CN114021103A - 基于身份认证的单点登录方法、装置、终端及存储介质 - Google Patents
基于身份认证的单点登录方法、装置、终端及存储介质 Download PDFInfo
- Publication number
- CN114021103A CN114021103A CN202111106524.5A CN202111106524A CN114021103A CN 114021103 A CN114021103 A CN 114021103A CN 202111106524 A CN202111106524 A CN 202111106524A CN 114021103 A CN114021103 A CN 114021103A
- Authority
- CN
- China
- Prior art keywords
- user
- identity
- application
- authentication
- identity authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种基于身份认证的单点登录方法、装置、终端及存储介质,该方法包括:接收用户通过客户端发送的身份凭证,其中,身份凭证与用户选择的身份认证策略相对应;根据用户选择的身份认证策略,对身份凭证进行验证;若通过验证确定用户为合法用户,则根据用户选择的身份认证策略确定用户的访问权限,并向用户发送访问票据,使得用户根据票据在访问权限内访问被授权的所有应用系统。本发明能够提高单点登录系统的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于身份认证的单点登录方法、装置、终端及存储介质。
背景技术
在信息化的初期,用户使用的系统较少,只需要记住一两个系统登录身份和密码即可。随着信息化过程的不断深化,用户接触的系统越来越多,由于这些系统各自有独立的认证和授权体系,用户必须同时记住多个身份和密码,造成使用上的困扰。
为解决上述问题,单点登录技术应运而生。它允许用户只登陆一次,即可使用系统中所有已授权的应用系统,具有方便高效的特点。同时结合统一认证机制和统一用户管理功能,可提高系统的安全性,降低运维开销。
然而,现有的单点登录系统大多采用单一身份认证,存在安全性低的问题。
发明内容
有鉴于此,本发明提供了一种基于身份认证的单点登录方法、装置、终端及存储介质,能够解决现有单点登录系统安全性低的问题。
第一方面,本发明实施例提供了一种基于身份认证的单点登录方法,包括:
接收用户通过客户端发送的身份凭证,其中,所述身份凭证与所述用户选择的身份认证策略相对应;
根据所述用户选择的身份认证策略,对所述身份凭证进行验证;
若通过验证确定所述用户为合法用户,则根据所述用户选择的身份认证策略确定所述用户的访问权限,并向所述用户发送访问票据,以使得所述用户根据所述票据在所述访问权限内访问被授权的所有应用系统。
在一种可能的实现方式中,在所述接收用户通过客户端发送的身份凭证之前,该方法还包括:
接收用户的注册信息,建立用户信息表,针对任一用户,所述用户信息表中包括用户身份标识号,多种预设身份认证策略中每一种预设身份认证策略对应的身份凭证;
建立应用信息表,针对任一应用,所述应用信息表中包括所述应用的应用身份标识号、所述应用的名称、所述应用的统一资源定位器URL;
针对任一用户,根据所述用户被授权的所有应用,建立所述用户信息表和所述应用信息表的映射关系,所述映射关系中包括所述用户的身份标识号与所述用户被授权的所有应用的应用标识号的映射关系。
在一种可能的实现方式中,所述多种预设身份认证策略包括静态口令认证策略、动态口令认证策略、生物识别认证策略和数字证书认证策略,其中所述静态口令认证策略对应的身份凭证为用户名和密码,所述动态口令认证策略对应的身份凭证为用户名和动态密码,生物识别认证策略对应的身份凭证为用户的至少一种生物学特征,数字证书认证策略对应的身份凭证为用户的CA证书。
在一种可能的实现方式中,该方法还包括:
确定所述多种预设身份认证策略的优先级,其中,按照优先级由高到低的顺序依次为数字证书认证策略、生物识别认证策略、动态口令认证策略和静态口令认证策略;
针对任一种预设身份认证策略,根据所述预设身份认证策略的优先级,建立与所述预设身份认证策略相对应的访问权限。
在一种可能的实现方式中,该方法还包括:
确定所述多种预设身份认证策略的优先级,其中,按照优先级由高到低的顺序依次为数字证书认证策略、生物识别认证策略、动态口令认证策略和静态口令认证策略;
针对任一应用,确定所述应用支持的最低优先级的身份认证策略;
针对任一用户,根据所述用户的用户身份标识号,获取所述用户被授权的所有应用,根据所述用户被授权的所有应用中每个应用支持的最低优先级的身份认证策略,确定所述用户的身份认证策略。
在一种可能的实现方式中,该方法还包括:
接收应用服务器发送的身份验证请求,所述身份验证请求是所述应用服务器接收到所述用户发送的访问请求后,用于验证所述用户是否为合法用户的请求,所述身份验证请求中包含所述访问票据、所述用户的用户身份标识号和所述应用服务器所对应应用的应用身份标识号;
若确定访问票据合法,且根据所述用户身份标识号和所述应用身份标识号,确定所述应用为所述用户的被授权应用,则向所述应用服务器发送用于表示所述用户合法的响应消息。
在一种可能的实现方式中,该方法还包括:
通过预设加密算法对所述访问票据进行加密处理。
第二方面,本发明实施例提供了一种基于身份认证的单点登录装置,包括:接收模块、验证模块和发送模块;
所述接收模块,用于接收用户通过客户端发送的身份凭证,其中,所述身份凭证与所述用户选择的身份认证策略相对应;
所述验证模块,用于根据所述用户选择的身份认证策略,对所述身份凭证进行验证;
所述发送模块,用于若通过验证确定所述用户为合法用户,则根据所述用户选择的身份认证策略确定所述用户的访问权限,并向所述用户发送访问票据,以使得所述用户根据所述票据在所述访问权限内访问被授权的所有应用系统。
第三方面,本发明实施例提供了一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上第一方面或第一方面的任一种可能的实现方式所述方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上第一方面或第一方面的任一种可能的实现方式所述方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:本发明实施例通过支持多种身份认证策略,并根据用户选择的身份认证策略确定用户的访问权限,为用户签发与该访问权限相对应的访问票据,使得不同身份认证策略的用户的访问权限不同,提高了单点登录系统的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于身份认证的单点登录方法的实现流程图;
图2是本发明实施例提供的一种基于身份认证的单点登录装置的结构示意图;
图3是本发明实施例提供的终端的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图通过具体实施例来进行说明。
参见图1,其示出了本发明实施例提供的一种基于身份认证的单点登录方法的实现流程图,详述如下:
在步骤S101中、接收用户通过客户端发送的身份凭证,其中,身份凭证与用户选择的身份认证策略相对应。
在本发明实施例中,预先建立用户信息表、应用信息表和用户与被授权应用的映射关系。
在一种可能的实现方式中:接收用户的注册信息,建立用户信息表,针对任一用户,用户信息表中包括用户身份标识号,多种预设身份认证策略中每一种预设身份认证策略对应的身份凭证;建立应用信息表,针对任一应用,应用信息表中包括应用的应用身份标识号、应用的名称、应用的统一资源定位器URL;针对任一用户,根据用户被授权的所有应用,建立用户信息表和应用信息表的映射关系,映射关系中包括用户的身份标识号与用户被授权的所有应用的应用标识号的映射关系。
在步骤S102中、根据用户选择的身份认证策略,对身份凭证进行验证。
在一种可能的实现方式中,多种预设身份认证策略包括静态口令认证策略、动态口令认证策略、生物识别认证策略和数字证书认证策略,其中静态口令认证策略对应的身份凭证为用户名和密码,动态口令认证策略对应的身份凭证为用户名和动态密码,生物识别认证策略对应的身份凭证为用户的至少一种生物学特征,数字证书认证策略对应的身份凭证为用户的CA证书。
用户选择的身份认证策略可能是上述多种预设身份认证策略中的任一种。
接收到与用户选择的身份认证策略相对应的身份凭证后,根据用户的用户身份标识号,在用户信息表中找到用户注册的与该身份认证策略相对应的身份凭证,据此对用户发送的身份凭证进行验证。
在步骤S103中、若通过验证确定用户为合法用户,则根据用户选择的身份认证策略确定用户的访问权限,并向用户发送访问票据,以使得用户根据票据在访问权限内访问被授权的所有应用系统。
在一种可能的实现方式中,该方法还包括:确定多种预设身份认证策略的优先级,其中,按照优先级由高到低的顺序依次为数字证书认证策略、生物识别认证策略、动态口令认证策略和静态口令认证策略;针对任一种预设身份认证策略,根据预设身份认证策略的优先级,建立与预设身份认证策略相对应的访问权限。
即,数字证书认证策略对应的访问权限最大,生物识别认证策略对应的访问权限次之,动态口令认证策略对应的访问权限再次之,静态口令认证策略对应的访问权限最低。
通过这种方式,根据用户选择的身份认证策略,即可确定其对应的访问权限。由于身份认证策略的优先级设定,是依据其安全性进行设置的,安全性越高,其优先级也越高,对应的访问权限也越大,从而保证了单点登录系统的安全性。
进一步的,为进一步保证单点登录系统的安全性,本发明实施例提供的方法还包括:
确定多种预设身份认证策略的优先级,其中,按照优先级由高到低的顺序依次为数字证书认证策略、生物识别认证策略、动态口令认证策略和静态口令认证策略;针对任一应用,确定应用支持的最低优先级的身份认证策略;针对任一用户,根据用户的用户身份标识号,获取用户被授权的所有应用,根据用户被授权的所有应用中每个应用支持的最低优先级的身份认证策略,确定用户的身份认证策略。
例如,用户1被授权的应用分别为应用1、应用2、应用3和应用4。应用1支持的最低优先级的身份认证策略为动态口令认证策略,应用2至应用4支持的最低优先级的身份认证策略为静态口令认证策略,则用户1只可以选择大于等于动态口令认证策略所对应优先级的认证策略,即用户1可以选择动态口令认证策略、生物识别认证策略和数字证书认证策略,并根据选择的身份认证策略得到对应的访问权限,但不可以选择静态口令认证策略。从而提高了一些安全等级比较高的应用系统的安全性,进而提高了整个单点登录系统的安全。
在一种可能的实现方式中,客户端接收到访问凭证后,通过如下方法访问被授权的所有应用:接收应用服务器发送的身份验证请求,身份验证请求是应用服务器接收到用户发送的访问请求后,用于验证用户是否为合法用户的请求,身份验证请求中包含访问票据、用户的用户身份标识号和应用服务器所对应应用的应用身份标识号;若确定访问票据合法,且根据用户身份标识号和应用身份标识号,确定应用为用户的被授权应用,则向应用服务器发送用于表示用户合法的响应消息。
在一种可能的实现方式中,为保证访问票据的安全性,本发明实施例提供的方法还包括:通过预设加密算法对所述访问票据进行加密处理。
本发明通过支持多种身份认证策略,并根据用户选择的身份认证策略确定用户的访问权限,为用户签发与该访问权限相对应的访问票据,使得不同身份认证策略的用户的访问权限不同,提高了单点登录系统的安全性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
以下为本发明的装置实施例,对于其中未详尽描述的细节,可以参考上述对应的方法实施例。
图2示出了本发明实施例提供的基于身份认证的单点登录装置的结构示意图,为了便于说明,仅示出了与本发明实施例相关的部分,详述如下:
如图2所示,基于身份认证的单点登录装置2包括:接收模块21、验证模块22和发送模块23;
接收模块21,用于接收用户通过客户端发送的身份凭证,其中,身份凭证与用户选择的身份认证策略相对应;
验证模块22,用于根据用户选择的身份认证策略,对身份凭证进行验证;
发送模块23,用于若通过验证确定用户为合法用户,则根据用户选择的身份认证策略确定用户的访问权限,并向用户发送访问票据,以使得用户根据票据在访问权限内访问被授权的所有应用系统。
在一种可能的实现方式中,验证模块22还用于:
接收用户的注册信息,建立用户信息表,针对任一用户,所述用户信息表中包括用户身份标识号,多种预设身份认证策略中每一种预设身份认证策略对应的身份凭证;
建立应用信息表,针对任一应用,应用信息表中包括应用的应用身份标识号、应用的名称、应用的统一资源定位器URL;
针对任一用户,根据用户被授权的所有应用,建立用户信息表和应用信息表的映射关系,映射关系中包括用户的身份标识号与用户被授权的所有应用的应用标识号的映射关系。
在一种可能的实现方式中,多种预设身份认证策略包括静态口令认证策略、动态口令认证策略、生物识别认证策略和数字证书认证策略,其中静态口令认证策略对应的身份凭证为用户名和密码,动态口令认证策略对应的身份凭证为用户名和动态密码,生物识别认证策略对应的身份凭证为用户的至少一种生物学特征,数字证书认证策略对应的身份凭证为用户的CA证书。
在一种可能的实现方式中,验证模块22还用于:确定多种预设身份认证策略的优先级,其中,按照优先级由高到低的顺序依次为数字证书认证策略、生物识别认证策略、动态口令认证策略和静态口令认证策略;
针对任一种预设身份认证策略,根据预设身份认证策略的优先级,建立与预设身份认证策略相对应的访问权限。
在一种可能的实现方式中,验证模块22还用于:确定多种预设身份认证策略的优先级,其中,按照优先级由高到低的顺序依次为数字证书认证策略、生物识别认证策略、动态口令认证策略和静态口令认证策略;
针对任一应用,确定应用支持的最低优先级的身份认证策略;
针对任一用户,根据用户的用户身份标识号,获取用户被授权的所有应用,根据用户被授权的所有应用中每个应用支持的最低优先级的身份认证策略,确定用户的身份认证策略。
在一种可能的实现方式中,验证模块22还用于:接收应用服务器发送的身份验证请求,身份验证请求是应用服务器接收到用户发送的访问请求后,用于验证用户是否为合法用户的请求,身份验证请求中包含访问票据、用户的用户身份标识号和应用服务器所对应应用的应用身份标识号;
若确定访问票据合法,且根据用户身份标识号和应用身份标识号,确定应用为用户的被授权应用,则向应用服务器发送用于表示用户合法的响应消息。
在一种可能的实现方式中,验证模块22还用于:通过预设加密算法对访问票据进行加密处理。
本发明通过支持多种身份认证策略,并根据用户选择的身份认证策略确定用户的访问权限,为用户签发与该访问权限相对应的访问票据,使得不同身份认证策略的用户的访问权限不同,提高了单点登录系统的安全性。
本实施例提供的基于身份认证的单点登录装置,可用于执行上述基于身份认证的单点登录方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
图3是本发明一实施例提供的终端的示意图。如图3所示,该实施例的终端3包括:处理器30、存储器31以及存储在所述存储器31中并可在所述处理器30上运行的计算机程序32。所述处理器30执行所述计算机程序32时实现上述各个基于身份认证的单点登录方法实施例中的步骤,例如图1所示的步骤101至步骤103。或者,所述处理器30执行所述计算机程序32时实现上述各装置实施例中各模块/单元的功能,例如图2所示单元21至23的功能。
示例性的,所述计算机程序32可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器31中,并由所述处理器30执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序32在所述终端3中的执行过程。
所述终端3可以是基于应用场景设定的认证服务器、单点登录服务器等。所述终端3可包括,但不仅限于,处理器30、存储器31。本领域技术人员可以理解,图3仅仅是终端3的示例,并不构成对终端3的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端还可以包括输入输出设备、网络接入设备、总线等。
所称处理器30可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器31可以是所述终端3的内部存储单元,例如终端3的硬盘或内存。所述存储器31也可以是所述终端3的外部存储设备,例如所述终端3上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器31还可以既包括所述终端3的内部存储单元也包括外部存储设备。所述存储器31用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述存储器31还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个基于身份认证的单点登录方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于身份认证的单点登录方法,其特征在于,该方法包括:
接收用户通过客户端发送的身份凭证,其中,所述身份凭证与所述用户选择的身份认证策略相对应;
根据所述用户选择的身份认证策略,对所述身份凭证进行验证;
若通过验证确定所述用户为合法用户,则根据所述用户选择的身份认证策略确定所述用户的访问权限,并向所述用户发送访问票据,以使得所述用户根据所述票据在所述访问权限内访问被授权的所有应用系统。
2.根据权利要求1所述的方法,其特征在于,在所述接收用户通过客户端发送的身份凭证之前,该方法还包括:
接收用户的注册信息,建立用户信息表,针对任一用户,所述用户信息表中包括用户身份标识号,多种预设身份认证策略中每一种预设身份认证策略对应的身份凭证;
建立应用信息表,针对任一应用,所述应用信息表中包括所述应用的应用身份标识号、所述应用的名称、所述应用的统一资源定位器URL;
针对任一用户,根据所述用户被授权的所有应用,建立所述用户信息表和所述应用信息表的映射关系,所述映射关系中包括所述用户的身份标识号与所述用户被授权的所有应用的应用标识号的映射关系。
3.根据权利要求2所述的方法,其特征在于,所述多种预设身份认证策略包括静态口令认证策略、动态口令认证策略、生物识别认证策略和数字证书认证策略,其中所述静态口令认证策略对应的身份凭证为用户名和密码,所述动态口令认证策略对应的身份凭证为用户名和动态密码,生物识别认证策略对应的身份凭证为用户的至少一种生物学特征,数字证书认证策略对应的身份凭证为用户的CA证书。
4.根据权利要求3所述的方法,其特征在于,该方法还包括:
确定所述多种预设身份认证策略的优先级,其中,按照优先级由高到低的顺序依次为数字证书认证策略、生物识别认证策略、动态口令认证策略和静态口令认证策略;
针对任一种预设身份认证策略,根据所述预设身份认证策略的优先级,建立与所述预设身份认证策略相对应的访问权限。
5.根据权利要求3所述的方法,其特征在于,该方法还包括:
确定所述多种预设身份认证策略的优先级,其中,按照优先级由高到低的顺序依次为数字证书认证策略、生物识别认证策略、动态口令认证策略和静态口令认证策略;
针对任一应用,确定所述应用支持的最低优先级的身份认证策略;
针对任一用户,根据所述用户的用户身份标识号,获取所述用户被授权的所有应用,根据所述用户被授权的所有应用中每个应用支持的最低优先级的身份认证策略,确定所述用户的身份认证策略。
6.根据权利要求2所述的方法,其特征在于,该方法还包括:
接收应用服务器发送的身份验证请求,所述身份验证请求是所述应用服务器接收到所述用户发送的访问请求后,用于验证所述用户是否为合法用户的请求,所述身份验证请求中包含所述访问票据、所述用户的用户身份标识号和所述应用服务器所对应应用的应用身份标识号;
若确定访问票据合法,且根据所述用户身份标识号和所述应用身份标识号,确定所述应用为所述用户的被授权应用,则向所述应用服务器发送用于表示所述用户合法的响应消息。
7.根据权利要求1至6任一项所述的方法,其特征在于,该方法还包括:
通过预设加密算法对所述访问票据进行加密处理。
8.一种基于身份认证的单点登录装置,其特征在于,包括:接收模块、验证模块和发送模块;
所述接收模块,用于接收用户通过客户端发送的身份凭证,其中,所述身份凭证与所述用户选择的身份认证策略相对应;
所述验证模块,用于根据所述用户选择的身份认证策略,对所述身份凭证进行验证;
所述发送模块,用于若通过验证确定所述用户为合法用户,则根据所述用户选择的身份认证策略确定所述用户的访问权限,并向所述用户发送访问票据,以使得所述用户根据所述票据在所述访问权限内访问被授权的所有应用系统。
9.一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上的权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上的权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111106524.5A CN114021103A (zh) | 2021-09-22 | 2021-09-22 | 基于身份认证的单点登录方法、装置、终端及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111106524.5A CN114021103A (zh) | 2021-09-22 | 2021-09-22 | 基于身份认证的单点登录方法、装置、终端及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114021103A true CN114021103A (zh) | 2022-02-08 |
Family
ID=80054517
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111106524.5A Pending CN114021103A (zh) | 2021-09-22 | 2021-09-22 | 基于身份认证的单点登录方法、装置、终端及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114021103A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115842680A (zh) * | 2023-02-14 | 2023-03-24 | 杭州西软计算机工程有限公司 | 一种网络身份认证管理方法及系统 |
CN115987956A (zh) * | 2022-12-28 | 2023-04-18 | 中国电子产业工程有限公司 | Web代理应用的资源引用方法、电子设备及存储介质 |
CN116361760A (zh) * | 2023-06-01 | 2023-06-30 | 湖南三湘银行股份有限公司 | 一种基于生物探针技术的身份认证装置 |
-
2021
- 2021-09-22 CN CN202111106524.5A patent/CN114021103A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115987956A (zh) * | 2022-12-28 | 2023-04-18 | 中国电子产业工程有限公司 | Web代理应用的资源引用方法、电子设备及存储介质 |
CN115987956B (zh) * | 2022-12-28 | 2024-03-12 | 中国电子产业工程有限公司 | Web代理应用的资源引用方法、电子设备及存储介质 |
CN115842680A (zh) * | 2023-02-14 | 2023-03-24 | 杭州西软计算机工程有限公司 | 一种网络身份认证管理方法及系统 |
CN115842680B (zh) * | 2023-02-14 | 2023-05-02 | 杭州西软计算机工程有限公司 | 一种网络身份认证管理方法及系统 |
CN116361760A (zh) * | 2023-06-01 | 2023-06-30 | 湖南三湘银行股份有限公司 | 一种基于生物探针技术的身份认证装置 |
CN116361760B (zh) * | 2023-06-01 | 2023-08-15 | 湖南三湘银行股份有限公司 | 一种基于生物探针技术的身份认证装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110915183B (zh) | 经由硬/软令牌验证的区块链认证 | |
US10484359B2 (en) | Device-level authentication with unique device identifiers | |
CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
US8091120B2 (en) | Adaptive authentication methods, systems, devices, and computer program products | |
EP3005648B1 (en) | Terminal identification method, and method, system and apparatus of registering machine identification code | |
CN114021103A (zh) | 基于身份认证的单点登录方法、装置、终端及存储介质 | |
CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
US20170126685A1 (en) | Resource access control using a validation token | |
EP2278523A2 (en) | Network access protection | |
US20140053251A1 (en) | User account recovery | |
CN108512845B (zh) | 接口调用的校验方法及装置 | |
WO2014048749A1 (en) | Inter-domain single sign-on | |
CN102457491B (zh) | 动态身份认证方法和系统 | |
CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
CN113312674B (zh) | 基于多因子环境感知数字证书的接入安全的方法和系统 | |
CN108462687A (zh) | 防刷登录的方法、装置、终端设备及存储介质 | |
CN109756446A (zh) | 一种车载设备的访问方法和系统 | |
CN112583607A (zh) | 一种设备访问管理方法、装置、系统及存储介质 | |
EP3062254B1 (en) | License management for device management system | |
CN114422258A (zh) | 一种基于多认证协议的单点登录方法、介质及电子设备 | |
CN111399980A (zh) | 容器编排器的安全认证方法、装置及系统 | |
CN107395350B (zh) | 密钥及密钥句柄的生成方法、系统及智能密钥安全设备 | |
CN109547404B (zh) | 数据的获取方法及服务器 | |
CN112738005A (zh) | 访问处理方法、装置、系统、第一认证服务器及存储介质 | |
CN103559430A (zh) | 基于安卓系统的应用账号管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |