CN107070880A - 一种单点登录的方法及系统、一种认证中心服务器 - Google Patents
一种单点登录的方法及系统、一种认证中心服务器 Download PDFInfo
- Publication number
- CN107070880A CN107070880A CN201710084420.6A CN201710084420A CN107070880A CN 107070880 A CN107070880 A CN 107070880A CN 201710084420 A CN201710084420 A CN 201710084420A CN 107070880 A CN107070880 A CN 107070880A
- Authority
- CN
- China
- Prior art keywords
- token
- user
- signed
- request
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Abstract
本发明提供了一种单点登录的方法及系统、一种认证中心服务器,该方法,应用于认证中心服务器,包括:接收发起登录请求的系统发来的申请令牌的请求;获取申请令牌的请求对应的用户的用户信息;根据申请令牌的请求,生成令牌;保存令牌的认证信息和用户信息;向发起登录请求的系统发送令牌,以使发起登录请求的系统向要登录到的系统发送令牌;接收要登录到的系统发来的令牌;根据保存的令牌的认证信息,对要登录到的系统发来的令牌进行验证,当令牌通过验证时,允许用户登录到要登录到的系统,向要登录到的系统发送用户信息,以使要登录到的系统根据用户信息创建用户的用户会话。本发明能够提高单点登录的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种单点登录的方法及系统、一种认证中心服务器。
背景技术
随着科技的快速发展,同一个用户可能在多个不同的应用系统中都注册有账号,同一个企业中也一般包括多个应用系统,通过单点登录可以方便用户登录不同的应用系统。
现有技术中,当用户通过门户系统第一次登录某个应用系统时,需要对该用户进行身份认证,当该用户下次登录时,无需再进行身份认证,并且可以直接登录到该门户系统对应的各个应用系统中。举例来说,门户系统对应应用系统A和应用系统B,用户A第一次通过门户系统登录应用系统A时,需要对用户A进行身份认证,通过身份认证后才可以单点登录应用系统A,当用户A下次登录时,无需再进行身份认证,并且,用户A也可以直接通过门户系统单点登录到应用系统B中。
通过上述描述可见,现有技术中单点登录的方案中,非法用户能够轻易利用合法用户第一次登录时的记录访问各个应用系统,安全性较低。
发明内容
本发明实施例提供了一种单点登录的方法及系统、一种认证中心服务器,能够提高单点登录的安全性。
第一方面,本发明实施例提供了一种单点登录的方法,应用于认证中心服务器,包括:
接收发起登录请求的系统发来的申请令牌的请求;
获取所述申请令牌的请求对应的用户的用户信息;
根据所述申请令牌的请求,生成令牌;
保存所述令牌的认证信息和所述用户信息;
向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
接收所述要登录到的系统发来的所述令牌;
根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
进一步地,所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
在所述接收发起登录请求的系统发来的申请令牌的请求之后,进一步包括:
从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:预先设置令牌失效时间长度;
所述根据保存的所述令牌的认证信息,对所述令牌进行验证,包括:
判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
进一步地,在所述接收发起登录请求的系统发来的申请令牌的请求之前,进一步包括:
接收所述用户输入的用户验证信息;
根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
进一步地,该方法进一步包括:当所述令牌通过验证时,销毁所述令牌。
第二方面,本发明实施例提供了一种认证中心服务器,包括:
第一接收单元,用于接收发起登录请求的系统发来的申请令牌的请求;
第一获取单元,用于获取所述申请令牌的请求对应的用户的用户信息;
生成单元,用于根据所述申请令牌的请求,生成令牌;
保存单元,用于保存所述令牌的认证信息和所述用户信息;
发送单元,用于向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
第二接收单元,用于接收所述要登录到的系统发来的所述令牌;
验证单元,用于根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
进一步地,所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
进一步包括:第二获取单元,用于从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:设置单元,用于设置令牌失效时间长度;
所述验证单元,用于判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
进一步地,该认证中心服务器进一步包括:第三接收单元,用于接收所述用户输入的用户验证信息;
