CN110213223B - 业务管理方法、装置、系统、计算机设备和存储介质 - Google Patents
业务管理方法、装置、系统、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN110213223B CN110213223B CN201910216081.1A CN201910216081A CN110213223B CN 110213223 B CN110213223 B CN 110213223B CN 201910216081 A CN201910216081 A CN 201910216081A CN 110213223 B CN110213223 B CN 110213223B
- Authority
- CN
- China
- Prior art keywords
- service
- node
- login
- service access
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种业务管理方法、装置、系统、计算机设备和存储介质,业务管理方法包括:接收终端发送的访问第一业务节点的第一业务访问请求;根据第一业务访问请求获取预存储的登录凭证,登录凭证为终端在请求访问第二业务节点时从认证节点返回的;向认证节点发送第一业务访问凭证获取请求,第一业务访问凭证获取请求携带第一业务节点对应的第一标识信息以及登录凭证;接收认证节点发送的第一业务访问凭证,向第一业务节点发送第一业务访问凭证,以使得第一业务节点根据第一业务访问凭证进行访问验证,当访问验证通过时,允许终端进行第一业务访问。上述方法可以操作简单且可以降低了终端的负载。
Description
技术领域
本发明涉及网络技术领域,特别是涉及业务管理方法、装置、系统、计算机设备和存储介质。
背景技术
随着网络技术的飞速发展和广泛应用,人们经常会访问各种业务网站获取信息。在进行业务访问时,通常需要输入用户身份认证信息例如用户名以及密码登录,身份认证通过时才可以访问对应的业务系统。然而,用户经常需要访问多个业务系统,当业务系统对应不同的域名时,需要重新输入身份认证信息进行身份认证,操作繁琐,且增加了终端的负载。
发明内容
基于此,有必要针对上述的问题,提供一种业务管理方法、装置、系统、计算机设备和存储介质。
一种业务管理系统,所述业务管理系统包括中转节点以及认证节点,其中,所述中转节点,接收终端发送的访问第一业务节点的第一业务访问请求,根据所述第一业务访问请求获取预存储的登录凭证,向所述认证节点发送第一业务访问凭证获取请求,所述第一业务访问凭证获取请求携带所述第一业务节点对应的第一标识信息以及所述登录凭证,所述登录凭证为所述终端在请求访问第二业务节点时从所述认证节点返回的;所述认证节点,对所述登录凭证进行登录验证,当登录验证通过时,根据所述第一标识信息生成所述第一业务节点的所述第一业务访问凭证;所述中转节点,接收所述认证节点发送的所述第一业务访问凭证,向所述第一业务节点发送所述第一业务访问凭证,以使得所述第一业务节点根据所述第一业务访问凭证进行访问验证,当访问验证通过时,允许所述终端进行第一业务访问。
一种业务管理方法,所述方法包括:接收终端发送的访问第一业务节点的第一业务访问请求;根据所述第一业务访问请求获取预存储的登录凭证,所述登录凭证为所述终端在请求访问第二业务节点时从认证节点返回的;向所述认证节点发送第一业务访问凭证获取请求,所述第一业务访问凭证获取请求携带所述第一业务节点对应的第一标识信息以及所述登录凭证,以使得所述认证节点根据所述登录凭证进行登录验证,当登录验证通过时,根据所述第一标识信息生成所述第一业务节点的所述第一业务访问凭证;接收所述认证节点发送的所述第一业务访问凭证,向所述第一业务节点发送所述第一业务访问凭证,以使得所述第一业务节点根据所述第一业务访问凭证进行访问验证,当访问验证通过时,允许所述终端进行第一业务访问。
一种业务管理装置,所述装置包括:第一业务访问请求接收模块,用于接收终端发送的访问第一业务节点的第一业务访问请求;登录凭证获取模块,用于根据所述第一业务访问请求获取预存储的登录凭证,所述登录凭证为所述终端在请求访问第二业务节点时从认证节点返回的;第一业务访问凭证获取请求发送模块,用于向所述认证节点发送第一业务访问凭证获取请求,所述第一业务访问凭证获取请求携带所述第一业务节点对应的第一标识信息以及所述登录凭证,以使得所述认证节点根据所述登录凭证进行登录验证,当登录验证通过时,根据所述第一标识信息生成所述第一业务节点的所述第一业务访问凭证;第一业务访问凭证接收模块,用于接收所述认证节点发送的所述第一业务访问凭证,向所述第一业务节点发送所述第一业务访问凭证,以使得所述第一业务节点根据所述第一业务访问凭证进行访问验证,当访问验证通过时,允许所述终端进行第一业务访问。
一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行上述业务管理方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行上述业务管理方法的步骤。
上述业务管理方法、装置、系统、计算机设备和存储介质,终端访问第一业务节点的业务访问请求是发送给中转节点的,由中转节点向认证节点发送第一业务访问凭证获取请求,第一业务访问凭证获取请求携带第一业务节点对应的第一标识信息以及登录凭证,且登录凭证为终端在请求访问第二业务节点时从认证节点返回的。这样认证节点可以利用登录凭证进行登录验证,当登录验证通过时,根据第一标识信息生成第一业务节点的第一业务访问凭证,中转节点将该第一业务访问凭证发送给第一业务节点,使第一业务节点可以根据该第一业务访问凭证进行业务访问验证,当业务访问凭证验证通过时,第一业务节点允许所述终端进行第一业务访问。因此,只需要在访问某个业务节点时输入用户身份认证信息进行登录验证,得到登录凭证便可以根据登录凭证获取其他业务节点的业务访问凭证,以凭借业务访问凭证访问其他业务节点,操作简单。而且,登录凭证是存储在中转节点的,使得业务访问凭证的获取以及转发到业务节点的交互过程是在业务管理系统内部完成的,减少了终端与业务管理系统的交互过程,降低了终端的负载。
附图说明
图1为一些实施例中提供的业务管理方法的应用环境图;
图2为一些实施例中业务管理系统的架构图;
图3为一些实施例中利用业务管理系统实现业务管理方法的时序图;
图4为一些实施例中业务管理系统与各个节点组成的系统的框架示意图;
图5为一些实施例中提供的业务管理方法的流程图;
图6为一些实施例中提供的业务管理方法的流程图;
图7为一些实施例中提供的业务管理方法的流程图;
图8为一些实施例中业务管理装置的结构框图;
图9为一些实施例中业务管理装置的结构框图;
图10为一些实施例中计算机设备的内部结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一业务节点称为第二业务节点,且类似地,可将第二业务节点称为第一业务节点。
图1为一些实施例中提供的业务管理方法的应用环境图,如图1所示,在该应用环境中,包括终端110以及业务管理系统120,业务管理系统120包括中转节点121、认证节点122以及至少两个业务节点例如第一业务节点123以及第二业务节点124。第一业务节点123以及第二业务节点124的域名可以是不同的。当终端110在访问第二业务节点124,需要访问第一业务节点123时,中转节点 121接收终端110发送的访问第一业务节点123的第一业务访问请求,以执行本发明实施例提供的业务管理方法,因此终端110在访问某个业务节点时输入用户身份认证信息进行身份认证换取登录凭证,中转节点121便可以根据登录凭证请求业务节点允许终端访问其他的业务节点,操作简单且减少了业务管理系统的认证负担,而且,登录凭证是存储在中转节点121的,使得业务访问凭证的获取以及转发到业务节点的过程是在业务管理系统120内部完成的,减少了终端110与业务管理系统120的交互过程,降低了终端的负载。
其中,业务节点、中转节点、认证节点中的节点可以是独立的服务器,也可以是是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。终端110可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端110以及业务管理系统120可以通过网络进行连接,本发明在此不做限制。
例如,当本发明实施例提供的业务管理方法应用在云平台,例如在专有云环境下时,由于使用云平台的终端的数量比较多,或者分布在比较大的地理位置范围,为了降低中转节点121以及认证节点122的负载以及提高业务管理系统的响应速度,中转节点121以及认证节点122均可以为多个,可以是一个地理区域对应一个中转节点以及认证节点,该中转节点负责接收该地理区域对应的终端的业务访问请求,并发送到对应的认证节点122上。
如图2所示,在一些实施例中,提出了一种业务管理系统,业务管理系统可以包括中转节点121以及认证节点122,具体可以用于:
中转节点121,接收终端发送的访问第一业务节点的第一业务访问请求,根据第一业务访问请求获取预存储的登录凭证,向认证节点发送第一业务访问凭证获取请求,第一业务访问凭证获取请求携带第一业务节点对应的第一标识信息以及登录凭证,登录凭证为终端在请求访问第二业务节点时从认证节点返回的。
具体地,中转节点是用于中转业务访问请求的节点,中转节点可以是控制管理(management control,MC)台,例如可以是云环境中的云门户(云portal),云门户用于聚集各个信息源内容,聚集各个信息源内容是指将来自各个业务节点的可以提供的内容对应的内容标识集成在网络页面中,用户在该网络页面上可以选择例如点击各个网络内容对应的内容标识,向中转节点发送访问对应的业务节点的请求,例如可以显示“财务数据”、“考勤数据”等内容标识,当接收到对“财务数据”内容标识的选择操作时,发送访问财务业务节点的业务访问请求。因此云portal相当于为用户终端访问各个业务节点提供了相应的界面,用户可以在界面中点击想要使用的业务对应的内容标识,发出业务访问请求,由中转节点接收该业务访问请求。对于提供多种服务的云平台而言,即使要使用的业务是由不同的业务节点提供的,但对于用户来说,就像在访问同一个业务节点。因此云portal可以解决在云环境下资源共享以及资源呈现的问题,用户终端可以在统一的环境下访问多个不同的业务节点,获取多样化的服务。
业务访问请求用于请求访问业务节点,以获取对应的资源内容,例如,业务访问请求可以是请求访问财务系统的业务访问请求,也可以是访问考勤系统的业务访问请求,也可以是浏览公司相应资讯的业务访问请求。第一标识信息用于标识第一业务节点,例如可以是第一业务节点的域名也可以是第一业务节点的IP地址,当然可以是业务节点对应的名称。第一业务访问请求用于请求访问第一业务节点。第一业务访问请求中可以携带第一标识信息。业务访问凭证获取请求用于请求获取对业务节点进行访问的凭证。第一业务访问凭证获取请求携带第一标识信息,用于表示需要获取的是第一业务节点的业务访问凭证。
登录凭证是用于登录认证节点的凭据,是利用终端对应的用户身份认证信息交换得到的,用户身份认证信息是用于证明用户身份的信息,例如可以是用户名和密码,当然也可以是指纹信息、人脸特征信息等。拥有登录凭证,则在与认证节点进行通信时携带登录凭证,无需再次输入用户身份认证信息,认证节点对登录凭证进行验证,如果登录验证成功,则说明终端之前已经进行了登录,使得用户终端只需要登录一次就可以访问认证节点。登录凭证可以包括用户标识以及生成的登录字符串,认证节点可以一次返回多个随机生成的登录字符串,一个随机生成的登录字符串可以使用一次或者多次,“多”是指至少两个。登录凭证是存储在中转节点的,在终端请求访问第二业务节点时,认证节点可以请求中转节点发送终端对应的用户身份认证信息,如果用户身份认证信息验证通过,则认证节点向中转节点返回终端对应的登录凭证。第一业务节点与第二业务节点是不同的业务节点,例如第一业务节点在可以是存储财务信息的节点,第二业务节点是存储监控信息的节点,第一业务节点与第二业务节点对应的域名不同。
在一些实施例中,登录凭证中还可以包括登录凭证的有效时长,例如可以是2小时,在有效时长过后,登录凭证失效,需要重新获取登录凭证,这样,避免一次登录后,可以长时间的登录认证中心,提高安全性。
在一些实施例中,登录字符串可以是存储用户身份认证信息的用户身份认证信息存储节点根据用户身份认证信息生成的。例如,可以利用用户的登录密码以及随机数进行哈希计算,得到登录字符串。当中转节点接收到登录凭证后,可以将登录凭证发送到用户身份认证信息存储节点进行验证,以验证登录凭证是否正确,提高安全性。
在一些实施例中,登录凭证中还可以包括用户相关信息,例如用户在认证中心的账号、与用户在认证中心的账号关联的整个业务管理系统对应的主账号、用户的昵称等信息,认证节点可以对用户相关信息进行验证。
在一些实施例中,根据第一业务访问请求获取预存储的登录凭证包括:将第一业务访问请求发送到第一业务节点,接收第一业务节点根据第一业务访问请求返回的第一认证重定向请求,根据第一认证重定向请求获取预存储的登录凭证。
具体地,认证重定向请求是指请求将中转节点重定向到认证节点进行认证的请求。当中转节点接收到第一业务访问请求时,可以将第一业务访问请求发送到第一业务节点,第一业务节点可以检查终端对应的用户账号是否进行了登录,如果没有,则可以向中转节点发送第一认证重定向请求,第一认证重定向请求中可以携带认证节点对应的标识信息,例如认证节点的域名信息,这样,中转节点根据重定向请求获取该认证中心的标识对应的且为该终端对应的登录凭证,向认证节点发送第一业务访问凭证获取请求。登录凭证是认证中心发放的,因此登录凭证是与认证中心对应的标识以及终端对应的用户标识对应存储的。接收到第一认证重定向请求后,中转节点可以根据终端对应的用户标识以及认证中心的标识获取对应的登录凭证。认证中心对应的标识例如可以是域名。
认证节点122,对登录凭证进行登录验证,当登录验证通过时,根据第一标识信息生成第一业务节点的第一业务访问凭证。
具体地,认证节点在生成登录凭证时,可以生成与登录凭证对应的登录凭证验证信息,用于对登录凭证进行登录验证。例如,认证节点可以登录凭证中的登录字符串作为键值对(key-value)中的key值,并生成登录验证对象,存储在缓存中。该登录验证对象作为key值对应的value值,当认证节点获取得到登录凭证后,可以利用登录字符串作为key值查询是否存在登录验证对象,如果存在,则登录验证成功。当然认证节点可以存储用户标识与随机生成的登录字符串的对应关系,当认证节点接收到登录凭证后,根据用户标识获取对应的预先存储的登录字符串,如果预先存储的登录字符串与接收到的登录凭证中的登录字符串一致,则登录验证通过。
业务访问凭证是用于访问对应的业务节点的凭证。业务访问凭证可以是一串业务访问字符串,可以是一串随机生成的字符串,例如可以为ABST123GB21,业务节点可以将业务访问凭证发送到中转节点中进行验证。业务访问凭证可以是认证节点根据预先设定的规则生成的业务访问字符串,业务节点可以根据预先设定的规则进行访问验证。例如,预先设定的规则可以是业务访问凭证是一串字符串,由终端对应的用户标识、业务节点的标识以及认证节点中存储的业务节点对应的密钥生成,业务节点对应的密钥可以是业务节点发送给认证节点的,也可以是人工输入的。当登录凭证登录验证通过时,认证节点根据第一标识信息生成第一业务节点的第一业务访问凭证。
在一些实施例中,认证节点包括多个,对登陆凭证进行登陆验证的登录凭证验证信息存储在键值数据库中,例如redis数据库中。键值数据库的数据是各个认证节点共享的。键值数据库是非关系型数据库,数据按照键值对的形式进行存储,包括键名(key)以及键值(value),根据key值可以获取查询到对应的value值。认证节点在存储对登陆凭证进行登陆验证的登录凭证验证信息时,可以将登录凭证中的登录字符串作为key,将对登陆凭证进行登陆验证的登录凭证验证信息作为value值。这样,在认证节点为多个时,即使发放登陆凭证的认证节点与接收第一业务访问凭证获取请求的认证节点不同,接收第一业务访问凭证获取请求的认证节点也可以利用登录凭证中的登录字符串作为 key值获取对应的对登陆凭证进行登陆验证的登录凭证验证信息,以对登陆凭证进行登陆验证。因此当需要接受大量的业务凭证获取请求时,可以利用多个认证节点进行认证,提升了并发能力。
中转节点121,接收认证节点发送的第一业务访问凭证,向第一业务节点发送第一业务访问凭证,以使得第一业务节点根据第一业务访问凭证进行访问验证,当访问验证通过时,允许终端进行第一业务访问。
具体地,中转节点接收到认证节点发送的第一业务访问凭证时,可以向第一业务节点发送第一业务访问凭证,第一业务节点接收到第一业务访问凭证时,可以利用该第一业务访问凭证进行访问验证,确定第一终端是否有访问的权限,如果访问验证通过,则第一业务节点允许终端进行第一业务访问,即允许终端访问第一业务节点。
在一些实施例中,业务节点可以将第一业务访问凭证发送到认证节点进行访问验证,认证节点验证第一业务访问凭证的真实性,将访问验证结果发送给第一业务节点。认证节点可以存储业务访问凭证与业务节点对应的标识的对应关系,例如,认证节点可以存储第一业务节点的url(Uniform Resource Locator,统一资源定位符)地址与业务访问凭证中的业务访问字符串的对应关系。这样,当第一业务节点根据第一业务访问凭证进行访问验证时,可以将业务访问字符串发送给认证节点,认证节点确定该业务访问字符串是否是该第一业务节点的url地址对应的字符串,如果对应,则访问验证通过,如果不对应,则访问验证不通过。
上述业务管理方法,终端访问第一业务节点的业务访问请求是发送给中转节点的,由中转节点向认证节点发送第一业务访问凭证获取请求,第一业务访问凭证获取请求携带第一业务节点对应的第一标识信息以及登录凭证,且登录凭证为终端在请求访问第二业务节点时从认证节点返回的。这样认证节点可以利用登录凭证进行登录验证,当登录验证通过时,根据第一标识信息生成第一业务节点的第一业务访问凭证,中转节点将该第一业务访问凭证发送给第一业务节点,使第一业务节点可以根据该第一业务访问凭证进行业务访问验证,当业务访问凭证验证通过时,第一业务节点允许所述终端进行业务访问。因此,只需要在访问某个业务节点时输入用户身份认证信息进行登录验证,得到登录凭证便可以根据登录凭证获取其他业务节点的业务访问凭证,以凭借业务访问凭证访问其他业务节点,操作简单。而且,登录凭证是存储在中转节点的,使得业务访问凭证的获取以及转发到业务节点的交互过程是在业务管理系统内部完成的,减少了终端与业务管理系统的交互过程,降低了终端的负载。
在一些实施例中,认证节点在访问验证通过时,还可以向第一业务节点返回用户相关信息,例如用户的昵称、用户在认证节点对应的账号等。
在一些实施例中,业务节点也可以根据预设的规则对第一业务访问凭证进行访问验证。例如,业务访问凭证可以是认证节点根据预先设定的规则生成的字符串,业务节点可以根据预先设定的规则进行访问验证。举个实际的例子,预先设定的规则可以是业务访问凭证是一串字符串,由终端对应的用户标识、第一业务节点的标识以及第一业务节点对应的密钥进行哈希计算生成,则第一业务节点也可以根据用户标识、第一业务节点的标识以及第一业务节点对应的密钥进行哈希计算生成访问验证字符串,如果访问验证字符串与第一业务访问凭证的业务访问字符串一致,则访问验证通过。
在一些实施例中,当第一业务节点根据第一业务访问凭证进行访问验证,并验证成功时,可以生成会话口令,中转节点接收第一业务节点发送的会话口令,将会话口令发送给终端,以使得终端根据会话口令与第一业务节点进行会话。
具体地,会话口令是在进行会话时需要携带的随机字符串,相当于是进行会话时的暗号,会话用于维持会话节点之间的不同http请求的关联关系。一个会话口令可以是只能使用一次,即是一次性的,也可以是预设时长内有效。通过会话口令,可以确定不同的http(Hypertext Transfer Protocol,超文本传输协议)请求是属于哪个会话的,会话口令可以是多个,例如可以是99个。会话口令可以进行更新,例如当会话口令用完之后,则第一业务节点可以继续向终端下发会话口令。中转节点接收到会话口令后,可以将会话口令发送给终端,这样终端利用会话口令,可以不经过中转节点,与业务节点进行会话。也就是说,在终端第一次发送第一业务节点的业务访问请求时,是经过中转节点转发的,当利用第一业务访问凭证访问第一业务节点,第一业务访问凭证访问验证通过时,第一业务节点下发会话口令,终端利用该会话口令,可以不经过中转节点,与第一业务节点进行会话。
在一些实施例中,认证节点可以接收第一业务节点发送的业务访问凭证验证请求,对第一业务访问凭证进行验证,当业务访问凭证验证通过时,获取会话口令,将会话口令发送给第一业务节点,其中,会话口令是根据终端对应的用户身份认证信息进行哈希计算生成的。
具体地,会话口令是根据用户的身份认证信息例如登录密码生成的。由于哈希算法是单向散列算法,因此哈希计算可以保证根据哈希计算得到会话口令不能推导出用户身份认证信息,提高了身份认证信息的安全性。认证节点接收到第一业务访问凭证后,可以将第一业务访问凭证的业务访问字符串与预先存储的第一业务节点url地址对应的业务访问字符串进行对比,如果认证节点确定第一业务访问凭证的业务访问字符串与第一业务节点的url地址对应的字符串一致,则访问验证通过,认证节点可以根据用户的登录密码进行哈希计算,得到会话口令,将会话口令发送给第一业务节点,第一业务节点将会话口令发送给中转节点,中转节点再讲会话口令发送给终端。
在一些实施例中,在进行哈希计算时,可以获取当前时间、用户标识或者随机数,与用户身份认证信息一起进行哈希计算,得到会话口令。以增加根据会话口令推导得到用户身份认证信息的难度,提高安全性。
在一些实施例中,业务管理系统的各个节点还用于:
中转节点,接收终端发送的访问第二业务节点的第二业务访问请求,根据第二业务访问请求向认证节点发送第二业务访问凭证获取请求,第二业务访问凭证获取请求携带第二业务节点对应的第二标识信息。
具体地,第二业务访问请求用于请求访问第二业务节点。第二业务访问节点中可以携带第二标识信息,第二标识信息为第二业务节点对应的标识信息,例如域名,当然也可以是业务节点的名称。
在一些实施例中,根据第二业务访问请求向认证节点发送第二业务访问凭证获取请求包括:将第二业务访问请求发送到第二业务节点,接收第二业务节点根据第二业务访问请求返回的第二认证重定向请求,根据第二认证重定向请求向认证节点发送第二业务访问凭证获取请求。
具体地,当中转节点接收到第二业务访问请求时,可以将第二业务访问请求发送到第二业务节点,第二业务节点可以检查终端是否进行了登录,如果没有,则可以向中转节点发送第二认证重定向请求,第二认证重定向请求中可以携带认证节点对应的标识信息,例如认证节点的域名信息,由于中转节点此时没有存储认证节点返回的终端对应的登陆凭证,即终端还未通过用户身份认证信息进行登陆,因此中转节点在不携带登录凭证的情况下向认证节点发送第二业务访问凭证获取请求。第二业务访问请求中可以携带第二标识信息,第二业务访问凭证获取请求中可以携带第二标识信息,用于表示需要获取的是第二业务节点的业务访问凭证
认证节点,根据第二业务访问凭证获取请求向中转节点发送终端对应的用户身份认证信息获取请求。
具体地,用户身份认证信息获取请求用于请求获取用户身份认证信息。认证节点接收到第二业务访问凭证获取请求后,可以先检查第二业务访问凭证获取请求中是否携带登录凭证。如果没有,则向中转节点发送终端对应的用户身份认证信息获取请求。中转节点可以在终端的显示界面上显示认证节点对应的用户身份认证信息输入框,这样,终端可以接收用户输入的用户身份认证信息。例如,终端的显示界面上显示认证节点对应的用户账号以及密码的输入框。
中转节点,根据用户身份认证信息获取请求获取终端对应的用户身份认证信息,将用户身份认证信息发送给认证节点。
具体地,中转节点可以向终端发送获取身份认证信息的请求,以获取用户在终端输入的用户身份认证信息,将用户身份认证信息发送给认证节点。例如可以在终端的显示界面上显示认证节点对应的用户身份认证信息输入框,这样,终端可以接收用户输入的用户身份认证信息,将用户身份认证信息发送给中转节点,中转节点再将用户身份认证信息发送给认证节点。
认证节点,根据用户身份认证信息进行身份认证,当身份认证通过时,生成终端对应的登录凭证以及根据第二标识信息生成第二业务节点的第二业务访问凭证。
具体地,第二业务访问凭证是访问第二业务节点的凭证。在进行身份认证时,可以将中转节点发送的用户身份认证信息与身份认证信息数据库中的身份认证信息进行对比,当对比一致时,则身份认证通过。其中,认证节点可以预先存储用户的身份认证信息,以进行身份认证。也可以将用户身份认证信息发送给第三方节点中进行身份认证。例如,用户身份认证信息是在第三方节点中存储的,第三方节点与认证节点是相互信任的节点,用户终端可以利用在第三方节点中注册所使用的第三方用户账号以及密码登陆认证节点。认证节点通过与第三方节点连接进行身份验证,提高了业务管理的认证灵活性。例如,认证节点接收到登录社交应用QQ的账号和密码后,认证中心可以调用社交应用QQ 的认证服务器进行身份认证。
在一些实施例中,在进行用户身份认证时,可以采用多种验证方式,例如,除了采用用户输入的用户账号以及登录密码进行认证外,还可以通过短信、邮件等渠道向终端发送验证码,以进行二次身份认证。用户在终端上输入验证码,当输入的用户账号、登录密码以及验证码均验证成功则确认身份认证成功,因此增加用户的身份信息被冒用的难度,保证了账户的安全性。
在一些实施例中,中转节点在获取到登录凭证后,可以获取用户账号的更新数据,例如用户账号上一次的登录时间等信息。还可以获取关联的账户的属性信息,例如与该用户账号关联的邮箱账号的名称、未读邮件信息等,也可以调用权限系统,获取该用户账号的权限信息,可以将权限信息存储在登录凭证中。在一些实施例中,认证节点还可以向终端返回要求进行二次身份校验的值,当终端接收到要求进行二次身份校验的值时,可以获取二次身份校验的UI(User Interface)组件,供用户输入二次身份校验的身份认证信息,例如短信验证码。
中转节点,接收认证节点发送的登录凭证以及第二业务访问凭证,向第二业务节点发送第二业务访问凭证,以使得第二业务节点根据第二业务访问凭证进行访问验证,当访问验证通过时,允许终端进行第二业务访问。
具体地,中转节点接收登录凭证以及第二业务访问凭证,存储登陆凭证并向第二业务节点发送第二业务访问凭证,第二业务节点根据第二业务访问凭证进行访问验证,第二业务节点根据第二业务访问凭证进行访问验证的过程可以参照第一业务节点根据第一业务访问凭证进行访问验证的过程。当访问验证通过时,第二业务节点允许终端进行第二业务访问,即允许终端访问第二业务节点。例如第二业务节点也可以在访问验证通过时,生成会话口令,将会话口令发送给中转节点,中转节点将会话口令再发送给终端,以使得终端根据会话口令与第二业务节点进行会话。
在一些实施例中,认证节点上还可以设置业务节点的白名单以及黑名单中的至少一个,当接收到业务凭证获取请求时,如果业务节点属于白名单中的业务节点,则可以继续进行登录验证,登录验证成功时发放业务访问凭证。如果业务节点属于黑名单中的业务节点,则拦截业务访问凭证获取请求,不发放业务访问凭证。在利用白名单或者黑名单进行过滤时,可以采用正则表达式过滤的方式,利用正则表达式提取业务凭证获取请求中业务节点对应的域名,与白名单或者黑名单中的域名进行对比。
如图3所示,为一些实施例中利用业务管理系统实现业务管理方法的时序图,包括以下步骤:
S1:发送第二业务访问请求。
具体地,用户终端在需要访问第二业务节点时,可以点击页面上的第二业务节点对应的名称,用户终端向中转节点发送第二业务访问请求,例如,网络页面上可以显示“财务系统”以及“考勤系统”两个名称,当点击“财务系统”名称时,终端向中转节点发送第二业务访问请求,第二业务节点中可以携带名称“财务系统”,表示需要访问的是财务系统对应的节点。。
S2:转发第二业务访问请求。
具体地,中转节点可以存储第二业务节点名称与第二业务节点的域名的对应关系,中转节点获取第二业务节点的域名,向第二业务节点发送第二业务访问请求,第二业务访问请求可以携带终端对应的用户账号。
S3:发送第二认证重定向请求。
具体地,认证节点接收到第二业务访问请求时,检查用户账号是否登录,如果没有,则向中转节点发送第二认证重定向请求。第二认证重定向请求中可以携带认证节点的域名信息。
S4:发送第二业务访问凭证获取请求。
具体地,中转节点根据认证节点的域名信息向认证节点发送第二业务访问凭证获取请求,第二业务访问凭证获取请求中可以携带第二业务节点的域名信息。
S5:发送用户身份认证信息获取请求。
具体地,认证节点接收到第二业务访问凭证获取请求,进行登录验证,由于第二业务访问凭证获取请求没有携带登录凭证,因此,认证节点向中转节点发送用户身份认证信息获取请求。
S6:发送用户身份认证信息请求。
具体地,中转节点接收到认证节点发送的用户身份认证信息请求后,向终端发送用户身份认证信息请求。
S7:返回用户身份认证信息。
具体地,终端接收用户在终端输入的用户身份认证信息,向中转节点发送用户身份认证信息。
S8:发送用户身份认证信息。
具体地,中转节点将终端发送的用户身份认证信息发送给认证节点。
S9:验证用户身份认证信息,生成登陆凭证以及第二业务访问凭证。
具体地,认证节点可以对用户身份认证信息进行验证,如果身份认证信息验证成功,则生成登录凭证以及第二业务访问凭证。并存储第二业务访问凭证与第二业务节点的域名对应关系。
S10:发送登陆凭证以及第二业务访问凭证。
具体地,认证节点向中转节点发送登陆凭证以及第二业务访问凭证。
S11:发送第二业务访问凭证。
具体地,中转节点接收到登陆凭证以及第二业务访问凭证后,可以存储终端的登录凭证,并向第二业务节点发送第二业务访问凭证。
S12:验证第二业务访问凭证。
具体地,第二业务节点接收到第二业务访问凭证后,可以将第二业务访问凭证发送到认证节点,认证节点验证第二业务凭证是否与第二业务节点的域名对应存储,如果是,则验证通过,认证节点向第二业务节点发送验证通过结果,第二业务节点允许终端访问。其中,认证节点还可以生成第二会话口令,将第二会话口令发送给第二业务节点,第二业务节点将第二会话口令发送给中转节点,由中转节点发送给终端,这样,终端可以利用第二会话口令与第二业务节点进行会话。
S13:发送第一业务访问请求。
具体地,第一业务访问请求是在第二业务访问请求后发送的。当终端在访问第二业务节点时,如果还需要访问第一业务节点,则发送第一业务访问请求。
S14:转发第一业务访问请求。
具体地,中转节点可以存储第一业务节点名称与第一业务节点的域名的对应关系,中转节点获取第一业务节点的域名,向第一业务节点发送第一业务访问请求,第一业务访问请求可以携带终端对应的用户账号。
S15:发送第一认证重定向请求。
具体地,认证节点接收到第一业务访问请求后,检查用户账号是否登录,如果没有,则向中转节点发送第一认证重定向请求。第一认证重定向请求中可以携带认证节点的域名信息。
S16:获取预先存储的登陆凭证。
具体地,登录凭证是在步骤S10中认证节点发送给中转节点的,中转节点存储该登录凭证,当接收到第一认证重定向请求时,中转节点获取预先存储的登陆凭证。
S17:发送第一业务访问凭证获取请求。
具体地,中转节点根据认证节点的域名信息向认证节点发送第一业务访问凭证获取请求,第一业务访问凭证获取请求中可以携带第一业务节点的域名信息。
S18:验证登陆凭证,生成第一业务访问凭证。
具体地,认证节点接收到第二业务访问凭证获取请求,进行登录验证,登录验证通过时,生成第一业务访问凭证,并存储第一业务访问凭证与第一业务节点的域名对应关系。
S19:发送第一业务访问凭证。
具体地,认证节点向中转节点发送第一业务访问凭证。
S20:发送第一业务访问凭证。
具体地,中转节点接收到第一业务访问凭证后,向第一业务节点发送第一业务访问凭证。
S21:验证第一业务访问凭证。
具体地,第一业务节点接收到第一业务访问凭证后,可以将第一业务访问凭证发送到认证节点,认证节点验证第一业务凭证是否与第一业务节点的域名对应存储,如果是,则验证通过,认证节点向第一业务节点发送验证通过结果,第一业务节点允许终端访问。
S22:发送第一会话口令。
S23:发送会话口令。
S24:通过会话口令进行会话。
具体地,认证节点可以生成第一会话口令,将第一会话口令发送给第一业务节点,第一业务节点将第一会话口令发送给中转节点,由中转节点发送给终端,这样,终端可以利用第一会话口令与第一业务节点进行会话。
本发明实施例提供的业务管理方法可以应用于云平台中,例如专有云网络中,目前在专有云网络中存在各式各类的运维运营系统,终端需要访问各种运系统,如果在不同的域名对应的业务节点中需要利用用户身份认证信息进行身份验证,操作繁琐,而使用本发明实施例提供的业务管理方法,即使各个应用系统的域名不同,也可以实现单点登录,即用户只需要登录一次认证节点就可以访问所有相互信任的不同域名的业务节点。例如,假设第一业务节点的域名为a.com,第二业务节点的域名为b.com,那么对于现有的单点登录方法,由于登录业务节点的登录凭证是与域名进行绑定的,在访问第二业务节点时,如果还需要访问第一业务节点,则需要重新输入身份认证信息进行登录,而采用本发明实施例提供的业务管理方法,登录凭证是终端请求访问第二业务节点时,认证节点返回给中转节点的,是登录认证节点的登录凭证,这样,在访问第二业务节点时,如果需要访问第一业务节点,则中转节点可以获取登录凭证,利用登录凭证获取认证节点发放的第一业务节点的访问凭证。因此,在访问第一业务节点时,无需再次输入用户身份认证信息,且登录凭证存储在中转节点中,由业务管理系统内部完成利用登录凭证换取第一业务访问凭证的过程,减少了终端的负载。
如图4所示,为一些实施例中业务管理系统与各个节点组成的系统的框架示意图。包括中转节点121、认证节点122、A业务节点401、B业务节点402、 C业务节点403、键值数据库404、登录界面生成节点405以及用户身份认证信息存储节点406,中转节点121可以与各个业务节点进行通信,例如向业务节点发送业务访问请求、发送业务访问凭证、接收业务节点返回的会话口令等。中转节点121还可以与认证中心122进行通信,例如发送业务凭证获取请求、接收业务访问凭证、发送用户身份认证信息等。认证中心122接收到业务凭证获取请求时,若判断终端还未登陆,则可以通过登陆界面生成节点405生成登陆界面,返回给中转节点121,由中转节点121发送登录界面给终端,以使得用户可以在登录界面上输入用户身份认证信息。登录界面生成节点405接收到用户身份认证信息后,可以发送到用户身份认证信息存储节点406,由用户身份认证信息存储节点406判断终端中用户输入的用户身份认证信息是否与用户身份认证信息存储节点406中存储的用户身份认证信息一致,如果一致,则身份认证通过,生成登录凭证,认证节点122将登录凭证验证信息存储到键值数据库404中。中转节点121接收到登录凭证后,可以将登录凭证中的登录字符串发送到用户身份认证信息存储节点406中进行验证。
如图5所示,在一些实施例中,提出了一种业务管理方法,本实施例主要以该方法应用于上述图5中的中转节点121来举例说明。具体可以包括以下步骤:
步骤S502,接收终端发送的访问第一业务节点的第一业务访问请求。
步骤S504,根据第一业务访问请求获取预存储的登录凭证,登录凭证为终端在请求访问第二业务节点时从认证节点返回的。
步骤S506,向认证节点发送第一业务访问凭证获取请求,第一业务访问凭证获取请求携带第一业务节点对应的第一标识信息以及登录凭证,以使得认证节点根据登录凭证进行登录验证,当登录验证通过时,根据第一标识信息生成第一业务节点的第一业务访问凭证。
步骤S508,接收认证节点发送的第一业务访问凭证,向第一业务节点发送第一业务访问凭证,以使得第一业务节点根据第一业务访问凭证进行访问验证,当访问验证通过时,允许终端进行第一业务访问。
在一些实施例中,如图6所示,业务管理方法还包括:
步骤S602,接收终端发送的访问第二业务节点的第二业务访问请求,根据第二业务访问请求向认证节点发送第二业务访问凭证获取请求,第二业务访问凭证获取请求携带第二业务节点对应的第二标识信息。
步骤S604,接收认证节点根据第二业务访问凭证获取请求发送的终端对应的用户身份认证信息获取请求。
步骤S606,根据用户身份认证信息获取请求获取终端对应的用户身份认证信息,将用户身份认证信息发送给认证节点,以使得认证节点根据用户身份认证信息进行身份认证,当身份认证通过时,生成终端对应的登录凭证以及根据第二标识信息生成第二业务节点的第二业务访问凭证;
步骤S608,接收认证节点发送的第二业务访问凭证以及登录凭证,向第二业务节点发送第二业务访问凭证,以使得第二业务节点根据第二业务访问凭证进行访问验证,当访问验证通过时,允许终端进行第二业务访问。
在一些实施例中,如图7所示,业务管理方法还包括:
步骤S702,接收第一业务节点发送的会话口令,会话口令是第一业务节点根据第一业务访问凭证进行访问验证,当访问验证通过时返回的。
步骤S704,将会话口令发送给终端,以使得终端根据会话口令与第一业务节点进行会话。
在一些实施例中,步骤S504即根据第一业务访问请求获取预存储的登录凭证包括:将第一业务访问请求发送到第一业务节点,接收第一业务节点根据第一业务访问请求返回的第一认证重定向请求,根据第一认证重定向请求获取预存储的登录凭证。
如图8所示,在一些实施例中,提供了一种业务管理装置,该业务管理装置可以集成于上述的中转节点121中,具体可以包括第一业务访问请求接收模块802、登录凭证获取模块804、第一业务访问凭证获取请求发送模块806以及第一业务访问凭证接收模块808。
第一业务访问请求接收模块802,用于接收终端发送的访问第一业务节点的第一业务访问请求。
登录凭证获取模块804,用于根据第一业务访问请求获取预存储的登录凭证,登录凭证为终端在请求访问第二业务节点时从认证节点返回的。
第一业务访问凭证获取请求发送模块806,用于向认证节点发送第一业务访问凭证获取请求,第一业务访问凭证获取请求携带第一业务节点对应的第一标识信息以及登录凭证,以使得认证节点根据登录凭证进行登录验证,当登录验证通过时,根据第一标识信息生成第一业务节点的第一业务访问凭证。
第一业务访问凭证接收模块808,用于接收认证节点发送的第一业务访问凭证,向第一业务节点发送第一业务访问凭证,以使得第一业务节点根据第一业务访问凭证进行访问验证,当访问验证通过时,允许终端进行第一业务访问。
在一些实施例中,如图9所示,业务管理装置还包括:
第二业务访问请求接收模块902,用于接收终端发送的访问第二业务节点的第二业务访问请求,根据第二业务访问请求向认证节点发送第二业务访问凭证获取请求,第二业务访问凭证获取请求携带第二业务节点对应的第二标识信息。
用户身份认证信息获取请求接收模块904,用于接收认证节点根据第二业务访问凭证获取请求发送的终端对应的用户身份认证信息获取请求。
用户身份认证信息获取模块906,用于根据用户身份认证信息获取请求获取终端对应的用户身份认证信息,将用户身份认证信息发送给认证节点,以使得认证节点根据用户身份认证信息进行身份认证,当身份认证通过时,生成终端对应的登录凭证以及根据第二标识信息生成第二业务节点的第二业务访问凭证。
登录凭证接收模块908,用于接收认证节点发送的第二业务访问凭证以及登录凭证,向第二业务节点发送第二业务访问凭证,以使得第二业务节点根据第二业务访问凭证进行访问验证,当访问验证通过时,允许终端进行第二业务访问。
在一些实施例中,业务管理装置还包括:会话口令接收模块,用于接收第一业务节点发送的会话口令,会话口令是第一业务节点根据第一业务访问凭证进行访问验证,当访问验证通过时返回的。会话口令发送模块,用于将会话口令发送给终端,以使得终端根据会话口令与第一业务节点进行会话。
在一些实施例中,登录凭证获取模块804用于:将第一业务访问请求发送到第一业务节点,接收第一业务节点根据第一业务访问请求返回的第一认证重定向请求,根据第一认证重定向请求获取预存储的登录凭证。
图10示出了一些实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的中转节点121。如图10所示,该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现业务管理方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行业务管理方法。本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一些实施例中,本申请提供的业务管理装置可以实现为一种计算机程序的形式,计算机程序可在如图10所示的计算机设备上运行。计算机设备的存储器中可存储组成该业务管理装置的各个程序模块,比如,图8所示的第一业务访问请求接收模块802、登录凭证获取模块804、第一业务访问凭证获取请求发送模块806以及第一业务访问凭证接收模块808。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的业务管理方法中的步骤。例如,图10所示的计算机设备可以通过如图8 所示的业务管理装置中的第一业务访问请求接收模块802接收终端发送的访问第一业务节点的第一业务访问请求。通过登录凭证获取模块804根据第一业务访问请求获取预存储的登录凭证,登录凭证为终端在请求访问第二业务节点时从认证节点返回的。通过第一业务访问凭证获取请求发送模块806向认证节点发送第一业务访问凭证获取请求,第一业务访问凭证获取请求携带第一业务节点对应的第一标识信息以及登录凭证,以使得认证节点根据登录凭证进行登录验证,当登录验证通过时,根据第一标识信息生成第一业务节点的第一业务访问凭证。通过第一业务访问凭证接收模块808接收认证节点发送的第一业务访问凭证,向第一业务节点发送第一业务访问凭证,以使得第一业务节点根据第一业务访问凭证进行访问验证,当访问验证通过时,允许终端进行第一业务访问。
在一些实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述业务管理方法的步骤。此处业务管理方法的步骤可以是上述各个实施例的业务管理方法中的步骤。
在一些实施例中,提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述业务管理方法的步骤。此处业务管理方法的步骤可以是上述各个实施例的业务管理方法中的步骤。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器 (RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM (DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (15)
1.一种业务管理系统,所述业务管理系统包括中转节点以及多个认证节点,其中,
所述中转节点,将不同业务节点的内容对应的内容标识集成在网络页面中,以通过所述内容标识接收针对业务节点的访问操作;所述业务节点包括第一业务节点以及第二业务节点,所述第一业务节点的域名与所述第二业务节点的域名不同;
所述认证节点,在所述中转节点发送第二业务节点对应的第二业务访问凭证获取请求时,若所述第二业务访问凭证获取请求没有携带登录凭证,则获取所述中转节点发送的终端对应的用户身份认证信息,当所述用户身份认证信息验证通过,则生成登录凭证以及所述登录凭证对应的登录凭证验证信息,将所述登录凭证与所述登录凭证验证信息对应存储,向所述中转节点返回所述终端对应的所述登录凭证以及所述第二业务节点的第二业务访问凭证,所述登录凭证是用于登录所述认证节点的凭据,所述第二业务访问凭证是用于访问所述第二业务节点的凭证;所述登录凭证包括生成的登录字符串;所述登录字符串是根据用户身份认证信息以及随机数进行哈希计算得到的;
所述中转节点,接收所述终端发送的访问第一业务节点的第一业务访问请求,根据所述第一业务访问请求获取预存储的所述登录凭证,向所述认证节点发送第一业务访问凭证获取请求,所述第一业务访问凭证获取请求携带所述第一业务节点对应的第一标识信息以及所述登录凭证;
所述认证节点,根据所述登录凭证中的所述登录字符串查询是否存在登录验证对象,若存在,则登录验证通过,根据所述第一标识信息生成所述第一业务节点的所述第一业务访问凭证;
所述中转节点,接收所述认证节点发送的所述第一业务访问凭证,向所述第一业务节点发送所述第一业务访问凭证,以使得所述第一业务节点根据所述第一业务访问凭证进行访问验证,当访问验证通过时,允许所述终端进行第一业务访问。
2.根据权利要求1所述的系统,其特征在于,
所述中转节点,接收所述第一业务节点发送的会话口令,所述会话口令是所述第一业务节点根据所述第一业务访问凭证进行访问验证,当访问验证通过时发送给所述中转节点的;
所述中转节点,将所述会话口令发送给所述终端,以使得所述终端根据所述会话口令与所述第一业务节点进行会话。
3.根据权利要求2所述的系统,其特征在于,
所述认证节点,接收所述第一业务节点发送的业务访问凭证验证请求,对所述第一业务访问凭证进行验证,当业务访问凭证验证通过时,获取所述会话口令,将所述会话口令发送给所述第一业务节点,其中,所述会话口令是根据所述终端对应的用户身份认证信息进行哈希计算生成的。
4.根据权利要求1所述的系统,其特征在于,所述根据所述第一业务访问请求获取预存储的登录凭证包括:
将所述第一业务访问请求发送到所述第一业务节点,接收所述第一业务节点根据所述第一业务访问请求返回的第一认证重定向请求,根据所述第一认证重定向请求获取预存储的登录凭证。
5.根据权利要求1所述的系统,其特征在于,
所述中转节点,接收所述终端发送的访问所述第二业务节点的第二业务访问请求,根据所述第二业务访问请求向所述认证节点发送第二业务访问凭证获取请求,所述第二业务访问凭证获取请求携带所述第二业务节点对应的第二标识信息;
所述认证节点,根据所述第二业务访问凭证获取请求向所述中转节点发送所述终端对应的用户身份认证信息获取请求;
所述中转节点,根据所述用户身份认证信息获取请求获取所述终端对应的用户身份认证信息,将所述用户身份认证信息发送给所述认证节点;
所述认证节点,根据所述用户身份认证信息进行身份认证,当身份认证通过时,生成所述终端对应的登录凭证以及根据所述第二标识信息生成所述第二业务节点的所述第二业务访问凭证;
所述中转节点,接收所述认证节点发送的所述登录凭证以及所述第二业务访问凭证,向所述第二业务节点发送所述第二业务访问凭证,以使得所述第二业务节点根据所述第二业务访问凭证进行访问验证,当访问验证通过时,允许所述终端进行第二业务访问。
6.一种业务管理方法,应用于业务管理系统中的中转节点,所述业务管理系统包括多个认证节点,所述方法包括:
将不同业务节点的内容对应的内容标识集成在网络页面中,以通过所述内容标识接收针对业务节点的访问操作;所述业务节点包括第一业务节点以及第二业务节点,所述第一业务节点的域名与所述第二业务节点的域名不同;
向认证节点发送第二业务节点对应的第二业务访问凭证获取请求,以使得所述认证节点在所述第二业务访问凭证获取请求没有携带登录凭证时,则获取终端对应的用户身份认证信息,当所述用户身份认证信息验证通过,则生成登录凭证以及所述登录凭证对应的登录凭证验证信息,将所述登录凭证与所述登录凭证验证信息对应存储,向所述中转节点返回所述终端对应的所述登录凭证以及所述第二业务节点的第二业务访问凭证,所述登录凭证是用于登录所述认证节点的凭据,所述第二业务访问凭证是用于访问所述第二业务节点的凭证;所述登录凭证包括生成的登录字符串;所述登录字符串是根据用户身份认证信息以及随机数进行哈希计算得到的;
接收终端发送的访问第一业务节点的第一业务访问请求;
根据所述第一业务访问请求获取预存储的所述登录凭证;
向所述认证节点发送第一业务访问凭证获取请求,所述第一业务访问凭证获取请求携带所述第一业务节点对应的第一标识信息以及所述登录凭证,以使得所述认证节点根据所述登录凭证中的所述登录字符串查询是否存在登录验证对象,若存在,则登录验证通过时,根据所述第一标识信息生成所述第一业务节点的所述第一业务访问凭证;
接收所述认证节点发送的所述第一业务访问凭证,向所述第一业务节点发送所述第一业务访问凭证,以使得所述第一业务节点根据所述第一业务访问凭证进行访问验证,当访问验证通过时,允许所述终端进行第一业务访问。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收所述终端发送的访问所述第二业务节点的第二业务访问请求,根据所述第二业务访问请求向所述认证节点发送第二业务访问凭证获取请求,所述第二业务访问凭证获取请求携带所述第二业务节点对应的第二标识信息;
接收所述认证节点根据所述第二业务访问凭证获取请求发送的所述终端对应的用户身份认证信息获取请求;
根据所述用户身份认证信息获取请求获取所述终端对应的用户身份认证信息,将所述用户身份认证信息发送给所述认证节点,以使得所述认证节点根据所述用户身份认证信息进行身份认证,当身份认证通过时,生成所述终端对应的登录凭证以及根据所述第二标识信息生成所述第二业务节点的所述第二业务访问凭证;
接收所述认证节点发送的所述第二业务访问凭证以及所述登录凭证,向所述第二业务节点发送所述第二业务访问凭证,以使得所述第二业务节点根据所述第二业务访问凭证进行访问验证,当访问验证通过时,允许所述终端进行第二业务访问。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收所述第一业务节点发送的会话口令,所述会话口令是所述第一业务节点根据所述第一业务访问凭证进行访问验证,当访问验证通过时返回的;
将所述会话口令发送给所述终端,以使得所述终端根据所述会话口令与所述第一业务节点进行会话。
9.根据权利要求6所述的方法,其特征在于,所述根据所述第一业务访问请求获取预存储的所述登录凭证包括:
将所述第一业务访问请求发送到所述第一业务节点,接收所述第一业务节点根据所述第一业务访问请求返回的第一认证重定向请求,根据所述第一认证重定向请求获取预存储的登录凭证。
10.一种业务管理装置,设置在业务管理系统中的中转节点,所述业务管理系统包括多个认证节点,所述装置用于:
将不同业务节点的内容对应的内容标识集成在网络页面中,以通过所述内容标识接收针对业务节点的访问操作;所述业务节点包括第一业务节点以及第二业务节点,所述第一业务节点的域名与所述第二业务节点的域名不同;
向认证节点发送第二业务节点对应的第二业务访问凭证获取请求,以使得所述认证节点在所述第二业务访问凭证获取请求没有携带登录凭证时,则获取终端对应的用户身份认证信息,当所述用户身份认证信息验证通过,则生成登录凭证以及所述登录凭证对应的登录凭证验证信息,将所述登录凭证与所述登录凭证验证信息对应存储,向所述中转节点返回所述终端对应的所述登录凭证以及所述第二业务节点的第二业务访问凭证,所述登录凭证是用于登录所述认证节点的凭据,所述第二业务访问凭证是用于访问所述第二业务节点的凭证;所述登录凭证包括生成的登录字符串;所述登录字符串是根据用户身份认证信息以及随机数进行哈希计算得到的;
所述装置包括:
第一业务访问请求接收模块,用于接收终端发送的访问第一业务节点的第一业务访问请求;
登录凭证获取模块,用于根据所述第一业务访问请求获取预存储的登录凭证;
第一业务访问凭证获取请求发送模块,用于向所述认证节点发送第一业务访问凭证获取请求,所述第一业务访问凭证获取请求携带所述第一业务节点对应的第一标识信息以及所述登录凭证,以使得所述认证节点根据所述登录凭证进行登录验证,当登录验证通过时,根据所述第一标识信息生成所述第一业务节点的所述第一业务访问凭证;
第一业务访问凭证接收模块,用于接收所述认证节点发送的所述第一业务访问凭证,向所述第一业务节点发送所述第一业务访问凭证,以使得所述第一业务节点根据所述登录凭证中的所述登录字符串查询是否存在登录验证对象,若存在,则访问验证通过时,允许所述终端进行第一业务访问。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第二业务访问请求接收模块,用于接收所述终端发送的访问所述第二业务节点的第二业务访问请求,根据所述第二业务访问请求向所述认证节点发送第二业务访问凭证获取请求,所述第二业务访问凭证获取请求携带所述第二业务节点对应的第二标识信息;
用户身份认证信息获取请求接收模块,用于接收所述认证节点根据所述第二业务访问凭证获取请求发送的所述终端对应的用户身份认证信息获取请求;
用户身份认证信息获取模块,用于根据所述用户身份认证信息获取请求获取所述终端对应的用户身份认证信息,将所述用户身份认证信息发送给所述认证节点,以使得所述认证节点根据所述用户身份认证信息进行身份认证,当身份认证通过时,生成所述终端对应的登录凭证以及根据所述第二标识信息生成所述第二业务节点的所述第二业务访问凭证;
登录凭证接收模块,用于接收所述认证节点发送的所述第二业务访问凭证以及所述登录凭证,向所述第二业务节点发送所述第二业务访问凭证,以使得所述第二业务节点根据所述第二业务访问凭证进行访问验证,当访问验证通过时,允许所述终端进行第二业务访问。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括:
会话口令接收模块,用于接收所述第一业务节点发送的会话口令,所述会话口令是所述第一业务节点根据所述第一业务访问凭证进行访问验证,当访问验证通过时返回的;
会话口令发送模块,用于将所述会话口令发送给所述终端,以使得所述终端根据所述会话口令与所述第一业务节点进行会话。
13.根据权利要求10所述的装置,其特征在于,所述登录凭证获取模块用于:
将所述第一业务访问请求发送到所述第一业务节点,接收所述第一业务节点根据所述第一业务访问请求返回的第一认证重定向请求,根据所述第一认证重定向请求获取预存储的登录凭证。
14.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求6至9中任一项权利要求所述业务管理方法的步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求6至9中任一项权利要求所述业务管理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910216081.1A CN110213223B (zh) | 2019-03-21 | 2019-03-21 | 业务管理方法、装置、系统、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910216081.1A CN110213223B (zh) | 2019-03-21 | 2019-03-21 | 业务管理方法、装置、系统、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110213223A CN110213223A (zh) | 2019-09-06 |
CN110213223B true CN110213223B (zh) | 2022-03-01 |
Family
ID=67785130
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910216081.1A Active CN110213223B (zh) | 2019-03-21 | 2019-03-21 | 业务管理方法、装置、系统、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110213223B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110704823A (zh) * | 2019-09-10 | 2020-01-17 | 平安科技(深圳)有限公司 | 数据请求方法、装置、存储介质及电子设备 |
CN110868459B (zh) * | 2019-11-01 | 2021-11-02 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置、终端及存储介质 |
CN110995661B (zh) * | 2019-11-12 | 2022-04-01 | 广州大白互联网科技有限公司 | 一种网证平台 |
CN111488598B (zh) * | 2020-04-09 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
CN111447245A (zh) * | 2020-05-27 | 2020-07-24 | 杭州海康威视数字技术股份有限公司 | 一种认证方法、装置、电子设备和服务端 |
CN114640671A (zh) * | 2020-12-01 | 2022-06-17 | 马上消费金融股份有限公司 | 一种服务组件的管理方法、服务器和电子设备 |
CN114745145B (zh) * | 2021-01-07 | 2023-04-18 | 腾讯科技(深圳)有限公司 | 业务数据访问方法、装置和设备及计算机存储介质 |
CN113259429B (zh) * | 2021-05-11 | 2023-12-05 | 鸬鹚科技(深圳)有限公司 | 会话保持管控方法、装置、计算机设备及介质 |
CN113395289A (zh) * | 2021-06-30 | 2021-09-14 | 北京奇艺世纪科技有限公司 | 一种认证方法、装置、电子设备及存储介质 |
CN114640542B (zh) * | 2022-04-22 | 2024-02-27 | 在线途游(北京)科技有限公司 | 一种用于保证企业登录凭证安全的方法和系统 |
CN115550067B (zh) * | 2022-11-28 | 2023-03-31 | 北京泰尔英福科技有限公司 | 基于分布式标识的工业互联网互操作方法、系统及设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7340525B1 (en) * | 2003-01-24 | 2008-03-04 | Oracle International Corporation | Method and apparatus for single sign-on in a wireless environment |
CN101277193A (zh) * | 2008-05-05 | 2008-10-01 | 北京航空航天大学 | 基于面向服务架构认证服务代理的信息门户单点登录和访问系统 |
CN101431654A (zh) * | 2008-12-12 | 2009-05-13 | 天柏宽带网络科技(北京)有限公司 | 一种实现认证的方法和系统 |
CN103685282A (zh) * | 2013-12-18 | 2014-03-26 | 飞天诚信科技股份有限公司 | 一种基于单点登录的身份认证方法 |
CN109413032A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种单点登录方法、计算机可读存储介质及网关 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8863262B2 (en) * | 2008-08-20 | 2014-10-14 | Yellowpages.Com Llc | Systems and methods to provide information and services to authorized users |
CN103812837B (zh) * | 2012-11-12 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 一种电子凭证发送方法 |
CN104052616B (zh) * | 2013-03-15 | 2018-09-04 | 深圳市腾讯计算机系统有限公司 | 一种对互联网数据中心中的业务进行管理的方法及系统 |
CN107135218B (zh) * | 2017-05-04 | 2021-06-11 | 腾讯科技(深圳)有限公司 | 登录态获取、发送方法、凭证配置方法、客户端及服务器 |
-
2019
- 2019-03-21 CN CN201910216081.1A patent/CN110213223B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7340525B1 (en) * | 2003-01-24 | 2008-03-04 | Oracle International Corporation | Method and apparatus for single sign-on in a wireless environment |
CN101277193A (zh) * | 2008-05-05 | 2008-10-01 | 北京航空航天大学 | 基于面向服务架构认证服务代理的信息门户单点登录和访问系统 |
CN101431654A (zh) * | 2008-12-12 | 2009-05-13 | 天柏宽带网络科技(北京)有限公司 | 一种实现认证的方法和系统 |
CN103685282A (zh) * | 2013-12-18 | 2014-03-26 | 飞天诚信科技股份有限公司 | 一种基于单点登录的身份认证方法 |
CN109413032A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种单点登录方法、计算机可读存储介质及网关 |
Also Published As
Publication number | Publication date |
---|---|
CN110213223A (zh) | 2019-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213223B (zh) | 业务管理方法、装置、系统、计算机设备和存储介质 | |
US10771459B2 (en) | Terminal apparatus, server apparatus, blockchain and method for FIDO universal authentication using the same | |
US11610019B2 (en) | Information management method, apparatus, and information management system | |
US10425420B2 (en) | Method of and system for generating user profiles | |
US8763101B2 (en) | Multi-factor authentication using a unique identification header (UIDH) | |
CN110535971B (zh) | 基于区块链的接口配置处理方法、装置、设备及存储介质 | |
US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
Mukta et al. | Blockchain-based verifiable credential sharing with selective disclosure | |
CN109196500B (zh) | 对基于云的服务的基于统一vpn和身份的认证 | |
US10805083B1 (en) | Systems and methods for authenticated communication sessions | |
CN110990883A (zh) | 数据访问方法、装置、计算机可读存储介质和计算机设备 | |
CN110661788A (zh) | 登录鉴权管理系统、登陆方法、登陆装置、设备及存储介质 | |
CN112953745A (zh) | 服务调用方法、系统、计算机设备和存储介质 | |
CN112651044B (zh) | 基于区块链技术的业务交易方法、系统及存储介质 | |
CN110611725A (zh) | 节点访问方法、装置、计算机设备和存储介质 | |
US20240007457A1 (en) | Time-based token trust depreciation | |
CN109101841A (zh) | 一种数据处理方法、装置、系统、计算机设备和存储介质 | |
US10542569B2 (en) | Community-based communication network services | |
US11539711B1 (en) | Content integrity processing on browser applications | |
CN111147235A (zh) | 对象访问方法、装置、电子设备及机器可读存储介质 | |
CN107343028B (zh) | 一种基于http协议的通信方法及系统 | |
US10057252B1 (en) | System for secure communications | |
US20220006815A1 (en) | System and method for enabling a user to obtain authenticated access to an application using a biometric combination lock | |
WO2022193494A1 (zh) | 权限控制方法及服务器、终端、存储介质和计算机程序 | |
US11275867B1 (en) | Content integrity processing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |