CN115189975A - 登录方法、装置、电子设备和存储介质 - Google Patents
登录方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115189975A CN115189975A CN202211113446.6A CN202211113446A CN115189975A CN 115189975 A CN115189975 A CN 115189975A CN 202211113446 A CN202211113446 A CN 202211113446A CN 115189975 A CN115189975 A CN 115189975A
- Authority
- CN
- China
- Prior art keywords
- user
- application
- target application
- bill
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及计算机领域,提供一种登录方法、装置、电子设备和存储介质,其中方法包括:接收用户通过用户终端发送的目标应用登录请求;在目标应用存在应用票据的情况下,将登录请求返回至目标应用;接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用。本发明提供的登录方法、装置、电子设备和存储介质,同一用户在首次登录,或在不用的应用之间进行跳转时,针对各个应用生成各个应用专属的加密票据。相比于现有技术中所有应用共享同一密钥,能够充分保证用户信息安全。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种登录方法、装置、电子设备和存储介质。
背景技术
单点登录(Single Sign On,SSO)是当前比较流行的一种企业业务整合的解决方法。多个应用基于统一的账号认证中心,并共享登录状态。即在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
目前的单点登录方式一般在应用跳转时传递票据,以实现票据共享。该方式虽然在传递票据时进行了加密,但是,所有应用共享同一密钥,安全性不高。
发明内容
本发明提供一种登录方法、装置、电子设备和存储介质,用以解决现有技术中单点登录时,所有应用共享同一密钥,安全性不高的缺陷。
本发明提供一种登录方法,包括:
接收用户通过用户终端发送的目标应用登录请求;
在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用;
接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用,以使所述用户基于所述加密票据登录所述目标应用,所述用户ID是基于所述应用票据确定的。
根据本发明提供的登录方法,还包括:
在目标应用不存在应用票据的情况下,接收目标应用发送的身份验证请求并进行身份验证,所述身份验证请求中携带用户ID和所述目标应用的应用标识;
在身份验证通过的情况下,基于所述用户ID和所述应用标识生成应用票据。
根据本发明提供的登录方法,还包括:
响应于退出操作,接收用户终端发送的目标应用退出请求;
基于退出请求,确定所述用户的用户ID,并清除所述应用票据;
基于所述用户ID,向各个已登录的应用发送退出请求,以使各应用退出登录。
根据本发明提供的登录方法,所述将所述加密票据返回至目标应用,以使所述用户基于所述加密票据登录所述目标应用,之后还包括:
接收目标应用发送的用户信息获取请求,所述用户信息获取请求携带所述目标应用的加密票据和应用标识;
对所述目标应用的加密票据进行解密,获取用户的用户ID;
基于所述用户的用户ID,将所述用户的用户信息返回至所述目标应用。
根据本发明提供的登录方法,还包括:
对所述用户信息进行管理,所述用户信息包括所述用户的用户ID,以及所述用户ID与应用、组织、角色和权限的绑定关系。
根据本发明提供的登录方法,还包括:
向消息队列中存储所述用户的用户信息,以供各个应用通过消费专属主题获取并存储所述用户的用户信息。
本发明还提供一种登录方法,包括:
基于用户通过用户终端发送的目标应用登录请求,获取应用票据;
将所述应用票据发送至认证中心进行验证,在验证通过后,接收所述认证中心返回的加密票据,以使用户基于所述加密票据进行登录,所述加密票据是所述认证中心基于目标应用的密钥,对用户ID进行加密生成的。
根据本发明提供的登录方法,所述接收所述认证中心返回的加密票据,之后还包括:
向所述认证中心发送用户信息获取请求,所述用户信息获取请求携带所述目标应用的加密票据和应用标识;
接收所述认证中心返回的所述用户的用户信息,所述用户信息是对所述目标应用的加密票据进行解密后确定的。
本发明还提供一种登录装置,包括:
请求接收单元,用于接收用户通过用户终端发送的目标应用登录请求;
请求返回单元,用于在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用;
票据加密单元,用于接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用,以使用户基于所述加密票据登录所述目标应用,所述用户ID是基于所述应用票据确定的。
本发明还提供一种登录装置,包括:
票据获取单元,用于基于用户通过用户终端发送的目标应用登录请求,获取应用票据;
加密票据接收单元,用于将所述应用票据发送至认证中心进行验证,在验证通过后,接收所述认证中心返回的加密票据,以使用户基于所述加密票据进行登录,所述加密票据是所述认证中心基于目标应用的密钥,对用户ID进行加密生成的。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述登录方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述登录方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述登录方法。
本发明提供的登录方法、装置、电子设备和存储介质,在目标应用存在应用票据的情况下,即用户已完成身份验证的情况下,基于目标应用的密钥,对用户ID进行加密生成目标应用的加密票据,并将加密票据返回至目标应用,以使用户基于加密票据登录目标应用。同一用户在首次登录,或在不用的应用之间进行跳转时,均针对各个应用生成各个应用专属的加密票据。相比于现有技术中所有应用共享同一密钥,能够充分保证用户信息安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的登录方法的流程示意图之一;
图2是本发明提供的登录方法的流程示意图之二;
图3是本发明提供的登录方法的流程示意图之三;
图4是本发明提供的登录方法的流程示意图之四;
图5是本发明提供的登录方法的流程示意图之五;
图6是本发明提供的登录装置的结构示意图之一;
图7是本发明提供的登录装置的结构示意图之二;
图8是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前的单点登录方式一般在应用跳转时传递票据,以实现票据共享。该方式虽然在传递票据时进行了加密,但是,所有应用共享同一密钥,安全性不高。
针对上述问题,本发明实施例提供一种登录方法,提高单点登录的安全性。
图1是本发明提供的登录方法的流程示意图之一,该方法的执行主体可以是登录装置,该装置可以通过软件和/或硬件实现,例如可以是账号认证中心。该装置可以集成在电子设备中,电子设备可以是个人电脑、云端设备、智能手机或平板电脑等。如图1所示,本发明实施例提供的登录方法包括如下步骤:
步骤110,接收用户通过用户终端发送的目标应用登录请求。
具体地,单点登录系统包括用户终端、认证中心和至少两个应用,认证中心提供用户身份信息验证的接口。目标应用即用户需要登录的应用,当用户通过用户终端发送访问目标应用的请求时,首先需要请求认证中心验证用户的登录状态,将目标应用登陆请求发送给认证中心,认证中心即可接收到目标应用登录请求。
需要说明的是,此处的目标应用登录请求可以是用户首次登录系统,即目标应用是第一应用;也可以是用户在已经登录第一应用的情况下,需要登录第二应用,此时的目标应用即第二应用。
步骤120,在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用。
具体地,认证中心接收到目标应用登录请求之后,首先验证目标应用是否存在应用票据。应用票据即登录凭据,通常是由用户通过应用程序输入的账户的用户名和密码信息等登录信息生成的登录凭据Ticket。例如,用户通过应用程序输入账户的用户名和密码信息之后,应用程序将用户名和密码信息发送给认证中心,通过认证中心的服务接口进行验证,并生成登录凭据,再将登录凭据返回给应用程序。
在目标应用存在应用票据的情况下,即可确定认证中心已根据用户输入的用户名和密码信息,完成用户的身份认证,并将生成的应用票据返回至目标应用。
认证中心将目标应用的登录请求返回至目标应用,随即用户终端的页面跳转至目标应用。此处目标应用可以是第一应用,即用户首次登录的应用,也可以是第二应用,即用户从第一应用跳转至第二应用,本发明实施例对此不作具体限定。
可理解的是,用户从第一应用跳转至第二应用时,应用票据可以在用户终端的浏览器进行流转。
步骤130,接收目标应用发送的应用票据验证请求,并在验证通过后,基于目标应用的密钥,对用户ID进行加密生成目标应用的加密票据,并将加密票据返回至目标应用,以使用户基于加密票据登录目标应用,用户ID是基于应用票据确定的。
具体地,考虑到现有技术中所有应用共享同一密钥,得到应用票据即可获取用户信息,安全性不高。本发明实施例提供的方法,用户终端的页面跳转至目标应用之后,目标应用仅仅获取了应用票据,并不能获取用户的信息。只有获取了加密票据,才能获取用户的信息。
为了获取用户信息,目标应用需要将应用票据发送至认证中心进行验证,以验证应用票据是否有效。考虑到目标应用传递过来的有可能是无效的应用票据,例如,应用票据是伪造的,或者该应用票据与账户不对应,应用票据是其他账户的用户名和密码信息生成的,或者应用票据已经过期无法使用等。只有在验证有效时,即验证通过后,认证中心基于目标应用的密钥,对用户ID进行加密生成目标应用的加密票据。其中,认证中心与目标应用之间的通信协议可以是通用的http协议。
此处,目标应用的密钥即针对目标应用生成的专属密钥,目标应用的密钥可根据目标应用的应用标识确定,比如,预先建立各个应用的应用标识与密钥之间的对应关系,并将该对应关系存储在认证中心。根据目标应用的专属密钥,对用户ID进行加密生成目标应用的加密票据。可通过预先设定的加密算法,加密得到目标应用的加密票据。可理解的是,该加密票据是针对目标应用而言的,且加密票据里融合了用户的ID信息。其中,用户ID是根据应用票据确定的。
认证中心生成目标应用的加密票据之后,将加密票据返回至目标应用,目标应用接收到加密票据之后,即可对加密票据进行解密,从而获取用户信息。至此,用户成功登陆目标应用。
本发明实施例提供的方法,在目标应用存在应用票据的情况下,即用户已完成身份验证的情况下,基于目标应用的密钥,对用户ID进行加密生成目标应用的加密票据,并将加密票据返回至目标应用,以使用户基于加密票据登录目标应用。同一用户在首次登录,或在不用的应用之间进行跳转时,均针对各个应用生成各个应用专属的加密票据。相比于现有技术中所有应用共享同一密钥,能够充分保证用户信息安全。
基于上述实施例,本发明实施例提供的登录方法还包括:
在目标应用不存在应用票据的情况下,接收目标应用发送的身份验证请求并进行身份验证,身份验证请求中携带用户ID和目标应用的应用标识;
在身份验证通过的情况下,基于用户ID和应用标识生成应用票据。
具体地,在目标应用不存在应用票据的情况下,即用户首次通过用户终端发送目标应用登录请求,还没有执行登录操作,没有生成应用票据。用户可通过目标应用的客户端或者浏览器页面输入账户的用户名和密码信息,以对账户进行验证。在目标应用接收用户输入的用户名和密码信息之后,将用户名和密码信息发送给认证中心进行身份验证。可以是通过认证中心的服务接口进行验证,以验证用户名和密码是否合法。此处的用户ID即用户名。
在身份验证通过的情况下,即表明用户输入的账户的用户名和密码信息合法,则可以基于该用户名和目标应用的应用标识生成应用票据。应用票据是一次性的票据信息,通常本身不包含数据,而是与认证中心暂存的用户信息关联,一次消费即失效,且有效期很短,过期即失效。
在身份验证不通过的情况下,即表明用户输入的账户的用户名和密码信息不合法,可以返回验证失败的信息给目标应用。
生成应用票据之后,可将应用票据写入用户终端的浏览器缓存。
本发明实施例提供的方法,在目标应用不存在应用票据的情况下,首先进行身份验证,在身份验证通过的情况下,基于用户ID和目标应用的应用标识生成应用票据,提高了用户登录的安全性,同时为加密票据的生成提供了基础。
基于上述任一实施例,本发明实施例提供的登录方法,还包括:
响应于退出操作,接收用户终端发送的目标应用退出请求;
基于退出请求,确定用户的用户ID,并清除用户终端的浏览器缓存中的应用票据;
基于用户ID,向各个已登录的应用发送退出请求,以使各应用退出登录。
具体地,当用户需要退出登录时,用户在用户终端执行退出操作,比如可以点击退出登录按钮,认证中心接收用户终端发送的目标应用退出请求。可理解的是,退出请求中携带了用户的用户ID和用户密钥。
认证中心根据退出请求,即可确定用户的用户ID,并根据用户ID清除用户终端的浏览器缓存中的应用票据。应用票据清除之后,即可向各个已登录的应用发送退出请求,各个应用在收到退出请求之后,退出登录。
本发明实施例提供的方法,在目标应用执行退出操作的同时,认证中心根据用户ID向各个已登录的应用发送退出请求,以使各应用退出登录,从而实现了单点退出,提高了用户信息的安全性和可靠性。
此外,认证中心提供后端SDK集成,各个应用对接认证中心之后,可通过简单的几行代码,即可实现统一的单点登录退出。
基于上述任一实施例,将加密票据返回至目标应用,以使用户基于加密票据登录目标应用,之后还包括:
接收目标应用发送的用户信息获取请求,用户信息获取请求携带目标应用的加密票据和应用标识;
对目标应用的加密票据进行解密,获取用户的用户ID;
基于用户的用户ID,将用户的用户信息返回至目标应用。
具体地,用户登录目标应用之后,目标应用可请求获取用户信息。目标应用将用户信息获取请求发送至认证中心,其中,用户信息获取请求中携带目标应用的加密票据和应用标识,加密票据和应用标识均为该目标应用专属的。
认证中心接收到目标应用发送的请求后,根据应用标识与密钥之间的关系获取到目标应用的专属密钥。然后,根据得到的专属密钥对加密票据进行解密,从而获取到用户的用户ID。在此基础上,即可根据用户的用户ID,将用户的用户信息返回至目标应用。
基于上述任一实施例,本发明实施例提供的登录方法,还包括:
对用户信息进行管理,用户信息包括用户的用户ID,以及用户ID与应用、组织、角色和权限的绑定关系。
具体地,用户信息可能包括用户的角色、组织和权限等管理功能,现有技术中认证中心并没有实现用户、组织和角色的管理功能,各个应用对接认证中心后还需各自去实现用户信息管理功能,增加了开发成本。
基于此,本发明实施例提供的认证中心能够实现对用户信息进行管理,用户信息包括用户的用户ID,以及用户ID与应用、组织、角色和权限的绑定关系,实现用户的权限分配。
此外,认证中心通过应用管理功能增加部署在认证中心上的应用,并为应用生成专属密钥。
认证中心还提供角色信息管理,可为角色分配相应权限。提供权限信息维护,同时提供自定义扩展字段,用于权限的特殊标识。提供不限层级的树形组织,同时提供自定义扩展字段,以极大程度的支持各个应用的组织管理功能。
需要说明的是,认证中心还提供用户、组织和权限的维护,各个应用可在认证中心进行统一维护,也可提供前端页面嵌入的方式。例如,认证中心提供用户、角色、权限、组织的嵌入地址,各个应用通过iframe等其他方式携带应用票据,嵌入认证中心的页面,各应用无需再做相应功能的开发工作,即可实现对用户信息的管理。
此外,认证中心还提供用户、组织、角色、权限的API全量接口,对接各应用如果想自定义页面,也可通过接口的方式对接到认证中心。
本发明实施例提供的方法,实现了用户信息的统一管理,在各个应用需要基于组织、角色和用户与外部应用对接时,例如工作流或电子签章等,只需要一次对接就接入了所有与认证中心对接的应用,做到了一次对接到处使用。此外,各应用无需另外再开发组织、角色和权限相关功能,节省了开发时间和成本。
基于上述任一实施例,本发明实施例提供的登录方法,还包括:
向消息队列中存储用户的用户信息,以供各个应用通过消费专属主题获取并存储用户的用户信息。
具体地,在各应用需要单独存储用户的用户信息的情况下,即认证中心与各应用进行数据传递时,通过消息队列的方式实现。认证中心作为用户信息的生产者,将用户信息存储在消息队列中。各个应用系统作为用户信息的消费者,通过消费专属Topic即可获取并存储用户信息。
本发明实施例提供的方法,基于消息队列的方式进行信息传递,充分完成了各个应用之间的解耦。
图2是本发明提供的登录方法的流程示意图之二,如图2所示,本发明实施例提供的登录方法包括如下步骤:
步骤210,基于用户通过用户终端发送的目标应用登录请求,获取应用票据。
步骤220,将应用票据发送至认证中心进行验证,在验证通过后,接收认证中心返回的加密票据,以使用户基于加密票据进行登录,加密票据是认证中心基于目标应用的密钥,对用户ID进行加密生成的。
具体地,本发明实施例提供的登录方法的执行主体可以是各目标应用,目标应用即用户需要登录的应用。用户通过用户终端请求登录目标应用,此处的登录请求可以是用户请求首次登录,即目标应用是第一应用,用户需要通过目标应用输入的账户的用户名和密码信息;也可以是用户在已经登录第一应用的情况下,发送需要登录第二应用的请求,此时的目标应用即第二应用,且用户无需输入账户的用户名和密码信息即可实现第二应用的登录。
此处,应用票据可以是用户认证中心基于用户输入的账户的用户名和密码信息生成的,并返回至目标应用的;应用票据还可以是在应用跳转时,从源应用流转至目标应用的,本发明实施例对此不作具体限定。
考虑到现有技术中所有应用共享同一密钥,得到应用票据即可获取用户信息,安全性不高。本发明实施例提供的方法,目标应用获取了应用票据之后,并不能成功登陆,只有获取了加密票据之后,才能获取用户的信息,成功登陆。
为了获取加密票据,目标应用需要将应用票据发送至认证中心进行验证,以验证应用票据是否有效。考虑到目标应用传递过来的有可能是无效的应用票据,例如,应用票据是伪造的,或者该应用票据与账户不对应,应用票据是其他账户的用户名和密码信息生成的,或者应用票据已经过期无法使用等。只有在验证有效时,即验证通过后,认证中心基于目标应用的密钥,对用户ID进行加密生成目标应用的加密票据。其中,认证中心与目标应用之间的通信协议可以是通用的http协议。
此处,目标应用的密钥即针对目标应用生成的专属密钥,认证中心根据目标应用的专属密钥,对用户ID进行加密生成目标应用的加密票据。可通过预先设定的加密算法,加密得到目标应用的加密票据。可理解的是,该加密票据是针对目标应用而言的,且加密票据里融合了用户的ID信息。其中,用户ID是根据应用票据确定的。
认证中心生成目标应用的加密票据之后,将加密票据返回至目标应用,目标应用接收到加密票据之后,即可对加密票据进行解密,从而获取用户信息。至此,用户成功登陆目标应用。
本发明实施例提供的方法,将获取到的应用票据发送至认证中心进行验证,在验证通过后,接收认证中心返回的加密票据,以使用户基于加密票据进行登录。同一用户在首次登录,或在不用的应用之间进行跳转时,均针对各个应用生成各个应用专属的加密票据。相比于现有技术中所有应用共享同一密钥,能够充分保证用户信息安全。
基于上述任一实施例,步骤220中接收认证中心返回的加密票据,之后还包括:
向认证中心发送用户信息获取请求,用户信息获取请求携带目标应用的加密票据和应用标识;
接收认证中心返回的用户的用户信息,用户信息是对目标应用的加密票据进行解密后确定的。
具体地,用户登录目标应用之后,目标应用可请求获取用户信息。目标应用将用户信息获取请求发送至认证中心,其中,用户信息获取请求中携带目标应用的加密票据和应用标识,认证中心根据预先存储好的应用标识与密钥之间的关系,通过应用标识获取目标应用的专属密钥。可理解的是,加密票据和密钥均为该目标应用专属的。
认证中心接收到目标应用发送的请求后,根据密钥对加密票据进行解密,从而获取到用户的用户ID。在此基础上,即可根据用户的用户ID,将用户的用户信息返回至目标应用。
基于上述任一实施例,图3是本发明提供的登录方法的流程示意图之三,如图3所示,用户首次登录第一应用时,在第一应用输入账户的用户名和密码信息之后,第一应用将用户名和密码信息发送给认证中心,通过认证中心的服务接口进行验证,并生成应用票据,认证中心再将应用票据返回给第一应用。随即认证中心验证应用票据是否有效,在验证通过后,基于第一应用的密钥,对用户ID进行加密生成第一应用的加密票据,并将加密票据返回至第一应用,以使用户基于加密票据登录第一应用。
图4是本发明提供的登录方法的流程示意图之四,如图4所示,用户已经成功登录第一应用,需要从第一应用跳转至第二应用的情况下,认证中心获取应用票据,并对应用票据进行验证。在验证通过后,基于第二应用的密钥,对用户ID进行加密生成第二应用的加密票据,并将加密票据返回至第二应用,以使用户基于加密票据登录第二应用。
图5是本发明提供的登录方法的流程示意图之五,如图5所示,用户在用户终端执行退出操作,认证中心接收用户终端发送的目标应用退出请求,认证中心根据退出请求,即可确定用户的用户ID,可向各个已登录的应用发送退出请求,各个应用在收到退出请求之后,退出登录。
下面对本发明提供的登录装置进行描述,下文描述的登录装置与上文描述的登录方法可相互对应参照。
基于上述任一实施例,图6是本发明提供的登录装置的结构示意图之一,如图6所示,登录装置包括请求接收单元610、请求返回单元620和票据加密单元630。
其中,请求接收单元,用于接收用户通过用户终端发送的目标应用登录请求;
请求返回单元,用于在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用;
票据加密单元,用于接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用,以使用户基于所述加密票据登录所述目标应用,所述用户ID是基于所述应用票据确定的。
本发明实施例提供的登录装置,在目标应用存在应用票据的情况下,即用户已完成身份验证的情况下,基于目标应用的密钥,对用户ID进行加密生成目标应用的加密票据,并将加密票据返回至目标应用,以使用户基于加密票据登录目标应用。同一用户在首次登录,或在不用的应用之间进行跳转时,均针对各个应用生成各个应用专属的加密票据。相比于现有技术中所有应用共享同一密钥,能够充分保证用户信息安全。
基于上述任一实施例,登录装置还包括应用票据生成单元,用于:
在目标应用不存在应用票据的情况下,接收目标应用发送的身份验证请求并进行身份验证,所述身份验证请求中携带用户ID和所述目标应用的应用标识;
在身份验证通过的情况下,基于所述用户ID和所述应用标识生成应用票据。
基于上述任一实施例,登录装置还包括退出登录单元,用于:
响应于退出操作,接收用户终端发送的目标应用退出请求;
基于退出请求,确定所述用户的用户ID,并清除所述用户终端的浏览器缓存中的应用票据;
基于所述用户ID,向各个已登录的应用发送退出请求,以使各应用退出登录。
基于上述任一实施例,登录装置还包括用户信息获取单元,用于:
接收目标应用发送的用户信息获取请求,所述用户信息获取请求携带所述目标应用的加密票据和应用标识;
对所述目标应用的加密票据进行解密,获取用户的用户ID;
基于所述用户的用户ID,将所述用户的用户信息返回至所述目标应用。
基于上述任一实施例,登录装置还包括用户信息管理单元,用于:
对所述用户信息进行管理,所述用户信息包括所述用户的用户ID,以及所述用户ID与应用、组织、角色和权限的绑定关系。
基于上述任一实施例,登录装置还包括信息传递单元,用于:
向消息队列中存储所述用户的用户信息,以供各个应用通过消费专属主题获取并存储所述用户的用户信息。
基于上述任一实施例,图7是本发明提供的登录装置的结构示意图之二,如图7所示,登录装置包括票据获取单元710和加密票据接收单元720。
票据获取单元,用于基于用户通过用户终端发送的目标应用登录请求,获取应用票据;
加密票据接收单元,用于将所述应用票据发送至认证中心进行验证,在验证通过后,接收所述认证中心返回的加密票据,以使用户基于所述加密票据进行登录,所述加密票据是所述认证中心基于目标应用的密钥,对用户ID进行加密生成的。
本发明实施例提供的登录装置,将获取到的应用票据发送至认证中心进行验证,在验证通过后,接收认证中心返回的加密票据,以使用户基于加密票据进行登录。同一用户在首次登录,或在不用的应用之间进行跳转时,均针对各个应用生成各个应用专属的加密票据。相比于现有技术中所有应用共享同一密钥,能够充分保证用户信息安全。
基于上述任一实施例,登录装置还包括用户信息接收单元,用于:
向所述认证中心发送用户信息获取请求,所述用户信息获取请求携带所述目标应用的加密票据和应用标识;
接收所述认证中心返回的所述用户的用户信息,所述用户信息是对所述目标应用的加密票据进行解密后确定的。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行登录方法,该方法包括:接收用户通过用户终端发送的目标应用登录请求;在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用;接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用,以使所述用户基于所述加密票据登录所述目标应用,所述用户ID是基于所述应用票据确定的。
处理器可以调用存储器中的逻辑指令,以执行另一登录方法,该方法包括:基于用户通过用户终端发送的目标应用登录请求,获取应用票据;将所述应用票据发送至认证中心进行验证,在验证通过后,接收所述认证中心返回的加密票据,以使用户基于所述加密票据进行登录,所述加密票据是所述认证中心基于目标应用的密钥,对用户ID进行加密生成的。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的登录方法,该方法包括:接收用户通过用户终端发送的目标应用登录请求;在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用;接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用,以使所述用户基于所述加密票据登录所述目标应用,所述用户ID是基于所述应用票据确定的。
计算机能够执行上述各方法所提供的另一登录方法,该方法包括:基于用户通过用户终端发送的目标应用登录请求,获取应用票据;将所述应用票据发送至认证中心进行验证,在验证通过后,接收所述认证中心返回的加密票据,以使用户基于所述加密票据进行登录,所述加密票据是所述认证中心基于目标应用的密钥,对用户ID进行加密生成的。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的登录方法,该方法包括:接收用户通过用户终端发送的目标应用登录请求;在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用;接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用,以使所述用户基于所述加密票据登录所述目标应用,所述用户ID是基于所述应用票据确定的。
计算机程序被处理器执行时实现以执行上述各方法提供的另一登录方法,该方法包括:基于用户通过用户终端发送的目标应用登录请求,获取应用票据;将所述应用票据发送至认证中心进行验证,在验证通过后,接收所述认证中心返回的加密票据,以使用户基于所述加密票据进行登录,所述加密票据是所述认证中心基于目标应用的密钥,对用户ID进行加密生成的。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种登录方法,其特征在于,包括:
接收用户通过用户终端发送的目标应用登录请求;
在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用;
接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用,以使所述用户基于所述加密票据登录所述目标应用,所述用户ID是基于所述应用票据确定的。
2.根据权利要求1所述的登录方法,其特征在于,还包括:
在目标应用不存在应用票据的情况下,接收目标应用发送的身份验证请求并进行身份验证,所述身份验证请求中携带用户ID和所述目标应用的应用标识;
在身份验证通过的情况下,基于所述用户ID和所述应用标识生成应用票据。
3.根据权利要求1所述的登录方法,其特征在于,还包括:
响应于退出操作,接收用户终端发送的目标应用退出请求;
基于退出请求,确定所述用户的用户ID,并清除所述应用票据;
基于所述用户ID,向各个已登录的应用发送退出请求,以使各应用退出登录。
4.根据权利要求1所述的登录方法,其特征在于,所述将所述加密票据返回至目标应用,以使所述用户基于所述加密票据登录所述目标应用,之后还包括:
接收目标应用发送的用户信息获取请求,所述用户信息获取请求携带所述目标应用的加密票据和应用标识;
对所述目标应用的加密票据进行解密,获取用户的用户ID;
基于所述用户的用户ID,将所述用户的用户信息返回至所述目标应用。
5.根据权利要求4所述的登录方法,其特征在于,还包括:
对所述用户信息进行管理,所述用户信息包括所述用户的用户ID,以及所述用户ID与应用、组织、角色和权限的绑定关系。
6.根据权利要求4所述的登录方法,其特征在于,还包括:
向消息队列中存储所述用户的用户信息,以供各个应用通过消费专属主题获取并存储所述用户的用户信息。
7.一种登录方法,其特征在于,包括:
基于用户通过用户终端发送的目标应用登录请求,获取应用票据;
将所述应用票据发送至认证中心进行验证,在验证通过后,接收所述认证中心返回的加密票据,以使用户基于所述加密票据进行登录,所述加密票据是所述认证中心基于目标应用的密钥,对用户ID进行加密生成的。
8.根据权利要求7所述的登录方法,其特征在于,所述接收所述认证中心返回的加密票据,之后还包括:
向所述认证中心发送用户信息获取请求,所述用户信息获取请求携带所述目标应用的加密票据和应用标识;
接收所述认证中心返回的所述用户的用户信息,所述用户信息是对所述目标应用的加密票据进行解密后确定的。
9.一种登录装置,其特征在于,包括:
请求接收单元,用于接收用户通过用户终端发送的目标应用登录请求;
请求返回单元,用于在目标应用存在应用票据的情况下,将登录请求返回至目标应用,以使所述用户终端的页面跳转至目标应用;
票据加密单元,用于接收目标应用发送的应用票据验证请求,并在验证通过后,基于所述目标应用的密钥,对用户ID进行加密生成所述目标应用的加密票据,并将所述加密票据返回至目标应用,以使用户基于所述加密票据登录所述目标应用,所述用户ID是基于所述应用票据确定的。
10.一种登录装置,其特征在于,包括:
票据获取单元,用于基于用户通过用户终端发送的目标应用登录请求,获取应用票据;
加密票据接收单元,用于将所述应用票据发送至认证中心进行验证,在验证通过后,接收所述认证中心返回的加密票据,以使用户基于所述加密票据进行登录,所述加密票据是所述认证中心基于目标应用的密钥,对用户ID进行加密生成的。
11.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述登录方法。
12.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述登录方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211113446.6A CN115189975B (zh) | 2022-09-14 | 2022-09-14 | 登录方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211113446.6A CN115189975B (zh) | 2022-09-14 | 2022-09-14 | 登录方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115189975A true CN115189975A (zh) | 2022-10-14 |
| CN115189975B CN115189975B (zh) | 2022-12-27 |
Family
ID=83524275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211113446.6A Active CN115189975B (zh) | 2022-09-14 | 2022-09-14 | 登录方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115189975B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
| CN106302606A (zh) * | 2015-06-08 | 2017-01-04 | 中国移动通信集团湖南有限公司 | 一种跨应用访问方法及装置 |
| CN109639711A (zh) * | 2018-12-29 | 2019-04-16 | 成都康赛信息技术有限公司 | 一种基于私有链会话id的分布式cas认证方法 |
| CN111342964A (zh) * | 2020-05-15 | 2020-06-26 | 深圳竹云科技有限公司 | 单点登录方法、装置及系统 |
| CN111901346A (zh) * | 2020-07-29 | 2020-11-06 | 北京奇艺世纪科技有限公司 | 一种身份认证系统 |
| CN114297609A (zh) * | 2021-12-28 | 2022-04-08 | 北京易华录信息技术股份有限公司 | 单点登录方法、装置、电子设备及计算机可读存储介质 |
| CN114428955A (zh) * | 2022-01-27 | 2022-05-03 | 上海淇玥信息技术有限公司 | 一种基于操作信息判断异常风险的方法、系统及电子设备 |
-
2022
- 2022-09-14 CN CN202211113446.6A patent/CN115189975B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
| CN106302606A (zh) * | 2015-06-08 | 2017-01-04 | 中国移动通信集团湖南有限公司 | 一种跨应用访问方法及装置 |
| CN109639711A (zh) * | 2018-12-29 | 2019-04-16 | 成都康赛信息技术有限公司 | 一种基于私有链会话id的分布式cas认证方法 |
| CN111342964A (zh) * | 2020-05-15 | 2020-06-26 | 深圳竹云科技有限公司 | 单点登录方法、装置及系统 |
| CN111901346A (zh) * | 2020-07-29 | 2020-11-06 | 北京奇艺世纪科技有限公司 | 一种身份认证系统 |
| CN114297609A (zh) * | 2021-12-28 | 2022-04-08 | 北京易华录信息技术股份有限公司 | 单点登录方法、装置、电子设备及计算机可读存储介质 |
| CN114428955A (zh) * | 2022-01-27 | 2022-05-03 | 上海淇玥信息技术有限公司 | 一种基于操作信息判断异常风险的方法、系统及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115189975B (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7119142B2 (ja) | デジタルid検証方法及び装置、電子機器、非一時的コンピュータ可読記憶媒体並びにプログラム | |
| CN108781227B (zh) | 用于在不可信云网络上的加密口令传输的方法和设备 | |
| JP5570610B2 (ja) | 遠隔ユーザ・セッションのためのシングル・サインオン | |
| CN105187362B (zh) | 一种桌面云客户端和服务端之间连接认证的方法及装置 | |
| US8683562B2 (en) | Secure authentication using one-time passwords | |
| CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
| CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
| EP2351316B1 (en) | Method and system for token-based authentication | |
| CN102457509B (zh) | 云计算资源安全访问方法、装置及系统 | |
| CN112769826B (zh) | 一种信息处理方法、装置、设备及存储介质 | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| US9203621B2 (en) | Policy-based data management | |
| CN111770088A (zh) | 数据鉴权方法、装置、电子设备和计算机可读存储介质 | |
| CN102479304A (zh) | 软件权限控制方法、客户端及系统 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| KR20220086580A (ko) | 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴 | |
| US11611551B2 (en) | Authenticate a first device based on a push message to a second device | |
| CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
| CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
| CN102404337A (zh) | 数据加密方法和装置 | |
| CN109067712A (zh) | 一种用户云端数据保护方法及代理服务器 | |
| WO2012176506A1 (ja) | シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム | |
| JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| CN109587098B (zh) | 一种认证系统和方法、授权服务器 | |
| US10621319B2 (en) | Digital certificate containing multimedia content |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |