CN114257430A - 一种单点登录系统 - Google Patents
一种单点登录系统 Download PDFInfo
- Publication number
- CN114257430A CN114257430A CN202111518167.3A CN202111518167A CN114257430A CN 114257430 A CN114257430 A CN 114257430A CN 202111518167 A CN202111518167 A CN 202111518167A CN 114257430 A CN114257430 A CN 114257430A
- Authority
- CN
- China
- Prior art keywords
- application system
- information
- single sign
- client
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 18
- 238000012795 verification Methods 0.000 claims abstract description 14
- 238000013475 authorization Methods 0.000 claims description 15
- 235000014510 cooky Nutrition 0.000 claims description 9
- 238000000926 separation method Methods 0.000 description 4
- 238000000034 method Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种单点登录系统,包括客户端、单点登录认证服务端及多个应用系统;客户端,在检测到登录指令后,生成浏览器指纹,基于浏览器指纹,生成用于访问应用系统的访问请求并发送至应用系统;应用系统,用于接收访问请求,并根据访问请求向单点登录认证服务端发送验证请求;单点登录认证服务端,用于对登录信息进行校验;若校验显示登录信息无误,将用户信息进行加密,生成token信息并返回给应用系统;应用系统还用于对token信息进行解密,得到用户信息;对用户信息进行验证,若验证结果显示无误,与客户端建立通信连接。本发明可以通过浏览器指纹唯一标识客户端,避免了浏览器跨域失效问题,实现了客户端多应用系统间的单点登录。
Description
技术领域
本发明涉及应用系统登录技术领域,尤其是一种单点登录系统。
背景技术
在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。
发明内容
针对现有技术中的缺陷,本发明提供了一种单点登录系统,实现了用户只需要登录一次就可以访问所有的应用系统,提高了效率。
本发明提供了一种单点登录系统,包括客户端、单点登录认证服务端及多个应用系统;
所述客户端,在检测到登录指令后,生成浏览器指纹,基于所述浏览器指纹,生成用于访问应用系统的访问请求并发送至应用系统;
所述应用系统,用于接收所述访问请求,并根据所述访问请求向单点登录认证服务端发送验证请求;所述验证请求包括登录信息和用户信息;
所述单点登录认证服务端,用于接收所述验证请求,并对所述登录信息进行校验;若校验显示登录信息无误,将所述用户信息进行加密,生成token信息并返回给所述应用系统;
所述应用系统还用于接收token信息,并对所述token信息进行解密,得到所述用户信息;对所述用户信息进行验证,若验证结果显示无误,与所述客户端建立通信连接。
优选地,对所述登录信息进行校验后,生成所述客户端的会话session信息。
优选地,所述应用系统包括父应用系统和子应用系统;
所述父应用系统与所述客户端建立通信连接后,所述单点登录认证服务端生成与所述session匹配的cookie并存储在所述客户端中;
若所述父应用系统对应的子应用系统接收到访问请求,所述单点登录认证服务端向所述父应用系统发送授权请求,所述授权请求包括所述cookie;
所述父应用系统接收所述授权请求,并验证所述父应用系统与所述客户端的通信连接状态;若所述通信连接状态为已连接,则返回加密的授权信息至所述对应的子应用系统;
所述对应的子应用系统对所述授权信息进行解密,并对解密后的信息进行验证,若验证通过,则与所述客户端建立通信连接。
优选地,所述多个应用系统中的每个应用系统均采用前后端分离架构。
优选地,所述加密为JWT协议加密。
优选地,所述token信息是具有时效性的。
优选地,所述客户端还用于设置浏览器指纹的过期时间。
优选地,所述登录信息包括账号和密码。
本发明的有益效果为:
客户端可以基于浏览器指纹生成访问请求,单点登录认证服务端在判定访问请求通过登录认证后,可以生成令牌token信息,并发送至应用系统,应用系统根据token信息,与客户端建立通信连接。本发明提供的一种单点登录系统,在客户端跨域登录多应用系统的不同应用系统的过程中,都可以通过浏览器指纹唯一标识客户端,避免了浏览器跨域失效问题,实现了客户端在采用前后端分离架构的多应用系统间的跨域单点登录。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本发明实施例的结构示意图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
本发明实施例提供了一种单点登录系统,如图1所示,包括客户端、单点登录认证服务端及多个应用系统;其中,单点登录认证服务端用于统一集中处理各应用系统的登录请求;
客户端,在检测到登录指令后,生成浏览器指纹,基于浏览器指纹,生成用于访问应用系统的访问请求并发送至应用系统;
应用系统,用于接收访问请求,并根据访问请求向单点登录认证服务端发送验证请求;验证请求包括登录信息和用户信息;
单点登录认证服务端,用于对登录信息进行校验;若校验显示登录信息无误,将用户信息进行加密,生成token信息(包括token生成时间、token有效期等)并返回给应用系统;
应用系统还用于接收token信息,并对token信息进行解密,得到用户信息;对用户信息进行验证,若验证结果显示无误,与客户端建立通信连接。
单点登录认证服务端还用于,对登录信息进行校验后,生成客户端的会话session信息。
应用系统包括父应用系统和子应用系统;父应用系统与客户端建立通信连接后,单点登录认证服务端生成与session匹配的cookie并存储在客户端中。若父应用系统对应的子应用系统接收到访问请求,单点登录认证服务端向父应用系统发送授权请求,授权请求包括cookie。父应用系统接收授权请求,并验证父应用系统与客户端的通信连接状态,若通信连接状态为已连接,则返回加密的授权信息至对应的子应用系统。对应的子应用系统对授权信息进行解密,并对解密后的信息进行验证,若验证通过,则与客户端建立通信连接。
本发明实施例中,多个应用系统中的每个应用系统均采用前后端分离架构,这种架构前端关注页面的样式与动态数据的解析及渲染,后端关注业务逻辑计算,能够提高应用系统的性能,提高应用系统的响应效率。
本发明实施例中,加密和解密均采用JWT协议。JWT是一种规定好的加密方式,通过这种加密方式生成唯一token,解密同样需要通过这种解密方式进行解密。本发明实施例中,token信息是具有时效性的,客户端还用于设置浏览器指纹的过期时间。token信息、session信息、浏览器指纹以及过期时间都对应保存在内存数据库中。
为了更进一步说明本发明实施例的技术方案,以下根据一个具体场景进行阐述。用户在客户端的浏览器上打开A系统,输入账号密码,A系统向单点登录认证服务端发送验证请求,认证服务端认证账号密码无误后,将用户信息通过JWT协议加密后,生成token信息返回给A系统,A系统接收到token信息后,再通过JWT协议解密,获取密文里面的用户信息,确认无误后,执行A系统的登录操作,用户成功登录A系统。客户端可以是台式电脑,手机,平板笔记本等终端。本发明对各个子应用系统所在的服务器、单点登录认证服务端所在的服务器型号以及运行系统不做任何限定,可以是Windows系统,Linux系统,或Unix系统的服务器。另外,各个子应用系统所在的服务器与单点登录认证服务端所在的服务器可以部署在同一服务器上,可以分不同的服务器进行部署。
本发明对单点登录认证服务端所在服务器以及各个应用系统所在服务器时间所在时区需要基本一致性,时间间隔最长不能超过300秒,比如需要统一设置成北京时间或者伦敦时间,各服务器时区需统一为同一个时区。
本发明实施例提供的一种单点登录系统,客户端可以基于浏览器指纹生成访问请求,单点登录认证服务端在判定访问请求通过登录认证后,可以生成令牌token信息,并发送至应用系统,应用系统根据token信息,与客户端建立通信连接。本发明提供的一种单点登录系统,在客户端跨域登录多应用系统的不同应用系统的过程中,都可以通过浏览器指纹唯一标识客户端,避免了浏览器跨域失效问题,实现了客户端在采用前后端分离架构的多应用系统间的跨域单点登录。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (8)
1.一种单点登录系统,其特征在于,包括客户端、单点登录认证服务端及多个应用系统;
所述客户端,用于在检测到登录指令后,生成浏览器指纹,基于所述浏览器指纹,生成用于访问应用系统的访问请求并发送至应用系统;
所述应用系统,用于接收所述访问请求,并根据所述访问请求向单点登录认证服务端发送验证请求;所述验证请求包括登录信息和用户信息;
所述单点登录认证服务端,用于接收所述验证请求,并对所述登录信息进行校验;若校验显示登录信息无误,将所述用户信息进行加密,生成token信息并返回给所述应用系统;
所述应用系统还用于接收token信息,并对所述token信息进行解密,得到所述用户信息;对所述用户信息进行验证,若验证结果显示无误,与所述客户端建立通信连接。
2.根据权利要求1所述的一种单点登录系统,其特征在于,所述单点登录认证服务端还用于,对所述登录信息进行校验后,生成所述客户端的会话session信息。
3.根据权利要求2所述的一种单点登录系统,其特征在于,所述应用系统包括父应用系统和子应用系统;所述父应用系统与所述客户端建立通信连接后,所述单点登录认证服务端生成与所述session匹配的cookie,并存储在所述客户端中;
若所述父应用系统对应的子应用系统接收到访问请求,所述单点登录认证服务端向所述父应用系统发送授权请求,所述授权请求包括所述cookie;
所述父应用系统接收所述授权请求,并验证所述父应用系统与所述客户端的通信连接状态;若所述通信连接状态为已连接,则返回加密的授权信息至所述对应的子应用系统;
所述对应的子应用系统对所述授权信息进行解密,并对解密后的信息进行验证,若验证通过,则与所述客户端建立通信连接。
4.根据权利要求1所述的一种单点登录系统,其特征在于,所述多个应用系统中的每个应用系统均采用前后端分离架构。
5.根据权利要求1所述的一种单点登录系统,其特征在于,所述加密为JWT协议加密。
6.根据权利要求1所述的一种单点登录系统,其特征在于,所述token信息是具有时效性的。
7.根据权利要求1所述的一种单点登录系统,其特征在于,所述客户端还用于设置浏览器指纹的过期时间。
8.根据权利要求1所述的一种单点登录系统,其特征在于,所述登录信息包括账号和密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111518167.3A CN114257430A (zh) | 2021-12-13 | 2021-12-13 | 一种单点登录系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111518167.3A CN114257430A (zh) | 2021-12-13 | 2021-12-13 | 一种单点登录系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114257430A true CN114257430A (zh) | 2022-03-29 |
Family
ID=80792039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111518167.3A Pending CN114257430A (zh) | 2021-12-13 | 2021-12-13 | 一种单点登录系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114257430A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102744A (zh) * | 2022-06-16 | 2022-09-23 | 京东科技信息技术有限公司 | 数据访问方法和装置 |
| CN115134112A (zh) * | 2022-05-12 | 2022-09-30 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN115250204A (zh) * | 2022-09-22 | 2022-10-28 | 四川蜀天信息技术有限公司 | 一种集中处理登录鉴权的方法及系统 |
| CN116668190A (zh) * | 2023-07-21 | 2023-08-29 | 之江实验室 | 一种基于浏览器指纹的跨域单点登录方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
| CN109587133A (zh) * | 2018-11-30 | 2019-04-05 | 武汉烽火众智智慧之星科技有限公司 | 一种单点登录系统及方法 |
| CN109688114A (zh) * | 2018-12-10 | 2019-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
-
2021
- 2021-12-13 CN CN202111518167.3A patent/CN114257430A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
| CN109587133A (zh) * | 2018-11-30 | 2019-04-05 | 武汉烽火众智智慧之星科技有限公司 | 一种单点登录系统及方法 |
| CN109688114A (zh) * | 2018-12-10 | 2019-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 高鹏: "《单点登录系统的跨浏览器Cookie机制安全性优化研究》", 《信息科技》, no. 2019, 15 February 2019 (2019-02-15), pages 2 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134112A (zh) * | 2022-05-12 | 2022-09-30 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN115134112B (zh) * | 2022-05-12 | 2024-02-02 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN115102744A (zh) * | 2022-06-16 | 2022-09-23 | 京东科技信息技术有限公司 | 数据访问方法和装置 |
| CN115250204A (zh) * | 2022-09-22 | 2022-10-28 | 四川蜀天信息技术有限公司 | 一种集中处理登录鉴权的方法及系统 |
| CN115250204B (zh) * | 2022-09-22 | 2022-12-09 | 四川蜀天信息技术有限公司 | 一种集中处理登录鉴权的方法及系统 |
| CN116668190A (zh) * | 2023-07-21 | 2023-08-29 | 之江实验室 | 一种基于浏览器指纹的跨域单点登录方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240022431A1 (en) | Methods and systems for device authentication | |
| US20220255918A1 (en) | Single sign on for a remote user session | |
| US11431501B2 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
| US10834086B1 (en) | Hybrid cloud-based authentication for flash storage array access | |
| US9882913B1 (en) | Delivering authorization and authentication for a user of a storage array from a cloud | |
| US10402797B2 (en) | Secured authentication and transaction authorization for mobile and internet-of-things devices | |
| CN114257430A (zh) | 一种单点登录系统 | |
| US20170249633A1 (en) | One-Time Use Password Systems And Methods | |
| US9747434B1 (en) | Authenticating with an external device by providing a message having message fields arranged in a particular message field order | |
| US20160381001A1 (en) | Method and apparatus for identity authentication between systems | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
| US20130218779A1 (en) | Dual factor digital certificate security algorithms | |
| US11036864B2 (en) | Operating system based authentication | |
| CN110069909A (zh) | 一种免密登录第三方系统的方法及装置 | |
| CN112738021A (zh) | 单点登录方法、终端、应用服务器、认证服务器及介质 | |
| TW201824130A (zh) | 於線上完成開戶並申請行動銀行之系統及其方法 | |
| WO2021216003A1 (en) | Authentication and validation procedure for improved security in communications systems | |
| EP3304390B1 (en) | Automatic provisioning of a device to access an account | |
| CN109981666A (zh) | 一种接入方法、接入系统和接入服务器 | |
| CN114500074B (zh) | 单点系统安全访问方法、装置及相关设备 | |
| CN115189975B (zh) | 登录方法、装置、电子设备和存储介质 | |
| JP2004524591A (ja) | オンラインアプリケーション用統合型認証サービスを提供するシステム、方法およびコンピュータプログラム製品 | |
| CN112685293A (zh) | 一种加密接口的测试方法及相关设备 | |
| CN114090996A (zh) | 多方系统互信认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |