CN113852628A - 一种去中心化的单点登录方法、装置及存储介质 - Google Patents

一种去中心化的单点登录方法、装置及存储介质 Download PDF

Info

Publication number
CN113852628A
CN113852628A CN202111118381.XA CN202111118381A CN113852628A CN 113852628 A CN113852628 A CN 113852628A CN 202111118381 A CN202111118381 A CN 202111118381A CN 113852628 A CN113852628 A CN 113852628A
Authority
CN
China
Prior art keywords
user
link
verification
serial number
signdata
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111118381.XA
Other languages
English (en)
Other versions
CN113852628B (zh
Inventor
陈来来
李耀
彭磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Zhongbang Bank Co Ltd
Original Assignee
Wuhan Zhongbang Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Zhongbang Bank Co Ltd filed Critical Wuhan Zhongbang Bank Co Ltd
Priority to CN202111118381.XA priority Critical patent/CN113852628B/zh
Publication of CN113852628A publication Critical patent/CN113852628A/zh
Application granted granted Critical
Publication of CN113852628B publication Critical patent/CN113852628B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及信息化技术领域,提供了一种去中心化的单点登录方法、装置及存储介质。解决用户在不同系统办理不同业务,需要来回切换登录验证,体验感差,操作不方便等问题。主要方案包括用户在A系统验证通过后,再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA,然后用加密DATA生成签名SignData,最后生成链接B‑URL携带加密DATA和签名SignData参数展示到A系统前端UI页面;用户点击A系统链接B‑URL,B系统接收加密DATA和签名值SignData两个请求参数,先用与A系统对应的非对称算法RSA私钥验证签名值SignData,通过后用RSA私钥解密,如能正常解密,再将唯一流水号通过网络接口从B系统发送A系统进行校验,校验通过即可认为用户受信任登录成功。

Description

一种去中心化的单点登录方法、装置及存储介质
技术领域
本发明涉及信息化技术领域,提供了一种去中心化的单点登录方法、装置及存储介质。
背景技术
现有技术架构:
目前企业网银和企业现金管理系统采用不同厂商的不通技术框架,但两套系统用户体系存在高度重合,部分企业用户会同时用到两个系统的不同功能,每个系统又都有单独的登录信息安全认证功能体系,无法做到系统间的安全登录认证互信,用户频繁操作两个系统需要多次登录验证,用户体验度差。缺乏统一的单点登录系统和用户中心体系,无法在短期内建成。
业务压力:
随着两个用户使用量的增多,业务方提出为方便用户操作,需要在两个系统之间进行互相受信任跳转,而无需重复登录,提升用户使用便捷度。
发明内容
本发明的目的在于解决现在缺乏统一的单点登录系统和用户中心体系,无法在短期内建成,同时两个系统用户体系存在高度重合,解决用户在不同系统办理不同业务,需要来回切换登录验证,体验感差,操作不方便等问题。
为了达到上述的目的,本发明采用如下技术方案:
本发明提供了一种去中心化的单点登录方法,包括以下步骤:
S1.用户信息在A系统组装:
用户在A系统用登录名和密码登录验证通过后,服务端系统生成一笔校验流水持久化到数据库,再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA,然后用加密DATA生成签名SignData,最后生成链接B-URL携带加密DATA和签名SignData参数展示到A系统前端UI页面,为后续用户点击跳转B系统提供入口;
S2.用户信息在B系统解码:
用户点击A系统前端UI跳转B系统的链接B-URL,B系统接收加密DATA和签名值SignData两个请求参数,先用与A系统对应的非对称算法RSA私钥验证签名值SignData,通过后用RSA私钥解密,获得用户ID和唯一流水号、时间戳,如能正常解密,判定时间戳在有效期内,再将唯一流水号通过网络接口从B系统发送A系统进行校验,校验通过的同时将该流水号置为已使用并持久化到数据库(不可再次校验使用),此时即可认为用户受信任登录成功,在B系统不再进行登录信息校验,直接认定已经在B系统登录成功,直接加载该用户相关登录后信息。
在上述技术方案的基础上,所诉步骤S1包括以下步骤:
步骤1.1:A系统在用户登录成功后,服务端先预生成一笔校验流水持久化到数据库,包含用户ID、唯一流水号、时间戳、使用状态等;
步骤2.1:A系统提供一个唯一流水号校验接口J,判断该唯一流水号是否存在且未使用,若存在且未使用则验证校验通过,否则校验失败。该接口供其他系统调用,如验证通过,则将使用状态置为已使用,不可再次校验,并将使用状态持久化到数据库;
步骤3.1:提前生成一对RSA公私钥,将公钥保存在A系统服务端中,将私钥提供给B系统;s
步骤4.1:用RSA公钥将用户ID和唯一流水号、时间戳进行加密产生加密DATA;
步骤5.1:用RSA公钥将加密DATA进行签名,产生签名值SignData;
步骤6.1:生成跳转B系统的链接B-URL,在链接中携带加密DATA和签名SignData参数(如B系统的互联网访问域名为https://b.com,则跳转链接地址为:https://b.com?Data=加密DATA&Sign=签名值SignData);
步骤7.1:生成跳转B系统的链接B-URL,展示到A系统前端页面,链接到跳转B系统的功能菜单上,展示到A系统前端页面。
在上述技术方案的基础上,所诉步骤S2包括以下步骤:
步骤2.1:用户点击A系统前端UI跳转B系统功能菜单的链接B-URL,获取链接中携带的加密DATA和签名SignData参数;
步骤2.2:用B系统中保存的RSA私钥验证签名值SignData,验证不通过则拒绝该链接,说明数据被非法篡改;验证通过则继续下一步操作;
步骤2.3:用B系统中保存的RSA私钥继续解密参数加密DATA,获得用户ID和唯一流水号、时间戳等信息;
步骤2.4:为了保证链接的安全时效性同时满足用户使用期限,设定h为链接有效期,判定时间戳从产生到解密在这h内为链接有效期,超出则拒绝该链接,提示链接失效;验证通过则继续下一步操作;
步骤2.5:B系统服务端将唯一流水号在双方系统安全且可信任的网络环境(包括但不限于内网、开发平台网关等),调用A系统事先定义好的唯一流水校验接口J进行校验,校验该唯一流水号是否存在、是否已使用,如不存在则说明流水号非法并拒绝;如唯一流水号已使用,再说明重复验证也一并拒绝;如存在且未使用则验证通过,先将A系统的使用状态改为已使用持久化到数据库中,同时继续下一步操作;
步骤2.6:以上步骤校验通过后,则认定用户受信任登录成功,通过该用户ID加载用户登录后相关信息,至此受信任登录跳转完成。
本发明还提供了一种去中心化的单点登录装置,包括:
用户信息在A系统组装模块:
用户在A系统用登录名和密码登录验证通过后,服务端系统生成一笔校验流水持久化到数据库,再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA,然后用加密DATA生成签名SignData,最后生成链接B-URL携带加密DATA和签名SignData参数展示到A系统前端UI页面,为后续用户点击跳转B系统提供入口;
用户信息在B系统解码模块:
用户点击A系统前端UI跳转B系统的链接B-URL,B系统接收加密DATA和签名值SignData两个请求参数,先用与A系统对应的非对称算法RSA私钥验证签名值SignData,通过后用RSA私钥解密,获得用户ID和唯一流水号、时间戳,如能正常解密,判定时间戳在有效期内,再将唯一流水号通过网络接口从B系统发送A系统进行校验,校验通过的同时将该流水号置为已使用并持久化到数据库(不可再次校验使用),此时即可认为用户受信任登录成功,在B系统不再进行登录信息校验,直接认定已经在B系统登录成功,直接加载该用户相关登录后信息。
在上述技术方案的基础上,用户信息在A系统组装模块,实现步骤:
步骤1.1:A系统在用户登录成功后,服务端先预生成一笔校验流水持久化到数据库,包含用户ID、唯一流水号、时间戳、使用状态等;
步骤2.1:A系统提供一个唯一流水号校验接口J,判断该唯一流水号是否存在且未使用,若存在且未使用则验证校验通过,否则校验失败。该接口供其他系统调用,如验证通过,则将使用状态置为已使用,不可再次校验,并将使用状态持久化到数据库;
步骤3.1:提前生成一对RSA公私钥,将公钥保存在A系统服务端中,将私钥提供给B系统;s
步骤4.1:用RSA公钥将用户ID和唯一流水号、时间戳进行加密产生加密DATA;
步骤5.1:用RSA公钥将加密DATA进行签名,产生签名值SignData;
步骤6.1:生成跳转B系统的链接B-URL,在链接中携带加密DATA和签名SignData参数(如B系统的互联网访问域名为https://b.com,则跳转链接地址为:https://b.com?Data=加密DATA&Sign=签名值SignData);
步骤7.1:生成跳转B系统的链接B-URL,展示到A系统前端页面,链接到跳转B系统的功能菜单上,展示到A系统前端页面。
在上述技术方案的基础上,用户信息在B系统解码模块,实现步骤:
步骤2.1:用户点击A系统前端UI跳转B系统功能菜单的链接B-URL,获取链接中携带的加密DATA和签名SignData参数;
步骤2.2:用B系统中保存的RSA私钥验证签名值SignData,验证不通过则拒绝该链接,说明数据被非法篡改;验证通过则继续下一步操作;
步骤2.3:用B系统中保存的RSA私钥继续解密参数加密DATA,获得用户ID和唯一流水号、时间戳等信息;
步骤2.4:为了保证链接的安全时效性同时满足用户使用期限,设定h为链接有效期,判定时间戳从产生到解密在这h内为链接有效期,超出则拒绝该链接,提示链接失效;验证通过则继续下一步操作;
步骤2.5:B系统服务端将唯一流水号在双方系统安全且可信任的网络环境(包括但不限于内网、开发平台网关等),调用A系统事先定义好的唯一流水校验接口J进行校验,校验该唯一流水号是否存在、是否已使用,如不存在则说明流水号非法并拒绝;如唯一流水号已使用,再说明重复验证也一并拒绝;如存在且未使用则验证通过,先将A系统的使用状态改为已使用持久化到数据库中,同时继续下一步操作;
步骤2.6:以上步骤校验通过后,则认定用户受信任登录成功,通过该用户ID加载用户登录后相关信息,至此受信任登录跳转完成。
本发明还提供了一种存储介质,所述存储介质存储有一种去中心化的单点登录的程序,处理器执行所述程序时,实现所述的一种去中心化的单点登录方法。
本发明因为采用上述技术方案,因此具备以下有益效果:
1.在几个系统用户体系存在高度重合,各自系统差异化大,业务功能互为补充,为用户提供统一的登录认证方式,提升用户使用的便捷性。
2.在为数不多的几个系统间,受信任跳转登录,减少中心化的单点登录系统和用户中心系统建设成本和维护成本。
3.本技术直接运用于不同的互联网系统之间的受信任登录跳转,实现单点登录的目的,尤其针对在缺乏中心化的单点登录系统和用户中心体系的少数几个不同系统间受信任跳转登录。通过该技术可以快速的实现对各互联网系统之间受信任登录跳转改造,减少用户在同一个企业平台下多个不同功能业务系统的身份验证次数,提升用户体验,同时保证用户认证信息数据在不同系统中验证安全可靠。
附图说明
图1为本发明逻辑流程图示意图。
为了使本发明的目的、是该技术线路流程图更加清楚明白,可以结合一下附图进行理解。具体实施方式
本发明提供了一种去中心化的单点登录方法,包括以下步骤:
S1.用户信息在A系统组装:
用户在A系统用登录名和密码登录验证通过后,服务端系统生成一笔校验流水持久化到数据库,再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA,然后用加密DATA生成签名SignData,最后生成链接B-URL携带加密DATA和签名SignData参数展示到A系统前端UI页面,为后续用户点击跳转B系统提供入口;
S2.用户信息在B系统解码:
用户点击A系统前端UI跳转B系统的链接B-URL,B系统接收加密DATA和签名值SignData两个请求参数,先用与A系统对应的非对称算法RSA私钥验证签名值SignData,通过后用RSA私钥解密,获得用户ID和唯一流水号、时间戳,如能正常解密,判定时间戳在有效期内,再将唯一流水号通过网络接口从B系统发送A系统进行校验,校验通过的同时将该流水号置为已使用并持久化到数据库(不可再次校验使用),此时即可认为用户受信任登录成功,在B系统不再进行登录信息校验,直接认定已经在B系统登录成功,直接加载该用户相关登录后信息。
在上述技术方案的基础上,所诉步骤S1包括以下步骤:
步骤1.1:A系统在用户登录成功后,服务端先预生成一笔校验流水持久化到数据库,包含用户ID、唯一流水号、时间戳、使用状态等;
步骤2.1:A系统提供一个唯一流水号校验接口J,判断该唯一流水号是否存在且未使用,若存在且未使用则验证校验通过,否则校验失败。该接口供其他系统调用,如验证通过,则将使用状态置为已使用,不可再次校验,并将使用状态持久化到数据库;
步骤3.1:提前生成一对RSA公私钥,将公钥保存在A系统服务端中,将私钥提供给B系统;s
步骤4.1:用RSA公钥将用户ID和唯一流水号、时间戳进行加密产生加密DATA;
步骤5.1:用RSA公钥将加密DATA进行签名,产生签名值SignData;
步骤6.1:生成跳转B系统的链接B-URL,在链接中携带加密DATA和签名SignData参数(如B系统的互联网访问域名为https://b.com,则跳转链接地址为:https://b.com?Data=加密DATA&Sign=签名值SignData);
步骤7.1:生成跳转B系统的链接B-URL,展示到A系统前端页面,链接到跳转B系统的功能菜单上,展示到A系统前端页面。
在上述技术方案的基础上,所诉步骤S2包括以下步骤:
步骤2.1:用户点击A系统前端UI跳转B系统功能菜单的链接B-URL,获取链接中携带的加密DATA和签名SignData参数;
步骤2.2:用B系统中保存的RSA私钥验证签名值SignData,验证不通过则拒绝该链接,说明数据被非法篡改;验证通过则继续下一步操作;
步骤2.3:用B系统中保存的RSA私钥继续解密参数加密DATA,获得用户ID和唯一流水号、时间戳等信息;
步骤2.4:为了保证链接的安全时效性同时满足用户使用期限,设定h为链接有效期,判定时间戳从产生到解密在这h内为链接有效期,超出则拒绝该链接,提示链接失效;验证通过则继续下一步操作;
步骤2.5:B系统服务端将唯一流水号在双方系统安全且可信任的网络环境(包括但不限于内网、开发平台网关等),调用A系统事先定义好的唯一流水校验接口J进行校验,校验该唯一流水号是否存在、是否已使用,如不存在则说明流水号非法并拒绝;如唯一流水号已使用,再说明重复验证也一并拒绝;如存在且未使用则验证通过,先将A系统的使用状态改为已使用持久化到数据库中,同时继续下一步操作;
步骤2.6:以上步骤校验通过后,则认定用户受信任登录成功,通过该用户ID加载用户登录后相关信息,至此受信任登录跳转完成。
本发明还提供了一种去中心化的单点登录装置,包括:
用户信息在A系统组装模块:
用户在A系统用登录名和密码登录验证通过后,服务端系统生成一笔校验流水持久化到数据库,再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA,然后用加密DATA生成签名SignData,最后生成链接B-URL携带加密DATA和签名SignData参数展示到A系统前端UI页面,为后续用户点击跳转B系统提供入口;
用户信息在B系统解码模块:
用户点击A系统前端UI跳转B系统的链接B-URL,B系统接收加密DATA和签名值SignData两个请求参数,先用与A系统对应的非对称算法RSA私钥验证签名值SignData,通过后用RSA私钥解密,获得用户ID和唯一流水号、时间戳,如能正常解密,判定时间戳在有效期内,再将唯一流水号通过网络接口从B系统发送A系统进行校验,校验通过的同时将该流水号置为已使用并持久化到数据库(不可再次校验使用),此时即可认为用户受信任登录成功,在B系统不再进行登录信息校验,直接认定已经在B系统登录成功,直接加载该用户相关登录后信息。
在上述技术方案的基础上,用户信息在A系统组装模块,实现步骤:
步骤1.1:A系统在用户登录成功后,服务端先预生成一笔校验流水持久化到数据库,包含用户ID、唯一流水号、时间戳、使用状态等;
步骤2.1:A系统提供一个唯一流水号校验接口J,判断该唯一流水号是否存在且未使用,若存在且未使用则验证校验通过,否则校验失败。该接口供其他系统调用,如验证通过,则将使用状态置为已使用,不可再次校验,并将使用状态持久化到数据库;
步骤3.1:提前生成一对RSA公私钥,将公钥保存在A系统服务端中,将私钥提供给B系统;s
步骤4.1:用RSA公钥将用户ID和唯一流水号、时间戳进行加密产生加密DATA;
步骤5.1:用RSA公钥将加密DATA进行签名,产生签名值SignData;
步骤6.1:生成跳转B系统的链接B-URL,在链接中携带加密DATA和签名SignData参数(如B系统的互联网访问域名为https://b.com,则跳转链接地址为:https://b.com?Data=加密DATA&Sign=签名值SignData);
步骤7.1:生成跳转B系统的链接B-URL,展示到A系统前端页面,链接到跳转B系统的功能菜单上,展示到A系统前端页面。
在上述技术方案的基础上,用户信息在B系统解码模块,实现步骤:
步骤2.1:用户点击A系统前端UI跳转B系统功能菜单的链接B-URL,获取链接中携带的加密DATA和签名SignData参数;
步骤2.2:用B系统中保存的RSA私钥验证签名值SignData,验证不通过则拒绝该链接,说明数据被非法篡改;验证通过则继续下一步操作;
步骤2.3:用B系统中保存的RSA私钥继续解密参数加密DATA,获得用户ID和唯一流水号、时间戳等信息;
步骤2.4:为了保证链接的安全时效性同时满足用户使用期限,设定h为链接有效期,判定时间戳从产生到解密在这h内为链接有效期,超出则拒绝该链接,提示链接失效;验证通过则继续下一步操作;
步骤2.5:B系统服务端将唯一流水号在双方系统安全且可信任的网络环境(包括但不限于内网、开发平台网关等),调用A系统事先定义好的唯一流水校验接口J进行校验,校验该唯一流水号是否存在、是否已使用,如不存在则说明流水号非法并拒绝;如唯一流水号已使用,再说明重复验证也一并拒绝;如存在且未使用则验证通过,先将A系统的使用状态改为已使用持久化到数据库中,同时继续下一步操作;
步骤2.6:以上步骤校验通过后,则认定用户受信任登录成功,通过该用户ID加载用户登录后相关信息,至此受信任登录跳转完成。

Claims (7)

1.一种去中心化的单点登录方法,其特征在于,包括以下步骤:
S1.用户信息在A系统组装:
用户在A系统用登录名和密码登录验证通过后,服务端系统生成一笔校验流水持久化到数据库,再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA,然后用加密DATA生成签名SignData,最后生成链接B-URL携带加密DATA和签名SignData参数展示到A系统前端UI页面,为后续用户点击跳转B系统提供入口;
S2.用户信息在B系统解码:
用户点击A系统前端UI跳转B系统的链接B-URL,B系统接收加密DATA和签名值SignData两个请求参数,先用与A系统对应的非对称算法RSA私钥验证签名值SignData,通过后用RSA私钥解密,获得用户ID和唯一流水号、时间戳,如能正常解密,判定时间戳在有效期内,再将唯一流水号通过网络接口从B系统发送A系统进行校验,校验通过的同时将该流水号置为已使用并持久化到数据库,此时即可认为用户受信任登录成功,在B系统不再进行登录信息校验,直接认定已经在B系统登录成功,直接加载该用户相关登录后信息。
2.根据权利要求1所述的一种去中心化的单点登录方法,其特征在于:所诉步骤S1包括以下步骤:
步骤1.1:A系统在用户登录成功后,服务端先预生成一笔校验流水持久化到数据库,包含用户ID、唯一流水号、时间戳、使用状态等;
步骤2.1:A系统提供一个唯一流水号校验接口J,判断该唯一流水号是否存在且未使用,若存在且未使用则验证校验通过,否则校验失败。该接口供其他系统调用,如验证通过,则将使用状态置为已使用,不可再次校验,并将使用状态持久化到数据库;
步骤3.1:提前生成一对RSA公私钥,将公钥保存在A系统服务端中,将私钥提供给B系统;s
步骤4.1:用RSA公钥将用户ID和唯一流水号、时间戳进行加密产生加密DATA;
步骤5.1:用RSA公钥将加密DATA进行签名,产生签名值SignData;
步骤6.1:生成跳转B系统的链接B-URL,在链接中携带加密DATA和签名SignData参数;
步骤7.1:生成跳转B系统的链接B-URL,展示到A系统前端页面,链接到跳转B系统的功能菜单上,展示到A系统前端页面。
3.根据权利要求1所述的一种去中心化的单点登录方法,其特征在于:所诉步骤S2包括以下步骤:
步骤2.1:用户点击A系统前端UI跳转B系统功能菜单的链接B-URL,获取链接中携带的加密DATA和签名SignData参数;
步骤2.2:用B系统中保存的RSA私钥验证签名值SignData,验证不通过则拒绝该链接,说明数据被非法篡改;验证通过则继续下一步操作;
步骤2.3:用B系统中保存的RSA私钥继续解密参数加密DATA,获得用户ID和唯一流水号、时间戳等信息;
步骤2.4:为了保证链接的安全时效性同时满足用户使用期限,设定h为链接有效期,判定时间戳从产生到解密在这h内为链接有效期,超出则拒绝该链接,提示链接失效;验证通过则继续下一步操作;
步骤2.5:B系统服务端将唯一流水号在双方系统安全且可信任的网络环境,调用A系统事先定义好的唯一流水校验接口J进行校验,校验该唯一流水号是否存在、是否已使用,如不存在则说明流水号非法并拒绝;如唯一流水号已使用,再说明重复验证也一并拒绝;如存在且未使用则验证通过,先将A系统的使用状态改为已使用持久化到数据库中,同时继续下一步操作;
步骤2.6:以上步骤校验通过后,则认定用户受信任登录成功,通过该用户ID加载用户登录后相关信息,至此受信任登录跳转完成。
4.一种去中心化的单点登录装置,其特征在于,包括:
用户信息在A系统组装模块:
用户在A系统用登录名和密码登录验证通过后,服务端系统生成一笔校验流水持久化到数据库,再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA,然后用加密DATA生成签名SignData,最后生成链接B-URL携带加密DATA和签名SignData参数展示到A系统前端UI页面,为后续用户点击跳转B系统提供入口;
用户信息在B系统解码模块:
用户点击A系统前端UI跳转B系统的链接B-URL,B系统接收加密DATA和签名值SignData两个请求参数,先用与A系统对应的非对称算法RSA私钥验证签名值SignData,通过后用RSA私钥解密,获得用户ID和唯一流水号、时间戳,如能正常解密,判定时间戳在有效期内,再将唯一流水号通过网络接口从B系统发送A系统进行校验,校验通过的同时将该流水号置为已使用并持久化到数据库,此时即可认为用户受信任登录成功,在B系统不再进行登录信息校验,直接认定已经在B系统登录成功,直接加载该用户相关登录后信息。
5.根据权利要求1所述的一种去中心化的单点登录方法,其特征在于:用户信息在A系统组装模块,实现步骤:
步骤1.1:A系统在用户登录成功后,服务端先预生成一笔校验流水持久化到数据库,包含用户ID、唯一流水号、时间戳、使用状态等;
步骤2.1:A系统提供一个唯一流水号校验接口J,判断该唯一流水号是否存在且未使用,若存在且未使用则验证校验通过,否则校验失败。该接口供其他系统调用,如验证通过,则将使用状态置为已使用,不可再次校验,并将使用状态持久化到数据库;
步骤3.1:提前生成一对RSA公私钥,将公钥保存在A系统服务端中,将私钥提供给B系统;s
步骤4.1:用RSA公钥将用户ID和唯一流水号、时间戳进行加密产生加密DATA;
步骤5.1:用RSA公钥将加密DATA进行签名,产生签名值SignData;
步骤6.1:生成跳转B系统的链接B-URL,在链接中携带加密DATA和签名SignData参数;
步骤7.1:生成跳转B系统的链接B-URL,展示到A系统前端页面,链接到跳转B系统的功能菜单上,展示到A系统前端页面。
6.根据权利要求1所述的一种去中心化的单点登录装置,其特征在于:用户信息在B系统解码模块,实现步骤:
步骤2.1:用户点击A系统前端UI跳转B系统功能菜单的链接B-URL,获取链接中携带的加密DATA和签名SignData参数;
步骤2.2:用B系统中保存的RSA私钥验证签名值SignData,验证不通过则拒绝该链接,说明数据被非法篡改;验证通过则继续下一步操作;
步骤2.3:用B系统中保存的RSA私钥继续解密参数加密DATA,获得用户ID和唯一流水号、时间戳等信息;
步骤2.4:为了保证链接的安全时效性同时满足用户使用期限,设定h为链接有效期,判定时间戳从产生到解密在这h内为链接有效期,超出则拒绝该链接,提示链接失效;验证通过则继续下一步操作;
步骤2.5:B系统服务端将唯一流水号在双方系统安全且可信任的网络环境,调用A系统事先定义好的唯一流水校验接口J进行校验,校验该唯一流水号是否存在、是否已使用,如不存在则说明流水号非法并拒绝;如唯一流水号已使用,再说明重复验证也一并拒绝;如存在且未使用则验证通过,先将A系统的使用状态改为已使用持久化到数据库中,同时继续下一步操作;
步骤2.6:以上步骤校验通过后,则认定用户受信任登录成功,通过该用户ID加载用户登录后相关信息,至此受信任登录跳转完成。
7.一种存储介质,其特征在于,所述存储介质存储有一种去中心化的单点登录的程序,处理器执行所述程序时,实现如权利要求1-3任一所述的一种去中心化的单点登录方法。
CN202111118381.XA 2021-09-23 2021-09-23 一种去中心化的单点登录方法、装置及存储介质 Active CN113852628B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111118381.XA CN113852628B (zh) 2021-09-23 2021-09-23 一种去中心化的单点登录方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111118381.XA CN113852628B (zh) 2021-09-23 2021-09-23 一种去中心化的单点登录方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN113852628A true CN113852628A (zh) 2021-12-28
CN113852628B CN113852628B (zh) 2023-09-05

Family

ID=78979562

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111118381.XA Active CN113852628B (zh) 2021-09-23 2021-09-23 一种去中心化的单点登录方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN113852628B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826616A (zh) * 2022-04-27 2022-07-29 中国建设银行股份有限公司 数据处理方法、装置、电子设备和介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710759A (zh) * 2012-05-22 2012-10-03 中国联合网络通信集团有限公司 Web服务器、业务登录方法及系统
CN109544181A (zh) * 2018-11-20 2019-03-29 孟凡富 产品防伪验证方法及系统
CN109802935A (zh) * 2018-11-22 2019-05-24 成都飞机工业(集团)有限责任公司 一种混合模式的企业内网单点登录方法
CN109936569A (zh) * 2019-02-21 2019-06-25 领信智链(北京)科技有限公司 一种基于以太坊区块链的去中心化数字身份登录管理系统
CN112115514A (zh) * 2020-09-27 2020-12-22 浪潮云信息技术股份公司 一种金融ic卡的在线请求合法性验证方法
CN113034266A (zh) * 2021-03-26 2021-06-25 上海孚厘科技有限公司 一种电子流水数据的管理方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710759A (zh) * 2012-05-22 2012-10-03 中国联合网络通信集团有限公司 Web服务器、业务登录方法及系统
CN109544181A (zh) * 2018-11-20 2019-03-29 孟凡富 产品防伪验证方法及系统
CN109802935A (zh) * 2018-11-22 2019-05-24 成都飞机工业(集团)有限责任公司 一种混合模式的企业内网单点登录方法
CN109936569A (zh) * 2019-02-21 2019-06-25 领信智链(北京)科技有限公司 一种基于以太坊区块链的去中心化数字身份登录管理系统
CN112115514A (zh) * 2020-09-27 2020-12-22 浪潮云信息技术股份公司 一种金融ic卡的在线请求合法性验证方法
CN113034266A (zh) * 2021-03-26 2021-06-25 上海孚厘科技有限公司 一种电子流水数据的管理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
程清岭;范天民;魏彦杰;钟勤建;: "二维条码在整车质量追溯系统中的应用" *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826616A (zh) * 2022-04-27 2022-07-29 中国建设银行股份有限公司 数据处理方法、装置、电子设备和介质
CN114826616B (zh) * 2022-04-27 2024-04-26 中国建设银行股份有限公司 数据处理方法、装置、电子设备和介质

Also Published As

Publication number Publication date
CN113852628B (zh) 2023-09-05

Similar Documents

Publication Publication Date Title
CN108092776B (zh) 一种基于身份认证服务器和身份认证令牌的系统
CN107171794B (zh) 一种基于区块链和智能合约的电子文书签署方法
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
CN111080295B (zh) 一种基于区块链的电子合同处理方法以及设备
CN105376216B (zh) 一种远程访问方法、代理服务器及客户端
CN100432889C (zh) 提供断开鉴别的系统和方法
US8627424B1 (en) Device bound OTP generation
US8505085B2 (en) Flexible authentication for online services with unreliable identity providers
CN102609640B (zh) 安全数据分析方法和系统
US7689832B2 (en) Biometric-based system and method for enabling authentication of electronic messages sent over a network
CN103795692B (zh) 开放授权方法、系统与认证授权服务器
CN108834144B (zh) 运营商码号与账号的关联管理方法与系统
CN101051908B (zh) 动态密码认证系统及方法
CN100518411C (zh) 一种基于移动通信终端的动态密码系统及方法
US20120089519A1 (en) System and method for single use transaction signatures
CN102281138B (zh) 一种提高验证码安全性的方法和系统
CN103036681B (zh) 一种密码安全键盘装置及系统
CN111884811B (zh) 一种基于区块链的数据存证方法和数据存证平台
CN101252437A (zh) C/s架构下客户端身份的动态验证方法、系统及装置
US20030135734A1 (en) Secure mutual authentication system
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
CN110380859B (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统
CN107094156A (zh) 一种基于p2p模式的安全通信方法及系统
CN112765626A (zh) 基于托管密钥授权签名方法、装置、系统及存储介质
CN104657860A (zh) 一种手机银行安全认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant