CN112543180B - 基于Token实现多认证鉴权中心单点登陆的系统及方法 - Google Patents

基于Token实现多认证鉴权中心单点登陆的系统及方法 Download PDF

Info

Publication number
CN112543180B
CN112543180B CN202011206810.4A CN202011206810A CN112543180B CN 112543180 B CN112543180 B CN 112543180B CN 202011206810 A CN202011206810 A CN 202011206810A CN 112543180 B CN112543180 B CN 112543180B
Authority
CN
China
Prior art keywords
service system
token
authentication
sensitive data
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011206810.4A
Other languages
English (en)
Other versions
CN112543180A (zh
Inventor
柳廷秀
郑忠州
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Funo Mobile Communication Technology Co ltd
Original Assignee
Fujian Funo Mobile Communication Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Funo Mobile Communication Technology Co ltd filed Critical Fujian Funo Mobile Communication Technology Co ltd
Priority to CN202011206810.4A priority Critical patent/CN112543180B/zh
Publication of CN112543180A publication Critical patent/CN112543180A/zh
Application granted granted Critical
Publication of CN112543180B publication Critical patent/CN112543180B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提出一种基于Token实现多认证鉴权中心单点登陆的系统及方法,包括:互相调用的多个业务系统构成的业务系统群、与每个业务系统对应的多个统一认证节点和连接业务系统群的多认证鉴权中心。其实现了:不同认证鉴权中心的业务系统相互调用,采用Token代替直接传递敏感数据;业务流程跨多个认证中心,只需一次登陆授权。

Description

基于Token实现多认证鉴权中心单点登陆的系统及方法
技术领域
本发明涉及应用软件系统开发领域,关注基于Token实现多认证鉴权中心单点登陆实现方式,尤其涉及一种基于Token实现多认证鉴权中心单点登陆的方法。
背景技术
随着分布式和微服务技术架构的成熟和推广,统一认证鉴权中心成为各应用集群的标配,当一个业务流程需要跨多个应用集群实现,多个应用集群又隶属于不同统一认证鉴权中心时。由于不同的统一认证鉴权中心的Token不能通用,导致业务流程在不同统一认证鉴权中心跳转便成为一个技术难题。
当前使用的技术方案有:
1、直接信息传递,在跳转到依赖其他统一认证鉴权中心的应用集群时将应用需要的业务敏感信息直接在应用间传递。
2、二次授权登陆,在跳转到依赖其他统一认证鉴权中心的应用集群时进行再次授权登陆。
现有技术方案存在以下不足:
1.信息安全问题,直接在应用间传递敏感信息,存在数据外泄风险。
2.用户体验差,重新登陆授权打断了原本的业务流程用户体验差。
发明内容
为了解决现有技术存在的缺陷和不足的问题,本发明提出一种基于Token实现多认证鉴权中心单点登陆的系统及方法。其要旨在于:1、不同认证鉴权中心的业务系统相互调用,采用Token代替直接传递敏感数据;2、业务流程跨多个认证中心,只需一次登陆授权。
本发明具体包括以下内容:
一种基于Token实现多认证鉴权中心单点登陆的系统,其特征在于,包括:互相调用的多个业务系统构成的业务系统群、与每个业务系统对应的多个统一认证节点和连接业务系统群的多认证鉴权中心;
所述统一认证节点用于向首次登陆所述业务系统群中的任一业务系统的用户发放令牌;
所述多认证鉴权中心用于用户在所述业务系统群中切换登陆系统的过程中根据令牌进行鉴权和存储前一业务系统的敏感数据,并发放用于登陆后一业务系统的新的令牌;
所述令牌用于在业务系统中获取敏感数据和/或向多认证鉴权中心调取之前访问过的业务系统获取的敏感数据,并用于切换登陆系统时的鉴权。
优选地,当用户从所述业务系统群中的任一业务系统登陆时,向该业务系统对应的统一认证节点请求获得第一令牌;所述第一令牌用于取得该业务系统内的第一敏感数据。
优选地,当用户离开第一业务系统准备访问业务系统群中的第二业务系统时,所述第一令牌和第一敏感数据提交至多认证鉴权中心,所述多认证鉴权中心经过认证,存储第一敏感数据并向用户发放用于访问第二业务系统的第二令牌;
当用户进入第二业务系统后,所述第二令牌用于取得第二业务系统内的第二敏感数据和存储于多认证鉴权中心上的第一敏感数据,以及准备访问第三业务系统的鉴权。
优选地,当用户离开第N业务系统准备访问业务系统群中的第N+1业务系统时,第N令牌和第N敏感数据提交至多认证鉴权中心,所述多认证鉴权中心经过认证,存储第一敏感数据并向用户发放用于访问第N+1业务系统的第N+1令牌;
当用户进入第N+1业务系统后,所述第N+1令牌用于取得第N+1业务系统内的第N+1敏感数据和存储于多认证鉴权中心上的第一至第N敏感数据,以及准备访问第N+2业务系统的鉴权。
优选地,当用户完成操作从第M业务系统登出时,存储于所述多认证鉴权中心上的第一至第M敏感数据被删除。
本发明及其优选方案相比于现有技术,具备以下优势:
1.不同统一认证鉴权跳转时,使用Token请求外部业务,不直接传递敏感数据。
2.业务流程跨认证鉴权中心,不需要重新登陆授权。
附图说明
下面结合附图和具体实施方式对本发明进一步详细的说明:
图1为本发明实施例系统框架及工作流程示意图。
具体实施方式
为让本专利的特征和优点能更明显易懂,下文特举实施例,并配合附图,作详细说明如下:
如图1所示,基于本发明提供的基于Token实现多认证鉴权中心单点登陆的系统及方法的总体方案,本实施例构建的的基于Token实现多认证鉴权中心单点登陆的系统模型包括:
互相调用的3个业务系统构成的业务系统群:A业务系统、B业务系统和D业务系统;
与每个业务系统对应的3个统一认证节点:统一认证A、统一认证B和统一认证D;
和连接业务系统群的多认证鉴权中心C;
在本实施例中,默认用户都是从A业务系统登陆,因此
统一认证A用于向首次登陆业务系统群的用户发放令牌Token-A;
多认证鉴权中心C用于用户在业务系统群中切换登陆系统的过程中根据令牌进行鉴权和存储前一业务系统的敏感数据,并发放用于登陆后一业务系统的新的令牌;
令牌用于在业务系统中获取敏感数据和/或向多认证鉴权中心调取之前访问过的业务系统获取的敏感数据,并用于切换登陆系统时的鉴权。
具体地,多认证鉴权中心单点登陆技术实现流程细节详述如下:
(1)需要互相调用的A业务系统、B业务系统、C业务系统向多认证鉴权中心C申请注册获取自有的appKey;用户登陆A业务系统,向统一认证A请求令牌Token-A, 用Token-A从统一认证A取得敏感数据。
(2)A业务系统为完成业务流程需要访问B业务系统,B业务系统基于统一认证B,应用A先把敏感数据和自有appKey提交给多认证鉴权中心C,C通过对A的认证,存储A提交的敏感数据并返回Token-C1。
(3)A业务系统用获取的Token-C1请求B业务系统。
(4)B业务系统用获取的Token-C1和自有appKey从多认证鉴权中心C获取敏感数据,继续业务办理。B业务系统为完成业务流程需要继续访问C业务系统,C业务系统基于统一认证C, 应用B先把敏感数据和自有appKey提交给多认证鉴权中心C,C通过对B的认证,存储B提交的敏感数据并返回Token-C2。
(5)B业务系统用获取的Token-C2请求D业务系统。
(6)D业务系统用获取的Token-C2和自有appKey从多认证鉴权中心C获取敏感数据,继续业务流程,直至完成业务流程。
为了避免长期使用的数据冗余,当用户完成操作从D业务系统登出时,存储于多认证鉴权中心上的本次流程对应的敏感数据被删除。
本专利不局限于上述最佳实施方式,任何人在本专利的启示下都可以得出其它各种形式的基于Token实现多认证鉴权中心单点登陆的系统及方法,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本专利的涵盖范围。

Claims (1)

1.一种基于Token实现多认证鉴权中心单点登陆的系统,其特征在于,包括:互相调用的多个业务系统构成的业务系统群、与每个业务系统对应的多个统一认证节点和连接业务系统群的多认证鉴权中心;
所述统一认证节点用于向首次登陆所述业务系统群中的任一业务系统的用户发放令牌;
所述多认证鉴权中心用于用户在所述业务系统群中切换登陆系统的过程中根据令牌进行鉴权和存储前一业务系统的敏感数据,并发放用于登陆后一业务系统的新的令牌;
所述令牌用于在业务系统中获取敏感数据和/或向多认证鉴权中心调取之前访问过的业务系统获取的敏感数据,并用于切换登陆系统时的鉴权;
当用户从所述业务系统群中的任一业务系统登陆时,向该业务系统对应的统一认证节点请求获得第一令牌;所述第一令牌用于取得该业务系统内的第一敏感数据;
当用户离开第一业务系统准备访问业务系统群中的第二业务系统时,所述第一令牌和第一敏感数据提交至多认证鉴权中心,所述多认证鉴权中心经过认证,存储第一敏感数据并向用户发放用于访问第二业务系统的第二令牌;
当用户进入第二业务系统后,所述第二令牌用于取得第二业务系统内的第二敏感数据和存储于多认证鉴权中心上的第一敏感数据,以及准备访问第三业务系统的鉴权;
当用户离开第N业务系统准备访问业务系统群中的第N+1业务系统时,第N令牌和第N敏感数据提交至多认证鉴权中心,所述多认证鉴权中心经过认证,存储第一敏感数据并向用户发放用于访问第N+1业务系统的第N+1令牌;
当用户进入第N+1业务系统后,所述第N+1令牌用于取得第N+1业务系统内的第N+1敏感数据和存储于多认证鉴权中心上的第一至第N敏感数据,以及准备访问第N+2业务系统的鉴权;
当用户完成操作从第M业务系统登出时,存储于所述多认证鉴权中心上的第一至第M敏感数据被删除。
CN202011206810.4A 2020-11-03 2020-11-03 基于Token实现多认证鉴权中心单点登陆的系统及方法 Active CN112543180B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011206810.4A CN112543180B (zh) 2020-11-03 2020-11-03 基于Token实现多认证鉴权中心单点登陆的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011206810.4A CN112543180B (zh) 2020-11-03 2020-11-03 基于Token实现多认证鉴权中心单点登陆的系统及方法

Publications (2)

Publication Number Publication Date
CN112543180A CN112543180A (zh) 2021-03-23
CN112543180B true CN112543180B (zh) 2023-03-24

Family

ID=75014973

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011206810.4A Active CN112543180B (zh) 2020-11-03 2020-11-03 基于Token实现多认证鉴权中心单点登陆的系统及方法

Country Status (1)

Country Link
CN (1) CN112543180B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113411349B (zh) * 2021-07-22 2022-09-02 用友汽车信息科技(上海)股份有限公司 鉴权认证方法、鉴权认证系统、计算机设备和存储介质
CN114385995B (zh) * 2022-01-06 2024-05-17 徐工汉云技术股份有限公司 一种基于Handle的标识解析微服务接入工业互联网的方法及标识服务系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101605030A (zh) * 2008-06-13 2009-12-16 新奥特(北京)视频技术有限公司 一种面向电视台应用的基于Active Directory的统一认证实现方法
CN101605031A (zh) * 2008-06-13 2009-12-16 新奥特(北京)视频技术有限公司 一种面向电视台应用的跨域单点登陆系统
CN104378376A (zh) * 2014-11-18 2015-02-25 深圳中兴网信科技有限公司 基于soa的单点登录方法、认证服务器和浏览器
CN110535884A (zh) * 2019-09-26 2019-12-03 招商局金融科技有限公司 跨企业系统间访问控制的方法、装置及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101605030A (zh) * 2008-06-13 2009-12-16 新奥特(北京)视频技术有限公司 一种面向电视台应用的基于Active Directory的统一认证实现方法
CN101605031A (zh) * 2008-06-13 2009-12-16 新奥特(北京)视频技术有限公司 一种面向电视台应用的跨域单点登陆系统
CN104378376A (zh) * 2014-11-18 2015-02-25 深圳中兴网信科技有限公司 基于soa的单点登录方法、认证服务器和浏览器
CN110535884A (zh) * 2019-09-26 2019-12-03 招商局金融科技有限公司 跨企业系统间访问控制的方法、装置及存储介质

Also Published As

Publication number Publication date
CN112543180A (zh) 2021-03-23

Similar Documents

Publication Publication Date Title
US11848936B2 (en) Method, apparatus, and computer program product for selectively granting permissions to group-based objects in a group-based communication system
US11153296B2 (en) Privacy-aware ID gateway
US11843611B2 (en) Framework for multi-level and multi-factor inline enrollment
JP7545951B2 (ja) オンプレミス認証が統合されたブリッジ可用性が高いマルチテナントアイデンティティクラウドサービス
CN105765944B (zh) 第三方批处理授权重复访问资源的请求的方法及系统
US20220232003A1 (en) Limiting scopes in token-based authorization systems
US20060294103A1 (en) Security and authorization in management agents
CN112543180B (zh) 基于Token实现多认证鉴权中心单点登陆的系统及方法
CN103716326A (zh) 一种资源访问方法及用户资源网关
CN110944046B (zh) 一种共识机制的控制方法及相关设备
US9769159B2 (en) Cookie optimization
CN101605031A (zh) 一种面向电视台应用的跨域单点登陆系统
CN110247917B (zh) 用于认证身份的方法和装置
US20200007541A1 (en) Registration of the same domain with different cloud services networks
CN112434818A (zh) 模型构建方法、装置、介质及电子设备
CN113271311A (zh) 一种跨链网络中的数字身份管理方法及系统
US20220358233A1 (en) Framework for pushing access-privilege information from data environments
CN110691089B (zh) 一种应用于云服务的认证方法、计算机设备及存储介质
US20100222022A1 (en) Communication method, communication system and access method to service provider base
CN115660872A (zh) 一种保险信息处理方法和装置
KR101636986B1 (ko) 통합 인터페이스 사용자 인증방법
US10554789B2 (en) Key based authorization for programmatic clients
JP2016128966A (ja) サービス連携システム、サービス連携装置、端末装置、サービス連携方法及びサービス連携プログラム
JP7463606B1 (ja) 接続切替えサーバおよび接続切替え方法
KR102413114B1 (ko) 전문 서비스 변환처리를 위한 오픈 api 관리시스템 및 그 전문 서비스 변환처리방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant