CN111556006A - 第三方应用系统登录方法、装置、终端及sso服务平台 - Google Patents
第三方应用系统登录方法、装置、终端及sso服务平台 Download PDFInfo
- Publication number
- CN111556006A CN111556006A CN201911405995.9A CN201911405995A CN111556006A CN 111556006 A CN111556006 A CN 111556006A CN 201911405995 A CN201911405995 A CN 201911405995A CN 111556006 A CN111556006 A CN 111556006A
- Authority
- CN
- China
- Prior art keywords
- sso
- target
- client
- authentication information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Abstract
本申请实施例公开了一种第三方应用系统登录方法、装置、终端及SSO服务平台,属于互联网技术领域。所述方法包括:当接收到portal中目标第三方应用系统的登录请求时,即向SSO服务平台发送用户认证信息,并在认证通过后,接收SSO服务平台发送的授权码;再通过目标SSO客户端向SSO服务平台发送应用认证信息,且在认证通过后,接收SSO服务平台发送的访问令牌;当根据访问令牌从SSO服务平台获取到用户信息之后,即完成第三方应用系统的登录。通过直接对用户认证信息和应用认证信息的分别认证,无需用户输入第三方应用系统的账号和密码,即可实现在portal中完成目标第三方应用系统的登录。
Description
技术领域
本申请实施例涉及互联网技术领域,特别涉及一种第三方应用系统登录方法、装置、终端及单点登录(Single Sign On,SSO)服务平台。
背景技术
门户(Portal)是一种网页(Web)应用,通常会将多个第三方应用系统集成在Portal中,提供给用户一个集中体验各种第三方应用服务的场所;对于企业来说,可以将企业的各种系统(比如,考勤系统、报销系统、会议系统等)集中在Portal中,统一提供给用户使用。
目前,用户需要访问Portal中的第三方应用系统(子系统)时,用户首先使用Portal的登录账号和密码登入Portal,如果需要访问第三方应用系统,需要使用第三方应用系统的登录账号和密码,进行二次登录。
相关技术中,对于访问Portal中的第三方应用平台,需要二次登录和校验的过程,操作不够简便,导致登录Portal中的第三方应用系统的效率较低。
发明内容
本申请实施例提供了一种第三方应用系统登录方法、装置、终端及SSO服务平台。所述技术方案如下:
一方面,本申请实施例提供了一种第三方应用系统登录方法,所述方法用于运行有portal的终端,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有SSO客户端,所述方法包括:
当接收到所述portal中目标第三方应用系统的登录请求时,向SSO服务平台发送用户认证信息,所述用户认证信息由权限中心生成;
通过所述目标SSO客户端接收所述SSO服务平台发送的授权码,所述授权码是所述用户认证信息通过认证后发送的,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
通过所述目标SSO客户端向所述SSO服务平台发送应用认证信息,所述应用认证信息中包含所述授权码以及所述目标SSO客户端的客户端信息;
通过所述目标SSO客户端接收所述SSO服务平台发送的访问令牌,所述访问令牌是所述应用认证信息通过认证后发送的;
根据所述访问令牌,通过所述目标SSO客户端从所述SSO服务平台获取用户信息,所述目标SSO客户端用于根据所述用户信息登录所述目标第三方应用系统,所述用户信息是登录所述portal的用户的信息。
另一方面,本申请实施例提供了一种第三方应用系统登录方法,所述方法用于SSO服务平台,所述方法包括:
接收portal发送的用户认证信息,所述用户认证信息是所述portal接收到对目标第三方应用系统的登录请求时,向所述SSO服务平台发送的,所述用户认证信息由权限中心生成,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有SSO客户端;
若所述用户认证信息通过认证,则向目标SSO客户端发送授权码,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
接收所述目标SSO客户端发送的应用认证信息,所述应用认证信息中包含所述授权码和所述目标SSO客户端的客户端信息;
若所述应用认证信息通过认证,则向所述目标SSO客户端发送访问令牌,所述目标SSO客户端用于根据所述访问令牌获取用户信息,并根据所述用户信息登录所述目标第三方应用系统。
另一方面,本申请实施例提供了一种第三方应用系统登录装置,所述装置用于运行有portal的终端,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有SSO客户端,所述装置包括:
第一发送模块,用于当接收到所述portal中目标第三方应用系统的登录请求时,向SSO服务平台发送用户认证信息,所述用户认证信息由权限中心生成;
第一接收模块,用于通过目标SSO客户端接收所述SSO服务平台发送的授权码,所述授权码是所述用户认证信息通过认证后发送的,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
第二发送模块,用于通过所述目标SSO客户端向所述SSO服务平台发送应用认证信息,所述应用认证信息中包含所述授权码以及所述目标SSO客户端的客户端信息;
第二接收模块,用于通过所述目标SSO客户端接收所述SSO服务平台发送的访问令牌,所述访问令牌是所述应用认证信息通过认证后发送的;
获取模块,用于根据所述访问令牌,通过所述目标SSO客户端从所述SSO服务平台获取用户信息,所述目标SSO客户端用于根据所述用户信息登录所述目标第三方应用系统,所述用户信息是登录所述portal的用户的信息。
另一方面,本申请实施例提供了一种第三方应用系统登录装置,所述装置用于SSO服务平台,所述装置包括:
第四接收模块,用于接收portal中目标SSO客户端发送的用户认证信息,所述用户认证信息是所述portal接收到对目标第三方应用系统的登录请求时,向所述SSO服务平台发送的,所述用户认证信息由权限中心生成,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有SSO客户端;
第五发送模块,用于若所述用户认证信息通过认证,则向目标SSO客户端发送授权码,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
第五接收模块,用于接收所述目标SSO客户端发送的应用认证信息,所述应用认证信息中包含所述授权码和所述目标SSO客户端的客户端信息;
第六发送模块,用于若所述应用认证信息通过认证,则向所述目标SSO客户端发送访问令牌,所述目标SSO客户端用于根据所述访问令牌获取用户信息,并根据所述用户信息登录所述目标第三方应用系统。
另一方面,本申请实施例提供了一种终端,所述终端包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至4任一所述的第三方应用系统登录方法。
另一方面,本申请实施例提供了一种SSO服务平台,所述SSO服务平台包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现SSO服务平台一侧的第三方应用系统登录方法。
另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述方面所述的第三方应用系统登录方法。
另一方面,还提供了一种计算机程序产品,该计算机程序产品存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现上述方面所述的第三方应用系统登录方法。
采用本申请实施例提供的第三方应用系统登录方法,当接收到portal中目标第三方应用系统的登录请求时,portal首先向SSO服务平台发送用户认证信息,并在用户认证信息通过认证之后,接收到SSO服务平台发送的授权码,再通过目标SSO客户端将应用认证信息发送给SSO服务平台,并在应用认证信息通过认证之后,接收SSO服务平台发送的访问令牌,之后根据该访问令牌从SSO服务平台获取用户信息,以便SSO客户端根据该用户信息登录目标第三方应用系统。通过在接收到portal中目标第三方应用系统的登录请求时,即对用户认证信息和应用认证信息进行分别认证,无需用户输入第三方应用系统的登录账号和密码,即可实现在portal中完成第三方应用系统的登录,可以提高第三方应用系统的登录效率,同时可以避免用户记忆多个第三方应用系统的账号和密码,以便用户管理和使用portal中的多个第三方应用系统。
附图说明
图1示出了本申请一个示例性实施例提供的实施环境的示意图;
图2示出了本申请一个示例性实施例示出的第三方应用系统登录方法的流程图;
图3示出了本申请另一个示例性实施例示出的第三方应用系统登录方法的流程图;
图4示出了本申请一个示例性实施例提供的第三方应用系统登录装置的结构框图;
图5示出了本申请另一个示例性实施例提供的第三方应用系统登录装置的结构框图;
图6示出了本申请一个示例性实施例提供的终端的结构方框图;
图7示出了本申请一个示例性实施例提供的SSO服务平台的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
为了便于理解,下面对本申请实施例中涉及的一些名词进行简单介绍。
Portal:是一种网页应用,通常会将多个第三方应用系统集成在Portal中,提供给用户一个集中体验各种第三方应用服务的场所。比如,在企业管理中,引入企业信息门户(Enterprise Information Portal,EIP),将各种应用系统,如,企业资源计划(EnterpriseResource Planning,ERP)、业务流程管理(Business Process Management,BPM)、人力资源(Human Resources,HR)、办公自动化(Office Automation,OA)、企业邮局等统一集成到企业信息门户中。可选的,数据资产管理系统、大数据分析系统、应用管理系统、安全管理系统等都可以被称为Portal。
第三方应用系统:指的是Portal中集成的各个子系统,比如,若Portal指的是企业信息门户,则第三方应用系统即企业信息门户中集成的EPR、HR、BPM、OA等系统。
SSO客户端:内嵌在第三方应用系统中的客户端,第三方应用系统通过SSO客户端与SSO服务平台进行信息交互,完成第三方应用系统的登录认证授权过程。
SSO服务平台:用于接收SSO客户端发送的认证信息,并对该认证信息进行校验,从而在校验通过后返回校验通过凭证,以便第三方应用系统根据该凭证获取用户信息进行登录。
权限中心:存储有用户信息和用户权限信息,用于对用户身份进行鉴权。
相关技术中,用户在portal中登录第三方应用系统时,可采用两种方式,一种是,用户首先需要输入portal的登录账号和密码,登录portal,当访问第三方应用系统时,需要再次输入该第三方应用系统的登录账号和密码,进行再次登录;第二种方式是,采用SSO服务平台,用户首先输入portal的登录账号和密码登入portal,当用户需要访问第三方应用系统时,会首先跳转至SSO服务平台窗口,用户需要输入SSO服务平台的登录账号和密码,验证通过之后,才能够登录至第三方应用系统。
显然,采用相关技术提供的第三方应用系统登录方法,至少需要二次登录的过程,操作繁琐,登录效率较低,且用户需要管理和记忆portal的登录账号和密码、第三方应用系统的账号和密码以及SSO服务平台的账号和密码,当portal中集成的第三方应用系统的个数较多时,容易混淆和遗忘各个系统的账号和密码,给用户带来登录障碍,用户体验较差。
为了解决上述问题,本申请实施例提供了一种第三方应用系统登录方法。请参考图1,其示出了本申请一个示例性实施例提供的实施环境的示意图。该实施环境中包括portal101、SSO服务平台102和权限中心103。
portal101中集成有多个第三方应用系统,每个第三方应用系统中内嵌有SSO客户端,其可以是EIP、数据资产管理系统、大数据分析系统、应用管理系统、安全管理系统等。可选的,portal101通过SSO客户端104与SSO服务平台102进行信息交互;当用户登录portal101时,portal101会向权限中心103发送登录请求,权限中心103在该登录请求验证通过之后,生成用户认证信息,并发送给portal101;portal101可以将该用户认证信息发送给SSO服务平台102,以完成用户身份认证。
portal101与SSO服务平台102之间通过有线或无线网络相连。
SSO服务平台102是具有用户认证信息或应用认证信息校验功能的计算机设备,其可以是一台服务器,若干台服务器构成的服务器集群或云服务器。可选的,本申请实施例中,将SSO服务平台102分为授权服务器105和资源服务器106,其中,授权服务器105是具有认证授权功能的服务器,资源服务器106是具有发送和存储用户信息功能的服务器。
在一种可能的实施方式中,当授权服务器105接收到portal101发送的用户认证信息,并根据该用户认证信息在权限中心103中进行查询,若查询到与该用户认证信息关联的用户信息,则向SSO客户端104发送授权码(用户认证信息通过校验);当接收到SSO客户端104发送的应用认证信息,并在应用认证信息校验通过之后,向SSO客户端104返回访问令牌。可选的,当SSO客户端104接收到该访问令牌之后,可以根据该访问令牌向资源服务器106获取用户信息。
权限中心103分别与portal101和SSO服务平台102之间均通过有线或无线网络相连。
权限中心103是具有接收、查询、校验用户信息或权限信息的设备,其可以是一台服务器,若干台服务器构成的服务器集群或云服务器。可选的,权限中心103可以接收portal101发送的登录请求,对该登录请求进行验证,当登录验证通过后生成用户认证信息,并反馈给portal101;可选的,当权限中心103接收到授权服务器105发送的用户认证信息,若查找到与该用户认证信息关联的用户信息,则向授权服务器105返回认证通过信息。
请参考图2,其示出了本申请一个示例性实施例示出的第三方应用系统登录方法的流程图。本实施例以该第三方应用系统登录方法应用于图1所示的实施环境来举例说明。该方法包括:
步骤201,当portal接收到portal中目标第三方应用系统的登录请求时,向SSO服务平台发送用户认证信息。
其中,portal中集成有至少一个第三方应用系统,且每一个第三方应用系统中均内嵌有SSO客户端。
在一种可能的实施方式中,用户需要登录portal中的第三方应用系统,首先用户登录portal,进入portal界面,该界面中包含多个第三方应用系统,当用户点击目标第三方应用系统时,则portal接收到目标第三方应用系统的登录请求,则向SSO服务平台发送用户认证信息。
其中,可以利用统一资源定位符(Uniform Resource Locator,URL)携带用户认证信息,该URL中可以携带的参数有客户端标识(client identity document,client id)、客户端回调地址(redirect uniform resource identifier,redirect uri)以及用户认证信息(internalAuthId)等。可选的,该URL中还可以包含授权类型(response_type)、状态(state)、权限范围(scope)、语言(locale)等信息。
可选的,该用户认证信息是用户登录portal时,在权限中心进行登录验证,且验证通过之后,由权限中心产生,并反馈给portal的。示意性的,用户认证信息可以是一段字符串,比如,internalAuthId可以是“IAM_s15591815685101”。
可选的,internalAuthId是动态的,其受登录portal的时间影响。
步骤202,SSO服务平台接收portal发送的用户认证信息。
在一种可能的实施方式中,portal将携带用户认证信息的URL重定向到SSO服务平台,即将该用户认证信息发送给SSO服务平台,则SSO服务平台通过有线或无线网络接收到该用户认证信息。
步骤203,若用户认证信息通过认证,则SSO服务平台向目标SSO客户端发送授权码。
其中,目标SSO客户端是内嵌在目标第三方应用系统内部的SSO客户端。
在一种可能的实施方式中,当SSO服务平台接收到该用户认证信息,则会判断该用户认证信息是否合法,即在权限中心能否查找到与该用户认证信息相关联的用户信息,若能够查找到,则确定该用户认证信息是合法的,即用户认证信息通过认证。当确定该用户认证信息通过认证,则SSO服务平台会将授权码在客户回调地址中以参数形式返回给目标SSO客户端。
可选的,该授权码也可以称为临时授权码。
参考图1所示的SSO服务平台102,SSO服务平台102可以按照功能进行划分,实现SSO服务平台微结构,即将SSO服务平台102中用于进行认证授权的结构划分为授权服务器105。可选的,由授权服务器接收用户认证信息,并对该用户认证信息进行验证,当认证通过之后,由授权服务器105生成授权码,并将该授权码反馈给目标SSO客户端。
可选的,授权服务器生成该授权码之后,可以将该授权码存储在授权服务器中,以便后续认证过程中作为依据继续进行验证。
步骤204,portal通过目标SSO客户端接收SSO服务平台发送的授权码。
在一种可能的实施方式中,SSO服务平台通过无线或有线网络将授权码反馈给目标SSO客户端,当portal通过目标SSO客户端接收到该授权码之后,即确定用户认证信息认证通过,则继续进行后续的认证过程。
可选的,该授权码可以由授权服务器发送。
步骤205,portal通过目标SSO客户端向SSO服务平台发送应用认证信息。
由于授权码是通过无线或有线网络传输的,容易被黑客截取,并伪造第三方应用系统的客户端地址去SSO服务平台中获取用户信息,因此,仅验证用户认证信息,并不能保证用户信息的安全性。
在一种可能的实施方式中,在目标SSO客户端获取到授权码之后,portal需要通过目标SSO客户端向SSO服务平台发送应用认证信息,以便SSO服务平台根据该应用认证信息进行验证,确定应用认证信息对应的目标SSO客户端的合法性。
其中,应用认证信息可以包括目标SSO客户端对应的客户端信息以及授权码。由于目标SSO客户端内嵌在第三方应用平台内部,因此该客户端信息也是第三方应用系统的信息。
可选的,验证应用认证信息的过程可以在授权服务器中进行。
步骤206,SSO服务平台接收目标SSO客户端发送的应用认证信息。
在一种可能的实施方式中,SSO服务平台可以通过无线或有线网络接收应用认证信息。可选的,可以由授权服务器接收该应用认证信息。
步骤207,若应用认证信息通过认证,则SSO服务平台向目标SSO客户端发送访问令牌。
在一种可能的实施方式中,当SSO服务平台接收到该应用认证信息之后,首先验证应用认证信息中的授权码是否合法,即确定SSO服务平台内是否存储有该授权码,若存在,则进一步验证该客户端信息是否合法,即确定SSO服务平台内是否存储与该客户端信息匹配的信息,若存在,则应用认证信息通过认证。当确定应用认证信息通过认证之后,SSO服务平台会生成访问令牌,并反馈给目标SSO客户端,以便通知目标SSO客户端可以进行后续的访问用户信息过程。
可选的,SSO服务平台生成访问令牌的同时,也应该将该访问令牌存储在SSO服务平台内部,以便后续目标SSO客户端获取用户信息时,SSO服务平台可以继续验证访问令牌的合法性。
步骤208,portal通过目标SSO客户端接收SSO服务平台发送的访问令牌。
在一种可能的实施方式中,目标SSO客户端可以通过无线或有线网络接收到该访问令牌。可选的,该访问令牌可以由SSO服务平台中的授权服务器反馈给目标SSO客户端。
步骤209,portal根据访问令牌,通过目标SSO客户端从SSO服务平台获取用户信息,目标SSO客户端用于根据用户信息登录目标第三方应用系统。
其中,用户信息是登录portal的用户的信息。其可以是注册portal时输入的用户信息,也可以是注册之后,新增的用户信息。可选的,用户信息可以包括:用户ID、用户名、详细描述、用户昵称、电话区域、电话号码、邮箱、创建时间、加入时间、会话ID、组织结构ID等。
在一种可能的实施方式中,当目标SSO客户端获取到访问令牌之后,就可以根据该访问令牌去SSO服务平台中获取用户信息,并根据该获取到的用户信息登录第三方应用系统。即可以实现在portal中利用portal的用户的信息来登入第三方应用系统,而无需用户输入第三方应用系统的账号和密码。
可选的,参考图1所示的SSO服务平台的架构图,可以将存储用户信息和权限信息的组件划分为资源服务器106,因此获取用户信息的过程可以由目标SSO客户端与资源服务器106交互实现。
综上所述,本申请实施例中,当接收到portal中目标第三方应用系统的登录请求时,portal首先向SSO服务平台发送用户认证信息,并在用户认证信息通过认证之后,接收SSO服务平台发送的授权码,再通过目标SSO客户端将应用认证信息发送给SSO服务平台,并在应用认证信息通过认证之后,接收SSO服务平台发送的访问令牌,进而根据该访问令牌从SSO服务平台中获取用户信息,以便SSO客户端根据该用户信息登录目标第三方应用系统。通过在接收到portal中目标第三方应用系统的登录请求时,即对用户认证信息和应用认证信息进行分别认证,无需用户输入第三方应用系统的登录账号和密码,即可实现在portal中完成第三方应用系统的登录,可以提高第三方应用系统的登录效率,同时可以避免用户记忆多个第三方应用系统的账号和密码,以便用户管理和使用portal中的多个第三方应用系统。
由于用户认证信息的认证是需要通过SSO服务平台在权限中心进行的,因此,权限中心应该预先存储有用户认证信息与用户信息的对应关系。
请参考图3,其示出了本申请一个示例性实施例示出的第三方应用系统的登录方法的流程图。本实施例以该第三方应用系统登录方法应用于图1所示的实施环境来举例说明。该方法包括:
步骤301,在portal中进行注册时,portal向权限中心发送注册信息。
在一种可能的实施方式中,当用户注册portal账号时,portal接收到用户的注册信息,并将该注册信息发送给权限中心,权限中心接收到该注册信息之后,将该注册信息作为用户信息进行存储。
步骤302,当接收到portal登录操作时,portal向权限中心发送portal登录请求,权限中心用于验证portal登录请求,并在portal登录请求通过验证时,生成用户认证信息,并将用户认证信息与用户信息关联存储。
其中,用户认证信息可以由登录时间戳、应用名(即portal的名称)、用户关联信息以及随机码结合加密算法生成。可选的,用户关联信息是权限中心根据用户信息进行加密算法生成的。可选的,加密算法可以是哈希(Hash)算法,本申请实施例对加密算法的类型不做限定。
在一种可能的实施方式中,当用户注册portal账号之后,就可以使用注册时设置的登录账号和密码登录portal,则portal接收到登录请求,会将该登录请求发送给权限中心进行登录验证,即验证登录账号和密码是否匹配;当登录验证通过之后,权限中心会生成用户认证信息,并将该用户认证信息与用户信息关联存储。
步骤303,portal接收权限中心发送的用户认证信息。
在一种可能的实施方式中,当portal登录成功之后,同时会接收到权限中心发送的用户认证信息,以便后续可以根据该用户认证信息进行第三方应用系统的登录验证。
步骤304,当接收到portal中目标第三方应用系统的登录请求时,向SSO服务平台发送用户认证信息。
步骤305,SSO服务平台接收portal发送的用户认证信息。
上述步骤304和步骤305的实施方式可以参考步骤201和步骤202,本实施例在此不做赘述。
步骤306,SSO服务平台向权限中心发送用户认证信息,权限中心用于查询用户认证信息对应的用户信息。
在一种可能的实施方式中,SSO服务平台对用户认证信息的验证需要通过权限中心进行,即SSO服务平台获取到用户认证信息之后,会将该用户认证信息发送给权限中心,由于权限中心存储有用户认证信息与用户信息的对应关系表,因此,当权限中心接收到该用户认证信息,会在关系表中进行查找,若能够查找到与该用户认证信息匹配的用户信息,则确定该用户认证信息认证通过,并向SSO服务器发送认证通过信息。
可选的,权限中心在发送认证通过信息的同时,也可以将与该用户认证信息匹配的用户信息发送给SSO服务平台。
步骤307,SSO服务平台若接收到权限中心发送的认证通过信息,则确定用户认证信息通过认证,并向目标SSO客户端发送授权码。
在一种可能的实施方式中,当SSO服务平台接收到权限中心发送的认证通过信息,则确定用户认证信息通过,即生成授权码,并发送给目标SSO客户端。
可选的,若SSO服务平台接收到权限中心发送的用户信息,则将该用户信息存储在资源服务器中,以便后续目标SSO客户端从该资源服务器中获取该用户信息。
可选的,SSO服务平台可以将用户信息存储在数据结构服务器(REmoteDIctionary Server,Redis)中,以便加速对用户信息的查询和获取。
步骤308,portal通过目标SSO客户端接收SSO服务平台发送的授权码。
步骤308的实施方式可以参考步骤204,本实施例在此不做赘述。
步骤309,获取目标SSO客户端对应的客户端标识、客户端密码以及客户端回调地址。
在一种可能的实施方式中,当portal通过SSO客户端接收到授权码,即确定用户认证信息经过认证,则需要继续进行应用信息认证,由于应用信息认证需要目标SSO客户端对应的客户端信息和授权码,因此,首先需要获取到该客户端信息。
可选的,客户端信息包括客户端标识、客户端密码以及客户端回调地址,其中,客户端标识、客户端密码是用来验证客户端信息是否合法,而客户端回调地址是SSO服务平台回调时采用的地址,也是目标第三方应用系统对应的地址。
可选的,该客户端信息是存储在目标SSO客户端中。
步骤310,portal通过目标SSO客户端将目标SSO客户端对应的客户端标识、客户端密码、客户端回调地址以及授权码发送给SSO服务平台。
在一种可能的实施方式中,当目标SSO客户端接收到SSO服务平台发送的授权码之后,继续进行应用认证信息的认证,即将目标SSO客户端对应的客户端标识、客户端密码、客户端回调地址以及授权码,发送给SSO服务平台。
可选的,目标SSO客户端也可以将上述应用认证信息发送给SSO服务平台中的授权服务器。
步骤311,SSO服务平台接收目标SSO客户端发送的目标SSO客户端对应的客户端标识、客户端密码、客户端回调地址以及授权码。
在一种可能的实施方式中,SSO服务平台可以通过有线或无线网络,接收到目标SSO客户端发送的应用认证信息,即客户端标识、客户端密码、客户端回调地址以及授权码。
步骤312,若客户端标识、客户端密码以及授权码通过认证,则SSO服务平台根据客户端回调地址,向目标SSO客户端发送访问令牌。
在一种可能的实施方式中,SSO服务平台中预先存储有允许访问的各个客户端信息,且由步骤203的实施方式可知,SSO服务平台中也存储有授权码,因此,当SSO服务平台获取到目标SSO客户端发送的客户端标识、客户端密码以及授权码之后,首先对授权码进行验证,若验证通过,则继续验证客户端标识、客户端密码,若上述信息均验证通过,则SSO服务平台根据客户端回调地址,向目标SSO客户端发送访问令牌。其中,访问令牌的类型与SSO服务平台的认证授权协议有关,比如,若SSO服务平台采用开放连接(OpenID Connect)协议,则生成标识令牌(id_token);若SSO服务平台采用开放授权(Oauth 2.0)协议,则生成访问令牌(access_token)。
可选的,访问令牌是以开放数据标准(JSON Web Token,JWT)方式,且经过加密之后生成的。示意性的,对于access_token,其可以根据令牌类型(token_type)、刷新令牌(refresh_token)、过期时间(expires_in)、scope、JWT唯一身份标识(jti)等信息,以JWT方式,对该信息进行加密之后生成。
可选的,采用的加密算法可以是RSA公钥加密算法,密钥长度可以为2048bit,可以提高访问令牌的安全性。也可以采用其它的加密算法,比如,Hash算法,本实例对访问令牌采用的加密算法不构成限定。
可选的,访问令牌存在时限(即过期时间),当访问令牌的使用时间超过该过期时间,可以通过刷新令牌进行续期。
可选的,SSO服务平台可以将访问令牌存储在redis中,以便后续目标SSO客户端获取用户信息时,可以直接在redis中进行访问令牌的校验,提高查询和访问的速度。
可选的,SSO服务平台中可以无需存储访问令牌,后续进行访问令牌校验时,可以直接对接收到的访问令牌进行解析,获取访问令牌中包含的用户信息,对用户信息进行校验,即实现对访问令牌的检验。
步骤313,portal通过目标SSO客户端接收SSO服务平台发送的访问令牌。
步骤313的实施方式可以参考步骤208,本实施例在此不做赘述。
步骤314,portal根据访问令牌,通过目标SSO客户端从SSO服务平台获取用户信息,目标SSO客户端用于根据用户信息登录目标第三方应用系统。
在一种可能的实施方式中,目标SSO客户端根据访问令牌去访问SSO服务平台,即SSO服务平台中的资源服务器,该资源服务器对访问令牌进行校验,并在校验通过之后,向目标SSO客户端发送用户信息,即目标SSO客户端接收到该用户信息,则根据该用户信息登录目标第三方应用系统。
可选的,若资源服务器中存储有用户信息,则资源服务器可以直接将该用户信息发送给目标SSO客户端。其中,资源服务器中存储的用户信息是由权限中心发送的,即资源服务器会及时同步权限中心内存储的用户信息。
可选的,若资源服务器中仅存储有部分用户信息,或未存储用户信息,则在访问令牌校验通过之后,会向权限中心请求相关用户信息,并在获取到权限中心发送的用户信息之后,发送给目标SSO客户端。
可选的,资源服务器接收到的用户信息也可以存储在redis中,加速查询。本实施例中,通过将用户登录portal时,在权限中心进行登录验证时产生的用户认证信息,用于后续的第三方应用系统登录时的认证授权,可以实现通过一套portal账号和密码,完成portal中集成的所有第三方应用系统的登录。此外,权限中心中将生成的用户认证信息与用户信息关联存储,以便后续在权限中心进行用户认证信息的校验。另外,将访问令牌和用户信息存储在redis中,可以加速对用户信息的查询。
需要说明的是,上述实施例中,认证授权的过程可以在SSO服务平台中的授权服务器中进行,获取用户信息的过程可以在资源服务器中进行。也可以不用区分授权服务器和资源服务器,都在SSO服务平台中进行,本申请实施例对此不做限定。
此外,上述实施例中,以portal为执行主语的步骤可以单独实现成为终端侧的第三方应用系统登录方法,以SSO服务平台为执行主语的步骤可以单独实现成为SSO服务平台侧的第三方应用系统登录方法,本申请在此不再赘述。
请参考图4,其示出了本申请一个示例性实施例提供的第三方应用系统登录装置的结构框图。该装置可以通过软件、硬件或者两者的结合实现成为图1中Portal一侧的全部或一部分,该装置包括:
第一发送模块401,用于当接收到所述portal中目标第三方应用系统的登录请求时,向SSO服务平台发送用户认证信息,所述用户认证信息由权限中心生成;
第一接收模块402,用于通过目标SSO客户端接收所述SSO服务平台发送的授权码,所述授权码是所述用户认证信息通过认证后发送的,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
第二发送模块403,用于通过所述目标SSO客户端向所述SSO服务平台发送应用认证信息,所述应用认证信息中包含所述授权码以及所述目标SSO客户端的客户端信息;
第二接收模块404,用于通过所述目标SSO客户端接收所述SSO服务平台发送的访问令牌,所述访问令牌是所述应用认证信息通过认证后发送的;
获取模块405,用于根据所述访问令牌,通过所述目标SSO客户端从所述SSO服务平台获取用户信息,所述目标SSO客户端用于根据所述用户信息登录所述目标第三方应用系统,所述用户信息是登录所述portal的用户的信息。
可选的,所述装置还包括:
第三发送模块,用于当接收到portal登录操作时,向所述权限中心发送portal登录请求,所述权限中心用于验证所述portal登录请求,并在所述portal登录请求通过验证时,生成所述用户认证信息,并将所述用户认证信息与所述用户信息关联存储;
第三接收模块,用于接收所述权限中心发送的所述用户认证信息。
可选的,所述装置还包括:
第四发送模块,用于在所述portal中进行注册时,向所述权限中心发送注册信息,所述注册信息包含所述用户信息,所述权限注册信息用于存储所述用户信息。
可选的,所述第二发送模块403,包括:
获取单元,用于获取所述目标SSO客户端对应的客户端标识、客户端密码以及客户端回调地址,所述客户端回调地址是所述目标第三方应用系统的地址;
第一发送单元,通过所述目标SSO客户端将所述目标SSO客户端对应的所述客户端标识、所述客户端密码、所述客户端回调地址以及所述授权码发送给所述SSO服务平台。
本实施例中,当接收到portal中目标第三方应用系统的登录请求时,portal首先向SSO服务平台发送用户认证信息,并在用户认证信息通过认证之后,接收SSO服务平台发送的授权码,再通过目标SSO客户端将应用认证信息发送给SSO服务平台,并在应用认证信息通过认证之后,接收SSO服务平台发送的访问令牌,进而根据该访问令牌从SSO服务平台获取用户信息,以便SSO客户端根据该用户信息登录目标第三方应用系统。通过在接收到portal中目标第三方应用系统的登录请求时,即对用户认证信息和应用认证信息进行分别认证,无需用户输入第三方应用系统的登录账号和密码,即可实现在portal中完成第三方应用系统的登录,可以提高第三方应用系统的登录效率,同时可以避免用户记忆多个第三方应用系统的账号和密码,以便用户管理和使用portal中的多个第三方应用系统。
请参考图5,其示出了本申请另一个示例性实施例提供的第三方应用系统登录装置的结构框图。该装置可以通过软件、硬件或者两者的结合实现成为图1中SSO服务平台一侧的全部或一部分,该装置包括:
第四接收模块501,用于接收portal发送的用户认证信息,所述用户认证信息是所述portal接收到对目标第三方应用系统的登录请求时,向所述SSO服务平台发送的,所述用户认证信息由权限中心生成,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有SSO客户端;
第五发送模块502,用于若所述用户认证信息通过认证,则向目标SSO客户端发送授权码,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
第五接收模块503,用于接收所述目标SSO客户端发送的应用认证信息,所述应用认证信息中包含所述授权码和所述目标SSO客户端的客户端信息;
第六发送模块504,用于若所述应用认证信息通过认证,则向所述目标SSO客户端发送访问令牌,所述目标SSO客户端用于根据所述访问令牌获取用户信息,并根据所述用户信息登录所述目标第三方应用系统。
可选的,所述第五发送模块502,包括:
第二发送单元,用于向所述权限中心发送所述用户认证信息,所述权限中心用于查询所述用户认证信息对应的所述用户信息;
确定单元,用于若接收到所述权限中心发送的认证通过信息,则确定所述用户认证信息通过认证,并向所述目标SSO客户端发送所述授权码,所述认证通过信息是所述权限中心查询到所述用户认证信息对应的所述用户信息时发送的。
可选的,所述装置还包括:
存储模块,用于将所述访问令牌和所述用户信息存储在redis中。
可选的,所述第五接收模块503,包括:
接收单元,用于接收所述目标SSO客户端发送的所述目标SSO客户端对应的客户端标识、客户端密码、客户端回调地址以及所述授权码;
可选的,所述第六发送模块504,包括:
第三发送单元,用于若所述客户端标识、客户端密码以及所述授权码通过认证,则根据所述客户端回调地址,向所述目标SSO客户端发送访问令牌。
本申请实施例中,当接收到portal中目标第三方应用系统的登录请求时,portal首先向SSO服务平台发送用户认证信息,并在用户认证信息通过认证之后,接收SSO服务平台发送的授权码,再通过目标SSO客户端将应用认证信息发送给SSO服务平台,并在应用认证信息通过认证之后,接收SSO服务平台发送的访问令牌,进而根据该访问令牌从SSO服务平台获取用户信息,以便SSO客户端根据该用户信息登录目标第三方应用系统。通过在接收到portal中目标第三方应用系统的登录请求时,即对用户认证信息和应用认证信息进行分别认证,无需用户输入第三方应用系统的登录账号和密码,即可实现在portal中完成第三方应用系统的登录,可以提高第三方应用系统的登录效率,同时可以避免用户记忆多个第三方应用系统的账号和密码,以便用户管理和使用portal中的多个第三方应用系统。
需要说明的是:上述实施例提供的第三方应用系统登录装置,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的第三方应用系统登录装置与第三方应用系统登录方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
请参考图6,其示出了本申请一个示例性实施例提供的终端600的结构方框图,本申请中的终端600可以包括一个或多个如下部件:处理器610和存储器620。
处理器610可以包括一个或者多个处理核心。处理器610利用各种接口和线路连接整个终端600内的各个部分,通过运行或执行存储在存储器620内的指令、程序、代码集或指令集,以及调用存储在存储器620内的数据,执行终端600的各种功能和处理数据。可选地,处理器610可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器610可集成中央处理器(CentralProcessing Unit,CPU)、图像处理器(Graphics Processing Unit,GPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序等;GPU用于负责屏幕所需要显示的内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成到处理器610中,单独通过一块通信芯片进行实现。
存储器620可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory,ROM)。可选地,该存储器620包括非瞬时性计算机可读介质(non-transitory computer-readable storage medium)。存储器620可用于存储指令、程序、代码、代码集或指令集。存储器620可包括存储程序区和存储数据区,其中,存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等,该操作系统可以是安卓(Android)系统(包括基于Android系统深度开发的系统)、苹果公司开发的IOS系统(包括基于IOS系统深度开发的系统)或其它系统。存储数据区还可以存储终端600在使用中所创建的数据(比如电话本、音视频数据、聊天记录数据)等。
可选的,本申请实施例中,终端600中还运行有portal,该portal可以是EIP、数据资产管理系统、大数据分析系统、应用管理系统、安全管理系统等,本申请实施例对终端600中运行的portal构成限定。
除此之外,本领域技术人员可以理解,上述附图所示出的终端600的结构并不构成对终端600的限定,终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。比如,终端600中还包括屏幕、射频电路、拍摄组件、传感器、音频电路、无线保真(Wireless Fidelity,WiFi)组件、电源、蓝牙组件等部件,在此不再赘述。
请参考图7,其示出了本申请一个示例性实施例提供的SSO服务平台700的结构示意图。所述SSO服务平台700包括CPU701、包括随机存取存储器RAM702和只读存储器ROM703的系统存储器704,以及连接系统存储器704和中央处理单元701的系统总线705。所述SSO服务平台700还包括帮助SSO服务平台的各个器件之间传输信息的基本输入/输出系统(Input/Output,I/O系统)706,和用于存储操作系统713、应用程序714和其他程序模块715的大容量存储设备707。
所述基本输入/输出系统706包括有用于显示信息的显示器708和用于用户输入信息的诸如鼠标、键盘之类的输入设备709。其中所述显示器708和输入设备709都通过连接到系统总线705的输入输出控制器710连接到中央处理单元701。所述基本输入/输出系统706还可以包括输入输出控制器710以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器710还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备707通过连接到系统总线705的大容量存储控制器(未示出)连接到中央处理单元701。所述大容量存储设备707及其相关联的服务器可读存储介质为SSO服务平台700提供非易失性存储。也就是说,所述大容量存储设备707可以包括诸如硬盘或者紧凑型光盘只读储存器(Compact Disc Read-Only Memory,CD-ROM)驱动器之类的计算机可读存储介质(未示出)。
不失一般性,所述计算机可读存储介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读存储指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、可擦除可编程只读存储器(Erasable Programmable Read OnlyMemory,EPROM)、闪存或其他固态存储其技术,CD-ROM、数字多功能光盘(DigitalVersatile Disc,DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器704和大容量存储设备707可以统称为存储器。
存储器存储有一个或多个程序,一个或多个程序被配置成由一个或多个中央处理单元701执行,一个或多个程序包含用于实现上述方法实施例的指令,中央处理单元701执行该一个或多个程序实现上述各个方法实施例提供的方法。
根据本申请的各种实施例,所述SSO服务平台700还可以通过诸如因特网等网络连接到网络上的远程服务器运行。也即SSO服务平台700可以通过连接在所述系统总线705上的网络接口单元711连接到网络712,或者说,也可以使用网络接口单元711来连接到其他类型的网络或远程服务器系统(未示出)。
所述存储器还包括一个或者一个以上的程序,所述一个或者一个以上程序存储于存储器中,所述一个或者一个以上程序包含用于进行本申请实施例提供的方法中由SSO服务平台所执行的步骤。
本申请实施例还提供了一种计算机可读介质,该计算机可读介质存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现如上各个实施例所述的第三方应用系统登录方法。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现如上各个实施例所述的第三方应用系统登录方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (13)
1.一种第三方应用系统登录方法,其特征在于,所述方法用于运行有门户portal的终端,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有单点登录SSO客户端,所述方法包括:
当接收到所述portal中目标第三方应用系统的登录请求时,向SSO服务平台发送用户认证信息,所述用户认证信息由权限中心生成;
通过目标SSO客户端接收所述SSO服务平台发送的授权码,所述授权码是所述用户认证信息通过认证后发送的,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
通过所述目标SSO客户端向所述SSO服务平台发送应用认证信息,所述应用认证信息中包含所述授权码以及所述目标SSO客户端的客户端信息;
通过所述目标SSO客户端接收所述SSO服务平台发送的访问令牌,所述访问令牌是所述应用认证信息通过认证后发送的;
根据所述访问令牌,通过所述目标SSO客户端从所述SSO服务平台获取用户信息,所述目标SSO客户端用于根据所述用户信息登录所述目标第三方应用系统,所述用户信息是登录所述portal的用户的信息。
2.根据权利要求1所述的方法,其特征在于,所述通过目标SSO客户端向SSO服务平台发送用户认证信息之前,所述方法还包括:
当接收到portal登录操作时,向所述权限中心发送portal登录请求,所述权限中心用于验证所述portal登录请求,并在所述portal登录请求通过验证时,生成所述用户认证信息,并将所述用户认证信息与所述用户信息关联存储;
接收所述权限中心发送的所述用户认证信息。
3.根据权利要求2所述的方法,其特征在于,所述当接收到portal登录操作时,向所述权限中心发送portal登录请求之前,所述方法还包括:
在所述portal中进行注册时,向所述权限中心发送注册信息,所述注册信息包含所述用户信息,所述权限中心用于存储所述用户信息。
4.根据权利要求1至3任一所述的方法,其特征在于,所述通过所述目标SSO客户端向所述SSO服务平台发送应用认证信息,包括:
获取所述目标SSO客户端对应的客户端标识、客户端密码以及客户端回调地址,所述客户端回调地址是所述目标第三方应用系统的地址;
通过所述目标SSO客户端将所述目标SSO客户端对应的所述客户端标识、所述客户端密码、所述客户端回调地址以及所述授权码发送给所述SSO服务平台。
5.一种第三方应用系统登录方法,其特征在于,所述方法用于SSO服务平台,所述方法包括:
接收portal发送的用户认证信息,所述用户认证信息是所述portal接收到对目标第三方应用系统的登录请求时,向所述SSO服务平台发送的,所述用户认证信息由权限中心生成,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有SSO客户端;
若所述用户认证信息通过认证,则向目标SSO客户端发送授权码,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
接收所述目标SSO客户端发送的应用认证信息,所述应用认证信息中包含所述授权码和所述目标SSO客户端的客户端信息;
若所述应用认证信息通过认证,则向所述目标SSO客户端发送访问令牌,所述目标SSO客户端用于根据所述访问令牌获取用户信息,并根据所述用户信息登录所述目标第三方应用系统。
6.根据权利要求5所述的方法,其特征在于,所述若所述用户认证信息通过认证,则向所述目标SSO客户端发送授权码,包括:
向所述权限中心发送所述用户认证信息,所述权限中心用于查询所述用户认证信息对应的所述用户信息;
若接收到所述权限中心发送的认证通过信息,则确定所述用户认证信息通过认证,并向所述目标SSO客户端发送所述授权码,所述认证通过信息是所述权限中心查询到所述用户认证信息对应的所述用户信息时发送的。
7.根据权利要求5所述的方法,其特征在于,所述向所述目标SSO客户端发送访问令牌之后,所述方法还包括:
将所述访问令牌和所述用户信息存储在数据结构服务器redis中。
8.根据权利要求5所述的方法,其特征在于,所述接收所述目标SSO客户端发送的应用认证信息,包括:
接收所述目标SSO客户端发送的所述目标SSO客户端对应的客户端标识、客户端密码、客户端回调地址以及所述授权码;
所述若所述应用认证信息通过认证,则向所述目标SSO客户端发送访问令牌,包括:
若所述客户端标识、客户端密码以及所述授权码通过认证,则根据所述客户端回调地址,向所述目标SSO客户端发送访问令牌。
9.一种第三方应用系统登录装置,其特征在于,所述装置用于运行有portal的终端,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有SSO客户端,登录所述装置包括:
第一发送模块,用于当接收到所述portal中目标第三方应用系统的登录请求时,向SSO服务平台发送用户认证信息,所述用户认证信息由权限中心生成;
第一接收模块,用于通过目标SSO客户端接收所述SSO服务平台发送的授权码,所述授权码是所述用户认证信息通过认证后发送的,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
第二发送模块,用于通过所述目标SSO客户端向所述SSO服务平台发送应用认证信息,所述应用认证信息中包含所述授权码以及所述目标SSO客户端的客户端信息;
第二接收模块,用于通过所述目标SSO客户端接收所述SSO服务平台发送的访问令牌,所述访问令牌是所述应用认证信息通过认证后发送的;
获取模块,用于根据所述访问令牌,通过所述目标SSO客户端从所述SSO服务平台获取用户信息,所述目标SSO客户端用于根据所述用户信息登录所述目标第三方应用系统,所述用户信息是登录所述portal的用户的信息。
10.一种第三方应用系统登录装置,其特征在于,所述装置用于SSO服务平台,所述装置包括:
第四接收模块,用于接收portal发送的用户认证信息,所述用户认证信息是所述portal接收到对目标第三方应用系统的登录请求时,向所述SSO服务平台发送的,所述用户认证信息由权限中心生成,所述portal中集成有至少一个第三方应用系统,所述第三方应用系统中集成有SSO客户端;
第五发送模块,用于若所述用户认证信息通过认证,则向目标SSO客户端发送授权码,所述目标SSO客户端是所述目标第三方应用系统对应的SSO客户端;
第五接收模块,用于接收所述目标SSO客户端发送的应用认证信息,所述应用认证信息中包含所述授权码和所述目标SSO客户端的客户端信息;
第六发送模块,用于若所述应用认证信息通过认证,则向所述目标SSO客户端发送访问令牌,所述目标SSO客户端用于根据所述访问令牌获取用户信息,并根据所述用户信息登录所述目标第三方应用系统。
11.一种终端,其特征在于,所述终端包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至4任一所述的第三方应用系统登录方法登录。
12.一种SSO服务平台,其特征在于,所述SSO服务平台包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求5至8任一所述的第三方应用系统登录方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至4任一所述的第三方应用系统登录方法,或,实现如权利要求5至8任一所述的第三方应用系统登录方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911405995.9A CN111556006B (zh) | 2019-12-31 | 2019-12-31 | 第三方应用系统登录方法、装置、终端及sso服务平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911405995.9A CN111556006B (zh) | 2019-12-31 | 2019-12-31 | 第三方应用系统登录方法、装置、终端及sso服务平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111556006A true CN111556006A (zh) | 2020-08-18 |
| CN111556006B CN111556006B (zh) | 2022-06-03 |
Family
ID=72007187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911405995.9A Active CN111556006B (zh) | 2019-12-31 | 2019-12-31 | 第三方应用系统登录方法、装置、终端及sso服务平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111556006B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112016074A (zh) * | 2020-09-09 | 2020-12-01 | 政采云有限公司 | 一种逆向授权登录的方法、装置及介质 |
| CN112055017A (zh) * | 2020-09-02 | 2020-12-08 | 中国平安财产保险股份有限公司 | 单一账号多应用统一登录方法、装置及计算机设备 |
| CN112311797A (zh) * | 2020-10-30 | 2021-02-02 | 新华三大数据技术有限公司 | 一种认证方法及装置、认证服务器 |
| CN112332993A (zh) * | 2020-11-03 | 2021-02-05 | 紫光云引擎科技(苏州)有限公司 | 基于u币积分提供工业云应用商店系统认证方法及系统 |
| CN112491848A (zh) * | 2020-11-18 | 2021-03-12 | 山东浪潮通软信息科技有限公司 | 一种支持可扩展安全对接第三方系统的方法及设备 |
| CN112688857A (zh) * | 2020-12-08 | 2021-04-20 | 北京北信源软件股份有限公司 | 一种调用即时通信功能的方法及相关设备 |
| CN113259357A (zh) * | 2021-05-21 | 2021-08-13 | 浪潮卓数大数据产业发展有限公司 | 一种基于OAuth2的单点登录方法 |
| CN113660192A (zh) * | 2021-06-23 | 2021-11-16 | 云南昆钢电子信息科技有限公司 | 一种Web系统身份认证系统和方法 |
| CN113904825A (zh) * | 2021-09-29 | 2022-01-07 | 百融至信(北京)征信有限公司 | 一种多应用统一接入网关方法及系统 |
| CN114024751A (zh) * | 2021-11-05 | 2022-02-08 | 北京字节跳动网络技术有限公司 | 一种应用访问控制方法、装置、计算机设备及存储介质 |
| CN114143053A (zh) * | 2021-11-24 | 2022-03-04 | 国云科技股份有限公司 | 一种第三方服务登录方法、装置、终端设备及存储介质 |
| CN114189375A (zh) * | 2021-12-06 | 2022-03-15 | 银清科技有限公司 | 一种业务系统管理方法和装置 |
| CN114244525A (zh) * | 2021-12-13 | 2022-03-25 | 中国农业银行股份有限公司 | 请求数据处理方法、装置、设备及存储介质 |
| CN114338224A (zh) * | 2022-01-17 | 2022-04-12 | 广东好太太智能家居有限公司 | 一种智能硬件跨平台控制方法及系统 |
| CN116962092A (zh) * | 2023-09-21 | 2023-10-27 | 畅捷通信息技术股份有限公司 | 一种生态集成登录方法、系统、电子设备及存储介质 |
| CN113904825B (zh) * | 2021-09-29 | 2024-05-14 | 百融至信(北京)科技有限公司 | 一种多应用统一接入网关方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209749A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
| CN107786571A (zh) * | 2017-11-07 | 2018-03-09 | 昆山云景商务服务有限公司 | 一种用户统一认证的方法 |
| CN109815684A (zh) * | 2019-01-30 | 2019-05-28 | 广东工业大学 | 一种身份认证方法、系统及服务器和存储介质 |
| CN110049048A (zh) * | 2019-04-22 | 2019-07-23 | 易联众民生(厦门)科技有限公司 | 一种政务公共服务的数据访问方法、设备及可读介质 |
| CN110086822A (zh) * | 2019-05-07 | 2019-08-02 | 北京智芯微电子科技有限公司 | 面向微服务架构的统一身份认证策略的实现方法及系统 |
-
2019
- 2019-12-31 CN CN201911405995.9A patent/CN111556006B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209749A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
| CN107786571A (zh) * | 2017-11-07 | 2018-03-09 | 昆山云景商务服务有限公司 | 一种用户统一认证的方法 |
| CN109815684A (zh) * | 2019-01-30 | 2019-05-28 | 广东工业大学 | 一种身份认证方法、系统及服务器和存储介质 |
| CN110049048A (zh) * | 2019-04-22 | 2019-07-23 | 易联众民生(厦门)科技有限公司 | 一种政务公共服务的数据访问方法、设备及可读介质 |
| CN110086822A (zh) * | 2019-05-07 | 2019-08-02 | 北京智芯微电子科技有限公司 | 面向微服务架构的统一身份认证策略的实现方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| BLACKHEART: "[认证 & 授权] 1. OAuth2授权", 《无》 * |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112055017A (zh) * | 2020-09-02 | 2020-12-08 | 中国平安财产保险股份有限公司 | 单一账号多应用统一登录方法、装置及计算机设备 |
| CN112016074A (zh) * | 2020-09-09 | 2020-12-01 | 政采云有限公司 | 一种逆向授权登录的方法、装置及介质 |
| CN112311797A (zh) * | 2020-10-30 | 2021-02-02 | 新华三大数据技术有限公司 | 一种认证方法及装置、认证服务器 |
| CN112332993A (zh) * | 2020-11-03 | 2021-02-05 | 紫光云引擎科技(苏州)有限公司 | 基于u币积分提供工业云应用商店系统认证方法及系统 |
| CN112491848B (zh) * | 2020-11-18 | 2022-07-08 | 山东浪潮通软信息科技有限公司 | 一种支持可扩展安全对接第三方系统的方法及设备 |
| CN112491848A (zh) * | 2020-11-18 | 2021-03-12 | 山东浪潮通软信息科技有限公司 | 一种支持可扩展安全对接第三方系统的方法及设备 |
| CN112688857A (zh) * | 2020-12-08 | 2021-04-20 | 北京北信源软件股份有限公司 | 一种调用即时通信功能的方法及相关设备 |
| CN113259357A (zh) * | 2021-05-21 | 2021-08-13 | 浪潮卓数大数据产业发展有限公司 | 一种基于OAuth2的单点登录方法 |
| CN113660192A (zh) * | 2021-06-23 | 2021-11-16 | 云南昆钢电子信息科技有限公司 | 一种Web系统身份认证系统和方法 |
| CN113904825A (zh) * | 2021-09-29 | 2022-01-07 | 百融至信(北京)征信有限公司 | 一种多应用统一接入网关方法及系统 |
| CN113904825B (zh) * | 2021-09-29 | 2024-05-14 | 百融至信(北京)科技有限公司 | 一种多应用统一接入网关方法及系统 |
| CN114024751B (zh) * | 2021-11-05 | 2023-05-23 | 抖音视界有限公司 | 一种应用访问控制方法、装置、计算机设备及存储介质 |
| CN114024751A (zh) * | 2021-11-05 | 2022-02-08 | 北京字节跳动网络技术有限公司 | 一种应用访问控制方法、装置、计算机设备及存储介质 |
| CN114143053A (zh) * | 2021-11-24 | 2022-03-04 | 国云科技股份有限公司 | 一种第三方服务登录方法、装置、终端设备及存储介质 |
| CN114189375A (zh) * | 2021-12-06 | 2022-03-15 | 银清科技有限公司 | 一种业务系统管理方法和装置 |
| CN114189375B (zh) * | 2021-12-06 | 2024-02-27 | 银清科技有限公司 | 一种业务系统管理方法和装置 |
| CN114244525A (zh) * | 2021-12-13 | 2022-03-25 | 中国农业银行股份有限公司 | 请求数据处理方法、装置、设备及存储介质 |
| CN114244525B (zh) * | 2021-12-13 | 2024-03-01 | 中国农业银行股份有限公司 | 请求数据处理方法、装置、设备及存储介质 |
| CN114338224A (zh) * | 2022-01-17 | 2022-04-12 | 广东好太太智能家居有限公司 | 一种智能硬件跨平台控制方法及系统 |
| CN114338224B (zh) * | 2022-01-17 | 2024-04-12 | 广东好太太智能家居有限公司 | 一种智能硬件跨平台控制方法及系统 |
| CN116962092A (zh) * | 2023-09-21 | 2023-10-27 | 畅捷通信息技术股份有限公司 | 一种生态集成登录方法、系统、电子设备及存储介质 |
| CN116962092B (zh) * | 2023-09-21 | 2023-12-26 | 畅捷通信息技术股份有限公司 | 一种生态集成登录方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111556006B (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111556006B (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
| US11736469B2 (en) | Single sign-on enabled OAuth token | |
| US11711219B1 (en) | PKI-based user authentication for web services using blockchain | |
| US11431501B2 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
| WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| US20170289134A1 (en) | Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database | |
| US8898764B2 (en) | Authenticating user through web extension using token based authentication scheme | |
| US11190501B2 (en) | Hybrid single sign-on for software applications and services using classic and modern identity providers | |
| WO2018145605A1 (zh) | 鉴权方法及服务器、访问控制装置 | |
| CN107347068A (zh) | 单点登录方法及系统、电子设备 | |
| US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
| US20140075513A1 (en) | Device token protocol for authorization and persistent authentication shared across applications | |
| CN109413096B (zh) | 一种多应用的登录方法及装置 | |
| US9332433B1 (en) | Distributing access and identification tokens in a mobile environment | |
| US11283793B2 (en) | Securing user sessions | |
| CN108234124B (zh) | 身份验证方法、装置与系统 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| CN111062023B (zh) | 多应用系统实现单点登录的方法及装置 | |
| CN110247917B (zh) | 用于认证身份的方法和装置 | |
| CN111241523B (zh) | 认证处理方法、装置、设备和存储介质 | |
| CN109726545B (zh) | 一种信息显示方法、设备、计算机可读存储介质和装置 | |
| CN114157434A (zh) | 登录验证方法、装置、电子设备及存储介质 | |
| US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |