CN111988318B - 一种授权认证系统及其方法 - Google Patents

Abstract

本发明涉及一种授权认证系统及其方法，该系统包括客户端、业务系统和授权平台，客户端单向连接至业务系统，客户端和业务系统分别与授权平台双向连接，该方法主要包括以下过程：客户端发送请求访问信息给业务系统；根据客户端发送的请求访问信息，业务系统发送请求授权信息给授权平台；授权平台依次对用户进行登录状态认证和授权确认，以生成授权码，并将该授权码回调至业务系统；根据授权码，业务系统从授权平台获取访问令牌；根据访问令牌，业务系统从授权平台获取当前登录用户的用户信息。与现有技术相比，本发明能够在H5页面上借助APP认证能力，能够有效减少刷新系数、避免后退重复提交现象以及重复授权现象的发生，从而大大提高用户体验感。

Description

一种授权认证系统及其方法

技术领域

本发明涉及APP授权认证技术领域，尤其是涉及一种授权认证系统及其方法。

背景技术

随着移动互联网的高速发展，智能终端上的APP(Application，应用)种类繁多，多数APP都需要与后台系统进行交互，交互的第一步需要进行登录认证，目前常采用OAuth原则实现用户授权认证，作为一种开放的授权标准，OAuth允许第三方应用访问用户在某一个服务商服务器上存储的私密数据，其处理流程具体为：首先第三方应用通过App Key和Appsecret换取OAuth Token进行授权，授权完成后服务商页面会跳转到第三方应用同时返回Access Token，此后第三方应用就可以通过这个Access Token去服务商服务器中访问相应数据，即通过用户授权获取授权码，通过授权码获得令牌，再通过令牌获取资源信息，令牌在一定时间内可以重复使用，然而在实际应用中，往往存在来回重复授权认证的问题，降低了用户体验感。

现有技术还采用防重放方式，以有效提升系统的安全级别，但是当接口被调用发生重定向后，如果再点击回退则会发生接口重新被调用，此时触发防重放的策略而导致调用出现拦截并提示错误，及发生回退异常现象。

此外，对于内嵌在APP的业务系统，大多都是通过调用APP的JS(Java Script，脚本语言)接口来识别身份，但是这种模式存在一定的安全隐患。授权平台上线后，业务系统需要通过前端跳转结合cookie和session的技术来实现登录态的统一管控，即至少需要2次前端跳转才能识别网页模式的授权，第一次跳转是请求授权平台，而第二次跳转是回调回业务系统。当业务系统调用APP的JS接口来识别客户身份后，APP会封装一层内部处理，将登录态转移到授权平台，但登录态的识别涉及到前端cookie，所以这个行为会额外产生2次前端跳转，而业务系统得到APP的响应后，与授权平台交互又产生了2次前端跳转，最终导致浏览器出现来回刷进度条的效果，刷新次数过多同样会降低用户体验感。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种授权认证系统及其方法，以解决重复授权、回退重复提交和刷新次数过多的问题。

本发明的目的可以通过以下技术方案来实现：一种授权认证系统，包括客户端、业务系统和授权平台，所述客户端单向连接至业务系统，以从客户端发送请求访问信息给业务系统，所述客户端和业务系统分别与授权平台双向连接，所述授权平台用于推送授权确认页面给客户端以及返回授权码给业务系统，所述客户端用于执行用户登录操作，以及发送授权确认信息给授权平台，所述业务系统用于发送请求授权信息给授权平台，以及根据授权码从授权平台获取令牌及用户信息。

进一步地，所述客户端通过JavaScript脚本语言的方式与授权平台双向连接。

进一步地，所述授权平台包括双向连接的授权前台和授权后台，所述授权前台和授权后台分别与客户端双向连接，以分别进行用户登录认证和用户授权确认，所述授权前台从授权后台获取登录确认页面，并通过与客户端的数据交互，以完成用户登录认证，所述授权后台通过与客户端的数据交互，以发布登录令牌给客户端，并由客户端将该登录令牌回调给授权前台，所述授权前台从授权后台获取授权码；

所述业务系统单向连接至授权后台，以将请求授权信息发送至授权后台，所述授权前台单向连接至业务系统，以从授权前台回调授权码给业务系统。

进一步地，所述客户端包括APP应用端、APP后台和客户端服务器，所述授权前台与APP应用端双向连接，所述APP应用端分别与APP后台、授权后台双向连接，所述APP后台分别与客户端服务器、授权后台双向连接，所述APP应用端与APP后台进行数据交互，以查询用户登录状态，所述APP后台用于发送已登录用户的用户编码给授权后台，以从授权后台获取登录令牌，并将该登录令牌传输给APP应用端，由APP应用端将登录令牌回调给授权前台；

所述APP后台用于从客户端服务器调用用户登录接口，以完成用户登录认证；

所述APP应用端与授权后台进行数据交互，以完成用户授权确认，并由授权后台生成授权码传输给授权前台。

一种授权认证方法，包括以下步骤：

S1、客户端发送http请求访问信息给业务系统；

S2、根据客户端发送的请求访问信息，业务系统发送请求授权信息给授权平台；

S3、授权平台依次对用户进行登录状态认证和授权确认，以生成授权码，并将该授权码回调至业务系统；

S4、根据授权码，业务系统从授权平台获取访问令牌；

S5、根据访问令牌，业务系统从授权平台获取当前登录用户的用户信息，即完成统一授权认证过程。

进一步地，所述步骤S1中的请求访问信息具体为GET请求，所述步骤S1的具体过程为：用户访问客户端，选择所需业务项目对应的URL(Uniform Resource Locator，统一资源定位符，即网络地址)，以发送请求访问信息给业务系统。

进一步地，所述步骤S2中的请求授权信息具体为GET请求，所述步骤S2的具体过程为：根据客户端发送的请求访问信息，采用location.replace的方式，业务系统携带回调地址向授权平台发送请求授权信息。

进一步地，所述步骤S3具体包括以下步骤：

S31、授权平台推送登录确认页面给客户端，以进行用户登录认证，若用户已登录，则执行步骤S33，否则执行步骤S32；

S32、客户端调用会员登录接口，以完成用户登录操作；

S33、客户端发送已登录用户的用户编码给授权平台，请求授权平台颁发登录令牌；

S34、根据登录令牌，判断用户在预设免授权时间内是否进行过授权确认行为，若判断为是，则执行步骤S35，否则授权平台推送授权确认页面给客户端，客户端返回授权确认信息给授权平台；

S35、授权平台校验用户授权确认信息，以生成对应的授权码，并将该授权码回调至业务系统。

进一步地，所述步骤S34中授权确认页面的内容包括用户名称信息、授权信息明细和授权用途。

进一步地，所述步骤S35具体包括以下步骤：

S351、授权平台校验用户授权确认信息，以生成对应的授权码；

S352、采用location.replace的方式，根据业务系统的回调地址，将授权码回调至业务系统。

与现有技术相比，本发明具有以下优点：

一、针对现有技术存在刷新次数过多的问题，本发明通过调整交互方式，使业务系统直接与授权平台进行交互，且客户端与授权平台之间通过JavaScript脚本语言的方式进行用户登录认证的数据交互，从而可避免2次前端跳转，减少刷新次数，提高用户体验感。

二、针对现有技术存在回退异常、后退重复提交的问题，本发明采用GET请求结合location.replace(newURL)的方法，在发生页面跳转时，直接由新的URL替换现有的页面URL，以实现重定向的目的，从而避免重复提交现象的发生。

三、针对现有技术存在重复授权的问题，本发明采用“先登录认证、后授权确认”的方式，并在进行用户授权确认时，增加免授权时间控制，即针对用户在对不同的外部系统授权后，只要判断为在免授权期间内，则可以不用再次授权，以此解决重复授权的问题。

附图说明

图1为本发明的系统数据交互示意图；

图2为本发明的方法流程示意图；

图3为实施例中授权认证过程数据交互示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

实施例

如图1所示，一种授权认证系统，包括客户端、业务系统和授权平台，客户端单向连接至业务系统，客户端和业务系统分别与授权平台双向连接，客户端用于执行用户登录操作，以及发送请求访问信息给业务系统、发送授权确认信息给授权平台；

业务系统用于发送请求授权信息给授权平台，以及根据授权码从授权平台获取令牌及用户信息；

授权平台用于推送授权确认页面给客户端以及返回授权码给业务系统。

其中，客户端通过JavaScript脚本语言的方式与授权平台双向连接。在实际应用中，上述系统的主要工作过程为：

1、用户请求访问业务系统某项业务功能，此时业务系统需要用到用户信息；

2、业务系统某功能需识别用户，则请求访问授权平台；

3、授权平台识别用户后，显示用户授权确认页面；

4、用户根据情况可选择授权确认并通知授权平台；

5、授权平台得到用户授权后回调给业务系统并返回授权码；

6、业务系统根据授权码获取对应的令牌；

7、业务系统根据令牌获取用户信息。

对应于图2所示本发明的方法流程为：

S1、客户端发送请求访问信息给业务系统——用户访问客户端，选择所需业务项目对应的URL(Uniform Resource Locator，统一资源定位符，即网络地址)，以发送GET请求形式的请求访问信息给业务系统；

S2、根据客户端发送的请求访问信息，业务系统发送请求授权信息给授权平台——根据客户端发送的请求访问信息，采用location.replace的方式，业务系统携带回调地址向授权平台发送GET请求形式的请求授权信息；

S3、授权平台依次对用户进行登录状态认证和授权确认，以生成授权码，并将该授权码回调至业务系统：

S31、授权平台推送登录确认页面给客户端，以进行用户登录认证，若用户已登录，则执行步骤S33，否则执行步骤S32；

S32、客户端调用会员登录接口，以完成用户登录操作；

S33、客户端发送已登录用户的用户编码给授权平台，请求授权平台颁发登录令牌；

S34、根据登录令牌，判断用户在预设免授权时间内是否进行过授权确认行为，若判断为是，则执行步骤S35，否则授权平台推送包括用户名称信息、授权信息明细和授权用途内容的授权确认页面给客户端，客户端返回授权确认信息给授权平台；

S35、授权平台校验用户授权确认信息，以生成对应的授权码，之后采用location.replace的方式，根据业务系统的回调地址，将授权码回调至业务系统；

S4、根据授权码，业务系统从授权平台获取访问令牌；

S5、根据访问令牌，业务系统从授权平台获取当前登录用户的用户信息，即完成统一授权认证过程。

本实施例中，如图3所示，授权平台包括双向连接的授权前台和授权后台，授权前台和授权后台分别与客户端双向连接，以分别进行用户登录认证和用户授权确认，授权前台从授权后台获取登录确认页面，并通过与客户端的数据交互，以完成用户登录认证，授权后台通过与客户端的数据交互，以发布登录令牌给客户端，并由客户端将该登录令牌回调给授权前台，授权前台从授权后台获取授权码，业务系统单向连接至授权后台，以将请求授权信息发送至授权后台，授权前台单向连接至业务系统，以从授权前台回调授权码给业务系统；

客户端包括APP应用端、APP后台和客户端服务器，授权前台与APP应用端双向连接，APP应用端分别与APP后台、授权后台双向连接，APP后台分别与客户端服务器、授权后台双向连接，APP应用端与APP后台进行数据交互，以查询用户登录状态，APP后台用于发送已登录用户的用户编码给授权后台，以从授权后台获取登录令牌，并将该登录令牌传输给APP应用端，由APP应用端将登录令牌回调给授权前台；

APP后台用于从客户端服务器调用用户登录接口，以完成用户登录认证；

APP应用端与授权后台进行数据交互，以完成用户授权确认，并由授权后台生成授权码传输给授权前台。

当用户在业务系统页面上点击某项业务，涉及需要使用用户信息时，将会触发图3所示的数据交互过程：

(1)业务系统发送GET请求至授权后台，以获取oauthCode(授权码)。

(2)授权后台返回空白页至APP应用端，该页面中包含clientID(客户编码)和UUID(设备识别编码)信息，此时APP应用端展示一次空白页刷新(不记录空白页)。

(3)空白页上拉起APP授权登录JS，与APP应用端交互，请求登录确认。

(4)APP应用端与APP后台进行交互，确认用户是否已完成过登录。

(5)如用户已登录，直接进入步骤7；若用户未完成登录，则触发APP用户登录，从客户端服务器调用用户登录接口，进入用户登录页；

(6)用户未完成登录场景，APP后台与客户端服务器交互，完成用户认证。

(7)APP后台上传已登录用户的userId(用户编码)，请求授权后台颁发loginToken(登录令牌)。

(8)授权后台完成APP后台鉴权后，颁发加密后的loginToken。

(9)APP后台将获取到loginToken传至APP应用端。

(10)APP应用端将loginToken、通过JS回调至授权前台页面；

(11)授权前台将loginToken、clientID和UUID传至授权后台，完成会话和会员的绑定并判断原业务系统类型，如果是内部系统则执行静默授权逻辑，直接进入步骤14；如果是外部商户，且用户首次授权该商户，则需进入步骤12、13。

(12)外部商户且用户未进行过授权，需要展示授权确认页，提示商户实体名称、授权信息明细和授权用途。

(13)用户完成页面授权确认，统一授权后台完成校验。

(14)授权后台为本次用户授权行为生成oauthCode，并提交至授权前台。

(15)授权前台将oauthCode回调至业务系统，完成整个授权流程。

之后，业务系统可以用oauthCode换取accessToken(访问令牌)，用accessToken换取当前登录用户的用户信息。

Claims (7)

1.一种授权认证系统，其特征在于，包括客户端、业务系统和授权平台，所述客户端单向连接至业务系统，以从客户端发送请求访问信息给业务系统，所述客户端和业务系统分别与授权平台双向连接，所述授权平台用于推送授权确认页面给客户端以及返回授权码给业务系统，所述客户端用于执行用户登录操作，以及发送授权确认信息给授权平台，所述业务系统用于发送请求授权信息给授权平台，以及根据授权码从授权平台获取令牌及用户信息；

应用所述授权认证系统，实现一种授权认证方法，包括以下步骤：

S1、客户端发送http请求访问信息给业务系统；

S2、根据客户端发送的请求访问信息，业务系统发送请求授权信息给授权平台；

S3、授权平台依次对用户进行登录状态认证和授权确认，以生成授权码，并将该授权码回调至业务系统；

S4、根据授权码，业务系统从授权平台获取访问令牌；

S5、根据访问令牌，业务系统从授权平台获取当前登录用户的用户信息，即完成统一授权认证过程；

步骤S1中的请求访问信息具体为GET请求，步骤S1的具体过程为：用户访问客户端，选择所需业务项目对应的URL，以发送请求访问信息给业务系统；

步骤S2中的请求授权信息具体为GET请求，步骤S2的具体过程为：根据客户端发送的请求访问信息，采用location.replace的方式，业务系统携带回调地址向授权平台发送请求授权信息。

2.根据权利要求1所述的一种授权认证系统，其特征在于，所述客户端通过JavaScript脚本语言的方式与授权平台双向连接。

3.根据权利要求1所述的一种授权认证系统，其特征在于，所述授权平台包括双向连接的授权前台和授权后台，所述授权前台和授权后台分别与客户端双向连接，以分别进行用户登录认证和用户授权确认，所述授权前台从授权后台获取登录确认页面，并通过与客户端的数据交互，以完成用户登录认证，所述授权后台通过与客户端的数据交互，以发布登录令牌给客户端，并由客户端将该登录令牌回调给授权前台，所述授权前台从授权后台获取授权码；

所述业务系统单向连接至授权后台，以将请求授权信息发送至授权后台，所述授权前台单向连接至业务系统，以从授权前台回调授权码给业务系统。

4.根据权利要求3所述的一种授权认证系统，其特征在于，所述客户端包括APP应用端、APP后台和客户端服务器，所述授权前台与APP应用端双向连接，所述APP应用端分别与APP后台、授权后台双向连接，所述APP后台分别与客户端服务器、授权后台双向连接，所述APP应用端与APP后台进行数据交互，以查询用户登录状态，所述APP后台用于发送已登录用户的用户编码给授权后台，以从授权后台获取登录令牌，并将该登录令牌传输给APP应用端，由APP应用端将登录令牌回调给授权前台；

所述APP后台用于从客户端服务器调用用户登录接口，以完成用户登录认证；

所述APP应用端与授权后台进行数据交互，以完成用户授权确认，并由授权后台生成授权码传输给授权前台。

5.根据权利要求1所述的一种授权认证系统，其特征在于，步骤S3具体包括以下步骤：

S31、授权平台推送登录确认页面给客户端，以进行用户登录认证，若用户已登录，则执行步骤S33，否则执行步骤S32；

S32、客户端调用会员登录接口，以完成用户登录操作；

S33、客户端发送已登录用户的用户编码给授权平台，请求授权平台颁发登录令牌；

S34、根据登录令牌，判断用户在预设免授权时间内是否进行过授权确认行为，若判断为是，则执行步骤S35，否则授权平台推送授权确认页面给客户端，客户端返回授权确认信息给授权平台；

S35、授权平台校验用户授权确认信息，以生成对应的授权码，并将该授权码回调至业务系统。

6.根据权利要求5所述的一种授权认证系统，其特征在于，步骤S34中授权确认页面的内容包括用户名称信息、授权信息明细和授权用途。

7.根据权利要求5所述的一种授权认证系统，其特征在于，步骤S35具体包括以下步骤：

S351、授权平台校验用户授权确认信息，以生成对应的授权码；

S352、采用location.replace的方式，根据业务系统的回调地址，将授权码回调至业务系统。

Images