CN112583834A - 一种通过网关单点登录的方法和装置 - Google Patents
一种通过网关单点登录的方法和装置 Download PDFInfo
- Publication number
- CN112583834A CN112583834A CN202011474807.0A CN202011474807A CN112583834A CN 112583834 A CN112583834 A CN 112583834A CN 202011474807 A CN202011474807 A CN 202011474807A CN 112583834 A CN112583834 A CN 112583834A
- Authority
- CN
- China
- Prior art keywords
- gateway
- token
- single sign
- module
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本发明公开了通过网关单点登录的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:由平台前端接收来自第一系统的第一访问请求消息;若所述第一访问请求消息中包含无效令牌或不包含令牌,则:由单点登录模块生成单点登录令牌,所述单点登录令牌中包含用户唯一标识;由网关模块根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统;由网关模块验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求。该实施方式解决了内网各系统分别登录的问题,实现了内网各系统单点登录,提高了效率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种通过网关单点登录的方法和装置。
背景技术
在企业发展初期,企业使用的系统很少,通常使用一个或者两个系统,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。于是,就需要用到单点登录。
目前的单点登录方式主要有:
1.同域名下通过cookie存储session id的方法
2.通过单点登录系统(例如CAS系统)进行单点登录
以上方法都需要各个系统在统一域名下。而企业内网各个系统往往没有注册域名,而是使用IP地址作为URL。在这种情况下,通过浏览器cookie以域名存储session id进行单点登录的方法并不适用。如果通过单点登录(SSO)统一登录发放令牌(token),则每个系统都需要做登录,跳转到SSO的模块。
发明内容
有鉴于此,本发明实施例提供一种通过网关单点登录的方法和装置,能够由网关结合网关登录协同平台做用户登录与令牌校验工作;由网关进行统一的URL转发,前台发送请求的IP均为网关IP;消息通过网关校验后会携带用户唯一标识;网关登录协同平台可根据用户唯一标识获得用户详细信息并缓存。
为实现上述目的,根据本发明实施例的一个方面,提供了一种通过网关单点登录的方法。
根据本发明实施例的一个方面的通过网关单点登录的方法,包括:
由平台前端接收来自第一系统的第一访问请求消息;
若所述第一访问请求消息中包含无效令牌或不包含令牌,则:
由单点登录模块生成单点登录令牌,所述单点登录令牌中包含用户唯一标识;
由网关模块根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统;
由网关模块验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求。
根据本发明实施例的一个方面的通过网关单点登录的方法,还包括:
接收来自第二系统的第二访问请求消息;
若所述第二访问请求消息中包含无效令牌或不包含令牌,则:
由所述平台前端将所述网关令牌发送至所述第二系统;
由所述平台前端将携带所述网关令牌的第二访问请求消息发送至网关模块;
由网关模块验证所述网关令牌,并准许所述第二系统的携带所述网关令牌的第二访问请求。
根据本发明实施例的一个方面的通过网关单点登录的方法,其中,在生成单点登录令牌后,由网关模块根据所述单点登录令牌中的用户唯一标识生成网关令牌之前,所述方法还包括:
由网关模块准许所述单点登录令牌。
根据本发明实施例的一个方面的通过网关单点登录的方法,其中,由网关模块准许所述单点登录令牌包括:
由所述平台前端携带所述单点登录令牌调用所述网关模块的validateToken接口;
其中,在所述validateToken接口下,所述网关模块不对所述单点登录令牌进行验证。
根据本发明实施例的一个方面的通过网关单点登录的方法,其中,根据所述单点登录令牌中的用户唯一标识生成网关令牌,所述网关令牌被返回所述平台前端和所述第一系统,包括:
由平台后端从所述单点登录令牌中获取用户唯一标识;
由平台后端根据所述用户唯一标识调用网关接口,并由所述网关模块基于所述用户唯一标识生成所述网关令牌;
所述平台后端在获取到所述网关令牌后,将所述网关令牌发送至所述平台前端;
由所述平台前端将所述网关令牌返回所述第一系统。
根据本发明实施例的一个方面的通过网关单点登录的方法,其中,所述方法还包括:
由所述平台后端基于所述用户唯一标识获取所述用户的用户详细信息,并存储所述用户唯一标识和所述用户详细信息。
根据本发明实施例的一个方面的通过网关单点登录的方法,其中,所述第一系统存储所述网关令牌。
根据本发明实施例的一个方面的通过网关单点登录的方法,其中,在接收来自第二系统的第二访问请求消息之前,所述方法包括:
所述第二系统,响应于用户的登录请求,确定所述第二系统是否已获得所述网关令牌;
若所述第二系统已获得所述网关令牌,则将所述网关令牌加入访问请求消息;
若所述第二系统未获得所述网关令牌,则通过所述网关登录协同平台获得所述网关令牌。
根据本发明实施例的一个方面的通过网关单点登录的方法,其中,在所述第二系统获得所述网关令牌后,存储所述网关令牌,以供下一次登录验证。
根据本发明实施例的一个方面的通过网关单点登录的方法,其中,所述由网关模块验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求包括:
由所述网关模块从所述平台前端接收携带网关URL、网关令牌的第一访问请求消息;
所述网关模块验证所述网关令牌,并准许所述第一系统的第一访问请求;
其中,在所述网关模块验证所述网关令牌,并准许所述第一系统的第一访问请求之后,所述平台前端将所述用户唯一标识加入消息头发送至所述平台后端。
为实现上述目的,根据本发明实施例的一个方面,提供了一种通过网关单点登录的装置。
根据本发明实施例的一个方面的通过网关单点登录的装置,包括:
平台前端模块,网关模块,单点登陆模块和平台后端模块;
所述平台前端模块,用于接收来自第一系统的第一访问请求消息;
所述单点登录模块,用于在所述第一访问请求消息中包含无效令牌或不包含令牌时,生成单点登陆令牌,所述单点登录令牌中包含用户唯一标识;
所述网关模块,用于根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统;以及
验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求。
根据本发明实施例的一个方面的通过网关单点登录的装置,
所述平台前端模块还用于:
接收来自第二系统的第二访问请求消息;
若所述第二访问请求消息中包含无效令牌或不包含令牌,则:
所述平台前端模块将所述网关令牌发送至所述第二系统;以及将携带所述网关令牌的第二访问请求消息发送至网关模块;
所述网关模块还用于,验证所述网关令牌,并准许所述第二系统的携带所述网关令牌的第二访问请求。
根据本发明实施例的一个方面的通过网关单点登录的装置,其中,
所述网关模块还用于在生成单点登录令牌后,根据所述单点登录令牌中的用户唯一标识生成网关令牌之前,准许所述单点登录令牌。
根据本发明实施例的一个方面的通过网关单点登录的装置,其中,所述准许所述单点登录令牌包括:
由所述平台前端携带所述单点登录令牌调用所述网关模块的validateToken接口;
其中,在所述validateToken接口下,所述网关模块不对所述单点登录令牌进行验证。
根据本发明实施例的一个方面的通过网关单点登录的装置,其中,还包括:
平台后端模块,用于:
从所述单点登录令牌中获取用户唯一标识;
根据所述用户唯一标识调用网关接口;
在获取到所述网关令牌后,将所述网关令牌发送至所述平台前端;
其中,所述网关令牌是由所述网关模块基于所述用户唯一标识生成的。
根据本发明实施例的一个方面的通过网关单点登录的装置,其中,所述平台后端模块还用于:
基于所述用户唯一标识获取所述用户的用户详细信息,并存储所述用户唯一标识和所述用户详细信息。
根据本发明实施例的一个方面的通过网关单点登录的装置,其中,所述网关模块还用于:
在验证所述网关令牌,并准许所述第一系统的第一访问请求之前,
从所述平台前端接收携带网关URL、网关令牌的第一访问请求消息;
验证所述网关令牌,并准许所述第一系统的第一访问请求;
其中,在所述网关模块验证所述网关令牌,并准许所述第一系统的第一访问请求之后,所述平台前端将所述用户唯一标识加入消息头发送至所述平台后端。
为实现上述目的,根据本发明实施例的一个方面,提供了一种通过网关单点登录的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如前述方法中任一所述的方法。
为实现上述目的,根据本发明实施例的一个方面,提供了一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如前述方法中任一所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:本发明利用网关和网关登录协同平台相结合的方式实现企业内网各个系统的单点登录。尤其在内网系统独立系统较多大中型企业中,使得各个系统可不用考虑用户登录模块。网关登录协同平台提供获取当前用户详情的接口供其他系统调用。解决了内网各个系统不能通过域名单点登录的问题。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的通过网关单点登录的方法的主要流程的示意图;
图2是根据本发明实施例的通过网关单点登录的方法的时序示意图;
图3是根据本发明实施例的通过网关单点登录的装置的主要模块的示意图;
图4是本发明实施例可以应用于其中的示例性系统架构图;
图5是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
现有技术中,单点登录系统常常使用CAS服务器来实现,示例流程如下:
1)用户访问A系统,A系统是需要登录的,但用户现在没有登录。
2)跳转到CAS server,即SSO登录系统,SSO系统也没有登录,弹出用户登录页。
3)用户填写用户名、密码,SSO系统进行认证后,将登录状态写入SSO的session,浏览器(Browser)中写入SSO域下的Cookie。
4)SSO系统登录完成后会生成一个ST(Service Ticket),然后跳转到A系统,同时将ST作为参数传递给A系统。
5)A系统拿到ST后,从后台向SSO发送请求,验证ST是否有效。
6)验证通过后,A系统将登录状态写入session并设置A域下的Cookie。
至此,跨域单点登录就完成了。以后我们再访问A系统时,A系统就是登录的。接下来,我们再看看访问B系统时的流程。
1)用户访问B系统,B系统没有登录,跳转到SSO。
2)由于SSO已经登录了,不需要重新登录认证。
3)SSO生成ST,浏览器跳转到B系统,并将ST作为参数传递给B系统。
4)B拿到ST,后台访问SSO,验证ST是否有效。
5)验证成功后,B系统将登录状态写入session,并在B域下写入Cookie。
这样,B系统不需要走登录流程,就已经是登录了。SSO,A系统和B系统在不同的域,它们之间的session不共享也是没问题的。
然而对于企业内网系统来讲,A系统和B系统没有自己的域名,以上方法无法实现。基于这种情况,本发明将登录验证放在网关处理,使网关后的其他系统不需要考虑用户登录的问题。
图1是根据本发明实施例的使用网关单点登录的方法的主要流程图,如图1所示,使用网关单点登录的方法包括步骤S101、S102、S103。
在本发明实施例中,为方便起见,用网关登录协同平台来描述本发明的方法。网关登录协同平台至少包括平台前端、网关、SSO系统、平台后端以及存储。需要注意的是,本发明实施例所述的网关登录协同平台仅为示例,可以理解为实现相应功能的逻辑虚拟平台。实际上,网关、SSO、平台前端或后端以及存储等组件,都可以是独立的组件,分别以诸如web应用的各种应用系统来实现。
步骤S101:由网关登录协同平台前端接收来自第一系统的第一访问请求消息。
例如假设用户在内网中登录,使用的是邮件系统。此时,邮件系统即为第一系统,邮件系统向网关请求访问。此时判断该邮件系统发来的访问请求消息中是否携带有效令牌(网关令牌),如果携带了有效令牌,则准许邮件系统登录。如果没有携带有效令牌,则判定该邮件系统尚未登录,将该邮件系统导航至网关登录协同平台,为其实现单点登录。
步骤S102:判断第一访问请求消息中是否包含有效令牌。
继续前面的示例。如果邮件系统中已获得网关令牌,在访问请求消息头中包含网关令牌,则网关验证网关令牌后直接准许邮件系统登录;如果邮件系统没有获得网关令牌,则该访问请求消息中不包含有效令牌,即,不包含令牌或者包含无效令牌,则进行后续获取网关令牌的步骤。
需要说明的是,该实施例的后续步骤针对的是该用户的首次登录。也就是说,内网中目前还未有任何系统登录,因此尚未生成网关令牌。如果该用户已经在其他系统登录,诸如考勤系统,那么网关登录协同平台已经为该用户生成过网关令牌,只需要将网关令牌发送给邮件系统即可。
步骤S103:若所述第一访问请求消息中包含无效令牌或不包含令牌,则:由单点登录模块生成单点登录令牌,所述单点登录令牌中包含用户唯一标识。
继续前面的示例,在该步骤中,如判断出邮件系统尚未登录,在一种实施方式中,如果用户是首次登录系统,则网关登录协同平台为用户跳转至登录界面,通过用户输入登录。单点登录模块生成单点登录令牌(SSO token),该单点登录令牌中携带有用户唯一标识。在一种实施方式中,用户唯一标识可以来自用户输入的用户名、用户ID,也可以是在单点登录模块生成SSO令牌时通过其他算法生成。
优选地,在一种实施方式中,在生成SSO令牌之后,平台前端携带SSO令牌来调用网关的validateToken接口。需要注意的是,在validateToken接口下,网关模块不验证该SSO令牌,而是直接将其转发至平台后端。
步骤S104:由网关模块根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统。
优选地,在该步骤之前,平台后端接收到SSO token后,调用SSO的接口获得用户唯一标识。平台后端通过该用户唯一标识从数据库等存储模块或者用户信息模块获取到用户的详细信息。用户的详细信息例如包括用户基本资料、用户角色、用户部门、用户权限等,并将用户详细资料与用户唯一标识一起存储至缓存或者存储模块。在一种实施方式中,可以用redis缓存来实现。
在该步骤中,平台后端获取到用户唯一标识后,调用网关接口,由网关模块基于该用户唯一标识生成网关令牌(网关token)。网关模块在生成网关令牌后,将其发送至平台后端。平台后端将该网关令牌返回给平台前端,平台前端再将该网关令牌返回给邮件系统。
至此,邮件系统获得了网关令牌。
优选地,邮件系统可以存储网关令牌,以供下次登录。
步骤S105:由网关模块验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求。
在步骤S104之后,平台前端再次携带网关URL访问后台,即用网关IP进行转发,此时的访问消息中携带有网关令牌。网关在对网关令牌进行验证后,准许了来自邮件系统的访问请求。网关验证网关令牌通过后,会在消息头中加入用户唯一标识,并将访问消息转发至后台。
对于邮件系统而言,用户只在登录界面登录了一次,平台前端、网关、SSO、后端等组件之间的交互对用户和邮件系统来讲是透明的。
在邮件系统成功登录后,在一个示例场景下,用户又打开了内网中的财务系统。此时,财务系统向网关发送访问请求,网关验证财务系统的访问请求消息中没有携带有效令牌,则将前述步骤生成的网关令牌发送给财务系统。财务系统将网关令牌携带在消息头中,再次访问并被网关准许。对用户而言,在登录了邮件系统后,财务系统是自动登录的,无需再次弹出登录界面,实现了单点登录。优选地,财务系统存储该网关令牌,以供下次登录使用。
图2是根据本发明实施例的使用网关单点登录的方法的时序示意图,如图2所示,该时序图描述了内外中的第一次登录流程。
图2中涉及以下组件:
网关:任何前端请求都需通过网关进行令牌验证。在一种实施方式中,令牌可以放在HTTP消息头C-Dynamic-Password-Foruser字段。若令牌合法,消息通过网关后消息头会附带Base64加密的用户信息C-Encode-Session-Info。网关提供网关令牌的生成、获取、更新、过期等服务。前端拥有网关令牌后可直接访问在网关后的所有物理子系统后台服务。后台服务均需在网关注册URL Path映射,前端统一使用网关IP发送消息,网关根据映射转发给后台服务。
SSO:提供用户登录服务,并返回SSO令牌。通过SSO令牌可获得用户唯一标识。
公共用户平台:提供用户、用户组、角色、权限、资源的相关服务。
如图2所示,
1)网关登录协同平台前端第一次访问网关后服务(此时还没有任何令牌),访问请求消息被网关拦截并返回错误代码。
2)网关登录协同平台前端跳转到SSO登录页面进行SSO登录,并返回SSO令牌(SSOtoken)。
3)网关登录协同平台前端携带SSO令牌调用网关validateToken接口,如前文所述此接口不验证令牌,而是直接转发给网关登录协同平台后端。
4)网关登录协同平台后端接收到SSO令牌后,调用SSO的接口获得用户唯一标识(图中标识为uassname,仅为示例)。
5)通过uassname去公共用户平台(也可以是任何其他存储系统、用户模块等)获取用户详细信息(基本资料,角色,部门,权限等)存入redis缓存。
6)网关登录协同平台后端调用网关的接口,在网关处以uassname为标识生成网关令牌(网关token)。
7)网关登录协同平台将网关令牌返回给协同平台前端。
8)平台前端携带网关URL、网关令牌访问后台系统(用网关IP进行转发),网关进行令牌校验,通过后会在消息头中加入用户uassname信息转发至后台系统。
在一种实施方式中,虽然前述方法实施例以网关登录协同平台为例进行说明,网关、SSO模块等都作为平台组件,但网关等组件也可作为独立的web应用来实现。网关提供令牌的生成、校验、作废等API供调用。此外,网关还需要需维护注册系统的URL路径映射表。网关登录协同平台也可以是一个独立的web应用。在网关和网关登录协同平台都是独立的web应用的场景下,可以采用以下实施方式来实现方法实施例所述的方法:
利用Shiro Filter拦截通过网关过来的http请求
覆写ShiroFilter中的onPreHandle方法
@Override
public boolean onPreHandle(ServletRequest request,ServletResponseresponse,Object mappedValue)
在此方法中反解出当前用户的uassname
String headerStr=((HttpServletRequest)request).getHeader(Controller.HEADER_SESSION_INFO);
String json=StringTransUtils.base64Decode(headerStr);
Map map=objectMapper.readValue(json,Map.class);
String uassname=map.get(Controller.TOKEN_KEY).toString();
将uassname存入shiro subject并刷新redis缓存时间:
此后,系统其他模块可从subject中获得当前用户uassname:
String uassname=(String)SecurityUtils.getSubject().getPrincipal();
logger.info("Get current user:"+uassname);
当需要用户详细信息时,可以从redis缓存中通过uassname读取:
return redisUtils.hmget(uassname);
其他系统登录时可携带uassname信息,若无网关令牌(该系统第一次登录),可跳转至网关登录协同平台获得网关令牌:
@ResponseBody
@RequestMapping("/getTokenByUass")
public R getTokenByUass(@RequestBody Map<String,Object>param)…
通过以上实施方式,实现了由网关结合网关登录协同平台做用户登录与令牌校验工作;由网关进行统一的URL转发,前台发送请求的IP均为网关IP;消息通过网关校验后会携带当前用户唯一标识;网关登录协同平台可根据用户唯一标识获得用户详细信息并缓存在redis。
图3是根据本发明实施例的通过网关单点登录的装置的主要模块图,通过网关单点登录的装置主要包括平台前端模块301,单点登陆模块302,网关模块303和平台后端模块304。
平台前端模块301,用于接收来自第一系统的第一访问请求消息;
单点登录模块302,用于在所述第一访问请求消息中包含无效令牌或不包含令牌时,生成单点登陆令牌,所述单点登录令牌中包含用户唯一标识;
网关模块303,用于根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统;以及验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求。
其中,平台前端模块301还用于:
接收来自第二系统的第二访问请求消息;
若所述第二访问请求消息中包含无效令牌或不包含令牌,则:
平台前端模块301将所述网关令牌发送至所述第二系统;以及将携带所述网关令牌的第二访问请求消息发送至网关模块;
网关模块303还用于,验证所述网关令牌,并准许所述第二系统的携带所述网关令牌的第二访问请求。
其中,网关模块303还用于在生成单点登录令牌后,根据所述单点登录令牌中的用户唯一标识生成网关令牌之前,准许所述单点登录令牌。
其中,所述准许所述单点登录令牌包括:
由所述平台前端301携带所述单点登录令牌调用所述网关模块的validateToken接口;
其中,在所述validateToken接口下,网关模块303不对所述单点登录令牌进行验证。
通过网关单点登录的装置还包括:
平台后端模块304,用于:
从所述单点登录令牌中获取用户唯一标识;
根据所述用户唯一标识调用网关接口;
在获取到所述网关令牌后,将所述网关令牌发送至平台前端301;
其中,所述网关令牌是由网关模块301基于所述用户唯一标识生成的。
平台后端模块304还用于:
基于所述用户唯一标识获取所述用户的用户详细信息,并存储所述用户唯一标识和所述用户详细信息。
网关模块303还用于:
在验证所述网关令牌,并准许所述第一系统的第一访问请求之前:
从所述平台前端接收携带网关URL、网关令牌的第一访问请求消息;
验证所述网关令牌,并准许所述第一系统的第一访问请求;
其中,在网关模块303验证所述网关令牌,并准许所述第一系统的第一访问请求之后,平台前端301将所述用户唯一标识加入消息头发送至平台后端304。
图4示出了可以应用本发明实施例的通过网关单点登录的方法或通过网关单点登录的装置的示例性系统架构400。
如图4所示,系统架构400可以包括终端设备401、402、403,网络404和服务器405。网络404用以在终端设备401、402、403和服务器405之间提供通信链路的介质。网络404可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备401、402、403通过网络404与服务器405交互,以接收或发送消息等。终端设备401、402、403上可以安装有各种通讯客户端应用,例如网关应用、浏览器应用、内网系统应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备401、402、403可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器405可以是提供各种服务的服务器,例如对用户利用终端设备401、402、403提供登录的网关登录系统平台提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的访问请求等数据进行分析等处理,并将处理结果反馈给终端设备。
需要说明的是,本发明实施例所提供的通过网关单点登录的方法一般由服务器405执行,相应地,通过网关单点登录的装置一般设置于服务器405中。
应该理解,图4中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图5,其示出了适于用来实现本发明实施例的终端设备的计算机系统500的结构示意图。图5示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括平台前端模块、网关模块、单点登录模块、平台后端模块等。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,网关模块还可以被描述为“生成网关令牌的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现一种通过网关单点登录的方法,包括:
由平台前端接收来自第一系统的第一访问请求消息;
若所述第一访问请求消息中包含无效令牌或不包含令牌,则:
由单点登录模块生成单点登录令牌,所述单点登录令牌中包含用户唯一标识;
由网关模块根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统;
由网关模块验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求。
该方法还包括:
接收来自第二系统的第二访问请求消息;
若所述第二访问请求消息中包含无效令牌或不包含令牌,则:
由所述平台前端将所述网关令牌发送至所述第二系统;
由所述平台前端将携带所述网关令牌的第二访问请求消息发送至网关模块;
由网关模块验证所述网关令牌,并准许所述第二系统的携带所述网关令牌的第二访问请求。
其中,在生成单点登录令牌后,由网关模块根据所述单点登录令牌中的用户唯一标识生成网关令牌之前,所述方法还包括:
由网关模块准许所述单点登录令牌。
其中,由网关模块准许所述单点登录令牌包括:
由所述平台前端携带所述单点登录令牌调用所述网关模块的validateToken接口;
其中,在所述validateToken接口下,所述网关模块不对所述单点登录令牌进行验证。
其中,根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统,包括:
由平台后端从所述单点登录令牌中获取用户唯一标识;
由平台后端根据所述用户唯一标识调用网关接口,并由所述网关模块基于所述用户唯一标识生成所述网关令牌;
所述平台后端在获取到所述网关令牌后,将所述网关令牌发送至所述平台前端;
由所述平台前端将所述网关令牌返回所述第一系统。
其中,所述方法还包括:
由所述平台后端基于所述用户唯一标识获取所述用户的用户详细信息,并存储所述用户唯一标识和所述用户详细信息。
其中,所述第一系统存储所述网关令牌。
其中,在接收来自第二系统的第二访问请求消息之前,所述方法包括:
所述第二系统,响应于用户的登录请求,确定所述第二系统是否已获得所述网关令牌;
若所述第二系统已获得所述网关令牌,则将所述网关令牌加入访问请求消息;
若所述第二系统未获得所述网关令牌,则通过所述网关登录协同平台获得所述网关令牌。
其中,在所述第二系统获得所述网关令牌后,存储所述网关令牌,以供下一次登录验证。
其中,所述由网关模块验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求包括:
由所述网关模块从所述平台前端接收携带网关URL、网关令牌的第一访问请求消息;
所述网关模块验证所述网关令牌,并准许所述第一系统的第一访问请求;
其中,在所述网关模块验证所述网关令牌,并准许所述第一系统的第一访问请求之后,所述平台前端将所述用户唯一标识加入消息头发送至所述平台后端。
根据本发明实施例的技术方案,能够利用网关和网关登录协同平台相结合的方式实现企业内网各个系统的单点登录。在内网系统独立系统较多的大中型企业中,使得各个系统可不用考虑用户登录模块。网关登录协同平台提供获取当前用户详情的接口供其他系统调用。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (19)
1.一种通过网关单点登录的方法,其特征在于,包括:
由平台前端接收来自第一系统的第一访问请求消息;
若所述第一访问请求消息中包含无效令牌或不包含令牌,则:
由单点登录模块生成单点登录令牌,所述单点登录令牌中包含用户唯一标识;
由网关模块根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统;
由网关模块验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求。
2.根据权利要求1所述的方法,其特征在于,包括:
接收来自第二系统的第二访问请求消息;
若所述第二访问请求消息中包含无效令牌或不包含令牌,则:
由所述平台前端将所述网关令牌发送至所述第二系统;
由所述平台前端将携带所述网关令牌的第二访问请求消息发送至网关模块;
由网关模块验证所述网关令牌,并准许所述第二系统的携带所述网关令牌的第二访问请求。
3.根据权利要求1所述的方法,其特征在于,在生成单点登录令牌后,由网关模块根据所述单点登录令牌中的用户唯一标识生成网关令牌之前,所述方法还包括:
由网关模块准许所述单点登录令牌。
4.根据权利要求3所述的方法,其特征在于,由网关模块准许所述单点登录令牌包括:
由所述平台前端携带所述单点登录令牌调用所述网关模块的validateToken接口;
其中,在所述validateToken接口下,所述网关模块不对所述单点登录令牌进行验证。
5.根据权利要求1所述的方法,其特征在于,根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统,包括:
由平台后端从所述单点登录令牌中获取用户唯一标识;
由平台后端根据所述用户唯一标识调用网关接口,并由所述网关模块基于所述用户唯一标识生成所述网关令牌;
所述平台后端在获取到所述网关令牌后,将所述网关令牌发送至所述平台前端;
由所述平台前端将所述网关令牌返回所述第一系统。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
由所述平台后端基于所述用户唯一标识获取所述用户的用户详细信息,并存储所述用户唯一标识和所述用户详细信息。
7.根据权利要求1所述的方法,其特征在于,所述第一系统存储所述网关令牌。
8.根据权利要求2所述的方法,其特征在于,在接收来自第二系统的第二访问请求消息之前,所述方法包括:
所述第二系统,响应于用户的登录请求,确定所述第二系统是否已获得所述网关令牌;
若所述第二系统已获得所述网关令牌,则将所述网关令牌加入访问请求消息;
若所述第二系统未获得所述网关令牌,则通过所述网关登录协同平台获得所述网关令牌。
9.根据权利要求8所述的方法,其特征在于,在所述第二系统获得所述网关令牌后,存储所述网关令牌,以供下一次登录验证。
10.根据权利要求1所述的方法,其特征在于,所述由网关模块验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求包括:
由所述网关模块从所述平台前端接收携带网关URL、网关令牌的第一访问请求消息;
所述网关模块验证所述网关令牌,并准许所述第一系统的第一访问请求;
其中,在所述网关模块验证所述网关令牌,并准许所述第一系统的第一访问请求之后,所述平台前端将所述用户唯一标识加入消息头发送至所述平台后端。
11.一种通过网关单点登录的装置,其特征在于,包括:
平台前端模块,网关模块,单点登陆模块和平台后端模块;
所述平台前端模块,用于接收来自第一系统的第一访问请求消息;
所述单点登录模块,用于在所述第一访问请求消息中包含无效令牌或不包含令牌时,生成单点登陆令牌,所述单点登录令牌中包含用户唯一标识;
所述网关模块,用于根据所述单点登录令牌中的用户唯一标识生成网关令牌,其中,所述网关令牌被返回所述平台前端和所述第一系统;以及
验证携带所述网关令牌的第一访问请求消息,并准许所述第一系统的第一访问请求。
12.根据权利要求11所述的装置,其特征在于,
所述平台前端模块还用于:
接收来自第二系统的第二访问请求消息;
若所述第二访问请求消息中包含无效令牌或不包含令牌,则:
所述平台前端模块将所述网关令牌发送至所述第二系统;以及将携带所述网关令牌的第二访问请求消息发送至网关模块;
所述网关模块还用于,验证所述网关令牌,并准许所述第二系统的携带所述网关令牌的第二访问请求。
13.根据权利要求11所述的装置,其特征在于,
所述网关模块还用于在生成单点登录令牌后,根据所述单点登录令牌中的用户唯一标识生成网关令牌之前,准许所述单点登录令牌。
14.根据权利要求13所述的装置,其特征在于,所述准许所述单点登录令牌包括:
由所述平台前端携带所述单点登录令牌调用所述网关模块的validateToken接口;
其中,在所述validateToken接口下,所述网关模块不对所述单点登录令牌进行验证。
15.根据权利要求11所述的装置,其特征在于,还包括:
平台后端模块,用于:
从所述单点登录令牌中获取用户唯一标识;
根据所述用户唯一标识调用网关接口;
在获取到所述网关令牌后,将所述网关令牌发送至所述平台前端;
其中,所述网关令牌是由所述网关模块基于所述用户唯一标识生成的。
16.根据权利要求15所述的装置,其特征在于,所述平台后端模块还用于:
基于所述用户唯一标识获取所述用户的用户详细信息,并存储所述用户唯一标识和所述用户详细信息。
17.根据权利要求1所述的方法,其特征在于,所述网关模块还用于:
在验证所述网关令牌,并准许所述第一系统的第一访问请求之前,
从所述平台前端接收携带网关URL、网关令牌的第一访问请求消息;
验证所述网关令牌,并准许所述第一系统的第一访问请求;
其中,在所述网关模块验证所述网关令牌,并准许所述第一系统的第一访问请求之后,所述平台前端将所述用户唯一标识加入消息头发送至所述平台后端。
18.一种通过网关单点登录的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-10中任一所述的方法。
19.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-10中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011474807.0A CN112583834B (zh) | 2020-12-14 | 2020-12-14 | 一种通过网关单点登录的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011474807.0A CN112583834B (zh) | 2020-12-14 | 2020-12-14 | 一种通过网关单点登录的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112583834A true CN112583834A (zh) | 2021-03-30 |
| CN112583834B CN112583834B (zh) | 2022-08-09 |
Family
ID=75135413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011474807.0A Active CN112583834B (zh) | 2020-12-14 | 2020-12-14 | 一种通过网关单点登录的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583834B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114745196A (zh) * | 2022-04-27 | 2022-07-12 | 广域铭岛数字科技有限公司 | 接口测试方法、系统、电子设备及可读存储介质 |
| CN115102724A (zh) * | 2022-06-06 | 2022-09-23 | 珠海格力电器股份有限公司 | 一种双Token跨端跳转系统的登录方法、系统 |
| CN115225354A (zh) * | 2022-07-07 | 2022-10-21 | 通号智慧城市研究设计院有限公司 | 多应用单点登录方法、装置、计算机设备和介质 |
| CN116865982A (zh) * | 2022-03-22 | 2023-10-10 | 西安即刻易用网络科技有限公司 | 一种应用管理平台及登录认证方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110283347A1 (en) * | 2009-11-11 | 2011-11-17 | Mahesh Babubhai Bhuta | Using a trusted token and push for validating the request for single sign on |
| CN102823218A (zh) * | 2010-02-19 | 2012-12-12 | 诺基亚公司 | 用于身份联合网关的方法和装置 |
| CN103188295A (zh) * | 2011-12-28 | 2013-07-03 | 上海格尔软件股份有限公司 | 一种对用户和应用完全透明的web单点登录方法 |
| US20170289140A1 (en) * | 2016-03-31 | 2017-10-05 | Oracle International Corporation | System and method for integrating a transactional middleware platform with a centralized access manager for single sign-on in an enterprise-level computing environment |
| CN107425983A (zh) * | 2017-08-08 | 2017-12-01 | 北京明朝万达科技股份有限公司 | 一种基于web服务的统一身份认证方法及系统平台 |
| CN110324328A (zh) * | 2019-06-26 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 一种安全认证方法、系统及设备 |
| CN110753045A (zh) * | 2019-10-14 | 2020-02-04 | 紫光云(南京)数字技术有限公司 | 不同域之间单点登录的方法 |
| CN111865882A (zh) * | 2019-04-30 | 2020-10-30 | 北京神州泰岳软件股份有限公司 | 一种微服务认证方法和系统 |
-
2020
- 2020-12-14 CN CN202011474807.0A patent/CN112583834B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110283347A1 (en) * | 2009-11-11 | 2011-11-17 | Mahesh Babubhai Bhuta | Using a trusted token and push for validating the request for single sign on |
| CN102823218A (zh) * | 2010-02-19 | 2012-12-12 | 诺基亚公司 | 用于身份联合网关的方法和装置 |
| CN103188295A (zh) * | 2011-12-28 | 2013-07-03 | 上海格尔软件股份有限公司 | 一种对用户和应用完全透明的web单点登录方法 |
| US20170289140A1 (en) * | 2016-03-31 | 2017-10-05 | Oracle International Corporation | System and method for integrating a transactional middleware platform with a centralized access manager for single sign-on in an enterprise-level computing environment |
| CN107425983A (zh) * | 2017-08-08 | 2017-12-01 | 北京明朝万达科技股份有限公司 | 一种基于web服务的统一身份认证方法及系统平台 |
| CN111865882A (zh) * | 2019-04-30 | 2020-10-30 | 北京神州泰岳软件股份有限公司 | 一种微服务认证方法和系统 |
| CN110324328A (zh) * | 2019-06-26 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 一种安全认证方法、系统及设备 |
| CN110753045A (zh) * | 2019-10-14 | 2020-02-04 | 紫光云(南京)数字技术有限公司 | 不同域之间单点登录的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116865982A (zh) * | 2022-03-22 | 2023-10-10 | 西安即刻易用网络科技有限公司 | 一种应用管理平台及登录认证方法 |
| CN114745196A (zh) * | 2022-04-27 | 2022-07-12 | 广域铭岛数字科技有限公司 | 接口测试方法、系统、电子设备及可读存储介质 |
| CN114745196B (zh) * | 2022-04-27 | 2024-01-02 | 广域铭岛数字科技有限公司 | 接口测试方法、系统、电子设备及可读存储介质 |
| CN115102724A (zh) * | 2022-06-06 | 2022-09-23 | 珠海格力电器股份有限公司 | 一种双Token跨端跳转系统的登录方法、系统 |
| CN115102724B (zh) * | 2022-06-06 | 2023-12-08 | 珠海格力电器股份有限公司 | 一种双Token跨端跳转系统的登录方法、系统 |
| CN115225354A (zh) * | 2022-07-07 | 2022-10-21 | 通号智慧城市研究设计院有限公司 | 多应用单点登录方法、装置、计算机设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112583834B (zh) | 2022-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112583834B (zh) | 一种通过网关单点登录的方法和装置 | |
| US10277409B2 (en) | Authenticating mobile applications using policy files | |
| US9699257B2 (en) | Online business method, system and apparatus based on open application programming interface | |
| JP6707127B2 (ja) | エンドユーザによって起動されるアクセスサーバ真正性チェック | |
| US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
| US9887990B2 (en) | Protection of application passwords using a secure proxy | |
| CN111062024B (zh) | 一种应用登录方法和装置 | |
| CN110958237A (zh) | 一种权限校验的方法和装置 | |
| CN113630377B (zh) | 托管移动设备的单点登录 | |
| US11381564B2 (en) | Resource security integration platform | |
| CN113742676B (zh) | 一种登录管理方法、装置、服务器、系统及存储介质 | |
| CN112491778A (zh) | 认证方法、装置、系统及介质 | |
| CN106464497A (zh) | 利用低延迟会话聚合框架体系发放、传送和管理令牌的方法和系统 | |
| CN111784887A (zh) | 一种用户访问的授权放行方法、装置以及系统 | |
| CN109450890B (zh) | 单点登录的方法和装置 | |
| US10257182B2 (en) | Login proxy for third-party applications | |
| US9210155B2 (en) | System and method of extending a host website | |
| CN113746811A (zh) | 登录方法、装置、设备及可读存储介质 | |
| CN113821784A (zh) | 多系统单点登录方法、装置及计算机可读存储介质 | |
| CN110247917B (zh) | 用于认证身份的方法和装置 | |
| CN112905990A (zh) | 一种访问方法、客户端、服务端及访问系统 | |
| CN114969707A (zh) | 一种单点登录方法、装置、设备及介质 | |
| US11734408B2 (en) | Remapping of uniform resource locators for accessing network applications | |
| CN113055186B (zh) | 一种跨系统的业务处理方法、装置及系统 | |
| CN115834252B (zh) | 一种服务访问方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |