CN109639649A - 一种单点登录方法 - Google Patents

一种单点登录方法 Download PDF

Info

Publication number
CN109639649A
CN109639649A CN201811383988.9A CN201811383988A CN109639649A CN 109639649 A CN109639649 A CN 109639649A CN 201811383988 A CN201811383988 A CN 201811383988A CN 109639649 A CN109639649 A CN 109639649A
Authority
CN
China
Prior art keywords
token
client
time limit
server
permission server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811383988.9A
Other languages
English (en)
Other versions
CN109639649B (zh
Inventor
林振天
陈又咏
郝亚龙
蔡清远
白海滨
袁宝峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Information and Telecommunication Co Ltd
Fujian Yirong Information Technology Co Ltd
Great Power Science and Technology Co of State Grid Information and Telecommunication Co Ltd
Original Assignee
State Grid Information and Telecommunication Co Ltd
Fujian Yirong Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Information and Telecommunication Co Ltd, Fujian Yirong Information Technology Co Ltd filed Critical State Grid Information and Telecommunication Co Ltd
Priority to CN201811383988.9A priority Critical patent/CN109639649B/zh
Publication of CN109639649A publication Critical patent/CN109639649A/zh
Application granted granted Critical
Publication of CN109639649B publication Critical patent/CN109639649B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种单点登录方法,包括如下步骤:步骤S10、客户端登录权限服务器;步骤S20、权限服务器创建一用于身份验证的第一令牌以及一用于会话刷新保持的第二令牌并进行保存;步骤S30权限服务器将第一令牌以及第二令牌发送给客户端;客户端将第一令牌以及第二令牌存储至cookie中;步骤S40、客户端利用cookie访问资源服务器。本发明的优点在于:提高了单点登录的安全性以及对会话保持进行有效控制。

Description

一种单点登录方法
技术领域
本发明涉及信息技术领域,特别指一种单点登录方法。
背景技术
随着时代的发展,许多公司都有多个办公业务系统用于办理不同的业务。然而,当用户需要分别访问多个办公业务系统时,需要进行多次的登陆操作,导致用户需要记录的密码众多,严重影响了用户的体验,而且对密码进行保护也十分繁杂。
针对上述情况,传统的做法是通过单点登录机制实现用户一次登陆办公业务系统,多个办公业务系统共享会话信息,解决多次登录的问题。具体实现技术如下:当用户第一次访问办公业务系统时,引导到权限系统中进行登录,权限系统依据用户提供的登录信息进行身份校验,校验通过则返回一个token(令牌)作为认证凭据,而token通过cookie(浏览器缓存)技术保持在用户的浏览器中;当用户访问别的办公业务系统时,浏览器将token作为认证的凭证发送给别的办公业务系统,别的办公业务系统将token发送到权限系统中进行校验,校验通过即可登录。
但是,传统的做法存在有如下缺点:没有很好的实现单点登录的会话刷新与保持;刷新频率过高会导致系统性能下降,反之若不能及时刷新会话将不能达到保持会话在线的目的;且未考虑到会话保持的最大时长,用户可通过会话刷新一直保持在线,产生一定的安全隐患。
发明内容
本发明要解决的技术问题,在于提供一种单点登录方法,用于提高单点登录的安全性以及对会话保持进行有效控制。
本发明是这样实现的:一种单点登录方法,所述方法包括如下步骤:
步骤S10、客户端登录权限服务器;
步骤S20、权限服务器创建一用于身份验证的第一令牌以及一用于会话刷新保持的第二令牌并进行保存;
步骤S30权限服务器将第一令牌以及第二令牌发送给客户端;客户端将第一令牌以及第二令牌存储至cookie中;
步骤S40、客户端利用cookie访问资源服务器。
进一步地,所述步骤S10具体为:
客户端将用户输入的登录信息发送至权限服务器进行身份验证,若验证通过,则进入步骤S20;若验证不通过,则结束流程;
进一步地,所述步骤S20具体为:
权限服务器创建一用于身份验证的第一令牌,并在所述第一令牌的基础上创建一用于会话刷新保持的第二令牌,并将所述第一令牌以及第二令牌存储至权限服务器的缓存中。
进一步地,所述第一令牌设置一第一时限,所述第二令牌设置一第二时限;权限服务器创建一第三时限。
进一步地,所述第一时限小于所述第二时限,所述第二时限小于所述第三时限。
进一步地,所述步骤S40具体为:
步骤S41、客户端利用第一令牌以及第二令牌向会话过滤器发送访问资源服务器的验证请求,若验证通过,则进入步骤S42;若验证不通过,则结束流程;
步骤S42、允许客户端访问资源服务器。
进一步地,所述步骤S41具体为:
步骤S411、客户端利用第一令牌向会话过滤器发送访问资源服务器的验证请求,验证请求附带上客户端的ip,会话过滤器判断第一令牌是否存储于权限服务器,是,则进入步骤S412;否,则结束流程;
步骤S412、会话过滤器判断发送第一令牌所使用的ip与客户端的ip是否一致,若一致,则进入步骤S413;若不一致,则结束流程;
步骤S413、会话过滤器判断第一时限是否超时,若未超时,则进入步骤S42;若超时,则进入步骤S414;
步骤S414、客户端将存储在cookie中的第二令牌发送给权限服务器,权限服务器判断接收的第二令牌与存储在缓存中的第一令牌是否匹配,若匹配,则进入步骤S415;若不匹配,则结束流程;
步骤S415、权限服务器判断第二时限是否超时,若未超时,则进入步骤S417;若超时,则进入步骤S416;
步骤S416、权限服务器判断第二时限的刷新总时长是否超过第三时限,若未超过,则进入步骤S417;若超过,则结束流程;
步骤S417、权限服务器刷新第一时限以及第二时限,并进入步骤S30。
本发明的优点在于:
1、提高了单点登录的安全性以及实现了对会话保持进行有效的控制。
2、通过在第一令牌的基础上创建一用于会话刷新保持的第二令牌,便于后期身份验证时判断第一令牌或者第二令牌是否被仿冒,提高了安全性。
3、通过设置第三时限来控制用户登录的最大时长,避免用户一直刷新第二令牌而不下线,进而产生安全隐患。
4、通过设置第一令牌的第一时限以及第二令牌的第二时限,实现了最大空闲时间控制以及登录会话的刷新保持。
附图说明
下面参照附图结合实施例对本发明作进一步的说明。
图1是本发明一种单点登录方法的流程图。
具体实施方式
请参照图1所示,本发明一种单点登录方法的较佳实施例,包括如下步骤:
步骤S10、客户端登录权限服务器;
步骤S20、权限服务器创建一用于身份验证的第一令牌(accessToken)以及一用于会话刷新保持的第二令牌(freshToken)并进行保存;
步骤S30权限服务器将第一令牌以及第二令牌发送给客户端;客户端将第一令牌以及第二令牌存储至cookie中;
步骤S40、客户端利用cookie访问资源服务器。
所述步骤S10具体为:
客户端将用户输入的登录信息发送至权限服务器进行身份验证,若验证通过,则进入步骤S20;若验证不通过,则结束流程;
所述步骤S20具体为:
权限服务器创建一用于身份验证的第一令牌,并在所述第一令牌的基础上创建一用于会话刷新保持的第二令牌,并将所述第一令牌以及第二令牌存储至权限服务器的缓存中。通过在第一令牌的基础上创建一用于会话刷新保持的第二令牌,便于后期身份验证时判断第一令牌或者第二令牌是否被仿冒,提高了安全性。
所述第一令牌设置一第一时限,所述第二令牌设置一第二时限;通过设置第一时限以及第二时限,实现了最大空闲时间控制以及登录会话的刷新保持;权限服务器创建一第三时限;通过设置第三时限来控制用户登录的最大时长,避免用户一直刷新freshToken而不下线,进而产生安全隐患。
所述第一时限小于所述第二时限,所述第二时限小于所述第三时限。
所述步骤S40具体为:
步骤S41、客户端利用第一令牌以及第二令牌向会话过滤器发送访问资源服务器的验证请求,若验证通过,则进入步骤S42;若验证不通过,则结束流程;会话过滤器与权限服务器通过RPC框架保持连接,减少耦合;
步骤S42、允许客户端访问资源服务器。
所述步骤S41具体为:
步骤S411、客户端利用第一令牌向会话过滤器发送访问资源服务器的验证请求,验证请求附带上客户端的ip,会话过滤器判断第一令牌是否存储于权限服务器,是,则进入步骤S412;否,则结束流程;
步骤S412、会话过滤器判断发送第一令牌所使用的ip与客户端的ip是否一致,若一致,则进入步骤S413;若不一致,则结束流程;
步骤S413、会话过滤器判断第一时限是否超时,若未超时,则进入步骤S42;若超时,则进入步骤S414;
步骤S414、客户端将存储在cookie中的第二令牌发送给权限服务器,权限服务器判断接收的第二令牌与存储在缓存中的第一令牌是否匹配,若匹配,则进入步骤S415;若不匹配,则结束流程;
步骤S415、权限服务器判断第二时限是否超时,若未超时,则进入步骤S417;若超时,则进入步骤S416;
步骤S416、权限服务器判断第二时限的刷新总时长是否超过第三时限,若未超过,则进入步骤S417;若超过,则结束流程;
步骤S417、权限服务器刷新第一时限以及第二时限,并进入步骤S30。
第一时限的设置应尽量小,保证用户访问系统时可以及时触发刷新操作,如2秒;
第二时限的设置可以依据用户操作系统的屏保时间设置,如15分钟,当用户在15分钟内没有操作,需要进行刷新以保持会话;
第三时限的设置可以依据实际的情况来确定,如60分钟。
综上所述,本发明的优点在于:
1、提高了单点登录的安全性以及实现了对会话保持进行有效的控制。
2、通过在第一令牌的基础上创建一用于会话刷新保持的第二令牌,便于后期身份验证时判断第一令牌或者第二令牌是否被仿冒,提高了安全性。
3、通过设置第三时限来控制用户登录的最大时长,避免用户一直刷新第二令牌而不下线,进而产生安全隐患。
4、通过设置第一令牌的第一时限以及第二令牌的第二时限,实现了最大空闲时间控制以及登录会话的刷新保持。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。

Claims (7)

1.一种单点登录方法,其特征在于:所述方法包括如下步骤:
步骤S10、客户端登录权限服务器;
步骤S20、权限服务器创建一用于身份验证的第一令牌以及一用于会话刷新保持的第二令牌并进行保存;
步骤S30权限服务器将第一令牌以及第二令牌发送给客户端;客户端将第一令牌以及第二令牌存储至cookie中;
步骤S40、客户端利用cookie访问资源服务器。
2.如权利要求1所述的一种单点登录方法,其特征在于:所述步骤S10具体为:
客户端将用户输入的登录信息发送至权限服务器进行身份验证,若验证通过,则进入步骤S20;若验证不通过,则结束流程。
3.如权利要求1所述的一种单点登录方法,其特征在于:所述步骤S20具体为:
权限服务器创建一用于身份验证的第一令牌,并在所述第一令牌的基础上创建一用于会话刷新保持的第二令牌,并将所述第一令牌以及第二令牌存储至权限服务器的缓存中。
4.如权利要求3所述的一种单点登录方法,其特征在于:所述第一令牌设置一第一时限,所述第二令牌设置一第二时限;权限服务器创建一第三时限。
5.如权利要求4所述的一种单点登录方法,其特征在于:所述第一时限小于所述第二时限,所述第二时限小于所述第三时限。
6.如权利要求4所述的一种单点登录方法,其特征在于:所述步骤S40具体为:
步骤S41、客户端利用第一令牌以及第二令牌向会话过滤器发送访问资源服务器的验证请求,若验证通过,则进入步骤S42;若验证不通过,则结束流程;
步骤S42、允许客户端访问资源服务器。
7.如权利要求6所述的一种单点登录方法,其特征在于:所述步骤S41具体为:
步骤S411、客户端利用第一令牌向会话过滤器发送访问资源服务器的验证请求,验证请求附带上客户端的ip,会话过滤器判断第一令牌是否存储于权限服务器,是,则进入步骤S412;否,则结束流程;
步骤S412、会话过滤器判断发送第一令牌所使用的ip与客户端的ip是否一致,若一致,则进入步骤S413;若不一致,则结束流程;
步骤S413、会话过滤器判断第一时限是否超时,若未超时,则进入步骤S42;若超时,则进入步骤S414;
步骤S414、客户端将存储在cookie中的第二令牌发送给权限服务器,权限服务器判断接收的第二令牌与存储在缓存中的第一令牌是否匹配,若匹配,则进入步骤S415;若不匹配,则结束流程;
步骤S415、权限服务器判断第二时限是否超时,若未超时,则进入步骤S417;若超时,则进入步骤S416;
步骤S416、权限服务器判断第二时限的刷新总时长是否超过第三时限,若未超过,则进入步骤S417;若超过,则结束流程;
步骤S417、权限服务器刷新第一时限以及第二时限,并进入步骤S30。
CN201811383988.9A 2018-11-20 2018-11-20 一种单点登录方法 Active CN109639649B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811383988.9A CN109639649B (zh) 2018-11-20 2018-11-20 一种单点登录方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811383988.9A CN109639649B (zh) 2018-11-20 2018-11-20 一种单点登录方法

Publications (2)

Publication Number Publication Date
CN109639649A true CN109639649A (zh) 2019-04-16
CN109639649B CN109639649B (zh) 2021-08-10

Family

ID=66068745

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811383988.9A Active CN109639649B (zh) 2018-11-20 2018-11-20 一种单点登录方法

Country Status (1)

Country Link
CN (1) CN109639649B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698264A (zh) * 2020-06-28 2020-09-22 京东数字科技控股有限公司 用于保持用户认证会话的方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377788A (zh) * 2011-12-13 2012-03-14 方正国际软件有限公司 单点登录系统及其单点登录方法
CN103188248A (zh) * 2011-12-31 2013-07-03 卓望数码技术(深圳)有限公司 基于单点登录的身份认证系统及方法
CN105049427A (zh) * 2015-06-29 2015-11-11 用友优普信息技术有限公司 应用系统登录账号的管理方法及装置
CN107277015A (zh) * 2017-06-21 2017-10-20 北京易教阳光教育科技有限公司 统一用户认证管理方法、系统、存储介质及服务器
CN108475312A (zh) * 2015-10-02 2018-08-31 华睿泰科技有限责任公司 用于装置安全外壳的单点登录方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377788A (zh) * 2011-12-13 2012-03-14 方正国际软件有限公司 单点登录系统及其单点登录方法
CN103188248A (zh) * 2011-12-31 2013-07-03 卓望数码技术(深圳)有限公司 基于单点登录的身份认证系统及方法
CN105049427A (zh) * 2015-06-29 2015-11-11 用友优普信息技术有限公司 应用系统登录账号的管理方法及装置
CN108475312A (zh) * 2015-10-02 2018-08-31 华睿泰科技有限责任公司 用于装置安全外壳的单点登录方法
CN107277015A (zh) * 2017-06-21 2017-10-20 北京易教阳光教育科技有限公司 统一用户认证管理方法、系统、存储介质及服务器

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698264A (zh) * 2020-06-28 2020-09-22 京东数字科技控股有限公司 用于保持用户认证会话的方法和装置

Also Published As

Publication number Publication date
CN109639649B (zh) 2021-08-10

Similar Documents

Publication Publication Date Title
CN105429999B (zh) 基于云平台的统一身份认证系统
CN109257209A (zh) 一种数据中心服务器集中管理系统及方法
US9191375B2 (en) System and method for accessing integrated applications in a single sign-on enabled enterprise solution
US6668322B1 (en) Access management system and method employing secure credentials
EP2533172B1 (de) Gesicherter Zugriff auf Daten in einem Gerät
Kumar et al. Investigation on security in LMS Moodle
EP1914658B1 (en) Identity controlled data center
CN110086822A (zh) 面向微服务架构的统一身份认证策略的实现方法及系统
CN108964885A (zh) 鉴权方法、装置、系统和存储介质
US10778668B2 (en) HTTP session validation module
CN111931144B (zh) 一种操作系统与业务应用统一安全登录认证方法及装置
US20080034412A1 (en) System to prevent misuse of access rights in a single sign on environment
US20130347129A1 (en) System and Method for Second Factor Authentication Services
CN111371805A (zh) 基于Token的统一身份认证接口及方法
US20060069921A1 (en) System and method for blocking unauthorized network log in using stolen password
CN104836803B (zh) 基于session机制的单点登录方法
CN105577656B (zh) 一种基于云平台的统一身份认证方法
CN105516160B (zh) 一种域管理对象映射装置及统一身份认证系统
CN102469075A (zh) 一种基于web单点登录的集成认证方法
TW201424316A (zh) 使用瀏覽器認證線上交易的方法
Emam Additional authentication and authorization using registered email-ID for cloud computing
CN102571873B (zh) 一种分布式系统中的双向安全审计方法及装置
CN110417820A (zh) 单点登录系统的处理方法、装置及可读存储介质
CN105721159A (zh) 一种操作系统身份认证方法及系统
CN107277015A (zh) 统一用户认证管理方法、系统、存储介质及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant