CN107769930A - 一种认证方式转接方法及装置 - Google Patents
一种认证方式转接方法及装置 Download PDFInfo
- Publication number
- CN107769930A CN107769930A CN201711158313.XA CN201711158313A CN107769930A CN 107769930 A CN107769930 A CN 107769930A CN 201711158313 A CN201711158313 A CN 201711158313A CN 107769930 A CN107769930 A CN 107769930A
- Authority
- CN
- China
- Prior art keywords
- token
- module
- information
- party
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种认证方式转接的方法及装置,属于通信领域,该方法包括:第三方应用发送访问请求给强化身份认证系统,强化身份认证系统判断访问请求中是否带有令牌并且令牌有效,如果是,发送相应资源给浏览器;如果不带有令牌,查询指定认证方,重定向浏览器到指定认证方,接收用户信息,指定认证方对用户信息进行认证,认证通过,强化身份认证系统生成令牌发送给第三方应用,返回开始步骤;认证不通过,强化身份认证系统返回认证未通过信息给第三方应用,第三方应用发送令牌无效信息给浏览器,返回开始步骤。本发明通过接入不同认证系统实现了支持多种认证方式,认证方式可以灵活切换,并且切换认证方式的时候不影响应用系统的效果。
Description
技术领域
本发明属于通信领域,特别涉及一种认证方式转接的方法及装置。
背景技术
身份认证一般与授权控制是相互联系的,授权控制是指一旦用户的身份通过认证以后,确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在一个数字化的工作体系中,应该有一个统一的身份认证系统供各应用系统使用,授权也是由同一认证平台管理。
但是,目前用户经常并不想通过在第三方应用的注册来登录第三方应用,而是通过第三方认证的方式使得用户成功登录第三方应用。
目前,存在对统一认证平台支持多种认证方式灵活切换的需求。
发明内容
本发明通过接入不同认证系统实现了支持多种认证方式,认证方式可以灵活切换,并且切换认证方式的时候不影响应用系统的效果。
根据本发明,提供一种认证方式转接的方法,包括:
步骤a1:第三方应用接收用户通过浏览器发送的访问请求,发送所述访问请求给强化身份认证系统;
步骤b1:所述强化身份认证系统判断所述访问请求中是否带有令牌,如果是,执行步骤c1;否则,发送令牌无效信息给所述第三方应用,执行步骤f1;
步骤c1:所述强化身份认证系统判断所述令牌是否有效,如果是,发送令牌有效信息给所述第三方应用,执行步骤d1;否则,执行步骤e1;
步骤d1:所述第三方应用接收到所述令牌有效信息时,根据所述令牌和访问请求中的信息返回相应的资源给浏览器,结束;
步骤e1:所述强化身份认证系统查询第三方应用注册时填写的指定认证方,发送询问用户登录状态请求给所述指定认证方,接收所述指定认证方返回的询问用户登录状态响应,判断所述用户是否为登录状态,如果是,执行步骤h1;否则,发送用户未登录信息给第三方应用,执行步骤f1;
步骤f1:所述强化身份认证系统重定向浏览器到指定认证方认证界面,接收用户信息,发送用户信息给指定认证方;
步骤g1:所述指定认证方对用户信息进行认证,判断所述用户信息认证是否认证通过,如果认证通过,根据认证结果对用户登录状态进行更新,返回认证通过信息给所述强化身份认证系统,执行步骤h1;如果认证未通过,根据认证结果对用户登录状态进行更新,返回认证未通过信息给所述强化身份认证系统,所述强化身份认证系统返回身份认证失败信息给所述第三方应用,所述第三方应用发送令牌无效信息给浏览器,返回步骤a1;
步骤h1:所述强化身份认证系统生成令牌,并发送所述令牌给所述第三方应用,所述第三方应用发送所述令牌给浏览器,返回所述步骤a1。
根据本发明,还提供一种认证方式转接的装置,包括:
第三方应用、强化身份认证系统、指定认证方;
其中,所述第三方应用具体包括:
第一接收模块,用于接收用户通过浏览器发送的访问请求,还用于接收所述强化身份认证系统返回的令牌有效或者无效信息;还用于接收身份认证失败信息;还用于接收用户登录状态信息;
第一发送模块,用于当所述第一接收模块接收到所述访问请求时,将所述访问请求发送给所述强化身份认证系统;
第一返回模块,用于当所述第一接收模块接收到所述令牌有效信息时,根据所述令牌和访问请求中的信息返回相应的资源给浏览器;
第二发送模块,用于发送令牌无效信息给浏览器,还用于发送应用标识无效信息给浏览器;
第六发送模块,当接收到所述强化身份认证系统发送的令牌时,发送所述令牌给浏览器;
所述强化身份认证系统具体包括:
第一判断模块,用于判断所述第三方应用发送的访问请求中是否带有令牌;
第二判断模块,用于当所述第一判断模块判定当所述访问请求中带有令牌时,判断所述令牌是否有效;
查询模块,用于当所述第二判断模块判定所述令牌无效时,查询所述第三方应用注册时填写的指定认证方;
第三发送模块,用于当所述第二判断模块判定所述令牌有效时发送令牌有效信息给所述第三方应用;还用于当所述第二判断模块判断出所述令牌有效时,发送令牌有效信息给所述第三方应用;还用于当所述查询模块查询出所述第三方应用注册时填写的指定认证方时,发送询问用户登录状态请求给所述指定认证方;
第二接收模块,用于接收所述指定认证方返回的询问用户登录状态响应;
第三判断模块,用于当所述第二接收模块接收到所述指定认证方返回的所述询问用户登录状态响应时,判断所述用户是否为登录状态;
所述第三发送模块还用于当所述第三判断模块判断为用户未登陆时,发送用户未登陆信息给所述第三方应用;
重定向模块,用于当所述第三判断模块判断出所述用户未登录时,重定向浏览器到指定认证方界面;还用于当所述第一判断模块判定所述访问请求中不带有令牌时,重定向浏览器到指定认证方界面;
第三接收模块,用于当所述重定向模块重定向浏览器到所述指定认证方界面时,接收用户信息;还用于接收指定认证方返回的用户信息认证通过信息或用户信息认证未通过信息;
第四发送模块,用于当所述第三接收模块接收到用户信息时,发送所述用户信息给所述指定认证方;
第一生成模块,用于当所述第三判断模块判定用户为登陆状态时,生成令牌;还用于当所述第三接收模块接收到指定认证方发送的认证通过信息时,生成令牌;
第二返回模块,用于当所述第三接收模块接收到认证未通过信息时,返回身份认证失败信息给所述第三方应用;
第五发送模块,用于当所述第一生成模块生成所述令牌时,发送所述令牌给所述第三方应用;
所述指定认证方具体包括:
第四接收模块,用于接收所述强化身份认证系统发送的询问用户登录状态请求;还用于接收所述强化身份认证系统发送的用户信息;
认证模块,用于当所述第四接收模块接收到所述强化身份认证系统发送的用户信息时,对所述用户信息进行认证,并判断所述用户信息是否认证通过;
更新模块,用于当所述认证模块判断所述用户信息认证通过时,根据认证结果对用户登录状态进行更新;还用于当所述认证模块判断所述用户信息认证未通过时,根据认证结果对所述用户登录状态进行更新;
第三返回模块,用于当所述认证模块判定所述用户信息认证通过时,返回认证通过信息给所述强化身份认证系统;还用于当所述认证模块判定所述用户信息认证未通过时,返回认证未通过信息给所述强化身份认证系统。
和现有技术相比,本发明通过接入不同认证系统实现了支持多种认证方式,认证方式可以灵活切换,并且切换认证方式的时候不影响应用系统的效果,可以更加便捷和灵活;另外,本发明中,第三方应用不需要建立认证系统,因此更加便捷和节省资源。
附图说明
图1为本发明实施例1提供的一种认证方式转接的方法的流程图;
图2为本发明实施例2提供的一种认证方式转接的方法的流程图;
图3为本发明实施例3提供的一种强化身份认证系统的工作方法的流程图;
图4为本发明实施例4提供的一种认证方式转接的装置的方框图;
图5为本发明实施例5提供的一种强化身份认证系统的方框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互结合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
实施例1
本实施例1提供一种认证方式转接的方法,如图1所示,包括:
步骤s101:浏览器发送访问请求给第三方应用,第三方应用接收访问请求,并发送访问请求给强化身份认证系统。
具体地,用户通过浏览器向第三方应用发送访问请求;其中访问请求中可以包括:GET/resourcesAPI/
Host:localhostExample:8000
其中,/resourcesAPI/为资源地址;localhostExample:8000为主机地址。
步骤s102:强化身份认证系统判断访问请求中是否带有令牌,如果是,执行步骤s103;否则,发送访问请求中不带令牌信息给第三方应用,执行步骤s109。
例如,强化身份认证系统接收到的访问请求具体为:
GET/resourcesAPI/HTTP/1.1
Host:localhostExample:8000
Token:2YotnFZFEjr1zCsicMWpAA
其中,/resourcesAPI/为资源地址,2YotnFZFEjr1zCsicMWpAA为访问令牌;则强化身份认证系统判定访问请求中带有令牌则发送令牌给强化身份认证系统,执行步骤s103;
步骤s103:强化身份认证系统判断令牌是否存在于强化身份认证系统分发的令牌列表,如果是,执行步骤s104;否则,发送令牌无效信息给第三方应用,第三方应用发送令牌无效信息给浏览器,执行步骤s109。
步骤s104:强化身份认证系统判断令牌是否过期,如果没过期,强化身份认证系统发送令牌有效信息给第三方应用,执行步骤s105;如果过期,执行步骤s106。
步骤s105:第三方应用根据访问请求中的信息和令牌以及预设策略返回相应的资源给浏览器,浏览器获取资源,结束。
例如,本实施例中,访问请求中的包含信息具体如下:
POST/resourcesAPI/username/
HTTP/1.1
Host:localhostExample:8000
Authorization:2YotnFZFEjr1zCsicMWpAA
其中,username为用户名标识,2YotnFZFEjr1zCsicMWpAA为访问令牌;
第三方应用根据/resourcesAPI/username/和2YotnFZFEjr1zCsicMWpAA向浏览器返回用户标识。
步骤s106:强化身份认证系统提取令牌中的用户标识、应用标识以及指定认证方等信息,然后向指定认证方发送询问用户登录状态请求。
步骤s107:指定认证方判断用户的登录状态,并生成询问用户登录状态的响应,返回询问用户登录状态响应给强化身份认证系统。
步骤s108:强化身份认证系统根据指定认证方返回的询问用户登录状态响应判断用户是否登录,如果是,执行步骤s117,如果否,发送用户未登录信息给第三方应用,执行步骤s109。
步骤s109:第三方应用根据应用标识符生成第一认证请求,并向强化身份认证系统发出第一认证请求。
具体地,应用标识符为第三方应用在强化身份认证系统注册时自动生成的,应用标识符具体为由数字和字符组成的字符串。
具体地,第一认证请求为获取符合Oauth2.0协议的认证URL;
本实施例中,第一认证请求可以为:
GET/auth/Oauth/
HTTP/1.1
Host:localhostExample:8000
ClientID:2YotnFZFEjr1zCsicMWpAA
auth/OTP/为第三方应用实现的认证请求,2YotnFZFEjr1zCsicMWpAA为应用标识符。
步骤s110:强化身份认证系统根据第一认证请求中的应用标识符判断第三方应用是否注册,如果是,执行步骤s111;否则,发送应用标识符无效信息给第三方应用,第三方应用发送应用标识无效信息给浏览器,返回步骤s101。
步骤s111:强化身份认证系统根据应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成符合注册协议的第一认证请求响应,并将第一认证请求响应返回给第三方应用。
具体地,强化身份认证系统根据应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成符合Oauth2.0协议的认证URL请求,并将符合Oauth2.0协议的认证URL请求返回给第三方应用。
其中,第三方应用在强化身份认证系统中进行注册;强化身份认证系统中预存有第三方应用的应用标识符、应用密码和重定向URL。
例如:第一认证请求响应为/authorize?response_type=code&client_id=s6BhdRkqt3&redirect_uri=https://client.e xample.com/cb&scope=username&userAvatarHTTP/1.1
Host:server.example.com
其中,response_type=code表示授权请求类型是请求授权码;client_id=s6BhdRkqt3表示应用标识符为s6BhdRkqt3;redirect_uri=https://client.example.com/cb表示第一重定向URL为https://client.example.com/cb;scope=username&userAvatar表示第一访问权限列表为userinfo、userinfo即用户信息标识,userAvatar即用户头像标识。
若第一认证请求响应中没有第一访问权限列表scope参数则表明第三方应用请求访问的资源为授权服务器中自定义的访问权限列表。第一认证请求响应中还包括:状态值state;
步骤s112:第三方应用根据第一认证请求响应和第一访问权限列表生成第二认证请求,发送包含应用标识符和第一访问权限列表的第二认证请求给强化身份认证系统。
其中,第一访问权限列表为第三方应用定义的权限列表。
具体地,第三方认证根据完整认证URL请求和第一访问权限列表生成第二认证请求,发送包含应用标识符和第一访问权限列表的第二认证请求给强化身份认证系统。
步骤s113:强化身份认证系统根据应用标识符查询第三方应用注册时填写的指定认证方,重定向浏览器到指定认证方的认证界面。
例如,强化身份认证系统根据应用标识符查询第三方应用注册时填写的指定认证方为FTOTP(http://192.168.0.36:8083/cas/login?service=http://192.168.26.21: 8000/'),并重定向浏览器到指定认证方的认证界面。
步骤s114:浏览器显示指定认证方的认证页面,并接收用户信息并将用户信息发送给指定认证方。
步骤s115:指定认证方接收用户信息,对用户信息进行认证,判断是否认证通过,并根据认证结果更新用户登录状态,如果认证通过,返回认证通过信息,执行步骤s116;否则,返回认证未通过信息给强化身份认证系统,强化身份认证系统发送认证失败信息给第三方应用,第三方应用返回令牌无效信息给浏览器,返回步骤s101。
其中,认证结果中包含用户信息。
步骤s116:强化身份认证系统保存用户信息,完成分发授权码,鉴别授权码等操作。
具体地,步骤s116包括:
步骤s116-1:强化身份认证系统接收第二访问权限列表,并生成授权码和授权码过期时间,并将应用标识符、授权码和第二访问权限列表对应储存;
本实施例中,若用户同意第三方应用访问用户名和用户头像,则第二访问权限列表具体包括username和userAvatar;
第二访问权限列表为根据强化身份认证自定义生成的权限列表,去除第一权限列表中强化身份认证系统中未定义的元素,即强化身份认证自定义生成的权限列表和第一权限列表的交集。
授权码可以为强化身份认证系统分配的随机字符串,本实施例中的授权码为SplxlOBeZQQYbYS6WxSbIA。
步骤s116-2:强化身份认证系统根据预存的重定向URL向第三方应用回传授权码。
具体地,强化身份认证系统将预存的重定向URL与授权码顺序拼接生成第二重定向URL。授权服务器重定向到第二重定向URL;
具体为:
HTTP/1.1302 Found
Location:https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
其中,code授权码为SplxlOBeZQQYbYS6WxSbIA。
步骤s116-3:第三方应用将应用标识符和应用密码通过预设加密运算进行加密生成应用密文信息。
本实施例中,应用密码信息为第三方应用注册时根据第三方应用的id和secret自动生成;第三方应用通过BasicAuthentication机制将应用标识符和应用密码生成应用密文信息。
步骤s116-4:第三方应用根据应用密文信息、第一重定向URL和授权码生成获取访问令牌请求,并将生成的获取访问令牌请求发送给强化身份认证系统。
获取授权令牌请求是通过JSON格式发送,具体为:
POST/token HTTP/1.1
Host:server.example.com
Authorization:Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type:application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https://client.example.com/cb
其中,Authorization授权参数为Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW,其中,Basic为[RFC2617]定义的HTTP Basic验证机制;czZCaGRSa3F0MzpnWD FmQmF0M2JW为通过BasicAuthentication机制将应用标识符和应用密码生成密文应用信息。grant_type授权类型为authorization_code,即授权码模式,code授权码为SplxlOBeZQQYbYS6WxSbIA,redirect_uri重定向URL为https://client.example.com/cb;
步骤s116-5:强化身份认证系统从接收到的获取访问令牌请求中获取应用密文信息,并对应用密文信息进行解密得到应用标识符和应用密码。
步骤s116-6:强化身份认证系统根据应用标识符和应用密码判断第三方应用是否合法,如果是,执行步骤s116-7;否则,发送认证失败信息给第三方应用,结束。
步骤s116-7:强化身份认证系统判断是否可以在强化身份认证系统里查询到与第一重定向URL和授权码匹配的信息,如果是,执行步骤s116-8;否则,发送认证失败信息给第三方应用,结束。
步骤s116-8:强化身份认证系统根据授权码获取授权码过期时间,并判断授权码是否过期,如果过期,发送授权码过期信息给第三方应用,结束;如果没过期,执行步骤s116-9;
具体地,本实施例中,强化身份认证系统获取强化身份认证系统的当前时间,判断授权码过期时间是否晚于强化身份认证系统当前时间,如果是,强化身份认证系统判定授权码没过期,执行步骤s117;否则,强化身份认证系统判定授权码过期,向第三方应用返回授权码过期信息,结束。
步骤s117:强化身份认证生成包含令牌的响应,并发送包含令牌的响应给第三方应用。
步骤s117-1:强化身份认证系统生成访问令牌、令牌过期时间,根据授权码获取第二访问权限列表,将访问令牌、第二访问权限列表和访问令牌过期时间对应储存。
步骤s117-2:强化身份认证系统根据访问令牌、访问令牌过期时间生成获取访问令牌响应,并将获取访问令牌响应发送给第三方应用。
访问令牌可以为强化身份认证系统分配的随机字符串,本实施例中的访问令牌具体为tGzv3JOkF0XG5Qx2TlKWIA;
本实施例中的访问令牌、令牌类型、过期时间等信息是通过JSON格式发送的;获取访问令牌响应具体为:
HTTP/1.1200 OK
Content-Type:application/json;charset=UTF-8
Cache-Control:no-store
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
}
强化身份认证系统生成的访问令牌access_token具体为2YotnFZFEjr1zCsicMWpAA;令牌类型token_type为example;过期时间expires_in为3600s,表明访问令牌自强化身份认证系统产生的时刻起,将在3600s之后过期。
步骤s118:第三方应用发送令牌给浏览器,返回步骤s101。
实施例2
本实施例2提供一种认证方式转接的方法,如图2所示,包括:
步骤s201:浏览器发送访问请求给第三方应用。
具体地,浏览器向第三方应用发送访问请求;其中访问请求中包括:GET/resourcesAPI/
Host:localhostExample:8000
其中,/resourcesAPI/为资源地址;localhostExample:8000为主机地址。
步骤s202:第三方应用判断访问请求中是否带有用户身份凭证(OpenID)令牌,如果是,发送OpenID令牌给强化身份认证系统;否则,执行步骤s209。
例如:第三方应用接收到的访问请求具体为:
GET/resourcesAPI/HTTP/1.1
Host:localhostExample:8000
IDToken:2YotnFZFEjr1zCsicMWpAA
其中,/resourcesAPI/为资源地址,2YotnFZFEjr1zCsicMWpAA为OpenID令牌;说明访问请求中包含令牌,则发送令牌给强化身份认证系统。
步骤s203:强化身份认证系统判断OpenID令牌是否在强化身份认证系统OpenID令牌的列表中,如果是,执行步骤s204;否则,强化身份认证系统发送OpenID令牌无效信息给第三方应用,第三方应用发送令牌无效信息给浏览器,结束。
具体地,强化身份认证系统通过是否可以在后台OpenID令牌列表中查询到来判断OpenID令牌是否合法,如果可以查询到,说明OpenID令牌合法;否则,说明OpenID令牌不合法。
步骤s204:强化身份认证系统判断OpenID令牌是否过期,如果是,执行步骤s205;否则,发送OpenID令牌有效信息给第三方应用,执行步骤s208。
步骤s205:强化身份认证系统根据OpenID令牌应用标识和指定认证方信息查询指定认证方,并向指定认证方发送询问用户登录状态请求。
步骤s206:指定认证方验证OpenID令牌代表的用户的登录状态,生成询问用户登录状态响应,返回询问用户登录状态响应给强化身份认证系统。
步骤s207:强化身份认证系统根据返回的询问用户登录状态响应判断OpenID令牌是否有效,如果是,发送OpenID令牌有效信息给第三方应用,执行步骤s208;否则,发送OpenID令牌无效信息给第三方应用,执行步骤s209;
步骤s208:第三方应用根据访问请求中的信息、令牌以及预设策略,返回相应的资源给浏览器,浏览器获取资源,结束。
例如,本实施例中,访问请求中的包含信息具体如下:
POST/resourcesAPI/username/
HTTP/1.1
Host:localhostExample:8000
Authorization:2YotnFZFEjr1zCsicMWpAA
Username为用户名标识,2YotnFZFEjr1zCsicMWpAA为OpenID令牌;
第三方应用根据/resourcesAPI/username/和2YotnFZFEjr1zCsicMWpAA向浏览器返回用户标识。
步骤s209:第三方应用根据应用标识符生成第一认证请求,并发送第一认证请求给强化身份认证系统。
具体地,应用标识符为第三方应用在强化身份认证系统注册时自动生成的,应用标识符具体为由数字和字符组成的字符串。
具体地,第一认证请求为获取完整的认证URL的请求;
本实施例中,第一认证请求可以为:
GET/auth/Oauth/
HTTP/1.1
Host:localhostExample:8000
ClientID:2YotnFZFEjr1zCsicMWpAA
auth/OTP/为第三方应用实现的认证请求,2YotnFZFEjr1zCsicMWpAA为应用标识。
步骤s210:强化身份认证系统根据第一认证请求中的应用标识符判断第三方应用是否注册,如果是,执行步骤s211;否则,发送应用标识符无效信息给第三方应用,第三方应用发送应用标识无效信息给浏览器,返回步骤201。
步骤s211:强化身份认证系统根据应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成符合注册协议的第一认证请求响应,并将第一认证请求响应发送给第三方应用。
步骤s212:第三方应用根据符合协议的第一认证请求响应和第一访问权限列表生成第二认证请求,发送包含应用标识符和第一访问权限列表的第二认证请求给强化身份认证系统。
具体地,第三方认证根据完整认证URL请求和第一访问权限列表生成第二认证请求,发送包含应用标识符和第一访问权限列表的第二认证请求给强化身份认证系统。第一权限列表范围应包含OpenID令牌。
步骤s213:强化身份认证系统根据应用标识符查询第三方应用注册的指定认证方,并重定向浏览器到指定认证方的认证界面。
例如,强化身份认证系统根据应用标识符查询第三方应用注册时填写的指定认证方为FTOTP
(http://192.168.0.36:8083/cas/login?service=http://192.168.26.21: 8000/'),并重定向到指定认证方。
步骤s214:浏览器显示定向身份认证页面,并接收用户信息,接收到用户信息后,将用户认证信息返回给指定认证方。
步骤s215:指定认证方接收用户信息,并对用户信息进行认证,判断是否认证通过,如果是,发送身份认证通过信息给强化身份认证系统,执行步骤s216;否则,发送认证未通过信息给强化身份认证系统,强化认证信息发送身份认证失败信息给第三方应用,第三方应用发送OpenID令牌无效信息给浏览器,返回步骤s201。
其中,认证结果中包含具体用户信息。
步骤s216:强化身份认证系统保存用户信息,完成分发授权码,鉴别授权码,分发访问令牌和OpenID令牌,生成返回OpenID令牌的响应,并发送OpenID令牌给第三方应用,第三方应用重定向至步骤s201。
具体地,步骤s216包括:
步骤s216-1:强化身份认证系统接收第二访问权限列表,并生成授权码和授权码过期时间,并将应用标识符、授权码和第二访问权限列表对应储存;
本实施例中,第二访问权限列表为根据强化身份认证自定义生成的权限列表,去除第一权限列表中强化身份认证系统中未定义的元素,即强化身份认证自定义生成的权限列表和第一权限列表的交集。第一访问权限列表具体包括OpenID令牌;
授权码可以为强化身份认证系统分配的随机字符串,本实施例中的code授权码为SplxlOBeZQQYbYS6WxSbIA。
步骤s216-2:强化身份认证系统根据预存的重定向URL向第三方应用回传授权码。
具体地,强化身份认证系统将预存的重定向URL与授权码顺序拼接生成第二重定向URL。授权服务器重定向到第二重定向URL;
具体为:
HTTP/1.1302 Found
Location:https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
其中,code授权码为SplxlOBeZQQYbYS6WxSbIA。
步骤s216-3:第三方应用将应用标识符和应用密码通过预设加密运算进行加密生成应用密文信息。
本实施例中,应用密码为第三方应用注册时根据第三方应用的id和secret自动生成;第三方应用通过Basic Authentication机制将应用标识符和应用密码生成应用密文信息。
步骤s216-4:第三方应用根据应用密文信息、第一重定向URL和授权码生成获取访问OpenID令牌和访问令牌请求,并将生成的获取OpenID令牌请求发送给强化身份认证系统。
获取OpenID令牌请求是通过JSON格式发送,具体为:
POST/token HTTP/1.1
Host:server.example.com
Authorization:Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type:application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https://client.example.com/cb
其中,Authorization授权参数为Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW,其中,Basic为[RFC2617]定义的HTTP Basic验证机制;czZCaGRSa3F0MzpnWD FmQmF0M2JW为通过BasicAuthentication机制将应用标识符和应用密码生成密文应用信息。grant_type授权类型为authorization_code,即授权码模式,code授权码为SplxlOBeZQQYbYS6WxSbIA,redirect_uri重定向URL为https://client.example.com/cb;
步骤s216-5:强化身份认证系统从接收到的获取OpenID令牌和访问令牌请求中获取应用密文信息,并对应用密文信息进行解密得到应用标识符和应用密码。
步骤s216-6:强化身份认证系统根据应用标识符和应用密码判断第三方应用是否合法,如果是,执行步骤s217-7;否则,发送认证失败信息给第三方应用,结束。
步骤s216-7:强化身份认证系统判断是否可以在强化身份认证系统里查询到与第一重定向URL和授权码匹配的信息,如果是,执行步骤s217-8;否则,发送认证失败信息给第三方应用,结束。
步骤s216-8:强化身份认证系统根据授权码获取授权码过期时间,并判断授权码是否过期,如果过期,发送授权码过期信息给第三方应用,结束;如果没过期,执行步骤s217-9;
具体地,本实施例中,强化身份认证系统获取强化身份认证系统的当前时间,判断授权码过期时间是否晚于强化身份认证系统当前时间,如果是,强化身份认证系统判定授权码没过期,执行步骤s217-9;否则,强化身份认证系统判定授权码过期,向第三方应用返回授权码过期信息,结束。
步骤s216-9:强化身份认证系统生成OpenID令牌、访问令牌、令牌过期时间,根据授权码获取第二访问权限列表,将OpenID令牌、访问令牌、第二访问权限列表和令牌过期时间对应储存。
步骤s216-10:强化身份认证系统根据OpenID令牌、访问令牌、访问令牌过期时间生成获取访问令牌响应,并将OpenID令牌响应发送给第三方应用。
OpenID令牌为强化身份认证系统对OpenID的签名。
需要说明的是:涉及到的时间均为JSON数字代表自1970年1月1日0时0分0秒至发放时间的秒数;
本实施例中强化身份认证系统生成的身份认证凭据具体为:{"iss":"https://server.example.com","sub":"24400320","aud":"s6BhdRkqt3","nonce":"n-0S6_WzA2Mj","exp":1311281970,"iat":1311280970,"auth_time":1311280969,"ac r":"urn:mace:incommon:iap:silver"}其中"iss":"https://server.example.com"表明指定认证方服务器标识为https://server.example.com;"sub":"24400320"表明用户信息为24400320;"aud":"s6BhdRkqt3"表明应用服务器标识为s6BhdRkqt3;"exp":1311281970表明身份认证凭据有效期;"iat":1311280970,表明发放身份认证ID时间"auth_time":1311280969表明鉴别终端用户时间;
强化身份认证系统用私钥对身份认证凭据进行签名得到签名结果;
具体的,签名算法可以为RHA256withRSA算法。除此之外,还可以是其他算法,例如SHA1withRSA、SM2签名算法等。
具体的,本实施例中,
本实施例中,强化身份认证系统生成的OpenID令牌响应具体为:
HTTP/1.1200 OK
Content-Type:application/json
Cache-Control:no-store
Pragma:no-cache
{"access_token":"SlAV32hkKG","token_type":"Bearer","expires_in":3600,"iss":"https://server.example.com","sub":"24400320","aud":"s6BhdRkqt3","nonce":"n-0S6_WzA2Mj","exp":1311281970,"iat":1311280970,"auth_time":1311280969,"acr":"urn:mace:incommon:iap:silver""id_token":"eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.ewogImlzcyI6ICJodHRwOi8vc2VydmVyLmV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5NzYxMDAxIiwKICJhdWQiOiAiczZCaGRSa3F0MyIsCiAibm9uY2UiOiAibi0wUzZfV3pBMk1qIiwKICJleHAiOiAxMzExMjgxOTcwLAogImlhdCI6IDEzMTEyODA5NzAKfQ.ggW8hZ1EuVLuxNuuIJKX_V8a_OMXzR0EHR9R6jgdqrOOF4daGU96Sr_P6qJp6IcmD3HP99Obi1PRs-cwh3LO-p146waJ8IhehcwL7F09JdijmBqkvPeB2T9CJNqeGpe-gccMg4vfKjkM8FcGvnzZUN4_KSP0aAp1tOJ1zZwgjxqGByKHiOtX7TpdQyHE5lcMiKPXfEIQILVq0pc_E2DzL7emopWoaoZTF_m0_N0YzFC6g6EJbOEoRoSK5hoDalrcvRYLSrQAZZKflyuVCyixEoV9GfNQC3_osjzw2PAithfubEEBLuVVk4XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg"}
其中,访问凭据access_token具体为SlAV32hkKG;访问类型token_type具体为Bearer、访问凭据有效期expires_in为3600分钟、签名结果为id_token的值。
实施例3
本发明实施例3提供的一种强化身份认证系统的工作方法,如图3所示,包括如下步骤:
步骤s301:强化身份认证系统接收第三方应用发送的访问请求。
步骤s302:强化身份认证系统判断接收到的访问请求中是否带有令牌,如果是,执行步骤s303;否则,发送访问请求中不带令牌给第三方应用,执行步骤s310。
步骤s303:强化身份认证系统判断令牌是否在强化身份认证系统分发的令牌列表中,如果是,执行步骤s304;否则,发送令牌无效信息给第三方应用,执行步骤s310。
步骤s304:强化身份认证系统判断令牌是否过期,如果过期,执行步骤s305;否则,发送令牌有效信息给第三方应用。
步骤s305:强化身份认证系统提取用户OpenID、应用标识、指定认证方等信息。
步骤s306:强化身份认证系统确定指定认证方,发送询问用户登录状态请求给指定认证方。
步骤s307:强化身份认证系统接收指定认证方返回的询问用户登录状态响应。
步骤s308:强化身份认证系统根据指定方返回的询问用户登录状态响应,判断用户是否为登录状态,如果是,执行步骤s317;否则,执行步骤s309。
步骤s309:强化身份认证系统发送用户未登录信息给第三方应用,等待第三方应用接收第一认证请求;当接收到第三方应用发送的第一认证请求时,执行步骤310。
步骤s310:强化身份认证根据第一认证请求中的应用标识符判断第三方应用是否注册,如果是,执行步骤s311;否则,发送应用标识无效信息给第三方应用。
其中,第一认证请求为第三方应用根据应用标识符生成的。
步骤s311:强化身份认证系统根据应用标识符、授权方式、授权范围、强化身份认证服务地址和认证方式生成符合注册协议的第一认证请求响应,发送第一认证请求响应给第三方应用。
步骤s312:强化身份认证系统接收包含应用标识符和第一访问权限列表的第二认证请求。
步骤s313:强化身份认证系统根据应用标识符查询第三方应用注册的指定认证方。
步骤s314:强化身份认证系统重定向浏览器到认证页面,等待指定认证方返回的认证结果。
步骤s315:强化身份认证系统接收指定认证方返回的认证结果,当认证结果是认证通过时,执行步骤s316;如果认证结果为认证未通过,发送身份认证失败信息给第三方应用。
步骤s316:强化身份认证系统保存用户信息,完成分发授权码,鉴别授权码,鉴别授权码等操作。
步骤s317:强化身份认证系统生成包含令牌的响应,发送包含令牌的响应给第三方应用。
实施例4
本发明实施例4提供一种认证方式转接的装置,如图4所示,包括:
第三方应用、强化身份认证系统、指定认证方;
其中,第三方应用具体包括:
第一接收模块401-1,用于接收用户通过浏览器发送的访问请求,还用于接收强化身份认证系统返回的令牌有效或者令牌无效信息;还用于接收身份认证失败信息;还用于接收用户登录状态信息;
第一发送模块401-2,用于当第一接收模块401-1接收到访问请求时,将访问请求发送给强化身份认证系统;
第一返回模块401-3,用于当第一接收模块401-1接收到令牌有效信息时,根据令牌和访问请求中的信息返回相应的资源给浏览器;
第二发送模块401-4,用于当第一接收模块401-1接收到强化身份认证系统返回的令牌无效信息时,发送令牌无效信息给浏览器,还用于发送应用标识无效信息给浏览器;
第六发送模块401-5,用于当接收到所述强化身份认证系统发送的令牌时,发送所述令牌给浏览器。
具体地,第三方应用还包括:
第五判断模块,用于当第一接收模块401-1接收到强化身份认证系统发送的令牌有效信息时,根据预设策略判断是否允许返回相应的资源给浏览器;
第七发送模块,用于当第五判断模块判定预设策略允许返回相应的资源给浏览器时,发送相应资源给浏览器;
第二生成模块,用于当第一接收模块401-1接收到强化身份认证系统返回的用户未登录信息时,根据应用标识符生成第一认证请求。
第八发送模块,用于发送第二生成模块生成的第一认证请求;还用于发送包含应用标识符和第一访问权限列表的第二认证请求给强化身份认证系统;
第三生成模块,用于根据第一认证请求响应和第三方应用自定义的第一访问权限列表生成第二认证请求。
所述强化身份认证系统具体包括:
第一判断模块402-1,用于判断第三方应用发送的访问请求中是否带有令牌;
第二判断模块402-2,用于当第一判断模块402-1判定当访问请求中带有令牌时,判断令牌是否有效;
具体地,第二判断模块402-2用于当第一判断模块402-1判断为是时,判断令牌是否过期。
查询模块402-3,用于第二判断模块判定令牌无效时,查询第三方应用注册时填写的指定认证方;
具体地,查询模块402-3用于根据第二认证请求中的应用标识符查询第三方应用注册时填写的指定认证方。
第三发送模块402-4,用于当第二判断模块402-2判定令牌有效时,发送令牌有效信息给第三方应用;当第二判断模块402-2判定令牌无效时,发送令牌无效信息给第三方应用;还用于查询模块402-3查询到第三方应用注册时填写的指定认证方时,发送询问用户登录状态请求给所述指定认证方;
具体地,第三发送模块402-4还用于当第三判断模块402-6判断为用户未登陆时,发送用户未登陆信息给第三方应用。
第二接收模块402-5,用于接收指定认证方返回的询问用户登录状态响应;
第三判断模块402-6,用于当第二接收模块402-5接收到指定认证方返回的询问用户登录状态响应时,判断用户是否为登陆状态;
重定向模块402-7,用于当第三判断模块402-6判断出用户未登录时,重定向浏览器到指定认证方;还用于当第一判断模块402-1判定访问请求中不带令牌时,重定向浏览器到指定认证方界面;
第三接收模块402-8,用于当重定向模块402-7重定向浏览器到指定认证方界面时,接收用户信息;还用于接收指定认证方返回的用户信息认证通过信息或用户信息认证未通过信息;
第四发送模块402-9,用于当第三接收模块402-8接收到用户信息时,发送用户信息给指定认证方;
第一生成模块402-10,用于当第三判断模块402-6判定用户为登陆状态时,生成令牌;还用于当第三接收模块402-8接收到指定认证方发送的认证通过信息时,生成令牌;
第二返回模块402-11,用于第三接收模块接收到认证未通过信息时,返回身份认证失败信息给第三方应用;
第五发送模块402-12,用于当第一生成模块402-10生成令牌时,发送令牌给第三方应用。
强化认证系统还包括:
第四判断模块,用于当第一判断模块402-1判断为是时,判断令牌是否存在于强化身份认证系统的令牌列表中。
具体地,第二判断模块用于当第四判断模块判定令牌在强化身份认证系统的令牌列表中时,判断令牌是否有效;
具体地,第三发送模块具体用于当第四判断模块判定令牌不在强化身份认证系统的令牌列表中时,发送令牌无效信息给第三方应用。
提取模块,用于提取用户身份信息、应用标识和指定方信息。
第六判断模块,用于根据第三方应用发送的第一认证请求中的应用标识符判断第三方应用是否注册。
具体地,第三发送模块402-4还用于当第六发送模块402-14判断出第三方应用未注册时,发送应用标识符无效信息给第三方应用。
第四生成模块,用于当第六判断模块判定第三方应用已注册,根据应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成符合注册协议的第一认证请求响应。
第四返回模块,用于返回第五生成模块生成的第一认证请求响应给第三方应用。
所述指定认证方具体包括:
第四接收模块403-1,用于接收强化身份认证系统发送的询问用户登录状态请求;还用于接收强化身份认证系统发送的用户信息;
认证模块403-2,用于当第四接收模块403-1接收到强化身份认证系统发送的用户信息时,对用户信息进行认证,并判断用户信息是否认证通过;
更新模块403-3,用于当认证模块403-2判定的用户信息认证通过时,返回认证通过信息给强化身份认证系统;还用于当认证模块403-2判定用户信息认证未通过时,根据认证结果对用户登录状态进行更新;
第三返回模块403-3,用于当认证模块403-1判定用户信息认证通过时,返回认证通过信息给强化身份认证系统;还用于当认证模块判定用户信息认证未通过时,返回认证未通过信息给强化身份认证系统。
实施例5
本发明实施例5提供一种强化身份认证系统,如图5所示,包括:
所述强化身份认证系统具体包括:
第一判断模块501,用于判断第三方应用发送的访问请求中是否带有令牌;
第二判断模块502,用于当第一判断模块501判定当访问请求中带有令牌时,判断令牌是否有效;
具体地,第二判断模块502用于当第一判断模块501判断为是时,判断令牌是否过期。
查询模块503,用于第二判断模块判定令牌无效时,查询第三方应用注册时填写的指定认证方;
具体地,查询模块503用于根据第二认证请求中的应用标识符查询第三方应用注册时填写的指定认证方。
第三发送模块504,用于当第二判断模块502判定令牌有效时,发送令牌有效信息给第三方应用;当第二判断模块502判定令牌无效时,发送令牌无效信息给第三方应用;还用于当查询模块503查询到第三方应用注册时填写的指定认证方时,发送询问用户登录状态请求给所述指定认证方;
具体地,第三发送模块504还用于当第三判断模块506判断为用户未登陆时,发送用户未登陆信息给第三方应用。
第二接收模块505,用于接收指定认证方返回的询问用户登录状态响应;
第三判断模块506,用于当第二接收模块505接收到指定认证方返回的询问用户登录状态响应时,判断用户是否为登陆状态;
重定向模块507,用于当第三判断模块506判断出用户未登录时,重定向浏览器到指定认证方;还用于当第一判断模块501判定访问请求中不带令牌时,重定向浏览器到指定认证方界面;
第三接收模块508,用于当重定向模块507重定向浏览器到指定认证方界面时,接收用户信息;还用于接收指定认证方返回的用户信息认证通过信息或用户信息认证未通过信息;
第四发送模块509,用于当第三接收模块508接收到用户信息时,发送用户信息给指定认证方;
第一生成模块510,用于当第三判断模块506判定用户为登陆状态时,生成令牌;还用于当第三接收模块508接收到指定认证方发送的认证通过信息时,生成令牌;
第二返回模块511,用于第三接收模块接收到认证未通过信息时,返回身份认证失败信息给第三方应用;
第五发送模块512,用于当第一生成模块510生成令牌时,发送令牌给第三方应用。
强化认证系统还包括:
第四判断模块,用于当第一判断模块501判断为是时,判断令牌是否存在于强化身份认证系统的令牌列表中。
具体地,第二判断模块用于当第四判断模块判定令牌在强化身份认证系统的令牌列表中时,判断令牌是否有效;
具体地,第三发送模块具体用于当第四判断模块判定令牌不在强化身份认证系统的令牌列表中时,发送令牌无效信息给第三方应用。
提取模块,用于提取用户身份信息、应用标识和指定方信息。
第六判断模块,用于根据第三方应用发送的第一认证请求中的应用标识符判断第三方应用是否注册。
具体地,第三发送模块504还用于当第六判断模块判断出第三方应用未注册时,发送应用标识符无效信息给第三方应用。
第四生成模块,用于当第六判断模块判定第三方应用已注册,根据应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成符合注册协议的第一认证请求响应。
第四返回模块,用于返回第五生成模块生成的第一认证请求响应给第三方应用。
以上所述的实施例只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (34)
1.一种认证方式转接的方法,其特征在于,包括:
步骤a1:第三方应用接收用户通过浏览器发送的访问请求,发送所述访问请求给强化身份认证系统;
步骤b1:所述强化身份认证系统判断所述访问请求中是否带有令牌,如果是,执行步骤c1;否则,发送令牌无效信息给所述第三方应用,执行步骤f1;
步骤c1:所述强化身份认证系统判断所述令牌是否有效,如果是,发送令牌有效信息给所述第三方应用,执行步骤d1;否则,执行步骤e1;
步骤d1:所述第三方应用接收到所述令牌有效信息时,根据所述令牌和访问请求中的信息返回相应的资源给浏览器,结束;
步骤e1:所述强化身份认证系统查询第三方应用注册时填写的指定认证方,发送询问用户登录状态请求给所述指定认证方,接收所述指定认证方返回的询问用户登录状态响应,判断所述用户是否为登录状态,如果是,执行步骤h1;否则,发送用户未登录信息给第三方应用,执行步骤f1;
步骤f1:所述强化身份认证系统重定向浏览器到指定认证方认证界面,接收用户信息,发送用户信息给指定认证方;
步骤g1:所述指定认证方对用户信息进行认证,判断所述用户信息认证是否认证通过,如果认证通过,根据认证结果对用户登录状态进行更新,返回认证通过信息给所述强化身份认证系统,执行步骤h1;如果认证未通过,根据认证结果对用户登录状态进行更新,返回认证未通过信息给所述强化身份认证系统,所述强化身份认证系统返回身份认证失败信息给所述第三方应用,所述第三方应用发送令牌无效信息给浏览器,返回步骤a1;
步骤h1:所述强化身份认证系统生成令牌,并发送所述令牌给所述第三方应用,所述第三方应用发送所述令牌给浏览器,返回所述步骤a1。
2.如权利要求1所述的方法,其特征在于,所述步骤b1之后,所述步骤c1之前还包括:
所述强化身份认证系统判断所述令牌是否存在于强化身份认证系统的令牌列表中,如果是,执行步骤c1;否则,发送令牌无效信息给所述第三方应用,所述第三方应用发送令牌无效信息给浏览器,执行步骤f1。
3.如权利要求1所述的方法,其特征在于,所述步骤c1具体为:
所述强化身份认证系统判断所述令牌是否过期,如果是,执行步骤e1;否则,发送令牌有效信息,执行步骤d1。
4.如权利要求1所述的方法,其特征在于,所述步骤d1还包括,:
所述第三方应用接收到所述令牌有效信息时,根据预设策略判断是否要返回相应资源给浏览器,如果所述预设策略为允许,则发送相应资源给浏览器,结束;否则,拒绝发送相应资源给浏览器,结束。
5.如权利要求1所述的方法,其特征在于,所述步骤e1具体包括:
步骤e101:所述强化身份认证系统提取用户身份信息,应用标识和指定方信息,发送询问用户登录状态请求给所述指定认证方;
步骤e102:当所述强化身份认证系统接收到所述指定认证方返回的询问用户登录状态响应时,根据所述询问用户登录状态响应,判断所述用户是否为登录状态,如果是,执行步骤h1;否则,发送用户为登录信息给第三方应用,执行f1。
6.如权利要求1所述的方法,其特征在于,所述步骤f1之前还包括:
步骤f101:所述第三方应用接收所述强化身份认证系统发送的用户未登录信息,根据应用标识符生成第一认证请求,发送所述第一认证请求给所述强化身份认证系统;
步骤f102:所述强化身份认证系统根据所述第一认证请求中的应用标识符判断所述第三方应用是否注册,如果是,执行步骤f103;否则,发送应用标识符无效信息给所述第三方应用,所述第三方应用发送令牌无效信息给浏览器,结束;
步骤f103:所述强化身份认证系统根据应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成符合注册协议的第一认证请求响应,返回所述第一认证请求响应给所述第三方应用;
步骤f104:所述第三方应用根据所述第一认证请求响应和所述第三方应用自定义的第一访问权限列表生成第二认证请求;
步骤f105:所述第三方应用发送包含应用标识符和第一访问权限列表的第二认证请求给所述强化身份认证系统。
7.如权利要求6所述的方法,其特征在于,所述步骤f1具体为:所述强化身份认证系统根据所述第二认证请求中的应用标识符查询所述第三方应用注册时填写的指定认证方,并重定向浏览器到所述指定认证方。
8.如权利要求1所述的方法,其特征在于,所述步骤h1之前还包括:
所述强化身份认证系统保存用户信息,完成分发授权码,鉴别授权码操作。
9.如权利要求1所述的方法,其特征在于,所述步骤b1可以替换成步骤b1’包括:
所述强化身份认证系统接收到所述第三方发送的访问请求时,判断所述访问请求中是否包含用户身份凭证,如果不包含,执行步骤e1;如果包含,所述强化身份认证系统判断所述用户身份凭证是否有效,如果是,执行步骤d1。
10.如权利要求9所述的方法,其特征在于,所述步骤b1’具体包括:
步骤b101’:所述强化身份认证系统判断所述用户身份凭证是否在所述强化身份认证系统分发的用户身份凭证的列表中,如果是,执行步骤b102’;否则,发送令牌无效信息给所述第三方应用,所述第三方应用发送用户身份凭证无效信息给浏览器,返回步骤a1;
步骤b102’:所述强化身份认证系统判断所述用户身份凭证是否过期,如果没有过期,发送用户身份凭证有效信息给所述第三方应用,执行步骤d1;如果过期,执行步骤e1。
11.一种强化身份认证系统的工作方法,其特征在于,包括:
步骤a2:强化身份认证系统接收第三方应用发送的访问请求,判断所述访问请求中是否包含所述令牌,如果是,执行步骤b2;否则,发送所述访问请求中不含令牌的信息给第三方应用,执行步骤d2;
步骤b2:所述强化身份认证系统判断所述令牌是否有效,如果是,发送令牌有效信息给所述第三方应用;否则,执行步骤c2;
步骤c2:所述强化身份认证系统根据指定认证方信息确定指定认证方,发送询问用户登录状态请求给所述指定认证方,接收所述指定认证方返回的询问用户登录状态响应,判断所述用户是否为的登录状态,如果是,执行步骤e2;否则,发送用户未登录信息给第三方应用,执行步骤d2;
步骤d2:所述强化身份认证系统查询所述第三方应用注册时填写的指定认证方,重定向浏览器至所述指定认证方的认证页面;接收用户信息,发送用户信息给指定认证方;
步骤e2:所述强化身份认证系统生成令牌,将所述令牌发送给所述第三方应用。
12.如权利要求11所述的方法,其特征在于,所述步骤b2之前,还包括:
所述强化身份认证系统判断所述令牌是否存在于强化身份认证系统的令牌列表中,如果是,执行步骤b2;否则,发送令牌无效给所述第三方应用,执行步骤d2。
13.如权利要求11所述的方法,其特征在于,所述步骤b2具体为:所述强化身份认证系统判断所述令牌是否过期,如果未过期,则令牌有效,发送令牌有效信息给所述第三方应用;如果过期,则令牌无效,执行步骤c2。
14.如权利要求11所述的方法,其特征在于,所述步骤c2还包括:所述强化身份认证系统提取用户身份信息、应用标识和指定认证方信息,确定指定认证方,发送询问用户登录状态请求给指定认证方。
15.如权利要求11所述的方法,其特征在于,所述步骤d2之后,所述步骤e2之前,还包括:
所述强化身份认证系统接收所述指定认证方返回的所述用户信息的认证结果,如果认证通过,执行步骤e2;否则,发送用户信息认证失败给所述第三方应用。
16.如权利要求11所述的方法,其特征在于,所述步骤c2还包括:
步骤c201:所述强化身份认证系统根据应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成第一认证请求响应,发送所述第一认证请求响应给第三方应用;
步骤c202:所述强化身份认证系统接收包含应用标识符和第一访问权限列表的第二认证请求。
17.如权利要求11所述的方法,其特征在于,所述步骤d2具体包括:所述强化身份认证系统根据应用标识符查询所述第三方应用注册时填写的指定认证方,重定向浏览器至指定认证方的认证页面。
18.一种认证方式转接的装置,其特征在于,包括:
第三方应用、强化身份认证系统、指定认证方;
其中,所述第三方应用具体包括:
第一接收模块,用于接收用户通过浏览器发送的访问请求,还用于接收所述强化身份认证系统返回的令牌有效或者无效信息;还用于接收身份认证失败信息;还用于接收用户登录状态信息;
第一发送模块,用于当所述第一接收模块接收到所述访问请求时,将所述访问请求发送给所述强化身份认证系统;
第一返回模块,用于当所述第一接收模块接收到所述令牌有效信息时,根据所述令牌和访问请求中的信息返回相应的资源给浏览器;
第二发送模块,用于所述第一接收模块接收到所述强化身份认证系统返回的令牌无效信息时,发送令牌无效信息给浏览器,还用于发送应用标识无效信息给浏览器;
第六发送模块,当接收到所述强化身份认证系统发送的令牌时,发送所述令牌给浏览器;
所述强化身份认证系统具体包括:
第一判断模块,用于判断所述第三方应用发送的访问请求中是否带有令牌;
第二判断模块,用于当所述第一判断模块判定当所述访问请求中带有令牌时,判断所述令牌是否有效;
查询模块,用于当所述第二判断模块判定所述令牌无效时,查询所述第三方应用注册时填写的指定认证方;
第三发送模块,用于当所述第二判断模块判定所述令牌有效时发送令牌有效信息给所述第三方应用;还用于当所述第二判断模块判断出所述令牌无效时,发送令牌无效信息给所述第三方应用;还用于当所述查询模块查询出所述第三方应用注册时填写的指定认证方时,发送询问用户登录状态请求给所述指定认证方;
第二接收模块,用于接收所述指定认证方返回的询问用户登录状态响应;
第三判断模块,用于当所述第二接收模块接收到所述指定认证方返回的所述询问用户登录状态响应时,判断所述用户是否为登录状态;
所述第三发送模块还用于当所述第三判断模块判断为用户未登陆时,发送用户未登陆信息给所述第三方应用;
重定向模块,用于当所述第三判断模块判断出所述用户未登录时,重定向浏览器到指定认证方界面;还用于当所述第一判断模块判定所述访问请求中不带有令牌时,重定向浏览器到指定认证方界面;
第三接收模块,用于当所述重定向模块重定向浏览器到所述指定认证方界面时,接收用户信息;还用于接收指定认证方返回的用户信息认证通过信息或用户信息认证未通过信息;
第四发送模块,用于当所述第三接收模块接收到用户信息时,发送所述用户信息给所述指定认证方;
第一生成模块,用于当所述第三判断模块判定用户为登陆状态时,生成令牌;还用于当所述第三接收模块接收到指定认证方发送的认证通过信息时,生成令牌;
第二返回模块,用于当所述第三接收模块接收到认证未通过信息时,返回身份认证失败信息给所述第三方应用;
第五发送模块,用于当所述第一生成模块生成所述令牌时,发送所述令牌给所述第三方应用;
所述指定认证方具体包括:
第四接收模块,用于接收所述强化身份认证系统发送的询问用户登录状态请求;还用于接收所述强化身份认证系统发送的用户信息;
认证模块,用于当所述第四接收模块接收到所述强化身份认证系统发送的用户信息时,对所述用户信息进行认证,并判断所述用户信息是否认证通过;
更新模块,用于当所述认证模块判断所述用户信息认证通过时,根据认证结果对用户登录状态进行更新;还用于当所述认证模块判断所述用户信息认证未通过时,根据认证结果对所述用户登录状态进行更新;
第三返回模块,用于当所述认证模块判定所述用户信息认证通过时,返回认证通过信息给所述强化身份认证系统;还用于当所述认证模块判定所述用户信息认证未通过时,返回认证未通过信息给所述强化身份认证系统。
19.如权利要求18所述的装置,其特征在于,所述强化身份认证系统中还包括:
第四判断模块,用于当所述第一判断模块判断为是时,判断所述令牌是否存在于所述强化身份认证系统的令牌列表中;
所述第二判断模块具体用于,当第四判断模块判定所述令牌在所述强化身份认证系统的令牌列表中时,判断所述令牌是否有效;
所述第三发送模块具体用于,当所述第四判断模块判定所述令牌不在所述强化身份认证系统的令牌列表中时,发送所述令牌无效信息给所述第三方应用。
20.如权利要求18所述的装置,其特征在于,所述第二判断模块具体用于当所述第一判断模块判断为是时,判断所述令牌是否过期;
所述第三发送模块具体用于,当所述第二判断模块判定所述令牌未过期时,发送令牌有效信息给所述第三方应用;
所述查询模块具体用于,当所述第二判断模块判定所述令牌已过期时,查询所述第三方应用注册时填写的指定认证方。
21.如权利要求18所述的装置,其特征在于,所述第三方应用还包括:
第五判断模块,用于当所述第一接收模块接收到所述强化身份认证系统发送的令牌有效信息时,根据预设策略判断是否允许返回相应资源给浏览器;
第七发送模块,用于当所述第五判断模块判定预设策略允许返回相应资源给浏览器时,发送相应资源给浏览器。
22.如权利要求18所述的装置,其特征在于,
所述强化身份认证系统中还包括:
提取模块,用于提取用户身份信息、应用标识和指定方信息。
23.如权利要求18所述的装置,其特征在于,
所述第三方应用还包括:
第二生成模块,用于当所述第一接收模块接收到所述强化身份认证系统发送的用户未登陆信息时,根据所述应用标识符生成第一认证请求;
第八发送模块,用于发送所述第二生成模块生成的所述第一认证请求;还用于发送包含应用标识符和第一访问权限列表的第二认证请求给所述强化身份认证系统;
第三生成模块,用于根据第一认证请求响应和所述第三方应用自定义的第一访问权限列表生成第二认证请求;
所述强化身份认证系统还包括:
第六判断模块,用于根据所述第三方应用发送的所述第一认证请求中的应用标识符判断所述第三方应用是否注册;
第四生成模块,用于当所述第六判断模块判定所述第三方应用已注册时,根据所述应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成符合注册协议的所述第一认证请求响应;
所述第三发送模块还用于当所述第六判断模块判断出所述第三方应用未注册时,发送所述应用标识符无效信息给所述第三方应用;
第四返回模块,用于返回所述第五生成模块生成的所述第一认证请求响应给所述第三方应用。
24.如权利要求23所述的装置,其特征在于,所述查询模块具体用于根据所述第二认证请求中的应用标识符查询所述第三方应用注册时填写的指定认证方。
25.如权利要求18所述的装置,其特征在于,所述强化身份认证系统还包括:
保存模块,用于保存用户信息,完成分发授权码和鉴别授权吗的操作。
26.如权利要求18所述的装置,其特征在于,所述第一判断模块还用于判断第三方应用发送的访问请求中是否带有用户身份凭证;
所述查询模块,当所述第一判断模块判定所述访问请求中不带所述用户身份凭证时,查询所述第三方应用注册时填写的指定认证方;
所述第二判断模块还用于当所述第一判断模块判定所述访问请求中带有所述用户身份凭证时,判断所述用户身份凭证是否有效。
27.一种强化身份认证系统,其特征在于,包括:
第一判断模块,用于判断所述第三方应用发送的访问请求中是否带有令牌;
第二判断模块,用于当所述第一判断模块判定当所述访问请求中带有令牌时,判断所述令牌是否有效;
查询模块,用于当所述第二判断模块判定所述令牌无效时,查询所述第三方应用注册时填写的指定认证方;
第三发送模块,用于当所述第二判断模块判定所述令牌有效时发送令牌有效信息给所述第三方应用;还用于当所述第二判断模块判断出所述令牌有效时,发送令牌有效信息给所述第三方应用;还用于当所述查询模块查询出所述第三方应用注册时填写的指定认证方时,发送询问用户登录状态请求给所述指定认证方;
第二接收模块,用于接收所述指定认证方返回的询问用户登录状态响应;
第三判断模块,用于当所述第二接收模块接收到所述指定认证方返回的所述询问用户登录状态响应时,判断所述用户是否为登录状态;
所述第三发送模块还用于当所述第三判断模块判断为用户未登陆时,发送用户未登陆信息给所述第三方应用;
重定向模块,用于当所述第三判断模块判断出所述用户未登录时,重定向浏览器到指定认证方界面;还用于当所述第一判断模块判定所述访问请求中不带有令牌时,重定向浏览器到指定认证方界面;
第三接收模块,用于当所述重定向模块重定向浏览器到所述指定认证方界面时,接收用户信息;还用于接收指定认证方返回的用户信息认证通过信息或用户信息认证未通过信息;
第四发送模块,用于当所述第三接收模块接收到用户信息时,发送所述用户信息给所述指定认证方;
第一生成模块,用于当所述第三判断模块判定用户为登陆状态时,生成令牌;还用于当所述第三接收模块接收到指定认证方发送的认证通过信息时,生成令牌;
第二返回模块,用于当所述第三接收模块接收到认证未通过信息时,返回身份认证失败信息给所述第三方应用;
第五发送模块,用于当所述第一生成模块生成所述令牌时,发送所述令牌给所述第三方应用。
28.如权利要求27所述的强化身份认证系统,其特征在于,还包括:
第四判断模块,用于当所述第一判断模块判断为是时,判断所述令牌是否存在于所述强化身份认证系统的令牌列表中;
所述第二判断模块具体用于,当第四判断模块判定所述令牌在所述强化身份认证系统的令牌列表中时,判断所述令牌是否有效;
所述第三发送模块具体用于,当所述第四判断模块判定所述令牌不在所述强化身份认证系统的令牌列表中时,发送所述令牌无效信息给所述第三方应用。
29.如权利要求27所述的强化身份认证系统,其特征在于,所述第二判断模块具体用于判断所述令牌是否过期;
所述第三发送模块具体用于,当所述第二判断模块判定所述令牌未过期时,发送令牌有效信息给所述第三方应用;
所述查询模块具体用于,当所述第二判断模块判定所述令牌已过期时,查询所述第三方应用注册时填写的指定认证方。
30.如权利要求27所述的强化身份认证系统,其特征在于,还包括:
提取模块,用于提取用户身份信息、应用标识和指定认证方信息。
31.如权利要求27所述的强化身份认证系统,其特征在于,还包括:
第六判断模块,用于根据所述第三方应用发送的所述第一认证请求中的应用标识符判断所述第三方应用是否注册;
第四生成模块,用于当所述第六判断模块判定所述第三方应用已注册时,根据所述应用标识符、授权方式、授权范围、强化身份认证服务地址、认证方式生成符合注册协议的所述第一认证请求响应;
所述第三发送模块还用于当所述第六判断模块判定所述第三方应用未注册时,发送所述应用标识符无效信息给所述第三方应用;
第四返回模块,用于返回所述第五生成模块生成的所述第一认证请求响应给所述第三方应用。
32.如权利要求27所述的强化身份认证系统,其特征在于,所述第三判断模块还用于当接收到所述指定认证方返回的用户信息认证结果时,判断用户信息是否认证通过;
所述第一生成模块,还用于当所述第三判断模块判断用户信息认证通过时,生成令牌;
所述第五发送模块,还用于当所述第三判断模块判定用户信息认证失败时,发送用户信息认证失败信息给所述第三方应用。
33.如权利要求27所述的强化身份认证系统,其特征在于,所述查询模块具体用于根据应用标识符查询所述第三方应用注册时填写的指定认证方。
34.如权利要求27所述的强化身份认证系统,其特征在于,所述重定向模块具体用于,当所述查询模块查询到所述第三方应用注册时填写的指定认证方时,重定向浏览器至所述指定认证方的认证页面。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711158313.XA CN107769930B (zh) | 2017-11-20 | 2017-11-20 | 一种认证方式转接方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711158313.XA CN107769930B (zh) | 2017-11-20 | 2017-11-20 | 一种认证方式转接方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107769930A true CN107769930A (zh) | 2018-03-06 |
CN107769930B CN107769930B (zh) | 2020-09-15 |
Family
ID=61279865
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711158313.XA Active CN107769930B (zh) | 2017-11-20 | 2017-11-20 | 一种认证方式转接方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107769930B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109684790A (zh) * | 2018-12-26 | 2019-04-26 | 佛山市瑞德物联科技有限公司 | 软件启动方法、软件授权验证方法、设备和存储介质 |
CN110881038A (zh) * | 2019-11-21 | 2020-03-13 | 深信服科技股份有限公司 | 一种通信认证方法、系统、设备及存储介质 |
CN111010397A (zh) * | 2019-12-18 | 2020-04-14 | 吉林亿联银行股份有限公司 | 数据库密码的修改方法及装置 |
CN111385313A (zh) * | 2020-05-28 | 2020-07-07 | 支付宝(杭州)信息技术有限公司 | 一种对象请求合法性验证的方法和系统 |
CN111585954A (zh) * | 2020-03-26 | 2020-08-25 | 中国平安财产保险股份有限公司 | 鉴权方法、装置、计算机设备及存储介质 |
CN111711641A (zh) * | 2020-07-10 | 2020-09-25 | 北京亚鸿世纪科技发展有限公司 | 浏览器和服务器架构身份认证令牌的状态控制方法与装置 |
CN111786931A (zh) * | 2019-04-03 | 2020-10-16 | 北京德信东方网络科技有限公司 | 身份认证的方法和装置 |
CN112073443A (zh) * | 2020-11-12 | 2020-12-11 | 飞天诚信科技股份有限公司 | 一种基于浏览器访问认证设备的方法及系统 |
CN112543194A (zh) * | 2020-12-03 | 2021-03-23 | 武汉联影医疗科技有限公司 | 移动终端登录方法、装置、计算机设备和存储介质 |
CN114079569A (zh) * | 2020-07-31 | 2022-02-22 | 中移(苏州)软件技术有限公司 | 一种开放授权方法及装置、设备、存储介质 |
WO2022105096A1 (zh) * | 2020-11-20 | 2022-05-27 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
CN114598489A (zh) * | 2020-11-20 | 2022-06-07 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
CN116962088A (zh) * | 2023-09-20 | 2023-10-27 | 上海金电网安科技有限公司 | 登录认证方法、零信任控制器及电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1469583A (zh) * | 2002-07-16 | 2004-01-21 | 北京创原天地科技有限公司 | 因特网上不同应用系统间用户认证信息共享的方法 |
CN101202753A (zh) * | 2007-11-29 | 2008-06-18 | 中国电信股份有限公司 | 一种客户端访问插件应用系统的方法和装置 |
CN102404392A (zh) * | 2011-11-10 | 2012-04-04 | 山东浪潮齐鲁软件产业股份有限公司 | 一种Web应用或网站集成登录的方法 |
CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
WO2017107732A1 (zh) * | 2015-12-24 | 2017-06-29 | 广州爱九游信息技术有限公司 | 登录状态同步方法和系统 |
-
2017
- 2017-11-20 CN CN201711158313.XA patent/CN107769930B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1469583A (zh) * | 2002-07-16 | 2004-01-21 | 北京创原天地科技有限公司 | 因特网上不同应用系统间用户认证信息共享的方法 |
CN101202753A (zh) * | 2007-11-29 | 2008-06-18 | 中国电信股份有限公司 | 一种客户端访问插件应用系统的方法和装置 |
CN102404392A (zh) * | 2011-11-10 | 2012-04-04 | 山东浪潮齐鲁软件产业股份有限公司 | 一种Web应用或网站集成登录的方法 |
CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
WO2017107732A1 (zh) * | 2015-12-24 | 2017-06-29 | 广州爱九游信息技术有限公司 | 登录状态同步方法和系统 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109684790A (zh) * | 2018-12-26 | 2019-04-26 | 佛山市瑞德物联科技有限公司 | 软件启动方法、软件授权验证方法、设备和存储介质 |
CN111786931A (zh) * | 2019-04-03 | 2020-10-16 | 北京德信东方网络科技有限公司 | 身份认证的方法和装置 |
CN111786931B (zh) * | 2019-04-03 | 2022-08-02 | 北京德信东方网络科技有限公司 | 身份认证的方法和装置 |
CN110881038B (zh) * | 2019-11-21 | 2022-03-22 | 深信服科技股份有限公司 | 一种通信认证方法、系统、设备及存储介质 |
CN110881038A (zh) * | 2019-11-21 | 2020-03-13 | 深信服科技股份有限公司 | 一种通信认证方法、系统、设备及存储介质 |
CN111010397A (zh) * | 2019-12-18 | 2020-04-14 | 吉林亿联银行股份有限公司 | 数据库密码的修改方法及装置 |
CN111010397B (zh) * | 2019-12-18 | 2022-07-19 | 吉林亿联银行股份有限公司 | 数据库密码的修改方法及装置 |
CN111585954A (zh) * | 2020-03-26 | 2020-08-25 | 中国平安财产保险股份有限公司 | 鉴权方法、装置、计算机设备及存储介质 |
CN111385313A (zh) * | 2020-05-28 | 2020-07-07 | 支付宝(杭州)信息技术有限公司 | 一种对象请求合法性验证的方法和系统 |
CN111711641A (zh) * | 2020-07-10 | 2020-09-25 | 北京亚鸿世纪科技发展有限公司 | 浏览器和服务器架构身份认证令牌的状态控制方法与装置 |
CN111711641B (zh) * | 2020-07-10 | 2022-03-08 | 北京亚鸿世纪科技发展有限公司 | 浏览器和服务器架构身份认证令牌的状态控制方法与装置 |
CN114079569A (zh) * | 2020-07-31 | 2022-02-22 | 中移(苏州)软件技术有限公司 | 一种开放授权方法及装置、设备、存储介质 |
CN114079569B (zh) * | 2020-07-31 | 2024-05-03 | 中移(苏州)软件技术有限公司 | 一种开放授权方法及装置、设备、存储介质 |
CN112073443B (zh) * | 2020-11-12 | 2021-03-16 | 飞天诚信科技股份有限公司 | 一种基于浏览器访问认证设备的方法及系统 |
CN112073443A (zh) * | 2020-11-12 | 2020-12-11 | 飞天诚信科技股份有限公司 | 一种基于浏览器访问认证设备的方法及系统 |
WO2022105096A1 (zh) * | 2020-11-20 | 2022-05-27 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
CN114598489A (zh) * | 2020-11-20 | 2022-06-07 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
CN114598489B (zh) * | 2020-11-20 | 2023-07-11 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
CN112543194A (zh) * | 2020-12-03 | 2021-03-23 | 武汉联影医疗科技有限公司 | 移动终端登录方法、装置、计算机设备和存储介质 |
CN116962088A (zh) * | 2023-09-20 | 2023-10-27 | 上海金电网安科技有限公司 | 登录认证方法、零信任控制器及电子设备 |
CN116962088B (zh) * | 2023-09-20 | 2023-11-28 | 上海金电网安科技有限公司 | 登录认证方法、零信任控制器及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN107769930B (zh) | 2020-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107769930A (zh) | 一种认证方式转接方法及装置 | |
US11824869B2 (en) | Graduated authentication in an identity management system | |
US6691232B1 (en) | Security architecture with environment sensitive credential sufficiency evaluation | |
US6892307B1 (en) | Single sign-on framework with trust-level mapping to authentication requirements | |
US6609198B1 (en) | Log-on service providing credential level change without loss of session continuity | |
US10904218B2 (en) | Secure proxy to protect private data | |
US6668322B1 (en) | Access management system and method employing secure credentials | |
Hardt | The OAuth 2.0 authorization framework | |
Hardt | Rfc 6749: The oauth 2.0 authorization framework | |
US8800013B2 (en) | Devolved authentication | |
US20070130618A1 (en) | Human-factors authentication | |
CN106973041A (zh) | 一种颁发身份认证凭据的方法、系统及认证服务器 | |
CN107733861A (zh) | 一种基于企业级内外网环境的无密码登录实现方法 | |
WO2007094369A1 (ja) | 分散認証システム及び分散認証方法 | |
Beltran | Characterization of web single sign-on protocols | |
US20200092281A1 (en) | Asserting a mobile identity to users and devices in an enterprise authentication system | |
CN104734856B (zh) | 一种抗服务器端信息泄露的口令认证方法 | |
US10630669B2 (en) | Method and system for user verification | |
KR20100011142A (ko) | 리소스 보안 시스템 및 리소스 보안 방법 | |
Emadinia et al. | An updateable token-based schema for authentication and access management in clouds | |
KR20030075809A (ko) | 멀티도메인으로 구성된 웹사이트에서 단일 로그인에 의한접속자 인증 방법 | |
JP2002007355A (ja) | パスワードを用いた通信方法 | |
WO2010094330A1 (en) | Wireless identity token | |
JP7221235B2 (ja) | サーバ装置およびネットワークシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |