CN116318755A - 一键登录业务的实现方法和装置 - Google Patents

一键登录业务的实现方法和装置 Download PDF

Info

Publication number
CN116318755A
CN116318755A CN202211094122.2A CN202211094122A CN116318755A CN 116318755 A CN116318755 A CN 116318755A CN 202211094122 A CN202211094122 A CN 202211094122A CN 116318755 A CN116318755 A CN 116318755A
Authority
CN
China
Prior art keywords
application client
code
token
equipment
key login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211094122.2A
Other languages
English (en)
Inventor
张婉桥
黄琳
施尚成
陈薇婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202211094122.2A priority Critical patent/CN116318755A/zh
Publication of CN116318755A publication Critical patent/CN116318755A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本说明书实施例提供了一键登录业务的实现方法和装置。在该方法中,在应用客户端与运营商服务器之间的取号登录过程启动之前,应用服务器根据当前运行该应用客户端的终端设备的关联信息生成第一设备码;在取号登录过程启动之后,应用服务器根据一键登录确认请求中携带的当前运行该应用客户端的终端设备的关联信息生成第二设备码;利用第一设备码以及第二设备码执行一键登录业务的验证处理。本说明书实施例能够提高一键登录业务的安全性,可以避免用户隐私数据的泄露。

Description

一键登录业务的实现方法和装置
技术领域
本说明书一个或多个实施例涉及网络信息技术,尤其涉及一键登录业务的实现方法和装置。
背景技术
随着网络的快速发展,基于网络产生了各种各样的业务应用。用户只需要在终端设备中下载相应业务应用的应用客户端即应用程序(APP),通过应用客户端注册并登录,就可以享受相应的业务应用,比如,看电影或者购买商品等。
为了方便用户的使用,目前出现了一种新的登录APP的方法,即一键登录方法。在一键登录方法中,应用客户端所在的终端设备比如手机,会预先嵌入认证SDK,用户请求登录时,通过该SDK与运营商服务器通信以便采集用户手机号码,在获得用户同意授权后,应用客户端获得接口调用的令牌(token),将token传递给应用服务器,应用服务器利用token从运营商服务器处获取当前授权用户的手机号码等信息,从而完成了APP的登录。
参见图1,在一键登录业务中,用户只需要点击相关的“一键登录”的按键,而无需输入手机号码、用户名、密码以及短信验证码等,因此,可以让用户更方便、快捷地完成注册、登录流程,将原本可能需要20秒左右的流程,缩短到了2秒左右,为用户使用带来了很大的方便。
但是,目前的一键登录业务的安全性相对较低,这样就容易造成用户隐私数据的泄露,因此需要一种更为安全的一键登录业务的实现方法。
发明内容
本说明书一个或多个实施例描述了一键登录业务的实现方法和装置,能够提高一键登录业务的安全性。
根据第一方面,提供了一键登录业务的实现方法,其中包括:
在应用客户端与运营商服务器之间的取号登录过程启动之前,接收应用客户端发来的当前运行该应用客户端的终端设备的关联信息;
根据当前接收到的终端设备的关联信息生成第一设备码;
接收应用客户端发来的一键登录确认请求;该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
根据一键登录确认请求中携带的终端设备的关联信息生成第二设备码;
利用所述第一设备码以及所述第二设备码执行一键登录业务验证处理。
根据第二方面,提供了一键登录业务的实现方法,其中包括:
在应用客户端与运营商服务器之间的取号登录过程启动之前,向应用服务器发送当前运行该应用客户端的终端设备的关联信息;
在获取了运营商服务器发来的token之后,向应用服务器发送一键登录确认请求,该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
如果接收到应用服务器发来的登录授权,则一键登录成功。
根据第三方面,提供了一键登录业务的实现方法,其中包括:
在生成对应一键登录业务的token之前,接收应用客户端发来的第一设备码;
在接收到应用客户端发来的身份验证请求后,生成token;
将生成的token发送给应用客户端;
接收应用服务器发来的携带token以及第二设备码的号码获取请求;
利用第一设备码以及号码获取请求中的第二设备码进行一键登录业务的验证处理。
根据第四方面,提供了一键登录业务的实现装置,该装置包括:
第一信息获取模块,配置为在应用客户端与运营商服务器之间的取号登录过程启动之前,接收应用客户端发来的当前运行该应用客户端的终端设备的关联信息;
第一设备码生成模块,配置为根据当前接收到的终端设备的关联信息生成第一设备码;
第二信息获取模块,接收应用客户端发来的一键登录确认请求;该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
第二设备码生成模块,根据一键登录确认请求中携带的终端设备的关联信息生成第二设备码;
验证执行模块,配置为利用所述第一设备码以及所述第二设备码执行一键登录业务验证处理。
根据第五方面,提供了一键登录业务的实现装置,包括:
第一信息发送模块,配置为在应用客户端与运营商服务器之间的取号登录过程启动之前,向应用服务器发送当前运行该应用客户端的终端设备的关联信息;
第二信息发送模块,配置为在获取了运营商服务器发来的token之后,向应用服务器发送一键登录确认请求,该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
登录执行模块,配置为如果接收到应用服务器发来的登录授权,则一键登录成功。
根据第六方面,提供了一键登录业务的实现装置,包括:
第一设备码接收模块,配置为在生成对应一键登录业务的token之前,接收应用客户端发来的第一设备码;
令牌处理模块,配置为在接收到应用客户端发来的身份验证请求后,生成token;将生成的token发送给应用客户端;
第二设备码接收模块,配置为接收应用服务器发来的携带token以及第二设备码的号码获取请求;
验证处理模块,配置为利用第一设备码以及号码获取请求中的第二设备码进行一键登录业务的验证处理。
根据第七方面,提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现本说明书任一实施例所述的方法。
本说明书任一实施例或者多个实施例的组合所提供的一键登录业务的实现方法及装置,至少具有如下有益效果:
1、在本说明书实施例中,在不同阶段(在应用客户端与运营商服务器之间的取号登录过程启动之前的阶段,以及在应用客户端与运营商服务器之间的取号登录过程启动之后的阶段)分别获取终端设备的关联信息,并分别生成第一设备码及第二设备码,利用第一设备码及第二设备码进行验证,从而验证出是否是攻击者的终端设备X发来的一键登录确认请求,避免了应用服务器为攻击者的终端设备X提供应用客户端对应的应用服务,提高了安全性。
2、在实际业务实现中,由于运营商的sdk权限有限,且没有前端,所以很难去做鉴别应用客户端身份的工作,因此在应用客户端向运营商服务器发起取号登录之前,由应用服务器端鉴别应用客户端的身份,下发动态的设备码(hcode),即使hcode丢失也不会造成用户信息泄漏。这是因为运营商服务器取号是基于网关取号,攻击者盗取hcode后,运营商服务器取的也是攻击者的号码,最后顶多造成hcode与token的不一致,取号失败,不会导致合法用户的信息泄漏。且在第7步,客户端并不直接上传hcode,而是通过服务端二次计算或查表得知hcode,如此一来便达到hcode的一致性目的,最终保障取号过程的安全性。
3、可以抵御受害者终端设备上有木马冒充应用客户端的身份向运营商发起取号登录类攻击。
4、可以由运营商服务器根据两个设备码进行验证,这样能够进一步防止应用服务器被攻击挟持后导致的验证出错的情况。比如,应用服务器被攻击者攻击挟持后,应用服务器直接将第一阶段生成的第一设备码发送给运营商服务器,而非将第二阶段生成的第二设备码发送给运输商服务器,从而导致运营商服务器验证过程出错。本说明书实施例可以进一步避免此种错误,进一步提高一键登录业务的安全性。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是一键登录业务的一种操作示意图。
图2是本说明书一个实施例所应用的系统架构的示意图。
图3是本说明书一个实施例在应用服务器中实现一键登录业务的方法的流程图。
图4是本说明书一个实施例在应用客户端中实现一键登录业务的方法的流程图。
图5是本说明书一个实施例在运营商服务器中实现一键登录业务的方法的流程图。
图6是本说明书一个实施例中运营商服务器、应用客户端及应用服务器配合实现一键登录业务的信息交互的流程图。
图7是本说明书一个实施例中一键登录业务的实现装置的结构示意图。
图8是本说明书另一个实施例中一键登录业务的实现装置的结构示意图。
图9是本说明书又一个实施例中一键登录业务的实现装置的结构示意图。
具体实施方式
下面结合附图,对本说明书提供的方案进行描述。
为了方便对本说明书提供的方法进行理解,首先对本说明书所涉及和适用的系统架构进行描述。如图2中所示,该系统架构中主要包括三个网络节点:应用客户端、应用服务器和运营商服务器。
其中,应用客户端安装并运行于终端设备中,终端设备可以包括但不限于诸如:智能移动终端、智能家居设备、网络设备、可穿戴式设备、智能医疗设备、PC(个人计算机)等。其中智能移动终端可以包括诸如手机、平板电脑、笔记本电脑、PDA(个人数字助理)、互联网汽车等。智能家居设备可以包括智能家电设备,诸如智能电视、智能空调、智能热水器、智能冰箱、智能空气净化器等等,智能家居设备还可以包括智能门锁、智能插座、智能电灯、智能摄像头等。网络设备可以包括诸如交换机、无线AP、服务器等。可穿戴式设备可以包括诸如智能手表、智能眼镜、智能手环、虚拟现实设备、增强现实设备、混合现实设备(即可以支持虚拟现实和增强现实的设备)等等。智能医疗设备可以包括诸如智能体温计、智能血压仪、智能血糖仪等等。
应用客户端可以是各种类型的应用,包括但不限于诸如支付类应用、多媒体播放类应用、地图类应用、文本编辑类应用、金融类应用、浏览器类应用、即时通信类应用等等。
运营商服务器指的是提供网络服务的供应商的服务端设备,可以是单一服务器,也可以是多个服务器构成的服务器群组。运营商服务器负责为各类应用提供网络服务,例如安全认证、提供一键登录的手机号等。
应用服务器是一种具体应用的服务器,专门为应用客户端提供对应的应用服务,比如对于支付宝这种应用客户端,应用服务器则是提供支付宝业务的服务器。
应该理解,图2中的应用客户端、应用服务器、运营商服务器的数目仅仅是示意性的。根据实现需要,可以选择和布设任意数目。
参见图2,应用客户端、应用服务器以及运营商服务器通过网络交互。其中,网络可以包括各种连接类型,例如有线、无线通信链路或光纤电缆等。
因为本说明书提供的一键登录业务的实现方法涉及到图2中所示的3种网络节点,因此,下面通过不同的实施例分别说明运营商服务器、应用客户端以及应用服务器在一键登录业务中的处理。
首先,说明应用服务器在一键登录业务中的处理。
图3是本说明书一个实施例在应用服务器中实现一键登录业务的方法的流程图。参见图3,该方法包括:
步骤301:在应用客户端与运营商服务器之间的取号登录过程启动之前,应用服务器接收应用客户端发来的当前运行该应用客户端的终端设备的关联信息,其中,不同终端设备的关联信息不相同。
步骤303:应用服务器根据当前接收到的终端设备的关联信息生成第一设备码。
步骤305:应用服务器接收应用客户端发来的一键登录确认请求;该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息。
步骤307:应用服务器根据一键登录确认请求中携带的终端设备的关联信息生成第二设备码。
步骤309:应用服务器利用第一设备码以及第二设备码执行一键登录业务验证处理。
在现有的一键登录业务中,会出现诸如如下情况:一个攻击者经常会对从运营商服务器至应用客户端的链路进行监听和攻击,从而利用自己的终端设备X盗取运营商服务器下发给应用客户端的token。之后,攻击者就可以通过终端设备X仿冒该应用客户端所在的合法终端设备Y向应用服务器发送token,因为所利用的token正确,应用服务器可以从运营商服务器处拿到应用客户端所在的终端设备Y的手机号,从而导致应用服务器误认为发来token的终端设备X就是应用客户端所在的终端设备Y,即认为攻击者就是应用客户端的合法用户,从而向攻击者提供对应的应用服务,比如播放该合法用户才有权限观看的视频资料或者完成转账等,从而对用户的使用带来了安全问题,并可能会造成用户隐私数据的泄露。
而根据上述图3所示的过程可以看出,在应用服务器中执行的一键登录业务的流程中,加入了利用终端设备的关联信息生成设备码,以便利用设备码进行验证的处理。因为不同终端设备的关联信息是不相同的,因此,如果未出现上述攻击者利用终端设备X仿冒合法终端设备Y的情况,则应用服务器在图3所示过程中在不同阶段(该不同阶段指:在应用客户端与运营商服务器之间的取号登录过程启动之前的阶段,以及在应用客户端与运营商服务器之间的取号登录过程启动之后的阶段)分别获取的终端设备的关联信息相同,这样生成的第一设备码及第二设备码则相同。相反,如果出现了上述攻击者利用终端设备X仿冒合法终端设备Y的情况,则应用服务器在图3所示过程中在不同阶段分别获取的终端设备的关联信息不相同,则生成的第一设备码及第二设备码不相同。上述图3所示流程利用这一特点,能够进行验证,从而验证出是否是攻击者的终端设备X发来的一键登录确认请求,避免了应用服务器为攻击者的终端设备X提供应用客户端对应的应用服务,提高了安全性。
下面结合具体的实施例、运营商服务器的处理及应用客户端的处理,对图3所示的应用服务器的处理过程进行详细说明。
首先对于步骤301:在应用客户端与运营商服务器之间的取号登录过程启动之前,应用服务器接收应用客户端发来的当前运行该应用客户端的终端设备的关联信息。
在应用客户端与运营商服务器之间的取号登录过程启动之前,比如在应用客户端向运营商服务器请求token之前,应用客户端会向应用服务器发送一键登录初始化请求,以与应用服务器之间进行一键登录的初始化操作。这样,应用客户端可以将当前运行该应用客户端的终端设备的关联信息携带在一键登录初始化请求中发送给应用服务器,相应地,本步骤301中,应用服务器可以从一键登录初始化请求中获取当前运行该应用客户端的终端设备的关联信息。
可选的,在本说明书实施例中,在应用客户端与运营商服务器之间的取号登录过程启动之前,应用客户端也可以将当前运行该应用客户端的终端设备的关联信息携带在其他消息中比如新定义的消息中发送给应用服务器,本步骤301中,应用服务器从该新定义的消息中获取当前运行该应用客户端的终端设备的关联信息。
在本说明书实施例中,终端设备的关联信息可以是能够标识该终端设备的任意一种信息或几种信息的组合,比如包括如下中的至少一项:终端设备的公网IP地址、终端设备的内网IP地址、终端设备所使用的局域网的标识、终端设备的识别码。终端设备的识别码比如可以是国际移动设备识别码(International Mobile Equipment Identity,IMEI)、国际移动用户识别码(International Mobile Subscriber Identity,IMSI)等。
接下来,对于步骤303:应用服务器根据当前接收到的终端设备的关联信息生成第一设备码。
这里,应用服务器可以利用预先设置的算法比如哈希算法对当前接收到的终端设备的关联信息进行计算,从而计算出第一设备码。
应用服务器会保存第一设备码,即保存了在本次一键登录业务过程中,在应用客户端与运营商服务器之间的取号登录过程启动之前(即第一阶段),与应用服务器进行通信的终端设备的相关信息。
在本说明书实施例中,利用设备码进行验证的方式包括如下两种:
方式一、由应用服务器根据两个阶段生成的设备码完成验证。
在该方式一中,后续是由应用服务器对比两个设备码是否相同,以在应用服务器端提前验证,以减轻运营商服务器的工作量。当采用该方式一时,应用服务器无需将第一设备码发送给应用客户端。
方式二、由运营商服务器根据两个阶段生成的设备码完成验证。
在该方式二中,后续是由运营商服务器根据两个设备码进行验证,这样能够进一步防止应用服务器被攻击挟持后导致的验证出错的情况。比如,应用服务器被攻击者攻击挟持后,应用服务器直接将第一阶段生成的第一设备码发送给运营商服务器,而非将第二阶段生成的第二设备码发送给运输商服务器,从而导致运营商服务器验证过程出错。该方式二进一步提高了一键登录业务的安全性。
当采用该方式二时,在生成了第一设备码之后,在步骤303中,应用服务器将第一设备码发送给应用客户端。
如果本说明书实施例采用的是方式二,那么,应用客户端会接收到应用服务器发来的第一设备码。这样,在应用客户端与运营商服务器之间的取号登录过程开始后,并在应用客户端获取运营商服务器发来的token之前,进一步包括:应用客户端将第一设备码发送给运营商服务器。
在一键登录业务中,在步骤303之后,应用客户端会向运营商服务器发送一键登录请求,以从运营商服务器处获取会话密钥。之后,应用客户端会向运营商服务器发送携带该会话密钥的身份验证请求,以触发运营商服务器生成对应本次一键登录业务的token。当采用该方式二时,应用客户端可以将第一设备码携带在一键登录请求中发送给运营商服务器,也可以将第一设备码携带在身份验证请求中发送给运营商服务器。
运营商服务器接收到第一设备码后,会保存该第一设备码。在运营商服务器根据接收到的身份验证请求生成token之后,运营商服务器可以保存第一设备码与自己生成的token之间的对应关系,记为对应关系1。
之后,运营商服务器将生成的token下发给应用客户端。此时,攻击者有可能通过链路监听等方式盗取token。
应用客户端在获取了运营商服务器发来的token之后,向应用服务器发送一键登录确认请求,在该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息(在第二阶段中的当前运行该应用客户端的终端设备的关联信息)。如果发生了攻击者盗用token的情况,则在向应用服务器发送的一键登录确认请求中携带的终端设备的关联信息则是攻击者所使用的终端设备X的关联信息(与第一阶段中,终端设备Y的关联信息不相同)。如果未发生攻击者盗用token的情况,则在向应用服务器发送的一键登录确认请求中携带的终端设备的关联信息则是合法的终端设备Y的关联信息(与第一阶段中,终端设备Y的关联信息相同)。
接下来对于步骤305:应用服务器接收应用客户端发来的一键登录确认请求;该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息。
接下来对于步骤307:应用服务器根据一键登录确认请求中携带的终端设备的关联信息生成第二设备码。
参见对步骤303的说明,终端设备的关联信息可以是:终端设备的公网IP地址、终端设备的内网IP地址和/或终端设备所使用的局域网的标识。
参见对步骤303的说明,根据终端设备的关联信息生成第二设备码,包括:利用终端设备的关联信息进行哈希计算,以得到第二设备码。
接下来对于步骤309:应用服务器利用第一设备码及第二设备码执行一键登录验证处理。
在本说明书实施例中,如果采用的是上述的方式一,那么,在本步骤309的实现过程包括:
应用服务器判断计算出的第一设备码与第二设备码是否相同,
如果是,一键登录业务验证成功,应用服务器向运营商服务器发送携带token的号码获取请求,并在从运营商服务器处获取了终端设备的电话号码后,向应用客户端发送登录授权;
如果否,则一键登录业务验证失败,结束流程。
在本说明书实施例中,如果采用的是上述的方式二,那么,在本步骤309的实现过程包括:应用服务器将token以及第二设备码携带在号码获取请求中发送给运营商服务器,以由运营商服务器进行一键登录业务的验证(具体参见图5所示流程的相关描述)。后续,如果运营商服务器验证通过,应用服务器会从运营商服务器处获取终端设备的电话号码,则向应用客户端发送登录授权,如果运营商服务器验证未通过,应用服务器无法从运营商服务器处获取终端设备的电话号码。
下面说明在本说明书实施例中,应用客户端在一键登录业务中的相关处理。
图4是本说明书一个实施例在应用客户端中实现一键登录业务的方法的流程图。参见图4,该方法包括:
步骤401:在应用客户端与运营商服务器之间的取号登录过程启动之前,应用客户端向应用服务器发送当前运行该应用客户端的终端设备的关联信息。
参见上述对步骤301的相关描述,在本步骤401中,应用客户端可以将当前运行该应用客户端的终端设备的关联信息携带在一键登录初始化请求中发送给应用服务器,或者,应用客户端可以将当前运行该应用客户端的终端设备的关联信息携带在新定义的请求中发送给应用服务器。
参见上述对图3中各步骤的相关描述,如果本说明书实施例中采用的是方式二,那么,在步骤401与步骤403之间,还会进一步包括如下步骤:
步骤4021:应用客户端接收应用服务器发来的第一设备码。
步骤4023:在应用客户端与运营商服务器之间的取号登录过程开始后,并在获取运营商服务器发来的token之前,应用客户端将第一设备码发送给运营商服务器。
参见上述对步骤303的相关描述,在本步骤4023中,应用客户端可以将第一设备码携带在一键登录请求中发送给运营商服务器,也可以将第一设备码携带在身份验证请求中发送给运营商服务器。
步骤403:在获取了运营商服务器发来的token之后,应用客户端向应用服务器发送一键登录确认请求,该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息。
步骤405:如果应用客户端接收到应用服务器发来的登录授权,则一键登录成功。
上述步骤403及步骤405的实现过程可以参见上述对图3中相关步骤的说明。
下面说明在本说明书实施例中,运营商服务器在一键登录业务中的相关处理。
图5是本说明书一个实施例在运营商服务器中实现一键登录业务的方法的流程图。参见图5,该方法包括:
步骤501:运营商服务器在生成对应一键登录业务的token之前,接收应用客户端发来的第一设备码,并保存。
步骤503:运营商服务器在接收到应用客户端发来的身份验证请求后,生成token。
步骤505:运营商服务器将生成的token发送给应用客户端。
步骤507:运营商服务器接收应用服务器发来的携带token以及第二设备码的号码获取请求。
步骤509:运营商服务器利用第一设备码以及第二设备码进行一键登录业务的验证。
上述图5所示的运营商服务器的处理,实际上对应于上述本说明书实施例中的方式二,也就是说,由运营商服务器根据设备码完成验证。
下面对图5中的每一个步骤分别进行说明。
首先,对于步骤501:运营商服务器在生成对应一键登录业务的token之前,接收应用客户端发来的第一设备码,并保存。
参见上述相关说明,在本说明书实施例中,应用客户端可以将第一设备码携带在一键登录请求中发送给运营商服务器,也可以将第一设备码携带在身份验证请求中发送给运营商服务器。相应地,在本步骤501中,运营商服务器可以是从接收到的一键登录请求中获取应用客户端发来的第一设备码,或者,运营商服务器可以是从接收到的用于请求token的身份验证请求中获取应用客户端发来的第一设备码。
接下来对于步骤503及步骤505:运营商在接收到应用客户端发来的身份验证请求后,生成token,将生成的token发送给应用客户端。
参见上述图4相关描述,应用客户端在获取了运营商服务器发来的token之后,向应用服务器发送一键登录确认请求,该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息。
参见上述对步骤309的相关描述,应用服务器将token以及第二设备码携带在号码获取请求中发送给运营商服务器。
接下来对于步骤507:运营商服务器接收应用服务器发来的携带token以及第二设备码的号码获取请求。
步骤509:运营商服务器利用第一设备码以及第二设备码进行一键登录业务的验证。
在本说明书一个实施例中,本步骤509的实现方式包括:运营商服务器判断第一设备码与第二设备码是否相同,如果相同,则一键登录业务的验证成功,否则,一键登录业务的验证失败。
在本说明书另一个实施例中,在上述步骤503中,运营商服务器在生成token之后,进一步建立第一设备码与生成的token之间的对应关系,记为对应关系1。相应地,本步骤509的实现方式包括:建立从号码获取请求中得到的token以及第二设备码的对应关系,记为对应关系2;判断对应关系1与对应关系2是否一致,如果是,则一键登录业务的验证成功,否则,一键登录业务的验证失败。
下面结合应用客户端、应用服务器以及运营商服务器三者的配合处理,来说明一键登录业务的实现方法。在该方法中,以上述方式二(即由运营商服务器完成验证)为例进行说明,参见图6,包括:
步骤601:应用客户端通过专有链路向自己所属的应用服务器发送一键登录初始化请求,该请求中携带当前运行该应用客户端的终端设备的关联信息。
步骤603:应用服务器从一键登录初始化请求中获取终端设备的关联信息,对该关联信息进行哈希计算,计算出第一设备码。
步骤605:应用服务器将第一设备码发送给应用客户端。
步骤607:应用客户端向运营商服务器发送一键登录请求,该一键登录请求中携带APP ID以及第一设备码。
步骤609:运营商服务器从一键登录请求中获取第一设备码,然后将生成的会话密钥发送给应用客户端。
步骤611:应用客户端得到用户授权,即用户点击屏幕上的一键登录按键。
步骤613:应用客户端利用会话密钥向运营商服务器发送携带APP ID、时间戳及IP地址的身份验证请求,以便请求token。
这里,身份验证请求中携带的IP地址为:应用客户端所在的终端设备的IP地址,可以包括IPv4地址以及IPv6地址。
步骤615:运营商服务器接收到身份验证请求后,生成token,建立并保存第一设备码与生成的token之间的对应关系1。
步骤617:运营商服务器将token下发给应用客户端。
步骤619:应用客户端将一键登录确认请求发送给应用服务器,该请求中携带token以及当前运行该应用客户端的终端设备的关联信息。
步骤621:应用服务器对从一键登录确认请求中获取的终端设备的关联信息进行哈希计算,计算出第二设备码。
步骤623:应用服务器将号码获取请求发送给运营商服务器,该号码获取请求中携带APP ID、token以及第二设备码。
步骤625:运营商服务器建立从号码获取请求中获取的token以及第二设备码的对应关系2,判断对应关系1与对应关系2是否一致,如果否,一键登录验证失败,不向应用服务器发送终端设备的手机号码,如果是,则一键登录验证成功,向应用服务器发送终端设备的手机号码。
步骤627:应用服务器如果接收到运营商服务器发来的终端设备的手机号码,则向应用客户端进行登录授权,否则一键登录失败。
在本说明书一个实施例中,提出了一种一键登录业务的实现装置,该装置设置于应用服务器中,参见图7,该装置包括:
第一信息获取模块701,配置为在应用客户端与运营商服务器之间的取号登录过程启动之前,接收应用客户端发来的当前运行该应用客户端的终端设备的关联信息;
第一设备码生成模块702,配置为根据当前接收到的终端设备的关联信息生成第一设备码;
第二信息获取模块703,接收应用客户端发来的一键登录确认请求;该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
第二设备码生成模块704,根据一键登录确认请求中携带的终端设备的关联信息生成第二设备码;
验证执行模块705,配置为利用所述第一设备码以及所述第二设备码执行一键登录业务验证处理。
在图7所示的本说明书装置的一个实施例中,第一信息获取模块701被配置为执行:
接收应用客户端发来的一键登录初始化请求;
从该一键登录初始化请求中获取当前运行该应用客户端的终端设备的关联信息。
在图7所示的本说明书装置的一个实施例中,验证执行模块705被配置为执行:判断计算出的第一设备码与第二设备码是否相同,如果是,则一键登录业务验证成功,向运营商服务器发送携带所述token的号码获取请求;如果否,则一键登录业务验证失败,结束流程。
在图7所示的本说明书装置的一个实施例中,验证执行模块705被配置为执行:
在应用客户端与运营商服务器之间的取号登录过程启动之前,将生成的第一设备码发送给应用客户端;
将token以及第二设备码携带在号码获取请求中发送给运营商服务器,以由运营商服务器进行一键登录业务的验证。
终端设备的关联信息包括如下中的至少一项:终端设备的关联信息包括如下中的至少一项:终端设备的公网IP地址、终端设备的内网IP地址、终端设备所使用的局域网的标识、终端设备的识别码。终端设备的识别码比如可以是国际移动设备识别码(IMEI)、国际移动用户识别码(IMSI)。
在图7所示的本说明书装置的一个实施例中,第一设备生成模块702被配置为执行:对终端设备的关联信息进行哈希计算,以得到第一设备码。
在图7所示的本说明书装置的一个实施例中,第二设备生成模块704被配置为执行:对终端设备的关联信息进行哈希计算,以得到第二设备码。
在本说明书一个实施例中,提出了一键登录业务的实现装置。参见图8,该装置应用于应用客户端中,包括:
第一信息发送模块801,配置为在应用客户端与运营商服务器之间的取号登录过程启动之前,向应用服务器发送当前运行该应用客户端的终端设备的关联信息;
第二信息发送模块802,配置为在获取了运营商服务器发来的token之后,向应用服务器发送一键登录确认请求,该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
登录执行模块803,配置为如果接收到应用服务器发来的登录授权,则一键登录成功。
在图8所示的本说明书装置的一个实施例中,第一信息发送模块801被配置为执行:将当前运行该应用客户端的终端设备的关联信息携带在一键登录初始化请求中发送给应用服务器。
在图8所示的本说明书装置的一个实施例中,进一步包括第一设备码发送模块,配置为接收应用服务器发来的第一设备码;在获取运营商服务器发来的token之前,将第一设备码发送给运营商服务器。
在本说明书一个实施例中,提出了一键登录业务的实现装置。参见图9,该装置应用于运营商服务器中,包括:
第一设备码接收模块901,配置为在生成对应一键登录业务的token之前,接收应用客户端发来的第一设备码;
令牌处理模块902,配置为在接收到应用客户端发来的身份验证请求后,生成token;将生成的token发送给应用客户端;
第二设备码接收模块903,配置为接收应用服务器发来的携带token以及第二设备码的号码获取请求;
验证处理模块904,配置为利用第一设备码以及号码获取请求中的第二设备码进行一键登录业务的验证处理。
在图9所示的本说明书装置的一个实施例中,验证处理模块904被配置为执行:判断第一设备码与第二设备码是否相同,如果相同,则一键登录业务验证成功,否则,一键登录业务验证失败。
在图9所示的本说明书装置的一个实施例中,验证处理模块904被配置为执行:在生成token之后,建立第一设备码与生成的token之间的第一对应关系;建立从号码获取请求中得到的token以及第二设备码的第二对应关系;判断第一对应关系与第二对应关系是否一致,如果是,则一键登录业务验证成功,否则,一键登录业务验证失败。
本说明书一个实施例提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行说明书中任一个实施例中的方法。本说明书一个实施例提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现执行说明书中任一个实施例中的方法。
可以理解的是,本说明书实施例示意的结构并不构成对本说明书实施例的装置的具体限定。在说明书的另一些实施例中,上述装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置、系统内的各模块之间的信息交互、执行过程等内容,由于与本说明书方法实施例基于同一构思,具体内容可参见本说明书方法实施例中的叙述,此处不再赘述。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。

Claims (13)

1.一键登录业务的实现方法,其中包括:
在应用客户端与运营商服务器之间的取号登录过程启动之前,接收应用客户端发来的当前运行该应用客户端的终端设备的关联信息;
根据当前接收到的终端设备的关联信息生成第一设备码;
接收应用客户端发来的一键登录确认请求;该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
根据一键登录确认请求中携带的终端设备的关联信息生成第二设备码;
利用所述第一设备码以及所述第二设备码执行一键登录业务验证处理。
2.根据权利要求1所述的方法,所述在应用客户端与运营商服务器之间的取号登录过程启动之前接收应用客户端发来的当前运行该应用客户端的终端设备的关联信息,包括:
接收应用客户端发来的一键登录初始化请求;
从该一键登录初始化请求中获取当前运行该应用客户端的终端设备的关联信息。
3.根据权利要求1所述的方法,
所述利用所述第二设备码执行对终端设备的相关验证处理,包括:判断计算出的第一设备码与第二设备码是否相同,如果是,则一键登录业务验证成功,向运营商服务器发送携带所述token的号码获取请求;如果否,则一键登录业务验证失败,结束流程;
或者,
所述利用所述第二设备码执行对终端设备的相关验证处理,包括:
在应用客户端与运营商服务器之间的取号登录过程启动之前,将生成的第一设备码发送给应用客户端;
将token以及第二设备码携带在号码获取请求中发送给运营商服务器,以由运营商服务器进行一键登录业务的验证。
4.根据权利要求1所述的方法,终端设备的关联信息包括如下中的至少一项:终端设备的公网IP地址、终端设备的内网IP地址、终端设备所使用的局域网的标识、终端设备的识别码;
和/或,
根据终端设备的关联信息生成设备码,包括:对终端设备的关联信息进行哈希计算,以得到设备码。
5.一键登录业务的实现方法,其中包括:
在应用客户端与运营商服务器之间的取号登录过程启动之前,向应用服务器发送当前运行该应用客户端的终端设备的关联信息;
在获取了运营商服务器发来的token之后,向应用服务器发送一键登录确认请求,该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
如果接收到应用服务器发来的登录授权,则一键登录成功。
6.根据权利要求5所述的方法,其中,所述在应用客户端与运营商服务器之间的取号登录过程启动之前向应用服务器发送当前运行该应用客户端的终端设备的关联信息,包括:将当前运行该应用客户端的终端设备的关联信息携带在一键登录初始化请求中发送给应用服务器。
7.根据权利要求5所述的方法,其中,在应用客户端与运营商服务器之间的取号登录过程启动之前,进一步包括:接收应用服务器发来的第一设备码;
在获取运营商服务器发来的token之前,进一步包括:将第一设备码发送给运营商服务器。
8.一键登录业务的实现方法,其中包括:
在生成对应一键登录业务的token之前,接收应用客户端发来的第一设备码;
在接收到应用客户端发来的身份验证请求后,生成token;
将生成的token发送给应用客户端;
接收应用服务器发来的携带token以及第二设备码的号码获取请求;
利用第一设备码以及号码获取请求中的第二设备码进行一键登录业务的验证处理。
9.根据权利要求8所述的方法,其中,
所述利用第一设备码以及第二设备码进行一键登录业务的验证,包括:
判断第一设备码与第二设备码是否相同,如果相同,则一键登录业务验证成功,否则,一键登录业务验证失败;
或者,
在所述生成token之后,进一步包括:建立第一设备码与生成的token之间的第一对应关系;相应地,所述利用第一设备码以及第二设备码进行一键登录业务的验证,包括:
建立从号码获取请求中得到的token以及第二设备码的第二对应关系;
判断所述第一对应关系与所述第二对应关系是否一致,如果是,则一键登录业务验证成功,否则,一键登录业务验证失败。
10.一键登录业务的实现装置,该装置包括:
第一信息获取模块,配置为在应用客户端与运营商服务器之间的取号登录过程启动之前,接收应用客户端发来的当前运行该应用客户端的终端设备的关联信息;
第一设备码生成模块,配置为根据当前接收到的终端设备的关联信息生成第一设备码;
第二信息获取模块,接收应用客户端发来的一键登录确认请求;该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
第二设备码生成模块,根据一键登录确认请求中携带的终端设备的关联信息生成第二设备码;
验证执行模块,配置为利用所述第一设备码以及所述第二设备码执行一键登录业务验证处理。
11.一键登录业务的实现装置,包括:
第一信息发送模块,配置为在应用客户端与运营商服务器之间的取号登录过程启动之前,向应用服务器发送当前运行该应用客户端的终端设备的关联信息;
第二信息发送模块,配置为在获取了运营商服务器发来的token之后,向应用服务器发送一键登录确认请求,该一键登录确认请求中携带token以及当前运行该应用客户端的终端设备的关联信息;
登录执行模块,配置为如果接收到应用服务器发来的登录授权,则一键登录成功。
12.一键登录业务的实现装置,包括:
第一设备码接收模块,配置为在生成对应一键登录业务的token之前,接收应用客户端发来的第一设备码;
令牌处理模块,配置为在接收到应用客户端发来的身份验证请求后,生成token;将生成的token发送给应用客户端;
第二设备码接收模块,配置为接收应用服务器发来的携带token以及第二设备码的号码获取请求;
验证处理模块,配置为利用第一设备码以及号码获取请求中的第二设备码进行一键登录业务的验证处理。
13.一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-9中任一项所述的方法。
CN202211094122.2A 2022-09-08 2022-09-08 一键登录业务的实现方法和装置 Pending CN116318755A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211094122.2A CN116318755A (zh) 2022-09-08 2022-09-08 一键登录业务的实现方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211094122.2A CN116318755A (zh) 2022-09-08 2022-09-08 一键登录业务的实现方法和装置

Publications (1)

Publication Number Publication Date
CN116318755A true CN116318755A (zh) 2023-06-23

Family

ID=86798326

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211094122.2A Pending CN116318755A (zh) 2022-09-08 2022-09-08 一键登录业务的实现方法和装置

Country Status (1)

Country Link
CN (1) CN116318755A (zh)

Similar Documents

Publication Publication Date Title
JP4673364B2 (ja) エンティティの第1のidおよび第2のidの検証方法
CN102201915B (zh) 一种基于单点登录的终端认证方法和装置
JP2007528650A5 (zh)
US9787478B2 (en) Service provider certificate management
CN111050314A (zh) 客户端注册方法、装置及系统
CN111314056A (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
CN111783068A (zh) 设备认证方法、系统、电子设备及存储介质
CN105450582A (zh) 业务处理方法、终端、服务器及系统
CN111404695B (zh) 令牌请求验证方法和装置
CN114390524B (zh) 一键登录业务的实现方法和装置
CN105827624A (zh) 一种身份验证系统
CN115189913B (zh) 数据报文的传输方法和装置
US11943213B2 (en) Device and method for mediating configuration of authentication information
CN113993127B (zh) 一键登录业务的实现方法和装置
CN114158046B (zh) 一键登录业务的实现方法和装置
WO2013189398A2 (zh) 应用数据推送方法、装置及系统
CN117336092A (zh) 一种客户端登录方法、装置、电子设备和存储介质
CN106162645B (zh) 一种移动应用的快速重连鉴权方法及系统
CN116318755A (zh) 一键登录业务的实现方法和装置
CN116318746A (zh) 一键登录业务的实现方法和装置
CN116318747A (zh) 一键登录业务的实现方法和装置
CN114158047A (zh) 一键登录业务的实现方法和装置
CN103428694A (zh) 一种分离终端单点登录组合鉴权方法和系统
US20240137221A1 (en) Implementation of one-touch login service
CN116647379A (zh) 第三方小程序的服务提供方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination