CN111814133A - 移动应用统一登录方法及装置 - Google Patents

Abstract

本发明实施例提供了移动应用统一登录方法及装置，本发明涉及基架运维技术领域，方法包括：获取用户终端发起的业务请求，业务请求携带会话标识及签名；响应于业务请求，利用签名对会话标识进行防篡改校验；当校验成功，验证会话标识是否有效；当验证有效，从预设的统一登录认证系统的数据库中获取与会话标识相对应的用户信息，并确认用户终端处于登录状态，将用户信息返回至用户终端；当验证失效，唤起统一登录认证应用程序，以使得用户终端利用统一登录认证应用程序快速登录。本发明实施例提供的技术方案能够解决现有技术中登录管理安全性低的问题。

Description

移动应用统一登录方法及装置

【技术领域】

本发明涉及基架运维技术领域，尤其涉及移动应用统一登录方法及装置。

【背景技术】

随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。对于统一登录，现有方案大多都是进入某系统时，若系统判断其没有登录，就会跳转至统一登录页面进行用户名和密码校验，校验通过则在回调地址URL链接中携带临时的token令牌，然后根据这个临时令牌来调用接口获取真正的token令牌，即根据真正令牌请求接口获得用户登录信息，然后进行操作。以上方法是目前常用的统一登录方案，但是太繁琐，登录管理安全性低。

【发明内容】

有鉴于此，本发明实施例提供了移动应用统一登录证方法及装置，用以解决现有技术中登录管理安全性低的问题。

为了实现上述目的，第一方面，本发明实施例提供一种移动应用统一登录方法，所述方法包括：

获取用户终端发起的业务请求，所述业务请求携带会话标识及签名；

响应于所述业务请求，利用所述签名对所述会话标识进行防篡改校验；

当校验成功，验证所述会话标识是否有效；

当验证有效，从预设的统一登录认证系统的数据库中获取与所述会话标识相对应的用户信息，并确认所述用户终端处于登录状态，将所述用户信息返回至所述用户终端；

当验证失效，唤起统一登录认证应用程序，以使得所述用户终端利用所述统一登录认证应用程序快速登录。

结合第一方面，在一种可行的实施方式中，所述验证所述会话标识是否有效，包括：

验证所述会话标识与所述用户终端的用户身份标识是否匹配；

如果匹配，进一步确认所述会话标识是否在预设的有效期内；

如是，确认所述会话标识有效；

如否，确认所述会话标识失效。

结合第一方面，在一种可行的实施方式中，在所述响应于所述业务请求，利用所述签名对所述会话标识进行防篡改校验之后，所述方法还包括：

当校验失败，唤起所述统一登录认证应用程序，以使得所述用户终端利用所述统一登录认证应用程序快速登录。

结合第一方面，在一种可行的实施方式中，在所述用户终端利用所述统一登录认证应用程序快速登录之后，所述方法还包括：

获取所述用户终端的用户登录信息，所述用户登录信息包括用户身份标识；

根据所述用户身份标识及预设的第一加密算法生成会话标识；

根据所述会话标识及预设的第二加密算法生成签名；

将生成的签名及加密的会话标识注入回调网址的cookie项中，并将所述回调网址发送至所述用户终端。

结合第一方面，在一种可行的实施方式中，所述响应于所述业务请求，利用所述签名对所述会话标识进行防篡改校验，包括：

利用预设的密钥对所述签名进行解签，得到字符串；

将所述字符串与所述业务请求中的会话标识进行比对；

如果比对结果一致，确认校验成功；

如果比对结果不一致，确认校验失败。

结合第一方面，在一种可行的实施方式中，所述方法还包括：

判断所述用户终端的连续登录失败次数在预设时间内是否超过预设阈值；

如是，对所述用户终端进行锁定。

为了实现上述目的，第二方面，本发明实施例提供一种移动应用统一登录装置，所述装置包括：

第一获取单元，用于获取用户终端发起的业务请求，所述业务请求携带会话标识及签名；

校验单元，用于响应于所述业务请求，利用所述签名对所述会话标识进行防篡改校验；

验证单元，用于当校验成功，验证所述会话标识是否有效；

第二获取单元，用于当验证有效，从预设的统一登录认证系统的数据库中获取与所述会话标识相对应的用户信息，并确认所述用户终端处于登录状态，将所述用户信息返回至所述用户终端；

唤起单元，用于当验证失效，唤起统一登录认证应用程序，以使得所述用户终端利用所述统一登录认证应用程序快速登录。

结合第二方面，在一种可行的实施方式中，所述装置还包括：

第三获取单元，用于获取所述用户终端的用户登录信息，所述用户登录信息包括用户身份标识；

第一生成单元，用于根据所述用户身份标识及预设的第一加密算法生成会话标识；

第二生成单元，用于根据所述会话标识及预设的第二加密算法生成签名；

处理单元，用于将生成的签名及加密的会话标识注入回调网址的cookie项中，并将所述回调网址发送至所述用户终端。

当校验失败，唤起所述统一登录认证应用程序，以使得所述用户终端快速登录。

为了实现上述目的，第三方面，本发明还提供了一种计算机非易失性存储介质，所述存储介质包括存储的程序，在所述程序运行时控制所述存储介质所在设备执行上述的移动应用统一登录方法。

为了实现上述目的，第四方面，本发明还提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的移动应用统一登录方法。

在本方案中，先利用业务请求中的签名对会话标识进行防篡改校验，如果用户篡改Cookie的值，则与签名无法对应上。以此来判断会话标识是否被篡改，提高登录安全性。当校验通过，再验证会话标识是否有效，以判断用户终端是否处于登录状态。如未登录，则唤起统一登录认证应用程序快速登录，快速登录成功，从而提高登录安全性。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1是本发明实施例提供的一种移动应用统一登录方法的流程图；

图2是本发明实施例提供的一种移动应用统一登录装置的功能框图；

图3是本发明实施例提供的一种可选的计算机设备的示意图。

【具体实施方式】

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应当理解，尽管在本发明实施例中可能采用术语第一、第二、第三等来描述终端，但这些终端不应限于这些术语。这些术语仅用来将终端彼此区分开。例如，在不脱离本发明实施例范围的情况下，第一终端也可以被称为第二终端，类似地，第二终端也可以被称为第一终端。

取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

本发明实施例提供一种移动应用统一登录方法，为了便于理解，首先介绍一下应用场景，所述移动应用统一登录方法应用于统一登录认证系统，统一登录认证系统可以服务于多个第三方系统，第三方系统也可以是应用子系统，例如户籍办事系统、社保系统、缴税系统等等。统一登录认证系统与多个第三方系统都可以遵循同一套登录体系和同一套用户体系，用户也不用分别去第三方系统一一注册登录，多个第三方系统共享统一登录认证系统，提高登录管理效率。为安全考虑，第三方系统无法对统一登录认证系统的数据库进行操作。

图1是根据本发明实施例的一种移动应用统一登录方法的流程图，如图1所示，该方法包括：

步骤S01，获取用户终端发起的业务请求，业务请求携带会话标识及签名；

步骤S02，响应于业务请求，利用签名对会话标识进行防篡改校验；

步骤S03，当校验成功，验证会话标识是否有效；

步骤S04，当验证有效，从预设的统一登录认证系统的数据库中获取与会话标识相对应的用户信息，并确认用户终端处于登录状态，将用户信息返回至用户终端；

步骤S05，当验证失效，唤起统一登录认证应用程序，以使得用户终端利用统一登录认证应用程序快速登录。

在本方案中，先利用业务请求中的签名对会话标识进行防篡改校验，如果用户篡改Cookie的值，则与签名无法对应上。以此来判断会话标识是否被篡改，提高登录安全性。当校验通过，再验证会话标识是否有效，以判断用户终端是否处于登录状态。如未登录，则唤起统一登录认证应用程序快速登录，快速登录成功，从而提高登录安全性。

下面基于移动应用统一登录方法进行详细介绍。

步骤S01，获取用户终端发起的业务请求，业务请求携带会话标识及签名。

例如，当用户终端利用APP访问第三方系统时，或当用户终端利用H5页面访问第三方系统时，用户终端就会发送业务请求至统一登录认证系统的服务器。

业务请求可以是登陆请求、会话请求、注册请求或注销请求等。其形式可以是http请求，当用户终端发起http请求，http请求头会带上cookie项，cookie项里面就包含会话标识(session ID)。服务器端根据会话标识获取相应的会话信息session。

本实施例的用户终端可以包括多种终端设备，如移动智能终端、车载设备、移动智能电话、平板电子设备、智能穿戴设备、电视设备等。第三方系统例如可以是户籍办事系统、社保系统、缴税系统等等。

步骤S02，响应于业务请求，利用签名对会话标识进行防篡改校验。

在本实施例中，第三方系统依赖于统一登录认证系统的用户登录数据进行登录，其他第三方系统并不涉及用户登录数据的存储，把用户登录数据集中存储于统一登录认证系统的数据库中。在登录过程中，统一登录认证服务器通过利用签名对cookie项中的sessionID进行防篡改校验，能够有效保证第三方系统应用的安全性。

进一步地，在用户终端利用统一登录认证应用程序快速登录后，方法还包括：

获取用户终端的用户登录信息，用户登录信息包括用户身份标识；

根据用户身份标识及预设的第一加密算法生成会话标识；

根据会话标识及预设的第二加密算法生成签名；

将生成的签名及加密的会话标识注入回调网址的cookie项中，并将回调网址发送至用户终端。

可以理解地，会话标识是由统一登录认证系统根据用户身份标识并基于预设的第一加密算法生成的。例如，用户的账号为123456，会话标识经过加密后为w9ad6s4b8n5da。

其中，第一加密算法例如可以是非对称加密算法，如哈希运算，sha256等，非对称加密算法在加密过程中生成一个公钥和一个私钥，统一登录认证系统的服务器端利用非加密算法进行加密，这样第三方应用就难以获取原始的会话标识(例如，用户账号：123456)，提高用户信息的安全性。

在另一种实施方式中，第一加密算法也可以是对称加密算法，例如DES(DataEncryption Standard，数据加密算法)、3DES等，在此不做限定。

第二加密算法可以是非对称加密算法或对称加密算法，第一加密算法与第二加密算法可以相同，也可以不同。在本实施例中，第二加密算法为非对称加密算法，其包括公钥和私钥。

在本实施例中，统一登录认证系统的服务器利用预设的私钥对sessionID进行加密，得到签名；再将签名及sessionID注入对应的cookie项，当用户终端发出业务请求时，HTTP请求头会带上Cookie项，Cookie项里面就包含有加密的SessionID及签名。

示例性地：

signFun(‘w9ad6s4b8n5da’)＝6fa8abd52f226c60c4e

sessionID＝‘w9ad6s4b8n5da|6fa8abd52f226c60c4e’，其中，内容和签名用“|”隔开。可以理解地，当用户再一次登录时，就可以对cookie项中的sessionID进行防篡改验证。

具体地，利用签名对会话标识进行防篡改校验，包括：

利用预设的密钥对签名进行解签，得到字符串；

将字符串与业务请求中的会话标识进行比对；

如果比对结果一致，确认校验成功；如果比对结果一致，确认校验失败。

在本实施例中，密钥为由非对称加密算法生成的公钥。可以理解地，统一登录认证系统的服务器利用预设的公钥对签名进行解签，得到字符串，将字符串与cookie项中的sessionID进行比对，比对一致即可确认sessionID是否在传送过程没有被篡改，提高登录安全性。

在本实施例中，由统一登录认证系统的数据库统一集中存储用户信息(例如，session数据)，并利用会话标识可以从数据库中获取存储的用户信息。该数据库例如可以是redis数据库，由于redis数据库是内存存储，访问效率高，性能上比较好，因此，在大用户高并发情况下，具有读取速度快，面对多用户支持集群，能够有效提高统一登录认证系统访问效率。

进一步地，在步骤S02，响应于业务请求，利用签名对会话标识进行防篡改校验之后，方法还包括：

当校验失败，唤起统一登录认证应用程序，以使得用户终端利用统一登录认证应用程序快速登录。

服务器即可唤起统一登录认证应用程序，方便用户在该应用程序上进行登录，即输入用户账号及密码等，或者通过统一登录认证应用程序进行注册。用户不用分别去第三方系统一一注册登录，多个第三方系统共享统一登录认证系统，提高登录管理效率。

步骤S03，当校验成功，验证会话标识是否有效，包括：

验证会话标识与用户终端的用户身份标识是否匹配；

如果匹配，进一步确认会话标识是否在有效期内；

如是，确认会话标识有效。

如否，确认会话标识失效。

在本实施例中，可以对会话标识进行解密，将解密后的字符串与用户身份标识进行匹配。

用户信息是以key-value形式存储于统一登录认证系统对应的数据库中，sessionID为key，用户信息为value。用户信息可以包括会话数据、用户登录信息等。

sessionID的有效期是可以自定义设置的，比如设置session最大的不活动的间隔为30分钟，若该系统在30分钟内无活动(无http请求)，该sessionID失效，若有http请求，则30分钟后失效(即失效时间在请求时间基础上增加30分钟)。可以利用Session ExpireTime形式的API接口获取sessionID的有效期。

具体地，可以获取当前时间，确定当前时间是否在sessionID的有效期内，如果当前时间超过有效期，则sessionID失效，如果当前时间没有超过有效期，则sessionID有效。

例如sessionID定义的有效截止时间是2020-9-1-10-30+30分钟，即上一次业务请求时间为2020年9月1日上午10点半，sessionID的有效期为2020-9-1-11-00，即2020年9月1日上午11点，如果当前时间为2020-9-1-10-45，那么就在有效期内，sessionID就有效。如果当前时间为2020-9-1-11-10，sessionID就失效。

可以理解地，如果sessionID有效，能够获取用户的用户信息(例如，会话数据)，则代表该请求的用户终端已经登陆，用户终端就能够在第三方系统上继续操作，返回用户信息给用户终端。

如果获取不到有效的sessionID，例如sessionID已经失效，则可以根据业务请求重新创建会话业务。在创建会话时，当前会话的sessionID默认为需要备份至统一登录认证系统的数据库中。在本实施例中，sessionID是根据用户身份标识(例如登录账号)及会话创建时的时间戳生成，用于标识同一个用户的同一段会话。

步骤S04，当验证有效，从预设的统一登录认证系统的数据库中获取与会话标识相对应的用户信息，并确认用户终端处于登录状态，将用户信息返回至用户终端。

可以理解地，当数据库中存储用户信息，表示用户不是首次登录，可以允许用户终端继续访问或操作第三方系统。

步骤S05，当验证失效，唤起统一登录认证应用程序，以使得用户终端利用统一登录认证应用程序快速登录。

验证失败，用户终端则不可以继续访问或操作第三方系统。

进一步地，在步骤S05之后，方法还包括：

判断用户终端的连续登录失败次数在预设时间内是否超过预设阈值；

如是，对用户终端进行锁定。

可以理解地，为防止进入死循环和安全性考虑，例如在30分钟内出现5次连续登录失败或5次sessionID验证不成功，该账户将被锁定24小时，同时退出循环，跳转到错误页。

在一种实施方式中，用户终端利用H5页面访问第三方系统时，用户终端从cookie项中读取sessionID，并发送业务请求至统一登录认证系统的服务器，若服务器接口返回成功，就能收到服务器返回的用户信息；若sessionID不存在或接口返回不成功，便会唤起统一登录认证APP进行登录，登录成功后，服务器端会在回调网址URL链接中注入cookie，用户终端在获得cookie项后，再次回到H5页面，接口即可返回成功，从而获取到用户信息。

在另一种实施方式中，用户终端利用APP访问第三方系统时，通过WebView(网络视图)的方式引入的js-sdk从cookie中读取sessionID后，并发送业务请求至统一登录认证系统的服务器，若服务器接口返回成功，就能收到服务器返回的用户信息；若sessionID不存在或接口返回不成功，便会唤起统一登录认证APP进行登录，登录成功后，服务器端会在回调网址URL链接中注入cookie，用户终端在获得cookie项后，再次回到APP页面，接口即可返回成功，从而获取到用户信息。

图2是根据本发明实施例的一种移动应用统一登录装置的示意图，如图2所示，该装置包括第一获取单元10、检验单元20、验证单元30、第二获取单元40、唤起单元50。

第一获取单元10，用于获取用户终端发起的业务请求，业务请求携带会话标识及签名；

校验单元20，用于响应于业务请求，利用签名对会话标识进行防篡改校验；

验证单元30，用于当校验成功，验证会话标识是否有效；

第二获取单元40，用于当验证有效，从预设的统一登录认证系统的数据库中获取与会话标识相对应的用户信息，并确认用户终端处于登录状态，将用户信息返回至用户终端；

唤起单元50，用于当验证失效，唤起统一登录认证应用程序，以使得用户终端利用统一登录认证应用程序快速登录。

在本方案中，先利用业务请求中的签名对会话标识进行防篡改校验，如果用户篡改Cookie的值，则与签名无法对应上。以此来判断会话标识是否被篡改，提高登录安全性。当校验通过，再验证会话标识是否有效，以判断用户终端是否处于登录状态。如未登录，则唤起统一登录认证应用程序快速登录，快速登录成功，从而提高登录安全性。

例如，当用户终端利用APP访问第三方系统时，或当用户终端利用H5页面访问第三方系统时，用户终端就会发送业务请求至统一登录认证系统的服务器。

业务请求可以是登陆请求、会话请求、注册请求或注销请求等。其形式可以是http请求，当用户终端发起http请求，http请求头会带上cookie项，cookie项里面就包含会话标识(session ID)。服务器端根据会话标识获取相应的会话信息session。

本实施例的用户终端可以包括多种终端设备，如移动智能终端、车载设备、移动智能电话、平板电子设备、智能穿戴设备、电视设备等。第三方系统例如可以是户籍办事系统、社保系统、缴税系统等等。

在本实施例中，第三方系统依赖于统一登录认证系统的用户登录数据进行登录，其他第三方系统并不涉及用户登录数据的存储，把用户登录数据集中存储于统一登录认证系统的数据库中。在登录过程中，统一登录认证服务器通过利用签名对cookie项中的sessionID进行防篡改校验，能够有效保证第三方系统应用的安全性。

进一步地，装置还包括：

第三获取单元，用于获取用户终端的用户登录信息，用户登录信息包括用户身份标识；

第一生成单元，用于根据用户身份标识及预设的第一加密算法生成会话标识；

第二生成单元，用于根据会话标识及预设的第二加密算法生成签名；

处理单元，用于将生成的签名及加密的会话标识注入回调网址的cookie项中，并将回调网址发送至用户终端。

可以理解地，在用户终端登录统一登录认证系统后，会话标识是由统一登录认证系统根据用户身份标识并基于预设的第一加密算法生成的。例如，用户的账号为123456，会话标识经过加密后为w9ad6s4b8n5da。

其中，第一加密算法例如可以是非对称加密算法，如哈希运算，sha256等，非对称加密算法在加密过程中生成一个公钥和一个私钥，统一登录认证系统的服务器端利用非加密算法进行加密，这样第三方应用就难以获取原始的会话标识(例如，用户账号：123456)，提高用户信息的安全性。

在另一种实施方式中，第一加密算法也可以是对称加密算法，例如DES(DataEncryption Standard，数据加密算法)、3DES等，在此不做限定。

第二加密算法可以是非对称加密算法或对称加密算法，第一加密算法与第二加密算法可以相同，也可以不同。在本实施例中，第二加密算法为非对称加密算法，其包括公钥和私钥。

在本实施例中，统一登录认证系统的服务器利用预设的私钥对sessionID进行加密，得到签名；再将签名及sessionID注入对应的cookie项，当用户终端发出业务请求时，HTTP请求头会带上Cookie项，Cookie项里面就包含有加密的SessionID及签名。

示例性地：

signFun(‘w9ad6s4b8n5da’)＝6fa8abd52f226c60c4e

sessionID＝‘w9ad6s4b8n5da|6fa8abd52f226c60c4e’，其中，内容和签名用“|”隔开。可以理解地，当用户再一次登录时，就可以对cookie项中的sessionID进行防篡改验证。

具体地，校验单元20包括解签子单元、比对子单元、第一确认子单元、第二确认子单元。

解签子单元，用于利用预设的密钥对签名进行解签，得到字符串；

比对子单元，用于将字符串与业务请求中的会话标识进行比对；

第一确认子单元，用于如果比对结果一致，确认校验成功；

第二确认子单元，用于如果比对结果不一致，确认校验失败。

在本实施例中，密钥为由非对称加密算法生成的公钥。可以理解地，统一登录认证系统的服务器利用预设的公钥对签名进行解签，得到字符串，将字符串与cookie项中的sessionID进行比对，比对一致即可确认sessionID是否在传送过程没有被篡改，提高登录安全性。

在本实施例中，由统一登录认证系统的数据库统一集中存储用户信息(例如，session数据)，并利用会话标识可以从数据库中获取存储的用户信息。该数据库例如可以是redis数据库，由于redis数据库是内存存储，访问效率高，性能上比较好，因此，在大用户高并发情况下，具有读取速度快，面对多用户支持集群，能够有效提高统一登录认证系统访问效率。

进一步地，唤起单元50还用于：

当校验单元20校验失败时，唤起统一登录认证应用程序，以使得用户终端利用统一登录认证应用程序快速登录。

服务器即可唤起统一登录认证应用程序，方便用户在该应用程序上进行登录，即输入用户账号及密码等，或者通过统一登录认证应用程序进行注册。用户不用分别去第三方系统一一注册登录，多个第三方系统共享统一登录认证系统，提高登录管理效率。

进一步地，验证单元30包括验证子单元、第三确认子单元、第四确认子单元及第五确认子单元。

验证子单元，用于验证会话标识与用户终端的用户身份标识是否匹配；

第三确认子单元，用于如果匹配，进一步确认会话标识是否在有效期内；

第四确认子单元，用于如是，确认会话标识有效。

第五确认子单元，用于如否，确认会话标识失效。

在本实施例中，可以对会话标识进行解密，将解密后的字符串与用户身份标识进行匹配。

用户信息是以key-value形式存储于统一登录认证系统对应的数据库中，sessionID为key，用户信息为value。用户信息可以包括会话数据、用户登录信息等。

sessionID的有效期是可以自定义设置的，比如设置session最大的不活动的间隔为30分钟，若该系统在30分钟内无活动(无http请求)，该sessionID失效，若有http请求，则30分钟后失效(即失效时间在请求时间基础上增加30分钟)。可以利用Session ExpireTime形式的API接口获取sessionID的有效期。

具体地，可以获取当前时间，确定当前时间是否在sessionID的有效期内，如果当前时间超过有效期，则sessionID失效，如果当前时间没有超过有效期，则sessionID有效。

例如sessionID定义的有效截止时间是2020-9-1-10-30+30分钟，即上一次业务请求时间为2020年9月1日上午10点半，sessionID的有效期为2020-9-1-11-00，即2020年9月1日上午11点，如果当前时间为2020-9-1-10-45，那么就在有效期内，sessionID就有效。如果当前时间为2020-9-1-11-10，sessionID就失效。

可以理解地，如果sessionID有效，能够获取用户的用户信息(例如，会话数据)，则代表该请求的用户终端已经登陆，用户终端就能够在第三方系统上继续操作，返回用户信息给用户终端。

如果获取不到有效的sessionID，例如sessionID已经失效，则可以根据业务请求重新创建会话业务。在创建会话时，当前会话的sessionID默认为需要备份至统一登录认证系统的数据库中。在本实施例中，sessionID是根据用户身份标识(例如登录账号)及会话创建时的时间戳生成，用于标识同一个用户的同一段会话。

进一步地，装置还包括判断单元及锁定单元。

判断单元，用于判断用户终端的连续登录失败次数在预设时间内是否超过预设阈值；

锁定单元，用于如是，对用户终端进行锁定。

可以理解地，为防止进入死循环和安全性考虑，例如在30分钟内出现5次连续登录失败或5次sessionID验证不成功，该账户将被锁定24小时，同时退出循环，跳转到错误页。

在一种实施方式中，用户终端利用H5页面访问第三方系统时，用户终端从cookie项中读取sessionID，并发送业务请求至统一登录认证系统的服务器，若服务器接口返回成功，就能收到服务器返回的用户信息；若sessionID不存在或接口返回不成功，便会唤起统一登录认证APP进行登录，登录成功后，服务器端会在回调网址URL链接中注入cookie，用户终端在获得cookie项后，再次回到H5页面，接口即可返回成功，从而获取到用户信息。

在另一种实施方式中，用户终端利用APP访问第三方系统时，通过WebView(网络视图)的方式引入的js-sdk从cookie中读取sessionID后，并发送业务请求至统一登录认证系统的服务器，若服务器接口返回成功，就能收到服务器返回的用户信息；若sessionID不存在或接口返回不成功，便会唤起统一登录认证APP进行登录，登录成功后，服务器端会在回调网址URL链接中注入cookie，用户终端在获得cookie项后，再次回到APP页面，接口即可返回成功，从而获取到用户信息。

本发明实施例提供了一种计算机非易失性存储介质，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行以下步骤：

获取用户终端发起的业务请求，业务请求携带会话标识及签名；响应于业务请求，利用签名对会话标识进行防篡改校验；当校验成功，验证会话标识是否有效；当验证有效，从预设的统一登录认证系统的数据库中获取与会话标识相对应的用户信息，并确认用户终端处于登录状态，将用户信息返回至用户终端；当验证失效，唤起统一登录认证应用程序，以使得用户终端利用统一登录认证应用程序快速登录。

可选地，在程序运行时控制存储介质所在设备执行验证会话标识是否有效的步骤，包括：

验证会话标识与用户终端的用户身份标识是否匹配；

如果匹配，进一步确认会话标识是否在预设的有效期内；

如是，确认会话标识有效；

如否，确认会话标识失效。

可选地，在程序运行时控制存储介质所在设备在执行响应于业务请求，利用签名对会话标识进行防篡改校验之后，还执行以下步骤：

当校验失败，唤起统一登录认证应用程序，以使得用户终端利用统一登录认证应用程序快速登录。

可选地，在程序运行时控制存储介质所在设备在执行用户终端利用统一登录认证应用程序快速登录之后，还执行以下步骤：

获取用户终端的用户登录信息，用户登录信息包括用户身份标识；

根据用户身份标识及预设的第一加密算法生成会话标识；

根据会话标识及预设的第二加密算法生成签名；

将生成的签名及加密的会话标识注入回调网址的cookie项中，并将回调网址发送至用户终端。

可选地，在程序运行时控制存储介质所在设备执行利用签名对会话标识进行防篡改校验的步骤，包括：

利用预设的密钥对签名进行解签，得到字符串；

将字符串与业务请求中的会话标识进行比对；

如果比对结果一致，确认校验成功；

如果比对结果不一致，确认校验失败。

图3是本发明实施例提供的一种计算机设备的示意图。如图3所示，该实施例的计算机设备100包括：处理器101、存储器102以及存储在存储器102中并可在处理器101上运行的计算机程序103，处理器101执行计算机程序103时实现实施例中的移动应用统一登录方法，为避免重复，此处不一一赘述。或者，该计算机程序被处理器101执行时实现实施例中移动应用统一登录装置中各模型/单元的功能，为避免重复，此处不一一赘述。

计算机设备100可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。计算机设备可包括，但不仅限于，处理器101、存储器102。本领域技术人员可以理解，图3仅仅是计算机设备100的示例，并不构成对计算机设备100的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如计算机设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器101可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器102可以是计算机设备100的内部存储单元，例如计算机设备100的硬盘或内存。存储器102也可以是计算机设备100的外部存储设备，例如计算机设备100上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，存储器102还可以既包括计算机设备100的内部存储单元也包括外部存储设备。存储器102用于存储计算机程序以及计算机设备所需的其他程序和数据。存储器102还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(Processor)执行本发明各个实施例方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (10)

1.一种移动应用统一登录方法，其特征在于，所述方法包括：

获取用户终端发起的业务请求，所述业务请求携带会话标识及签名；

响应于所述业务请求，利用所述签名对所述会话标识进行防篡改校验；

当校验成功，验证所述会话标识是否有效；

当验证有效，从预设的统一登录认证系统的数据库中获取与所述会话标识相对应的用户信息，并确认所述用户终端处于登录状态，将所述用户信息返回至所述用户终端；

当验证失效，唤起统一登录认证应用程序，以使得所述用户终端利用所述统一登录认证应用程序快速登录。

2.根据权利要求1所述的方法，其特征在于，所述验证所述会话标识是否有效，包括：

验证所述会话标识与所述用户终端的用户身份标识是否匹配；

如果匹配，进一步确认所述会话标识是否在预设的有效期内；

如是，确认所述会话标识有效；

如否，确认所述会话标识失效。

3.根据权利要求1所述的方法，其特征在于，在所述响应于所述业务请求，利用所述签名对所述会话标识进行防篡改校验之后，所述方法还包括：

当校验失败，唤起所述统一登录认证应用程序，以使得所述用户终端利用所述统一登录认证应用程序快速登录。

4.根据权利要求1～3任一项所述的方法，其特征在于，在所述用户终端利用所述统一登录认证应用程序快速登录之后，所述方法还包括：

获取所述用户终端的用户登录信息，所述用户登录信息包括用户身份标识；

根据所述用户身份标识及预设的第一加密算法生成会话标识；

根据所述会话标识及预设的第二加密算法生成签名；

将生成的签名及加密的会话标识注入回调网址的cookie项中，并将所述回调网址发送至所述用户终端。

5.根据权利要求1～3任一项所述的方法，其特征在于，所述响应于所述业务请求，利用所述签名对所述会话标识进行防篡改校验，包括：

利用预设的密钥对所述签名进行解签，得到字符串；

将所述字符串与所述业务请求中的会话标识进行比对；

如果比对结果一致，确认校验成功；

如果比对结果不一致，确认校验失败。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

判断所述用户终端的连续登录失败次数在预设时间内是否超过预设阈值；

如是，对所述用户终端进行锁定。

7.一种移动应用统一登录装置，其特征在于，所述装置包括：

第一获取单元，用于获取用户终端发起的业务请求，所述业务请求携带会话标识及签名；

校验单元，用于响应于所述业务请求，利用所述签名对所述会话标识进行防篡改校验；

验证单元，用于当校验成功，验证所述会话标识是否有效；

第二获取单元，用于当验证有效，从预设的统一登录认证系统的数据库中获取与所述会话标识相对应的用户信息，并确认所述用户终端处于登录状态，将所述用户信息返回至所述用户终端；

唤起单元，用于当验证失效，唤起统一登录认证应用程序，以使得所述用户终端利用所述统一登录认证应用程序快速登录。

8.根据权利要求7所述的装置，其特征在于，所述装置还包括：

第三获取单元，用于获取所述用户终端的用户登录信息，所述用户登录信息包括用户身份标识；

第一生成单元，用于根据所述用户身份标识及预设的第一加密算法生成会话标识；

第二生成单元，用于根据所述会话标识及预设的第二加密算法生成签名；

处理单元，用于将生成的签名及加密的会话标识注入回调网址的cookie项中，并将所述回调网址发送至所述用户终端。

9.一种计算机非易失性存储介质，其特征在于，所述存储介质包括存储的程序，在所述程序运行时控制所述存储介质所在设备执行权利要求1至6任意一项所述的移动应用统一登录方法。

10.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6任意一项所述的移动应用统一登录方法。

Images