CN115604039A - 一种第三方辅助身份验证的登录方法和系统 - Google Patents
一种第三方辅助身份验证的登录方法和系统 Download PDFInfo
- Publication number
- CN115604039A CN115604039A CN202211609438.0A CN202211609438A CN115604039A CN 115604039 A CN115604039 A CN 115604039A CN 202211609438 A CN202211609438 A CN 202211609438A CN 115604039 A CN115604039 A CN 115604039A
- Authority
- CN
- China
- Prior art keywords
- server
- terminal
- identity
- login
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种第三方辅助身份验证的登录方法和系统。在该登录方法中,服务器验证用户所输入的用户名和密码后,根据用户身份验证触发条件触发第三方的用户身份验证以确认当前登录服务器的用户是可信赖的。本发明的登录方法适用于软件公司为企业客户服务的软件信息系统进行系统维护时的超管账号认证。通过该方法可以避免运维人员之外的人员使用超管账号登录软件系统,从而保证软件信息系统的安全性。
Description
技术领域
本发明涉及软件信息系统的后台账号管理,尤其涉及超管账号的管理。
背景技术
软件企业为其企业客户提供软件信息系统服务时,对软件信息系统维护需要通过软件信息系统的超级管理账号。现有系统的超级管理账号通常采用用户名和密码的验证方式。一方面这种认证方式安全性较低。另一方面对于软件企业而言,需要管理和维护各个不同客户软件信息系统的后台超管账号密码,软件企业管理不当很容易泄露超管账号和密码。超管账号和密码的泄露对于软件企业本身及其所服务的客户都是灾难性的。
现有技术下,较高的账号安全性一般采用多因子论证。多因子论证要求服务器保存用户诸多的隐私信息。显而易见地,不同于互联网公众平台,企业客户的软件信息系统不适合保存这些运维人员的隐私信息。互联网公众平台保存有个人的隐私信息因此可以采用多因子论证,故此可以利用互联网公众平台进行身份验证。比如,专利文献CN 103067381 A公开了使用平台方账号登录第三方服务的方法。但在本案所涉及的环境下,这种方法并不适用,因为企业客户内部的软件信息系统具有非常强的独立性,不可能直接适用平台方账号,并且企业客户内部的软件信息系统通常运行于企业内部的局域网内,与外部的互联网不相连或者有条件的相连。
发明内容
本发明所要解决的问题:提高企业客户软件信息系统后台超管账号登录的安全性。
为解决上述问题,本发明采用的方案如下:
根据本发明的一种第三方辅助身份验证的登录方法,包括如下步骤:
步骤S1:第一服务器对第一终端所发送的登录请求通过用户名和密码验证后,根据用户身份验证触发条件确定是否触发用户身份验证;
步骤S2:当确定为触发用户身份验证时,第一服务器生成账号身份验证链接信息向第二终端发送;所述账号身份验证链接信息至少包括第一服务器识别码和验证识别码;
步骤S3:当第二终端接收到所述账号身份验证链接信息后,向第二服务器发送第二终端用户账号身份验证请求;所述第二终端用户账号身份验证请求至少包括第二终端用户、第一服务器识别码和验证识别码;
步骤S4:第二服务器接收到第二终端用户账号身份验证请求后对第二终端的用户进行身份验证,并就第二终端的用户是否具有登录所述第一服务器的权限进行鉴权;若第二终端的用户身份验证通过且具有登录所述第一服务器的权限,则根据所述第一服务器识别码向所述第一服务器发送身份确权结果信息,并同时向所述第二终端返回身份确权结果;所述身份确权结果信息包括验证识别码和身份确权结果;
步骤S5:第一服务器接收到身份确权结果信息后,根据所述身份确权结果信息中的验证识别码找到对应正在登录过程中的第一终端,然后根据所述身份确权结果信息中的身份确权结果向所述第一终端返回登录结果:若该身份确权结果允许登录则向所述第一终端返回登录成功,同时更新用户身份验证触发条件;若该身份确权结果否决登录则向所述第一终端返回登录失败。
进一步,根据本发明的第三方辅助身份验证的登录方法,所述步骤S4包括如下步骤:
步骤S41:所述第二服务器对所述第二终端的用户进行身份验证;若第二终端的用户身份验证失败则向所述第一服务器发送表示为否决登录的身份确权结果;
步骤S42:所述第二服务器向第三服务器发送用户账号登录授权验证请求;所述用户账号登录授权验证请求包括第二终端的用户和第一服务器识别码;
步骤S43:所述第三服务器接收到所述用户账号登录授权验证请求后,判断所述第二终端的用户是否具有登录所述第一服务器识别码所对应的第一服务器的权限,形成用户登录账号确权结果向所述第二服务器返回;
步骤S44:所述第二服务器接收到用户登录账号确权结果后生成对应的身份确权结果,然后向所述第一服务器发送身份确权结果信息,并同时向所述第二终端返回身份确权结果:若所述第二终端的用户不具有登录第一服务器的权限,则身份确权结果为否决登录,否则身份确权结果为允许登录。
进一步,根据本发明的第三方辅助身份验证的登录方法,所述第一服务器识别码包括客户识别码和服务识别码;所述第三服务器向所述第二服务器返回用户登录账号确权结果时,同时向所述第二服务器返回根据客户识别码和服务识别码所找到对应的第一服务器网络地址;所述第二服务器向所述第一服务器发送身份确权结果信息时,根据所述第一服务器网络地址进行发送。
进一步,根据本发明的第三方辅助身份验证的登录方法,所述步骤S2的所述第一服务器向第二终端发送所述账号身份验证链接信息中,所述账号身份验证链接信息被转换成图片形式的账号身份验证二维码由第一终端展示;所述第二终端通过扫描第一终端所展示的图片形式的所述账号身份验证二维码接收所述账号身份验证链接信息。
进一步,根据本发明的第三方辅助身份验证的登录方法,所述步骤S4中,第二服务器向所述第二终端返回身份确权结果时,返回的是经第二服务器签名加密后的身份确权结果信息;所述第一终端接收所述第二终端向所述第一终端发送的签名加密后的身份确权结果信息后,将其转发至所述第一服务器。
进一步,根据本发明的第三方辅助身份验证的登录方法,所述用户身份验证触发条件为上一次第三方验证时间距离当前时间是否超过特定时长;所述更新用户身份验证触发条件为更新上一次第三方验证时间为当前时间。
根据本发明的一种第三方辅助身份验证的登录系统,包括用于配置在第一服务器中的第一服务器登录模块、用于配置在第二终端中的第二终端登录模块和用于配置在第二服务器中的第二服务器登录模块;
所述第一服务器登录模块包括如下模块:
模块M1,用于:对第一终端所发送的登录请求通过用户名和密码验证后,根据用户身份验证触发条件确定是否触发用户身份验证;
模块M2,用于:当确定为触发用户身份验证时,生成账号身份验证链接信息向第二终端发送;所述账号身份验证链接信息至少包括第一服务器识别码和验证识别码;
模块M5,用于:接收到身份确权结果信息后,根据所述身份确权结果信息中的验证识别码找到对应正在登录过程中的第一终端,然后根据所述身份确权结果信息中的身份确权结果向所述第一终端返回登录结果:若该身份确权结果允许登录则向所述第一终端返回登录成功,同时更新用户身份验证触发条件;若该身份确权结果否决登录则向所述第一终端返回登录失败;身份确权结果信息包括验证识别码和身份确权结果;
所述第二终端登录模块包括如下模块:
模块M3,用于:当接收到所述账号身份验证链接信息后,向第二服务器发送第二终端用户账号身份验证请求;所述第二终端用户账号身份验证请求至少包括第二终端用户、第一服务器识别码和验证识别码;
所述第二服务器登录模块包括如下模块:
模块M4,用于:接收到第二终端用户账号身份验证请求后对第二终端的用户进行身份验证,并就第二终端的用户是否具有登录所述第一服务器的权限进行鉴权;若第二终端的用户身份验证通过且具有登录所述第一服务器的权限,则根据所述第一服务器识别码向所述第一服务器发送身份确权结果信息,并同时向所述第二终端返回身份确权结果。
进一步,根据本发明的第三方辅助身份验证的登录系统,还包括用于配置在第三服务器中的第三服务器鉴权模块;
模块M4包括如下模块:
模块M41,用于:对所述第二终端的用户进行身份验证;若第二终端的用户身份验证失败则向所述第一服务器发送表示为否决登录的身份确权结果;
模块M42,用于:向第三服务器发送用户账号登录授权验证请求;所述用户账号登录授权验证请求包括第二终端的用户和第一服务器识别码;
模块M44,用于:接收到用户登录账号确权结果后生成对应的身份确权结果,然后向所述第一服务器发送身份确权结果信息,并同时向所述第二终端返回身份确权结果:若所述第二终端的用户不具有登录第一服务器的权限,则身份确权结果为否决登录,否则身份确权结果为允许登录;
所述第三服务器鉴权模块用于:接收到所述用户账号登录授权验证请求后,判断所述第二终端的用户是否具有登录所述第一服务器识别码所对应的第一服务器的权限,形成用户登录账号确权结果向所述第二服务器返回。
进一步,根据本发明的第三方辅助身份验证的登录系统,还包括用于配置在第一终端中的第一终端模块;
模块M2包括如下模块;
模块M21,用于:根据所述账号身份验证链接信息生成账号身份验证二维码,然后将所生成的账号身份验证二维码向第一终端发送;
所述第一终端模块包括如下模块:
模块M22,用于:接收到账号身份验证二维码后,在屏幕上展示账号身份验证二维码;
所述第二终端登录模块还包括:
模块M23,用于:通过扫描所展示的账号身份验证二维码接收账号身份验证链接信息。
进一步,根据本发明的第三方辅助身份验证的登录系统,还包括用于配置在第一终端中的第一终端模块;
所述第二终端登录模块还包括以下模块:
模块M442,用于:接收到第二服务器所发送的身份确权结果信息后,将身份确权结果信息转换成身份确权结果二维码,然后在屏幕上展示图片形式的身份确权结果二维码;
所述第一终端模块包括如下模块:
模块M443,用于:通过扫描第二终端所展示的身份确权结果二维码接收身份确权结果信息,然后将所接收的身份确权结果信息向第一服务器发送;
所述第一服务器登录模块还包括:
模块M444,用于:从第一终端接收身份确权结果信息。
本发明的技术效果如下:
1、避免运维人员之外的人员登录后台超管账号,以保证客户信息系统的安全;
2、授权能够及时回收,保证客户信息系统独立性和安全性;
3、登录的第一服务器允许不位于公网,技术方案适用广泛;
4、运维人员登录客户信息系统能够受软件公司统一管理;
5、实施方式简单,无需额外采购设备,成本低。
附图说明
图1是本发明实施例各设备交互过程的步骤时序图。
图2是本发明实施例的系统结构示意图。
具体实施方式
下面结合附图对本发明做进一步详细说明。
图2示例了本申请人对其高校客户的信息系统进行第三方辅助身份验证的系统架构。其中,301是校内局域网;101是设置在校内局域网内的信息系统业务平台,即为本发明所指的第一服务器;201是信息系统业务终端,即为本发明所指的第一终端;信息系统业务终端201和信息系统业务平台101通过校内局域网301相连,也就是第一终端通过局域网连接第一服务器;302是互联网或外部公网;102是钉钉系统业务平台,即为本发明所指的第二服务器;103是本申请人的运维任务分发平台,即为本发明所指的第三服务器。运维任务分发平台103和钉钉系统业务平台102通过互联网302相连;202是本申请人负责高校信息系统运维的公司员工的手机或移动终端,即为本发明所指的第二终端。信息系统业务终端201可能连接互联网,也可能与互联网不相连。结合运维工作人员的实际操作,参照图1,本实施例第三方辅助身份验证的登录方法具体过程如下:
当运维工作人员需要对学校的信息系统进行运维服务时,运维工作人员通过信息系统业务终端201以超管账号登录信息系统业务平台101,运维工作人员在信息系统业务终端201中输入用户名和密码进行登录。信息系统业务终端201,即第一终端,根据用户输入的用户名和密码向信息系统业务平台101发出登录请求。
信息系统业务平台101,即第一服务器,接收到登录请求后,根据登录请求中的用户名和密码进行关于用户名和密码的验证。若验证失败,则向第一终端返回登录失败;若验证成功,则根据用户身份验证触发条件确定是否触发用户身份验证。本实施例中,用户身份验证触发条件是上一次第三方验证时间距离当前时间是否超过特定时长。该特定时长具体到本实施例中为24小时。根据用户身份验证触发条件确定是否触发用户身份验证,也就是判断上一次第三方验证时间距离当前时间是否超过24小时,若超过则触发用户身份验证,否则直接返回登录成功。上述过程即为本发明所指的步骤S1。
当确定为触发用户身份验证时,信息系统业务平台101,即第一服务器,生成账号身份验证链接信息向运维工作人员手机202发送。运维工作人员手机202即为第二终端。这里,若信息系统业务平台101连接互联网,则信息系统业务平台101可以直接向运维工作人员手机202发送账号身份验证链接信息。但更多的情形是即便信息系统业务平台101连接互联网,运维工作人员手机202也不会通过互联网连接信息系统业务平台101。故此本实施例优选采用如下方式, 账号身份验证链接信息被转换成图片形式的账号身份验证二维码展示在第一终端的显示屏上;然后由作为第二终端的运维工作人员手机202通过扫描第一终端所展示的图片形式的账号身份验证二维码接收账号身份验证链接信息。账号身份验证链接信息转换成账号身份验证二维码有两种处理方式:第一种是由第一服务器转换成账号身份验证二维码,然后将账号身份验证二维码图片发送至第一终端,第一终端接收到账号身份验证二维码后在显示屏上显示该二维码;第二种是第一服务器将账号身份验证链接信息发送至第一终端,第一终端接收到账号身份验证链接信息后将其转换成账号身份验证二维码后在显示屏上显示该二维码。上述通过二维码向运维工作人员手机202发送账号身份验证链接信息的过程可以表述为图1所示的步骤S21和步骤S22。步骤S21中,第一服务器生成账号身份验证链接信息向第一终端发送;步骤S22中,第一终端向第二终端转发账号身份验证链接信息。上述过程即为本发明所指的步骤S2。
账号身份验证链接信息包括第一服务器识别码和验证识别码。这里,第一服务器识别码和验证识别码都是必要的,因为第二服务器进行第三方辅助身份验证时需要该参数,并且结果返回时,需要依据该参数确定第一服务器的地址。本实施例中,第一服务器识别码包括客户识别码和服务识别码。客户识别码具体到本实施例中为学校ID;服务识别码是软件信息系统的服务ID;不同的软件信息系统具有不同的服务ID。验证识别码通常是一个随机数,也可以是由计数器控制的序数。当第一服务器接收到第三方辅助身份验证的结果时需要该参数进行识别。
运维工作人员手机202,也即第二终端,接收到账号身份验证链接信息后,向第二服务器发送第二终端用户账号身份验证请求。第二终端用户账号身份验证请求包括第二终端用户、第一服务器识别码和验证识别码。上述过程即为本发明所指的步骤S3。
第二服务器接收到第二终端用户账号身份验证请求后对第二终端的用户进行身份验证,并就第二终端的用户是否具有登录所述第一服务器的权限进行鉴权;若第二终端的用户身份验证通过且具有登录第一服务器的权限,则根据所述第一服务器识别码向第一服务器发送身份确权结果信息,并同时向第二终端返回身份确权结果。身份确权结果信息包括验证识别码和身份确权结果。上述过程即为本发明所指的步骤S4。
本实施例中,第二服务器是钉钉系统业务平台102,步骤S4通过架构在钉钉系统业务平台102上的第三方服务所实现。第二终端,也就是,运维工作人员手机202则通过钉钉客户端软件连接钉钉系统业务平台102。也就是,第二终端用户即为钉钉软件用户。第二终端扫描账号身份验证二维码时,直接通过钉钉客户端软件实现。钉钉软件用户通常事先已经登录了钉钉系统业务平台102。故此,第二终端向第二服务器发送第二终端用户账号身份验证请求时,第二终端用户账号身份验证请求通过不直接包括第二终端用户,而隐含在钉钉客户端软件事先登录钉钉系统业务平台102的过程中。
本实施例中,钉钉系统业务平台102对第二终端的用户进行身份验证的过程主要分成两部分:第一部分是钉钉用户,即第二终端用户,是否属于本申请人公司群组;第二部分是通过本申请人公司的运维任务分发平台103验证该钉钉用户是否具有第一服务器识别码所对应的第一服务器的超管账号权限。其中,第一部分完全由钉钉系统业务平台102实现,而第二部分则通过调用运维任务分发平台103验证实现。具体来说,运维任务分发平台103是一个运维任务发布和分发的服务器。当客户的信息系统需要进行维护时,运维管理人员在运维任务分发平台103发布一个运维任务。该运维任务中,指定了所需要维护的客户系统和对应的运维工作人员。这里的所需要维护的客户系统包含了第一服务器识别码所对应的第一服务器。由此,本实施例的步骤S4中,作为第二服务器的钉钉系统业务平台102和作为第三服务器的运维任务分发平台103之间的交互过程如下:
步骤S41:第二服务器对第二终端的用户进行身份验证;若第二终端的用户身份验证失败则向第一服务器发送表示为否决登录的身份确权结果;
步骤S42:第二服务器向第三服务器发送用户账号登录授权验证请求;用户账号登录授权验证请求包括第二终端的用户和第一服务器识别码;
步骤S43:第三服务器接收到用户账号登录授权验证请求后,判断第二终端的用户是否具有登录第一服务器识别码所对应的第一服务器的权限,形成用户登录账号确权结果向第二服务器返回;
步骤S44:第二服务器接收到用户登录账号确权结果后生成对应的身份确权结果,然后向第一服务器发送身份确权结果信息,并同时向第二终端返回身份确权结果:若第二终端的用户不具有登录第一服务器的权限,则身份确权结果为否决登录,否则身份确权结果为允许登录。
本实施例的步骤S43中,判断第二终端的用户是否具有登录第一服务器识别码所对应的第一服务器的权限,也就是,判断是否存在第一服务器识别码和运维工作人员对应的运维任务。若存在该第一服务识别码和运维工作人员对应的运维任务,则表示第二终端的用户具有登录第一服务器识别码所对应的第一服务器的权限;否则表示第二终端的用户不具备登录对应第一服务器的权限。
此外,这里的第一服务器识别码包括客户识别码和服务识别码,故此,第三服务器向第二服务器返回用户登录账号确权结果时,同时将第一服务器识别码对应的第一服务器地址返回。也就是说,用户登录账号确权结果还可以进一步包括第一服务器地址。由此在步骤S44中,向第一服务器发送身份确权结果信息时,可以根据第一服务器地址进行发送。
步骤S44中,可能存在的情形是第一服务器在局域网内,无法与第二服务器相连。此时,向第一服务器发送身份确权结果信息必然失败。为此,本实施例中,向第一服务器发送身份确权结果信息的同时,也向第二终端发送身份确权结果。第二终端接收到身份确权结果后可以通过第一终端向第一服务器发送身份确权结果。本实施例中,第二服务器通过第一终端和第二终端向第一服务器转发身份确权结果的具体步骤如下:
步骤S441:第二服务器向第二终端发送身份确权结果信息;
步骤S442:第二终端接收到第二服务器所发送的身份确权结果信息后,将身份确权结果信息转换成身份确权结果二维码,然后在屏幕上展示图片形式的身份确权结果二维码;
步骤S443:第一终端通过扫描第二终端所展示的身份确权结果二维码接收身份确权结果信息,然后将所接收的身份确权结果信息向第一服务器发送;
本实施例中,第二服务器直接或者通过第二终端间接向第一服务器返回身份确权结果时,通过身份确权结果信息进行。身份确权结果信息包括验证识别码和身份确权结果。也就是说,身份确权结果信息通常经过数字签名和加密的。本实施例中,加密和数字签名分别采用国标SM2和SM3算法。
此外,上述步骤S441至S443中,将身份确权结果信息转换成身份确权结果二维码由第二终端完成,本领域技术人员理解,将身份确权结果信息转换成身份确权结果二维码由第二终端完成也可以由第二服务器完成。也就是说,此时步骤S441中第二服务器向第二终端发送的是身份确权结果二维码。
此外,本实施例中,第二终端向第一终端转发身份确权结果信息通过二维码实现。本领域技术人员理解,第二终端接收到身份确权结果信息后也可以将其转成Base64格式,然后由人工输入的方式在第一终端上输入Base64格式的身份确权结果信息实现身份确权结果信息由第二终端向第一终端的转发。
前述步骤S2中,第一服务器生成账号身份验证链接信息向第二终端发送后,第一服务器等待接收第二服务器所发送的身份确权结果:等待从第二服务器直接所发送的身份确权结果信息以及等待经第一终端转发的身份确权结果信息。当接收到第二服务器直接所发送的身份确权结果信息或者接收到经第一终端转发的身份确权结果信息时,根据身份确权结果信息中的验证识别码找到对应正在登录过程中的第一终端,然后根据身份确权结果信息中的身份确权结果向第一终端返回登录结果:若该身份确权结果允许登录则向第一终端返回登录成功;若该身份确权结果否决登录则向第一终端返回登录失败;向第一终端返回登录成功时,同时更新用户身份验证触发条件。具体到本实施例中,更新用户身份验证触发条件即为更新上一次第三方验证时间为当前时间。
此外,还需要说明的是,本发明所指前述模块是与方法中的步骤相对应的虚装置,不再赘述。
Claims (10)
1.一种第三方辅助身份验证的登录方法,其特征在于,包括如下步骤:
步骤S1:第一服务器对第一终端所发送的登录请求通过用户名和密码验证后,根据用户身份验证触发条件确定是否触发用户身份验证;
步骤S2:当确定为触发用户身份验证时,第一服务器生成账号身份验证链接信息向第二终端发送;所述账号身份验证链接信息至少包括第一服务器识别码和验证识别码;
步骤S3:当第二终端接收到所述账号身份验证链接信息后,向第二服务器发送第二终端用户账号身份验证请求;所述第二终端用户账号身份验证请求至少包括第二终端用户、第一服务器识别码和验证识别码;
步骤S4:第二服务器接收到第二终端用户账号身份验证请求后对第二终端的用户进行身份验证,并就第二终端的用户是否具有登录所述第一服务器的权限进行鉴权;若第二终端的用户身份验证通过且具有登录所述第一服务器的权限,则根据所述第一服务器识别码向所述第一服务器发送身份确权结果信息,并同时向所述第二终端返回身份确权结果;所述身份确权结果信息包括验证识别码和身份确权结果;
步骤S5:第一服务器接收到身份确权结果信息后,根据所述身份确权结果信息中的验证识别码找到对应正在登录过程中的第一终端,然后根据所述身份确权结果信息中的身份确权结果向所述第一终端返回登录结果:若该身份确权结果允许登录则向所述第一终端返回登录成功,同时更新用户身份验证触发条件;若该身份确权结果否决登录则向所述第一终端返回登录失败。
2.如权利要求1所述的第三方辅助身份验证的登录方法,其特征在于,所述步骤S4包括如下步骤:
步骤S41:所述第二服务器对所述第二终端的用户进行身份验证;若第二终端的用户身份验证失败则向所述第一服务器发送表示为否决登录的身份确权结果;
步骤S42:所述第二服务器向第三服务器发送用户账号登录授权验证请求;所述用户账号登录授权验证请求包括第二终端的用户和第一服务器识别码;
步骤S43:所述第三服务器接收到所述用户账号登录授权验证请求后,判断所述第二终端的用户是否具有登录所述第一服务器识别码所对应的第一服务器的权限,形成用户登录账号确权结果向所述第二服务器返回;
步骤S44:所述第二服务器接收到用户登录账号确权结果后生成对应的身份确权结果,然后向所述第一服务器发送身份确权结果信息,并同时向所述第二终端返回身份确权结果:若所述第二终端的用户不具有登录第一服务器的权限,则身份确权结果为否决登录,否则身份确权结果为允许登录。
3.如权利要求2所述的第三方辅助身份验证的登录方法,其特征在于,所述第一服务器识别码包括客户识别码和服务识别码;所述第三服务器向所述第二服务器返回用户登录账号确权结果时,同时向所述第二服务器返回根据客户识别码和服务识别码所找到对应的第一服务器网络地址;所述第二服务器向所述第一服务器发送身份确权结果信息时,根据所述第一服务器网络地址进行发送。
4.如权利要求1所述的第三方辅助身份验证的登录方法,其特征在于,所述步骤S2的所述第一服务器向第二终端发送所述账号身份验证链接信息中,所述账号身份验证链接信息被转换成图片形式的账号身份验证二维码由第一终端展示;所述第二终端通过扫描第一终端所展示的图片形式的所述账号身份验证二维码接收所述账号身份验证链接信息。
5.如权利要求1所述的第三方辅助身份验证的登录方法,其特征在于,所述步骤S4中,第二服务器向所述第二终端返回身份确权结果时,返回的是经第二服务器签名加密后的身份确权结果信息;所述第一终端接收所述第二终端向所述第一终端发送的签名加密后的身份确权结果信息后,将其转发至所述第一服务器。
6.如权利要求1所述的第三方辅助身份验证的登录方法,其特征在于,所述用户身份验证触发条件为上一次第三方验证时间距离当前时间是否超过特定时长;所述更新用户身份验证触发条件为更新上一次第三方验证时间为当前时间。
7.一种第三方辅助身份验证的登录系统,其特征在于,包括用于配置在第一服务器中的第一服务器登录模块、用于配置在第二终端中的第二终端登录模块和用于配置在第二服务器中的第二服务器登录模块;
所述第一服务器登录模块包括如下模块:
模块M1,用于:对第一终端所发送的登录请求通过用户名和密码验证后,根据用户身份验证触发条件确定是否触发用户身份验证;
模块M2,用于:当确定为触发用户身份验证时,生成账号身份验证链接信息向第二终端发送;所述账号身份验证链接信息至少包括第一服务器识别码和验证识别码;
模块M5,用于:接收到身份确权结果信息后,根据所述身份确权结果信息中的验证识别码找到对应正在登录过程中的第一终端,然后根据所述身份确权结果信息中的身份确权结果向所述第一终端返回登录结果:若该身份确权结果允许登录则向所述第一终端返回登录成功,同时更新用户身份验证触发条件;若该身份确权结果否决登录则向所述第一终端返回登录失败;身份确权结果信息包括验证识别码和身份确权结果;
所述第二终端登录模块包括如下模块:
模块M3,用于:当接收到所述账号身份验证链接信息后,向第二服务器发送第二终端用户账号身份验证请求;所述第二终端用户账号身份验证请求至少包括第二终端用户、第一服务器识别码和验证识别码;
所述第二服务器登录模块包括如下模块:
模块M4,用于:接收到第二终端用户账号身份验证请求后对第二终端的用户进行身份验证,并就第二终端的用户是否具有登录所述第一服务器的权限进行鉴权;若第二终端的用户身份验证通过且具有登录所述第一服务器的权限,则根据所述第一服务器识别码向所述第一服务器发送身份确权结果信息,并同时向所述第二终端返回身份确权结果。
8.如权利要求7所述的第三方辅助身份验证的登录系统,其特征在于,还包括用于配置在第三服务器中的第三服务器鉴权模块;
模块M4包括如下模块:
模块M41,用于:对所述第二终端的用户进行身份验证;若第二终端的用户身份验证失败则向所述第一服务器发送表示为否决登录的身份确权结果;
模块M42,用于:向第三服务器发送用户账号登录授权验证请求;所述用户账号登录授权验证请求包括第二终端的用户和第一服务器识别码;
模块M44,用于:接收到用户登录账号确权结果后生成对应的身份确权结果,然后向所述第一服务器发送身份确权结果信息,并同时向所述第二终端返回身份确权结果:若所述第二终端的用户不具有登录第一服务器的权限,则身份确权结果为否决登录,否则身份确权结果为允许登录;
所述第三服务器鉴权模块用于:接收到所述用户账号登录授权验证请求后,判断所述第二终端的用户是否具有登录所述第一服务器识别码所对应的第一服务器的权限,形成用户登录账号确权结果向所述第二服务器返回。
9.如权利要求7所述的第三方辅助身份验证的登录系统,其特征在于,还包括用于配置在第一终端中的第一终端模块;
模块M2包括如下模块;
模块M21,用于:根据所述账号身份验证链接信息生成账号身份验证二维码,然后将所生成的账号身份验证二维码向第一终端发送;
所述第一终端模块包括如下模块:
模块M22,用于:接收到账号身份验证二维码后,在屏幕上展示账号身份验证二维码;
所述第二终端登录模块还包括:
模块M23,用于:通过扫描所展示的账号身份验证二维码接收账号身份验证链接信息。
10.如权利要求7所述的第三方辅助身份验证的登录系统,其特征在于,还包括用于配置在第一终端中的第一终端模块;
所述第二终端登录模块还包括以下模块:
模块M442,用于:接收到第二服务器所发送的身份确权结果信息后,将身份确权结果信息转换成身份确权结果二维码,然后在屏幕上展示图片形式的身份确权结果二维码;
所述第一终端模块包括如下模块:
模块M443,用于:通过扫描第二终端所展示的身份确权结果二维码接收身份确权结果信息,然后将所接收的身份确权结果信息向第一服务器发送;
所述第一服务器登录模块还包括:
模块M444,用于:从第一终端接收身份确权结果信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211609438.0A CN115604039B (zh) | 2022-12-15 | 2022-12-15 | 一种第三方辅助身份验证的登录方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211609438.0A CN115604039B (zh) | 2022-12-15 | 2022-12-15 | 一种第三方辅助身份验证的登录方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115604039A true CN115604039A (zh) | 2023-01-13 |
| CN115604039B CN115604039B (zh) | 2023-03-10 |
Family
ID=84854275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211609438.0A Active CN115604039B (zh) | 2022-12-15 | 2022-12-15 | 一种第三方辅助身份验证的登录方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115604039B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067381A (zh) * | 2012-12-26 | 2013-04-24 | 百度在线网络技术(北京)有限公司 | 使用平台方账号登录第三方服务的方法、系统和装置 |
| CN107070945A (zh) * | 2013-06-19 | 2017-08-18 | 华为技术有限公司 | 身份登录方法及设备 |
| WO2021003751A1 (zh) * | 2019-07-11 | 2021-01-14 | 深圳市鹰硕技术有限公司 | 一种单账号多身份登录方法、装置、服务器及存储介质 |
| CN113572789A (zh) * | 2021-08-17 | 2021-10-29 | 四川启睿克科技有限公司 | 一种物联网智能设备应用免密登录系统及方法 |
-
2022
- 2022-12-15 CN CN202211609438.0A patent/CN115604039B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067381A (zh) * | 2012-12-26 | 2013-04-24 | 百度在线网络技术(北京)有限公司 | 使用平台方账号登录第三方服务的方法、系统和装置 |
| CN107070945A (zh) * | 2013-06-19 | 2017-08-18 | 华为技术有限公司 | 身份登录方法及设备 |
| WO2021003751A1 (zh) * | 2019-07-11 | 2021-01-14 | 深圳市鹰硕技术有限公司 | 一种单账号多身份登录方法、装置、服务器及存储介质 |
| CN113572789A (zh) * | 2021-08-17 | 2021-10-29 | 四川启睿克科技有限公司 | 一种物联网智能设备应用免密登录系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115604039B (zh) | 2023-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6993658B1 (en) | Use of personal communication devices for user authentication | |
| US20060070116A1 (en) | Apparatus and method for authenticating user for network access in communication system | |
| EP1626553A2 (en) | System and method for controlling network access | |
| US9344417B2 (en) | Authentication method and system | |
| WO2014147297A1 (en) | Transaction authorization method and system | |
| CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
| CN104754582A (zh) | 维护byod安全的客户端及方法 | |
| CN105262774A (zh) | 一种远程登录方法 | |
| CN103906052A (zh) | 一种移动终端认证方法、业务访问方法及设备 | |
| US7512967B2 (en) | User authentication in a conversion system | |
| CN104168304A (zh) | Vdi环境下的单点登录系统及方法 | |
| CN111797378A (zh) | 一种人社信息多重身份管理认证平台 | |
| CN115604039B (zh) | 一种第三方辅助身份验证的登录方法和系统 | |
| US11575667B1 (en) | System and method for secure communications | |
| US8218435B2 (en) | Resource identifier based access control in an enterprise network | |
| US20050177637A1 (en) | Secure remote control | |
| CN115296822B (zh) | 一种业务处理的实现方法及系统 | |
| CN101087326B (zh) | 一种通讯终端注册方法和系统 | |
| US10447688B1 (en) | System for secure communications | |
| CN113343273A (zh) | 一种用户登陆方法、第一服务器及计算机可读存储介质 | |
| US10148443B2 (en) | Authentication infrastructure for IP phones of a proprietary TOIP system by an open EAP-TLS system | |
| US11416586B2 (en) | Secure communication application registration process | |
| US11800355B2 (en) | Secure wireless discovery and pairing | |
| CN103763144A (zh) | 一种用户续费上线的方法和设备 | |
| CN115865529B (zh) | 嵌入式通信总线的控制方法、装置、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |