CN113515732A - 一种跨域的统一用户认证系统及方法 - Google Patents

一种跨域的统一用户认证系统及方法 Download PDF

Info

Publication number
CN113515732A
CN113515732A CN202110737374.1A CN202110737374A CN113515732A CN 113515732 A CN113515732 A CN 113515732A CN 202110737374 A CN202110737374 A CN 202110737374A CN 113515732 A CN113515732 A CN 113515732A
Authority
CN
China
Prior art keywords
user
authentication
information
unified
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110737374.1A
Other languages
English (en)
Other versions
CN113515732B (zh
Inventor
朱利鲁
台宪青
胡岩峰
付琨
苏晓露
曾梦喆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Research Institute Institute Of Electronics Chinese Academy Of Sciences
Original Assignee
Suzhou Research Institute Institute Of Electronics Chinese Academy Of Sciences
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Research Institute Institute Of Electronics Chinese Academy Of Sciences filed Critical Suzhou Research Institute Institute Of Electronics Chinese Academy Of Sciences
Priority to CN202110737374.1A priority Critical patent/CN113515732B/zh
Publication of CN113515732A publication Critical patent/CN113515732A/zh
Application granted granted Critical
Publication of CN113515732B publication Critical patent/CN113515732B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种跨域的统一用户认证系统及方法,用户管理模块对平台下的所有用户信息进行统一的用户数据管理,用户数据包括用户信息、用户所属机构部门信息、用户所在岗位信息,将用户和机构、岗位进行关联,供各个应用系统查询使用;用户认证模块基于Oauth2.0协议,支持不同类型的第三方应用系统选择认证授权方式进行统一用户认证,认证授权方式包括:授权码模式、密码模式、简化模式和客户端凭证模式;权限管理模块采集平台所有应用系统的角色权限进行统一的管理,给所有用户统一配置各个应用系统的角色权限后,在用户使用应用系统时统一鉴别该用户是否具有执行某项操作的权限。本发明解决了中各应用系统的用户管理相互独立导致的用户重复登录问题。

