CN116805904A - 一种应用登录的方法以及相关装置 - Google Patents
一种应用登录的方法以及相关装置 Download PDFInfo
- Publication number
- CN116805904A CN116805904A CN202210265774.1A CN202210265774A CN116805904A CN 116805904 A CN116805904 A CN 116805904A CN 202210265774 A CN202210265774 A CN 202210265774A CN 116805904 A CN116805904 A CN 116805904A
- Authority
- CN
- China
- Prior art keywords
- node
- login
- credential
- application
- target client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000012795 verification Methods 0.000 claims abstract description 79
- 238000012545 processing Methods 0.000 claims description 57
- 238000004590 computer program Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 17
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000013473 artificial intelligence Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 206010033799 Paralysis Diseases 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000003032 molecular docking Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种应用登录的方法以及相关装置,应用于多级中心架构,也适用于云技术、人工智能、智慧交通、辅助驾驶等各种场景。本申请无需在各个中心节点对应的认证节点之间频繁地验证凭证的有效性,省去繁琐复杂的验证流程,提升验证性能。前述方法包括:接收目标客户端发送的第一访问消息,第一访问消息用于请求登录部署在第一中心节点上的第一应用,第一访问消息包括第二中心节点的第一登录凭证和凭证链;在确定第一登录凭证不是由第一中心节点签发时,向第二认证节点发送验证消息;在凭证链有效时,获取目标客户端发送的第二访问消息,第二访问消息包括第一中心节点的第二登录凭证;在第二登录凭证有效时,允许目标客户端登录至第一应用。
Description
技术领域
本申请实施例涉及互联网技术领域,具体涉及一种应用登录的方法以及相关装置。
背景技术
多级中心架构是一种树形结构,包括一个根节点和至少一级子中心节点,而且每级子中心节点中的每个子中心节点均有相应的父节点。通过多级中心架构可以将每个子中心节点、父节点以及根节点进行联结,便于节点之间的数据交互。在随着互联网技术的不断发展,多级中心架构也被广泛地应用到互联网领域中,也越来越多地通过多级中心架构实现对请求登录到不同中心节点上的应用的客户端进行身份的验证。
在相关方案中,多级中心架构中的每个子中心节点所对应的认证节点分别在需要验证相应的登录凭证的时候,都会携带着其他子中心节点的登录凭证,主动地向其他的子中心节点所对应的认证节点发起登录凭证的验证请求,只有在其他的子中心节所对应的认证节点点确认登录凭证有效的情况下,才会登录至部署在其他子中心节点中的应用。举例来说,在多级中心架构中,若客户端想要登录部署在中心节点A上的应用A,以及登录部署在中心节点B上的应用B,此时客户端通过向中心节点A发送登录请求,由中心节点A所对应的认证节点反馈该中心节点A的登录凭证。这样,客户端携带中心节点A的登录凭证登录该应用A,并由中心节点A所对应的认证节点验证该登录凭证的有效性。并且,若客户端想要登录到应用B,此时客户端就会携带着中心节点A的登录凭证登录该应用B,由中心节点B所对应的认证节点向中心节点A所对应的认证节点发送验证请求,并由中心节点A所对应的认证节点再次对该登录凭证进行验证后,将验证结果告知中心节点B所对应的认证节点。这样,中心节点B在确定该登录凭证也有效的情况下,才会确认该客户端可以登录至应用B中。
然而,上述的登录凭证是随机数形态,只有通过颁发登录凭证的中心节点所对应的认证节点的验证后才能证明其有效性。这就使得登录部署在其他中心节点上的应用时,都需要部署了应用的中心节点所对应的认证节点之间频繁地进行数据交互,导致验证流程较为复杂,性能也随之变差。另外,当该多级中心架构中包括有足够多的中心节点时,更多的认证节点之间频繁地收发登录凭证的验证请求和验证反馈时都可能发生网络瘫痪等问题。
发明内容
本申请实施例提供了一种应用登录的方法以及相关装置,无需在各个中心节点所对应的认证节点之间频繁地验证凭证的有效性,省去了繁琐复杂的验证流程,提升验证性能,而且也可以避免出现网络瘫痪等问题。
第一方面,本申请实施例提供了一种应用登录的方法。该方法可以第一中心节点。该方法包括:接收目标客户端发送的第一访问消息,第一访问消息用于请求登录部署在第一中心节点上的第一应用,第一访问消息包括第二中心节点的第一登录凭证和凭证链,第一登录凭证和凭证链是在目标客户端请求登录部署在第二中心节点上的第二应用时由第二中心节点所对应的第一认证节点生成的,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点;在确定第一登录凭证不是由第一中心节点签发时,向第二认证节点发送验证消息,验证消息指示第二认证节点对凭证链进行验证处理,第二认证节点与第一中心节点对应;在凭证链有效时,获取目标客户端发送的第二访问消息,第二访问消息包括第一中心节点的第二登录凭证,第二登录凭证是在目标客户端请求登录第一应用时由第二认证节点在确定凭证链有效时生成的;在第二登录凭证有效时,允许目标客户端登录至第一应用。
第二方面,本申请实施例提供了一种应用登录的方法。该方法可以应用于第一认证节点。该方法包括:接收第二中心节点发送的验证消息,验证消息用于指示对请求登录部署在第二中心节点上的第二应用时的目标客户端进行身份验证;在确定目标客户端的身份信息有效时,基于目标标识生成第二中心节点的第一登录凭证和凭证链,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点,目标标识用于标识请求登录第二应用时的目标客户端,第一登录凭证用于指示允许目标客户端登录至第二应用。
第三方面,本申请实施例提供了一种第一中心节点。该第一中心节点包括:获取单元、处理单元以及发送单元。其中,获取单元用于接收目标客户端发送的第一访问消息,第一访问消息用于请求登录部署在第一中心节点上的第一应用,第一访问消息包括第二中心节点的第一登录凭证和凭证链,第一登录凭证和凭证链是在目标客户端请求登录部署在第二中心节点上的第二应用时由第二中心节点所对应的第一认证节点生成的,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点。发送单元用于在确定第一登录凭证不是由第一中心节点签发时,向第二认证节点发送验证消息,验证消息指示第二认证节点对凭证链进行验证处理,第二认证节点与第一中心节点对应。获取单元用于在凭证链有效时,获取目标客户端发送的第二访问消息,第二访问消息包括第一中心节点的第二登录凭证,第二登录凭证是在目标客户端请求登录第一应用时由第二认证节点在确定凭证链有效时生成的。处理单元用于在第二登录凭证有效时,允许目标客户端登录至第一应用。
在一些可能的实施方式中,处理单元还用于在第二登录凭证有效时,允许目标客户端登录至第一应用之前,基于预设公钥对第二登录凭证进行验证处理。
第四方面,本申请实施例提供了一种第二认证节点,该第二认证节点与第一中心节点对应。该第二认证中心包括:获取单元和处理单元。其中,获取单元用于接收第一中心节点发送的验证消息,验证消息包括第一登录凭证和凭证链,第一登录凭证和凭证链是在目标客户端请求登录部署在第二中心节点上的第二应用时由第二中心节点所对应的第一认证节点生成的,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点。处理单元用于基于第一预设公钥对凭证链进行验证处理,并在凭证链有效时,基于目标标识生成第一中心节点的第二登录凭证,目标标识用于标识请求登录第一应用时的目标客户端。
在一些可能的实施方式中,获取单元还用于在在凭证链有效时,基于目标标识生成第一中心节点的第二登录凭证之前,在凭证链有效时从第一登录凭证中获取第二预设公钥。处理单元用于在根据第二预设公钥确定第一登录凭证未过期时,基于目标标识生成第一中心节点的第二登录凭证。
第五方面,本申请实施例提供了一种目标客户端。该目标客户端包括发送单元。其中,发送单元用于向第一中心节点发送第一访问消息,第一访问消息用于请求访问部署在第一中心节点上的第一应用,第一访问消息包括第二中心节点的第一登录凭证和凭证链,第一登录凭证和凭证链是在目标客户端请求登录部署在第二中心节点上的第二应用时由第二中心节点所对应的第一认证节点生成的,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点;向第一中心节点发送第二访问消息,第二访问消息包括第一中心节点的第二登录凭证,第二登录凭证是在目标客户端请求登录第一应用时由第二认证节点在确定凭证链有效时生成的,第二访问消息用于指示第一中心节点在验证第二登录凭证有效时允许目标客户端已登录至第一应用。
第六方面,本申请实施例提供了一种第二中心节点。该第二中心节点包括获取单元、处理单元以及发送单元。其中,获取单元用于接收目标客户端发送的第一请求消息,第一请求消息用于请求登录部署在第二中心节点上的第二应用。发送单元用于在确定目标客户端未登录第二应用时,向第一认证节点发送验证消息,验证消息用于指示第一认证节点对目标客户端进行身份认证处理。获取单元用于获取目标客户端发送的第二请求消息,第二请求消息包括第二中心节点的第一登录凭证,第一登录凭证是在目标客户端请求登录第二应用时由第一认证节点在验证目标客户端的身份信息有效时生成的。处理单元用于在第一登录凭证有效时,允许目标客户端登录至第二应用。
在一些可能的实施方式中,处理单元用于在第一登录凭证有效时,确定目标客户端登录至第二应用之前,基于预设公钥对第一登录凭证进行验证处理。
第七方面,本申请实施例提供了一种第一认证节点。该第一认证节点包括获取单元和处理单元。其中,获取单元用于接收第二中心节点发送的验证消息,验证消息用于指示对请求登录部署在第二中心节点上的第二应用时的目标客户端进行身份验证。处理单元用于在确定目标客户端的身份信息有效时,基于目标标识生成第二中心节点的第一登录凭证和凭证链,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点,目标标识用于标识请求登录第二应用时的目标客户端,第一登录凭证用于指示允许目标客户端登录至第二应用。
本申请实施例第八方面提供了一种应用处理装置,包括:存储器、收发器、处理器以及总线系统。其中,总线系统用于连接存储器以及处理器,以使存储器以及处理器进行通信。存储器用于存储程序。处理器用于执行存储器中的程序,以执行上述第一方面或第二方面的实施方式对应的方法。
本申请实施例第九方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行以执行上述第一方面或第二方面的实施方式对应的方法。
本申请实施例第十方面提供了一种包含指令的计算机程序产品,当其在计算机或者处理器上运行时,使得计算机或者处理器执行上述以执行上述第一方面或第二方面的实施方式对应的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请实施例中,由于第一访问消息是目标客户端用于请求登录部署在第一中心节点上的第一应用,而且该第一访问消息中包括第二中心节点的第一登录凭证和凭证链,第一登录凭证和凭证链是在目标客户端请求登录部署在第二中心节点上的第二应用时由第二中心节点所对应的第一认证节点生成的,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点。因此,第一中心节点可以在接收目标客户端发送的第一访问消息后,在确定第一登录凭证不是由第一中心节点签发的时候,则向第二认证节点发送验证消息,由第二认证节点对凭证链进行验证处理。而且,又因为第一中心节点和第二中心节点直接或间接地级联于根节点,该凭证链又反映出从根节点至第二中心节点之间的凭证情况。因此,第二认证节点通过验证凭证链的有效性,可以确定出第一中心节点收到的第一登录凭证的有效性,进而生成第一中心节点的第二登录凭证。这样,在凭证链有效的情况下,第一中心节点可以判断目标客户端发送的第二访问消息中的第二登录凭证是否有效,进而在第二登录凭证有效的时候,允许目标客户端登录至第一应用。换句话说,由于凭证链指示了从根节点至第二中心节点之间的凭证情况,因此通过第一中心节点所对应的第二认证节点来验证第二中心节点的凭证链的有效性,以此实现对第二中心节点的登录凭证的有效性的验证,从而省去了第二认证节点与该第二中心节点所对应的第一中心节点之间频繁地交换数据来验证彼此的登录凭证,验证流程较为简单,性能也得以提升。另外,在中心节点足够多的多级中心架构中,也不会出现网络瘫痪等问题的发生。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请实施例提供的一种多级中心架构的示意图;
