CN109194673B - 基于用户授权信息的认证方法、系统、设备及存储介质 - Google Patents
基于用户授权信息的认证方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN109194673B CN109194673B CN201811100671.XA CN201811100671A CN109194673B CN 109194673 B CN109194673 B CN 109194673B CN 201811100671 A CN201811100671 A CN 201811100671A CN 109194673 B CN109194673 B CN 109194673B
- Authority
- CN
- China
- Prior art keywords
- information
- authorization
- authentication
- service
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了基于用户授权信息的认证方法、系统、设备及存储介质,其中,认证方法包括:认证服务器收到至少一客户端发送的授权请求,生成对应客户端的授权信息以及授权凭证信息,并将授权凭证信息发送至客户端;客户端发送带有授权凭证信息的访问请求到业务网关,业务网关提取授权凭证信息,供认证服务器结合授权信息进行鉴权,鉴权成功则调用与访问请求对应的业务服务器的业务服务供客户端访问。本发明能够通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题,并能极大程度保证线上稳定性和认证信息安全。
Description
技术领域
本发明涉及用户认证领域,具体地说,涉及基于用户授权信息的认证方法、系统、设备及存储介质。
背景技术
线上项目的稳定运行就是IT企业的生命线,用户权限认证是访问业务服务的第一道关口,也是最重要的关口,认证服务的稳定性直接关系到整个公司项目的稳定性。一种稳定高效的认证系统是公司项目稳定运行和发展的最基本保证。
目前认证方式有基于会话控制(session)的服务端有状态认证,也有基于安全加解密技术的无状态认证,本发明通过有状态认证和无状态认证相结合的方式来解决单纯无状态和有状态认证存在的问题,使统一权限认证项目达到更稳定、高效、安全的运行。
单纯服务端有状态认证严重依赖于基础服务组件和内部网络(如redis,mysql等存储引擎)当基础服务组件或内部网络不可用或不稳定导致整个公司业务受影响;完全无状态认证,认证信息变更无法即时生效,导致一些时效性较强的业务无法无缝接入的问题,隐私信息存到标记交给客户端存储也会出现安全问题。
因此,本发明提供了一种基于用户授权信息的认证方法、系统、设备及存储介质。
发明内容
针对现有技术中的问题,本发明的目的在于提供基于用户授权信息的认证方法、系统、设备及存储介质,能够通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题,并能极大程度保证线上稳定性和认证信息安全。
本发明的实施例提供一种基于用户授权信息的认证方法,应用于移动终端,包括以下步骤:
初始授权步骤,认证服务器收到至少一客户端发送的授权请求,生成对应所述客户端的授权信息以及授权凭证信息,并将所述授权凭证信息发送至所述客户端;以及
访问请求步骤,所述客户端发送带有所述授权凭证信息的访问请求到业务网关,所述业务网关提取所述授权凭证信息,供所述认证服务器结合所述授权信息进行鉴权,鉴权成功则调用与访问请求对应的所述业务服务器的业务服务供所述客户端访问。
优选地,所述初始授权步骤还包括:所述认证服务器储存所述授权信息,所述客户端储存所述授权凭证信息。
优选地,所述授权凭证信息包括四部分信息,第一部分信息定义了票据类型和签名部分的签名算法,第二部分信息是客户端可查看的明文信息,第三部分信息是仅业务服务器可查看的加密信息,第四部分是对所述第一部分信息、第二部分信息、第三部分信息的认证服务器的签名。
优选地,所述访问请求步骤包括:
所述客户端发送带有所述授权凭证信息的访问请求到业务网关;
所述业务网关提取出所述授权凭证信息,并转发至所述认证服务器;
所述认证服务器根据所述授权凭证信息与储存的授权信息进行鉴权;
若鉴权成功,则所述业务网关调用与所述访问请求对应的业务服务供所述客户端访问;
若鉴权失败,则所述业务网关拒绝所述访问请求。
优选地,所述授权凭证信息包括有效期信息,当鉴权成功,所述认证服务器检测所述授权凭证信息的有效期信息是否小于预设阈值,若是,则所述认证服务器根据所述授权信息生成一个新的授权凭证信息,并将所述授权凭证信息反馈至所述网关;
所述业务网关将新生成的所述授权凭证信息加入到所述业务服务的响应中,并反馈至所述客户端;
所述客户端将新生成的所述授权凭证信息替换当前的授权凭证信息。
优选地,当鉴权成功,所述业务网关向所述业务服务器请求业务接口,所述业务服务器解析授权请求头,存入当前线程变量,供业务服务使用。
优选地,所述业务服务的类型包括读取数据,写入数据和删除数据中的至少一项。
本发明的实施例还提供一种基于用户授权信息的认证系统,用于实现上述的基于用户授权信息的认证方法,所述基于用户授权信息的认证系统包括:
所述认证服务器收到至少一客户端发送的授权请求,生成对应所述客户端的授权信息以及授权凭证信息,并将所述授权凭证信息发送至所述客户端;所述客户端发送带有所述授权凭证信息的访问请求到业务网关,所述业务网关提取所述授权凭证信息,供所述认证服务器结合所述授权信息进行鉴权,鉴权成功则调用与所述访问请求对应的业务服务器的业务服务供所述客户端访问。
优选地,所述初始授权步骤还包括:所述认证服务器储存所述授权信息,所述客户端储存所述授权凭证信息。
优选地,所述授权凭证信息包括四部分信息,第一部分信息定义了票据类型和签名部分的签名算法,第二部分信息是客户端可查看的明文信息,第三部分信息是仅业务服务器可查看的加密信息,第四部分是对所述第一部分信息、第二部分信息、第三部分信息的认证服务器的签名。
优选地,所述访问请求步骤包括:
所述客户端发送带有所述授权凭证信息的访问请求到业务网关;
所述业务网关提取出所述授权凭证信息,并转发至所述认证服务器;
所述认证服务器根据所述授权凭证信息与储存的授权信息进行鉴权;
若鉴权成功,则所述业务网关调用与所述访问请求对应的业务服务供所述客户端访问;
若鉴权失败,则所述业务网关拒绝所述访问请求。
优选地,所述授权凭证信息包括有效期信息,当鉴权成功,所述认证服务器检测所述授权凭证信息的有效期信息是否小于预设阈值,若是,则所述认证服务器根据所述授权信息生成一个新的授权凭证信息,并将所述授权凭证信息反馈至所述网关;
所述业务网关将新生成的所述授权凭证信息加入到所述业务服务的响应中,并反馈至所述客户端;
所述客户端将新生成的所述授权凭证信息替换当前的授权凭证信息。
优选地,当鉴权成功,所述业务网关向所述业务服务器请求业务接口,所述业务服务器解析授权请求头,存入当前线程变量,供业务服务使用。
优选地,所述业务服务的类型包括读取数据,写入数据和删除数据中的至少一项。
本发明的实施例还提供一种基于用户授权信息的认证设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述基于用户授权信息的认证方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述基于用户授权信息的认证方法的步骤。
本发明的基于用户授权信息的认证方法、系统、设备及存储介质,能够通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题,并能极大程度保证线上稳定性和认证信息安全。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明的基于用户授权信息的认证方法的流程图;
图2是本发明的基于用户授权信息的认证方法的时序流程示意图;
图3是本发明的基于用户授权信息的认证系统的架构示意图;
图4是本发明的基于用户授权信息的认证设备的结构示意图;以及
图5是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
图1是本发明的基于用户授权信息的认证方法的流程图。如图1所示,本发明的基于用户授权信息的认证方法,包括以下步骤:
初始授权步骤,认证服务器收到至少一客户端发送的授权请求,生成对应客户端的授权信息以及授权凭证信息,并将授权凭证信息发送至客户端。授权信息保存于认证服务器的有可能会改变和比较重要的信息,认证服务器储存授权信息。授权凭证信息可以是通过加密和签名生成一串字符串,客户端储存授权凭证信息。以及
访问请求步骤,客户端发送带有授权凭证信息的访问请求到业务网关,业务网关提取授权凭证信息,供认证服务器结合授权信息进行鉴权,鉴权成功则调用与访问请求对应的业务服务器的业务服务供客户端访问。
本发明中当客户端需要请求受保护的资源时,此时携带上认证服务器颁发的授权信息请求认证服务器,请求先到达业务网关,业务网关请求认证服务器请求鉴权,认证服务器对请求标记进行基础鉴权,通过后,然后取出认证服务器的鉴权信息,对请求进行二次鉴权,通过后返回给网关结果,网关根据结果决定返回受保护的资源,还是直接拒绝客户端请求。基础鉴权通过后,认证服务器鉴权时出现基础服务不可用时,此时会进行降级,直接返回基础鉴权的结果。本发明通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题。
本实施例中,认证服务器会调用“获取凭据字符串”方法生成授权凭证信息交给客户端保存。
本实施例中,授权凭证信息可以由base64编码,包括四部分信息,第一部分信息定义了票据类型和签名部分的签名算法,第二部分信息是客户端可查看的明文信息,第三部分信息是仅业务服务器可查看的加密信息,第四部分是对第一部分信息、第二部分信息、第三部分信息的认证服务器的签名,但不以此为限。
本实施例中,访问请求步骤包括:
客户端发送带有授权凭证信息的访问请求到业务网关。
业务网关提取出授权凭证信息,并转发至认证服务器;
认证服务器根据授权凭证信息与储存的授权信息进行鉴权;
若鉴权成功,则业务网关调用与访问请求对应的业务服务供客户端访问;
若鉴权失败,则业务网关拒绝访问请求,不以此为限。
本实施例中,授权凭证信息包括有效期信息,当鉴权成功,认证服务器检测授权凭证信息的有效期信息是否小于预设阈值,若是,则认证服务器根据授权信息生成一个新的授权凭证信息,并将授权凭证信息反馈至网关;
业务网关将新生成的授权凭证信息加入到业务服务的响应中,并反馈至客户端;
客户端将新生成的授权凭证信息替换当前的授权凭证信息,以此对鉴权成功而授权凭证信息的有效期接近失效的客户端进行自动更新,当客户端保存了新的授权凭证信息后,便于后续客户端再次访问网关,而不是每次授权凭证信息失效后都要重新申请最新的授权凭证信息,加快了认证的整体速度,提高了人性化的体验。
本实施例中,当鉴权成功,业务网关向业务服务器请求业务接口,业务服务器解析授权请求头,存入当前线程变量,供业务服务使用。
在一个优选实施例中,业务服务的类型包括读取(read)数据,写入(write)数据和删除(delete)数据中的至少一项,但不以此为限。
图2是本发明的基于用户授权信息的认证方法的时序流程示意图。如图2所示,本发明的基于用户授权信息的认证方法的时序流程如下:
S100、发送授权请求。客户端1发送一倒授权请求认证服务器3。
S101、生成授权信息以及授权凭证信息。认证服务器3收到客户端1发送的授权请求,调用“获取凭据字符串”方法生成对应客户端1的授权信息以及授权凭证信息。授权凭证信息可以由base64编码,包括四部分信息,第一部分信息定义了票据类型和签名部分的签名算法,第二部分信息是客户端1可查看的明文信息,第三部分信息是仅业务服务器4可查看的加密信息,第四部分是对第一部分信息、第二部分信息、第三部分信息的认证服务器3的签名,但不以此为限
S102、将授权凭证信息发送。认证服务器3将授权凭证信息发送至客户端1。授权信息保存于认证服务器的有可能会改变和比较重要的信息,授权凭证信息可以是通过加密和签名生成一串字符串。认证服务器3储存授权信息。
S103、储存授权凭证信息。客户端1储存授权凭证信息。
S104、发送访问请求。客户端1发送带有授权凭证信息的访问请求到业务网关2。
S105、提取授权凭证信息并转发。业务网关2提取授权凭证信息,供认证服务器3。
S106、进行鉴权和有效期信息检测。认证服务器3根据授权凭证信息与储存的授权信息进行鉴权,当鉴权成功,认证服务器3检测授权凭证信息的有效期信息是否小于预设阈值,若是,则认证服务器3根据授权信息生成一个新的授权凭证信息;若鉴权失败,则业务网关2拒绝访问请求。
S107、返回鉴权结果。且当授权凭证信息的有效期信息小于预设阈值,认证服务器3根据授权信息生成一个新的授权凭证信息,并将授权凭证信息反馈至网关
S108、请求业务接口。业务网关2向业务服务器4请求业务接口。
S109、解析业务请求。业务服务器4解析授权请求头,存入当前线程变量,供业务服务使用。业务服务的类型包括读取(read)数据,写入(write)数据和删除(delete)数据中的至少一项,但不以此为限。
S110、返回业务服务。业务服务器4向业务网关2返回业务接口。
S111、将新生成的授权凭证信息加入响应头中。业务网关2将认证服务器3生成的新的授权凭证信息,加入到响应头。
S112、返回响应。业务网关2将响应反馈到客户端1
S113、保存新生成的授权凭证信息。客户端1将新生成的授权凭证信息替换当前的授权凭证信息,以此对鉴权成功而授权凭证信息的有效期接近失效的客户端1进行自动更新。
本发明的基于用户授权信息的认证方法能够通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题,并能极大程度保证线上稳定性和认证信息安全。
图3是本发明的基于用户授权信息的认证系统的架构示意图。如图3所示,本发明的实施例还提供一种基于用户授权信息的认证系统,用于实现上述的基于用户授权信息的认证方法,基于用户授权信息的认证系统10包括:认证服务器3、业务网关2和业务服务器4,服务于多个客户端1。本实施例中,客户端1可以是手机、笔记本等等,不以此为限。认证服务器3收到至少一客户端1发送的授权请求,生成对应客户端1的授权信息以及授权凭证信息,并将授权凭证信息发送至客户端1;客户端1发送带有授权凭证信息的访问请求到业务网关2,业务网关2提取授权凭证信息,供认证服务器3结合授权信息进行鉴权,鉴权成功则调用与访问请求对应的业务服务器4的业务服务供客户端1访问。
在一个优选实施例中,初始授权步骤还包括:认证服务器3储存授权信息,客户端1储存授权凭证信息。
在一个优选实施例中,授权凭证信息包括四部分信息,第一部分信息定义了票据类型和签名部分的签名算法,第二部分信息是客户端1可查看的明文信息,第三部分信息是仅业务服务器4可查看的加密信息,第四部分是对第一部分信息、第二部分信息、第三部分信息的认证服务器3的签名。
在一个优选实施例中,访问请求步骤包括:
客户端1发送带有授权凭证信息的访问请求到业务网关2
业务网关2提取出授权凭证信息,并转发至认证服务器3;
认证服务器3根据授权凭证信息与储存的授权信息进行鉴权;
若鉴权成功,则业务网关2调用与访问请求对应的业务服务供客户端1访问;
若鉴权失败,则业务网关2拒绝访问请求。
在一个优选实施例中,授权凭证信息包括有效期信息,当鉴权成功,认证服务器3检测授权凭证信息的有效期信息是否小于预设阈值,若是,则认证服务器3根据授权信息生成一个新的授权凭证信息,并将授权凭证信息反馈至网关;
业务网关2将新生成的授权凭证信息加入到业务服务的响应中,并反馈至客户端1;
客户端1将新生成的授权凭证信息替换当前的授权凭证信息。
在一个优选实施例中,当鉴权成功,业务网关2向业务服务器4请求业务接口,业务服务器4解析授权请求头,存入当前线程变量,供业务服务使用。
在一个优选实施例中,业务服务的类型包括读取数据,写入数据和删除数据中的至少一项。
本发明的基于用户授权信息的认证系统能够通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题,并能极大程度保证线上稳定性和认证信息安全。
本发明实施例还提供一种基于用户授权信息的认证设备,包括处理器。存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的基于用户授权信息的认证方法的步骤。
如上所示,该实施例能够通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题,并能极大程度保证线上稳定性和认证信息安全。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
图4是本发明的基于用户授权信息的认证设备的结构示意图。下面参照图4来描述根据本发明的这种实施方式的电子设备600。图4显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现的基于用户授权信息的认证方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例能够通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题,并能极大程度保证线上稳定性和认证信息安全。
图5是本发明的计算机可读存储介质的结构示意图。参考图5所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上,本发明的目的在于提供基于用户授权信息的认证方法、系统、设备及存储介质,能够通过有状态认证和无状态认证相结合,通过对认证信息进行分级和抽象,必要的时候进行降级来解决单纯无状态和有状态认证存在的问题,并能极大程度保证线上稳定性和认证信息安全。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (12)
1.一种基于用户授权信息的认证方法,其特征在于,包括以下步骤:
初始授权步骤,认证服务器收到至少一客户端发送的授权请求,生成对应所述客户端的授权信息以及授权凭证信息,并将所述授权凭证信息发送至所述客户端,所述认证服务器储存所述授权信息,所述客户端储存所述授权凭证信息,所述授权凭证信息包括四部分信息,第一部分信息定义了票据类型和签名部分的签名算法,第二部分信息是客户端可查看的明文信息,第三部分信息是仅业务服务器可查看的加密信息,第四部分是对所述第一部分信息、第二部分信息、第三部分信息的认证服务器的签名;以及
访问请求步骤,所述客户端发送带有所述授权凭证信息的访问请求到业务网关,所述业务网关提取所述授权凭证信息,供所述认证服务器结合所述授权信息进行鉴权,鉴权成功则调用与访问请求对应的业务服务器的业务服务供所述客户端访问。
2.如权利要求1所述的基于用户授权信息的认证方法,其特征在于,所述访问请求步骤包括:
所述客户端发送带有所述授权凭证信息的访问请求到业务网关;
所述业务网关提取出所述授权凭证信息,并转发至所述认证服务器;
所述认证服务器根据所述授权凭证信息与储存的授权信息进行鉴权;
若鉴权成功,则所述业务网关调用与所述访问请求对应的业务服务供所述客户端访问;
若鉴权失败,则所述业务网关拒绝所述访问请求。
3.如权利要求2所述的基于用户授权信息的认证方法,其特征在于:所述授权凭证信息包括有效期信息,当鉴权成功,所述认证服务器检测所述授权凭证信息的有效期信息是否小于预设阈值,若是,则所述认证服务器根据所述授权信息生成一个新的授权凭证信息,并将所述授权凭证信息反馈至所述业务网关;
所述业务网关将新生成的所述授权凭证信息加入到所述业务服务的响应中,并反馈至所述客户端;
所述客户端将新生成的授权凭证信息替换当前的授权凭证信息。
4.如权利要求2所述的基于用户授权信息的认证方法,其特征在于:当鉴权成功,所述业务网关向所述业务服务器请求业务接口,所述业务服务器解析授权请求头,存入当前线程变量,供业务服务使用。
5.如权利要求2所述的基于用户授权信息的认证方法,其特征在于:所述业务服务的类型包括读取数据,写入数据和删除数据中的至少一项。
6.一种基于用户授权信息的认证系统,用于实现权利要求1至5中任一项所述的基于用户授权信息的认证方法,其特征在于,包括:认证服务器、业务网关和业务服务器;
所述认证服务器收到至少一客户端发送的授权请求,生成对应所述客户端的授权信息以及授权凭证信息,并将所述授权凭证信息发送至所述客户端,所述认证服务器储存所述授权信息,所述客户端储存所述授权凭证信息,所述授权凭证信息包括四部分信息,第一部分信息定义了票据类型和签名部分的签名算法,第二部分信息是客户端可查看的明文信息,第三部分信息是仅业务服务器可查看的加密信息,第四部分是对所述第一部分信息、第二部分信息、第三部分信息的认证服务器的签名;所述客户端发送带有所述授权凭证信息的访问请求到业务网关,所述业务网关提取所述授权凭证信息,供所述认证服务器结合所述授权信息进行鉴权,鉴权成功则调用与所述访问请求对应的业务服务器的业务服务供所述客户端访问。
7.如权利要求6所述的基于用户授权信息的认证系统,其特征在于,所述访问请求步骤包括:
所述客户端发送带有所述授权凭证信息的访问请求到业务网关
所述业务网关提取出所述授权凭证信息,并转发至所述认证服务器;
所述认证服务器根据所述授权凭证信息与储存的授权信息进行鉴权;
若鉴权成功,则所述业务网关调用与所述访问请求对应的业务服务供所述客户端访问;
若鉴权失败,则所述业务网关拒绝所述访问请求。
8.如权利要求7所述的基于用户授权信息的认证系统,其特征在于:所述授权凭证信息包括有效期信息,当鉴权成功,所述认证服务器检测所述授权凭证信息的有效期信息是否小于预设阈值,若是,则所述认证服务器根据所述授权信息生成一个新的授权凭证信息,并将所述授权凭证信息反馈至所述业务网关;
所述业务网关将新生成的授权凭证信息加入到所述业务服务的响应中,并反馈至所述客户端;
所述客户端将新生成的所述授权凭证信息替换当前的授权凭证信息。
9.如权利要求7所述的基于用户授权信息的认证系统,其特征在于:当鉴权成功,所述业务网关向所述业务服务器请求业务接口,所述业务服务器解析授权请求头,存入当前线程变量,供业务服务使用。
10.如权利要求7所述的基于用户授权信息的认证系统,其特征在于:所述业务服务的类型包括读取数据,写入数据和删除数据中的至少一项。
11.一种基于用户授权信息的认证设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至5中任意一项所述基于用户授权信息的认证方法的步骤。
12.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至5中任意一项所述基于用户授权信息的认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811100671.XA CN109194673B (zh) | 2018-09-20 | 2018-09-20 | 基于用户授权信息的认证方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811100671.XA CN109194673B (zh) | 2018-09-20 | 2018-09-20 | 基于用户授权信息的认证方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109194673A CN109194673A (zh) | 2019-01-11 |
| CN109194673B true CN109194673B (zh) | 2021-08-03 |
Family
ID=64908927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811100671.XA Active CN109194673B (zh) | 2018-09-20 | 2018-09-20 | 基于用户授权信息的认证方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109194673B (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109992976A (zh) * | 2019-02-27 | 2019-07-09 | 平安科技(深圳)有限公司 | 访问凭证验证方法、装置、计算机设备及存储介质 |
| CN109995774B (zh) * | 2019-03-22 | 2021-10-08 | 泰康保险集团股份有限公司 | 基于部分解密的密钥认证方法、系统、设备及存储介质 |
| CN110348195A (zh) * | 2019-05-24 | 2019-10-18 | 深圳壹账通智能科技有限公司 | 数据凭证授权方法、装置、计算机设备和存储介质 |
| CN110636043A (zh) * | 2019-08-16 | 2019-12-31 | 中国人民银行数字货币研究所 | 一种基于区块链的文件授权访问方法、装置及系统 |
| CN112738005A (zh) * | 2019-10-14 | 2021-04-30 | 中移(苏州)软件技术有限公司 | 访问处理方法、装置、系统、第一认证服务器及存储介质 |
| CN110958237A (zh) * | 2019-11-26 | 2020-04-03 | 苏州思必驰信息科技有限公司 | 一种权限校验的方法和装置 |
| CN110891067B (zh) * | 2019-12-10 | 2020-12-08 | 成都工业学院 | 一种可撤销的多服务器隐私保护认证方法及系统 |
| CN111191200B (zh) * | 2019-12-20 | 2023-08-04 | 北京淇瑀信息科技有限公司 | 一种三方联动鉴权页面展示方法、装置和电子设备 |
| CN110971617A (zh) * | 2019-12-24 | 2020-04-07 | 苏州思必驰信息科技有限公司 | 语音设备授权方法、鉴权方法及系统 |
| CN111259363B (zh) * | 2020-01-19 | 2022-10-28 | 数字广东网络建设有限公司 | 业务访问信息处理方法、系统、装置、设备和存储介质 |
| CN111416822B (zh) * | 2020-03-20 | 2022-10-18 | 数篷科技(深圳)有限公司 | 访问控制的方法、电子设备和存储介质 |
| CN113472716B (zh) * | 2020-03-30 | 2023-09-19 | 中移互联网有限公司 | 系统访问方法、网关设备、服务器、电子设备及存储介质 |
| CN111935169B (zh) * | 2020-08-20 | 2021-10-26 | 腾讯云计算(北京)有限责任公司 | 一种业务数据访问方法、装置、设备及存储介质 |
| CN112073400B (zh) * | 2020-08-28 | 2024-06-14 | 腾讯云计算(北京)有限责任公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN112153032B (zh) * | 2020-09-15 | 2024-06-14 | 腾讯云计算(北京)有限责任公司 | 一种信息处理方法、装置、计算机可读存储介质及系统 |
| CN114650304B (zh) * | 2020-12-17 | 2024-03-15 | 联通(江苏)产业互联网有限公司 | 认证和授权的方法及装置 |
| CN112559994B (zh) * | 2020-12-25 | 2023-12-01 | 北京百度网讯科技有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN113132404B (zh) * | 2021-04-28 | 2023-05-30 | 平安国际智慧城市科技股份有限公司 | 身份认证方法、终端及存储介质 |
| CN113271300B (zh) * | 2021-05-12 | 2022-10-21 | 北京天空卫士网络安全技术有限公司 | 一种认证的系统和方法 |
| CN113709683B (zh) * | 2021-08-31 | 2023-04-07 | 中国电信股份有限公司 | 子网业务的通信方法、装置、电子设备和可读介质 |
| CN113949534A (zh) * | 2021-09-22 | 2022-01-18 | 广东电网有限责任公司 | 信息化系统的资源访问方法、装置、电子设备及存储介质 |
| CN114221782B (zh) * | 2021-11-09 | 2023-11-24 | 中央广播电视总台 | 一种认证鉴权方法、设备、芯片及存储介质 |
| CN113904873B (zh) * | 2021-11-29 | 2023-03-28 | 统信软件技术有限公司 | 一种认证方法、装置、计算设备及存储介质 |
| CN114221822B (zh) * | 2022-01-12 | 2023-10-27 | 杭州涂鸦信息技术有限公司 | 配网方法、网关设备以及计算机可读存储介质 |
| CN114900351A (zh) * | 2022-04-29 | 2022-08-12 | 上海电气风电集团股份有限公司 | 用户信息管理方法、系统和计算机可读存储介质 |
| CN115022074A (zh) * | 2022-06-24 | 2022-09-06 | 中国电信股份有限公司 | 用户认证授权方法、装置、介质及设备 |
| CN115150154B (zh) * | 2022-06-30 | 2023-05-26 | 深圳希施玛数据科技有限公司 | 用户登录认证方法及相关装置 |
| CN115242469B (zh) * | 2022-07-07 | 2024-05-24 | 安天科技集团股份有限公司 | 安全访问api、安全通信的方法、电子设备及存储介质 |
| CN117424712A (zh) * | 2022-07-11 | 2024-01-19 | 中兴通讯股份有限公司 | 访问控制方法、电子设备及存储介质 |
| CN115834207A (zh) * | 2022-11-23 | 2023-03-21 | 紫光云技术有限公司 | 一种基于网关实现跨应用集成的方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188229B (zh) * | 2011-12-30 | 2017-09-12 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| GB201204202D0 (en) * | 2012-03-09 | 2012-04-25 | Distributed Man Systems Ltd | A scalable authentication system |
| CN104283681B (zh) * | 2013-07-08 | 2018-02-06 | 华为技术有限公司 | 一种对用户的合法性进行验证的方法、装置及系统 |
| CN107154935B (zh) * | 2017-04-26 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 业务请求方法及装置 |
-
2018
- 2018-09-20 CN CN201811100671.XA patent/CN109194673B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109194673A (zh) | 2019-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109194673B (zh) | 基于用户授权信息的认证方法、系统、设备及存储介质 | |
| US10681028B2 (en) | Controlling access to resources on a network | |
| JP5429912B2 (ja) | 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム | |
| US9769266B2 (en) | Controlling access to resources on a network | |
| CN102469080B (zh) | 实现通行证用户安全登录应用客户端的方法和系统 | |
| CA2736584C (en) | Method and system for secure use of services by untrusted storage providers | |
| US8984593B2 (en) | Securing asynchronous client server transactions | |
| US8590017B2 (en) | Partial authentication for access to incremental data | |
| KR101541591B1 (ko) | Vdi 환경에서의 싱글 사인온 시스템 및 방법 | |
| US9198036B2 (en) | Method for providing application service | |
| CN111698312B (zh) | 基于开放平台的业务处理方法、装置、设备和存储介质 | |
| US10582348B2 (en) | Message-based management service enrollment | |
| US9332017B2 (en) | Monitoring remote access to an enterprise network | |
| WO2023072817A1 (en) | Control of access to computing resources implemented in isolated environments | |
| CN110719590A (zh) | 基于手机号码的一键登录方法、装置、设备及存储介质 | |
| CN114048506A (zh) | 应用控制方法、装置、设备以及存储介质 | |
| CN111901289B (zh) | 一种身份认证的方法、装置、设备及存储介质 | |
| US20140283080A1 (en) | Identifying stored vulnerabilities in a web service | |
| CN114726556B (zh) | Waf管理方法、装置、系统、电子设备及可读介质 | |
| CN108052842B (zh) | 签名数据的存储、验证方法及装置 | |
| AU2013237707B2 (en) | Prevention of forgery of web requests to a server | |
| CN109857488B (zh) | 应用程序的调用控制方法、装置、终端及可读存储介质 | |
| US11528140B2 (en) | Compromised access token invalidation in a singleton process | |
| CN117692199A (zh) | 鉴权方法、装置、电子设备、系统及芯片 | |
| CN116232660A (zh) | 全电开票系统用户授权登录方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20190111 Assignee: Nanjing Manyun Cold Chain Technology Co.,Ltd. Assignor: JIANGSU MANYUN SOFTWARE TECHNOLOGY Co.,Ltd. Contract record no.: X2023980038397 Denomination of invention: Authentication methods, systems, devices, and storage media based on user authorization information Granted publication date: 20210803 License type: Common License Record date: 20230724 |