身份验证单元,用于根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,触发所述第一接收单元,当所述用户没有通过身份验证时,结束当前流程。
进一步地,所述验证单元,进一步用于当所述令牌通过验证时,销毁所述令牌。
第三方面,本发明实施例提供了一种单点登录的系统,包括:
如第二方面中任一所述的认证中心服务器、至少一个设置有登录请求拦截器的系统;
所述至少一个设置有登录请求拦截器的系统中包括:发起登录请求的系统、要登录到的系统;
所述发起登录请求的系统中的登录请求拦截器,用于向所述认证中心服务器发送申请令牌的请求,接收所述认证中心服务器发来的令牌,将所述令牌发送给所述要登录到的系统;
所述要登录到的系统中的登录请求拦截器,用于拦截所述发起登录请求的系统发来的所述令牌,向所述认证中心服务器发送所述令牌,当接收到所述认证中心服务器发来的用户信息时,根据所述用户信息创建用户会话。
进一步地,所述发起登录请求的系统中的登录请求拦截器,用于接收用户发来的登录所述要登录到的系统的请求,判断所述用户是否已登录所述认证中心服务器,如果是,则执行所述向所述认证中心服务器发送申请令牌的请求,否则,将所述用户重定向至所述认证中心服务器的登录界面,以使所述通过所述登录界面输入用户验证信息;
所述认证中心服务器,进一步用于通过所述登录界面接收所述用户输入的用户验证信息;根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
在本发明实施例中,用户需要登录要登录到的系统时,发起登录请求的系统需要获取认证中服务器发出令牌,将该令牌发送给要登录到的系统,要登录到的系统将接收到的令牌发送给认证中心服务器进行验证,只有通过验证后,要登录到的系统才会针对该用户创建用户会话,实现用户登录到要登录到的系统,如果用户没有令牌,或者令牌没有通过验证,都无法登录到要登录到的系统,提高了单点登录的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种单点登录的方法的流程图;
图2是本发明一实施例提供的另一种单点登录的方法的流程图;
图3是本发明一实施例提供的一种认证中心服务器的示意图;
图4是本发明一实施例提供的另一种认证中心服务器的示意图;
图5是本发明一实施例提供的一种单点登录的系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种单点登录的方法,应用于认证中心服务器,该方法可以包括以下步骤:
步骤101:接收发起登录请求的系统发来的申请令牌的请求;
步骤102:获取所述申请令牌的请求对应的用户的用户信息;
步骤103:根据所述申请令牌的请求,生成令牌;
步骤104:保存所述令牌的认证信息和所述用户信息;
步骤105:向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
步骤106:接收所述要登录到的系统发来的所述令牌;
步骤107:根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
在本发明实施例中,用户需要登录要登录到的系统时,发起登录请求的系统需要获取认证中服务器发出令牌,将该令牌发送给要登录到的系统,要登录到的系统将接收到的令牌发送给认证中心服务器进行验证,只有通过验证后,要登录到的系统才会针对该用户创建用户会话,实现用户登录到要登录到的系统,如果用户没有令牌,或者令牌没有通过验证,都无法登录到要登录到的系统,提高了单点登录的安全性。
在本发明一实施例中,所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
在所述接收发起登录请求的系统发来的申请令牌的请求之后,进一步包括:
从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:预先设置令牌失效时间长度;
所述根据保存的所述令牌的认证信息,对所述令牌进行验证,包括:
判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
在本发明实施例中,通过令牌失效时间长度来限制令牌的有效期,避免令牌一直处于有效的状态,一旦这种令牌被非法用户获取,对单点登录造成很大的安全威胁。通过目标地址来限定令牌的使用范围,使得每个令牌只能登录对应的要登录到的系统,避免同一个令牌可以登录多个系统,对单点登录造成较大的安全威胁。其中,令牌失效时间长度的取值范围可以是[500毫秒,5秒]。例如:令牌失效时间长度为1秒、2秒等。
在本发明一实施例中,在所述接收发起登录请求的系统发来的申请令牌的请求之前,进一步包括:
接收所述用户输入的用户验证信息;
根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
在本发明实施例中,只有通过认证中心服务器的身份验证的用户才有资格获取令牌。通过对身份验证和令牌验证使得单点登录的安全性更高。
在本发明一实施例中,该方法进一步包括:当所述令牌通过验证时,销毁所述令牌。
在本发明实施例中,一个令牌只能使用一次,避免令牌被重复使用,可以降低令牌被非法获取并使用的概率,提高了单点登录的安全。
如图2所示,本发明实施例提供了一种单点登录的方法,该方法应用于认证中心服务器,在本发明实施例中,发起登录请求的系统为系统A,要登录到的系统为系统B。用户需要从系统A单点登录到系统B中。该方法可以包括以下步骤:
步骤201:预先设置令牌失效时间长度。
步骤202:接收系统A发来的申请令牌的请求,该申请令牌的请求包括系统B的目标地址。
具体地,申请令牌的请求可以为:http(s)://认证中心服务器的host地址/asktoken?url=要登录到的系统的地址。
举例来说,申请令牌的请求可以为:http(s)://认证中心服务器的host地址/asktoken?url=目标地址。
步骤203:从申请令牌的请求中获取目标地址。
步骤204:获取申请令牌的请求对应的用户的用户信息。
可以从与系统A建立的会话中获取用户信息。
用户信息可以包括:用户的ID等用于建立用户会话的信息。
步骤205:根据申请令牌的请求,生成令牌。
具体地,可以生成一个GUID(Globally Unique Identifier,全局唯一标识符)格式的字符串,将该字符串作为令牌。
作为令牌返回给发起令牌申请请求的登录请求拦截器。
步骤206:保存令牌的生成时间、目标地址和用户信息。
具体地,可以将与令牌相关的用户信息、令牌的生成时间和目标地址生成一个记录放在等待验证集合中。在保存目标地址时,可以直接保存申请令牌的请求的URL(UniformResoure Locator,统一资源定位器)。
步骤207:向系统A发送令牌,以使系统A向系统B发送令牌。
具体地,系统A可以通过以下格式将令牌发送给系统B:
http(s)://系统B的host地址/sso/令牌。
步骤208:接收系统B发来的令牌。
具体地,系统B接收到系统A发送的令牌后,将该令牌发送给认证中心服务器进行认证。
系统B可以通过以下格式将令牌发送给认证中心服务器:
http(s)://认证中心服务器的host地址/verifytoken/令牌。
步骤209:判断系统B发来的令牌是否满足:接收到系统B发来的令牌的时间与令牌的生成时间的时间差不大于令牌失效时间长度,且保存的目标地址与发来令牌的系统的地址相同,如果是,则执行步骤210,否则,执行步骤211。
具体地,认证中心服务器根据令牌的生成时间对接收到的令牌进行时效性验证,确定该令牌是否有效。认证中心服务器根据保存的目标地址,验证接收到的令牌是否与保存的目标地址相对应。
认证中心服务器可以根据与发来令牌的系统建立的会话确定接收到的令牌的来源,也就是能够确定发送给令牌的系统的地址。
步骤210:向系统B发送用户信息,以使系统B根据用户信息创建用户的用户会话。
具体地,当系统B接收到认证中心服务器发来的用户信息时,则确定认证中心服务器允许用户登录系统B。系统B根据用户信息创建用户会话,使得该用户能够登录到系统B,实现与系统B的交互。
步骤211:禁止用户登录系统B,结束当前流程。
在本发明实施例中,认证中心服务器产生的令牌具有时效性,同时只能用于一个系统的单点登录,认证中心服务器接到令牌验证请求时会验证令牌的时效,并根据发来待验证的令牌的系统的地址验证该系统是否是要登录到的系统。通过这些机制,在实现单点登录的同时,可以避免第三方恶意软件截获令牌并用于其他用途的可能,具有非常高的安全性。
如图3所示,本发明实施例提供了一种认证中心服务器,包括:
第一接收单元301,用于接收发起登录请求的系统发来的申请令牌的请求;
第一获取单元302,用于获取所述申请令牌的请求对应的用户的用户信息;
生成单元303,用于根据所述申请令牌的请求,生成令牌;
保存单元304,用于保存所述令牌的认证信息和所述用户信息;
发送单元305,用于向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
第二接收单元306,用于接收所述要登录到的系统发来的所述令牌;
验证单元307,用于根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
在本发明一实施例中,所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
进一步包括:第二获取单元,用于从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:设置单元,用于设置令牌失效时间长度;
所述验证单元,用于判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
如图4所示,在本发明一实施例中,该认证中心服务器,进一步包括:第三接收单元401,用于接收所述用户输入的用户验证信息;
身份验证单元402,用于根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,触发所述第一接收单元,当所述用户没有通过身份验证时,结束当前流程。
在本发明一实施例中,该认证中心服务器,所述验证单元,进一步用于当所述令牌通过验证时,销毁所述令牌。
本发明实施例提供了一种单点登录的系统,包括:
本发明实施例中任一所述的认证中心服务器、至少一个设置有登录请求拦截器的系统;
所述至少一个设置有登录请求拦截器的系统中包括:发起登录请求的系统、要登录到的系统;
所述发起登录请求的系统中的登录请求拦截器,用于向所述认证中心服务器发送申请令牌的请求,接收所述认证中心服务器发来的令牌,将所述令牌发送给所述要登录到的系统;
所述要登录到的系统中的登录请求拦截器,用于拦截所述发起登录请求的系统发来的所述令牌,向所述认证中心服务器发送所述令牌,当接收到所述认证中心服务器发来的用户信息时,根据所述用户信息创建用户会话。
在本发明实施例中,为每个用户可以单点登录到的系统设置登录请求拦截器,该登录请求拦截器中封装了使用本单点登录的系统实现登录和单点登录所需的操作逻辑,每个用户可以单点登录到的系统经过简单配置即可实现统一认证和单点登录服务,极大的简化了单点登录的实施过程,节约了实施成本。
本发明实施例提供的一种单点登录的系统提供了认证服务和拦截服务,认证服务由认证中心服务器实现,拦截服务由登录请求拦截器来实现。认证服务可以部署成单独的WEB应用,向为每个用户可以单点登录到的系统提供用户认证等服务。
如图5所示,本发明实施例提供了一种单点登录的系统,包括:
本发明实施例中任一所述的认证中心服务器501、发起登录请求的系统502和要登录到的系统503,发起登录请求的系统502中包括登录请求拦截器5021,要登录到的系统503中包括登录请求拦截器5031。
在本发明一实施例中,所述发起登录请求的系统中的登录请求拦截器,用于接收用户发来的登录所述要登录到的系统的请求,判断所述用户是否已登录所述认证中心服务器,如果是,则执行所述向所述认证中心服务器发送申请令牌的请求,否则,将所述用户重定向至所述认证中心服务器的登录界面,以使所述通过所述登录界面输入用户验证信息;
所述认证中心服务器,进一步用于通过所述登录界面接收所述用户输入的用户验证信息;根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
在本发明实施例中,认证中心服务器可以提供账号管理服务、用户验证服务、令牌管理服务。其中,基于账户管理服务,认证中心服务器可以实现对用户的账户进行管理,可以对用户设置需要采用的认证方式。基于用户验证服务,认证中心服务器可以实现对用户进行身份验证,可以提供用户名+密码、CA(Certificate Authority,数字证书认证中心)、USB KEY等多种方式。其中,用输入的用户验证信息可以是用户的账号和密码等。基于令牌管理服务,认证中心服务器可以实现令牌的生成、令牌的验证、令牌的销毁等功能。
在本发明实施例中,当用户通过身份验证时,认证中心服务器中会创建该用户的会话,并把该用户重定向至发起登录请求的系统中的登录请求拦截器,发起登录请求的系统中的登录请求拦截器创建该用户的用户会话并把用户导向至其原先请求的地址。
在本发明实施例中,当用户从一个部署了登录请求拦截器的系统中,单点登录到另一个系统时,这两个系统中必须部署登录请求拦截器。
在本发明实施例中,当用户从一个部署了登录请求拦截器的系统中发起单点登录时,需要向该系统发送一个包含了特定信息的单点登录请求,该特定信息中包含了要单点登录到的系统的地址,以及表示本请求是单点登录请求的标示字符串;该登录请求拦截器拦截到此请求后,会向认证中心服务器请求一个令牌,并把令牌通过一个特定的链接发送给要单点登录到的系统。
其中,用户发的单点登录请求可以通过以下方式实现:
http(s)://发起登录请求的系统的host地址/tokensso?url=要登录到的系统的地址
其中的“tokensso”用户说明该请求是单点登录请求。
在本发明实施例中,登录请求拦截器可以是一个http请求的拦截组件。其主要作用是验证用户是否登录,并调用认证中心服务器完成单点登录。登录请求拦截器封装了第三方系统实现单点登录的所有逻辑。
本发明实施例由于把相关逻辑封装在了登录请求拦截器中,大大减轻了其他系统的应用难度,通过设置即可使用,主要是实施步骤如下:
部署认证中心服务器的web应用,并完成用户初始,和令牌有效性时间设置。
在使用本发明实施例实现单点登录的应用系统bin目录中部署登录请求拦截器dll,并在web.config中添加如下信息:
<httpModules>
<add name="SSOProvider"type="Inspur.SSO.Provider,Inspur.SSO"/>
</httpModules>
本发明实施例提供了一种可读介质,包括执行指令,当存储控制器的处理器执行所述执行指令时,所述存储控制器执行本发明实施例中任一单点登录的方法。
本发明实施例提供了一种存储控制器,包括:处理器、存储器和总线;
所述存储器用于存储执行指令,所述处理器与所述存储器通过所述总线连接,当所述存储控制器运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述存储控制器执行本发明实施例中任一单点登录的方法。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明各个实施例至少具有如下有益效果:
1、在本发明实施例中,用户需要登录要登录到的系统时,发起登录请求的系统需要获取认证中服务器发出令牌,将该令牌发送给要登录到的系统,要登录到的系统将接收到的令牌发送给认证中心服务器进行验证,只有通过验证后,要登录到的系统才会针对该用户创建用户会话,实现用户登录到要登录到的系统,如果用户没有令牌,或者令牌没有通过验证,都无法登录到要登录到的系统,提高了单点登录的安全性。
2、在本发明实施例中,认证中心服务器产生的令牌具有时效性,同时只能用于一个系统的单点登录,认证中心服务器接到令牌验证请求时会验证令牌的时效,并根据发来待验证的令牌的系统的地址验证该系统是否是要登录到的系统。通过这些机制,在实现单点登录的同时,可以避免第三方恶意软件截获令牌并用于其他用途的可能,具有非常高的安全性。
3、在本发明实施例中,为每个用户可以单点登录到的系统设置登录请求拦截器,该登录请求拦截器中封装了使用本单点登录的系统实现登录和单点登录所需的操作逻辑,每个用户可以单点登录到的系统经过简单配置即可实现统一认证和单点登录服务,极大的简化了单点登录的实施过程,节约了实施成本。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃·····”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种单点登录的方法,其特征在于,应用于认证中心服务器,包括:
接收发起登录请求的系统发来的申请令牌的请求;
获取所述申请令牌的请求对应的用户的用户信息;
根据所述申请令牌的请求,生成令牌;
保存所述令牌的认证信息和所述用户信息;
向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
接收所述要登录到的系统发来的所述令牌;
根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
2.根据权利要求1所述的方法,其特征在于,
所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
在所述接收发起登录请求的系统发来的申请令牌的请求之后,进一步包括:
从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:预先设置令牌失效时间长度;
所述根据保存的所述令牌的认证信息,对所述令牌进行验证,包括:
判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
3.根据权利要求1所述的方法,其特征在于,
在所述接收发起登录请求的系统发来的申请令牌的请求之前,进一步包括:
接收所述用户输入的用户验证信息;
根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
4.根据权利要求1-3中任一所述的方法,其特征在于,
进一步包括:当所述令牌通过验证时,销毁所述令牌。
5.一种认证中心服务器,其特征在于,包括:
第一接收单元,用于接收发起登录请求的系统发来的申请令牌的请求;
第一获取单元,用于获取所述申请令牌的请求对应的用户的用户信息;
生成单元,用于根据所述申请令牌的请求,生成令牌;
保存单元,用于保存所述令牌的认证信息和所述用户信息;
发送单元,用于向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
第二接收单元,用于接收所述要登录到的系统发来的所述令牌;
验证单元,用于根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
6.根据权利要求5所述的认证中心服务器,其特征在于,
所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
进一步包括:第二获取单元,用于从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:设置单元,用于设置令牌失效时间长度;
所述验证单元,用于判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
7.根据权利要求5所述的认证中心服务器,其特征在于,
进一步包括:第三接收单元,用于接收所述用户输入的用户验证信息;
身份验证单元,用于根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,触发所述第一接收单元,当所述用户没有通过身份验证时,结束当前流程。
8.根据权利要求5-7中任一所述的认证中心服务器,其特征在于,
所述验证单元,进一步用于当所述令牌通过验证时,销毁所述令牌。
9.一种单点登录的系统,其特征在于,包括:
如权利要求5-8中任一所述的认证中心服务器、至少一个设置有登录请求拦截器的系统;
所述至少一个设置有登录请求拦截器的系统中包括:发起登录请求的系统、要登录到的系统;
所述发起登录请求的系统中的登录请求拦截器,用于向所述认证中心服务器发送申请令牌的请求,接收所述认证中心服务器发来的令牌,将所述令牌发送给所述要登录到的系统;
所述要登录到的系统中的登录请求拦截器,用于拦截所述发起登录请求的系统发来的所述令牌,向所述认证中心服务器发送所述令牌,当接收到所述认证中心服务器发来的用户信息时,根据所述用户信息创建用户会话。
10.根据权利要求9所述的系统,其特征在于,
所述发起登录请求的系统中的登录请求拦截器,用于接收用户发来的登录所述要登录到的系统的请求,判断所述用户是否已登录所述认证中心服务器,如果是,则执行所述向所述认证中心服务器发送申请令牌的请求,否则,将所述用户重定向至所述认证中心服务器的登录界面,以使所述通过所述登录界面输入用户验证信息;
所述认证中心服务器,进一步用于通过所述登录界面接收所述用户输入的用户验证信息;根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710084420.6A CN107070880A (zh) | 2017-02-16 | 2017-02-16 | 一种单点登录的方法及系统、一种认证中心服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710084420.6A CN107070880A (zh) | 2017-02-16 | 2017-02-16 | 一种单点登录的方法及系统、一种认证中心服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107070880A true CN107070880A (zh) | 2017-08-18 |
Family
ID=59621390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710084420.6A Pending CN107070880A (zh) | 2017-02-16 | 2017-02-16 | 一种单点登录的方法及系统、一种认证中心服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107070880A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911363A (zh) * | 2017-11-14 | 2018-04-13 | 福建中金在线信息科技有限公司 | 用户信息保存方法、装置和服务器 |
| CN108769041A (zh) * | 2018-06-06 | 2018-11-06 | 深圳壹账通智能科技有限公司 | 登录方法、系统、计算机设备和存储介质 |
| CN109347864A (zh) * | 2018-11-22 | 2019-02-15 | 杭州迪普科技股份有限公司 | 基于虚拟专用网络的单点登录方法及装置 |
| WO2019095567A1 (zh) * | 2017-11-15 | 2019-05-23 | 平安科技(深圳)有限公司 | 单点登录的校验装置、方法及计算机可读存储介质 |
| CN109802835A (zh) * | 2019-01-25 | 2019-05-24 | 北京中电普华信息技术有限公司 | 一种安全认证方法、系统及api网关 |
| CN109936579A (zh) * | 2019-03-21 | 2019-06-25 | 广东瑞恩科技有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110247907A (zh) * | 2019-06-10 | 2019-09-17 | 深兰科技(上海)有限公司 | 一种多应用平台访问方法、装置及系统 |
| CN110430205A (zh) * | 2019-08-09 | 2019-11-08 | 深圳前海微众银行股份有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110781482A (zh) * | 2019-10-12 | 2020-02-11 | 广州酷旅旅行社有限公司 | 登陆方法、装置、计算机设备和存储介质 |
| CN110855640A (zh) * | 2019-10-30 | 2020-02-28 | 北京市天元网络技术股份有限公司 | 基于cas的登录凭证销毁方法以及装置 |
| CN111949955A (zh) * | 2020-07-30 | 2020-11-17 | 山东英信计算机技术有限公司 | web系统单点登录方法、装置、设备及可读存储介质 |
| CN112087425A (zh) * | 2020-07-30 | 2020-12-15 | 山东浪潮通软信息科技有限公司 | 一种erp软件系统的登录方法、设备和介质 |
| CN112104641A (zh) * | 2020-09-11 | 2020-12-18 | 中国联合网络通信集团有限公司 | 登录形式转换方法、装置、存储介质及电子设备 |
| CN112231691A (zh) * | 2020-09-29 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种设备登录方法、装置及系统 |
| CN112328991A (zh) * | 2020-11-06 | 2021-02-05 | 广州朗国电子科技有限公司 | 基于人脸识别的跨系统单点登录方法及存储介质 |
| CN112364334A (zh) * | 2020-11-09 | 2021-02-12 | 成都卫士通信息产业股份有限公司 | 单点登录方法、装置及电子设备和存储介质 |
| CN112685719A (zh) * | 2020-12-29 | 2021-04-20 | 武汉联影医疗科技有限公司 | 单点登录方法、装置、系统、计算机设备和存储介质 |
| CN113055371A (zh) * | 2021-03-09 | 2021-06-29 | 上海明略人工智能(集团)有限公司 | 一种物联tcp设备登录认证方法和系统 |
| CN113536250A (zh) * | 2021-06-02 | 2021-10-22 | 上海硬通网络科技有限公司 | 令牌生成方法、登录验证方法及相关设备 |
| US11159512B1 (en) | 2020-05-21 | 2021-10-26 | Citrix Systems, Ine. | Cross device single sign-on |
| CN113569274A (zh) * | 2021-06-07 | 2021-10-29 | 飞友科技有限公司 | 一种免注册登录的表单填写方法及装置 |
| CN114143053A (zh) * | 2021-11-24 | 2022-03-04 | 国云科技股份有限公司 | 一种第三方服务登录方法、装置、终端设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080059804A1 (en) * | 2006-08-22 | 2008-03-06 | Interdigital Technology Corporation | Method and apparatus for providing trusted single sign-on access to applications and internet-based services |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
| CN102624720A (zh) * | 2012-03-02 | 2012-08-01 | 华为技术有限公司 | 一种身份认证的方法、装置和系统 |
| CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
| CN104378376A (zh) * | 2014-11-18 | 2015-02-25 | 深圳中兴网信科技有限公司 | 基于soa的单点登录方法、认证服务器和浏览器 |
-
2017
- 2017-02-16 CN CN201710084420.6A patent/CN107070880A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080059804A1 (en) * | 2006-08-22 | 2008-03-06 | Interdigital Technology Corporation | Method and apparatus for providing trusted single sign-on access to applications and internet-based services |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
| CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
| CN102624720A (zh) * | 2012-03-02 | 2012-08-01 | 华为技术有限公司 | 一种身份认证的方法、装置和系统 |
| CN104378376A (zh) * | 2014-11-18 | 2015-02-25 | 深圳中兴网信科技有限公司 | 基于soa的单点登录方法、认证服务器和浏览器 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911363A (zh) * | 2017-11-14 | 2018-04-13 | 福建中金在线信息科技有限公司 | 用户信息保存方法、装置和服务器 |
| WO2019095567A1 (zh) * | 2017-11-15 | 2019-05-23 | 平安科技(深圳)有限公司 | 单点登录的校验装置、方法及计算机可读存储介质 |
| CN108769041A (zh) * | 2018-06-06 | 2018-11-06 | 深圳壹账通智能科技有限公司 | 登录方法、系统、计算机设备和存储介质 |
| CN109347864A (zh) * | 2018-11-22 | 2019-02-15 | 杭州迪普科技股份有限公司 | 基于虚拟专用网络的单点登录方法及装置 |
| CN109802835A (zh) * | 2019-01-25 | 2019-05-24 | 北京中电普华信息技术有限公司 | 一种安全认证方法、系统及api网关 |
| CN109936579A (zh) * | 2019-03-21 | 2019-06-25 | 广东瑞恩科技有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110247907A (zh) * | 2019-06-10 | 2019-09-17 | 深兰科技(上海)有限公司 | 一种多应用平台访问方法、装置及系统 |
| CN110430205A (zh) * | 2019-08-09 | 2019-11-08 | 深圳前海微众银行股份有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110781482A (zh) * | 2019-10-12 | 2020-02-11 | 广州酷旅旅行社有限公司 | 登陆方法、装置、计算机设备和存储介质 |
| CN110781482B (zh) * | 2019-10-12 | 2021-06-18 | 广州酷旅旅行社有限公司 | 登陆方法、装置、计算机设备和存储介质 |
| CN110855640A (zh) * | 2019-10-30 | 2020-02-28 | 北京市天元网络技术股份有限公司 | 基于cas的登录凭证销毁方法以及装置 |
| US11743247B2 (en) | 2020-05-21 | 2023-08-29 | Citrix Systems, Inc. | Cross device single sign-on |
| WO2021232347A1 (en) * | 2020-05-21 | 2021-11-25 | Citrix Systems, Inc. | Cross device single sign-on |
| US11159512B1 (en) | 2020-05-21 | 2021-10-26 | Citrix Systems, Ine. | Cross device single sign-on |
| CN112087425A (zh) * | 2020-07-30 | 2020-12-15 | 山东浪潮通软信息科技有限公司 | 一种erp软件系统的登录方法、设备和介质 |
| CN112087425B (zh) * | 2020-07-30 | 2022-11-29 | 浪潮通用软件有限公司 | 一种erp软件系统的登录方法、设备和介质 |
| CN111949955A (zh) * | 2020-07-30 | 2020-11-17 | 山东英信计算机技术有限公司 | web系统单点登录方法、装置、设备及可读存储介质 |
| CN111949955B (zh) * | 2020-07-30 | 2022-06-17 | 山东英信计算机技术有限公司 | web系统单点登录方法、装置、设备及可读存储介质 |
| CN112104641A (zh) * | 2020-09-11 | 2020-12-18 | 中国联合网络通信集团有限公司 | 登录形式转换方法、装置、存储介质及电子设备 |
| CN112104641B (zh) * | 2020-09-11 | 2022-07-29 | 中国联合网络通信集团有限公司 | 登录形式转换方法、装置、存储介质及电子设备 |
| CN112231691A (zh) * | 2020-09-29 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种设备登录方法、装置及系统 |
| CN112328991A (zh) * | 2020-11-06 | 2021-02-05 | 广州朗国电子科技有限公司 | 基于人脸识别的跨系统单点登录方法及存储介质 |
| CN112364334A (zh) * | 2020-11-09 | 2021-02-12 | 成都卫士通信息产业股份有限公司 | 单点登录方法、装置及电子设备和存储介质 |
| CN112685719A (zh) * | 2020-12-29 | 2021-04-20 | 武汉联影医疗科技有限公司 | 单点登录方法、装置、系统、计算机设备和存储介质 |
| CN113055371A (zh) * | 2021-03-09 | 2021-06-29 | 上海明略人工智能(集团)有限公司 | 一种物联tcp设备登录认证方法和系统 |
| CN113536250A (zh) * | 2021-06-02 | 2021-10-22 | 上海硬通网络科技有限公司 | 令牌生成方法、登录验证方法及相关设备 |
| CN113536250B (zh) * | 2021-06-02 | 2023-07-04 | 上海硬通网络科技有限公司 | 令牌生成方法、登录验证方法及相关设备 |
| CN113569274A (zh) * | 2021-06-07 | 2021-10-29 | 飞友科技有限公司 | 一种免注册登录的表单填写方法及装置 |
| CN114143053A (zh) * | 2021-11-24 | 2022-03-04 | 国云科技股份有限公司 | 一种第三方服务登录方法、装置、终端设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107070880A (zh) | 一种单点登录的方法及系统、一种认证中心服务器 | |
| US10757225B2 (en) | Secure client-server communication | |
| US8615794B1 (en) | Methods and apparatus for increased security in issuing tokens | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| CN104219316B (zh) | 一种分布式系统中的调用请求处理方法及装置 | |
| CN110351228A (zh) | 远程登录方法、装置和系统 | |
| CN106936853A (zh) | 一种面向系统集成的跨域单点登录系统及方法 | |
| CN106470190A (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| WO2016173199A1 (zh) | 一种移动应用单点登录方法及装置 | |
| CN106487774A (zh) | 一种云主机服务权限控制方法、装置和系统 | |
| CN102469075A (zh) | 一种基于web单点登录的集成认证方法 | |
| CN106341428A (zh) | 一种跨域访问控制方法和系统 | |
| CN106790272A (zh) | 一种单点登录的系统及方法、一种应用服务器 | |
| CN105897757B (zh) | 授权认证系统及授权认证方法 | |
| CN112997153A (zh) | 用于经由嵌入式浏览器跨不同的saas应用的一致的执行策略的系统和方法 | |
| CN111092910B (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
| CN108234509A (zh) | 基于tee和pki证书的fido认证器、认证系统及方法 | |
| CN103747076B (zh) | 云平台的访问方法和装置 | |
| CN110311926A (zh) | 一种应用访问控制方法、系统和介质 | |
| CN106331003A (zh) | 一种云桌面上应用门户系统的访问方法及装置 | |
| CN102271136A (zh) | Nat网络环境下的访问控制方法和设备 | |
| CN109040069A (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
| CN105354482A (zh) | 一种单点登录方法及装置 | |
| CN109726531A (zh) | 一种基于区块链智能合约的营销终端安全管控方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170818 |