CN114422258A - 一种基于多认证协议的单点登录方法、介质及电子设备 - Google Patents
一种基于多认证协议的单点登录方法、介质及电子设备 Download PDFInfo
- Publication number
- CN114422258A CN114422258A CN202210084528.6A CN202210084528A CN114422258A CN 114422258 A CN114422258 A CN 114422258A CN 202210084528 A CN202210084528 A CN 202210084528A CN 114422258 A CN114422258 A CN 114422258A
- Authority
- CN
- China
- Prior art keywords
- application system
- service application
- authentication
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000013475 authorization Methods 0.000 claims abstract description 86
- 235000014510 cooky Nutrition 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 9
- 230000001915 proofreading effect Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 239000000178 monomer Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种基于多认证协议的单点登录方法,所述方法包括:接收客户终端浏览器发送的带有业务应用系统识别标识的用户登录认证授权标识请求信息;根据所述业务应用系统识别标识及其采用的登录认证协议生成认证授权标识;向所述客户终端浏览器返回所述认证授权标识以便所述客户终端浏览器通过所述认证授权标识向所述业务应用系统发送用户登录认证请求。本发明实现了用户在使用单点登录系统时,只需要登录一次,就可以访问多个系统,无需记忆多个口令密码,实现快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全性。
Description
技术领域
本发明涉及账号登录领域,特别是涉及一种基于多认证协议的单点登录方法、介质及电子设备。
背景技术
随着信息化飞速发展,大型企业和政府部门等都使用电子系统进行办公,而且整个办公系统由多个不同的子系统构成,例如办公自动化(OA)系统、财务管理系统、档案管理系统、信息查询系统等。如果每个系统都使用独立的登录和验证机制,那么每天工作人员都要登录不同的系统进行办公。用户登录的频繁操作,降低了员工的工作效率,造成工作成本的浪费。而大量的密码和用户名的记忆时间长了也会出现问题,忘记密码或者混淆密码都会造成很大的麻烦。基于以上原因,为用户提供一个畅通的登录通道变得十分重要。
现有技术中已有各类IAM系统可以用来管理企业用户的身份认证和授权,但是一方面是没有实行前后端分离的单体工程的系统,该类系统无法解决企业员工数持续增长后的性能扩张问题;另一方面是系统不能支持多种认证协议,对于企业外购或部署的开源系统不能保证对认证协议的支持。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于多认证协议的单点登录方法、介质及电子设备,用于解决现有技术中的以上问题。
为实现上述目的及其他相关目的,本发明提供一种基于多认证协议的单点登录方法,所述方法包括:接收用户终端浏览器发送的带有业务应用系统识别标识的用户登录认证授权标识请求信息;根据所述业务应用系统识别标识及其采用的登录认证协议生成认证授权标识;向所述用户终端浏览器返回所述认证授权标识以便所述用户终端浏览器通过所述认证授权标识向所述业务应用系统发送用户登录认证请求。
于本发明一实施例中,所述方法还包括:所述统一登录平台服务器支持的业务应用系统认证协议包括OAuth、SAML、CAS、JWT、共享cookie。
于本发明一实施例中,所述方法中向统一登录平台发送获取应用系统授权信息之前还包括:预先在所述统一登录平台注册所述业务应用系统,所述业务应用系统具有唯一识别id;对统一登录平台中用户账号与所述业务应用系统账号做映射管理。
于本发明一实施例中,所述方法中当所述业务应用系统采用的认证协议为OAuth,认证步骤包括:接收所述用户终端浏览器发送的带有业务应用系统识别id的code请求信息;根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统注册信息;基于用户信息生成code并返回;接收所述业务应用系统携带code信息发送的token请求信息,其中,所述业务应用系统在发送token请求信息之前,接收用户终端浏览器发送的通过code获取用户登录认证请求;根据所述code生成token信息并返回给所述业务应用系统;接收所述业务应用系统携带token信息发送的用户信息请求;将用户信息返回给所述业务应用系统以便所述业务应用系统进行用户登录认证,其中,所述业务应用系统在认证成功后重定向进入所述业务应用系统页面,再设置所述业务应用系统登录状态,并对用户在所述业务应用系统登录状态设定失效时效。
于本发明一实施例中,所述方法中当所述业务应用系统采用的认证协议为SAML,认证步骤包括:接收所述用户终端浏览器发送的根据所述业务应用系统证书加密的请求参数信息;通过所述业务应用系统证书解密所述加密后的请求参数信息,所述请求参数信息包括所述业务应用系统注册数据;校验所述业务应用系统注册数据;在所述业务应用系统注册数据校验成功后,获取当前用户信息,加密后返回所述用户终端浏览器以便所述用户终端浏览器根据所述加密后的用户信息向所述业务应用系统获取用户登录认证请求,所述业务应用系统在接收到用户登录认证请求后解密获取用户信息并根据用户信息进行用户登录认证,认证成功后重定向进入所述业务应用系统页面。
于本发明一实施例中,所述方法中当所述业务应用系统采用的认证协议为CAS,认证步骤包括:接收所述用户终端浏览器发送的带有业务应用系统识别id的授权票据ST请求信息;根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统注册信息;基于用户信息生成所述授权票据ST并返回;接收所述业务应用系统携带授权票据ST发送的用户信息获取请求,其中,所述业务应用系统在发送用户信息获取请求之前,接收用户终端浏览器发送的通过授权票据ST获取用户登录认证请求;将用户信息返回给所述业务应用系统以便所述业务应用系统进行用户登录认证,其中,所述业务应用系统在认证成功后重定向进入所述业务应用系统页面,再设置所述业务应用系统登录状态,并对用户在所述业务应用系统登录状态设定失效时效。
于本发明一实施例中,所述方法中当所述业务应用系统采用的认证协议为JWT时,判断所述业务应用系统采用的认证协议为对称加密方式认证模式或非对称加密方式认证模式,当所述业务应用系统采用的认证协议为对称加密方式认证模式时,认证步骤包括:接收所述用户终端浏览器发送的带有业务应用系统识别id的授权令牌JwtToken请求信息;根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统注册信息;基于用户信息生成所述授权令牌JwtToken并返回;所述用户终端浏览器在接收到所述授权令牌JwtToken进行保存,并向所述业务应用系统发送携带有授权令牌JwtToken的用户登录认证请求,所述业务应用系统在接收到用户登录认证请求后通过对称加密方式解密获取用户信息并根据用户信息进行用户登录认证,认证成功后重定向进入所述业务应用系统页面,所述业务应用系统在解密后保存授权令牌JwtToken,再设置所述业务应用系统登录状态,并对用户在所述业务应用系统登录状态设定失效时效。当所述业务应用系统采用的认证协议为非对称加密方式认证模式时,认证步骤包括:接收所述用户终端浏览器发送的带有业务应用系统识别id的授权令牌JwtToken请求信息;根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统注册信息;生成公私钥对,使用私钥签名后结合用户信息,生成JwtToken并返回;接收所述业务应用系统发送的公钥获取请求,其中,在所述业务应用系统发送公钥获取请求之前,所述用户终端浏览器在接收到所述授权令牌JwtToken进行保存,并向所述业务应用系统发送携带有授权令牌JwtToken的用户登录认证请求;将所述公钥发送给所述业务应用系统以便所述业务应用系统根据公钥验证授权令牌JwtToken的签名以判断用户信息真实性,在判断用户信息真实后进行用户登录认证,并在认证成功后重定向进入所述业务应用系统页面。
于本发明一实施例中,所述方法中当所述业务应用系统采用的认证协议为共享cookie,认证步骤包括:接收所述用户终端浏览器发送的带有业务应用系统识别域名cookie的登录认证授权标识请求信息;在企业主域名cookie中写入并保存认证授权标识session Token并由用户终端浏览器的钩子函数重定向进入所述业务应用系统页面;接收所述业务应用系统发送的用户信息获取请求,其中,所述业务应用系统在发送用户信息获取请求之前,接收用户终端浏览器发送用户登录认证请求;通过session Token获取用户信息并将用户信息返回给所述业务应用系统以便所述业务应用系统进行用户登录认证,其中,所述业务应用系统在认证成功后,设置所述业务应用系统登录状态。
为实现上述目的及其他相关目的,本发明提供一种计算机可读存储介质,其中存储有计算机程序,所述计算机程序被处理器加载执行时,实现所述的基于多认证协议的单点登录方法。
为实现上述目的及其他相关目的,本发明提供一种电子设备,包括:处理器、存储器及通信接口;其中,所述存储器用于存储计算机程序;所述处理器用于加载执行所述计算机程序,以使所述电子设备执行所述的基于多认证协议的单点登录方法;所述通信接口用于实现访问装置与其他设备之间的通信。
如上所述,本发明提供的一种基于多认证协议的单点登录方法、介质及电子设备,针对用户频繁登录各类应用的操作,且需要记忆大量应用密码,降低了员工的工作效率,造成工作成本的浪费的问题,本发明通过多个系统之间的用户身份信息的交换来实现单点登录,用户在使用单点登录系统时,只需要登录一次,就可以访问多个系统,无需记忆多个口令密码,实现快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全性。
附图说明
图1显示为本发明一实施例中的基于多认证协议的单点登录方法的流程示意图。
图2显示为本发明一实施例中的基于多认证协议的单点登录方法的架构示意图。
图3显示为本发明一实施例中的基于多认证协议的单点登录方法中基于OAuth认证流程示意图。
图4显示为本发明一实施例中的基于多认证协议的单点登录方法中基于SAML认证流程示意图。
图5显示为本发明一实施例中的基于多认证协议的单点登录方法中基于CAS认证流程示意图。
图6显示为本发明一实施例中的基于多认证协议的单点登录方法中基于JWT对称加密模式认证流程示意图。
图7显示为本发明一实施例中的基于多认证协议的单点登录方法中基于JWT非对称加密模式认证流程示意图。
图8显示为本发明一实施例中的基于多认证协议的单点登录方法中基于共享cookie认证流程示意图。
图9显示为本发明一实施例中的电子设备的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
为了解决现有技术中采用的LAM登录系统无法满足企业员工数持续增长后的性能扩张以及无法很好的支持各类认证协议的问题,或者采用单一登录各类应用系统方法所导致的用户登录效率低、容易造成忘记密码的问题,本发明提供基于多认证协议的单点登录方法、介质及电子设备。
如图1所示,本实施例提供一种基于多认证协议的单点登录方法,该方法包括如下步骤:
S11:接收用户终端浏览器发送的带有业务应用系统识别标识的用户登录认证授权标识请求信息。
具体地,统一登录平台服务器支持的业务应用系统认证协议包括有OAuth2.0、SAML2.0、CAS、JWT、共享cookie。业务应用系统与统一登录平台服务器之间的架构图如图2所示。
进一步地,所有业务应用系统在集成使用统一登录平台之前,需要根据业务应用系统采用的登录认证协议预先在统一登录平台注册业务应用系统,统一登录平台给每一个业务应用系统具有分配唯一识别id。
进一步地,由于部分应用有单独的账号体系,可能跟统一登录平台通用账号体系不兼容,对统一登录平台中用户账号与业务应用系统账号做映射管理,实现统一登录平台账号与业务应用系统账号进行绑定。
进一步地,在用户通过终端浏览器输入业务应用系统网址或者通过在统一登录平台中点击该业务应用系统发送用户登录请求后,业务应用系统构建登录拦截器判断该用户未登录时,通知用户浏览器重定向到统一登录平台,用户终端浏览器在重定向进入统一登录平台时向统一登录平台发送带有业务应用系统识别标识的用户登录认证授权标识请求信息。需要说明的是,业务应用系统识别标识可以是业务应用系统唯一识别id,或者为企业主域名的cookie。
S12:根据所述业务应用系统识别标识及其采用的登录认证协议生成认证授权标识。
具体地,统一登录平台根据接收到带有应用系统识别标识的用户登录认证授权标识请求信息后,根据该业务应用系统采用的认证协议的不同生成不同形式的认证授权标识,例如,当业务应用系统采用OAuth2.0认证协议时,其认证授权标识表现为返回的code信息;当业务应用系统采用SAML2.0认证协议时,其认证授权标识表现为返回的加密后的用户信息;当业务应用系统采用CAS认证协议时,其认证授权标识表现为返回的授权票据ST;当业务应用系统采用JWT对称加密认证协议时,其认证授权标识表现为返回的授权令牌JwtToken;当业务应用系统采用JWT非对称加密认证协议时,其认证授权标识表现为返回的JwtToken;当业务应用系统采用共享cookie认证时,其认证授权标识表现为返回的sessionToken。
S13:向所述用户终端浏览器返回所述认证授权标识以便所述用户终端浏览器通过所述认证授权标识向所述业务应用系统发送用户登录认证请求。
具体地,用户终端浏览器在接收到认证授权标识向业务应用系统发送用户登录认证请求。业务应用系统在接收到用户认证请求后,通过解密获取用户信息或者向统一登录平台请求获取用户信息后进行登录认证。认证成功后,重定向进入所述业务应用系统页面,
较佳地,登录进入业务应用系统页面后,该业务应用系统保持并设置所述业务应用系统登录状态,优选地,该业务应用系统可以对用户在该业务应用系统登录状态设定失效时效。
如图3所示,本实施例提供一种基于多认证协议的单点登录方法中基于OAuth2.0认证方法,该方法包括如下步骤:
步骤1,用户终端浏览器将带有业务应用系统识别id的code请求信息发送给统一登录平台。
步骤2,统一登录平台根据该业务应用系统的识别id获取所述业务应用系统配置信息并与该业务应用系统在统一登录平台注册的信息进行信息校对,在信息校对成功后,根据统一登录平台上该用户的用户信息生成code并返回给用户终端浏览器,需要说明的是,该code生成后统一应用平台将其存入缓存。
步骤3,用户终端浏览器通过url把带有接收到的code的用户登录认证请求发送给业务应用系统。
步骤4,业务应用系统将带有code信息发送给统一登录平台以请求获取token。
步骤5,统一登录平台根据接收到的code信息生成token并将该token返回给业务应用系统,需要说明的是,在token生成后,统一登录平台将其存入缓存,同时将code从缓存中删除。
步骤6,业务应用系统将带有token的用户信息请求信息发送给统一登录平台。
步骤7,统一登录平台接收到用户信息请求信息后将用户信息,包括用户id,姓名等返回给业务应用系统。
步骤8,业务应用系统接收到用户信息后进行用户登录认证,并在认证成功后重定向进去对应业务系统页面。在用户登录成功后业务应用系统设置用户在该业务应用系统认证成功的登录状态,并对登录状态设定失效时效。
较佳的,统一登录平台通过适配器模式满足不同业务系统对返回的认证授权信息的特殊格式要求,实现了不用应用的认证信息可配置。
如图4所示,本实施例提供一种基于多认证协议的单点登录方法中基于SAML2.0认证方法。
具体地,在该方法实施之前,业务应用系统在接收到用户登录请求信息后判断该用户未进行授权登录后通过注册统一登录平台是提供的证书加密请求参数后将该请求参数返回给用户终端浏览器。用户终端浏览器在确定请求参数后实施如下步骤:
步骤1,用户终端浏览器将带有根据业务应用系统证书加密的请求参数信息发送给统一登录平台。
步骤2,统一登录平台根据该业务应用系统的用户终端浏览器对加密后的请求参数信息进行解密,并对解密后的业务应用系统注册数据进行校验,在校验成功后获取用户信息并根据该业务应用系统证书进行加密,最后将加密后的用户信息返回给用户终端浏览器。
步骤3,用户终端浏览器将带有加密后的用户信息向业务应用系统请求用户登录认证。
步骤4,业务应用系统通过证书对将带有加密后的用户信息的登录认证请求信息进行解密,然后解密获取的用户信息进行用户登录认证。最后在认证成功后重定向进去对应业务系统页面。
如图5所示,本实施例提供一种基于多认证协议的单点登录方法中基于CAS认证方法,该方法包括如下步骤:
步骤1,用户终端浏览器将带有业务应用系统识别id的授权票据ST请求信息发送给统一登录平台。
步骤2,统一登录平台根据该业务应用系统的识别id获取所述业务应用系统配置信息并与该业务应用系统在统一登录平台注册的信息进行信息校对,在信息校对成功后,根据统一登录平台上该用户的用户信息生成授权票据ST并返回给用户终端浏览器。
步骤3,用户终端浏览器把带有接收到的授权票据ST的用户登录认证请求发送给业务应用系统。
步骤4,业务应用系统将带有授权票据ST发送给统一登录平台以请求获取用户信息。
步骤5,统一登录平台根据接收到带有授权票据ST用户信息获取请求将用户信息返回给业务应用系统。
步骤6,业务应用系统根据接收到的用户信息进行用户登录认证,并在认证成功后重定向进入所述业务应用系统页面。最后在登录成功后设置用户在该业务应用系统登录状态,并对用户在该业务应用系统登录成功状态设定失效时效。
如图6所示,本实施例提供一种基于多认证协议的单点登录方法中基于JWT对称加密模式认证方法,该方法包括如下步骤:
步骤1,用户终端浏览器将带有业务应用系统识别id的授权令牌JwtToken请求信息发送给统一登录平台。
步骤2,统一登录平台根据该业务应用系统的识别id获取所述业务应用系统配置信息并与该业务应用系统在统一登录平台注册的信息进行信息校对,在信息校对成功后,根据统一登录平台上该用户的用户信息生成授权令牌JwtToken并返回给用户终端浏览器。
步骤3,终端浏览器在接收到授权令牌JwtToken保存到localStorage,并向业务应用系统发送带有授权令牌JwtToken的用户登录认证请求。
步骤4,业务应用系统在接收到用户登录认证请求后通过对称加密方式对应的解密方法解密用户信息并根据用户信息进行用户登录认证,认证成功后重定向进入所述业务应用系统页面。然后在登录成功后设置用户在该业务应用系统登录状态,并将JwtToken保持至缓存,最后对用户在该业务应用系统登录成功状态设定失效时效。
如图7所示,本实施例提供一种基于多认证协议的单点登录方法中基于JWT非对称加密模式认证方法,该方法包括如下步骤:
步骤1,用户终端浏览器将带有业务应用系统识别id的授权令牌JwtToken请求信息发送给统一登录平台。
步骤2,统一登录平台根据该业务应用系统的识别id获取所述业务应用系统配置信息并与该业务应用系统在统一登录平台注册的信息进行信息校对,在信息校对成功后生成公私钥对,使用私钥签名后结合用户信息生成授权令牌JwtToken并返回用户终端浏览器。
步骤3,终端浏览器在接收到授权令牌JwtToken保存到localStorage,并向业务应用系统发送带有授权令牌JwtToken的用户登录认证请求。
步骤4,业务应用系统在接收到用户登录认证请求后,向统一登录平台请求获取公钥。
步骤5,统一登录平台接收到公钥获取请求后将公钥发送给业务应用系统。
步骤6,业务应用系统接收到公钥后对授权令牌JwtToken中签名进行验证,以判断用户信息的真实性,业务应用系统在在通过验证签名判断用户信息为真实后进行用户登录认证,并在认证成功后重定向进入所述业务应用系统页面。
如图8所示,本实施例提供一种基于多认证协议的单点登录方法中基于共享cookie认证方法,该方法包括如下步骤:
步骤1,用户浏览器向业务应用系统发送请求登录,该业务应用系统判断该域名的cookie中是否含有session Token,若没有则重定向到统一登录平台请求生成sessionToken。
步骤2,统一登录平台在接收到session Token请求信息后在统一登录平台企业主域名中cookie写入并保存session Token。
步骤3,用户终端浏览器通过钩子函数向业务应用系统发送用户登录认证请求。
步骤4,业务应用系统在接收到用户登录认证请求后,通过统一登录平台的session Token请求获取用户信息。
步骤5,统一登录平台根据session Token后获取用户信息后将用户信息发送给业务应用系统。
步骤6,业务应用系统在获取用户信息后根据用户信息进行用户登录认证,然后在登录成功后设置用户在该业务应用系统登录状态
参阅图9,本实施例提供一种电子设备,电子设备可以是便携式电脑、智能手机、平板电脑等设备。详细的,电子设备至少包括通过总线91连接的:存储器92、处理器93,通信接口94,其中,通信接口94用于用于实现数据访问装置与其他设备之间的通信其中,存储器92用于存储计算机程序,处理器93用于执行存储器92存储的计算机程序,以执行前述方法实施例中的全部或部分步骤。
上述提到的系统总线可以是外设部件互连标准(Peripheral PomponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该系统总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。通信接口用于实现数据库访问装置与其他设备(例如客户端、读写库和只读库)之间的通信。存储器可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
综上所述,本发明提供的一种基于多认证协议的单点登录方法、介质及电子设备,用户可以实现一套账号登录所有接入的外部应用,可以通过该发明对所有员工状态统一管理。当账号冻结或离职时,所有登录的应用自动下线,减少人工介入工作量的同时,有效保障了账号和应用系统的安全。针对内外部应用采用不同的方式,对外可以充分保障认证数据的安全;对内在具有相同的以及域名的情况下,能以最低对接成本批量接入,并且具有最低性能损耗的优势;并且该方法采取了适配器模式,可任意扩展,能保证各类系统可适配接入。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种基于多认证协议的单点登录方法,其特征在于,应用于统一登录平台服务器,包括:
接收用户终端浏览器发送的带有业务应用系统识别标识的用户登录认证授权标识请求信息;
根据所述业务应用系统识别标识及其采用的登录认证协议生成认证授权标识;
向所述用户终端浏览器返回所述认证授权标识以便所述用户终端浏览器通过所述认证授权标识向所述业务应用系统发送用户登录认证请求。
2.根据权利要求1所述的方法,其特征在于,所述统一登录平台服务器支持的业务应用系统认证协议包括OAuth、SAML、CAS、JWT、共享cookie。
3.根据权利要求2所述的方法,向统一登录平台发送获取应用系统授权信息之前还包括:
预先在所述统一登录平台注册所述业务应用系统,所述业务应用系统具有唯一识别id;
对统一登录平台中用户账号与所述业务应用系统账号做映射管理。
4.根据权利要求3所述的方法,其特征在于,当所述业务应用系统采用的认证协议为OAuth,认证步骤包括:
接收所述用户终端浏览器发送的带有业务应用系统识别id的code请求信息;
根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统注册信息;
基于用户信息生成code并返回;
接收所述业务应用系统携带code信息发送的token请求信息,其中,所述业务应用系统在发送token请求信息之前,接收用户终端浏览器发送的通过code获取用户登录认证请求;
根据所述code生成token信息并返回给所述业务应用系统;
接收所述业务应用系统携带token信息发送的用户信息请求;
将用户信息返回给所述业务应用系统以便所述业务应用系统进行用户登录认证,其中,所述业务应用系统在认证成功后重定向进入所述业务应用系统页面,再设置所述业务应用系统登录状态,并对用户在所述业务应用系统登录状态设定失效时效。
5.根据权利要求3所述的方法,其特征在于,当所述业务应用系统采用的认证协议为SAML,认证步骤包括:
接收所述用户终端浏览器发送的根据所述业务应用系统证书加密的请求参数信息;
通过所述业务应用系统证书解密所述加密后的请求参数信息,所述请求参数信息包括所述业务应用系统注册数据;
校验所述业务应用系统注册数据;
在所述业务应用系统注册数据校验成功后,获取当前用户信息,加密后返回所述用户终端浏览器以便所述用户终端浏览器根据所述加密后的用户信息向所述业务应用系统获取用户登录认证请求,所述业务应用系统在接收到用户登录认证请求后解密获取用户信息并根据用户信息进行用户登录认证,认证成功后重定向进入所述业务应用系统页面。
6.根据权利要求3所述的方法,其特征在于,当所述业务应用系统采用的认证协议为CAS,认证步骤包括:
接收所述用户终端浏览器发送的带有业务应用系统识别id的授权票据ST请求信息;根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统注册信息;
基于用户信息生成所述授权票据ST并返回;
接收所述业务应用系统携带授权票据ST发送的用户信息获取请求,其中,所述业务应用系统在发送用户信息获取请求之前,接收用户终端浏览器发送的通过授权票据ST获取用户登录认证请求;
将用户信息返回给所述业务应用系统以便所述业务应用系统进行用户登录认证,其中,所述业务应用系统在认证成功后重定向进入所述业务应用系统页面,再设置所述业务应用系统登录状态,并对用户在所述业务应用系统登录状态设定失效时效。
7.根据权利要求3所述的方法,其特征在于,当所述业务应用系统采用的认证协议为JWT时,判断所述业务应用系统采用的认证协议为对称加密方式认证模式或非对称加密方式认证模式,当所述业务应用系统采用的认证协议为对称加密方式认证模式时,认证步骤包括:
接收所述用户终端浏览器发送的带有业务应用系统识别id的授权令牌JwtToken请求信息;
根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统注册信息;
基于用户信息生成所述授权令牌JwtToken并返回;
所述用户终端浏览器在接收到所述授权令牌JwtToken进行保存,并向所述业务应用系统发送携带有授权令牌JwtToken的用户登录认证请求,所述业务应用系统在接收到用户登录认证请求后通过对称加密方式解密获取用户信息并根据用户信息进行用户登录认证,认证成功后重定向进入所述业务应用系统页面,所述业务应用系统在解密后保存授权令牌JwtToken,再设置所述业务应用系统登录状态,并对用户在所述业务应用系统登录状态设定失效时效。
当所述业务应用系统采用的认证协议为非对称加密方式认证模式时,认证步骤包括:
接收所述用户终端浏览器发送的带有业务应用系统识别id的授权令牌JwtToken请求信息;
根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统注册信息;
生成公私钥对,使用私钥签名后结合用户信息,生成授权令牌JwtToken并返回;
接收所述业务应用系统发送的公钥获取请求,其中,在所述业务应用系统发送公钥获取请求之前,所述用户终端浏览器在接收到所述授权令牌JwtToken进行保存,并向所述业务应用系统发送携带有授权令牌JwtToken的用户登录认证请求;
将所述公钥发送给所述业务应用系统以便所述业务应用系统根据公钥验证授权令牌JwtToken的签名以判断用户信息真实性,在判断用户信息真实后进行用户登录认证,并在认证成功后重定向进入所述业务应用系统页面。
8.根据权利要求3所述的方法,其特征在于,当所述业务应用系统采用的认证协议为共享cookie,认证步骤包括:
接收所述用户终端浏览器发送的带有业务应用系统识别域名cookie的登录认证授权标识请求信息;
在企业主域名cookie中写入并保存认证授权标识session Token并由用户终端浏览器的钩子函数重定向进入所述业务应用系统页面;
接收所述业务应用系统发送的用户信息获取请求,其中,所述业务应用系统在发送用户信息获取请求之前,接收用户终端浏览器发送用户登录认证请求;
通过session Token获取用户信息并将用户信息返回给所述业务应用系统以便所述业务应用系统进行用户登录认证,其中,所述业务应用系统在认证成功后,设置所述业务应用系统登录状态。
9.一种计算机可读存储介质,其中存储有计算机程序,其特征在于,所述计算机程序被处理器加载执行时,实现如权利要求1至7中任一所述的基于多认证协议的单点登录方法。
10.一种电子设备,其特征在于,包括:处理器、存储器及通信接口;其中,
所述存储器用于存储计算机程序;
所述处理器用于加载执行所述计算机程序,以使所述电子设备执行如权利要求1至7中任一所述的基于多认证协议的单点登录方法;
所述通信接口用于实现访问装置与其他设备之间的通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210084528.6A CN114422258A (zh) | 2022-01-25 | 2022-01-25 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210084528.6A CN114422258A (zh) | 2022-01-25 | 2022-01-25 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114422258A true CN114422258A (zh) | 2022-04-29 |
Family
ID=81276833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210084528.6A Pending CN114422258A (zh) | 2022-01-25 | 2022-01-25 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114422258A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134112A (zh) * | 2022-05-12 | 2022-09-30 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN116074129A (zh) * | 2023-04-06 | 2023-05-05 | 广东电网有限责任公司佛山供电局 | 一种集成与兼容第三方认证的登录方法及系统 |
| CN116233122A (zh) * | 2023-05-06 | 2023-06-06 | 上海观安信息技术股份有限公司 | 异构服务器登录方法、装置、设备及介质 |
| CN117574349A (zh) * | 2023-11-10 | 2024-02-20 | 中移互联网有限公司 | 单点登录认证方法、装置、电子设备及存储介质 |
| CN118413403A (zh) * | 2024-07-02 | 2024-07-30 | 宁波港信息通信有限公司 | 一种双重身份验证装置与方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007104245A1 (fr) * | 2006-03-16 | 2007-09-20 | Huawei Technologies Co., Ltd. | Système de cadre de référence pour développement des services web et son procédé d'authentification |
| US20100050251A1 (en) * | 2008-08-22 | 2010-02-25 | Jerry Speyer | Systems and methods for providing security token authentication |
| US8745718B1 (en) * | 2012-08-20 | 2014-06-03 | Jericho Systems Corporation | Delivery of authentication information to a RESTful service using token validation scheme |
| CN104767621A (zh) * | 2015-04-16 | 2015-07-08 | 深圳市高星文网络科技有限公司 | 一种移动应用访问企业数据的单点安全认证方法 |
| CN106161364A (zh) * | 2015-04-06 | 2016-11-23 | 上海比赞信息科技有限公司 | 一种基于移动终端的个人认证凭证管理方法及系统 |
| KR20190120899A (ko) * | 2018-04-17 | 2019-10-25 | 이니텍(주) | 브라우저 지문을 이용한 싱글 사인온 방법 |
| CN111314340A (zh) * | 2020-02-13 | 2020-06-19 | 深信服科技股份有限公司 | 认证方法及认证平台 |
| CN112039873A (zh) * | 2020-08-28 | 2020-12-04 | 浪潮云信息技术股份公司 | 一种单点登录访问业务系统的方法 |
| CN112995219A (zh) * | 2021-05-06 | 2021-06-18 | 四川省明厚天信息技术股份有限公司 | 一种单点登录方法、装置、设备及存储介质 |
| CN113452711A (zh) * | 2021-06-29 | 2021-09-28 | 新华三大数据技术有限公司 | 云桌面的单点登录方法及网络设备 |
| CN113938886A (zh) * | 2021-11-30 | 2022-01-14 | 上海派拉软件股份有限公司 | 身份认证平台测试方法、装置、设备及存储介质 |
-
2022
- 2022-01-25 CN CN202210084528.6A patent/CN114422258A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007104245A1 (fr) * | 2006-03-16 | 2007-09-20 | Huawei Technologies Co., Ltd. | Système de cadre de référence pour développement des services web et son procédé d'authentification |
| US20100050251A1 (en) * | 2008-08-22 | 2010-02-25 | Jerry Speyer | Systems and methods for providing security token authentication |
| US8745718B1 (en) * | 2012-08-20 | 2014-06-03 | Jericho Systems Corporation | Delivery of authentication information to a RESTful service using token validation scheme |
| CN106161364A (zh) * | 2015-04-06 | 2016-11-23 | 上海比赞信息科技有限公司 | 一种基于移动终端的个人认证凭证管理方法及系统 |
| CN104767621A (zh) * | 2015-04-16 | 2015-07-08 | 深圳市高星文网络科技有限公司 | 一种移动应用访问企业数据的单点安全认证方法 |
| KR20190120899A (ko) * | 2018-04-17 | 2019-10-25 | 이니텍(주) | 브라우저 지문을 이용한 싱글 사인온 방법 |
| CN111314340A (zh) * | 2020-02-13 | 2020-06-19 | 深信服科技股份有限公司 | 认证方法及认证平台 |
| CN112039873A (zh) * | 2020-08-28 | 2020-12-04 | 浪潮云信息技术股份公司 | 一种单点登录访问业务系统的方法 |
| CN112995219A (zh) * | 2021-05-06 | 2021-06-18 | 四川省明厚天信息技术股份有限公司 | 一种单点登录方法、装置、设备及存储介质 |
| CN113452711A (zh) * | 2021-06-29 | 2021-09-28 | 新华三大数据技术有限公司 | 云桌面的单点登录方法及网络设备 |
| CN113938886A (zh) * | 2021-11-30 | 2022-01-14 | 上海派拉软件股份有限公司 | 身份认证平台测试方法、装置、设备及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134112A (zh) * | 2022-05-12 | 2022-09-30 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN115134112B (zh) * | 2022-05-12 | 2024-02-02 | 山东鲁软数字科技有限公司 | 一种内网环境下统一浏览器账户管理系统及方法 |
| CN116074129A (zh) * | 2023-04-06 | 2023-05-05 | 广东电网有限责任公司佛山供电局 | 一种集成与兼容第三方认证的登录方法及系统 |
| CN116074129B (zh) * | 2023-04-06 | 2023-06-02 | 广东电网有限责任公司佛山供电局 | 一种集成与兼容第三方认证的登录方法及系统 |
| CN116233122A (zh) * | 2023-05-06 | 2023-06-06 | 上海观安信息技术股份有限公司 | 异构服务器登录方法、装置、设备及介质 |
| CN116233122B (zh) * | 2023-05-06 | 2023-07-04 | 上海观安信息技术股份有限公司 | 异构服务器登录方法、装置、设备及介质 |
| CN117574349A (zh) * | 2023-11-10 | 2024-02-20 | 中移互联网有限公司 | 单点登录认证方法、装置、电子设备及存储介质 |
| CN118413403A (zh) * | 2024-07-02 | 2024-07-30 | 宁波港信息通信有限公司 | 一种双重身份验证装置与方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11475137B2 (en) | Distributed data storage by means of authorisation token | |
| US11323479B2 (en) | Data loss prevention techniques | |
| CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| CN114422258A (zh) | 一种基于多认证协议的单点登录方法、介质及电子设备 | |
| US10474829B2 (en) | Virtual service provider zones | |
| US11431757B2 (en) | Access control using impersonization | |
| US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
| CN109274652B (zh) | 身份信息验证系统、方法及装置及计算机存储介质 | |
| US10320773B2 (en) | Validation for requests | |
| CN109669955B (zh) | 一种基于区块链的数字资产查询系统和方法 | |
| US20220321357A1 (en) | User credential control system and user credential control method | |
| CN112118269A (zh) | 一种身份认证方法、系统、计算设备及可读存储介质 | |
| CN110347750B (zh) | 基于区块链的数据处理方法和装置 | |
| CN108289074B (zh) | 用户账号登录方法及装置 | |
| CN107566329A (zh) | 一种访问控制方法及装置 | |
| CN111200601B (zh) | 一种基于通用中转服务对用户与应用进行对接的方法及系统 | |
| CN114021103A (zh) | 基于身份认证的单点登录方法、装置、终端及存储介质 | |
| CN112311716A (zh) | 一种基于openstack的数据访问控制方法、装置及服务器 | |
| CN109658100B (zh) | 一种确定下链数字资产的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |