CN116015824A - 一种平台统一认证方法、设备、介质 - Google Patents
一种平台统一认证方法、设备、介质 Download PDFInfo
- Publication number
- CN116015824A CN116015824A CN202211636332.XA CN202211636332A CN116015824A CN 116015824 A CN116015824 A CN 116015824A CN 202211636332 A CN202211636332 A CN 202211636332A CN 116015824 A CN116015824 A CN 116015824A
- Authority
- CN
- China
- Prior art keywords
- login
- authentication
- preset
- platform
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种平台统一认证方法、设备、介质,所述方法应用于服务端的认证平台,用于针对多个业务系统实现登录认证及角色权限管理,认证方法包括如下步骤:获取包括目标URL地址的用户请求信息,判断用户是否已经登录,若否,经过降级检测后跳转至预设的登陆发起页面,若是,转至与目标URL地址匹配的页面;在登陆发起页面中,获取登录账户及口令信息,并与通过预设的接口获取的和/或预置在内的包括多个业务系统的角色权限信息进行匹配,判断身份认证是否通过,若是,生成令牌信息,业务系统在校验令牌信息后,跳转至与目标URL地址匹配的页面,完成登录。与现有技术相比,本发明具有灵活性高、权限数据的管理方便等优点。
Description
技术领域
本发明涉及网络安全领域,尤其是涉及一种平台统一认证方法、设备、介质。
背景技术
现有多平台账户权限统一管理方法灵活性较差,且对权限数据的管理效率较低。现有的管理系统大多使用微服务框架搭建,为每个对接系统分配一个公钥,当用户登录时记录用户登录信息,并返回一个token,业务系统根据token获取用户的角色、权限等信息。
中国专利申请号CN201710283872.7公开了一种面向系统集成的跨域单点登录系统及方法。该系统包括终端、访问代理服务器、单点登录服务器,访问代理服务器部署在子系统前,并与子系统处于同一顶级域下,用于全权处理和转发一切发往子系统的请求;单点登录服务器,包括统一登录接口、授权码生成模块、授权码管理模块、模拟登录模块。在不侵入系统代码、不更改系统设置的情况下,实现跨域、跨开发平台的单点登录,适用于高并发场景、支持免登陆。当用户访问子系统时,访问代理服务器将请求重定向到统一登录界面,用户成功登录后,生成唯一授权码。通过使用模拟登录的方式,将授权码及登录信息发送到子系统。用户使用授权码直接访问本系统或其他系统,无需再次登录。但是,该申请并未解决对权限数据的管理效率较低的问题。
综上,角色与权限的管理,目前各业务系统自行维护权限信息,统一管理成本较高,且对本系统依赖较大。当前缺少一种平台统一认证方法,以解决或部分解决对权限数据的管理效率较低的问题。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种平台统一认证方法、设备、介质,以解决或部分解决现有的权限管理平台灵活性较差,且对权限数据的管理效率较低的问题。
本发明的目的可以通过以下技术方案来实现:
本发明的一个方面,提供了一种平台统一认证方法,应用于服务端的认证平台,用于针对多个业务系统实现登录认证及角色权限管理,所述认证方法包括如下步骤:
获取包括目标URL地址的用户请求信息,判断用户是否已经登录,若否,经过降级检测后跳转至预设的登陆发起页面,若是,转至与所述目标URL地址匹配的页面;
在所述登陆发起页面中,获取登录账户及口令信息,并与通过预设的接口获取的和/或预置在内的包括多个业务系统的角色权限信息进行匹配,判断身份认证是否通过,若是,生成令牌信息,业务系统在校验所述令牌信息后,跳转至与所述目标URL地址匹配的页面,并创建session会话完成登录,若否,发送认证失败的提示信息。
作为优选的技术方案,判断用户是否已经登录具体为:
根据是否存在session信息判断用户是否已经登录。
作为优选的技术方案,所述的业务系统通过SDK或源码解析实现对所述令牌信息的校验。
作为优选的技术方案,所述的降级检测具体为:
判断redis跳转标识是否正常,若否,跳转至预设的业务系统登录页面,若是,对预设的登录认证接口进行检测,判断接口返回是否正常,若是,降级检测通过,若否,跳转至预设的业务系统登录页面,对错误进行记录,满足预设规则后将redis跳转标识设置为不正常状态。
作为优选的技术方案,满足预设规则后将redis跳转标识设置为不正常状态具体为:
当错误次数达到预设的阈值后,修改redis跳转标识设置为不正常状态。
作为优选的技术方案,若redis跳转标识设置为不正常状态,经过预设时间后重置为正常状态。
作为优选的技术方案,跳转至预设的业务系统登录页面之后,还包括:
获取登录账户及口令信息,通过统预设的认证接口进行认证。
作为优选的技术方案,还包括:
定期通过预设接口和/或数据的同步方式获取并更新所述角色权限信息。
本发明的另一个方面,提供了一种电子设备,包括:一个或多个处理器以及存储器,所述存储器内储存有一个或多个程序,所述一个或多个程序包括用于执行上述平台统一认证方法的指令。
本发明的另一个方面,提供了一种计算机可读存储介质,包括供电子设备的一个或多个处理器执行的一个或多个程序,所述一个或多个程序包括用于执行上述平台统一认证方法的指令。
与现有技术相比,本发明具有以下优点:
(1)相较于传统的方法需要为每个业务系统分配公钥,自行维护权限信息的方法,本方法通过使权限管理认证平台与各个业务系统对接,将登录认证及权限管理的功能集中,各业务系统接到请求信息后判断用户是否登录,若未登录由认证平台根据获取的角色权限信息进行认证,由此能够实现业务系统用户与角色的统一管理以及登录认证,减小权限管理成本,提高权限管理效率,并提高认证平台的灵活度。
(2)在跳转至预设的登陆发起页面前进行降级检测,能够在认证平台的登陆页面因故无法访问时,跳转至业务系统自带的认证页面,通过平台预设的认证接口完成登录,有较强的鲁棒性。
附图说明
图1为实施例1中平台统一认证方法的流程图;
图2为实施例1中平台统一认证过程的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
实施例1
如图1-2所述,本实施例提供了一种平台统一认证方法。本方法通过在服务端设置统一权限管理平台实现登录认证、用户数据同步和权限角色管控。其中登录认证又根据业务系统自身特点不同,分为单点登录和接口后置两种模式。
统一权限管理平台的功能如表1所述。
表1 统一权限管理平台的功能
如图2所述为单点登录流程的示意图,用户访问业务系统,业务系统会重定向到统一权限管理平台的SP登录发起地址,在统一权限管理平台认证通过后,会向业务系统返回SP登录发起地址的页面并携带请求事件redirect_url参数,用户登录后SP会向浏览器返回并显示用户访问的资源页面。具体步骤如下所述:
1.用户在浏览器输入SP业务系统的URL地址;
2.浏览器根据用户输入的URL,向SP业务系统请求资源;
3.SP业务系统判断用户是否已经在本系统登录(通常是SP业务系统判断存在session信息并且存在用户信息),若该用户已登录直接跳至步骤(13),若未登录进行降级检测,若检测通过进行步骤(4);
4.SP业务系统向浏览器返回重定向响应,重定向的地址为“SP登录发起地址”(该地址由统一权限管理平台提供;
5.浏览器自动请求统一权限管理平台的“SP登录发起地址”
6.用户输入自己的AD域账户和密码后,提交登录;
7.浏览器携带账号密码请求统一权限管理平台;
8.统一权限管理平台对用户的账号和密码进行认证,认证通过后,生成id_token票据信息;
9.统一权限管理平台向浏览器返回重定向响应,重定向的URL地址为“SP回调地址”(该地址由业务系统提供,并在申请密钥时,提供给统一权限管理平台,重定向的URL中包含了id_token;
10.浏览器携带着id_token等信息,请求业务系统提供的“SP回调地址”;
11.SP业务系统通过SDK(或源码解析)对id_token进行校验;应用系统接收和解析token方法参见:单点登录Token验证
12.校验成功后,创建session会话,向浏览器返回用户访问的页面
13.用户查看到自己访问的页面资源
接口后置登录流程为,统一权限提供一个登录认证接口,接口code是200的情况下代表统一权限管理平台服务正常。如果不是200或者接口调用超时,说明服务出现异常,及时切换登录地址
降级策略流程图1所述,若用户未登录则进行降级检测,判断redis跳转标识是否正常,若不正常,重定向到业务系统的登陆地址,若正常,调用统一权限管理平台服务器检测接口进行接口检测。若接口检测正常,则重定向到统一权限管理平台SP发起登陆地址,若检测接口返回错误或超时,则重定向到业务系统的登录地址并进行错误次数计数。当计数值超过预设的阈值时,则将redis跳转标识为不正常;并设置redis标识存在时间(例如设置为半小时),超过存在时间后重置为正常。
当redis标识标记为正常时每次都要调用检测接口,标记为不正常时直接重定向业务系统登录地址。
本实施例的平台统一认证方法具备了整合企业应用管理能力,是企业现有的应用与新应用的集成节点,使用户能够与人员、内容、应用和流程进行个性化的、安全的互动交流。同时也实现了个性化定制的工作环境,使员工能够高效工作的重要工具。统一权限每天通过文件传输的方式获取各业务系统全量用户文件、用户与角色与权限文件,若业务系统人员信息、角色权限有变动会通过实时接口同步通知统一权限。统一管理用户角色权限信息,对于业务系统来说,不需要花费大量成本维护。
实施例2
本实施例提供了一种电子设备,包括:一个或多个处理器以及存储器,所述存储器内储存有一个或多个程序,所述一个或多个程序包括用于执行如实施例1所述的平台统一认证方法的指令。
本发明的另一个方面,提供了一种计算机可读存储介质,包括供电子设备的一个或多个处理器执行的一个或多个程序,所述一个或多个程序包括用于执行如实施例1所述的平台统一认证方法的指令。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种平台统一认证方法,其特征在于,应用于服务端的认证平台,用于针对多个业务系统实现登录认证及角色权限管理,所述认证方法包括如下步骤:
获取包括目标URL地址的用户请求信息,判断用户是否已经登录,若否,经过降级检测后跳转至预设的登陆发起页面,若是,转至与所述目标URL地址匹配的页面;
在所述登陆发起页面中,获取登录账户及口令信息,并与通过预设的接口获取的和/或预置在内的包括多个业务系统的角色权限信息进行匹配,判断身份认证是否通过,若是,生成令牌信息,业务系统在校验所述令牌信息后,跳转至与所述目标URL地址匹配的页面,并创建session会话完成登录,若否,发送认证失败的提示信息。
2.根据权利要求1所述的一种平台统一认证方法,其特征在于,判断用户是否已经登录具体为:
根据是否存在session信息判断用户是否已经登录。
3.根据权利要求1所述的一种平台统一认证方法,其特征在于,所述的业务系统通过SDK或源码解析实现对所述令牌信息的校验。
4.根据权利要求1所述的一种平台统一认证方法,其特征在于,所述的降级检测具体为:
判断redis跳转标识是否正常,若否,跳转至预设的业务系统登录页面,若是,对预设的登录认证接口进行检测,判断接口返回是否正常,若是,降级检测通过,若否,跳转至预设的业务系统登录页面,对错误进行记录,满足预设规则后将redis跳转标识设置为不正常状态。
5.根据权利要求4所述的一种平台统一认证方法,其特征在于,满足预设规则后将redis跳转标识设置为不正常状态具体为:
当错误次数达到预设的阈值后,修改redis跳转标识设置为不正常状态。
6.根据权利要求4所述的一种平台统一认证方法,其特征在于,若redis跳转标识设置为不正常状态,经过预设时间后重置为正常状态。
7.根据权利要求4所述的一种平台统一认证方法,其特征在于,跳转至预设的业务系统登录页面之后,还包括:
获取登录账户及口令信息,通过统预设的认证接口进行认证。
8.根据权利要求1所述的一种平台统一认证方法,其特征在于,还包括:
定期通过预设接口和/或数据的同步方式获取并更新所述角色权限信息。
9.一种电子设备,其特征在于,包括:一个或多个处理器以及存储器,所述存储器内储存有一个或多个程序,所述一个或多个程序包括用于执行如权利要求1-8任一所述平台统一认证方法的指令。
10.一种计算机可读存储介质,其特征在于,包括供电子设备的一个或多个处理器执行的一个或多个程序,所述一个或多个程序包括用于执行如权利要求1-8任一所述平台统一认证方法的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211636332.XA CN116015824A (zh) | 2022-12-20 | 2022-12-20 | 一种平台统一认证方法、设备、介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211636332.XA CN116015824A (zh) | 2022-12-20 | 2022-12-20 | 一种平台统一认证方法、设备、介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116015824A true CN116015824A (zh) | 2023-04-25 |
Family
ID=86029070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211636332.XA Pending CN116015824A (zh) | 2022-12-20 | 2022-12-20 | 一种平台统一认证方法、设备、介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015824A (zh) |
-
2022
- 2022-12-20 CN CN202211636332.XA patent/CN116015824A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309683B (zh) | 基于token的客户端身份验证的方法及系统 | |
| US8869258B2 (en) | Facilitating token request troubleshooting | |
| CN112597472B (zh) | 单点登录方法、装置及存储介质 | |
| US20090094383A1 (en) | User Enrollment in an E-Community | |
| US8365245B2 (en) | Previous password based authentication | |
| CN111475795A (zh) | 一种面向多应用进行统一认证授权的方法及装置 | |
| CN111490981A (zh) | 访问管理方法、装置、堡垒机及可读存储介质 | |
| CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
| CN112838951B (zh) | 一种终端设备的运维方法、装置、系统及存储介质 | |
| CN111355713A (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| CN107040518A (zh) | 一种私有云服务器登录方法及系统 | |
| US8127033B1 (en) | Method and apparatus for accessing local computer system resources from a browser | |
| JP2009003559A (ja) | シングルサインオンサーバ用コンピュータシステム及びプログラム | |
| CN111371787B (zh) | 中台服务的登录注册方法、装置、系统、服务器及介质 | |
| CN112434054A (zh) | 一种审计日志的更新方法及装置 | |
| CN111259368A (zh) | 一种登录系统的方法及设备 | |
| JP2007323320A (ja) | ログファイルの送信システム及びその方法 | |
| CN114257451B (zh) | 验证界面更换方法、装置、存储介质及计算机设备 | |
| CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| CN105681291A (zh) | 一种实现多客户端统一认证方法及系统 | |
| CN116015824A (zh) | 一种平台统一认证方法、设备、介质 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| CN115225354A (zh) | 多应用单点登录方法、装置、计算机设备和介质 | |
| CN111092864B (zh) | 一种会话保护方法、装置、设备及可读存储介质 | |
| WO2006059852A1 (en) | Method and system for providing resources by using virtual path |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |