CN114666124A - 业务系统登录方法、登录装置、电子设备及存储介质 - Google Patents
业务系统登录方法、登录装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114666124A CN114666124A CN202210283537.8A CN202210283537A CN114666124A CN 114666124 A CN114666124 A CN 114666124A CN 202210283537 A CN202210283537 A CN 202210283537A CN 114666124 A CN114666124 A CN 114666124A
- Authority
- CN
- China
- Prior art keywords
- user
- login
- service
- service system
- key information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 230000008569 process Effects 0.000 claims abstract description 20
- 238000012795 verification Methods 0.000 claims abstract description 20
- 230000008520 organization Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 11
- 230000003068 static effect Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 27
- 230000006870 function Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 8
- 238000002955 isolation Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000010276 construction Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000019580 granularity Nutrition 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种业务系统登录方法,用于登录装置,所述方法包括:从拦截到的用户发送的业务请求中获取登录凭证;在验证所述登录凭证通过的情况下,根据所述登录凭证获取用户关键信息;将所述用户关键信息发送至所述业务请求对应的业务系统服务器,以供所述业务系统服务器根据所述用户关键信息处理所述业务请求,其中,多个业务系统服务器接入到当前登录装置。用户无需再逐一登录多个业务系统,而是只需一个账号即可登录多个业务系统,实现了多个业务系统的数据互通,业务系统接入简单便捷,提升了用户体验。本发明还公开了一种登录装置、电子设备及计算机存储介质。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种业务系统登录方法、一种登录装置、一种电子设备及一种计算机存储介质。
背景技术
随着信息化建设的不断发展,在国家大力倡导智慧城市建设的过程中,越来越多的业务需要实现网上处理。但是不同于互联网等技术性公司,传统单位在信息化建设中,缺少统一的技术支持,随着业务系统的不断增加,业务系统的建设变得逐渐复杂,不同的部门与业务之间会有许多不关联的业务系统,造成的后果为逻辑性数据孤立和物理性数据孤立,逻辑性数据孤立即数据规范、定义不统一,加大了跨部门合作的沟通成本,物理性数据孤立即数据在不同的部门相互独立存储、独立维护,造成了数据无法共享。
发明内容
为此,本发明提供一种业务系统登录方法、一种登录装置、一种电子设备及一种计算机存储介质,以解决现有技术中的上述不足。
本发明第一方面提供一种业务系统登录方法,用于登录装置,所述方法包括:
从拦截到的用户发送的业务请求中获取登录凭证;
在验证所述登录凭证通过的情况下,根据所述登录凭证获取用户关键信息;
将所述用户关键信息发送至所述业务请求对应的业务系统服务器,以供所述业务系统服务器根据所述用户关键信息处理所述业务请求,其中,多个业务系统服务器接入到当前登录装置。
在一些实施例中,在所述从拦截到的业务请求中获取登录凭证之前,所述方法还包括:
在验证所述用户输入的登录信息通过的情况下,根据所述用户的所述用户关键信息生成并存储所述登录凭证。
在一些实施例中,在所述将所述用户关键信息发送至所述业务请求对应的业务系统服务器之后,所述方法还包括:
在接收到所述用户输入的退出登录请求的情况下,清空所述登录凭证,并通知所述业务请求对应的业务系统服务器清空所述用户关键信息。
在一些实施例中,所述方法还包括:
响应于所述多个业务系统服务器中任一业务系统服务器发送的登录状态查询请求,向所述任一业务系统反馈当前已登录用户的登录状态;或者,
向所述多个业务系统服务器反馈当前已登录用户的登录状态。
在一些实施例中,所述登录装置包括单点登录SSO客户端、服务后端、静态页面和软件开发工具包SDK。
在一些实施例中,所述用户关键信息包括用户角色权限,所述方法还包括:
确定所述各业务系统服务器对应的各组织节点;
根据所述各组织节点确定各角色权限;
在所述从拦截到的用户发送的业务请求中获取登录凭证之前,所述方法还包括:
在所述用户在当前登录装置注册成功的情况下,根据所述各角色权限确定所述用户的用户角色权限。
在一些实施例中,在所述根据所述各角色权限确定所述用户的用户角色权限之后,所述方法还包括:
在接收到所述用户发送的数据请求的情况下,根据所述用户的用户角色权限处理所述数据请求。
本发明第二方面提供一种登录装置,所述登录装置包括:
获取模块,用于从拦截到的用户发送的业务请求中获取登录凭证;以及用于在验证所述登录凭证通过的情况下,根据所述登录凭证获取用户关键信息;
验证模块,用于验证所述登录凭证;
发送模块,用于将所述用户关键信息发送至所述业务请求对应的业务系统服务器,以供所述业务系统服务器根据所述用户关键信息确定用户的角色权限,并根据所述用户的角色权限处理所述业务请求,其中,多个业务系统服务器接入到当前登录装置。
本发明第三方面提供一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如前所述的业务系统登录方法;
一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
本发明第四方面提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如前所述的业务系统登录方法。
本发明具有如下优点:
通过本发明实施例提供的业务系统登录方法,从拦截到的业务请求中获取登录凭证,在验证登录凭证通过的情况下,根据登录凭证获取用户关键信息,多个业务系统服务器接入到当前登录装置,将用户关键信息发送至业务请求对应的业务系统服务器,以供业务系统服务器根据用户关键信息处理业务请求,用户无需再逐一登录多个业务系统,而是只需一个账号即可登录多个业务系统,实现了多个业务系统的数据互通,业务系统接入简单便捷,提升了用户体验。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明实施例提供的业务系统登录方法的流程示意图一;
图2为本发明实施例提供的业务系统登录方法的流程示意图二;
图3为本发明实施例提供的业务系统登录方法的流程示意图三;
图4为本发明实施例提供的用户登录与退出时序示意图;
图5为本发明实施例提供的后台逻辑示意图;
图6为本发明实施例提供的“用户-角色-权限”模型的关系示意图;
图7为本发明实施例提供的一个街道的组织结构示意图;
图8为本发明实施例提供的登录装置的模块示意图;
图9为本发明实施例提供的电子设备的模块示意图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
如本发明所使用的,术语“和/或”包括一个或多个相关列举条目的任何和全部组合。
本发明所使用的术语仅用于描述特定实施例,且不意欲限制本发明。如本发明所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。
当本发明中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
本发明所述实施例可借助本发明的理想示意图而参考平面图和/或截面图进行描述。因此,可根据制造技术和/或容限来修改示例图示。
除非另外限定,否则本发明所用的全部术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本发明的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本发明明确如此限定。
目前,针对逻辑性数据孤立问题,企业通常采用指定数据规范、定义数据标准的方式,规范化不同部门之间对数据的认知,需要的时间较长;针对物理性数据孤立问题,企业通常利用API(Application Programming Interface,应用程序编程接口)将各个业务系统对接,将数据汇总到自行搭建的管理应用,再进行统一分析处理,逐渐形成数据中心,再指导业务部门工作,建设时间较长。此外,目前企业的业务系统中,用户权限以及组织架构管理混乱,各业务系统的账号通常相互独立,导致需要分别使用不同的账号以登录不同的业务系统。
有鉴于此,本发明实施例提出,可以将企业所有的业务系统接入到统一的登录装置,实现各业务系统的统一登录,进而实现数据互通,并且,无需逐一登录多个业务系统,实现通过一个账号即可登录所有的业务系统。相应的,本发明实施例提供一种业务系统登录方法,用于登录装置,如图1所示,所述方法可以包括如下步骤:
在步骤S11中,从拦截到的用户发送的业务请求中获取登录凭证。
在步骤S12中,在验证登录凭证通过的情况下,根据登录凭证获取用户关键信息。
在步骤S13中,将用户关键信息发送至业务请求对应的业务系统服务器,以供业务系统服务器根据用户关键信息处理业务请求,其中,多个业务系统服务器接入到当前登录装置。
其中,业务请求是用户在登录之后发送的,业务请求用以向相应的业务系统服务器请求业务操作,用户关键信息可以包括用户手机号码、用户身份证号码、用户邮箱、用户工号等任意可以唯一标识用户身份的信息。多个业务系统服务器可以提供业务系统接口,通过界面跳转的方式或者嵌入自定义样式的弹窗的方式接入到当前登录装置。
登录凭证Token是在用户登录的过程中根据用户关键信息生成的,相应的,在一些实施例中,如图2所示,在所述从拦截到的业务请求中获取登录凭证(即步骤S11)之前,所述方法还可以包括如下步骤:
在步骤S10中,在验证用户输入的登录信息通过的情况下,根据用户的用户关键信息生成并存储登录凭证。
其中,登录信息包括登录账号信息以及与该登录账号信息匹配的登录验证信息,即包括账号与密码。
用户通过登录装置点击任一业务系统的链接或登录按钮,登录装置调用登录接口,弹出登录界面,用户输入登录信息,登录装置对用户输入的登录信息进行验证,若账号有误、密码有误或账号密码不匹配,则验证不通过,此时提示用户登录失败,否则验证通过,使用用户关键信息生成登录凭证Token,同时登录装置存储登录凭证Token。后续当用户通过登录装置发送业务请求时,登录装置的前端在生成业务请求时将自动携带登录凭证Token,登录装置的后端通过过滤器servlet filter或者与业务系统服务器之间的网关对业务请求进行拦截,当拦截到的业务请求时,从中获取登录凭证Token,对登录凭证Token进行验证,当验证通过时,解析登录凭证Token获得用户关键信息,将用户关键信息发送给与业务请求对应的业务系统服务器,以供该业务系统服务器所属的业务系统服务器处理用户的业务请求。
从上述步骤S11-S13可以看出,通过本发明实施例提供的业务系统登录方法,从拦截到的业务请求中获取登录凭证,在验证登录凭证通过的情况下,根据登录凭证获取用户关键信息,多个业务系统服务器接入到当前登录装置,将用户关键信息发送至业务请求对应的业务系统服务器,以供业务系统服务器根据用户关键信息处理业务请求,用户无需再逐一登录多个业务系统,而是只需一个账号即可登录多个业务系统,实现了多个业务系统的数据互通,业务系统接入简单便捷,提升了用户体验。
由于在用户登录时生成并存储登录凭证Token,为了保障用户信息安全,防止业务系统被攻击,在用户退出登录时,可以清除用户的本次登录信息。相应的,在一些实施例中,在所述将用户关键信息发送至业务请求对应的业务系统服务器(即步骤S13)之后,如图3所示,所述方法还可以包括如下步骤:
在步骤S14中,在接收到用户输入的退出登录请求的情况下,清空登录凭证,并通知业务请求对应的业务系统服务器清空用户关键信息。
用户通过登录装置点击任一业务系统的链接或退出登录按钮,登录装置调用登出接口,弹出登出界面,登录装置清除用户当前的登录状态以及登录凭证Token,同时发送登录消息至各业务系统服务器,各业务系统服务器清空用户关键信息。
为了保障各个业务系统均能实时感知用户的登录状态,从而实现实现互踢提示,可以通过各业务系统主动轮询的方式或者登录装置主动推送消息的方式向各业务系统通知用户的登录状态。相应的,在一些实施例中,所述方法还可以包括如下步骤:
响应于多个业务系统服务器中任一业务系统服务器发送的登录状态查询请求,向任一业务系统反馈当前已登录用户的登录状态;或者,向多个业务系统服务器反馈当前已登录用户的登录状态。
在一些实施例中,所述登录装置可以包括SSO(Single Sign On,单点登录)客户端、服务后端、静态页面和SDK(Software Development Kit,软件开发工具包)。
其中,SSO客户端可以提供各项用户信息相关的API,可以通过servlet filter根据预先配置的规则拦截业务请求并对业务请求进行权限验证,服务后端可以用于提供验证登录凭证的服务接口,还可以用于推送用户信息变更通知消息,可以基于spring boot、mybatis、redis、mysql、redis等工具框架缓存用户的登录凭证,mysql还可以用于存放用户的基础信息与操作日志。静态页面可以供js-sdk调用,可以基于JS(JavaScript,爪哇脚本)、HTML(HyperText Markup Language,超文本标记语言)、CSS(Cascading StyleSheets,层叠样式表)等实现,能够缩小体积、便于调试。SDK即js-sdk,可以提供登录、注册以及登出等API,可以在SSO页面完成对应操作后统一跳转至业务系统服务器埋入的回调页面,执行回调函数,从而在规避跨域问题的情况下完成业务页面的信息注入;可以直接引用文件来安装SDK,例如在html文件中引入JS,也可以使用npm安装SDK;SDK的使用流程大致如下:首先拷贝回调页面到业务系统服务器中并确保可访问,然后在文档加载完毕时调用init,再根据业务场景手动调用登录函数,最后退出即可。业务系统服务器可以通过在设备中引入jar(Java ARchive,Java归档)包来实现。
用户通过登录装置点击任一业务系统的链接或登录按钮,业务系统页面调用SDK登录接口,弹出SSO登录界面,用户输入登录信息,登录装置对用户输入的登录信息进行验证,若验证通过,使用用户关键信息生成登录凭证Token,SDK调用回调页面,将登录凭证写入业务页面。在登录成功之后,当用户点击页面请求业务系统接口,SSO客户端根据预先配置的规则拦截业务请求并获取其中携带的验证登录凭证Token,若本地缓存内有登录凭证Token则可直接进行比对,若本地缓存内没有登录凭证Token则将获取到的登录凭证Token发送至服务后端的HTTP请求接口以供服务后端进行验证。当验证登录凭证Token通过后,放行业务请求即根据业务请求获取用户关键信息并将用户关键信息发送至对应的业务系统服务器,否则返回调用错误信息。用户通过登录装置点击任一业务系统的链接或退出登录按钮,业务系统页面调用SDK登出接口,弹出SSO登出界面,登出界面请求服务接口,登录装置清除用户当前的登录状态以及登录凭证Token,同时发送登录消息至各业务系统服务器以供业务系统服务器清除用户关键信息,响应完成后前台JS清空SSO页面与业务页面的登录凭证Token。
如图4所示,为本发明实施例提供的当登录装置与业务系统服务器之间使用网关时的用户登录与退出时序示意图。登录装置可以提供业务系统页面、uam-js-sdk、uam-biz-login-html、uam-biz-server以及消息服务。用户点击业务系统的链接或登录按钮,业务系统页面uam-js-sdk调用SDK登录接口,通过uam-biz-login-html弹出SSO登录界面,用户输入登录信息在uam-biz-server登录成功,uam-biz-login-html向uam-js-sdk返回登录结果,uam-js-sdk向业务系统返回token信息,完成登录。用户点击业务系统的链接或退出登录按钮,业务系统页面uam-js-sdk调用SDK登出接口,通过uam-biz-login-html弹出SSO退出登录界面,从而退出登录,uam-biz-server向消息服务发送logout消息,业消息服务向业务系统推送用户退出消息,业务系统页面清除token,同时uam-biz-login-html也可以向uam-js-sdk返回退出成功消息,uam-js-sdk通知业务系统页面清除token。
如图5所示,为本发明实施例提供的当登录装置与业务系统服务器之间不使用网关时的后台逻辑示意图。登录装置可以包括集成了mobile-sdk的移动端或集成了js-sdk的PC(personal computer,个人计算机)端,并且移动端或PC端可以提供uam服务、集成了uam-sso-client.jar的业务服务以及消息服务、缓存服务和数据库服务这些基础服务。uam服务可提供静态资源和服务接口。用户通过移动端APP(Application,应用程序)或者PC端web页面发送业务接口请求或登录注册请求,登录装置能够实现这些请求之间的负载均衡。uam-sso-client.jar能够对未过滤请求进行鉴权。消息服务可以与业务服务共同完成用户信息变更订阅与推送,还可以响应uam服务的用户信息变更发布。uam服务与业务服务之间通过HTTP与DUBBO API连接,uam服务可以为业务服务校验登录凭证,也可以向业务服务进行退出消息推送。缓存服务可以为来自uam服务的登录凭证提供缓存服务。数据库服务也可以为来自uam服务的用户数据提供存储服务。
用户无需再逐一登录多个业务系统,而是只需一个账号即可登录多个业务系统,实现了多个业务系统的数据互通。但是,不同的业务系统其组织结构不同,因而具备的功能不同,若逐一为已注册用户确定其在各业务系统中所具备的功能权限,无疑费时费力。较为便捷的方式是设立不同的角色,不同的角色具有不同的权限,需要为用户赋予权限时直接将角色赋予用户。相应的,在一些实施例中,所述用户关键信息可以包括用户角色权限,所述方法还可以包括如下步骤:确定各业务系统服务器对应的各组织节点,根据各组织节点确定各角色权限。相应的,在所述从拦截到的用户发送的业务请求中获取登录凭证之前,所述方法还可以包括如下步骤:在用户在当前登录装置注册成功的情况下,根据各角色权限确定用户的用户角色权限。
RBAC(Role-Based Access Control,基于角色的访问控制),是用户通过角色与权限进行关联,从而获得某些功能的使用权限,权限被赋予给角色,而不是用户,但是一个用户可以拥有若干的角色,当一个角色被赋予给某一个用户时,此用户就拥有了该角色所拥有的所有功能权限,构成了“用户-角色-权限”的授权模型,在RBAC模型中,用户与角色之间、角色与权限之间是多对多的关系。如图6所示,用户User与职位之间可以是n:n(即多对多)的关系,职位与角色Role之间可以是1:1(即一对一)的关系,职位与部门关系之间可以是n;1(即多对一)的关系,用户与部门关系之间可以是n:n(即多对多)的关系,用户与角色组之间可以是n:n(即多对多)的关系,部门关系与角色之间可以是1:n(即一对多)的关系,角色与权限Priviledge之间可以是n:n(即多对多)的关系。
角色权限为角色与权限之间的对应关系,确定各业务系统服务器对应的各组织节点,根据各组织节点即可划分不同的角色权限,例如某一个角色具体具有哪些权限。当某一用户在当前登录装置注册成功后,即可为该用户赋予角色,根据所赋予的角色确定该用户所具有的角色权限。
在一些实施例中,在所述根据各角色权限确定用户的用户角色权限之后,所述方法还可以包括如下步骤:在接收到用户发送的数据请求的情况下,根据用户的用户角色权限处理数据请求。
角色权限可以包括数据字段权限,即对于某一数据字段,不同的角色查询、读取、删除、修改这一数据字段的权限不尽相同。当接收到已登录用户的数据请求时,可以根据其用户角色权限确定是否允许用户进行数据字段操作。
角色权限可以包括用户管理、组织管理、角色管理、权限管理、日志管理、应用展示管理、安全策略管理、数据字典、统一身份认证等多种功能的权限中的任意一者或任意组合,可以实现业务系统的用户、角色和组织机构统一化管理。
用户管理主要是针对于业务系统的使用者进行管理,主要用户包括业务部门的相关工作人员、组织关系的相关工作人员、平台运维的相关工作人员等,用户能够开通或注销账号、查询或编辑用户信息、更改密码等。用户管理主要包括维护用户的基本信息属性和维护用户的管理功能。用户的基本信息属性可以包括:用户ID、用户身份证号码、姓名、登录名、登录密码、性别、出生日期、用户状态、头像存放路径,注册时间、备注、邮箱、微信、QQ、电话、部门信息等。用户管理功能主要包括用户注册管理和用户信息管理。用户注册管理即审核用户注册时所添加的部门信息,当审核通过时可以为用户获取相关权限,否则将用户确定为普通用户。用户信息管理即管理员可以对用户信息进行信息查询、信息修改、信息删除、信息增加等。
角色管理主要是针对用户的角色资源(即各角色权限)进行管理,角色用于给权限分类,角色可以根据业务关系和行政关系这两个维度来确定。每个部门对应的角色有不同的功能,每个部门可能对应多个角色,因此需要管理角色以及角色的权限范围。每个角色对应有明确的业务系统权限,所拥有的业务系统权限一般不会随意更改,也不会随着用户的被添加角色和被移除角色而进行改变。角色属性可以包括:ID、角色名称、角色描述、权限列表、有效状态、创建时间等。角色往往都是基于业务管理需求而预先在业务系统中设定好的固定标签,每个角色对应有多个明确的业务系统权限,因此当用户被赋予某个角色时可以批量获取管理的权限。角色与行政关系存在绑定关系,因此当一个用户加入某个组织部门后,用户也可以自动被赋予该组织部门对应的角色,并且拥有该角色下的所有权限。随着业务的发展,会有越来越多新的角色被创建和设置,可以支持自定义角色,并且绑定权限,用户可以被赋予以实现用户权限,但是这种角色并不一定要与行政关系绑定。权限是可以独有的,也可以是集成的,每个角色都有自己的权限集合,针对某个角色,可以在父系角色权限的基础上,增加一些额外的权限。当一个业务流程由于风控等原因,需要将操作划分为多个独立的步骤时,可以为不同的步骤赋予不同的角色,并且这些角色之间互斥,例如一个流程不能由同一个组织部门的用户审批通过。针对特殊群体例如特殊访问团队,当特殊访问团队莅临时,可以为该特殊访问团队的用户赋予具有短期时效的角色。甚至还可以设置角色黑名单和角色白名单。
权限管理主要是从功能菜单权限、功能操作权限、数据字段权限、API接口权限这四个不同的粒度来考量的,主要目标是辅助业务系统的管理和推进。权限管理可以包括权限赋予、权限加载、权限判断和权限禁用/权限启用。权限赋予即为用户赋予角色,权限加载即根据角色返回相应的权限,权限判断判断是否具有数据操作权限。权限禁用/权限启用即控制角色白名单等特殊权限。功能菜单权限指的是根据菜单控制用户的权限,如果有菜单功能,用户可以使用该菜单下的所有数据以及操作功能。功能操作权限指的是不同角色的用户可以使用该菜单下的不同的操作功能,但均可以查看相同的数据字段。数据字段权限指的是API在数据查询时,会根据角色的权限查询相应的信息,例如不同的角色查看同一个报表时展示的数据是不一致的,即数据字段也是需要进行权限管控的。API接口权限指的是对于某个API接口,角色能否使用该API接口查询数据是需要进行权限管控的,没有登录信息或者角色不正确,则API接口不返回数据,实现统一的API接口管理,方便权限管控。
组织管理可以展示整个管理体系中的组织结构及成员的构成、可以对组织机构的基本信息进行新增、修改、删除、查看等操作。如图7所示,当街道作为业务系统时,组织结构可以包括华泰社区等社区,每个社区有社管和居民,相应的,可以有社工、居民、社区数据、街道书记等等角色。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
基于相同的技术构思,本发明实施例还提供一种登录装置。如图8所示,所述登录装置可以包括:
获取模块101,用于从拦截到的用户发送的业务请求中获取登录凭证;以及用于在验证所述登录凭证通过的情况下,根据所述登录凭证获取用户关键信息;
验证模块102,用于验证所述登录凭证;
发送模块103,用于将所述用户关键信息发送至所述业务请求对应的业务系统服务器,以供所述业务系统服务器根据所述用户关键信息确定用户的角色权限,并根据所述用户的角色权限处理所述业务请求,其中,多个业务系统服务器接入到当前登录装置。
在一些实施例中,所述验证模块102还用于验证所述用户输入的登录信息;所述登录装置还可以包括生成模块和处理模块,所述生成模块用于在验证所述用户输入的登录信息通过的情况下,根据所述用户的所述用户关键信息生成所述登录凭证,所述存储模块用于存储所述登录凭证。
在一些实施例中,所述获取模块101还用于接收所述用户输入的退出登录请求;所述存储模块还用于在接收到所述用户输入的退出登录请求的情况下,清空所述登录凭证;所述发送模块103还用于通知所述业务请求对应的业务系统服务器清空所述用户关键信息。
在一些实施例中,所述获取模块101还用于接收所述多个业务系统服务器中任一业务系统服务器发送的登录状态查询请求;所述发送模块103还用于响应于所述多个业务系统服务器中任一业务系统服务器发送的登录状态查询请求,向所述任一业务系统反馈当前已登录用户的登录状态,或者用于向所述多个业务系统服务器反馈当前已登录用户的登录状态。
在一些实施例中,所述登录装置包括单点登录SSO客户端、服务后端、静态页面和软件开发工具包SDK。
在一些实施例中,所述用户关键信息包括用户角色权限,所述登录装置还包括处理模块,所述处理模块用于:
确定所述各业务系统服务器对应的各组织节点;
根据所述各组织节点确定各角色权限;
在所述从拦截到的用户发送的业务请求中获取登录凭证之前,所述方法还包括:
在所述用户在当前登录装置注册成功的情况下,根据所述各角色权限确定所述用户的用户角色权限。
在一些实施例中,所述获取模块101还用于接收所述用户发送的数据请求;所述处理模块还用于在接收到所述用户发送的数据请求的情况下,根据所述用户的用户角色权限处理所述数据请求。
需要明确的是,本发明并不局限于上文实施例中所描述并在图中示出的特定配置和处理。为了描述的方便和简洁,这里省略了对已知方法的详细描述,并且上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
如图9所示,本发明实施例提供一种电子设备,其包括:
一个或多个处理器901;
存储器902,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述任意一项的业务系统登录方法;
一个或多个I/O接口903,连接在处理器与存储器之间,配置为实现处理器与存储器的信息交互。
其中,处理器901为具有数据处理能力的器件,其包括但不限于中央处理器(CPU)等;存储器902为具有数据存储能力的器件,其包括但不限于随机存取存储器(RAM,更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)、闪存(FLASH);I/O接口(读写接口)903连接在处理器901与存储器902间,能实现处理器901与存储器902的信息交互,其包括但不限于数据总线(Bus)等。
在一些实施例中,处理器901、存储器902和I/O接口903通过总线相互连接,进而与计算设备的其它组件连接。
本实施例还提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本实施例提供的业务系统登录方法,为避免重复描述,在此不再赘述业务系统登录方法的具体步骤。
本领域普通技术人员可以理解,上文中所发明方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据,并且可包括任何信息递送介质。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本实施例的范围之内并且形成不同的实施例。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种业务系统登录方法,用于登录装置,其特征在于,所述方法包括:
从拦截到的用户发送的业务请求中获取登录凭证;
在验证所述登录凭证通过的情况下,根据所述登录凭证获取用户关键信息;
将所述用户关键信息发送至所述业务请求对应的业务系统服务器,以供所述业务系统服务器根据所述用户关键信息处理所述业务请求,其中,多个业务系统服务器接入到当前登录装置。
2.根据权利要求1所述的方法,其特征在于,在所述从拦截到的业务请求中获取登录凭证之前,所述方法还包括:
在验证所述用户输入的登录信息通过的情况下,根据所述用户的所述用户关键信息生成并存储所述登录凭证。
3.根据权利要求2所述的方法,其特征在于,在所述将所述用户关键信息发送至所述业务请求对应的业务系统服务器之后,所述方法还包括:
在接收到所述用户输入的退出登录请求的情况下,清空所述登录凭证,并通知所述业务请求对应的业务系统服务器清空所述用户关键信息。
4.根据权利要求1-3中任意一项所述的方法,其特征在于,所述方法还包括:
响应于所述多个业务系统服务器中任一业务系统服务器发送的登录状态查询请求,向所述任一业务系统反馈当前已登录用户的登录状态;或者,
向所述多个业务系统服务器反馈当前已登录用户的登录状态。
5.根据权利要求1-3中任意一项所述的方法,其特征在于,所述登录装置包括单点登录SSO客户端、服务后端、静态页面和软件开发工具包SDK。
6.根据权利要求1-3中任意一项所述的方法,其特征在于,所述用户关键信息包括用户角色权限,所述方法还包括:
确定所述各业务系统服务器对应的各组织节点;
根据所述各组织节点确定各角色权限;
在所述从拦截到的用户发送的业务请求中获取登录凭证之前,所述方法还包括:
在所述用户在当前登录装置注册成功的情况下,根据所述各角色权限确定所述用户的用户角色权限。
7.根据权利要求6所述的方法,其特征在于,在所述根据所述各角色权限确定所述用户的用户角色权限之后,所述方法还包括:
在接收到所述用户发送的数据请求的情况下,根据所述用户的用户角色权限处理所述数据请求。
8.一种登录装置,其特征在于,所述登录装置包括:
获取模块,用于从拦截到的用户发送的业务请求中获取登录凭证;以及用于在验证所述登录凭证通过的情况下,根据所述登录凭证获取用户关键信息;
验证模块,用于验证所述登录凭证;
发送模块,用于将所述用户关键信息发送至所述业务请求对应的业务系统服务器,以供所述业务系统服务器根据所述用户关键信息确定用户的角色权限,并根据所述用户的角色权限处理所述业务请求,其中,多个业务系统服务器接入到当前登录装置。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现根据权利要求1-7中任意一项所述的业务系统登录方法;
一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
10.一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1-7中任意一项所述的业务系统登录方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210283537.8A CN114666124B (zh) | 2022-03-22 | 2022-03-22 | 业务系统登录方法、登录装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210283537.8A CN114666124B (zh) | 2022-03-22 | 2022-03-22 | 业务系统登录方法、登录装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114666124A true CN114666124A (zh) | 2022-06-24 |
| CN114666124B CN114666124B (zh) | 2023-06-16 |
Family
ID=82030953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210283537.8A Active CN114666124B (zh) | 2022-03-22 | 2022-03-22 | 业务系统登录方法、登录装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114666124B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865898A (zh) * | 2022-11-28 | 2023-03-28 | 重庆长安汽车股份有限公司 | 多个业务系统间数据信息的处理方法、装置、设备及介质 |
| WO2024093964A1 (zh) * | 2022-11-03 | 2024-05-10 | 天翼数字生活科技有限公司 | 一种移动端单点登录认证的方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120722A (zh) * | 2018-10-24 | 2019-01-01 | 北京计算机技术及应用研究所 | 一种基于反向代理模式的访问控制方法 |
| CN109815656A (zh) * | 2018-12-11 | 2019-05-28 | 平安科技(深圳)有限公司 | 登录认证方法、装置、设备及计算机可读存储介质 |
| US10673862B1 (en) * | 2016-12-07 | 2020-06-02 | Amazon Technologies, Inc. | Token-based access tracking and revocation |
| CN111552936A (zh) * | 2020-04-26 | 2020-08-18 | 国电南瑞科技股份有限公司 | 一种基于调度机构级别的跨系统访问权限控制方法及系统 |
| CN111756753A (zh) * | 2020-06-28 | 2020-10-09 | 中国平安财产保险股份有限公司 | 一种权限验证方法及系统 |
-
2022
- 2022-03-22 CN CN202210283537.8A patent/CN114666124B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10673862B1 (en) * | 2016-12-07 | 2020-06-02 | Amazon Technologies, Inc. | Token-based access tracking and revocation |
| CN109120722A (zh) * | 2018-10-24 | 2019-01-01 | 北京计算机技术及应用研究所 | 一种基于反向代理模式的访问控制方法 |
| CN109815656A (zh) * | 2018-12-11 | 2019-05-28 | 平安科技(深圳)有限公司 | 登录认证方法、装置、设备及计算机可读存储介质 |
| CN111552936A (zh) * | 2020-04-26 | 2020-08-18 | 国电南瑞科技股份有限公司 | 一种基于调度机构级别的跨系统访问权限控制方法及系统 |
| CN111756753A (zh) * | 2020-06-28 | 2020-10-09 | 中国平安财产保险股份有限公司 | 一种权限验证方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024093964A1 (zh) * | 2022-11-03 | 2024-05-10 | 天翼数字生活科技有限公司 | 一种移动端单点登录认证的方法及系统 |
| CN115865898A (zh) * | 2022-11-28 | 2023-03-28 | 重庆长安汽车股份有限公司 | 多个业务系统间数据信息的处理方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114666124B (zh) | 2023-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673866B2 (en) | Cross-account role management | |
| US11316689B2 (en) | Trusted token relay infrastructure | |
| US10581919B2 (en) | Access control monitoring through policy management | |
| US10848520B2 (en) | Managing access to resources | |
| US11102189B2 (en) | Techniques for delegation of access privileges | |
| US11019068B2 (en) | Quorum-based access management | |
| US10911428B1 (en) | Use of metadata for computing resource access | |
| US10484385B2 (en) | Accessing an application through application clients and web browsers | |
| US11558388B2 (en) | Provisional computing resource policy evaluation | |
| US20180270217A1 (en) | Message right management method, device and storage medium | |
| US10454975B1 (en) | Conditional comptuing resource policies | |
| US10931673B2 (en) | Policy activation for client applications | |
| CN108701175B (zh) | 将用户账户与企业工作空间相关联 | |
| KR20170107967A (ko) | 서비스로서의 아이덴티티 인프라 스트럭처 | |
| CN112637214A (zh) | 资源访问方法、装置及电子设备 | |
| US11570181B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| CN114666124B (zh) | 业务系统登录方法、登录装置、电子设备及存储介质 | |
| US11233800B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| US10747587B2 (en) | Dynamic rule-based transformation of API calls | |
| US8474022B2 (en) | Self-service credential management | |
| US20240248979A1 (en) | Persistent source values for assumed alternative identities | |
| CN116975893A (zh) | 访问请求处理方法及装置、存储介质、计算机设备 | |
| CN113569166A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| Huang et al. | Research on Single Sign-on Technology for Educational Administration Information Service Platform | |
| CN112989401A (zh) | 一种权限管理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20241017 Address after: 100070 F5, Block A, China Communication Building, Yard 1, Automobile Museum South Road, Fengtai District, Beijing Patentee after: Communication information industry Co.,Ltd. Country or region after: China Address before: 100070 17th floor, block a, China communication building, yard 1, South Road of Automobile Museum, Fengtai District, Beijing (Park) Patentee before: Tonghao smart city research and Design Institute Co.,Ltd. Country or region before: China |