CN116074129B - 一种集成与兼容第三方认证的登录方法及系统 - Google Patents
一种集成与兼容第三方认证的登录方法及系统 Download PDFInfo
- Publication number
- CN116074129B CN116074129B CN202310355297.2A CN202310355297A CN116074129B CN 116074129 B CN116074129 B CN 116074129B CN 202310355297 A CN202310355297 A CN 202310355297A CN 116074129 B CN116074129 B CN 116074129B
- Authority
- CN
- China
- Prior art keywords
- description object
- login
- response
- party system
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明涉及计算机认证技术领域,公开了一种集成与兼容第三方认证的登录方法及系统,其方法通过在登录环节就集成第三方系统自有身份认证的方式,使得客户端在统一登录平台登录之后,具有完备的第三方系统的身份标志,进而获取单独登录第三方系统一样的全部权限,简化了登录环节,免去对后续第三方系统权限鉴定机制的影响,有效地优化了第三方认证登录模块流程,降低了时间成本,有效地提高了兼并系统的执行效率,从而不仅有效地提高了登录各个项目的便捷程度,还有效地降低被入侵被盗用的风险。
Description
技术领域
本发明涉及计算机认证技术领域,尤其涉及一种集成与兼容第三方认证的登录方法及系统。
背景技术
随着企业的发展和信息化建设的深入,用户日常经常需要操作多个系统,管理多个系统的账号和URL地址,多次登录账号,这对于用户来说,极其不方便。打通新建的或已有的第三方系统的身份认证机制,使得用户最终能只记得一个账号,即可访问多个系统,越发成为减轻企业用户负担的重要需求。
当前通用的单点登录技术(single sign on,SSO)本质上是以此需求为出发点,使得各个应用系统不需要再实现身份认证,通过集成公共的认证服务,即可达到统一用户账号的目的。
但是,在现行环境中,有许多前期的应用系统,已经各自实现了系统内的身份认证模块,并依赖于此实现权限鉴定逻辑,而且,权限鉴定逻辑可能散布于各处具体业务中,这使得在搭建统一登录平台时,没有自有的登录机制,需要综合考虑新建系统以及已有的应用系统,这使得只有兼容这两类型,才真正给用户带来预期的便利。
在现行企业环境中,兼容已有应用系统的身份认证与权限鉴定机制,应该以低入侵、低依赖、易部署为原则,尽量减少对旧有系统的开发与实施改造工作。
但目前对于兼容第三方认证登录模块流程的时间成本较高,兼并系统的执行效率较低,这使得登录各个项目的便捷程度不高,增加了系统被入侵被盗用的风险。
发明内容
本发明提供了一种集成与兼容第三方认证的登录方法及系统,解决了对于兼容第三方认证登录模块流程的时间成本较高,兼并系统的执行效率较低,这使得登录各个项目的便捷程度不高,增加了系统被入侵被盗用的风险的技术问题。
有鉴于此,本发明第一方面提供了一种集成与兼容第三方认证的登录方法,应用中央认证服务端、浏览器和第三方系统,所述中央认证服务端用于部署中央授权服务,所述浏览器用于提交用户登录指令,并发起用户登录请求和接收所述用户登录请求对应的响应,还用于访问所述第三方系统的资源;所述第三方系统为集成于中央认证服务端中的第三方非信任系统,所述第三方系统包含登录模块,用于提交用户登录请求;其登录方法包括以下步骤:
通过所述浏览器经过所述中央认证服务端对所述第三方系统发起登录请求,所述登录请求包含第三方系统身份信息和身份认证信息,通过所述中央认证服务端对所述身份认证信息进行校验,若校验通过,则执行下一步;
通过所述中央认证服务端按照所述第三方系统身份信息免密登入到对应的第三方系统,得到登录成功的HTTP协议响应;
通过所述中央认证服务端将所述HTTP协议响应进行格式化为响应描述对象,所述响应描述对象包含所述HTTP协议响应对应的头域信息和标签;
通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序;
通过所述延迟登录应用程序利用私钥对加密后的响应描述对象进行解密,若未解密为对应的响应描述对象,则认定其对应的所述登录请求为非法请求,若解密为对应的响应描述对象,则执行下一步;
通过所述延迟登录应用程序随机生成一个标志,使得所述标志与所述响应描述对象映射为键值缓存至本地,并将所述标志返回至所述中央认证服务端;
通过所述中央认证服务端向所述浏览器发送所述HTTP协议响应,并使浏览器携带所述标志跳转到所述第三方系统的延迟登录应用程序中;
通过所述第三方系统的延迟登录应用程序根据浏览器所提供的所述标志,匹配到其对应的响应描述对象,并将所述响应描述对象对应的头域信息和标签设置到HTTP协议响应中,将设置好的HTTP协议响应返回给所述浏览器;
通过所述浏览器根据所述HTTP协议响应登录到所述第三方系统,并访问所述第三方系统的资源。
优选地,通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序的步骤具体包括:
基于RSA非对称算法,通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序。
优选地,所述第三方系统设有客户端库,所述客户端库用于缓存登录成功的HTTP协议响应,并为其提供对应的标志,使HTTP 协议响应与标志之间构成映射关系。
优选地,通过所述延迟登录应用程序利用私钥对加密后的响应描述对象进行解密,若未解密为对应的响应描述对象,则认定其对应的所述登录请求为非法请求,若解密为对应的响应描述对象,则执行下一步的步骤还包括:
若解密为对应的响应描述对象,则生成set-cookie语句发送至所述浏览器中,通过所述浏览器设置所述第三方系统的cookie内容。
第二方面,本发明提供了一种集成与兼容第三方认证的登录系统,应用中央认证服务端、浏览器和第三方系统,所述中央认证服务端用于部署中央授权服务,所述浏览器用于提交用户登录指令,并发起用户登录请求和接收所述用户登录请求对应的响应,还用于访问所述第三方系统的资源;所述第三方系统为集成于中央认证服务端中的第三方非信任系统,所述第三方系统包含登录模块,用于提交用户登录请求;其登录服务系统包括:
登录请求模块,用于通过所述浏览器经过所述中央认证服务端对所述第三方系统发起登录请求,所述登录请求包含第三方系统身份信息和身份认证信息,通过所述中央认证服务端对所述身份认证信息进行校验;
免密模块,用于通过所述中央认证服务端按照所述第三方系统身份信息免密登入到对应的第三方系统,得到登录成功的HTTP协议响应;
格式化模块,用于通过所述中央认证服务端将所述HTTP协议响应进行格式化为响应描述对象,所述响应描述对象包含所述HTTP协议响应对应的头域信息和标签;
加密模块,用于通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序;
解密模块,用于通过所述延迟登录应用程序利用私钥对加密后的响应描述对象进行解密,若未解密为对应的响应描述对象,则认定其对应的所述登录请求为非法请求,若解密为对应的响应描述对象,则向标志模块发送工作信号;
所述标志模块,用于通过所述延迟登录应用程序随机生成一个标志,使得所述标志与所述响应描述对象映射为键值缓存至本地,并将所述标志返回至所述中央认证服务端;
第三方跳转模块,用于通过所述中央认证服务端向所述浏览器发送所述HTTP协议响应,并使浏览器携带所述标志跳转到所述第三方系统的延迟登录应用程序中;
匹配模块,用于通过所述第三方系统的延迟登录应用程序根据浏览器所提供的所述标志,匹配到其对应的响应描述对象,并将所述响应描述对象对应的头域信息和标签设置到HTTP协议响应中,将设置好的HTTP协议响应返回给所述浏览器;
登录模块,用于通过所述浏览器根据所述HTTP协议响应登录到所述第三方系统,并访问所述第三方系统的资源。
优选地,所述加密模块具体用于,基于RSA非对称算法,通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序。
优选地,所述第三方系统设有客户端库,所述客户端库用于缓存登录成功的HTTP协议响应,并为其提供对应的标志,使HTTP 协议响应与标志之间构成映射关系。
优选地,本系统还包括:
浏览器设置模块,用于若解密为对应的响应描述对象,则生成响应描述对象对应的set-cookie语句发送至所述浏览器中,通过所述浏览器设置所述第三方系统的cookie内容。
从以上技术方案可以看出,本发明具有以下优点:
通过浏览器经过中央认证服务端对第三方系统发起登录请求,中央认证服务端按照第三方系统身份信息免密登入到对应的第三方系统,得到登录成功的HTTP协议响应,并将HTTP协议响应进行格式化为响应描述对象,还加密响应描述对象,保证数据的安全性,防止被非法入侵,通过第三方系统的延迟登录应用程序对加密后的响应描述对象进行解密,并随机生成一个与响应描述对象映射的标志,并将标志返回至中央认证服务端,通过向浏览器发送所述HTTP协议响应,并使浏览器携带标志跳转到第三方系统的延迟登录应用程序中,根据标志匹配到其对应的响应描述对象,并将响应描述对象对应的头域信息和标签设置到HTTP协议响应中,将设置好的HTTP协议响应返回给浏览器,通过浏览器根据HTTP协议响应登录到第三方系统,并访问第三方系统的资源。
本发明通过在登录环节就集成第三方系统自有身份认证的方式,使得客户端在统一登录平台登录之后,具有完备的第三方系统的身份标志,进而获取单独登录第三方系统一样的全部权限,简化了登录环节,免去对后续第三方系统权限鉴定机制的影响,有效地优化了第三方认证登录模块流程,降低了时间成本,有效地提高了兼并系统的执行效率,从而不仅有效地提高了登录各个项目的便捷程度,还有效地降低被入侵被盗用的风险。
附图说明
图1为本发明实施例提供的中央认证服务端、浏览器和第三方系统之间的通信示意图;
图2为本发明实施例提供的一种集成与兼容第三方认证的登录方法的流程图;
图3为本发明实施例提供的一种集成与兼容第三方认证的登录系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的一种集成与兼容第三方认证的登录方法,应用于任何多系统分布的场景,集成与兼容第三方认证的统一登录,实现信任列表系统内,将繁琐、重复、易误操作的传统登录模式转变为操作步骤一键登录模式。
其中,登录方法应用中央认证服务端、浏览器和第三方系统,其三者具体通信方式如图1所示,中央认证服务端用于部署中央授权服务,浏览器用于提交用户登录指令,并发起用户登录请求和接收用户登录请求对应的响应,还用于访问第三方系统的资源;第三方系统为集成于中央认证服务端中的第三方非信任系统,第三方系统包含登录模块,用于提交用户登录请求。
其中,第三方系统是在中央认证服务端中,除去相互信任系统外的第三方系统,即需要集成进相互信任系统集中的第三方非信任系统,同时,保留了自己的登录模块。
中央认证服务端中的中心授权服务(Central Authentication Service,CAS)是一个开源协议,用于实现单点登录(Single Sign On,SSO),,也即实现只输入一次用户名密码,就能同时登录多个产品的效果。
为了便于理解,请参阅图2,本发明提供的一种集成与兼容第三方认证的登录方法,包括以下步骤:
S1、通过浏览器经过中央认证服务端对第三方系统发起登录请求,登录请求包含第三方系统身份信息和身份认证信息,通过中央认证服务端对身份认证信息进行校验,若校验通过,则执行下一步。
在一个示例中,身份认证信息包括用户名与密码,浏览器发送登录请求到中央认证服务端进行用户名与密码校验,若校验密码错误,提示密码错误。
S2、通过中央认证服务端按照第三方系统身份信息免密登入到对应的第三方系统,得到登录成功的HTTP协议响应。
其中,免密登录方式,由第三方系统与中央认证服务端自由约定,例如:使用第三方系统提供所有账号都统一的万能密码进行登录,或者约定使用证书认证或非对称加密算法等加密信道以保证通信可信任等等,在此不再赘述。
S3、通过中央认证服务端将HTTP协议响应进行格式化为响应描述对象,响应描述对象包含HTTP协议响应对应的头域信息和标签。
其中,其中,对于响应描述对象的各类头域信息按键值对存储;对于标签一序列化为BASE64进行存储。
S4、通过中央认证服务端使用公钥加密响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序。
在本实施例中,加密算法使用非对称加密算法。通过使用非对称加密算法,对数据进行加密传输,保证了数据的安全性,不被修改,不被非法入侵。
S5、通过延迟登录应用程序利用私钥对加密后的响应描述对象进行解密,若未解密为对应的响应描述对象,则认定其对应的登录请求为非法请求,若解密为对应的响应描述对象,则执行下一步。
S6、通过延迟登录应用程序随机生成一个标志,使得标志与响应描述对象映射为键值缓存至本地,并将标志返回至中央认证服务端。
在本实施例中,使用唯一标识符生成标志。
S7、通过中央认证服务端向浏览器发送HTTP协议响应,并使浏览器携带标志跳转到第三方系统的延迟登录应用程序中。
S8、通过第三方系统的延迟登录应用程序根据浏览器所提供的标志,匹配到其对应的响应描述对象,并将响应描述对象对应的头域信息和标签设置到HTTP协议响应中,将设置好的HTTP协议响应返回给浏览器。
S9、通过浏览器根据HTTP协议响应登录到第三方系统,并访问第三方系统的资源。
需要说明的是,本发明提供了一种集成与兼容第三方认证的登录方法,通过浏览器经过中央认证服务端对第三方系统发起登录请求,中央认证服务端按照第三方系统身份信息免密登入到对应的第三方系统,得到登录成功的HTTP协议响应,并将HTTP协议响应进行格式化为响应描述对象,还加密响应描述对象,保证数据的安全性,防止被非法入侵,通过第三方系统的延迟登录应用程序对加密后的响应描述对象进行解密,并随机生成一个与响应描述对象映射的标志,并将标志返回至中央认证服务端,通过向浏览器发送HTTP协议响应,并使浏览器携带标志跳转到第三方系统的延迟登录应用程序中,根据标志匹配到其对应的响应描述对象,并将响应描述对象对应的头域信息和标签设置到HTTP协议响应中,将设置好的HTTP协议响应返回给浏览器,通过浏览器根据HTTP协议响应登录到第三方系统,并访问第三方系统的资源,从而通过在登录环节就集成第三方系统自有身份认证的方式,使得客户端在统一登录平台登录之后,具有完备的第三方系统的身份标志,进而获取单独登录第三方系统一样的全部权限,简化了登录环节,免去对后续第三方系统权限鉴定机制的影响,有效地优化了第三方认证登录模块流程,降低了时间成本,有效地提高了兼并系统的执行效率,从而不仅有效地提高了登录各个项目的便捷程度,还有效地降低被入侵被盗用的风险。
在一个具体实施例中,步骤S4具体包括:
基于RSA非对称算法,通过中央认证服务端使用公钥加密响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序。
其中,通过加密的方式保证登录请求可信任。在本实施例中,使用RSA非对称算法,中央认证服务端拥有私钥,第三方系统拥有公钥,这样使得第三方系统中集成的延迟登录应用程序只接受中央认证服务端的登录请求,拒绝其他来源的非法请求。在其他实施例中,也可以使用其他非对称加密技术,或者数字签名技术,例如HMAC数字签名等等。
在一个具体实施例中,第三方系统设有客户端库,客户端库用于缓存登录成功的HTTP 协议响应,并为其提供对应的标志,使HTTP 协议响应与标志之间构成映射关系。
其中,客户端库,即cas-authon-cookie.jar包,本流程要求在第三方系统中引用该jar包,并通过注解或xml的方式激活jar包中的延迟登录应用程序。该jar包是缓存登录成功的HTTP协议响应内容并提供标志,使得后续浏览器可以凭借标签匹配并获取到该HTTP协议响应。
在一个具体实施例中,步骤S5还包括:
若解密为对应的响应描述对象,则生成set-cookie语句发送至浏览器中,通过浏览器设置第三方系统的cookie内容。
以上为本发明提供的一种集成与兼容第三方认证的登录方法的实施例,以下为本发明提供的一种集成与兼容第三方认证的登录系统的实施例。
本发明提供的一种集成与兼容第三方认证的登录系统,应用于任何多系统分布的场景,集成与兼容第三方认证的统一登录,实现信任列表系统内,将繁琐、重复、易误操作的传统登录模式转变为操作步骤一键登录模式。
其中,登录系统应用中央认证服务端、浏览器和第三方系统,其三者具体通信方式如图1所示,中央认证服务端用于部署中央授权服务,浏览器用于提交用户登录指令,并发起用户登录请求和接收用户登录请求对应的响应,还用于访问第三方系统的资源;第三方系统为集成于中央认证服务端中的第三方非信任系统,第三方系统包含登录模块,用于提交用户登录请求。
其中,第三方系统是在中央认证服务端中,除去相互信任系统外的第三方系统,即需要集成进相互信任系统集中的第三方非信任系统,同时,保留了自己的登录模块。
中央认证服务端中的中心授权服务(Central Authentication Service,CAS)是一个开源协议,用于实现单点登录(Single Sign On,SSO),,也即实现只输入一次用户名密码,就能同时登录多个产品的效果。
如图3所示,本发明提供的集成与兼容第三方认证的登录系统包括:
登录请求模块100,用于通过浏览器经过中央认证服务端对第三方系统发起登录请求,登录请求包含第三方系统身份信息和身份认证信息,通过中央认证服务端对身份认证信息进行校验;
免密模块200,用于通过中央认证服务端按照第三方系统身份信息免密登入到对应的第三方系统,得到登录成功的HTTP协议响应;
格式化模块300,用于通过中央认证服务端将HTTP协议响应进行格式化为响应描述对象,响应描述对象包含HTTP协议响应对应的头域信息和标签;
加密模块400,用于通过中央认证服务端使用公钥加密响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序;
在一个示例中,加密模块400具体用于,基于RSA非对称算法,通过中央认证服务端使用公钥加密响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序。
解密模块500,用于通过延迟登录应用程序利用私钥对加密后的响应描述对象进行解密,若未解密为对应的响应描述对象,则认定其对应的登录请求为非法请求,若解密为对应的响应描述对象,则向标志模块600发送工作信号;
标志模块600,用于通过延迟登录应用程序随机生成一个标志,使得标志与响应描述对象映射为键值缓存至本地,并将标志返回至中央认证服务端;
第三方跳转模块700,用于通过中央认证服务端向浏览器发送HTTP协议响应,并使浏览器携带标志跳转到第三方系统的延迟登录应用程序中;
匹配模块800,用于通过第三方系统的延迟登录应用程序根据浏览器所提供的标志,匹配到其对应的响应描述对象,并将响应描述对象对应的头域信息和标签设置到HTTP协议响应中,将设置好的HTTP协议响应返回给浏览器;
登录模块900,用于通过浏览器根据HTTP协议响应登录到第三方系统,并访问第三方系统的资源。
在一个具体实施例中,第三方系统设有客户端库,客户端库用于缓存登录成功的HTTP 协议响应,并为其提供对应的标志,使HTTP 协议响应与标志之间构成映射关系。
在一个具体实施例中,本系统还包括:
浏览器设置模块,用于若解密为对应的响应描述对象,则生成响应描述对象对应的set-cookie语句发送至浏览器中,通过浏览器设置第三方系统的cookie内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种集成与兼容第三方认证的登录方法,其特征在于,应用中央认证服务端、浏览器和第三方系统,所述中央认证服务端用于部署中央授权服务,所述浏览器用于提交用户登录指令,并发起用户登录请求和接收所述用户登录请求对应的响应,还用于访问所述第三方系统的资源;所述第三方系统为集成于中央认证服务端中的第三方非信任系统,所述第三方系统包含登录模块,用于提交用户登录请求;其登录方法包括以下步骤:
通过所述浏览器经过所述中央认证服务端对所述第三方系统发起登录请求,所述登录请求包含第三方系统身份信息和身份认证信息,通过所述中央认证服务端对所述身份认证信息进行校验,若校验通过,则执行下一步;
通过所述中央认证服务端按照所述第三方系统身份信息免密登入到对应的第三方系统,得到登录成功的HTTP协议响应;
通过所述中央认证服务端将所述HTTP协议响应进行格式化为响应描述对象,所述响应描述对象包含所述HTTP协议响应对应的头域信息和标签;
通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序;
通过所述延迟登录应用程序利用私钥对加密后的响应描述对象进行解密,若未解密为对应的响应描述对象,则认定其对应的所述登录请求为非法请求,若解密为对应的响应描述对象,则执行下一步;
通过所述延迟登录应用程序随机生成一个标志,使得所述标志与所述响应描述对象映射为键值缓存至本地,并将所述标志返回至所述中央认证服务端;
通过所述中央认证服务端向所述浏览器发送所述HTTP协议响应,并使浏览器携带所述标志跳转到所述第三方系统的延迟登录应用程序中;
通过所述第三方系统的延迟登录应用程序根据浏览器所提供的所述标志,匹配到其对应的响应描述对象,并将所述响应描述对象对应的头域信息和标签设置到HTTP协议响应中,将设置好的HTTP协议响应返回给所述浏览器;
通过所述浏览器根据所述HTTP协议响应登录到所述第三方系统,并访问所述第三方系统的资源。
2.根据权利要求1所述的集成与兼容第三方认证的登录方法,其特征在于,通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序的步骤具体包括:
基于RSA非对称算法,通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序。
3.根据权利要求1所述的集成与兼容第三方认证的登录方法,其特征在于,所述第三方系统设有客户端库,所述客户端库用于缓存登录成功的HTTP 协议响应,并为其提供对应的标志,使HTTP 协议响应与标志之间构成映射关系。
4.根据权利要求1所述的集成与兼容第三方认证的登录方法,其特征在于,通过所述延迟登录应用程序利用私钥对加密后的响应描述对象进行解密,若未解密为对应的响应描述对象,则认定其对应的所述登录请求为非法请求,若解密为对应的响应描述对象,则执行下一步的步骤还包括:
若解密为对应的响应描述对象,则生成set-cookie语句发送至所述浏览器中,通过所述浏览器设置所述第三方系统的cookie内容。
5.一种集成与兼容第三方认证的登录系统,其特征在于,应用中央认证服务端、浏览器和第三方系统,所述中央认证服务端用于部署中央授权服务,所述浏览器用于提交用户登录指令,并发起用户登录请求和接收所述用户登录请求对应的响应,还用于访问所述第三方系统的资源;所述第三方系统为集成于中央认证服务端中的第三方非信任系统,所述第三方系统包含登录模块,用于提交用户登录请求;其登录服务系统包括:
登录请求模块,用于通过所述浏览器经过所述中央认证服务端对所述第三方系统发起登录请求,所述登录请求包含第三方系统身份信息和身份认证信息,通过所述中央认证服务端对所述身份认证信息进行校验;
免密模块,用于通过所述中央认证服务端按照所述第三方系统身份信息免密登入到对应的第三方系统,得到登录成功的HTTP协议响应;
格式化模块,用于通过所述中央认证服务端将所述HTTP协议响应进行格式化为响应描述对象,所述响应描述对象包含所述HTTP协议响应对应的头域信息和标签;
加密模块,用于通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序;
解密模块,用于通过所述延迟登录应用程序利用私钥对加密后的响应描述对象进行解密,若未解密为对应的响应描述对象,则认定其对应的所述登录请求为非法请求,若解密为对应的响应描述对象,则向标志模块发送工作信号;
所述标志模块,用于通过所述延迟登录应用程序随机生成一个标志,使得所述标志与所述响应描述对象映射为键值缓存至本地,并将所述标志返回至所述中央认证服务端;
第三方跳转模块,用于通过所述中央认证服务端向所述浏览器发送所述HTTP协议响应,并使浏览器携带所述标志跳转到所述第三方系统的延迟登录应用程序中;
匹配模块,用于通过所述第三方系统的延迟登录应用程序根据浏览器所提供的所述标志,匹配到其对应的响应描述对象,并将所述响应描述对象对应的头域信息和标签设置到HTTP协议响应中,将设置好的HTTP协议响应返回给所述浏览器;
登录模块,用于通过所述浏览器根据所述HTTP协议响应登录到所述第三方系统,并访问所述第三方系统的资源。
6.根据权利要求5所述的集成与兼容第三方认证的登录系统,其特征在于,所述加密模块具体用于,基于RSA非对称算法,通过所述中央认证服务端使用公钥加密所述响应描述对象,将加密后的响应描述对象发送给第三方系统的延迟登录应用程序。
7.根据权利要求5所述的集成与兼容第三方认证的登录系统,其特征在于,所述第三方系统设有客户端库,所述客户端库用于缓存登录成功的HTTP 协议响应,并为其提供对应的标志,使HTTP 协议响应与标志之间构成映射关系。
8.根据权利要求5所述的集成与兼容第三方认证的登录系统,其特征在于,还包括:
浏览器设置模块,用于若解密为对应的响应描述对象,则生成响应描述对象对应的set-cookie语句发送至所述浏览器中,通过所述浏览器设置所述第三方系统的cookie内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310355297.2A CN116074129B (zh) | 2023-04-06 | 2023-04-06 | 一种集成与兼容第三方认证的登录方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310355297.2A CN116074129B (zh) | 2023-04-06 | 2023-04-06 | 一种集成与兼容第三方认证的登录方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116074129A CN116074129A (zh) | 2023-05-05 |
| CN116074129B true CN116074129B (zh) | 2023-06-02 |
Family
ID=86173512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310355297.2A Active CN116074129B (zh) | 2023-04-06 | 2023-04-06 | 一种集成与兼容第三方认证的登录方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116074129B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
| US9059987B1 (en) * | 2013-04-04 | 2015-06-16 | Sprint Communications Company L.P. | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network |
| CN112966253A (zh) * | 2021-02-08 | 2021-06-15 | 北京金和网络股份有限公司 | 一种第三方应用集成登录方法、登录装置及平台 |
| CN112995219A (zh) * | 2021-05-06 | 2021-06-18 | 四川省明厚天信息技术股份有限公司 | 一种单点登录方法、装置、设备及存储介质 |
| CN114422258A (zh) * | 2022-01-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
-
2023
- 2023-04-06 CN CN202310355297.2A patent/CN116074129B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9059987B1 (en) * | 2013-04-04 | 2015-06-16 | Sprint Communications Company L.P. | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network |
| CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
| CN112966253A (zh) * | 2021-02-08 | 2021-06-15 | 北京金和网络股份有限公司 | 一种第三方应用集成登录方法、登录装置及平台 |
| CN112995219A (zh) * | 2021-05-06 | 2021-06-18 | 四川省明厚天信息技术股份有限公司 | 一种单点登录方法、装置、设备及存储介质 |
| CN114422258A (zh) * | 2022-01-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116074129A (zh) | 2023-05-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361668B (zh) | 一种数据可信传输方法 | |
| US9917829B1 (en) | Method and apparatus for providing a conditional single sign on | |
| US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
| US8825999B2 (en) | Extending encrypting web service | |
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| US6490679B1 (en) | Seamless integration of application programs with security key infrastructure | |
| KR101130415B1 (ko) | 비밀 데이터의 노출 없이 통신 네트워크를 통해 패스워드 보호된 비밀 데이터를 복구하는 방법 및 시스템 | |
| US10122529B2 (en) | System and method of enforcing a computer policy | |
| US8621598B2 (en) | Method and apparatus for securely invoking a rest API | |
| EP2351316B1 (en) | Method and system for token-based authentication | |
| US8001588B2 (en) | Secure single sign-on authentication between WSRP consumers and producers | |
| US20190020646A1 (en) | Federated login for password vault | |
| WO2016177052A1 (zh) | 一种用户认证方法和装置 | |
| US20070101145A1 (en) | Framework for obtaining cryptographically signed consent | |
| US20110035582A1 (en) | Network authentication service system and method | |
| CN106790183A (zh) | 登录凭证校验方法、装置 | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN110430065B (zh) | 一种应用服务调用方法、装置及系统 | |
| US10348701B2 (en) | Protecting clients from open redirect security vulnerabilities in web applications | |
| JP2012519995A (ja) | ネットワーク通信を保護する方法および装置 | |
| CN114244508B (zh) | 数据加密方法、装置、设备及存储介质 | |
| US20230299973A1 (en) | Service registration method and device | |
| JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
| CN115549930B (zh) | 登录操作系统的验证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |