CN109802935A - 一种混合模式的企业内网单点登录方法 - Google Patents
一种混合模式的企业内网单点登录方法 Download PDFInfo
- Publication number
- CN109802935A CN109802935A CN201811394779.4A CN201811394779A CN109802935A CN 109802935 A CN109802935 A CN 109802935A CN 201811394779 A CN201811394779 A CN 201811394779A CN 109802935 A CN109802935 A CN 109802935A
- Authority
- CN
- China
- Prior art keywords
- user
- jwt
- reverse proxy
- http header
- enterprise
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及企业门户、企业应用单点登录集成领域,尤其涉及一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:步骤一:为门户系统安装反向代理服务器,步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息;步骤三:拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话;步骤四:根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT;步骤五、调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接;步骤六、验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
Description
技术领域
本发明涉及企业门户、企业应用单点登录集成领域,尤其涉及一种混合模式的企业内网单点登录方法。
背景技术
企业信息门户(Enterprise Information portal,简称EIP)可以实现信息资源的发布和共享,可以实现访问企业各种信息资源的单一的入口,企业的员工、客户、合作伙伴和供应商等都可以通过这个门户获得个性化的信息和服务;同时通过它实现企业内部、企业与企业之间,以及企业与客户之间端到端的业务集成,从而优化企业内部的工作流程,合理调配企业与供应链上的资源,更好地实现企业的并行运作,提高企业和供应链整体的快速响应能力。
企业信息门户的一个不可缺少的重要特征便是单点登录(SSO,即Single SignOn)。企业信息门户作为用户使用应用系统的“大门”,正是单点登录认证授权机制最适宜体现威力的地方。用户进入门户后,只需要经过一次验证,就可以访问授权范围之内的所有应用系统的资源。因此,企业信息门户建设的首要目标之一,便是要实现用户对应用系统的单点登录。没有做到单点登录的企业信息门户,我们只能将之称为“伪门户”而已。
发明内容
发明目的:本发明提供一种混合模式的企业内网单点登录模型,它克服了现有技术的不足,能够改善当前国内企业内部门户与应用单点登录集成的方式。其目标有:
1)轻量级应用(应用复杂度低、用户量低于3000)以反向代理模式进行集成。
2)企业级应用(应用复杂度高、用户量大于3000)以JWT(JSON WEB TOKEN)技术进行集成 。
发明技术解决方案:本发明提供混合模式的企业内网单点登录模型,实现一次登录,单点集成的应用都可。
一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL。
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息。
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT。
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接。
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
所述失效时间可自行设置,默认30分钟。
所述登录会话有效期可自行设置、默认30分钟。
本发明的有益效果:
本发明的有益效果是使企业门户与业务应用单点登录集成的开发效率提升,提升门户系统性能及稳定性,并且减少反向代理服务器的数量。
附图说明
图1 混合模式的单点登录模型图;
图2 传统反向代理实现单点登录模型图 。
具体实施方式:
实施例1:
一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL。
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息。
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT。
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接。
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
实施例2:
一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL。
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息。
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT。
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接。
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
所述失效时间可自行设置,默认30分钟。
实施例3:
一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL。
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息。
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT。
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接。
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
所述失效时间可自行设置,默认30分钟。
所述登录会话有效期可自行设置、默认30分钟。
实施例4:
下面将结合附图和AAA厂二级门户及企业ERP系统实例对本发明作进一步的详细说明,该方法具体步骤如下:
步骤一:安装反向代理服务器WEBSEAL。
步骤二:在反向代理服务器上手动配置轻量级应用服务器的信息,如AAA厂二级门户服务器详细的手动配置信息如下
<JUNCTION>
<VERSION>6.1.0.0 (Build 080319)</VERSION>
<NAME>vhost-cacaaa-http</NAME>
<JUCTYPE>tcp</JUCTYPE>
<HARDLIMIT>0</HARDLIMIT>
<SOFTLIMIT>0</SOFTLIMIT>
<BASICAUTH>filter</BASICAUTH>
<CLIENTID>insert_pass_usln</CLIENTID>
<REMOTEADDRESS/>
<VIRTUALHOSTJCT/>
<REQUESTENCODING>utf8_uri</REQUESTENCODING>
<UUID>2f7d864e-085c-11e6-94cd-001a641e4022</UUID>
<HOST>192.168.1.107</HOST>
<PORT>80</PORT>
<VIRTHOSTNM>cacaaa.cac.com</VIRTHOSTNM>
<SERVERDN></SERVERDN>
<URLQC>/cgi-bin/query_contents</URLQC>
<LOCALADDRESS></LOCALADDRESS>
<OPERATIONALMODE>online</OPERATIONALMODE>
<WHENTHROTTLED>0</WHENTHROTTLED>
</JUNCTION>
步骤三:在AAA厂二级门户中开发单点登录程序,从HTTP HEADER中取出用户信息String username = request.getHeader("iv-user"),进行其他加密约定验证后,创建登录会话,至此AAA厂二级门户单点登录成功。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT,程序接口如下
String makeJWTforSystem(String systemId)
步骤五、在门户系统中点击企业ERP系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业ERP系统链接。
步骤六、企业ERP系统中进行门户单点登录程序的开发,从请求中取出JWT Stringjwt = request.getHeader(“JWT”),验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话,至此,ERP系统单点登录成功。
Claims (3)
1.一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL;
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息;
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话;
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT;
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接;
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
2.根据权利要求1所述一种混合模式的企业内网单点登录方法,其特征在:所述失效时间可自行设置,默认30分钟。
3.根据权利要求1所述一种混合模式的企业内网单点登录方法,其特征在:所述登录会话有效期可自行设置、默认30分钟。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811394779.4A CN109802935B (zh) | 2018-11-22 | 2018-11-22 | 一种混合模式的企业内网单点登录方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811394779.4A CN109802935B (zh) | 2018-11-22 | 2018-11-22 | 一种混合模式的企业内网单点登录方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109802935A true CN109802935A (zh) | 2019-05-24 |
| CN109802935B CN109802935B (zh) | 2021-11-30 |
Family
ID=66556338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811394779.4A Active CN109802935B (zh) | 2018-11-22 | 2018-11-22 | 一种混合模式的企业内网单点登录方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109802935B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933092A (zh) * | 2019-12-03 | 2020-03-27 | 银清科技有限公司 | 一种基于jwt的单点登录实现方法及装置 |
| CN113301045A (zh) * | 2021-05-25 | 2021-08-24 | 四川虹魔方网络科技有限公司 | 登录业务访问安全控制方法 |
| CN113553569A (zh) * | 2021-07-06 | 2021-10-26 | 猪八戒股份有限公司 | 基于代理服务器的海波龙系统单点登录方法、系统及终端 |
| CN113852628A (zh) * | 2021-09-23 | 2021-12-28 | 武汉众邦银行股份有限公司 | 一种去中心化的单点登录方法、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388897A (zh) * | 2007-09-12 | 2009-03-18 | 福建富士通信息软件有限公司 | 企业门户页面整合系统 |
| CN102984169A (zh) * | 2012-12-11 | 2013-03-20 | 中广核工程有限公司 | 单点登录方法、设备及系统 |
| WO2017059093A1 (en) * | 2015-09-29 | 2017-04-06 | Morphotrust Usa, Llc | System and method for using a symbol as instruction to initiate transfer of authenticated mobile identity information |
| CN107528853A (zh) * | 2017-09-12 | 2017-12-29 | 上海艾融软件股份有限公司 | 微服务权限控制的实现方法 |
-
2018
- 2018-11-22 CN CN201811394779.4A patent/CN109802935B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388897A (zh) * | 2007-09-12 | 2009-03-18 | 福建富士通信息软件有限公司 | 企业门户页面整合系统 |
| CN102984169A (zh) * | 2012-12-11 | 2013-03-20 | 中广核工程有限公司 | 单点登录方法、设备及系统 |
| WO2017059093A1 (en) * | 2015-09-29 | 2017-04-06 | Morphotrust Usa, Llc | System and method for using a symbol as instruction to initiate transfer of authenticated mobile identity information |
| CN107528853A (zh) * | 2017-09-12 | 2017-12-29 | 上海艾融软件股份有限公司 | 微服务权限控制的实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| LION1 OU: ""前后端分离之JWT用户认证"", 《简书》 * |
| 胡雅琴: ""分布式跨域单点登录模型的研究与应用"", 《中国优秀硕士学位论文全文数据库科技信息辑》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933092A (zh) * | 2019-12-03 | 2020-03-27 | 银清科技有限公司 | 一种基于jwt的单点登录实现方法及装置 |
| CN113301045A (zh) * | 2021-05-25 | 2021-08-24 | 四川虹魔方网络科技有限公司 | 登录业务访问安全控制方法 |
| CN113553569A (zh) * | 2021-07-06 | 2021-10-26 | 猪八戒股份有限公司 | 基于代理服务器的海波龙系统单点登录方法、系统及终端 |
| CN113852628A (zh) * | 2021-09-23 | 2021-12-28 | 武汉众邦银行股份有限公司 | 一种去中心化的单点登录方法、装置及存储介质 |
| CN113852628B (zh) * | 2021-09-23 | 2023-09-05 | 武汉众邦银行股份有限公司 | 一种去中心化的单点登录方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109802935B (zh) | 2021-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109802935A (zh) | 一种混合模式的企业内网单点登录方法 | |
| US11122030B2 (en) | Methods, systems, devices, and products for web services | |
| CN109639687B (zh) | 用于提供基于云的身份和访问管理的系统、方法和介质 | |
| US9111086B2 (en) | Secure management of user rights during accessing of external systems | |
| US8346265B2 (en) | Secure communication network user mobility apparatus and methods | |
| US9729539B1 (en) | Network access session detection to provide single-sign on (SSO) functionality for a network access control device | |
| US8024777B2 (en) | Domain based authentication scheme | |
| US9037711B2 (en) | Policy directed security-centric model driven architecture to secure client and cloud hosted web service enabled processes | |
| US8868786B1 (en) | Apparatus, systems and methods for transformation services | |
| US9723007B2 (en) | Techniques for secure debugging and monitoring | |
| CN105049427B (zh) | 应用系统登录账号的管理方法及装置 | |
| US20090328178A1 (en) | Techniques to perform federated authentication | |
| CN110891060A (zh) | 一种基于多业务系统集成的统一认证系统 | |
| US7895644B1 (en) | Method and apparatus for accessing computers in a distributed computing environment | |
| US9237156B2 (en) | Systems and methods for administrating access in an on-demand computing environment | |
| US20220174064A1 (en) | Split-tiered point-to-point inline authentication architecture | |
| US8291479B2 (en) | Method, hardware product, and computer program product for optimizing security in the context of credential transformation services | |
| Ferdous et al. | Managing dynamic identity federations using security assertion markup language | |
| CN109246212A (zh) | 一种基于长连接的多银行数据交互实现方法 | |
| CN109905402B (zh) | 基于ssl vpn的sso登录方法和装置 | |
| CN106911792A (zh) | 一种基于Samba服务器的手机文件共享系统 | |
| Breggeman | An Authentication Service for Domestic Self-Hosting | |
| Chappell | Claims-based identity for windows | |
| Songprasop | Integrated Single Sign-On System on Open Nebula | |
| Lai et al. | CMAFS: Make Shibboleth IdP Support Multiple External Authentication Mechanisms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |