CN109033809A - 一种基于应用角色托管的用户集成系统及方法 - Google Patents
一种基于应用角色托管的用户集成系统及方法 Download PDFInfo
- Publication number
- CN109033809A CN109033809A CN201810735126.1A CN201810735126A CN109033809A CN 109033809 A CN109033809 A CN 109033809A CN 201810735126 A CN201810735126 A CN 201810735126A CN 109033809 A CN109033809 A CN 109033809A
- Authority
- CN
- China
- Prior art keywords
- user
- role
- trustship
- application
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于应用角色托管的用户集成系统及方法。用户集成系统,包括认证服务端和至少一个业务服务端,所述认证服务端包括,用户管理模块,注册执行模块,用户绑定模块,令牌验证接口模块,所述业务服务端执行应用服务,包括,注册模块,角色和权限发现接口,令牌鉴权模块。本发明通过角色托管的方式提出的用户集成方案,避免了前述认证服务器无法准确的描述应用服务权限模式等问题。提供了基于Oauth2.0认证和授权的用户集成系统,实现了统一的用户管理系统,包括用户管理、授权管理和鉴权管理;实现了应用的快速用户集成;提供完整的用户集成框架,适应异构应用,实现了基于Oauth2.0的认证和授权,应用范围更广。
Description
技术领域
本发明涉及用户集成系统,尤其涉及一种基于应用角色托管的用户集成系统及方法。
背景技术
应用系统集成难题,对于一个现代企业来说,必然拥有大量应用系统,如电子邮件、OA办公系统、CRM系统、HR系统、进销存系统等,这些系统操作在企业日常办公中是每个员工必不可少的工作。用户登录每个系统都必须进行认证和授权工作,如果这些系统认证都是相互独立、互不相干的,毫无疑问,企业IT部门的大部分时间和精力将用于各个系统的认证和授权管理,这不仅会大大提高企业的生产和办公成本,降低整个企业的工作效率,而且将产生严重的安全隐患。
企业内应用系统集成存在着如下的技术问题:多套用户系统上线,造成多套帐号维护;帐号维护不能实现统一、更新不及时,维护工作量大;使用者需要记住多套帐号密码、修改时需要分别登录多套系统维护,造成使用习惯非常不便;除了保证数据在物理上的安全,更多的时候是保证数据被安全的访问。安全的基本要点就是认证(Authentication)和授权(Authorization);对于企业来说,数据就是核心,就是生命,就是竞争力,如何保证多套应用系统数据的安全,就成为企业IT管理的重点;新接入的系统如何实现与旧系统的无缝对接并不增加系统复杂性。
传统的应用系统集成在面对该问题时,通常采取以下方法对应:
1)通过用户数据集成实现用户的统一,即通过将部分应用系统的用户数据集中到某个应用系统的用户管理系统中,并改造应用系统,实现用户集成。该方法常用于烟囱系统的改造;
2)通过内容管理系统或门户网站实现内容集成,并在内容管理系统或门户网站上于用户管理集成实现软件系统集成。该方法在各种政务应用、BS模式应用的集成。
前者的代表主要有LDAP。LDAP的英文全称是Lightweight Directory AccessProtocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。现在LDAP技术不仅发展得很快而且也是激动人心的。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方。
后者的代表为各种内容管理系统和各类门户应用。CMS其实是一个很广泛的称呼,从连锁管理体系(chain management system)、一般的博客程序,新闻发布程序,到综合性的网站管理程序都可以被称为内容管理系统。CMS最多的应用是“连锁管理体系”的简称,连锁企业完整的管理体系应包括:标准—训练—考核—改进等有效流程环节,缺一不可,不然就形不成体系的整体运行。“CMS连锁管理系统”将有效地改变传统连锁企业管理的方法与模式,再造连锁企业管理体系新架构。市场上有很多公司自行开发的CMS系统模板,几个比较大的网站上也经常能够看到一些国外(欧美,韩国)的模板,当中比较有代表性的,在美国有较大影响力的当属怪兽模板了。起源于美国,随即登陆亚洲市场,瞬间风靡全球的网站建设的崭新模式--怪兽网页模板的CMS网站模板,包括了WordPress,joomla,magento,drupal,mambo等目前市场上最流行的模板。中国也有一些好的开源项目如:jeecms、kooboo、wojilu。作为面向WEB开发的CMS系统,其开发阵营一般分为PHP、.NET、JSP三大阵营,而国内.NET开发阵营中典型的CMS产品:Zoomla!逐浪CMS集聚了FLEX、3D、全景等应用,力求为用户提供更多便利,并开始集成信息化系统,以符合未来互联网的发展需求。
现有技术的用户集成有以下问题:
1.没有实现真正意义上的统一用户数据信息:用户数据集成的实现方式需要每次在新的应用加入时添加新的用户数据和认证信息,被集成的应用也需要做出相应的适配才能实现用户验证信息集成,同时也会影响已经被集成的应用,并没有实现真正意义上的统一用户数据信息,依然是独立开发应用后座数据迁移实现用户集成的方式。内容管理系统或门户(本文将之称为集成系统)的集成方式则是通过在集成系统内部实现的形式上的用户集成,一旦脱离集成系统的界面,则完全无法实现用户信息的统一和用户集成。
2.没有实现完整的授权和鉴权管理:用户数据集成的实现方式仅仅实现了用户基本信息集成(例如LDAP允许根据需要使用ACL(访问控制列表)控制对数据读和写的权限)。完全不能实现被集成的应用的授权和鉴权管理。内容管理系统或门户的集成方式则通过集成系统实现鉴权控制,无法为独立运行的被集成的各个系统系统授权和鉴权支持。
3.没有提供完整的用户集成框架:用户数据集成的实现方式和内容管理系统或门户的集成方式都缺乏为被集成的应用提供统一用户验证服务、授权管理和鉴权管理的的用户集成框架,缺乏为异构实现(开发语言、运行环境、实现架构)的应用提供集成框架性支撑能力。
4.缺乏在Oauth2.0下统一的授权和鉴权功能。Oauth2.0仅给出了认证流程,没有给出鉴权实现方法,也未能给出统一的鉴权和授权流程。
发明内容
为了解决上述技术所存在的不足之处,解决统一的认证和授权问题,本发明提供了一种基于应用角色托管的用户集成系统及方法。
为了解决以上技术问题,本发明采用的技术方案是:一种基于应用角色托管的用户集成系统,包括认证服务端和至少一个业务服务端,所述认证服务端包括,
用户管理模块,用于常规用户管理;
注册执行模块,用于执行业务服务端角色和权限的注册;
用户绑定模块,用于执行用户和业务服务、角色、权限的绑定,并运行在不同认证服务端质之间出现重复的角色和权限;
令牌验证接口模块,用于接收业务服务端发送的验证令牌信息,并返回所述令牌对应用户的角色信息;
所述业务服务端执行应用服务,包括,
注册模块,用于提供角色和权限的注册服务;
角色和权限发现接口,用于共认证服务端调用进行角色发现;
令牌鉴权模块,用于对传入的令牌进行鉴权,并提供相应服务。
进一步地,所述认证服务端还包括:注销模块,用于注销和删除用户和对应的业务服务的授权关系。
进一步地,所述注销模块还用于执行删除服务信息、服务的角色和权限信息。
本发明的内容还包括一种基于应用角色托管的用户集成方法,包括以下步骤:
步骤1、角色托管:认证服务端执行应用服务的角色注册,应用服务端将该服务的角色和权限的托管到认证服务端;
步骤2、用户授权:认证服务端将托管到认证服务端上的角色和权限授予对应的用户;
步骤3、用户鉴权:认证服务端通过OAUTH2.0流程发放的令牌,应用服务端向认证服务端验证该令牌,验证后,认证服务端返回该令牌对应的用户所持有的角色信息。
进一步的,所述步骤1中,角色托管由WebService、数据库、netty tcp形式的接口中的一种或几种方式实现。
进一步地,所述步骤3中,用户鉴权还包括用户认证,用于验证用户的安全凭据的合法性。
本发明通过角色托管的方式提出的用户集成方案,避免了前述认证服务器无法准确的描述应用服务权限模式等问题。提供了基于Oauth2.0认证和授权的用户集成系统,实现了统一的用户管理系统,包括用户管理、授权管理和鉴权管理;实现了应用的快速用户集成;提供完整的用户集成框架,适应异构应用,实现了基于Oauth2.0的认证和授权,应用范围更广。
具体实施方式
下面具体实施方式对本发明作进一步详细的说明。
基于应用角色托管的用户集成系统,包括认证服务端和至少一个业务服务端下文中的AS为认证服务端,RS为业务服务端,定义与OAUTH2.0规范中一致。
基于托管的用户集成系统的认证服务端(AS)实现:
除常用用户管理的之外,
实现业务服务端(RS)的注册,同时实现RS自带的角色和权限的注册;
实现用户和业务服务(RS)以及角色和权限的绑定,即实现user:RS:role:pri级别的绑定;运行在不同的服务(RS)之间出现重复的角色和权限;
实现服务(RS)的注销,服务的注销会连带的删除服务信息、服务的角色和权限信息;删除用户和对应的服务的授权关系;
实现令牌(token)验证接口,返回该令牌对应的用户的对应服务的角色列表和权限列表。
基于托管的用户集成系统的业务服务端(RS)实现:
实现角色和权限发现接口,供AS调用进行角色发现;和
根据传入的令牌(token)进行鉴权,并提供服务。
基于上述用户集成系统的用户集成方法,包括以下步骤:
步骤1、角色托管
角色托管是一种将角色设计下放到各个应用系统中的设计方案,各应用(App)设置自有的角色,并将角色托管到认证服务器上进行管理。角色托管的形式为限定,根据需要可以设置成WebService、数据库、netty tcp等各种形式的接口和实现,各App实现的语言、运行环境和架构均未作出限制,只要能够通过某种形式将其定义的权限集合App(1,2,3)(role1,2,3,etc)数据托管到认证服务器即可,如:
RS App1:role1、role2、role3。
RS App2:role1、role2、role3。
RS App3:role1、role2、role3。
AS:
App1:role1、role2、role3
App2:role1、role2、role3
App3:role1、role2、role3。
即,认证服务器在不同的应用服务端——服务App1、App2、App3,分别在每个服务中注册角色role1、role2和role3,认证服务端将上述角色信息储存。
认证服务器本体不自主的产生任何角色和权限;认证服务实现应用服务的角色注册,应用服务器将该服务的角色的托管(即将服务服务中的角色注册到认证服务中来)。
步骤2、用户授权
基于角色托管的用户管理模块与传统用户管理模块不同的部分在于基于角色托管的用户管理模块提供将托管的角色授予本系统中的用户功能,如:
AS:
App1:role1、role2、role3
App2:role1、role2、role3
App3:role1、role2、role3
User1:App1:role1;App2:role1;App3:role1
User2:App1:role2;App2:role2;App3:role2
User3:App1:role3;App2:role3;App3:role3
认证服务器将托管到认证服务器上的应用和权限授予某个特定的用户。
步骤3、用户鉴权
用户鉴权为用户提供用户认证(用户身份合法性验证)和角色(权限)验证,用户验证仅验证用户的安全凭据的合法性(例如用户名|密码,硬件密钥等组合的有效性);角色验证为应用提供用户角色(权限)信息,并反馈给各申请验证的应用。
具体地,认证服务通过正常的OAUTH2.0流程发放的令牌,应用服务向认证服务器验证该令牌,认证服务返回该令牌对应的用户所持有的角色信息。
本实施例解决了统一认证和同意授权的问题,统一认证:所有应用系统的认证源都是唯一的,一切需要认证的系统,都使用同一套帐号/密码进行认证;统一授权则是要求各个应用系统通过某种方式将权限集中到用户管理系统中来,进行统一的授权和鉴权管理;新的业务系统上线时只需要与认证系统和授权系统对接即可实现用户集成。
上述实施方式并非是对本发明的限制,本发明也并不仅限于上述举例,本技术领域的技术人员在本发明的技术方案范围内所做出的变化、改型、添加或替换,也均属于本发明的保护范围。
Claims (6)
1.一种基于应用角色托管的用户集成系统,其特征在于:包括认证服务端和至少一个业务服务端,所述认证服务端包括,
用户管理模块,用于常规用户管理;
注册执行模块,用于执行业务服务端角色和权限的注册;
用户绑定模块,用于执行用户和业务服务、角色、权限的绑定,并运行在不同认证服务端质之间出现重复的角色和权限;
令牌验证接口模块,用于接收业务服务端发送的验证令牌信息,并返回所述令牌对应用户的角色信息;
所述业务服务端执行应用服务,包括,
注册模块,用于提供角色和权限的注册服务;
角色和权限发现接口,用于共认证服务端调用进行角色发现;
令牌鉴权模块,用于对传入的令牌进行鉴权,并提供相应服务。
2.根据权利要求1所述的基于应用角色托管的用户集成系统,其特征在于:所述认证服务端还包括:注销模块,用于注销和删除用户和对应的业务服务的授权关系。
3.根据权利要求2所述的基于应用角色托管的用户集成系统,其特征在于:所述注销模块还用于执行删除服务信息、服务的角色和权限信息。
4.一种基于应用角色托管的用户集成方法,其特征在于:包括以下步骤:
步骤1、角色托管:认证服务端执行应用服务的角色注册,应用服务端将该服务的角色和权限的托管到认证服务端;
步骤2、用户授权:认证服务端将托管到认证服务端上的角色和权限授予对应的用户;
步骤3、用户鉴权:认证服务端通过OAUTH2.0流程发放的令牌,应用服务端向认证服务端验证该令牌,验证后,认证服务端返回该令牌对应的用户所持有的角色信息。
5.根据权利要求4所述的基于应用角色托管的用户集成方法,其特征在于:所述步骤1中,角色托管由WebService、数据库、netty tcp形式的接口中的一种或几种方式实现。
6.根据权利要求4所述的基于应用角色托管的用户集成方法,其特征在于:所述步骤3中,用户鉴权还包括用户认证,用于验证用户的安全凭据的合法性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810735126.1A CN109033809A (zh) | 2018-07-06 | 2018-07-06 | 一种基于应用角色托管的用户集成系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810735126.1A CN109033809A (zh) | 2018-07-06 | 2018-07-06 | 一种基于应用角色托管的用户集成系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109033809A true CN109033809A (zh) | 2018-12-18 |
Family
ID=64641372
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810735126.1A Pending CN109033809A (zh) | 2018-07-06 | 2018-07-06 | 一种基于应用角色托管的用户集成系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109033809A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111753264A (zh) * | 2020-07-01 | 2020-10-09 | 电子科技大学 | 一种基于Oauth 2.0的高校移动应用通用授权认证系统 |
| CN113297589A (zh) * | 2021-03-31 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 设置集群权限的方法、装置及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572603A (zh) * | 2008-04-30 | 2009-11-04 | 国际商业机器公司 | 分布式环境中的组成服务的统一访问控制系统及方法 |
| CN105847220A (zh) * | 2015-01-14 | 2016-08-10 | 北京神州泰岳软件股份有限公司 | 一种认证方法、系统和服务平台 |
| CN106612246A (zh) * | 2015-10-21 | 2017-05-03 | 星际空间(天津)科技发展有限公司 | 一种模拟身份的统一认证方法 |
| CN106991302A (zh) * | 2016-12-31 | 2017-07-28 | 融捷科技(武汉)有限公司 | 基于供应链金融服务平台的公司权限托管系统 |
-
2018
- 2018-07-06 CN CN201810735126.1A patent/CN109033809A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572603A (zh) * | 2008-04-30 | 2009-11-04 | 国际商业机器公司 | 分布式环境中的组成服务的统一访问控制系统及方法 |
| CN105847220A (zh) * | 2015-01-14 | 2016-08-10 | 北京神州泰岳软件股份有限公司 | 一种认证方法、系统和服务平台 |
| CN106612246A (zh) * | 2015-10-21 | 2017-05-03 | 星际空间(天津)科技发展有限公司 | 一种模拟身份的统一认证方法 |
| CN106991302A (zh) * | 2016-12-31 | 2017-07-28 | 融捷科技(武汉)有限公司 | 基于供应链金融服务平台的公司权限托管系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张德林: "基于OAUTH协议的校园统一认证与授权系统的研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111753264A (zh) * | 2020-07-01 | 2020-10-09 | 电子科技大学 | 一种基于Oauth 2.0的高校移动应用通用授权认证系统 |
| CN111753264B (zh) * | 2020-07-01 | 2023-11-21 | 电子科技大学 | 一种基于Oauth 2.0的高校移动应用通用授权认证系统 |
| CN113297589A (zh) * | 2021-03-31 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 设置集群权限的方法、装置及系统 |
| CN113297589B (zh) * | 2021-03-31 | 2024-04-16 | 阿里巴巴创新公司 | 设置集群权限的方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101207485B (zh) | 对用户进行统一身份安全认证的系统及其方法 | |
| CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| CN104320423B (zh) | 基于Cookie的单点登录轻量级实现方法 | |
| US6986039B1 (en) | Technique for synchronizing security credentials using a trusted authenticating domain | |
| US6986038B1 (en) | Technique for synchronizing security credentials from a master directory, platform, or registry | |
| CN104468553B (zh) | 一种公共账号登录的方法、装置及系统 | |
| CN107508837A (zh) | 一种基于智能密码钥匙认证的跨平台异构系统登录方法 | |
| US20080263644A1 (en) | Federated authorization for distributed computing | |
| CN107733861A (zh) | 一种基于企业级内外网环境的无密码登录实现方法 | |
| CN105812350B (zh) | 一种跨平台单点登录系统 | |
| CN108810003B (zh) | 一种多业务方消息接入的安全验证方案 | |
| CN111898149B (zh) | 一种多组织机构的用户管理系统和方法 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| Sharma et al. | Identity and access management-a comprehensive study | |
| CN109361753A (zh) | 一种物联网系统架构与加密方法 | |
| JPWO2013046336A1 (ja) | グループ定義管理システム | |
| Fett et al. | Analyzing the BrowserID SSO system with primary identity providers using an expressive model of the web | |
| RU2415466C1 (ru) | Способ управления идентификацией пользователей информационных ресурсов неоднородной вычислительной сети | |
| Jøsang | Identity management and trusted interaction in Internet and mobile computing | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN109033809A (zh) | 一种基于应用角色托管的用户集成系统及方法 | |
| CN112291244A (zh) | 一种工业生产数据实时处理平台系统多租用户方法 | |
| CN107395577A (zh) | 一种大型电力企业薪酬安全系统 | |
| CN106529216A (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| Ashley et al. | Applying authorization to intranets: architectures, issues and APIs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 101399 No. 2 East Airport Road, Shunyi Airport Economic Core Area, Beijing (1st, 5th and 7th floors of Industrial Park 1A-4) Applicant after: Zhongke Star Map Co., Ltd. Address before: 101399 No. 2 East Airport Road, Shunyi Airport Economic Core Area, Beijing (1st, 5th and 7th floors of Industrial Park 1A-4) Applicant before: Space Star Technology (Beijing) Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181218 |