CN114297609A - 单点登录方法、装置、电子设备及计算机可读存储介质 - Google Patents
单点登录方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114297609A CN114297609A CN202111626215.0A CN202111626215A CN114297609A CN 114297609 A CN114297609 A CN 114297609A CN 202111626215 A CN202111626215 A CN 202111626215A CN 114297609 A CN114297609 A CN 114297609A
- Authority
- CN
- China
- Prior art keywords
- authentication
- account
- information
- service
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种单点登录方法、装置、电子设备及计算机可读存储介质。该单点登录方法,应用于认证服务端,包括:获取业务请求地址和账户认证票据;其中,业务请求地址为认证客户端地址;基于账户认证票据,获取账户信息和账户角色信息;在账户信息正确的情况下,验证账户角色信息与业务请求地址对应的业务系统信息是否匹配;在账户角色信息与业务系统信息匹配的情况下,确定账户角色信息对应的账户具有访问业务系统信息对应的业务的权限;基于权限,签发并向认证客户端反馈业务认证票据。根据本申请实施例,能够减少业务侧的资源消耗和提高数据安全性。
Description
技术领域
本申请属于单点登录领域,尤其涉及一种单点登录方法、装置、电子设备及计算机可读存储介质。
背景技术
在当前信息化服务越来越发达,并且越来越依赖WEB服务的背景下,一家企业很难通过提供一个服务来满足客户所有的需求,因此随着业务服务的增多,企业一般会提供多个WEB服务入口来支撑多个业务,因此出现了单点登录(Single Sign On,SSO),通过该技术方案,可以有效的解决信息服务供应商的多个业务的登录整合问题,对于同一个业务服务系统集群下的业务,用户只需要通过任一个业务系统完成一次登录,则无需再次提交用户凭据登录就可以登录访问集群内其它业务服务。
一般常用的解决方案是基于耶鲁大学的JA-SIG Central AuthenticationService(简称CAS)协议开发的SSO服务。但是,该SSO服务仅基于用户和密码进行登录验证,导致了业务侧的资源消耗增加且数据安全性较差。
因此,如何减少业务侧的资源消耗和提高数据安全性是本领域技术人员亟需解决的技术问题。
发明内容
本申请实施例提供一种单点登录方法、装置、电子设备及计算机可读存储介质,能够减少业务侧的资源消耗和提高数据安全性。
第一方面,本申请实施例提供一种单点登录方法,应用于认证服务端,包括:
获取业务请求地址和账户认证票据;其中,业务请求地址为认证客户端地址;
基于账户认证票据,获取账户信息和账户角色信息;
在账户信息正确的情况下,验证账户角色信息与业务请求地址对应的业务系统信息是否匹配;
在账户角色信息与业务系统信息匹配的情况下,确定账户角色信息对应的账户具有访问业务系统信息对应的业务的权限;
基于权限,签发并向认证客户端反馈业务认证票据。
可选的,在基于权限,签发并向认证客户端反馈业务认证票据之后,方法还包括:
接收认证客户端发送的请求体;其中,请求体包括业务请求地址、业务认证地址和待验证的业务认证票据,业务认证地址为认证服务端地址;
根据业务认证票据的签发记录,验证待验证的业务认证票据是否合法;
若待验证的业务认证票据合法,则签发认证信息;
封装认证信息,得到加密报文;
向认证客户端发送加密报文,以使认证客户基于预设解密算法解密加密报文获取并存储认证信息。
可选的,若待验证的业务认证票据非法,方法还包括:
向认证客户端发送错误提示信息;其中,错误提示信息用于提示待验证的业务认证票据与认证客户端不匹配。
可选的,若账户信息不正确,方法还包括:
反馈错误提示信息;其中,错误提示信息用于提示账户信息不合法。
可选的,若账户角色信息与业务系统信息不匹配,方法还包括:
反馈错误提示信息;其中,错误提示信息用于提示账户不具有权限。
可选的,在获取业务请求地址和账户认证票据之前,方法还包括:
读取客户侧本地信息;
判断客户侧本地信息是否包含账户认证票据;
若客户侧本地信息包含账户认证票据,则执行获取业务请求地址和账户认证票据的步骤。
可选的,若客户侧本地信息不包含账户认证票据或账户认证票据无效,方法还包括:
渲染登录界面,以提示账户登录。
第二方面,本申请实施例提供了一种单点登录装置,应用于认证服务端,包括:
第一获取模块,用于获取业务请求地址和账户认证票据;其中,业务请求地址为认证客户端地址;
第二获取模块,用于基于账户认证票据,获取账户信息和账户角色信息;
第一验证模块,用于在账户信息正确的情况下,验证账户角色信息与业务请求地址对应的业务系统信息是否匹配;
确定模块,用于在账户角色信息与业务系统信息匹配的情况下,确定账户角色信息对应的账户具有访问业务系统信息对应的业务的权限;
第一反馈模块,用于基于权限,签发并向认证客户端反馈业务认证票据。
可选的,装置还包括:
接收模块,用于接收认证客户端发送的请求体;其中,请求体包括业务请求地址、业务认证地址和待验证的业务认证票据,业务认证地址为认证服务端地址;
第二验证模块,用于根据业务认证票据的签发记录,验证待验证的业务认证票据是否合法;
签发模块,用于若待验证的业务认证票据合法,则签发认证信息;
封装模块,用于封装认证信息,得到加密报文;
第一发送模块,用于向认证客户端发送加密报文,以使认证客户基于预设解密算法解密加密报文获取并存储认证信息。
可选的,装置还包括:
第二发送模块,用于若待验证的业务认证票据非法,向认证客户端发送错误提示信息;其中,错误提示信息用于提示待验证的业务认证票据与认证客户端不匹配。
可选的,装置还包括:
第二反馈模块,用于若账户信息不正确,反馈错误提示信息;其中,错误提示信息用于提示账户信息不合法。
可选的,装置还包括:
第三反馈模块,用于若账户角色信息与业务系统信息不匹配,反馈错误提示信息;其中,错误提示信息用于提示账户不具有权限。
可选的,装置还包括:
读取模块,用于读取客户侧本地信息;
判断模块,用于判断客户侧本地信息是否包含账户认证票据;
第一获取模块,用于若客户侧本地信息包含账户认证票据,则执行获取业务请求地址和账户认证票据的步骤。
可选的,装置还包括:
渲染模块,用于若客户侧本地信息不包含账户认证票据或账户认证票据无效,渲染登录界面,以提示账户登录。
第三方面,本申请实施例提供了一种电子设备,电子设备包括:处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现如第一方面所示的单点登录方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如第一方面所示的单点登录方法。
本申请实施例的单点登录方法、装置、电子设备及计算机可读存储介质,能够减少业务侧的资源消耗和提高数据安全性。该单点登录方法,应用于认证服务端,包括:获取业务请求地址和账户认证票据;其中,业务请求地址为认证客户端地址;基于账户认证票据,获取账户信息和账户角色信息;在账户信息正确的情况下,验证账户角色信息与业务请求地址对应的业务系统信息是否匹配;在账户角色信息与业务系统信息匹配的情况下,确定账户角色信息对应的账户具有访问业务系统信息对应的业务的权限;基于权限,签发并向认证客户端反馈业务认证票据。
可见,该方法在账户信息正确的情况下,还验证账户角色信息与业务请求地址对应的业务系统信息是否匹配,也即通过在单点登录服务侧内加入基于账户角色和业务系统进行二次匹配的功能,减少了业务系统自身认定账户角色与自身的匹配问题,使业务能将更多的资源用于处理自身业务逻辑,解决了现有技术中只针对账户进行判定,未考虑单点登录的目标业务的账户权限问题,减轻了业务侧的认证压力,把认证工作聚焦到单点登录服务内,有利于业务集群的职责划分和后期管理,降低了业务集群的功能重叠性。
同时单点登录服务统一管理业务系统和账户角色匹配逻辑,降低了现有技术中角色匹配逻辑分散在各个业务系统而引起的维护复杂的问题,同时提高了账户敏感数据的安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个实施例提供的单点登录方法的流程示意图;
图2是本申请一个实施例提供的单点登录装置的结构示意图;
图3是本申请一个实施例提供的电子设备的结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例,为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本申请进行进一步详细描述。应理解,此处所描述的具体实施例仅意在解释本申请,而不是限定本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了有效的解决信息服务供应商的多个业务的登录整合问题,目前的单点登录方法是基于耶鲁大学的JA-SIG Central Authentication Service(简称CAS)协议开发的SSO服务。但是,该SSO服务仅基于用户和密码进行登录验证,导致了业务侧的资源消耗增加且数据安全性较差。
为了解决现有技术问题,本申请实施例提供了一种单点登录方法、装置、设备及计算机可读存储介质。下面首先对本申请实施例所提供的单点登录方法进行介绍。
图1示出了本申请一个实施例提供的单点登录方法的流程示意图。该单点登录方法,应用于认证服务端,如图1所示,包括:
S101、获取业务请求地址和账户认证票据;其中,业务请求地址为认证客户端地址。
在一个实施例中,在获取业务请求地址和账户认证票据之前,方法还包括:
读取客户侧本地信息;
判断客户侧本地信息是否包含账户认证票据;
若客户侧本地信息包含账户认证票据,则执行获取业务请求地址和账户认证票据的步骤。
在一个实施例中,若客户侧本地信息不包含账户认证票据或账户认证票据无效,方法还包括:渲染登录界面,以提示账户登录。
S102、基于账户认证票据,获取账户信息和账户角色信息。
S103、在账户信息正确的情况下,验证账户角色信息与业务请求地址对应的业务系统信息是否匹配。
在一个实施例中,若账户信息不正确,方法还包括:反馈错误提示信息;其中,错误提示信息用于提示账户信息不合法。
S104、在账户角色信息与业务系统信息匹配的情况下,确定账户角色信息对应的账户具有访问业务系统信息对应的业务的权限。
在一个实施例中,若账户角色信息与业务系统信息不匹配,方法还包括:反馈错误提示信息;其中,错误提示信息用于提示账户不具有权限。
S105、基于权限,签发并向认证客户端反馈业务认证票据。
在一个实施例中,在基于权限,签发并向认证客户端反馈业务认证票据之后,方法还包括:
接收认证客户端发送的请求体;其中,请求体包括业务请求地址、业务认证地址和待验证的业务认证票据,业务认证地址为认证服务端地址;
根据业务认证票据的签发记录,验证待验证的业务认证票据是否合法;
若待验证的业务认证票据合法,则签发认证信息;
封装认证信息,得到加密报文;
向认证客户端发送加密报文,以使认证客户基于预设解密算法解密加密报文获取并存储认证信息。
在一个实施例中,若待验证的业务认证票据非法,方法还包括:
向认证客户端发送错误提示信息;其中,错误提示信息用于提示待验证的业务认证票据与认证客户端不匹配。
可见,该方法在账户信息正确的情况下,还验证账户角色信息与业务请求地址对应的业务系统信息是否匹配,也即通过在单点登录服务侧内加入基于账户角色和业务系统进行二次匹配的功能,减少了业务系统自身认定账户角色与自身的匹配问题,使业务能将更多的资源用于处理自身业务逻辑,解决了现有技术中只针对账户进行判定,未考虑单点登录的目标业务的账户权限问题,减轻了业务侧的认证压力,把认证工作聚焦到单点登录服务内,有利于业务集群的职责划分和后期管理,降低了业务集群的功能重叠性。
同时单点登录服务统一管理业务系统和账户角色匹配逻辑,降低了现有技术中角色匹配逻辑分散在各个业务系统而引起的维护复杂的问题,同时提高了账户敏感数据的安全性。
上述单点登录方法是从认证服务端角度进行说明,下面将从整个系统的角度进行具体说明,具体方案如下:
S1、单点登录认证系统初始部署。
S1-1、认证客户端与业务展示侧服务绑定在一起部署,认证客户端作为业务展示侧服务的安全代理(以下业务请求地址即为认证客户端地址)。认证客户端配置认证服务端地址作为本次业务认证地址。
S1-2、认证服务端新增一个账户,并分配业务请求地址指向的业务所对应的角色。
S2、由客户侧发起业务请求,业务对应的认证客户端接收资源请求时,判定当前请求是否已经完成验证登录。
S2-1、若当前请求已经完成账户登录认证,则执行S12。
S2-2、若当前请求未完成账户登录认证,则由认证客户端拦截该请求,返回一个301跳转请求,跳转请求地址包括认证服务端地址和业务请求地址,执行S3。
S3、认证服务端通过读取客户侧本地信息,判定当前客户侧本地信息是否包含账户认证票据。
S3-1、若当前客户侧本地信息包含账户认证票据,则执行S4。
S3-2、若当前客户侧本地信息无账户认证票据或者账户认证票据无效,则认证服务端渲染登录界面,提示账户登录。
S3-2-1、若账户登录失败,则执行S3-2。
S3-2-2、若账户登录成功,则认证服务端签发账户认证票据返回给客户侧,客户侧将账户认证票据写入本地信息,执行S4。
S4、认证服务端将业务请求地址和账户认证票据放入请求体,提交给认证服务端,并执行S5。
S5、认证服务端根据请求体内账户认证票据,获取账户信息和账户角色信息,并与业务请求地址对应的业务系统信息进行匹配。
S5-1、若账户信息正确,且账户角色和业务系统信息匹配,则执行S6。
S5-2若账户信息不正确,则返回错误页面,提示该账户信息不合法,并执行S3。
S5-3、若账户信息正确,但账户角色和业务系统信息不匹配,则返回错误页面,提示该账户权限不足,并执行S3。
S6、认证服务端为该账户签发业务认证票据,返回一个指向业务请求地址的包含业务认证票据的301状态请求。然后,执行S7。
S7、认证客户端接收到包含业务认证票据的请求后,将请求地址中的业务请求地址和业务认证票据拆解,并构建一个包含业务请求地址和业务认证地址的请求体,将该请求体发送给认证服务端。然后,执行S8。
S8、认证服务端接收到认证客户端发送的认证请求后,根据签发业务票据的记录,验证业务认证票据的合法性。
S8-1、当认证服务端判定业务认证票据合法,则执行S9。
S8-2、当认证服务端判定业务认证票据非法,则返回错误信息,提示业务认证票据和认证客户端不匹配。然后,执行S3。
S9、认证服务端认定业务认证票据合法,则签发认证信息,封装成加密报文返回给认证客户端。然后,执行S10。
S10、认证客户端接收到加密报文后,按照约定的解密算法解密报文,获取认证信息,将认证信息写入共享存储。认证客户端构建一个指向业务请求地址的301状态请求返回给客户侧。
S11、客户侧接收到301状态后,执行S2。
S12、认证客户端完成验证,将客户侧请求的资源通过网络返回给客户侧。
该方法在账户信息正确的情况下,还验证账户角色信息与业务请求地址对应的业务系统信息是否匹配,也即通过在单点登录服务侧内加入基于账户角色和业务系统进行二次匹配的功能,减少了业务系统自身认定账户角色与自身的匹配问题,使业务能将更多的资源用于处理自身业务逻辑,解决了现有技术中只针对账户进行判定,未考虑单点登录的目标业务的账户权限问题,减轻了业务侧的认证压力,把认证工作聚焦到单点登录服务内,有利于业务集群的职责划分和后期管理,降低了业务集群的功能重叠性。
同时单点登录服务统一管理业务系统和账户角色匹配逻辑,降低了现有技术中角色匹配逻辑分散在各个业务系统而引起的维护复杂的问题,同时提高了账户敏感数据的安全性。
本申请还提供一种单点登录装置,应用于认证服务端,如图2所示,包括:
第一获取模块201,用于获取业务请求地址和账户认证票据;其中,业务请求地址为认证客户端地址;
第二获取模块202,用于基于账户认证票据,获取账户信息和账户角色信息;
第一验证模块203,用于在账户信息正确的情况下,验证账户角色信息与业务请求地址对应的业务系统信息是否匹配;
确定模块204,用于在账户角色信息与业务系统信息匹配的情况下,确定账户角色信息对应的账户具有访问业务系统信息对应的业务的权限;
第一反馈模块205,用于基于权限,签发并向认证客户端反馈业务认证票据。
可选的,装置还包括:
接收模块,用于接收认证客户端发送的请求体;其中,请求体包括业务请求地址、业务认证地址和待验证的业务认证票据,业务认证地址为认证服务端地址;
第二验证模块,用于根据业务认证票据的签发记录,验证待验证的业务认证票据是否合法;
签发模块,用于若待验证的业务认证票据合法,则签发认证信息;
封装模块,用于封装认证信息,得到加密报文;
第一发送模块,用于向认证客户端发送加密报文,以使认证客户基于预设解密算法解密加密报文获取并存储认证信息。
可选的,装置还包括:
第二发送模块,用于若待验证的业务认证票据非法,向认证客户端发送错误提示信息;其中,错误提示信息用于提示待验证的业务认证票据与认证客户端不匹配。
可选的,装置还包括:
第二反馈模块,用于若账户信息不正确,反馈错误提示信息;其中,错误提示信息用于提示账户信息不合法。
可选的,装置还包括:
第三反馈模块,用于若账户角色信息与业务系统信息不匹配,反馈错误提示信息;其中,错误提示信息用于提示账户不具有权限。
可选的,装置还包括:
读取模块,用于读取客户侧本地信息;
判断模块,用于判断客户侧本地信息是否包含账户认证票据;
第一获取模块201,用于若客户侧本地信息包含账户认证票据,则执行获取业务请求地址和账户认证票据的步骤。
可选的,装置还包括:
渲染模块,用于若客户侧本地信息不包含账户认证票据或账户认证票据无效,渲染登录界面,以提示账户登录。
图2所示装置中的各个模块/单元具有实现图1中各个步骤的功能,并能达到其相应的技术效果,为简洁描述,在此不再赘述。
图3示出了本申请实施例提供的电子设备的结构示意图。
电子设备可以包括处理器301以及存储有计算机程序指令的存储器302。
具体地,上述处理器301可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器302可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器302可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器302可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器302可在电子设备的内部或外部。在特定实施例中,存储器302可以是非易失性固态存储器。
在一个实施例中,存储器302可以是只读存储器(Read Only Memory,ROM)。在一个实施例中,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器301通过读取并执行存储器302中存储的计算机程序指令,以实现上述实施例中的任意一种单点登录方法。
在一个示例中,电子设备还可包括通信接口303和总线310。其中,如图3所示,处理器301、存储器302、通信接口303通过总线310连接并完成相互间的通信。
通信接口303,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。
总线310包括硬件、软件或两者,将电子设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线310可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
另外,结合上述实施例中的单点登录方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种单点登录方法。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能模块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
上面参考根据本申请的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各方面。应当理解,流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器,以产生一种机器,使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合,也可以由执行指定的功能或动作的专用硬件来实现,或可由专用硬件和计算机指令的组合来实现。
以上所述,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种单点登录方法,其特征在于,应用于认证服务端,包括:
获取业务请求地址和账户认证票据;其中,所述业务请求地址为认证客户端地址;
基于所述账户认证票据,获取账户信息和账户角色信息;
在所述账户信息正确的情况下,验证所述账户角色信息与所述业务请求地址对应的业务系统信息是否匹配;
在所述账户角色信息与所述业务系统信息匹配的情况下,确定所述账户角色信息对应的账户具有访问所述业务系统信息对应的业务的权限;
基于所述权限,签发并向认证客户端反馈业务认证票据。
2.根据权利要求1所述的单点登录方法,其特征在于,在基于所述权限,签发并向认证客户端反馈业务认证票据之后,所述方法还包括:
接收认证客户端发送的请求体;其中,所述请求体包括所述业务请求地址、业务认证地址和待验证的业务认证票据,所述业务认证地址为认证服务端地址;
根据所述业务认证票据的签发记录,验证所述待验证的业务认证票据是否合法;
若所述待验证的业务认证票据合法,则签发认证信息;
封装所述认证信息,得到加密报文;
向所述认证客户端发送所述加密报文,以使所述认证客户基于预设解密算法解密所述加密报文获取并存储所述认证信息。
3.根据权利要求2所述的单点登录方法,其特征在于,若所述待验证的业务认证票据非法,所述方法还包括:
向所述认证客户端发送错误提示信息;其中,所述错误提示信息用于提示所述待验证的业务认证票据与所述认证客户端不匹配。
4.根据权利要求1所述的单点登录方法,其特征在于,若所述账户信息不正确,所述方法还包括:
反馈错误提示信息;其中,所述错误提示信息用于提示所述账户信息不合法。
5.根据权利要求1所述的单点登录方法,其特征在于,若所述账户角色信息与所述业务系统信息不匹配,所述方法还包括:
反馈错误提示信息;其中,所述错误提示信息用于提示所述账户不具有所述权限。
6.根据权利要求1所述的单点登录方法,其特征在于,在所述获取业务请求地址和账户认证票据之前,所述方法还包括:
读取客户侧本地信息;
判断所述客户侧本地信息是否包含所述账户认证票据;
若所述客户侧本地信息包含所述账户认证票据,则执行所述获取业务请求地址和账户认证票据的步骤。
7.根据权利要求6所述的单点登录方法,其特征在于,若所述客户侧本地信息不包含所述账户认证票据或所述账户认证票据无效,所述方法还包括:
渲染登录界面,以提示账户登录。
8.一种单点登录装置,其特征在于,应用于认证服务端,包括:
第一获取模块,用于获取业务请求地址和账户认证票据;其中,所述业务请求地址为认证客户端地址;
第二获取模块,用于基于所述账户认证票据,获取账户信息和账户角色信息;
第一验证模块,用于在所述账户信息正确的情况下,验证所述账户角色信息与所述业务请求地址对应的业务系统信息是否匹配;
确定模块,用于在所述账户角色信息与所述业务系统信息匹配的情况下,确定所述账户角色信息对应的账户具有访问所述业务系统信息对应的业务的权限;
第一反馈模块,用于基于所述权限,签发并向认证客户端反馈业务认证票据。
9.一种电子设备,其特征在于,所述电子设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的单点登录方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的单点登录方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111626215.0A CN114297609A (zh) | 2021-12-28 | 2021-12-28 | 单点登录方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111626215.0A CN114297609A (zh) | 2021-12-28 | 2021-12-28 | 单点登录方法、装置、电子设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114297609A true CN114297609A (zh) | 2022-04-08 |
Family
ID=80971855
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111626215.0A Pending CN114297609A (zh) | 2021-12-28 | 2021-12-28 | 单点登录方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114297609A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115189975A (zh) * | 2022-09-14 | 2022-10-14 | 中化现代农业有限公司 | 登录方法、装置、电子设备和存储介质 |
| CN116049802A (zh) * | 2023-03-31 | 2023-05-02 | 深圳竹云科技股份有限公司 | 应用单点登陆方法、系统、计算机设备和存储介质 |
-
2021
- 2021-12-28 CN CN202111626215.0A patent/CN114297609A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115189975A (zh) * | 2022-09-14 | 2022-10-14 | 中化现代农业有限公司 | 登录方法、装置、电子设备和存储介质 |
| CN116049802A (zh) * | 2023-03-31 | 2023-05-02 | 深圳竹云科技股份有限公司 | 应用单点登陆方法、系统、计算机设备和存储介质 |
| CN116049802B (zh) * | 2023-03-31 | 2023-07-18 | 深圳竹云科技股份有限公司 | 应用单点登陆方法、系统、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110061846B (zh) | 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质 | |
| CN111062024B (zh) | 一种应用登录方法和装置 | |
| CN105007280A (zh) | 一种应用登录方法和装置 | |
| CN108777675B (zh) | 电子装置、基于区块链的身份验证方法和计算机存储介质 | |
| CN106657152A (zh) | 一种鉴权方法及服务器、访问控制装置 | |
| CN114297609A (zh) | 单点登录方法、装置、电子设备及计算机可读存储介质 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| CN112491776B (zh) | 安全认证方法及相关设备 | |
| CN111062023B (zh) | 多应用系统实现单点登录的方法及装置 | |
| CN110677376A (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| CN110535807B (zh) | 一种业务鉴权方法、装置和介质 | |
| CN112311718B (zh) | 检测硬件的方法、装置、设备及存储介质 | |
| CN106549919B (zh) | 一种信息注册、认证方法及装置 | |
| CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
| CN106453378A (zh) | 数据认证的方法、装置及系统 | |
| US11665198B2 (en) | Managing third party URL distribution | |
| CN110535884A (zh) | 跨企业系统间访问控制的方法、装置及存储介质 | |
| CN111342964B (zh) | 单点登录方法、装置及系统 | |
| WO2022115173A1 (en) | Handling requests to service resources within a security boundary using a security gateway instance | |
| CN114584381A (zh) | 基于网关的安全认证方法、装置、电子设备和存储介质 | |
| CN112862484A (zh) | 一种基于多端交互的安全支付方法及装置 | |
| CN111355583B (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
| CN116527330A (zh) | 系统的登录方法及装置、存储介质和电子设备 | |
| CN110365492A (zh) | 一种鉴权方法、系统、设备及介质 | |
| CN111988146B (zh) | 一种身份验证方法、装置、设备及机器可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |