CN110661798A - 基于认证鉴权平台的认证鉴权方法 - Google Patents
基于认证鉴权平台的认证鉴权方法 Download PDFInfo
- Publication number
- CN110661798A CN110661798A CN201910900431.6A CN201910900431A CN110661798A CN 110661798 A CN110661798 A CN 110661798A CN 201910900431 A CN201910900431 A CN 201910900431A CN 110661798 A CN110661798 A CN 110661798A
- Authority
- CN
- China
- Prior art keywords
- authentication
- login
- certificate
- api gateway
- center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了基于认证鉴权平台的认证鉴权方法,涉及认证鉴权技术领域。本发明包括正常交互流程以及对接第三方单点登录流程。本发明采用独立的认证平台,不含任何业务逻辑,对业务和用户的侵入性为0,用户系统登录界面、登录流程独立实现,只需要接口对接进行认证鉴权;对于不同的产品,页面多样化,定制化;支持多种凭证存储方式,可根据不同的性能要求,选择不同的存储策略;系统可扩展性高,不涉及用户数据,业务系统对用户数据保密,提高用户数据的安全。
Description
技术领域
本发明属于认证鉴权技术领域,特别是涉及基于认证鉴权平台的认证鉴权方法。
背景技术
统一认证鉴权平台,目前开源的技术方案有CAS和OAUTH2.0。但是CAS接入前后端分离的项目流程比较繁杂,CAS本身也过于笨重,且CAS的登录页面不可编辑和配置,CAS必须接入到用户数据源,进行用户认证;有很多局限性,以及性能瓶颈。
OAUTH2.0主要用于第三方应用鉴权,对于本身平台鉴权,多种应用场景也支持不是很全面,同时在用户鉴权上也对业务数据有侵入。
因此需要一个集成CAS和OAUTH2.0核心功能,不涉及用户数据,同时支持配置的页面。可配置可自定义登录页面的一个统一鉴权平台,只负责授权以及鉴权,而不负责登录的一个独立的认证鉴权系统,同时也可以对接到第三方CAS或者其他的鉴权系统。
发明内容
本发明的目的在于提供基于认证鉴权平台的认证鉴权方法,采用独立的认证平台,不含任何业务逻辑,对业务和用户的侵入性为0,用户系统登录界面、登录流程独立实现,只需要接口对接进行认证鉴权;对于不同的产品,页面多样化,定制化。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明为基于认证鉴权平台的认证鉴权方法,包括正常交互流程以及对接第三方单点登录流程;
其中,正常交互流程如下:
S00:用户登陆业务门户,业务门户带着登陆凭证到API网关请求数据;
S01:API网关获取接口信息,若接口信息需要验证;带着凭证至认证中心认证凭证是否有效;
S02:认证中心检测到凭证失效或凭证过期时,响应认证失败;并携带配置好的失效数据相应给API网关;
S03:API网关判断到登录失效,并将认证中心信息透传给业务门户;
S04:业务门户获取到凭证失败后,重定向到登录门户;
S05:登录门户根据携带的信息查询到页面缓存的凭证,并到认证中心认证该缓存的凭证;请求先发到API网关,API网关判断认证接口不需要登录认证,直接路由到认证中心;
S06:认证失败后进入到登录页面,请求先发到API网关;API网关判断登录接口不需要登录认证,直接路由到用户中心;
S07:登录成功后,用户中心携带需要缓存的用户信息到认证中心获取登录凭证;认证中心缓存用户信息后和用戶凭证后,将用户凭证相应信息返回给用户中心;
S08:用户中心将凭证返回给登录门户,登录门户缓存改凭证后,将凭证回传给业务门户;业务门户缓存凭证后正常操作;
其中,对接第三方单点登录流程如下:
T00:用户登入业务门户,业务门户带着登录凭证到API网关请求数据;
T01:API网关获取接口信息,如需要认证则带着凭证去认证中心认证凭证是否有效;
T02:认证中心检测到凭证失效或者凭证过期,响应认证失败并携带配置好的失效数据响应给API网关;
T03:API网关判断到登录失效后将认证中心信息透传给业务门户;
T04:认证中心根据配置获取认证类型;若是CAS转接认证,则从转接中间页面跳转到CAS系统,CAS系统弹出登录页面;
T05:若CAS判断已经登录,则返回登录凭证给中间页面;
T06:CAS登录过后回调认证中心中间页面,认证中心页面携带CAS票据信息请求认证服务器;
T07:认证服务器存储CAS票据信息,并根据CAS票据信息获取CAS凭证;
T08:认证服务器缓存CAS凭证,并重新授权独立系统凭证回调系统前端,前端根据凭证访问后端接口;
T09:请求先发到API网关,API网关判断认证接口不需要的登录认证后,直接路由到认证中心;认证通过后正常操作。
优选地,所述认证接口,用户根据信息生成登录令牌、认证登录令牌以及公共秘钥刷新。
优选地,还包括:
用户、应用、或者系统登录成功后发方登录的凭证;
通过授权码管理平台对授权码规则配置;
对授权记录分析,统计授权频率。
优选地,还设置有授权策略控制、授权后缓存控制、授权超时以及刷新控制。
本发明具有以下有益效果:
1、本发明采用独立的认证平台,不含任何业务逻辑,对业务和用户的侵入性为0,用户系统登录界面、登录流程独立实现,只需要接口对接进行认证鉴权;对于不同的产品,页面多样化,定制化;
2、本发明认证鉴权平台提供统一的管理端,登录页路由地址可以界面配置,在不同阶段可以选择不同样式的登录页面;复合产品规划,便捷高效;
3、本发明支持多种凭证存储方式,可根据不同的性能要求,选择不同的存储策略;系统可扩展性高,可以用在大型应用上,也可以用在小型应用上;凭证存储方式管理端界面可以配置,可以在应用系统的不同阶段切换需要的存储方式;
4、本发明支持多种凭证生成方式,支持凭证过期时间的界面配置,支持凭证绑定信息的存储,支持凭证凭证绑定校验的存储和校验,适用性强;
5、本发明不涉及用户数据,业务系统对用户数据保密,提高用户数据的安全;
6、本发明支持单点登录系统分组,可以独立成一个鉴权平台,鉴权多个系统组合,组合可配置;
7、本发明利用转接的方式,完美兼容CAS、Oauth2.0以及其他第三方单点登录平台,同时将固定的逻辑封装;系统可扩展、可集群。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于认证鉴权平台的认证鉴权方法中正常交互流程的示意图;
图2为本发明基于认证鉴权平台的认证鉴权方法中对接第三方单点登录流程的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例:
本发明为基于认证鉴权平台的认证鉴权方法,包括正常交互流程以及对接第三方单点登录流程;
请参阅图1所示,正常交互流程如下:
S00:用户登陆业务门户,业务门户带着登陆凭证到API网关请求数据;
S01:API网关获取接口信息,若接口信息需要验证;带着凭证至认证中心认证凭证是否有效;
S02:认证中心检测到凭证失效或凭证过期时,响应认证失败;并携带配置好的失效数据相应给API网关;
S03:API网关判断到登录失效,并将认证中心信息透传给业务门户;
S04:业务门户获取到凭证失败后,重定向到登录门户;
S05:登录门户根据携带的信息查询到页面缓存的凭证,并到认证中心认证该缓存的凭证;请求先发到API网关,API网关判断认证接口不需要登录认证,直接路由到认证中心;
S06:认证失败后进入到登录页面,请求先发到API网关;API网关判断登录接口不需要登录认证,直接路由到用户中心;
S07:登录成功后,用户中心携带需要缓存的用户信息到认证中心获取登录凭证;认证中心缓存用户信息后和用戶凭证后,将用户凭证相应信息返回给用户中心;
S08:用户中心将凭证返回给登录门户,登录门户缓存改凭证后,将凭证回传给业务门户;业务门户缓存凭证后正常操作;
请参阅图2所示,对接第三方单点登录流程如下:
T00:用户登入业务门户,业务门户带着登录凭证到API网关请求数据;
T01:API网关获取接口信息,如需要认证则带着凭证去认证中心认证凭证是否有效;
T02:认证中心检测到凭证失效或者凭证过期,响应认证失败并携带配置好的失效数据响应给API网关;
T03:API网关判断到登录失效后将认证中心信息透传给业务门户;
T04:认证中心根据配置获取认证类型;若是CAS转接认证,则从转接中间页面跳转到CAS系统,CAS系统弹出登录页面;
T05:若CAS判断已经登录,则返回登录凭证给中间页面;
T06:CAS登录过后回调认证中心中间页面,认证中心页面携带CAS票据信息请求认证服务器;
T07:认证服务器存储CAS票据信息,并根据CAS票据信息获取CAS凭证;
T08:认证服务器缓存CAS凭证,并重新授权独立系统凭证回调系统前端,前端根据凭证访问后端接口;
T09:请求先发到API网关,API网关判断认证接口不需要的登录认证后,直接路由到认证中心;认证通过后正常操作。
其中,外部服务接入认证鉴权平台流程非常简单,只需依赖jar包,通过简单的配置就可以轻松使用认证鉴权平台,并且支持前后端分离项目的cookie跨域。登录页面可以自由切换,还可以自定义登录页面,支持多种token存储方式;例如本地内存存储,mysql数据库存储,分布式缓存的存储方式。可以通过缓存策略直接从缓存服务获取token,还支持多种token生成方式;例如无意义的token,和jwt的token生成规则,并且token存储方式和token的生成规则自由可配置;操作简单。接入的服务的用户中心数据库不必接入认证鉴权平台,接入认证鉴权平台的服务的用户中心可以存储在内部系统中,认证鉴权平台不做任何干预,适配多样性的用户中心。
此外,认证鉴权平台兼容了CAS单点登录系统,通过后台选择一键接入到CAS服务,用户无需关心任何CAS相关内容,认证鉴权平台的接入极少的代码入侵,接入流程简单、灵活可配置、节约开发成本和时间。
其中,所述认证接口,用户根据信息生成登录令牌、认证登录令牌以及公共秘钥刷新;还包括:
用户、应用、或者系统登录成功后发方登录的凭证;
通过授权码管理平台对授权码规则配置;
对授权记录分析,统计授权频率。
其中,认证鉴权平台还设置有授权策略控制、授权后缓存控制、授权超时以及刷新控制。
其中,认证鉴权平台提供登录凭证发放、登录凭证校验和登录凭证注销功能,各服务通过RESTFUL接口查询配置,具体如下:
值得注意的是,上述系统实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,相应的程序可以存储于一计算机可读取存储介质中。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (4)
1.基于认证鉴权平台的认证鉴权方法,其特征在于,包括正常交互流程以及对接第三方单点登录流程;
其中,正常交互流程如下:
S00:用户登陆业务门户,业务门户带着登陆凭证到API网关请求数据;
S01:API网关获取接口信息,若接口信息需要验证;带着凭证至认证中心认证凭证是否有效;
S02:认证中心检测到凭证失效或凭证过期时,响应认证失败;并携带配置好的失效数据相应给API网关;
S03:API网关判断到登录失效,并将认证中心信息透传给业务门户;
S04:业务门户获取到凭证失败后,重定向到登录门户;
S05:登录门户根据携带的信息查询到页面缓存的凭证,并到认证中心认证该缓存的凭证;请求先发到API网关,API网关判断认证接口不需要登录认证,直接路由到认证中心;
S06:认证失败后进入到登录页面,请求先发到API网关;API网关判断登录接口不需要登录认证,直接路由到用户中心;
S07:登录成功后,用户中心携带需要缓存的用户信息到认证中心获取登录凭证;认证中心缓存用户信息后和用戶凭证后,将用户凭证相应信息返回给用户中心;
S08:用户中心将凭证返回给登录门户,登录门户缓存改凭证后,将凭证回传给业务门户;业务门户缓存凭证后正常操作;
其中,对接第三方单点登录流程如下:
T00:用户登入业务门户,业务门户带着登录凭证到API网关请求数据;
T01:API网关获取接口信息,如需要认证则带着凭证去认证中心认证凭证是否有效;
T02:认证中心检测到凭证失效或者凭证过期,响应认证失败并携带配置好的失效数据响应给API网关;
T03:API网关判断到登录失效后将认证中心信息透传给业务门户;
T04:认证中心根据配置获取认证类型;若是CAS转接认证,则从转接中间页面跳转到CAS系统,CAS系统弹出登录页面;
T05:若CAS判断已经登录,则返回登录凭证给中间页面;
T06:CAS登录过后回调认证中心中间页面,认证中心页面携带CAS票据信息请求认证服务器;
T07:认证服务器存储CAS票据信息,并根据CAS票据信息获取CAS凭证;
T08:认证服务器缓存CAS凭证,并重新授权独立系统凭证回调系统前端,前端根据凭证访问后端接口;
T09:请求先发到API网关,API网关判断认证接口不需要的登录认证后,直接路由到认证中心;认证通过后正常操作。
2.根据权利要求1所述的基于认证鉴权平台的认证鉴权方法,其特征在于,所述认证接口,用户根据信息生成登录令牌、认证登录令牌以及公共秘钥刷新。
3.根据权利要求1所述的基于认证鉴权平台的认证鉴权方法,其特征在于,还包括:
用户、应用、或者系统登录成功后发方登录的凭证;
通过授权码管理平台对授权码规则配置;
对授权记录分析,统计授权频率。
4.根据权利要求1所述的基于认证鉴权平台的认证鉴权方法,其特征在于,还设置有授权策略控制、授权后缓存控制、授权超时以及刷新控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910900431.6A CN110661798A (zh) | 2019-09-23 | 2019-09-23 | 基于认证鉴权平台的认证鉴权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910900431.6A CN110661798A (zh) | 2019-09-23 | 2019-09-23 | 基于认证鉴权平台的认证鉴权方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110661798A true CN110661798A (zh) | 2020-01-07 |
Family
ID=69039010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910900431.6A Pending CN110661798A (zh) | 2019-09-23 | 2019-09-23 | 基于认证鉴权平台的认证鉴权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110661798A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112231667A (zh) * | 2020-11-09 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 身份核验方法、装置、存储介质、系统及设备 |
| CN112765583A (zh) * | 2021-01-27 | 2021-05-07 | 海尔数字科技(青岛)有限公司 | 一种单点登录方法、装置、设备及介质 |
| CN112788019A (zh) * | 2020-12-30 | 2021-05-11 | 杭州天谷信息科技有限公司 | 一种零信任理念下的应用融合方案 |
| CN114124571A (zh) * | 2021-12-09 | 2022-03-01 | 上海甄云信息科技有限公司 | 一种多路对接的单点登录方法及系统 |
| CN114598490A (zh) * | 2021-04-09 | 2022-06-07 | 亚信科技(南京)有限公司 | 基于api网关重定向页面的方法、装置、设备及存储介质 |
-
2019
- 2019-09-23 CN CN201910900431.6A patent/CN110661798A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112231667A (zh) * | 2020-11-09 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 身份核验方法、装置、存储介质、系统及设备 |
| CN112788019A (zh) * | 2020-12-30 | 2021-05-11 | 杭州天谷信息科技有限公司 | 一种零信任理念下的应用融合方案 |
| CN112765583A (zh) * | 2021-01-27 | 2021-05-07 | 海尔数字科技(青岛)有限公司 | 一种单点登录方法、装置、设备及介质 |
| CN114598490A (zh) * | 2021-04-09 | 2022-06-07 | 亚信科技(南京)有限公司 | 基于api网关重定向页面的方法、装置、设备及存储介质 |
| CN114598490B (zh) * | 2021-04-09 | 2024-03-29 | 亚信科技(南京)有限公司 | 基于api网关重定向页面的方法、装置、设备及存储介质 |
| CN114124571A (zh) * | 2021-12-09 | 2022-03-01 | 上海甄云信息科技有限公司 | 一种多路对接的单点登录方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110120946B (zh) | 一种Web与微服务的统一认证系统及方法 | |
| CN110661798A (zh) | 基于认证鉴权平台的认证鉴权方法 | |
| CN108901022A (zh) | 一种微服务统一鉴权方法及网关 | |
| US7827318B2 (en) | User enrollment in an e-community | |
| US10284366B2 (en) | Mobile communication system implementing integration of multiple logins of mobile device applications | |
| CN101331731B (zh) | 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 | |
| CN104539615B (zh) | 基于cas的级联认证方法 | |
| CN109196500A (zh) | 对基于云的服务的基于统一vpn和身份的认证 | |
| WO2015085809A1 (zh) | 无线数据专网物理隔离互联网的移动支付安全系统 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN109495486B (zh) | 一种基于JWT的单页Web应用集成CAS的方法 | |
| CN112468481A (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| JP2019220238A (ja) | レガシー統合のためのコンピュータ読み取り可能な記憶媒体ならびにそれを使用するための方法およびシステム | |
| CN108881218B (zh) | 一种基于云存储管理平台的数据安全增强方法及系统 | |
| WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
| CN110401951A (zh) | 认证无线局域网中终端的方法、装置和系统 | |
| CN111949959B (zh) | Oauth协议中的授权认证方法及装置 | |
| EP4091313A1 (en) | Wireless lan (wlan) public identity federation trust architecture | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN102255904B (zh) | 一种通信网络以及对终端的认证方法 | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| CN109274699A (zh) | 鉴权方法、装置、服务器及存储介质 | |
| EP2761852A1 (en) | A mobile communication system implementing integration of multiple logins of mobile device applications | |
| CN107181757A (zh) | 支持认证和协议转换的Memcache代理方法、装置及系统 | |
| CN114070616B (zh) | 一种基于redis缓存的分布式会话共享方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200107 |
|
| RJ01 | Rejection of invention patent application after publication |