CN108200050B - 单点登录服务器、方法及计算机可读存储介质 - Google Patents
单点登录服务器、方法及计算机可读存储介质 Download PDFInfo
- Publication number
- CN108200050B CN108200050B CN201711481262.4A CN201711481262A CN108200050B CN 108200050 B CN108200050 B CN 108200050B CN 201711481262 A CN201711481262 A CN 201711481262A CN 108200050 B CN108200050 B CN 108200050B
- Authority
- CN
- China
- Prior art keywords
- single sign
- service system
- information
- white list
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明公开了一种单点登录服务器,包括存储器和处理器,存储器上存储有可在处理器上运行的单点登录程序,该程序被处理器执行时实现如下步骤:根据业务系统发送的重定向信息获取客户端向服务器发送的登录请求;从登录请求中获取账号信息,并从重定向信息中获取业务系统的系统标识及其关联的白名单列表,判断白名单中是否有账号信息;若是,则对登录请求中的账号信息和密码进行校验,若校验通过,则向客户端返回令牌信息进行存储,并将令牌信息与客户端的账号信息关联后存储。本发明还提出一种单点登录方法以及一种计算机可读存储介质。本发明减少了系统代码量,提高系统的可复用性,并实现了对单点登录系统中的各业务系统权限的集中管理。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及一种单点登录服务器、方法及计算机可读存储介质。
背景技术
现有的单点登录系统的业务场景一般是:各业务系统采用同一套用户体系,目的是为了用户一次登录,可以在多个系统间共享登录结果信息,省去重复进行登录操作带来的麻烦。
这样的单点系统的操作安全性往往比较薄弱,授权的应用系统都可以访问,即用户拥有一套账号信息和密码之后,单点登录系统内的各个业务系统,用户都可以访问,可能导致一些很重要的信息泄露,想要规避这样的问题,现有的机制一般是在各业务系统中建立一套该业务系统专属的权限认证体系,在单点登录认证的同时,由各个业务系统内部再次进行权限认证,不仅增加了代码量,系统的可复用性差,而且不便于对单点登录系统的权限管理进行集中维护。
发明内容
本发明提供一种单点登录服务器、方法及计算机可读存储介质,其主要目的在于减少系统代码量,提高系统的可复用性,并实现对单点登录系统中的各业务系统权限的集中管理。
为实现上述目的,本发明提供一种单点登录服务器,该服务器包括存储器和处理器,所述存储器中存储有可在所述处理器上运行的单点登录程序,所述单点登录程序被所述处理器执行时实现如下步骤:
当接收到业务系统发送的重定向信息时,根据所述重定向信息获取客户端向服务器发送的登录请求,其中,所述业务系统在接收到客户端发送的登录请求时,若判定所述客户端为首次登录,则向所述单点登录服务器发送重定向信息,以将所述登录请求重定向到所述单点登录服务器;
从所述登录请求中获取账号信息,并从所述重定向信息中获取业务系统的系统标识;
获取与所述系统标识关联存储的白名单列表,判断所述白名单中是否有所述账号信息;
若是,则对所述登录请求中的账号信息和密码进行校验,若校验通过,则为所述客户端分配令牌信息,将所述令牌信息与所述客户端的账号信息关联后存储,并将所述令牌信息发送至所述客户端。
可选地,所述单点登录程序还可被所述处理器执行,以在获取与所述系统标识关联存储的白名单列表,判断所述白名单中是否有所述账号信息的步骤之后,还实现如下步骤:
若所述白名单中没有所述账号信息,则向所述业务系统发送无登录权限的提示信息,以供所述业务系统根据所述提示信息拒绝所述客户端的登录请求。
可选地,所述单点登录程序还可被所述处理器执行,以实现如下步骤:
当接收到所述业务系统发送的权限注册请求时,从所述权限注册请求中获取待注册的白名单列表和该业务系统的系统标识;
将所述系统标识与所述白名单列表关联后存储。
可选地,所述单点登录程序还可被所述处理器执行,以在所述将所述系统标识与所述白名单列表关联后存储的步骤之后,还实现如下步骤:
获取所述权限注册请求中的系统标识对应的业务系统的访问链接,并将所述访问链接添加至所述单点登录服务器提供的导航页面上,以供客户端基于所述访问链接触发对所述业务系统的登录请求。
可选地,所述单点登录程序还可被所述处理器执行,以实现如下步骤:
在所述单点登录服务器的运行过程中,当接收到业务系统发起的白名单更新请求时,确定该业务系统的系统标识,并根据所述白名单更新请求获取新的白名单列表;
将所述新的白名单列表更新存储为与确定的系统标识关联的白名单列表。
此外,为实现上述目的,本发明还提供一种单点登录方法,该方法包括:
单点登录服务器在接收到业务系统发送的重定向信息时,根据所述重定向信息获取客户端向服务器发送的登录请求,其中,所述业务系统在接收到客户端发送的登录请求时,若判定所述客户端为首次登录,则向所述单点登录服务器发送重定向信息,以将所述登录请求重定向到所述单点登录服务器;
从所述登录请求中获取账号信息,并从所述重定向信息中获取业务系统的系统标识;
获取与所述系统标识关联存储的白名单列表,判断所述白名单中是否有所述账号信息;
若是,则所述单点登录服务器对所述登录请求中的账号信息和密码进行校验,若校验通过,则为所述客户端分配令牌信息,将所述令牌信息与所述客户端的账号信息关联后存储,并将所述令牌信息发送至所述客户端。
可选地,所述获取与所述系统标识关联存储的白名单列表,判断所述白名单中是否有所述账号信息的步骤之后,所述方法还包括步骤:
若所述白名单中没有所述账号信息,则向所述业务系统发送无登录权限的提示信息,以供所述业务系统根据所述提示信息拒绝所述客户端的登录请求。
可选地,所述方法还包括步骤:
当所述单点登录服务器接收到所述业务系统发送的权限注册请求时,从所述权限注册请求中获取待注册的白名单列表和该业务系统的系统标识;
将所述系统标识与所述白名单列表关联后存储。
可选地,所述方法还包括步骤:
获取所述权限注册请求中的系统标识对应的业务系统的访问链接,并将所述访问链接添加至所述单点登录服务器提供的导航页面上,以供客户端基于所述访问链接触发对所述业务系统的登录请求。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有单点登录程序,所述单点登录程序可被一个或者多个处理器执行,以实现如上所述的单点登录方法的步骤。
本发明提出的单点登录服务器、方法及计算机可读存储介质,业务系统在接收到客户端发送的登录请求时,若判断客户端为首次登录,则将登录请求重定向到单点登录服务器,由单点登录服务器来对客户端的登录请求进行校验,单点登录服务器根据重定向信息获取登录请求,从登录请求中获取账号信息,从重定向信息中获取业务系统的系统标识,进而获取与该系统标识关联存储的白名单列表,并判断该白名单列表中是否有上述账号信息,若有,对登录请求中的账号信息和密码进行校验,在校验通过后,为该客户端分配令牌信息,将该令牌信息与该客户端的账号信息关联存储,并将该令牌信息发送至客户端。上述方案中,业务系统自身不对登录请求做处理,而是将其重定向到单点登录服务器来处理,实现了通过一台单点登录服务器对各个业务系统的登录权限集中管理,并且减少了系统代码量,提高系统的可复用性。
附图说明
图1为本发明单点登录服务器较佳实施例的示意图;
图2为本发明单点登录服务器一实施例中单点登录程序的程序模块示意图;
图3为本发明单点登录方法第一实施例的流程图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种单点登录服务器。参照图1所示,为本发明单点登录服务器较佳实施例的示意图。
在本实施例中,该单点登录服务器至少包括存储器11、处理器12,通信总线13,以及网络接口14。
其中,存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是单点登录服务器的内部存储单元,例如该单点登录服务器的硬盘。存储器11在另一些实施例中也可以是单点登录服务器的外部存储设备,例如单点登录服务器上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器11还可以既包括单点登录服务器的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于单点登录服务器的应用软件及各类数据,例如单点登录程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器11中存储的程序代码或处理数据,例如执行单点登录程序等。
通信总线13用于实现这些组件之间的连接通信。
网络接口14可选的可以包括标准的有线接口、无线接口(如WI-FI接口),通常用于在该服务器与其他电子设备之间建立通信连接。
图1仅示出了具有组件11-14以及单点登录程序的单点登录服务器,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
可选地,该服务器还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的用户接口还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在单点登录服务器中处理的信息以及用于显示可视化的用户界面。
在图1所示的服务器实施例中,存储器11中存储有单点登录程序;处理器12执行存储器11中存储的单点登录程序时实现如下步骤:
当接收到业务系统发送的重定向信息时,根据所述重定向信息获取客户端向服务器发送的登录请求,其中,所述业务系统在接收到客户端发送的登录请求时,若判定所述客户端为首次登录,则向所述单点登录服务器发送重定向信息,以将所述登录请求重定向到所述单点登录服务器。
该实施例提出一种单点登录服务器,该单点登录服务器对单点登录系统中的多个业务系统的权限进行管控。业务系统在接收到客户端发送的登录请求时,若判断客户端为首次登录,不对登录请求做校验,将登录请求重定向到单点登录服务器,单点登录服务器接收到重定向信息中,从重定向信息中获取登录请求,对该登录请求进行校验,该业务系统向单点登录服务器发送的重定向信息中包含有登录请求和该业务系统的标识信息。
从所述登录请求中获取账号信息,并从所述重定向信息中获取业务系统的系统标识。
获取与所述系统标识关联存储的白名单列表,判断所述白名单中是否有所述账号信息。单点登录服务器在接收到上述重定向信息后,从中获取业务系统的系统标识,然后从数据库中存储的多个白名单列列表中查找与该系统标识对应的白名单列表,根据该白名单列表判断上述客户端是否具有登录权限。
其中,关于单点登录服务器获取各个业务系统的白名单列表的方式,可以通过以下手段实现:该单点登录服务器在一个公共的单点登录系统上开放一个供外部的业务系统调用的接口,这些业务系统通过该接口向单点登录系统发送白名单注册请求,当单点登录服务器接收到所述系统的权限注册请求时,从所述权限注册请求中获取待注册的白名单列表和该业务系统的系统标识;将所述系统标识与所述白名单列表关联后存储。通过上述方式,业务系统随时可以向单点登录系统申请注册白名单列表。或者,在其他实施例中,可以由系统管理员直接在单点登录服务器中配置各个业务系统的白名单列表。对于一个业务系统来说,其白名单中包含有权限登录该业务系统的用户的账号信息。
可选地,在其他实施例中,为了提高白名单列表传输过程中的安全性,避免被拦截并篡改,业务系统在向单点登录服务器发送白名单注册请求,按照预设的加密算法将待注册的白名单列表加密后发送至单点登录服务器,由单点登录服务器解密后存储。
可选地,在一些实施例中,在单点登录服务器的运行过程中,当接收到业务系统发起的白名单更新请求时,确定该业务系统的系统标识,并根据白名单更新请求获取新的白名单列表;将新的白名单列表更新存储为与确定的系统标识关联的白名单列表。
若是,则对所述登录请求中的账号信息和密码进行校验,若校验通过,则为所述客户端分配令牌信息,将所述令牌信息与所述客户端的账号信息关联后存储,并将所述令牌信息发送至所述客户端。此外,还可以将该令牌信息和账号信息一起发送给上述系统标识对应的业务系统,以供该业务系统存储,并用于后续与客户端之间的会话的校验。客户端在接收到令牌信息后存储该令牌信息,当该客户端再次登录其他业务系统时,在请求中携带该令牌信息,若该令牌信息为有效的,则不需要再次输入账号信息和密码,单点登录服务器即可授权其登录。实现了用户一处登录、授权系统处处可用。
按照上述方案,本实施例中的单点登录系统中,各个业务系统可以自行设置哪些账号信息有权限登录该业务系统,并形成一个白名单列表,将该白名单注册到单点登录系统中,进行统一管理。例如,一个单点登录系统中,可能包含有业务系统S1、业务系统S2、业务系统S3……业务系统S100等上百个业务系统,但是并不是拥有该系统的一个账户信息后即可登录上述所有系统,而是由各个业务系统根据需要将权限开放给特定的用户,例如,某账号A可能只有登录其中的业务系统S2、业务系统S3的权限,而不具有登录其他业务系统的权限。
需要说明的是,若所述白名单中没有所述账号信息,则向所述业务系统发送无登录权限的提示信息,以供所述业务系统根据所述提示信息拒绝所述客户端的登录请求。也就是说,对于不在白名单列表中的客户端,直接判定其没有访问该业务系统的权限,不再对其账户和密码进行校验,向业务系统发送无登录权限的提示信息,由业务系统拒绝其登录。
此外,可以理解的是,对于业务系统来说,若根据登录请求判断该客户端不是首次登录,不再需要单点登录服务器对该客户端是否具有登录该业务系统的权限进行校验。只需将请求中的账号信息和令牌信息发送给单点登录服务器,由单点登录服务器对令牌信息的合法性和有效性进行校验。其中,业务系统可以根据登录请求中是否携带有令牌信息来判断是否是首次登录,若携带有令牌信息,则不是首次登录,若没有携带令牌信息,则判定本次登录为首次登录。
本实施例提出的装置可以应用在多种场景中,例如,应用在企业业务管理中,若企业有多种不同的业务,这些业务分别单独部署有服务器或者服务器群组实现业务系统。这些业务系统之间相互独立运行。通过本实施例的方案可以实现对这些业务系统的权限的综合管理。例如,对于某企业,具有B2B(Business-to-Business)交易平台系统、舆情监控系统、运营监管系统等多个与金融交易相关的系统,用户拥有企业内部账户,但是并不具有登录每一个系统的权限,则可以基于本实施例的方案部署一台单点登录服务器即可实现,不需要改变原有的各个业务系统,即可实现对各个业务系统的权限的个性化管理。
可选地,作为一种实施方式,单点登录程序还可被所述处理器执行,以在所述将所述系统标识与所述白名单列表关联后存储的步骤之后,还实现如下步骤:获取所述权限注册请求中的系统标识对应的业务系统的访问链接,并将所述访问链接添加至所述单点登录服务器提供的导航页面上,以供客户端基于所述访问链接触发对所述业务系统的登录请求。
该单点登录服务器对外提供一个导航页面,用户无需记住或者收藏每一个业务系统的访问链接,认证登录成功后可在单点登录系统导航页选择需要访问的业务系统。
上述实施例提出的单点登录服务器,业务系统在接收到客户端发送的登录请求时,若判断客户端为首次登录,则将登录请求重定向到单点登录服务器,由单点登录服务器来对客户端的登录请求进行校验,单点登录服务器根据重定向信息获取登录请求,从登录请求中获取账号信息,从重定向信息中获取业务系统的系统标识,进而获取与该系统标识关联存储的白名单列表,并判断该白名单列表中是否有上述账号信息,若有,对登录请求中的账号信息和密码进行校验,在校验通过后,为该客户端分配令牌信息,将该令牌信息与该客户端的账号信息关联存储,并将该令牌信息发送至客户端。上述方案中,业务系统自身不对登录请求做处理,而是将其重定向到单点登录服务器来处理,实现了通过一台单点登录服务器对各个业务系统的登录权限集中管理,并且减少了系统代码量,提高系统的可复用性。
可选地,在其他的实施例中,单点登录程序还可以被分割为一个或者多个模块,一个或者多个模块被存储于存储器11中,并由一个或多个处理器(本实施例为处理器12)所执行以完成本发明,本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段,用于描述单点登录程序在单点登录服务器中的执行过程。
例如,参照图2所示,为本发明单点登录服务器一实施例中的单点登录程序的程序模块示意图,该实施例中,单点登录程序可以被分割为接收模块10、获取模块20、判断模块30和校验模块40,示例性地:
接收模块10用于:当接收到业务系统发送的重定向信息时,根据所述重定向信息获取客户端向服务器发送的登录请求,其中,所述业务系统在接收到客户端发送的登录请求时,若判定所述客户端为首次登录,则向所述单点登录服务器发送重定向信息,以将所述登录请求重定向到所述单点登录服务器;
获取模块20用于:从所述登录请求中获取账号信息,并从所述重定向信息中获取业务系统的系统标识;
判断模块30用于:获取与所述系统标识关联存储的白名单列表,判断所述白名单中是否有所述账号信息;
校验模块40用于:若所述白名单中有所述账号信息,则对所述登录请求中的账号信息和密码进行校验,若校验通过,则为所述客户端分配令牌信息,将所述令牌信息与所述客户端的账号信息关联后存储,并将所述令牌信息发送至所述客户端。
上述接收模块10、获取模块20、判断模块30和校验模块40等程序模块被执行时所实现的功能或操作步骤与上述实施例大体相同,在此不再赘述。
此外,本发明还提供一种单点登录方法。参照图3所示,为本发明单点登录方法第一实施例的流程图。该方法可以由一个服务器执行,该服务器可以由软件和/或硬件实现。
在本实施例中,单点登录方法包括:
步骤S10,单点登录服务器在接收到业务系统发送的重定向信息时,根据所述重定向信息获取客户端向服务器发送的登录请求,其中,所述业务系统在接收到客户端发送的登录请求时,若判定所述客户端为首次登录,则向所述单点登录服务器发送重定向信息,以将所述登录请求重定向到所述单点登录服务器。
该实施例提出一种单点登录方法,以下以单点登录服务器作为执行主体对本实施例方法地方案进行说明。该单点登录服务器对单点登录系统中的多个业务系统的权限进行管控。业务系统在接收到客户端发送的登录请求时,若判断客户端为首次登录,不对登录请求做校验,将登录请求重定向到单点登录服务器,单点登录服务器接收到重定向信息中,从重定向信息中获取登录请求,对该登录请求进行校验,该业务系统向单点登录服务器发送的重定向信息中包含有登录请求和该业务系统的标识信息。
步骤S20,从所述登录请求中获取账号信息,并从所述重定向信息中获取业务系统的系统标识。
步骤S30,获取与所述系统标识关联存储的白名单列表,判断所述白名单中是否有所述账号信息。
单点登录服务器在接收到上述重定向信息后,从中获取业务系统的系统标识,然后从数据库中存储的多个白名单列列表中查找与该系统标识对应的白名单列表,根据该白名单列表判断上述客户端是否具有登录权限。
其中,关于单点登录服务器获取各个业务系统的白名单列表的方式,可以通过以下手段实现:该单点登录服务器在一个公共的单点登录系统上开放一个供外部的业务系统调用的接口,这些业务系统通过该接口向单点登录系统发送白名单注册请求,当单点登录服务器接收到所述系统的权限注册请求时,从所述权限注册请求中获取待注册的白名单列表和该业务系统的系统标识;将所述系统标识与所述白名单列表关联后存储。通过上述方式,业务系统随时可以向单点登录系统申请注册白名单列表。或者,在其他实施例中,可以由系统管理员直接在单点登录服务器中配置各个业务系统的白名单列表。对于一个业务系统来说,其白名单中包含有权限登录该业务系统的用户的账号信息。
可选地,在其他实施例中,为了提高白名单列表传输过程中的安全性,避免被拦截并篡改,业务系统在向单点登录服务器发送白名单注册请求,按照预设的加密算法将待注册的白名单列表加密后发送至单点登录服务器,由单点登录服务器解密后存储。
可选地,在一些实施例中,在单点登录服务器的运行过程中,当接收到业务系统发起的白名单更新请求时,确定该业务系统的系统标识,并根据白名单更新请求获取新的白名单列表;将新的白名单列表更新存储为与确定的系统标识关联的白名单列表。
步骤S40,若是,则对所述登录请求中的账号信息和密码进行校验,若校验通过,则为所述客户端分配令牌信息,将所述令牌信息与所述客户端的账号信息关联后存储,并将所述令牌信息发送至所述客户端。此外,还可以将该令牌信息和账号信息一起发送给上述系统标识对应的业务系统,以供该业务系统存储,并用于后续与客户端之间的会话的校验。客户端在接收到令牌信息后存储该令牌信息,当该客户端再次登录其他业务系统时,在请求中携带该令牌信息,若该令牌信息为有效的,则不需要再次输入账号信息和密码,单点登录服务器即可授权其登录。实现了用户一处登录、授权系统处处可用。
按照上述方案,本实施例中的单点登录系统中,各个业务系统可以自行设置哪些账号信息有权限登录该业务系统,并形成一个白名单列表,将该白名单注册到单点登录系统中,进行统一管理。例如,一个单点登录系统中,可能包含有业务系统S1、业务系统S2、业务系统S3……业务系统S100等上百个业务系统,但是并不是拥有该系统的一个账户信息后即可登录上述所有系统,而是由各个业务系统根据需要将权限开放给特定的用户,例如,某账号A可能只有登录其中的业务系统S2、业务系统S3的权限,而不具有登录其他业务系统的权限。
需要说明的是,若所述白名单中没有所述账号信息,则向所述业务系统发送无登录权限的提示信息,以供所述业务系统根据所述提示信息拒绝所述客户端的登录请求。也就是说,对于不在白名单列表中的客户端,直接判定其没有访问该业务系统的权限,不再对其账户和密码进行校验,向业务系统发送无登录权限的提示信息,由业务系统拒绝其登录。
此外,可以理解的是,对于业务系统来说,若根据登录请求判断该客户端不是首次登录,不再需要单点登录服务器对该客户端是否具有登录该业务系统的权限进行校验。只需将请求中的账号信息和令牌信息发送给单点登录服务器,由单点登录服务器对令牌信息的合法性和有效性进行校验。其中,业务系统可以根据登录请求中是否携带有令牌信息来判断是否是首次登录,若携带有令牌信息,则不是首次登录,若没有携带令牌信息,则判定本次登录为首次登录。
本实施例提出的方法可以应用在多种场景中,例如,应用在企业业务管理中,若企业有多种不同的业务,这些业务分别单独部署有服务器或者服务器群组以实现业务系统。这些业务系统之间相互独立运行,通过本实施例的方案可以实现对这些业务系统的权限的综合管理。例如,对于某企业,具有B2B(Business-to-Business)交易平台系统、舆情监控系统、运营监管系统等多个与金融交易相关的系统,用户拥有企业内部账户,但是并不具有登录每一个系统的权限,则可以基于本实施例的方案部署一台单点登录服务器即可实现,不需要改变原有的各个业务系统,即可实现对各个业务系统的权限的个性化管理。
可选地,作为一种实施方式,单点登录程序还可被所述处理器执行,以在所述将所述系统标识与所述白名单列表关联后存储的步骤之后,还实现如下步骤:获取所述权限注册请求中的系统标识对应的业务系统的访问链接,并将所述访问链接添加至所述单点登录服务器提供的导航页面上,以供客户端基于所述访问链接触发对所述业务系统的登录请求。
该单点登录服务器对外提供一个导航页面,用户无需记住或者收藏每一个业务系统的访问链接,认证登录成功后可在单点登录系统导航页选择需要访问的业务系统。
上述实施例提出的单点登录方法中,业务系统在接收到客户端发送的登录请求时,若判断客户端为首次登录,则将登录请求重定向到单点登录服务器,由单点登录服务器来对客户端的登录请求进行校验,单点登录服务器根据重定向信息获取登录请求,从登录请求中获取账号信息,从重定向信息中获取业务系统的系统标识,进而获取与该系统标识关联存储的白名单列表,并判断该白名单列表中是否有上述账号信息,若有,对登录请求中的账号信息和密码进行校验,在校验通过后,为该客户端分配令牌信息,将该令牌信息与该客户端的账号信息关联存储,并将该令牌信息发送至客户端。上述方案中,业务系统自身不对登录请求做处理,而是将其重定向到单点登录服务器来处理,实现了通过一台单点登录服务器对各个业务系统的登录权限集中管理,并且减少了系统代码量,提高系统的可复用性。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有单点登录程序,所述单点登录程序可被一个或多个处理器执行,以实现如下操作:
当接收到业务系统发送的重定向信息时,根据所述重定向信息获取客户端向服务器发送的登录请求,其中,所述业务系统在接收到客户端发送的登录请求时,若判定所述客户端为首次登录,则向所述单点登录服务器发送重定向信息,以将所述登录请求重定向到所述单点登录服务器;
从所述登录请求中获取账号信息,并从所述重定向信息中获取业务系统的系统标识;
获取与所述系统标识关联存储的白名单列表,判断所述白名单中是否有所述账号信息;
若是,则对所述登录请求中的账号信息和密码进行校验,若校验通过,则为所述客户端分配令牌信息,将所述令牌信息与所述客户端的账号信息关联后存储,并将所述令牌信息发送至所述客户端。
进一步地,所述单点登录程序被处理器执行时还实现如下操作:
若所述白名单中没有所述账号信息,则向所述业务系统发送无登录权限的提示信息,以供所述业务系统根据所述提示信息拒绝所述客户端的登录请求。
进一步地,所述单点登录程序被处理器执行时还实现如下操作:
当接收到所述业务系统发送的权限注册请求时,从所述权限注册请求中获取待注册的白名单列表和该业务系统的系统标识;
将所述系统标识与所述白名单列表关联后存储。
进一步地,所述单点登录程序被处理器执行时还实现如下操作:
在所述将所述系统标识与所述白名单列表关联后存储之后,获取所述权限注册请求中的系统标识对应的业务系统的访问链接,并将所述访问链接添加至所述单点登录服务器提供的导航页面上,以供客户端基于所述访问链接触发对所述业务系统的登录请求。
本发明计算机可读存储介质具体实施方式与上述单点登录服务器和方法各实施例基本相同,在此不作累述。
需要说明的是,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、服务器、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、服务器、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、服务器、物品或者方法中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种单点登录服务器,其特征在于,所述服务器包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的单点登录程序,所述单点登录程序被所述处理器执行时实现如下步骤:
当接收到业务系统发送的重定向信息时,根据所述重定向信息获取客户端向服务器发送的登录请求,其中,所述业务系统在接收到客户端发送的登录请求时,若判定所述客户端为首次登录,则向所述单点登录服务器发送重定向信息,以将所述登录请求重定向到所述单点登录服务器,所述重定向信息包括所述登录请求和所述业务系统的标识信息;
从所述登录请求中获取账号信息,并从所述重定向信息中获取业务系统的系统标识;
从数据库的多个白名单列表中获取与所述系统标识关联存储的白名单列表,判断所述白名单列表中是否有所述账号信息,其中,所述白名单列表是所述业务系统基于预设的加密算法对待注册白名单列表进行加密后得到的,包括:若所述白名单列表中没有所述账号信息,则向所述业务系统发送无登录权限的提示信息,以供所述业务系统根据所述提示信息拒绝所述客户端的登录请求;
若所述白名单列表中有所述账号信息,则对所述登录请求中的账号信息和密码进行校验,若校验通过,则为所述客户端分配令牌信息,将所述令牌信息与所述客户端的账号信息关联后存储,并将所述令牌信息发送至所述客户端;
所述步骤还包括:当接收到所述业务系统发送的权限注册请求时,从所述权限注册请求中获取待注册的白名单列表和该业务系统的系统标识,将所述系统标识与所述白名单列表关联后存储。
2.如权利要求1所述的单点登录服务器,其特征在于,所述单点登录程序还可被所述处理器执行,以在所述将所述系统标识与所述白名单列表关联后存储的步骤之后,还实现如下步骤:
获取所述权限注册请求中的系统标识对应的业务系统的访问链接,并将所述访问链接添加至所述单点登录服务器提供的导航页面上,以供客户端基于所述访问链接触发对所述业务系统的登录请求。
3.如权利要求1所述的单点登录服务器,其特征在于,所述单点登录程序还可被所述处理器执行,以实现如下步骤:
在所述单点登录服务器的运行过程中,当接收到业务系统发起的白名单更新请求时,确定该业务系统的系统标识,并根据所述白名单更新请求获取新的白名单列表;
将所述新的白名单列表更新存储为与确定的系统标识关联的白名单列表。
4.一种单点登录方法,其特征在于,所述方法包括:
单点登录服务器在接收到业务系统发送的重定向信息时,根据所述重定向信息获取客户端向服务器发送的登录请求,其中,所述业务系统在接收到客户端发送的登录请求时,若判定所述客户端为首次登录,则向所述单点登录服务器发送重定向信息,以将所述登录请求重定向到所述单点登录服务器,所述重定向信息包括所述登录请求和所述业务系统的标识信息;
从所述登录请求中获取账号信息,并从所述重定向信息中获取业务系统的系统标识;
从数据库的多个白名单列表中获取与所述系统标识关联存储的白名单列表,判断所述白名单列表中是否有所述账号信息,其中,所述白名单列表是所述业务系统基于预设的加密算法对待注册白名单列表进行加密后得到的,包括:若所述白名单列表中没有所述账号信息,则向所述业务系统发送无登录权限的提示信息,以供所述业务系统根据所述提示信息拒绝所述客户端的登录请求;
若所述白名单列表中有所述账号信息,则所述单点登录服务器对所述登录请求中的账号信息和密码进行校验,若校验通过,则为所述客户端分配令牌信息,将所述令牌信息与所述客户端的账号信息关联后存储,并将所述令牌信息发送至所述客户端;
所述方法还包括:当接收到所述业务系统发送的权限注册请求时,从所述权限注册请求中获取待注册的白名单列表和该业务系统的系统标识,将所述系统标识与所述白名单列表关联后存储。
5.如权利要求4所述的单点登录方法,其特征在于,所述方法还包括步骤:
获取所述权限注册请求中的系统标识对应的业务系统的访问链接,并将所述访问链接添加至所述单点登录服务器提供的导航页面上,以供客户端基于所述访问链接触发对所述业务系统的登录请求。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有单点登录程序,所述单点登录程序可被一个或者多个处理器执行,以实现如权利要求4至5中任一项所述的单点登录方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711481262.4A CN108200050B (zh) | 2017-12-29 | 2017-12-29 | 单点登录服务器、方法及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711481262.4A CN108200050B (zh) | 2017-12-29 | 2017-12-29 | 单点登录服务器、方法及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108200050A CN108200050A (zh) | 2018-06-22 |
| CN108200050B true CN108200050B (zh) | 2022-07-01 |
Family
ID=62586835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711481262.4A Active CN108200050B (zh) | 2017-12-29 | 2017-12-29 | 单点登录服务器、方法及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108200050B (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108897844B (zh) * | 2018-06-27 | 2021-04-06 | 广州视源电子科技股份有限公司 | 教学系统账号分配和校验方法、装置和系统 |
| CN108959912A (zh) | 2018-06-29 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种bios和操作系统复用密码的方法、装置及设备 |
| CN108965275B (zh) * | 2018-07-03 | 2021-06-08 | 福建天晴数码有限公司 | 一种体验游戏的方法及系统 |
| CN109067749A (zh) * | 2018-08-13 | 2018-12-21 | 深信服科技股份有限公司 | 一种信息处理方法、设备及计算机可读存储介质 |
| CN109379324B (zh) * | 2018-08-21 | 2021-12-14 | 中至数据集团股份有限公司 | 网站访问方法、装置、可读存储介质及计算机设备 |
| CN108965331B (zh) * | 2018-08-29 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 登录校验方法、装置和登录系统 |
| CN108965335B (zh) * | 2018-09-07 | 2022-07-08 | 平安科技(深圳)有限公司 | 防止恶意访问登录接口的方法、电子设备及计算机介质 |
| CN109388941A (zh) * | 2018-10-29 | 2019-02-26 | 苏州友教习亦教育科技有限公司 | 教师权限登录方法及系统 |
| CN109543376B (zh) * | 2018-11-30 | 2021-04-23 | 高新兴科技集团股份有限公司 | 登陆认证方法、计算机存储介质及电子设备 |
| CN109740304A (zh) * | 2018-11-30 | 2019-05-10 | 深圳市元征科技股份有限公司 | 一种车型诊断权限管理方法及相关设备 |
| CN109639740B (zh) * | 2019-01-31 | 2022-02-22 | 平安科技(深圳)有限公司 | 一种基于设备id的登录态共享方法及装置 |
| CN109936579A (zh) * | 2019-03-21 | 2019-06-25 | 广东瑞恩科技有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110333957B (zh) * | 2019-05-30 | 2024-02-02 | 深圳创芯在线科技有限公司 | 远程过程调用rpc服务调用方法、装置和计算机设备 |
| CN110245176A (zh) * | 2019-06-20 | 2019-09-17 | 中移电子商务有限公司 | 一种数据获取方法、装置、设备及介质 |
| CN110471966B (zh) * | 2019-07-02 | 2023-08-01 | 平安科技(深圳)有限公司 | 信息数据校验方法、装置、计算机设备及存储介质 |
| CN110519240B (zh) * | 2019-08-09 | 2021-04-27 | 浙江大搜车软件技术有限公司 | 一种单点登录方法、装置及系统 |
| CN110781482B (zh) * | 2019-10-12 | 2021-06-18 | 广州酷旅旅行社有限公司 | 登陆方法、装置、计算机设备和存储介质 |
| CN110866243B (zh) * | 2019-10-25 | 2022-11-22 | 北京达佳互联信息技术有限公司 | 登录权限校验方法、装置、服务器及存储介质 |
| CN110781485B (zh) * | 2019-11-07 | 2022-02-22 | 推想医疗科技股份有限公司 | 单点登录方法及装置 |
| CN111126940B (zh) * | 2019-11-22 | 2023-07-11 | 泰康保险集团股份有限公司 | 业务申请的处理方法、装置、设备及计算机可读存储介质 |
| CN111462413B (zh) * | 2020-04-29 | 2022-04-08 | 西门子电力自动化有限公司 | 电力系统的屏柜中设备的登录方法、装置、系统和屏柜 |
| CN111753268B (zh) * | 2020-05-12 | 2023-08-11 | 西安震有信通科技有限公司 | 一种单点登录方法、装置、存储介质及移动终端 |
| CN111800397A (zh) * | 2020-06-23 | 2020-10-20 | 四川虹美智能科技有限公司 | 无形资产管理平台的登录方法、装置和系统 |
| CN111756753B (zh) * | 2020-06-28 | 2022-09-23 | 中国平安财产保险股份有限公司 | 一种权限验证方法及系统 |
| CN111832000A (zh) * | 2020-07-17 | 2020-10-27 | 深信服科技股份有限公司 | 一种单点登录方法、系统、设备及计算机可读存储介质 |
| CN114157438A (zh) * | 2020-08-18 | 2022-03-08 | 深圳富桂精密工业有限公司 | 网络设备管理方法、装置及计算机可读存储介质 |
| CN112417416A (zh) * | 2020-11-19 | 2021-02-26 | 深圳市德普光业科技有限公司 | 一种业务系统的认证交互方法、系统及存储介质 |
| CN114666083A (zh) * | 2020-12-24 | 2022-06-24 | 中国电信股份有限公司 | 反向点名系统、反向点名方法以及计算机可读存储介质 |
| CN114912148A (zh) * | 2021-02-08 | 2022-08-16 | 网银在线(北京)科技有限公司 | 鉴权方法及装置、系统、计算机存储介质、电子设备 |
| CN115174128A (zh) * | 2021-03-19 | 2022-10-11 | 北京金山云网络技术有限公司 | 一种登录管理方法、装置及私有云控制服务器 |
| CN113569274A (zh) * | 2021-06-07 | 2021-10-29 | 飞友科技有限公司 | 一种免注册登录的表单填写方法及装置 |
| CN113742676B (zh) * | 2021-09-13 | 2024-04-19 | 北京锐安科技有限公司 | 一种登录管理方法、装置、服务器、系统及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506499A (zh) * | 2014-12-11 | 2015-04-08 | 歌尔声学股份有限公司 | 单点登录应用系统的方法及装置 |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用系统的单点登录方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102064941B (zh) * | 2010-10-12 | 2013-01-02 | 深圳市龙视传媒有限公司 | 一种松耦合单点登录的实现方法及其系统 |
| US8826390B1 (en) * | 2012-05-09 | 2014-09-02 | Google Inc. | Sharing and access control |
| CN102984169A (zh) * | 2012-12-11 | 2013-03-20 | 中广核工程有限公司 | 单点登录方法、设备及系统 |
| CN104320394A (zh) * | 2014-10-24 | 2015-01-28 | 华迪计算机集团有限公司 | 单点登录的实现方法和系统 |
| CN111628971B (zh) * | 2017-02-09 | 2022-09-13 | 创新先进技术有限公司 | 一种信任登录方法 |
-
2017
- 2017-12-29 CN CN201711481262.4A patent/CN108200050B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506499A (zh) * | 2014-12-11 | 2015-04-08 | 歌尔声学股份有限公司 | 单点登录应用系统的方法及装置 |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用系统的单点登录方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108200050A (zh) | 2018-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108200050B (zh) | 单点登录服务器、方法及计算机可读存储介质 | |
| US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
| CN112019493B (zh) | 身份认证方法、身份认证装置、计算机设备和介质 | |
| US20190140837A1 (en) | Remote Management Method, and Device | |
| CN108259502B (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
| US9226143B2 (en) | Controlling application access to mobile device functions | |
| CN108449315B (zh) | 请求合法性的校验装置、方法及计算机可读存储介质 | |
| US20140007215A1 (en) | Mobile applications platform | |
| US10212151B2 (en) | Method for operating a designated service, service unlocking method, and terminal | |
| US8261336B2 (en) | System and method for making accessible a set of services to users | |
| US20100077467A1 (en) | Authentication service for seamless application operation | |
| CN109005142B (zh) | 网站安全检测方法、装置、系统、计算机设备和存储介质 | |
| US9331999B2 (en) | Information processing system and authentication method | |
| CN112039826B (zh) | 应用于小程序端的登录方法和装置,电子设备,可读介质 | |
| US9942047B2 (en) | Controlling application access to mobile device functions | |
| CN105191208B (zh) | 用于激活用户装置上的应用程序的方法 | |
| EP3862899A1 (en) | Information communication apparatus, authentication program for information communication apparatus, and authentication method | |
| CN110958119A (zh) | 身份验证方法和装置 | |
| CN106713315B (zh) | 插件应用程序的登录方法和装置 | |
| CN111600900B (zh) | 基于区块链的单点登录方法、服务端及系统 | |
| CN113239397A (zh) | 信息访问方法、装置、计算机设备及介质 | |
| CN108965335B (zh) | 防止恶意访问登录接口的方法、电子设备及计算机介质 | |
| US20100250607A1 (en) | Personal information management apparatus and personal information management method | |
| CN116226879A (zh) | 服务接口访问控制方法、装置、计算机设备和存储介质 | |
| WO2020263938A1 (en) | Document signing system for mobile devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230920 Address after: 1103-A53, 11th Floor, Building 3, Yard 20, Guogongzhuang Middle Street, Fengtai District, Beijing, 100000 Patentee after: Beijing Zhongke Fuzhi Technology Co.,Ltd. Address before: 400010 38 / F, 39 / F, unit 1, 99 Wuyi Road, Yuzhong District, Chongqing Patentee before: CHONGQING FINANCIAL ASSETS EXCHANGE Co.,Ltd. |