CN112769826B - 一种信息处理方法、装置、设备及存储介质 - Google Patents

一种信息处理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN112769826B
CN112769826B CN202110026288.XA CN202110026288A CN112769826B CN 112769826 B CN112769826 B CN 112769826B CN 202110026288 A CN202110026288 A CN 202110026288A CN 112769826 B CN112769826 B CN 112769826B
Authority
CN
China
Prior art keywords
target user
application server
client
user identifier
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110026288.XA
Other languages
English (en)
Other versions
CN112769826A (zh
Inventor
赵宇成
陆明友
秦臻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202110026288.XA priority Critical patent/CN112769826B/zh
Publication of CN112769826A publication Critical patent/CN112769826A/zh
Application granted granted Critical
Publication of CN112769826B publication Critical patent/CN112769826B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本申请实施例公开了一种信息处理方法,所述方法包括:代理端接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;所述目标用户标识请求用于获取目标用户标识;所述代理端接收所述认证应用服务端返回的所述目标用户标识;所述代理端获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述目标密码发送至应用服务端,所述目标用户标识和所述目标密码用于所述应用服务端对所述客户端进行认证。另外,本申请实施例还公开了一种信息处理装置、设备及存储介质。

Description

一种信息处理方法、装置、设备及存储介质
技术领域
本发明涉及信息安全技术,涉及但不限于一种信息处理方法、装置、设备及存储介质。
背景技术
现有技术中,在实现单点登录(Single Sign On,SSO)时,客户端需要与应用服务端做SSO协议对接,但应用服务端中部分应用程序没有按照标准的接口协议即SSO协议实现单点登录,或部分老旧的应用服务端并不支持SSO协议,导致客户端对应用服务端的访问体验不佳,且访问效率低下。
发明内容
有鉴于此,本申请实施例提供的一种信息处理方法、装置和计算机可读存储介质,提高客户端对应用服务端的访问效率。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种信息处理方法,包括:
代理端接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
所述代理端接收所述认证应用服务端返回的所述目标用户标识;
所述代理端获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至应用服务端,所述目标用户标识和所述可信凭证用于所述应用服务端对所述客户端进行认证。
第二方面,本申请实施例提供一种信息处理方法,还包括:
认证应用服务端接收代理端发送的目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
所述认证应用服务端向所述代理端返回所述目标用户标识;所述目标用户标识和所述目标用户标识对应的可信凭证用于应用服务端对客户端进行认证。
第三方面,本申请实施例提供一种信息处理装置,包括:
第一获取单元,用于接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
接收单元,用于接收所述认证应用服务端返回的所述目标用户标识;
执行单元,用于获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至应用服务端,所述目标用户标识和所述可信凭证用于所述应用服务端对所述客户端进行认证。
第四方面,本申请实施例提供一种信息处理装置,还包括:
第一接收单元,用于接收代理端发送的目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
发送单元,用于向所述代理端返回所述目标用户标识;所述目标用户标识和所述目标用户标识对应的可信凭证用于应用服务端对客户端进行认证。
第五方面,本申请实施例提供一种信息处理设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,所述处理器用于运行所述计算机程序时,执行上述信息处理方法。
第六方面,本申请实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述信息处理方法。
本申请实施例中,提供了一种信息处理方法、装置、设备及存储介质,代理端接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;所述代理端接收所述认证应用服务端返回的所述目标用户标识;所述代理端获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至应用服务端,所述目标用户标识和所述可信凭证用于所述应用服务端对所述客户端进行认证;在客户端和应用服务端之间引入代理端,由代理端对客户端和应用服务端之间交互的请求进行转发,使得实现单点登陆时,应用服务端对SSO协议的支持不是应用服务端与客户端交互的必要条件,在应用服务端不支持SSO协议的情况下,能够向认证应用服务端获取目标用户标识,以实现单点登陆,提高客户端对应用服务端的访问效率。
附图说明
图1为本申请实施例信息处理系统的网络架构示意图;
图2为本申请实施例提供的信息处理方法的可选地流程示意图;
图3为本申请实施例提供的信息处理方法的可选地流程示意图;
图4为本申请中相关技术实施例单点登陆的系统架构示意图;
图5为本申请中相关技术实施例提供的单点登陆的可选地流程示意图;
图6为本申请实施例提供的信息处理方法中的首次登陆的可选地流程示意图;
图7为本申请实施例提供的信息处理方法中的再次登陆的可选地流程示意图;
图8为本申请实施例提供的信息处理装置可选地结构示意图;
图9为本申请实施例提供的信息处理装置的可选地结构示意图;
图10为本申请实施例电子设备的一种可选地硬件示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例,对本申请的具体的技术方案进行清楚、完整地描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
本申请实施例可提供为信息处理方法及装置、设备和存储介质。实际应用中,信息处理方法可由信息处理装置实现,信息处理装置中的各功能实体可以由信息处理设备的硬件资源(处理器)来实现。
本申请实施例的信息处理方法可以应用于图1所示的信息处理系统,如图1所示,该信息处理系统包括客户端10、应用服务端20、认证应用服务端30和代理端40;其中,客户端10中安装有能够访问应用服务端20的应用程序APP或者提供浏览页面的浏览器,用户可通过应用程序或者浏览器对应用服务端20进行访问。应用服务端20能够提供对应的服务。
客户端10和应用服务端20之间通过代理端40进行交互。其中,当客户端10访问应用服务端20时,客户端10将请求发送至代理端40,代理端40将请求转发至应用服务端20。当应用服务端20向客户端提供资源时,应用服务端20将资源发送至代理端40,代理端40将资源转发至客户端10。本申请实施例中,客户端10向应用服务端20发送的请求可包括:登陆请求、认证请求、业务请求等,客户端返回的资源对应为认证资源、登陆资源、业务资源等。
如图1所示,客户端10发起对应用服务端20的访问请求,代理端40接收到客户端10发送的访问请求,代理端40对客户端10发起的访问请求进行检验,若该请求为非法用户发起的,则代理端40禁止该非法用户的访问请求;若该请求是合法用户发起的,则代理端40将客户端10的访问请求转发至应用服务端20,且应用服务端20向代理端40发送针对访问请求的响应,代理端40将接收的响应转发至客户端10。
本申请实施例中,通过认证应用服务端30对该客户端10进行身份识别和权限校验,在校验通过后,通过对认证应用服务端30实现在应用服务端20的单点登陆。
本申请实施例中,代理端可为独立于客户端和应用服务端的物理实体,代理端可位于客户端所在的物理实体,也可位于应用服务端所在的物理实体。
在一示例中,代理端接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;所述代理端接收所述认证应用服务端返回的所述目标用户标识;所述代理端获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至应用服务端,所述目标用户标识和所述可信凭证用于所述应用服务端对所述客户端进行认证。此时,认证应用服务端接收代理端发送的目标用户标识获取请求;所述目标用户标识请求用于获取目标用户标识;所述认证应用服务端向所述代理端返回所述目标用户标识;所述目标用户标识和所述目标用户标识对应的可信凭证用于应用服务端对客户端进行认证。
需要说明的是,图1所示的应用服务端包含多个应用程序,且不同的目标用户辨识能够单点登陆不同的应用程序。
在一实例中,目标用户标识包括:a、b、c,目标用户标识a对应的应用程序包括:1、3、5,则通过目标用户标识a能够单点登陆应用服务端中的应用程序1、3、5;目标用户标识b对应的应用程序包括:1、2、7、9,则通过目标用户标识b能够单点登陆应用服务端中的应用程序:1、2、7、9;目标用户标识c对应的应用程序包括:4、3、6、8,则通过目标用户标识c能够单点登陆应用服务端中的应用程序:4、3、6、8。
结合图1所示的应用场景示意图,本申请实施例提出一种信息处理方法,使得客户端的登陆请求仅通过代理端实现向应用服务端中多个应用程序的单点登陆,从而简化了登陆应用服务端内相关的应用程序的步骤,降低了用户和企业的使用门槛。
下面,结合图1所示的信息处理系统的示意图,对本申请实施例提供的信息处理方法、装置、设备和存储介质的各实施例进行说明。
本实施例提供一种信息处理方法,该方法应用于信息处理设备,信息处理设备可为代理端或认证应用服务端,其中,代理端或认证应用服务端可为计算机设备或计算机设备组成的分布式网络。该方法所实现的功能可以通过计算机设备中的处理器调用程序代码来实现,当然程序代码可以保存在计算机存储介质中,可见,该计算机设备至少包括处理器和存储介质。
图2为本申请实施例提供的信息处理方法的可选地流程示意图,如图2所示,该方法可以包括如下步骤:
S201、代理端接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求;
所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序。
客户端的应用程序或浏览页面接收到用户的登陆操作,基于登陆操作生成登陆请求,并将登陆请求发送给代理端。代理端根据登陆请求,向认证应用服务端发送目标用户标识获取请求。
其中,登陆请求中可携带有用户标识、统一资源定位符(Uniform/UniversalResource Locatior,URL)等信息,其中,用户标识用于标识当前用户的身份,URL指示登陆请求所访问的应用程序的地址,其中,URL中可包括用于进行安全认证的令牌,以通过令牌判定当前用户是否为合法用户。
在一示例中,应用服务端为应用程序A所在服务端,登陆请求用于请求登陆应用程序A,代理端根据客户端的登陆请求向认证应用服务端发送目标用户标识请求,以此来获取该用户的目标用户标识。
S202、所述代理端接收所述认证应用服务端返回的所述目标用户标识。
认证应用服务端接收到目标用户标识请求后,确定当前用户的目标用户标识,并将获取的目标用户标识发送至代理端。代理端接收到认证应用服务端返回的目标用户标识。
认证应用服务端保存有对应目标用户标识的应用程序集合,向代理端发送目标用户标识的同时,将应用程序集合发送给代理端,以使得代理端将应用程序集合发送至应用服务端,应用服务端能够向当前用户开启应用程序集合中的应用程序的访问权限。
在一示中,应用服务端为应用程序A所在服务端,登陆请求用于请求登陆应用程序A,代理端根据客户端的登陆请求向认证应用服务端发送目标用户标识请求,以此来获取该用户的目标用户标识Q,目标用户标识Q用于单点登陆应用服务端中的应用程序A。
目标用户标识用于单点登陆应用服务端内多个应用程序。比如:该目标用户标识为登陆百度网盘、微信、微博的统一用户标识,用于单点登陆百度网盘、微信、微博。
S203、所述代理端获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至应用服务端。
所述目标用户标识和所述可信凭证用于所述应用服务端对所述客户端进行认证。
代理端获取目标用户标识对应的可信凭证,代理端将获取到的目标用户标识和可信凭证发送至应用服务端,从而完成客户端的登陆请求。
本申请实施例中,代理端获取可信凭证的方式包括以下之一:
获取方式一、代理端在本地获取目标用户标识对应的可信凭证。
获取方式二、用户通过客户端输入可信凭证。
获取方式三、代理端通过依据目标用户标识通过应用服务端获取目标用户标识对应的可信凭证。
其中,可信凭证可以是登陆应用服务端内应用程序的密码,也可以是登陆应用服务端内应用程序的生物特征信息,这里不做具体的限定。其中,生物特征信息可以包括:指纹信息、瞳孔信息、面部信息等。
在获取方式一中,可信凭证为本地存储的应用服务端内应用程序的登陆密码或/和生物特征。
在获取方式二中,可信凭证为用户在客户端显示的凭证表单输入的可信凭证。
在获取方式三中,代理端根据目标用户标识W,通过应用服务端获取目标用户标识W对应的可信凭证w。
本申请实施例中,代理端根据客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求,根据目标用户标识;获取目标用户标识对应的可信凭证,将目标用户标识和可信凭证发送至应用服务端,用于应用服务端对客户端的身份进行认证。此时,代理端在获取目标用户标识时,并不关注当前要登陆的应用程序是哪个应用程序,从而关注当前用户对应的能够进行单点登陆的目标用户标识,以通过目标用户标识实现应用服务端中的多个应用程序的单点登陆。
本申请实施例提供的信息处理方法,代理端接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求,代理端接收认证应用服务端返回的目标用户标识,代理端获取目标用户标识对应的可信凭证,将目标用户标识和可信凭证发送至应用服务端,目标用户标识和可信凭证用于应用服务端对客户端进行认证,使得客户的登陆请求仅通过代理端实现对应用服务端内多个应用程序的统一登陆。本申请实施例中,在客户端和应用服务端之间引入代理端,由代理端对客户端和应用服务端之间交互的请求进行转发,使得应用服务端对SSO协议的支持不是应用服务端与客户端交互的必要条件,在应用服务端不支持SSO协议的情况下,能够向认证应用服务端获取目标用户标识,实现单点登陆,提高客户端对应用服务端的访问效率,并且简化了登陆相关应用服务端的步骤,降低了用户和企业的使用门槛。
