CN108616530A - 基于互联网Web端的统一身份认证体系及其认证方法 - Google Patents

基于互联网Web端的统一身份认证体系及其认证方法 Download PDF

Info

Publication number
CN108616530A
CN108616530A CN201810378733.7A CN201810378733A CN108616530A CN 108616530 A CN108616530 A CN 108616530A CN 201810378733 A CN201810378733 A CN 201810378733A CN 108616530 A CN108616530 A CN 108616530A
Authority
CN
China
Prior art keywords
authentication
user
certification
authenticator
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810378733.7A
Other languages
English (en)
Other versions
CN108616530B (zh
Inventor
宗建锋
吴宝俊
陈营新
徐潇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Yun Kun Mdt Infotech Ltd
Original Assignee
Suzhou Yun Kun Mdt Infotech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Yun Kun Mdt Infotech Ltd filed Critical Suzhou Yun Kun Mdt Infotech Ltd
Priority to CN201810378733.7A priority Critical patent/CN108616530B/zh
Publication of CN108616530A publication Critical patent/CN108616530A/zh
Application granted granted Critical
Publication of CN108616530B publication Critical patent/CN108616530B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于互联网Web端的统一身份认证体系,包括入站认证、认证框架、认证器以及用户仓库,所述的入站认证通过认证框架与认证器通讯连接,所述的用户仓库与认证框架通讯连接,其中,所述的入站认证包含请求处理和应答返回两个部分,所述的认证框架包含会话管理和认证器配置两个部分,所述的认证器包括本地认证器和联邦认证器。通过上述,本发明的基于互联网Web端的统一身份认证体系及其认证方法,将各系统或应用独立的用户整合到统一的用户管理平台,并且让各系统或应用与该体系进行对接,从而达到一个账号可以访问各个系统或应用的目的,从而提高了用户的使用体验。

Description

基于互联网Web端的统一身份认证体系及其认证方法
技术领域
本发明涉及政企系统管理领域,尤其涉及一种基于互联网Web端的统一身份认证体系和方法。
背景技术
随着数字化的不断普及,大型公司或者单位的各个部门逐渐形成了与本身业务相关的各种各样系统,几乎每个系统都需要识别操作者的身份,并根据其不同的身份,分配一定的权限,做一些操作上的限制。结果很多公司或者部门都在各个系统便各自设计了一套用户资料和权限管理的机制,并提供了用户登录认证,这样满足了上面的需求,但由此带来和用户账号管理不方便,用户资料不统一等等问题。
当前政企领域中多系统、多应用且系统和应用都拥有各自的用户管理体系,造成用户需要牢记多套账户密码,给用户造成困扰的问题。
发明内容
本发明主要解决的技术问题是提供一种基于互联网Web端的统一身份认证体系和方法,将各系统或应用独立的用户整合到统一的用户管理平台,并且让各系统或应用与该体系进行对接,从而达到一个账号可以访问各个系统或应用的目的,从而提高了用户的使用体验。
为解决上述技术问题,本发明采用的一个技术方案是:提供了一种基于互联网Web端的统一身份认证体系,包括入站认证、认证框架、认证器以及用户仓库,所述的入站认证通过认证框架与认证器通讯连接,所述的用户仓库与认证框架通讯连接,其中,所述的入站认证包含请求处理和应答返回两个部分,所述的认证框架包含会话管理和认证器配置两个部分,所述的认证器包括本地认证器和联邦认证器。
在本发明一个较佳实施例中,所述的
请求处理,负责请求协议的解析;
应答返回,负责请求结果的包装和返回;
会话管理,负责用户的统一会话维护;
认证器配置,负责预先定义使用哪种认证器并在用户请求过程中为用户请求选择对应的认证器对用户进行认证;
本地认证器,指使用用户名和密码方式的认证;
联邦认证器,指使用QQ、微信账号进行的认证;
用户仓库,指存储用户账号密码、用户基本信息及附加信息的数据库。
在本发明一个较佳实施例中,所述的入站认证还与客户端通讯连接。
为解决上述技术问题,本发明采用的另一个技术方案是:提供了一种基于互联网Web端的统一身份认证体系的认证方法,包括以下具体步骤:
a、互联网用户从客户端的系统或应用发起基于国际化标准协议SAML2.0的统一身份认证请求,认证体系首先判断用户是否已完成认证,如果已完成认证则直接将认证结果返回,整个认证流程结束;
b、如果未完成认证,则直接进入以下处理流程:
b1、入站认证组件负责校验请求中包含的系统或应用信息是否合法,即系统或应用信息是否在认证体系内登记,如果不合法则直接返回错误提示信息;如果合法则对请求进行协议解析,然后将请求转发至认证框架;
b2、认证框架渲染认证界面提示用户输入账号密码信息,互联网用户输入账号密码并将输入的数据提交至认证框架,认证框架通过预先定义的认证器配置选择认证器并由认证器负责对互联网用户进行认证;
b3、认证器的认证过程需要与用户仓库内存储的账号信息数据进行比对,认证通过后由认证框架生成一个统一的会话标识,
b4、认证框架将统一的会话标识连同认证用户的信息组装成认证结果,并将认证结果通过入站认证返回给客户端的系统或应用;
b5、客户端的系统或应用收到认证结果并按照与认证体系约定的解密方式,对认证结果进行解密,从而最终完成整个认证过程。
在本发明一个较佳实施例中,所述的认证请求中从内容上包含能唯一识别系统或应用的身份信息。
在本发明一个较佳实施例中,所述的会话标识具有一定的时效性。
在本发明一个较佳实施例中,所述的认证结果是一段JWT格式的加密密文,内容包括用户主要属性。
在本发明一个较佳实施例中,所述的用户主要属性包括用户名、认证机构、认证时间、用户统一会话标识以及会话有效期。
在本发明一个较佳实施例中,所述的约定的解密方式是客户端的系统或应用在认证体系内登记时完成的。
本发明的有益效果是:本发明的基于互联网Web端的统一身份认证体系及其认证方法,将各系统或应用独立的用户整合到统一的用户管理平台,并且让各系统或应用与该体系进行对接,从而达到一个账号可以访问各个系统或应用的目的,从而提高了用户的使用体验。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图,其中:
图1 是本发明基于互联网Web端的统一身份认证体系的一较佳实施例的结构框图。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,本发明实施例包括:
一种基于互联网Web端的统一身份认证体系,包括入站认证、认证框架、认证器以及用户仓库,所述的入站认证通过认证框架与认证器通讯连接,所述的用户仓库与认证框架通讯连接,其中,所述的入站认证包含请求处理和应答返回两个部分,所述的认证框架包含会话管理和认证器配置两个部分,所述的认证器包括本地认证器和联邦认证器。
上述中,请求处理,负责请求协议的解析;应答返回,负责请求结果的包装和返回;会话管理,负责用户的统一会话维护;认证器配置,负责预先定义使用哪种认证器并在用户请求过程中为用户请求选择对应的认证器对用户进行认证;本地认证器,指使用用户名和密码方式的认证;联邦认证器,指使用QQ、微信账号进行的认证;用户仓库,指存储用户账号密码、用户基本信息及附加信息的数据库。
本实施例中,所述的入站认证还与客户端通讯连接。
本发明还提供了一种基于互联网Web端的统一身份认证体系的认证方法,包括以下具体步骤:
a、互联网用户从客户端的系统或应用发起基于国际化标准协议SAML2.0的统一身份认证请求,认证体系首先判断用户是否已完成认证,如果已完成认证则直接将认证结果返回,整个认证流程结束;
b、如果未完成认证,则直接进入以下处理流程:
b1、入站认证组件负责校验请求中包含的系统或应用信息是否合法,即系统或应用信息是否在认证体系内登记,如果不合法则直接返回错误提示信息;如果合法则对请求进行协议解析,然后将请求转发至认证框架;
b2、认证框架渲染认证界面提示用户输入账号密码信息,互联网用户输入账号密码并将输入的数据提交至认证框架,认证框架通过预先定义的认证器配置选择认证器并由认证器负责对互联网用户进行认证;
b3、认证器的认证过程需要与用户仓库内存储的账号信息数据进行比对,认证通过后由认证框架生成一个统一的会话标识,
b4、认证框架将统一的会话标识连同认证用户的信息组装成认证结果,并将认证结果通过入站认证返回给客户端的系统或应用;
b5、客户端的系统或应用收到认证结果并按照与认证体系约定的解密方式,对认证结果进行解密,从而最终完成整个认证过程。
上述中,所述的认证请求中从内容上包含能唯一识别系统或应用的身份信息;所述的会话标识具有一定的时效性。
进一步的,所述的认证结果是一段JWT格式的加密密文,内容包括用户主要属性。其中,所述的用户主要属性包括用户名、认证机构、认证时间、用户统一会话标识以及会话有效期。
再进一步的,所述的约定的解密方式是客户端的系统或应用在认证体系内登记时完成的。
综上所述,本发明的基于互联网Web端的统一身份认证体系及其认证方法,将各系统或应用独立的用户整合到统一的用户管理平台,并且让各系统或应用与该体系进行对接,从而达到一个账号可以访问各个系统或应用的目的,这样用户就可以从维护多套账号密码转到仅仅维护一套账号密码,从而提高了用户的使用体验。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书内容所作的等效结构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种基于互联网Web端的统一身份认证体系,其特征在于,包括入站认证、认证框架、认证器以及用户仓库,所述的入站认证通过认证框架与认证器通讯连接,所述的用户仓库与认证框架通讯连接,其中,所述的入站认证包含请求处理和应答返回两个部分,所述的认证框架包含会话管理和认证器配置两个部分,所述的认证器包括本地认证器和联邦认证器。
2.根据权利要求1所述的基于互联网Web端的统一身份认证体系,其特征在于,所述的
请求处理,负责请求协议的解析;
应答返回,负责请求结果的包装和返回;
会话管理,负责用户的统一会话维护;
认证器配置,负责预先定义使用哪种认证器并在用户请求过程中为用户请求选择对应的认证器对用户进行认证;
本地认证器,指使用用户名和密码方式的认证;
联邦认证器,指使用QQ、微信账号进行的认证;
用户仓库,指存储用户账号密码、用户基本信息及附加信息的数据库。
3.根据权利要求1所述的基于互联网Web端的统一身份认证体系,其特征在于,所述的入站认证还与客户端通讯连接。
4.根据权利要求1-3之一所述的基于互联网Web端的统一身份认证体系的认证方法,其特征在于,包括以下具体步骤:
a、互联网用户从客户端的系统或应用发起基于国际化标准协议SAML2.0的统一身份认证请求,认证体系首先判断用户是否已完成认证,如果已完成认证则直接将认证结果返回,整个认证流程结束;
b、如果未完成认证,则直接进入以下处理流程:
b1、入站认证组件负责校验请求中包含的系统或应用信息是否合法,即系统或应用信息是否在认证体系内登记,如果不合法则直接返回错误提示信息;如果合法则对请求进行协议解析,然后将请求转发至认证框架;
b2、认证框架渲染认证界面提示用户输入账号密码信息,互联网用户输入账号密码并将输入的数据提交至认证框架,认证框架通过预先定义的认证器配置选择认证器并由认证器负责对互联网用户进行认证;
b3、认证器的认证过程需要与用户仓库内存储的账号信息数据进行比对,认证通过后由认证框架生成一个统一的会话标识,
b4、认证框架将统一的会话标识连同认证用户的信息组装成认证结果,并将认证结果通过入站认证返回给客户端的系统或应用;
b5、客户端的系统或应用收到认证结果并按照与认证体系约定的解密方式,对认证结果进行解密,从而最终完成整个认证过程。
5.根据权利要求3所述的基于互联网Web端的统一身份认证体系的认证方法,其特征在于,所述的认证请求中从内容上包含能唯一识别系统或应用的身份信息。
6.根据权利要求3所述的基于互联网Web端的统一身份认证体系的认证方法,其特征在于,所述的会话标识具有一定的时效性。
7.根据权利要求3所述的基于互联网Web端的统一身份认证体系的认证方法,其特征在于,所述的认证结果是一段JWT格式的加密密文,内容包括用户主要属性。
8.根据权利要求7所述的基于互联网Web端的统一身份认证体系的认证方法,其特征在于,所述的用户主要属性包括用户名、认证机构、认证时间、用户统一会话标识以及会话有效期。
9.根据权利要求3所述的基于互联网Web端的统一身份认证体系的认证方法,其特征在于,所述的约定的解密方式是客户端的系统或应用在认证体系内登记时完成的。
CN201810378733.7A 2018-04-25 2018-04-25 基于互联网Web端的统一身份认证体系及其认证方法 Active CN108616530B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810378733.7A CN108616530B (zh) 2018-04-25 2018-04-25 基于互联网Web端的统一身份认证体系及其认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810378733.7A CN108616530B (zh) 2018-04-25 2018-04-25 基于互联网Web端的统一身份认证体系及其认证方法

Publications (2)

Publication Number Publication Date
CN108616530A true CN108616530A (zh) 2018-10-02
CN108616530B CN108616530B (zh) 2021-03-16

Family

ID=63660972

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810378733.7A Active CN108616530B (zh) 2018-04-25 2018-04-25 基于互联网Web端的统一身份认证体系及其认证方法

Country Status (1)

Country Link
CN (1) CN108616530B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1780206A (zh) * 2004-11-23 2006-05-31 华为技术有限公司 互联网身份认证方法及系统
CN102315945A (zh) * 2011-10-20 2012-01-11 江苏三源教育实业有限公司 基于私有协议的统一身份认证方法
CN102857501A (zh) * 2012-08-28 2013-01-02 曙光信息产业(北京)有限公司 一种用户身份认证系统及其认证方法
CN105306211A (zh) * 2014-08-01 2016-02-03 成都天钥科技有限公司 一种客户端软件的身份认证方法
CN105812314A (zh) * 2014-12-29 2016-07-27 北京新媒传信科技有限公司 一种用户登录互联网应用程序的方法和统一认证平台
CN107172008A (zh) * 2017-04-01 2017-09-15 北京芯盾时代科技有限公司 一种在移动设备中进行多系统认证及同步的系统和方法
CN107425983A (zh) * 2017-08-08 2017-12-01 北京明朝万达科技股份有限公司 一种基于web服务的统一身份认证方法及系统平台

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1780206A (zh) * 2004-11-23 2006-05-31 华为技术有限公司 互联网身份认证方法及系统
CN102315945A (zh) * 2011-10-20 2012-01-11 江苏三源教育实业有限公司 基于私有协议的统一身份认证方法
CN102857501A (zh) * 2012-08-28 2013-01-02 曙光信息产业(北京)有限公司 一种用户身份认证系统及其认证方法
CN105306211A (zh) * 2014-08-01 2016-02-03 成都天钥科技有限公司 一种客户端软件的身份认证方法
CN105812314A (zh) * 2014-12-29 2016-07-27 北京新媒传信科技有限公司 一种用户登录互联网应用程序的方法和统一认证平台
CN107172008A (zh) * 2017-04-01 2017-09-15 北京芯盾时代科技有限公司 一种在移动设备中进行多系统认证及同步的系统和方法
CN107425983A (zh) * 2017-08-08 2017-12-01 北京明朝万达科技股份有限公司 一种基于web服务的统一身份认证方法及系统平台

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张德林: "基于OAUTH协议的校园统一认证与授权系统的研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Also Published As

Publication number Publication date
CN108616530B (zh) 2021-03-16

Similar Documents

Publication Publication Date Title
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN104320423B (zh) 基于Cookie的单点登录轻量级实现方法
US20130198801A1 (en) Authentication collaboration system and id provider device
US20110214176A1 (en) Techniques for secure access management in virtual environments
CN107294916A (zh) 单点登录方法、单点登录终端及单点登录系统
CN107733861A (zh) 一种基于企业级内外网环境的无密码登录实现方法
Laborde et al. A user-centric identity management framework based on the W3C verifiable credentials and the FIDO universal authentication framework
CN111131301A (zh) 一种统一鉴权授权方案
US10601809B2 (en) System and method for providing a certificate by way of a browser extension
CN104753960B (zh) 一种基于单点登录的系统配置管理方法
CN105812350A (zh) 一种跨平台单点登录系统
CN104702562B (zh) 终端融合业务接入方法、系统与终端
CN106302497A (zh) 微服务的权限控制方法及装置
CN106161364A (zh) 一种基于移动终端的个人认证凭证管理方法及系统
CN104320392A (zh) 一种用户统一认证的方法
CN106100840A (zh) 微服务的权限变更方法及装置
CN106161475A (zh) 用户鉴权的实现方法和装置
CN102420808B (zh) 一种在电信网上营业厅实现单点登录的方法
Arias-Cabarcos et al. Comparing password management software: toward usable and secure enterprise authentication
CN109587100A (zh) 一种云计算平台用户认证处理方法及系统
CN110247758A (zh) 密码管理的方法、装置及密码管理器
CN113742676A (zh) 一种登录管理方法、装置、服务器、系统及存储介质
CN107846676A (zh) 基于网络切片安全架构的安全通信方法和系统
CN105592026A (zh) 一种多网段多系统单点登录方法
CN108243164B (zh) 一种电子政务云计算跨域访问控制方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant