CN111371775A - 一种单点登录方法、装置、设备、系统及存储介质 - Google Patents
一种单点登录方法、装置、设备、系统及存储介质 Download PDFInfo
- Publication number
- CN111371775A CN111371775A CN202010130429.8A CN202010130429A CN111371775A CN 111371775 A CN111371775 A CN 111371775A CN 202010130429 A CN202010130429 A CN 202010130429A CN 111371775 A CN111371775 A CN 111371775A
- Authority
- CN
- China
- Prior art keywords
- single sign
- access request
- data
- proxy service
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000005516 engineering process Methods 0.000 claims description 24
- 238000013519 translation Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 11
- 239000003795 chemical substances by application Substances 0.000 description 9
- 238000002347 injection Methods 0.000 description 8
- 239000007924 injection Substances 0.000 description 8
- 238000012545 processing Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 101150030531 POP3 gene Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于网关设备的单点登录方法、装置、设备、系统及计算机可读存储介质;在本方案中,网关设备接收到访问请求后,会把符合引流规则的目标访问请求引流至应用层的代理服务,通过代理服务将该目标访问请求发送至真实访问的目标服务器,向目标服务器返回的数据中注入单点登录控制数据,并返回至客户端,客户端接收到返回数据后,便可利用返回数据中的单点登录控制数据自动实现单点登录,简化了网关设备单点登录的复杂度,提高了单点登录的透明性和兼容性。
Description
技术领域
本发明涉及单点登录技术领域,更具体地说,涉及一种基于网关设备的单点登录方法、装置、设备、系统及计算机可读存储介质。
背景技术
隧道VPN(Virtual Private Network,虚拟专用网络)、防火墙、路由器等网关设备一般都是三层设备,进入设备和从设备出去的数据包都是IP数据包,设备自身不能很容易的识别应用层数据,如:识别http((HyperText Transfer Protocol,超文本传输协议)数据时,需要将多个IP(Internet Protocol,网际互连协议)数据包进行重组才能进行识别;因此网关设备在实现单点登录时,单点登录控制脚本不能很好的插入IP数据包,实现非常复杂;特别是如果IP数据包的内容是SSL加密流量的情况识别和篡改都是业界难题。
发明内容
本发明的目的在于提供一种基于网关设备的单点登录方法、装置、设备、系统及计算机可读存储介质,以简化网关设备单点登录的实现过程,提高单点登录的透明性和兼容性。
为实现上述目的,本发明提供的一种基于网关设备的单点登录方法,包括:
接收客户端发送的访问请求;
将符合引流规则的目标访问请求引流至代理服务;
通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据;
将所述返回数据发送至所述客户端,以使所述客户端通过所述单点登录控制数据实现单点登录。
可选的,所述将符合引流规则的目标访问请求引流至代理服务,包括:
通过网络地址转换技术将符合引流规则的所述目标访问请求引流至代理服务。
可选的,所述通过网络地址转换技术将所述目标访问请求引流至代理服务,包括:
判断网关设备内是否存在代理服务;
若存在,则通过网络地址转换技术将所述目标访问请求引流至所述网关设备内的代理服务;若不存在,则通过网络地址转换技术将所述目标访问请求引流至所述网关设备外的服务器上的代理服务。
可选的,所述将符合引流规则的目标访问请求引流至代理服务,包括:
判断所述客户端发送的访问请求是否为访问目标服务器的登陆请求;
若是,则将所述访问请求作为目标访问请求,并引流至所述代理服务。
可选的,所述通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据,包括:
通过所述代理服务解析所述目标访问请求,确定所述目标服务器的地址信息,并利用所述地址信息将所述目标访问请求发送至所述目标服务器;
所述代理服务获取所述目标服务器返回的与所述目标访问请求对应的数据,向数据中注入单点登陆控制数据,得到返回数据;所述单点登陆控制数据中携带登陆信息。
为实现上述目的,本发明进一步提供一种基于网关设备的单点登录装置,包括:
接收模块,用于接收客户端发送的访问请求;
引流模块,用于将符合引流规则的目标访问请求引流至代理服务;
代理服务模块,用于通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据;
发送模块,用于将所述返回数据发送至所述客户端,以使所述客户端通过所述单点登录控制数据实现单点登录。
为实现上述目的,本发明进一步提供一种网关设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述的单点登录方法的步骤。
为实现上述目的,本发明进一步提供一种单点登录系统,包括:客户端、目标服务器及上述的网关设备。
可选的,所述网关设备为隧道VPN设备或者防火墙。
为实现上述目的,本发明进一步提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的单点登录方法的步骤。
通过以上方案可知,本发明实施例提供的一种基于网关设备的单点登录方法,包括:接收客户端发送的访问请求;将符合引流规则的目标访问请求引流至代理服务;通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据;将所述返回数据发送至所述客户端,以使所述客户端通过所述单点登录控制数据实现单点登录。
可见,在本申请中,网关设备接收到访问请求后,会把符合引流规则的目标访问请求引流至应用层的代理服务,通过代理服务将该目标访问请求发送至真实访问的目标服务器,向目标服务器返回的数据中注入单点登录控制数据,并返回至客户端,客户端接收到返回数据后,便可利用返回数据中的单点登录控制数据自动实现单点登录,简化了网关设备单点登录的复杂度,提高了单点登录的透明性和兼容性。本发明还公开了一种基于网关设备的单点登录装置、设备、系统及计算机可读存储介质,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种单点登录系统结构示意图;
图2为本发明实施例公开的一种基于网关设备的单点登录方法流程示意图;
图3为本发明实施例公开的另一种基于网关设备的单点登录方法流程示意图;
图4为本发明实施例公开的单点登录系统结构示意图;
图5为本发明实施例公开的一种数据传输示意图;
图6为本发明实施例公开的一种基于网关设备的单点登录装置结构示意图;
图7为本发明实施例公开的一种基于网关设备的单点登录设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
单点登录(SSO,Single Sign On)是指用户只需要登录一次就可以访问所有信任的应用系统。当前的单点登录方案主要分为三类:
方案一、统一身份认证系统:如cas(Central Authentication Service,中央认证服务)认证系统;这种认证方式需要对原有系统进行改造,如原系统需要改造为支持cas认证后才能进行单点登录,实施成本高;
方案二、客户端自动构造认证请求;该方案具体有两种实现方式,一类为UI(UserInterface,用户界面)自动填充,通过客户端插件自动填充UI进行登录;另一类为自动构造用户认证数据提交请求;该方案需要适配不同客户端软件和网页、适配不同操作系统,兼容性差。
通过上述方案可以看出,目前实现单点登录的方案中,存在实现过程较为复杂,且兼容性差的问题。因此在本申请中,通过代理服务实现单点登录,通过代理服务向请求数据中注入单点登录控制脚本,由单点登录控制脚本触发单点登录,通过这种单点登录方式,可降低单点登录的实现复杂度,并提高单点登录的透明性和兼容性。并且,本申请考虑到该方案仅支持Web反向代理服务器直接发布的应用,不支持三层网络数据流,而目前的隧道VPN、防火墙、路由器等网关设备一般都是三层设备。因此在本申请中,将网管设备的三层的数据流引流到七层的代理服务器,由代理服务器代理请求真实访问的目标服务器,并向目标服务器返回的数据流中注入单点登录控制数据,最终由该单点登录控制数据自动触发单点登录;也即:本方案通过将三层数据重定向引流至应用层的代理服务器,并由代理服务器向返回数据中插入单点登录控制数据的单点登录方式,可以使隧道VPN、防火墙等各类三层网关设备发布的应用支持单点登录,且通过代理服务可提高单点登录的透明性和兼容性,降低单点登录的实现复杂度。
为了便于理解,下面对本申请的技术方案所适用的系统架构进行介绍,参见图1,为本发明实施例公开的一种单点登录系统结构示意图。通过图1可以看出,本系统可以包括:客户端11、网关设备12和目标服务器13。
其中,客户端11用于向网关设备发送访问请求,并且,该客户端可以包括但不限于:智能手机、平板电脑、笔记本电脑、台式电脑等或智能穿戴式设备等。网关设备12为隧道VPN设备或者防火墙等三层网关设备,用于接收客户端11发送的访问请求,将符合引流规则的目标访问请求引流至代理服务;通过代理服务将目标访问请求发送至目标服务器,并向目标服务器返回的数据中注入单点登录控制数据,得到返回数据,将返回数据发送至客户端,以使客户端通过所述单点登录控制数据实现单点登录。目标服务器13用于接收网关设备发送的目标访问请求,并将对应的数据返回至网关设备。
参见图2,为本发明实施例公开的一种基于网关设备的单点登录方法流程示意图;该方法可以包括:
S101、接收客户端发送的访问请求;
可以理解的是,客户端访问任意服务器时,所发出的访问请求均需经过网关设备,因此本申请的网关设备可接收任意客户端发送的访问请求,该访问请求可以是登陆请求、数据获取请求等等,在此并不具体限定。
S102、将符合引流规则的目标访问请求引流至代理服务;
其中,所述将符合引流规则的目标访问请求引流至代理服务,包括:通过网络地址转换技术将符合引流规则的所述目标访问请求引流至代理服务。
在本申请中,网关设备接收的客户端发送的所有请求均可称为访问请求,但是,并非所有访问请求均需要注入单点登陆控制数据,只有符合引流规则的访问请求才需要向对应的返回数据中注入单点登陆控制数据,在本申请中,为了方便描述,将符合引流规则的访问请求称为目标访问请求。该引流规则为预先设定的引流规则,例如:预先设定服务器IP地址列表,只要某一访问请求所访问的服务器IP地址在该服务器IP地址列表中,便将该访问请求称为目标访问请求;和/或,预先设定终端列表,只要该终端列表中的客户端发送了访问请求,便将该访问请求称为目标访问请求;和/或,预先设定请求类型,如:预先设定的请求类型为登陆请求,那么接收到某一访问请求为登陆请求时,则判定该访问请求为目标访问请求。
并且,由于网关设备是三层设备,进入设备和从设备出去的数据包都是IP数据包,设备自身不能很容易的识别应用层数据,在实现单点登录时过程较为复杂。但是,如果网关设备是七层网关设备,则可以直接解析七层应用层数据,不需要进行复杂的数据包重组和排序等操作。因此在本申请中,可以通过引流技术将网关设备的访问请求引流至代理服务,该引流技术可以为NAT(Network Address Translation,网络地址转换)技术,通过该技术可将预先设置的目标服务器统一NAT映射到本设备的代理服务的端口,从而实现将目标访问请求重定向引流至应用层的代理服务,该代理服务可直接解析七层应用层数据,如http数据或者https数据,并向目标服务器返回的数据注入单点登录控制数据,实现基于网关设备的单点登录。
需要说明的是,本申请除了使用NAT技术进行引流之外,还可以使用其他引流方案,如:路由方案、内核驱动方案等能将三层及以下数据引流到应用层实现单点登录的方案,在此并不具体限定;并且,本申请中的代理服务主要起到解析访问请求并注入单点登录控制数据的作用,因此该代理服务可以为web反向代理服务、邮件代理服务、ftp代理服务等等,在此并不具体限定,可根据实际应用场景选择具体的代理服务。
在本申请中,该代理服务可以部署在网关设备上,也可以部署在其他任意代理服务器上,只需要将引流地址改为部署了代理服务的服务器地址即可,因此在本申请中,通过网络地址转换技术将目标访问请求引流至代理服务时,具体可以包括:判断网关设备内是否存在代理服务;若存在,则通过网络地址转换技术将所述目标访问请求引流至所述网关设备内的代理服务;若不存在,则通过网络地址转换技术将所述目标访问请求引流至所述网关设备外的服务器上的代理服务。
S103、通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据;
S104、将所述返回数据发送至所述客户端,以使所述客户端通过所述单点登录控制数据实现单点登录。
具体的,该目标服务器为所述目标访问请求真实要访问的服务器,因此代理服务接收到目标访问请求后,需要将该目标访问请求发送至目标服务器,通过目标服务器来响应该目标访问请求,并将对应的数据返回至代理服务,代理服务接收该数据后,需要向该数据中注入单点登录控制数据。该单点登录控制数据具体是一单点登录控制脚本,将返回数据发送至客户端后,该单点登录控制脚本会自动执行登录操作。
综上可以看出,在本申请中,通过将网关设备接收到的符合引流规则的访问请求引流至应用层的代理服务,可以直接通过代理服务对访问请求进行识别,并在目标服务器返回的数据中注入单点登录控制数据,以使客户端利用返回数据中的单点登录控制数据自动实现单点登录;并且,由于代理服务可实现对https数据进行解密,从而提高了单点登录的兼容性。
参见图3,为本发明实施例公开的另一种基于网关设备的单点登录方法流程示意图;需要说明的是,本实施例提供的单点登录方法可以和上述实施例所述的单点登录方法相互参照,相同之处便不再赘述。参见图3所述,该单点登录方法可以包括:
S201、接收客户端发送的访问请求;
S202、判断客户端发送的访问请求是否为访问目标服务器的登陆请求;若是,则执行S203;若否,则结束流程;
S203、将访问请求作为目标访问请求,并引流至代理服务;
在本实施例中,判定访问请求是否为目标访问请求的条件为:判断访问请求所访问的真实服务器是否预先设定的目标服务器,如果是,则继续判断该访问请求是否为登陆请求,如果是登陆请求,则判定该访问请求为目标访问请求,这时才将该目标访问请求引流至代理服务;需要说明的是,如果该目标访问请求为登陆请求,则返回数据为登陆页面数据。
S204、通过代理服务解析目标访问请求,确定目标服务器的地址信息,并利用地址信息将目标访问请求发送至目标服务器;
S205、代理服务获取目标服务器返回的与目标访问请求对应的数据,向数据中注入单点登陆控制数据,得到返回数据;该单点登陆控制数据中携带登陆信息;
S206、将返回数据发送至客户端,以使客户端通过单点登录控制数据实现单点登录。
在本申请中,代理服务接收到目标访问请求时,需要解析该目标访问请求,获得该目标访问请求的真实访问地址,也即:目标服务器的访问地址,然后将该目标访问请求发送至该真实访问地址;代理服务还会接收目标服务器返回的对应数据,并根据预定策略向返回的数据中添加单点登录控制数据;该预定策略可预先设定,例如:不同的目标服务器具有不同的单点登陆控制数据,或者,不同的客户端具有不同的单点登陆控制数据;并且,该单点登录控制数据中还存储登录信息,该登陆信息为用户名和密码;客户端接收到该返回数据后,单点登录控制数据便可从登陆页面中自动识别用户名的输入框、密码的输入框,然后将登陆信息中的用户名和密码自动填入对应的输入框,并触发页面的登陆按钮,以自动实现单点登陆。
需要说明的是,本申请所述的单点登录方案,可以应用在如下场景:
场景1:为sslvpn产品配置隧道资源的单点登录策略;在该场景下,管理员配置隧道资源的单点登录策略,终端用户访问隧道资源时免密码自动登录,如发布的资源为OA(Office Automation,办公自动化)系统,用户访问OA系统时不需要输入用户名和密码。
场景2:为防火墙、上网行为等网关产品配置网站的单点登录策略;在该场景下,管理员可以配置某IP地址对应网站的公共账号单点登录策略,用户访问该网站时自动统一登录,用户不用手动登录.
在本实施例中,以场景1为例对本申请所述的单点登录方法进行说明;在本实施例中,代理服务为web反向代理服务,引流技术为NAT技术,客户端为浏览器,目标服务器为OA系统;参见图4,为本发明实施例公开的单点登录系统结构示意图,通过该图可以看出,该单点登录过程具体可以包括:
1、用户使用浏览器访问OA系统,该访问必须要经过一个网关设备,则将访问请求发送至网管设备;
2、访问请求的数据流被引流模块劫持,引流到本网关设备上部署的web反向代理服务;
具体的,在本实施例中,通过NAT方案将匹配的目标服务器统一NAT映射到网关设备的反向代理服务的服务端口,例如:127.0.0.1 80,其中80端口为反向代理服务的服务端口。例外:如果目标服务器启用了SSL(Secure Sockets Layer,安全套接层),则需要将匹配的目标服务器统一NAT映射到网关设备的反向代理服务的SSL服务端口,例如127.0.0.1443,其中443端口为反向代理服务的SSL服务端口。如果web反向代理服务未部署在本网关设备上,这时只需要将127.0.0.1地址改为部署了反向代理服务的服务器地址即可。
需要说明的是,如果网关设备内不存在web反向代理服务,这时可通过其他技术进行引流并实现单点登录控制数据的注入,例如:可通过tun2socks技术引流,并完成IP数据包的重组,自动提取应用层数据,识别后进行篡改,注入单点登录控制数据。
3、web反向代理服务中的反向代理模块解析数据流中的HTTP头信息,得到OA系统的IP地址,向OA系统发起请求。
需要说明的是,反向代理其实是一个Web服务器,它能识别并解析Http协议,Http头信息有一个关键字段Host描述了本次Http请求的目标服务器,所以反向代理可以自动向目标服务器发起请求,参见图5,为本发明实施例提供的一种数据传输示意图,可以看出,浏览器发送的数据包中含有host,网关设备根据host向真实的目标服务器发送请求。其中,本方案仅仅通过http协议为例进行说明,除此之外其他协议同样适用,如:邮件协议,pop3、exchange、smtp等等。
4、web反向代理服务中的单点登录注入模块接收到反向代理模块的请求数据后,此时不做任何处理,数据流流向到真实应用服务器。
其中,该单点登录模块是Web反向代理服务内部的子模块,该模块能接收和篡改经过Web反向代理服务的任意数据,但是,单点登录注入模块需要向OA返回的内容中注入控制脚本,并不需要向请求OA的内容中注入内容。
5、真实应用服务器返回数据后,单点登录注入模块根据策略向返回的数据中注入单点登录控制数据。
需要说明的是,在本场景中,单点登录注入模块可以根据策略识别返回的http数据是否为登录页面,如果为登陆页面,则注入单点登录控制脚本;具体的,单点登录注入模块可以根据Http协议头信息识别出具体http数据是否为登录页面,如:策略规则定义了url地址为https://oa.com:443/login,则说明为登陆页面,需要注入单点登录控制脚本,单点登录控制脚本注入方式可以向原http内容中插入一端javascript脚本,如:
<html>
<head>
<script src=”https://gateway.com/sso”></script>
</head>
</html>
其中,上述加粗部分为插入的脚本,gateway为网关服务器域名。
6~8、注入单点登录控制脚本的数据按照原路径返回到用户浏览器,浏览器请求单点登录控制脚本,单点登录脚本自动执行登录操作,该操作具体包括:获取页面的用户名、密码文本框,将随单点登录控制脚本一并下发的用户名和密码自动填充至用户名、密码文本框,获取页面的登录框,自动点击,触发单点登录。
可以看出,本发明利用网络NAT规则将IP数据包重定向引流到应用层,在应用层中通过web反向代理服务向数据中插入单点登录控制脚本,被篡改后的数据会延续数据包引流的反方向传递给内核层,由操作系统封装为IP数据包的形式发送出去,用户端(浏览器)接收到返回数据后,单点登录控制脚本自动执行,自动填写用户登录信息给网页,自动触发登录按钮点击动作自动单点登录,该过程通过web反向代理服务可对ssl加密数据进行解密,解决了sslvpn隧道资源单点登录兼容性差的问题,显著改善用户体验。
下面对本发明实施例提供的单点登录装置进行介绍,下文描述的单点登录装置与上文描述的单点登录方法可以相互参照。
参见图6,本发明实施例提供的一种基于网关设备的单点登录装置结构示意图;该装置可以包括:
接收模块21,用于接收客户端发送的访问请求;
引流模块22,用于将符合引流规则的目标访问请求引流至代理服务;
代理服务模块23,用于通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据;
发送模块24,用于将所述返回数据发送至所述客户端,以使所述客户端通过所述单点登录控制数据实现单点登录。
其中,所述引流模块包括:
第一引流单元,用于通过网络地址转换技术将符合引流规则的所述目标访问请求引流至代理服务。
其中,所述第一引流单元包括:
判断子单元,用于判断网关设备内是否存在代理服务;
第一引流子单元,用于在网关设备内存在代理服务时,通过网络地址转换技术将所述目标访问请求引流至所述网关设备内的代理服务;
第二引流子单元,用于在网关设备内不存在代理服务时,通过网络地址转换技术将所述目标访问请求引流至所述网关设备外的服务器上的代理服务。
其中,所述引流模块包括:
判断单元,用于判断所述客户端发送的访问请求是否为访问目标服务器的登陆请求;
第二引流单元,用于在所述客户端发送的访问请求为访问目标服务器的登陆请求时,将所述访问请求作为目标访问请求,并引流至所述代理服务。
其中,所述代理服务模块,包括:
请求发送单元,用于通过所述代理服务解析所述目标访问请求,确定所述目标服务器的地址信息,并利用所述地址信息将所述目标访问请求发送至所述目标服务器;
控制数据注入单元,用于通过所述代理服务获取所述目标服务器返回的与所述目标访问请求对应的数据,向数据中注入单点登陆控制数据,得到返回数据;所述单点登陆控制数据中携带登陆信息。
参见图7,为本发明实施例公开的一种网关设备结构示意图;该设备包括:
存储器31,用于存储计算机程序;
处理器32,用于执行所述计算机程序时实现如上述任意方法实施例所述的单点登录方法的步骤。
在本实施例中,该设备为隧道VPN、防火墙等各类三层网关设备。
该设备可以包括存储器31、处理器32和总线33。
其中,存储器31包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序,该存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器32在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,为网关设备提供计算和控制能力,执行所述存储器31中保存的计算机程序时,可以实现前述任一实施例公开的单点登录方法的步骤。
该总线33可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
进一步地,设备还可以包括网络接口34,网络接口34可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该设备与其他电子设备之间建立通信连接。
图7仅示出了具有组件31-34的设备,本领域技术人员可以理解的是,图7示出的结构并不构成对设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明实施例还公开一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意方法实施例所述的单点登录方法的步骤。
其中,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于网关设备的单点登录方法,其特征在于,包括:
接收客户端发送的访问请求;
将符合引流规则的目标访问请求引流至代理服务;
通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据;
将所述返回数据发送至所述客户端,以使所述客户端通过所述单点登录控制数据实现单点登录。
2.根据权利要求1所述的单点登录方法,其特征在于,所述将符合引流规则的目标访问请求引流至代理服务,包括:
通过网络地址转换技术将符合引流规则的所述目标访问请求引流至代理服务。
3.根据权利要求2所述的单点登录方法,其特征在于,所述通过网络地址转换技术将所述目标访问请求引流至代理服务,包括:
判断网关设备内是否存在代理服务;
若存在,则通过网络地址转换技术将所述目标访问请求引流至所述网关设备内的代理服务;若不存在,则通过网络地址转换技术将所述目标访问请求引流至所述网关设备外的服务器上的代理服务。
4.根据权利要求1所述的单点登录方法,其特征在于,所述将符合引流规则的目标访问请求引流至代理服务,包括:
判断所述客户端发送的访问请求是否为访问目标服务器的登陆请求;
若是,则将所述访问请求作为目标访问请求,并引流至所述代理服务。
5.根据权利要求1至4中任意一项所述的单点登录方法,其特征在于,所述通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据,包括:
通过所述代理服务解析所述目标访问请求,确定所述目标服务器的地址信息,并利用所述地址信息将所述目标访问请求发送至所述目标服务器;
所述代理服务获取所述目标服务器返回的与所述目标访问请求对应的数据,向数据中注入单点登陆控制数据,得到返回数据;所述单点登陆控制数据中携带登陆信息。
6.一种基于网关设备的单点登录装置,其特征在于,包括:
接收模块,用于接收客户端发送的访问请求;
引流模块,用于将符合引流规则的目标访问请求引流至代理服务;
代理服务模块,用于通过所述代理服务将所述目标访问请求发送至目标服务器,并向所述目标服务器返回的数据中注入单点登录控制数据,得到返回数据;
发送模块,用于将所述返回数据发送至所述客户端,以使所述客户端通过所述单点登录控制数据实现单点登录。
7.一种网关设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述的单点登录方法的步骤。
8.一种单点登录系统,其特征在于,包括:客户端、目标服务器及如权利要求7所述的网关设备。
9.根据权利要求8所述的单点登录系统,其特征在于,所述网关设备为隧道VPN设备或者防火墙。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的单点登录方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010130429.8A CN111371775A (zh) | 2020-02-28 | 2020-02-28 | 一种单点登录方法、装置、设备、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010130429.8A CN111371775A (zh) | 2020-02-28 | 2020-02-28 | 一种单点登录方法、装置、设备、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111371775A true CN111371775A (zh) | 2020-07-03 |
Family
ID=71208281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010130429.8A Pending CN111371775A (zh) | 2020-02-28 | 2020-02-28 | 一种单点登录方法、装置、设备、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111371775A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI763449B (zh) * | 2021-04-21 | 2022-05-01 | 中華電信股份有限公司 | 私有網路服務存取方法和服務閘道設備 |
| CN116032611A (zh) * | 2022-12-28 | 2023-04-28 | 北京深盾科技股份有限公司 | 网络设备的登录方法、系统及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN103905395A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团陕西有限公司 | 一种基于重定向的web访问控制方法及系统 |
| CN106603556A (zh) * | 2016-12-29 | 2017-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、装置及系统 |
| CN108650209A (zh) * | 2018-03-06 | 2018-10-12 | 北京信安世纪科技股份有限公司 | 一种单点登录的方法、系统、装置及认证方法 |
-
2020
- 2020-02-28 CN CN202010130429.8A patent/CN111371775A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN103905395A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团陕西有限公司 | 一种基于重定向的web访问控制方法及系统 |
| CN106603556A (zh) * | 2016-12-29 | 2017-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、装置及系统 |
| CN108650209A (zh) * | 2018-03-06 | 2018-10-12 | 北京信安世纪科技股份有限公司 | 一种单点登录的方法、系统、装置及认证方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI763449B (zh) * | 2021-04-21 | 2022-05-01 | 中華電信股份有限公司 | 私有網路服務存取方法和服務閘道設備 |
| CN116032611A (zh) * | 2022-12-28 | 2023-04-28 | 北京深盾科技股份有限公司 | 网络设备的登录方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108616490B (zh) | 一种网络访问控制方法、装置及系统 | |
| EP3095225B1 (en) | Redirect to inspection proxy using single-sign-on bootstrapping | |
| US9264435B2 (en) | Apparatus and methods for access solutions to wireless and wired networks | |
| US9794242B2 (en) | Method, apparatus and application platform for realizing logon to an application service website | |
| CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| US9699169B2 (en) | Computer readable storage media for selective proxification of applications and method and systems utilizing same | |
| US10911485B2 (en) | Providing cross site request forgery protection at an edge server | |
| CN103067417A (zh) | VPN中安全代理的Web服务映射方法及其系统 | |
| US20150026236A1 (en) | Common Interface Communicating with Multiple Back-End Services via Gateway Application | |
| GB2506624A (en) | Correlation of session activities to a browser window in a client-server environment | |
| CN103561036A (zh) | 白名单上网环境下的请求拦截方法及装置 | |
| CN103168450B (zh) | 访问虚拟专用网络的方法、装置以及网关设备 | |
| EP3376740B1 (en) | Method and apparatus for acquiring ip address | |
| CN105338072A (zh) | 一种http重定向方法及路由设备 | |
| CN111371775A (zh) | 一种单点登录方法、装置、设备、系统及存储介质 | |
| CN109561010B (zh) | 一种报文处理方法、电子设备及可读存储介质 | |
| CN109495362B (zh) | 一种接入认证方法及装置 | |
| CN110730189A (zh) | 一种通信认证方法、装置、设备及存储介质 | |
| US20190068556A1 (en) | Method to avoid inspection bypass due to dns poisoning or http host header spoofing | |
| ES2401819T3 (es) | Acceso a recursos mediante un módulo de seguridad | |
| CN111193771A (zh) | 基于移动端企业浏览器的访问方法和装置 | |
| CN113992446B (zh) | 一种跨域浏览器用户认证方法、系统及计算机储存介质 | |
| CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
| CN106470237B (zh) | 一种异步下载方法及系统 | |
| US11277379B2 (en) | Modification of application-provided turn servers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200703 |