在本申请实施例中,在S201之前,还实施以下步骤:
所述代理端判断所述登陆请求是否包含合法的验证信息;在所述登陆请求未包含有合法的验证信息的情况下,将所述登陆请求重定向至所述认证应用服务端;接收所述认证应用服务端发送的第一令牌,并基于所述第一令牌生成所述目标用户标识获取请求。
代理端对登陆请求进行分析,以判断登陆请求中是否包含合法的验证信息,其中,验证信息包括:会话标识和/或第二令牌。
会话标识为登陆请求中携带的辨别用户身份而设置的数据Cookie中的SessionID,第二令牌为登陆请求中的URL中携带的令牌。
代理端对接收到的登陆请求包含的验证信息进行匹配,若登陆请求包含的验证信息与代理端存储的验证信息相匹配,代理端认为登陆请求中包含合法的验证信息,则通过认证应用服务端获取登陆请求对应的目标用户标识。
若登陆请求未含有合法的验证信息,则将登陆请求重定向至认证应用服务端,认证应用服务端向登陆请求中的URL植入第一令牌,且认证应用服务端将植入第一令牌的URL发送至代理端。
代理端接收认证应用服务端发送的第一令牌,根据第一令牌生成目标用户标识获取请求。
其中,第一令牌为认证应用服务端向登陆请求中的URL植入的令牌;第二令牌为登陆请求中的URL中的令牌。
在本申请实施例中,在基于所述第一令牌生成所述目标用户标识获取请求之前,还实施以下步骤:判断所述第一令牌是否合法;对应的,在判断所述第一令牌合法的情况下,基于所述第一令牌生成所述目标用户标识获取请求。
代理端判断第一令牌是否合法,若代理端中存储有与第一令牌相匹配的信息相匹配,则该第一令牌合法,对第一令牌校验成功,否则为非法的第一令牌,第一令牌校验失败。
第一令牌校验成功后,代理端生成目标用户标识获取请求,并向认证应用服务端发送目标用户标识获取请求,以获取登陆请求对应的目标用户标识。
第一令牌校验失败后,代理端停止对登陆请求的转发,禁止客户端对应用服务端的登陆。
在一些实施例中,S203的实施包括:
S2031、所述代理端向所述客户端发送可信凭证代填脚本和所述目标用户标识;
所述可信凭证代填脚本用于根据所述目标用户标识从认证应用服务端获取所述可信凭证,其中,可信凭证脚本可为JavaScript文件,本申请实施例对可信凭证脚本的格式不进行任何限定。
本申请实施例中,代理端基于目标用户标识向应用服务端发送登陆请求,应用服务端向代理端返回认证资源,代理端接收到认证资源后,向认证资源中植入可信凭证代填脚本和目标用户标识,并将植入可信凭证代填脚本和目标用户标识的认证资源发送至客户端。
S2032、所述代理端接收所述客户端发送的所述可信凭证。
客户端接收到植入可信凭证代填脚本和目标用户标识的认证资源,基于可信凭证代填脚本和目标用户标识从认证应用服务端获取可信凭证,在获取可信凭证后,将可信凭证发送至代理端。
本申请实施例中,代理端向客户端发送可信凭证代填脚本和目标用户标识,使得客户端通过可信凭证代填脚本获取目标用户标识对应的可信凭证,客户端将获得的可信凭证发送到代理端。
在一些实施例中,S2031的实施包括:所述代理端向应用服务端发送所述登陆请求;所述代理端接收所述应用服务端返回的响应所述登陆请求的认证资源;所述代理端将所述认证资源发送至客户端,所述认证资源用于所述客户端呈现凭证输入页面;
对应的,S2032的实施包括:
所述代理端接收所述客户端发送的认证请求,所述认证请求为提交目标表单的请求,所述目标表单为凭证输入页面中填入所述可信凭证的表单。
客户端接收到认证资源的情况下,显示认证资源对应的凭证输入页面。凭证输入页面中包含有能够填入可信凭证的表单,使得客户端通过可信凭证代填脚本从认证应用服务端获取可信凭证,并将获取的可信凭证自动填入对应的表单中,并触发表单提交请求。
在一些实施例中,凭证输入页面包含多个表单,且可信凭证代填脚本向各表单中填写对应的内容。
在一示例中,以可信凭证为密码为例,客户端根据接收到的可信凭证代填脚本(密码代填脚本)从认证应用服务端获取的密码,将密码填入凭证输入页面的表单中,并触发虚拟登陆请求,其中,虚拟登陆请求中携带提交表单的表单提交请求。
在本申请实施例中,所述代理端向应用服务端发送登陆请求,应用服务端对登陆请求进行响应,根据登陆请求向代理端发送登陆请求认证资源,代理端将接收到的认证资源发送至客户端,客户端根据接收到的认证资源,呈现出凭证输入页面,其中,代理端接收客户端发送的所述可信凭证,包括:所述代理端接收客户端发送的认证请求,认证请求为提交目标表单的请求,目标表单为凭证输入页面中填入可信凭证的表单。
本实施例还提供一种信息处理方法,如图3所示,该方法可以包括如下步骤:
S301、认证应用服务端接收代理端发送的目标用户标识获取请求;
所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序。
客户端的应用程序或浏览页面接收到用户的登陆操作,基于登陆操作生成登陆请求,并将登陆请求发送给代理端。代理端根据登陆请求,向认证应用服务端发送目标用户标识获取请求。
认证应用服务端接收到代理端发送的目标用户标识请求,基于接收的目标用户标识请求获取目标用户标识,并将获取的目标用户标识发送至代理端。
其中,目标用户标识用于用户通过单点登陆的方式登陆应用服务端内至少一个应用程序,且这些应用程序与用户自身有关联,也就是说,用户不用通过与应用程序相对应的可信凭证进行登陆,而仅需通过从认证应用服务端获取目标用户标识登陆认证应用服务端,以展示目标用户标识相关联的至少一个应用程序。
其中,认证应用服务端可称为ID Trust。
S302、所述认证应用服务端向所述代理端返回所述目标用户标识。
所述目标用户标识和所述目标用户标识对应的可信凭证用于所述应用服务端对客户端进行认证。
这里,认证应用服务端将目标用户标识请求对应的目标用户标识返回给代理端。
认证应用服务端接收到目标用户标识获取请求后,根据目标用户标识获取请求携带的用户标识确定目标用户标识,并将确定的目标用户标识发送至代理端。
代理端接收到目标用户标识后,获取当前目标用户标识对应的可信凭证,并基于目标用户标识和可信凭证登陆应用服务端,此时,该客户端对应用服务端中该目标用户标识对应的至少一个应用程序具有访问权限,在访问目标用户标识对应的至少一个应用程序中任一应用程序时,无需再进行身份认证过程,而直接访问。
在一示例中,目标用户标识a对应的应用程序包括:1、3、5,则通过目标用户标识a能够单点登陆应用服务端中的应用程序1、3、5,客户端通过目标用户标识a登陆应用服务端后,可对应用服务端中的应用程序1、3、5具有访问权限。
在一些实施例中,在S301之前,还实施以下步骤:所述认证应用服务端接收代理端发送的登陆请求;所述认证应用服务端向所述代理端发送响应所述登陆请求的第一令牌。
这里,代理端接收客户端发送的登陆请求,并在判断登陆请求中未包含合法的验证信息的情况下,将登陆请求重定向至认证应用服务端,认证应用服务端接收到代理服务端发送的登陆请求,该登陆请求中不包含合法的验证信息,其中,验证信息包括:会话标识和/或第二令牌。
认证应用服务端接收到登陆请求的情况下,向该用户分配第一令牌,并将第一令牌植入登陆请求中的URL中,且将植入第一令牌的URL发送至代理端。
认证应用服务端根据接收到的登陆请求中包含的用户标识,向登陆请求中包含的URL中植入登陆请求对应的第一令牌,认证应用服务端将植入了第一令牌的登陆请求发送给代理端。
代理端接收认证应用服务端发送的第一令牌,根据第一令牌生成目标用户标识获取请求,以向代理服务端获取目标用户标识。
在实际应用中,认证服务端在分配第一令牌之前,对用户的身份进行认证,其中,认证的方式包括:接收客户端发送的认证码、通过短信的方式向客户端发送验证码并判断是否接收到短信所发送的验证码、以及通过客户端接收账号密码等。本申请实施例中对认证方式的具体方式不进行任何限定。
在一些实施例中,在所述身份认证向所述代理端发送响应所述登陆请求的第一令牌之前,还包括:所述认证应用服务端判断所述客户端是否为已登陆客户端;在确定所述客户端不是已登陆客户端的情况下,向所述客户端发送首次认证资源;所述认证资源用于所述客户端呈现首次认证页面;所述认证应用服务端接收所述客户端基于所述认证页面获得的认证信息;所述认证应用服务端通过所述认证信息对所述客户端进行权限校验。
这里,认证应用服务端接收到登陆请求的情况下,根据接收到的登陆请求,判断当前客户端是否为已登录客户端,即该客户端之前是否登陆过。其中,认证应用服务端对登陆请求中携带的会话内容进行判断,确定认证应用服务端中是否有与登陆请求携带的会话内容匹配的历史会话内容,如果存在,则表征当前客户端为已登录客户端,否则,认为当前客户端为首次登录客户端,需要对当前客户端进行认证。其中,会话内容可为应用服务端为了辨别用户身份而设置的数据,比如:Cookie。
若当前客户端为首次登录客户端,则向客户端发送首次认证资源,以在客户端中呈现认证页面,客户端基于认证页面接收认证信息,并将接收的认证信息发送至认证应用服务端,认证应用服务端接收到认证信息后,对认证信息进行验证,以判断当前用户是否具有对应用服务端进行访问的权限,并在认证信息通过验证,确定用户具有对应用服务端进行访问的权限时,为当前客户端分配第一令牌,并向登陆请求中包含的URL中植入第一令牌。其中,认证信息为相对于用户标识的隐私级别更高的信息,比如:邮箱信息、身份证信息、密保信息等。
在一示例中,客户端在接收到认证资源的情况下,调取浏览器,在浏览器中呈现认证页面。
若当前客户端为已登录客户端,则向当前客户端分配第一令牌,并向登陆请求中包含的URL中植入第一令牌。
在一些实施例中,在S302之前,还包括:所述认证应用服务端获取所述登陆请求携带的用户标识;所述认证应用服务端根据所述用户标识,确定所述目标用户标识。
这里,认证应用服务端根据接收到的登陆请求中包含的用户标识,确定登陆请求对应的目标用户标识。其中,用户标识为用户登陆当前所请求的应用程序所使用的账号,目标用户标识为对包括当前应用程序在内的多个应用程序进行统一登陆的账号。认证应用服务端根据用户标识确定目标用户标识的方式包括:
方式一:根据用户标识确定用户属性,根据用户属性生成目标用户标识。
方式二、反向拉取与用户标识关联匹配的应用账号数据,并获取匹配的应用账号数据对应的目标用户标识。
方式三、根据用户标识与目标用户标识之间的绑定关系,确定当前用户标识对应的目标用户标识。
在一些实施例中,信息处理方法还包括:所述认证应用服务端接收所述客户端的可信凭证获取请求;所述认证应用服务端向所述客户端发送响应所述可信凭证获取请求的所述可信凭证;以指示所述客户端根据所述目标用户标识和所述可信凭证登陆所述应用服务端。
本申请实施例中,代理端基于目标用户标识向应用服务端发送登陆请求,应用服务端向代理端返回认证资源,代理端接收到认证资源后,向认证资源中植入可信凭证代填脚本和目标用户标识,并将植入可信凭证代填脚本和目标用户标识的认证资源发送至客户端。
客户端接收到植入可信凭证代填脚本和目标用户标识的认证资源,向认证应用服务端发送可信凭证获取请求,其中,可信凭证获取请求中携带目标用户标识。认证应用服务端接收到可信凭证获取请求后,根据目标用户标识获取可信凭证,并将获取的可信凭证发送至客户端,客户端接收到可信凭证后,由可信凭证代填脚本将可信凭证自动填入认证资源所包括的凭证输入界面中的表单,并进行表单提交,进行应用服务端的登陆。
本申请实施例中,认证应用服务端接收代理端发送的目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;所述认证应用服务端向所述代理端返回所述目标用户标识;所述目标用户标识和所述目标用户标识对应的可信凭证用于应用服务端对客户端进行认证;从而在客户端和应用服务端之间引入代理端,由代理端对客户端和应用服务端之间交互的请求进行转发,使得实现单点登陆时,应用服务端对SSO协议的支持不是应用服务端与客户端交互的必要条件,在应用服务端不支持SSO协议的情况下,能够向认证应用服务端获取目标用户标识,以实现单点登陆,提高客户端对应用服务端的访问效率。
下面,通过具体的场景对本申请实施例提供的信息处理方法进行进一步说明。
相关技术中,单点登陆的系统架构如图4所示,包括:客户端10、应用服务端20和认证应用服务端30;其中,客户端10中安装有能够访问应用服务端20的应用程序APP或者提供浏览页面的浏览器,用户可通过应用程序或者浏览器对应用服务端20进行访问。应用服务端20能够提供对应的服务。
客户端10和应用服务端20之间通过认证应用服务端30进行交互。其中,当客户端10访问应用服务端20时,客户端10通过认证应用服务端30来代填用户的可信凭证并完成登陆。
以可信凭证为账户密码为例,客户端通过认证应用服务端30进行密码代填的场景下为例,客户端登陆应用服务端的过程包括:
S41、认证应用服务端30获取客户端10(用户)在应用服务端20中包含的各应用的账号密码;
S42、客户端10基于用户的点击应用图标的操作触发免密登陆;
S43、认证应用服务端30代填客户端10的账户密码并完成登陆。
这里,相关技术中提供的单点登陆的流程,图5所示,包括:
S501、应用服务端接收到客户端的登陆请求,执行S502;
S502、应用服务端将接收到客户端的登陆请求重定向至认证应用服务端,执行S503;
S503、认证应用服务端发现客户端的登陆请求没有登陆过应用服务端,则重定向至认证页面,进行首次认证,执行S504;
S504、通过认证页面跳转至认证应用服务端,输入身份信息,进行认证,执行S505;
S505、首次认证通过后,重定向至进行多因子认证,执行S506;
S506、若需要生物认证,则通过客户端(本地浏览器)结合生物外设,进行生物认证,执行S507;
S507、认证页面进行多因子特征识别,执行S508;
S508、认证页面将识别结果发送至认证应用服务端,执行S509;
S509、认证应用服务端对识别结果进行认证以及鉴权,并跳转至应用服务端。
S510、应用服务端接收到客户端的登陆请求,执行S511;
S511、应用服务端将接收到客户端的登陆请求重定向至认证应用服务端,执行S512;
S512、认证应用服务端发现客户端的登陆请求已经登陆过应用服务端,且鉴权通过,则跳转至应用服务端。
S513、认证应用服务端接收到客户端发送的用户注销请求,执行S514;
S514、认证应用服务端将接收到客户端发送的用户注销请求发送至应用服务端,执行用户注销请求。
其中,S501至S509为首次登陆阶段,S510至S512为非首次登陆即再次登陆阶段;S513至S514为注销阶段。
相关技术中,可信凭证的代填方式包括以下至少之一:脚本录制代填、表单代填、应用系统登录接口代填。
脚本录制代填是通过录制脚本,然后在客户端(浏览器或本地安装扩展插件或者客户端程序),回放录制好的脚本,模拟用户填写表单的过程,并模拟用户点击登录按钮,以此实现可信凭证自动填写后提交,完成免密登录。
表单代填(formbase)是通过在客户端(浏览器)上安装插件,通过插件识别用户想要登录的应用系统认证页面上的元素,并以此构造相应的表单,填入相应的账号密码内容,模拟表单的提交方式完成免密登录。
应用服务端登录接口代填的实现需要依赖于应用服务端提供标准接口的登录方式,可以直接通过将用户的可信凭证以参数的形式调用该接口实现免密登录。
相关技术中,SSO协议的对接存在以下技术缺陷:
第一、客户端需要与引用服务端中的应用程序做协议对接,有许多应用程序没有按照标准接口实现SSO协议,导致管理员通过SSO协议对接应用程序体验不佳,效率低下。
第二、有一部分老旧的应用服务端并不支持SSO协议,如果通过SSO协议实现统一认证与统一访问授权的话需要改造应用服务端,这对于用户而言时间成本和实施成本非常之高。
另外,相关技术中的密码代填方案存在以下技术缺陷:
1、脚本录制与表单代填的方式需要依赖于浏览器插件或者本地客户端插件,影响用户初次使用的体验以及产品的易维护性,增加了用户和管理员的使用门槛
2、三种方式都不能关闭原有系统认证页面,这导致通过密码代填实现的免密登录无法实现集中式的访问认证与权限控制,用户可以直接访问应用系统绕过统一身份认证平台的鉴权。
3、即使配合认证网关实现了统一认证和权限管控,但由于系统账号密码是用户自行输入的,这导致认证网关无法保证统一认证时用户的身份与访问业务系统所使用的账号身份的一致性,无法解决账号共享及应用系统弱密码所带来的安全风险。
基于相关技术中存在的缺陷,本申请实施例通过代理端对客户端发送的登陆请求进行识别及重定向,使得未经认证应用服务端进行统一身份认证的登陆请求,重定向至认证应用服务端进行统一身份认证、访问授权管理以及集中式访问审计,从而在身份认证和鉴权认证通过后,认证应用服务端将客户端发送的登陆请求重定向至代理端,再通过代理端访问应用服务端,并结合现有的密码代填方式实现单点登陆的效果,这里,对于用户而言,其经过统一认证后就直接进入应用服务端,用户无法访问到应用服务端的登录页面,从而实现客户端的无插件且无感知的单点登录,同时结合应用账号绑定技术,可以确保用户只能使用与统一身份关联的应用账号进入应用服务端,避免出现盗用账号访问系统、系统弱密码被爆破、肆意共享账号等一系列安全问题。
本申请中代理端负责作为所有应用访问流量的集中入口,对用户的访问行为进行集中式控制,对未经身份认证和权限检验的访问行为进行流量重定向,在此基础之上还可以实现应用的集中访问入口,收敛应用系统的对外暴露面。同时,作为应用的代理发布节点,代理端还会作为智能代填的一个关键组件,在应用服务端所响应的资源中插入相应的代填脚本,实现客户端的无插件且无感知的单点登录。
认证应用服务端负载统一的身份认证、访问授权管理以及集中式访问审计。用户在访问应用系统之前,都将会先需要经过统一身份认证平台确认身份与访问权限。在鉴权通过后,认证应用服务端会通过一种安全的私密通信方式通知代理控制节点放通来自该客户端的流量,并由代理端向用户的访问流量中植入相应的JavaScript文件,当用户的浏览器加载了相应资源以后,该JavaScript文件会通过智能代填技术中实现用户侧无感知的单点登录,保证用户从任何场景访问都可以实现单点登录,完全还原单点登录协议对接的效果。
另外,认证应用服务端负责管理应用账号与用户身份的关联性,通过用户属性自动生成应用账号、反向拉取应用账号数据关联匹配用户身份、全程审计的用户应用账号自绑定这三种方式,保证用户只能登录与其身份关联的应用账号。同时,在应用账号中允许共享账号这种特殊账号的存在(需要管理员审批),为企业的业务开展留有足够的灰度。
这里,在客户端首次向应用服务端发送登陆请求的场景下为例,对本申请实施例提供的信息处理方法,图6所示,包括:
S601、代理端接收到客户端的登陆请求;
代理端获取客户的登陆请求,其中,登陆请求中携带有验证信息,验证信息包括:身份信息、第二令牌。
S602、判断登陆请求中是否包含合法的验证信息。
若登陆请求未含有合法的验证信息的情况下,执行S603。
若登陆请求包含有合法的验证信息的情况下,执行S611。
S603、代理端将登陆请求重定向到认证应用服务端。
S604、认证应用服务端根据登陆请求判断当前客户端是否为已登录客户端。
当前客户端为首次登陆,则客户端没有登陆过,认证应用服务端执行S605。
S605、认证应用服务端向客户端发送首次认证资源,首次认证资源用于在浏览器上呈现认证页面。
S606、客户端呈现认证页面,并基于认证页面接收认证信息。
S607、客户端将认证信息发送至认证应用服务端。
S608、认证应用服务端基于接收到的认证信息对客户端进行统一身份认证与统一权限检验。
如果客户端登陆请求对应的统一身份认证与统一权限校验未通过,执行S609。
如果客户端登陆请求对应的统一身份认证与统一权限校验通过,执行S610。
S609、代理端禁止对客户端的登陆请求的转发。
S610、认证应用服务端分配第一令牌,将第一令牌植入登陆请求的URL中,并重定向至代理端,此时,认证应用服务端将植入第一令牌的登陆请求发送至客户端。
S611、客户端将植入第一令牌的登陆请求发送给代理端;
S612、代理端校验第一令牌的合法性,在第一令牌合法的情况下,执行S613。
S613、代理端向认证应用服务端发送目标用户标识获取请求。
S614、认证应用服务端向代理端发送目标用户标识。
S615、代理端向应用服务端发送基于目标用户标识的登陆请求。
S616、代理端接收应用服务端返回的响应登陆请求的认证资源。
S617、代理端向客户端发送认证资源、密码代填脚本、目标用户标识、共享密钥。其中,认证资源用户展示密码填写页面。
S618、客户端接收认证资源、密码代填脚本、目标用户标识、共享密钥,并向基于密码代填脚本向认证应用服务端请求账户密码。
S619、认证应用服务端向客户端发送账户密码。
S620、客户端通过密码代填脚本,将账户密码填入密码填写页面,并基于密码填写页面生成表单提交请求。
S621、客户端将表单提交请求发送至代理端。
S622、代理端将表单提交请求转发至应用服务端。
S623、应用服务端对表单提交请求中携带的密码进行验证,验证通过,向代理端返回登陆资源。
S624、代理端向客户端转发登陆资源。
这里,以客户端的再次登陆请求为例,对本申请实施例提供的信息处理方法
进行举例说明。
图7所示,包括:
S701、代理端接收到客户端的登陆请求;
代理端获取客户的登陆请求,其中,登陆请求中携带有验证信息,验证信息包括:身份信息、第二令牌。
S702、判断登陆请求中是否包含合法的验证信息。
若登陆请求未含有合法的验证信息的情况下,执行S703。
若登陆请求包含有合法的验证信息的情况下,执行S711。
S703、代理端将登陆请求重定向到认证应用服务端。
S704、认证应用服务端根据登陆请求判断当前客户端为已登录客户端。
S705、认证应用服务端对客户端进行统一身份认证与统一权限检验。
如果客户端登陆请求对应的统一身份认证与统一权限校验未通过,执行S706。
如果客户端登陆请求对应的统一身份认证与统一权限校验通过,执行S707。
S706、代理端禁止对客户端的登陆请求的转发。
S707、认证应用服务端分配第一令牌,将第一令牌植入登陆请求的URL中,并重定向至代理端,此时,认证应用服务端将植入第一令牌的登陆请求发送至客户端。
S708、客户端将植入第一令牌的登陆请求发送给代理端;
S709、代理端校验第一令牌的合法性,在第一令牌合法的情况下,执行S710。
S710、代理端向认证应用服务端发送目标用户标识获取请求。
S711、认证应用服务端向代理端发送目标用户标识。
S712、代理端向应用服务端发送基于目标用户标识的登陆请求。
S713、代理端接收应用服务端返回的响应登陆请求的认证资源。
S714、代理端向客户端发送认证资源、密码代填脚本、目标用户标识、共享密钥。其中,认证资源用户展示密码填写页面。
S715、客户端接收认证资源、密码代填脚本、目标用户标识、共享密钥,并向基于密码代填脚本向认证应用服务端请求账户密码。
S716、认证应用服务端向客户端发送账户密码。
S717、客户端通过密码代填脚本,将账户密码填入密码填写页面,并基于密码填写页面生成表单提交请求。
S718、客户端将表单提交请求发送至代理端。
S719、代理端将表单提交请求转发至应用服务端。
S720、应用服务端对表单提交请求中携带的密码进行验证,验证通过,向代理端返回登陆资源。
S721、代理端向客户端转发登陆资源。
S722、认证应用服务端收到客户端发送的用户注销请求,执行S723;
S723、认证应用服务端将接收到的客户端发送的用户注销请求发送至代理端,通知代理端进行用户注销。
其中,S722至S723属于注销阶段。
本申请实施例提供了一种信息处理装置80,如图8所示,该装置包括:第一获取单元81、第一接收单元82、执行单元83,其中,
第一获取单元81,用于接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求;所述目标用户标识请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
第一接收单元82,用于接收所述认证应用服务端返回的所述目标用户标识;
执行单元83,用于获取所述目标用户标识对应的目标密码,将所述目标用户标识和所述目标密码发送至应用服务端,所述目标用户标识和所述目标密码用于所述应用服务端对所述客户端进行认证。
在一些实施例中,信息处理装置80还包括:令牌生成单元,用于:
在向认证应用服务端发送目标用户标识获取请求之前,判断所述登陆请求是否包含合法的验证信息;在所述登陆请求未包含有合法的验证信息的情况下,将所述登陆请求重定向至所述认证应用服务端;接收所述认证应用服务端发送的第一令牌,并基于所述第一令牌生成所述目标用户标识获取请求。
在一些实施例中,信息处理装置80还包括:第一判断单元,用于:
在基于所述第一令牌生成所述目标用户标识获取请求之前,判断所述第一令牌是否合法;
对应的,令牌生成单元用于,在判断所述第一令牌合法的情况下,基于所述第一令牌生成所述目标用户标识获取请求。
在一些实施例中,所述执行单元83,还用于:
向所述客户端发送可信凭证代填脚本和所述目标用户标识,所述可信凭证代填脚本用于根据所述目标用户标识从认证应用服务端获取所述可信凭证;接收所述客户端发送的所述可信凭证。
在一些实施例中,执行单元83,还用于:向应用服务端发送所述登陆请求;接收所述应用服务端返回的响应所述登陆请求的认证资源;将所述认证资源发送至客户端,所述认证资源用于所述客户端呈现凭证输入页面;
对应的,执行单元83,还用于:接收所述客户端发送的认证请求,所述认证请求为提交目标表单的请求,所述目标表单为凭证输入页面中填入所述可信凭证的表单。
本申请实施例还提供了一种信息处理装置90,如图9所示,该装置包括:第二获取单元91,发送单元92,其中,
第二获取单元91,用于所述认证应用服务端接收代理端发送的目标用户标识获取请求;所述目标用户标识请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
发送单元92,用于所述认证应用服务端向所述代理端返回所述目标用户标识;所述目标用户标识和所述目标用户标识对应的目标密码用于应用服务端对客户端进行认证。
在一些实施例中,装置90还包括:
第二接收单元,用于接收代理端发送的登陆请求;
发送单元92,还用于向所述代理端发送响应所述登陆请求的第一令牌。
在一些实施例中,装置90还包括:登陆判断单元,用于在所述身份认证向所述代理端发送响应所述登陆请求的第一令牌之前,判断所述客户端是否为已登陆客户端;在确定所述客户端不是已登陆客户端的情况下,向所述客户端发送首次认证资源;所述首次认证资源用于所述客户端呈现认证页面;接收所述客户端基于所述认证页面获得的认证信息;通过所述认证信息对所述客户端进行权限校验。
在一些实施例中,装置90还包括:标识确定单元,用于:
获取所述登陆请求携带的用户标识;根据所述用户标识,确定所述目标用户标识。
在一些实施例中,第二接收单元,还用于:接收所述客户端的可信凭证获取请求;
发送单元92。还用于向所述客户端发送响应所述可信凭证获取请求的所述可信凭证,以指示所述客户端根据所述目标用户标识和所述可信凭证登陆所述应用服务端。
本发明实施例提供的信息处理装置,无需基于单点登录协议与应用系统进行对接的前提下,即可实现应用服务端内众多应用程序的统一认证接管、访问单点登录、统一访问授权和集中访问审计。对于那些想构建企业内统一身份和统一认证,但却碍于应用服务端(应用系统)过于老旧无法完成协议对接也难以协调应用系统改造对接的企业,通过信息处理装置即可实现协议对接效果的方案可以大大降低企业构建内部统一身份的门槛和整体落地成本。
本发明实施例提供的信息处理装置,可从任何场景下触发的智能代填技术,用户在完成统一身份认证后,可以在无需安装任何插件的前提下,无感知的单点登录(免密登录)到应用服务端(应用系统)中。这相较于基于插件的密码代填技术,用户的使用门槛更低,访问与认证体验更好。同时,管理员也无需维护终端插件以及配置密码代填的相关元素,管理体验更佳。更重要的是,用户无论是直接访问应用服务端(应用系统)还是通过门户点击应用图标,用户都将只会需要经过统一身份认证平台上进行鉴权即可进入业务系统,实现真正意义上的单点登录。
本发明实施例提供的信息处理装置,基于用户身份与应用账号关联管理的方式通过代理端登陆对应的应用服务端,可以大大减轻运维人员对于应用账号运维管理和用户应用访问权限管理的工作量。同时通过自动化的身份与应用账号强关联的方式,管理员无需担心以往密码代填技术应用下无法遏制的共享账号问题以及应用账号弱密码问题,用户只能使用与自己有关联关系的应用账号访问应用系统,保证用户应用访问行为的身份一致性,有效的保护了应用系统内的资源访问安全。
本发明实施例提供的信息处理装置,本申请实施例提出一种信息处理方法,代理端接收到客户端的登陆请求,向认证应用服务端发送目标用户标识获取请求;所述目标用户标识请求用于获取目标用户标识;所述代理端接收所述认证应用服务端返回的所述目标用户标识;所述代理端获取所述目标用户标识对应的目标密码,将所述目标用户标识和所述目标密码发送至应用服务端,所述目标用户标识和所述目标密码用于所述应用服务端对所述客户端进行认证;在客户端和应用服务端之间引入代理端,由代理端对客户端和应用服务端之间交互的请求进行转发,使得实现单点登陆时,应用服务端对SSO协议的支持不是应用服务端与客户端交互的必要条件,在应用服务端不支持SSO协议的情况下,能够向认证应用服务端获取目标用户标识,以实现单点登陆,提高客户端对应用服务端的访问效率。
需要说明的是,本申请实施例提供的信息处理装置包括所包括的各模块,可以通过电子设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU,Central Processing Unit)、微处理器(MPU,Micro ProcessorUnit)、数字信号处理器(DSP,Digital Signal Processor)等。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的信息处理方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read OnlyMemory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述实施例中提供的信息处理方法中的步骤。其中,该电子设备可为客户端,也可为应用服务端。
对应地,本申请实施例提供一种存储介质,也就是计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的信息处理方法中的步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,图10为本申请实施例电子设备的一种可选地硬件示意图,如图10所示,所述电子设备1000包括:一个处理器1001、至少一个通信总线1002、至少一个外部通信接口1004和存储器1005。其中通信总线1002配置为实现这些组件之间的连接通信。在一示例中,电子设备1000还包括用户接口1003、其中用户接口1003可以包括键盘、鼠标。外部通信接口1004可以包括标准的有线接口和无线接口。
存储器1005配置为存储由处理器1001可执行的指令和应用,还可以缓存待处理器1001以及电子设备中各模块待处理或已经处理的数据(例如,用户访问请求),可以通过闪存(FLASH)或随机访问存储器(Random Access Memory,RAM)实现。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一些实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (12)

1.一种信息处理方法,其特征在于,所述方法包括:
代理端接收到客户端的登陆请求;
所述代理端判断所述登陆请求是否包含合法的验证信息,在所述登陆请求未包含有合法的验证信息的情况下,所述代理端将所述登陆请求重定向至认证应用服务端;
所述代理端接收所述认证应用服务端响应所述登陆请求发送的第一令牌,并基于所述第一令牌生成目标用户标识获取请求;
所述代理端向所述认证应用服务端发送目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
所述代理端接收所述认证应用服务端返回的所述目标用户标识;
所述代理端获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至所述应用服务端,所述目标用户标识和所述可信凭证用于所述应用服务端对所述客户端进行认证;其中,所述可信凭证的获取方式包括以下之一:所述代理端在本地获取所述目标用户标识对应的可信凭证,通过所述客户端输入所述可信凭证,所述代理端通过依据所述目标用户标识通过所述应用服务端获取所述目标用户标识对应的可信凭证。
2.根据权利要求1所述的方法,其特征在于,在基于所述第一令牌生成所述目标用户标识获取请求之前,所述方法还包括:
所述代理端判断所述第一令牌是否合法;
对应的,在判断所述第一令牌合法的情况下,所述代理端基于所述第一令牌生成所述目标用户标识获取请求。
3.根据权利要求1所述的方法,其特征在于,所述代理端获取所述目标用户标识对应的可信凭证,包括:
所述代理端向所述客户端发送可信凭证代填脚本和所述目标用户标识,所述可信凭证代填脚本用于根据所述目标用户标识从认证应用服务端获取所述可信凭证;
所述代理端接收所述客户端发送的所述可信凭证。
4.根据权利要求3所述的方法,其特征在于,所述代理端获取所述目标用户标识对应的可信凭证,还包括:
所述代理端向应用服务端发送所述登陆请求;
所述代理端接收所述应用服务端返回的响应所述登陆请求的认证资源;
所述代理端将所述认证资源发送至客户端,所述认证资源用于所述客户端呈现凭证输入页面;
对应的,所述代理端接收所述客户端发送的所述可信凭证,包括:
所述代理端接收所述客户端发送的认证请求,所述认证请求为提交目标表单的请求,所述目标表单为凭证输入页面中填入所述可信凭证的表单。
5.一种信息处理方法,其特征在于,所述方法包括:
认证应用服务端接收代理端发送的登陆请求;所述登陆请求是在所述代理端判断所述登陆请求未包含有合法的验证信息的情况下重定向至所述认证应用服务端的;
所述认证应用服务端响应所述登陆请求,向所述代理端发送第一令牌,以使得所述代理端基于所述第一令牌生成目标用户标识获取请求;
所述认证应用服务端接收所述代理端发送的所述目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
所述认证应用服务端向所述代理端返回所述目标用户标识;所述代理端获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至所述应用服务端,所述目标用户标识和所述目标用户标识对应的可信凭证用于应用服务端对客户端进行认证;其中,所述可信凭证的获取方式包括以下之一:所述代理端在本地获取所述目标用户标识对应的可信凭证,通过所述客户端输入所述可信凭证,所述代理端通过依据所述目标用户标识通过所述应用服务端获取所述目标用户标识对应的可信凭证。
6.根据权利要求5所述的方法,其特征在于,在所述认证应用服务端响应所述登陆请求,向所述代理端发送第一令牌之前,所述方法还包括:
所述认证应用服务端判断所述客户端是否为已登陆客户端;
在确定所述客户端不是已登陆客户端的情况下,所述认证应用服务端向所述客户端发送首次认证资源;所述首次认证资源用于所述客户端呈现认证页面;
所述认证应用服务端接收所述客户端基于所述认证页面获得的认证信息;
所述认证应用服务端通过所述认证信息对所述客户端进行权限校验。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述认证应用服务端获取所述登陆请求携带的用户标识;
所述认证应用服务端根据所述用户标识,确定所述目标用户标识。
8.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述认证应用服务端接收所述客户端的可信凭证获取请求;
所述认证应用服务端向所述客户端发送响应所述可信凭证获取请求的所述可信凭证;
以指示所述客户端根据所述目标用户标识和所述可信凭证登陆所述应用服务端。
9.一种信息处理装置,其特征在于,所述装置包括:第一获取单元、令牌生成单元、接收单元、执行单元,其中,
所述接收单元,用于接收到客户端的登陆请求;
所述令牌生成单元,用于判断所述登陆请求是否包含合法的验证信息,在所述登陆请求未包含有合法的验证信息的情况下,代理端将所述登陆请求重定向至认证应用服务端;所述代理端接收所述认证应用服务端响应所述登陆请求发送的第一令牌,并基于所述第一令牌生成目标用户标识获取请求;
所述第一获取单元,用于向所述认证应用服务端发送目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
所述接收单元,还用于接收所述认证应用服务端返回的所述目标用户标识;
所述执行单元,用于获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至应用服务端,所述目标用户标识和所述可信凭证用于所述应用服务端对所述客户端进行认证;其中,所述可信凭证的获取方式包括以下之一:所述代理端在本地获取所述目标用户标识对应的可信凭证,通过所述客户端输入所述可信凭证,所述代理端通过依据所述目标用户标识通过所述应用服务端获取所述目标用户标识对应的可信凭证。
10.一种信息处理装置,其特征在于,所述装置还包括:第二接收单元、第二获取单元、发送单元,其中,
所述第二接收单元,用于接收代理端发送的登陆请求;所述登陆请求是在所述代理端判断所述登陆请求未包含有合法的验证信息的情况下重定向至认证应用服务端的;
所述发送单元,用于响应所述登陆请求,向所述代理端发送第一令牌,以使得所述代理端基于所述第一令牌生成目标用户标识获取请求;
所述第二获取单元,用于接收所述代理端发送的所述目标用户标识获取请求;所述目标用户标识获取请求用于获取目标用户标识,其中,所述目标用户标识用于单点登陆应用服务端内至少一个应用程序;
所述发送单元,还用于向所述代理端返回所述目标用户标识;所述代理端获取所述目标用户标识对应的可信凭证,将所述目标用户标识和所述可信凭证发送至所述应用服务端,所述目标用户标识和所述目标用户标识对应的可信凭证用于应用服务端对客户端进行认证;其中,所述可信凭证的获取方式包括以下之一:所述代理端在本地获取所述目标用户标识对应的可信凭证,通过所述客户端输入所述可信凭证,所述代理端通过依据所述目标用户标识通过所述应用服务端获取所述目标用户标识对应的可信凭证。
11.一种信息处理设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;其特征在于,所述处理器用于运行所述计算机程序时,执行权利要求1至4任一项所述信息处理方法,或执行权利要求5至8任一项所述信息处理方法。
12.一种存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至4任一项所述信息处理方法,或执行权利要求5至8任一项所述信息处理方法。
CN202110026288.XA 2021-01-08 2021-01-08 一种信息处理方法、装置、设备及存储介质 Active CN112769826B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110026288.XA CN112769826B (zh) 2021-01-08 2021-01-08 一种信息处理方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110026288.XA CN112769826B (zh) 2021-01-08 2021-01-08 一种信息处理方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN112769826A CN112769826A (zh) 2021-05-07
CN112769826B true CN112769826B (zh) 2023-05-12

Family

ID=75701139

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110026288.XA Active CN112769826B (zh) 2021-01-08 2021-01-08 一种信息处理方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112769826B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114095483A (zh) * 2021-10-26 2022-02-25 深信服科技股份有限公司 密码代填方法、装置、电子设备和存储介质
CN114138365B (zh) * 2021-11-30 2024-02-23 深信服科技股份有限公司 一种认证方法、装置、电子设备及存储介质
CN114143106B (zh) * 2021-12-07 2024-01-23 北京天融信网络安全技术有限公司 一种审批方法、装置、电子设备及存储介质
CN114285897A (zh) * 2021-12-22 2022-04-05 杭州安恒信息技术股份有限公司 应用对接方法、装置、系统、电子设备及可读存储介质
CN115150168B (zh) * 2022-06-30 2023-12-01 北京天融信网络安全技术有限公司 代填方法及电子设备
CN116208378B (zh) * 2023-01-03 2023-11-24 学银通融(北京)教育科技有限公司 一种防止用户重复登陆的方法、装置及设备
CN117407855B (zh) * 2023-12-14 2024-02-09 四川数产范式科技有限公司 基于维度投影的统一用户认证方法、系统、设备及介质
CN117688550B (zh) * 2024-02-02 2024-05-28 深圳竹云科技股份有限公司 账号密码代填方法、装置、计算机设备和存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106970978A (zh) * 2017-03-28 2017-07-21 联想(北京)有限公司 数据共享方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8141138B2 (en) * 2005-10-17 2012-03-20 Oracle International Corporation Auditing correlated events using a secure web single sign-on login
JP4729651B2 (ja) * 2008-02-28 2011-07-20 日本電信電話株式会社 認証装置,認証方法およびその方法を実装した認証プログラム
US9325696B1 (en) * 2012-01-31 2016-04-26 Google Inc. System and method for authenticating to a participating website using locally stored credentials
CN103716285A (zh) * 2012-09-29 2014-04-09 西门子公司 一种单点登录方法、代理服务器及系统
CN105610810B (zh) * 2015-12-23 2020-08-07 北京奇虎科技有限公司 一种数据处理方法、客户端和服务器
CN111988275A (zh) * 2020-07-15 2020-11-24 宏图智能物流股份有限公司 一种单点登录方法、单点登录服务器集群及电子设备
CN111953711A (zh) * 2020-08-26 2020-11-17 赵建杰 一种基于安全认证机制的通信认证方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106970978A (zh) * 2017-03-28 2017-07-21 联想(北京)有限公司 数据共享方法及装置

Also Published As

Publication number Publication date
CN112769826A (zh) 2021-05-07

Similar Documents

Publication Publication Date Title
CN112769826B (zh) 一种信息处理方法、装置、设备及存储介质
US20240080311A1 (en) Managing security credentials
US10009355B2 (en) Bootstrapping user authentication on devices
US9450941B2 (en) Recovery of managed security credentials
US11082225B2 (en) Information processing system and control method therefor
US8819795B2 (en) Presenting managed security credentials to network sites
US8776194B2 (en) Authentication management services
CN108111473B (zh) 混合云统一管理方法、装置和系统
US9306943B1 (en) Access point—authentication server combination
EP2810226B1 (en) Account management for multiple network sites
CN109417557A (zh) 租户感知分布式应用认证
US9584615B2 (en) Redirecting access requests to an authorized server system for a cloud service
US20140075513A1 (en) Device token protocol for authorization and persistent authentication shared across applications
EP3375161A1 (en) Single sign-on identity management between local and remote systems
US20130198821A1 (en) Account Management for Multiple Network Sites
US10362019B2 (en) Managing security credentials
US20140355034A1 (en) Image forming apparatus, server device, information processing method, and computer-readable storage medium
CN103384198B (zh) 一种基于邮箱的用户身份认证服务方法和系统
KR20130109322A (ko) 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법
US11444936B2 (en) Managing security credentials
CN110869928A (zh) 认证系统和方法
CN116055151A (zh) 业务权限令牌获取方法、系统、电子设备及存储介质
JP2022080296A (ja) 企業の公式メールボックスに基づくb2bサービスの安全認証方法、装置及びサーバ
CN110048864B (zh) 对特定于设备的消息群组的管理员进行验证的方法和装置
CN112653676A (zh) 一种跨认证系统的身份认证方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant