CN113660192A - 一种Web系统身份认证系统和方法 - Google Patents

一种Web系统身份认证系统和方法 Download PDF

Info

Publication number
CN113660192A
CN113660192A CN202110701782.1A CN202110701782A CN113660192A CN 113660192 A CN113660192 A CN 113660192A CN 202110701782 A CN202110701782 A CN 202110701782A CN 113660192 A CN113660192 A CN 113660192A
Authority
CN
China
Prior art keywords
application
platform
identity authentication
user
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110701782.1A
Other languages
English (en)
Inventor
梁伟
皮坤
资平飞
李�杰
陆培生
李晓永
邱永华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunnan Kungang Electronic Information Technology Co ltd
Original Assignee
Yunnan Kungang Electronic Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yunnan Kungang Electronic Information Technology Co ltd filed Critical Yunnan Kungang Electronic Information Technology Co ltd
Priority to CN202110701782.1A priority Critical patent/CN113660192A/zh
Publication of CN113660192A publication Critical patent/CN113660192A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

本发明涉及一种Web系统身份认证系统和方法,该方法包括获取身份数据LtpaToken;获取用户应用授权;再次访问其他集成的应用系统,通过相同的流程进行认证,获取用户UID后只需要到应用授权平台查询是否具备本系统访问权限即可。本发明基于LTPAToken的离散化Web系统身份认证,用于解决大型企业各独立应用之间的统一身份认证需求和多平台多入口需求。

Description

一种Web系统身份认证系统和方法
技术领域
本发明属于计算机信息系统身份认证领域,尤其是一种Web系统身份认证系统和方法。
背景技术
随着信息技术的不断发展,企业信息化的深度和广度也不断扩展,支撑不同维度、不同领域发展的专业化信息系统越来越多,其为企业发展和变革提供了有效支撑,但也增加了数据治理方面的难度。为了让用户方便的使用这些信息系统,大部分企业会构建自己的统一身份认证中心,通过同一套身份数据控制所有系统的访问权限,同时统一应用入口。
目前,行业内比较常见的统一身份认证技术如:CAS、OAuth 2.0、SAML2.0等应用较为成熟,这些技术特点是通过构建统一、集中的用户身份管理和授权管理实现系统身份认证,通过集中管理和授权降低系统运维成本,提高用户体验,可以很好地实现一个账号多系统访问的需求。但是随着应用系统集成数量不断攀升,认证服务器的压力越来越大、越来越重要,反而造成运维困难。其次,随着覆盖多行业、多维度的众多信息系统接入,以统一身份认证作为应用的入口在实际应用中并非最合理实施方案,例如以销售系统、生产系统、办公系统等平台级应用作为同类应用系统的多入口应用场景,相对集中的应用入口管控在实际应用中更容易被接受。
因此,在拥有大量信息化系统和用户群体的大型企业中,需要研究一种既能实现统一用户身份管理、应用系统授权管理,又能满足多入口模式的身份认证体系,通过分散用户认证请求降低认证系统压力,同时支持以任一系统为平台构建应用入口,围绕“统一身份管理”构建离散化的身份认证系统。
发明内容
本发明提供一种Web系统身份认证系统和方法,基于LTPAToken的离散化Web系统身份认证,用于解决大型企业各独立应用之间的统一身份认证需求和多平台多入口需求,属于计算机信息系统身份认证领域。
本发明的技术方案具体如下:
一种Web系统身份认证系统,包括Web浏览器、身份认证平台、至少一个业务应用系统和应用授权平台;
Web浏览器与身份认证系统、业务应用系统交互,并通过Cookie功能共享登录授权产生的LtpaToken;
身份认证平台集中管理用户身份数据,并提供基于账号、密码的身份认证功能,用户认证成功后创建加密的LptaToken,在用户发起退出操作后清理LptaToken;
应用授权平台统一管理集成到身份认证平台的应用系统,包括应用基本信息、授权访问密钥,以及是否平台级应用,并从身份认证平台同步人员身份信息,用于支撑应用访问授权管理,同时提供安全API查询用户应用访问权限;
业务应用系统集成统一身份认证的业务应用系统,当用户请求系统需要授权的资源时,通过校验LptaToken和应用账号授权,决定用户是否具有资源访问权限;当用户在本系统发起退出操作时,需要重定向到身份认证平台,执行单点退出。
进一步地,包括第一业务应用系统和第二业务应用系统。
进一步地,身份认证平台、应用授权平台以及所有集成统一身份认证的应用系统都部署在同一个根域名下。
本发明还涉及的一种Web系统身份认证方法,包括如下步骤:
获取身份数据LtpaToken;
获取用户应用授权;
再次访问其他集成的应用系统,通过相同的流程进行认证,获取用户UID后只需要到应用授权平台查询是否具备本系统访问权限即可。
进一步地,每次访问应用系统,均先检测当前根域名下的LtpaToken是否有效,如果无效则跳转到身份认证平台进行登录,用户通过账号/密码登录身份认证平台后,创建有效的LtpaToken,然后重定向到应用系统。
进一步地,应用系统解析有效的LtpaToken读取用户身份标识UID,然后通过应用授权平台安全接口检查用户是否具备该系统的访问权限,如果具备则返回用户及应用账号信息,应用系统创建自己的Session信息,授权完成。
进一步地,该方法还包括多入口、多中心平台级应用构建,根据企业自身情况可以按某个或某几个应用系统为平台级应用构建多入口、多中心应用场景;
首先,先在应用授权平台将选定的应用授权为平台级应用;
访问平台级应用,完成身份认证;
进行认证授权时,据此动态创建旗下的应用系统入口;
应用单点退出,在任意加入统一身份认证的系统中发起退出登录请求,其先清理自身的登录Session,然后将根域名中的LtpaToken设置为无效,此时用户访问其他应用系统时,重新到身份认证平台进行账户/密码认证,即完成单点退出。
本发明中,LTPA是一种IBM发布的轻量级、基于相同根域名身份认证技术,其通过共享加密后的Cookie - LtpaToken实现身份认证。
与现有技术相比,本发明的有益效果具体如下:
(1)降低了认证系统压力,改进后将用户再次认证分散到了个应用系统,降低了身份认证系统访问次数,以每天3万人访问5个应用系统为例,传统SSO方式(OAuth 2.0),每个Token有效周期内,需要与身份认证平台交互次数为3 x 5 = 15万次,而采用本发明的方案每个用户只需要访问一次,共3万次,其他鉴权操作均在其他应用系统及客户浏览器端完成,大大降低了认证系统的压力。
(2)提供了更为灵活、专业的应用集中管控能力,改进后支持以任一应用系统为平台级应用构建用户入口,解决以往所有用户、所有应用集中在一个访问入口,造成的专业化整合不明确、用户焦点应用不突出的问题。
(3)提高了身份授权体系的安全性和稳定性,改进后通过独立的应用授权管理平台管控用户对应用系统的根级访问权限,不但减少了身份认证平台的系统压力,而且通过分级授权的查询API,提供更为灵活、高效授权体系。
(4)降低运维压力,通过独立的应用授权平台、离散化认证和平台级多入口应用,降低身份认证系统作为核心系统的权重,用户通过多入口平台应用登录后,短时间内身份认证平台故障并不会影响用户访问平台级应用内的应用系统,从而降低系统故障带来的影响。
(5)最后,提高用户体验,用户再次认证不需要重定向到“身份认证系统”进行认证,而是在用户浏览器和当前应用系统进行校验,减少了因网络、数据处理延时造成的认证等待和中间页面回跳。
附图说明
图1为本发明的认证系统的业务流图;
图2为本发明的多入口平台级应用系统的业务流程图。
具体实施方式
下面将结合本申请实施例中的附图,对实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外定义,本申请实施例中使用的技术术语或者科学术语应当为所属领域内具有一般技能的人士所理解的通常意义。本实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。“上”、“下”、“左”、“右”、“横”以及“竖”等仅用于相对于附图中的部件的方位而言的,这些方向性术语是相对的概念,它们用于相对于的描述和澄清,其可以根据附图中的部件所放置的方位的变化而相应地发生变化。
本实施例是基于LTPA Token的离散化身份认证系统,主要用于解决大型企业多应用系统、几十万级用户场景下,海量用户认证请求对统一身份认证系统造成的压力问题,以及满足企业Web应用在同一身份认证体系下,以业务聚合为导向的多平台多入口需求,支持以任一系统为中心构建平台级应用,为其他应用系统提供入口。其中离散化主要体现在身份认证鉴权离散化,以及应用入口支持灵活的离散-聚合构建模式。
本实施例的系统支持Web应用系统,即B/S架构的移动、PC端应用系统。身份认证平台、应用授权平台以及所有集成统一身份认证的应用系统都需要部署在同一个根域名下。如:xx.home.com、yy.home.com等,xx、yy可以是任意的,但home.com必须一致。
如图1所示,本实施例的系统包括Web浏览器102、身份认证平台103、业务应用系统104和应用授权平台105。
用户101访问某个业务系统时,触发身份认证业务链。
Web浏览器102作为系统交互中介,用户通过浏览器与身份认证系统、业务应用系统进行交互,并通过Cookie功能共享登录授权产生的LtpaToken。
身份认证平台103统一用户身份管理、认证系统,集中管理用户身份数据,并提供基于账号、密码的身份认证功能,用户认证成功后创建加密的LptaToken,在用户发起退出操作后清理LptaToken。
应用授权平台104统一管理集成到身份认证平台的应用系统,包括应用基本信息、授权访问密钥,以及是否平台级应用等信息,并从身份认证平台同步人员身份信息,用于支撑应用访问授权管理,同时提供安全API查询用户应用访问权限。
业务应用系统105集成统一身份认证的业务应用系统,当用户请求系统需要授权的资源时,通过校验LptaToken和应用账号授权,决定用户是否具有资源访问权限。当用户在本系统发起退出操作时,需要重定向到身份认证平台,执行单点退出。
图1中,业务流向共10条:L100-用户访问业务系统;L101-请求账号密码登录;L102-登录成功创建LtpaToken;L103-业务系统校验LtpaToken是否有效;L104-向应用授权平台获取访问授权;105-应用授权平台返回当前用户应用授权信息;L106-返回校验结果,若成功提供系统服务;L107-业务应用系统发起退出登录;L108-浏览器端重定向身份认证平台退出连接,清理LtpaToken退出系统;L109-应用授权平台定时从身份认证平台同步用户身份数据。
图2为本发明的多入口平台级应用
图2是基于图1所示的身份认证体系构建同一认证体系下的多入口平台级应用构建模式,包括:Web浏览器202共享LtpaToken,访问系统服务;身份认证平台203用于用户身份管理和身份认证(生成LtpaToken);应用授权平台204管理集成的应用洗洗及用户应用访问授权;平台级业务应用系统205进行身份校验,提供业务应用服务,同时管理旗下集成的其他业务系统;业务应用系统206是普通业务应用系统,只需要管自身的认证。用户201发起业务请求。
多入口平台级应用构建基于图1所示身份认证体系,不管是平台级应用还是旗下的业务应用系统都遵循该认证体系,核心在于平台级应用可通过L206、L207业务线请求当前用户对旗下所有应用的访问权限(此能力由应用授权平台赋予),从而根据不同的用户显示不同的业务应用入口,达到集控的目的。
基于上述系统,本实施例的身份认证方法,包括如下步骤:
(1)构建统一身份认证平台,集中管理用户身份信息,并支持基于用户名、密码的身份认证,负责创建、销毁Cookie共享的授权凭证LtpaTokem,作为身份鉴权的发起点,以下简称身份认证平台。
(2)构建统一应用授权平台,集中管理集成的应用系统及用户系统访问权限,并提供安全接口给应用系统查询用户的应用访问权限。实现应用权限管理与用户身份管理分离,进一步降低认证系统压力,以下简称应用授权平台。
(3)应用单点登录流程:
A.获取身份数据LtpaToken。
用户每次访问应用系统,应用系统都要先检测当前根域名下的LtpaToken是否有效,如果无效则跳转到“身份认证平台”进行登录,用户通过账号/密码登录身份认证平台后,创建有效的LtpaToken,然后重定向到应用系统。
B.获取用户应用授权
应用系统解析有效的LtpaToken读取用户身份标识UID,然后通过“应用授权平台”安全接口检查用户是否具备该系统的访问权限,如果具备则返回用户及应用账号信息,应用系统创建自己的Session信息,授权完成。
用户完成上述授权流程后,再次访问其他集成的应用系统,通过相同的流程进行认证,因为此时根域名中已经存在有效的LtpaToken,故不必再次访问“身份认证平台”,获取用户UID后只需要到“应用授权平台”查询是否具备本系统访问权限即可。其将认证逻辑分散到浏览器和应用系统,从而降低了“身份认证平台”访问次数。
(4)多入口、多中心平台级应用构建,根据企业自身情况可以按某个或某几个应用系统为平台级应用构建多入口、多中心应用场景。
A、首先,先在应用授权平台将选定的应用授权为平台级应用,其才可通过安全接口查询登录用户所有的应用访问权限,否则只允许查询是否具备当前应用的访问权限。
B、用户首先访问平台级应用,其通过步骤(3)所述流程完成身份认证后,那么集成到平台应用中的不必再到“身份认证平台”认证平台进行授权认证,只需要按步骤进行自认证即可。
C、平台级应用进行认证授权时,已向应用授权平台安全接口获取了当前用户可访问的所有应用,因此平台级应用可据此动态创建旗下的应用系统入口,达到集中管控的目的。
(5)应用单点退出,用户在任意加入统一身份认证的系统中发起退出登录请求,其先清理自身的登录Session,然后将根域名中的LtpaToken设置为无效,此时用户访问其他应用系统时,由于LtpaToken已经无效,需要用户重新到“身份认证平台”进行账户/密码认证,即完成单点退出。
综上所述,本发明主要通过基于相同根域名Cookie共享的加密LtpaToken校验,实现一次登录多系统离散自认证的机制,并结合应用授权平台共同构成轻量级的多系统、海量用户的身份认证。
如图1所示,整个认证流程一用户为发起点,以Web浏览器为核心,完成整个授权认证流程:
(1)L100:用户通过浏览器请求业务应用系统资源,启动认证流程;业务系统前端代码读取浏览器Cookie中存储在本系统根域名下(如:*.home.com)存储的Key为LptaToken的加密授权Token。
(2)L101:如果读取LptaToken失败或无效,则业务系统前端代码重定向到“身份认证平台”的登录页面,让用户通过账号、密码执行登录。
(3)L102:用户通过账号密码登录成功后,自动创建加密授权Token并存储到浏览器Cookie中,存储位置本系统根域名下(如:*.home.com),Key为LptaToken,最后重定向到最初的业务应用系统资源的地址。
(4)L103:从身份认证平台从定向到业务应用系统后,再次获取浏览器Cookie中的LtpaToken,获取成功则传递给业务应用系统后台进行解密校验(解密算法遵循标准LTPA算法)。
(5)L104:业务应用系统后台按照标准算法对LtpaToken解密、校验,成功后,得到用户身份唯一UID。
(6)L105:应用后台通过UID + 应用配置信息,向应用授权平台发起接口查询,获取该用户是否有本系统的访问权限(或查询该用户能够访问的所有应用系统,平台级应用才有权限)。
(7)L106:如果用户具备系统访问权限,则创建该用户登录状态,授权其访问系统资源,完成身份认证,并通过Web浏览器反馈给我用户。
(8)L107:当系统不再使用或需要切换账号时,任一完成认证的应用系统先退出自己的登录状态,然后通过浏览器重定向到身份认证平台的退出地址,触发单点退出功能。
(9)L108:身份认证平台执行用户退出登录逻辑,同时删除根域名下Key为LptaToken的Cookie。此时,当用户访问其他应用系统的资源时,由于检测不到LptaToken判定为未登录,继而重定向到身份认证平台的用户登录页面。
(10)L109:上述流程中L105、L106环节需要在应用授权平台查询用户是否有应用访问权限,即应用授权平台需要管理用户与应用系统账号开通信息,因此该平台需要实时向身份认证平台同步所有用户的身份信息。
以上为完整的基于LTPA Token的离散化身份认证业务流程。
基于上述身份认证体系,本实施例构建基于任一应用系统的第三方应用集中入口,在实际应用中可根据业务需求从不同维度构建多个、同等级的应用入口,如:生产、销售、管理等,既能满足集控需求又能分门别类地为用户提供定制化应用。规避了传统的所有应用入口都集中在身份认证平台造成专业化不明确、系统压力大等问题。
如图2所示,构建过程如下:
(1)首先,第1平台级-业务应用系统205和第2平台级-业务应用系统206,执行与上述完全一致的身份认证流程,即L200~L205认证业务流向以及L208~L209单点退出业务流向。
(2)第1平台级-业务应用系统205和第2平台级-业务应用系统-2,需具备应用入口管理功能,其通过L206、L207业务流向“应用授权平台”查询当前登录用户可访问的业务应用系统集,然后与集成入口到本平台的业务应用计算交集,得到附图2-206所示的业务应用系统集,然后动态创建应用入口。
(3)业务应用系统执行前述的身份认证流程,只是认证过程中不需要执行L104、L105业务流,即不需要确认当前登录平台级业务应用的用户是否具备系统访问权限。同时,也不执行L108、L109单点退出业务流,单点退出请求由平台级应用执行,即L208、L209业务流。
通过上述方法构建了一种基于LTPA Token的相同根域名下的离散化身份认证体系及方法,达到降低统一身份认证系统压力,并支持相对分散而集控的、支持以不同维度构建企业多应用入口的企业信息化中台。
综上所述,本实施例解决了如下技术问题:
(1)降低海量用户、多应用系统、高并发场景给“统一身份认证系统”带来的授权认证压力。
(2)在同一用户身份认证体系下,满足企业Web应用业务聚合的多入口需求,支持以任一系统为中心构建平台级应用,为其他应用系统提供入口。
(3)解决Web应用系统统一退出登录问题,统一身份认证体系中只要有一个系统发起退出,所有系统都需要退出登录状态。
(4)减少统一身份认证系统作为企业核心基础平台的权重,从而降低运维压力和系统宕机带来的影响。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种Web系统身份认证系统,其特征在于:包括Web浏览器、身份认证平台、至少一个业务应用系统和应用授权平台;
Web浏览器与身份认证系统、业务应用系统交互,并通过Cookie功能共享登录授权产生的LtpaToken;
身份认证平台集中管理用户身份数据,并提供基于账号、密码的身份认证功能,用户认证成功后创建加密的LptaToken,在用户发起退出操作后清理LptaToken;
应用授权平台统一管理集成到身份认证平台的应用系统,包括应用基本信息、授权访问密钥,以及是否平台级应用,并从身份认证平台同步人员身份信息,用于支撑应用访问授权管理,同时提供安全API查询用户应用访问权限;
业务应用系统集成统一身份认证的业务应用系统,当用户请求系统需要授权的资源时,通过校验LptaToken和应用账号授权,决定用户是否具有资源访问权限;当用户在本系统发起退出操作时,需要重定向到身份认证平台,执行单点退出。
2.根据权利要求1所述的Web系统身份认证系统,其特征在于:包括第一业务应用系统和第二业务应用系统。
3.根据权利要求1所述的Web系统身份认证系统,其特征在于:身份认证平台、应用授权平台以及所有集成统一身份认证的应用系统都部署在同一个根域名下。
4.一种Web系统身份认证方法,其特征在于:包括如下步骤:
获取身份数据LtpaToken;
获取用户应用授权;
再次访问其他集成的应用系统,通过相同的流程进行认证,获取用户UID后只需要到应用授权平台查询是否具备本系统访问权限即可。
5.根据权利要求4所述的Web系统身份认证方法,其特征在于:每次访问应用系统,均先检测当前根域名下的LtpaToken是否有效,如果无效则跳转到身份认证平台进行登录,用户通过账号/密码登录身份认证平台后,创建有效的LtpaToken,然后重定向到应用系统。
6.根据权利要求4所述的Web系统身份认证方法,其特征在于:应用系统解析有效的LtpaToken读取用户身份标识UID,然后通过应用授权平台安全接口检查用户是否具备该系统的访问权限,如果具备则返回用户及应用账号信息,应用系统创建自己的Session信息,授权完成。
7.根据权利要求4所述的Web系统身份认证方法,其特征在于:该方法还包括多入口、多中心平台级应用构建,根据企业自身情况可以按某个或某几个应用系统为平台级应用构建多入口、多中心应用场景;
首先,先在应用授权平台将选定的应用授权为平台级应用;
访问平台级应用,完成身份认证;
进行认证授权时,据此动态创建旗下的应用系统入口;
应用单点退出,在任意加入统一身份认证的系统中发起退出登录请求,其先清理自身的登录Session,然后将根域名中的LtpaToken设置为无效,此时用户访问其他应用系统时,重新到身份认证平台进行账户/密码认证,即完成单点退出。
CN202110701782.1A 2021-06-23 2021-06-23 一种Web系统身份认证系统和方法 Pending CN113660192A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110701782.1A CN113660192A (zh) 2021-06-23 2021-06-23 一种Web系统身份认证系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110701782.1A CN113660192A (zh) 2021-06-23 2021-06-23 一种Web系统身份认证系统和方法

Publications (1)

Publication Number Publication Date
CN113660192A true CN113660192A (zh) 2021-11-16

Family

ID=78489004

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110701782.1A Pending CN113660192A (zh) 2021-06-23 2021-06-23 一种Web系统身份认证系统和方法

Country Status (1)

Country Link
CN (1) CN113660192A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114327389A (zh) * 2021-12-24 2022-04-12 商派软件有限公司 应用管理方法、账号管理插件以及应用管理系统
CN115085944A (zh) * 2022-08-22 2022-09-20 四川蜀天信息技术有限公司 一种多空间场景RESTful API统一用户鉴权管理方法和系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103259663A (zh) * 2013-05-07 2013-08-21 南京邮电大学 一种云计算环境下的用户统一认证方法
US20140282966A1 (en) * 2013-03-16 2014-09-18 International Business Machines Corporation Prevention of password leakage with single sign on in conjunction with command line interfaces
CN107425983A (zh) * 2017-08-08 2017-12-01 北京明朝万达科技股份有限公司 一种基于web服务的统一身份认证方法及系统平台
CN110334489A (zh) * 2019-07-12 2019-10-15 广州大白互联网科技有限公司 一种统一身份认证系统和方法
CN110688643A (zh) * 2019-11-05 2020-01-14 北京集奥聚合科技有限公司 一种平台身份识别和权限认证的处理方法
CN111291340A (zh) * 2020-03-05 2020-06-16 浪潮通用软件有限公司 一种统一身份认证管理系统及方法
CN111556006A (zh) * 2019-12-31 2020-08-18 远景智能国际私人投资有限公司 第三方应用系统登录方法、装置、终端及sso服务平台

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140282966A1 (en) * 2013-03-16 2014-09-18 International Business Machines Corporation Prevention of password leakage with single sign on in conjunction with command line interfaces
CN103259663A (zh) * 2013-05-07 2013-08-21 南京邮电大学 一种云计算环境下的用户统一认证方法
CN107425983A (zh) * 2017-08-08 2017-12-01 北京明朝万达科技股份有限公司 一种基于web服务的统一身份认证方法及系统平台
CN110334489A (zh) * 2019-07-12 2019-10-15 广州大白互联网科技有限公司 一种统一身份认证系统和方法
CN110688643A (zh) * 2019-11-05 2020-01-14 北京集奥聚合科技有限公司 一种平台身份识别和权限认证的处理方法
CN111556006A (zh) * 2019-12-31 2020-08-18 远景智能国际私人投资有限公司 第三方应用系统登录方法、装置、终端及sso服务平台
CN111291340A (zh) * 2020-03-05 2020-06-16 浪潮通用软件有限公司 一种统一身份认证管理系统及方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114327389A (zh) * 2021-12-24 2022-04-12 商派软件有限公司 应用管理方法、账号管理插件以及应用管理系统
CN115085944A (zh) * 2022-08-22 2022-09-20 四川蜀天信息技术有限公司 一种多空间场景RESTful API统一用户鉴权管理方法和系统
CN115085944B (zh) * 2022-08-22 2022-11-01 四川蜀天信息技术有限公司 一种多空间场景RESTful API统一用户鉴权管理方法和系统

Similar Documents

Publication Publication Date Title
US8572712B2 (en) Device independent authentication system and method
CN110120946A (zh) 一种Web与微服务的统一认证系统及方法
US9069979B2 (en) LDAP-based multi-tenant in-cloud identity management system
US7568098B2 (en) Systems and methods for enhancing security of communication over a public network
CN109643242A (zh) 用于多租户hadoop集群的安全设计和架构
US20060059539A1 (en) Centralized enterprise security policy framework
CN103188248A (zh) 基于单点登录的身份认证系统及方法
CN110535851A (zh) 一种基于oauth2协议的用户认证系统
CN106612246A (zh) 一种模拟身份的统一认证方法
CN105049427B (zh) 应用系统登录账号的管理方法及装置
Namasudra et al. A new table based protocol for data accessing in cloud computing.
CN111131301A (zh) 一种统一鉴权授权方案
CN107277049A (zh) 一种应用系统的访问方法及装置
CN105991734A (zh) 一种云平台管理方法及系统
CN104092702B (zh) 一种分布式系统的网络安全验证方法和系统
CN106534199A (zh) 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台
CN113660192A (zh) 一种Web系统身份认证系统和方法
CN106161364A (zh) 一种基于移动终端的个人认证凭证管理方法及系统
CN111274569A (zh) 统一登录认证的研发运维集成系统及其登录认证方法
CN102497356A (zh) 一种互联网药品交易市场公共服务平台集成系统
CN109862024A (zh) 一种云管理系统的网络授权协议访问控制方法及系统
CN1783780B (zh) 域认证和网络权限认证的实现方法及设备
US20030055935A1 (en) System for managing a computer network
Chen et al. Design of web service single sign-on based on ticket and assertion
Milenković et al. Using Kerberos protocol for single sign-on in identity management systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20211116