CN111143822A - 一种应用系统访问方法及装置 - Google Patents
一种应用系统访问方法及装置 Download PDFInfo
- Publication number
- CN111143822A CN111143822A CN201911349957.6A CN201911349957A CN111143822A CN 111143822 A CN111143822 A CN 111143822A CN 201911349957 A CN201911349957 A CN 201911349957A CN 111143822 A CN111143822 A CN 111143822A
- Authority
- CN
- China
- Prior art keywords
- access
- authorization
- application system
- identity information
- enterprise identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种应用系统访问方法,包括目标应用系统的授权客户端根据接收到的访问请求与授权设备生成授权码,并从授权设备中获取企业身份信息,将授权码和企业身份信息发送至授权中心和访问系统;访问系统将授权码和企业身份信息发送至授权中心;授权中心判断访问系统发送的授权码和企业身份信息与授权客户端发送的授权码和企业身份信息是否一致,若是,则根据授权码和企业身份信息生成访问令牌,并将访问令牌发送至访问系统;访问系统利用访问令牌对目标应用系统进行访问;该方法可以更为安全有效的实现对第三方应用系统的访问,避免信息泄露。本申请还公开了一种应用系统访问装置,也具有上述有益效果。
Description
技术领域
本申请涉及信息安全领域,特别涉及一种应用系统访问方法,还涉及一种应用系统访问装置。
背景技术
企业应用系统是运行于企业内部的软件系统,不同运营商开发的应用系统具有不同的业务功能或拥有不同的业务数据。随着企业信息化程度的不断提高,一个企业应用系统为提高用户体验,使得功能或数据更为丰富,往往需要向另外一个第三方应用系统获取所需要的数据或者使用第三方应用系统的功能。其中,在系统与系统的交互过程中,如何获得第三方应用系统的信任,保证数据交互或功能执行安全,目前主要采用的是用户账号授权的方式,但是,用户账号授权过于简单,一旦出现用户账号被非法盗取的情况,应用系统将面临极大的信息泄露风险。
因此,如何安全有效的实现对第三方应用系统的访问,避免信息泄露,保证应用系统的正常运行是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种应用系统访问方法,该应用系统访问方法可以更为安全有效的实现对第三方应用系统的访问,避免了信息泄露,保证了应用系统的正常运行;本申请的另一目的是提供一种应用系统访问装置,也具有上述有益效果。
为解决上述技术问题,本申请提供了一种应用系统访问方法,所述应用系统访问方法包括:
目标应用系统的授权客户端根据接收到的访问请求与授权设备生成授权码,并从所述授权设备中获取企业身份信息,将所述授权码和所述企业身份信息发送至授权中心和访问系统;
所述访问系统将所述授权码和所述企业身份信息发送至所述授权中心;
所述授权中心判断所述访问系统发送的授权码和企业身份信息与所述授权客户端发送的授权码和企业身份信息是否一致,若是,则根据所述授权码和所述企业身份信息生成访问令牌,并将所述访问令牌发送至所述访问系统;
所述访问系统利用所述访问令牌对所述目标应用系统进行访问。
优选的,授权客户端根据所述访问请求与授权设备生成授权码,包括:
所述授权客户端根据所述访问请求判断是否与所述授权设备建立连接;
若否,则发起提示信息至所述访问系统;
若是,则响应授权码生成指令,生成具备有效期的所述授权码。
优选的,所述将所述授权码和所述企业身份信息发送至授权中心,包括:
所述授权客户端对所述授权码和所述企业身份信息进行加密处理,获得加密信息;
将所述加密信息发送至所述授权中心。
优选的,所述将所述授权码和所述企业身份信息发送至授权中心之后,还包括:
所述授权中心对所述加密信息进行解密,获得所述授权码和所述企业身份信息;
对所述授权码和所述企业身份信息进行保存。
优选的,所述访问系统将所述授权码和所述企业身份信息发送至所述授权中心,包括:
所述访问系统根据所述授权码和所述企业身份信息生成http请求,并将所述http请求发送至所述目标应用系统;
所述目标应用系统将所述http请求转发至所述授权中心。
优选的,所述访问系统利用所述访问令牌对所述目标应用系统进行访问,包括:
当所述访问请求为数据获取请求时,所述访问系统将所述数据获取请求和所述访问令牌发送至所述授权中心;
所述授权中心对所述访问令牌进行校验,当校验通过时,将校验通过信息发送至所述目标应用系统;
所述目标应用系统根据所述校验通过信息将所述数据获取请求对应的目标数据发送至所述访问系统。
优选的,所述访问系统利用所述访问令牌对所述目标应用系统进行访问,包括:
当所述访问请求为业务处理请求时,所述访问系统将所述业务处理请求和所述访问令牌发送至所述授权中心;
所述授权中心对所述访问令牌进行校验,当校验通过时,将校验通过信息发送至所述目标应用系统;
所述目标应用系统根据所述校验通过信息执行所述业务处理请求,获得执行结果,并将所述执行结果发送至所述访问系统。
优选的,所述访问系统利用所述访问令牌对所述目标应用系统进行访问,包括:
当所述访问请求为页面访问请求时,所述访问系统将所述页面访问请求和所述访问令牌发送至所述授权中心;
所述授权中心对所述访问令牌进行校验,当校验通过时,将校验通过信息发送至所述目标应用系统;
所述目标应用系统根据所述校验通过信息重定向到所述页面访问请求对应的功能页面。
优选的,所述应用系统访问方法还包括:
生成所述访问请求对应的访问记录,并保存所述访问记录。
为解决上述技术问题,本申请还提供了一种应用系统访问装置,所述应用系统访问装置包括:
目标应用系统的授权客户端,用于根据接收到的访问请求与授权设备生成授权码,并从所述授权设备中获取企业身份信息,将所述授权码和所述企业身份信息发送至授权中心和所述访问系统;
所述授权设备,用于存储所述企业身份信息;
所述访问系统,用于将所述授权码和所述企业身份信息发送至授权中心;并利用授权中心发送的访问令牌对所述目标应用系统进行访问;
所述授权中心,用于判断所述访问系统发送的授权码和企业身份信息与所述授权客户端发送的授权码和企业身份信息是否一致,若是,则根据所述授权码和所述企业身份信息生成访问令牌,并将所述访问令牌发送至所述访问系统。
本申请所提供的一种应用系统访问方法,包括目标应用系统的授权客户端根据接收到的访问请求与授权设备生成授权码,并从所述授权设备中获取企业身份信息,将所述授权码和所述企业身份信息发送至授权中心和访问系统;所述访问系统将所述授权码和所述企业身份信息发送至所述授权中心;所述授权中心判断所述访问系统发送的授权码和企业身份信息与所述授权客户端发送的授权码和企业身份信息是否一致,若是,则根据所述授权码和所述企业身份信息生成访问令牌,并将所述访问令牌发送至所述访问系统;所述访问系统利用所述访问令牌对所述目标应用系统进行访问。
可见,本申请所提供的应用系统访问方法,引入第三方授权中心实现被访问应用系统,即上述目标应用系统对发起访问请求的访问系统的授权,通过授权中心对访问系统进行合法性校验,保证了访问系统身份的合法性和安全性,进而实现了访问系统对目标应用系统的安全访问,有效避免了目标应用系统遭受非法攻击进而出现信息泄露的问题,有效保证了应用系统的安全运行。
本申请所提供的一种应用系统访问装置,也具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请所提供的一种应用系统访问方法的流程示意图;
图2为本申请所提供的一种基于应用系统访问实现系统数据获取的方法的流程示意图;
图3为本申请所提供的一种基于应用系统访问实现系统业务执行的方法的流程示意图;
图4为本申请所提供的一种基于应用系统访问实现系统页面重定向的方法的流程示意图;
图5为本申请所提供的一种应用系统访问装置的结构示意图。
具体实施方式
本申请的核心是提供一种应用系统访问方法,该应用系统访问方法可以更为安全有效的实现对第三方应用系统的访问,避免了信息泄露,保证了应用系统的正常运行;本申请的另一核心是提供一种应用系统访问装置,也具有上述有益效果。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
请参考图1,图1为本申请所提供的一种应用系统访问方法的流程示意图,该应用系统访问方法可以包括:
S101:目标应用系统的授权客户端根据接收到的访问请求与授权设备生成授权码,并从授权设备中获取企业身份信息,将授权码和企业身份信息发送至授权中心和访问系统;
本步骤旨在实现授权码和企业身份信息的获取和下发,具体的,一个企业往往会使用不同开发商的应用系统进行业务处理,进而通过系统间的相互访问获取更为丰富的系统资源,以保证用户体验。在系统访问过程中,用户向目标访问系统的授权客户端发起访问请求,其中,访问系统即为企业自身的应用系统,目标访问系统即为被访问的应用系统,也即第三方应用系统,另外,授权客户端可以独立于目标访问系统,也可以为目标访问系统的子系统。进一步,授权客户端会与授权设备生成唯一的授权码,该授权码主要用于实现对访问系统的安全性验证,其生成过程可采用已有技术中的任意一种,本申请对此不做限定;同时,从授权设备中获取企业身份信息,该企业身份信息即为访问系统的身份信息;进一步,将授权码和企业身份信息分别发送至访问系统和授权中心,以便访问系统实现对目标应用系统进行访问,以及便于授权中心实现对访问系统进行安全性验证。其中,授权设备是一个usb设备,用于存放企业身份信息。
优选的,上述授权客户端根据访问请求与授权设备生成授权码,可以包括:授权客户端根据访问请求判断是否与授权设备建立连接;若否,则发起提示信息至访问系统;若是,则响应授权码生成指令,生成具备有效期的所述授权码。
具体的,可通过授权客户端与授权设备之间建立连接实现授权码的生成,当授权客户端与授权设备未建立连接关系时,则无法生成授权码,此时,向访问系统发起提示信息,以提示用户为二者建立连接。可以理解的是,该授权码是由数字或字母组成的字符串,具备有效期限,只有在该有效期限内完成授权码验证,才可进行后续的应用系统访问。
优选的,上述将授权码发送至授权中心,可以包括:授权客户端对授权码和企业身份信息进行加密处理,获得加密信息;将加密信息发送至授权中心。
为有效保证授权码和企业身份信息的安全性,以提高系统安全,在将二者发送至授权中心之前,可先对其进行加密处理获得相应的加密信息,进而再将加密信息发送至授权中心。其中,授权码和企业身份信息的加密过程可采用已有技术中的任一种加密方法,如对称加密算法、非对称加密算法等,其具体类型并不影响本技术方案的实施。
优选的,上述将授权码和企业身份信息发送至授权中心之后,还可以包括:授权中心对加密信息进行解密,获得授权码和企业身份信息;对授权码和企业身份信息进行保存。
具体的,授权中心在接收到加密信息后,首先采用加密算法对应的解密算法对其进行解密获得授权码和企业身份信息,该授权码和企业身份信息即为用于后续对访问系统进行校验的标准信息,进一步,对该授权码企业身份信息进行保存即可。
S102:访问系统将授权码和企业身份信息发送至授权中心;
具体的,上述S102中目标应用系统将授权码和企业身份信息发送至访问系统,具体为将授权码和企业身份信息发送至访问系统的显示界面进行显示,以便用户在访问系统输入该授权码和企业身份信息,并上传至授权中心,以使授权中心对访问系统进行安全性验证。
优选的,上述访问系统将授权码和企业身份信息发送至授权中心,可以包括:访问系统根据授权码和企业身份信息生成http请求,并将http请求发送至目标应用系统;目标应用系统将http请求转发至授权中心。
本优选实施提供了一种较为具体的授权码的上传方式,即以http请求的形式实现。具体的,访问系统可先基于用户输入的授权码和企业身份信息生成http请求,进而通过目标应用系统将该http请求上传至授权中心。可以理解的是,除授权码和企业身份信息之外,http请求中还可以包括其他内容,如访问系统的相关信息等。
S103:授权中心判断访问系统发送的授权码和企业身份信息与授权客户端发送的授权码和企业身份信息是否一致,若是,则根据授权码和企业身份信息生成访问令牌,并将访问令牌发送至访问系统;
本步骤旨在实现对访问系统的合法性校验,具体的,授权中心在接收到访问系统上传的授权码和企业身份信息后,可调取目标应用系统上传的授权码和企业身份信息对其进行校验,若二者相同,则说明校验通过,此时即可基于该授权码和企业身份信息生成可用于进行应用系统访问的访问令牌,并将其反馈至访问系统。另外,当校验失败时,终止此次应用系统访问。
S104:访问系统利用访问令牌对目标应用系统进行访问。
本步骤旨在实现应用系统访问,访问系统利用授权中心下发的访问令牌对目标应用系统进行访问,以获取需要的系统资源即可。可以理解的是,访问系统对目标应用系统进行系统访问的具体内容并不影响本技术方案的实施,例如,可以为获取目标应用系统中的数据信息,也可以为利用目标应用系统执行某些业务操作,还可以是打开目标应用系统的某些功能页面,以获取有效信息,相应的具体实现过程可参照下文介绍。
优选的,上述访问系统利用访问令牌对目标应用系统进行访问,可以包括:当访问请求为数据获取请求时,访问系统将数据获取请求和访问令牌发送至授权中心;授权中心对访问令牌进行校验,当校验通过时,将校验通过信息发送至目标应用系统;目标应用系统根据校验通过信息将数据获取请求对应的目标数据发送至访问系统。
优选的,上述访问系统利用访问令牌对目标应用系统进行访问,可以包括:当访问请求为业务处理请求时,访问系统将业务处理请求和访问令牌发送至授权中心;授权中心对访问令牌进行校验,当校验通过时,将校验通过信息发送至目标应用系统;目标应用系统根据校验通过信息执行业务处理请求,获得执行结果,并将执行结果发送至访问系统。
优选的,上述访问系统利用访问令牌对目标应用系统进行访问,可以包括:当访问请求为页面访问请求时,访问系统将页面访问请求和访问令牌发送至授权中心;授权中心对访问令牌进行校验,当校验通过时,将校验通过信息发送至目标应用系统;目标应用系统根据校验通过信息重定向到页面访问请求对应的功能页面。
可见,以上三个优选实施例分别从获取目标应用系统数据信息,利用目标应用系统执行业务处理以及重定向目标应用系统的功能页面三个方面,对访问第三方应用系统以获取系统资源进行了介绍,可以理解的是,无论以何种方式实现目标应用系统的访问,均需要进行访问令牌校验,即先由授权中心对访问令牌进行合法性校验,只有当校验通过时,才可获得目标应用系统的系统资源,以有效保证访问系统身份的安全合法性,避免系统资源遭受非法窃取。
其中,上述授权中心对访问令牌的校验过程具体为:授权中心对访问系统提交的访问令牌进行解析,获得授权码和企业身份信息,由此,即可根据高企业身份信息判断访问系统身份的合法性,以确定该访问系统是否具备目标应用系统的访问权限,若是,则判断根据授权码判断访问令牌是否过期,若未过期,则说明校验通过。也就是说,只有在访问系统身份合法且访问令牌在有效期限内的情况下,授权中心对访问系统的校验才可视为通过。
作为一种优选实施例,该应用系统访问方法还可以包括:生成访问请求对应的访问记录,并保存访问记录。
本步骤旨在实现访问记录的生成和保存,对于访问系统向目标应用系统发起的每一个访问请求,均对其对应的访问过程进行记录,生成访问记录并进行保存,以便工作人员可疑及时发现可疑或违规的访问,进而保证系统的安全运行。
本申请所提供的应用系统访问方法,引入第三方授权中心实现被访问应用系统,即上述目标应用系统对发起访问请求的访问系统的授权,通过授权中心对访问系统进行合法性校验,保证了访问系统身份的合法性和安全性,进而实现了访问系统对目标应用系统的安全访问,有效避免了目标应用系统遭受非法攻击进而出现信息泄露的问题,有效保证了应用系统的安全运行。
在上述实施例的基础上,本申请实施提供了一种更为具体的应用系统访问方法。
具体而言,进行第三方企业应用系统(即上述目标应用系统)访问旨在获取第三方企业应用系统资源,该第三方企业应用系统资源具体可以为可开放授权使用的数据接口或功能接口或功能页面,在具体实现过程中,为安全访问第三方企业应用系统资源,确保只能通过企业授权访问第三方应用系统中与本企业相关的数据或功能,可以利用企业自有的授权设备、第三方企业应用系统及其授权客户端以及授权中心协作完成。其中,在进行应用系统访问之前,作为资源消费方的企业应用系统(即上述访问系统)需要在授权中心注册并指定需要访问的资源,在注册完成后即可确定资源消费方的应用ID和第三方企业应用系统的资源访问入口,即数据接口url或功能接口url或功能页面url。
一、从第三方企业应用系统中获取系统数据:
请参考图2,图2为本申请所提供的一种基于应用系统访问实现系统数据获取的方法的流程示意图,其具体实现流程如下:
1、当用户在作为资源消费方的企业应用系统上点击某一项操作时,该系统需要从第三方企业应用系统获取数据,此时会提示用户输入授权码;
2、用户打开第三方企业应用系统对应的授权客户端;
3、授权客户端在启动时检测授权设备是否已插入,若否,则提示用户插如授权设备;在用户插入授权设备后并点击生成授权码时,授权客户端生成随机的6位授权码,进而对该授权码和授权设备中的企业身份信息进行加密,获得加密串并将其以http请求方式上传到授权中心;
4、授权中心对加密串进行解密获得授权码和企业身份信息,并保存至数据库;
5、用户在作为资源消费方的企业应用系统上输入授权码,作为资源消费方的应用系统再将用户输入的授权码、系统ID和企业身份信息以http请求方式传至第三方企业应用系统,以请求获取访问令牌;
6、第三方企业应用系统将授权码、系统ID和企业身份信息以http请求方式传至授权中心;
7、授权中心首先判断资源消费方提供的授权码和企业身份信息与授权客户端上传的授权码和企业身份信息是否匹配,如果不匹配,则说明不合法;如果匹配,则根据当前时间、企业身份信息、系统ID生成访问令牌,并将访问令牌发送至第三方企业应用系统,第三方企业应用系统再将该访问令牌发送至资源消费方;
8、资源消费方在拿到访问令牌后,以http请求方式将访问令牌和企业身份信息等信息上传至第三方企业应用系统的数据接口,以请求获取系统数据;
9、第三方企业应用系统在接收到获取系统数据的http请求后,首先将访问令牌、企业身份信息和数据接口url以http请求方式发送给授权中心,以校验访问是否合法;
10、授权中心根据企业身份信息、访问令牌和数据接口url校验访问请求的合法性,如果访问令牌已过期,则访问不合法;如果访问令牌中的系统ID所对应的访问应用系统没有访问该数据接口url的权限,则访问不合法;如果访问令牌中的企业身份信息与授权客户端上传的企业身份信息与不一致,则访问不合法;由此,通过校验生成校验结果并将其反馈至第三方企业应用系统;
11、第三方企业应用系统在获得授权中心的校验结果后,如果访问合法,则根据企业身份信息等信息获取与本企业相关的系统数据,并将系统数据返回给作为资源消费方的应用系统;
12、作为资源消费方的应用系统在获得第三方企业应用系统的系统数据后根据业务逻辑进行相应处理。
二、执行第三方企业应用系统中的业务功能:
请参考图3,图3为本申请所提供的一种基于应用系统访问实现系统业务执行的方法的流程示意图,其具体实现流程如下:
1、当用户在作为资源消费方的企业应用系统上点击某一项操作时,该系统需要从第三方企业应用系统获取数据,此时会提示用户输入授权码;
2、用户打开第三方企业应用系统对应的授权客户端;
3、授权客户端在启动时检测授权设备是否已插入,如果未插盘,则提示用户插盘;在用户插盘后并点击生成授权码时,授权客户端生成随机的6位授权码,进而对该授权码和授权设备中的企业身份信息进行加密,获得加密串并将其以http请求方式上传到授权中心;
4、授权中心对加密串进行解密获得授权码和企业身份信息,并保存至数据库;
5、用户在作为资源消费方的企业应用系统上输入授权码,作为资源消费方的应用系统再将用户输入的授权码、系统ID和企业身份信息以http请求方式传至第三方企业应用系统,以请求获取访问令牌;
6、第三方企业应用系统将授权码、系统ID和企业身份信息以http请求方式传至授权中心;
7、授权中心首先判断资源消费方提供的授权码和企业身份信息与授权客户端上传的授权码和企业身份信息是否匹配,如果不匹配,则说明不合法;如果匹配,则根据当前时间、企业身份信息、系统ID生成访问令牌,并将访问令牌发送至第三方企业应用系统,第三方企业应用系统再将该访问令牌发送至资源消费方;
8、资源消费方在拿到访问令牌后,以http请求方式将访问令牌和企业身份信息等信息上传至第三方企业应用系统的功能接口,以请求执行相应的业务功能;
9、第三方企业应用系统在接收到执行业务功能的http请求后,首先将访问令牌、企业身份信息和数据接口url以http请求方式发送给授权中心,以校验访问是否合法;
10、授权中心根据企业身份信息、访问令牌和功能接口url校验访问请求的合法性,如果访问令牌已过期,则访问不合法;如果访问令牌中的系统ID所对应的访问应用系统没有访问该功能接口url的权限,则访问不合法;如果访问令牌中的企业身份信息与授权客户端上传的企业身份信息与不一致,则访问不合法;由此,通过校验生成校验结果并将其反馈至第三方企业应用系统;
11、第三方企业应用系统在获得授权中心的校验结果后,如果访问合法,则根据企业身份信息等信息执行相应的业务功能,并将执行结果返回给作为资源消费方的应用系统;
12、作为资源消费方的应用系统在获得第三方企业应用系统的执行结果后根据业务逻辑进行相应处理。
三、嵌入并打开第三方企业应用系统中的功能页面:
请参考图4,图4为本申请所提供的一种基于应用系统访问实现系统页面重定向的方法的流程示意图,其具体实现流程如下:
1、当用户在作为资源消费方的企业应用系统上点击某一项操作时,该系统需要从第三方企业应用系统获取数据,此时会提示用户输入授权码;
2、用户打开第三方企业应用系统对应的授权客户端;
3、授权客户端在启动时检测授权设备是否已插入,如果未插盘,则提示用户插盘;在用户插盘后并点击生成授权码时,授权客户端生成随机的6位授权码,进而对该授权码和授权设备中的企业身份信息进行加密,获得加密串并将其以http请求方式上传到授权中心;
4、授权中心对加密串进行解密获得授权码和企业身份信息,并保存至数据库;
5、用户在作为资源消费方的企业应用系统上输入授权码,作为资源消费方的应用系统再将用户输入的授权码、系统ID和企业身份信息以http请求方式传至第三方企业应用系统,以请求获取访问令牌;
6、第三方企业应用系统将授权码、系统ID和企业身份信息以http请求方式传至授权中心;
7、授权中心首先判断资源消费方提供的授权码和企业身份信息与授权客户端上传的授权码和企业身份信息是否匹配,如果不匹配,则说明不合法;如果匹配,则根据当前时间、企业身份信息、系统ID生成访问令牌,并将访问令牌发送至第三方企业应用系统,第三方企业应用系统再将该访问令牌发送至资源消费方;
8、资源消费方在拿到访问令牌后,首先在功能页面url上增设访问令牌和企业身份信息,然后请求嵌入并打开第三方企业应用系统的功能页面;
9、第三方企业应用系统的功能页面在初始化时将访问令牌、企业身份信息和功能页面url以http请求方式发送至第三方企业应用系统的后台,由第三方企业应用系统的后台再将这些信息以http请求方式发送至授权中心,以校验访问是否合法;
10、授权中心根据企业身份信息、访问令牌和功能页面url校验访问请求的合法性,如果访问令牌已过期,则访问不合法;如果访问令牌中的系统ID所对应的访问应用系统没有访问该功能页面url的权限,则访问不合法;如果访问令牌中的企业身份信息与授权客户端上传的企业身份信息与不一致,则访问不合法;由此,通过校验生成校验结果并将其反馈至第三方企业应用系统的后台;
11、第三方企业应用系统在获得授权中心的校验结果后,如果访问不合法,则重定向到错误页面,否则显示正常的功能页面。
为解决上述问题,本申请还提供了一种应用系统访问处理装置,该应用系统访问装置可包括:
目标应用系统的授权客户端,用于根据接收到的访问请求与授权设备生成授权码,并从授权设备中获取企业身份信息,将授权码和企业身份信息发送至授权中心和访问系统;
授权设备,用于存储企业身份信息;
访问系统,用于将授权码和企业身份信息发送至授权中心;并利用授权中心发送的访问令牌对目标应用系统进行访问;
授权中心,用于判断访问系统发送的授权码和企业身份信息与授权客户端发送的授权码和企业身份信息是否一致,若是,则根据授权码和企业身份信息生成访问令牌,并将访问令牌发送至访问系统。
在上述各个实施例的基础上,请参考图5,图5为本申请所提供的一种应用系统访问装置的结构示意图,具体包括作为资源消费方的企业应用系统、第三方企业应用系统及其对应的授权客户端以及授权中心。
其中,授权客户端的主要功能在于生成授权码,且只有在插入授权设备的情况下才可生成授权码,其可以独立于第三方企业应用系统,也可以属于第三方企业应用系统的子系统,如果是第三方企业应用系统的子系统,则其功能除生成授权码之外,还可以承载其他业务功能。另外,授权客户端主要由授权码模块和授权中间件模块组成,授权码模块用于生成唯一的由数字或字母组成的6位字符串的授权码,且生成的授权码只能一次使用,使用过后即无效;授权中间件主要用于访问授权设备获取企业身份信息。
其中,授权中心提供了第三方企业应用系统资源的管理、作为资源消费方的企业应用系统的注册、访问令牌的生成和校验、授权码的采集和校验以及资源访问记录的审计等功能,因此,授权中心可由注册模块、令牌模块、授权码模块、资源模块和访问审计模块组成。另外,类似于上述授权客户端,授权中心可以是属于第三方企业应用系统的子系统,也可以独立于第三方企业应用系统。进一步,以下对授权中心的各个模块进行介绍:
(1)注册模块:主要用于注册与作为资源消费方的企业应用系统的系统ID、系统名称等信息,并指定第三方企业应用系统可授权访问的资源(包括数据接口url或功能接口url或功能页面url),相应的注册信息可保存到mysql数据库中;
(2)令牌模块:主要用于生成访问令牌和进行访问令牌的合法性校验,生成的访问令牌可存放在redis缓存中,具有一定的有效期;
(3)资源模块:主要用于管理第三方企业应用系统资源(数据接口url或功能接口url或功能页面url)以及进行资源授权合法性校验,第三方应用系统资源的相关信息可存放在mysql数据库中;
(4)访问审计模块:主要用于审计资源访问情况,以便发现可疑或违规的访问,在资源消费方每次访问第三方企业应用系统资源时,可将访问记录存放到mysql数据库中;
(5)授权码模块:主要用于将授权客户端上传的授权码和企业身份信息存放在redis缓存中,并对资源消费方提供的企业身份信息和授权码进行验证。
可见,本申请实施例所提供的应用系统访问装置,引入第三方授权中心实现被访问应用系统,即上述目标应用系统对发起访问请求的访问系统的授权,通过授权中心对访问系统进行合法性校验,保证了访问系统身份的合法性和安全性,进而实现了访问系统对目标应用系统的安全访问,有效避免了目标应用系统遭受非法攻击进而出现信息泄露的问题,有效保证了应用系统的安全运行。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的应用系统访问方法及装置进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围要素。
Claims (10)
1.一种应用系统访问方法,其特征在于,包括:
目标应用系统的授权客户端根据接收到的访问请求与授权设备生成授权码,并从所述授权设备中获取企业身份信息,将所述授权码和所述企业身份信息发送至授权中心和访问系统;
所述访问系统将所述授权码和所述企业身份信息发送至所述授权中心;
所述授权中心判断所述访问系统发送的授权码和企业身份信息与所述授权客户端发送的授权码和企业身份信息是否一致,若是,则根据所述授权码和所述企业身份信息生成访问令牌,并将所述访问令牌发送至所述访问系统;
所述访问系统利用所述访问令牌对所述目标应用系统进行访问。
2.如权利要求1所述的应用系统访问方法,其特征在于,授权客户端根据所述访问请求与授权设备生成授权码,包括:
所述授权客户端根据所述访问请求判断是否与所述授权设备建立连接;
若否,则发起提示信息至所述访问系统;
若是,则响应授权码生成指令,生成具备有效期的所述授权码。
3.如权利要求2述的应用系统访问方法,其特征在于,所述将所述授权码和所述企业身份信息发送至授权中心,包括:
所述授权客户端对所述授权码和所述企业身份信息进行加密处理,获得加密信息;
将所述加密信息发送至所述授权中心。
4.如权利要求3所述的应用系统访问方法,其特征在于,所述将所述授权码和所述企业身份信息发送至授权中心之后,还包括:
所述授权中心对所述加密信息进行解密,获得所述授权码和所述企业身份信息;
对所述授权码和所述企业身份信息进行保存。
5.如权利要求1所述的应用系统访问方法,其特征在于,所述访问系统将所述授权码和所述企业身份信息发送至所述授权中心,包括:
所述访问系统根据所述授权码和所述企业身份信息生成http请求,并将所述http请求发送至所述目标应用系统;
所述目标应用系统将所述http请求转发至所述授权中心。
6.如权利要求1所述的应用系统访问方法,其特征在于,所述访问系统利用所述访问令牌对所述目标应用系统进行访问,包括:
当所述访问请求为数据获取请求时,所述访问系统将所述数据获取请求和所述访问令牌发送至所述授权中心;
所述授权中心对所述访问令牌进行校验,当校验通过时,将校验通过信息发送至所述目标应用系统;
所述目标应用系统根据所述校验通过信息将所述数据获取请求对应的目标数据发送至所述访问系统。
7.如权利要求1所述的应用系统访问方法,其特征在于,所述访问系统利用所述访问令牌对所述目标应用系统进行访问,包括:
当所述访问请求为业务处理请求时,所述访问系统将所述业务处理请求和所述访问令牌发送至所述授权中心;
所述授权中心对所述访问令牌进行校验,当校验通过时,将校验通过信息发送至所述目标应用系统;
所述目标应用系统根据所述校验通过信息执行所述业务处理请求,获得执行结果,并将所述执行结果发送至所述访问系统。
8.如权利要求1所述的应用系统访问方法,其特征在于,所述访问系统利用所述访问令牌对所述目标应用系统进行访问,包括:
当所述访问请求为页面访问请求时,所述访问系统将所述页面访问请求和所述访问令牌发送至所述授权中心;
所述授权中心对所述访问令牌进行校验,当校验通过时,将校验通过信息发送至所述目标应用系统;
所述目标应用系统根据所述校验通过信息重定向到所述页面访问请求对应的功能页面。
9.如权利要求1至8任意一项所述的应用系统访问方法,其特征在于,还包括:
生成所述访问请求对应的访问记录,并保存所述访问记录。
10.一种应用系统访问装置,其特征在于,包括:
目标应用系统的授权客户端,用于根据接收到的访问请求与授权设备生成授权码,并从所述授权设备中获取企业身份信息,将所述授权码和所述企业身份信息发送至授权中心和所述访问系统;
所述授权设备,用于存储所述企业身份信息;
所述访问系统,用于将所述授权码和所述企业身份信息发送至授权中心;
并利用授权中心发送的访问令牌对所述目标应用系统进行访问;
所述授权中心,用于判断所述访问系统发送的授权码和企业身份信息与所述授权客户端发送的授权码和企业身份信息是否一致,若是,则根据所述授权码和所述企业身份信息生成访问令牌,并将所述访问令牌发送至所述访问系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911349957.6A CN111143822A (zh) | 2019-12-24 | 2019-12-24 | 一种应用系统访问方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911349957.6A CN111143822A (zh) | 2019-12-24 | 2019-12-24 | 一种应用系统访问方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111143822A true CN111143822A (zh) | 2020-05-12 |
Family
ID=70519682
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911349957.6A Pending CN111143822A (zh) | 2019-12-24 | 2019-12-24 | 一种应用系统访问方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111143822A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112598301A (zh) * | 2020-12-26 | 2021-04-02 | 中国农业银行股份有限公司 | 一种信息匹配方法及装置 |
| CN112650954A (zh) * | 2020-12-30 | 2021-04-13 | 杭州趣链科技有限公司 | 区块链数据分享方法、装置、设备及存储介质 |
| CN113312653A (zh) * | 2021-06-25 | 2021-08-27 | 中国农业银行股份有限公司 | 开放平台认证授权方法、装置及存储介质 |
| CN113592695A (zh) * | 2021-08-06 | 2021-11-02 | 国网安徽省电力有限公司电力科学研究院 | 一种身份信息安全授权系统与方法 |
| CN115422515A (zh) * | 2022-11-04 | 2022-12-02 | 深圳绿径科技有限公司 | 一种避免第三方信息被非法获取的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140033279A1 (en) * | 2012-07-25 | 2014-01-30 | Oracle International Corporation | System and method of extending oauth server(s) with third party authentication/authorization |
| CN106295394A (zh) * | 2016-07-22 | 2017-01-04 | 飞天诚信科技股份有限公司 | 资源授权方法及系统和授权服务器及工作方法 |
| CN109218298A (zh) * | 2018-09-04 | 2019-01-15 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种应用数据访问方法及系统 |
| CN109286633A (zh) * | 2018-10-26 | 2019-01-29 | 深圳市华云中盛科技有限公司 | 单点登陆方法、装置、计算机设备及存储介质 |
-
2019
- 2019-12-24 CN CN201911349957.6A patent/CN111143822A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140033279A1 (en) * | 2012-07-25 | 2014-01-30 | Oracle International Corporation | System and method of extending oauth server(s) with third party authentication/authorization |
| CN106295394A (zh) * | 2016-07-22 | 2017-01-04 | 飞天诚信科技股份有限公司 | 资源授权方法及系统和授权服务器及工作方法 |
| CN109218298A (zh) * | 2018-09-04 | 2019-01-15 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种应用数据访问方法及系统 |
| CN109286633A (zh) * | 2018-10-26 | 2019-01-29 | 深圳市华云中盛科技有限公司 | 单点登陆方法、装置、计算机设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 郭建伟 等: "《密码技术 对"双网"的安全保护》", 31 December 2018 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112598301A (zh) * | 2020-12-26 | 2021-04-02 | 中国农业银行股份有限公司 | 一种信息匹配方法及装置 |
| CN112650954A (zh) * | 2020-12-30 | 2021-04-13 | 杭州趣链科技有限公司 | 区块链数据分享方法、装置、设备及存储介质 |
| CN112650954B (zh) * | 2020-12-30 | 2023-09-22 | 杭州趣链科技有限公司 | 区块链数据分享方法、装置、设备及存储介质 |
| CN113312653A (zh) * | 2021-06-25 | 2021-08-27 | 中国农业银行股份有限公司 | 开放平台认证授权方法、装置及存储介质 |
| CN113592695A (zh) * | 2021-08-06 | 2021-11-02 | 国网安徽省电力有限公司电力科学研究院 | 一种身份信息安全授权系统与方法 |
| CN113592695B (zh) * | 2021-08-06 | 2024-02-02 | 国网安徽省电力有限公司电力科学研究院 | 一种身份信息安全授权系统与方法 |
| CN115422515A (zh) * | 2022-11-04 | 2022-12-02 | 深圳绿径科技有限公司 | 一种避免第三方信息被非法获取的方法及系统 |
| CN115422515B (zh) * | 2022-11-04 | 2023-03-24 | 深圳绿径科技有限公司 | 一种避免第三方信息被非法获取的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110162936B (zh) | 一种软件内容的使用授权方法 | |
| CN109787988B (zh) | 一种身份加强认证和鉴权方法及装置 | |
| CN106850699B (zh) | 一种移动终端登录认证方法及系统 | |
| CN111143822A (zh) | 一种应用系统访问方法及装置 | |
| US9641521B2 (en) | Systems and methods for network connected authentication | |
| CN109274652B (zh) | 身份信息验证系统、方法及装置及计算机存储介质 | |
| CN112000951B (zh) | 一种访问方法、装置、系统、电子设备及存储介质 | |
| US8079082B2 (en) | Verification of software application authenticity | |
| CN106571951B (zh) | 审计日志获取方法、系统及装置 | |
| CN107145769B (zh) | 一种数字版权管理drm方法、设备及系统 | |
| CN110175466B (zh) | 开放平台的安全管理方法、装置、计算机设备及存储介质 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| CN102457509A (zh) | 云计算资源安全访问方法、装置及系统 | |
| JP2006311529A (ja) | 認証システムおよびその認証方法、認証サーバおよびその認証方法、記録媒体、プログラム | |
| CN106559384A (zh) | 一种利用公众号实现登录的方法及装置 | |
| JP2007280393A (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| KR102032210B1 (ko) | 개인 식별번호의 입력을 통한 간편 인증이 가능한 사용자 인증 처리 장치 및 그 동작 방법 | |
| CN117375986A (zh) | 一种应用访问方法、装置、服务器 | |
| CN115225286A (zh) | 应用访问鉴权方法及装置 | |
| CN106533685B (zh) | 身份认证方法、装置及系统 | |
| CN111740938B (zh) | 信息处理方法、装置、客户端和服务器 | |
| CN114793165A (zh) | 一种登录系统控制方法、系统、设备及介质 | |
| CN113395275A (zh) | 一种云平台安全防护功能管控方法、系统及存储介质 | |
| CN113672898B (zh) | 服务授权方法、授权设备、系统、电子设备及存储介质 | |
| CN115174181B (zh) | 一种单点登录的实现方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200512 |
|
| RJ01 | Rejection of invention patent application after publication |