Description

一种跨域的统一用户认证系统及方法
技术领域
本发明涉及计算机信息技术,具体涉及一种跨域的统一用户认证方法及系统。
背景技术
随着信息技术的不断发展,信息化建设的不断深入,在这个过程中,用户的身份认证是关键。但是,由于一些大型机构中部门众多、业务复杂,且各部门、各业务使用的应用系统都大多只考虑到与自身业务的契合度,而往往忽略了在不同部门、业务之间的通用性。尤其是对跨部门的流程,应用系统的彼此隔离往往使得用户需要有多个账号,并多次进行登录。在这种情况下,如果没有统一的身份认证平台,无法通过统一的入口进行访问不同的应用系统,则这种账号冗余、重复登录认证的情况,对在一定程度上对用户体验和机构办事效率上造成影响。
这时,平台的统一用户认证系统就显得尤为重要,应当是平台建设的当务之急。这就需要对平台的相互信任的应用系统间的用户进行统一化管理,并实现在这些应用系统间的单点登录/退出和统一的身份认证功能,使得用户登录到一个系统后,可直接访问其他应用系统且不需要再次登录,简化了用户的操作,也保证了同一用户在不同的应用系统中身份的一致性。
发明内容
本发明的目的在于提出一种跨域的统一用户认证系统及方法,以解决平台中各应用系统的用户管理相互独立而导致的用户需要重复登录的问题。
实现本发明目的的技术解决方案为:一种跨域的统一用户认证系统,包括:
用户管理模块,用于对平台下的所有用户信息进行统一的用户数据管理,所述用户数据包括用户信息、用户所属机构部门信息、用户所在岗位信息,将用户和机构、岗位进行关联,供各个应用系统查询使用;
用户认证模块,基于Oauth2.0协议,支持不同类型的第三方应用系统选择认证授权方式进行统一用户认证,所述认证授权方式包括:授权码模式、密码模式、简化模式和客户端凭证模式;
权限管理模块,用于采集平台所有应用系统的角色权限进行统一的管理,给所有用户统一配置各个应用系统的角色权限后,在用户使用应用系统时统一鉴别该用户是否具有执行某项操作的权限。
进一步的,所述用户管理模块包括用户信息管理模块、机构信息管理模块、岗位信息管理模块、应用信息管理模块四部分,其中:
用户信息管理模块,用于实现平台所有用户的统一管理,包括用户信息的录入、信息的更新和销毁,所述用户信息包括用户的账号、身份证号、性别、出生日期,以及用户的手机号、邮箱、居住地址;
机构信息管理模块,用于实现平台所有、机构的统一管理,包括用户所属机构部门信息的录入、信息的更新和销毁,所述用户所属机构部门信息包括机构的标识号、机构类型、机构性,以及机构的联系电话、机构负责人;
岗位信息管理模块,用于实现平台所有岗位的统一管理,包括用户所在岗位信息的录入、信息的更新和销毁,所述用户所在岗位信息包括岗位的标识号、岗位的隶属机构、岗位职责。
应用信息管理模块,用于实现平台所有应用系统的统一管理,包括应用系统注册信息的录入、信息的更新和销毁,所述应用系统注册信息包括应用系统名称、应用系统的标识、应用密码、应用系统的回调地址、应用系统的认证模式。
进一步的,所述用户认证模块包括多类型账号方式认证模块、多因子方式认证模块、单点登录模块、单点退出模块四部分,其中:
多类账号方式认证模块,用于为用户提供多种账号类型进行账号密码认证,账号类型包括用户名、手机号、身份证号;
多因子方式认证模块,用于为用户提供账号密码认证、指纹认证、USBkey认证的方式进行认证登录;
单点登录模块,基于用户代理将用户认证登录后的token信息存到内存,由用户代理通过websocket维护token信息的时效性,通过websocket技术广播用户登录认证后的token信息和刷新token信息的通知,保证各个应用系统的token信息实时有效,各个应用系统携带token信息访问统一用户认证系统的用户信息,以此实现用户一次的统一认证使平台的各类应用系统统一登录;
单点退出模块,基于用户代理将用户退出消息通过websocket技术广播给各个应用系统,以此实现用户在平台的某一系统中退出后,则其他应用系统也统一退出。
进一步的,所述权限管理模块包括应用角色权限托管模块、用户授权模块、用户鉴权模块三部分,其中:
应用角色权限托管模块,用于提供应用角色权限模板,各个应用按照模板将自身系统的权限访问控制点按照角色项、权限项录入到统一用户认证系统进行统一的管理维护;
用户授权模块,用于为平台内的所有用户进行统一授权,给用户绑定访问各个应用系统时拥有的角色和权限,以及对统一用户认证系统自身进行权限配置;
用户鉴权模块,用于在登录认证后获取当前用户在当前应用系统所拥有的角色、权限信息,根据获取的角色、权限信息判定此用户是否具有操作此应用系统的权限。
进一步的,提供的跨域的统一用户认证分为跨业务域的用户认证以及跨网络域的用户认证,其中跨业务域是指在同一个局域网内各个应用系统进行统一的用户认证;跨网络域是指在不同局域网中各个应用系统进行统一的用户认证。
一种跨域的统一用户认证方法,基于所述的跨域的统一用户认证系统,实现跨域的统一用户认证。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时,基于所述的跨域的统一用户认证系统,实现跨域的统一用户认证。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,基于所述的跨域的统一用户认证系统,实现跨域的统一用户认证。
本发明与现有技术相比,其显著优点为:1)通过统一用户认证系统进行平台用户的统一管理,提供平台中各应用系统认证的统一入口,减少用户账号数量和登录次数,提高用户体验;2)基于Oauth2.0协议,支持不同类型的第三方应用系统以多种可选的方式与自身系统进行集成,实现统一认证授权;3)基于客户端代理实现用户在B/S、C/S架构的应用系统之间的单点登录,能在不同浏览器之间实现单点登录的效果,彻底免除用户在多应用系统内进行反复登录的繁琐过程。
附图说明
图1是本发明跨域的统一用户认证系统的整体结构图。
图2是本发明跨域的统一用户认证方法的整体流程图。
图3是本发明统一用户认证系统授权码模式登录认证的流程图。
图4是本发明统一用户认证系统账号密码认证的单点登录、单点退出流程图。
图5是本发明统一用户认证系统指纹认证和USBkey认证的单点登录流程图。
图6是本发明统一用户认证系统跨网络域的登录认证的流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本发明跨域的统一用户认证系统及方法,通过对平台的用户资源、应用系统资源、权限资源进行统一的管理维护,实现平台的统一用户认证,详细介绍如下。(一)跨域的统一用户认证系统
跨域的统一用户认证系统包括用户管理模块、用户认证模块、权限管理模块,整体结构如图1所示。
(1)用户管理模块
用户管理模块主要对平台下的所有用户信息进行统一的用户数据管理,使用户使用唯一账号就能登录平台下的各个应用系统。管理员在录入用户数据包括用户的基本信息、用户所属机构部门信息、用户所在岗位信息等,将用户和机构、岗位进行关联,供各个应用系统查询使用,具体的:
所述用户管理模块包括用户信息管理、机构信息管理、岗位信息管理、应用信息管理四部分,其中:
用户信息管理主要实现平台所有用户的统一管理,包括用户的录入、信息的更新和销毁。统一用户服务认证系统通过提供页面录入和文件批量导入的方式,管理员进行用户的录入,录入的信息包括用户的账号、身份证号、性别、出生日期等个人的基本信息,用户的手机号、邮箱、居住地址等个人的通讯信息;提供页面修改用户信息以及页面删除和批量删除的方式来销毁用户信息。
机构信息管理主要实现平台所有机构(部门)的统一管理,包括机构的录入、信息的更新和销毁。统一用户服务认证系统通过提供页面录入的方式,管理员进行机构的录入,录入的信息包括机构的标识号、机构类型、机构性质等基本信息,机构的联系电话、机构负责人等通讯信息;提供页面修改机构信息以及页面删除方式来销毁机构信息。
岗位信息管理主要实现平台所有岗位的统一管理,包括岗位的录入、信息的更新和销毁。统一用户服务认证系统通过提供页面录入的方式,管理员进行岗位的录入,录入的信息包括岗位的标识号、岗位的隶属机构、岗位职责等基本信息;提供页面修改岗位信息以及页面删除和批量删除的方式来销毁岗位信息。
应用信息管理主要实现平台所有应用系统的统一管理。统一用户服务认证系统通过提供页面录入的方式,管理员进行应用系统的注册,注册的信息包括应用系统名称、应用系统的标识、应用密码、应用系统的回调地址、应用系统的认证模式等基本信息;提供页面修改应用系统信息以及页面删除和批量删除的方式来销毁应用系统信息。
(2)用户认证模块
用户认证模块基于Oauth2.0协议,支持不同类型的第三方应用系统选择合适自己系统的认证授权方式进行统一用户认证;平台各个应用系统无需管理用户的账号密码,也无需存储,提高了数据的安全性。认证授权方式包括:授权码模式、密码模式、简化模式和客户端凭证模式,具体的:
所述用户认证模块包括多类型账号方式认证、多因子方式认证、单点登录、单点退出四部分,其中:
多类账号方式认证提供用户选择多种账号方式进行认证登录,包括用户名、手机号、身份证号等账号加密码的方式进行认证。
多因子方式认证提供用户除账号密码方式登录认证外,还提供用户指纹认证以及USBkey的方式进行认证登录。
单点登录基于用户代理对用户登录认证后的token信息存到内存,由用户代理通过websocket进行维护token信息的时效性,通过websocket技术广播用户登录认证后的token信息和刷新token信息的通知,实现各个应用系统的token信息实时有效,各个应用系统携带token信息访问统一用户认证系统的用户信息,以此实现用户一次的统一认证使平台的各类应用系统统一登录。
单点退出基于用户代理对用户退出消息通过websocket技术广播给各个应用系统,以此实现用户在平台的某一系统中退出后,则其他应用系统也统一退出。
本发明的跨域认证分为跨业务域的用户认证以及跨网络域的用户认证。跨业务域是指在同一个局域网内提供各个应用系统进行统一的用户认证;跨网络域是指在不同局域网中提供各个应用系统进行统一的用户认证。
(3)权限管理模块
权限管理模块主要是人工采集平台所有应用系统的角色权限进行统一的管理和维护,通过管理员给所有用户的统一的配置各个应用系统的角色权限;在用户使用应用系统时统一鉴别该用户是否具有执行某项操作的权限,具体的:
所述权限管理模块包括应用角色权限托管、用户授权、用户鉴权三部分,其中:
应用角色权限托管是依据平台提供的应用角色权限模板,各个应用按照模板将自身系统的权限访问控制点按照角色项(权限控制点的集合)、权限项(具体某项操作的访问控制点)录入到统一用户认证系统进行统一的管理维护。
用户授权是通过统一用户认证系统提供的权限配置界面,由管理员为平台内的所有用户进行统一授权,给用户绑定访问各个应用系统时拥有的角色和权限。其中,也包括对统一用户认证系统自身进行权限配置。
用户鉴权是通过统一用户认证系统提供用户在登录认证后获取当前用户在当前应用系统所拥有的角色、权限信息,根据获取的角色权限信息判定此用户是否具有操作此应用系统的权限。
(二)跨域的统一用户认证方法
基于上述跨域的统一用户认证系统,跨域的统一用户认证,整体流程如图2所示,具体实施步骤如下:
(1)应用系统注册
统一用户认证系统的用户认证是基于Oauth2.0协议,需要对平台接入的应用系统进行统一的注册管理,生成唯一的应用系统的标识号,并对应用系统相关的信息进行维护,平台的各应用系统需要依靠统一分配的标识号进行登录认证。(2)应用系统角色权限信息录入
统一用户认证系统采集注册的应用系统的角色权限信息,管理员通过界面统一进行管理维护。
(3)用户相关信息录入
统一用户认证系统采集机构、岗位、用户的信息,管理员通过界面统一进行机构、岗位和用户的关联关系的配置绑定,提供用户登录各个应用系统时获取自身机构、岗位信息进行使用。
(4)用户授权
统一用户认证系统管理员将录入的用户统一人工配置其在不同应用系统下所拥有的角色、权限信息。
(5)登录认证
用户通过统一用户认证系统进行统一入口登录认证,提供用户选择多种账号或者其他认证方式进行登录认证。
(6)用户鉴权
用户通过统一用户认证系统登录应用系统后,应用系统获取统一用户认证系统鉴别的权限信息判断该用户是否拥有操作使用此应用系统的权限。
(三)典型登录认证功能
上述跨域的统一用户认证系统,能够提供账号密码认证、指纹认证和USBkey认证等多种认证登录方式,实现跨业务域的用户认证或者跨网络域的用户认证。下面对系统的部分功能应用进行展开说明。
(1)授权码模式登录认证
授权码模式是账号密码认证的典型模式,基于上述跨域的统一用户认证系统,授权码模式登录认证,整体流程如图3所示,具体实施步骤如下:
(a)应用系统注册
统一用户认证系统的用户认证是基于Oauth2.0协议,统一用户认证系统的管理员需要人工对平台接入的应用系统进行统一的注册管理,生成唯一的应用系统的标识号,并对应用系统相关的信息进行维护,平台的各应用系统需要依靠统一分配的标识号进行登录认证。
(b)平台用户登录访问应用系统
平台用户登录访问应用系统时重定向跳转到统一用户认证系统的登录页面进行登录认证,输入账号密码进行校验,校验成功则通过应用系统提供的回调地址返回生成的授权码code信息,应用系统将拿到的授权码code信息调用统一用户认证系统接口进行认证,认证成功生成token信息,应用系统根据返回的token信息进行访问。
(c)应用系统获取用户信息及权限信息
平台用户登录认证获取token信息成功后,应用系统根据token信息调用统一用户认证系统的接口可以获取当前登录用户相关的资源信息,包括用户的基本信息、扩展信息、组织机构信息、岗位信息、权限信息等。
(2)账号密码认证的单点登录、单点退出
单点登录、单点退出是系统的典型功能,基于上述跨域的统一用户认证系统,账号密码认证的单点登录、单点退出,整体流程如图4所示,具体实施步骤如下:(a)客户端代理判断用户的登录状态
企业应用系统、客户端代理、统一用户认证系统正常启动,用户通过浏览器访问或者双击打开应用系统,应用系统首先查看客户端代理中是否有用户认证后的token信息,若有则直接携带认证后的token信息进行访问,若没有则跳转到统一用户认证系统进行认证。
(b)跳转到统一用户认证系统完成认证
跳转到统一用户认证系统登录页面,可选择用户名、身份证号、手机号的方式进行账号密码登录认证。
(c)将登录认证后的信息存入客户端代理
统一用户认证系统校验通过,登录认证成功后应用系统需要将认证后的token信息存储到客户端代理,通过客户端代理进行对token信息的管理维护。(d)客户端代理广播登录消息到其他应用系统
客户端代理将存储的token信息通过websocket进行广播到已连接的各个应用系统中,使其完成用户在线的过程。
(e)用户退出应用系统
在线用户退出其中某一个应用系统,应用系统调用统一用户认证系统接口清除应用系统用户登录的相关信息,通知客户端代理清除销毁用户登录的token信息。
(f)客户端代理广播退出消息到其他应用系统
客户端代理清除自身存储的用户登录的token信息,并通过websocket进行广播到已连接的各个应用系统,使其清除用户信息,完成所有应用系统统一单点退出过程。
(3)指纹认证和USBkey认证的单点登录
基于上述跨域的统一用户认证系统,指纹认证和USBkey认证的单点登录,整体流程如图5所示,具体实施步骤如下:
(a)指纹采集装置、PIN码生成装置进行用户信息的采集
通过指纹采集装置、PIN码生成装置进行用户指纹信息的采集、PIN码信息的生成并绑定至唯一的用户。
(b)输入指纹信息、PIN码信息
用户通过指纹装置输入指纹信息或者通过统一用户认证系统的登录页面选择USBkey认证方式输入PIN码信息。
(c)校验指纹及PIN码准确性,通知客户端代理
认证后端识别校验指纹和PIN码的准确性,成功则通知客户端代理用户登录认证成功。
(d)生成token信息
客户端代理收到已有用户登录认证成功后,识别其用户身份,客户端代理将用户身份传递给统一用户认证服务使其完成用户自身的认证并生成应用系统可共用的token信息。
(e)客户端代理广播登录消息到其他应用系统
客户端代理将认证后的token信息通过websocket广播到已连接的各个应用系统中,应用系统携带token调用统一用户认证系统接口获取用户信息,应用系统不用再让用户输入账号密码进行登录,从而实现用户在线的状态。
(4)跨网络域的登录认证
跨域的统一用户认证分为跨业务域的用户认证以及跨网络域的用户认证,基于上述跨域的统一用户认证系统,跨网络域的登录认证,整体流程如图6所示,具体实施步骤如下:
(a)每个网络域设置全网唯一的顶级域
每一个网络域首先先选择其中一个作为全网的顶级域进行使用,每个网络域上报自己网络域的用户信息到顶级域。
(b)A域用户访问B域的应用系统
A域用户在跨网络域访问B域的应用系统,B域的统一认证系统先在本域下查找该用户是否存在,如果找不到就去顶级域进行查找该用户的归属域地址。(c)顶级域查找用户的归属域地址
通过用户名在顶级域进行查找该用户的归属域地址,找到其归属域地址则转发请求到归属域的统一用户认证系统进行登录认证。
(d)归属域认证该用户
归属域的统一认证系统进行对该用户的登录认证校验,通过生成token信息返回给应用系统。
(e)生成token,返回该用户的资源信息
应用系统携带返回的token信息进行访问,获取该用户相关的资源信息。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种跨域的统一用户认证系统,其特征在于,包括:
用户管理模块,用于对平台下的所有用户信息进行统一的用户数据管理,所述用户数据包括用户信息、用户所属机构部门信息、用户所在岗位信息,将用户和机构、岗位进行关联,供各个应用系统查询使用;
用户认证模块,基于Oauth2.0协议,支持不同类型的第三方应用系统选择认证授权方式进行统一用户认证,所述认证授权方式包括:授权码模式、密码模式、简化模式和客户端凭证模式;
权限管理模块,用于采集平台所有应用系统的角色权限进行统一的管理,给所有用户统一配置各个应用系统的角色权限后,在用户使用应用系统时统一鉴别该用户是否具有执行某项操作的权限。
2.根据权利要求1所述的跨域的统一用户认证系统,其特征在于,所述用户管理模块包括用户信息管理模块、机构信息管理模块、岗位信息管理模块、应用信息管理模块四部分,其中:
用户信息管理模块,用于实现平台所有用户的统一管理,包括用户信息的录入、信息的更新和销毁,所述用户信息包括用户的账号、身份证号、性别、出生日期,以及用户的手机号、邮箱、居住地址;
机构信息管理模块,用于实现平台所有、机构的统一管理,包括用户所属机构部门信息的录入、信息的更新和销毁,所述用户所属机构部门信息包括机构的标识号、机构类型、机构性,以及机构的联系电话、机构负责人;
岗位信息管理模块,用于实现平台所有岗位的统一管理,包括用户所在岗位信息的录入、信息的更新和销毁,所述用户所在岗位信息包括岗位的标识号、岗位的隶属机构、岗位职责。
应用信息管理模块,用于实现平台所有应用系统的统一管理,包括应用系统注册信息的录入、信息的更新和销毁,所述应用系统注册信息包括应用系统名称、应用系统的标识、应用密码、应用系统的回调地址、应用系统的认证模式。
3.根据权利要求1所述的跨域的统一用户认证系统,其特征在于,所述用户认证模块包括多类型账号方式认证模块、多因子方式认证模块、单点登录模块、单点退出模块四部分,其中:
多类账号方式认证模块,用于为用户提供多种账号类型进行账号密码认证,账号类型包括用户名、手机号、身份证号;
多因子方式认证模块,用于为用户提供账号密码认证、指纹认证、USBkey认证的方式进行认证登录;
单点登录模块,基于用户代理将用户认证登录后的token信息存到内存,由用户代理通过websocket维护token信息的时效性,通过websocket技术广播用户登录认证后的token信息和刷新token信息的通知,保证各个应用系统的token信息实时有效,各个应用系统携带token信息访问统一用户认证系统的用户信息,以此实现用户一次的统一认证使平台的各类应用系统统一登录;
单点退出模块,基于用户代理将用户退出消息通过websocket技术广播给各个应用系统,以此实现用户在平台的某一系统中退出后,则其他应用系统也统一退出。
4.根据权利要求1所述的跨域的统一用户认证系统,其特征在于,所述权限管理模块包括应用角色权限托管模块、用户授权模块、用户鉴权模块三部分,其中:
应用角色权限托管模块,用于提供应用角色权限模板,各个应用按照模板将自身系统的权限访问控制点按照角色项、权限项录入到统一用户认证系统进行统一的管理维护;
用户授权模块,用于为平台内的所有用户进行统一授权,给用户绑定访问各个应用系统时拥有的角色和权限,以及对统一用户认证系统自身进行权限配置;
用户鉴权模块,用于在登录认证后获取当前用户在当前应用系统所拥有的角色、权限信息,根据获取的角色、权限信息判定此用户是否具有操作此应用系统的权限。
5.根据权利要求1所述的跨域的统一用户认证系统,其特征在于,提供的跨域的统一用户认证分为跨业务域的用户认证以及跨网络域的用户认证,其中跨业务域是指在同一个局域网内各个应用系统进行统一的用户认证;跨网络域是指在不同局域网中各个应用系统进行统一的用户认证。
6.一种跨域的统一用户认证方法,其特征在于,基于权利要求1-5任一项所述的跨域的统一用户认证系统,实现跨域的统一用户认证。
7.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时,基于权利要求1-5任一项所述的跨域的统一用户认证系统,实现跨域的统一用户认证。
8.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,基于权利要求1-5任一项所述的跨域的统一用户认证系统,实现跨域的统一用户认证。
CN202110737374.1A 2021-06-30 2021-06-30 一种跨域的统一用户认证系统及方法 Active CN113515732B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110737374.1A CN113515732B (zh) 2021-06-30 2021-06-30 一种跨域的统一用户认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110737374.1A CN113515732B (zh) 2021-06-30 2021-06-30 一种跨域的统一用户认证系统及方法

Publications (2)

Publication Number Publication Date
CN113515732A true CN113515732A (zh) 2021-10-19
CN113515732B CN113515732B (zh) 2024-09-03

Family

ID=78066352

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110737374.1A Active CN113515732B (zh) 2021-06-30 2021-06-30 一种跨域的统一用户认证系统及方法

Country Status (1)

Country Link
CN (1) CN113515732B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114189375A (zh) * 2021-12-06 2022-03-15 银清科技有限公司 一种业务系统管理方法和装置
CN114422182A (zh) * 2021-12-13 2022-04-29 以萨技术股份有限公司 一种统一身份管理平台
CN116566730A (zh) * 2023-06-15 2023-08-08 中国科学院空天信息创新研究院 跨域用户认证方法、装置、电子设备及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006058493A1 (fr) * 2004-12-04 2006-06-08 Huawei Technologies Co., Ltd. Procede et systeme d'authentification de domaine et d'autorite de reseau
US20180075231A1 (en) * 2016-09-14 2018-03-15 Oracle International Corporation Single sign-on functionality for a multi-tenant identity and data security management cloud service
CN107888568A (zh) * 2017-10-23 2018-04-06 广州星耀悦教育科技有限公司 统一身份认证数据管理方法、电子设备、存储介质及系统
CN109587249A (zh) * 2018-12-07 2019-04-05 北京金山云网络技术有限公司 信息发送、接收方法、装置、服务器、客户端及存储介质
CN111062837A (zh) * 2019-10-30 2020-04-24 安徽皖新金智教育科技有限公司 一种基于校园的智能管理系统及其方法
CN112364336A (zh) * 2020-11-18 2021-02-12 深圳航天智慧城市系统技术研究院有限公司 数据库的统一权限管理方法、装置、设备和计算机可读存储介质
CN112580006A (zh) * 2020-12-24 2021-03-30 中国建设银行股份有限公司 一种多云系统的访问权限控制方法、装置及认证服务器
CN112968903A (zh) * 2021-03-08 2021-06-15 浪潮云信息技术股份公司 一种基于帐号绑定的一体化认证集成方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006058493A1 (fr) * 2004-12-04 2006-06-08 Huawei Technologies Co., Ltd. Procede et systeme d'authentification de domaine et d'autorite de reseau
US20180075231A1 (en) * 2016-09-14 2018-03-15 Oracle International Corporation Single sign-on functionality for a multi-tenant identity and data security management cloud service
CN107888568A (zh) * 2017-10-23 2018-04-06 广州星耀悦教育科技有限公司 统一身份认证数据管理方法、电子设备、存储介质及系统
CN109587249A (zh) * 2018-12-07 2019-04-05 北京金山云网络技术有限公司 信息发送、接收方法、装置、服务器、客户端及存储介质
CN111062837A (zh) * 2019-10-30 2020-04-24 安徽皖新金智教育科技有限公司 一种基于校园的智能管理系统及其方法
CN112364336A (zh) * 2020-11-18 2021-02-12 深圳航天智慧城市系统技术研究院有限公司 数据库的统一权限管理方法、装置、设备和计算机可读存储介质
CN112580006A (zh) * 2020-12-24 2021-03-30 中国建设银行股份有限公司 一种多云系统的访问权限控制方法、装置及认证服务器
CN112968903A (zh) * 2021-03-08 2021-06-15 浪潮云信息技术股份公司 一种基于帐号绑定的一体化认证集成方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114189375A (zh) * 2021-12-06 2022-03-15 银清科技有限公司 一种业务系统管理方法和装置
CN114189375B (zh) * 2021-12-06 2024-02-27 银清科技有限公司 一种业务系统管理方法和装置
CN114422182A (zh) * 2021-12-13 2022-04-29 以萨技术股份有限公司 一种统一身份管理平台
CN114422182B (zh) * 2021-12-13 2024-01-16 以萨技术股份有限公司 一种统一身份管理平台
CN116566730A (zh) * 2023-06-15 2023-08-08 中国科学院空天信息创新研究院 跨域用户认证方法、装置、电子设备及介质
CN116566730B (zh) * 2023-06-15 2024-07-19 中国科学院空天信息创新研究院 跨域用户认证方法、装置、电子设备及介质

Also Published As

Publication number Publication date
CN113515732B (zh) 2024-09-03

Similar Documents

Publication Publication Date Title
US11228574B2 (en) System for managing remote software applications
US10505929B2 (en) Management and authentication in hosted directory service
CN113515732A (zh) 一种跨域的统一用户认证系统及方法
JP4880699B2 (ja) サービスアカウントを保護するための方法、システム、及び装置
CN103023918B (zh) 为多个网络服务统一提供登录的方法、系统和装置
US8412932B2 (en) Collecting account access statistics from information provided by presence of client certificates
CN110213223B (zh) 业务管理方法、装置、系统、计算机设备和存储介质
US7334013B1 (en) Shared services management
JP5342020B2 (ja) グループ定義管理システム
KR20000052556A (ko) 외부 시스템 로그인을 위한 자동 서버 결정을 허용하는방법 및 장치
JP2007219935A (ja) 分散認証システム及び分散認証方法
Sharma et al. Identity and access management-a comprehensive study
CN108900484B (zh) 一种访问权限信息的生成方法和装置
US11658957B2 (en) Methods and apparatuses for temporary session authentication and governor limits management
CN101426009A (zh) 身份管理平台、业务服务器、统一登录系统及方法
CN113742676B (zh) 一种登录管理方法、装置、服务器、系统及存储介质
CN111447220A (zh) 认证信息管理方法、应用系统的服务端及计算机存储介质
CN111614687A (zh) 一种身份验证方法、系统及相关装置
JP4847483B2 (ja) 個人属性情報提供システムおよび個人属性情報提供方法
CN103118025B (zh) 基于入网认证的单点登录方法、装置及认证服务器
KR102250867B1 (ko) 애플리케이션에 대한 로그인을 수행하는 방법 및 이를 위한 서버
CN117240482A (zh) 页面显示方法、装置、终端及存储介质
JP5339868B2 (ja) 情報処理システム、ログイン管理装置、ログイン管理方法及びログイン管理プログラム
KR20190019317A (ko) 사용자 수요 기반의 SaaS 결합 서비스 플랫폼에서의 인증 서버 및 인증 방법
JP2004302907A (ja) ネットワーク装置及び認証サーバ

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant