CN113259357A - 一种基于OAuth2的单点登录方法 - Google Patents
一种基于OAuth2的单点登录方法 Download PDFInfo
- Publication number
- CN113259357A CN113259357A CN202110555475.7A CN202110555475A CN113259357A CN 113259357 A CN113259357 A CN 113259357A CN 202110555475 A CN202110555475 A CN 202110555475A CN 113259357 A CN113259357 A CN 113259357A
- Authority
- CN
- China
- Prior art keywords
- client
- authorization
- token
- authorization server
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000013475 authorization Methods 0.000 claims abstract description 72
- 230000008569 process Effects 0.000 claims description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于OAuth2的单点登录方法,属于互联网技术领域,用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证(需要有客户端id和回调地址),认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。这种场景下,用户的敏感信息没有泄露给客户端应用,保证了安全。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种基于OAuth2的单点登录方法。
背景技术
随着企业的发展,业务系统的数量在不断的增加,老的系统却不能轻易的替换,这会带来很多的开销。其一是管理上的开销,需要维护的系统越来越多。很多系统的数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的计费系统和财务系统,财务系统和人事系统之间都不可避免的有着密切的关系。
为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成。通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。整合以前,进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,在安全方面也埋下了重大的隐患。在面向服务的架构中,服务和服务之间,程序和程序之间的通讯大量存在,服务之间的安全认证是SOA应用的难点之一,应此建立“单点登录”的系统体系能够大大简化SOA的安全问题,提高服务之间的合作效率。
发明内容
为了解决以上技术问题,本发明提供了一种基于OAuth2的单点登录方法。
本发明的技术方案是:
一种基于OAuth2的单点登录方法,授权码模式是最安全并且使用最广泛的一种模式。用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证(需要有客户端id和回调地址),认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。这种场景下,用户的敏感信息没有泄露给客户端应用,保证了安全。
进一步的,
包括:
1)客户端通过将资源所有者的用户代理指向授权端点来启动这个流程。
客户端包含它的客户端标识符,请求范围,本地状态,和重定向URI,在访问被允许(或者拒绝)后授权服务器立即将用户代理返回给重定向URI。
2)授权服务器验证资源所有者(通过用户代理),并确定资源所有者是否授予或拒绝客户端的访问请求。
如果资源所有者授权访问,那么授权服务器用之前提供的重定向URI(在请求中或在客户端时提供的)将用户代理重定向回客户端。
重定向URI包括授权码和前面客户端提供的任意本地状态。
3)客户端用上一步接收到的授权码从授权服务器的令牌端点那里请求获取一个访问令牌。
4)授权服务器对客户端进行认证,校验授权码,并确保这个重定向URI和第三步中那个URI匹配。如果校验通过,则发放访问令牌,以及可选的刷新令牌。
进一步的,
工作步骤如下:
(A)客户端向资源所有者请求其授权;
(B)客户端收到授权服务器的授权许可,这个授权许可是一个代表资源所有者授权的凭据;
(C)客户端向授权服务器请求访问令牌,并出示授权许可;
(D)授权服务器对客户端身份进行认证,并校验授权许可,如果都是有效的,则发放访问令牌;
(E)客户端向资源服务器请求受保护的资源,并出示访问令牌;
(F)资源服务器校验访问令牌,如果令牌有效,则提供服务。
本发明利用OAuth2授权码模式的单点登录方法,支持第三方支持访问有限的HTTP服务,通过在资源所有者和HTTP服务之间进行一个批准交互来代表资源者去访问这些资源,或者通过允许第三方应用程序以自己的名义获取访问权限。
本发明的有益效果是
为用户提供了统一身份认证的功能应用,只需在系统中设定其他常用系统的登录信息,就可以直接从协同办公系统进入相应信息系统,切换到其他系统时无需再输入用户名和密码,使协同办公平台成为真正意义上的个人信息门户,为各个功能模块和第三方应用系统提供统一的用户身份认证和账号管理平台,做到“一次登录,多次访问”的优质服务。
附图说明
图1是本发明的技术实现示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了一种基于OAuth2授权码模式的单点登录方法,用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证(需要有客户端id和回调地址),认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。
如图1所示,主要分为六个步骤:
(A)客户端向资源所有者请求其授权
(B)客户端收到授权服务器的授权许可,这个授权许可是一个代表资源所有者授权的凭据
(C)客户端向授权服务器请求访问令牌,并出示授权许可
(D)授权服务器对客户端身份进行认证,并校验授权许可,如果都是有效的,则发放访问令牌
(E)客户端向资源服务器请求受保护的资源,并出示访问令牌
(F)资源服务器校验访问令牌,如果令牌有效,则提供服务。
在企业生产和工作中,办公自动化越来越普遍。同时用户信息管理的安全性也引起关注。在企业建立实现系统单点登录,能够极大的提高工作效率和工作质量,并且在很大程度上减轻应用系统管理工作人员的工作量,对企业信息化的发展也十分有利。单点登录使用中,经过对用户身份的验证管理,更加增强了系统的安全,使得用户在使用单点登录时不用考虑安全受到威胁的问题。由于使用单点登录,众多的应用系统就不用都开饭登录认证模块,在一定程度上减少了对应用系统开发的成本投入。
以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种基于OAuth2的单点登录方法,其特征在于
用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证,认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。
2.根据权利要求1所述的方法,其特征在于,
用户去授权服务器进行认证需要有客户端id和回调地址。
3.根据权利要求1所述的方法,其特征在于,
客户端通过将资源所有者的用户代理指向授权端点来启动这个流程。
4.根据权利要求3所述的方法,其特征在于,
客户端包含它的客户端标识符、请求范围、本地状态和重定向URI,在访问被允许或者拒绝后授权服务器立即将用户代理返回给重定向URI。
5.根据权利要求4所述的方法,其特征在于,
授权服务器验证资源所有者,并确定资源所有者是否授予或拒绝客户端的访问请求。
6.根据权利要求5所述的方法,其特征在于,
如果资源所有者授权访问,那么授权服务器用之前提供的重定向URI将用户代理重定向回客户端;重定向URI包括授权码和前面客户端提供的任意本地状态。
7.根据权利要求6所述的方法,其特征在于,
重定向URI是在请求中或在客户端时提供的。
8.根据权利要求7所述的方法,其特征在于,
客户端用接收到的授权码从授权服务器的令牌端点那里请求获取一个访问令牌。
9.根据权利要求8所述的方法,其特征在于,
授权服务器对客户端进行认证,校验授权码,并确保这个重定向URI和第三步中那个URI匹配;如果校验通过,则发放访问令牌,以及可选的刷新令牌。
10.根据权利要求9所述的方法,其特征在于,
工作步骤如下:
(A)客户端向资源所有者请求其授权;
(B)客户端收到授权服务器的授权许可,这个授权许是一个代表资源所有者授权的凭据;
(C)客户端向授权服务器请求访问令牌,并出示授权许可;
(D)授权服务器对客户端身份进行认证,并校验授权许可,如果都是有效的,则发放访问令牌;
(E)客户端向资源服务器请求受保护的资源,并出示访问令牌;
(F)资源服务器校验访问令牌,如果令牌有效,则提供服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110555475.7A CN113259357A (zh) | 2021-05-21 | 2021-05-21 | 一种基于OAuth2的单点登录方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110555475.7A CN113259357A (zh) | 2021-05-21 | 2021-05-21 | 一种基于OAuth2的单点登录方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113259357A true CN113259357A (zh) | 2021-08-13 |
Family
ID=77183310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110555475.7A Pending CN113259357A (zh) | 2021-05-21 | 2021-05-21 | 一种基于OAuth2的单点登录方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113259357A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113645247A (zh) * | 2021-08-17 | 2021-11-12 | 武汉众邦银行股份有限公司 | 一种基于http协议的权限认证控制方法及存储介质 |
CN114500089A (zh) * | 2022-02-24 | 2022-05-13 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
CN115174200A (zh) * | 2022-06-30 | 2022-10-11 | 青岛海信网络科技股份有限公司 | 一种第三方认证方法、装置及设备 |
CN115296889A (zh) * | 2022-08-02 | 2022-11-04 | 国家能源集团广东电力有限公司 | 一种云边协同的大屏可视化方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109286633A (zh) * | 2018-10-26 | 2019-01-29 | 深圳市华云中盛科技有限公司 | 单点登陆方法、装置、计算机设备及存储介质 |
CN111556006A (zh) * | 2019-12-31 | 2020-08-18 | 远景智能国际私人投资有限公司 | 第三方应用系统登录方法、装置、终端及sso服务平台 |
CN111835722A (zh) * | 2020-06-10 | 2020-10-27 | 郑州泰来信息科技有限公司 | 安全的OAuth代理与可信域混合的授权方法 |
-
2021
- 2021-05-21 CN CN202110555475.7A patent/CN113259357A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109286633A (zh) * | 2018-10-26 | 2019-01-29 | 深圳市华云中盛科技有限公司 | 单点登陆方法、装置、计算机设备及存储介质 |
CN111556006A (zh) * | 2019-12-31 | 2020-08-18 | 远景智能国际私人投资有限公司 | 第三方应用系统登录方法、装置、终端及sso服务平台 |
CN111835722A (zh) * | 2020-06-10 | 2020-10-27 | 郑州泰来信息科技有限公司 | 安全的OAuth代理与可信域混合的授权方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113645247A (zh) * | 2021-08-17 | 2021-11-12 | 武汉众邦银行股份有限公司 | 一种基于http协议的权限认证控制方法及存储介质 |
CN114500089A (zh) * | 2022-02-24 | 2022-05-13 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
CN114500089B (zh) * | 2022-02-24 | 2024-02-09 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
CN115174200A (zh) * | 2022-06-30 | 2022-10-11 | 青岛海信网络科技股份有限公司 | 一种第三方认证方法、装置及设备 |
CN115174200B (zh) * | 2022-06-30 | 2024-03-08 | 青岛海信网络科技股份有限公司 | 一种第三方认证方法、装置及设备 |
CN115296889A (zh) * | 2022-08-02 | 2022-11-04 | 国家能源集团广东电力有限公司 | 一种云边协同的大屏可视化方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113259357A (zh) | 一种基于OAuth2的单点登录方法 | |
Dasgupta et al. | Multi-factor authentication: more secure approach towards authenticating individuals | |
JP3505058B2 (ja) | ネットワークシステムのセキュリティ管理方法 | |
Sollins | Cascaded authentication. | |
CN100474234C (zh) | 在通过多路入口访问的网络资源中管理安全资源 | |
US7568098B2 (en) | Systems and methods for enhancing security of communication over a public network | |
US8752152B2 (en) | Federated authentication for mailbox replication | |
US8973122B2 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
CN102457509B (zh) | 云计算资源安全访问方法、装置及系统 | |
US10686600B1 (en) | Asynchronous step-up authentication for client applications | |
CN101873333B (zh) | 基于银行系统的企业数据维护方法、装置及系统 | |
CN102638454A (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
CN111131301A (zh) | 一种统一鉴权授权方案 | |
US20030135734A1 (en) | Secure mutual authentication system | |
CN113742676B (zh) | 一种登录管理方法、装置、服务器、系统及存储介质 | |
EP3062254B1 (en) | License management for device management system | |
US7987516B2 (en) | Software application access method and system | |
WO2012176506A1 (ja) | シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム | |
CN1481109A (zh) | 基于无线传输平台的动态密码身份认证系统 | |
CN1510899A (zh) | 基于移动通信平台的即取即用式动态随机密码手机身份认证系统 | |
CN111538973A (zh) | 基于国密算法的个人授权访问控制系统 | |
KR100639992B1 (ko) | 클라이언트 모듈을 안전하게 배포하는 보안 장치 및 그방법 | |
CN115396205A (zh) | 一种一体化授权系统及其方法 | |
CN115526703A (zh) | 企业用户认证授权方法及系统 | |
US20030200322A1 (en) | Autonomic system for selective administation isolation of a secure remote management of systems in a computer network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210813 |
|
RJ01 | Rejection of invention patent application after publication |