CN109815684A

CN109815684A - 一种身份认证方法、系统及服务器和存储介质

Info

Publication number: CN109815684A
Application number: CN201910091979.0A
Authority: CN
Inventors: 刘文印; 李昕; 吴鸿文; 周宇; 凡帅; 巫家宏; 郭玉荣; 杨振国
Original assignee: Guangdong University of Technology
Current assignee: Guangdong University of Technology
Priority date: 2019-01-30
Filing date: 2019-01-30
Publication date: 2019-05-28
Anticipated expiration: 2039-01-30
Also published as: CN109815684B

Abstract

本申请公开了一种身份认证方法、系统及一种服务器和计算机可读存储介质，该方法包括：当接收到目标APP携带有访问凭证的访问请求时，根据访问凭证向目标APP返回第三方服务器的索引信息；其中，访问凭证为第三方客户端向目标服务器申请的访问第三方服务器的凭证；接收目标APP发送的第三方服务器的账户信息，并将账户信息转发至第三方服务器，以便第三方服务器对账户信息进行认证，并向目标服务器返回认证结果；其中，账户信息为目标APP根据索引信息查询得到的；当认证成功时，将认证结果中的token发送至第三方客户端，以便第三方客户端通过token重定向至第三方服务器，提高了身份认证的普适性。

Description

一种身份认证方法、系统及服务器和存储介质

技术领域

本申请涉及计算机技术领域，更具体地说，涉及一种身份认证方法、系统及一种服务器和一种计算机可读存储介质。

背景技术

在现有技术中，密码管理及身份认证的授权类软件均在自有逻辑系统下运行，与网站和APP的身份认证逻辑缺少结合。在使用时，用户需安装额外插件，增加了用户的准入门槛，且所有网站和APP之间的身份认证逻辑不尽相同，插件缺乏普适性和安全性。

因此，如何提高身份认证的普适性是本领域技术人员需要解决的技术问题。

发明内容

本申请的目的在于提供一种身份认证方法、系统及一种服务器和一种计算机可读存储介质，提高了身份认证的普适性。

为实现上述目的，本申请提供了一种身份认证方法，应用于目标服务器，包括：

当接收到目标APP携带有访问凭证的访问请求时，根据所述访问凭证向所述目标APP返回第三方服务器的索引信息；其中，所述访问凭证为所述第三方客户端向所述目标服务器申请的访问所述第三方服务器的凭证；

接收所述目标APP发送的所述第三方服务器的账户信息，并将所述账户信息转发至所述第三方服务器，以便所述第三方服务器对所述账户信息进行认证，并向所述目标服务器返回认证结果；其中，所述账户信息为所述目标APP根据所述索引信息查询得到的；

当认证成功时，将所述认证结果中的token发送至所述第三方客户端，以便所述第三方客户端通过所述token重定向至所述第三方服务器。

其中，所述目标服务器与所述第三方服务器通过https协议或RPC协议通信。

其中，将所述账户信息转发至所述第三方服务器，以便所述第三方服务器对所述账户信息进行认证，并向所述目标服务器返回认证结果，包括：

将所述账户信息加密转发至所述第三方服务器，以便所述第三方服务器对接收到的信息进行解密得到所述账户信息，并对所述账户信息进行认证，并向所述目标服务器返回认证结果。

其中，将所述账户信息转发至所述第三方服务器之前，还包括：

判断所述第三方服务器是否空闲；

若是，则执行将所述账户信息转发至所述第三方服务器的步骤。

其中，判断所述第三方服务器是否空闲，包括：

获取所述第三方服务器的状态信息，根据所述状态信息判断所述第三方服务器是否空闲。

其中，判断所述第三方服务器是否空闲，包括：

获取所述第三方服务器在预设时间段内的响应数据；

根据所述响应数据计算所述第三方服务器的可用度，并判断所述可用度是否大于预设值；

若是，则判定所述第三方服务器空闲；若否，则判定所述第三方服务器繁忙。

其中，所述目标服务器包括登录易服务器，所述目标APP包括登录易APP。

为实现上述目的，本申请提供了一种身份认证系统，应用于登录易服务器，包括：

返回模块，用于当接收到目标APP携带有访问凭证的访问请求时，根据所述访问凭证向所述目标APP返回第三方服务器的索引信息；其中，所述访问凭证为所述第三方客户端向所述目标服务器申请的访问所述第三方服务器的凭证；

转发模块，用于接收所述目标APP发送的所述第三方服务器的账户信息，并将所述账户信息转发至所述第三方服务器，以便所述第三方服务器对所述账户信息进行认证，并向所述目标服务器返回认证结果；其中，所述账户信息为所述目标APP根据所述索引信息查询得到的；

发送模块，用于当认证成功时，将所述认证结果中的token发送至所述第三方客户端，以便所述第三方客户端通过所述token重定向至所述第三方服务器。

为实现上述目的，本申请提供了一种服务器，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述身份认证方法的步骤。

为实现上述目的，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述身份认证方法的步骤。

通过以上方案可知，本申请提供的一种身份认证方法，包括：当接收到目标APP携带有访问凭证的访问请求时，根据所述访问凭证向所述目标APP返回第三方服务器的索引信息；其中，所述访问凭证为所述第三方客户端向所述目标服务器申请的访问所述第三方服务器的凭证；接收所述目标APP发送的所述第三方服务器的账户信息，并将所述账户信息转发至所述第三方服务器，以便所述第三方服务器对所述账户信息进行认证，并向所述目标服务器返回认证结果；其中，所述账户信息为所述目标APP根据所述索引信息查询得到的；当认证成功时，将所述认证结果中的token发送至所述第三方客户端，以便所述第三方客户端通过所述token重定向至所述第三方服务器。

本申请提供的身份认证方法，将第三方服务器的索引信息存储于目标服务器中，将用户在第三方服务器的账户信息存储于目标APP中，第三方客户端可以通过目标服务器向第三方服务器完成验证。目标服务器允许所有网站和APP接入，对于所有的网站和APP提供统一的认证逻辑，提高了身份认证的普适性。本申请还公开了一种身份认证系统及一种服务器和一种计算机可读存储介质，同样能实现上述技术效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1为根据一示例性实施例示出的一种身份认证方法的流程图；

图2为根据一示例性实施例示出的一种身份认证方法的时序图；

图3为根据一示例性实施例示出的另一种身份认证方法的流程图；

图4为根据一示例性实施例示出的一种身份认证系统的结构图；

图5为根据一示例性实施例示出的一种服务器的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例公开了一种身份认证方法，提高了身份认证的普适性。

参见图1，根据一示例性实施例示出的一种身份认证方法的流程图，如图1所示，包括：

S101：当接收到目标APP携带有访问凭证的访问请求时，根据所述访问凭证向所述目标APP返回第三方服务器的索引信息；其中，所述访问凭证为所述第三方客户端向所述目标服务器申请的访问所述第三方服务器的凭证；

本实施例的执行主体为目标服务器，优选为登录易服务器，相应的，目标APP优选为登录易APP，登录易开放平台是一套完整的身份认证系统，允许所有网站和APP便捷地接入使用登录易的多方闭环身份机制。网站和APP可以通过登录易开放平台调用登录易的功能。用户登录的时候，通过登录易服务器转发用户的账号信息到第三方服务器的接口，第三方服务器认证成功之后建立连接。需要说明的是，目标服务器与第三方服务器之间的数据通信采用https协议(中文全称：超文本传输安全协议，英文全称：Hyper Text TransferProtocol over Secure Socket Layer或Hypertext Transfer Protocol Secure)，但对于并发量高的网站也可以采用socket实现的RPC(中文全称：—远程过程调用，英文全称：Remote Procedure Call)协议，它在数据通信的时候无需每一次都要进行TCP(中文全称：传输控制协议，英文全称：Transmission Control Protocol)三次握手和数据传送的时候不需要带https头信息。

在具体实施中，第三方客户端首先向目标服务器申请访问凭证(credential)，并将该访问凭证与目标APP进行共享，目标APP通过该访问凭证向目标服务器请求第三方服务器的索引信息，该索引信息可以为第三方服务器的地址。

S102：接收所述目标APP发送的所述第三方服务器的账户信息，并将所述账户信息转发至所述第三方服务器，以便所述第三方服务器对所述账户信息进行认证，并向所述目标服务器返回认证结果；其中，所述账户信息为所述目标APP根据所述索引信息查询得到的；

在本步骤中，目标APP利用上一步骤得到的索引信息查询得到第三方服务器的账户信息，经过用户确认后将该账户信息转发至第三方服务器，第三方服务器对该账户信息进行验证，验证通过后返回认证成功的认证结果，该认证结果中可以包括token，优选的还可以包括cookie值等。验证失败则返回验证失败，提示用户稍后再试。

作为一种优选上述方式，将所述账户信息转发至所述第三方服务器，以便所述第三方服务器对所述账户信息进行认证，并向所述目标服务器返回认证结果的步骤可以包括：将所述账户信息加密转发至所述第三方服务器，以便所述第三方服务器对接收到的信息进行解密得到所述账户信息，并对所述账户信息进行认证，并向所述目标服务器返回认证结果。时序图如图2所示，具体的，可以采用RSA+AES对用户信息进行加密，由于RSA+AES为现有技术中的成熟技术，在此不再赘述。

S103：当认证成功时，将所述认证结果中的token发送至所述第三方客户端，以便所述第三方客户端通过所述token重定向至所述第三方服务器。

在本步骤中，认证成功后，目标服务器将认证结果中的token(还可以包括cookie值)发送至第三方客户端，第三方客户端利用其重定向至第三方服务器的指定页面。

本申请实施例提供的身份认证方法，将第三方服务器的索引信息存储于目标服务器中，将用户在第三方服务器的账户信息存储于目标APP中，第三方客户端可以通过目标服务器向第三方服务器完成验证。目标服务器允许所有网站和APP接入，对于所有的网站和APP提供统一的认证逻辑，提高了身份认证的普适性。

本申请实施例公开了一种身份认证方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图3，根据一示例性实施例示出的另一种身份认证方法的流程图，如图3所示，包括：

S201：当接收到目标APP携带有访问凭证的访问请求时，根据所述访问凭证向所述目标APP返回第三方服务器的索引信息；其中，所述访问凭证为所述第三方客户端向所述目标服务器申请的访问所述第三方服务器的凭证；

S202：接收所述目标APP发送的所述第三方服务器的账户信息，并判断所述第三方服务器是否空闲；若是，则进入S203；若否，则向所述目标APP返回服务器正忙；

在本实施例中，为了保证第三方服务器的安全性，可以在将用户信息转发至第三方服务器之前判定第三方服务器是否空闲，空闲时进入S203，否则向目标APP返回服务器正忙，停止操作或经过N秒后重新执行判断第三方服务器是否空闲的步骤。

对于判断所述第三方服务器是否空闲，可以采用获取第三方服务器的状态信息，根据该状态信息判断第三方服务器是否空闲的方式，也可以采用计算第三方服务器的可用度的方式，即判断所述第三方服务器是否空闲的步骤可以包括：获取所述第三方服务器在预设时间段内的响应数据；根据所述响应数据计算所述第三方服务器的可用度，并判断所述可用度是否大于预设值；若是，则判定所述第三方服务器空闲；若否，则判定所述第三方服务器繁忙。

在具体实施中，假设预设请求超时时间为P(P为小于一个时间段的时间长度)，当前时刻所属时间段为T_k，在此不进行具体限定时间段长度(例如可以用1秒钟为时间段长度，可以预设，也可以动态调整)，统计当前时刻之前m个时间段(T_k-1-T_k-m)内的响应数据，如果对该第三方服务器所记录到的时间段不足m个，则仅统计所有已记录的时间段的响应数据仅当某个时间段内登录易服务器向第三方服务器发出了请求才记录该时间段内的响应数据。响应数据可以包括登录易服务器请求第三方服务器接口次数N_k-i、请求失败次数C_k-i、该时间段内平均响应时间AT_k-i，根据上述响应数据可以使用多种方法计算第三方服务器可用度S_k(0≤S_k＜1)。若第三方网站服务器的可用度大于预设值V，登录易服务器将用户信息转发给第三方服务器，否则向所述登录易APP返回服务器正忙。预设值V初始可优选为0.2，若S_k＞V，登录易服务器将用户信息转发给第三方服务器，如果第三方服务器响应超时，则增大预设值V为0.3，下一次请求前再次判断S_k是否大于新的V，多次试验后可以固定V的值。

S_k可以选择多种计算方法，以下只是其中优选的四种：

S203：将所述账户信息加密转发至所述第三方服务器，以便所述第三方服务器对接收到的信息进行解密得到所述账户信息，并对所述账户信息进行认证，并向所述目标服务器返回认证结果。

S204：当认证成功时，将所述认证结果中的token发送至所述第三方客户端，以便所述第三方客户端通过所述token重定向至所述第三方服务器。

下面对本申请实施例提供的一种身份认证系统进行介绍，下文描述的一种身份认证系统与上文描述的一种身份认证方法可以相互参照。

参见图4，根据一示例性实施例示出的一种身份认证系统的结构图，如图4所示，包括：

返回模块401，用于当接收到目标APP携带有访问凭证的访问请求时，根据所述访问凭证向所述目标APP返回第三方服务器的索引信息；其中，所述访问凭证为所述第三方客户端向所述目标服务器申请的访问所述第三方服务器的凭证；

转发模块402，用于接收所述目标APP发送的所述第三方服务器的账户信息，并将所述账户信息转发至所述第三方服务器，以便所述第三方服务器对所述账户信息进行认证，并向所述目标服务器返回认证结果；其中，所述账户信息为所述目标APP根据所述索引信息查询得到的；

发送模块403，用于当认证成功时，将所述认证结果中的token发送至所述第三方客户端，以便所述第三方客户端通过所述token重定向至所述第三方服务器。

本申请实施例提供的身份认证系统，将第三方服务器的索引信息存储于目标服务器中，将用户在第三方服务器的账户信息存储于目标APP中，第三方客户端可以通过目标服务器向第三方服务器完成验证。目标服务器允许所有网站和APP接入，对于所有的网站和APP提供统一的认证逻辑，提高了身份认证的普适性。

在上述实施例的基础上，作为一种优选实施方式，所述目标服务器与所述第三方服务器通过https协议或RPC协议通信。

在上述实施例的基础上，作为一种优选实施方式，所述转发模块402包括：

接收单元，用于接收所述目标APP发送的所述第三方服务器的账户信息；

转发单元，用于将所述账户信息加密转发至所述第三方服务器，以便所述第三方服务器对接收到的信息进行解密得到所述账户信息，并对所述账户信息进行认证，并向所述目标服务器返回认证结果。

在上述实施例的基础上，作为一种优选实施方式，还包括：

判断模块，用于判断所述第三方服务器是否空闲；若是，则启动所述转发单元的工作流程。

在上述实施例的基础上，作为一种优选实施方式，所述判断模块具体为获取所述第三方服务器的状态信息，根据所述状态信息判断所述第三方服务器是否空闲；若是，则启动所述转发单元的工作流程的模块。

在上述实施例的基础上，作为一种优选实施方式，所述判断模块包括：

获取单元，用于获取所述第三方服务器在预设时间段内的响应数据；

计算单元，用于根据所述响应数据计算所述第三方服务器的可用度，并判断所述可用度是否大于预设值；若是，则启动所述转发单元的工作流程。

在上述实施例的基础上，作为一种优选实施方式，所述目标服务器包括登录易服务器，所述目标APP包括登录易APP。

关于上述实施例中的系统，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本申请还提供了一种服务器，参见图5，本申请实施例提供的一种服务器500的结构图，如图5所示，可以包括处理器11和存储器12。该服务器500还可以包括多媒体组件13，输入/输出(I/O)接口14，以及通信组件15中的一者或多者。

其中，处理器11用于控制该服务器500的整体操作，以完成上述的身份认证方法中的全部或部分步骤。存储器12用于存储各种类型的数据以支持在该服务器500的操作，这些数据例如可以包括用于在该服务器500上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(Static Random Access Memory，简称SRAM)，电可擦除可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory，简称EEPROM)，可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，简称EPROM)，可编程只读存储器(Programmable Read-Only Memory，简称PROM)，只读存储器(Read-Only Memory，简称ROM)，磁存储器，快闪存储器，磁盘或光盘。多媒体组件13可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器12或通过通信组件15发送。音频组件还包括至少一个扬声器，用于输出音频信号。I/O接口14为处理器11和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件15用于该服务器500与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信(Near Field Communication，简称NFC)，2G、3G或4G，或它们中的一种或几种的组合，因此相应的该通信组件15可以包括：Wi-Fi模块，蓝牙模块，NFC模块。

在一示例性实施例中，服务器500可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit，简称ASIC)、数字信号处理器(DigitalSignal Processor，简称DSP)、数字信号处理设备(Digital Signal Processing Device，简称DSPD)、可编程逻辑器件(Programmable Logic Device，简称PLD)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的身份认证方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述身份认证方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器12，上述程序指令可由服务器500的处理器11执行以完成上述的身份认证方法。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

1.一种身份认证方法，其特征在于，应用于目标服务器，包括：

2.根据权利要求1所述身份认证方法，其特征在于，所述目标服务器与所述第三方服务器通过https协议或RPC协议通信。

3.根据权利要求1或2所述身份认证方法，其特征在于，将所述账户信息转发至所述第三方服务器，以便所述第三方服务器对所述账户信息进行认证，并向所述目标服务器返回认证结果，包括：

4.根据权利要求1所述身份认证方法，其特征在于，将所述账户信息转发至所述第三方服务器之前，还包括：

判断所述第三方服务器是否空闲；

5.根据权利要求4所述身份认证方法，其特征在于，判断所述第三方服务器是否空闲，包括：

6.根据权利要求4所述身份认证方法，其特征在于，判断所述第三方服务器是否空闲，包括：

获取所述第三方服务器在预设时间段内的响应数据；

7.根据权利要求1至6中任一项所述身份认证方法，其特征在于，所述目标服务器包括登录易服务器，所述目标APP包括登录易APP。

8.一种身份认证系统，其特征在于，应用于登录易服务器，包括：

9.一种服务器，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述身份认证方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述身份认证方法的步骤。