CN114866274B - 基于代理服务的授权认证方法、装置及设备 - Google Patents
基于代理服务的授权认证方法、装置及设备 Download PDFInfo
- Publication number
- CN114866274B CN114866274B CN202210273400.4A CN202210273400A CN114866274B CN 114866274 B CN114866274 B CN 114866274B CN 202210273400 A CN202210273400 A CN 202210273400A CN 114866274 B CN114866274 B CN 114866274B
- Authority
- CN
- China
- Prior art keywords
- server
- proxy
- token
- access request
- internal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 72
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000012795 verification Methods 0.000 claims abstract description 38
- 230000004044 response Effects 0.000 claims abstract description 10
- 238000004590 computer program Methods 0.000 claims description 16
- 238000003860 storage Methods 0.000 claims description 11
- 230000002085 persistent effect Effects 0.000 claims description 9
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 230000003139 buffering effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 14
- 238000011161 development Methods 0.000 description 13
- 210000001503 joint Anatomy 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施方式提供了一种基于代理服务的授权认证方法、装置及设备。其中所述基于代理服务的授权认证方法应用于系统中的内部服务器,包括:在内部服务器中设置代理服务器验证接口的调用模块;所述调用模块响应于来自外部服务器的令牌和访问请求,调用代理服务器的验证接口验证所述令牌是否正确;若所述令牌正确,所述内部服务器转发所述访问请求到所请求的内部服务器;由所述所请求的内部服务器响应所述访问请求,返回所述访问请求所请求的资源。本发明提供的实施方式能够提升多系统授权认证效率和认证安全。
Description
技术领域
本发明涉及授权认证技术领域,具体地涉及一种基于代理服务的授权认证方法、一种基于代理服务的授权认证装置、一种基于代理服务的多系统授权认证设备以及对应的存储介质。
背景技术
中央认证服务CAS系统用于两个企业之间的多个系统对接。CAS支持多个应用系统对接与单点登录的需求,但是现有的方案大多基于一个授权中心,所有的密钥都由该授权中心管理和颁发,然而在实际的系统应用过程中,用户可能来自于多个授权中心授予的系统资源,数据拥有者可能也会将数据共享给其他授权中心管理的用户。此外基于属性加密的访问控制技术也会带来极大的管理负担,尤其是撤销问题一直比较棘手。一方面,由于系统中用户数量较为庞大,用户可能会频繁的更换;此外,用户的属性也可能会经常变更。用户可能会被授予某些新属性,也可能会被撤销一些当前属性,对数据的访问权限也会随之变更。另一方面,当需要撤销某个用户的权限时,需要对涉及到的密文进行重加密,重加密之后的文件不能再被之前的密钥解密,所以其他受到影响的用户需要升级密钥才能解密,使得每个用户之间不再独立,彼此互相干扰。此外,若权限撤销频繁的话,其计算负担也会很大,属性的动态性增加了密钥更新的开销和难度。在属性基加密系统中,加密和解密阶段的计算开销较大,严重影响了其实用性。大多数现有技术都不适用于外包环境,在实际中效率低。现有的撤销技术也无法实现即时的属性撤销,并且密钥更新阶段可能成为系统的瓶颈,或者依赖于一个可信的服务器。因此,提出一种基于代理的可撤销的数据访问控制方案很有必要。
授权中心管理的用户而多个系统的用户所需要的不同的系统资源可能是在动态变化的,有可能重新增加了某些应用系统的资源,或者取消某些系统的资源,这对于CAS的权限分级粒度要求极高,而取消某些应用系统的权限变得难以维护。
CAS(Central Authentication Service):中央认证服务。
发明内容
本发明实施例的目的是提供一种基于代理服务的授权认证方法、装置及设备。
为了实现上述目的,本发明第一方面提供一种基于代理服务的授权认证方法,应用于系统中的内部服务器,所述方法包括:在内部服务器中设置有代理服务器验证接口的调用模块;所述调用模块响应于来自外部服务器的令牌和访问请求,调用代理服务器的验证接口验证所述令牌是否正确;若所述令牌正确,所述内部服务器转发所述访问请求到所请求的内部服务器;由所述所请求的内部服务器响应所述访问请求,返回所述访问请求所请求的资源。
优选的,所述令牌通过以下步骤生成:代理服务器生成一次性授权码;将所述一次性授权码发送至所述外部服务器进行验证;若所述外部服务器的验证结果为通过,则生成所述令牌。
优选的,所述方法还包括:在确定所述令牌正确之后,在所述内部服务器查询是否存在提出所述访问请求的用户。
优选的,若在所述内部服务器查询是否存在提出所述访问请求的用户的查询结果为不存在所述用户,则在所述内部服务器中创建所述用户,并将创建的用户同步至所述代理服务器。
优选的,所述代理服务器的工作模式还包括缓存资源模式,所述缓存资源模式包括:
所述代理服务器与所述内部服务器之间建立持续性连接;以及在所述代理服务器中缓存有所述内部服务器中的部分系统资源。
在本发明的第二方面,还提供了一种基于代理服务的授权认证装置,应用于系统中的内部服务器,包括:数据接收模块,用于接收来自外部服务器的令牌和访问请求;授权验证模块,用于在内部服务器中设置有代理服务器验证接口的调用模块;所述调用模块响应于来自外部服务器的令牌和访问请求,调用代理服务器的验证接口验证所述令牌是否正确;数据查询模块,用于若所述令牌正确,所述内部服务器转发所述访问请求到所请求的内部服务器;以及数据转发模块,用于由所述所请求的内部服务器响应所述访问请求,返回所述访问请求所请求的资源。
优选的,代理服务器所转发的令牌通过以下步骤生成:代理服务器生成一次性授权码;将所述一次性授权码发送至所述外部服务器进行验证;若所述外部服务器的验证结果为通过,则生成所述令牌。
优选的,所述方法还包括:在确定所述令牌正确之后,在所述内部服务器查询是否存在提出所述访问请求的用户。
优选的,若所述内部服务器查询是否存在提出所述访问请求的用户的查询结果为不存在所述用户,在所述内部服务器中创建所述用户,并将创建的用户同步至所述代理服务器。
优选的,所述代理服务器的工作模式还包括缓存资源模式,所述缓存资源模式包括:所述代理服务器与所述内部服务器之间建立持续性连接;以及所述代理服务器中缓存有所述内部服务器中的部分系统资源。
在本发明的第三方面提供了一种基于代理服务的多系统授权认证设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述的基于代理服务的授权认证方法。
在本发明的第四方面提供了一种计算机可读存储介质,所述存储介质中存储有指令,当其在计算机上运行时,使得计算机执行前述的基于代理服务的授权认证方法。
在本发明的第五方面提供了一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现前述的基于代理服务的授权认证方法。
上述技术方案具有以下有益效果:
本方案中的内部服务器资源之间授权比较简单,且互相可信任,开发量较小,与CAS授权中心模式相比,不需要额外接入授权中心,加大开发量与开发难度,对于外部服务器来说,外部服务仍然与代理服务器对接,也不需要额外的对接开发工作。代理服务器还可以作为缓存服务器使用,以缓存一部分资源,从而节省了时间,提高了响应速度。
本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施例,但并不构成对本发明实施例的限制。在附图中:
图1示意性示出了根据本申请实施例的基于代理服务的授权认证方法的步骤示意图;
图2示意性示出了根据本申请实施例的代理服务器与其他应用服务器的整体架构分布图;
图3示意性示出了根据本申请实施例的代理服务器为缓存资源模式时的授权认证方法的实施示意图;
图4示意性示出了根据本申请实施例的基于代理服务的授权认证装置的结构示意图。
具体实施方式
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施例,并不用于限制本发明实施例。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
图1示意性示出了根据本申请实施例的基于代理服务的授权认证方法的步骤示意图。如图1所示,在本申请一实施例中,一种基于代理服务的授权认证方法,应用于图2所示的系统。图2示意性示出了根据本申请实施例的代理服务器与其他应用服务器的整体架构分布图。其中,外部服务器用a,b,c…表示(外部服务器b和外部服务器c图中未示出),内部服务器用A,B,C…表示,代理服务器与内部服务器合设。外部服务器(a,b,c)拥有部分其用户体系下的用户名以及密码等其他用户资源相关信息r。内部服务器(A,B,C)拥有另一部分用户体系下的用户名以及密码等其他资源R。一般地,均是由外部服务器使用其拥有的用户信息,访问内部服务器部分资源R’(R的子集)。内部服务器A与B与C存在互通关系,而外部服务器a,b,c相互之间独立。基于代理服务的授权认证方法包括:
101、在内部服务器中设置代理服务器验证接口的调用模块。外部服务器请求访问内部服务器,其提交的访问请求通过代理服务器转发。代理服务器对外部服务器验证通过后,代理服务器颁发令牌(token)用于下一步访问内部服务器。此时内部服务器会接收到该令牌和代理服务器所转发的外部服务器的访问请求。
102、所述调用模块响应于来自外部服务器的令牌和访问请求,调用代理服务器的验证接口验证所述令牌是否正确。在内部服务器接收到令牌之后,并不自行进行验证,而是调用代理服务器的验证接口进行验证。以此可以避免在多个内部服务器中缓存验证资源,执行验证动作,而只需要通过软件SDK调用代理服务器的验证资源进行验证即可。此处合设包括但不限于:内部服务器包括代理服务器的功能以及代理服务器属于内部服务器的功能模块。内部服务器资源之间授权比较简单,且互相可信任,开发量较小,与CAS授权中心模式相比,不需要额外接入授权中心,加大开发量与开发难度,对于外部服务器来说,外部服务仍然与代理服务器对接,也不需要额外的对接开发工作。
103、若所述令牌正确,所述内部服务器转发所述访问请求到所请求的内部服务器。此步骤在于内部服务器之间的相互授权。相比于在代理服务器授权,内部服务器资源之间授权比较简单,且互相可信任,开发量较小。与CAS授权中心模式相比,不需要额外接入授权中心,加大开发量与开发难度,对于外部服务器来说,外部服务仍然与代理服务器对接,也不需要额外的对接开发工作。
104、由所述所请求的内部服务器响应所述访问请求,返回所述访问请求所请求的资源。通过验证的用户被赋予访问权限,由内部服务器响应所述访问请求,以实现对外部服务器的访问请求的响应。
通过以上实施方式,代理服务器实现以下功能:接收用户已登录的内部服务器A发送的请求后转发给其他需要对接的内部服务器B,代理服务器不改变请求URI(统一资源标识符),并不会直接送给拥有资源的目标内部服务器B。其次,代理服务器因为与内部服务器B天然相连,可以缓存一部分资源,比如文件等。这样用户已登录的内部服务器A发起请求时,不需要再去内部服务器B下载文件,以此节省了时间,提高了响应速度,能够实现用户在访问本系统一次之后,其之后对其他内部服务器的访问均能被授权访问,以此简化了授权验证流程。同时内部服务器B与代理服务器的对接状态可以随时撤销,不再对接,因此易于维护资源变化。
在本发明提供的一些实施方式中,代理服务器所转发的令牌通过以下步骤生成:代理服务器生成一次性授权码;将所述一次性授权码发送至所述外部服务器进行验证;若所述外部服务器的验证结果为通过,则生成所述令牌。本实施方式中提供了对于代理服务器生成令牌之前的一种验证方式。其中步骤包括代理服务器通过一次性验证码对外部服务器进行验证的步骤。具体的,以上步骤可以采用OAuth协议,OAuth是Open Authorization的简写,其为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全的。通过本实施方式提供的验证步骤,能够保证外部服务器与代理服务器之间的连接安全性。
在本发明提供的一些实施方式中,所述方法还包括:在确定所述令牌正确之后,在所述内部服务器查询是否存在提出所述访问请求的用户;此时代理服务器工作于中转模式。对上述的实施方式中的流程进行说明如下。当代理服务器为中转模式传输时,执行以下步骤:
步骤S1:外部服务器a接受并验证外部应用服务的登录;
步骤S2:如果登录成功,用户请求内部服务器的资源;
步骤S3:内部服务器A接收后授权码后,返回外部服务器a进行授权码验证,授权码只能验证一次;
步骤S4:a的授权码验证通过后,会返回给一个token用于验证用户信息,代理服务器颁发token用于下一步访问内部服务器B;
步骤S5:携带内部服务器A的token跳转内部服务器B;
步骤S6:内部服务器B接收到代理服务器的token,调用代理服务器P的接口验证代理服务器的token;
步骤S7:验证代理服务器的token是否正确;
步骤S8:验证成功后,查看此用户是否已经在内部服务器B中存在;
步骤S9:如果存在,直接颁发token,返回前端;如果不存在,重新创建一个用户在内部服务器B中;
步骤S10:将用户信息同步给代理服务器P;
步骤S11:可以进行下一步的资源访问,用户可以进行各种操作。
由以上步骤可知,步骤S1-步骤S4可以使用OAuth协议进行授权的,但是所拿到的token是代理服务器的令牌,表示代理服务器与外部服务器a“握手”成功。此时内部服务器资源之间授权完成。与CAS授权中心模式相比,内部服务器资源之间授权比较简单,且互相可信任,开发量较小。
所述业务系统在进行对接之前需要在代理授权系统中进行注册,注册时需选择加密方式、填写自身访问URI、回调URI等信息。所述业务系统与代理服务器系统进行通信、回调信息等参数以及请求,其所有数据均需进行非对称加密。
在本发明提供的一些实施方式中,若在所述内部服务器中查询是否存在提出所述访问请求的用户的查询结果为不存在所述用户,则在所述内部服务器中创建所述用户,并将创建的用户同步至所述代理服务器。代理服务器使用中转模式传输的步骤S9中,如果不存在,重新创建一个用户在内部服务器B中。
在本发明提供的一些实施方式中,对所述用户赋予的访问权限中包括:对与所述内部服务器存在互通关系的其他内部服务器的访问权限。需要说明的是,此种情况内部服务器默认信任代理服务器的授权流程以及令牌(token)的,内部服务器的资源不再进行再一次的认证。进一步的,如果拿到代理服务器token,那么默认可以访问内部其他服务器相关的资源,此种资源所属的内部服务器(例如:B或者C)均是默认信任代理服务器的授权的流程以及令牌的。需要说明的是,此种资源一般是内部可互相访问的资源,不需要额外鉴权。
在本发明提供的一些实施方式中,所述代理服务器的工作模式还包括缓存资源模式。图3示意性示出了根据本申请实施例的代理服务器为缓存资源模式时的授权认证方法的实施示意图,如图3所示,所述缓存资源模式包括:所述代理服务器和所述内部服务器之间建立持续性连接;以及在所述代理服务器中缓存由所述内部服务器中的部分系统资源。本发明提供的实施方式中的代理服务器,还可作为缓存临时存储分内部系统资源,此时代理服务器类似于反向代理模式。代理服务器天然与内部多个服务器相连通,进而代理服务器可以从其关联的一组或多组后端服务器上获取资源,然后再将这些资源返回给外部服务器,外部服务器不需要知道内部服务器的结构,只需知道代理服务器位置即可。此种模式基于原有OAuth 2.0协议交互模式,在内部服务器和代理服务器建立持续性连接,此处的持续性连接包括WebSocket连接。WebSocket连接能更好的节省服务器资源和带宽并达到实时通迅,客户端和服务器只需要完成一次握手,两者之间就可以创建持久性的连接,并进行双向数据传输。若代理服务器在接收到来自内部服务器的发送的数据,代理服务器则会向其内部服务器发送一条消息。代理服务器始终处于监听其他内部服务器消息的状态,内部服务器若接收到一条消息,则表示内部服务器与代理服务器传输数据成功。当在代理服务器和内部服务器之间建立WebSocket连接后,外部应用服务器可以快速获取到代理服务器响应,这又进一步加快了网络响应的时间。
基于同一发明构思,本发明的实施方式还提供了一种基于代理服务的授权认证装置。图4示意性示出了根据本申请实施例的基于代理服务的授权认证装置的结构示意图,如图4所示。一种基于代理服务的授权认证装置,应用于系统中的内部服务器,该装置包括:数据接收模块,用于接收来自外部服务器的令牌和访问请求;授权验证模块,用于在内部服务器中设置有代理服务器验证接口的调用模块;所述调用模块响应于来自外部服务器的令牌和访问请求,调用代理服务器的验证接口验证所述令牌是否正确;数据查询模块,用于若所述令牌正确,所述内部服务器转发所述访问请求到所请求的内部服务器;以及数据转发模块,用于由所述所请求的内部服务器响应所述访问请求,返回所述访问请求所请求的资源。
在一些可选实施方式中,代理服务器所转发的令牌通过以下步骤生成:代理服务器生成一次性授权码;将所述一次性授权码发送至所述外部服务器进行验证;若所述外部服务器的验证结果为通过,则生成所述令牌。
在一些可选实施方式中,所述方法还包括:在确定所述令牌正确之后,在所述内部服务器查询是否存在提出所述访问请求的用户。
在一些可选实施方式中,若所述内部服务器查询是否存在提出所述访问请求的用户的查询结果为不存在所述用户,在所述内部服务器中创建所述用户,并将创建的用户同步至所述代理服务器。
在一些可选实施方式中,所述代理服务器的工作模式还包括缓存资源模式,所述缓存资源模式包括:所述代理服务器与所述内部服务器之间建立持续性连接;以及所述代理服务器中缓存有所述内部服务器中的部分系统资源。
上述的基于代理服务的授权认证装置中的各个实施步骤的具体限定可以参见上文中对于基于代理服务的授权认证方法的限定,在此不再赘述。其有益效果也可以根据前述的基于代理服务的授权认证方法进行适用性的推定。
本申请实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现基于代理服务的授权认证方法的步骤。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化包括上述基于代理服务的授权认证方法的步骤的程序。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (9)
1.一种基于代理服务的授权认证方法,应用于系统中的内部服务器,其特征在于,所述方法包括:
在内部服务器中设置代理服务器验证接口的调用模块;
所述调用模块响应于来自外部服务器的令牌和访问请求,调用代理服务器的验证接口验证所述令牌是否正确;
若所述令牌正确,所述内部服务器转发所述访问请求到所请求的内部服务器;
由所述所请求的内部服务器响应所述访问请求,返回所述访问请求所请求的资源;
所述令牌通过以下步骤生成:代理服务器生成一次性授权码;将所述一次性授权码发送至所述外部服务器进行验证;若所述外部服务器的验证结果为通过,则生成所述令牌;
所述代理服务器的工作模式还包括缓存资源模式,所述缓存资源模式包括:
所述代理服务器与所述内部服务器之间建立持续性连接;以及在所述代理服务器中缓存有所述内部服务器中的部分系统资源。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在确定所述令牌正确之后,在所述内部服务器查询是否存在提出所述访问请求的用户。
3.根据权利要求2所述的方法,其特征在于,若在所述内部服务器查询是否存在提出所述访问请求的用户的查询结果为不存在所述用户,则在所述内部服务器中创建所述用户,并将创建的用户同步至所述代理服务器。
4.一种基于代理服务的授权认证装置,应用于系统中的内部服务器,其特征在于,所述装置包括:
数据接收模块,用于接收来自外部服务器的令牌和访问请求;
授权验证模块,用于在内部服务器中设置有代理服务器验证接口的调用模块;所述调用模块响应于来自外部服务器的令牌和访问请求,调用代理服务器的验证接口验证所述令牌是否正确;
数据查询模块,用于若所述令牌正确,所述内部服务器转发所述访问请求到所请求的内部服务器;以及
数据转发模块,用于由所述所请求的内部服务器响应所述访问请求,返回所述访问请求所请求的资源;
代理服务器所转发的令牌通过以下步骤生成:代理服务器生成一次性授权码;将所述一次性授权码发送至所述外部服务器进行验证;若所述外部服务器的验证结果为通过,则生成所述令牌;
所述代理服务器的工作模式还包括缓存资源模式,所述缓存资源模式包括:
所述代理服务器与所述内部服务器之间建立持续性连接;以及所述代理服务器中缓存有所述内部服务器中的部分系统资源。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括:在确定所述令牌正确之后,在所述内部服务器查询是否存在提出所述访问请求的用户。
6.根据权利要求5所述的装置,其特征在于,若所述内部服务器查询是否存在提出所述访问请求的用户的查询结果为不存在所述用户,在所述内部服务器中创建所述用户,并将创建的用户同步至所述代理服务器。
7.一种基于代理服务的多系统授权认证设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至3中任一项所述的基于代理服务的授权认证方法。
8.一种计算机可读存储介质,其特征在于,所述存储介质中存储有指令,当其在计算机上运行时,使得计算机执行权利要求1至3中任一项权利要求所述的基于代理服务的授权认证方法。
9.一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现根据权利要求1至3中任一项所述的基于代理服务的授权认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210273400.4A CN114866274B (zh) | 2022-03-18 | 2022-03-18 | 基于代理服务的授权认证方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210273400.4A CN114866274B (zh) | 2022-03-18 | 2022-03-18 | 基于代理服务的授权认证方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866274A CN114866274A (zh) | 2022-08-05 |
| CN114866274B true CN114866274B (zh) | 2024-04-26 |
Family
ID=82628380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210273400.4A Active CN114866274B (zh) | 2022-03-18 | 2022-03-18 | 基于代理服务的授权认证方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866274B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
| CN110049041A (zh) * | 2019-04-17 | 2019-07-23 | 北京网聘咨询有限公司 | 招聘网站开放平台的接口调用方法和接口调用系统 |
| WO2020034101A1 (zh) * | 2018-08-14 | 2020-02-20 | 深圳迈瑞生物医疗电子股份有限公司 | 体外诊断设备的软件登录方法、设备、服务器及存储介质 |
| CN112016106A (zh) * | 2020-08-19 | 2020-12-01 | 杭州指令集智能科技有限公司 | 开放接口的认证调用方法、装置、设备和可读存储介质 |
| CN112311788A (zh) * | 2020-10-28 | 2021-02-02 | 北京锐安科技有限公司 | 一种访问控制方法、装置、服务器及介质 |
-
2022
- 2022-03-18 CN CN202210273400.4A patent/CN114866274B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
| WO2020034101A1 (zh) * | 2018-08-14 | 2020-02-20 | 深圳迈瑞生物医疗电子股份有限公司 | 体外诊断设备的软件登录方法、设备、服务器及存储介质 |
| CN110049041A (zh) * | 2019-04-17 | 2019-07-23 | 北京网聘咨询有限公司 | 招聘网站开放平台的接口调用方法和接口调用系统 |
| CN112016106A (zh) * | 2020-08-19 | 2020-12-01 | 杭州指令集智能科技有限公司 | 开放接口的认证调用方法、装置、设备和可读存储介质 |
| CN112311788A (zh) * | 2020-10-28 | 2021-02-02 | 北京锐安科技有限公司 | 一种访问控制方法、装置、服务器及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866274A (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2015240467B2 (en) | Method for authentication and assuring compliance of devices accessing external services | |
| CN106209749B (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
| US10484357B1 (en) | Method and apparatus for federated single sign on using authentication broker | |
| JP5009294B2 (ja) | 分散シングルサインオンサービス | |
| US8788811B2 (en) | Server-side key generation for non-token clients | |
| US5864665A (en) | Auditing login activity in a distributed computing environment | |
| US8769266B2 (en) | Method for assembling authorization certificate chains | |
| US20110296171A1 (en) | Key recovery mechanism | |
| CN110569638B (zh) | 一种api认证的方法、装置、存储介质及计算设备 | |
| US11677718B1 (en) | File sharing over secure connections | |
| US20130291076A1 (en) | Dynamic replacement of security credentials for secure proxying | |
| Yialelis et al. | A Security Framework Supporting Domain Based Access Control in Distributed Systems. | |
| US20220417028A1 (en) | Methods, Systems, and Devices for Server Control of Client Authorization Proof of Possession | |
| KR101137032B1 (ko) | 발신 외부 컴퓨팅 시스템의 식별 정보를 확인하기 위한 방법 및 컴퓨터 판독가능 기록 매체 | |
| Chinnasamy et al. | A scalable multilabel‐based access control as a service for the cloud (SMBACaaS) | |
| KR101839048B1 (ko) | 사물 인터넷 환경의 종단간 보안 플랫폼 | |
| US9009799B2 (en) | Secure access | |
| CN111131160B (zh) | 一种用户、服务及数据认证系统 | |
| CN114866274B (zh) | 基于代理服务的授权认证方法、装置及设备 | |
| Schardong et al. | Post-Quantum Electronic Identity: Adapting OpenID Connect and OAuth 2.0 to the Post-Quantum Era | |
| EP1833216B1 (en) | Method and system for mediation of authentication within a communication network | |
| Goel | Access Control and Authorization Techniques wrt Client Applications | |
| Myyrä | Protection of Information and Communications in Distributed Systems and Microservices | |
| KR20230133098A (ko) | 인증 기관과 독립적으로 인증서 내의 인증 정보를 관리하기 위한 방법 | |
| WO2023144499A1 (en) | Methods, systems, and devices for server control of client authorization proof of possession |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |