CN108243183B - 门户系统的集成控制方法、系统和计算机设备 - Google Patents
门户系统的集成控制方法、系统和计算机设备 Download PDFInfo
- Publication number
- CN108243183B CN108243183B CN201711383907.0A CN201711383907A CN108243183B CN 108243183 B CN108243183 B CN 108243183B CN 201711383907 A CN201711383907 A CN 201711383907A CN 108243183 B CN108243183 B CN 108243183B
- Authority
- CN
- China
- Prior art keywords
- authority
- information
- portal system
- user
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种门户系统的集成控制方法、系统和计算机设备。其中,一种门户系统的集成控制方法,包括:接收业务子系统的访问请求指令,通过权限包从访问请求指令的cookie中获取凭证信息;根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证;当权限认证通过后,跳转至访问请求页面;否则跳转至门户系统的登录页面。通过本发明的技术方案,实现了一个包含权限控制和单点登录的通用门户系统集成方案,同时通过依赖权限包,实现了各个业务子系统作简单配置就能接入门户系统,大大减少了开发工作量;并通过Session存储服务,解决了集群下的session存储问题,达到session统一存储和对用户无感知的目的。
Description
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种门户系统的集成控制方法,一种门户系统的集成控制系统,一种计算机设备,一种计算机可读存储介质。
背景技术
目前关于门户系统与业务子系统的集成,通常采用单点登录的方案,即1个cookie+N个session的方案,如图1所示。其中,图1所示的门户系统的集成方案具体包括如下步骤:
步骤S10,门户系统登录成功;
步骤S12,办理系统A业务;
步骤S14,获取并判断系统A本地session是否存在;
步骤S16,若不存在,与SSO(Single Sign On,单点登录)服务器进行交互,获取新的ticket和session;
步骤S18,若存在,则进行正常业务流程。
该方案虽然解决了门户系统单点登录的问题,但是并没有解决单点登出的问题,也没有解决集群下门户系统的session存储问题,以及权限控制的问题。
发明内容
本发明旨在至少解决现有技术或相关技术中存在的技术问题之一。
为此,本发明的一方面在于提出了一种门户系统的集成控制方法。
本发明的另一方面在于提出了一种门户系统的集成控制系统。
本发明的再一方面在于提出了一种计算机设备。
本发明的又一方面在于提出了一种计算机可读存储介质。
有鉴于此,本发明的一方面,提出了一种门户系统的集成控制方法,包括:接收业务子系统的访问请求指令,通过权限包从访问请求指令的cookie中获取凭证信息;根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证;当权限认证通过后,跳转至访问请求页面;否则跳转至门户系统的登录页面。
另外,根据本发明上述的门户系统的集成控制方法,还可以具有如下附加的技术特征:
在上述技术方案中,优选地,该集成控制方法还包括:在门户系统的登录页面,接收客户端输入的用户信息;根据用户信息从预设的权限资源模型中获取相应的权限信息,将用户信息和权限信息生成session数据;并以凭证信息为key将session数据存入Session存储服务。
在上述任一技术方案中,优选地,权限资源模型包括系统资源、菜单资源、页面资源、按钮资源以及数据资源。
在上述任一技术方案中,优选地,集成控制方法还包括:从访问请求指令中获取标识信息,根据标识信息确定业务子系统的类型。
在上述任一技术方案中,优选地,根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:当业务子系统为自研系统时,根据凭证信息从Session存储服务中获取用户信息及权限信息;根据用户信息判断用户是否已单点登录;若已单点登录,根据权限信息判断访问请求是否有权限;若有权限,则判定权限认证通过。
权限包在上述任一技术方案中,优选地,根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:当业务子系统为异构系统时,根据凭证信息从Session存储服务中获取用户信息;根据用户信息判断用户是否已登录门户系统;若已登录,则判定权限认证通过。
本发明的另一方面,提出了一种门户系统的集成控制系统,包括:拦截单元,用于接收业务子系统的访问请求指令,通过权限包从访问请求指令的cookie中获取凭证信息;验证单元,用于根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证;当权限认证通过后,跳转至访问请求页面;否则跳转至门户系统的登录页面。
在上述技术方案中,优选地,集成控制系统还包括:接收单元,在门户系统的登录页面,接收客户端输入的用户信息;Session存储单元,用于根据用户信息从预设的权限资源模型中获取相应的权限信息,将用户信息和权限信息生成session数据;并以凭证信息为key将session数据存入Session存储服务。
在上述任一技术方案中,优选地,权限资源模型包括系统资源、菜单资源、页面资源、按钮资源以及数据资源。
在上述任一技术方案中,优选地,集成控制系统还包括:判断单元,用于从访问请求指令中获取标识信息,根据标识信息确定业务子系统的类型。
在上述任一技术方案中,优选地,验证单元根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:当业务子系统为自研系统时,根据凭证信息从Session存储服务中获取用户信息及权限信息;根据用户信息判断用户是否已单点登录;若已单点登录,根据权限信息判断访问请求是否有权限;若有权限,则判定权限认证通过。
权限包在上述任一技术方案中,优选地,验证单元根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:当业务子系统为异构系统时,根据凭证信息从Session存储服务中获取用户信息;根据用户信息判断用户是否已登录门户系统;若已登录,则判定权限认证通过。
本发明的再一方面,提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器用于执行如上述技术方案中任一项方法的步骤。
本发明的又一方面,提出了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现了如上述技术方案中任一项方法的步骤。
根据本发明的门户系统的集成控制方法,在接收到业务子系统的访问请求时,权限包拦截各子系统的请求,从cookie中获取凭证信息,并与门户系统进行交互,根据凭证信息从Session存储服务中获取相应的session数据,以对用户权限进行认证,若权限认证通过,则跳转至访问请求页面,若权限认证未通过,则跳转至门户系统的登录页面,从而实现了一个包含权限控制和单点登录的通用门户系统集成方案。同时,通过依赖权限包,实现了各个业务子系统作简单配置就能接入门户系统,大大减少了开发工作量;并通过Session存储服务,解决了集群下的session存储问题,达到session统一存储和对用户无感知的目的。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了相关技术中的门户系统的集成方案的示意图;
图2示出了根据本发明的一个实施例的门户系统的集成控制方法的流程示意图;
图3示出了根据本发明的另一个实施例的门户系统的集成控制方法的流程示意图;
图4示出了根据本发明的再一个实施例的门户系统的集成控制方法的流程示意图;
图5示出了根据本发明的又一个实施例的门户系统的集成控制方法的流程示意图;
图6示出了根据本发明的又一个实施例的门户系统的集成控制方法的流程示意图;
图7示出了根据本发明的一个实施例的门户系统的集成控制系统的示意框图;
图8示出了根据本发明的另一个实施例的门户系统的集成控制系统的示意框图;
图9示出了根据本发明的再一个实施例的门户系统的集成控制系统的示意框图;
图10示出了根据本发明的一个具体实施例的权限资源模型的示意图;
图11示出了根据本发明的一个具体实施例的门户系统与业务子系统的交互示意图;
图12示出了根据本发明的一个具体实施例的门户系统与Session存储服务的交互示意图;
图13示出了根据本发明的一个实施例的计算机设备的示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
如图2所示,根据本发明的一个实施例的门户系统的集成控制方法的流程示意图。其中,该集成控制方法,包括:
步骤102,接收业务子系统的访问请求指令,通过权限包从访问请求指令的cookie中获取凭证信息;
步骤104,根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证;
步骤106,当权限认证通过后,跳转至访问请求页面;
步骤108,否则,跳转至门户系统的登录页面。
本发明提供的门户系统的集成控制方法,在接收到业务子系统的访问请求时,权限包拦截各子系统的请求,从cookie中获取凭证信息,并与门户系统进行交互,根据凭证信息从Session存储服务中获取相应的session数据,以对用户权限进行认证,若权限认证通过,则跳转至访问请求页面,若权限认证未通过,则跳转至门户系统的登录页面,从而实现了一个包含权限控制和单点登录的通用门户系统集成方案。同时,通过依赖权限包,实现了各个业务子系统作简单配置就能接入门户系统,大大减少了开发工作量;并通过Session存储服务,解决了集群下的session存储问题,达到session统一存储和对用户无感知的目的。
如图3所示,根据本发明的另一个实施例的门户系统的集成控制方法的流程示意图。其中,该集成控制方法,包括:
步骤202,接收业务子系统的访问请求指令,通过权限包从访问请求指令的cookie中获取凭证信息;
步骤204,根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证;
步骤206,当权限认证通过后,跳转至访问请求页面;
步骤208,否则,跳转至门户系统的登录页面;
步骤210,在门户系统的登录页面,接收客户端输入的用户信息;
步骤212,根据用户信息从预设的权限资源模型中获取相应的权限信息,将用户信息和权限信息生成session数据;
步骤214,以凭证信息为key将session数据存入Session存储服务。
在该技术方案中,用户登录时,需要填写用户信息,如用户名和密码等,根据用户信息从预设的权限资源模型中获取相应的权限信息,通过将用户信息和权限信息生成session数据,并以从cookie中获取的凭证信息为key存入Session存储服务,使1个cookie仅对应一个session,这样当门户系统对出之后,无需通知各个业务子系统,巧妙的解决了单点退出的问题。
在上述任一技术方案中,优选地,权限资源模型包括系统资源、菜单资源、页面资源、按钮资源以及数据资源。
在该技术方案中,在系统开发阶段,需要构建权限资源模型,具体地,包括系统资源、菜单资源、页面资源、按钮资源以及数据资源。例如,将需要集成的企业自研系统的菜单、页面,页面的按钮以uri的形式录入门户系统,将第三方系统(如外采系统,可能是异构系统)的首页作为uri录入门户系统,并在创建用户时,将员工信息同步给采购系统。本发明通过合理的权限资源模型,将用户权限统一放到门户系统进行管理,可以大大减少各个业务子系统的开发工作量,真正实现了权限的“一次开发,到处使用”的效果;并且,还解决了采购的异构系统集成的问题,因为第三方异构系统通常都自带权限系统,这个时候与门户系统集成的交互问题就变得简单,只需完成首页的录入与用户信息的同步即可,同时也可确保门户系统的安全性。
如图4所示,根据本发明的再一个实施例的门户系统的集成控制方法的流程示意图。其中,该集成控制方法,包括:
步骤302,接收业务子系统的访问请求指令,从访问请求指令中获取标识信息,根据标识信息确定业务子系统的类型;
步骤304,通过相应的权限包从访问请求指令的cookie中获取凭证信息;
步骤306,根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证;
步骤308,当权限认证通过后,跳转至访问请求页面;
步骤310,否则,跳转至门户系统的登录页面;
步骤312,在门户系统的登录页面,接收客户端输入的用户信息;
步骤314,根据用户信息从预设的权限资源模型中获取相应的权限信息,将用户信息和权限信息生成session数据;
步骤316,以凭证信息为key将session数据存入Session存储服务。
在该技术方案中,各个业务子系统具有唯一标识,访问请求指令中会携带标识信息,门户系统和Session存储服务需要根据标识来区分是哪一个系统,进而进行相应的权限认证。
如图5所示,根据本发明的又一个实施例的门户系统的集成控制方法的流程示意图。其中,该集成控制方法,包括:
步骤402,接收业务子系统的访问请求指令,从访问请求指令中获取标识信息,根据标识信息确定业务子系统的类型;
步骤404,通过相应的权限包从访问请求指令的cookie中获取凭证信息;
步骤406,当业务子系统为自研系统时,根据凭证信息从Session存储服务中获取用户信息及权限信息;
步骤408,根据用户信息判断用户是否已单点登录;当判断结果为是时,执行步骤410;否则,执行步骤416;
步骤410,根据权限信息判断访问请求是否有权限;当判断结果为是时,执行步骤412,否则,执行步骤414;
步骤412,权限认证通过,跳转至访问请求页面;
步骤414,跳转至错误界面;
步骤416,权限认证未通过,跳转至门户系统的登录页面;
步骤418,在门户系统的登录页面,接收客户端输入的用户信息;
步骤420,根据用户信息从预设的权限资源模型中获取相应的权限信息,将用户信息和权限信息生成session数据;
步骤422,以凭证信息为key将session数据存入Session存储服务。
在该技术方案中,当用户进入门户系统首页后,点击的是其中一个自研系统,此时请求还是在门户系统内,门户系统展示当前业务子系统的菜单,当用户点击菜单后,需要对用户的访问请求进行单点登录验证以及权限信息验证,具体地,通过权限包拦截访问请求并从cookie中获取凭证信息,通过凭证信息调取Session存储服务,并从中获取用户信息及权限信息,通过用户信息是否为空判断是否登录,如果没有登录跳转到登录页面,如果已经登录判断门户系统返回的权限列表里面是否包含当前请求,如果包含,返回给用户请求页面,如果不包含,说明当前用户没有权限,跳转到门户的错误页面,提醒用户没有权限。值得特别指出的是,本发明中的业务子系统并不会先判断本地session是否有用户信息,而是直接请求门户系统,这样当门户系统退出之后,无需通知各个业务子系统,避免登录态不一致的问题。
如图6所示,根据本发明的又一个实施例的门户系统的集成控制方法的流程示意图。其中,该集成控制方法,包括:
步骤502,接收业务子系统的访问请求指令,从访问请求指令中获取标识信息,根据标识信息确定业务子系统的类型;
步骤504,通过相应的权限包从访问请求指令的cookie中获取凭证信息;
步骤506,当业务子系统为异构系统时,根据凭证信息从Session存储服务中获取用户信息;
步骤508,根据用户信息判断用户是否已登录门户系统;若已登录,执行步骤510,否则,执行步骤512;
步骤510,权限认证通过,跳转至访问请求页面;
步骤512,权限认证未通过,跳转至门户系统的登录页面;
步骤514,在门户系统的登录页面,接收客户端输入的用户信息;
步骤516,根据用户信息从预设的权限资源模型中获取相应的权限信息,将用户信息和权限信息生成session数据;
步骤518,以凭证信息为key将session数据存入Session存储服务。
在该技术方案中,当用户进入门户系统首页后,点击的是其中一个异构系统(如外采系统)时,此时访问请求会直接跳转到业务子系统,业务子系统根据凭证信息与门户系统交互判断是否登录,如果没有登录直接跳转到门户系统的登录页面,如果已经登录则返回该子系统的菜单和默认打开页面,当前点击其中一个菜单后,外采系统会依据自己的权限系统再次判断是否登录和是否有权限,外采系统返回的同时需要将菜单再次带过来,以ifram的形式嵌套到门户系统之前返回的页面。通过本发明的技术方案,解决了异构系统的集成问题,并实现了异构系统与门户系统的交互。
如图7所示,根据本发明的一个实施例的门户系统的集成控制系统的示意框图。其中,该集成控制系统600,包括:
拦截单元602,用于接收业务子系统的访问请求指令,通过权限包从访问请求指令的cookie中获取凭证信息;
验证单元604,用于根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证;当权限认证通过后,跳转至访问请求页面;否则跳转至门户系统的登录页面。
本发明提供的门户系统的集成控制系统600,在接收到业务子系统的访问请求时,权限包拦截各子系统的请求,从cookie中获取凭证信息,并与门户系统进行交互,根据凭证信息从Session存储服务中获取相应的session数据,以对用户权限进行认证,若权限认证通过,则跳转至访问请求页面,若权限认证未通过,则跳转至门户系统的登录页面,从而实现了一个包含权限控制和单点登录的通用门户系统集成方案。同时,通过依赖权限包,实现了各个业务子系统作简单配置就能接入门户系统,大大减少了开发工作量;并通过Session存储服务,解决了集群下的session存储问题,达到session统一存储和对用户无感知的目的。
如图8所示,根据本发明的另一个实施例的门户系统的集成控制系统的示意框图。其中,该集成控制系统700,包括:
拦截单元702,用于接收业务子系统的访问请求指令,通过权限包从访问请求指令的cookie中获取凭证信息;
验证单元704,用于根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证;当权限认证通过后,跳转至访问请求页面;否则跳转至门户系统的登录页面;
接收单元706,在门户系统的登录页面,接收客户端输入的用户信息;
Session存储单元708,用于根据用户信息从预设的权限资源模型中获取相应的权限信息,将用户信息和权限信息生成session数据;并以凭证信息为key将session数据存入Session存储服务。
在该技术方案中,用户登录时,需要填写用户信息,如用户名和密码等,根据用户信息从预设的权限资源模型中获取相应的权限信息,通过将用户信息和权限信息生成session数据,并以从cookie中获取的凭证信息为key存入Session存储服务,使1个cookie仅对应一个session,这样当门户系统对出之后,无需通知各个业务子系统,巧妙的解决了单点退出的问题。
在上述任一技术方案中,优选地,权限资源模型包括系统资源、菜单资源、页面资源、按钮资源以及数据资源。
在该技术方案中,在系统开发阶段,需要构建权限资源模型,具体地,包括系统资源、菜单资源、页面资源、按钮资源以及数据资源。例如,将需要集成的企业自研系统的菜单、页面,页面的按钮以uri的形式录入门户系统,将第三方系统(如外采系统,可能是异构系统)的首页作为uri录入门户系统,并在创建用户时,将员工信息同步给采购系统。本发明通过合理的权限资源模型,将用户权限统一放到门户系统进行管理,可以大大减少各个业务子系统的开发工作量,真正实现了权限的“一次开发,到处使用”的效果;并且,还解决了采购的异构系统集成的问题,因为第三方异构系统通常都自带权限系统,这个时候与门户系统集成的交互问题就变得简单,只需完成首页的录入与用户信息的同步即可,同时也可确保门户系统的安全性。
如图9所示,根据本发明的再一个实施例的门户系统的集成控制系统的示意框图。其中,该集成控制系统800,包括:
拦截单元802,用于接收业务子系统的访问请求指令,通过权限包从访问请求指令的cookie中获取凭证信息;
验证单元804,用于根据凭证信息从Session存储服务中获取相应的session数据,以进行权限认证;当权限认证通过后,跳转至访问请求页面;否则跳转至门户系统的登录页面;
接收单元806,在门户系统的登录页面,接收客户端输入的用户信息;
Session存储单元808,用于根据用户信息从预设的权限资源模型中获取相应的权限信息,将用户信息和权限信息生成session数据;并以凭证信息为key将session数据存入Session存储服务;
判断单元810,用于从访问请求指令中获取标识信息,根据标识信息确定业务子系统的类型。
在该技术方案中,各个业务子系统具有唯一标识,访问请求指令中会携带标识信息,门户系统和Session存储服务需要根据标识来区分是哪一个系统,进而进行相应的权限认证。
在上述任一技术方案中,优选地,验证单元根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:当业务子系统为自研系统时,根据凭证信息从Session存储服务中获取用户信息及权限信息;根据用户信息判断用户是否已单点登录;若已单点登录,根据权限信息判断访问请求是否有权限;若有权限,则判定权限认证通过。
在该技术方案中,当用户进入门户系统首页后,点击的是其中一个自研系统,此时请求还是在门户系统内,门户系统展示当前业务子系统的菜单,当用户点击菜单后,需要对用户的访问请求进行单点登录验证以及权限信息验证,具体地,通过权限包拦截访问请求并从cookie中获取凭证信息,通过凭证信息调取Session存储服务,并从中获取用户信息及权限信息,通过用户信息是否为空判断是否登录,如果没有登录跳转到登录页面,如果已经登录判断门户系统返回的权限列表里面是否包含当前请求,如果包含,返回给用户请求页面,如果不包含,说明当前用户没有权限,跳转到门户的错误页面,提醒用户没有权限。值得特别指出的是,本发明中的业务子系统并不会先判断本地session是否有用户信息,而是直接请求门户系统,这样当门户系统退出之后,无需通知各个业务子系统,避免登录态不一致的问题。
在上述任一技术方案中,优选地,验证单元根据凭证信息从门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:当业务子系统为异构系统时,根据凭证信息从门户系统的Session存储服务中获取用户信息;根据用户信息判断用户是否已登录门户系统;若已登录,则判定认证通过。
在该技术方案中,当用户进入门户系统首页后,点击的是其中一个异构系统(如外采系统)时,此时访问请求会直接跳转到业务子系统,业务子系统根据凭证信息与门户系统交互判断是否登录,如果没有登录直接跳转到门户系统的登录页面,如果已经登录则返回该子系统的菜单和默认打开页面,当前点击其中一个菜单后,外采系统会依据自己的权限系统再次判断是否登录和是否有权限,外采系统返回的同时需要将菜单再次带过来,以ifram的形式嵌套到门户系统之前返回的页面。通过本发明的技术方案,解决了异构系统的集成问题,并实现了异构系统与门户系统的交互。
具体实施例:
提供了一种互联网门户系统通用集成方案,在该集成方案中:
门户系统:用户唯一需要登录进入的系统,其他子系统集成到它里面;
业务子系统:需要集成到门户系统的各个子系统,通常是公司内部的一些运营后台管理系统;
集成自研系统:业务子系统的一种,公司自研发的系统(主要语言是java),可能有很多个,独立部署,无需跟门户系统耦合在一起,但是需要将所有权限交给门户系统统一管理;
集成外采系统:业务子系统的一种,公司采购的系统,可能是异构系统,可能有多个,无需跟门户系统耦合在一起,权限自己管理,门户系统只需要控制用户能否访问该机系统即可,门户系统需要将用户信息同步给外采系统;
权限client包:本质上是一个filter负责拦截各个子系统的请求,并且与门户系统通过httpclient进行交互,各个业务子系统需要依赖这个jar包,以达到业务子系统不用编写任何权限代码,透明接入的效果;
Session存储服务:session统一存储到redis,通过对redis的封装,提供与原生session的相同api接口,实现自动存储续期,上层应用可以像使用原生session一样存入和清除信息,而不用关心底层是把信息存到哪,扩展性好,可靠性高;
CHJSESSIONID:门户系统登录后对用户发放的凭证,业务子系统拿到该凭证后需要将凭证传给门户系统进行验证,同时换取用户ID,自研系统还需要获取权限信息;
Appkey:各个业务子系统的唯一标识,门户系统和Session存储服务需要根据这个来区分是哪一个系统。
图11示出了根据本发明的一个具体实施例的门户系统与业务子系统的交互示意图。
如图11所示:在开发阶段:需要做以下准备工作:将自研系统的所有uri录入门户系统;自研系统需要集成通用权限client包,其中,包括权限资源模型,如图10所示;将外采系统的首页uri录入门户系统;门户系统将员工信息同步给外采系统。
在生产使用阶段:用户访问门户系统,门户系统判断用户cookie是否有CHJSESSIONID,如果没有直接跳转到登录页面。
用户登录,门户系统从cookie中取出CHJSESSIONID,将用户信息、用户权限信息放入Session存储服务,返回给用户门户首页。
用户访问业务子系统,业务子系统集成的通用权限client包里面的filter负责拦截各个子系统的请求,返回的页面同时以iframe的形式嵌套到门户系统的首页面,由于业务子系统分为自研的和外采,两者情况不一样,下面分开说明。
假如用户进入首页后,点击的是其中一个自研系统,此时请求还是在门户系统内,门户系统展示当前系统的菜单,当用户点击菜单后,跳转到业务子系统,自研系统filter获取用户cookie里面的CHJSESSIONID,通过httpclient与门户系统交互获取用户信息和权限信息,通过用户信息是否为空判断是否登录,如果没有登录跳转到登录页面,如果已经登录判断门户系统返回的权限列表里面是否包含当前请求,如果包含,返回给用户请求页面,如果不包含,说明当前用户没有权限,跳转到门户的错误页面,提醒用户没有权限。注意:此方案业务子系统并不会先判断本地session是否有用户信息,而是直接请求门户系统,这样当门户系统退出之后,无需通知各个业务子系统,避免登录态不一致的问题。
假如用户点击的是其中一个外采系统,此时请求会直接跳转到业务系统,业务系统根据CHJSESSIONID与门户系统交互判断是否登录,如果没有登录直接跳转到门户系统的登录页面,如果已经登录则返回系统的菜单和默认打开页面,当前点击其中一个菜单后,外采系统会再次判断是否登录和是否有权限,外采系统返回的同时需要将菜单再次带过来。
在以上交互流程中,门户系统与session存储的交互流程如图12所示。其中,由于redis并不支持像原生session一样有自动续期的功能,因此需要调用相应接口方法在Session存储服务实现这个逻辑。
本发明提供的互联网门户系统通用集成方案,实现了一个包含权限控制和单点登录的通用门户系统集成方案;通过依赖权限client包,实现了各个业务子系统作简单配置就能接入门户系统,享受授权,认证,访问控制,审计,和登录功能,大大减少了开发工作量;实现了Session存储服务,解决了集群下的session问题;门户系统将权限统一管理,为后续的审计工作创造了便利。
如图13所示,根据本发明的一个实施例的计算机设备的示意图。该计算机设备1包括存储器12、处理器14及存储在存储器12上并可在处理器14上运行的计算机程序,处理器14用于执行如上述实施例中任一项方法的步骤。
根据本发明的计算机设备1,其所包含的处理器14用于执行如上述任一实施例中门户系统的集成控制方法的步骤,因而该计算机设备1能够实现该门户系统的集成控制方法的全部有益效果,在此不再赘述。
本发明的又一方面,提出了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现了如上述技术方案中任一项方法的步骤。
根据本发明的计算机可读存储介质,其上存储的计算机程序被处理器执行时实现了如上述任一实施例中门户系统的集成控制方法的步骤,因而该计算机可读存储介质能够实现该门户系统的集成控制方法的全部有益效果,在此不再赘述。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种门户系统的集成控制方法,其特征在于,包括:
接收业务子系统的访问请求指令,通过权限包从所述访问请求指令的cookie中获取凭证信息;
根据所述凭证信息从所述门户系统的Session存储服务中获取相应的session数据,以进行权限认证;
当所述权限认证通过后,跳转至访问请求页面;否则
跳转至所述门户系统的登录页面;
所述集成控制方法还包括:
在所述门户系统的登录页面,接收客户端输入的用户信息;
根据所述用户信息从预设的权限资源模型中获取相应的权限信息,将所述用户信息和所述权限信息生成所述session数据;并
以所述凭证信息为key将所述session数据存入所述Session存储服务。
2.根据权利要求1所述的门户系统的集成控制方法,其特征在于,
所述权限资源模型包括系统资源、菜单资源、页面资源、按钮资源以及数据资源。
3.根据权利要求2所述的门户系统的集成控制方法,其特征在于,所述集成控制方法还包括:
从所述访问请求指令中获取标识信息,根据所述标识信息确定所述业务子系统的类型。
4.根据权利要求1至3中任一项所述的门户系统的集成控制方法,其特征在于,所述根据所述凭证信息从所述门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:
当所述业务子系统为自研系统时,根据所述凭证信息从所述Session存储服务中获取所述用户信息及所述权限信息;
根据所述用户信息判断所述用户是否已单点登录;
若已单点登录,根据所述权限信息判断所述访问请求是否有权限;
若有权限,则判定所述权限认证通过。
5.根据权利要求4所述的门户系统的集成控制方法,其特征在于,所述根据所述凭证信息从所述门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:
当所述业务子系统为异构系统时,根据所述凭证信息从所述Session存储服务中获取用户信息;
根据所述用户信息判断所述用户是否已登录所述门户系统;
若已登录,则判定所述权限认证通过。
6.一种门户系统的集成控制系统,其特征在于,包括:
拦截单元,用于接收业务子系统的访问请求指令,通过权限包从所述访问请求指令的cookie中获取凭证信息;
验证单元,用于根据所述凭证信息从Session存储服务中获取相应的session数据,以进行权限认证;
当所述权限认证通过后,跳转至访问请求页面;否则
跳转至所述门户系统的登录页面;
所述集成控制系统还包括:
接收单元,在所述门户系统的登录页面,接收客户端输入的用户信息;
Session存储单元,用于根据所述用户信息从预设的权限资源模型中获取相应的权限信息,将所述用户信息和所述权限信息生成所述session数据;并
以所述凭证信息为key将所述session数据存入所述Session存储服务。
7.根据权利要求6所述的门户系统的集成控制系统,其特征在于,
所述权限资源模型包括系统资源、菜单资源、页面资源、按钮资源以及数据资源。
8.根据权利要求7所述的门户系统的集成控制系统,其特征在于,所述集成控制系统还包括:
判断单元,用于从所述访问请求指令中获取标识信息,根据所述标识信息确定所述业务子系统的类型。
9.根据权利要求6至8中任一项所述的门户系统的集成控制系统,其特征在于,所述验证单元根据所述凭证信息从所述门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:
当所述业务子系统为自研系统时,根据所述凭证信息从所述Session存储服务中获取所述用户信息及所述权限信息;
根据所述用户信息判断所述用户是否已单点登录;
若已单点登录,根据所述权限信息判断所述访问请求是否有权限;
若有权限,则判定所述权限认证通过。
10.根据权利要求9所述的门户系统的集成控制系统,其特征在于,所述验证单元根据所述凭证信息从所述门户系统的Session存储服务中获取相应的session数据,以进行权限认证的步骤,具体包括:
当所述业务子系统为异构系统时,根据所述凭证信息从所述Session存储服务中获取用户信息;
根据所述用户信息判断所述用户是否已登录所述门户系统;
若已登录,则判定所述权限认证通过。
11.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器用于执行如权利要求1至5中任一项所述方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现了如权利要求1至5中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711383907.0A CN108243183B (zh) | 2017-12-20 | 2017-12-20 | 门户系统的集成控制方法、系统和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711383907.0A CN108243183B (zh) | 2017-12-20 | 2017-12-20 | 门户系统的集成控制方法、系统和计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108243183A CN108243183A (zh) | 2018-07-03 |
| CN108243183B true CN108243183B (zh) | 2021-07-30 |
Family
ID=62700772
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711383907.0A Active CN108243183B (zh) | 2017-12-20 | 2017-12-20 | 门户系统的集成控制方法、系统和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108243183B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110688167A (zh) * | 2018-07-04 | 2020-01-14 | 中国电信股份有限公司 | 功能链接集中生成方法和装置、计算机可读存储介质 |
| CN109189386A (zh) * | 2018-07-12 | 2019-01-11 | 新华三云计算技术有限公司 | 一种基于微服务的应用访问方法及装置 |
| CN109409043B (zh) * | 2018-09-03 | 2024-05-17 | 中国平安人寿保险股份有限公司 | 应用系统的登录方法、终端设备及介质 |
| CN109542292A (zh) * | 2018-10-22 | 2019-03-29 | 平安医疗健康管理股份有限公司 | 一种门户集成方法及计算机设备 |
| CN109462601B (zh) * | 2018-12-13 | 2020-12-22 | 中国联合网络通信集团有限公司 | 基于eSIM的多平台访问方法及装置 |
| CN109753595A (zh) * | 2018-12-15 | 2019-05-14 | 中国平安人寿保险股份有限公司 | 共享用户信息的方法、装置、服务器及存储介质 |
| CN109885779B (zh) * | 2019-01-09 | 2024-04-02 | 中国平安人寿保险股份有限公司 | 子系统管理方法、装置、计算机装置及存储介质 |
| CN112580013A (zh) * | 2019-09-30 | 2021-03-30 | 北京国双科技有限公司 | 多系统信息的交互方法及装置 |
| CN110830493B (zh) * | 2019-11-14 | 2022-02-25 | 北京京航计算通讯研究所 | 基于智慧企业门户的单点登录实现方法 |
| CN110826049B (zh) * | 2019-11-14 | 2022-02-11 | 北京京航计算通讯研究所 | 基于智慧企业门户的单点登录实现系统 |
| CN111240863B (zh) * | 2020-01-10 | 2024-02-06 | 无锡华云数据技术服务有限公司 | 数据通信方法、装置、微前端系统及存储介质 |
| CN111291353B (zh) * | 2020-02-05 | 2023-03-21 | 深信服科技股份有限公司 | 一种账号关联方法、装置以及计算机存储介质 |
| CN111917762B (zh) * | 2020-07-28 | 2022-11-08 | 银盛支付服务股份有限公司 | 前后端分离管理系统权限认证解决方法及系统 |
| CN112131509B (zh) * | 2020-09-29 | 2023-09-19 | 中国银行股份有限公司 | 多入口页面复用方法、装置、计算机设备及可读存储介质 |
| CN112887359B (zh) * | 2020-12-31 | 2022-12-02 | 北京思特奇信息技术股份有限公司 | 一种跨域session共享方法及系统 |
| CN113158208B (zh) * | 2021-04-18 | 2022-09-16 | 青岛市城市规划设计研究院 | 一种前端页面登录状态适配方法 |
| CN113472796B (zh) * | 2021-07-06 | 2023-05-30 | 山东电力工程咨询院有限公司 | 一种数据中心门户管理方法及系统 |
| CN113569179A (zh) * | 2021-07-26 | 2021-10-29 | 城云科技(中国)有限公司 | 基于统一网站的子系统访问方法和装置 |
| CN113779528A (zh) * | 2021-09-16 | 2021-12-10 | 平安信托有限责任公司 | 多系统前端页面集成方法、装置、设备及介质 |
| CN116865982A (zh) * | 2022-03-22 | 2023-10-10 | 西安即刻易用网络科技有限公司 | 一种应用管理平台及登录认证方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2337414A1 (en) * | 2000-02-19 | 2001-08-19 | Nice Talent Limited | Service sign on for computer communication networks |
| CN101610502A (zh) * | 2009-07-23 | 2009-12-23 | 江苏鸿信系统集成有限公司 | 基于移动应用门户的不同业务系统移动信息化整合的方法 |
| CN102104607A (zh) * | 2011-03-10 | 2011-06-22 | 易程(苏州)软件股份有限公司 | 访问业务的安全控制方法、装置及系统 |
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
| CN104363211A (zh) * | 2014-10-31 | 2015-02-18 | 北京思特奇信息技术股份有限公司 | 一种权限管理方法及系统 |
| CN104991831A (zh) * | 2015-05-15 | 2015-10-21 | 浪潮软件集团有限公司 | 基于服务端的sso系统集成方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9544293B2 (en) * | 2013-09-20 | 2017-01-10 | Oracle International Corporation | Global unified session identifier across multiple data centers |
-
2017
- 2017-12-20 CN CN201711383907.0A patent/CN108243183B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2337414A1 (en) * | 2000-02-19 | 2001-08-19 | Nice Talent Limited | Service sign on for computer communication networks |
| CN101610502A (zh) * | 2009-07-23 | 2009-12-23 | 江苏鸿信系统集成有限公司 | 基于移动应用门户的不同业务系统移动信息化整合的方法 |
| CN102104607A (zh) * | 2011-03-10 | 2011-06-22 | 易程(苏州)软件股份有限公司 | 访问业务的安全控制方法、装置及系统 |
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
| CN104363211A (zh) * | 2014-10-31 | 2015-02-18 | 北京思特奇信息技术股份有限公司 | 一种权限管理方法及系统 |
| CN104991831A (zh) * | 2015-05-15 | 2015-10-21 | 浪潮软件集团有限公司 | 基于服务端的sso系统集成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108243183A (zh) | 2018-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108243183B (zh) | 门户系统的集成控制方法、系统和计算机设备 | |
| US11736469B2 (en) | Single sign-on enabled OAuth token | |
| US10572649B2 (en) | Session activity tracking for session adoption across multiple data centers | |
| US10009335B2 (en) | Global unified session identifier across multiple data centers | |
| US10454936B2 (en) | Access manager session management strategy | |
| US10257205B2 (en) | Techniques for authentication level step-down | |
| US11290438B2 (en) | Managing session access across multiple data centers | |
| US10693859B2 (en) | Restricting access for a single sign-on (SSO) session | |
| US10623501B2 (en) | Techniques for configuring sessions across clients | |
| US10581826B2 (en) | Run-time trust management system for access impersonation | |
| US10225283B2 (en) | Protection against end user account locking denial of service (DOS) | |
| US11526620B2 (en) | Impersonation for a federated user | |
| EP2862118B1 (en) | Systems and methods for accessing a virtual desktop | |
| CN105871838B (zh) | 一种第三方账号的登录控制方法及用户中心平台 | |
| CN114726621A (zh) | 用于最终用户启动的访问服务器真实性检查的方法和系统 | |
| CN109617933A (zh) | 利用表单填充代理应用的基于网络的单点登录 | |
| CN104025539A (zh) | 促进单点登录服务的方法和装置 | |
| US11750590B2 (en) | Single sign-on (SSO) user techniques using client side encryption and decryption | |
| US20180109515A1 (en) | System, service providing apparatus, control method for system, and storage medium | |
| Huang et al. | Research on Single Sign-on Technology for Educational Administration Information Service Platform | |
| UŻYTKOWNIKÓW et al. | SINGLE SIGN ON AS AN EFFECTIVE WAY OF MANAGING USER IDENTITY IN DISTRIBUTED WEB SYSTEMS. THE ACTGO-GATE PROJECT CASE STUDY SINGLE SIGN ON JAKO EFEKTYWNY SPOSÓB | |
| CN114329423A (zh) | 适用于单点登录的第三方应用程序集成方法及系统 | |
| JP2013235338A (ja) | ストレージサービスシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211122 Address after: Room 103, building 1, yard 4, Hengxing Road, Gaoliying Town, Shunyi District, Beijing Patentee after: Beijing Rockwell Technology Co.,Ltd. Address before: Room 801, 8 / F, building 3, No.10 courtyard, Wangjing street, Chaoyang District, Beijing 100102 Patentee before: BEIJING CHJ AUTOMOTIVE TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |