访问所述业务页面的业务权限时,允许所述目标客户端信任登录到所述第一服务器上,返回所述目标客户端请求访问的所述业务页面。
其中,所述业务页面为可嵌入加载到所述目标客户端的页面。
作为一种可选的实施方式,所述判断单元22可以用于:判断所述临时信任登录令牌与所述业务页面的业务身份标识之间是否满足第一映射关系;若所述临时信任登录令牌与所述业务身份标识之间满足所述第一映射关系,确定所述临时信任登录令牌具有访问所述业务页面的业务权限。反之,确定所述临时信任登录令牌不具有所述业务权限。
所述判断单元22也可以用于:判断所述临时信任登录令牌与所述业务页面的业务身份标识之间是否满足第一映射关系,及判断所述临时信任登录令牌与所述第一服务器向所述第二服务器颁发的当前信任登录标识之间是否满足第二映射关系;若所述临时信任登录令牌与所述业务身份标识之间满足所述第一映射关系,且所述临时信任登录令牌与所述当前信任登录标识之间满足所述第二映射关系,确定所述临时信任登录令牌具有访问所述业务页面的业务权限。
在判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限之前,所述判断单元22还可以用于:判断所述临时信任登录令牌是否合法,以及判断所述临时信任登录令牌是否过期;若所述临时信任登录令牌合法且未过期,执行判断所述页面访问请求中的临时信任登录令牌是否具有访问所述业务页面的业务权限的操作。
作为一种可选的实施方式,所述接收单元21还可以用于:接收第二服务器发送的令牌获取请求;所述判断单元22还可以用于:基于所述令牌获取请求,判断所述目标客户端是否为授信客户端;相应的,所述第一服务器200还包括:生成单元24,用于在所述目标客户端是授信客户端时,生成所述临时信任登录令牌并设置所述临时信任登录令牌访问页面的业务权限;发送单元25,用于通过所述第二服务器将所述临时信任登录令牌发送至所述目标客户端。
作为一种可选的实施方式,所述判断单元22还可以用于:判断所述令牌获取请求中是否包含所述第一服务器向所述第二服务器颁发的当前信任登录标识;若包含,确定所述目标客户端为授信客户端。或者,判断所述目标客户端在所述第一服务器中是否存在对应的第一客户端;若存在,确定所述目标客户端为授信客户端。
同样的,本申请实施例还提供一种第二服务器300,所述第二服务器为目标客户端的服务端,如图3所示,所述第二服务器300包括:
接收模块31,用于接收所述目标客户端发送的信任登录请求,所述信任登录请求用于请求登录第一服务器并访问所述第一服务器提供的业务页面;
生成模块32,用于基于所述信任登录请求,生成令牌获取请求并通过发送模块33发送至所述第一服务器;
所述接收模块31还用于接收所述第一服务器反馈的临时信任登录令牌,所述临时信任登录令牌具有登录所述第一服务器并访问所述业务页面的业务权限;
所述发送模块33还用于将所述临时信任登录令牌反馈至所述目标客户端,以使所述目标客户端通过所述临时信任登录令牌登录所述第一服务器并访问所述业务页面。
具体的,所述生成模块32,用于:获取所述第一服务器向所述第二服务器颁发的当前信任登录标识,所述当前信任登录标识为获取所述临时信任登录令牌的凭证;将所述当前信任登录标识写入所述访问请求,以生成所述令牌获取请求。
基于上述实施例提供的信任登录方法,本申请实施例还对应提供一种信任登录系统,如图4所示,所述系统包括:
第一服务器200;
第二服务器300;
目标客户端100,用于发送响应用户对目标访问入口的操作,向所述第二服务器300发送信任登录请求,所述信任登录请求用于请求登录所述第一服务器200并访问所述第一服务器200提供的业务页面;接收所述第二服务器300发送的临时信任登录令牌,所述临时信任登录令牌具有访问所述业务页面的业务权限;基于所述临时信任登录令牌,生成访问所述业务页面的访问请求并发送至第一服务器200,以请求登录所述第一服务器200并访问所述业务页面。
关于上述实施例中的装置,其中各个模块、单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。