CN115883119A - 服务验证方法、电子装置及存储介质 - Google Patents
服务验证方法、电子装置及存储介质 Download PDFInfo
- Publication number
- CN115883119A CN115883119A CN202111150658.7A CN202111150658A CN115883119A CN 115883119 A CN115883119 A CN 115883119A CN 202111150658 A CN202111150658 A CN 202111150658A CN 115883119 A CN115883119 A CN 115883119A
- Authority
- CN
- China
- Prior art keywords
- stage
- service
- verification
- login information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 title claims abstract description 73
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000007246 mechanism Effects 0.000 claims abstract description 47
- 238000013507 mapping Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 230000001815 facial effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种服务验证方法、电子装置及存储介质,所述方法包括:响应用户的登录请求,接收用户的登录信息,基于前端身份验证机制对登录信息进行第一阶段验证;若登录信息通过验证,生成登录信息对应的令牌,其中,令牌用于提供第二阶段凭证的读取权限;根据令牌获取用户对应的至少一平台服务的第二阶段凭证;基于至少一后端身份验证机制和第二阶段凭证对登录信息进行第二阶段验证;及若第二阶段凭证通过验证,接受用户对至少一平台服务的存取请求。本申请可以串接后端验证服务,通过两阶段的身份验证,便于对多个平台或服务的用户存取请求进行验证,同时提高验证安全性,并提高了验证服务的弹性。
Description
技术领域
本申请涉及身份验证技术领域,尤其涉及一种服务验证方法、电子装置及存储介质。
背景技术
随着云计算中心、云存储以及大数据的高速发展,例如Google、Amazone、Azure、GtHub等平台或服务都配置有账号密码或服务验证机制,开发者需要将后端验证服务在开发阶段进行设计。SSO(Single Sign On,单点登录)是目前较为常用的验证机制,采用单一入口架构。然而,SSO机制也是需要在后端服务的设计阶段进行整合,导致在SSO架构下,只能增加前端的验证机制的种类,而无法串接基于不同方式的后端验证服务,导致验证服务的弹性设计不足,不便于对多个平台或服务的用户存取请求进行验证。
发明内容
有鉴于此,有必要提供一种服务验证方法、电子装置及存储介质,通过两阶段的验证服务便于对个平台或服务的用户存取请求进行验证,同时提高验证安全性。
本申请提供一种服务验证方法,所述方法包括:
响应用户的登录请求,接收所述用户的登录信息,基于前端身份验证机制对所述登录信息进行第一阶段验证;
若所述登录信息通过验证,生成所述登录信息对应的令牌,其中,所述令牌用于提供第二阶段凭证的读取权限;
根据所述令牌获取所述用户对应的至少一平台服务的第二阶段凭证;
基于至少一后端身份验证机制和所述第二阶段凭证对所述登录信息进行第二阶段验证;及
若所述第二阶段凭证通过验证,接受所述用户对所述至少一平台服务的存取请求。
可选地,所述方法还包括:
若所述登录信息未通过验证,或所述第二阶段凭证未通过验证,拒绝所述用户对所述至少一平台服务的存取请求。
可选地,所述方法还包括:
响应所述用户的注册请求,接收所述用户提交的注册信息和平台服务信息,对所述用户提交的注册信息进行加密,并转换为第一阶段凭证;及
根据所述平台服务信息生成所述至少一平台服务的第二阶段凭证,并建立所述第一阶段凭证和所述第二阶段凭证之间的映射关系。
可选地,所述基于前端身份验证机制对所述登录信息进行第一阶段验证包括:
判断所述登录信息是否与所述第一阶段凭证匹配;
若确定所述登录信息与所述第一阶段凭证匹配,确定所述登录信息通过验证;或
若确定所述登录信息与所述第一阶段凭证不匹配,确定所述登录信息未通过验证。
可选地,所述基于后端身份验证机制和所述第二阶段凭证对所述登录信息进行第二阶段验证包括:
若确定所述登录信息与所述第一阶段凭证匹配,根据所述令牌、所述登录信息及所述第一阶段凭证和所述第二阶段凭证之间的映射关系获取所述登录信息对应的至少一第二阶段凭证;及
分别通过所述平台服务的验证机制对所述至少一第二阶段凭证进行验证。
可选地,所述根据所述平台服务信息生成所述至少一平台服务的第二阶段凭证,并建立所述第一阶段凭证和所述第二阶段凭证之间的映射关系包括:
基于每个平台服务的所述验证机制对所述注册信息再次进行加密,并生成每个平台服务的第二阶段凭证,或获取所述注册信息中包含的每个平台服务的第二阶段凭证;及
建立所述第一阶段凭证和所述第二阶段凭证之间的映射关系。
可选地,所述第一阶段凭证和第二阶段凭证均为轻量级目录访问协议的逻辑群组中的验证信息。
可选地,所述前端验证机制以键值组的形式集成于电子装置,所述后端验证机制以配置文件的形式作为验证服务接入所述电子装置。
本申请还提供一种电子装置,包括:
处理器;以及
存储器,所述存储器中存储有多个程序模块,所述多个程序模块由所述处理器加载并执行上述的服务验证方法。
本申请还提供一种计算机可读存储介质,其上存储有至少一条计算机指令,所述指令由处理器并加载执行上述的服务验证方法。
上述服务验证方法、电子装置及存储介质可以串接后端验证服务,通过两阶段的身份验证,便于对多个平台或服务的用户存取请求进行验证,同时提高验证安全性,并提高了验证服务的弹性,便于适应用户需求。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本申请较佳实施方式提供的服务验证方法的应用环境架构示意图。
图2是本申请较佳实施方式提供的用户注册过程的流程图。
图3是本申请较佳实施方式提供的用户注册过程的架构示意图。
图4是本申请较佳实施方式提供的服务验证方法的流程图。
图5是本申请较佳实施方式提供的用户登录过程中第一阶段验证的架构示意图。
图6是本申请较佳实施方式提供的用户登录过程中第二阶段验证的架构示意图。
图7是本申请较佳实施方式提供的电子装置的结构示意图。
主要元件符号说明
电子装置 1
处理器 10
存储器 20
计算机程序 30
私密引擎 40
终端设备 2
服务器 3
服务验证架构 4
用户操作层 401
身份验证层 402
后端服务层 403
运算资源层 404
如下具体实施方式将结合上述附图进一步说明本申请。
具体实施方式
为了能够更清楚地理解本申请的上述目的、特征和优点,下面结合附图和具体实施例对本申请进行详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本申请,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
请参阅图1所示,为本申请较佳实施方式提供的服务验证方法的应用环境架构示意图。
本申请中的服务验证方法应用在电子装置1中,所述电子装置1可以与至少一终端设备2及至少一个服务器3通过网络建立通信连接。所述网络可以是有线网络,也可以是无线网络,例如无线电、无线保真(Wireless Fidelity,WIFI)、蜂窝、卫星、广播等。蜂窝网络可以是4G网络或5G网络。
所述电子装置1可以为安装有服务验证程序的电子设备,例如个人电脑、服务器等,其中,所述服务器可以是单一的服务器、服务器集群等。所述电子装置1还可以是由服务器构成的敏感数据库(Sensitive Data Store)。所述终端设备2可以是智能手机或个人电脑。所述服务器3可以是单一的服务器、服务器集群等。
请参阅图2所示,为本申请较佳实施方式提供的服务验证方法的部分流程图。根据不同的需求,所述流程图中步骤的顺序可以改变,某些步骤可以省略。
请参阅图3所示,以服务验证架构4对所述服务验证方法的实施例进行描述。所述服务验证架构4包括用户操作层401、身份验证层402、后端服务层403及运算资源层404。
S201,响应用户的注册请求,接收所述用户提交的注册信息和平台服务信息,对所述用户提交的注册信息进行加密,并转换为第一阶段凭证。
如图3所示,在用户操作层401,用户可以通过终端设备2的图形用户界面(GUI)输入注册信息和平台服务信息,以提交注册请求。其中,所述图形用户界面可以是一整合平台服务程序的界面。例如,所述整合平台服务程序所整合的平台服务可以包括简单存储服务(S3 Storage)和微软云服务(WINDOWS AZURE)。用户可以通过所述整合平台服务程序访问多个平台服务。在一实施方式中,所述注册信息至少包括账号和密码。所述密码可以是字符形式,例如字母、数字及符号中至少一种的组合,也可以是生物识别信息,例如指纹、虹膜、脸部图像等。
在一实施方式中,基于网络,所述终端设备2通过应用程序编程接口(API,Application Programming Interface)将所述注册信息传送至所述电子装置1(敏感数据库),通过所述电子装置1对所述注册信息进行加密,将所述注册信息转换为第一阶段凭证。
具体地,在身份验证层402,所述电子装置1接收所述注册信息,基于所述注册信息创建所述用户的账户,基于轻量目录访问协议(Lightweight Directory AccessProtocol,LDAP)对所述账号和密码进行加密,将所述账号和密码记录在轻量目录访问协议的OU:SSO逻辑群组中,以转换成OU:SSO逻辑群组中的账号和密码,作为所述用户的单点登录凭证,以建立所述账户的单点登录机制。