图2示出了现有方案进行客户端身份验证的相关流程示意图;
图3示出了本申请实施例提供的应用登录的方法的一种流程示意图;
图4示出了本申请实施例提供的应用登录的方法的另一种流程示意图;
图5示出了本申请实施例中提供的第一中心节点一个实施例示意图;
图6示出了本申请实施例中提供的第二认证节点一个实施例示意图
图7示出了本申请实施例中提供的第二中心节点一个实施例示意图
图8示出了本申请实施例中提供的第一认证节点一个实施例示意图;
图9示出了本申请实施例提供的应用处理装置的结构示意图。
具体实施方式
本申请实施例提供了一种应用登录的方法以及相关装置,无需在各个中心节点所对应的认证节点之间频繁地验证凭证的有效性,省去了繁琐复杂的验证流程,提升验证性能,而且也可以避免出现网络瘫痪等问题。
可以理解的是,在本申请的具体实施方式中,涉及到用户信息、对象数据等相关的数据,当本申请以上实施例运用到具体产品或技术中时,需要获得用户许可或者同意,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1示出了本申请实施例提供的一种多级中心架构的示意图。如图1所示,在该多级中心架构中,包括一个根节点以及至少一级子中心节点。另外,在每一级子中心节点中,均有相应的父节点。譬如说,图1示出了三级中心架构,其中,根节点下连接着N(N为大于等于1的整数)个一级子中心节点(即一级子中心节点1至一级子中心节点N)。在一级子中心节点1中,又连接着M(M为大于等于1的整数)个二级子中心节点(即二级子中心节点1至二级子中心节点M)。每个二级子中心节点又分别连接着相应的三级子中心节点。
需说明,这M个二级子中心节点均共同连接着一个父节点,即一级子中心节点1。这N个一级子中心节点也共同连接者一个父节点,即根节点。另外,这M个二级子中心节点和N个一级子中心节点均共同连接着同一个根节点。
应理解,上述所提及的根节点、每个一级子中心节点、每个二级子中心节点等,可以包括但不限于终端设备、服务器等设备,本申请不做限定说明。另外,所描述的终端设备可以包括但不限于手机、可折叠电子设备、平板电脑、膝上型计算机、手持设备、笔记本电脑、上网本、个人数字助理(personal digital assistant,PDA)、人工智能(artificialintelligence,AI)设备、智能语音交互设备、智能家电、飞行器、可穿戴式设备、车载设备,或者连接无线调制解调器的其他处理设备,以及各种形式的用户设备(user equipment,UE),移动台(mobile station,MS)等等。本申请实施例对该终端设备的具体类型不作特殊限制。
随着互联网技术的不断发展,图1示出的多级中心架构也被广泛地应用到互联网领域中,例如包括但不限于身份认证领域等,也越来越多地使用多级中心架构来实现对请求登录到部署在不同中心节点中的应用的客户端进行身份的验证。
在相关方案中,多级中心架构中的每个子中心节点分别在需要验证相应的登录凭证的时候,都会携带着其他子中心节点的登录凭证,主动地向其他的子中心节点发起登录凭证的验证请求,只有在其他的子中心节点所对应的认证节点确认登录凭证有效的情况下,才会登录至部署在其他子中心节点中的应用。图2示出了现有方案进行客户端身份验证的相关流程示意图。如图2所示,在前述图1示出的多级中心架构为基础,若目标对象想要通过客户端登录部署在一级子中心节点1上的应用A,以及登录部署在一级子中心节点N上的应用B,此时客户端通过向一级子中心节点1发送登录请求,由认证节点1反馈该一级子中心节点1的登录凭证。这样,客户端携带一级子中心节点1的登录凭证登录该应用A,并由一级子中心节点1验证该登录凭证的有效性。并且,若客户端想要登录到应用B,此时客户端就会携带着一级子中心节点1的登录凭证登录该应用B,由一级子中心节点N对应的认证节点N向认证节点1发送验证请求,并由认证节点1再次对该登录凭证进行验证后,将验证结果告知认证节点N。这样,一级子中心节点N在确定该登录凭证也有效的情况下,才会确认该客户端可以登录至应用B中。
然而,上述的登录凭证是随机数形态,只有通过颁发登录凭证的子中心节点所对应的认证节点的验证后才能证明其有效性。这就使得登录部署在其他的子中心节点上的应用时,都需要部署了应用的子中心节点各自对应的认证节点之间频繁地进行数据交互,导致验证流程较为复杂,性能也随之变差。另外,当该多级中心结构中包括有足够多的子中心节点时,更多的认证节点之间频繁地收发登录凭证的验证请求和验证反馈时都可能发生网络瘫痪等问题。
因此,为了解决上述所描述的技术问题,本申请实施例提供了一种应用登录的方法。该应用登录的方法可以应用在前述图1示出的多级中心架构中。示例性地,本申请实施例提供的应用登录的方法也可以适用于具有通过多级中心架构建设需求的项目等应用场景中,也可以适用于云技术、人工智能、智慧交通、辅助驾驶等场景中,在本申请实施例中不做限定说明。为了便于理解,后续本申请实施例仅以客户端预登录两个中心节点中的应用为例进行说明。针对客户端登录到三个中心节点,甚至更多个中心节点的应用也可以参照登录两个中心节点的应用为例进行理解。
需说明,在执行后续图3或图4所对应的应用登录的方法之前,还可以对根节点、每个中心节点、认证节点配置相应的公钥信息和私钥信息等内容。示例性地,可以参照下述内容进行理解,即:
①针对根节点,可以为根节点配置公钥Rpubkey和私钥Rprivkey。
②针对第一中心节点,可以为第一中心节点配置与第二认证节点对接的秘钥Yappkey和Yappsecret、以及第二认证节点的公钥Ypubkey。其中,Yappkey是秘钥的标识,Yappsecret是秘钥体。
③针对第二中心节点,可以为第二中心节点配置与第一认证节点对接的秘钥Xappkey和Xappsecret、以及第二认证节点的公钥Xpubkey。其中,Xappkey是秘钥的标识,Xappsecret是秘钥体。
④针对第一认证节点,可以为第一认证节点配置根节点的公钥Rpubkey、该第一认证节点自身的公钥Ypubkey和私钥Yprivkey、以及与第一认证节点对应的父节点的对接秘钥YFauthkey和YFauthsecret、第一应用的回调地址。其中,YFauthkey为秘钥的标识,YFauthsecret为秘钥体。
⑤针对第二认证节点,可以为第二认证节点配置根节点的公钥Rpubkey、该第二认证节点自身的公钥Xpubkey和私钥Xprivkey、以及与第二认证节点对应的父节点的对接秘钥XFauthkey和XFauthsecret、第二应用的回调地址。其中,XFauthkey为秘钥的标识,XFauthsecret为秘钥。
⑥针对第一认证节点对应的父节点,可以为第一认证节点对应的父节点配置根节点公钥Rpubkey、以及该父节点自身的公私钥对YFpubkey和YFprivkey。
⑦针对第二认证节点对应的父节点,可以为第二认证节点对应的父节点配置根节点的公钥Rpubkey、以及该父节点自身的公私钥对XFpubkey和XFprivkey。
需说明,所提及的第二应用是部署在第二中心节点中的,能够为目标对象提供服务的应用系统。第一应用是部署在第一中心节点中的,能够为目标对象提供服务的应用系统。第二认证节点可以理解成用于负责验证目标对象的身份信息、并颁发第一中心节点的登录凭证的服务器等,第一认证节点可以理解成用于负责验证目标对象的身份信息、并颁发第二中心节点的登录凭证的服务器等,本申请不做限定。另外,第一认证节点对应的父节点可以理解成该根节点的子节点。对于第二认证节点对应的父节点也可以参照第一认证节点对应的父节点进行理解,此处不做赘述。
另外,上述所描述的Rpubkey、Rprivkey、Yappkey、Ypubkey等标识仅仅是一个示意性的描述,在实际应用中,还可以使用其他的标识来表述每个节点的公私钥等相关信息,本申请不做具体限定。
在为节点配置上述①至⑦所描述的公私钥等相关信息后,在目标对象通过目标客户端登录第二中心节点的第二应用之前,若第二中心节点在检测到目标对象未进行身份注册时,则需要借助该第二中心节点所对应的第一认证节点对该目标对象先进行身份注册。然后,由第一认证节点将注册后的目标对象的信息同步至第二中心节点对应的父节点和根节点中。这样,在完成目标对象的信息注册后,即可以执行本申请实施例提供的应用登录的方法。图3示出了本申请实施例提供的应用登录的方法的一种流程示意图。如图3所示,该应用登录的方法可以包括如下步骤:
301、目标客户端向第一中心节点发送第一访问消息,第一访问消息用于请求登录部署在第一中心节点上的第一应用,第一访问消息包括第二中心节点的第一登录凭证和凭证链,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点。
该示例中,所提及的第一中心节点和第二中心节点级联于根节点,可以理解成第一中心节点和第二中心节点可以直接级联于根节点,也可以间接地级联于根节点。举例来说,该第一中心节点可以是前述图1中的一级子中心节点N,第二中心节点可以是前述图1中的二级子中心节点M。或者,第一中心节点可以是图1示出的一级子中心节点1,第二中心节点为图1示出的一级子中心节点2等,具体在本申请实施例中不做限定说明。
另外,第一登录凭证和凭证链都是在目标客户端请求登录部署在第二中心节点上的第二应用时,由第二中心节点所对应的第一认证节点生成的。需说明,第一认证节点可以理解成用于负责验证目标对象的身份信息、并颁发第二中心节点的登录凭证的服务器等,本申请不做限定。所提及的第二应用是部署在第二中心节点中的,能够为目标对象提供服务的应用系统。类似地,所提及的第一应用是部署在第一中心节点中的,能够为目标对象提供服务的应用系统。目标客户端可以理解成向中心节点发起访问请求的客户端应用,例如浏览器、应用程序(application,APP)等,本申请不做具体限定。
另外,凭证链指示了从根节点至该第二中心节点之间的凭证情况。换句话说,该凭证链是一个JSON结构,记录了从根节点到该第二中心节点整条链路上所有的认证节点的公钥信息、以及上一级中心节点对下一级中心节点的签名信息。举例来说,以三级中心架构为例,以R代表根节点,S1代表一级子中心节点,S2代表二级子中心节点,S3代表三级子中心节点。若以三级子中心节点S3作为本申请的第二中心节点,此时的凭证链的数据格式可以参照下述Json格式进行理解,即:
其中,S3sign=SM2(S3pubkey,Rprivkey)+SM3(SM2(S3pubkey,Rprivkey))表示出第二中心节点的凭证信息。最终传递的凭证链的数据是:base64(S3cerchain)。
需说明,Rpubkey表示根节点的公钥信息。S1pubkey表示一级子中心节点的公钥信息,S1sign表示一级子中心节点的签名信息。S2pubkey表示二级子中心节点的公钥信息,S2sign表示二级子中心节点的签名信息。S3pubkey表示三级子中心节点的公钥信息,S3sign表示三级子中心节点的签名信息。
在一些示例中,第一登录凭证的数据格式可以包括三个部分,分别为Header字段、Body字段以及Signature字段。其中,Header字段包括算法标识。例如,包括但不限于使用SM3算法、SM2算法等。其中,SM3算法是摘要算法,SM2算法是非对称算法,主要负责进行签名和验签。Body字段可以包括issuer字段、exp字段以及aud字段。其中,issuer字段用于标识登录凭证的签发者;exp字段用于标识登录凭证的过期时间;aud字段用于标识标识登录凭证的接受者。另外,在Signature字段中,主要用于存放签名信息。该签名信息可以通过公式sign=SM2(header+body,privkey)+SM3(SM2(header+body,privkey))得到,其中,privkey表示私钥。所以最终传递的第一登录凭证的数据是:base64(header+body+sign)。
应理解,上述所描述的凭证链的数据格式仅仅是一个示意性的描述,在实际应用中,针对多级子中心节点所对应的凭证链,也可以参照上述的凭证链的数据格式进行理解,此处不做赘述。另外,所描述的SM2算法和SM3算法也仅仅是一个示意性的描述,在实际应用中,还可能使用其他的加密算法对该登录凭证进行签名。
302、第一中心节点在确定第一登录凭证不是由第一中心节点签发时,向第二认证节点发送验证消息。
该示例中,在第一中心节点接收到目标客户端发送的第一访问消息后,可以对该第一访问消息进行解析,得到第一登录凭证。然后,第一中心节点可以根据该第一登录凭证中的标记,判断该第一登录凭证是否是第一中心节点签发的。若基于该标记确定第一登录凭证不是第一中心节点签发的,此时第一中心节点就无法验证该第一登录凭证是否有效。此时,第一中心节点就需要向第二认证节点发送验证消息,由第二认证节点对第一登录凭证进行验证。
需说明,第二认证节点可以理解成用于负责验证目标对象的身份信息,并颁发第一中心节点的登录凭证的服务器等,本申请不做限定。
303、第二认证节点基于第一预设公钥对凭证链进行验证处理。
该示例中,第二认证节点在接收到第一中心节点发送的验证消息后,会解析得到该验证消息中携带的凭证链和第一登录凭证。这样,第二认证节点可以基于第一预设公钥(即前述的根节点的公钥Rpubkey)对该凭证链进行验证处理。
需说明,第一预设公钥是根节点中存储的用于验证身份信息的公钥。另外,由于凭证链表示出从根节点至第二中心节点之间的凭证情况,而且第一中心节点和第二中心节点直接或间接地级联于同一个根节点。那么,第二认证节点在基于公钥Rpubkey确定该凭证链是有效的情况下,就可以验证出第一中心节点接收到的第一登录凭证是有效的。这样,便可以不需要通过第一中心节点和第二中心节点之间的数据交互,也能够实现对第二中心节点的第一登录凭证的合法性的认证。
304、第二认证节点在凭证链有效时,基于目标标识生成第一中心节点的第二登录凭证,目标标识用于标识请求登录第一应用时的目标客户端。
该示例中,第二认证节点在确认凭证链有效的时候,就可以验证出第一登录凭证是有效的。此时,第二认证节点可以基于目标标识生成该第一中心节点的第二登录凭证。
需说明,所描述的目标标识可以理解成用来标识请求登录第一应用时的目标客户端。进一步地,目标标识也可以理解成用来标识请求登录第一应用和第二应用时的目标客户端。
在一些可选的示例中,第二认证节点在确认凭证链有效时基于目标标识生成第一中心节点的第二登录凭证之前,还可以执行如下步骤:在凭证链有效时,从第一登录凭证中获取第二预设公钥。然后,基于目标标识生成第一中心节点的第二登录凭证,可以通过以下方式来实现,即:在根据第二预设公钥确定第一登录凭证未过期时,基于目标标识生成第一中心节点的第二登录凭证。
在该示例中,在通过验证凭证链有效的方式来确认该第一登录凭证有效的时候,还可以进一步地基于第二预设公钥来检测第一登录凭证是否已经过期。若该第一登录凭证没有过期的情况下,第二认证节点可以基于目标标识为目标客户端生成第一中心节点的第二登录凭证,进而使得目标客户端能够通过该第二登录凭证登录至第一应用中。
需说明,所描述的第二预设公钥是从第一登录凭证中获取得到的。该第二预设公钥可以理解成第二中心节点中存储的用于验证身份信息的公钥,即第二中心节点中配置的公钥Xpubkey。
305、第二认证节点向目标客户端发送第二登录凭证。
该示例中,第二认证节点在生成第二登录凭证之后,可以将该第二登录凭证发送至目标客户端。这样,目标客户端可以存储第二登录凭证。
示例性地,第二认证节点还可以将第一应用的回调地址也发送至目标客户端。需说明,第一应用的回调地址可以理解成第一应用的URL地址。该第一应用的回调地址可以预先存储在第二认证节点中。
306、目标客户端向第一中心节点发送第二访问消息,第二访问消息包括第二登录凭证。
该示例中,目标客户端可以在第二访问消息中携带第二登录凭证,进而向第一中心节点发送该第二访问消息,通过该第二访问消息请求第一中心节点允许登录第一应用。示例性地,当第二认证节点确认该第一登录凭证有效的时候,目标客户端也可以通过该第一应用的回调地址,向第一中心节点发送第二访问消息。
307、第一中心节点基于预设公钥对第二登录凭证进行验证处理。
该示例中,所描述的预设公钥可以理解成第一中心节点中存储的用于验证身份信息的公钥,即公钥Ypubkey。因此,第一中心节点在获取到目标客户端发送的第二访问消息之后,可以解析得到该第二访问消息中携带的第二登录凭证。然后,第一中心节点基于可以基于公钥Ypubkey对该第二登录凭证进行验证。
308、第一中心节点在确认第二登录凭证有效时,允许目标客户端登录至第一应用。
该示例中,在第一中心节点基于公钥Ypubkey对第二登录凭证进行验证,以确定出该第二登录凭证有效的情况下,则允许目标客户端登录至第一应用。需说明,若第一中心节点确定出第二登录凭证无效的时候,则不允许目标客户端登录至第一应用。
在一些可能的示例中,第一中心节点在确认第二登录凭证有效之后,还可以进一步验证该第二登录凭证是否过期。若该第二登录凭证未过期的时候,则允许目标客户端登录至第一应用。
下面将结合目标客户端访问第二中心节点的第二应用的过程来描述该应用登录的方法。图4示出了本申请实施例提供的应用登录的方法的另一种流程示意图。如图4所示,该应用登录的方法可以包括:
401、目标客户端向第二中心节点发送第一请求消息,第一请求消息用于请求登录部署在第二中心节点上的第二应用。
该示例中,所提及的第二应用是部署在第二中心节点中的,能够为目标对象提供服务的应用系统。目标对象欲想访问第二应用,可以通过目标客户端向第二中心节点发送第一请求消息,进而通过该第一请求消息请求登录该第二应用。
402、第二中心节点在确定目标客户端未登录第二应用时,向第一认证节点发送验证消息,验证消息用于指示第一认证节点对目标客户端进行身份认证处理。
该示例中,第二中心节点在接收到目标客户端发送的第一请求消息后,可以基于目标对象的历史登录记录等信息、或者基于预设时间判断该目标客户端的登录状态,进而确定目标客户端是否已经登录到第二应用。若第二中心节点确定该目标客户端位登录到第二应用时,则向第一认证节点发送验证消息,请求第一认证节点对目标客户端进行身份认证处理。
需说明,若第二中心节点确定目标客户端已经登录至第二应用,此时则直接允许目标对象访问第二应用。
403、第一认证节点基于验证消息对目标客户端进行身份认证处理。
该示例中,第一认证节点在接收到验证消息后,可以显示登录界面,由目标对象通过目标客户端在该登录界面中输入相应的身份信息。这样,第一认证节点可以对该目标客户端进行身份认证处理。
404、第一认证节点在确定目标客户端的身份信息有效时,基于目标标识生成第二中心节点的第一登录凭证和凭证链,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点,目标标识用于标识请求登录第二应用时的目标客户端,第一登录凭证用于指示允许目标客户端登录至第二应用。
该示例中,第一认证节点在确定目标客户端的身份信息有效时,可以基于目标标识生成第二中心节点的第一登录凭证和凭证链。需说明,第一登录凭证和凭证链可以参照前述图3中的步骤301中的内容进行理解,此处不做赘述。
405、第一认证节点向目标客户端发送第一登录凭证和凭证链。
该示例中,第一认证节点在生成第一登录凭证和凭证链之后,可以将该第一登录凭证和凭证链发送至目标客户端。这样,目标客户端可以存储第一登录凭证和凭证链。
示例性地,第一认证节点还可以将第二应用的回调地址也发送至目标客户端。需说明,第二应用的回调地址可以理解成第二应用的URL地址。该第二应用的回调地址可以预先存储在第一认证节点中。
406、目标客户端向第二中心节点发送第二请求消息,第二请求消息包括第一登录凭证。
该示例中,目标客户端可以在第二请求消息中携带第二登录凭证,进而向第一中心节点发送该第二请求消息,通过该第二请求消息请求第一中心节点允许登录第一应用。示例性地,当第二认证节点确认该第一登录凭证有效的时候,目标客户端也可以通过该第一应用的回调地址,向第一中心节点发送第二请求消息。
407、第二中心节点基于预设公钥对第一登录凭证进行验证处理。
该示例中,所描述的预设公钥可以理解成第二中心节点中存储的用于验证身份信息的公钥,即公钥Xpubkey。因此,第二中心节点在获取到目标客户端发送的第二请求消息之后,可以解析得到该第二请求消息中携带的第一登录凭证。然后,第二中心节点基于可以基于公钥Xpubkey对该第一登录凭证进行验证。
408、第二中心节点在确认第一登录凭证有效时,允许目标客户端登录至第二应用。
该示例中,在第二中心节点基于公钥Xpubkey对第一登录凭证进行验证,以确定出该第一登录凭证有效的情况下,则允许目标客户端登录至第二应用。需说明,若第二中心节点确定出第一登录凭证无效的时候,则不允许目标客户端登录至第二应用。
在一些可能的示例中,第二中心节点在确认第一登录凭证有效之后,还可以进一步验证该第一登录凭证是否过期。若该第一登录凭证未过期的时候,则允许目标客户端登录至第二应用。
409、目标客户端向第一中心节点发送第一访问消息,第一访问消息用于请求登录部署在第一中心节点上的第一应用,第一访问消息包括第二中心节点的第一登录凭证和凭证链,第一中心节点与第二中心节点级联于根节点。
410、第一中心节点在确定第一登录凭证不是由第一中心节点签发时,向第二认证节点发送验证消息。
411、第二认证节点基于第一预设公钥对凭证链进行验证处理。
412、第二认证节点在凭证链有效时,基于目标标识生成第一中心节点的第二登录凭证,目标标识用于标识请求登录第一应用时的目标客户端。
413、第二认证节点向目标客户端发送第二登录凭证。
414、目标客户端向第一中心节点发送第二访问消息,第二访问消息包括第二登录凭证。
415、第一中心节点基于预设公钥对第二登录凭证进行验证处理。
416、第一中心节点在确认第二登录凭证有效时,允许目标客户端登录至第一应用。
该示例中,步骤409-416可以参照前述图3中的步骤301-308所描述的内容进行理解,此处不做赘述。
另外,本实施例中步骤406-408与步骤409-416的执行顺序不做具体限定。譬如说,在实际应用中,还可以先执行步骤409-416再执行步骤406-408;也可以同步执行步骤406-408和步骤409-416。
本申请实施例中,由于第一访问消息是目标客户端用于请求登录部署在第一中心节点上的第一应用,而且该第一访问消息中包括第二中心节点的第一登录凭证和凭证链,第一登录凭证和凭证链是在目标客户端请求登录部署在第二中心节点上的第二应用时由第二中心节点所对应的第一认证节点生成的,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点。因此,第一中心节点可以在接收目标客户端发送的第一访问消息后,在确定第一登录凭证不是由第一中心节点签发的时候,则向第二认证节点发送验证消息,由第二认证节点对凭证链进行验证处理。而且,又因为第一中心节点和第二中心节点直接或间接地级联于根节点,该凭证链又反映出从根节点至第二中心节点之间的凭证情况。因此,第二认证节点通过验证凭证链的有效性,可以确定出第一中心节点收到的第一登录凭证的有效性,进而生成第一中心节点的第二登录凭证。这样,在凭证链有效的情况下,第一中心节点可以判断目标客户端发送的第二访问消息中的第二登录凭证是否有效,进而在第二登录凭证有效的时候,允许目标客户端登录至第一应用。
换句话说,由于凭证链指示了从根节点至第二中心节点之间的凭证情况,因此通过第一中心节点所对应的第二认证节点来验证第二中心节点的凭证链的有效性,以此实现对第二中心节点的登录凭证的有效性的验证,从而省去了第二认证节点与该第二中心节点所对应的第一中心节点之间频繁地交换数据来验证彼此的登录凭证,验证流程较为简单,性能也得以提升。另外,在中心节点足够多的多级中心架构中,也不会出现网络瘫痪等问题的发生。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。可以理解的是为了实现上述功能,包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本申请中所公开的实施例描述的各示例的模块及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
下面对本申请实施例中的中心节点、认证节点进行详细描述,图5为本申请实施例中提供的第一中心节点一个实施例示意图。如图5所示,该第一中心节点可以包括获取单元501、发送单元502以及处理单元503。
其中,获取单元501用于接收目标客户端发送的第一访问消息,第一访问消息用于请求登录部署在第一中心节点上的第一应用,第一访问消息包括第二中心节点的第一登录凭证和凭证链,第一登录凭证和凭证链是在目标客户端请求登录部署在第二中心节点上的第二应用时由第二中心节点所对应的第一认证节点生成的,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点。
发送单元502用于在确定第一登录凭证不是由第一中心节点签发时,向第二认证节点发送验证消息,验证消息指示第二认证节点对凭证链进行验证处理,第二认证节点与第一中心节点对应。
获取单元501用于在凭证链有效时,获取目标客户端发送的第二访问消息,第二访问消息包括第一中心节点的第二登录凭证,第二登录凭证是在目标客户端请求登录第一应用时由第二认证节点在确定凭证链有效时生成的。
处理单元503用于在第二登录凭证有效时,允许目标客户端登录至第一应用。
在一些可能的实施方式中,处理单元503还用于在第二登录凭证有效时,允许目标客户端登录至第一应用之前,基于预设公钥对第二登录凭证进行验证处理。
下面对本申请实施例中的第二认证节点进行详细描述,图6为本申请实施例中提供的第二认证节点一个实施例示意图。如图6所示,该第二认证节点可以包括获取单元601和处理单元602。
其中,获取单元601用于接收第一中心节点发送的验证消息,验证消息包括第一登录凭证和凭证链,第一登录凭证和凭证链是在目标客户端请求登录部署在第二中心节点上的第二应用时由第二中心节点所对应的第一认证节点生成的,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点。
处理单元602用于基于第一预设公钥对凭证链进行验证处理,并在凭证链有效时,基于目标标识生成第一中心节点的第二登录凭证,目标标识用于标识请求登录第一应用时的目标客户端。
在一些可能的实施方式中,获取单元601还用于在在凭证链有效时,基于目标标识生成第一中心节点的第二登录凭证之前,在凭证链有效时从第一登录凭证中获取第二预设公钥。处理单元602用于在根据第二预设公钥确定第一登录凭证未过期时,基于目标标识生成第一中心节点的第二登录凭证。
下面对本申请实施例中的第二中心节点进行详细描述,图7为本申请实施例中提供的第二中心节点一个实施例示意图。如图7所示,该第二中心节点包括获取单元701、发送单元702以及处理单元703。
其中,获取单元701用于接收目标客户端发送的第一请求消息,第一请求消息用于请求登录部署在第二中心节点上的第二应用。
发送单元702用于在确定目标客户端未登录第二应用时,向第一认证节点发送验证消息,验证消息用于指示第一认证节点对目标客户端进行身份认证处理。
获取单元701用于获取目标客户端发送的第二请求消息,第二请求消息包括第二中心节点的第一登录凭证,第一登录凭证是在目标客户端请求登录第二应用时由第一认证节点在验证目标客户端的身份信息有效时生成的。
处理单元703用于在第一登录凭证有效时,允许目标客户端登录至第二应用。
在一些可能的实施方式中,处理单元703用于在第一登录凭证有效时,确定目标客户端登录至第二应用之前,基于预设公钥对第一登录凭证进行验证处理。
下面对本申请实施例中的第一认证节点进行详细描述,图8为本申请实施例中提供的第一认证节点一个实施例示意图。如图8所示,该第一认证节点包括获取单元801和处理单元802。
其中,获取单元801用于接收第二中心节点发送的验证消息,验证消息用于指示对请求登录部署在第二中心节点上的第二应用时的目标客户端进行身份验证。
处理单元802用于在确定目标客户端的身份信息有效时,基于目标标识生成第二中心节点的第一登录凭证和凭证链,凭证链指示从根节点至第二中心节点之间的凭证情况,第一中心节点与第二中心节点级联于根节点,目标标识用于标识请求登录第二应用时的目标客户端,第一登录凭证用于指示允许目标客户端登录至第二应用。
上面从模块化功能实体的角度对本申请实施例中的中心节点、认证节点等进行描述,下面从硬件处理的角度对本申请实施例中的第一中心节点、第一认证节点、第二中心节点、第二认证节点以及目标客户端等进行描述。图9是本申请实施例提供的应用处理装置的结构示意图。该应用处理装置可以包括上述所描述的第一中心节点、第一认证节点、第二中心节点第二认证节点以及目标客户端等。该应用处理装置可因配置或性能不同而产生比较大的差异。该数据传输装置可以至少一个处理器901,通信线路907,存储器903以及至少一个通信接口904。
处理器901可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,服务器IC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路907可包括一通路,在上述组件之间传送信息。
通信接口904,使用任何收发器一类的装置,用于与其他装置或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。
存储器903可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储装置,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储装置,存储器可以是独立存在,通过通信线路907与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器903用于存储执行本申请方案的计算机执行指令,并由处理器901来控制执行。处理器901用于执行存储器903中存储的计算机执行指令,从而实现本申请上述实施例提供的应用登录的方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,该计算机设备可以包括多个处理器,例如图9中的处理器901和处理器902。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个装置、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,该计算机设备还可以包括输出设备905和输入设备906。输出设备905和处理器901通信,可以以多种方式来显示信息。输入设备906和处理器901通信,可以以多种方式接收用户的输入。例如,输入设备906可以是鼠标、触摸屏装置或传感装置等。
上述的该计算机设备可以是一个通用装置或者是一个专用装置。在具体实现中,该计算机设备可以是显微镜等或有图9中类似结构的装置。本申请实施例不限定该计算机设备的类型。
需说明,图9中的处理器901可以通过调用存储器903中存储的计算机执行指令,使得第一中心节点、第一认证节点、第二中心节点第二认证节点以及目标客户端执行如图3至图4对应的方法实施例中的方法。
具体的,图4中的处理单元402、图5中的处理单元502的功能/实现过程可以通过图9中的处理器901调用存储器903中存储的计算机执行指令来实现。图4中的获取单元401和发送单元403、图5中的接收单元501的功能/实现过程可以通过图9中的通信接口904来实现。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
上述实施例,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现,当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机执行指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如SSD))等。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种应用登录的方法,其特征在于,应用于第一中心节点,所述方法包括:
接收目标客户端发送的第一访问消息,所述第一访问消息用于请求登录部署在所述第一中心节点上的第一应用,所述第一访问消息包括第二中心节点的第一登录凭证和凭证链,所述第一登录凭证和所述凭证链是在所述目标客户端请求登录部署在所述第二中心节点上的第二应用时由所述第二中心节点所对应的第一认证节点生成的,所述凭证链指示从根节点至所述第二中心节点之间的凭证情况,所述第一中心节点与所述第二中心节点级联于所述根节点;
在确定所述第一登录凭证不是由所述第一中心节点签发时,向第二认证节点发送验证消息,所述验证消息指示所述第二认证节点对所述凭证链进行验证处理,所述第二认证节点与所述第一中心节点对应;
在所述凭证链有效时,获取所述目标客户端发送的第二访问消息,所述第二访问消息包括所述第一中心节点的第二登录凭证,所述第二登录凭证是在所述目标客户端请求登录所述第一应用时由所述第二认证节点在确定所述凭证链有效时生成的;
在所述第二登录凭证有效时,允许所述目标客户端登录至所述第一应用。
2.根据权利要求1所述的方法,其特征在于,所述在所述第二登录凭证有效时,允许所述目标客户端登录至所述第一应用之前,所述方法还包括:
基于预设公钥对所述第二登录凭证进行验证处理。
3.一种应用登录的方法,其特征在于,应用于第二认证节点,所述方法包括:
接收第一中心节点发送的验证消息,所述验证消息包括第一登录凭证和凭证链,所述第一登录凭证和所述凭证链是在所述目标客户端请求登录部署在第二中心节点上的第二应用时由所述第二中心节点所对应的第一认证节点生成的,所述凭证链指示从根节点至所述第二中心节点之间的凭证情况,所述第一中心节点与所述第二中心节点级联于所述根节点;
基于第一预设公钥对所述凭证链进行验证处理,并在所述凭证链有效时,基于目标标识生成所述第一中心节点的第二登录凭证,所述目标标识用于标识请求登录所述第一应用时的目标客户端。
4.根据权利要求3所述的方法,其特征在于,所述在所述凭证链有效时,基于目标标识生成所述第一中心节点的第二登录凭证之前,所述方法还包括:
在所述凭证链有效时,从所述第一登录凭证中获取第二预设公钥;
所述基于目标标识生成所述第一中心节点的第二登录凭证,包括:
在根据所述第二预设公钥确定所述第一登录凭证未过期时,基于所述目标标识生成所述第一中心节点的第二登录凭证。
5.一种访问应用的方法,其特征在于,应用于目标客户端,所述方法包括:
向第一中心节点发送第一访问消息,所述第一访问消息用于请求访问部署在所述第一中心节点上的第一应用,所述第一访问消息包括第二中心节点的第一登录凭证和凭证链,所述第一登录凭证和所述凭证链是在所述目标客户端请求登录部署在所述第二中心节点上的第二应用时由所述第二中心节点所对应的第一认证节点生成的,所述凭证链指示从根节点至所述第二中心节点之间的凭证情况,所述第一中心节点与所述第二中心节点级联于所述根节点;
向所述第一中心节点发送第二访问消息,所述第二访问消息包括所述第一中心节点的第二登录凭证,所述第二登录凭证是在所述目标客户端请求登录所述第一应用时由所述第二认证节点在确定所述凭证链有效时生成的,所述第二访问消息用于指示所述第一中心节点在验证所述第二登录凭证有效时允许所述目标客户端登录至所述第一应用。
6.一种访问应用的方法,其特征在于,应用于第二中心节点,所述方法包括:
接收目标客户端发送的第一请求消息,所述第一请求消息用于请求登录部署在所述第二中心节点上的第二应用;
在确定所述目标客户端未登录所述第二应用时,向第一认证节点发送验证消息,所述验证消息用于指示所述第一认证节点对所述目标客户端进行身份认证处理;
获取所述目标客户端发送的第二请求消息,所述第二请求消息包括所述第二中心节点的第一登录凭证,所述第一登录凭证是在所述目标客户端请求登录所述第二应用时由所述第一认证节点在验证所述目标客户端的身份信息有效时生成的;
在所述第一登录凭证有效时,允许所述目标客户端登录至所述第二应用。
7.根据权利要求6所述的方法,其特征在于,所述在所述第一登录凭证有效时,允许所述目标客户端登录至所述第二应用之前,所述方法还包括:
基于预设公钥对所述第一登录凭证进行验证处理。
8.一种应用处理装置,其特征在于,所述应用访问装置包括:输入/输出(I/O)接口、处理器和存储器,
所述存储器中存储有程序指令;
所述处理器用于执行存储器中存储的程序指令,执行如权利要求1至2、3至4、5、或者6至7中任一所述的方法。
9.一种计算机可读存储介质,包括指令,其特征在于,当所述指令在计算机设备上运行时,使得所述计算机设备执行如权利要求1至2、3至4、5、或者6至7中任一项所述的方法。
10.一种计算机程序产品,包括指令,其特征在于,当所述指令在计算机设备上运行时,使得所述计算机设备执行如权利要求1至2、3至4、5、或者6至7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210265774.1A CN116805904A (zh) | 2022-03-17 | 2022-03-17 | 一种应用登录的方法以及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210265774.1A CN116805904A (zh) | 2022-03-17 | 2022-03-17 | 一种应用登录的方法以及相关装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116805904A true CN116805904A (zh) | 2023-09-26 |
Family
ID=88078503
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210265774.1A Pending CN116805904A (zh) | 2022-03-17 | 2022-03-17 | 一种应用登录的方法以及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116805904A (zh) |
-
2022
- 2022-03-17 CN CN202210265774.1A patent/CN116805904A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111213339B (zh) | 带有客户端密钥的认证令牌 | |
CN102687482B (zh) | 数据云的分布式认证 | |
KR101270323B1 (ko) | 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 | |
JP5933827B2 (ja) | 機器同士の間の通信セッション転送 | |
US20220239496A1 (en) | Blockchain consensus method, device and system | |
CN111062024B (zh) | 一种应用登录方法和装置 | |
EP2859702B1 (en) | Method and system for managing user accounts across multiple electronic devices | |
US9401911B2 (en) | One-time password certificate renewal | |
CN112131021B (zh) | 一种访问请求处理方法及装置 | |
US11546173B2 (en) | Methods, application server, IoT device and media for implementing IoT services | |
CN112491776B (zh) | 安全认证方法及相关设备 | |
CN113347206A (zh) | 一种网络访问方法和装置 | |
WO2014151373A1 (en) | Method and apparatus for routing application programming interface (api) calls | |
CN111212075A (zh) | 业务请求的处理方法、装置、电子设备及计算机存储介质 | |
EP2633667A2 (en) | System and method for on the fly protocol conversion in obtaining policy enforcement information | |
CN110247917B (zh) | 用于认证身份的方法和装置 | |
CN113271311B (zh) | 一种跨链网络中的数字身份管理方法及系统 | |
US11989284B2 (en) | Service API invoking method and related apparatus | |
CN110958119A (zh) | 身份验证方法和装置 | |
WO2023065969A1 (zh) | 访问控制方法、装置及系统 | |
CN111784887A (zh) | 一种用户访问的授权放行方法、装置以及系统 | |
US11503012B1 (en) | Client authentication using a client certificate-based identity provider | |
CN114125812A (zh) | 一种数据同步方法、装置、服务器及存储介质 | |
CN112905990A (zh) | 一种访问方法、客户端、服务端及访问系统 | |
CN111787044A (zh) | 物联网终端平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |