CN107770140A - 一种单点登录认证方法及装置 - Google Patents
一种单点登录认证方法及装置 Download PDFInfo
- Publication number
- CN107770140A CN107770140A CN201610705815.9A CN201610705815A CN107770140A CN 107770140 A CN107770140 A CN 107770140A CN 201610705815 A CN201610705815 A CN 201610705815A CN 107770140 A CN107770140 A CN 107770140A
- Authority
- CN
- China
- Prior art keywords
- user
- user terminal
- operation system
- mapping relations
- login banner
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种单点登录认证方法及装置,该方法包括:检测用户端发送的业务系统访问请求是否携带用户登录标识;当检测到时,根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对业务系统访问请求中的用户登录标识进行验证,当验证通过后,基于用户登录标识对应的用户身份标识与用户端建立会话;其中,映射关系由SSO认证系统对用户端的登录请求认证通过后,将用户端发送的用户身份标识以及生成的用户登录标识建立映射关系并存储于缓存系统中。本发明可以有效减少业务系统与SSO认证系统的交互次数,降低SSO认证系统的负荷,同时提升业务系统的响应效率,高效率实现单点登录功能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种单点登录认证方法及装置。
背景技术
SSO(Single Sign On,单点登录)就是在一个多业务系统共存的环境下,用户在一处登录后,就不用在其他业务系统中登录,也就是说,用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子业务系统,用户一次操作或交易可能涉及到几十个子业务系统的协作,如果每个子业务系统都需要用户认证,不仅用户使用体验差,同时各子系统的重复认证授权的逻辑也会是非常复杂的。
目前的单点登录方法,参见图1,是通过SSO认证系统对用户的登录信息进行合法性校验后,向用户端发送token信息;用户端在访问其他业务系统时,携带token信息,业务系统将该token信息交由SSO认证系统进行认证。然而,对于上述的方法,用户每次访问业务系统,对业务系统都会经过SSO认证系统的服务器进行合法性校验。因此在应用于高并发访问的场景,会致使SSO认证系统服务器的负荷过高,同时会致使业务系统服务器的响应速度大大降低,导致用户的使用体验非常差。因此,有必要提供一种新型的单点登录方法,提升单点登录的验证效率及业务服务器的访问速度。
发明内容
本发明提供一种单点登录认证方法及装置,用以解决现有技术中单点登录导致SSO认证系统负荷高,影响业务系统服务器响应速度的问题。
为实现上述发明目的,本发明采用下述的技术方案:
依据本发明的一个方面,提供一种单点登录认证方法,包括:
检测用户端发送的业务系统访问请求是否携带用户登录标识;其中,所述用户登录标识由单点登录SSO认证系统对所述用户端发送的携带用户身份标识的登录请求认证通过后,生成并反馈至所述用户端;
当检测到携带所述用户登录标识时,根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对所述业务系统访问请求中的用户登录标识进行验证,当验证通过后,基于所述用户登录标识对应的用户身份标识与所述用户端建立会话;其中,所述映射关系由SSO认证系统对所述用户端的登录请求认证通过后,将所述用户端发送的用户身份标识以及生成的用户登录标识建立映射关系并存储于所述缓存系统中。
进一步地,所述检测用户端发送的业务系统访问请求是否携带用户登录标识前,所述方法还包括:
检测用户端发送的所述业务系统访问请求是否携带用户身份标识;
若未检测,则检测用户端发送的业务系统访问请求中是否携带用户登录标识;
若检测到,则基于所述用户身份标识与所述用户端进行会话。
进一步地,所述方法还包括:
若未检测到所述业务系统访问请求中携带用户登录标识时,则将所述用户端重定向所述SSO认证系统,由所述SSO认证系统对所述用户端发送的携带用户身份标识的登录请求进行认证。
进一步地,所述根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对所述业务系统访问请求中的用户登录标识进行验证,具体包括:
判断所述映射关系中是否存在所述用户登录标识;
当存在时,获取所述用户登录标识对应的用户身份标识以及时间戳信息;
根据所述时间戳信息验证所述用户登录标识是否超时,若未超时,则根据所述用户身份标识与所述用户端建立会话,同时更新所述时间戳信息为当前时间;
其中,所述时间戳信息的初始时间由所述SSO认证系统对所述用户端的登录请求认证通过后,将认证通过的时间作为初始时间存储于所述缓存系统。
进一步地,所述方法还包括:
与所述用户端建立会话后,将所述业务系统对应的系统标识存储于所述缓存系统中相应的映射关系中;
检测所述业务系统与所述用户端的会话情况以及所述业务系统重启情况;
当检测到与所述用户端会话超时、关闭或者检测到所述业务系统重新启动时,则将所述映射关系中所述业务系统对应的系统标识删除。
进一步地,所述将所述映射关系中所述业务系统对应的系统标识删除后,所述方法还包括:
检测所述映射关系是否还存在其他业务系统的系统标识,当不存在时,则将所述映射关系从所述缓存系统中删除。
进一步地,所述缓存系统为分布式缓存系统。
依据本发明的一个方面,提供一种单点登录认证装置,用于业务系统中,所述装置包括:
第一检测单元,用于检测用户端发送的业务系统访问请求是否携带用户登录标识;其中,所述用户登录标识由单点登录SSO认证系统对所述用户端发送的携带用户身份标识的登录请求认证通过后,生成并反馈至所述用户端;
处理单元,用于当检测到所述用户登录标识时,根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对所述业务系统访问请求中的用户登录标识进行验证,当验证通过后,基于所述用户登录标识对应的用户身份标识与所述用户端建立会话;
其中,所述映射关系由SSO认证系统对所述用户端的登录请求认证通过后,将所述用户端发送的用户身份标识以及生成的用户登录标识建立映射关系并存储于所述缓存系统中。
进一步地,所述装置还包括第二检测单元,用于所述第一检测单元检测用户端发送的业务系统访问请求是否携带用户登录标识前,检测用户端发送的所述业务系统访问请求是否携带用户身份标识;
若未检测,则检测用户端发送的业务系统访问请求中是否携带用户登录标识;若检测到,则基于所述用户身份标识与所述用户端进行会话。
进一步地,所述处理单元,还用于当未检测到所述业务系统访问请求中携带用户登录标识时,则将所述用户端重定向所述SSO认证系统,由所述SSO认证系统对所述用户端发送的携带用户身份标识的登录请求进行认证。
进一步地,所述处理单元具体用于,判断所述映射关系中是否存在所述业务系统访问请求中的用户登录标识;
当存在时,获取所述用户登录标识对应的用户身份标识以及时间戳信息;
根据所述时间戳信息验证所述用户登录标识是否超时,若未超时,根据所述用户身份标识与所述用户端建立会话,并更新所述时间戳信息为当前时间;
其中,所述时间戳信息的初始时间由所述SSO认证系统对所述用户端的登录请求认证通过后,将认证通过的时间作为初始时间存储于所述缓存系统。
进一步地,所述处理单元还用于,与所述用户端建立会话后,将所述业务系统对应的系统标识存储于所述缓存系统中相应的映射关系中;
所述装置还包括第三检测单元,用于检测所述业务系统与所述用户端的会话情况以及所述业务系统重启情况;
所述处理单元,还用于当所述第三检测单元检测到与所述用户端会话超时、关闭或者检测到所述业务系统重新启动时,则将所述映射关系中所述业务系统对应的系统标识删除。
进一步地,所述处理单元还用于,将所述映射关系中所述业务系统对应的系统标识删除,检测所述映射关系是否还存在其他业务系统的系统标识,当不存在时,则将所述映射关系从所述缓存系统中删除。
本发明有益效果如下:
本发明所提供的单点登录认证方法及装置,通过将用户登录标识以及用户身份标识等验证信息存放在缓存系统中,当业务系统需要验证用户端的信息时,直接访问缓存系统,即可实现用户端信息的合法性验证;同时缓存系统保存业务服务器的登录状态,根据该登录状态信息,可以判断验证信息的有效性。因此,针对高并发访问的多业务系统单点登录场景,本发明可以有效减少业务系统与SSO认证系统的交互次数,降低SSO认证系统的负荷,同时提升业务系统的响应效率,高效率实现单点登录功能。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中单点登录认证方法的原理示意图;
图2为本发明实施例中单点登录认证方法的流程图;
图3为本发明实施例中单点登录认证方法的原理示意图;
图4为本发明实施例中单点登录认证装置的结构原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图2,本发明实施例所提供的单点登录认证方法,用于业务系统,具体包括如下步骤:
检测步骤:检测用户端发送的业务系统访问请求是否携带用户登录标识;其中,用户登录标识由单点登录SSO认证系统对用户端发送的携带用户身份标识的登录请求认证通过后生成并反馈至用户端。
在该步骤中,用户端在向业务系统发送业务访问请求时,需要携带用户登录标识或者用户身份标识。其中,用户登录标识用于SSO认证系统对用户端认证通过后反馈给用户端的,以便用户端在访问其他业务系统时,无需重新进行登录认证,在业务系统访问请求中携带用户登录标识即可对其他业务系统进行访问。用户身份标识用于业务系统在与用户端进行会话中,会话中需要携带用户身份标识,根据该用户身份标识确定用户端的信息,直接允许用户端进行访问即可。基于此,在业务系统接收到用户端发送的业务系统访问请求时,需要判断业务访问请求中所携带的信息,根据该信息做进一步地处理。
具体地,在检测用户端发送的业务系统访问请求是否携带用户登录标识前,还需要检测用户端发送的业务系统访问请求是否携带用户身份标识;若未检测,则进一步检测用户端发送的业务系统访问请求中是否携带用户登录标识;若检测到时,则根据该用户身份标识与用户端进行会话。
处理步骤:当检测到用户登录标识时,根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对业务系统访问请求中的用户登录标识进行验证,当验证通过后,基于用户登录标识对应的用户身份标识与用户端建立会话;其中,映射关系由SSO认证系统对用户端的登录请求认证通过后,将用户端发送的用户身份标识以及生成的用户登录标识建立映射关系并存储于缓存系统中。
在该步骤中,缓存系统采用分布式缓存,例如redis、memcache,存储用户登录标识与用户身份标识的映射关系。该映射关系由SSO认证系统对用户端进行登录认证后,将用户身份标识与用户登录标识建立映射关系,并将其保存至缓存系统中。这样,业务系统在对用户登录标识进行验证时,并非发送至SSO认证系统,由SSO认证系统进行验证。而是通过缓存系统中缓存的用户登录标识与用户身份标识的映射关系对用户端的用户登录标识进行合法性验证:当映射关系中存在用户端发送的用户登录标识时,则验证通过,否则禁止该用户端访问业务系统。因此,通过业务系统直接访问缓存系统的形式,不仅有效减少SSO认证系统的负荷,还可以有效提高业务系统对访问请求的响应速度。
进一步地,该方法还包括:当未检测到用户端发送的业务系统访问请求中携带用户身份标识以及用户登录标识时,将用户端重定向SSO认证系统,由SSO认证系统对用户端发送的携带用户身份标识的登录请求进行认证。
对于用户端首次访问整个业务系统时,业务系统访问请求中既不存在用户登录标识也不存在用户身份标识,因此,业务系统将用户端重定向至SSO认证系统,由SSO认证系统对用户端进行登录认证。
为了避免某个业务系统崩溃而不重启时,导致缓存系统中仍然存在用户登录标识的情况,本发明的一个实施例中,根据缓存系统中存储的映射关系对业务系统访问请求中的用户登录标识进行验证时,需要对用户登录标识进行合法性认证以及超时验证,具体包括:
判断映射关系中是否存在业务系统访问请求中的用户登录标识;
若存在,则获取所述用户登录标识对应的用户身份标识以及时间戳信息;
根据时间戳信息验证用户登录标识是否超时,当未超时,根据用户身份标识与用户端建立会话,并更新时间戳信息为当前时间;其中,时间戳信息的初始时间由SSO认证系统对用户端的登录请求认证通过后,将认证通过的时间作为初始时间存储于缓存系统;
若不存在时,则禁止用户端访问该业务系统。
基于此,每个业务系统对用户登录标识验证通过后,对该用户登录标识对应的时间戳信息进行更新,确保该映射关系的有效性,可以有效避免某个业务系统崩溃而不重启时,缓存系统中仍然存在用户登录标识的情况。
为了保证映射关系的有效性,业务系统在对用户登录标识进行验证时,需要将其对应的系统标识存储至缓存系统对应的映射关系中。根据该系统标识可以获取用户登录业务系统的状态,判断该映射关系是否有效。具体地,包括如下步骤:
与用户端建立会话后,将业务系统对应的系统标识存储于缓存系统中相应的映射关系中;
检测业务系统与用户端的会话情况以及业务系统重启情况;
当检测到与用户端会话超时、关闭或者检测到业务系统重新启动时,则将映射关系中业务系统对应的系统标识删除。
基于此,当与用户端的会话超时、关闭或者业务系统崩溃而重启时,需要重新将对应的系统标识删除,用户端访问该系统时,需要由业务系统对用户端进行验证。
进一步地,该方法该包括,将映射关系中业务系统对应的系统标识删除后,检测映射关系是否还存在其他业务系统的系统标识,当不存在时,则将映射关系从缓存系统中删除。
因此,通过在映射关系中设置系统标识,可以获取用户登录业务系统的状态。当用户端不再登录各个业务系统时,需要将之前保存在缓存系统中对应的映射关系进行删除。当用户再进行访问时,需要再重新由SSO认证系统进行登录认证,确保缓存系统中映射信息的有效性。
下面结合具体的实施例对本发明的技术内容进行详细说明。
参见图3,整个系统中包含分布式缓存系统、SSO认证系统、业务系统1、业务系统2,现结合具体使用场景对本发明进行介绍。
首先介绍下用户登录后访问业务系统1、再访问业务系统2的场景。
用户A访问业务系统1,由于用户A首次访问整个业务系统,在业务系统1没有建立与用户A的会话,而且分布式缓存系统中也没有存储用户A对应的登录验证的映射关系。因此业务系统1重定向用户到SSO认证系统进行认证,跳转到SSO认证系统的登录页面。
用户向SSO认证系统发送登录认证请求,SSO认证系统认证通过后,用户A登录成功,同时SSO认证系统访问分布式缓存系统,在分布式缓存系统中增加用户登录标识token与用户身份标识(用户A信息)的映射关系,比如格式为“token:(用户A信息)”,token返回给用户A持有,如图2中步骤1、2、3所示。用户A将token发送至业务系统1,业务系统1基于用户A信息建立与用户A的会话,同时将系统标识保存至缓存系统的映射关系中,格式为“token:(用户A信息:[业务系统1])”。
用户A第二次访问业务系统1时,业务系统1根据与用户A之间的会话,直接响应用户A的请求即可,而不需要通过SSO认证系统来判断访问是否合法。
当用户A接着访问业务系统2时,可以通过cookie或其他方式将用户A持有的token传给业务系统2;业务系统2此时还没有用户A的会话信息,可以直接访问分布式缓存系统,如图步骤4、5所示,从分布式缓存系统获取token对应的用户身份标识,基于用户身份标识建立与用户A的会话,同时将分布式缓存系统存储的映射关系更新为“token:(用户A信息:[业务系统1,业务系统2])”,后续用户A对业务系统2的访问也仅根据两者之间的会话进行验证,不需要再次通过SSO认证系统服务器进行验证。
其次介绍用户登录后访问多个系统,某个业务系统以及所有业务系统会话超时的场景。
当用户A长时间没有访问业务系统2导致会话超时,业务系统2建立会话后,启动超时监听器:当监测到超时时,访问分布式缓存系统,将映射关系中去掉用户A与业务系统2的映射删除,即更新为“token:(用户A信息:[业务系统1])”。对于会话关闭的情景与超时场景类似,当监听会话关闭时,对映射关系对应的系统标识删除。
而当用户A长时间没有访问业务系统1导致会话超时,同样,业务系统1同样访问分布式缓存系统,将分布式缓存系统的映射关系进行更新,删除用户A与业务系统1的token映射,将分布式缓存系统对应的验证信息更新为“token:(用户A:[])”。此时,用户A的token映射关系的业务系统的系统标识为空,则将该条映射关系从缓存队列中删除。用户A访问业务系统1或业务系统2都需要重新登录并在分布式缓存系统建立新的认证映射关系。
可知,分布式缓存系统的映射关系只有在与业务系统建立会话时才会存在,可以保证该映射关系的有效性和安全性。如果是传统的SSO认证系统,需要同时考虑token超时时间、业务系统与客户端会话的超时时间、SSO认证系统的会话超时策略,才能确定会话超时的影响,而本发明中业务系统会话超时只需要监测会话的情况即可,实现起来较为简单、灵活。
接着介绍用户A访问多个业务系统,某些业务系统崩溃重启的异常场景。
为了防止某些业务系统发生崩溃重启而导致映射关系不释放的场景,在业务系统中设置启动监听器,用于监听业务系统是否有启动。当监测到业务系统启动时,对分布式缓存系统进行访问,将本业务系统对应系统标识从映射关系进行删除,这样可以有效清除异常的token信息。
而当所有的系统标识从映射关系删除后,该条映射关系从缓存队列中删除,保证该映射关系的有效性和安全性。
另外,如果要支持业务系统崩溃而不重启的场景,可以在token映射信息中增加时间戳;SSO认证系统同时缓存映射关系的初始时间。每个业务系统访问分布式缓存系统时,如果token认证通过,则将上次的映射关系的时间戳更新为当前时间。这样在验证token时,根据时间戳信息判断该映射关系是否超时;当超时时,则该映射关系无效,需要用户端重新登录访问。因此,通过时间戳可以验证映射关系是否超时无效,避免业务系统崩溃而不重启,映射关系一直存在的情况。
如图4所示,本发明实施例还提供一种单点登录认证装置,基于上述的单点登录认证的方法,用于业务系统中。该装置包括:
第一检测单元41,用于检测用户端发送的业务系统访问请求是否携带用户登录标识;其中,用户登录标识由单点登录SSO认证系统对用户端发送的携带用户身份标识的登录请求认证通过后,生成并反馈至用户端;
处理单元42,用于当检测到用户登录标识时,根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对业务系统访问请求中的用户登录标识进行验证,当验证通过后,基于用户登录标识对应的用户身份标识与用户端建立会话;
其中,映射关系由SSO认证系统对用户端的登录请求认证通过后,将用户端发送的用户身份标识以及生成的用户登录标识建立映射关系并存储于缓存系统中。
进一步地,该装置还包括第二检测单元43,用于第一检测单元41检测用户端发送的业务系统访问请求是否携带用户登录标识前,检测用户端发送的业务系统访问请求是否携带用户身份标识;
若未检测,则检测用户端发送的业务系统访问请求中是否携带用户登录标识;若检测到,则基于用户身份标识与用户端进行会话。
进一步地,处理单元42还用于当未检测到用户端发送的业务系统访问请求中携带用户登录标识时,则将用户端重定向SSO认证系统,由SSO认证系统对用户端发送的携带用户身份标识的登录请求进行认证。
进一步地,处理单元42具体用于,判断映射关系中是否用户登录标识;
当存在时,获取映射关系的时间戳信息,根据时间戳信息验证用户登录标识是否超时,当超时,根据用户身份标识与用户端建立会话,并更新时间戳信息为当前时间;其中,时间戳信息的初始时间由SSO认证系统对用户端的登录请求认证通过后,将认证通过的时间作为初始时间存储于缓存系统。
进一步地,处理单元42还用于,与用户端建立会话后,将业务系统对应的系统标识存储于缓存系统中相应的映射关系中;
该装置还包括第三检测单元44,用于检测业务系统与用户端的会话情况以及业务系统重启情况;
处理单元42,还用于当第三检测单元44检测到与用户端会话超时或者检测到业务系统重新启动时,则将映射关系中业务系统对应的系统标识删除。
进一步地,处理单元42还用于,将映射关系中业务系统对应的系统标识删除后,检测映射关系是否还存在其他业务系统的系统标识,当不存在时,则将映射关系从缓存系统中删除。
综上所述,本发明实施例所提供的单点登录认证方法及装置,通过将用户登录标识以及用户身份标识等验证信息存放在分布式缓存系统中,当业务系统需要验证用户端的信息时,直接访问分布式缓存系统,根据分布式缓存系统中的验证信息,即可实现用户端信息的合法性验证;同时分布式缓存系统保存业务服务器的登录状态,根据该登录状态信息,可以直接判断验证信息的有效性。因此,针对高并发访问的多业务系统单点登录场景,本发明可以有效减少业务系统与SSO认证系统的交互次数,降低SSO认证系统的负荷,同时提升业务系统的响应效率,高效率实现单点登录功能。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种单点登录认证方法,其特征在于,用于业务系统中,所述方法包括:
检测用户端发送的业务系统访问请求是否携带用户登录标识;其中,所述用户登录标识由单点登录SSO认证系统对所述用户端发送的携带用户身份标识的登录请求认证通过后,生成并反馈至所述用户端;
当检测到携带所述用户登录标识时,根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对所述业务系统访问请求中的用户登录标识进行验证,当验证通过后,基于所述用户登录标识对应的用户身份标识与所述用户端建立会话;其中,所述映射关系由SSO认证系统对所述用户端的登录请求认证通过后,将所述用户端发送的用户身份标识以及生成的用户登录标识建立映射关系并存储于所述缓存系统中。
2.如权利要求1所述的方法,其特征在于,所述检测用户端发送的业务系统访问请求是否携带用户登录标识前,所述方法还包括:
检测用户端发送的所述业务系统访问请求是否携带用户身份标识;
若未检测,则检测用户端发送的业务系统访问请求中是否携带用户登录标识;
若检测到,则基于所述用户身份标识与所述用户端进行会话。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
若未检测到所述业务系统访问请求中携带用户登录标识时,则将所述用户端重定向所述SSO认证系统,由所述SSO认证系统对所述用户端发送的携带用户身份标识的登录请求进行认证。
4.如权利要求1所述的方法,其特征在于,所述根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对所述业务系统访问请求中的用户登录标识进行验证,具体包括:
判断所述映射关系中是否存在所述用户登录标识;
当存在时,获取所述用户登录标识对应的用户身份标识以及时间戳信息;
根据所述时间戳信息验证所述用户登录标识是否超时,若未超时,则根据所述用户身份标识与所述用户端建立会话,同时更新所述时间戳信息为当前时间;
其中,所述时间戳信息的初始时间由所述SSO认证系统对所述用户端的登录请求认证通过后,将认证通过的时间作为初始时间存储于所述缓存系统。
5.如权利要求1或4所述的方法,其特征在于,所述方法还包括:
与所述用户端建立会话后,将所述业务系统对应的系统标识存储于所述缓存系统中相应的映射关系中;
检测所述业务系统与所述用户端的会话情况以及所述业务系统重启情况;
当检测到与所述用户端会话超时、关闭或者检测到所述业务系统重新启动时,则将所述映射关系中所述业务系统对应的系统标识删除。
6.如权利要求5所述的方法,其特征在于,所述将所述映射关系中所述业务系统对应的系统标识删除后,所述方法还包括:
检测所述映射关系是否还存在其他业务系统的系统标识,当不存在时,则将所述映射关系从所述缓存系统中删除。
7.如权利要求1所述的方法,其特征在于,所述缓存系统为分布式缓存系统。
8.一种单点登录认证装置,其特征在于,用于业务系统中,所述装置包括:
第一检测单元,用于检测用户端发送的业务系统访问请求是否携带用户登录标识;其中,所述用户登录标识由单点登录SSO认证系统对所述用户端发送的携带用户身份标识的登录请求认证通过后,生成并反馈至所述用户端;
处理单元,用于当检测到所述用户登录标识时,根据缓存系统中存储的用户登录标识与用户身份标识的映射关系对所述业务系统访问请求中的用户登录标识进行验证,当验证通过后,基于所述用户登录标识对应的用户身份标识与所述用户端建立会话;
其中,所述映射关系由SSO认证系统对所述用户端的登录请求认证通过后,将所述用户端发送的用户身份标识以及生成的用户登录标识建立映射关系并存储于所述缓存系统中。
9.如权利要求8所述的装置,其特征在于,所述装置还包括第二检测单元,用于所述第一检测单元检测用户端发送的业务系统访问请求是否携带用户登录标识前,检测用户端发送的所述业务系统访问请求是否携带用户身份标识;
若未检测,则检测用户端发送的业务系统访问请求中是否携带用户登录标识;若检测到,则基于所述用户身份标识与所述用户端进行会话。
10.如权利要求9所述的装置,其特征在于,所述处理单元,还用于当未检测到所述业务系统访问请求中携带用户登录标识时,则将所述用户端重定向所述SSO认证系统,由所述SSO认证系统对所述用户端发送的携带用户身份标识的登录请求进行认证。
11.如权利要求8所述的装置,其特征在于,所述处理单元具体用于,判断所述映射关系中是否存在所述业务系统访问请求中的用户登录标识;
当存在时,获取所述用户登录标识对应的用户身份标识以及时间戳信息;
根据所述时间戳信息验证所述用户登录标识是否超时,若未超时,根据所述用户身份标识与所述用户端建立会话,并更新所述时间戳信息为当前时间;
其中,所述时间戳信息的初始时间由所述SSO认证系统对所述用户端的登录请求认证通过后,将认证通过的时间作为初始时间存储于所述缓存系统。
12.如权利要求8或11所述的装置,其特征在于,所述处理单元还用于,与所述用户端建立会话后,将所述业务系统对应的系统标识存储于所述缓存系统中相应的映射关系中;
所述装置还包括第三检测单元,用于检测所述业务系统与所述用户端的会话情况以及所述业务系统重启情况;
所述处理单元,还用于当所述第三检测单元检测到与所述用户端会话超时、关闭或者检测到所述业务系统重新启动时,则将所述映射关系中所述业务系统对应的系统标识删除。
13.如权利要求12所述的装置,其特征在于,所述处理单元还用于,将所述映射关系中所述业务系统对应的系统标识删除,检测所述映射关系是否还存在其他业务系统的系统标识,当不存在时,则将所述映射关系从所述缓存系统中删除。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610705815.9A CN107770140A (zh) | 2016-08-22 | 2016-08-22 | 一种单点登录认证方法及装置 |
| PCT/CN2017/093653 WO2018036314A1 (zh) | 2016-08-22 | 2017-07-20 | 一种单点登录认证方法及装置、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610705815.9A CN107770140A (zh) | 2016-08-22 | 2016-08-22 | 一种单点登录认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107770140A true CN107770140A (zh) | 2018-03-06 |
Family
ID=61246416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610705815.9A Pending CN107770140A (zh) | 2016-08-22 | 2016-08-22 | 一种单点登录认证方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107770140A (zh) |
| WO (1) | WO2018036314A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109189386A (zh) * | 2018-07-12 | 2019-01-11 | 新华三云计算技术有限公司 | 一种基于微服务的应用访问方法及装置 |
| CN109450976A (zh) * | 2018-10-09 | 2019-03-08 | 网宿科技股份有限公司 | 一种业务系统的访问的方法及装置 |
| CN109587251A (zh) * | 2018-12-07 | 2019-04-05 | 用友网络科技股份有限公司 | 会话访问方法以及服务器 |
| CN109815656A (zh) * | 2018-12-11 | 2019-05-28 | 平安科技(深圳)有限公司 | 登录认证方法、装置、设备及计算机可读存储介质 |
| CN110490687A (zh) * | 2019-07-09 | 2019-11-22 | 威富通科技有限公司 | 一种货物提取方法、装置及服务器 |
| CN111209349A (zh) * | 2019-12-26 | 2020-05-29 | 曙光信息产业(北京)有限公司 | 一种更新会话时间的方法和装置 |
| WO2020215698A1 (zh) * | 2019-04-25 | 2020-10-29 | 平安科技(深圳)有限公司 | 单点登录的校验方法、装置、计算机设备及存储介质 |
| CN112104588A (zh) * | 2019-06-17 | 2020-12-18 | 北京车和家信息技术有限公司 | 一种登陆认证方法及系统、终端和服务器 |
| CN112511505A (zh) * | 2020-11-16 | 2021-03-16 | 北京中关村银行股份有限公司 | 一种鉴权系统、方法、装置、设备和介质 |
| CN112836235A (zh) * | 2021-02-01 | 2021-05-25 | 长沙市到家悠享网络科技有限公司 | 信息的同步方法、系统、装置、设备及存储介质 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632241B (zh) * | 2018-03-07 | 2021-05-25 | 湖南小步科技有限公司 | 一种多应用系统统一登录方法和装置 |
| CN109474435B (zh) * | 2018-12-12 | 2021-10-01 | 中国移动通信集团江苏有限公司 | 多个业务接力认证的方法、装置、设备、系统及介质 |
| CN111371725A (zh) * | 2018-12-25 | 2020-07-03 | 成都鼎桥通信技术有限公司 | 一种提升会话机制安全性的方法、终端设备和存储介质 |
| CN110287660A (zh) * | 2019-05-21 | 2019-09-27 | 深圳壹账通智能科技有限公司 | 访问权限控制方法、装置、设备及存储介质 |
| CN110380865B (zh) * | 2019-07-12 | 2022-05-24 | 苏州浪潮智能科技有限公司 | 一种多节点管理系统的单点登录方法、装置、介质及设备 |
| CN110430205B (zh) * | 2019-08-09 | 2023-04-18 | 深圳前海微众银行股份有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110784534B (zh) * | 2019-10-25 | 2023-03-10 | 北京奇艺世纪科技有限公司 | 数据服务方法、装置、系统及电子设备 |
| CN111385347B (zh) * | 2019-12-29 | 2023-10-24 | 云帐房网络科技有限公司 | 一种基于token+lua实现的业务系统路由方法 |
| CN113132302A (zh) * | 2019-12-31 | 2021-07-16 | 北京懿医云科技有限公司 | 一种登录方法及系统 |
| CN111447184A (zh) * | 2020-03-09 | 2020-07-24 | 上海数据交易中心有限公司 | 单点登录方法及装置、系统、计算机可读存储介质 |
| CN111447245A (zh) * | 2020-05-27 | 2020-07-24 | 杭州海康威视数字技术股份有限公司 | 一种认证方法、装置、电子设备和服务端 |
| CN112650999A (zh) * | 2020-12-29 | 2021-04-13 | 北京字节跳动网络技术有限公司 | 一种用户身份鉴权控制方法、装置及系统 |
| CN113381978B (zh) * | 2021-05-12 | 2023-06-27 | 网宿科技股份有限公司 | 一种安全登录方法和装置 |
| CN113438229B (zh) * | 2021-06-23 | 2023-04-07 | 未鲲(上海)科技服务有限公司 | 一种认证方法、认证装置及认证设备 |
| CN114025028B (zh) * | 2021-10-28 | 2023-05-23 | 杭州数梦工场科技有限公司 | 一种接口请求处理方法和RESTful协议转换装置 |
| CN114039773B (zh) * | 2021-11-08 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 连接建立方法、装置、设备及计算机可读存储介质 |
| CN114124530B (zh) * | 2021-11-23 | 2024-04-19 | 中国银行股份有限公司 | 跨境撮合系统的自动登录方法及装置 |
| CN114500097A (zh) * | 2022-03-03 | 2022-05-13 | 中国农业银行股份有限公司四川省分行 | 一种基于Web系统单点登录的校验机制 |
| CN114745196B (zh) * | 2022-04-27 | 2024-01-02 | 广域铭岛数字科技有限公司 | 接口测试方法、系统、电子设备及可读存储介质 |
| CN116032621B (zh) * | 2022-12-30 | 2024-05-28 | 中国联合网络通信集团有限公司 | 前端登录方法、装置、电子设备及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102201915B (zh) * | 2010-03-22 | 2014-05-21 | 中国移动通信集团公司 | 一种基于单点登录的终端认证方法和装置 |
| CN102065141B (zh) * | 2010-12-27 | 2014-05-07 | 广州欢网科技有限责任公司 | 一种跨应用与浏览器实现单点登录的方法及系统 |
| CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
| CN103491141B (zh) * | 2013-09-04 | 2018-07-24 | 用友优普信息技术有限公司 | 应用服务器和请求处理方法 |
-
2016
- 2016-08-22 CN CN201610705815.9A patent/CN107770140A/zh active Pending
-
2017
- 2017-07-20 WO PCT/CN2017/093653 patent/WO2018036314A1/zh active Application Filing
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109189386A (zh) * | 2018-07-12 | 2019-01-11 | 新华三云计算技术有限公司 | 一种基于微服务的应用访问方法及装置 |
| CN109450976A (zh) * | 2018-10-09 | 2019-03-08 | 网宿科技股份有限公司 | 一种业务系统的访问的方法及装置 |
| CN109450976B (zh) * | 2018-10-09 | 2022-02-18 | 网宿科技股份有限公司 | 一种业务系统的访问的方法及装置 |
| CN109587251A (zh) * | 2018-12-07 | 2019-04-05 | 用友网络科技股份有限公司 | 会话访问方法以及服务器 |
| CN109815656A (zh) * | 2018-12-11 | 2019-05-28 | 平安科技(深圳)有限公司 | 登录认证方法、装置、设备及计算机可读存储介质 |
| WO2020215698A1 (zh) * | 2019-04-25 | 2020-10-29 | 平安科技(深圳)有限公司 | 单点登录的校验方法、装置、计算机设备及存储介质 |
| CN112104588A (zh) * | 2019-06-17 | 2020-12-18 | 北京车和家信息技术有限公司 | 一种登陆认证方法及系统、终端和服务器 |
| CN110490687A (zh) * | 2019-07-09 | 2019-11-22 | 威富通科技有限公司 | 一种货物提取方法、装置及服务器 |
| CN111209349A (zh) * | 2019-12-26 | 2020-05-29 | 曙光信息产业(北京)有限公司 | 一种更新会话时间的方法和装置 |
| CN112511505A (zh) * | 2020-11-16 | 2021-03-16 | 北京中关村银行股份有限公司 | 一种鉴权系统、方法、装置、设备和介质 |
| CN112836235A (zh) * | 2021-02-01 | 2021-05-25 | 长沙市到家悠享网络科技有限公司 | 信息的同步方法、系统、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018036314A1 (zh) | 2018-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107770140A (zh) | 一种单点登录认证方法及装置 | |
| US10270758B2 (en) | Login method, server, and login system | |
| CN109815656A (zh) | 登录认证方法、装置、设备及计算机可读存储介质 | |
| CN104320423B (zh) | 基于Cookie的单点登录轻量级实现方法 | |
| CN105323222B (zh) | 登录验证方法和系统 | |
| CN106302308B (zh) | 一种信任登录方法和装置 | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| CN107124431A (zh) | 鉴权方法、装置、计算机可读存储介质和鉴权系统 | |
| CN105072123B (zh) | 一种集群环境下的单点登陆退出方法及系统 | |
| CN110519296B (zh) | 一种异构web系统的单点登录与登出方法 | |
| CN106534219A (zh) | 用于桌面云门户的安全认证方法和装置 | |
| CN103841117B (zh) | 一种基于Cookie机制的JAAS登录方法和服务器 | |
| CN111447245A (zh) | 一种认证方法、装置、电子设备和服务端 | |
| CN107682361A (zh) | 网站漏洞扫描方法、装置、计算机设备及存储介质 | |
| CN107689951A (zh) | 网页数据爬取方法、装置、用户终端及可读存储介质 | |
| CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
| CN103178969B (zh) | 一种业务鉴权方法及系统 | |
| CN109756460A (zh) | 一种防重放攻击方法及装置 | |
| CN107862198A (zh) | 一种访问验证方法、系统及客户端 | |
| US20100058441A1 (en) | Information processing limitation system and information processing limitation device | |
| CN103634269A (zh) | 单点登录系统及方法 | |
| CN111241523B (zh) | 认证处理方法、装置、设备和存储介质 | |
| CN108234122B (zh) | 令牌校验方法和装置 | |
| US7233927B1 (en) | Method and system for authenticating accounts on a remote server | |
| CN108028843A (zh) | 被动式web应用防火墙 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180425 Address after: 518057 five floor, block A, ZTE communication tower, Nanshan District science and Technology Park, Shenzhen, Guangdong. Applicant after: ZTE Corporation Address before: 210000 No. 68, Bauhinia Road, Ningnan street, Yuhuatai District, Nanjing, Jiangsu Applicant before: Nanjing Zhongxing Software Co., Ltd. |
|
| TA01 | Transfer of patent application right | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180306 |
|
| WD01 | Invention patent application deemed withdrawn after publication |