S202,根据所述平台服务信息生成所述至少一平台服务的第二阶段凭证,并建立所述第一阶段凭证和所述第二阶段凭证之间的映射关系。
在一实施方式中,所述平台服务信息包括所述用户申请访问的平台服务名称,根据所述平台服务名称自动生成每个平台服务的账号和密码,作为每个平台服务的第二阶段凭证。其中,自动生成的所述账号可以与所述第一阶段凭证的账号相同或不同,自动生成的所述密码与所述第一阶段凭证的密码不同,不同平台服务对应的密码也不同。如此,所述电子装置1可以自动生成每个平台服务的密码,并为用户管理平台服务密码。
在另一实施方式中,所述平台服务信息包括所述用户申请访问的平台服务名称和每个平台服务的账号和密码,将所述平台服务信息中的平台服务及其对应的账号和密码作为所述第二阶段凭证。如此,所述电子装置1仅为用户管理平台服务密码。
在一实施方式中,在至少一第二阶段凭证生成之后,建立所述第一阶段凭证和所述第二阶段凭证之间的映射关系,即建立所述用户单点登录时的账号和密码以及至少一个平台服务的账号和密码之间的对应关系,并将所述映射关系存储至存储器。
在一实施方式中,基于每个平台服务的所述验证机制对所述注册信息再次进行加密。基于轻量目录访问协议对所述第二阶段凭证中的账号和密码进行加密,将所述第二阶段凭证中的账号和密码记录在轻量目录访问协议的OU:USERS逻辑群组中,以转换成OU:USERS逻辑群组中的账号和密码。如此,所述电子装置基于用户的注册信息创建配置文件以及第一阶段凭证和第二阶段凭证之间的映射关系,以生成所述用户对应的身份验证的策略映射(Policy Mapping)。
在其他实施方式中,所述第二阶段凭证中的账号和密码也可以是键值组(例如,以key/value格式储存的S3 Storage或运算平台账号密码)或Azure账号密码(例如,Azure公有云的认证机制)。
请参阅图4所示,为本申请较佳实施方式提供的服务验证方法的部分流程图。根据不同的需求,所述流程图中步骤的顺序可以改变,某些步骤可以省略。
S401,响应用户的登入请求,接收所述用户的登录信息,基于前端身份验证机制对所述登录信息进行第一阶段验证。
请参阅图5所示,在用户操作层401,用户可以通过终端设备2的图形用户界面(GUI)输入登录信息和需访问的平台服务信息,以提交登录请求。在一实施方式中,所述登录信息至少包括账号和密码。所述密码可以是字符形式,也可以是生物识别信息,例如指纹、虹膜、脸部图像等。然后,基于网络,所述终端设备2通过应用程序编程接口将所述登录信息传送至所述电子装置1,所述电子装置1基于前端身份验证机制对所述登录信息进行验证。在一实施方式中,所述前端验证机制以键值组(key/value)的形式集成于电子装置。
具体地,所述前端身份验证机制由轻量目录访问协议中的逻辑群组OU:SSO来完成,包括:将所述登录信息中的账号和密码分别与所述第一阶段凭证,即逻辑群组OU:SSO中的账号和密码进行对比,判断所述登录信息是否与所述第一阶段凭证匹配。若确定所述登录信息与所述第一阶段凭证匹配,确定所述登录信息通过验证。若确定所述登录信息与所述第一阶段凭证不匹配,确定所述登录信息未通过验证。
S402,若所述登录信息通过验证,生成所述登录信息对应的令牌(Token)。
在一实施方式中,所述令牌用于提供第二阶段凭证的读取权限。所述令牌是由所述电子装置1生成的一串字符串,以作所述终端设备2进行第二阶段验证请求的一个令牌。若所述登录信息通过验证,所述电子装置1生成令牌,并将所述令牌返回给终端设备2,后续终端设备2只需基于所述令牌请求数据即可,无需再次提交注册信息中的账号和密码。
具体地,在所述登录信息验证成功后,所述电子装置1签发一个令牌,再把签发的令牌发送给终端设备2,终端设备2收到令牌后进行存储,例如存储在临时身份文件(Cookie)或本地数据库(Local Storage),终端设备2后续每次向所述电子装置1请求资源的时候需要携带签发的Token,所述电子装置1收到请求后,需要验证请求携带的令牌,若验证成功,则向终端设备2返回请求的数据,若验证失败则返回错误信息。此外,所述电子装置1还可以为签发的令牌设置一个有效期,每次接收到所述终端设备2请求的时候都需要对令牌和令牌的有效期进行验证。
S403,根据所述令牌获取所述用户的第二阶段凭证。
请参阅图6所示,在一实施方式中,终端设备2的应用程序编程接口基于所述令牌,向所述电子装置1的私密引擎(Secret engines)询问,并读取所述用户对应的,即所述用户的第一阶段凭证对应的第二阶段凭证。其中,所述第二阶段凭证为轻量目录访问协议中OU:USERS逻辑群组的账号密码、键值组或Azure账号密码。此后,终端设备2的应用程序编程接口都通过所述第二阶段凭证进行后端服务的存取,无需用户再次输入各个平台服务的账号和密码。
S404,基于后端身份验证机制和所述第二阶段凭证对所述登录信息进行第二阶段验证。
在一实施方式中,所述后端验证机制为所述电子装置1接入的多个平台服务的验证机制,并且以配置文件的形式作为验证服务接入所述电子装置1。具体地,所述基于后端身份验证机制和所述第二阶段凭证对所述登录信息进行第二阶段验证包括:根据所述令牌、所述登录信息及所述第一阶段凭证和所述第二阶段凭证之间的映射关系获取所述登录信息中的需访问平台服务所对应的至少一第二阶段凭证,分别通过所述平台服务的验证机制对所述至少一第二阶段凭证进行验证。
具体地,在后端服务层403,LDAP程序所提供的LDAP服务基于LDAP验证机制对所述第二阶段凭证进行验证。自我认证(Self Auth)程序所提供的认证服务基于键值验证机制组对所述第二阶段凭证进行验证,并且在运算资源层404由S3存储或容器(kubernetes)提供运算资源。基于WINDOW AZURE的LDAP程序及活动目录程序(WINDOWS AZURE AD)所提供的平台服务基于AZURE验证机制对所述第二阶段凭证进行验证,并且在运算资源层404由S3存储或微软容器(AZURE KUBERNETES,AKS)和非结构化存储服务(Blob Storage)提供运算资源。其中,所述运算资源层404运行在服务器3中。
S405,若所述第二阶段凭证通过验证,接受所述用户对所述至少一平台服务的存取请求。
在一实施方式中,在第二阶段,若需访问平台服务的验证机制对所述第二阶段凭证验证通过,则接受所述用户对所述平台服务的存取请求,所述终端设备2可以通过应用程序编程接口对所述平台服务进行存取。
S406,若所述登录信息未通过验证,或所述第二阶段凭证未通过验证,拒绝所述用户对所述至少一平台服务的存取请求。
在一实施方式中,若所述登录信息未通过验证,确定所述用户未通过第一阶段验证,拒绝所述用户对所有需访问平台服务的存取请求。若未正常获取任一需访问平台服务对应的第二阶段凭证,拒绝所述用户对所述平台服务的存取请求。若任一需访问平台服务的验证机制对所述第二阶段凭证验证未通过,则拒绝所述用户对所述平台服务的存取请求。
本申请的服务验证方法,对于用户来说,仅需知晓对外的单点登录账号和密码,即可通过GUI、API及敏感数据库对应到后端各种的验证机制,取得存取服务,并不会随着服务数量的增加,增加需要记住更多凭证的负担。
本申请的服务验证方法,对于已开发完成的服务开发者来说,可以选择保留自己的身份验证机制,透过键值组(key/value)的方式在敏感数据库中进行保存,还可以选择将后端身份验证机制以配置文件(Config)取代程序代码(Code),将已完成的服务透过最小的修改成本完成两阶段身份验证机制的整合。对于正在开发的服务开发者来说,选择接入如LDAP等可共享的第二阶段验证机制作为单点登录的主要验证机制,可减少保存一份账号密码,增加安全性,还可以减少开发及数据库维护成本。
请参阅图7所示,为本申请较佳实施方式提供的电子装置的结构示意图。
所述电子装置1包括,但不仅限于,处理器10、存储器20、存储在所述存储器20中并可在所述处理器10上运行的计算机程序30及私密引擎40。例如,所述计算机程序30为服务验证程序。所述处理器10执行所述计算机程序30时实现服务验证方法中的步骤,例如图2所示的步骤S201~S202和图4所示的步骤S401~S406。
示例性的,所述计算机程序30可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器20中,并由所述处理器10执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,所述指令段用于描述所述计算机程序30在所述电子装置1中的执行过程。
本领域技术人员可以理解,所述示意图仅仅是电子装置1的示例,并不构成对电子装置1的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子装置1还可以包括输入输出设备、网络接入设备、总线等。
所称处理器10可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者所述处理器10也可以是任何常规的处理器等,所述处理器10是所述电子装置1的控制中心,利用各种接口和线路连接整个电子装置1的各个部分。
所述存储器20可用于存储所述计算机程序30和/或模块/单元,所述处理器10通过运行或执行存储在所述存储器20内的计算机程序和/或模块/单元,以及调用存储在存储器20内的数据,实现所述电子装置1的各种功能。所述存储器20可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子装置1的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器20可以包括易失性和非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他存储器件。
所述电子装置1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,所述计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)。
所述私密引擎40为所述电子装置1中集成的程序,通过应用程序编程接口与终端设备2和多个平台服务连接,通过多个平台服务的验证机制对第二阶段凭证进行验证,并为所述终端设备2提供验证通过的平台服务的存取服务。
本申请提供的服务验证方法、电子装置及存储介质可以串接后端验证服务,通过两阶段的身份验证,便于对多个平台或服务的用户存取请求进行验证,同时提高验证安全性,并提高了验证服务的弹性,便于适应用户需求。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由同一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
以上实施例仅用以说明本申请的技术方案而非限制,尽管参照较佳实施例对本申请进行了详细说明,本领域的普通技术人员应当理解,可以对本申请的技术方案进行修改或等同替换,而不脱离本申请技术方案的精神和范围。
Claims (10)
1.一种服务验证方法,其特征在于,所述方法包括:
响应用户的登录请求,接收所述用户的登录信息,基于前端身份验证机制对所述登录信息进行第一阶段验证;
若所述登录信息通过验证,生成所述登录信息对应的令牌,其中,所述令牌用于提供第二阶段凭证的读取权限;
根据所述令牌获取所述用户对应的至少一平台服务的第二阶段凭证;
基于至少一后端身份验证机制和所述第二阶段凭证对所述登录信息进行第二阶段验证;及
若所述第二阶段凭证通过验证,接受所述用户对所述至少一平台服务的存取请求。
2.如权利要求1所述的服务验证方法,其特征在于,所述方法还包括:
若所述登录信息未通过验证,或所述第二阶段凭证未通过验证,拒绝所述用户对所述至少一平台服务的存取请求。
3.如权利要求1所述的服务验证方法,其特征在于,所述方法还包括:
响应所述用户的注册请求,接收所述用户提交的注册信息和平台服务信息,对所述用户提交的注册信息进行加密,并转换为第一阶段凭证;及
根据所述平台服务信息生成所述至少一平台服务的第二阶段凭证,并建立所述第一阶段凭证和所述第二阶段凭证之间的映射关系。
4.如权利要求3所述的服务验证方法,其特征在于,所述基于前端身份验证机制对所述登录信息进行第一阶段验证包括:
判断所述登录信息是否与所述第一阶段凭证匹配;
若确定所述登录信息与所述第一阶段凭证匹配,确定所述登录信息通过验证;或
若确定所述登录信息与所述第一阶段凭证不匹配,确定所述登录信息未通过验证。
5.如权利要求4所述的服务验证方法,其特征在于,所述基于后端身份验证机制和所述第二阶段凭证对所述登录信息进行第二阶段验证包括:
若确定所述登录信息与所述第一阶段凭证匹配,根据所述令牌、所述登录信息及所述第一阶段凭证和所述第二阶段凭证之间的映射关系获取所述登录信息对应的至少一第二阶段凭证;及
分别通过所述平台服务的验证机制对所述至少一第二阶段凭证进行验证。
6.如权利要求5所述的服务验证方法,其特征在于,所述根据所述平台服务信息生成所述至少一平台服务的第二阶段凭证,并建立所述第一阶段凭证和所述第二阶段凭证之间的映射关系包括:
基于每个平台服务的所述验证机制对所述注册信息再次进行加密,并生成每个平台服务的第二阶段凭证,或获取所述注册信息中包含的每个平台服务的第二阶段凭证;及
建立所述第一阶段凭证和所述第二阶段凭证之间的映射关系。
7.如权利要求3所述的服务验证方法,其特征在于:所述第一阶段凭证和第二阶段凭证均为轻量级目录访问协议的逻辑群组中的验证信息。
8.如权利要求1所述的服务验证方法,其特征在于:所述前端验证机制以键值组的形式集成于电子装置,所述后端验证机制以配置文件的形式作为验证服务接入所述电子装置。
9.一种电子装置,其特征在于,所述电子装置包括:
处理器;以及
存储器,所述存储器中存储有多个程序模块,所述多个程序模块由所述处理器加载并执行如权利要求1至8中任一项所述的服务验证方法。
10.一种计算机可读存储介质,其上存储有至少一条计算机指令,其特征在于,所述指令由处理器加载并执行如权利要求1至8中任一项所述的服务验证方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111150658.7A CN115883119B (zh) | 2021-09-29 | 2021-09-29 | 服务验证方法、电子装置及存储介质 |
US17/566,257 US20230102341A1 (en) | 2021-09-29 | 2021-12-30 | Electronic device and method for identifying service access |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111150658.7A CN115883119B (zh) | 2021-09-29 | 2021-09-29 | 服务验证方法、电子装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115883119A true CN115883119A (zh) | 2023-03-31 |
CN115883119B CN115883119B (zh) | 2024-05-24 |
Family
ID=85721784
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111150658.7A Active CN115883119B (zh) | 2021-09-29 | 2021-09-29 | 服务验证方法、电子装置及存储介质 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20230102341A1 (zh) |
CN (1) | CN115883119B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116743811A (zh) * | 2023-06-29 | 2023-09-12 | 杭州初星网络科技有限公司 | 云平台下的远程教育数据处理方法、系统及电子设备 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11941262B1 (en) * | 2023-10-31 | 2024-03-26 | Massood Kamalpour | Systems and methods for digital data management including creation of storage location with storage access ID |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101069402A (zh) * | 2004-10-26 | 2007-11-07 | 意大利电信股份公司 | 透明地验证访问web服务的移动用户的方法和系统 |
CN101729252A (zh) * | 2008-10-21 | 2010-06-09 | 中华电信股份有限公司 | 网络服务用户的身份验证系统与方法 |
CN110521182A (zh) * | 2017-04-13 | 2019-11-29 | 布鲁塔隆公司 | 协议级身份映射 |
CN111552932A (zh) * | 2020-03-27 | 2020-08-18 | 北京奇艺世纪科技有限公司 | 身份验证方法、装置、电子设备以及可读存储介质 |
US20210021605A1 (en) * | 2014-09-30 | 2021-01-21 | Citrix Systems, Inc. | Dynamic Access Control to Network Resources Using Federated Full Domain Logon |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7113994B1 (en) * | 2000-01-24 | 2006-09-26 | Microsoft Corporation | System and method of proxy authentication in a secured network |
US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
US9647989B2 (en) * | 2011-04-27 | 2017-05-09 | Symantec Corporation | System and method of data interception and conversion in a proxy |
-
2021
- 2021-09-29 CN CN202111150658.7A patent/CN115883119B/zh active Active
- 2021-12-30 US US17/566,257 patent/US20230102341A1/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101069402A (zh) * | 2004-10-26 | 2007-11-07 | 意大利电信股份公司 | 透明地验证访问web服务的移动用户的方法和系统 |
CN101729252A (zh) * | 2008-10-21 | 2010-06-09 | 中华电信股份有限公司 | 网络服务用户的身份验证系统与方法 |
US20210021605A1 (en) * | 2014-09-30 | 2021-01-21 | Citrix Systems, Inc. | Dynamic Access Control to Network Resources Using Federated Full Domain Logon |
CN110521182A (zh) * | 2017-04-13 | 2019-11-29 | 布鲁塔隆公司 | 协议级身份映射 |
CN111552932A (zh) * | 2020-03-27 | 2020-08-18 | 北京奇艺世纪科技有限公司 | 身份验证方法、装置、电子设备以及可读存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116743811A (zh) * | 2023-06-29 | 2023-09-12 | 杭州初星网络科技有限公司 | 云平台下的远程教育数据处理方法、系统及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN115883119B (zh) | 2024-05-24 |
US20230102341A1 (en) | 2023-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11297064B2 (en) | Blockchain authentication via hard/soft token verification | |
US10171241B2 (en) | Step-up authentication for single sign-on | |
US11544356B2 (en) | Systems and methods for dynamic flexible authentication in a cloud service | |
CN113114624B (zh) | 基于生物特征的身份认证方法和装置 | |
US20080028453A1 (en) | Identity and access management framework | |
US8683196B2 (en) | Token renewal | |
EP2491673B1 (en) | Authentication using cloud authentication | |
EP3685287B1 (en) | Extensible framework for authentication | |
US11888856B2 (en) | Secure resource authorization for external identities using remote principal objects | |
US11552956B2 (en) | Secure resource authorization for external identities using remote principal objects | |
CN115883119B (zh) | 服务验证方法、电子装置及存储介质 | |
US20200382323A1 (en) | Centralized authentication and authorization with certificate management | |
CN116192483A (zh) | 认证鉴权方法、装置、设备及介质 | |
US11750391B2 (en) | System and method for performing a secure online and offline login process | |
WO2022103823A1 (en) | Efficient transfer of authentication credentials between client devices | |
US11736464B2 (en) | Backup authentication system configured to use an authentication package from a primary authentication system to authenticate a principal | |
CN109313681B (zh) | 具有审计功能的虚拟智能卡 | |
TWI777792B (zh) | 服務驗證方法、電子裝置及存儲介質 | |
CN115278671A (zh) | 网元鉴权方法、装置、存储介质和电子设备 | |
US20230064529A1 (en) | User controlled identity provisioning for software applications | |
US11917087B2 (en) | Transparent short-range wireless device factor in a multi-factor authentication system | |
WO2023160632A1 (zh) | 针对飞地实例的云服务访问权限设置方法和云管理平台 | |
KR20230077416A (ko) | Fido 2.0 소프트웨어를 기반으로 서비스를 제공하는 사용자 단말 및 방법 | |
CN113987461A (zh) | 身份认证方法、装置和电子设备 | |
JP2024072460A (ja) | 認証システムおよび認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |