CN110636057B - 一种应用访问方法、装置和计算机可读存储介质 - Google Patents
一种应用访问方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN110636057B CN110636057B CN201910854906.2A CN201910854906A CN110636057B CN 110636057 B CN110636057 B CN 110636057B CN 201910854906 A CN201910854906 A CN 201910854906A CN 110636057 B CN110636057 B CN 110636057B
- Authority
- CN
- China
- Prior art keywords
- information
- application
- accessed
- authorization
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例公开了一种应用访问方法、装置和计算机可读存储介质,其中,本申请实施例可以接收待访问应用的授权同意指令;基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;基于所述访问接口信息,对所述待访问应用进行访问。从而可以安全、高效地访问应用。
Description
技术领域
本申请涉及通信的技术领域,具体涉及一种应用访问方法、装置和计算机可读存储介质。
背景技术
网站应用访问的目的就是用户在进行操作前,对用户的身份进行识别并判断其是否具有操作权限的过程。目前,用户每进入一个网站都要进行一次身份验证,每次身份验证都需要相应的用户名和密码,导致操作繁琐、用户体验不佳。比如,企业可以基于办公通讯应用平台来实现自动化办公,提高了效率和便利性。但是用户进入同一个办公通讯应用平台内的不同内部服务程序,都需要与内部服务程序相应的用户名和密码进行验证,操作繁琐,导致用户办公体验不佳。
发明内容
有鉴于此,本申请实施例提供了一种应用访问方法、装置和计算机可读存储介质,可以安全高效地访问应用。
第一方面,本申请实施例提供了一种应用访问方法,适用于终端,包括:
接收待访问应用的授权同意指令;
基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;
接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;
基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;
基于所述访问接口信息,对所述待访问应用进行访问。
相应地,本申请实施例还提供了一种应用访问方法,适用于信息系统,所述信息系统是用户所在组织机构的信息系统,包括:
接收来自终端的授权请求,所述授权请求携带待访问应用标识信息;
基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限;
向所述终端返回所述授权信息;
接收所述终端基于所述授权信息返回的访问请求;
基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息。
相应地,本申请实施例还提供了一种应用访问方法,适用于待访问应用的代理服务器,包括:
从信息系统中获取用户信息和待访问应用标识信息;
基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性;
当验证通过时,获取所述待访问应用的访问接口信息;基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限;
向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。
第二方面,本申请的实施例提供了一种应用访问装置,适用于终端,包括:
指令接收单元,用于接收待访问应用的授权同意指令;
发送单元,用于基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;
授权信息获取单元,用于接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;
接口信息获取单元,用于基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;
访问单元,用于基于所述访问接口信息,对所述待访问应用进行访问。
相应地,本申请的实施例还提供了一种应用访问装置,适用于信息系统,包括:
指令接收单元,用于接收来自终端的授权请求,所述授权请求携带待访问应用标识信息;
生成单元,用于基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限;
返回单元,用于向所述终端返回所述授权信息;
请求接收单元,用于接收所述终端基于所述授权信息返回的访问请求;
发送单元,用于基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息。
相应地,本申请的实施例还提供了一种应用访问装置,适用于待访问应用的代理服务器,包括:
用户信息获取单元,用于从信息系统中获取用户信息和待访问应用标识信息;
验证单元,用于基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性;
接口信息获取单元,用于当验证通过时,获取所述待访问应用的访问接口信息;
权限获取单元,用于基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限;
发送单元,用于向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。
第三方面,本申请的实施例提供的计算机可读存储介质,其上存储有计算机程序,当计算机程序在计算机上运行时,使得计算机执行如本申请任一实施例提供的应用访问方法。
本申请实施例可以接收待访问应用的授权同意指令;基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;基于所述访问接口信息,对所述待访问应用进行访问。本申请实施例可以通过向信息系统申请具有时间期限的授权信息,来获取访问待访问应用的访问接口信息,无需为每一个待访问应用设置账号和密码,从而简化了访问应用时的鉴权操作,提高了应用访问的效率,而且使用具有时间期限的授权信息来获取访问接口,而不是直接将信息系统的账号和密码授予代理服务器,有利于保障信息系统的安全性。从而本发明可以安全高效地访问应用。可以安全高效地访问应用。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的应用访问系统的场景示意图;
图2a是本发明实施例提供的应用访问方法的第一种流程示意图;
图2b是本发明实施例提供的应用访问方法的第二种流程示意图;
图2c是本发明实施例提供的应用访问方法的第三种流程示意图;
图2d是本发明实施例提供的应用访问方法的第三种流程示意图;
图3a是本发明实施例提供的应用访问装置的第一种结构示意图;
图3b是本发明实施例提供的应用访问装置的第二种结构示意图;
图3c是本发明实施例提供的应用访问装置的第三种结构示意图;
图4是本发明实施例提供的应用访问系统的终端的架构示意图;
图5a是本发明实施例提供的应用访问系统为区块链系统时,所述区块链系统的一种结构示意图;
图5b是本发明实施例提供的应用访问系统区块结构的一种示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种应用访问方法、装置和计算机可读存储介质。
本发明的实施例提供了一种应用访问系统,包括本发明实施例任一提供的应用访问装置,该应用访问装置具体可集成在终端中,该终端可以包括:适用于待访问应用终端的应用访问装置(可以称为第一应用访问装置)、适用于信息系统的服务器的应用访问装置(可以称为第二应用访问装置)、适用于待访问应用的代理服务器的应用访问装置(可以称为第三应用访问装置),三者可以通过网络链接。
比如,参考图1,应用访问系统可以包括服务器(如消息系统的服务器、待访问应用的代理服务器)和待访问应用终端。
其中,待访问应用终端可以为手机、平板电脑、笔记本电脑等终端设备,也可以为穿戴设备、智能音箱、智能家电等智能终端。
下面将以消息系统的服务器、待访问应用的代理服务器和待访问应用终端位于一个待访问应用系统为例来介绍本发明所述的应用访问方法。
其中,终端可以接收待访问应用的授权同意指令;基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;基于所述访问接口信息,对所述待访问应用进行访问。从而可以提高用户应用访问的效率。
其中,消息系统的服务器可以接收来自终端的授权请求,所述授权请求携带待访问应用标识信息;基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限;向所述终端返回所述授权信息;接收所述终端基于所述授权信息返回的访问请求;基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息。
其中,待访问应用的代理服务器可以从信息系统中获取用户信息和待访问应用标识信息;基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性;当验证通过时,获取所述待访问应用的访问接口信息;基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限;向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。
在一实施例中,本发明实施例涉及的应用访问系统可以是由客户端(包括待访问应用的终端)、多个节点(接入网络中的任意形式的计算设备,包括消息系统的服务器和待访问应用的代理服务器)通过网络通信的形式连接形成的分布式系统。
以该应用访问系统为区块链系统为例,参见图5a,图5a是本发明实施例提供的应用访问系统应用于区块链系统的一个可选的结构示意图,由多个节点(包括消息系统的服务器和待访问应用的代理服务器)和客户端(包括待访问应用终端)形成,节点之间形成组成的点对点(P2P,Peer To Peer)网络,P2P协议是一个运行在传输控制协议(TCP,Transmission Control Protocol)协议之上的应用层协议。在分布式系统中,任何机器如服务器、终端都可以加入而成为节点,节点包括硬件层、中间层、操作系统层和应用层。
参见图5a示出的区块链系统中各节点的功能,涉及的功能包括:
1)路由,节点具有的基本功能,用于支持节点之间的通信(通信包括授权请求、访问请求等信息的发送、接收)。路由可以通过节点在局域网中的网络协议地址、节点中应用的应用标识等实现。
节点除具有路由功能外,还可以具有以下功能:
应用,用于部署在区块链中,根据实际业务需求而实现特定业务(比如,本发明进行应用访问),记录实现功能相关的数据(比如,用户信息、授权信息、访问接口信息等)形成记录数据,在记录数据中携带数字签名以表示任务数据的来源,将记录数据发送到区块链系统中的其他节点,供其他节点在验证记录数据来源以及完整性成功时,将记录数据添加到临时区块中。其中,应用可以包括服务器中的信息系统程序、终端中的待访问应用程序、代理服务器中的代理程序等。
例如,应用实现的业务包括:
2.1)信息共享,用于提供信息(包括授权请请求、访问请求等携带的信息)的存储、查询和响应等操作的功能,将信息的发送和响应的记录数据发送到区块链系统中的其他节点(比如,信息系统的服务器),其他节点验证有效后,生成信息的响应(比如,授权信息),将记录数据存入临时区块中,还可以向发起操作的节点发送确认。
2.2)智能合约,计算机化的协议,可以执行某个合约的条款,通过部署在共享信息区块链的用于在满足一定条件时而执行的代码实现,根据实际的业务需求代码用于自动化地执行对接收的信息的处理,比如,接收到授权请求后,信息系统的服务器可以根据智能合约,生成授权信息。
3)区块链,包括一系列按照产生的先后时间顺序相互接续的区块(Block),新区块一旦加入到区块链中就不会再被移除,区块中记录了区块链系统中节点提交的记录数据。
参见图5b,图5b是本发明实施例提供的区块结构(Block Structure)一个可选的示意图,每个区块中包括本区块存储信息记录的哈希值(本区块的哈希值)、以及前一区块的哈希值,各区块通过哈希值连接形成区块链。另外,区块中还可以包括有区块生成时的时间戳等信息。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了相关的信息,用于验证其信息的有效性(防伪)和生成下一个区块。
上述图1的例子只是实现本发明实施例的一个系统架构实例,本发明实施例不限于上述图1所示的系统结构,基于该系统架构,提出本发明各个实施例。
以下分别进行详细说明。需说明的是,以下实施例的序号不作为对实施例优选顺序的限定。
本实施例将从第一应用访问装置的角度进行描述,该第一应用访问装置具体可以集成在终端设备中,该终端设备可以是手机、平板电脑、笔记本电脑或个人计算机(PC,Personal Computer)等。
如图2a所示,提供了一种应用访问方法,该方法可以由终端的处理器执行,该应用访问方法的具体流程如下:
101、接收待访问应用的授权同意指令。
在一实施例中,终端的存储器内存储有待访问应用程序,终端的显示界面上设置有待访问应用图标,基于对待访问应用图标的点击操作,显示用户授权页面。其中,待访问应用图标是用户授权页面显示指令的指令接口。
在一实施例中,用户授权页面上设置有授权同意指令的指令接口,其中,指令接口可以包括多种形式,比如,授权同意确认按钮、同意图标(比如对号形图标)、选择框(其中,选择框包括同意和不同意两种选项)等形式。
终端可以基于用户对所述指令接口的点击或者选择操作,获取所述授权同意指令。用户就授予了终端访问信息系统、对信息系统进行操作的权限。
在一实施例中,用户授权页面上还设置有用户授予的权限提示,其中用户授予的权限指的是用户同意授权之后,终端可以对信息系统进行操作的操作权限。比如,用户授权页面上可以显示“授权同意,则可以获取信息系统中的用户组织关系”的提示字样。
在另一实施例中,用户授权页面上还设置有操作权限选择框,终端可以基于用户对于所述选择框的选择操作,获取用户授予终端对于信息系统的系统操作权限。
102、基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统。
其中,信息系统时用户所在组织机构的信息系统,比如,企业的员工系统,员工系统的服务器中存储有员工的基本信息(员工的姓名、照片、年龄、工龄、考勤记录等)比如以及员工在企业中的组织关系(比如,员工所在的部门、员工的职位等级)。
在一实施例中,用户所在的组织机构设置有多种服务应用以及存储有员工信息的信息系统,其中,服务应用是员工用来进行工作的应用,比如,用来进行组织机构内部员工之间通讯的通讯应用、用来存储和查找组织机构内部的工作文件的存储应用,用来管理组织机构内部的工作流程、工作任务的管理应用等多种。待访问应用是组织机构的一种服务应用。
用户要访问信息系统需要使用用户名和密码,用户登录信息系统之后,可以通过信息系统访问多个服务应用,这样,用户登录不同的服务应用时,就不需要多次输入用户名和密码,更不需要为不同的服务应用设置不同的用户密码,可以提高访问服务应用的效率,可以使用户的体验更佳。
在一实施例中,获取授权同意指令之后,终端得到了访问信息系统的权限,终端跳转到信息系统页面。并且在跳转之前生成当前页面标识信息,在发送授权请求时,可以使授权请求携带当前页面标识信息,这样,当访问信息系统结束后,可以根据当前页面标识信息返回当前待访问应用的页面。
在一实施例中,终端在向所述信息系统发送授权请求时,可以携带用户设置的系统操作权限。
在一实施例中,当前页面标识信息可以是回调函数的地址,可以用于返回保留了用户操作的当前页面的标识。例如,当用户成功访问待访问应用之后,在当前页面进行了一些操作(比如,写入、删除等操作),若此时终端因为网络问题或者终端定格死机,较长时间(指超过预设时间)停止访问待访问应用的当前页面,那么再次访问时,需要重新向信息系统发送授权请求以申请授权信息,并且授权请求需要携带当前页面标识信息,以方便收到接口信息时,可以重现用户操作(比如,写入、删除操作)之后的当前页面。
其中,预设时间可以根据授权信息的有效时间期限来设定。
其中,网络问题可以包括终端与待访问应用的服务器之间的网络连接失效。
在一实施例中,由于可以通过信息系统访问的服务应用有很多,为了方便信息系统识别授权请求,可以使授权请求携带待访问应用标识信息。
其中,待访问应用是指该应用向信息系统注册时(可以理解为该应用与信息系统建立访问鉴权关联时),信息系统赋予该应用的唯一的身份标识。
102、接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息。
其中,授权信息是一种信息系统发给终端的授权凭证,表示信息系统允许终端访问和操作。授权信息可以包括数字、图片、字母,及其组合等形式。授权信息的有效时间期限较短,这样,只有在用户同意的时候才可以通过待访问应用访问信息系统,可以降低信息系统信息泄露的风险。
在一实施例中,若授权请求携带当前页面标识信息,那么信息系统返回的授权信息与当前页面标识信息为一一对应的关系,且在信息系统返回授权信息的同时,也需要返回当前页面标识信息。当终端获取到授权信息的同时,可以根据当前页面标识信息返回之前的待访问应用页面。
在一实施例中,若授权请求携带待访问应用标识信息,那么在信息系统返回授权信息的同时,也需要返回当前页面标识信息和待访问应用标识信息,授权信息且与待访问应用标识信息也是一一对应的关系。这样,若终端上设置有多个不同的服务应用,且这些服务应用都向信息系统发送了授权请求,终端可以根据待访问应用标识信息将授权信息发送给相应的待访问应用使用。
在一实施例中,若授权请求携带用户设置的系统操作权限信息,那么信息系统基于所述授权请求生成的所述授权信息可以携带系统操作权限信息,其中,携带系统操作权限信息的方式有多种,比如,可以在授权信息之后添加系统操作权限信息后缀,或者可以基于不同授权信息与不同的系统操作权限是一一对应的关系,使授权信息携带对应的系统操作权限。
103、基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息。
其中,待访问应用的访问接口信息包括,待访问应用的应用程序接口的接口信息。比如,应用程序接口(API,Application Programming Interface)可以是终端的操作系统给待访问应用的应用程序的调用接口,待访问应用的应用程序通过调用终端操作系统的API,而使终端的操作系统,去执行待访问应用的应用程序的命令(动作)。其中,API可以以函数调用的方式提供。
在一实施例中,当终端获取到待访问应用的访问接口信息时,终端可以调用API,执行待访问应用的应用程序的指令,可以通过执行该应用程序指令来显示待访问应用的页面,以及访问待访问应用的服务器。
在一实施例中,基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息,具体可以包括以下步骤:
基于所述授权信息向所述信息系统发送访问请求;
获取所述待访问应用的代理服务器基于用户信息返回的访问接口信息,所述用户信息是所述信息系统基于所述访问请求返回的信息。
其中,访问请求是指待访问应用向信息系统申请用户信息的请求,可以表现为一种http请求。
在一实施例中,该访问请求需要携带授权信息、待访问应用标识信息和当前页面标识信息。终端使用授权信息向信息系统换取用户信息。
其中,用户信息是所述信息系统基于所述访问请求返回的信息,可以包括用户的组织关系信息。
在一实施例中,终端在获得访问接口信息的同时,还可以获得相应的待访问应用标识信息和当前页面标识信息,并且可以根据所述当前页面标识信息返回显示用户授权页面之前的页面。
在一实施例中,为了减少短时间(指不超过预设时间)内多次或者重复请求授权信息,还可以通过如下步骤访问待访问应用:
基于所述待访问应用的代理服务器获取所述信息系统基于所述访问请求返回的用户信息;
将所述用户信息保存在所述终端内存中。
接收待访问应用的授权同意指令;
基于所述授权同意指令,从所述终端内存中获取所述用户信息;
基于所述用户信息向所述待访问应用的代理服务器发送访问请求;
获取所述代理服务器基于用户信息返回的待访问应用的访问接口信息。
例如,若由于终端定格死机或者网络断开等意外情形,导致较短时间内(指不超过预设时间)无法访问或者操作当前页面,终端恢复网络连接或者之后,可以通过终端内存中的用户信息来向代理服务器申请访问接口信息。从而,简化信息系统的交互流程,提高效率。
其中,预设时间可以根据授权信息的有效时间期限来设定。
其中,网络断开可以包括终端与待访问应用的服务器之间的网络连接失效。
在一实施例中,为了防止用户信息过度占用内存,可以设定所述用户信息保存在所述终端内存内具有时间期限,超过时间期限之后,将所述用户信息从内存中删除。其中,该时间期限可以根据授权信息的有效时间期限设定。
104、基于所述访问接口信息,对所述待访问应用进行访问。
其中,待访问应用的访问接口信息包括,待访问应用的应用程序接口的接口信息。关于应用程序接口(API,Application Programming Interface)的作用原理参见上面的实施例,不再赘述。
在一实施例中,当终端获取到待访问应用的访问接口信息时,终端可以调用API,执行待访问应用的应用程序的指令,对所述待访问应用进行访问包括以下两种情形:第一种是可以通过执行该应用程序指令来显示待访问应用的页面;第二种是可以通过执行该应用程序指令访问待访问应用的服务器。
由上可知,本申请实施例可以接收待访问应用的授权同意指令;基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;基于所述访问接口信息,对所述待访问应用进行访问。本申请实施例可以通过向信息系统申请具有时间期限的授权信息,来获取访问待访问应用的访问接口信息,无需为每一个待访问应用设置账号和密码,从而简化了访问应用时的鉴权操作,提高了应用访问的效率,而且使用具有时间期限的授权信息来获取访问接口,而不是直接将信息系统的账号和密码授予代理服务器,有利于保障信息系统的安全性。从而本发明可以安全高效地访问应用。
根据前面实施例所描述的方法,以下将以该应用访问装置具体集成在终端中举例作进一步详细说明。
参考图2b,本发明实施例的应用访问方法的具体流程如下:
201、终端接收待访问应用的授权同意指令。
在一实施例中,可以基于用户在终端的用户授权页面上的点击操作,获取授权同意指令。
其中,终端可以是存储有待访问应用程序的手机、平板电脑、笔记本电脑等终端设备等。
其中,用户授权页面是终端显示的供用户的操作页面。
例如,用户可以对用户授权页面中的授权同意指令接口(比如,确认按钮)进行操作,从而触发授权同意指令;此时,终端将会对该指令进行接收。
202、终端基于所述授权同意指令,向信息系统发送授权请求。
其中,授权请求用于向信息系统请求用户信息。
在一实施例中,授权请求可以携带待访问应用标识信息和当前页面标识信息。其中,待访问应用标识信息和当前页面标识信息的作用参见上面的实施例,不再赘述。
203、终端接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息。
其中,授权信息是信息系统授予终端的允许访问的权限凭证。
在一实施例中,所述授权信息的时间期限可以是事先设定的,为了提高信息系统的安全性,时间期限较短,比如,时间期限可以是10分钟。
204、终端基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息。
其中,访问接口信息额可以用于使终端执行待访问应用的应用程序的指令。
在一实施例中,代理服务器对用户信息的验证通过后,将待访问应用的访问接口信息下发给终端。
205、终端基于所述访问接口信息,对所述待访问应用进行访问。
在一实施例中,终端获得所述访问接口信息,并基于当前页面标识信息返回显示用户授权页面之前的页面,然后开始基于用户在终端页面上的操作执行待访问应用程序的指令。
如图2c所示,提供了另一种应用访问方法,该应用访问方法可以由信息系统的服务器的处理器执行,具体流程可以如下:
301、接收来自终端的授权请求,所述授权请求携带待访问应用标识信息。
其中,待访问应用标识信息可以是该应用向信息系统注册时(可以理解为该应用与信息系统建立访问鉴权关联时),信息系统赋予该应用的唯一的身份标识。
在一实施例中,信息系统可以根据所述待访问应用标识信息,判断该应用之前是否与信息系统建立了访问鉴权关联。若是,则根据授权同意指令,向终端下发授权信息。
302、基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限。
在一实施例中,授权信息是一种信息系统发给终端的随机生成的授权凭证。
在一实施例中,当信息系统的服务器接收到所述授权请求后,可以获取鉴权访问关联应用的标识信息名单,并根据所述标识信息名单和授权请求携带的待访问应用标识信息,判断该应用之前是否与信息系统建立了访问鉴权关联。若是,则生成与所述待访问应用标识信息对应的授权信息。
在一实施例中,所述授权请求还携带有终端的当前页面标识信息。以方便终端在接收授权信息之后,返回待访问的页面。
303、向所述终端返回所述授权信息。
生成授权信息后,即向终端返回授权信息。
在一实施例中,若授权请求包括待访问应用标识信息和当前页面标识信息,那么信息系统在返回授权信息的同时,还要向终端返回待访问应用标识信息和当前页面标识信息。
304、接收所述终端基于所述授权信息返回的访问请求。
其中,所述访问请求是用于获取信息系统中用户在组织机构中的组织关系信息的请求。
在一实施例中,所述访问请求携带所述授权信息和所述待访问应用标识信息,以方便所述信息系统验证访问请求的合法性。
在一实施例中,所述访问请求还携带有当前页面标识信息,以方便终端在接收到访问接口信息后,可以返回待访问页面进行访问。
在另一实施例中,若用户授权页面上设置有操作权限选择框,终端可以基于用户对于所述选择框的选择操作,获取用户授予终端对于信息系统的系统操作权限,终端在向所述信息系统发送授权请求时,可以携带所述系统操作权限,那么信息系统基于所述授权请求生成的所述授权信息可以携带系统操作权限信息,其中,携带系统操作权限信息的方式有多种,比如,可以在授权信息之后添加系统操作权限信息后缀,或者可以基于不同授权信息与不同的系统操作权限是一一对应的关系,使授权信息携带对应的系统操作权限。
305、基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息。
其中,用户信息包括用户在组织机构中的组织关系信息。
在一实施例中,所述访问请求携带待访问应用标识信息、授权信息和所述终端的网络协议地址信息,所述基于所述访问请求获取用户信息,具体可以包括如下步骤:
验证所述待访问应用标识信息与所述授权信息;
当验证通过时,获取所述待访问应用的访问接口信息;根据所述终端的网络协议地址信息,获取所述终端的用户在所述组织机构中的信息,作为用户信息;
向所述待访问应用的代理服务器发送所述用户信息。
在一实施例中,授权信息与待访问应用标识信息是一一对应的关系,信息系统的服务器可以验证授权信息与所述待访问应用标识信息是否对应。
在一实施例中,若所述授权信息携带系统操作权限,还可以验证所述系统操作权限,若系统操作权限包括获取用户信息的权限,则触发获取用户信息的指令。
在一实施例中,信息系统的服务器可以根据终端的网络协议地址信息,
其中,根据所述终端的网络协议地址信息,获取所述终端的用户在所述组织机构中的信息的方法有多种,比如,在一实施例中,所述组织机构可以预先为组织机构内的所有组织人员设置对应的唯一的局域网地址(比如企业内网地址),并根据局域网地址与对应的所述组织人员信息,设置一个地址列表,保存在信息系统的服务器中,信息系统可以地址列表,获取终端的网络协议地址信息对应的组织人员信息,作为用户信息。在另一实施例中,终端可以同时登录待访问应用和信息系统的应用,信息系统的服务器可以根据终端的网络协议地址,确定以同一网络协议地址登录了所述信息系统应用的用户,然后获取其用户信息。
如图2d所示,提供了另一种应用访问方法,该应用访问方法可以由待访问应用的代理服务器的处理器执行,具体流程可以如下:
401、从信息系统中获取用户信息和待访问应用标识信息。
在一实施例中,信息系统通过终端发送的访问请求,获取待访问应用标识信息。当信息系统获取到用户信息之后,触发向代理服务器发送所述用户信息和待访问应用标识信息。
在一实施例中,信息系统还可以通过终端发送的访问请求,获取当前页面标识信息。当信息系统获取到用户信息之后,触发向代理服务器发送所述当前页面标识信息。
在一实施例中,所述代理服务器是嵌入了Nginx-lua模块的服务器,可以允许在Nginx嵌入脚本,进行下面的实施例中的验证和获取应用操作权限的过程。使用代理服务器进行验证和获取应用操作权限,对于待访问应用的应用程序修改较少。
在一实施例中,可以在信息系统中申请一个域名,指向代理服务器,可以在代理服务器中设置一个虚拟名录,设置反向代理到终端。信息系统和终端之间的信息传输也可以通过代理服务器进行,为了提高访问安全性,可以在信息系统服务器、代理服务器和终端中设置加密组件,以对使用代理服务器进行传输的信息进行加密。并在信息系统服务器、代理服务器和终端中设置与加密组件对应的解密组件。
在另一实施例中,终端中不设置待访问应用的程序,仅有待访问应用的服务器的网址。可以在信息系统中申请一个域名,指向代理服务器,可以在代理服务器中设置一个虚拟名录,设置反向代理到待访问应用的服务器。在代理服务器中,获取访问接口信息和权限接口信息之后,可以访问待访问应用的服务器,并读取和执行该服务器中的指令。
402、基于预设用户白名单所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性。
在一实施例中,预设用户白名单是指预先设置的对应关系表格,对应关系是指待访问应用标识信息与组织人员信息的对应关系。代理服务器可以根据预设用户白名单,确定用户是否具有访问待访问应用(不包括对待访问应用进行操作)的权限。
在另一实施例中,用户信息还可以包括用户的违规信息(比如迟到次数、请假次数)等,代理服务器可以根据用户违规信息以及用户访问待访问应用的次数修改所述预设用户白名单,比如,若用户请假超过三次,则不能再登录请假管理系统。
在一实施例中,若验证未通过,则可以将在代理服务器中将用户信息删除,并生成非法提示消息,并根据待访问应用标识信息和当前页面标识信息,向终端返回所述非法提示消息。
403、当验证通过时,获取所述待访问应用的访问接口信息。
在一实施例中,代理服务器可以根据待访问应用标识信息以及访问接口信息的对照表,获取所述待访问应用的访问接口信息,其中,所述对照表可以预先存储在代理服务器的存储器中,也可以通过网络连接从信息系统中获取。
404、基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限。
其中,应用操作权限是指终端用户对于所述待访问应用(包括待访问应用在终端上的程序和所述待访问应用的服务器)进行访问和操作的范围和程度。
其中,预设权限列表内可以设置组织机构内不同部门、职位、以及职位等级的所有组织人员,对于不同的服务应用的操作权限。比如,行政部门人员可以下载和修改考勤管理服务应用中所有人的考勤记录,但是其它部门人员只可以查看自己的考勤记录。代理服务器可以根据所述预设权限列表确定所述用户信息对应的终端用户的应用操作权限。
在一实施例中,用户信息还可以包括用户的违规信息(比如迟到次数、请假次数、出差天数)等,代理服务器可以根据用户违规信息以及用户访问待访问应用的次数修改所述预设权限列表中的操作权限,比如,若用户迟到超过三次,则不能再使用考勤管理系统进行请假。
在另一实施例中,在基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性,若验证通过,则向终端发送所述访问接口信息和用户信息,当用户需要进行操作时,可以根据存储在本地中的用户信息向代理服务器发送权限获取请求,代理服务器获取权限获取请求后,基于预设用户权限列表,验证所述用户信息对应的终端用户对所述待访问应用的应用操作权限。若验证通过,则生成操作指令接口信息,并向终端返回所述操作指令接口信息。若验证不通过,则生成无权限提示信息,并向终端返回所述无权限提示信息。
在另一实施例中,用户可以在用户授权页面设置应用操作权限要求,并在前面的步骤中,基于信息系统向代理服务器发送所述应用操作权限要求,基于预设用户权限列表,验证所述应用操作权限要求是否合法,若合法,则生成操作指令接口信息,并向所述终端发送访问接口信息和操作指令接口信息。
405、向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。
在一实施例中,向终端返回所述待访问应用时,可以同时返回所述用户信息和当前页面标识信息。
在一实施例中,还提供了一种应用访问装置(即第一应用访问装置),该应用访问装置具体可以集成在终端中如待访问应用的终端,如图3a所示,该第一应用访问装置可以包括:指令接收单元501、发送单元502、授权信息获取单元503、接口信息获取单元504和访问单元505,具体如下:
(1)指令接收单元501,用于接收待访问应用的授权同意指令。
(2)发送单元502,用于基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统。
(3)授权信息获取单元503,用于接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息。
(4)接口信息获取单元504,用于基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息。
在一些实施例中,所述接口信息获取单元504具体可以用于:
基于所述授权信息向所述信息系统发送访问请求;
获取所述待访问应用的代理服务器基于用户信息返回的访问接口信息,所述用户信息是所述信息系统基于所述访问请求返回的信息。
在一些实施例中,所述接口信息获取单元504,在获取访问接口信息的同时,还可以获取用户信息,具体包括:
基于所述待访问应用的代理服务器获取所述信息系统基于所述访问请求返回的用户信息;
将所述用户信息保存在所述终端内存中。
在另一实施例中,所述接口信息获取单元504还可以用于:
基于所述授权同意指令,从所述终端内存中获取所述用户信息;
基于所述用户信息向所述待访问应用的代理服务器发送访问请求;
获取所述代理服务器基于用户信息返回的待访问应用的访问接口信息。
(5)访问单元505,用于基于所述访问接口信息,对所述待访问应用进行访问。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
由上可知,本发明实施例由指令接收单元接收待访问应用的授权同意指令;由发送单元基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;由授权信息获取单元接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;由接口信息获取单元基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;由访问单元基于所述访问接口信息,对所述待访问应用进行访问。
为了更好地实施以上方法,本申请实施例还提供一种应用访问装置(即第二应用访问装置),该应用访问装置具体可以集成在电子设备中,该电子设备可以为终端、服务器、个人电脑等设备。比如,在本实施例中,将以应用访问装置集成在信息系统的服务器中为例,对本发明实施例的方法进行详细说明。
如图3b所示,该应用访问装置可以包括:指令接收单元601、生成单元602、返回单元603、请求接收单元604以及发送单元605,具体如下:
(1)指令接收单元601,用于接收来自终端的授权请求,所述授权请求携带待访问应用标识信息;
(2)生成单元602,用于基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限;
(3)返回单元603,用于向所述终端返回所述授权信息;
(4)请求接收单元604,用于接收所述终端基于所述授权信息返回的访问请求;
(5)发送单元605,用于基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息。
在一些实施例中,所述发送单元605,具体可以用于:
验证所述待访问应用标识信息与所述授权信息;
当验证通过时,获取所述待访问应用的访问接口信息;根据所述终端的网络协议地址信息,获取所述终端的用户在所述组织机构中的信息,作为用户信息;
向所述待访问应用的代理服务器发送所述用户信息。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
由上可知,本发明实施例由指令接收单元接收来自终端的授权请求,所述授权请求携带待访问应用标识信息;由生成单元基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限;由返回单元向所述终端返回所述授权信息;由请求接收单元接收所述终端基于所述授权信息返回的访问请求;由发送单元基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息。从而可以安全、高效地访问应用。
为了更好地实施以上方法,本申请实施例还提供一种应用访问装置(即第三应用访问装置),该应用访问装置具体可以集成在电子设备中,该电子设备可以为终端、服务器、个人电脑等设备。比如,在本实施例中,将以应用访问装置集成在待访问应用的代理服务器中为例,对本发明实施例的方法进行详细说明。
如图3c所示,该应用访问装置可以包括:用户信息获取单元701、验证单元702、接口信息获取单元703、权限获取单元704以及发送单元705,具体如下:
(1)用户信息获取单元701,用于从信息系统中获取用户信息和待访问应用标识信息;
(2)验证单元702,用于基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性;
(3)接口信息获取单元703,用于当验证通过时,获取所述待访问应用的访问接口信息;
(4)权限获取单元704,用于基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限;
(5)发送单元705,用于向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
由上可知,本发明实施例由用户信息获取单元从信息系统中获取用户信息和待访问应用标识信息,由验证单元基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性;由接口信息获取单元当验证通过时,获取所述待访问应用的访问接口信息;有权限获取单元基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限;由发送单元向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。本实施例可以提高应用访问的效率。
本申请实施例还提供一种终端设备,该终端设备可以是平板电脑、微型处理盒子、无人机、或者图像采集设备等等。如图4所示,其示出了本申请实施例所涉及的终端设备的结构示意图,具体来讲:
该终端设备可以包括一个或者一个以上处理核心的处理器801、一个或一个以上计算机可读存储介质的存储器802、电源803、输入模块804以及通信模块805等部件。本领域技术人员可以理解,图4中示出的终端设备结构并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器801是该终端设备的控制中心,利用各种接口和线路连接整个终端设备的各个部分,通过运行或执行存储在存储器802内的软件程序和/或模块,以及调用存储在存储器802内的数据,执行终端设备的各种功能和处理数据,从而对终端设备进行整体监控。在一些实施例中,处理器801可包括一个或多个处理核心;在一些实施例中,处理器801可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器801中。
存储器802可用于存储软件程序以及模块,处理器801通过运行存储在存储器802的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器802可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端设备的使用所创建的数据等。此外,存储器802可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器802还可以包括存储器控制器,以提供处理器801对存储器802的访问。
终端设备还包括给各个部件供电的电源803,在一些实施例中,电源803可以通过电源管理系统与处理器801逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源803还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该终端设备还可包括输入模块804,该输入模块804可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
该终端设备还可包括通信模块805,在一些实施例中,通信模块805可以包括无线子模块,终端设备可以通过该通信模块805的无线子模块进行短距离无线传输,从而提供无线的宽带互联网访问。比如,该通信模块805可以用于帮助用户收发电子邮件、浏览网页和访问流式媒体等。
尽管未示出,终端设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,终端设备中的处理器801会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器802中,并由处理器801来运行存储在存储器802中的应用程序,从而实现各种功能,如下:
接收待访问应用的授权同意指令;
基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;
接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;
基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;
基于所述访问接口信息,对所述待访问应用进行访问。
或者:
显接收来自终端的授权请求,所述授权请求携带待访问应用标识信息;
基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限;
向所述终端返回所述授权信息;
接收所述终端基于所述授权信息返回的访问请求;
基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息。
或者:
从信息系统中获取用户信息和待访问应用标识信息;
基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性;
当验证通过时,获取所述待访问应用的访问接口信息;基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限;
向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
由上可知,本发明实施例可以接收待访问应用的授权同意指令;基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;基于所述访问接口信息,对所述待访问应用进行访问。从而该方案可以提高应用访问的效率。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请实施例所提供的任一种应用访问方法中的步骤。例如,该指令可以执行如下步骤:
接收待访问应用的授权同意指令;
基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;
接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;
基于所述授权信息从待访问应用的代理服务器中获取待访问应用的访问接口信息;
基于所述访问接口信息,对所述待访问应用进行访问。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种应用访问方法中的步骤,因此,可以实现本申请实施例所提供的任一种应用访问方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本申请实施例所提供的一种应用访问方法、装置和存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种应用访问方法,其特征在于,适用于终端,包括:
接收待访问应用的授权同意指令;
基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;
接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;
基于所述授权信息向所述信息系统发送访问请求;
获取所述待访问应用的代理服务器基于用户信息和待访问应用标识信息返回的访问接口信息,所述用户信息是所述信息系统基于所述访问请求返回的信息;
基于所述访问接口信息,对所述待访问应用进行访问。
2.如权利要求1所述的应用访问方法,其特征在于,所述应用访问方法还包括:
基于所述待访问应用的代理服务器获取所述信息系统基于所述访问请求返回的用户信息;
将所述用户信息保存在所述终端内存中。
3.如权利要求2所述的应用访问方法,其特征在于,所述应用访问方法,还包括:
接收待访问应用的授权同意指令;
基于所述授权同意指令,从所述终端内存中获取所述用户信息;
基于所述用户信息向所述待访问应用的代理服务器发送访问请求;
获取所述代理服务器基于用户信息返回的待访问应用的访问接口信息。
4.一种应用访问方法,其特征在于,适用于信息系统,所述信息系统是用户所在组织机构的信息系统,包括:
接收来自终端的授权请求,所述授权请求携带待访问应用标识信息;
基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限;
向所述终端返回所述授权信息;
接收所述终端基于所述授权信息返回的访问请求;
基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息和待访问应用信息标识信息;以便所述代理服务器基于用户信息和待访问应用标识信息将访问接口信息返回给终端。
5.如权利要求4所述的应用访问方法,其特征在于,所述访问请求携带待访问应用标识信息、授权信息和所述终端的网络协议地址信息;
基于所述访问请求获取用户信息,包括:
验证所述待访问应用标识信息与所述授权信息;
当验证通过时,获取所述待访问应用的访问接口信息;
根据所述终端的网络协议地址信息,获取所述终端的用户在所述组织机构中的信息,作为用户信息;
向所述待访问应用的代理服务器发送所述用户信息。
6.一种应用访问方法,其特征在于,适用于待访问应用的代理服务器,包括:
从信息系统中获取用户信息和待访问应用标识信息;
基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性;
当验证通过时,获取所述待访问应用的访问接口信息;
基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限;
向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。
7.一种应用访问装置,其特征在于,适用于终端,包括:
指令接收单元,用于接收待访问应用的授权同意指令;
发送单元,用于基于所述授权同意指令,向信息系统发送授权请求,所述信息系统是用户所在组织机构的信息系统;
授权信息获取单元,用于接收所述信息系统基于所述授权请求返回的具有时间期限的授权信息;
接口信息获取单元,用于基于所述授权信息向所述信息系统发送访问请求;获取所述待访问应用的代理服务器基于用户信息和待访问应用标识信息返回的访问接口信息,所述用户信息是所述信息系统基于所述访问请求返回的信息;
访问单元,用于基于所述访问接口信息,对所述待访问应用进行访问。
8.一种应用访问装置,其特征在于,适用于信息系统,包括:
指令接收单元,用于接收来自终端的授权请求,所述授权请求携带待访问应用标识信息;
生成单元,用于基于所述授权请求,生成与所述待访问应用标识信息对应的授权信息,所述授权信息具有时间期限;
返回单元,用于向所述终端返回所述授权信息;
请求接收单元,用于接收所述终端基于所述授权信息返回的访问请求;
发送单元,用于基于所述访问请求获取用户信息,并向所述待访问应用的代理服务器发送所述用户信息和待访问应用信息标识信息;以便所述代理服务器基于用户信息和待访问应用标识信息将访问接口信息返回给终端。
9.一种应用访问装置,其特征在于,适用于待访问应用的代理服务器,包括:
用户信息获取单元,用于从信息系统中获取用户信息和待访问应用标识信息;
验证单元,用于基于预设用户白名单和所述待访问应用标识信息,验证所述用户信息对应的终端用户访问所述待访问应用的合法性;
接口获取单元,用于当验证通过时,获取所述待访问应用的访问接口信息;
权限获取单元,用于基于预设用户权限列表,获取所述用户信息对应的终端用户对所述待访问应用的应用操作权限;
发送单元,用于向所述终端返回所述待访问应用的访问接口信息,以及所述应用操作权限。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,当计算机程序在计算机上运行时,使得所述计算机执行如权利要求1至6中任一项所述的应用访问方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910854906.2A CN110636057B (zh) | 2019-09-10 | 2019-09-10 | 一种应用访问方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910854906.2A CN110636057B (zh) | 2019-09-10 | 2019-09-10 | 一种应用访问方法、装置和计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110636057A CN110636057A (zh) | 2019-12-31 |
CN110636057B true CN110636057B (zh) | 2021-09-28 |
Family
ID=68972493
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910854906.2A Active CN110636057B (zh) | 2019-09-10 | 2019-09-10 | 一种应用访问方法、装置和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110636057B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800426A (zh) * | 2020-07-07 | 2020-10-20 | 腾讯科技(深圳)有限公司 | 应用程序中原生代码接口的访问方法、装置、设备及介质 |
CN112131588B (zh) * | 2020-09-25 | 2024-07-26 | 北京锐安科技有限公司 | 应用访问方法、装置、电子设备和存储介质 |
CN113541965B (zh) * | 2021-01-27 | 2024-04-09 | 支付宝(杭州)信息技术有限公司 | 一种基于区块链的通信授权方法、装置、设备和存储介质 |
WO2022226794A1 (zh) * | 2021-04-27 | 2022-11-03 | 华为技术有限公司 | 访问方法、装置和系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916395A (zh) * | 2014-04-09 | 2014-07-09 | 北京京东尚科信息技术有限公司 | 一种服务调用方法、设备及系统 |
CN106302475A (zh) * | 2016-08-18 | 2017-01-04 | 中国联合网络通信集团有限公司 | 家庭互联网业务授权方法及服务器 |
CN106603556A (zh) * | 2016-12-29 | 2017-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、装置及系统 |
CN107395614A (zh) * | 2017-08-09 | 2017-11-24 | 深圳国泰安教育技术股份有限公司 | 单点登录方法及系统 |
CN109286633A (zh) * | 2018-10-26 | 2019-01-29 | 深圳市华云中盛科技有限公司 | 单点登陆方法、装置、计算机设备及存储介质 |
CN109379369A (zh) * | 2018-11-09 | 2019-02-22 | 中国平安人寿保险股份有限公司 | 单点登录方法、装置、服务器及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11095657B2 (en) * | 2018-02-12 | 2021-08-17 | Slack Technologies, Inc. | Method, apparatus, and computer program product for selectively granting permissions to group-based objects in a group-based communication system |
-
2019
- 2019-09-10 CN CN201910854906.2A patent/CN110636057B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916395A (zh) * | 2014-04-09 | 2014-07-09 | 北京京东尚科信息技术有限公司 | 一种服务调用方法、设备及系统 |
CN106302475A (zh) * | 2016-08-18 | 2017-01-04 | 中国联合网络通信集团有限公司 | 家庭互联网业务授权方法及服务器 |
CN106603556A (zh) * | 2016-12-29 | 2017-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、装置及系统 |
CN107395614A (zh) * | 2017-08-09 | 2017-11-24 | 深圳国泰安教育技术股份有限公司 | 单点登录方法及系统 |
CN109286633A (zh) * | 2018-10-26 | 2019-01-29 | 深圳市华云中盛科技有限公司 | 单点登陆方法、装置、计算机设备及存储介质 |
CN109379369A (zh) * | 2018-11-09 | 2019-02-22 | 中国平安人寿保险股份有限公司 | 单点登录方法、装置、服务器及存储介质 |
Non-Patent Citations (1)
Title |
---|
基于OAuth2.0协议的智慧校园认证系统研究;高保忠等;《中国科学技术大学学报》;20190715;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110636057A (zh) | 2019-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110636057B (zh) | 一种应用访问方法、装置和计算机可读存储介质 | |
JP6754809B2 (ja) | 共通エンドポイントにアクセスするために異なるディレクトリに記憶される認証情報を使用すること | |
CN108293045B (zh) | 本地和远程系统之间的单点登录身份管理 | |
CN105659558B (zh) | 计算机实现的方法、授权服务器以及计算机可读存储器 | |
US8578448B2 (en) | Identifying guests in web meetings | |
US10944560B2 (en) | Privacy-preserving identity asset exchange | |
US11102196B2 (en) | Authenticating API service invocations | |
CN109478149A (zh) | 混合云计算系统中的访问服务 | |
CN105450581B (zh) | 权限控制的方法和装置 | |
US9225744B1 (en) | Constrained credentialed impersonation | |
US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
CN109691057A (zh) | 经由私人内容分发网络可交换地取回敏感内容 | |
CN107003886A (zh) | 托管目录服务对目录的应用访问的管理 | |
JP2019514090A (ja) | ユーザアカウントと企業ワークスペースとの関連付け | |
US10135876B2 (en) | Security compliance framework usage | |
US10666636B2 (en) | Controlling access to electronic services based on a user's sociometric identification document | |
US11962428B2 (en) | Meeting room reservation system and related techniques | |
CN108289074B (zh) | 用户账号登录方法及装置 | |
CN110247758A (zh) | 密码管理的方法、装置及密码管理器 | |
García et al. | Identity federation with VOMS in cloud infrastructures | |
CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
US9906510B2 (en) | Virtual content repository | |
JP5485452B1 (ja) | 鍵管理システム、鍵管理方法、ユーザ端末、鍵生成管理装置、及びプログラム | |
US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks | |
US12015606B2 (en) | Virtual machine provisioning and directory service management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |