CN110781468A - 一种身份认证的处理方法、装置、电子设备及存储介质 - Google Patents
一种身份认证的处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110781468A CN110781468A CN201911015415.5A CN201911015415A CN110781468A CN 110781468 A CN110781468 A CN 110781468A CN 201911015415 A CN201911015415 A CN 201911015415A CN 110781468 A CN110781468 A CN 110781468A
- Authority
- CN
- China
- Prior art keywords
- client
- identity information
- identity
- identity authentication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Abstract
本发明提供了一种身份认证的处理方法、装置、电子设备及存储介质。其中,所述方法包括:获取客户端提交的身份信息;在多个密码策略中确定用于验证所述身份信息的目标密码策略;当基于所述目标密码策略对所述身份信息进行身份认证通过时,授权所述客户端基于所述身份信息登录第三方应用,以及基于所述目标密码策略对应的安全分级,为所述客户端分配在登录所述第三方应用后具有的操作权限;基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作。通过本发明,能够在保证安全性的同时,提高用户的操作体验和身份认证的效率。
Description
技术领域
本发明涉及信息处理技术领域,尤其涉及一种身份认证的处理方法、装置、电子设备及存储介质。
背景技术
随着互联网应用的使用场景与功能越来越广泛,互联网应用也开始越来越多的涉及信息的安全问题。为此,当用户想要访问互联网应用中的信息时,需要对用户进行身份认证,尤其是对于安全级别高的核心信息的访问,或者在互联网应用中涉及敏感操作比如支付操作时,则需对用户进行二次验证。
可见,相关技术中的多次身份认证虽能够保证安全性,但会打断用户的正常操作,降低用户的操作体验,还会增加互联网应用与身份认证系统之间的往复交互次数,降低身份认证的效率。
发明内容
本发明实施例提供一种身份认证的处理方法、装置、电子设备及存储介质,能够在保证安全性的同时,提高用户的操作体验和身份认证的效率。
本发明实施例的技术方案是这样实现的:
本发明实施例提供一种身份认证的处理方法,所述方法包括:
获取客户端提交的身份信息;
在多个密码策略中确定用于验证所述身份信息的目标密码策略;
当基于所述目标密码策略对所述身份信息进行身份认证通过时,授权所述客户端基于所述身份信息登录第三方应用,以及
基于所述目标密码策略对应的安全分级,为所述客户端分配在登录所述第三方应用后具有的操作权限;
基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作。
本发明实施例还提供一种身份认证的处理装置,所述装置包括:
获取单元,用于获取客户端提交的身份信息;
确定单元,用于在多个密码策略中确定用于验证所述身份信息的目标密码策略;
授权单元,用于当基于所述目标密码策略对所述身份信息进行身份认证通过时,授权所述客户端基于所述身份信息登录第三方应用;
分配单元,用于基于所述目标密码策略对应的安全分级,为所述客户端分配在登录所述第三方应用后具有的操作权限;
控制单元,用于基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作。
上述方案中,所述确定单元,还用于:
对所述身份信息进行识别,确定所述身份信息的类别;
基于所述身份信息的类别,从所述多个密码策略中遍历查找与所述身份信息的类别相匹配的密码策略;
将查找到的与所述身份信息的类别相匹配的密码策略,确定为用于验证所述身份信息的目标密码策略。
上述方案中,所述控制单元,还用于:
确定提交待执行操作的客户端是否具有相应的操作权限;
当所述客户端具有相应的操作权限时,对所述客户端提交的待执行操作进行响应;
当所述客户端未具有相应的操作权限时,对所述客户端提交的待执行操作进行拒绝。
上述方案中,所述身份认证的处理装置还包括:
第一发送单元,用于向所述客户端发送通知消息,所述通知消息用于指示通知所述客户端当前登录所述第三方应用后具有的操作权限。
上述方案中,所述获取单元,还用于:
获取所述客户端提交的票据信息;
对所述票据信息进行校验,当对所述票据信息进行校验通过时,获取所述票据信息对应的客户端的身份信息。
上述方案中,所述身份认证的处理装置还包括:
检测单元,用于检测所述客户端提交所述身份信息时的当前登录方式,以及所述客户端的历史登录方式;
比对单元,用于将所述当前登录方式与所述历史登录方式进行比对;
鉴权单元,用于当确定所述当前登录方式与所述历史登录方式均不一致时,对提交所述身份信息的客户端进行鉴权;
认证单元,用于当鉴权通过时,基于所述目标密码策略对所述身份信息进行身份认证。
上述方案中,所述身份认证的处理装置还包括:
第二发送单元,用于当鉴权未通过时,向所述客户端发送重新提交身份信息的提示消息;
所述认证单元,还用于在接收到所述客户端重新提交的身份信息后,基于所述目标密码策略对所述重新提交的身份信息进行身份认证。
本发明实施例还提供一种电子设备,所述电子设备包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本发明实施例提供的身份认证的处理方法。
本发明实施例还提供一种存储介质,存储有可执行指令,所述可执行指令被执行时,用于实现本发明实施例提供的身份认证的处理方法。
应用本发明上述实施例具有以下有益效果:
应用本发明实施例提供的身份认证的处理方法、装置、电子设备及存储介质,获取客户端提交的身份信息,通过目标密码策略在一次交互中完成对身份信息的身份认证,避免用户的正常操作被打断,简化了应用与身份认证系统之间的交互过程,从而能够在保证安全性的同时,提高了用户的操作体验和身份认证的效率;本发明实施例基于目标密码策略对应的安全分级,来为用户分配登录后的操作权限,能够在提高身份认证的效率的基础上,提高用户进行对应操作权限的操作的效率和准确度。
附图说明
图1为相关技术中提供的身份认证的原理结构示意图;
图2为本发明实施例提供的身份认证的处理系统10的一个可选的架构示意图;
图3为本发明实施例提供的电子设备30的一个可选的硬件结构示意图;
图4为本发明实施例提供的身份认证的处理装置355的一个可选的组成结构示意图;
图5A至图5D为本发明实施例提供的身份认证的处理方法的一个可选的流程示意图;
图6A至图6C分别为本发明实施例提供的统一登录界面的显示示意图;
图7为本发明实施例提供的身份认证的处理方法的一个可选的原理结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且本发明实施例所记载的各技术方案之间,可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一”、“第二”等仅仅是用于区别类似的对象,不代表针对对象的特定的顺序或先后次序,可以理解地,“第一”、“第二”等在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本发明实施例能够以除了在图示或描述的以外的顺序实施。
除非另有定义,本发明实施例所使用的所有的技术和科学术语与属于本发明实施例的技术领域的技术人员通常理解的含义相同。本发明中所使用的术语只是为了描述具体的实施例的目的,不是旨在限制本发明。
在对本发明实施例进行进一步详细说明之前,先对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)身份认证,也可称为身份验证,或者身份鉴别,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该操作者是否具有对某种资源的访问和使用权限。也就是说,身份认证过程实际上为判断操作用户是否为合法用户的过程,只有当操作用户为合法用户时,才能实现对某种资源的访问和使用权限。
2)票据信息,用于标记用户的身份信息,可为具有一定随机性的字符串,通过签名或后端授权的接口可实现对票据信息的校验,票据信息能够确保用户的身份信息不被恶意攻击者伪造,保证用户的身份信息的安全性。
3)统一身份认证,集中完成身份认证的过程,通过共享票据信息给统一身份认证后台,由统一身份认证后台完成对用户的身份信息的认证。
4)操作权限等级,用于指用户具有不同范围的操作权限,例如,操作权限等级较低时,对应用户仅具有查看基本信息的权限,又例如,操作权限等级较高时,对应用户不仅可以具有查看基本信息的权限,还可以具有修改和删除信息的权限等。
5)密码策略,用于指对密码复杂性的要求,比如,对密码的设置要求为“密码中必须同时包含大、小写字母和数字三种类型,且密码的长度不能少于9位”。
下面以互联网应用为企业应用为例,对相关技术中提供的身份认证的处理方案进行说明。
现有的主流身份认证,大多也支持多种身份验证方式,例如用户可以通过提供基本的身份验证信息,比如用户自己设置的静态密码或手机验证码等方式来进行身份认证,又例如,用户可以通过完成特定动作,比如扫码、生物特征识别(例如指纹识别、人脸识别等)的方式来进行身份认证,当对用户进行身份认证通过后,该用户可具有对应企业应用的操作权限。
参见图1,图1为相关技术中提供的身份认证的原理结构示意图,在通常情况下,用户提交自己注册时设置的静态密码以及用户名,企业内的统一身份认证平台在接收到静态密码后,对静态密码进行验证,当对静态密码进行验证通过时,则可允许该用户查看企业相关的基本信息;当用户提交针对安全级别高的核心信息的访问请求,或者需要涉及敏感操作,如对企业内员工的个人信息进行修改或删除时,则统一身份认证平台会采取额外的身份验证方式,比如手机验证码的方式对用户进行二次验证,以确认用户的合法身份。在实际应用中,传统的静态密码很容易泄露或被他人猜解,从而导致企业信息泄露的风险,相关技术中通过不易泄露、无法猜解的二次验证的方式,在一定程度上可以避免核心信息的泄露和破坏。
相关技术中的上述身份认证的处理方法适用大多场景,一般来讲,二次验证属于低频场景,但对于企业应用中安全性要求高的信息的访问、或者敏感操作(例如删除或修改信息、支付操作等)的高频场景来说,若多次进行身份验证,会打断用户的正常操作,降低用户的操作体验,也会增加企业应用与身份认证系统之间的往复交互次数,使得身份认证的过程变得复杂,降低身份认证的效率。
由此可见,对于如何在保证安全性的同时,提高用户的操作体验和身份认证的效率,相关技术缺乏有效的解决方案。
为至少解决相关技术的上述技术问题,本发明实施例提供了一种身份认证的处理方法、装置、电子设备及存储介质,能够在保证安全性的同时,提高用户的操作体验和身份认证的效率。
下面说明实施本发明实施例的身份认证的处理方法的电子设备的示例性应用,本发明实施例提供的电子设备可以实施为带有身份认证功能的笔记本电脑,平板电脑,台式计算机,机顶盒,移动设备(例如,移动电话,便携式音乐播放器,个人数字助理,专用消息设备,便携式游戏设备)等各种类型的终端设备,也可以实施为带有身份认证功能的服务器,比如部署于统一身份认证后台的服务器。
下面将参考附图对本发明实施例的身份认证的处理系统的示例性应用进行说明。参见图2,图2为本发明实施例提供的身份认证的处理系统10的一个可选的架构示意图,为实现支撑的一个示例性应用,终端100(图2中示例性示出了终端100-1和终端100-2)可以在统一登录界面中输入不同种类的身份信息,并接收服务器300在授权终端100登录后所分配的对应第三方应用的操作权限。这里,终端100可以基于各种无线通信方式,或者有线通信方式,通过网络200与服务器300进行连接。其中,网络200可以是广域网或者局域网,又或者是二者的组合,使用无线链路实现数据传输。
在一些实施例中,终端100通过网络200向服务器300提交待验证的身份信息,并调用服务器300提供的身份认证功能来执行本发明实施例提供的身份认证的处理方法,具体地,在获取到终端100提交的待验证的身份信息后,首先在多个密码策略中确定用于验证身份信息的目标密码策略,然后,基于目标密码策略对终端100提交的待验证的身份信息进行身份认证,当基于目标密码策略对终端100提交的待验证的身份信息进行身份认证通过时,则授权终端100基于身份信息登录第三方应用,并在终端100登录第三应用之后,服务器300还可以基于目标密码策略对应的安全分级,为终端100分配在登录第三方应用后所具有的操作权限,以及基于操作权限控制终端100在登录第三方应用后的操作。
在实际实施时,当服务器300为终端100分配在登录第三方应用后所具有的操作权限后,还可以向终端100发送通知消息,所述通知消息用于指示通知终端100当前登录第三方应用后具有的操作权限。其中,终端100可以在图形界面110(图2中示例性示出了图形界面110-1和图形界面110-2)中显示上述接收到的通知消息,以便终端100对应的用户根据通知消息选择执行与操作权限对应的操作。
接下来继续对实施本发明实施例的身份认证的处理方法的电子设备的硬件结构进行说明。电子设备可以实施为带有身份认证功能的终端设备,还可以实施为如图2示出的带有身份认证功能的服务器300。
参见图3,图3为本发明实施例提供的电子设备30的一个可选的硬件结构示意图,可以理解,图3仅仅示出了电子设备的示例性结构而非全部结构,根据需要可以实施图3示出的部分结构或全部结构。本发明实施例提供的电子设备30包括:至少一个处理器310、存储器350、至少一个网络接口320和用户接口330。电子设备30中的各个组件通过总线系统340耦合在一起。可理解,总线系统340用于实现这些组件之间的连接通信。总线系统340除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图3中将各种总线都标为总线系统340。
处理器310可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
用户接口330包括使得能够呈现媒体内容的一个或多个输出装置331,包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口330还包括一个或多个输入装置332,包括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。
存储器350可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器350可选地包括在物理位置上远离处理器310的一个或多个存储设备。
存储器350包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Memory),易失性存储器可以是随机存取存储器(RAM,Random Access Memory)。本发明实施例描述的存储器350旨在包括任意适合类型的存储器。
在一些实施例中,存储器350能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作系统351,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块352,用于经由一个或多个(有线或无线)网络接口320到达其他计算设备,示例性的网络接口320包括:蓝牙、无线相容性认证(WiFi)、和通用串行总线(USB,Universal Serial Bus)等;
呈现模块353,用于经由一个或多个与用户接口330相关联的输出装置331(例如,显示屏、扬声器等)使得能够呈现信息(例如,用于操作外围设备和显示内容和信息的用户接口);
输入处理模块354,用于对一个或多个来自一个或多个输入装置332之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。
在一些实施例中,本发明实施例提供的身份认证的处理装置可以采用软件方式实现,图3示出了存储在存储器350中的身份认证的处理装置355,其可以是程序和插件等形式的软件,包括一系列的软件模块,参见图4,图4为本发明实施例提供的身份认证的处理装置355的一个可选的组成结构示意图,例如,本发明实施例提供的身份认证的处理装置355包括获取单元3551、确定单元3552、授权单元3553、分配单元3554和控制单元3555,这些单元的功能是逻辑上的,因此,根据各软件模块所实现的功能可以进行任意的组合或进一步的拆分。需要说明的是,对于图4所示的本发明实施例提供的身份认证的处理装置355中的各个单元的具体功能,将在下文进行说明。
在另一些实施例中,本发明实施例提供的身份认证的处理装置355可以采用硬件方式实现,作为示例,本发明实施例提供的身份认证的处理装置355可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的身份认证的处理方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,ApplicationSpecific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable LogicDevice)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件。
下面将结合本发明实施例提供的电子设备的示例性应用和实施,对本发明实施例提供的身份认证的处理方法的实现进行说明。参见图5A,图5A为本发明实施例提供的身份认证的处理方法的一个可选的流程示意图,下面以部署于统一身份认证后台的服务器为例,结合图5A示出的步骤进行说明。
步骤501,获取客户端提交的身份信息。
在本发明实施例中,客户端提交的身份信息为用于对用户进行身份认证的信息,包括但不限于用户名密码信息、生物特征信息。其中,用户名密码信息中的密码可以是静态密码,也可以是动态码;生物特征信息包括但不限于人脸、指纹、虹膜等信息。
通常来说,静态密码中一般要求必须包含字母,例如,用户名为“张三”,对应的静态密码为“zhangsan-1980$”,而动态码是仅包括纯数字的密码,一般可以是固定数字和按照密钥生成的基于时间的一次性密码(TOTP,Time-based One-time Password algorithm)的组合,也可以是一次性密码(OTP,One-time Password),手机验证码,或者通用二次验证(U2F,Universal 2nd Factor)生成的密码。其中,固定数字的位数及TOTP的位数并不限定,优选的,固定数字的位数及TOTP的位数为6位,密码的位数越高则安全性越高。例如,用户名为“张三”,对应的动态码包括由张三自己设置的固定数字“666859”,以及按照密钥生成的六位TOTP“123589”。需要说明的是,TOTP可以是手机验证码,通常TOTP具有时效性,也就是说,TOTP在有效的时间段内具有有效性,当时间间隔超过时间阈值比如30秒后,则TOTP将无效。密钥仅存储于安全的服务器中,以保证动态码的安全性。
在一些实施例中,客户端可通过统一登录界面输入并提交身份信息,以身份信息为用户名密码信息为例,参见图6A至图6C,图6A至图6C分别为本发明实施例提供的统一登录界面的显示示意图,可见,在密码输入位置处,根据界面上的提示消息用户可输入相应类型的密码,即输入“密码”或“动态码”,这里的“密码”实际上为前述的静态密码。
在图6A中,对于普通的互联网应用的登录来说,用户可通过输入“用户名”和“密码或动态码”的方式进行登录,当互联网应用为敏感系统时,则强制要求必须验证动态码,此时密码输入处将变为图6B所示的“输入动态码”,即用户在统一登录界面中只能通过输入动态码进行登录,若此时该用户仍然输入静态密码,则统一登录界面中将显示如图6C所示的提示消息“您输入的是静态密码,请输入动态码,以访问敏感应用”,此时用户应当根据提示消息输入动态码进行登录,否则互联网应用将限制该用户登录。
在一些实施例中,参见图5B,图5B为本发明实施例提供的身份认证的处理方法的一个可选的流程示意图,基于图5A,上述步骤501中的获取客户端提交的身份信息,还可以通过以下步骤5011和步骤5012来实现,下面将结合各步骤进行说明。
步骤5011,获取客户端提交的票据信息。
步骤5012,对票据信息进行校验,当对票据信息进行校验通过时,获取票据信息对应的客户端的身份信息。
在本发明实施例中,票据信息可为具有一定随机性的字符串,安全性较高,通常攻击者无法猜解和伪造票据信息,因此,当客户端出示票据信息时,带有身份认证功能的服务器在接收到客户端提交的票据信息后,对票据信息进行校验,当对票据信息进行校验通过时,表明出示票据信息的客户端为具有可信身份的客户端,此时,带有身份认证功能的服务器可以获取票据信息对应的客户端的身份信息。可见,本发明实施例通过对客户端提交的票据信息进行校验的操作能够避免恶意攻击者的攻击,保证客户端为合法用户的同时,提高获取客户端的身份信息的准确度。
步骤502,在多个密码策略中确定用于验证所述身份信息的目标密码策略。
在一些实施例中,参见图5C,图5C为本发明实施例提供的身份认证的处理方法的一个可选的流程示意图,基于图5A,上述步骤502中的在多个密码策略中确定用于验证所述身份信息的目标密码策略,还可以通过以下步骤5021至步骤5023来实现,下面将结合各步骤进行说明。
步骤5021,对身份信息进行识别,确定身份信息的类别。
步骤5022,基于身份信息的类别,从多个密码策略中遍历查找与身份信息的类别相匹配的密码策略。
步骤5023,将查找到的与身份信息的类别相匹配的密码策略,确定为用于验证身份信息的目标密码策略。
在本发明实施例中,通过对客户端提交的身份信息进行解析,获得身份信息包括的具体内容,进而根据身份信息的具体内容来确定身份信息的类别,例如,若客户端提交的身份信息为包含字母的密码,则可通过判断密码中包含字母来确定身份信息的类别属于字母类的静态密码,又例如,若客户端提交的身份信息为纯数字类的身份信息,则可通过判断密码中仅包含纯数字来确定身份信息的类别属于动态码。当然,在本发明实施例中,身份信息的类别并不仅限于字母类的静态密码和纯数字类的动态码,还可以包括生物特征类的身份信息。多个密码策略包括两个或两个以上互斥的密码策略,如静态密码策略,动态码策略等。
在一些实施例中,对于从多个密码策略中遍历查找与身份信息的类别相匹配的密码策略的实现方式来说,可对多个密码策略进行依次遍历,根据预先设置的身份信息的类别与密码策略的映射关系,查找与身份信息的类别相匹配的密码策略。在一些示例中,为了提高查询目标密码策略的效率,本发明实施例中可对多个密码策略中的各个密码策略进行顺序的遍历查找。
在一些实施例中,带有身份认证功能的服务器在多个密码策略中确定用于验证所述身份信息的目标密码策略之后,就可以基于确定的目标密码策略对身份信息进行身份认证,以确定是否可以授权客户端登录第三方应用。在一些示例中,身份认证的处理方法还可包括:在确定用于验证所述身份信息的目标密码策略之后,对所述目标密码策略进行验证,当对所述目标密码策略进行验证通过时,基于验证通过的所述目标密码策略对所述身份信息进行身份认证。
这里,本发明实施例通过对目标密码策略进行验证的操作可以确保提交正确的身份信息的合法用户才能通过身份认证,不同的密码策略对应不同的验证过程,通常采用的验证方法为查询数据库或者按照密码算法如TOTP算法来对目标密码策略进行验证,例如,当确定的目标密码策略为静态密码策略时,则可校验客户端提交的静态密码是否与数据库中存储的密码匹配,若匹配成功则可基于验证通过的所述目标密码策略对所述身份信息进行身份认证。
步骤503,当基于所述目标密码策略对所述身份信息进行身份认证通过时,授权所述客户端基于所述身份信息登录第三方应用。
在本发明实施例中,当带有身份认证功能的服务器基于目标密码策略对客户端提交的身份信息进行身份认证通过时,表明提交身份信息的客户端具有可信身份,则可授权该客户端能够基于身份信息登录第三方应用;当基于目标密码策略对客户端提交的身份信息进行身份认证未通过时,表明提交身份信息的客户端不具有可信身份,则不能授权该客户端基于身份信息登录第三方应用。
在一些实施例中,身份认证的处理方法还包括:检测所述客户端提交所述身份信息时的当前登录方式,以及所述客户端的历史登录方式;将所述当前登录方式与所述历史登录方式进行比对,当确定所述当前登录方式与所述历史登录方式均不一致时,对提交所述身份信息的客户端进行鉴权;当鉴权通过时,基于所述目标密码策略对所述身份信息进行身份认证。这里,当客户端提交身份信息时的当前登录方式与采用的历史登录方式均不一致时,则该客户端有可能被怀疑不具有可信身份,此时需要对该客户端进行进一步鉴权以确认客户端具有合法身份,保证信息的安全性,因此,只有当对提交身份信息的客户端进行鉴权通过时,才能够基于目标密码策略对身份信息进行身份认证。
在另一些实施例中,身份认证的处理方法还包括:当鉴权未通过时,向所述客户端发送重新提交身份信息的提示消息;在接收到所述客户端重新提交的身份信息后,基于所述目标密码策略对所述重新提交的身份信息进行身份认证。
在另一些实施例中,身份认证的处理方法还包括:在向所述客户端发送重新提交身份信息的提示消息之后,检测所述客户端输入身份信息的次数是否超过次数阈值;当确定所述客户端输入身份信息的次数超过所述次数阈值时,向所述客户端发送拒绝重新输入身份信息的消息;当确定所述客户端输入身份信息的次数未超过所述次数阈值时,向所述客户端发送允许重新输入身份信息的消息。
步骤504,基于所述目标密码策略对应的安全分级,为所述客户端分配在登录所述第三方应用后具有的操作权限。
在一些实施例中,身份认证的处理方法还包括:对所述目标密码策略进行识别,确定所述目标密码策略对应的安全分级。在本发明实施例中,不同的密码策略对应不同的安全分级,密码策略对应的安全分级的级数可以根据互联网应用,如企业应用的需求进行设置,在此不做限定。通常来说,密码策略对应的安全分级至少为两级,当然,当企业应用的规模非常大时,为了提高管理企业应用的效率和便利性,可以将密码策略对应的安全分级设置为三级或者更多级。
在一些实施例中,身份认证的处理方法还包括:向所述客户端发送通知消息,所述通知消息用于指示通知所述客户端当前登录所述第三方应用后具有的操作权限。也就是说,客户端通过接收带有身份认证功能的服务器发送的通知消息,可以快速获知自身当前登录第三方应用后具有的操作权限,进而客户端能够准确进行对应操作权限的操作,提升用户的操作体验。
步骤505,基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作。
在一些实施例中,参见图5D,图5D为本发明实施例提供的身份认证的处理方法的一个可选的流程示意图,基于图5A,上述步骤505中的基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作,还可以通过以下步骤5051至步骤5054来实现,下面将结合各步骤进行说明。
步骤5051,接收客户端提交的待执行操作。
在本发明实施例中,客户端提交的待执行操作可以包括但不限于查看基本信息的操作,查看核心信息的操作,支付操作,修改或删除信息的操作等。
步骤5052,确定提交待执行操作的客户端是否具有相应的操作权限,当确定客户端具有相应的操作权限时,则执行步骤5053,否则执行步骤5054。
步骤5053,对客户端提交的待执行操作进行响应。
步骤5054,对客户端提交的待执行操作进行拒绝。
在本发明实施例中,带有身份认证功能的服务器可根据待执行操作对应的数据的存储位置来确定对客户端提交的待执行操作进行控制的方式。其中,客户端提交的待执行操作对应的数据的存储位置包括客户端本地和后台。具体来说,基于操作权限控制客户端在登录第三方应用后的操作可以包括以下两种情况:
第一种情况,若客户端提交的待执行操作是针对客户端本地数据的读写或删除操作时,则带有身份认证功能的服务器需要通知客户端当前登录第三方应用后具有的操作权限,然后由客户端自身对提交的待执行操作进行控制;
第二种情况,若客户端提交的待执行操作是针对后台数据的读写、删除、支付等操作时,则后台服务器可直接根据操作权限对客户端提交的待执行操作进行控制。
采用本发明实施例提供的技术方案,通过获取客户端提交的身份信息,从互斥的多个密码策略中确定目标密码策略,然后基于目标密码策略在一次交互中完成对身份信息的身份认证,避免用户的正常操作被打断,简化了应用与身份认证系统之间的交互过程,从而能够在保证安全性的同时,提高了用户的操作体验和身份认证的效率;本发明实施例基于目标密码策略对应的安全分级,来为用户分配登录后的操作权限,能够在提高身份认证的效率的基础上,提高用户进行对应操作权限的操作的效率和准确度。
下面,将说明本发明实施例在一个实际的应用场景中的示例性应用。
以客户端提交的身份信息为“密码(即静态密码)”或“动态码”为例,对本发明实施例提供的身份认证的处理方法的实现原理进行说明。参见图7,图7为本发明实施例提供的身份认证的处理方法的一个可选的原理结构示意图,用户可以通过图6A、图6B、图6C中的任意一个统一登录界面输入待验证的身份信息,统一身份认证后台的服务器在接收到用户输入并提交的待验证的身份信息后,依次遍历两个或两个以上互斥的密码策略,从多个互斥的密码策略中确定与待验证的身份信息的类别相匹配的目标密码策略,接下来对目标密码策略进行验证,当对目标密码策略进行验证通过时,则基于验证通过的目标密码策略对待验证的身份信息进行身份认证,当对待验证的身份信息进行身份认证通过时,统一身份认证后台授权客户端登录,并基于识别出的目标密码策略对应的安全分级为客户端分配登录后的操作权限,还可向客户端发送通知消息,以通知客户端当前登录第三方应用后具有对应操作权限的操作。
举例来说,例如,如果用户输入的是包含字母的静态密码,则确定目标密码策略为静态密码策略,静态密码策略对应的安全分级低,即静态密码策略为低安全的密码策略,此时统一身份认证后台分配给客户端登录后的操作权限也相应较低,即只允许客户端的用户访问基本信息;又例如,如果用户输入的是纯数字的TOTP类的动态码,则确定目标密码策略为动态码策略,动态码策略对应的安全分级高,即动态码策略为高安全的密码策略,此时统一身份认证后台分配给客户端登录后的操作权限也相应较高,即可以允许客户端进行敏感操作,比如删除或修改信息、支付操作等。
在实际应用中,互联网应用为企业应用时,也会遇到一部分“访客”用户,如合作伙伴登录企业应用进行一定的操作,通常这类用户能够访问有限的企业内资源,一般通过“密码”方式对待验证的身份信息进行身份认证,且在身份认证通过后只能访问企业相关的基本信息,无法进行敏感操作;而对于企业内部的员工来说,一般优先使用“动态码”的方式进行身份验证,且在身份认证通过后可以进行敏感操作。
本发明实施例提供的技术方案采用一致的登录交互界面,使得对应输入“只允许动态码”和“只允许静态密码”的两类用户无需自己判断、无需选择登录方式,由统一身份认证后台根据从多个密码策略中确定的目标密码策略,对待验证的身份信息进行身份认证,提升了各类用户的操作体验和验证效率。本发明实施例将基础身份认证和二次认证的过程进行合并,简化了企业内统一身份认证的交互过程,在保证安全性的同时,还提高了身份认证的效率;同时对“访客”用户的认证提供了友好的支持,避免“访客”用户因选择不匹配的登录方式而导致的无法登录。
接下来对本发明实施例提供的身份认证的处理装置355的软件实现进行说明。
以上述实施本发明实施例的身份认证的处理方法的电子设备30中的存储器350所包括的软件模块为例进行说明,对于下文关于模块的功能说明中未尽的细节,可以参考上文而理解。
获取单元3551,用于获取客户端提交的身份信息;确定单元3552,用于在多个密码策略中确定用于验证所述身份信息的目标密码策略;授权单元3553,用于当基于所述目标密码策略对所述身份信息进行身份认证通过时,授权所述客户端基于所述身份信息登录第三方应用;分配单元3554,用于基于所述目标密码策略对应的安全分级,为所述客户端分配在登录所述第三方应用后具有的操作权限;控制单元3555,用于基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作。
在一些实施例中,就获取单元获取客户端提交的身份信息来说,可以采用以下方式实现:
获取所述客户端提交的票据信息;对所述票据信息进行校验,当对所述票据信息进行校验通过时,获取所述票据信息对应的客户端的身份信息。
在一些实施例中,就确定单元在多个密码策略中确定用于验证所述身份信息的目标密码策略来说,可以采用以下方式实现:
对所述身份信息进行识别,确定所述身份信息的类别;基于所述身份信息的类别,从所述多个密码策略中遍历查找与所述身份信息的类别相匹配的密码策略;将查找到的与所述身份信息的类别相匹配的密码策略,确定为用于验证所述身份信息的目标密码策略。
在一些实施例中,就控制单元基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作来说,可以采用以下方式实现:
确定提交待执行操作的客户端是否具有相应的操作权限;当所述客户端具有相应的操作权限时,对所述客户端提交的待执行操作进行响应;当所述客户端未具有相应的操作权限时,对所述客户端提交的待执行操作进行拒绝。
在一些实施例中,身份认证的处理装置还可包括:
第一发送单元,用于向所述客户端发送通知消息,所述通知消息用于指示通知所述客户端当前登录所述第三方应用后具有的操作权限。
在一些实施例中,身份认证的处理装置还可包括:
检测单元,用于检测所述客户端提交所述身份信息时的当前登录方式,以及所述客户端的历史登录方式;
比对单元,用于将所述当前登录方式与所述历史登录方式进行比对;
鉴权单元,用于当确定所述当前登录方式与所述历史登录方式均不一致时,对提交所述身份信息的客户端进行鉴权;
认证单元,用于当鉴权通过时,基于所述目标密码策略对所述身份信息进行身份认证。
在另一些实施例中,身份认证的处理装置还可包括:
第二发送单元,用于当鉴权未通过时,向所述客户端发送重新提交身份信息的提示消息;
所述认证单元,还用于在接收到所述客户端重新提交的身份信息后,基于所述目标密码策略对所述重新提交的身份信息进行身份认证。
在一些实施例中,身份认证的处理装置还可包括:
验证单元,用于在所述确定单元确定用于验证所述身份信息的目标密码策略之后,对所述目标密码策略进行验证;
所述认证单元,还用于当对所述目标密码策略进行验证通过时,基于验证通过的所述目标密码策略对所述身份信息进行身份认证。
本发明实施例还提供了一种存储介质,存储有可执行指令,所述可执行指令被执行时,用于实现本发明实施例提供的身份认证的处理方法,例如,如图5A至图5D、图7示出的方法。
在一些实施例中,存储介质具体可为计算机可读存储介质,例如可以是铁电随机存取存储器(FRAM,ferromagnetic random access memory)、ROM、PROM、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘或只读光盘(CD-ROM,Compact Disc Read-Only Memory)等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
作为示例,可执行指令可以但不一定对应于文件系统中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(HTML,Hyper TextMarkup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
作为示例,可执行指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
综上所述,本发明实施例的技术方案具有以下有益效果:
本发明实施例获取客户端提交的身份信息,通过目标密码策略在一次交互中完成对身份信息的身份认证,避免用户的正常操作被打断,简化了应用与身份认证系统之间的交互过程,从而能够在保证安全性的同时,提高了用户的操作体验和身份认证的效率;另外,本发明实施例还可以基于目标密码策略对应的安全分级,来为用户分配登录后的操作权限,能够在提高身份认证的效率的基础上,提高用户进行对应操作权限的操作的效率和准确度。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种身份认证的处理方法,其特征在于,所述方法包括:
获取客户端提交的身份信息;
在多个密码策略中确定用于验证所述身份信息的目标密码策略;
当基于所述目标密码策略对所述身份信息进行身份认证通过时,授权所述客户端基于所述身份信息登录第三方应用,以及
基于所述目标密码策略对应的安全分级,为所述客户端分配在登录所述第三方应用后具有的操作权限;
基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作。
2.如权利要求1所述的方法,其特征在于,所述在多个密码策略中确定用于验证所述身份信息的目标密码策略,包括:
对所述身份信息进行识别,确定所述身份信息的类别;
基于所述身份信息的类别,从所述多个密码策略中遍历查找与所述身份信息的类别相匹配的密码策略;
将查找到的与所述身份信息的类别相匹配的密码策略,确定为用于验证所述身份信息的目标密码策略。
3.如权利要求1所述的方法,其特征在于,所述基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作,包括:
确定提交待执行操作的客户端是否具有相应的操作权限;
当所述客户端具有相应的操作权限时,对所述客户端提交的待执行操作进行响应;
当所述客户端未具有相应的操作权限时,对所述客户端提交的待执行操作进行拒绝。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
向所述客户端发送通知消息,所述通知消息用于指示通知所述客户端当前登录所述第三方应用后具有的操作权限。
5.如权利要求1所述的方法,其特征在于,所述获取客户端提交的身份信息,包括:
获取所述客户端提交的票据信息;
对所述票据信息进行校验,当对所述票据信息进行校验通过时,获取所述票据信息对应的客户端的身份信息。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述客户端提交所述身份信息时的当前登录方式,以及所述客户端的历史登录方式;
将所述当前登录方式与所述历史登录方式进行比对,当确定所述当前登录方式与所述历史登录方式均不一致时,对提交所述身份信息的客户端进行鉴权;
当鉴权通过时,基于所述目标密码策略对所述身份信息进行身份认证。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
当鉴权未通过时,向所述客户端发送重新提交身份信息的提示消息;
在接收到所述客户端重新提交的身份信息后,基于所述目标密码策略对所述重新提交的身份信息进行身份认证。
8.一种身份认证的处理装置,其特征在于,所述装置包括:
获取单元,用于获取客户端提交的身份信息;
确定单元,用于在多个密码策略中确定用于验证所述身份信息的目标密码策略;
授权单元,用于当基于所述目标密码策略对所述身份信息进行身份认证通过时,授权所述客户端基于所述身份信息登录第三方应用;
分配单元,用于基于所述目标密码策略对应的安全分级,为所述客户端分配在登录所述第三方应用后具有的操作权限;
控制单元,用于基于所述操作权限,控制所述客户端在登录所述第三方应用后的操作。
9.一种电子设备,其特征在于,所述电子设备包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现如权利要求1至7任一项所述的身份认证的处理方法。
10.一种存储介质,其特征在于,存储有可执行指令,所述可执行指令被执行时,用于实现如权利要求1至7任一项所述的身份认证的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911015415.5A CN110781468A (zh) | 2019-10-24 | 2019-10-24 | 一种身份认证的处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911015415.5A CN110781468A (zh) | 2019-10-24 | 2019-10-24 | 一种身份认证的处理方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110781468A true CN110781468A (zh) | 2020-02-11 |
Family
ID=69387075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911015415.5A Pending CN110781468A (zh) | 2019-10-24 | 2019-10-24 | 一种身份认证的处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110781468A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111582869A (zh) * | 2020-04-21 | 2020-08-25 | 海南电网有限责任公司 | 信息安全防护方法、装置及设备 |
| CN112131588A (zh) * | 2020-09-25 | 2020-12-25 | 北京锐安科技有限公司 | 应用访问方法、装置、电子设备和存储介质 |
| CN112202708A (zh) * | 2020-08-24 | 2021-01-08 | 国网山东省电力公司 | 身份认证方法、装置、电子设备及存储介质 |
| CN112613020A (zh) * | 2020-12-31 | 2021-04-06 | 中国农业银行股份有限公司 | 一种身份验证方法及装置 |
| CN112632521A (zh) * | 2020-12-23 | 2021-04-09 | 北京达佳互联信息技术有限公司 | 一种请求响应方法、装置、电子设备和存储介质 |
| CN112685702A (zh) * | 2020-02-28 | 2021-04-20 | 乐清市川嘉电气科技有限公司 | 一种外来访客的智能动态授权系统 |
| CN113158172A (zh) * | 2021-02-26 | 2021-07-23 | 山东英信计算机技术有限公司 | 一种基于芯片的密码获取方法、装置、设备及存储介质 |
| CN113392417A (zh) * | 2021-06-30 | 2021-09-14 | 上海和数软件有限公司 | 一种用于数字资产兑换的数字签名方法 |
| CN114499992A (zh) * | 2021-12-30 | 2022-05-13 | 上海芯希信息技术有限公司 | 登录方法、系统、用户设备及存储介质 |
| CN115189960A (zh) * | 2022-07-18 | 2022-10-14 | 西安热工研究院有限公司 | 一种将静态密码与动态口令相结合的认证方法 |
-
2019
- 2019-10-24 CN CN201911015415.5A patent/CN110781468A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112685702A (zh) * | 2020-02-28 | 2021-04-20 | 乐清市川嘉电气科技有限公司 | 一种外来访客的智能动态授权系统 |
| CN111582869A (zh) * | 2020-04-21 | 2020-08-25 | 海南电网有限责任公司 | 信息安全防护方法、装置及设备 |
| CN112202708A (zh) * | 2020-08-24 | 2021-01-08 | 国网山东省电力公司 | 身份认证方法、装置、电子设备及存储介质 |
| CN112131588A (zh) * | 2020-09-25 | 2020-12-25 | 北京锐安科技有限公司 | 应用访问方法、装置、电子设备和存储介质 |
| CN112632521B (zh) * | 2020-12-23 | 2024-03-12 | 北京达佳互联信息技术有限公司 | 一种请求响应方法、装置、电子设备和存储介质 |
| CN112632521A (zh) * | 2020-12-23 | 2021-04-09 | 北京达佳互联信息技术有限公司 | 一种请求响应方法、装置、电子设备和存储介质 |
| CN112613020A (zh) * | 2020-12-31 | 2021-04-06 | 中国农业银行股份有限公司 | 一种身份验证方法及装置 |
| CN113158172A (zh) * | 2021-02-26 | 2021-07-23 | 山东英信计算机技术有限公司 | 一种基于芯片的密码获取方法、装置、设备及存储介质 |
| CN113158172B (zh) * | 2021-02-26 | 2022-03-22 | 山东英信计算机技术有限公司 | 一种基于芯片的密码获取方法、装置、设备及存储介质 |
| CN113392417B (zh) * | 2021-06-30 | 2022-06-03 | 上海和数软件有限公司 | 一种用于数字资产兑换的数字签名方法 |
| CN113392417A (zh) * | 2021-06-30 | 2021-09-14 | 上海和数软件有限公司 | 一种用于数字资产兑换的数字签名方法 |
| CN114499992A (zh) * | 2021-12-30 | 2022-05-13 | 上海芯希信息技术有限公司 | 登录方法、系统、用户设备及存储介质 |
| CN115189960A (zh) * | 2022-07-18 | 2022-10-14 | 西安热工研究院有限公司 | 一种将静态密码与动态口令相结合的认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110781468A (zh) | 一种身份认证的处理方法、装置、电子设备及存储介质 | |
| US9967261B2 (en) | Method and system for secure authentication | |
| US11601412B2 (en) | Securely managing digital assistants that access third-party applications | |
| US8984597B2 (en) | Protecting user credentials using an intermediary component | |
| US10805301B2 (en) | Securely managing digital assistants that access third-party applications | |
| US9398009B2 (en) | Device driven user authentication | |
| US9906520B2 (en) | Multi-user authentication | |
| US10922401B2 (en) | Delegated authorization with multi-factor authentication | |
| AU2012261635B2 (en) | Methods and Systems for Increasing the Security of Network- Based Transactions | |
| US8868921B2 (en) | Methods and systems for authenticating users over networks | |
| US8990906B2 (en) | Methods and systems for replacing shared secrets over networks | |
| US10110578B1 (en) | Source-inclusive credential verification | |
| US20100083353A1 (en) | Personalized user authentication process | |
| US20240098092A1 (en) | Login and authentication methods and systems | |
| US10282537B2 (en) | Single prompt multiple-response user authentication method | |
| US20180137268A1 (en) | Authentication screen | |
| US20180203988A1 (en) | System and Method for Multiple Sequential Factor Authentication for Display Devices | |
| EP3762843B1 (en) | A one-click login procedure | |
| EP3759629B1 (en) | Method, entity and system for managing access to data through a late dynamic binding of its associated metadata | |
| KR101545897B1 (ko) | 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템 | |
| CN108668260B (zh) | 一种sim卡数据自毁方法、sim卡、装置及服务器 | |
| US20150007293A1 (en) | User authentication utilizing patterns | |
| KR101068768B1 (ko) | 작업승인 기반 보안 커널의 접근통제 방법 | |
| US20230020445A1 (en) | Systems and methods for controlling access to data records | |
| US11665159B2 (en) | Secure resource access by amalgamated identities and distributed ledger |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40022619 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |