CN115239261A - 账号登录方法、装置、设备以及介质 - Google Patents
账号登录方法、装置、设备以及介质 Download PDFInfo
- Publication number
- CN115239261A CN115239261A CN202110444027.XA CN202110444027A CN115239261A CN 115239261 A CN115239261 A CN 115239261A CN 202110444027 A CN202110444027 A CN 202110444027A CN 115239261 A CN115239261 A CN 115239261A
- Authority
- CN
- China
- Prior art keywords
- account
- target
- login
- information
- shadow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2133—Verifying human interaction, e.g., Captcha
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Accounting & Taxation (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Computer Hardware Design (AREA)
- Finance (AREA)
- Entrepreneurship & Innovation (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- Automation & Control Theory (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Marketing (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种账号登录方法、装置、设备以及介质,该方法包括:显示办公系统中的登录页面,在登录页面中显示信息输入区域;响应针对信息输入区域的触发操作,在登录页面中显示账号登录信息;账号登录信息包括与办公系统中的目标系统账号具有关联关系的目标影子账号,目标影子账号与目标系统账号具有相同的用户身份信息;响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息;目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限。采用本申请实施例,可以提高影子账号在办公系统中的访问安全性。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种账号登录方法、装置、设备以及介质。
背景技术
随着办公自动化(Office Automation,OA)技术的日趋成熟,办公自动化系统已经成为企业单位逐渐推广应用,成为许多企业单位提高行政办公效率、加快信息传递的日常工作系统。办公自动化是将现代化办公和计算机网络功能结合起来的一种新型的办公方式。
在现有的办公自动化系统中,可以为企业员工生成唯一系统账号,该系统账号为该企业员工日常办公所使用的账号,在某些特殊场合(例如,安全渗透、模拟黑客攻击等场合)中,通常需要使用影子账号,该影子账号在创建后可以被授予管理员的权限,使用该影子账号登录办公自动化系统后,可以访问计算资源。然而,使用该影子账号登录办公自动化系统时,可能无需密码就可以直接登录,且影子账号在办公自动化系统中的权限可以自由被授予和提权,造成影子账号的权限管理困难,进而导致影子账号在办公自动化系统中的访问安全性过低。
发明内容
本申请实施例提供一种账号登录方法、装置、设备以及介质,可以提高影子账号在办公系统中的访问安全性。
本申请实施例一方面提供了一种账号登录方法,包括:
显示办公系统中的登录页面,在登录页面中显示信息输入区域;
响应针对信息输入区域的触发操作,在登录页面中显示账号登录信息;账号登录信息包括与办公系统中的目标系统账号具有关联关系的目标影子账号,目标影子账号与目标系统账号具有相同的用户身份信息;
响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息;目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限。
其中,该方法还包括:
当办公系统中所登录的账号为目标影子账号时,记录目标影子账号在办公系统中的访问信息和操作信息;
根据访问信息和操作信息,生成针对目标影子账号的日志文件,将日志文件存储至日志系统。
其中,日志系统包括区块链系统:
上述根据访问信息和操作信息,生成针对目标影子账号的日志文件,将日志文件存储至日志系统,包括:
根据访问信息和操作信息,生成针对目标影子账号的日志文件,将日志文件上传至区块链系统,以使区块链系统中的区块链节点将日志文件打包成交易区块,并对达成共识的交易区块进行记账处理;
接收区块链系统中的区块链节点返回的上链成功信息,根据上链成功信息,存储日志文件在区块链系统中的文件哈希;文件哈希用于指示日志文件在区块链系统中的存储位置。
本申请实施例一方面提供了一种账号登录装置,包括:
页面显示模块,用于显示办公系统中的登录页面,在登录页面中显示信息输入区域;
信息显示模块,用于响应针对信息输入区域的触发操作,在登录页面中显示账号登录信息;账号登录信息包括与办公系统中的目标系统账号具有关联关系的目标影子账号,目标影子账号与目标系统账号具有相同的用户身份信息;
访问模块,用于响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息;目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限。
其中,信息输入区域包括账号区域和密码区域;
信息显示模块包括:
影子账号输入单元,用于响应针对账号区域的触发操作,在账号区域中显示目标用户对应的目标影子账号;
密码输入单元,用于响应针对密码区域的触发操作,在密码区域中显示目标系统账号对应的静态密码,以及目标用户对应的动态码,将目标影子账号、静态密码以及动态码确定为账号登录信息;静态密码为目标影子账号和目标系统账号所共用的密码。
其中,访问模块包括:
系统账号调用单元,用于响应针对账号登录信息的登录操作,通过目标影子账号,调用目标用户在办公系统中的目标系统账号;
第一验证单元,用于对目标系统账号、静态密码以及动态码进行验证,得到账号登录信息对应的第一验证结果;
第一系统访问单元,用于当第一验证结果为有效结果时,获取目标影子账号对应的用户身份信息,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息。
其中,密码区域包括第一密码区域和第二密码区域,第二密码区域包括验证码获取控件,动态码包括短信验证码;
密码输入单元包括:
静态密码输入子单元,用于响应针对第一密码区域的触发操作,在第二密码区域中显示目标系统账号对应的静态密码;
验证码触发子单元,用于响应针对验证码获取控件的触发操作,通过目标影子账号调用目标用户在办公系统中的目标系统账号;
获取请求发送子单元,用于向验证码服务设备发送携带目标系统账号和静态密码的验证码获取请求,以使验证码服务检测到目标系统账号和静态密码通过校验时,为目标用户生成短信验证码;
验证码接收子单元,用于接收验证服务设备返回的短信验证码,在第二密码区域中显示短信验证码,将目标影子账号、静态密码以及短信验证码确定为账号登录信息。
其中,信息输入区域包括唯一标识码区域;
信息显示模块包括:
扫描单元,用于响应针对唯一标识码区域的扫描操作,在登录页面中显示与目标用户具有绑定关系的目标影子账号和目标系统账号;
账号选取单元,用于响应登录页面中的选取操作,将在登录页面中所选择的目标影子账号确定为账号登录信息。
其中,该装置还包括:
影子账号申请模块,用于响应针对办公系统中的影子账号入口的触发操作,在办公系统对应的影子账号管理平台中,显示目标用户对应的账号输入区域;账号输入区域包括目标用户在办公系统中的目标系统账号;
输入内容显示模块,用于响应针对账号输入区域的输入操作,在账号输入区域中显示输入操作所确定的输入内容;
影子账号创建模块,用于响应影子账号管理平台中的账号申请操作,在办公系统中为目标用户创建由目标系统账号和输入内容所确定的目标影子账号。
其中,影子账号创建模块包括:
影子账号确定单元,用于响应影子账号管理平台中的账号申请操作,将目标系统账号和输入内容确定为目标影子账号;
账号关联单元,用于当办公系统的账号通讯录中不包含目标影子账号时,在办公系统中为目标用户创建目标影子账号,建立目标影子账号与目标系统账号之间的关联关系。
其中,该装置还包括:
信息提示模块,用于当办公系统的账号通讯录中包含目标影子账号时,生成针对目标影子账号的已创建提示信息;已创建提示信息用于提示办公系统中已存在目标影子账号。
其中,该装置还包括:
信息更新模块,用于当检测到目标系统账号对应的用户身份信息更新为目标身份信息时,将目标影子账号对应的用户身份信息更新为目标身份信息;
则访问模块具体用于:
响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在办公系统中显示目标身份信息。
其中,该装置还包括:
账号查看模块,用于响应办公系统中的账号查看操作,显示办公系统中的账号通讯录,为账号通讯录中所包含的影子账号添加标识信息;账号通讯录包括办公系统中所包含的M个用户分别对应的系统账号和影子账号,账号通讯录中所包含的影子账号包括目标影子账号,标识信息用于区分账号通讯录中的影子账号和系统账号,M为正整数。
账号查看模块包括:
用户获取单元,用于响应办公系统中的账号查看操作,获取办公系统中所包含的M个用户,以及M个用户分别对应的系统身份信息;
用户分组单元,用于根据系统身份信息对M个用户进行分组,得到N个用户组,获取M个用户分别对应的系统账号和影子账号;N为正整数;
账号分组展示单元,用于在办公系统的账号通讯录中,按照N个用户组,对M个用户分别对应的系统账号和影子账号进行分组展示,为账号通讯录中的影子账号添加标识信息。
其中,该装置还包括:
信息记录模块,用于当办公系统中所登录的账号为目标影子账号时,记录目标影子账号在办公系统中的访问信息和操作信息;
日志生成模块,用于根据访问信息和操作信息,生成针对目标影子账号的日志文件,将日志文件存储至日志系统。
其中,日志生成模块包括:
日志文件上传单元,用于根据访问信息和操作信息,生成针对目标影子账号的日志文件,将日志文件上传至区块链系统,以使区块链系统中的区块链节点将日志文件打包成交易区块,并对达成共识的交易区块进行记账处理;
上链成功提示单元,用于接收区块链系统中的区块链节点返回的上链成功信息,根据上链成功信息,存储日志文件在区块链系统中的文件哈希;文件哈希用于指示日志文件在区块链系统中的存储位置。
本申请实施例一方面提供了一种计算机设备,包括存储器和处理器,存储器与处理器相连,存储器用于存储计算机程序,处理器用于调用计算机程序,以使得该计算机设备执行本申请实施例中上述一方面提供的方法。
本申请实施例一方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序适于由处理器加载并执行,以使得具有处理器的计算机设备执行本申请实施例中上述一方面提供的方法。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述一方面提供的方法。
本申请实施例可以通过显示办公系统中的登录页面,在该登录页面中显示信息输入区域,响应针对信息输入区域的触发操作,在登录页面中显示账号登录信息,其中账号登录信息包括与办公系统中的目标系统账号具有关联关系的目标影子账号,该目标影子账号与目标系统账号具有相同的用户身份信息;响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统。可见,在使用目标影子账号登录办公系统时,需要在办公系统的登录页面中输入包含目标影子账号的账号登录信息,对该账号登录信息执行登录操作后,以目标影子账号的访问权限访问办公系统,并在办公系统中显示目标影子账号对应的用户身份信息;该目标影子账号与办公系统中的目标系统账号具有相同的用户身份信息,且该目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限,也就是说,目标影子账号在办公系统中的访问权限是可控制的,并通过上述账号登录信息在办公系统中进行登录,可以提高目标影子账号在办公系统中的访问安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种网络架构的结构示意图;
图2是本申请实施例提供的一种办公自动化系统的基本功能结构图;
图3是本申请实施例提供的一种账号登录方法的流程示意图;
图4a至图4c是本申请实施例提供的一种办公系统登录页面的界面示意图;
图5是本申请实施例提供的一种影子账号在办公自动化系统中的登录流程图;
图6是本申请实施例提供的一种创建影子账号的流程示意图;
图7是本申请实施例提供的一种创建影子账号的界面示意图;
图8是本申请实施例提供的一种账号通讯录的界面示意图;
图9是本申请实施例提供的一种影子账号的处理流程图;
图10是本申请实施例提供的一种采用账号密码登录方式对影子账号进行登录的界面示意图;
图11是本申请实施例提供的一种采用账号密码登录方式对影子账号进行登录的流程示意图;
图12是本申请实施例提供的一种采用短信验证码登录方式对影子账号进行登录的界面示意图;
图13是本申请实施例提供的一种采用短信验证码登录方式对影子账号进行登录的流程示意图;
图14是本申请实施例提供的一种采用扫码登录方式对影子账号进行登录的界面示意图;
图15是本申请实施例提供的一种采用扫码登录方式对影子账号进行登录的流程示意图;
图16是本申请实施例提供的一种账号登录装置的结构示意图;
图17是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请涉及区块链(BlockChain)和云技术。区块链是分布式数据存储,点对点传输,共识机制,加密算法等计算机技术的新型应用模型。区块链本质上是一个去中心化的数据库,同时作为比特币的底层技术,是一串使用密码学相关联产生的数据块(又称区块),各个数据块之间通过随机散列(也称哈希算法)实现链接,后一个区块包含了前一个区块的加密散列、相应时间戳记以及交易数据(通常用默克尔树(Merkle tree)算法计算的散列值表示),这样的设计使得区块内容具有难以篡改的特性。用区块链技术所串接的分布式账本能让两方有效纪录交易,且可永久查验此交易。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。本申请所涉及的系统账号、影子账号、以及系统账号对应的用户信息均可以存储至区块链;另外,对于系统账号和影子账号在办公系统中的登录过程、访问过程均可以记录在日志中,该日志也可以存储在区块链中,以确保影子账号在办公系统中的访问过程可被审计监管。
本申请涉及云技术下属的云安全(Cloud Security)。云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全主要研究方向包括:1、云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2、安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3、云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。本申请可以采用云安全技术对办公系统进行异常监测,对办公系统中的木马、恶意程序的最新信息进行自动分析和处理,以获取木马和病毒的解决方案,可以增强办公系统中的安全控制。
本申请还涉及以下几个概念:
办公自动化系统(Office Automation System,OA系统):办公自动化是将计算机、通信等现代化技术运用到传统办公方式,进而形成的一种新型办公方式。办公自动化利用现代化设备和信息化技术,代替办公人员传统的部分手动或重复性业务活动,优质而高效地处理办公事务和业务信息,实现对信息资源的高效利用,进而达到提高生产率、辅助决策的目的,最大限度地提高工作效率和质量、改善工作环境。办公自动化可以通过特定流程或特定环节与日常事务联系在一起,使公文在流转、审批、发布等方面提高效率,实现办公管理规范化和信息规范化,降低企业运行成本。通常的表现形式是企业内部员工访问的办公网关。
办公自动化框架(Office AutomationFramework)中的认证服务(也可以称为OF认证):OF认证的主要功能包括用户统一登录、身份认证、帐号管理等;其中统一登录指的是单点登录,也就是用户通过统一登录完成登录后,就可以访问各个OA系统,无需重复在OA系统中登录。例如,假设OA系统1、OA系统2、OA系统3、OA系统4以及OA系统5为同一个企业中的OA系统,当用户在OA系统1中完成登录后,该用户无需在OA系统2、OA系统3、OA系统4以及OA系统5进行重复登录,就可以访问上述5个OA系统。
办公自动化框架中的组织架构模块/服务(也可以称为OF组织架构模块/服务):OF组织架构模块/服务的主要功能是管理帐号的组织架构信息,包括所属组织的路径、帐号的岗位、个人资料信息等;OF组织架构模块是一个基础服务,即企业内所有的OA系统都统一从OF组织架构模块中获取员工的组织架构信息。
组织架构树:基于OF组织架构模块构建的企业通讯录,可以按层级查看公司的各级部门和员工。
员工OA账号(也可以称为系统账号):员工OA账号是指OF认证为企业员工生成的唯一账号,该员工OA账号可以用于OA系统的登录。需要说明的是,员工OA账号是根据员工身份一对一生成的账号,每个员工OA账号都对应一个真实存在的员工;其中,员工OA账号为员工在OA系统中日常办公所使用的账号。例如,企业员工可以使用员工OA账号登录OA系统,在OA系统中发布文档、公告、提交申请,并与其余企业员工进行通信等。
影子账号:本申请中的影子账号指的是通过“克隆”某个员工OA账号而生成的账号,此处的“克隆”可以理解为基于企业员工在OA系统中的员工OA账号,为该企业员工创建一个额外的账号(该额外的账号与员工OA账号具有绑定关系,例如员工OA账号为xiaoming,这个额外的账号可以为xiaoming_123),这个额外的账号所对应的用户身份信息与员工OA账号所对应的用户身份信息相同,且此额外的账号与员工OA账号可以共用密码信息,此时额外的账号可以称为影子账号。该影子账号不是企业员工在日常办公所使用的账号,而是仅在某些特殊场合中所使用的账号,例如影子账号可以应用在安全渗透、模拟黑客攻击、漏洞检测等场景中。在本申请中,影子账号与被“克隆”的员工OA账号有对应关系,影子账号和员工OA账号两者之间的账号ID(标识)不同,但其他的账号信息内容完全相同。一个员工OA账号可以对应一个或者多个影子账号。其中,安全渗透是通过实际的攻击进行安全测试与评估的方法,渗透测试是一种通过模拟恶意攻击者的技术和方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式;模拟黑客攻击是指在办公自动化系统中使用影子账号进行登录,并模拟黑客在办公自动化系统中的操作过程;漏洞检测可以分为对已知漏洞的检测和对未知漏洞的检测,其中已知漏洞的检测主要是通过安全扫描技术,检测系统是否存在已公布的安全漏洞,而未知漏洞检测的目的在于发现办公系统中可能存在但尚未发现的漏洞。
请参见图1,图1是本申请实施例提供的一种网络架构的结构示意图。如图1所示,该网络架构可以包括设备集群,该设备集群可以包括一个或者多个设备,本申请不对设备的数量进行限制。如图1所示,设备集群中所包含的每个设备均可以通过相应的硬件接口直接连接到公共传输媒体上,该公共传输媒体可以称为总线10e;其中,该设备集群可以具体包括服务器10a、服务器10b、用户终端10c以及用户终端10d等。其中,上述设备集群中所包含的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。上述设备集群中所包含的用户终端可以包括:智能手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device,MID)、可穿戴设备(例如智能手表、智能手环等)以及智能电视等具有办公自动化功能的智能终端。
如图1所示,设备集群可以通过交换机10f和总线10e与管理主机10j建立连接;当然,该网络架构还可以包括入侵检测系统10i、防火墙10g以及路由器10h。其中,交换机10f可以按照通信两端(管理主机10j与设备集群)需要,用自动方法把要传输的信息送到符合要求网络的设备;入侵检测系统10i可以用于对办公自动化系统进行入侵检测(例如,对办公自动化系统进行安全渗透,或者对办公自动化系统模拟黑客攻击);管理主机10j可以用于管理办公自动化系统中所涉及的设备集群,该管理主机10j可以使用上述入入侵检测系统10i对办公自动化系统进行入侵检测,如对设备集群中的设备进行入侵检测;路由器10h可以将不同网络或网段之间的数据信息进行“翻译”,以使她们能够互相“读”懂对方的数据,从而构成一个更大的网路;防火墙10g可以是指一个由软件和硬件设备组成而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法;该防火墙10g是一种计算机硬件和软件的结合,使网络之间建立起一个安全网关(Security Gateway),从而保护内部网络免受非法用户的侵入。如图1所示,设备集群、总线10e、交换机10f、入侵检测系统10i以及管理主机10j属于内部网络,路由器10h用于连接两个不同的网络。
以上述用户终端10c为例,当企业员工在办公自动化系统中创建了与员工OA账号具有关联关系的影子账号,并使用该影子账号登录办公自动化系统时,可以在用户终端10c中显示办公自动化系统对应的登录页面,在该登录页面中可以输入影子账号的账号标识,以及影子账号对应的密码信息(该密码信息同样也是员工OA账号的密码信息),当企业员工对登录页面中的账号标识和密码信息执行登录操作时,用户终端10c可以响应该企业员工的登录操作,以影子账号的身份访问办公自动化系统,在办公自动化系统中还可以显示影子账号对应的用户身份信息,用户终端10c可以采用影子账号的访问权限使用办公自动化系统中的功能,对该办公自动化系统进行访问。需要说明的是,在影子账号创建成功后,可以为该影子账号授予访问权限,该影子账号在办公自动化系统中的访问权限小于或等于员工OA账号在办公自动化系统中的访问权限。
请一并参见图2,图2是本申请实施例提供的一种办公自动化系统的基本功能结构图。基于办公自动化系统的设计原则所设计的办公自动化系统如图2所示,该办公自动化系统可以包括登录模块、收发文管理模块、考勤管理模块、员工管理模块、部门管理模块、意见管理模块以及退出模块。
其中,登录模块可以供企业的内部员工使用,通过输入账号和密码等信息可以安全登录办公自动化系统,例如企业成员可以使用员工OA账号和影子账号进行登录。当然,当企业员工所输入的账号和密码等信息通过验证后才能成功登录。
收发文管理模块可以为企业的内部员工提供建立发文、浏览发文、删除发文、删除发文以及查看详细内容等功能。企业的内部员工可以在办公自动化系统中发布文件,企业内部员工可以对办公自动化系统中的所发文件进行浏览、删除以及查看所发文件的详细内容。
考勤管理模块可以方便管理和查询员工的考勤状况,实现上下班登记、出差申请、请假申请、外出申请、考勤免疫人员设置等功能,并统计考勤结果生成电子报表供查看。
文档管理模块可以建立集中的文档服务器,提供分类文档管理及分级权限文档查询机制,实现一体化的文档组织、编辑、存储和分享,避免由于文档分散可能造成的意外损失。
员工管理模块可以包括员工的权限管理、个人中心管理、员工信息管理等,在员工管理模块,可以设置不同的部门,不同级别员工对办公自动化系统中的资源和相关模块的访问限制,对于不同部门、不同级别的员工设置不同的访问权限,即不同的员工OA账号可以设置不同的访问权限;个人中心管理可以是指在办公自动化系统中为企业员工建立个人工作平台和交流平台,如个人邮件系统、日程安排、工作日志等;员工信息管理可以是指在办公自动化系统中为企业员工建立员工信息数据库,实现对员工信息的编辑、查询、管理等功能。
部门管理模块可以便于管理员对部门进行管理,实现新增部门、设置部门管理权限等功能,还可以实现添加部门员工、设置部门员工权限等功能。意见管理模块可以为企业员工提供匿名投诉、提供建议、嘉奖等功能。
对于企业员工在办公自动化系统中所创建的影子账号,可以具备其对应员工OA账号在办公自动化系统中的部分或全部访问权限,影子账号的访问权限可以在其创建之后被授予。
请参见图3,图3是本申请实施例提供的一种账号登录方法的流程示意图。可以理解地,该账号登录方法可以由计算机设备执行,该计算机设备可以为用户终端(例如,上述图1所对应实施例的设备集群中的任意一个用户终端),或者为服务器(例如,上述图1所对应实施例的设备集群中的任一服务器),或者为用户终端和服务器所组成的系统,或者为计算机程序产品或计算机程序(包括程序代码)。如图3所示,该账号登录方法可以包括以下步骤:
步骤S101,显示办公系统中的登录页面,在登录页面中显示信息输入区域。
具体的,在办公系统(例如上述图2所对应实施例中的办公自动化系统)中,用户可以使用自己的账号进行登录,登录成功后可以对办公系统进行访问。为方便描述,可以将上述登录办公系统的用户称为目标用户(例如,企业的内部员工),当目标用户通过计算机设备(例如,上述图1所对应实施例的设备集群中的任一设备)启动办公系统时,该计算机设备可以响应针对办公系统的启动操作,显示该办公系统对应的登录页面,并在该登录页面中显示信息输入区域。其中,登录页面中的登录操作可以为统一登录(单点登录),即目标用户在某个办公系统中完成登录后,可以访问该企业的一个或多个办公系统,无重复在每个办公系统中登录;需要说明的是,一个企业可以具有一个或者多个办公系统,每个办公系统所具备的功能可以相同,也可以不同,本申请对办公系统的数量以及办公系统的功能不做限定。登录页面中所显示的信息输入区域可以用于输入登录信息,如即将进行登录的账号、账号密码等信息。
步骤S102,响应针对信息输入区域的触发操作,在登录页面中显示账号登录信息;账号登录信息包括与办公系统中的目标系统账号具有关联关系的目标影子账号,目标影子账号与目标系统账号具有相同的用户身份信息。
具体的,当目标用户想要使用自己的目标影子账号登录办公系统时,可以对登录页面中的信息输入区域执行触发操作,在信息输入区域中输入目标影子账号对应的账号登录信息,此时的计算机设备可以响应针对信息输入区域的触发操作,在登录页面中显示目标用户所输入的账号登录信息。其中,该账号登录信息可以包括目标影子账号(登录页面中所显示的目标影子账号可以理解为该目标影子账号的账号标识,如账号ID),该目标影子账号是指与该目标用户在办公系统中的目标系统账号(例如,上述员工OA账号)具有关联关系的账号,在办公系统中,目标影子账号与目标系统账号对应同一个企业员工(即上述目标用户),且目标影子账号与目标系统账号所具有的用户身份信息是相同的;当然,目标影子账号与目标系统账号还可以共用密码信息。换言之,在办公系统的登录页面中,目标用户可以输入目标系统账号对应的登录信息进行登录,也可以输入目标影子账号对应的登录信息进行登录,且对于两种类型的账号,所输入的密码信息均是相同的。总而言之,目标系统账号在办公系统中的登录方式,同样适用于目标影子账号,无需对办公系统进行改造即可实现目标影子账号的登录过程,可以降低改造成本,增强办公系统的适用范围。
可选的,在办公系统中,为目标影子账号和目标系统账号所提供的登录方式可以包括但不限于:1、账号+密码登录方式。为了增强账号登录安全性,该账号+密码登录方式中的密码可以为一种双因素的动态密码,该双因素的动态密码可以由个人识别密码(Personal Identification Number,PIN)和动态码(令牌,token)组成;其中,PIN码可以由目标用户自己设置,而token是一串动态字符,可以由token后台服务每隔固定时间段进行更新,如可以每一分钟更新一次,或者每5分钟更新一次,或者每10分钟更新一次等,本申请可以根据实际需求对token的更新时间段进行设置;在该账号+密码登录方式中,可以将目标用户输入的目标影子账号、PIN码以及token均称为账号登录信息。2、短信验证码登录方式。为了增强账号登录安全性,该短信验证码登录方式同样为一种双因素的登录方式,需要在登录页面中输入帐号+静态密码+短信验证码;其中,静态密码可以由目标用户自己设置,短信验证码为实时获取的动态校验码,该短信验证码具有时效性,即在申请短信验证码后的有效时间段内,该短信验证码可被认为是有效验证码,超出有效时间段的短信验证码为无效验证码,此时就需要目标用户重新申请短信验证码,该短信验证码的有效时间段可以为目标用户申请短信验证码后的一分钟,或者为目标用户申请短信验证码后的5分钟等,本申请可以根据实际需求对短信验证码的有效时间段进行设置;在该短信验证码登录方式中,可以将目标用户输入的目标影子账号、静态密码以及短信验证码均称为账号登录信息。3、使用应用软件进行扫码登录方式。该登录方式中所涉及的应用软件可以为企业内部的移动办公平台,扫码的对象可以为针对目标用户的唯一标识码,如二维码、条形码等;在使用应用软件进行扫码登录方式中,通过应用软件扫描唯一标识码所得到的目标影子账号信息可以称为账号登录信息。本申请实施例中,系统账号和影子账号在办公系统中的登录方式是相同的。
可选的,办公系统为目标用户所提供的所有登录方式可以同时展示在登录页面中;或者在登录页面中显示部分登录方式以及剩余登录方式所对应的切换控件,目标用户对登录页面中的切换控件执行触发操作后,可以在登录页面中实现登录方式的切换显示。例如,假设办公系统可以为目标用户提供账号+密码登录方式、短信验证码登录方式、使用应用软件进行扫码登录方式,在该办公系统的登录页面中可以同时显示上述账号+密码登录方式、短信验证码登录方式、使用应用软件进行扫码登录方式;或者在登录页面中显示账号+密码登录方式和使用应用软件进行扫码登录方式,同时可以在登录页面中显示短信验证码登录方式对应的切换控件;或者在登录页面中显示账号+密码登录方式,同时在该登录页面中显示短信验证码登录方式对应的切换控件,以及使用应用软件进行扫码登录方式所对应的切换控件。
请一并参见图4a至图4c,图4a至图4c是本申请实施例提供的一种办公系统登录页面的界面示意图。假设办公系统为办公自动化系统,且办公自动化系统可以为用户提供账号+密码登录方式、短信验证码登录方式、使用应用软件进行扫码登录方式,图4a至图4c所示的当前显示界面均为办公自动化系统对应的统一办公自动化系统登录页面(即上述登录页面)。
如图4a所示,可以在统一办公自动化系统登录页面中同时显示账号+密码登录方式20a、短信验证码登录方式20b、使用应用软件进行扫码登录方式20c。其中,账号+密码登录方式20a需要目标用户输入目标影子账号对应的账号标识(ID),以及个人识别密码(PIN)和动态码(token)之间的组合密码所组成的账号登录信息;短信验证码登录方式20b需要目标用户输入目标影子账号对应的账号标识(ID)、静态密码以及短信验证码所组成的账号登录信息;使用应用软件进行扫码登录方式20c需要目标用户启动用户终端中的xx应用,并通过该xx应用扫描该登录方式所提供的二维码,以得到目标用户对应的目标影子账号,此时的目标影子账号可以称为账号登录信息。通过在统一办公自动化系统登录页面中展示全部登录方式,有利于目标用户选择满足自身需求的登录方式,而无需进行登录方式的切换操作,可以提高目标影子账号的登录效率。
如图4b所示,可以在统一办公自动化系统登录页面中显示账号+密码登录方式20a和使用应用软件进行扫码登录方式20c,与此同时,还可以在统一办公自动化系统登录页面中显示切换控件20d(以“切换至短信验证码验证”的形式进行显示),该切换控件20d可以表示为短信验证码登录方式20b所对应切换控件。当目标用户对切换控件20d执行触发操作时,可以将统一办公自动化系统登录页面中的账号+密码登录方式20a切换显示为短信验证码登录方式20b,将切换控件20d切换显示为切换控件20e(以“切换至个人识别密码+动态码验证”的形式进行显示),此时统一办公自动化系统登录页面中所显示的使用应用软件进行扫码登录方式20c可以保持不变。
可选的,如图4c所示,当目标用户对切换控件20d执行触发操作时,可以将统一办公自动化系统登录页面中的账号+密码登录方式20a和使用应用软件进行扫码登录方式20c,替换为短信验证码登录方式20b,将切换控件20d替换为切换控件20e(以“切换至个人识别密码+动态码验证”的形式进行显示)和切换控件20f(以“切换至应用软件扫码验证”的形式进行显示)。换言之,此时的统一办公自动化系统登录页面可以只显示一种登录方式。
步骤S103,响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息;目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限。
具体的,目标用户在信息输入区域输入账号登录信息后,可以对登录页面中的登录控件执行触发操作,此时的计算机设备可以响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问该办公系统,在该办公系统中还可以显示目标影子账号对应的用户身份信息。其中,该用户身份信息可以包括目标用户的名称、职位、职称、部门、邮箱、联系方式等信息。可选的,目标影子账号在创建后,可以为目标影子账号授予访问权限,其中目标影子账号在办公系统中的访问权限不能超过目标系统账号在办公系统中的访问权限,即目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限。本申请对目标影子账号的访问权限进行严格控制,可以增强对影子账号的管理有效性。
可选的,在办公系统中所登录的账号为目标影子账号时,计算机设备可以记录目标影子账号在办公系统中的访问信息和操作信息,根据访问信息和操作信息,可以生成针对目标影子账号的日志文件,将日志文件存储至日志系统。换言之,目标影子账号在办公系统中的登录以及访问过程均可以记录在日志文件中,并将该日志文件存储至文件系统。通过日志系统中所存储的日志文件,可以对目标影子账号进行审计监管,可以加强对目标影子账号的管控能力。
可选的,当上述日志系统为区块链系统时,计算机设备可以根据访问信息和操作信息,生成针对目标影子账号的日志文件,并将日志文件上传至区块链系统,以使区块链系统中的区块链节点将日志文件打包成交易区块,并对达成共识的交易区块进行记账处理;进而可以接收区块链系统中的区块链节点返回的上链成功信息,根据该上链成功信息,存储该日志文件在区块链系统中的文件哈希,其中该文件哈希可以用于指示日志文件在区块链系统中控的存储位置。可选的,在区块链中可以对目标影子账号和日志文件进行关联存储,如目标用户在办公系统中所创建的目标影子账号也可以连同日志文件一同上传至区块链系统。
具体的,计算机设备根据访问信息和操作信息生成日志文件,并将日志文件以交易的形式上传至区块链系统;区块链系统中的区块链节点可以接收计算机设备上传的日志文件,进而可以将接收到的日志文件打包成交易区块,打包交易区块的区块链节点可以将该交易区块广播给该区块链系统中的所有共识节点,以使共识节点对上述交易区块执行共识处理;当交易区块在区块链系统中达成共识时,可以将该交易区块进行记账处理,即将该交易区块正式添加至区块链系统中的区块链;在交易区块上链成功后,上述区块链节点可以向计算机设备返回上链成功信息,该上链成功信息可以携带日志文件在区块链中所对应的文件哈希。计算机设备接收到区块链节点返回的上链成功信息后,可以在上链成功信息中获取日志文件对应的文件哈希,并将文件哈希存储在本地数据库中,该文件哈希可以用于指示日志文件在区块链中的存储位置。在后续需要根据日志文件对目标影子账号进行审计监管时,可以根据文件哈希从区块链中获取与该文件哈希相匹配的日志文件。通过将日志文件存储至区块链,可以确保目标影子账号对应的日志文件不被篡改,进而确保目标影子账号在办公系统中的安全性。
请一并参见图5,图5是本申请实施例提供的一种影子账号在办公自动化系统中的登录流程图。如图5所示,目标影子账号(目标用户的影子账号)在办公自动化系统(办公系统)中的登录过程涉及目标用户、办公自动化系统、办公自动化框架中的认证服务以及办公自动化框架中的组织架构服务之间的交互,此时目标用户所使用的用户终端,办公自动化系统、办公自动化框架中的认证服务以及办公自动化框架中的组织架构服务可以组成上述计算机设备。目标影子账号在办公自动化系统中的登录过程可以通过下述步骤S201-步骤S212来实现。
S201,员工尝试访问办公自动化系统。
具体的,当企业员工(即目标用户)想要访问办公自动化系统(OA系统)时,可以启动并进入办公自动化系统。其中,目标用户可以通过应用软件启动OA系统,也可以通过浏览器启动OA系统,本申请对OA系统的启动途径不做限定。
S202,若员工未登录,则向办公自动化框架中的认证服务请求登录。
具体的,若办公自动化系统检测到该企业员工还未登录,则可以向办公自动化框架中的认证服务(OF认证)请求用户登录,如向OF认证发送用户登录请求。
S203,跳转至统一登录页面,让员工进行登录。
具体的,OF认证收到登录请求后,可以将重定向(Redirect)目标用户所使用的用户终端至统一OA系统登录页面(即办公系统对应的登录页面),企业员工可以在该统一OA系统登录页面中进行登录。其中,统一OA系统登录页面可以如上述图4a至图4c所示,这里不在进行赘述;重定向可以是指通过各种方法将各种网络请求重新定个方向转到其它位置,如OF认证接收到OA系统的登录请求后,该登录请求的方向在原理上来说为OA系统,而通过重定向可以将该登录请求的方向定为目标用户所使用的用户终端。
S204,员工使用目标影子账号进行登录。
具体的,在统一OA系统登录页面中,企业员工可以使用目标影子帐号进行登录,如可以在统一OA系统登录页面的信息输入区域中输入目标影子账号以及该目标影子账号对应的密码信息进行登录。目标影子账号在统一OA系统登录页面中的具体登录过程参见下述图10至图15所对应的实施例。
S205,验证目标影子账号的登录结果。
具体的,在目标用户对统一OA系统登录页面中的目标影子账号执行登录操作时,OF认证可以对目标用户所输入的目标影子账号进行校验,获得该目标影子账号的登录结果,该登录结果可以包括登录成功结果和登录失败结果;其中,当目标影子账号对应的登录结果为登录成功结果时,表示目标用户所输入的目标影子账号检验通过;当目标影子账号对应的登录结果为登录失败结果时,表示目标用户所输入的目标影子账号检验未通过。
S206,请求获取目标影子账号的更多信息。
具体的,若目标影子账号在OA系统中的登录结果为登录成功结果,则OF认证可以向办公自动化框架中的组织架构服务(OF组织架构)发送信息获取请求,该信息获取请求用于向OF组织架构请求获取目标影子账号的更多信息(例如,目标影子账户对应的用户身份信息)。
S207,返回目标影子账号的信息。
具体的,OF组织架构接收到OF认证发送的信息获取请求后,可以根据该信息获取请求获取目标影子账号的更多信息,并将目标影子账号的信息(例如,用户身份信息)返回至OF认证。
S208,生成加密的登录票据。
具体的,OF认证在接收到OF组织架构所返回的登录结果(登录成功结果)和目标影子账号的信息后,可以将登录结果(登录成功结果)和目标影子账号的信息加密生成登录票据,此处的登录票据可以理解为加密后的密文。
S209,返回登录票据。
具体的,OF认证在生成目标影子账号对应的登录票据后,可以将登录票据返回至OA系统。
S210,请求解密票据。
具体的,OA系统在接收到OF认证返回的登录票据后,可以向OF认证请求解密该登录票据,如向OF认证发送针对登录票据的解密请求,该解密请求用于向OF认证请求解密登录票据。
S211,返回解密后的信息。
具体的,OF认证在接收到OA系统发送的解密请求后,可以对登录票据进行解密,得到解密后的登录结果和目标影子账号的信息,并将解密后的登录结果和目标影子账号的信息返回至OA系统。需要说明的是,上述步骤S208至步骤S211是为了增强目标影子账号在OA系统中的登录安全性,可以降低登录结果和目标影子账号的信息被其他系统(除OA系统之外的其余系统)窃取的几率。可选的,OF认证也可以在接收到登录结果和目标影子账号的信息后,直接将登录结果和目标影子账号的信息返回给OA系统,此时可以无需执行上述步骤S208-步骤S211。
S212,重定向至办公自动化系统,以目标影子账号访问办公自动化系统。
具体的,在OA系统接收到OP认证返回的解密后的登录结果和目标影子账号的信息后,可以重定向OA系统,允许企业员工以目标账号的身份访问OA系统,也可以理解为以目标影子账号的访问权限对OA系统进行访问。
本申请实施例中,在使用目标影子账号登录办公系统时,需要在办公系统的登录页面中输入包含目标影子账号的账号登录信息,对该账号登录信息执行登录操作后,以目标影子账号的访问权限访问办公系统,并在办公系统中显示目标影子账号对应的用户身份信息;该目标影子账号与办公系统中的目标系统账号具有相同的用户身份信息,且该目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限,也就是说,目标影子账号在办公系统中的访问权限是可控制的,并通过上述账号登录信息在办公系统中进行登录,可以提高目标影子账号在办公系统中的访问安全性;目标影子账号在办公系统中的登录和访问过程,均可以记录在日志文件中,有利于对目标影子账号进行审计监管,进而可以加强对目标影子账号的管控能力;目标影子账号在创建后所授予的访问权限小于或等于目标系统账号,可以加强对目标影子账号的权限管理能力。
可选的,在办公系统中使用目标影子账号进行用户登录之前,目标用户首先需要创建目标影子账号,下面可以通过图6和图7,对目标影子账号的创建过程进行详细描述。
请参见图6,图6是本申请实施例提供的一种创建影子账号的流程示意图。如图6所示,创建目标影子账号的过程可以包括下述步骤S301-步骤S303:
步骤S301,响应针对办公系统中的影子账号入口的触发操作,在办公系统对应的影子账号管理平台中,显示目标用户对应的账号输入区域;账号输入区域包括目标用户在办公系统中的目标系统账号。
具体的,目标用户想要在办公系统中创建目标影子账号时,可以对办公系统中的影子账号入口执行触发操作,以申请创建目标影子账号,其中目标影子账号可以由目标用户申请和管理,申请的目标影子账号可以是基于该目标用户在办公系统中的目标系统账号所确定的(可以理解为目标影子账号可以通过直接“克隆”该目标用户的目标系统账号),创建的目标影子账号可以由该目标用户管理,且该目标用户可以承担使用目标影子账号的责任。当目标用户对办公系统中的影子账号入口执行触发操作时,计算机设备可以响应针对影子账号入口的触发操作,在办公系统对应的影子账号管理平台中,显示目标用户对应的账号输入区域,其中该账号输入区域包括目标用户在办公系统中的目标系统账号。
步骤S302,响应针对账号输入区域的输入操作,在账号输入区域中显示输入操作所确定的输入内容。
具体的,当目标用户在影子账号管理平台的账号输入区域中输入文本内容时,计算机设备可以响应针对账号输入区域的输入操作,在账号输入区域中显示该输入操作所确定的输入内容。换言之,计算机设备可以实时监听目标用户在影子账号管理平台中的输入行为,可以在账号输入区域中对目标用户输入的文本内容(即上述输入内容)进行显示。
步骤S303,响应影子账号管理平台中的账号申请操作,在办公系统中为目标用户创建由目标系统账号和输入内容所确定的目标影子账号。
具体的,当目标用户在账号输入区域中完成输入后,可以对影子账号管理平台中的申请控件执行触发操作(也可以称为账号申请操作)。当目标用户对影子账号管理平台中的申请控件执行触发操作时,计算机设备可以响应该影子账号管理平台中的账号申请操作,在办公系统中为目标用户创建由目标系统账号和输入内容所确定的目标影子账号。
可选的,计算机设备在响应影子账号管理平台中的账号申请操作后,可以将目标系统账号和输入内容确定为目标影子账号,当办公系统的账号通讯录中不包含目标影子账号时,可以在办公系统中为目标用户创建目标影子账号,建立该目标影子账号和目标系统账号之间的关联关系;当办公系统的账号通讯录中包含目标影子账号时,生成针对目标影子账号的已创建提示信息,该已创建提示信息用于提示办公系统中已存在目标影子账号。换言之,在目标用户对影子账号管理平台中的申请控件执行触发操作后,计算机设备可以将账号输入区域中的目标系统账号和输入内容确定为目标影子账号,可以获取办公系统中的账号通讯录(该账号通讯录可以包括办公系统中的所有影子账号和所有系统账号);若账号通讯录中不包含上述目标影子账号,则可以在办公系统中为目标用户创建目标影子账号,该目标影子账号可以挂靠在办公系统的组织架构树中,并在办公系统中建立目标影子账号和目标系统账号之间的关联关系;若账号通讯录中包含上述目标影子账号,则表示该目标影子账号已经被创建,因此无需进行重新创建,并生成已创建提示信息,该已创建提示信息可以用于提示目标用户该目标影子账号已成功创建。简单来说,当目标用户在影子账号管理平台中申请创建影子账号后,只要目标用户输入的目标影子账号的账号标识(包括目标系统账号和输入内容)符合规定,且账号通讯录中不包含目标影子账号,就可以在办公系统中为目标用户自动创建目标影子账号。
请一并参见图7,图7是本申请实施例提供的一种创建影子账号的界面示意图。如图7所示,目标用户“张三”对办公系统中的影子账号入口执行触发操作时,计算机设备可以响应针对上述影子账号入口的触发操作,显示办公系统中的影子账号管理平台,在该影子账号管理平台中可以显示目标用户在办公系统中的目标系统账号(例如,目标系统账号可以表示为“zhangsan(张三)”),以及影子账号对应的申请须知。其中,该申请须知可以包括:1、员工可申请本人系统账号对应的影子账号;2、影子账号仅账号ID(账号标识)与员工系统账号不同,其他信息均与员工系统账号相同,随员工系统账号的更新而自动更新,不可自定义;3、影子账号的账号ID格式必须为“员工系统账号ID_xxx”,且不允许重复。当目标用户“张三”在阅读完上述申请须知后,可以对影子账号管理平台中所显示的控件30a(以“我已了解须知,下一步”的形式进行展示)执行触发操作(例如,点击操作),在影子账号管理平台中显示账号输入区域30b,该账号输入区域30b中可以显示目标用户“张三”对应的目标系统账号ID(例如,“zhangsan”),表示目标用户“张三”想要申请的影子账号与目标用户“张三”对应的目标系统账号相对应。
进一步地,当目标用户“张三”在账号输入区域30b中输入文本内容“123”,并对影子账号管理平台中的申请控件30c(以“申请影子账号”的形式进行展示)执行触发操作时,计算机设备可以响应针对申请控件30c的触发操作,在办公系统中创建由目标系统账号ID(“zhangsan”)和文本内容(“123”)所确定的目标影子账号,该目标影子账号的账号标识(目标影子账号ID)可以表示为“zhangsan_123”,即目标影子账号ID由目标系统账号ID、文本内容以及连接符号“_”组成。在办公系统中为目标用户“张三”创建了目标影子账号后,该目标影子账号对应的用户身份信息与目标系统账号对应的用户身份信息相同,如目标影子账号和目标系统账号对应的用户身份信息均为目标用户“张三”的身份信息。
需要说明的是,影子账号的创建是由企业员工(用户)申请后发起的,每个企业员工均可以申请本人系统账号对应的影子账号。企业员工在申请影子账号的过程中只需定义影子账号ID即可,可以降低影子账号的创建成本,进而可以提高影子账号的创建效率。如图7所示,当企业员工“张三”(目标用户)在办公系统中的目标系统账号ID为“zhangsan”,且目标用户“张三”所输入的目标影子账号ID为“zhangsan_123”时,上述目标影子账号对应的用户身份信息可以包括:目标影子账号的名称为“张三”;目标影子账号所属的组织为目标用户“张三”所属的组织,如目标用户“张三”在多个组织中兼岗,则目标影子账号也具有兼岗属性;目标影子账号的职位为目标用户“张三”在企业中的职位。
可选的,在目标影子账号创建成功后,当计算机设备检测到目标系统账号对应的用户身份信息更新为目标身份信息时,可以将目标影子账号对应的用户身份信息更新为目标身份信息;在目标用户对登录页面中的账号登录信息执行触发操作后,计算机设备可以响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在该办公系统中可以显示目标影子账号对应的目标身份信息。举例来说,假设在目标系统账号对应的用户身份信息中,该目标用户所属的职称为工程师;当该目标用户所属的职称由工程师更新为高级工程师时,可以对目标系统账号对应的用户身份信息进行更新,得到信息更新后的目标身份信息,此时目标影子账号对应的用户身份信息也可以更新为目标身份信息。
进一步地,在目标影子账号创建成功后,目标用户可以为该目标影子账号授予访问权限,该目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限;该目标影子账号可以挂靠在组织架构树中,也就是说对于创建的目标影子账号,可以在办公系统的账号通讯录中进行显示,且目标影子账号和目标系统账号可以挂靠在同一个组织中,此处的组织可以为企业、部门、工作组等。当目标用户对办公系统执行账号查看操作时,可以显示办公系统中的账号通讯录,并为该账号通讯录中所包含的影子账号添加标识信息,其中账号通讯录包括办公系统中所包含的M个用户分别对应的系统账号和影子账号,该账号通讯录中所包含的影子账号可以包括上述目标用户所对应的目标影子账号,上述标识信息可以用于区分账号通讯录中的影子账号和系统账号,M为正整数,该M可以取值为1,2,3……。
其中,上述账号通讯录可以包括组织架构树中所包含的所有影子账号和所有系统账号,账号通讯录的显示过程可以包括:当目标用户对办公系统执行账号查看操作时,计算机设备可以响应办公系统中的账号查看操作,获取办公系统中所包含的M个用户,以及M个用户分别对应的系统身份信息;根据系统身份信息对M个用户进行分组,得到N个用户组,获取M个用户分别对应的系统账号和影子账号;N为正整数,该N可以取值为1,2,3……;在办公系统的账号通讯录中,按照N个用户组,对M个用户分别对应的系统账号和影子账号进行分组展示,为账号通讯录中的影子账号添加标识信息。其中,上述系统身份信息可以包括用户在企业中的职称,该目标用户在企业中所属的组织等信息;可选的,系统身份信息还可以包括不同层级的身份信息,按照不同层级的身份信息,可以对M个用户所对应的影子账号和系统账号进行层级分组。例如,若用户1对应的系统身份信息包括:该用户1所属的部门为部门A、该用户1所属的工作组为工作组B,则可以将用户1划分到部门A对应的用户组,进而可以在部门A对应的用户组中,将用户1划分到工作组B对应的用户组,其中部门A对应的用户组包括工作组B对应的用户组。
请一并参见图8,图8是本申请实施例提供的一种账号通讯录的界面示意图。如图8所示的通讯录可以为企业(xxx有限公司)的办公系统中的账号通讯录,该通讯录可以为办公系统中的组织架构树,该通讯录可以包括一个或多个部门,一个部门可以包括一个或者多个用户。可选的,一个部门还可以包括一个或多个工作组,每个工作组以及每个部门均可以看成一个用户组。如图8所示,办公系统中的通讯录可以包括xxx有限公司中的所有成员(该xxx有限公司所包含的成员数量为M个),根据各个成员在xxx有限公司中的身份信息,在办公系统的组织架构树中确定各个成员所对应的组织,并得到该办公系统对应的通讯录。该通讯录可以包括总办、市场部、产品部、财务部以及运维部等部门,其中产品部可以包括产品组、研发组、测试组以及运维组等工作组,例如研发组可以包括系统账号“zhangsan(张三)”、影子账号“zhangsan_123(张三)”、系统账号“lisi(李四)”以及系统账号“wangwu(王五)”,对于通讯录中的影子账号,可以在通讯录中添加标识信息,如可以为影子账号“zhangsan_123”添加标识信息40a(以“影子账号”的形式进行展示,即标识其为“影子账号”)。可选的,在通讯录中还可以显示各个账号分别对应的用户身份信息,如系统账号“zhangsan(张三)”和影子账号“zhangsan_123(张三)”所对应的用户均为张三,系统账号“zhangsan(张三)”和影子账号“zhangsan_123(张三)”所对应的用户身份信息均为“研发组组长”,“lisi(李四)”所对应的用户为李四,其对应的用户身份信息为“高级工程师”,系统账号“wangwu(王五)”所对应的用户为王五,其对应的用户身份信息为“工程师”。通过对组织架构树中的影子账号进行标识,有利于区分账号通讯录中的系统账号和影子账号,将安全渗透、模拟黑客攻击等特殊场景与正常办公场景进行区分,避免在安全渗透、模拟黑客攻击等特殊场景中陷入安全事件。
需要说明的是,本申请所涉及的影子账号ID的格式可以固定为“员工系统账号_xxx”,且不可重复,即一个影子账号可以对应唯一的账号标识;对于同一个用户所对应的影子账号和系统账号,两者之间的除了账号标识之外的其余信息(例如,用户身份信息、账号密码信息等)都是相同的;其中,影子账号是一种新的账号类型,且与对应的员工系统账号具有映射关系,可以相互反查。影子账号创建后,可以将创建的影子账号添加至账号通讯录,也就是自动添加至组织架构树。其中,组织架构树可以是一个基础服务模块,企业对应的办公系统可以基于组织架构服务(包含组织架构树)获取影子账号、系统账号以及组织架构树中的信息,可以用于生成办公系统中的业务数据。影子账号添加至组织架构树后,办公系统可以自动同步影子账号,并在办公系统的账号通讯录中增加影子账号的相关信息。
请参见图9,图9是本申请实施例提供的一种影子账号的处理流程图。如图9所示,目标影子账号(目标用户对应的影子账号)在办公自动化系统(办公系统)中的登录过程涉及目标用户、办公自动化系统、办公自动化框架中的认证服务以及办公自动化框架中的组织架构服务之间的交互,此时目标用户所使用的用户终端,办公自动化系统、办公自动化框架中的认证服务以及办公自动化框架中的组织架构服务可以组成上述计算机设备。目标影子账号在办公自动化系统中的处理过程可以通过下述步骤S401-步骤S410来实现。
S401,获取所有员工信息。
S402,返回所有员工信息。
具体的,办公自动化系统(OA系统)可以从办公自动化框架中的组织架构服务(OF组织架构)中同步所有企业员工的账号和组织信息(包括影子账号、系统账号、用户身份信息等)。OA系统可以向OF组织架构发送员工信息获取请求,OF组织架构在接收到OA系统发送的员工信息获取请求后,可以将所有企业员工的账号和组织信息返回给OA系统,OA系统在接收到OF组织架构返回的账号和组织信息后,可以在本地对其进行缓存,供OA系统自身运营所需。需要说明的是,上述步骤S401-步骤S402可以通过异步完成,定时更新,如OA系统可以每隔一段时间段(如每5分钟,或者一个小时等)向OF组织架构请求同步账号和组织信息,账号和组织信息的同步过程是通过异步方式来完成的。
S403,员工访问办公自动化系统。
S404,请求办公自动化系统中的认证服务登录。
S405,统一登录页面。
S406,员工登录。
S407,验证账号登录结果。
S408,获取目标影子账号的更多信息。
S409,返回目标影子账号的更多信息。
S410,返回登录结果。
具体的,当企业员工(目标用户)想要访问OA系统时,可以启动并进入该OA系统;若OA系统检测到该企业员工还未登录,则可以向OF认证请求用户登录;OF认证接收到OA系统发送的登录请求后,可以将重定向目标用户所使用的用户终端跳转至统一登录页面(也可以称为统一办公自动化系统登录页面,或者称为办公系统所对应的登录页面),企业员工可以在该统一系统登录页面中进行登录。企业员工在统一登录页面中输入目标影子账号进行用户登录后,OF认证可以校验目标影子账号对应的登录结果,若该目标影子账号登录成功,则该OF认证可以向OF组织架构请求获取该目标影子账号的账号信息和组织架构信息(例如,目标影子账户对应的用户身份信息、账号密码信息等),并将该目标影子账号的账号信息和组织架构信息返回至OA系统。OA系统接收到该目标影子账号的账号信息和组织架构信息后,表明该目标影子账号登录成功。
可选的,在目标用户创建了目标影子账号后,可以在办公系统中使用创建的目标影子账号进行用户登录。当目标用户在办公系统的登录页面中,使用账号+密码登录方式进行用户登录时,该登录页面的信息输入区域可以包括账号区域和密码区域,该账号区域可以用于输入账号标识(可以为影子账号ID,也可以为系统账号ID),密码区域可以用于输入密码信息(同一个用户所对应的影子账号和系统账号可以共用密码信息)。当目标用户对登录页面中的账号区域和密码区域执行触发操作时,计算机设备可以响应针对账号区域的触发操作,在账号区域中显示目标用户对应的目标影子账号;响应针对密码区域的触发操作,在密码区域中显示目标系统账号对应的静态密码,以及目标用户对应的动态码,将目标影子账号、静态密码以及动态码确定为账号登录信息,其中静态密码为目标影子账号和目标系统账号所共用的密码。在账号+密码登录方式中,上述静态密码可以为个人识别密码(PIN),动态码可以为token,账号区域中可以输入目标影子账号的影子账号ID,密码区域中可以输入PIN码和token所组成的组合密码,影子账号ID和组合密码可以称为目标影子账号对应的账号登录信息。
请一并参见图10,图10是本申请实施例提供的一种采用账号密码登录方式对影子账号进行登录的界面示意图。如图10所示的当前显示界面为办公自动化系统(即上述办公系统)中的统一办公自动化系统登录页面(统一OA登录页面),在该统一OA登录页面中可以显示账号区域50a、密码区域50b以及登录控件50c。目标用户可以在账号区域50a中输入目标影子账户“zhangsan_123”,在密码区域50b中输入PIN码和token,其中PIN码可以是指目标用户(张三)为本人目标系统账号定义的PIN码,token可以是指企业分配给目标用户(张三)的token服务上产生的动态码。目标影子账户“zhangsan_123”在办公系统中没有单独的PIN码和token,因此直接使用目标用户(张三)的PIN码和token。换言之,目标用户(张三)的目标系统账号和目标影子账号共用PIN码和token。
进一步地,当目标用户对统一OA登录页面中的登录控件50c执行触发操作时,计算机设备可以响应针对登录控件50c的登录操作,对目标用户(张三)所输入的目标影子账号“zhangsan_123”、PIN码以及token进行验证,验证通过后,表示该目标影子账号“zhangsan_123”登录成功,在办公系统中以目标影子账号“zhangsan_123”的访问权限进行访问。
进一步地,当目标用户对登录页面中的账号登录信息执行登录操作时,计算机设备可以响应针对账号登录信息的登录操作,通过该目标影子账号,调用目标用户在办公系统中的目标系统账号;对目标系统账号、静态密码以及动态码进行验证,得到账号登录信息对应的第一验证结果;当第一验证结果为有效结果时,获取目标影子账号对应的用户身份信息,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息。当第一验证结果为有效结果时,表示目标影子账号登录成功,以目标影子账号的访问权限访问办公系统;当第一验证结果为无效结果时,表示目标影子账号登录失败,在登录页面中显示登录失败提示信息,该登录失败提示信息可以用于提示目标用户重新输入账号登录信息。
请一并参见图11,图11是本申请实施例提供的一种采用账号密码登录方式对影子账号进行登录的流程示意图。如图11所示,在使用账号+密码登录方式对目标影子账号进行用户登录的过程涉及目标用户、办公自动化框架中的认证服务(OA认证)以及token服务之间的交互,此时目标用户所使用的用户终端和办公自动化框架中的认证服务可以组成计算机设备。使用账号+密码登录方式对目标影子账号进行用户登录的过程可以通过下述步骤501-步骤S507来实现:
S501,使用目标影子账号+个人识别密码+动态码登录。
具体的,企业员工(目标用户)可以使用目标影子账号进行账号密码登录,在账号+密码登录方式中,目标用户可以直接在统一OA登录页面中直接输入目标影子账号对应的影子账号ID、PIN码以及token,此时的影子账号ID、PIN码以及token可以称为账号登录信息。当目标用户对账号登录信息进行登录(例如,对上述图10所对应实施例中的登录控件50c执行触发操作)后,可以向OF认证请求用户登录。
S502,判断账号类型,若是影子账号类型,则替换成对应的目标系统账号。
具体的,OF认证接收到请求后,可以对目标用户所输入的账号进行判断,以确定目标用户所输入账号的账号类型,若账号类型为影子账号,则可以通过目标用户所输入的影子账号ID调用该目标用户在OA系统中的目标系统账号,如将目标用户所输入的目标影子账号替换为目标系统账号;若账号类型为系统账号,则可以直接使用该系统账号自行后续操作。
S503,请求校验token验证结果,入参:目标系统账号、个人识别密码、动态码。
具体的,OF认证可以向token服务请求校验token的验证结果,如向token服务发送验证请求,该验证请求可以携带参数(包括目标系统账号、PIN码、token)。
S504,验证token结果。
具体的,token服务在接收到OF认证发送的验证请求后,无需理解影子账号和系统账号的概念,即不关注所输入账号的类型,通过对参数中所包含的目标系统账号、PIN码、token进行计算,若计算得到的结果与token服务记录的信息保持一致,则可以确定目标系统账号、PIN码、token验证成功;若计算得到的结果与token服务记录的信息不一致,则可以确定目标系统账号、PIN码、token验证失败;进而可以得到针对账号登录信息的验证结果(即上述第一验证结果)。
S505,返回token验证结果。
具体的,token服务可以将账号登录信息的验证结果返回至OF认证。
S506,将员工的目标系统账号替换成目标影子账号。
具体的,OF认证接收到token服务返回的验证结果后,若该验证结果为验证成功结果,则可以将目标系统账号替换为目标影子账号;若该验证结果为验证失败结果,则可以生成登录失败提示信息,表示目标用户所输入的账号登录信息出现错误。
S507,获取目标影子账号更多信息以及生成加密票据。
具体的,当验证结果为验证成功结果时,OF认证可以向OF组织架构请求获取目标影子账号的更多信息(例如,目标影子账户对应的用户身份信息),进而可以在OA系统中以目标影子账号的访问权限进行访问。其中,其具体实现过程可以参见上述图5所对应实施例中对步骤S206-步骤S212的描述。
可选的,当目标用户在办公系统的登录页面中,使用短信验证码登录方式进行用户登录时,该登录页面的信息输入区域可以包括账号区域、第一密码区域以及第二密码区域(此时的第一密码区域和第二密码区域可以统称为密码区域),该账号区域可以用于输入账号标识(可以为影子账号ID,也可以为系统账号ID),第一密码区域可以用于输入静态密码,第二密码区域可以用于输入短信验证码。当目标用户对登录页面中的账号区域、第一密码区域以及第二密码区域执行触发操作时,计算机设备可以响应针对账号区域的触发操作,在账号区域中显示目标用户对应的目标影子账号;响应针对第一密码区域的触发操作,在第二密码区域中显示目标系统账号对应的静态密码;响应针对验证码获取控件的触发操作,通过目标影子账号调用目标用户在办公系统中的目标系统账号;向验证码服务设备发送携带目标系统账号和静态密码的验证码获取请求,以使验证码服务检测到目标系统账号和静态密码通过校验时,为目标用户生成短信验证码;接收验证服务设备返回的短信验证码,在第二密码区域中显示短信验证码,将目标影子账号、静态密码以及短信验证码确定为账号登录信息。其中,在短信验证码登录方式中,上述静态密码可以为Outlook(办公软件套装的组件之一)密码(例如,目标用户本人的Outlook邮箱密码,由目标用户本人设置),账号区域中可以输入目标影子账号的影子账号ID,第一密码区域中可以输入Outlook密码,第二密码区域中可以输入通过触发验证码获取控件所获取到的短信验证码,验证码服务设备可以理解为短信验证码服务。
请一并参见图12,图12是本申请实施例提供的一种采用短信验证码登录方式对影子账号进行登录的界面示意图。如图12所示的当前显示界面为办公自动化系统(即上述办公系统)中的统一办公自动化系统登录页面(统一OA登录页面),在该统一OA登录页面中可以显示账号区域60a、第一密码区域60b、第二密码区域60c、验证码获取控件60d以及登录控件60e。当目标用户在账号区域60a中输入目标影子账户“zhangsan_123”,在第一密码区域60b中输入Outlook密码;当目标用户对验证码获取控件60d执行触发操作时,计算机设备可以响应针对验证码获取控件60d的触发操作,向短信验证码服务(验证码服务设备)发送验证码获取请求,以请求获取短信验证码;当短信验证码服务接收到验证码获取请求后,可以为目标用户(张三)生成短信验证码“113456”,并将短信验证码“113456”发送至目标用户(张三)的用户终端上,此时的目标用户(张三)可以在第二密码区域60c中输入短信验证码“113456”;其中Outlook密码可以是指目标用户(张三)本人设置的密码,目标影子账户“zhangsan_123”不能定义自己的Outlook密码,也不能自定义手机号,因此可以直接使用目标用户(张三)设置的Outlook密码,短信验证码服务所生成的短信验证码可以发送至目标用户(张三)的手机中,此时的手机即为目标用户(张三)所使用的用户终端。换言之,目标用户(张三)的目标系统账号和目标影子账号共用Outlook密码和手机号。
进一步地,当目标用户对统一OA登录页面中的登录控件60e执行触发操作时,计算机设备可以响应针对登录控件60e的登录操作,对目标用户(张三)所输入的目标影子账号“zhangsan_123”、Outlook密码以及短信验证码进行验证,验证通过后,表示该目标影子账号“zhangsan_123”登录成功,在办公系统中以目标影子账号“zhangsan_123”的访问权限进行访问。
进一步地,请一并参见图13,图13是本申请实施例提供的一种采用短信验证码登录方式对影子账号进行登录的流程示意图。如图13所示,在使用短信验证码登录方式对目标影子账号进行用户登录的过程涉及目标用户、办公自动化框架中的认证服务(OA认证)以及短信验证码服务之间的交互,此时目标用户所使用的用户终端和办公自动化框架中的认证服务可以组成计算机设备。使用短信验证码登录方式对目标影子账号进行用户登录的过程可以通过下述步骤S601-步骤S611来实现:
S601,使用目标影子账号+静态密码,并请求获取短信验证码。
具体的,企业员工(目标用户)可以使用目标影子账号进行短信验证码登录,在短信验证码登录方式中,目标用户可以直接在统一OA登录页面中直接输入目标影子账号对应的影子账号ID、静态密码,并通过触发验证码获取控件请求获取短信验证码。
S602,判断账号类型,若是影子账号类型,则替换成对应的目标系统账号。
其中,步骤S602的具体实现过程可以参见上述图11所对应实施例中的步骤S502。
S603,请求获取短信验证码,入参:目标系统账号、静态密码。
具体的,OF认证可以向短信验证码服务(即上述验证码服务设备)请求获取短信验证码,如向短信验证码服务发送验证码获取请求,该验证码获取请求可以携带参数(包括目标系统账号、静态密码,此时的静态密码可以为Outlook密码)。
S604,校验目标系统账号和静态密码,若校验通过则颁发短信验证码。
具体的,短信验证码服务接收到验证码获取请求后,无需理解影子账号和系统账号的概念,即不关注所输入账号的类型,通过对参数中所包含的目标系统账号和静态密码进行计算,校验目标系统账号与静态密码之间的匹配情况,若目标系统账号与静态密码之间匹配,则表示校验通过,可以为目标用户颁发短信验证码。
S605,发送短信验证码至员工手机。
具体的,短信验证码服务在为目标用户颁发短信验证码后,可以将该短信验证码发送至员工手机。换言之,可以将短信验证码发送至目标用户所使用的用户终端中。
S606,输入短信验证码。
具体的,目标用户所使用的用户终端接收到上述短信验证码后,可以对统一OA登录页面中的第二密码区域执行触发操作,继续在第二密码区域中输入接收到的短信验证码,并对统一OA登录页面中的登录控件执行触发操作,向OF认证发送登录请求。
S607,再次判断账号类型,若是影子账号类型,则替换成对应的目标系统账号。
具体的,OF认证接收到登录请求后,需要再次对目标用户所输入的账号进行判断,以确定目标用户所输入账号的账号类型,该判断过程可以参见上述图11所对应实施例中的步骤S502。
S608,请求校验短信验证码结果,入参:目标系统账号、静态密码、短信验证码。
具体的,OF认证可以向短信验证码服务请求校验短信验证码结果,如向短信验证码服务发送校验请求,该校验请求可以携带参数(包括目标系统账号、静态密码、短信验证码)。
S609,校验结果。
具体的,短信验证码服务接收到OF认证发送的校验请求后,可以将校验请求中所携带的短信验证码与本身所颁发的短信验证码进行比对,若校验请求中所携带的短信验证码与本身所颁发的短信验证码相同,则表示短信验证码的校验结果为:校验通过;若校验请求中所携带的短信验证码与本身所颁发的短信验证码不相同,则表示短信验证码的校验结果为:校验未通过。
S610,返回校验结果。
具体的,短信验证码服务可以将短信验证码的校验结果返回至OF认证。
S611,获取目标影子账号更多信息以及生成加密票据。
其中,步骤S611的具体实现过程可以参见上述图11所对应实施例中的步骤S507。
可选的,当目标用户在办公系统的登录页面中,使用短信验证码登录方式进行用户登录时,该登录页面的信息输入区域可以包括唯一标识码区域。当目标用户使用用户终端中的应用软件扫描上述唯一标识码区域时,计算机设备可以响应针对唯一标识码区域的扫描操作,在登录页面中显示与目标用户具有绑定关系的目标影子账号和目标系统账号;响应登录页面中的选取操作,将在登录页面中所选择的目标影子账号确定为账号登录信息。
请一并参见图14,图14是本申请实施例提供的一种采用扫码登录方式对影子账号进行登录的界面示意图。如图14所示的当前显示界面为办公自动化系统(即上述办公系统)中的统一办公自动化系统登录页面(统一OA登录页面),在该统一OA登录页面中可以显示二维码60a(即上述唯一标识码区域)、提示信息70b(该提示信息70b用于规定目标用户在扫描时所使用的应用软件,此处的目标用户可以为“张三”)以及登录控件70c。当目标用户启动用户终端70d(此时的用户终端70d可以为目标用户所使用的终端设备)中的xx应用,并使用xx应用对登录页面中的二维码60a进行扫描时,用户终端70d扫描成功后,可以在统一OA登录页面中显示目标用户(张三)对应的目标系统账号“zhangsan(张三)”和目标影子账号“zhangsan_123(张三)”;当目标用户(张三)选择目标影子账号“zhangsan_123(张三)”进行登录时,在OA系统中以目标影子账号“zhangsan_123”的访问权限进行访问;当目标用户(张三)选择目标系统账号“zhangsan(张三)”进行登录时,在OA系统中以目标系统账号“zhangsan(张三)”的访问权限进行访问。
请一并参见图15,图15是本申请实施例提供的一种采用扫码登录方式对影子账号进行登录的流程示意图。如图15所示,在使用扫码登录方式对目标影子账号进行用户登录的过程涉及目标用户、办公自动化框架中的认证服务(OA认证)以及应用软件之间的交互,此时目标用户所使用的用户终端和办公自动化框架中的认证服务可以组成计算机设备。使用扫码登录方式对目标影子账号进行用户登录的过程可以通过下述步骤S701-步骤S710来实现:
S701,进入统一登录页面或刷新二维码。
具体的,企业员工(目标用户)可以使用目标影子账号进行扫描登录,在使用应用软件进行扫描的登录方式中,可以进入统一OA登录页面或者刷新统一OA登录页面中的二维码。
S702,生成有效登录二维码。
具体的,在目标用户启动OA系统进入统一OA登录页面,或者对统一OA登录页面中的二维码进行刷新之后,可以在登录页面中显示用于登录OA系统的有效二维码。
S703,打开手机应用软件扫描。
具体的,目标用户所使用的用户终端可以为手机,该目标用户可以打开手机中的应用软件,使用该应用软件对统一OA登录页面中的二维码进行扫描。
S704,扫描即发送登录请求,入参:员工的目标系统账号。
具体的,当目标用户对统一OA登录页面中的二维码进行扫描时,此时的手机应用软件可以向OF认证发送登录请求,该登录请求可以携带参数(包括目标系统账号)。
S705,判断当前的目标系统账号是否有对应的目标影子账号,并检查请求是否有效。
具体的,OF认证在接收到手机应用软件发送的登录请求后,可以判断当前登录请求所携带的目标系统账号在OA系统中是否存在对应的目标影子账号,并检查该登录请求的有效性,如检查该登录请求是否处于有效期内。统一OA登录页面中所显示的二维码具有有效时间范围,如二维码的有效时间范围可以为1分钟,或者为2分钟,或者为5分钟。
S706,请求登录确认。
具体的,当目标系统账号在OA系统中存在目标影子账号,且检查到所接收的登录请求为有效请求时,OF认证可以向手机应用软件请求登录确认,即确认使用哪个账号进行登录;其中,OF认证向手机应用软件请求登录确认的同时,可以返回目标用户对应的目标系统账号和目标影子账号。
S707,请求用户确认登录的账号。
具体的,手机应用软件可以向目标用户请求目标用户确认登录的账号,当目标系统账号在OA系统中存在目标影子账号时,可以显示目标用户对应的目标影子账号和目标系统账号。
S708,选择目标影子账号。
具体的,目标用户可以从所显示的目标影子账号和目标系统账号中选择想要登录的账号,当目标用户选择目标影子账号进行用户登录时,手机应用软件可以获取目标用户所选择的目标影子账号。
S709,返回登录确认信息,入参:目标影子账号。
具体的,手机应用软件获取目标用户所选择的账号为目标影子账号时,可以向OF认证返回登录确认信息,该登录确认信息可以携带目标影子账号对应的账号ID。
S710,获取目标影子账号更多信息以及生成加密票据。
其中,步骤S710的具体实现过程可以参见上述图11所对应实施例中的步骤S507。
本申请实施例中,在使用目标影子账号登录办公系统时,需要在办公系统的登录页面中输入包含目标影子账号的账号登录信息,对该账号登录信息执行登录操作后,以目标影子账号的访问权限访问办公系统,并在办公系统中显示目标影子账号对应的用户身份信息;该目标影子账号与办公系统中的目标系统账号具有相同的用户身份信息,且该目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限,也就是说,目标影子账号在办公系统中的访问权限是可控制的,并通过上述账号登录信息在办公系统中进行登录,可以提高目标影子账号在办公系统中的访问安全性;目标影子账号在办公系统中的登录和访问过程,均可以记录在日志文件中,有利于对目标影子账号进行审计监管,进而可以加强对目标影子账号的管控能力;目标影子账号在创建后所授予的访问权限小于或等于目标系统账号,可以加强对目标影子账号的权限管理能力;增强了对影子账号的创建和登录使用过程的管理,可以避免影子账号沦为黑客攻击的工具;影子账号的申请过程中仅需输入影子账号的账号标识,可以提高影子账号的创建效率,并提高影子账号的适用范围。
请参见图16,图16是本申请实施例提供的一种账号登录装置的结构示意图。可以理解地,上述账号登录装置可以是应用于计算机设备中的一个计算机程序(包括程序代码),例如该账号登录装置可以为一个办公应用软件,该账号登录装置可以用于执行本申请实施例提供的方法中的相应步骤。如图16所示,该账号登录装置1可以包括:页面显示模块11,信息显示模块12,访问模块13;
页面显示模块11,用于显示办公系统中的登录页面,在登录页面中显示信息输入区域;
信息显示模块12,用于响应针对信息输入区域的触发操作,在登录页面中显示账号登录信息;账号登录信息包括与办公系统中的目标系统账号具有关联关系的目标影子账号,目标影子账号与目标系统账号具有相同的用户身份信息;
访问模块13,用于响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息;目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限。
其中,页面显示模块11,信息显示模块12,访问模块13的具体功能实现方式可以参见上述图3所对应实施例中的步骤S101-步骤S103,这里不再进行赘述。
在一些可行的实施方式中,信息输入区域包括账号区域和密码区域;
信息显示模块12可以包括:影子账号输入单元121,密码输入单元122;
影子账号输入单元121,用于响应针对账号区域的触发操作,在账号区域中显示目标用户对应的目标影子账号;
密码输入单元122,用于响应针对密码区域的触发操作,在密码区域中显示目标系统账号对应的静态密码,以及目标用户对应的动态码,将目标影子账号、静态密码以及动态码确定为账号登录信息;静态密码为目标影子账号和目标系统账号所共用的密码。
可选的,访问模块13包括:系统账号调用单元131,第一验证单元132,第一系统访问单元133;
系统账号调用单元131,用于响应针对账号登录信息的登录操作,通过目标影子账号,调用目标用户在办公系统中的目标系统账号;
第一验证单元132,用于对目标系统账号、静态密码以及动态码进行验证,得到账号登录信息对应的第一验证结果;
第一系统访问单元133,用于当第一验证结果为有效结果时,获取目标影子账号对应的用户身份信息,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息。
其中,影子账号输入单元121,密码输入单元122,系统账号调用单元131,第一验证单元132,第一系统访问单元133的具体功能实现方式可以参见上述图10和图11所对应的实施例,这里不再进行赘述。
在一些可行的实施方式中,密码区域包括第一密码区域和第二密码区域,第二密码区域包括验证码获取控件,动态码包括短信验证码;
密码输入单元122可以包括:静态密码输入子单元1221,验证码触发子单元1222,获取请求发送子单元1223,验证码接收子单元12224;
静态密码输入子单元1221,用于响应针对第一密码区域的触发操作,在第二密码区域中显示目标系统账号对应的静态密码;
验证码触发子单元1222,用于响应针对验证码获取控件的触发操作,通过目标影子账号调用目标用户在办公系统中的目标系统账号;
获取请求发送子单元1223,用于向验证码服务设备发送携带目标系统账号和静态密码的验证码获取请求,以使验证码服务检测到目标系统账号和静态密码通过校验时,为目标用户生成短信验证码;
验证码接收子单元12224,用于接收验证服务设备返回的短信验证码,在第二密码区域中显示短信验证码,将目标影子账号、静态密码以及短信验证码确定为账号登录信息。
其中,静态密码输入子单元1221,验证码触发子单元1222,获取请求发送子单元1223,验证码接收子单元12224的具体功能实现方式可以参见上述图12和图13所对应的实施例,这里不再进行赘述。
在一些可行的实施方式中,信息输入区域包括唯一标识码区域;
信息显示模块12可以包括:扫描单元123,账号选取单元124;
扫描单元123,用于响应针对唯一标识码区域的扫描操作,在登录页面中显示与目标用户具有绑定关系的目标影子账号和目标系统账号;
账号选取单元124,用于响应登录页面中的选取操作,将在登录页面中所选择的目标影子账号确定为账号登录信息。
其中,扫描单元123,账号选取单元124的具体功能实现方式可以参见上述图14和图15所对应的实施例,这里不再进行赘述。其中,当影子账号输入单元121,密码输入单元122在执行相应的操作时,扫描单元123,账号选取单元124均暂停执行操作;当扫描单元123,账号选取单元124在执行相应的操作时,影子账号输入单元121,密码输入单元122均暂停执行操作。
在一些可行的实施方式中,该账号登录装置还可以包括:影子账号申请模块14,输入内容显示模块15,影子账号创建模块16;
影子账号申请模块14,用于响应针对办公系统中的影子账号入口的触发操作,在办公系统对应的影子账号管理平台中,显示目标用户对应的账号输入区域;账号输入区域包括目标用户在办公系统中的目标系统账号;
输入内容显示模块15,用于响应针对账号输入区域的输入操作,在账号输入区域中显示输入操作所确定的输入内容;
影子账号创建模块16,用于响应影子账号管理平台中的账号申请操作,在办公系统中为目标用户创建由目标系统账号和输入内容所确定的目标影子账号。
其中,影子账号申请模块14,输入内容显示模块15,影子账号创建模块16的具体功能实现方式可以参见上述图6所对应实施例中的步骤S301-步骤S303,这里不再进行赘述。
在一些可行的实施方式中,影子账号创建模块16可以包括:影子账号确定单元161,账号关联单元162;
影子账号确定单元161,用于响应影子账号管理平台中的账号申请操作,将目标系统账号和输入内容确定为目标影子账号;
账号关联单元162,用于当办公系统的账号通讯录中不包含目标影子账号时,在办公系统中为目标用户创建目标影子账号,建立目标影子账号与目标系统账号之间的关联关系。
其中,影子账号确定单元161,账号关联单元162的具体功能实现方式可以参见上述图6所对应实施例中的步骤S303,这里不再进行赘述。
在一些可行的实施方式中,该账号登录装置1还可以包括:信息提示模块17,信息更新模块18;
信息提示模块17,用于当办公系统的账号通讯录中包含目标影子账号时,生成针对目标影子账号的已创建提示信息;已创建提示信息用于提示办公系统中已存在目标影子账号。
信息更新模块18,用于当检测到目标系统账号对应的用户身份信息更新为目标身份信息时,将目标影子账号对应的用户身份信息更新为目标身份信息;
则访问模块13具体用于:
响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在办公系统中显示目标身份信息。
其中,信息提示模块17,信息更新模块18的具体功能实现方式可以参见上述图6所对应实施例中的步骤S303,这里不再进行赘述。
在一些可行的实施方式中,该账号登录装置1还可以包括:账号查看模块19;
账号查看模块19,用于响应办公系统中的账号查看操作,显示办公系统中的账号通讯录,为账号通讯录中所包含的影子账号添加标识信息;账号通讯录包括办公系统中所包含的M个用户分别对应的系统账号和影子账号,账号通讯录中所包含的影子账号包括目标影子账号,标识信息用于区分账号通讯录中的影子账号和系统账号,M为正整数。
其中,账号查看模块19可以包括:用户获取单元191,用户分组单元192,账号分组展示单元193;
用户获取单元191,用于响应办公系统中的账号查看操作,获取办公系统中所包含的M个用户,以及M个用户分别对应的系统身份信息;
用户分组单元192,用于根据系统身份信息对M个用户进行分组,得到N个用户组,获取M个用户分别对应的系统账号和影子账号;N为正整数;
账号分组展示单元193,用于在办公系统的账号通讯录中,按照N个用户组,对M个用户分别对应的系统账号和影子账号进行分组展示,为账号通讯录中的影子账号添加标识信息。
其中,账号查看模块19,用户获取单元191,用户分组单元192,账号分组展示单元193的具体功能实现方式可以参见上述图6所对应实施例中的步骤S303,这里不再进行赘述。
在一些可行的实施方式中,该账号登录装置1可以包括:信息记录模块20,日志生成模块21;
信息记录模块20,用于当办公系统中所登录的账号为目标影子账号时,记录目标影子账号在办公系统中的访问信息和操作信息;
日志生成模块21,用于根据访问信息和操作信息,生成针对目标影子账号的日志文件,将日志文件存储至日志系统。
其中,信息记录模块20,日志生成模块21的具体功能实现方式可以参见上述图3所对应实施例中的步骤S103,这里不再进行赘述。
在一些可行的实施方式中,日志生成模块21可以包括:日志文件上传单元211,上链成功提示单元212;
日志文件上传单元211,用于根据访问信息和操作信息,生成针对目标影子账号的日志文件,将日志文件上传至区块链系统,以使区块链系统中的区块链节点将日志文件打包成交易区块,并对达成共识的交易区块进行记账处理;
上链成功提示单元212,用于接收区块链系统中的区块链节点返回的上链成功信息,根据上链成功信息,存储日志文件在区块链系统中的文件哈希;文件哈希用于指示日志文件在区块链系统中的存储位置。
其中,日志文件上传单元211,上链成功提示单元212的具体功能实现方式可以参见上述图3所对应实施例中的步骤S103,这里不再进行赘述。
本申请实施例中,在使用目标影子账号登录办公系统时,需要在办公系统的登录页面中输入包含目标影子账号的账号登录信息,对该账号登录信息执行登录操作后,以目标影子账号的访问权限访问办公系统,并在办公系统中显示目标影子账号对应的用户身份信息;该目标影子账号与办公系统中的目标系统账号具有相同的用户身份信息,且该目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限,也就是说,目标影子账号在办公系统中的访问权限是可控制的,并通过上述账号登录信息在办公系统中进行登录,可以提高目标影子账号在办公系统中的访问安全性;目标影子账号在办公系统中的登录和访问过程,均可以记录在日志文件中,有利于对目标影子账号进行审计监管,进而可以加强对目标影子账号的管控能力;目标影子账号在创建后所授予的访问权限小于或等于目标系统账号,可以加强对目标影子账号的权限管理能力;增强了对影子账号的创建和登录使用过程的管理,可以避免影子账号沦为黑客攻击的工具;影子账号的申请过程中仅需输入影子账号的账号标识,可以提高影子账号的创建效率,并提高影子账号的适用范围。
请参见图17,图17是本申请实施例提供的一种计算机设备的结构示意图。如图17所示,该计算机设备1000可以包括:处理器1001,网络接口1004和存储器1005,此外,上述计算机设备1000还可以包括:用户接口1003,和至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。可选的,网络接口1004可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器1005还可以是至少一个位于远离前述处理器1001的存储装置。如图17所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在如图17所示的计算机设备1000中,网络接口1004可提供网络通讯功能;而用户接口1003主要用于为用户提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
显示办公系统中的登录页面,在登录页面中显示信息输入区域;
响应针对信息输入区域的触发操作,在登录页面中显示账号登录信息;账号登录信息包括与办公系统中的目标系统账号具有关联关系的目标影子账号,目标影子账号与目标系统账号具有相同的用户身份信息;
响应针对账号登录信息的登录操作,以目标影子账号的访问权限访问办公系统,在办公系统中显示用户身份信息;目标影子账号在办公系统中的访问权限小于或等于目标系统账号在办公系统中的访问权限。
应当理解,本申请实施例中所描述的计算机设备1000可执行前文图3、图5-图6、图11、图13以及图15任一个所对应实施例中对账号登录方法的描述,也可执行前文图16所对应实施例中对账号登录装置1的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
此外,这里需要指出的是:本申请实施例还提供了一种计算机可读存储介质,且计算机可读存储介质中存储有前文提及的账号登录装置1所执行的计算机程序,且计算机程序包括程序指令,当处理器执行程序指令时,能够执行前文图3、图5-图6、图11、图13以及图15任一个所对应实施例中对账号登录方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。作为示例,程序指令可被部署在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行,分布在多个地点且通过通信网络互连的多个计算设备可以组成区块链系统。
此外,需要说明的是:本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或者计算机程序可以包括计算机指令,该计算机指令可以存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器可以执行该计算机指令,使得该计算机设备执行前文图3、图5-图6、图11、图13以及图15任一个所对应实施例中对账号登录方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节,请参照本申请方法实施例的描述。
需要说明的是,对于前述的各个方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某一些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
本申请实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本申请实施例装置中的模块可以根据实际需要进行合并、划分和删减。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储器(Read-Only Memory,ROM)或随机存储器(Random Access Memory,RAM)等。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。
Claims (15)
1.一种账号登录方法,其特征在于,包括:
显示办公系统中的登录页面,在所述登录页面中显示信息输入区域;
响应针对所述信息输入区域的触发操作,在所述登录页面中显示账号登录信息;所述账号登录信息包括与所述办公系统中的目标系统账号具有关联关系的目标影子账号,所述目标影子账号与所述目标系统账号具有相同的用户身份信息;
响应针对所述账号登录信息的登录操作,以所述目标影子账号的访问权限访问所述办公系统,在所述办公系统中显示所述用户身份信息;所述目标影子账号在所述办公系统中的访问权限小于或等于所述目标系统账号在所述办公系统中的访问权限。
2.根据权利要求1所述的方法,其特征在于,所述信息输入区域包括账号区域和密码区域;
所述响应针对所述信息输入区域的触发操作,在所述登录页面中显示账号登录信息,包括:
响应针对所述账号区域的触发操作,在所述账号区域中显示目标用户对应的目标影子账号;
响应针对所述密码区域的触发操作,在所述密码区域中显示所述目标系统账号对应的静态密码,以及所述目标用户对应的动态码,将所述目标影子账号、所述静态密码以及所述动态码确定为所述账号登录信息;所述静态密码为所述目标影子账号和所述目标系统账号所共用的密码。
3.根据权利要求2所述的方法,其特征在于,所述响应针对所述账号登录信息的登录操作,以所述目标影子账号的访问权限访问所述办公系统,在所述办公系统中显示所述用户身份信息,包括:
响应针对所述账号登录信息的登录操作,通过所述目标影子账号,调用所述目标用户在所述办公系统中的目标系统账号;
对所述目标系统账号、所述静态密码以及所述动态码进行验证,得到所述账号登录信息对应的第一验证结果;
当所述第一验证结果为有效结果时,获取所述目标影子账号对应的用户身份信息,以所述目标影子账号的访问权限访问所述办公系统,在所述办公系统中显示所述用户身份信息。
4.根据权利要求2所述的方法,其特征在于,所述密码区域包括第一密码区域和第二密码区域,所述第二密码区域包括验证码获取控件,所述动态码包括短信验证码;
所述响应针对所述密码区域的触发操作,在所述密码区域中显示所述目标系统账号对应的静态密码,以及所述目标用户对应的动态码,将所述目标影子账号、所述静态密码以及所述动态码确定为所述账号登录信息,包括:
响应针对所述第一密码区域的触发操作,在所述第二密码区域中显示所述目标系统账号对应的静态密码;
响应针对所述验证码获取控件的触发操作,通过所述目标影子账号调用所述目标用户在所述办公系统中的目标系统账号;
向验证码服务设备发送携带所述目标系统账号和所述静态密码的验证码获取请求,以使所述验证码服务检测到所述目标系统账号和所述静态密码通过校验时,为所述目标用户生成所述短信验证码;
接收所述验证服务设备返回的所述短信验证码,在所述第二密码区域中显示所述短信验证码,将所述目标影子账号、所述静态密码以及所述短信验证码确定为所述账号登录信息。
5.根据权利要求1所述的方法,其特征在于,所述信息输入区域包括唯一标识码区域;
所述响应针对所述信息输入区域的触发操作,在所述登录页面中显示账号登录信息,包括:
响应针对所述唯一标识码区域的扫描操作,在所述登录页面中显示与目标用户具有绑定关系的目标影子账号和目标系统账号;
响应所述登录页面中的选取操作,将在所述登录页面中所选择的目标影子账号确定为所述账号登录信息。
6.根据权利要求1所述的方法,其特征在于,还包括:
响应针对所述办公系统中的影子账号入口的触发操作,在所述办公系统对应的影子账号管理平台中,显示目标用户对应的账号输入区域;所述账号输入区域包括所述目标用户在所述办公系统中的目标系统账号;
响应针对所述账号输入区域的输入操作,在所述账号输入区域中显示所述输入操作所确定的输入内容;
响应所述影子账号管理平台中的账号申请操作,在所述办公系统中为所述目标用户创建由所述目标系统账号和所述输入内容所确定的目标影子账号。
7.根据权利要求6所述的方法,其特征在于,所述响应所述影子账号管理平台中的账号申请操作,在所述办公系统中为所述目标用户创建由所述目标系统账号和所述输入内容所确定的目标影子账号,包括:
响应所述影子账号管理平台中的账号申请操作,将所述目标系统账号和所述输入内容确定为目标影子账号;
当所述办公系统的账号通讯录中不包含所述目标影子账号时,在所述办公系统中为所述目标用户创建所述目标影子账号,建立所述目标影子账号与所述目标系统账号之间的关联关系。
8.根据权利要求7所述的方法,其特征在于,还包括:
当所述办公系统的账号通讯录中包含所述目标影子账号时,生成针对所述目标影子账号的已创建提示信息;所述已创建提示信息用于提示所述办公系统中已存在所述目标影子账号。
9.根据权利要求1所述的方法,其特征在于,还包括:
当检测到所述目标系统账号对应的用户身份信息更新为目标身份信息时,将所述目标影子账号对应的用户身份信息更新为所述目标身份信息;
则所述响应针对所述账号登录信息的登录操作,以所述目标影子账号的访问权限访问所述办公系统,在所述办公系统中显示所述用户身份信息,包括:
响应针对所述账号登录信息的登录操作,以所述目标影子账号的访问权限访问所述办公系统,在所述办公系统中显示所述目标身份信息。
10.根据权利要求1所述的方法,其特征在于,还包括:
响应所述办公系统中的账号查看操作,显示所述办公系统中的账号通讯录,为所述账号通讯录中所包含的影子账号添加标识信息;所述账号通讯录包括所述办公系统中所包含的M个用户分别对应的系统账号和影子账号,所述账号通讯录中所包含的影子账号包括所述目标影子账号,所述标识信息用于区分所述账号通讯录中的影子账号和系统账号,M为正整数。
11.根据权利要求10所述的方法,其特征在于,所述响应所述办公系统中的账号查看操作,显示所述办公系统中的账号通讯录,为所述账号通讯录中所包含的影子账号添加标识信息,包括:
响应所述办公系统中的账号查看操作,获取所述办公系统中所包含的M个用户,以及所述M个用户分别对应的系统身份信息;
根据所述系统身份信息对所述M个用户进行分组,得到N个用户组,获取所述M个用户分别对应的系统账号和影子账号;N为正整数;
在所述办公系统的账号通讯录中,按照所述N个用户组,对所述M个用户分别对应的系统账号和影子账号进行分组展示,为所述账号通讯录中的影子账号添加所述标识信息。
12.根据权利要求1所述的方法,其特征在于,还包括:
当所述办公系统中所登录的账号为所述目标影子账号时,记录所述目标影子账号在所述办公系统中的访问信息和操作信息;
根据所述访问信息和操作信息,生成针对所述目标影子账号的日志文件,将所述日志文件存储至日志系统。
13.一种账号登录装置,其特征在于,包括:
页面显示模块,用于显示办公系统中的登录页面,在所述登录页面中显示信息输入区域;
信息显示模块,用于响应针对所述信息输入区域的触发操作,在所述登录页面中显示账号登录信息;所述账号登录信息包括与所述办公系统中的目标系统账号具有关联关系的目标影子账号,所述目标影子账号与所述目标系统账号具有相同的用户身份信息;
访问模块,用于响应针对所述账号登录信息的登录操作,以所述目标影子账号的访问权限访问所述办公系统,在所述办公系统中显示所述用户身份信息;所述目标影子账号在所述办公系统中的访问权限小于或等于所述目标系统账号在所述办公系统中的访问权限。
14.一种计算机设备,其特征在于,包括存储器和处理器;
所述存储器与所述处理器相连,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,以使得所述计算机设备执行权利要求1-12任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序适于由处理器加载并执行,以使得具有所述处理器的计算机设备执行权利要求1-12任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110444027.XA CN115239261A (zh) | 2021-04-23 | 2021-04-23 | 账号登录方法、装置、设备以及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110444027.XA CN115239261A (zh) | 2021-04-23 | 2021-04-23 | 账号登录方法、装置、设备以及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115239261A true CN115239261A (zh) | 2022-10-25 |
Family
ID=83666100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110444027.XA Pending CN115239261A (zh) | 2021-04-23 | 2021-04-23 | 账号登录方法、装置、设备以及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115239261A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116070264A (zh) * | 2022-12-27 | 2023-05-05 | 中国联合网络通信集团有限公司 | 一种目的地访问方法、装置、服务器及存储介质 |
-
2021
- 2021-04-23 CN CN202110444027.XA patent/CN115239261A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116070264A (zh) * | 2022-12-27 | 2023-05-05 | 中国联合网络通信集团有限公司 | 一种目的地访问方法、装置、服务器及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111488598B (zh) | 访问控制方法、装置、计算机设备和存储介质 | |
CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
CN111600856B (zh) | 数据中心运维的安全系统 | |
CN106936817B (zh) | 操作执行方法、跳板机、集群认证服务器和堡垒机系统 | |
US20200119904A1 (en) | Tamper-proof privileged user access system logs | |
CN105103488B (zh) | 借助相关联的数据的策略施行 | |
CN110417918B (zh) | 一种档案信息的分布式存储方法、装置及电子设备和介质 | |
US8327421B2 (en) | System and method for identity consolidation | |
CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
CN113010911A (zh) | 一种数据访问控制方法、装置及计算机可读存储介质 | |
CN104320389B (zh) | 一种基于云计算的融合身份保护系统及方法 | |
CN101510888B (zh) | 一种SaaS应用下提高数据安全性的方法、装置及系统 | |
CN111371805A (zh) | 基于Token的统一身份认证接口及方法 | |
CN103095720B (zh) | 一种基于会话管理服务器的云存储系统的安全管理方法 | |
US10637805B2 (en) | Instant messaging method, server, and storage medium | |
CN109873805A (zh) | 基于云安全的云桌面登陆方法、装置、设备和存储介质 | |
US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
CN107872440B (zh) | 身份鉴权方法、装置和系统 | |
CN115118705B (zh) | 一种基于微服务的工业边缘管控平台 | |
US20230239294A1 (en) | Access processing method and device for remotely controlling terminal and storage medium | |
JP4860779B1 (ja) | データ分散保管システム | |
CN110474921A (zh) | 一种面向局域物联网的感知层数据保真方法 | |
CN112118238A (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
JPH11308272A (ja) | パケット通信制御システム及びパケット通信制御装置 | |
CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40075329 Country of ref document: HK |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |