CN115460010A - 访问请求的认证方法及装置、电子设备、存储介质 - Google Patents
访问请求的认证方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN115460010A CN115460010A CN202211131466.6A CN202211131466A CN115460010A CN 115460010 A CN115460010 A CN 115460010A CN 202211131466 A CN202211131466 A CN 202211131466A CN 115460010 A CN115460010 A CN 115460010A
- Authority
- CN
- China
- Prior art keywords
- authentication
- access request
- party
- subsystem
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问请求的认证方法及装置、电子设备、存储介质。其中,该方法包括:获取网页访问请求,其中,网页访问请求是第三方系统生成的,第三方系统通过代理地址嵌入至目标操作系统中;根据系统配置信息对网页访问请求进行认证,得到认证结果;在认证结果指示通过认证的情况下,返回与网页访问请求对应的请求数据集合;在认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。本发明解决了现有技术中Web业务系统不完备,在进行多系统认证时,无法实现外部第三方系统的认证,且不能保证目标系统安全性的技术问题。
Description
技术领域
本发明涉及互联网技术领域,具体而言,涉及一种访问请求的认证方法及装置、电子设备、存储介质。
背景技术
随着互联网技术的发展,越来越多的公司和企业投入到软件开发和Web开发中。一个完整的web系统,通常包含多个子业务系统或者外部第三方系统,多系统认证是集成系统中的一个难点,现有技术中通用的解决方式是通过单点登录或者通过用户服务系统认证,但是这样仅仅只能解决内部第三方系统集成,对于引入外部的第三方系统并不适用;另外,第三方系统的不确定性,也会导致目标系统出现安全性问题。
现有技术中,CN108040090A公开了一种多Web系统整合方法,通过单点登录整合多个Web系统,利用最少的人力解决了多系统整合的难题,但该方案存在如下缺点:第一,子系统需要和目标系统用户信息一致,且无法单独控制子系统权限;第二,暴露子系统真实IP地址,其他环境下直接访问子系统;第三,子系统只能是内部系统,对外部第三方系统无法控制。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种访问请求的认证方法及装置、电子设备、存储介质,以至少解决现有技术中Web业务系统不完备,在进行多系统认证时,无法实现外部第三方系统的认证,且不能保证目标系统安全性的技术问题。
根据本发明实施例的一个方面,提供了一种访问请求的认证方法,应用于目标操作系统的认证装置,所述目标操作系统内集成有多个业务子系统,包括:获取网页访问请求,其中,所述网页访问请求是第三方系统生成的,所述第三方系统通过代理地址嵌入至所述目标操作系统中;根据系统配置信息对所述网页访问请求进行认证,得到认证结果;在所述认证结果指示通过认证的情况下,返回与所述网页访问请求对应的请求数据集合;在所述认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。
可选地,所述第三方系统的类型至少包括:有源代码的内部业务子系统,其中,在所述第三方系统的类型为所述有源代码的内部业务子系统的情况下,确定能够访问所述内部业务子系统的代理地址;配置使用所述内部业务子系统的用户信息、权限映射关系、可访问网络协议,得到所述系统配置信息。
可选地,在得到所述系统配置信息之后,还包括:所述内部业务子系统接收所述目标操作系统的系统访问请求,其中,所述系统访问请求中至少携带有:当前用户的用户信息;所述内部业务子系统解析所述系统访问请求,得到所述用户信息;基于所述用户信息,渲染所述内部业务子系统的系统功能页面。
可选地,所述第三方系统的类型还包括:无源代码的外部第三方子系统,其中,在所述外部第三方子系统的类型为所述无源代码的外部第三方子系统的情况下,配置能够访问所述外部第三方子系统的代理地址;配置能够访问所述外部第三方子系统的网络请求权限,得到所述系统配置信息。
可选地,获取网页访问请求的步骤,包括:采用虚拟拦截器对所述第三方系统发起的请求进行拦截,得到所述网页访问请求。
可选地,在获取网页访问请求之后,还包括:判断当前用户的登录令牌的使用时长是否已经超时;若所述登录令牌的登录时长超时,确认请求失败,并且跳转到登录页面;若所述登录令牌的登录时长未超时,执行请求认证操作。
可选地,所述第三方系统包括下述至少之一:天气预报系统、信息查询系统、图书管理系统、运动系统。
根据本发明实施例的另一方面,还提供了一种访问请求的认证装置,应用于目标操作系统的认证装置,所述目标操作系统内集成有多个业务子系统,包括:获取单元,用于获取网页访问请求,其中,所述网页访问请求是第三方系统生成的,所述第三方系统通过代理地址嵌入至所述目标操作系统中;认证单元,用于根据系统配置信息对所述网页访问请求进行认证,得到认证结果;返回单元,用于在所述认证结果指示通过认证的情况下,返回与所述网页访问请求对应的请求数据集合;确认单元,用于在所述认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。
可选地,所述第三方系统的类型至少包括:有源代码的内部业务子系统,所述获取单元包括:第一确定模块,用于在所述第三方系统的类型为所述有源代码的内部业务子系统的情况下,确定能够访问所述内部业务子系统的代理地址;第一配置模块,用于配置使用所述内部业务子系统的用户信息、权限映射关系、可访问网络协议,得到所述系统配置信息。
可选地,所述第一配置模块包括:第一接收子模块,用于所述内部业务子系统接收所述目标操作系统的系统访问请求,其中,所述系统访问请求中至少携带有:当前用户的用户信息;第一解析子模块,用于所述内部业务子系统解析所述系统访问请求,得到所述用户信息;第一渲染子模块,用于基于所述用户信息,渲染所述内部业务子系统的系统功能页面。
可选地,所述第三方系统的类型还包括:无源代码的外部第三方子系统,所述获取单元还包括:第二配置模块,用于在所述外部第三方子系统的类型为所述无源代码的外部第三方子系统的情况下,配置能够访问所述外部第三方子系统的代理地址;第三配置模块,用于配置能够访问所述外部第三方子系统的网络请求权限,得到所述系统配置信息。
可选地,所述获取单元还包括:第一拦截模块,用于采用虚拟拦截器对所述第三方系统发起的请求进行拦截,得到所述网页访问请求。
可选地,所述访问请求的认证装置还包括:判断模块,用于判断当前用户的登录令牌的使用时长是否已经超时;第一确认模块,若所述登录令牌的登录时长超时,确认请求失败,并且跳转到登录页面;执行模块,若所述登录令牌的登录时长未超时,执行请求认证操作。
可选地,所述第三方系统包括下述至少之一:天气预报系统、信息查询系统、图书管理系统、运动系统。
根据本发明实施例的另一方面,还提供了一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的访问请求的认证方法。
根据本发明实施例的另一个方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任意一项所述的访问请求的认证方法。
本申请中,采用以下步骤,获取网页访问请求,其中,网页访问请求是第三方系统生成的,第三方系统通过代理地址嵌入至目标操作系统中;根据系统配置信息对网页访问请求进行认证,得到认证结果;在认证结果指示通过认证的情况下,返回与网页访问请求对应的请求数据集合;在认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。本申请中,通过代理地址配置第三方系统的信息,精准控制第三方系统权限,保证第三方系统的真实地址不被泄露,并且认证规则可配置,根据系统配置信息实现对网页访问请求的认证,灵活运用于各种第三方系统,控制第三方系统的请求,从而保证目标系统的安全,进而解决了现有技术中Web业务系统不完备,在进行多系统认证时,无法实现外部第三方系统的认证,且不能保证目标系统安全性的技术问题。
在本申请中,通过统一的认证方案,除控制内部各个业务子系统的认证之外,还可以实现对外部第三方系统的权限校验,使得多个系统,包括外部无源代码的第三方系统能够相互访问无需重复登录,通过目标系统拦截第三方系统请求的方式,保证整个系统(集成系统和子系统)的用户访问有效性一致,并且会限制第三方系统的网络请求,从而保证目标系统的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例提出的一种访问请求的认证方法的示意图;
图2是根据本发明实施例提出的一种可选的访问请求的认证方法的流程图;
图3是根据本发明实施例提出的一种可选的访问请求的认证系统的架构图;
图4是根据本发明实施例提出的一种可选的访问请求的认证装置的示意图;
图5是根据本发明实施例的一种访问请求的认证方法的电子设备(或移动设备)的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于本领域技术人员理解本发明,下面对本发明各实施例中涉及的部分术语或者名词做出解释:
Web系统:World Wide Web的缩写,全球广域网,是建立在Internet上的一种网络服务,基于超文本和HTTP协议,为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面。
代理地址,是上网过程中的一个中间平台,用户终端先访问代理地址,然后代理地址访问网络页面,该页面的访问记录里留下的是代理地址,而不是用户的本地IP地址。
令牌,判断用户的登录状态的一个值/虚拟模块,用户登录成功之后,在后端(服务器端)会根据用户信息生成一个唯一的值,这个值就是登录令牌。通过令牌实现访问网络的原则是“只有拿到令牌、才能发送”,通过在网络中传送唯一的令牌,做到有序、无竞争的网络访问。
源代码,未编译的按照一定的程序设计语言规范书写的文本文件,将可读的文本翻译成为计算机可以执行的二进制指令。
统一资源定位系统,Uniform Resource Locator,简称URL,是因特网的万维网服务程序上用于指定信息位置的表示方法。
传输控制协议,Transmission Control Protocol,简称TCP协议,是一种面向连接的、可靠的、基于字节流的传输层通信协议。
超文本传输协议,Hyper Text Transfer Protocol,简称HTTP协议,是一种简单的请求响应协议,属于文本格式的协议。
网际互连协议,Internet Protocol,简称IP协议,是TCP/IP体系中的网络层协议,可提高网络的可扩展性,为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务。
用户数据报协议,User Datagram Protocol,简称UDP协议,UDP协议为应用程序提供一种无需建立连接就可以发送封装IP数据包的方法。
本发明可应用于各种访问请求的认证系统/产品/设备中,通过代理地址配置第三方系统的信息,精准控制第三方系统权限,保证第三方系统的真实地址不被泄露,并且认证规则可配置,灵活运用于各种第三方系统,控制第三方系统的请求,从而保证目标系统的安全。
下面结合各个实施例对本发明进行详细说明。
实施例一
根据本发明实施例,提供了一种访问请求的认证方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例提出的一种访问请求的认证方法的示意图,如图1所示,该方法包括如下步骤:
步骤S102,获取网页访问请求,其中,网页访问请求是第三方系统生成的,第三方系统通过代理地址嵌入至目标操作系统中;
步骤S104,根据系统配置信息对网页访问请求进行认证,得到认证结果;
步骤S106,在认证结果指示通过认证的情况下,返回与网页访问请求对应的请求数据集合;
步骤S108,在认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。
通过上述步骤,获取网页访问请求,其中,网页访问请求是第三方系统生成的,第三方系统通过代理地址嵌入至目标操作系统中;根据系统配置信息对网页访问请求进行认证,得到认证结果;在认证结果指示通过认证的情况下,返回与网页访问请求对应的请求数据集合;在认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。在该实施例中,通过代理地址配置第三方系统的信息,精准控制第三方系统权限,保证第三方系统的真实地址不被泄露,并且认证规则可配置,灵活运用于各种第三方系统,控制第三方系统的请求,从而保证目标系统的安全。进而解决了现有技术中Web业务系统不完备,在进行多系统认证时,无法实现外部第三方系统的认证,且不能保证目标系统安全性的技术问题。
下面结合上述各实施步骤来详细说明。
步骤S102,获取网页访问请求,其中,网页访问请求是第三方系统生成的,第三方系统通过代理地址嵌入至目标操作系统中。
需要说明的是,上述网页访问请求可以是通过用户终端/用户web/企业终端等的第三方系统生成的,该网页访问请求的数量可以为一个或多个,对于请求类型(如HTTP请求)不做限定,目标系统可以布置在用户终端/用户web/企业终端中,在接收到网页访问请求后对用户进行认证。
本实施例中涉及的访问请求的认证,为了解决现有技术中无法集成外部第三方系统且不能保证目标系统的安全性等问题,通过代理地址配置第三方系统的信息,精准控制第三方系统权限,保证第三方系统的真实地址不被泄露,并且认证规则可配置,灵活运用于各种第三方系统,控制第三方系统的请求,从而保证目标系统的安全。
本实施例中涉及的访问请求的认证,通过统一的认证方案,除控制内部子系统的认证之外,还可以实现对外部第三方系统的权限校验,使得多个业务子系统,包括外部无源代码的第三方子系统能够相互访问无需重复登录,通过目标系统拦截第三方系统请求的方式,保证整个系统(集成系统和子系统)的用户访问有效性一致,并且会限制第三方系统的网络请求,实现目标系统对第三方系统的访问。
其中,目标系统集成的第三方系统有两种,一种是有源代码的内部业务子系统,另一种是无源代码的外部第三方子系统。下面分别对这两种第三方系统进行说明。
本发明实施例中,第三方系统的类型至少包括:有源代码的内部业务子系统,其中,在第三方系统的类型为有源代码的内部业务子系统的情况下,确定能够访问内部业务子系统的代理地址;配置使用内部业务子系统的用户信息、权限映射关系、可访问网络协议,得到系统配置信息。
其中,用户信息包括但不限于:用户名称、用户IP地址、用户登入设备、用户登入时间;而权限映射关系即为目标系统与各个业务子系统之间的对应关系;可访问网络协议包括但不限于:http协议、IP协议、TCP协议、UDP协议,本实施例以http协议进行示意说明。
本发明实施例中,在得到系统配置信息之后,还包括:内部业务子系统接收目标操作系统的系统访问请求,其中,系统访问请求中至少携带有:当前用户的用户信息;内部业务子系统解析系统访问请求,得到用户信息;基于用户信息,渲染内部业务子系统的系统功能页面。
针对内部业务子系统,需要配置业务子系统访问地址(代理地址)、用户信息、权限映射(目标系统-子系统)关系、可访问网络协议等信息,在目标系统访问业务子系统时,将配置信息传入到业务子系统中,并且渲染页面。
本发明实施例中,第三方系统的类型还包括:无源代码的外部第三方子系统,其中,在外部第三方子系统的类型为无源代码的外部第三方子系统的情况下,配置能够访问外部第三方子系统的代理地址;配置能够访问外部第三方子系统的网络请求权限,得到系统配置信息。
本实施例对于外部第三方子系统,需要配置访问地址及网络请求权限,然后就可以正常的访问第三方子系统了。
上述的外部第三方子系统,通过代理地址嵌入至目标系统中,这样在该第三方子系统需要发送请求或者其他子系统向该外部第三方子系统发送请求时,都需要通过目标系统进行用户令牌验证和配置信息的认证,只有在通过认证的情况下,目标系统才会转发该请求。
本发明实施例中,除控制内部业务子系统的认证之外,还可以实现对外部第三方子系统的权限校验,并且认证规则可配置,灵活运用于各种第三方系统。
本发明实施例中,采用虚拟拦截器对第三方系统发起的请求进行拦截,得到网页访问请求。
本发明实施例中,在获取网页访问请求之后,还包括:判断当前用户的登录令牌的使用时长是否已经超时;若登录令牌的登录时长超时,确认请求失败,并且跳转到登录页面;若登录令牌的登录时长未超时,执行请求认证操作。
需要说明的是,若登录令牌的登录时长超时,除了确认请求失败,还可以返回请求失败信息,不转发第三方系统发起的网页访问请求,然后直接跳转到登陆页面,让用户重新进行登陆认证。
步骤S104,根据系统配置信息对网页访问请求进行认证,得到认证结果。
步骤S106,在认证结果指示通过认证的情况下,返回与网页访问请求对应的请求数据集合。
本实施例中,可以根据网页访问请求的具体请求数据、数据类型和操作指令内容,调用数据库或者加载相应的系统,得到请求数据、数据类型或者操作结果,得到请求数据集合。
步骤S108,在认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。
需要说明的是,在认证结果指示未通过认证的情况下,除了确认认证失败,还可以确认请求不转发操作,同时不更新登陆令牌的超时时间。
本发明实施例中,对于具体的第三方系统所包含的系统类型不进行限定,其中,第三方系统包括下述至少之一:天气预报系统、信息查询系统、图书管理系统、运动系统,各系统可以理解为上述的外部第三方子系统。
上述第三方系统包括但不限于:天气预报系统,信息查询系统、图书管理系统、运动系统。例如,当一个系统中需要集成天气预报的第三方系统时,直接将此系统嵌入到目标系统中,无法控制天气预报系统的行为,存在安全隐患。这时就需要上述访问请求认证方法,配置天气预报系统的代理地址,配置可访问请求,然后通过代理地址访问此系统,目标系统可以访问天气预报系统并拦截天气预报系统中的所有请求,并且只会转发合法的请求,一定程度上保证了目标系统的安全。
图2是根据本发明实施例提出的一种可选的访问请求的认证方法的流程图,如图2所示,第三方系统嵌入到目标系统后,操作权限由目标系统统一管理,第三方系统的认证流程如下:
第一步:开始;
第二步:目标系统使用代理地址访问第三方系统;
第三步:判断第三方系统是否拥有源代码;若有源代码,执行第四步,若无源代码,执行第五步;
第四步:对于有源代码的第三方系统(对应于上述有源代码内部子系统),第三方系统解析用户信息,渲染页面;
第五步:对于无源代码的第三方系统(对应于上述无源代码外部第三方系统),渲染第三方系统;
第六步:第三方系统发起http请求;
第七步:目标系统拦截当前http请求;
第九步:登录令牌是否超时;若是,则执行第十步,若否,执行第十一步;
第十步:不转发当前请求,并跳转到登录页面,执行第十五步;
第十一步:目标系统根据第三方系统的配置进行认证;
第十二步:判断认证是否通过;若是,则执行第十三步,若否,执行第十四步;
第十三步:目标系统转发请求,并且更新登录令牌的超时时间,然后执行第十五步;
第十四步:转发请求,不更新登录令牌的超时时间,然后执行第十五步;
第十五步:结束。
本发明实施例中,通过目标系统使用代理地址访问第三方系统,第三方系统发起http请求,目标系统拦截当前http请求,判断当前用户登录是否已经超时,用户登录时间超时,不转发请求,并且跳转到登录页面,用户在登录时间有效期内,认证模块对当前请求进行认证处理,认证不通过,不转发请求,不更新用户的超时时间,认证通过,转发请求,并且更新用户的超时时间的一系列步骤,使得用户操作权限由目标系统统一管理,实现目标系统与第三方系统用户权限的一致性和操作权限可配置性,且保证子系统的用户超时时间和目标系统一致,不会出现子系统可以访问,目标系统不能访问的情况。
图3是根据本发明实施例提出的一种可选的访问请求的认证系统的架构图,如图3所示,第三方系统通过代理地址嵌入到目标系统中,目标系统与第三方系统通过认证鉴权装置建立联系,实现对第三方系统的访问。访问流程如下:
首先目标系统管理员配置第三方系统信息,包括访问地址,用户权限映射关系,网络协议等,并通过这些配置生成一个第三方系统的代理地址;
用户登录后,使用代理地址访问第三方系统;
内部第三方系统解析URL获取到当前用户信息,并且渲染页面(如果是外部第三方系统,则直接渲染页面);
第三方系统发起http请求;
目标系统拦截第三方系统的http请求;
目标系统根据第一步的配置信息,判断当前用户请求是否合法,请求合法,返回实际结果,由认证鉴权装置返回代理后的第三方系统地址以实现目标系统对第三方系统的访问,请求不合法,提示错误信息。
上述实施方式,通过代理地址配置第三方系统的信息,精准控制第三方系统权限,保证第三方系统的真实地址不被泄露,并且认证规则可配置,灵活运用于各种第三方系统,控制第三方系统的请求,从而保证目标系统的安全,进而解决了现有技术中Web业务系统不完备,在进行多系统认证时,无法实现外部第三方系统的认证,且不能保证目标系统安全性的技术问题。
下面结合另一种可选的实施例来说明本发明。
实施例二
本实施例提供了一种访问请求的认证装置,该访问请求的认证装置所包含的各个实施单元对应于实施例一中的各个实施步骤。
图4是根据本发明实施例的一种可选的访问请求的认证装置的示意图,如图4所示,包括:获取单元40、认证单元42、返回单元44、确定单元46,其中,
获取单元40,用于获取网页访问请求,其中,网页访问请求是第三方系统生成的,第三方系统通过代理地址嵌入至目标操作系统中。
需要说明的是,上述网页访问请求可以是通过用户终端/用户web/企业终端等的第三方系统生成的,该网页访问请求的数量可以为一个或多个,对于请求类型(如HTTP请求)不做限定,目标系统可以布置在用户终端/用户web/企业终端中,在接收到网页访问请求后对用户进行认证。
本实施例中涉及的访问请求的认证,为了解决现有技术中无法集成外部第三方系统且不能保证目标系统的安全性等问题,通过代理地址配置第三方系统的信息,精准控制第三方系统权限,保证第三方系统的真实地址不被泄露,并且认证规则可配置,灵活运用于各种第三方系统,控制第三方系统的请求,从而保证目标系统的安全。
本实施例中涉及的访问请求的认证,通过统一的认证方案,除控制内部子系统的认证之外,还可以实现对外部第三方系统的权限校验,使得多个业务子系统,包括外部无源代码的第三方子系统能够相互访问无需重复登录,通过目标系统拦截第三方系统请求的方式,保证整个系统(集成系统和子系统)的用户访问有效性一致,并且会限制第三方系统的网络请求,实现目标系统对第三方系统的访问。
其中,目标系统集成的第三方系统有两种,一种是有源代码的内部业务子系统,另一种是无源代码的外部第三方子系统。
认证单元42,用于根据系统配置信息对网页访问请求进行认证,得到认证结果。
其中,系统配置信息是根据使用内部业务子系统的用户信息、权限映射关系、可访问网络协议等生成的,用户信息包括但不限于:用户名称、用户IP地址、用户登入设备、用户登入时间。权限映射关系即为目标系统与子系统间的关系。
返回单元44,用于在认证结果指示通过认证的情况下,返回与网页访问请求对应的请求数据集合。
本实施例中,可以根据网页访问请求的具体请求数据、数据类型和操作指令内容,调用数据库或者加载相应的系统,得到请求数据、数据类型或者操作结果,得到请求数据集合。
确定单元46,用于在认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。
需要说明的是,在认证结果指示未通过认证的情况下,除了确认认证失败,还可以确认请求不转发操作,同时不更新登陆令牌的超时时间。
上述访问请求的认证装置,可以通过获取单元40,获取网页访问请求,其中,网页访问请求是第三方系统生成的,第三方系统通过代理地址嵌入至目标操作系统中;通过认证单元42根据系统配置信息对网页访问请求进行认证,得到认证结果;然后通过返回单元44在认证结果指示通过认证的情况下,返回与网页访问请求对应的请求数据集合;通过确定单元46在认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。在本实施例中,通过代理地址配置第三方系统的信息,精准控制第三方系统权限,保证第三方系统的真实地址不被泄露,并且认证规则可配置,灵活运用于各种第三方系统,控制第三方系统的请求,从而保证目标系统的安全。进而解决了现有技术中Web业务系统不完备,在进行多系统认证时,无法实现外部第三方系统的认证,且不能保证目标系统安全性的技术问题。
可选地,第三方系统的类型至少包括:有源代码的内部业务子系统,获取单元包括:第一确定模块,用于在第三方系统的类型为有源代码的内部业务子系统的情况下,确定能够访问内部业务子系统的代理地址;第一配置模块,用于配置使用内部业务子系统的用户信息、权限映射关系、可访问网络协议,得到系统配置信息。
其中,用户信息包括但不限于:用户名称、用户IP地址、用户登入设备、用户登入时间;而权限映射关系即为目标系统与各个业务子系统之间的对应关系;可访问网络协议包括但不限于:http协议、IP协议、TCP协议、UDP协议,本实施例以http协议进行示意说明。
可选地,第一配置模块包括:第一接收子模块,用于内部业务子系统接收目标操作系统的系统访问请求,其中,系统访问请求中至少携带有:当前用户的用户信息;第一解析子模块,用于内部业务子系统解析系统访问请求,得到用户信息;第一渲染子模块,用于基于用户信息,渲染内部业务子系统的系统功能页面。
针对内部业务子系统,需要配置业务子系统访问地址(代理地址)、用户信息、权限映射(目标系统-子系统)关系、可访问网络协议等信息,在目标系统访问业务子系统时,将配置信息传入到业务子系统中,并且渲染页面。
可选地,第三方系统的类型还包括:无源代码的外部第三方子系统,获取单元还包括:第二配置模块,用于在外部第三方子系统的类型为无源代码的外部第三方子系统的情况下,配置能够访问外部第三方子系统的代理地址;第三配置模块,用于配置能够访问外部第三方子系统的网络请求权限,得到系统配置信息。
本实施例对于外部第三方子系统,需要配置访问地址及网络请求权限,然后就可以正常的访问第三方子系统了。
上述的外部第三方子系统,通过代理地址嵌入至目标系统中,这样在该第三方子系统需要发送请求或者其他子系统向该外部第三方子系统发送请求时,都需要通过目标系统进行用户令牌验证和配置信息的认证,只有在通过认证的情况下,目标系统才会转发该请求。
本发明实施例中,除控制内部业务子系统的认证之外,还可以实现对外部第三方子系统的权限校验,并且认证规则可配置,灵活运用于各种第三方系统。
可选地,获取单元还包括:第一拦截模块,用于采用虚拟拦截器对第三方系统发起的请求进行拦截,得到网页访问请求。
可选地,访问请求的认证装置还包括:判断模块,用于判断当前用户的登录令牌的使用时长是否已经超时;第一确认模块,若登录令牌的登录时长超时,确认请求失败,并且跳转到登录页面;执行模块,若登录令牌的登录时长未超时,执行请求认证操作。
需要说明的是,若登录令牌的登录时长超时,除了确认请求失败,还可以返回请求失败信息,不转发第三方系统发起的网页访问请求,然后直接跳转到登陆页面,让用户重新进行登陆认证。
可选地,第三方系统包括下述至少之一:天气预报系统、信息查询系统、图书管理系统、运动系统。
本发明实施例中,对于具体的第三方系统所包含的系统类型不进行限定,其中,第三方系统包括下述至少之一:天气预报系统、信息查询系统、图书管理系统、运动系统,各系统可以理解为上述的外部第三方子系统。
上述第三方系统包括但不限于:天气预报系统,信息查询系统、图书管理系统、运动系统。例如当一个系统中需要集成天气预报的第三方系统时,直接将此系统嵌入到目标系统中,无法控制天气预报系统的行为,存在安全隐患。这时就需要上述访问请求认证方法,配置天气预报系统的代理地址,配置可访问请求,然后通过代理地址访问此系统,目标系统可以访问天气预报系统并拦截天气预报系统中的所有请求,并且只会转发合法的请求,一定程度上保证了目标系统的安全。
上述的访问请求的认证装置还可以包括处理器和存储器,上述获取单元40、认证单元42、返回单元44、确定单元46等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
上述处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过代理地址配置第三方系统的信息,精准控制第三方系统权限,保证第三方系统的真实地址不被泄露,并且认证规则可配置,灵活运用于各种第三方系统,控制第三方系统的请求,实现目标系统对第三方系统的访问。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
根据本发明实施例的另一方面,还提供了一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述任意一项的访问请求的认证方法。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的访问请求的认证方法。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取网页访问请求,其中,网页访问请求是第三方系统生成的,第三方系统通过代理地址嵌入至目标操作系统中;根据系统配置信息对网页访问请求进行认证,得到认证结果;在认证结果指示通过认证的情况下,返回与网页访问请求对应的请求数据集合;在认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。
图5是根据本发明实施例的一种访问请求的认证方法的电子设备(或移动设备)的硬件结构框图。如图5所示,电子设备可以包括一个或多个(图中采用502a、502b,……,502n来示出)处理器502(处理器502可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器504。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、键盘、电源和/或相机。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种访问请求的认证方法,其特征在于,应用于目标操作系统的认证装置,所述目标操作系统内集成有多个业务子系统,包括:
获取网页访问请求,其中,所述网页访问请求是第三方系统生成的,所述第三方系统通过代理地址嵌入至所述目标操作系统中;
根据系统配置信息对所述网页访问请求进行认证,得到认证结果;
在所述认证结果指示通过认证的情况下,返回与所述网页访问请求对应的请求数据集合;
在所述认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。
2.根据权利要求1所述的认证方法,其特征在于,所述第三方系统的类型至少包括:有源代码的内部业务子系统,其中,
在所述第三方系统的类型为所述有源代码的内部业务子系统的情况下,确定能够访问所述内部业务子系统的代理地址;
配置使用所述内部业务子系统的用户信息、权限映射关系、可访问网络协议,得到所述系统配置信息。
3.根据权利要求2所述的认证方法,其特征在于,在得到所述系统配置信息之后,还包括:
所述内部业务子系统接收所述目标操作系统的系统访问请求,其中,所述系统访问请求中至少携带有:当前用户的用户信息;
所述内部业务子系统解析所述系统访问请求,得到所述用户信息;
基于所述用户信息,渲染所述内部业务子系统的系统功能页面。
4.根据权利要求2所述的认证方法,其特征在于,所述第三方系统的类型还包括:无源代码的外部第三方子系统,其中,
在所述外部第三方子系统的类型为所述无源代码的外部第三方子系统的情况下,配置能够访问所述外部第三方子系统的代理地址;
配置能够访问所述外部第三方子系统的网络请求权限,得到所述系统配置信息。
5.根据权利要求1所述的认证方法,其特征在于,获取网页访问请求的步骤,包括:
采用虚拟拦截器对所述第三方系统发起的请求进行拦截,得到所述网页访问请求。
6.根据权利要求1所述的认证方法,其特征在于,在获取网页访问请求之后,还包括:
判断当前用户的登录令牌的使用时长是否已经超时;
若所述登录令牌的登录时长超时,确认请求失败,并且跳转到登录页面;
若所述登录令牌的登录时长未超时,执行请求认证操作。
7.根据权利要求1至6中任意一项所述的认证方法,其特征在于,所述第三方系统包括下述至少之一:天气预报系统、信息查询系统、图书管理系统、运动系统。
8.一种访问请求的认证装置,其特征在于,应用于目标操作系统的认证装置,所述目标操作系统内集成有多个业务子系统,包括:
获取单元,用于获取网页访问请求,其中,所述网页访问请求是第三方系统生成的,所述第三方系统通过代理地址嵌入至所述目标操作系统中;
认证单元,用于根据系统配置信息对所述网页访问请求进行认证,得到认证结果;
返回单元,用于在所述认证结果指示通过认证的情况下,返回与所述网页访问请求对应的请求数据集合;
确认单元,用于在所述认证结果指示未通过认证的情况下,确认认证失败,发出错误提示信息。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任意一项所述的访问请求的认证方法。
10.一种计算机可读存储介质,其特征在于,计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述的访问请求的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211131466.6A CN115460010A (zh) | 2022-09-16 | 2022-09-16 | 访问请求的认证方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211131466.6A CN115460010A (zh) | 2022-09-16 | 2022-09-16 | 访问请求的认证方法及装置、电子设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115460010A true CN115460010A (zh) | 2022-12-09 |
Family
ID=84304696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211131466.6A Pending CN115460010A (zh) | 2022-09-16 | 2022-09-16 | 访问请求的认证方法及装置、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115460010A (zh) |
-
2022
- 2022-09-16 CN CN202211131466.6A patent/CN115460010A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2016188256A1 (zh) | 一种应用接入鉴权的方法、系统、装置及终端 | |
| CN100437530C (zh) | 安全访问带有客户端接收的专用网的方法 | |
| US20180219849A1 (en) | Method and Apparatus for Enabling Co-Browsing of Third Party Websites | |
| CN102469080B (zh) | 实现通行证用户安全登录应用客户端的方法和系统 | |
| US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| US8056125B2 (en) | Recording medium storing control program and communication system | |
| US20120216133A1 (en) | Secure cloud computing system and method | |
| WO2016173199A1 (zh) | 一种移动应用单点登录方法及装置 | |
| CN111786969B (zh) | 单点登录方法、装置及系统 | |
| JP6572750B2 (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
| US11165780B2 (en) | Systems and methods to secure publicly-hosted cloud applications to run only within the context of a trusted client application | |
| US20200082024A1 (en) | Systems and methods for improved remote display protocol for html applications | |
| CN106998335B (zh) | 一种漏洞检测方法、网关设备、浏览器及系统 | |
| CN112437078A (zh) | 文件存储方法、装置、设备及计算机可读存储介质 | |
| US8127033B1 (en) | Method and apparatus for accessing local computer system resources from a browser | |
| Fett et al. | Analyzing the BrowserID SSO system with primary identity providers using an expressive model of the web | |
| CN115225707A (zh) | 资源访问方法及装置 | |
| WO2023072817A1 (en) | Control of access to computing resources implemented in isolated environments | |
| CN112925589A (zh) | 扩展接口的调用方法及装置 | |
| CN113596014A (zh) | 访问漏洞检测方法及其装置、电子设备 | |
| CN110839027B (zh) | 用户的认证方法、装置、代理服务器和网络服务系统 | |
| CN112836186A (zh) | 一种页面控制方法及装置 | |
| CN108259456B (zh) | 实现用户免登录的方法、装置、设备、计算机存储介质 | |
| CN115460010A (zh) | 访问请求的认证方法及装置、电子设备、存储介质 | |
| CN113987501A (zh) | 网站的访问方法、装置、存储介质及电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |