CN108650209B - 一种单点登录的方法、系统、装置及认证方法 - Google Patents
一种单点登录的方法、系统、装置及认证方法 Download PDFInfo
- Publication number
- CN108650209B CN108650209B CN201810181382.0A CN201810181382A CN108650209B CN 108650209 B CN108650209 B CN 108650209B CN 201810181382 A CN201810181382 A CN 201810181382A CN 108650209 B CN108650209 B CN 108650209B
- Authority
- CN
- China
- Prior art keywords
- login
- gateway
- information
- user side
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Abstract
本发明涉及通信技术领域,公开了一种单点登录的方法、系统、装置及认证方法,在不需要对用户端和应用服务器进行改造或增加配置的基础上实现单点登录。单点登录方法应用于包括用户端、网关和至少一个应用服务器的系统架构,该方法包括:网关接收用户端发出的业务请求,确定用户端已完成登录认证后,将业务请求转发给相应的应用服务器;所述网关接收所述相应的应用服务器针对业务请求的登录响应,将获取的用户端的用户信息进行加密后插入登录响应,并向用户端发送登录响应;所述网关接收用户端提交的登录信息,将登录信息中加密的用户信息进行解密,并向所述相应的应用服务器发送登录信息。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种单点登录的方法、系统、装置及认证方法。
背景技术
单点登录是指在多个应用系统中,用户只需要登录一次即可访问所有相互信任的应用系统。采用单点登录方式,能够简化账号登录过程,保护账号和密码的安全,以及便于对账号的统一管理。目前的单点登录多应用于Web应用,主要包括基于cookie共享技术、基于session共享技术和基于身份令牌Token技术三种单点登录方式。
基于cookie共享技术的基本实现方式是:用户在登录某个应用后,应用返回一个加密的cookie给用户端;当用户访问其他应用时,在访问请求中携带上这个cookie,登录服务器解密该cookie并进行验证,验证通过则允许后续操作,验证失败则拒绝操作。
基于session共享技术的基本实现方法是:在用户登录某个应用时,用户端将用户名和密码发送至登录服务器进行验证,验证成功之后,就在用户端和登录服务器之间建立一个session,在这个session维持期间,用户的本次登录就将是有效的。当用户端需要连接其他Web应用服务器的时候,服务器对这个session进行确认,session存在则允许后续操作,session失效则拒绝操作。
基于身份令牌Token技术的基本实现方式是:用户在登录某个应用后,登录服务器生成令牌Token并发送到用户端;当用户访问其他应用时,在访问请求中携带上该Token,登录服务器对该Token进行验证,验证通过则允许后续操作,验证失败则拒绝操作。
然而,在上述三种单点登录方式中,基于cookie共享技术和基于身份令牌Token技术需要对用户端和应用服务器进行改造,并且改造后的适用范围有限;而基于session共享技术中各应用的session需要定时同步来保证各节点session的一致性,这样每个节点都要保存所有session,使得系统资源开销较大,降低了系统性能。
发明内容
本发明实施例提供一种单点登录的方法、系统、装置及认证方法,在不需要对用户端和应用服务器进行改造或增加配置的基础上实现单点登录。
本发明实施例提供了一种单点登录的方法,应用于包括用户端、网关和至少一个应用服务器的系统架构,所述方法包括:
所述网关接收用户端发出的业务请求,确定所述用户端已完成登录认证后,将所述业务请求转发给相应的应用服务器;
所述网关接收所述相应的应用服务器针对所述业务请求的登录响应,将获取的所述用户端的用户信息进行加密后插入所述登录响应,并向所述用户端发送所述登录响应;
所述网关接收所述用户端提交的登录信息,将所述登录信息中加密的用户信息进行解密,并向所述相应的应用服务器发送所述登录信息。
在上述实施例中,可选的,所述用户端的用户信息通过如下方式获取:
所述网关接收所述用户端发出的登录请求,其中,所述登录请求包含用户信息;
确定所述用户端完成登录认证,从所述登录请求中获取所述用户信息。
在上述任一实施例中,可选的,所述方法还包括:
所述网关在转发给所述用户端的登录响应中插入提交指示,所述提交指示用于指示所述用户端提交登录信息。
在上述实施例中,可选的,所述提交指示包括所述网关根据配置的模板生成的脚本。
基于同一发明构思,本发明实施例还提供了一种单点登录的认证方法,应用于包括用户端、网关和至少一个应用服务器的系统架构,所述方法包括:
所述应用服务器接收所述网关转发的相应的业务请求;
所述应用服务器针对所述相应的业务请求向所述网关发出相应的登录响应;
所述应用服务器接收所述网关发送的相应的登录信息,并对所述相应的登录信息中的用户信息进行验证。
基于同一发明构思,本发明实施例还提供了一种单点登录的系统,所述系统包括至少一个应用服务器与所述至少一个应用服务器连接的网关,其中:
所述应用服务器,用于接收所述网关转发的相应的业务请求;针对所述相应的业务请求向所述网关发出登录响应;接收所述网关发送的响应的登录信息,并对所述响应的登录信息中的用户信息进行验证;
基于同一发明构思,本发明实施例还提供了一种网关,包括:
身份认证模块,用于接收用户端发出的业务请求,确定所述用户端已完成登录认证后,将所述业务请求转发给相应的应用服务器;
加密模块,用于接收所述相应的应用服务器针对所述业务请求的登录响应,将获取的所述用户端的用户信息进行加密后插入所述登录响应,并向所述用户端发送所述登录响应;
解密模块,用于接收所述用户端提交的登录信息,将所述登录信息中加密的用户信息进行解密,并向所述相应的应用服务器发送所述登录信息。
在上述实施例中,可选的,所述网关还包括:
登录请求接收模块,用于接收所述用户端发出的登录请求,其中,所述登录请求包含用户信息;
信息存储模块,用于确定所述用户端完成登录认证,从所述登录请求中获取所述用户信息。
在上述任一实施例中,可选的,所述网关还包括:
指示模块,用于在转发给所述用户端的登录响应中插入提交指示,所述提交指示用于指示所述用户端提交登录信息。
本发明实施例还提供了一种应用服务器,包括:
接收模块,用于接收网关转发的相应的业务请求;
响应模块,用于针对所述相应的业务请求向所述网关发出登录响应;
认证模块,用于接收所述网关发送的响应的登录信息,并对所述响应的登录信息中的用户信息进行验证。
本发明实施例还提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行如第一方面任一项所述的方法。
本发明实施例提供的单点登录方法中,在用户端登录认证后网关获取用户信息;网关接收到用户端发出的业务请求后转发给应用服务器;在应用服务器向用户端发送登录响应时,网关将用户信息加密后插入登录响应;当用户端向应用服务器发送登录信息时,网关将登录信息中加密的用户信息解密后发送给应用服务器,应用服务器根据该用户信息认证业务请求是否合法。该单点登录方法中在不需要对用户端和应用服务器进行改造或增加配置的基础上实现单点登录,从而缩减了针对用户端和应用服务器的改造成本;并且网关在用户端登录应用服务器的过程中对用户信息进行加密传输,从而提高了单点登录的安全性。
附图说明
图1为本发明实施例中系统架构的示意图;
图2为本发明实施例中单点登录系统的示意图;
图3为本发明实施用户端在单点登录系统进行单点登录的第一种流程图;
图4为本发明实施用户端在单点登录系统进行单点登录的第二种流程图;
图5为本发明实施用户端在单点登录系统进行单点登录的第三种流程图;
图6为本发明实施例中单点登录的方法的流程图;
图7为本发明实施例中单点登录的认证方法的流程图;
图8为本发明实施例中网关的示意图;
图9为本发明实施例中应用服务器的示意图。
附图标记:
110-应用服务器;
111-认证中心;
120-网关;
121-身份认证模块;
122-加密模块;
123-解密模块;
131-接收模块;
132-响应模块;
133-认证模块。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
目前,应用于Web的单点登录主要包括基于cookie共享技术、基于session共享技术和基于身份令牌Token技术三种方式。但是,基于cookie共享技术和基于身份令牌Token技术需要对用户端和应用服务器进行改造,并且改造后的适用范围有限。而在基于session共享技术中,各应用的session需要定时同步来保证各节点session的一致性,这样每个节点都要保存所有session,使得系统资源开销较大,降低了系统性能。
鉴于此,本发明实施例提供了一种单点登录的方法、系统、装置及认证方法,该单点登录方法中在不需要对用户端和应用服务器进行改造或增加配置的基础上实现单点登录,从而缩减了针对用户端和应用服务器的改造成本;并且网关在用户端登录应用服务器的过程中对用户信息进行加密传输,从而提高了单点登录的安全性。
参考图1所示,为本发明实施例中系统架构示意图,该系统架构包括用户端、网关和至少一个应用服务器。其中:用户端,可以为安装在手机、电脑或平板电脑等移动终端上的应用(APP),例如浏览器,该用户端用于向用户呈现操作界面,并向网关发送应用服务器业务请求等;网关用于转发用户端至应用服务器的数据包,以及转发应用服务器至用户端的数据包,且该网关中包含应用服务器的管理界面,通过该应用服务器的管理界面,能够在网关中设置各个应用服务器的应用服务器信息,以对各个应用服务器进行管理,该应用服务器信息包括应用服务器标识和可访问域名的对应关系,以及每一个应用服务器对应的登录界面,该登录界面即为该应用服务器对应的主页面;应用服务器,用于响应用户端发送的请求。
下面结合说明书附图,对本发明实施例作进一步详细描述。
第一方面,如图2所示,本发明实施例提供了一种单点登录系统,应用于上述系统架构,该单点登录系统包括至少一个应用服务器110、以及与前述至少一个应用服务器110连接的网关120,其中:
网关120用于执行:
S101:接收用户端发出的业务请求,确定用户端已完成登录认证后,将业务请求转发给相应的应用服务器;
S102:接收相应的应用服务器针对业务请求的登录响应,将获取的用户端的用户信息进行加密后插入所述登录响应,并向用户端发送所述登录响应;
S103:接收用户端提交的登录信息,将登录信息中加密的用户信息进行解密,并向相应的应用服务器发送登录信息;
应用服务器110,用于执行:
S201:接收网关转发的相应的业务请求;
S202:确定相应的业务请求向网关发出相应的登录响应;
S203:接收网关发送的相应的登录信息,并对相应的登录信息中的用户信息进行验证。
本发明实施例提供的单点登录系统,通过网关120,在不需要对用户端和应用服务器110进行改造或增加配置的基础上实现单点登录,从而缩减了针对用户端和应用服务器110的改造成本;并且网关120在用户端登录应用服务器110的过程中对用户信息进行加密传输,从而提高了单点登录的安全性。
在本实施例中,用户信息包括用户账号、密码等用户身份信息。应用服务器110包括WEB服务器。
如图2和图3所示,当用户端发出业务请求后,网关120接收该业务请求并确定用户端是否已完成登录认证,若是,网关120将业务请求转发给相应的应用服务器110;相应的应用服务器110根据接收到的业务请求发出登录响应,并向用户端发送,其中,当登录响应经过网关120时,网关120将预先获取的用户端的用户信息进行加密并插入登录响应中;用户端接收到登录响应后提交登录信息;网关120接收到登录信息后,将登录信息中加密的用户信息进行解密并向相应的应用服务器110发送;相应的应用服务器110的认证中心111对该用户信息进行认证,如果该用户信息与认证中心111预存的合法用户的身份信息相同,则登录请求合法,认证通过后允许后序操作。
在上述任一实施例中,用户端的用户信息通过如下方式获取:
S104:网关接收用户端发出的登录请求,其中,登录请求包含用户信息;
S105:网关确定用户端完成登录认证,从登录请求中获取所述用户信息。
针对上述用户端的用户信息的获取方式,具体的,在本发明的一种可能实施方式中,如图4所示,用户端的用户信息通过如下方式获取:
S301:用户端向网关发出包含用户身份信息的登录请求;
S302:网关接收到该登录请求后向相应的应用服务器转发;
S303:应用服务器接收到该登录请求后对其中的用户身份信息进行登录认证,如果该用户信息与认证中心预存的合法用户的身份信息相同,则登录请求合法,登录认证通过后允许后序操作;
S304:登录认证通过后应用服务器向用户端发送门户界面,并向网关发送登录认证通过后的用户信息:
S305:网关接收到用户信息并保存。
或者,在本发明的另一种可能实施方式中,如图5所示用户端的用户信息通过如下方式获取:
S401:用户端向网关发出包含用户信息的登录请求;
S402:网关针对用户端完成登录认证,并保存登录请求中的用户信息。
具体的,用户端向网关发出包含用户身份信息的登录请求,网关接收到登录请求后对其中的用户身份信息进行登录认证,如果登录请求中携带的用户信息与网关预存的合法用户的身份信息相同,则登录请求合法;此时网关可以在完成登录认证后获取登录请求中的用户信息并保存。
现有技术中,用户端与应用服务器实现安全性较高的登录认证,通常需要在用户端和应用服务器安装应用,或者修改开发代码,增加了开发人员的开发难度;而采用上述实施例的方法,用户端首先需要登陆网关;网关完成登录认证后,在后续用户端与应用服务器的登录认证过程中,由网关将加密后的用户信息插入登录信息中,不需要在用户端再次填写用户信息,从而提高了的单点登录的速度,进一步提高了单点登录的安全性,缩减了针对用户端和应用服务器的改造成本。
在本发明的任一实施例中,网关还用于执行:在转发给用户端的登录响应中插入提交指示,该提交指示用于指示用户端提交登录信息。在本实施例中,具体的,网关将提交指示通过直译式脚本语言Javascript文件的方式置于登录响应的脚本中,当用户端的浏览器运行该脚本后,触发提交指示并提交登录信息。采用该方式,无需对用户端或应用服务器进行改造,这样,不止降低了开发难度,更兼容任何Web应用,应用范围更广;并且不需要用户进行提交操作,用户端可以自动向应用服务器提交包含加密用户信息的登录信息。
在上述实施例中,可选的,网关根据配置的模板生成该提交指示。在本实施例中,应用服务器针对业务请求的登录响应可以为登录界面或认证界面,在这些界面中包括账号、密码或其他涉及用户身份的信息,网关根据配置的模板生成与登录响应对应的脚本,这样使得应用范围更广。
第二方面,如图6所示,基于同一发明构思,本发明实施例提供了一种单点登录的方法,应用于包括用户端、网关和至少一个应用服务器的系统架构,该方法包括:
S501:网关接收用户端发出的业务请求,确定用户端已完成登录认证后,将业务请求转发给相应的应用服务器;
S502:网关接收相应的应用服务器针对业务请求的登录响应,将获取的用户端的用户信息进行加密后插入所述登录响应,并向用户端发送所述登录响应;
S503:网关接收用户端提交的登录信息,将登录信息中加密的用户信息进行解密,并向相应的应用服务器发送登录信息。
本发明实施例提供的单点登录方法中,在用户端登录认证后网关获取用户信息;网关接收到用户端发出的业务请求后转发给相应的应用服务器;在相应的应用服务器向用户端发送登录响应时,网关将用户信息加密后插入登录响应;当用户端向相应的应用服务器发送登录信息时,网关将登录信息中加密的用户信息解密后发送给相应的应用服务器,相应的应用服务器根据该用户信息认证业务请求是否合法。采用本实施例提供的单点登录方法,网关在用户端登录应用服务器的过程中对用户信息进行加密传输,从而提高了单点登录的安全性,并且不需要对用户端和应用服务器改造或增加配置,缩减了针对用户端和应用服务器的改造成本。
在本发明的实施例中,网关对用户信息进行加密的具体加密方式不限,例如可以为对称加密算法及非对称加密算法。
在本发明的任一实施例中,可选的,用户端的用户信息是根据如下方式获取:
S504:网关接收用户端发出的登录请求,其中,登录请求包含用户信息;
S505:网关确定用户端完成登录认证,从登录请求中获取用户信息。
在本实施例中,用户端在向应用服务器发送业务请求前,需要先向网关发出登录请求;网关接收到登录请求后进行登录认证,如果登录请求中携带的用户信息与网关预存的合法用户的身份信息相同,则登录请求合法;此时网关可以在完成登录认证后获取该用户信息并保存。
现有技术中,用户端与应用服务器实现安全性较高的登录认证,通常需要在用户端和应用服务器安装应用,或者修改开发代码,增加了开发人员的开发难度;而采用上述实施例的方法,用户端首先需要登陆网关;网关完成登录认证后,在后续用户端与应用服务器的登录认证过程中,由网关将加密后的用户信息插入登录信息中,不需要在用户端再次填写用户信息,进一步提高了单点登录的安全性,缩减了针对用户端和应用服务器的改造成本。
在本发明的任一实施例中,可选的,单点登录方法还包括:
S506:网关在转发给用户端的登录响应中插入提交指示,该提交指示用于指示用户端提交登录信息。
在本实施例中,网关将提交指示通过直译式脚本语言Javascript文件的方式置于登录响应的脚本中,当用户端的浏览器运行该脚本后,触发提交指示并提交登录信息。采用该方式,无需对用户端或应用服务器进行改造,这样,不止降低了开发难度,更兼容任何Web应用,应用范围更广;并且不需要用户进行提交操作,用户端可以自动向应用服务器提交包含加密用户信息的登录信息。
在上述实施例中,可选的,提交指示包括网关根据配置的模板生成的脚本。在本实施例中,应用服务器针对业务请求的登录响应可以为登录界面或认证界面,在这些界面中包括账号、密码或其他涉及用户身份的信息,网关根据配置的模板生成与登录响应对应的脚本,这样使得应用范围更广。
此外,在上述任一实施例中,该网关还用于展示应用服务器的业务系统链接,以及维护用户在应用服务器的各个业务系统上的登录信息。
第三方面,如图7所示,基于同一发明构思,本发明实施例还提供了一种单点登录的认证方法,应用于包括用户端、网关和至少一个应用服务器的系统架构,该方法包括:
S601:应用服务器接收网关转发的相应的业务请求;
S602:应用服务器针对相应的业务请求向网关发出相应的登录响应;
S603:应用服务器接收网关发送的相应的登录信息,并对相应的登录信息中的用户信息进行验证。
本发明实施例提供的单点登录方法中,应用服务器接收到相应的业务请求后,针对该相应的业务请求向网关发出相应的登录响应;网关将加密后的用户信息插入登录响应并向用户端发送;网关接收到用户端发送的相应的登录信息后,将登录信息中加密的用户信息解密后发送给应用服务器;应用服务器根据该用户信息认证业务请求是否合法。采用本实施例提供的单点登录方法,不需要对应用服务器进行改造或增加配置,缩减了针对应用服务器的改造成本。
第四方面,如图8所示,基于同一发明构思,在上述实施例中,本发明实施例还提供了一种网关,包括:
身份认证模块121,用于接收用户端发出的业务请求,确定用户端已完成登录认证后,将业务请求转发给相应的应用服务器;
加密模块122,用于接收相应的应用服务器针对业务请求的登录响应,将获取的用户端的用户信息进行加密后插入登录响应,并向用户端发送登录响应;
解密模块123,用于接收用户端提交的登录信息,将登录信息中加密的用户信息进行解密,并向相应的应用服务器发送登录信息。
本发明实施例提供的系统中,登录认证模块接收到用户端发出的业务请求后,对用户端是否已完成登录认证进行确定,若确认完成登录认证,登录认证模块将业务请求转发给相应的应用服务器;在应用服务器向用户端发送登录响应时,加密模块将获取的用户端的用户信息加密后插入登录响应,向用户端发送;当用户端向应用服务器发送相应的登录信息时,解密模块将登录信息中加密的用户信息解密后发送给应用服务器,应用服务器根据该用户信息认证业务请求是否合法。
在本发明的实施例中,加密模块对用户信息进行加密的具体加密方式不限,可以为对称加密算法,例如数据加密算法、三重数据加密算法或数字签名算法;或者,可以为非对称加密算法,例如公钥加密算法。
在上述实施例中,网关还包括:
登录请求接收模块,用于接收用户端发出的登录请求,其中,登录请求包含用户信息;
信息存储模块,用于确定用户端完成登录认证,从登录请求中获取用户信息。
在本实施例中,用户端在向应用服务器发送业务请求前,需要先向该网关发出登录请求;登录接收模块接收到登录请求后,信息存储模块确定用户端是否完成登录认证,若是,则登录请求合法;此时信息存储模块可以获取该登录请求中的用户信息并保存。
具体地,信息存储模块包括身份认证模块和用户信息存储模块,其中:身份认证模块用于针对用户端完成登录认证;用户信息存储模块用于保存登录请求中的用户信息。
采用上述实施例的网关,用户端首先需要登陆网关;网关完成登录认证后,在后续用户端与应用服务器的登录认证过程中,由网关将加密后的用户信息插入登录信息中,不需要在用户端再次填写用户信息,从而提高了的单点登录的速度,进一步提高了单点登录的安全性,缩减了针对用户端和应用服务器的改造成本。
在上述实施例中,身份认证模块对用户端发出的登录请求进行登录认证的具体方式不限,例如可以为静态密码、动态密码、USB Key、证书认证或生物认证等方式。
在上述实施例中,可选的,网关还包括:指示模块,用于在转发给用户端的登录响应中插入提交指示,该提交指示用于指示用户端提交登录信息。
在本实施例中,指示模块在登录响应中插入提交指示,当用户端的浏览器触发该提交指示后提交登录信息。在本发明一可选的实施方式中,指示模块将提交指示通过直译式脚本语言Javascript文件的方式置于登录响应的脚本中,这样无需对用户端或应用服务器进行改造,这样,不止降低了开发难度,更兼容任何Web应用,应用范围更广;并且不需要用户进行提交操作,用户端可以自动向应用服务器提交包含加密用户信息的登录信息。
可选的,针对不同的登录响应,指示模块可以根据配置的模板生成提交指示并以脚本的方式插入相应的登录响应中。
此外,在上述任一实施例中,该网关还可以包括用于展示应用服务器的业务系统链接的门户界面模块,以及用于维护用户在各个应用服务器上的登录信息的维护模块。
第五方面,如图9所示,基于同一发明构思,在上述实施例中,本发明实施例还提供了一种应用服务器,包括:
接收模块131,用于接收网关转发的相应的业务请求;
响应模块132,用于针对相应的业务请求向网关发出登录响应;
认证模块133,用于接收网关发送的响应的登录信息,并对响应的登录信息中的用户信息进行验证。
本发明实施例提供的应用服务器,认证模块133对用户信息进行认证,如果该用户信息与认证模块预存的合法用户的身份信息相同,则登录请求合法,认证通过后允许后序操作。采用本技术方案,通过网关,在不需要对用户端和应用服务器进行改造或增加配置的基础上实现单点登录,从而缩减了针对用户端和应用服务器的改造成本。
第六方面,本发明实施例还提供了一种计算机可读存储介质,存储有计算机可执行指令,计算机可执行指令用于执行如第一方面任一项的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,前述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
前述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
前述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus flash disk)、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种单点登录的方法,其特征在于,应用于包括用户端、网关和至少一个应用服务器的系统架构,所述方法包括:
所述网关接收用户端发出的业务请求,确定所述用户端已完成登录认证后,将所述业务请求转发给相应的应用服务器;
所述网关接收所述相应的应用服务器针对所述业务请求的登录响应,将获取的所述用户端的用户信息进行加密后插入所述登录响应,并向所述用户端发送所述登录响应;
其中,所述网关在转发给所述用户端的登录响应中插入提交指示,所述提交指示通过直译式脚本语言文件的方式置于所述登录响应的脚本中,所述提交指示用于在所述用户端的浏览器运行所述登录响应的脚本后被触发向所述网关提交登录信息;
所述网关接收所述用户端提交的登录信息,将所述登录信息中加密的用户信息进行解密,并向所述相应的应用服务器发送所述登录信息。
2.如权利要求1所述的方法,其特征在于,所述用户端的用户信息通过如下方式获取:
所述网关接收所述用户端发出的登录请求,其中,所述登录请求包含用户信息;
确定所述用户端完成登录认证,从所述登录请求中获取所述用户信息。
3.如权利要求1所述的方法,其特征在于,所述提交指示包括所述网关根据配置的模板生成的脚本。
4.一种单点登录的认证方法,其特征在于,应用于包括用户端、网关和至少一个应用服务器的系统架构,所述方法包括:
所述应用服务器接收所述网关转发的相应的业务请求;
所述应用服务器针对所述相应的业务请求向所述网关发出相应的登录响应;其中,所述网关在转发给所述用户端的登录响应中插入提交指示和加密后的用户信息,所述提交指示通过直译式脚本语言文件的方式置于所述登录响应的脚本中,所述提交指示用于在所述用户端的浏览器运行所述登录响应的脚本后被触发向所述网关提交登录信息;
所述应用服务器接收所述网关发送的相应的登录信息,并对所述相应的登录信息中的用户信息进行验证。
5.一种单点登录的系统,其特征在于,所述系统包括至少一个应用服务器与所述至少一个应用服务器连接的网关,其中:
所述应用服务器,用于接收所述网关转发的相应的业务请求;针对所述相应的业务请求向所述网关发出登录响应;接收所述网关发送的响应的登录信息,并对所述响应的登录信息中的用户信息进行验证;
所述网关,用于执行如权利要求1~4任一项所述的方法。
6.一种网关,其特征在于,包括:
身份认证模块,用于接收用户端发出的业务请求,确定所述用户端已完成登录认证后,将所述业务请求转发给相应的应用服务器;
加密模块,用于接收所述相应的应用服务器针对所述业务请求的登录响应,将获取的所述用户端的用户信息进行加密后插入所述登录响应,并向所述用户端发送所述登录响应;
指示模块,用于在转发给所述用户端的登录响应中插入提交指示,所述提交指示通过直译式脚本语言文件的方式置于所述登录响应的脚本中,所述提交指示用于在所述用户端的浏览器运行所述登录响应的脚本后被触发向所述网关提交登录信息;
解密模块,用于接收所述用户端提交的登录信息,将所述登录信息中加密的用户信息进行解密,并向所述相应的应用服务器发送所述登录信息。
7.如权利要求6所述的网关,其特征在于,还包括:
登录请求接收模块,用于接收所述用户端发出的登录请求,其中,所述登录请求包含用户信息;
信息存储模块,用于确定所述用户端完成登录认证,从所述登录请求中获取所述用户信息。
8.一种应用服务器,其特征在于,包括:
接收模块,用于接收网关转发的相应的业务请求;
响应模块,用于针对所述相应的业务请求向所述网关发出登录响应;其中,所述网关在转发给用户端的登录响应中插入提交指示和加密后的用户信息,所述提交指示通过直译式脚本语言文件的方式置于所述登录响应的脚本中,所述提交指示用于在所述用户端的浏览器运行所述登录响应的脚本后被触发向所述网关提交登录信息;
认证模块,用于接收所述网关发送的响应的登录信息,并对所述响应的登录信息中的用户信息进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810181382.0A CN108650209B (zh) | 2018-03-06 | 2018-03-06 | 一种单点登录的方法、系统、装置及认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810181382.0A CN108650209B (zh) | 2018-03-06 | 2018-03-06 | 一种单点登录的方法、系统、装置及认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108650209A CN108650209A (zh) | 2018-10-12 |
| CN108650209B true CN108650209B (zh) | 2021-05-14 |
Family
ID=63744337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810181382.0A Active CN108650209B (zh) | 2018-03-06 | 2018-03-06 | 一种单点登录的方法、系统、装置及认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108650209B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109271776A (zh) * | 2018-10-22 | 2019-01-25 | 努比亚技术有限公司 | 微服务系统单点登录方法、服务器及计算机可读存储介质 |
| CN109688114B (zh) * | 2018-12-10 | 2021-07-06 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
| CN111371775A (zh) * | 2020-02-28 | 2020-07-03 | 深信服科技股份有限公司 | 一种单点登录方法、装置、设备、系统及存储介质 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794643A (zh) * | 2004-12-24 | 2006-06-28 | 阿尔卑斯系统集成株式会社 | 访问控制系统 |
| CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
| CN201194396Y (zh) * | 2008-05-08 | 2009-02-11 | 天津市国瑞数码安全系统有限公司 | 基于透明代理网关的安全网关平台 |
| CN101572608A (zh) * | 2009-06-17 | 2009-11-04 | 杭州华三通信技术有限公司 | 一次登录参数的获取方法及装置 |
| CN101588348A (zh) * | 2008-05-22 | 2009-11-25 | 中国电信股份有限公司 | 一种基于Web的系统登录方法和装置 |
| CN101931533A (zh) * | 2010-08-23 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置和系统 |
| CN102065131A (zh) * | 2010-12-03 | 2011-05-18 | 湖南大学 | 单点登录的方式和登录认证 |
| CN102404314A (zh) * | 2010-09-30 | 2012-04-04 | 微软公司 | 远程资源单点登录 |
| CN102420836A (zh) * | 2012-01-12 | 2012-04-18 | 中国电子科技集团公司第十五研究所 | 业务信息系统的登录方法以及登录管理系统 |
| CN102457376A (zh) * | 2010-10-29 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算服务统一认证的方法和系统 |
| CN102571762A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 单点登录的方法和设备 |
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN104333557A (zh) * | 2014-11-19 | 2015-02-04 | 成都卫士通信息安全技术有限公司 | 一种基于vpn网关的单点登录系统及方法 |
| US9462044B1 (en) * | 2013-11-25 | 2016-10-04 | Ca, Inc. | Secure user, device, application registration protocol |
| CN106101160A (zh) * | 2016-08-26 | 2016-11-09 | 北京恒华伟业科技股份有限公司 | 一种系统登录方法及装置 |
| CN106535219A (zh) * | 2015-09-10 | 2017-03-22 | 上海大唐移动通信设备有限公司 | 一种用户信息回填方法及装置 |
| CN107135266A (zh) * | 2017-05-19 | 2017-09-05 | 成都极玩网络技术有限公司 | Http代理框架安全数据传输方法 |
| CN107404485A (zh) * | 2017-08-02 | 2017-11-28 | 北京天翔睿翼科技有限公司 | 一种自验证云连接方法及其系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170149560A1 (en) * | 2012-02-02 | 2017-05-25 | Netspective Communications Llc | Digital blockchain authentication |
-
2018
- 2018-03-06 CN CN201810181382.0A patent/CN108650209B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794643A (zh) * | 2004-12-24 | 2006-06-28 | 阿尔卑斯系统集成株式会社 | 访问控制系统 |
| CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
| CN201194396Y (zh) * | 2008-05-08 | 2009-02-11 | 天津市国瑞数码安全系统有限公司 | 基于透明代理网关的安全网关平台 |
| CN101588348A (zh) * | 2008-05-22 | 2009-11-25 | 中国电信股份有限公司 | 一种基于Web的系统登录方法和装置 |
| CN101572608A (zh) * | 2009-06-17 | 2009-11-04 | 杭州华三通信技术有限公司 | 一次登录参数的获取方法及装置 |
| CN101931533A (zh) * | 2010-08-23 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置和系统 |
| CN102404314A (zh) * | 2010-09-30 | 2012-04-04 | 微软公司 | 远程资源单点登录 |
| CN102457376A (zh) * | 2010-10-29 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算服务统一认证的方法和系统 |
| CN102065131A (zh) * | 2010-12-03 | 2011-05-18 | 湖南大学 | 单点登录的方式和登录认证 |
| CN102571762A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 单点登录的方法和设备 |
| CN102420836A (zh) * | 2012-01-12 | 2012-04-18 | 中国电子科技集团公司第十五研究所 | 业务信息系统的登录方法以及登录管理系统 |
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| US9462044B1 (en) * | 2013-11-25 | 2016-10-04 | Ca, Inc. | Secure user, device, application registration protocol |
| CN104333557A (zh) * | 2014-11-19 | 2015-02-04 | 成都卫士通信息安全技术有限公司 | 一种基于vpn网关的单点登录系统及方法 |
| CN106535219A (zh) * | 2015-09-10 | 2017-03-22 | 上海大唐移动通信设备有限公司 | 一种用户信息回填方法及装置 |
| CN106101160A (zh) * | 2016-08-26 | 2016-11-09 | 北京恒华伟业科技股份有限公司 | 一种系统登录方法及装置 |
| CN107135266A (zh) * | 2017-05-19 | 2017-09-05 | 成都极玩网络技术有限公司 | Http代理框架安全数据传输方法 |
| CN107404485A (zh) * | 2017-08-02 | 2017-11-28 | 北京天翔睿翼科技有限公司 | 一种自验证云连接方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108650209A (zh) | 2018-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| KR102018971B1 (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
| CN106209749B (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
| CN108781227B (zh) | 用于在不可信云网络上的加密口令传输的方法和设备 | |
| US11676133B2 (en) | Method and system for mobile cryptocurrency wallet connectivity | |
| US10218691B2 (en) | Single sign-on framework for browser-based applications and native applications | |
| JP2018518738A (ja) | サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証 | |
| US20120254622A1 (en) | Secure Access to Electronic Devices | |
| WO2015102872A1 (en) | Split-application infrastructure | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN106790183A (zh) | 登录凭证校验方法、装置 | |
| US11184336B2 (en) | Public key pinning for private networks | |
| CN110225050B (zh) | Jwt令牌的管理方法 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| KR20200013764A (ko) | 제1 애플리케이션과 제2 애플리케이션 사이의 상호 대칭 인증을 위한 방법 | |
| CN110730077A (zh) | 一种微服务身份认证和接口鉴权的方法及其系统 | |
| CN108650209B (zh) | 一种单点登录的方法、系统、装置及认证方法 | |
| CN111786996B (zh) | 一种跨域同步登录态的方法、装置及跨域同步登录系统 | |
| CN111865882A (zh) | 一种微服务认证方法和系统 | |
| CN112118242A (zh) | 零信任认证系统 | |
| KR20230145009A (ko) | 동적 토큰 생성 에이전트를 이용한 단말기 기반 싱글 사인 온 인증 방법 및 시스템 | |
| JP2013008140A (ja) | シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム | |
| EP3220604B1 (en) | Methods for client certificate delegation and devices thereof | |
| CN113312576A (zh) | 一种页面跳转方法、系统及装置 | |
| CN105516161A (zh) | 安全获取http请求的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |