CN109547432B - 多系统验证方法及装置、存储介质及电子设备 - Google Patents
多系统验证方法及装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN109547432B CN109547432B CN201811376529.8A CN201811376529A CN109547432B CN 109547432 B CN109547432 B CN 109547432B CN 201811376529 A CN201811376529 A CN 201811376529A CN 109547432 B CN109547432 B CN 109547432B
- Authority
- CN
- China
- Prior art keywords
- user
- request
- service
- bill
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Abstract
本发明提供了一种多系统验证方法,包括:接收用户请求,确定请求类别;当类别为操作请求,验证操作权限,在验证通过时,执行对应操作;当类别为访问请求,判断请求中是否存在令牌Assertion;当存在时,验证其是否合法,在合法时允许访问客户端系统;当不存在时,判断请求中是否存在服务票据ST;当存在时,验证服务票据ST是否合法,在合法时允许用户访问客户端系统;当不存在时,要求用户登录获取新的服务票据ST进行验证,并在合法时,允许用户访问客户端系统。应用本发明提供的方法,可以使用户在使用客户端系统时无需重复登录,增加用户使用客户端系统的便捷程度,降低了企业对客户端系统的维护管理成本和难度。
Description
技术领域
本发明涉及系统集成领域,特别涉及一种多系统验证方法及装置、存储介质及电子设备。
背景技术
随着企业规模的不断扩大,企业使用的客户端系统不断增加,各个系统均使用自带的权限管理系统,导致用户在使用企业内部客户端系统时需要重复登录并验证权限,消耗大量的时间和精力,且数量众多的客户端系统容易使用户混淆客户端系统对应的账号密码。同时,由于各客户端系统的权限管理实现方式、采用的数据库系统以及操作系统各不相同,增加了企业对客户端系统维护管理的成本和难度。
因此,业界亟需一套方法来实现对众多客户端系统访问的统一验证、管理用户权限,减少用户使用时的重复登录,增加用户使用客户端系统的便捷程度,降低企业对客户端系统的维护管理成本和难度。
发明内容
有鉴于此,本发明提供了一种多系统验证方法,以实现对多客户端系统的集成管理,统一管理并验证用户权限,使得用户在使用企业内部客户端系统时无需重复登录或验证权限,降低企业对客户端系统的维护管理成本和难度。
本发明还提供了一种多系统验证装置,用以保证上述方法在实际中的实现及应用。
一种多系统验证方法,包括:
当接收到用户请求时,确定所述用户请求的请求类别;
当所述用户请求的请求类别为操作请求时,验证用户的操作权限,并在所述操作权限验证通过时,执行与所述用户请求对应的请求操作;
当所述用户请求的请求类别为访问请求时,判断所述用户请求中是否存在预先设置的令牌Assertion;
当存在所述令牌Assertion时,验证所述令牌Assertion是否为访问与所述用户请求对应的客户端系统的合法令牌,并在所述令牌Assertion为合法令牌时,允许用户访问所述客户端系统;
当不存在所述令牌Assertion时,判断所述用户请求中是否存在预先设置的服务票据ST;
当存在所述服务票据ST时,将所述服务票据ST与服务端系统预先保存的合法服务票据ST进行比对,以验证所述用户请求中的服务票据ST是否合法,并在验证结果为合法时,允许用户访问所述客户端系统;
当不存在所述服务票据ST时,则要求用户登录服务端系统以获取与当前登录对应的服务票据ST,并对该服务票据ST进行验证,并在验证结果为合法时,允许用户访问与所述客户端系统。
上述的方法,可选的,所述验证用户的操作权限包括:
获取所述用户请求中包含的用户信息;
依据所述用户信息,确定用户对应的用户权限;
判断所述用户权限中是否包含与所述用户请求对应的操作权限,当包含时,通过对所述用户操作权限的验证。
上述的方法,可选的,所述要求用户登录服务端系统以获取与当前登录对应的服务票据ST,并对该服务票据ST进行验证包括:
判断所述用户请求中是否存在预先设置的认证授予票据TGT;
当存在所述认证授予票据TGT时,允许用户登录所述服务端系统;
当不存在所述认证授予票据TGT时,跳转至登录界面,提示用户输入账号密码进行登录,并在用户的账号密码通过验证后为用户设置与当前登录对应的认证授予票据TGT;
当用户成功登录所述服务端系统后,为用户设置与当前登录对应的服务票据ST,并在服务端系统保存该服务票据ST。
上述的方法,可选的,所述在验证结果为合法时,允许用户访问所述客户端系统,包括:
在验证结果为合法时,为所述用户设置新的令牌Assertion,并在客户端系统保存所述新的令牌Assertion,同时允许用户访问所述客户端系统。
上述的方法,可选的,在用户访问进入所述客户端系统后,还包括:
显示与用户的用户权限对应的系统页面和内容。
上述的方法,可选的,还包括:
当所述操作权限未通过验证时,跳转至无权限界面。
一种多系统验证装置,其特征在于,包括:
通信单元:用于接收用户请求以及用户输入的账号密码,用于传输令牌Assertion、服务票据ST、认证授予凭证TGT;
验证单元:用于验证用户操作权限、令牌Assertion、服务票据ST、认证授予凭证TGT以及用户输入的账号密码;
储存单元:用于储存令牌Assertion、服务票据ST、认证授予凭证TGT,用于储存用户信息以及用户对应的用户权限;
管理单元:用于管理用户信息以及用户对应的用户权限,用于管理客户端系统。
上述的装置,可选的,还包括:
跳转单元,用于在所述操作权限未通过验证时,跳转至无权限界面。
一种存储装置,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行上述的多系统验证方法。
一种电子设备,包括存储器,以及一个或者一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行上述的多系统验证方法。
与现有技术相比,本发明包括以下优点:
本发明提供了一种多系统验证方法,包括:当接收到用户请求时,确定所述用户请求的请求类别;当所述用户请求的请求类别为操作请求时,验证用户的操作权限,并在所述操作权限验证通过时,执行与所述用户请求对应的请求操作;当所述用户请求的请求类别为访问请求时,判断所述用户请求中是否存在预先设置的令牌Assertion;当存在所述令牌Assertion时,验证所述令牌Assertion是否为访问与所述用户请求对应的客户端系统的合法令牌,并在所述令牌Assertion为合法令牌时,允许用户访问所述客户端系统;当不存在所述令牌Assertion时,判断所述用户请求中是否存在预先设置的服务票据ST;当存在所述服务票据ST时,将所述服务票据ST与服务端系统预先保存的合法服务票据ST进行比对,以验证所述用户请求中的服务票据ST是否合法,并在验证结果为合法时,允许用户访问所述客户端系统;当不存在所述服务票据ST时,则要求用户登录服务端系统以获取与当前登录对应的服务票据ST,并对该服务票据ST进行验证,并在验证结果为合法时,允许用户访问所述客户端系统。
应用本发明提供的方法,可实现对多个客户端系统的集成管理,统一管理并验证用户权限,使得用户在使用客户端系统时无需重复登录,增加用户使用客户端系统的便捷程度,降低了企业对客户端系统的维护管理成本和难度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明提供的一种多系统验证方法的方法流程图;
图2为本发明提供的一种多系统验证方法的又一方法流程图;
图3为本发明提供的一种多系统验证方法的又一方法流程图;
图4为本发明提供的一种多系统验证方法的又一方法流程图;
图5为本发明提供的一种多系统装置的结构示意图;
图6为本发明提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明可用于大型企业、银行、政府部门的客户端系统管理,其执行主体包括但不限于计算机服务器、各类移动设备的处理器以及控制器,所述方法的方法流程图如图1所示,具体包括:
S101:当接收到用户请求时,确定所述用户请求的请求类别;
本发明实施例提供的方法中,用户在需要访问客户端系统或需要进行相应操作时,发出用户请求,当接收到用户的请求时,确定用户请求的类别;用户请求类别可以分为操作请求以及访问请求。
S102:当所述用户请求的请求类别为操作请求时,验证用户的操作权限,并在所述操作权限验证通过时,执行与所述用户请求对应的请求操作;
本发明实施例提供的方法中,在确定用户请求的请求类别为操作请求时,验证用户的操作权限,判断用户是否拥有权限进行与用户请求相对应的操作,当操作权限验证通过,即用户拥有进行该操作的权限时,执行与用户请求对应的请求操作。
S103:当所述用户请求的请求类别为访问请求时,判断所述用户请求中是否存在预先设置的令牌Assertion;当存在时,进入步骤S104,当不存在时,进入步骤S105;
本发明实施例提供的方法中,当确定用户请求的请求类别为访问请求时,首先判断用户请求中是否存在预先设置的令牌Assertion,拥有合法令牌Assertion的用户不需要向服务端系统验证服务票据ST。
S104:验证所述令牌Assertion是否为访问与所述用户请求对应的客户端系统的合法令牌,并在所述令牌Assertion为合法令牌时,允许用户访问所述客户端系统;
本发明实施例提供的方法中,当用户请求中存在令牌Assertion时,说明该用户在服务端系统处于登录状态,此时需要验证用户请求中的令牌Assertion是否为访问与用户请求对应的客户端系统的合法令牌;在验证通过,即用户请求中的令牌Assertion为合法令牌时,允许该用户访问客户端系统。
S105:当不存在所述令牌Assertion时,判断所述用户请求中是否存在预先设置的服务票据ST;
本发明实施例提供的方法中,在用户请求中不存在令牌Assertion时,判断请求中是否存在服务端预先为用户设置的服务票据ST,拥有服务票据ST的用户可以向服务端验证服务票据ST的合法性,并在验证结果为合法时访问对应的客户端系统。
S106:当存在所述服务票据ST时,将所述服务票据ST与服务端系统预先保存的合法服务票据ST进行比对,以验证所述用户请求中的服务票据ST是否合法,并在验证结果为合法时,允许用户访问所述客户端系统;
本发明实施例提供的方法中,当用户请求中存在服务票据ST时,重定向至服务端验证用户请求中存在的服务票据ST的合法性,即将用户请求中的服务票据ST与服务端系统保存的服务票据ST进行比对,当比对结果一致,用户请求中的服务票据ST为访问对应客户端的合法服务票据ST时,允许用户访问客户端系统。
S107:当不存在所述服务票据ST时,则要求用户登录服务端系统以获取与当前登录对应的服务票据ST,并对该服务票据ST进行验证,并在验证结果为合法时,允许用户访问所述客户端系统。
本发明实施例提供的方法中,当用户请求中不存在服务票据ST时,说明用户在服务端系统中处于未登录状态,此时需要用户在服务端系统进行登录以获取与当前登录对应的服务票据ST,然后,向服务端系统验证该服务票据ST的合法性,验证通过时,允许用户访问与用户请求对应的客户端系统。
本发明实施例提供的多系统验证方法,当接收到用户请求时,确定所述用户请求的请求类别;当所述用户请求的请求类别为操作请求时,验证用户的操作权限,并在所述操作权限验证通过时,执行与所述用户请求对应的请求操作;当所述用户请求的请求类别为访问请求时,判断所述用户请求中是否存在预先设置的令牌Assertion;当存在所述令牌Assertion时,验证所述令牌Assertion是否为访问与所述用户请求对应的客户端系统的合法令牌,并在所述令牌Assertion为合法令牌时,允许用户访问所述客户端系统;当不存在所述令牌Assertion时,判断所述用户请求中是否存在预先设置的服务票据ST;
当存在所述服务票据ST时,将所述服务票据ST与服务端系统预先保存的合法服务票据ST进行比对,以验证所述用户请求中的服务票据ST是否合法,并在验证结果为合法时允许用户访问所述客户端系统;当不存在所述服务票据ST时,则要求用户登录服务端系统以获取与当前登录对应的服务票据ST,并对该服务票据ST进行验证,并在验证结果为合法时,允许用户访问所述客户端系统。
应用本发明实施例提供的方法,可实现对多个客户端系统的集成管理,统一管理并验证用户权限,使得用户在使用客户端系统时无需重复登录,增加用户使用客户端系统的便捷程度,降低了企业对客户端系统的维护管理成本和难度。
本发明实施例提供的多系统验证方法,当所述用户请求的请求类别为操作请求时,验证用户的操作权限;其中,所述验证用户的操作权限,如图2所示,具体可以包括:
S201:获取所述用户请求中包含的用户信息;
本发明实施例提供的方法中,在验证用户的操作权限时,首先获取用户请求中包含的用户信息,其中,用户信息可以包括:用户名、用户角色等与用户相关的信息。
S202:依据所述用户信息,确定用户对应的用户权限;
本发明实施例提供的方法中,在获取用户的用户信息后,根据用户信息,确定用户对应的用户权限。
本发明实施例提供的方法中,管理员将权限赋予角色,用户通过一定方式可以激活角色或是由管理员赋予用户某一角色,从而使得用户拥有了该角色所包含的权限,用户能够同时拥有多个角色身份,服务端系统管理员可以在服务端系统对系统权限以及角色进行相应的管理,例如修改、删除、新建等。
S203:判断所述用户权限中是否包含与所述用户请求对应的操作权限,当包含时,通过对所述用户操作权限的验证。
本发明实施例提供的方法中,在获取了用户所拥有的用户权限后,判断该用户的用户权限中是否包含与用户请求对应的操作权限,当包含时,说明用户具备进行此项操作的权限,通过对所述用户操作权限的验证。
本发明实施例提供的多系统验证方法,在验证用户操作权限时,获取所述用户请求中包含的用户信息;依据所述用户信息,确定用户对应的用户权限;判断所述用户权限中是否包含与所述用户请求对应的操作权限,当包含时,通过对所述用户操作权限的验证。应用本发明实施例提供的多系统验证方法,可实现对多个客户端系统的集成管理,统一管理并验证用户权限,使得用户在使用客户端系统时无需重复登录,增加用户使用客户端系统的便捷程度,降低了企业对客户端系统的维护管理成本和难度。
本发明实施例提供的多系统验证方法,当不存在所述服务票据ST时,则要求用户登录服务端系统以获取与当前登录对应的服务票据ST;其中,所述要求用户登录服务端系统以获取与当前登录对应的服务票据ST,如图3所示,具体可以包括:
S301:判断所述用户请求中是否存在预先设置的认证授予票据TGT;
本发明实施例提供的方法中,当用户需要登录服务端系统以获取与当前登录对应的服务票据ST进行验证时,首先判断用户请求中是否存在预先设置的认证授予票据TGT。
S302:当存在所述认证授予票据TGT时,允许用户登录所述服务端系统;
本发明实施例提供的方法中,用户请求中存在认证授予票据TGT,说明该用户在服务端系统处于未登录状态,但该用户曾经成功登录过服务端系统,并保留了相应的数据,此时允许用户登录服务端系统。
S303:当不存在所述认证授予票据TGT时,跳转至登录界面,提示用户输入账号密码进行登录,并在用户的账号密码通过验证后为用户设置与当前登录对应的认证授予票据TGT;
本发明实施例提供的方法中,用户请求中不存在认证授予票据TGT,说明该用户在服务端系统处于未登录状态,且请求中并不存在成功登录过服务端的相应数据,此时跳转至服务端系统的登录界面,用户需要输入账号密码进行登录,在用户输入的账号密码通过验证后,服务端为用户设置与当前登录对应的认证授予票据TGT并在服务端系统保存该认证授予票据TGT,用户之后可凭借该认证授予票据TGT登录服务端系统,免去输入账号密码进行登录的操作,使得用户能够更加便捷地使用各类客户端系统。
S304:当用户成功登录所述服务端系统后,为用户设置与当前登录对应的服务票据ST,并在服务端系统保存该服务票据ST。
本发明实施例提供的方法中,在用户成功登录服务端系统后,服务端系统为用户设置与当前登录对应的服务票据ST,并在服务端系统保存相应的服务票据ST,用以与用户请求中的服务票据ST进行比对,验证用户请求中的服务票据ST的合法性。
本发明实施例提供的多系统验证方法,在要求用户登录服务端系统以获取与当前登录对应的服务票据ST时;首先判断所述用户请求中是否存在预先设置的认证授予票据TGT;当存在所述认证授予票据TGT时,允许用户登录所述服务端系统;当不存在所述认证授予票据TGT时,跳转至登录界面,提示用户输入账号密码进行登录,并在用户的账号密码通过验证后为用户设置与当前登录对应的认证授予票据TGT;当用户成功登录所述服务端系统后,为用户设置与当前登录对应的服务票据ST,并保存该服务票据ST。应用本发明实施例提供的多系统验证方法,可实现对多个客户端系统的集成管理,统一管理并验证用户权限,使得用户在使用客户端系统时无需重复登录,增加用户使用客户端系统的便捷程度,降低了企业对客户端系统的维护管理成本和难度。
本发明实施例提供的多系统方法,所述在验证结果为合法时,允许用户访问所述客户端系统,包括:
在验证结果为合法时,为所述用户设置新的令牌Assertion,并在客户端系统保存所述新的令牌Assertion,同时允许用户访问所述客户端系统。
本发明实施例提供的方法中,在验证结果为合法时,允许用户访问所述客户端系统,为用户设置新的令牌Assertion,并在对应的客户端系统保存相应的合法令牌Assertion。得到新令牌Assertion的用户,在下次访问该客户端系统时由客户端系统验证其令牌Assertion是否合法即可,免去向服务端系统验证服务票据ST的步骤。
需要说明的是,本发明实施例提供的方法中,作为主系统的服务端系统与作为子系统注入服务端系统的客户端系统共用一套验证信息,令牌Assertion、服务票据ST以及认证授予票据TGT的验证采用SSL协议进行交互,系统间进行的交互是安全的,不会被破解,保证了系统间交互的可靠性,协议工作过程中会有2次重定向的过程,对验证信息进行验证的过程对用户是透明的。
服务端系统管理员还可以根据需求,为令牌Assertion、服务票据ST以及认证授予票据TGT设置有效期限或使用次数,例如,将令牌Assertion、服务票据ST以及认证授予票据TGT有效期限设置为一周,一周后令牌Assertion、服务票据ST以及认证授予票据TGT失效,需要重新获取;又或者是将令牌Assertion、服务票据ST以及认证授予票据TGT设置为使用五次后失效,令牌Assertion、服务票据ST以及认证授予票据TGT在使用五次后失效,需要重新获取。保证了系统验证信息的时效性,防止长期使用相同验证信息使得系统出现安全隐患。
本发明实施例提供的多系统验证方法,在用户访问进入所述客户端系统后,具体地,还可以包括:
显示与用户的用户权限对应的系统页面和内容。
本发明实施例提供的方法中,在用户访问进入客户端系统后,还可以显示与用户的用户权限对应的系统页面和内容。
本发明实施例提供的多系统验证方法,具体地,还可以包括:
当所述操作权限未通过验证时,跳转至无权限界面。
本发明实施例提供的方法中,当验证用户的操作权限的验证结果为未通过时,跳转至无权限界面,提示用户不具备进行此项操作的权限。
本发明实施例提供的多系统验证方法,处于未登录状态的用户首次访问客户端系统时,具体的验证流程如图4所示。
用户向客户端发送用户请求,因为是首次访问,用户请求中不包含令牌Assertion、服务票据ST以及认证授予票据TGT;客户端判断用户访问请求中是否存在预先设置的令牌Assertion;判断结果为不存在令牌Assertion,重定向至服务端系统;此时服务端系统判断用户访问请求中是否存在服务票据ST,判断结果为不存在服务票据ST;用户需要登录服务端系统获取与当前登录对应的服务票据ST并对该服务票据ST进行验证;服务端对用户请求中是否存在认证授予票据TGT的判断结果为不存在,跳转至服务端系统登录界面,提示用户输入账号密码进行登录;在用户输入的账号密码通过验证后服务端系统为用户设置与当前登录对应的认证授予票据TGT,并在成功登录后为用户设置与当前登录对应的服务票据ST,同时在服务端系统保存相应的服务票据ST以及认证授予票据TGT;然后重定向至客户端系统,并由客户端系统向服务端系统验证用户服务票据ST的合法性,即将用户的服务票据ST与服务端系统保存的合法服务票据进行比对;在用户从服务器得到的服务票据ST通过验证后,为用户设置令牌Assertion,并在客户端系统保存相应的合法令牌Assertion,允许用户访问客户端系统。
用户成功访问客户端系统后,当用户发出在客户端系统进行操作的请求时,验证用户是否具备进行该操作对应的权限;当用户具备该操作对应的权限,即权限验证通过时执行相应的操作;当用户不具备该操作对应的权限,即权限验证未通过时,跳转至无操作权限界面,提示用户不具备该项操作的权限。
用户成功访问客户端系统后,再次访问相同的客户端系统时,只需由客户端系统验证用户请求中的令牌Assertion是否合法即可,当用户请求中的令牌Assertion为访问该客户端系统的合法令牌时,允许用户访问客户端系统,免去了向服务端系统验证服务票据ST的步骤,使得用户得以更加便捷地使用客户端系统。
用户成功访问客户端系统后,再次访问另一不同的客户端系统时,用户请求中的令牌Assertion不是访问该客户端系统的合法令牌Assertion,故需要重定向至服务端系统验证服务票据ST,验证通过后获得该客户端系统的令牌Assertion,并访问该客户端系统。
用户在登出系统时,用户浏览器、客户端系统、服务端系统同时删除相应的令牌Assertion、服务票据ST;当用户登出后再次登录时,凭借预先设置的认证授予票据TGT进行登录,获取服务票据ST并成功验证得到的服务票据ST后,获得令牌Assertion,访问客户端系统。需要说明的是,服务端系统管理员可以设置各类验证信息的有效期限或使用次数,故用户的认证授予凭证TGT在一定时间或使用一定次数后失效,需要重新输入账号密码以登录服务端系统,保证了整个系统的安全。
应用本发明实施例提供的多系统验证方法,可实现对多个客户端系统的集成管理,统一管理并验证用户权限,使得用户在使用客户端系统时无需重复登录,增加用户使用客户端系统的便捷程度,降低了企业对客户端系统的维护管理成本和难度,同时保障了系统的安全。
与上述的多系统验证方法相对应,本发明实施例还提供了一种多系统验证装置,用于对上述方法的具体实现。
本发明实施例提供的多系统验证装置,其结构示意图如图5所示,具体包括:
通信单元:用于接收用户请求以及用户输入的账号密码,用于传输令牌Assertion、服务票据ST、认证授予凭证TGT;
验证单元:用于验证用户操作权限、令牌Assertion、服务票据ST、认证授予凭证TGT以及用户输入的账号密码;
储存单元:用用于储存令牌Assertion、服务票据ST、认证授予凭证TGT,用于储存用户信息以及用户对应的用户权限;
管理单元:用于管理用户信息以及用户对应的用户权限,用于管理客户端系统。
上述的装置,可选的,还包括:
跳转单元,用于在所述操作权限未通过验证时,跳转至无权限界面。
需要说明是,本发明实施例提供的多系统验证装置中的管理单元,可以用于管理用户信息以及用户对应的权限,设置访问系统的权限,管理客户端系统,即将客户端系统作为子系统注入服务端系统、删除不需要的客户端子系统或对已注入的客户端子系统和服务端系统进行修改。
本发明实施例还提供了一种存储介质,述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行上述的多系统验证方法。
本发明实施例还提供了一种电子设备,其结构示意图如图6所示,具体包括存储器401,以及一个或者一个以上的指令402,其中一个或者一个以上指令402存储于存储器401中,且经配置以由一个或者一个以上处理器303执行所述一个或者一个以上指令402进行以下操作:
当接收到用户请求时,确定所述用户请求的请求类别;
当所述用户请求的请求类别为操作请求时,验证用户的操作权限,并在所述操作权限验证通过时,执行与所述用户请求对应的请求操作;
当所述用户请求的请求类别为访问请求时,判断所述用户请求中是否存在预先设置的令牌Assertion;
当存在所述令牌Assertion时,验证所述令牌Assertion是否为访问与所述用户请求对应的客户端系统的合法令牌,并在所述令牌Assertion为合法令牌时,允许用户访问所述客户端系统;
当不存在所述令牌Assertion时,判断所述用户请求中是否存在预先设置的服务票据ST;
当存在所述服务票据ST时,将所述服务票据ST与服务端系统预先保存的合法服务票据ST进行比对,以验证所述用户请求中的服务票据ST是否合法,并在验证结果为合法时,允许用户访问所述客户端系统;
当不存在所述服务票据ST时,则要求用户登录服务端系统以获取与当前登录对应的服务票据ST,并对该服务票据ST进行验证,并在验证结果为合法时,允许用户访问所述客户端系统。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种多系统验证方法,其特征在于,包括:
当接收到用户请求时,确定所述用户请求的请求类别;
当所述用户请求的请求类别为操作请求时,验证用户的操作权限,并在所述操作权限验证通过时,执行与所述用户请求对应的请求操作;
当所述用户请求的请求类别为访问请求时,判断所述用户请求中是否存在预先设置的令牌Assertion;
当存在所述令牌Assertion时,验证所述令牌Assertion是否为访问与所述用户请求对应的客户端系统的合法令牌,并在所述令牌Assertion为合法令牌时,允许用户访问所述客户端系统;
当不存在所述令牌Assertion时,判断所述用户请求中是否存在预先设置的服务票据ST;
当存在所述服务票据ST时,将所述服务票据ST与服务端系统预先保存的合法服务票据ST进行比对,以验证所述用户请求中的服务票据ST是否合法,并在验证结果为合法时,允许用户访问所述客户端系统;
当不存在所述服务票据ST时,则要求用户登录服务端系统以获取与当前登录对应的服务票据ST,并对该服务票据ST进行验证,并在验证结果为合法时,允许用户访问与所述客户端系统。
2.根据权利要求1所述的方法,其特征在于,所述验证用户的操作权限包括:
获取所述用户请求中包含的用户信息;
依据所述用户信息,确定用户对应的用户权限;
判断所述用户权限中是否包含与所述用户请求对应的操作权限,当包含时,通过对所述用户操作权限的验证。
3.如权利要求1所述的方法,其特征在于,所述要求用户登录服务端系统以获取与当前登录对应的服务票据ST包括:
判断所述用户请求中是否存在预先设置的认证授予票据TGT;
当存在所述认证授予票据TGT时,允许用户登录所述服务端系统;
当不存在所述认证授予票据TGT时,跳转至登录界面,提示用户输入账号密码进行登录,并在用户的账号密码通过验证后为用户设置与当前登录对应的认证授予票据TGT;
当用户成功登录所述服务端系统后,为用户设置与当前登录对应的服务票据ST,并在服务端系统保存该服务票据ST。
4.如权利要求1所述的方法,其特征在于,所述在验证结果为合法时,允许用户访问所述客户端系统,包括:
在验证结果为合法时,为所述用户设置新的令牌Assertion,并在客户端系统保存所述新的令牌Assertion,同时允许用户访问所述客户端系统。
5.如权利要求1所述的方法,其特征在于,在用户访问进入所述客户端系统后,还包括:
显示与用户的用户权限对应的系统页面和内容。
6.如权利要求1所述的方法,其特征在于,还包括:
当所述操作权限未通过验证时,跳转至无权限界面。
7.一种执行权利要求1-6中任一项所述方法的多系统验证装置,其特征在于,包括:
通信单元:用于接收用户请求以及用户输入的账号密码,用于传输令牌Assertion、服务票据ST、认证授予凭证TGT;
验证单元:用于验证用户操作权限、令牌Assertion、服务票据ST、认证授予凭证TGT以及用户输入的账号密码;
储存单元:用于储存令牌Assertion、服务票据ST、认证授予凭证TGT,用于储存用户信息以及用户对应的用户权限;
管理单元:用于管理用户信息以及用户对应的用户权限,用于管理客户端系统。
8.根据权利要求7所述的装置,其特征在于,还包括:
跳转单元,用于在所述操作权限未通过验证时,跳转至无权限界面。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行如权利要求1~6任意一项所述的多系统验证方法。
10.一种电子设备,其特征在于,包括存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行如权利要求1~6任意一项所述的多系统验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811376529.8A CN109547432B (zh) | 2018-11-19 | 2018-11-19 | 多系统验证方法及装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811376529.8A CN109547432B (zh) | 2018-11-19 | 2018-11-19 | 多系统验证方法及装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109547432A CN109547432A (zh) | 2019-03-29 |
| CN109547432B true CN109547432B (zh) | 2020-11-27 |
Family
ID=65848512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811376529.8A Active CN109547432B (zh) | 2018-11-19 | 2018-11-19 | 多系统验证方法及装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109547432B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343636B (zh) * | 2020-02-14 | 2023-06-27 | 卓望数码技术(深圳)有限公司 | 统一鉴权方法、鉴权系统、终端及存储介质 |
| CN111371805A (zh) * | 2020-03-17 | 2020-07-03 | 北京工业大学 | 基于Token的统一身份认证接口及方法 |
| CN112446015A (zh) * | 2020-12-01 | 2021-03-05 | 山东健康医疗大数据有限公司 | 一种基于两级部署的用户登录认证方法 |
| CN112199659B (zh) * | 2020-12-03 | 2021-03-23 | 湖北亿咖通科技有限公司 | 用于车辆的多业务平台的访问方法、系统和电子装置 |
| CN113672898B (zh) * | 2021-08-20 | 2023-12-22 | 济南浪潮数据技术有限公司 | 服务授权方法、授权设备、系统、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546570A (zh) * | 2010-12-31 | 2012-07-04 | 国际商业机器公司 | 用于单点登录的处理方法和系统 |
| CN102946603A (zh) * | 2012-10-31 | 2013-02-27 | 重庆市电力公司 | 电力云系统中基于社交特性的统一身份认证方法 |
| CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
| CN105162779A (zh) * | 2015-08-20 | 2015-12-16 | 南威软件股份有限公司 | 多系统使用统一用户认证的方法 |
| CN106612246A (zh) * | 2015-10-21 | 2017-05-03 | 星际空间(天津)科技发展有限公司 | 一种模拟身份的统一认证方法 |
| CN107770192A (zh) * | 2017-11-13 | 2018-03-06 | 郑州云海信息技术有限公司 | 在多系统中身份认证的方法和计算机可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9088562B2 (en) * | 2013-09-09 | 2015-07-21 | International Business Machines Corporation | Using service request ticket for multi-factor authentication |
-
2018
- 2018-11-19 CN CN201811376529.8A patent/CN109547432B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546570A (zh) * | 2010-12-31 | 2012-07-04 | 国际商业机器公司 | 用于单点登录的处理方法和系统 |
| CN102946603A (zh) * | 2012-10-31 | 2013-02-27 | 重庆市电力公司 | 电力云系统中基于社交特性的统一身份认证方法 |
| CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
| CN105162779A (zh) * | 2015-08-20 | 2015-12-16 | 南威软件股份有限公司 | 多系统使用统一用户认证的方法 |
| CN106612246A (zh) * | 2015-10-21 | 2017-05-03 | 星际空间(天津)科技发展有限公司 | 一种模拟身份的统一认证方法 |
| CN107770192A (zh) * | 2017-11-13 | 2018-03-06 | 郑州云海信息技术有限公司 | 在多系统中身份认证的方法和计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 教学资源门户统一认证系统设计与实现;王华东,胡光武;《郑州轻工业学院学报(自然科学版)》;20070228;第22卷(第1期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109547432A (zh) | 2019-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109547432B (zh) | 多系统验证方法及装置、存储介质及电子设备 | |
| CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
| CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
| US10805301B2 (en) | Securely managing digital assistants that access third-party applications | |
| US11601412B2 (en) | Securely managing digital assistants that access third-party applications | |
| CN111756753B (zh) | 一种权限验证方法及系统 | |
| KR102308403B1 (ko) | 검증 토큰을 사용하는 자원 액세스 제어 | |
| US8196193B2 (en) | Method for retrofitting password enabled computer software with a redirection user authentication method | |
| US10922401B2 (en) | Delegated authorization with multi-factor authentication | |
| CN109815656A (zh) | 登录认证方法、装置、设备及计算机可读存储介质 | |
| JP6468013B2 (ja) | 認証システム、サービス提供装置、認証装置、認証方法及びプログラム | |
| CN109756446B (zh) | 一种车载设备的访问方法和系统 | |
| US20060242294A1 (en) | Router-host logging | |
| CN102281286A (zh) | 用于分布式混合企业的灵活端点顺从和强认证 | |
| CN106161348B (zh) | 一种单点登录的方法、系统以及终端 | |
| CN110149328A (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| CN112580006A (zh) | 一种多云系统的访问权限控制方法、装置及认证服务器 | |
| CN111062023B (zh) | 多应用系统实现单点登录的方法及装置 | |
| CN100512107C (zh) | 一种安全认证方法 | |
| CN109547402B (zh) | 数据保护方法、装置、电子设备和可读存储介质 | |
| CN109040030A (zh) | 单点登录方法和系统 | |
| CN109388937A (zh) | 一种多因子身份认证的单点登录方法及登录系统 | |
| CN109962892A (zh) | 一种登录应用的认证方法及客户端、服务器 | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| CN103428191A (zh) | 基于cas框架与指纹相结合的单点登录方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |