CN113067797A - 支持跨网络区域多终端多凭证的身份认证和鉴权系统 - Google Patents

Abstract

本发明公开了支持跨网络区域多终端多凭证的身份认证和鉴权系统，既能实现统一身份认证，又能防止从低安全级别系统登录后可以直接访问高安全级别系统的隐患，且满足不同安全级别系统的不同安全控制需求。其技术方案为：采用统一身份认证的实现方式，每个系统有各自的凭证，在跨系统访问时，通过已有系统的凭证生成目标系统的凭证，生成规则可以按照系统的安全级别灵活配置；认证维度多样化，不仅仅是凭据合法性校验，还支持网络区域、设备类型和凭据类型的校验，可以满足不同安全级别系统多样化的认证需求；认证和鉴权的处理相分离，通过安全级别挂钩，让管理员通过简单的配置即可满足系统复杂场景下细粒度的权限控制需求。

Description

支持跨网络区域多终端多凭证的身份认证和鉴权系统

技术领域

本发明涉及身份认证和用户授权策略的应用技术，具体涉及一种支持跨网络区域多终端多凭证的身份认证和鉴权系统。

背景技术

近年来，随着微服务概念的推广，越来越多的企业开始实践微服务架构，对企业内部系统进行微服务化改造，数字化转型也成为很多企业内部系统改造升级的战略目标。数字化转型的核心要点之一就是要整合一切可以利用的资源，包括数据资源和服务资源，而数据和服务资源整合共享的基础就是统一身份认证SSO和用户授权策略。

SSO即Single Sign On，意为单点登录，一次登录，全部访问。用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统的权限，这意味着企业平台涉及的多个系统接入单点登录后，用户只需要登录一次即可访问所有互相信任的系统。

目前市场上实现SSO的方案比较多，如CAS、OAuth、JWT等。

Oauth即Open Authorization，是一种安全、开放的用户验证和授权标准，允许用户让第三方系统访问该用户在某一系统上存储的私密资源，而无需将用户名和密码提供给第三方系统。

CAS即Central Authentication Service，意为中央认证服务，是目前比较成熟的单点登录方案，包含CAS Server和CAS Client两部分。CAS Server独立部署，负责用户认证工作；CAS Client负责处理对客户端受保护资源的访问请求，需要登录时，重定向到CASServer。图1是CAS基本的认证处理过程。

JWT即Json Web Token，是基于json的开放标准的token，用于实现分布式站点的单点登录。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于资源服务器获取资源，该token也可以直接被用于认证。

但是，SSO方案只解决了企业平台的多个系统只需要登录一次就可以访问所有互相信任的系统的问题。在实际需求场景中，企业平台的多个系统可能部署在不同的网络区域，具备不同的安全级别，理论上，通过低安全级别系统产生的登录凭据不应该具备访问较高安全级别系统的能力，因此不能简单的将这些系统接入SSO。另外，系统里的不同资源，对登录凭证的要求可能不一样，有些资源只需要密码登录即可访问，而有些资源则需要证书才能访问。对于这些需求场景，传统的SSO方案显然是无法满足的。

发明内容

以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。

本发明的目的在于解决上述问题，提供了一种支持跨网络区域多终端多凭证的身份认证和鉴权系统，既能实现统一身份认证，又能防止从低安全级别系统登录后可以直接访问高安全级别系统的隐患，并通过多维度认证方式控制，灵活配置系统登录所涉及到的网络区域、终端设备、凭据类型，从而满足不同安全级别系统的不同安全控制需求。

本发明的技术方案为：本发明揭示了一种支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，系统包括统一认证模块、权限管理模块、认证切面模块、鉴权切面模块，各个应用系统通过集成认证切面模块和鉴权切面模块接入到整个统一身份认证和鉴权体系中，且分别在统一认证模块和权限管理模块中配置认证策略和权限策略，其中：

统一认证模块包含管理端和服务端，统一认证模块的管理端用于提供配置系统的认证策略，系统资源的访问权限和认证策略进行绑定，以使不同的认证策略拥有各自对应的资源权限范围，统一认证模块的服务端用于提供登录接口处理用户登录请求，通过会话校验接口进行登录校验；

权限管理模块包含管理端和服务端，权限管理模块的管理端用于提供权限管理，权限管理模块的服务端用于提供获取用户权限列表的接口；

认证切面模块用于处理业务请求前调用统一认证服务进行会话校验；

鉴权切面模块用于会话校验后判断该会话是否有权限进入业务请求方法。

根据本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例，统一认证模块和权限管理模块均是基于springboot开发的web应用。

根据本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例，系统认证策略是多维度的，包括网络区域、终端类型和凭据类型，每个维度的数据均可以在统一认证模块的管理端进行配置，每一个应用系统对应配置一个或多个系统认证策略。

根据本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例，不同认证策略产生的登录凭证对应设置不同的安全级别，不同应用系统登录后产生各自的令牌，不同应用系统之间的令牌转换以及权限资源的控制都和统一认证模块管理端所配置的安全级别关联，安全级别较高的令牌可以换安全级别较低的令牌，通过在统一认证模块管理端设置系统间令牌互认的规则，实现统一身份认证以及防止从低安全级别系统登录后可以直接访问高安全级别系统。

根据本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例，统一认证模块服务端的登录校验包括先进行认证策略检验，再进行凭据合法性校验，只有两个校验都成功才允许登录系统，其中认证策略校验是根据请求传过来的系统名、网络区域、用户名、凭据类型，判断该系统是否在统一认证模块的管理端配置过该认证策略，凭据合法性校验是判断凭据信息是否准确。

根据本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例，网络区域的参数并不是由用户指定的，而是配置在每个网络区域里的代理服务器上，所有的前后端访问都先经过本区域的代理服务器，由代理服务器加上代表本网络区域的请求头后再转发到后端，以防止用户伪造请求发起的网络区域。

根据本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例，权限管理模块管理端进行权限管理的模型是基于角色访问控制的权限管理模型，系统资源的粒度为系统-菜单-方法，资源指定对应的安全级别并分配给角色，拥有该角色的用户在获得不低于资源安全级别的登录凭据后就拥有该资源的访问权限。

根据本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例，系统还配置一次成功登录并进行业务请求的时序进程：

用户进入系统前端登录界面，输入用户名、选择凭据类型、输入凭据信息，发起登录请求；

登录请求经过用户所在网络区域的代理，代理给请求打上带网络区域标签的请求头，再转发到统一认证模块；

统一认证模块处理用户登录请求，先进行认证策略的校验，再进行凭据合法性校验；

登录校验成功后记录产生的登录凭证令牌并返回给系统前端，令牌中记录了安全级别信息；

系统前端发起业务请求，经过代理服务后转发到系统后端；

在进入业务方法前，系统后端集成的认证切面模块携带令牌调用统一认证模块提供的会话校验接口进行身份认证；

身份认证成功后，系统后端集成的鉴权切面模块携带令牌调用权限管理模块提供的获取用户权限列表的接口，令牌中包含了安全级别，通过用户、安全级别计算出该用户拥有的权限列表，权限列表缓存在系统后端，如果用户请求的方法在权限列表中则鉴权成功，进入业务方法；

系统执行业务方法，返回结果到前端，代表一次业务请求的结束。

根据本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例，系统还配置一次系统间跳转并进行业务请求的时序进程：

用户已经成功登陆第一系统，附带系统第一系统对应的令牌；

用户从第一系统跳转到第二系统；

第二系统发起业务请求到第二系统的后端；

在进入业务方法前，第二系统后端集成的认证切面模块携带第一系统的令牌调用统一认证模块提供的会话校验接口进行身份认证；

统一认证模块进行身份认证时，发现没有第二系统对应的令牌，触发会话转换，尝试用其他系统的令牌来生成第二系统的令牌，其中生成第二系统的令牌需要满足规则：第二系统配置的认证策略包含第一系统的令牌中指定的网络区域、设备类型、凭据类型，第二系统配置的该认证策略的安全级别不高于第一系统的令牌对应的安全级别；

身份认证成功后，第二系统后端集成的鉴权切面模块携带自己的令牌调用权限管理模块提供的获取用户权限列表的接口，如果用户请求的方法在权限列表中则鉴权成功，进入业务方法；

第二系统执行业务方法，返回结果到前端，代表第二系统的一次业务请求结束。

本发明对比现有技术有如下的有益效果：本发明的系统框架的实现是针对企业平台内的各个系统，在管理端配置上支持不同的认证策略，认证策略的维度包括网络区域、终端类型和凭据类型；在登录系统时需要先进行认证策略检验，再进行凭据合法性校验，只有两个校验都成功才允许登录系统；系统登录后产生该系统对应的令牌(token)，在用户向其他系统跳转时使用本系统的token换目标系统的token，能否转换需要在管理端配置，理论上安全级别较高的token可以换安全级别较低的token；系统里资源的访问权限和认证策略进行绑定，以使不同的认证策略拥有各自对应的资源权限范围。通过上述实现方式，本发明一方面摒弃了传统SSO使用的统一会话sso_token，实现每个系统设有各自的token，以便通过灵活控制系统间token互认的规则，从而实现统一身份认证以及防止从低安全级别系统登录后可以直接访问高安全级别系统，另一方面，本发明通过提供多维度认证方式控制，可以灵活配置系统可以从哪个网络区域、使用哪种终端设备、使用什么样的凭据类型来登录，满足不同安全级别系统的不同安全控制需求。

详细而言，本发明相较于现有技术的特点在于：

1、本发明采用统一身份认证的实现方式，而没有采用传统的一次登录所产生的凭证就可以访问所有接入系统的方式，本发明是每个系统有各自的凭证，在跨系统访问时，通过已有系统的凭证生成目标系统的凭证，生成规则可以按照系统的安全级别灵活配置；

2、本发明的认证维度多样化，不仅仅是凭据合法性校验，还支持网络区域、设备类型和凭据类型的校验，可以满足不同安全级别系统多样化的认证需求；

3、本发明中的认证和鉴权的处理是分离的，通过安全级别挂钩，让管理员通过简单的配置即可满足系统复杂场景下细粒度的权限控制需求。

附图说明

在结合以下附图阅读本公开的实施例的详细描述之后，能够更好地理解本发明的上述特征和优点。在附图中，各组件不一定是按比例绘制，并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。

图1示出了现有的CAS中央认证服务的认证处理过程的简单示意图。

图2示出了本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例的原理图。

图3示出了本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例中的一次成功登录并进行业务请求的时序图。

图4示出了本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例中的一次系统间跳转并进行业务请求的时序图。

具体实施方式

以下结合附图和具体实施例对本发明作详细描述。注意，以下结合附图和具体实施例描述的诸方面仅是示例性的，而不应被理解为对本发明的保护范围进行任何限制。

图2示出了本发明的支持跨网络区域多终端多凭证的身份认证和鉴权系统的一实施例的原理。

请参见图2，本实施例的系统包括：统一认证模块(UAP，Unified AuthenticationPlatform)、权限管理模块(UUM，Unified User authority Management)、认证切面模块(cas-authentication-starter)、鉴权切面模块(cas-authorization-starter)。

各个应用系统通过集成认证切面模块和鉴权切面模块接入到整个统一身份认证和鉴权体系中，且分别在统一认证模块和权限管理模块中配置认证策略和权限策略。

统一认证模块是基于springboot开发的web应用，统一认证模块包含管理端和服务端。

统一认证模块的管理端用于提供配置系统认证策略，认证策略是多维度的，例如包含三个维度，分别是网络区域、终端类型和凭据类型。每个维度的数据均可以进行配置，如网络区域可以是互联网、办公内网、业务网等，终端类型可以是移动手机、pc、ipad等；凭据类型可以是密码、短信、软硬证书、生物特征等。每个系统可以对应配置多个认证策略，系统资源的访问权限和认证策略进行绑定，例如配置系统可以从哪个网络区域、使用哪种终端设备、使用什么样的凭据类型来登录，以使不同的认证策略拥有各自对应的资源权限范围。此外，不同认证策略产生的登录凭证可以设置不同的安全级别(安全级别分为高、中、低)：如系统A允许从互联网通过pc端使用短信验证码登录，设置该认证策略产生的登录凭证安全级别为低；系统A也允许从办公内网通过pc端使用指纹登录，设置该认证策略产生的登录凭证安全级别为中。其中不同系统登录后产生各自的令牌(token)，不同系统之间的令牌(token)转换以及权限资源的控制都和管理端所配置的安全级别关联，安全级别较高的token可以换安全级别较低的token，通过在管理端设置系统间token互认的规则，实现统一身份认证以及防止从低安全级别系统登录后可以直接访问高安全级别系统。

统一认证模块的服务端用于提供登录接口并处理用户登录请求、通过会话校验接口并进行登录校验。

登录校验包括两个方面，一是认证策略的校验，二是凭据合法性校验，需要先进行认证策略检验，再进行凭据合法性校验，只有两个校验都成功才允许登录系统。认证策略校验是根据请求传过来的系统名、网络区域、用户名、凭据类型，判断该系统是否在统一认证模块的管理端配置过该认证策略，其中网络区域参数并不是由用户指定的，而是配置在每个网络区域里的代理服务器上，所有的前后端访问都先经过本区域的代理服务器，由代理服务器加上代表本网络区域的请求头后再转发到后端，这样可以防止用户伪造请求发起的网络区域；凭据合法性校验就是判断凭据信息是否准确。

权限管理模块也是基于springboot开发的Web应用，权限管理模块同样包含管理端和服务端。

权限管理模块的管理端用于提供权限管理。权限管理的模型基于RBAC(Role BaseAccess Controller，基于角色访问控制的权限管理模型)，系统资源的粒度为系统-菜单-方法，资源指定对应的安全级别并分配给角色，拥有该角色的用户在获得不低于资源安全级别的登录凭据后，就可以访问该资源。

权限管理模块的服务端用于提供获取用户权限列表的接口。

认证切面模块是集成在系统服务端的切面(starter)组件，用于处理业务请求前调用统一认证服务进行会话校验。

鉴权切面模块也是集成在系统服务端的切面(starter)组件，用于会话校验后判断该会话是否有权限进入业务请求方法。

图3示出了图2所示的支持跨网络区域多终端多凭证的身份认证和鉴权系统的实施例的一次成功登录并进行业务请求的时序流程。

步骤11：用户进入系统前端登录界面，输入用户名、选择凭据类型、输入凭据信息，发起登录请求。

步骤12：登录请求经过用户所在网络区域的代理，代理给请求打上带网络区域标签的请求头，再转发到统一认证模块UAP。

步骤13：统一认证模块UAP处理用户登录请求，登录校验包括两个方面，一是认证策略的校验，二是凭据合法性校验。认证策略校验是根据请求传过来的系统名、网络区域、用户名、凭据类型，判断该系统是否在统一认证模块的管理端配置过该认证策略，其中网络区域参数并不是由用户指定的，而是配置在每个网络区域里的代理服务器上，所有的前后端访问都先经过本区域的代理服务器，由代理服务器加上代表本网络区域的请求头后再转发到后端，这样可以防止用户伪造请求发起的网络区域；凭据合法性校验就是判断凭据信息是否准确。

步骤14：登录校验成功后会在cookie中记录产生的登录凭证token并返回给系统前端，token中记录了安全级别信息。

步骤15：系统前端发起业务请求，经过代理服务后转发到系统后端。

步骤16：在进入业务方法前，系统后端集成的认证切面模块cas-authentication-starter携带token调用统一认证模块UAP提供的会话校验接口进行身份认证。

步骤17：身份认证成功后，系统后端集成的鉴权切面模块cas-authorization-starter携带token调用权限管理模块UUM提供的获取用户权限列表的接口，token中包含了安全级别，通过用户、安全级别可以计算出该用户拥有的权限列表，权限列表会缓存在系统后端，如果用户请求的方法在权限列表中，则鉴权成功，进入业务方法。

步骤18：系统执行业务方法，返回结果到前端，代表一次业务请求的结束。

图4示出了图2所示的支持跨网络区域多终端多凭证的身份认证和鉴权系统的实施例的一次系统间跳转并进行业务请求的时序流程。

步骤21：用户已经成功登陆系统A，cookie中带有系统A对应的token。

步骤22：用户从系统A跳转到系统B。

步骤23：系统B发起业务请求到系统B的后端(此处简化，省去了中间的代理服务)。

步骤24：在进入业务方法前，系统B后端集成的认证切面模块cas-authentication-starter携带cookie中系统A的token调用统一认证模块UAP提供的会话校验接口进行身份认证。

步骤25：统一认证模块UAP进行身份认证时，发现没有系统B对应的token，这时会触发会话转换，尝试用其他系统(例如系统A)的token去生成系统B的token。生成系统B的token需要满足一些规则，首先系统B配置的认证策略包含系统A的token中指定的网络区域、设备类型、凭据类型，其次系统B配置的该认证策略的安全级别不高于系统A的token对应的安全级别。

步骤26：身份认证成功后，系统B后端集成的鉴权切面模块cas-authorization-starter携带自己的token调用UUM提供的获取用户权限列表的接口，如果用户请求的方法在权限列表中，则鉴权成功，进入业务方法。

步骤27：系统B执行业务方法，返回结果到前端，代表系统B一次业务请求结束。

尽管为使解释简单化将上述方法图示并描述为一系列动作，但是应理解并领会，这些方法不受动作的次序所限，因为根据一个或多个实施例，一些动作可按不同次序发生和/或与来自本文中图示和描述或本文中未图示和描述但本领域技术人员可以理解的其他动作并发地发生。

本领域技术人员将进一步领会，结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性，各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性，但这样的实现决策不应被解读成导致脱离了本发明的范围。

结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器，但在替换方案中，该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合，例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。

结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中，存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中，处理器和存储介质可作为分立组件驻留在用户终端中。

在一个或多个示例性实施例中，所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现为计算机程序产品，则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者，其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定，这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来，则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟，其中盘(disk)往往以磁的方式再现数据，而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。

提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的，且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此，本公开并非旨在被限定于本文中所描述的示例和设计，而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。

Claims (9)

1.一种支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，系统包括统一认证模块、权限管理模块、认证切面模块、鉴权切面模块，各个应用系统通过集成认证切面模块和鉴权切面模块接入到整个统一身份认证和鉴权体系中，且分别在统一认证模块和权限管理模块中配置认证策略和权限策略，其中：

统一认证模块包含管理端和服务端，统一认证模块的管理端用于提供配置系统的认证策略，系统资源的访问权限和认证策略进行绑定，以使不同的认证策略拥有各自对应的资源权限范围，统一认证模块的服务端用于提供登录接口处理用户登录请求，通过会话校验接口进行登录校验；

权限管理模块包含管理端和服务端，权限管理模块的管理端用于提供权限管理，权限管理模块的服务端用于提供获取用户权限列表的接口；

认证切面模块用于处理业务请求前调用统一认证服务进行会话校验；

鉴权切面模块用于会话校验后判断该会话是否有权限进入业务请求方法。

2.根据权利要求1所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，统一认证模块和权限管理模块均是基于springboot开发的web应用。

3.根据权利要求1所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，系统认证策略是多维度的，包括网络区域、终端类型和凭据类型，每个维度的数据均可以在统一认证模块的管理端进行配置，每一个应用系统对应配置一个或多个系统认证策略。

4.根据权利要求3所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，不同认证策略产生的登录凭证对应设置不同的安全级别，不同应用系统登录后产生各自的令牌，不同应用系统之间的令牌转换以及权限资源的控制都和统一认证模块管理端所配置的安全级别关联，安全级别较高的令牌可以换安全级别较低的令牌，通过在统一认证模块管理端设置系统间令牌互认的规则，实现统一身份认证以及防止从低安全级别系统登录后可以直接访问高安全级别系统。

5.根据权利要求4所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，统一认证模块服务端的登录校验包括先进行认证策略检验，再进行凭据合法性校验，只有两个校验都成功才允许登录系统，其中认证策略校验是根据请求传过来的系统名、网络区域、用户名、凭据类型，判断该系统是否在统一认证模块的管理端配置过该认证策略，凭据合法性校验是判断凭据信息是否准确。

6.根据权利要求5所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，网络区域的参数并不是由用户指定的，而是配置在每个网络区域里的代理服务器上，所有的前后端访问都先经过本区域的代理服务器，由代理服务器加上代表本网络区域的请求头后再转发到后端，以防止用户伪造请求发起的网络区域。

7.根据权利要求6所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，权限管理模块管理端进行权限管理的模型是基于角色访问控制的权限管理模型，系统资源的粒度为系统-菜单-方法，资源指定对应的安全级别并分配给角色，拥有该角色的用户在获得不低于资源安全级别的登录凭据后就拥有该资源的访问权限。

8.根据权利要求7所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，系统还配置一次成功登录并进行业务请求的时序进程：

用户进入系统前端登录界面，输入用户名、选择凭据类型、输入凭据信息，发起登录请求；

登录请求经过用户所在网络区域的代理，代理给请求打上带网络区域标签的请求头，再转发到统一认证模块；

统一认证模块处理用户登录请求，先进行认证策略的校验，再进行凭据合法性校验；

登录校验成功后记录产生的登录凭证令牌并返回给系统前端，令牌中记录了安全级别信息；

系统前端发起业务请求，经过代理服务后转发到系统后端；

在进入业务方法前，系统后端集成的认证切面模块携带令牌调用统一认证模块提供的会话校验接口进行身份认证；

身份认证成功后，系统后端集成的鉴权切面模块携带令牌调用权限管理模块提供的获取用户权限列表的接口，令牌中包含了安全级别，通过用户、安全级别计算出该用户拥有的权限列表，权限列表缓存在系统后端，如果用户请求的方法在权限列表中则鉴权成功，进入业务方法；

系统执行业务方法，返回结果到前端，代表一次业务请求的结束。

9.根据权利要求7所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统，其特征在于，系统还配置一次系统间跳转并进行业务请求的时序进程：

用户已经成功登陆第一系统，附带系统第一系统对应的令牌；

用户从第一系统跳转到第二系统；

第二系统发起业务请求到第二系统的后端；

在进入业务方法前，第二系统后端集成的认证切面模块携带第一系统的令牌调用统一认证模块提供的会话校验接口进行身份认证；

统一认证模块进行身份认证时，发现没有第二系统对应的令牌，触发会话转换，尝试用其他系统的令牌来生成第二系统的令牌，其中生成第二系统的令牌需要满足规则：第二系统配置的认证策略包含第一系统的令牌中指定的网络区域、设备类型、凭据类型，第二系统配置的该认证策略的安全级别不高于第一系统的令牌对应的安全级别；

身份认证成功后，第二系统后端集成的鉴权切面模块携带自己的令牌调用权限管理模块提供的获取用户权限列表的接口，如果用户请求的方法在权限列表中则鉴权成功，进入业务方法；

第二系统执行业务方法，返回结果到前端，代表第二系统的一次业务请求结束。

Images