CN109802935B - 一种混合模式的企业内网单点登录方法 - Google Patents

一种混合模式的企业内网单点登录方法 Download PDF

Info

Publication number
CN109802935B
CN109802935B CN201811394779.4A CN201811394779A CN109802935B CN 109802935 B CN109802935 B CN 109802935B CN 201811394779 A CN201811394779 A CN 201811394779A CN 109802935 B CN109802935 B CN 109802935B
Authority
CN
China
Prior art keywords
jwt
portal
user
enterprise
reverse proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811394779.4A
Other languages
English (en)
Other versions
CN109802935A (zh
Inventor
牟玉松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Aircraft Industrial Group Co Ltd
Original Assignee
Chengdu Aircraft Industrial Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Aircraft Industrial Group Co Ltd filed Critical Chengdu Aircraft Industrial Group Co Ltd
Priority to CN201811394779.4A priority Critical patent/CN109802935B/zh
Publication of CN109802935A publication Critical patent/CN109802935A/zh
Application granted granted Critical
Publication of CN109802935B publication Critical patent/CN109802935B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及企业门户、企业应用单点登录集成领域,尤其涉及一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:步骤一:为门户系统安装反向代理服务器,步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息;步骤三:拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话;步骤四:根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT;步骤五、调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接;步骤六、验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。

Description

一种混合模式的企业内网单点登录方法
技术领域
本发明涉及企业门户、企业应用单点登录集成领域,尤其涉及一种混合模式的企业内网单点登录方法。
背景技术
企业信息门户(Enterprise Information portal,简称EIP)可以实现信息资源的发布和共享,可以实现访问企业各种信息资源的单一的入口,企业的员工、客户、合作伙伴和供应商等都可以通过这个门户获得个性化的信息和服务;同时通过它实现企业内部、企业与企业之间,以及企业与客户之间端到端的业务集成,从而优化企业内部的工作流程,合理调配企业与供应链上的资源,更好地实现企业的并行运作,提高企业和供应链整体的快速响应能力。
企业信息门户的一个不可缺少的重要特征便是单点登录(SSO,即Single SignOn)。企业信息门户作为用户使用应用系统的“大门”,正是单点登录认证授权机制最适宜体现威力的地方。用户进入门户后,只需要经过一次验证,就可以访问授权范围之内的所有应用系统的资源。因此,企业信息门户建设的首要目标之一,便是要实现用户对应用系统的单点登录。没有做到单点登录的企业信息门户,我们只能将之称为“伪门户”而已。
发明内容
发明目的:本发明提供一种混合模式的企业内网单点登录模型,它克服了现有技术的不足,能够改善当前国内企业内部门户与应用单点登录集成的方式。其目标有:
1)轻量级应用(应用复杂度低、用户量低于3000)以反向代理模式进行集成。
2)企业级应用(应用复杂度高、用户量大于3000)以JWT(JSON WEB TOKEN)技术进行集成 。
发明技术解决方案:本发明提供混合模式的企业内网单点登录模型,实现一次登录,单点集成的应用都可。
一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL。
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息。
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT。
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接。
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
所述失效时间可自行设置,默认30分钟。
所述登录会话有效期可自行设置、默认30分钟。
本发明的有益效果:
本发明的有益效果是使企业门户与业务应用单点登录集成的开发效率提升,提升门户系统性能及稳定性,并且减少反向代理服务器的数量。
附图说明
图1 混合模式的单点登录模型图;
图2 传统反向代理实现单点登录模型图 。
具体实施方式:
实施例1:
一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL。
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息。
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT。
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接。
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
实施例2:
一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL。
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息。
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT。
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接。
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
所述失效时间可自行设置,默认30分钟。
实施例3:
一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器如:IBM的WEBSEAL。
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息。
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT。
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接。
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话。
所述失效时间可自行设置,默认30分钟。
所述登录会话有效期可自行设置、默认30分钟。
实施例4:
下面将结合附图和AAA厂二级门户及企业ERP系统实例对本发明作进一步的详细说明,该方法具体步骤如下:
步骤一:安装反向代理服务器WEBSEAL。
步骤二:在反向代理服务器上手动配置轻量级应用服务器的信息,如AAA厂二级门户服务器详细的手动配置信息如下
<JUNCTION>
<VERSION>6.1.0.0 (Build 080319)</VERSION>
<NAME>vhost-cacaaa-http</NAME>
<JUCTYPE>tcp</JUCTYPE>
<HARDLIMIT>0</HARDLIMIT>
<SOFTLIMIT>0</SOFTLIMIT>
<BASICAUTH>filter</BASICAUTH>
<CLIENTID>insert_pass_usln</CLIENTID>
<REMOTEADDRESS/>
<VIRTUALHOSTJCT/>
<REQUESTENCODING>utf8_uri</REQUESTENCODING>
<UUID>2f7d864e-085c-11e6-94cd-001a641e4022</UUID>
<HOST>192.168.1.107</HOST>
<PORT>80</PORT>
<VIRTHOSTNM>cacaaa.cac.com</VIRTHOSTNM>
<SERVERDN></SERVERDN>
<URLQC>/cgi-bin/query_contents</URLQC>
<LOCALADDRESS></LOCALADDRESS>
<OPERATIONALMODE>online</OPERATIONALMODE>
<WHENTHROTTLED>0</WHENTHROTTLED>
</JUNCTION>
步骤三:在AAA厂二级门户中开发单点登录程序,从HTTP HEADER中取出用户信息String username = request.getHeader("iv-user"),进行其他加密约定验证后,创建登录会话,至此AAA厂二级门户单点登录成功。
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT,程序接口如下
String makeJWTforSystem(String systemId)
步骤五、在门户系统中点击企业ERP系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业ERP系统链接。
步骤六、企业ERP系统中进行门户单点登录程序的开发,从请求中取出JWT Stringjwt = request.getHeader(“JWT”),验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话,至此,ERP系统单点登录成功。

Claims (1)

1.一种混合模式的企业内网单点登录方法,其特征在于该方法具体步骤如下:
步骤一:为门户系统安装反向代理服务器,典型的反向代理服务器IBM的WEBSEAL;
步骤二:在反向代理服务器上配置轻量级应用的服务器信息及要传递的用户信息;
步骤三:轻量级应用中进行门户单点登录程序的开发,拦截从反向代理服务器转发过来的请求,从HTTP HEADER中取出用户ID信息,创建登录会话;
步骤四:在门户系统中开发一个程序模块,根据传入的企业应用系统ID参数,生成带有用户ID、失效时间、加密签名的JWT;
步骤五、在门户系统中点击企业应用系统链接时,调用步骤四开发的程序模块,将生成的JWT放入请求的HTTP HEADER中,再提交至企业应用系统链接;
步骤六、企业应用系统中进行门户单点登录程序的开发,验证HTTP HEADER中的JWT,通过后取出用户ID,创建登录会话,所述失效时间可自行设置,默认30分钟,所述登录会话有效期可自行设置、默认30分钟。
CN201811394779.4A 2018-11-22 2018-11-22 一种混合模式的企业内网单点登录方法 Active CN109802935B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811394779.4A CN109802935B (zh) 2018-11-22 2018-11-22 一种混合模式的企业内网单点登录方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811394779.4A CN109802935B (zh) 2018-11-22 2018-11-22 一种混合模式的企业内网单点登录方法

Publications (2)

Publication Number Publication Date
CN109802935A CN109802935A (zh) 2019-05-24
CN109802935B true CN109802935B (zh) 2021-11-30

Family

ID=66556338

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811394779.4A Active CN109802935B (zh) 2018-11-22 2018-11-22 一种混合模式的企业内网单点登录方法

Country Status (1)

Country Link
CN (1) CN109802935B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110933092A (zh) * 2019-12-03 2020-03-27 银清科技有限公司 一种基于jwt的单点登录实现方法及装置
CN113301045B (zh) * 2021-05-25 2023-05-09 四川虹魔方网络科技有限公司 登录业务访问安全控制方法
CN113553569B (zh) * 2021-07-06 2022-12-09 猪八戒股份有限公司 基于代理服务器的海波龙系统单点登录方法、系统及终端
CN113852628B (zh) * 2021-09-23 2023-09-05 武汉众邦银行股份有限公司 一种去中心化的单点登录方法、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388897A (zh) * 2007-09-12 2009-03-18 福建富士通信息软件有限公司 企业门户页面整合系统
CN102984169A (zh) * 2012-12-11 2013-03-20 中广核工程有限公司 单点登录方法、设备及系统
WO2017059093A1 (en) * 2015-09-29 2017-04-06 Morphotrust Usa, Llc System and method for using a symbol as instruction to initiate transfer of authenticated mobile identity information
CN107528853A (zh) * 2017-09-12 2017-12-29 上海艾融软件股份有限公司 微服务权限控制的实现方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388897A (zh) * 2007-09-12 2009-03-18 福建富士通信息软件有限公司 企业门户页面整合系统
CN102984169A (zh) * 2012-12-11 2013-03-20 中广核工程有限公司 单点登录方法、设备及系统
WO2017059093A1 (en) * 2015-09-29 2017-04-06 Morphotrust Usa, Llc System and method for using a symbol as instruction to initiate transfer of authenticated mobile identity information
CN107528853A (zh) * 2017-09-12 2017-12-29 上海艾融软件股份有限公司 微服务权限控制的实现方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"分布式跨域单点登录模型的研究与应用";胡雅琴;《中国优秀硕士学位论文全文数据库科技信息辑》;20160331;第4章节 *
"前后端分离之JWT用户认证";lion1 ou;《简书》;20170122;JWT使用部分 *

Also Published As

Publication number Publication date
CN109802935A (zh) 2019-05-24

Similar Documents

Publication Publication Date Title
CN109802935B (zh) 一种混合模式的企业内网单点登录方法
US10116644B1 (en) Network access session detection to provide single-sign on (SSO) functionality for a network access control device
US8640202B2 (en) Synchronizing user sessions in a session environment having multiple web services
US9736153B2 (en) Techniques to perform federated authentication
US9100398B2 (en) Enhancing directory service authentication and authorization using contextual information
US10218691B2 (en) Single sign-on framework for browser-based applications and native applications
US10320771B2 (en) Single sign-on framework for browser-based applications and native applications
CN104301316A (zh) 一种单点登录系统及其实现方法
US8555365B2 (en) Directory authentication method for policy driven web filtering
US20050021964A1 (en) Method and system for providing a circle of trust on a network
CN110891060A (zh) 一种基于多业务系统集成的统一认证系统
US20180103009A1 (en) Proxy-Based Access to Remote Database
US7895644B1 (en) Method and apparatus for accessing computers in a distributed computing environment
CN111444495B (zh) 一种基于容器实现单点登录的系统及方法
WO2018022193A1 (en) Login proxy for third-party applications
US11601431B2 (en) Split-tiered point-to-point inline authentication architecture
Ferdous et al. Managing dynamic identity federations using security assertion markup language
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
CN114844656A (zh) 网络访问方法、装置、系统、设备及存储介质
CN109905402B (zh) 基于ssl vpn的sso登录方法和装置
Hashimoto et al. A design of usable and secure access-control APIs for mashup applications
Schwartz et al. SAML
Silva et al. A Web service authentication control system based on SRP and SAML
Zhang et al. Security analysis of OpenID connect protocol with cryptoverif in the computational model
Balaji et al. Web-Based System—Authentication to Single Log-on to Several Applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant