CN117040861A - 一种多系统融合登录方法、装置、电子设备及存储介质 - Google Patents
一种多系统融合登录方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117040861A CN117040861A CN202311041396.XA CN202311041396A CN117040861A CN 117040861 A CN117040861 A CN 117040861A CN 202311041396 A CN202311041396 A CN 202311041396A CN 117040861 A CN117040861 A CN 117040861A
- Authority
- CN
- China
- Prior art keywords
- external system
- login
- object information
- access token
- internal system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000004927 fusion Effects 0.000 title claims abstract description 32
- 238000013475 authorization Methods 0.000 claims description 39
- 238000012795 verification Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 17
- 230000000694 effects Effects 0.000 abstract description 12
- 230000001960 triggered effect Effects 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000013478 data encryption standard Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Abstract
本申请涉及系统登录技术领域,提供了一种多系统融合登录方法、装置、电子设备及存储介质。该方法中认证服务端通过接收外部系统传输的访问令牌,然后根据安全性需求和访问令牌确定目标对象对应的对象信息,达到了根据外部系统的安全性需求对访问令牌进行解密,进而准确获取目标对象的对象信息的效果;然后认证服务端基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问,实现了外部系统登录后,在外部系统内触发访问内部系统的访问链接时,直接基于外部系统传输的访问令牌获取对象信息对内部系统进行登录认证和访问,达到了外部系统和内部系统融合登录,快速登录内部系统的效果。
Description
技术领域
本申请涉及系统登录技术领域,尤其涉及一种多系统融合登录方法、装置、电子设备及存储介质。
背景技术
随着互联网的发展,各种功能的系统应运而生,不同系统对应了不同的功能,且为了实现系统之间的互连互通,往往会设置为外部系统中包含了内部系统的链接,以此达到点击外部系统中的内部系统的链接时,访问内部系统的效果,但是,相关技术中,由外部系统跳转到内部系统时,需要相关对象重新进行登录,导致操作繁琐的问题。
发明内容
有鉴于此,本申请实施例提供了一种多系统融合登录方法、装置、电子设备及存储介质,以解决现有技术中,由外部系统跳转到内部系统时,需要相关对象重新进行登录,导致操作繁琐的问题。
本申请实施例的第一方面,提供了一种多系统融合登录方法,该多系统融合登录方法应用于内部系统的认证服务端,该方法包括:接收外部系统传输的访问令牌,访问令牌是外部系统基于目标对象访问内部系统的访问指令,以及外部系统自身的安全性需求确定的令牌;根据安全性需求和访问令牌确定目标对象对应的对象信息;基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问。
本申请实施例的第二方面,提供了一种多系统融合登录装置,该多系统融合登录装置应用于内部系统的认证服务端,该装置包括:接收模块,用于接收外部系统传输的访问令牌,访问令牌是外部系统基于目标对象访问内部系统的访问指令,以及外部系统自身的安全性需求确定的令牌;确定模块,用于根据安全性需求和访问令牌确定目标对象对应的对象信息;登录模块,用于基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问。
本申请实施例的第三方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并且可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
本申请实施例的第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本申请实施例与现有技术相比存在的有益效果是:本申请实施例中认证服务端通过接收外部系统传输的访问令牌,然后根据安全性需求和访问令牌确定目标对象对应的对象信息,达到了根据外部系统的安全性需求对访问令牌进行解密,进而准确获取目标对象的对象信息的效果,避免了不同的安全性需求下通过同一种方式对访问令牌进行解密,导致安全性差且获取的对象信息不准确的问题;然后认证服务端基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问,实现了外部系统登录后,在外部系统内触发访问内部系统的访问链接时,直接基于外部系统传输的访问令牌获取对象信息对内部系统进行登录认证和访问,达到了外部系统和内部系统融合登录,快速登录内部系统的效果,避免了由外部系统跳转到内部系统时,需要相关对象重新进行登录,导致操作繁琐的问题;此外,认证服务端使用预设的通用登录流程对对象信息进行登录认证,使得当不同的外部系统与该内部系统进行融合登录时,认证服务端仅需要根据外部系统的安全性需求调整获取对象信息的方式,实现了复用上述预设的通用登录流程,避免了认证服务端为不同的外部系统分别设置登录流程,导致开发效率低下的问题。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本申请实施例的应用场景的场景示意图;
图2是申请实施例提供的一种多系统融合登录方法的流程示意图;
图3是本申请实施例提供的还一种多系统融合登录方法的流程示意图;
图4是本申请实施例提供的另一种多系统融合登录方法的流程示意图;
图5是本申请实施例提供的再一种多系统融合登录方法的流程示意图;
图6是本申请实施例提供的又一种多系统融合登录方法的流程示意图;
图7是本申请实施例提供的还一种可选的多系统融合登录方法的流程示意图;
图8是本申请实施例提供的另一种可选的多系统融合登录方法的流程示意图;
图9是本申请实施例提供的一种多系统融合登录装置的结构示意图;
图10是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
下面将结合附图详细说明根据本申请实施例的一种多系统融合登录方法和装置。
图1是本申请实施例的应用场景的场景示意图。该应用场景可以包括终端设备1、2和3、服务器4以及网络5。
终端设备1、2和3可以是硬件,也可以是软件。当终端设备1、2和3为硬件时,其可以是具有显示屏且支持与服务器4通信的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等;当终端设备1、2和3为软件时,其可以安装在如上的电子设备中。终端设备1、2和3可以实现为多个软件或软件模块,也可以实现为单个软件或软件模块,本申请实施例对此不作限制。进一步地,终端设备1、2和3上可以安装有各种应用,例如数据处理应用、即时通信工具、社交平台软件、搜索类应用、购物类应用等。
服务器4可以是提供各种服务的服务器,例如,对与其建立通信连接的终端设备发送的请求进行接收的后台服务器,该后台服务器可以对终端设备发送的请求进行接收和分析等处理,并生成处理结果。服务器4可以是一台服务器,也可以是由若干台服务器组成的服务器集群,或者还可以是一个云计算服务中心,本申请实施例对此不作限制。
需要说明的是,服务器4可以是硬件,也可以是软件。当服务器4为硬件时,其可以是为终端设备1、2和3提供各种服务的各种电子设备。当服务器4为软件时,其可以是为终端设备1、2和3提供各种服务的多个软件或软件模块,也可以是为终端设备1、2和3提供各种服务的单个软件或软件模块,本申请实施例对此不作限制。
网络5可以是采用同轴电缆、双绞线和光纤连接的有线网络,也可以是无需布线就能实现各种通信设备互联的无线网络,例如,蓝牙(Bluetooth)、近场通信(Near FieldCommunication,NFC)、红外(Infrared)等,本申请实施例对此不作限制。
用户可以通过终端设备1、2和3经由网络5与服务器4建立通信连接,以接收或发送信息等。
需要说明的是,终端设备1、2和3、服务器4以及网络5的具体类型、数量和组合可以根据应用场景的实际需求进行调整,本申请实施例对此不作限制。
下面将结合附图详细说明根据本申请实施例的一种多系统融合登录方法和装置。
图2是本申请实施例提供的一种多系统融合登录方法,多系统融合登录方法应用于内部系统的认证服务端,如图2所示,方法包括:
S201、接收外部系统传输的访问令牌,访问令牌是外部系统基于目标对象访问内部系统的访问指令,以及外部系统自身的安全性需求确定的令牌;
S202、根据安全性需求和访问令牌确定目标对象对应的对象信息;
S203、基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问。
具体地,其中外部系统为包含其他系统的链接的系统,内部系统为被包含链接的其他系统,例如,存在A系统和B系统,A系统中存在B系统的链接,则将A系统为外部系统,B系统为内部系统。其中,内部系统中设置有认证服务端,该认证服务端采用中央认证服务(Central Authentication Service,CAS)协议,该认证服务端能够为内部系统提供一种可靠的单点登录方法。
在一些示例中,当目标对象在外部系统触发访问内部系统的访问指令时,外部系统根据自身的安全性需求该目标对象对应的访问令牌,并将该访问令牌传输到内部系统的认证服务端;能够理解的是,外部系统中包含的内部系统的链接的形式可以是图片、文字、标识、按钮以及网址等,外部系统包含的内部系统的链接为某个特定按钮为例,外部系统展示界面,当目标对象点击该特定按钮时,该目标对象触发访问内部系统的访问指令,此时,外部系统根据自身的安全性需求确定目标对象对应的身份令牌,并将其传输到内部系统的认证服务端。
能够理解的是,外部系统需要确定自身的安全性需求,不同的安全性需求对应不同的访问令牌确定方式,例如,外部系统自身的安全性需求为“外部系统对对象信息敏感”,此时,信息安全要求高的或者外部系统已经开发了对象标识生成和对应的对象信息兑换的接口时,外部系统可以直接将目标对象的唯一对象标识作为目标对象的访问令牌;再例如,外部系统自身的安全性需求为“外部系统对对象信息不敏感”或者“外部系统在业务中已经形成一套稳定的身份令牌生成和解析规则”,则外部系统可以直接将目标对象对应的身份令牌作为目标对象对应的访问令牌。
在一些示例中,内部系统的认证服务端会根据安全性需求和访问令牌确定目标对象对应的对象信息;具体地,认证服务端确定外部系统的安全性需求,然后根据外部系统的安全性需求对访问令牌进行解密,进而确定目标对象的对象信息,实现准确获取目标对象的对象信息,避免了不同的安全性需求下通过同一种方式对访问令牌进行解密,导致安全性差且获取的对象信息不准确的问题,提升了获取的对象信息的准确性。
在一些示例中,内部系统的认证服务端在获取对象信息后,认证服务端基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问,其中,预设的通用登录流程为相关人员实际设置的用于登录该内部系统的流程。
能够理解的是,当多个不同的外部系统与同一内部系统进行融合登录时,认证服务端在接收到不同的外部系统传输的访问令牌时,在对访问令牌进行解析获取对应的对象信息后,均可以使用上述预设的通用登录流程对对象信息进行登录认证,使得当不同的外部系统与该内部系统进行融合登录时,外部系统基于自身的安全性需求确定获取访问令牌的方式,认证服务端仅需要调整获取对象信息的方式,实现了复用上述预设的通用登录流程,避免了认证服务端为不同的外部系统分别设置登录流程,导致开发效率低下的问题。
承接上例,例如,存在外部系统A和外部系统B,认证服务端接收外部系统A传输的访问令牌,并基于外部系统A的安全性需求和访问令牌确定目标对象对应的对象信息,认证服务端在基于预设的通用登录流程对对象信息进行内部系统的登录认证;同理,认证服务端接收外部系统B传输的访问令牌,并基于外部系统B的安全性需求和访问令牌确定目标对象对应的对象信息,认证服务端在基于预设的通用登录流程对对象信息进行内部系统的登录认证;通过上述方式实现了外部系统A和外部系统B分别基于自身的安全性需求确定获取访问令牌的方式,并复用后续上述预设的通用登录流程,避免了认证服务端分别基于外部系统A和外部系统B在设置不同的登录流程。
根据本申请实施例提供的技术方案,认证服务端通过接收外部系统传输的访问令牌,然后根据安全性需求和访问令牌确定目标对象对应的对象信息,达到了根据外部系统的安全性需求对访问令牌进行解密,进而准确获取目标对象的对象信息的效果,避免了不同的安全性需求下通过同一种方式对访问令牌进行解密,导致安全性差且获取的对象信息不准确的问题;然后认证服务端基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问,实现了外部系统登录后,在外部系统内触发访问内部系统的访问链接时,直接基于外部系统传输的访问令牌获取对象信息对内部系统进行登录认证和访问,达到了外部系统和内部系统融合登录,快速登录内部系统的效果,避免了由外部系统跳转到内部系统时,需要相关对象重新进行登录,导致操作繁琐的问题;此外,认证服务端使用预设的通用登录流程对对象信息进行登录认证,使得当不同的外部系统与该内部系统进行融合登录时,认证服务端仅需要根据外部系统的安全性需求调整获取对象信息的方式,实现了复用上述预设的通用登录流程,避免了认证服务端为不同的外部系统分别设置登录流程,导致开发效率低下的问题。
在一些实施例中,如图3所示,根据安全性需求和访问令牌确定目标对象对应的对象信息,包括:
S301、根据安全性需求确定访问令牌的类型;
S302、若访问令牌的类型为唯一对象标识,则根据唯一对象标识生成对象信息获取请求,对象信息获取请求中包含唯一对象标识;
S303、将对象信息获取请求传输到外部系统,以使得外部系统基于唯一对象标识确定唯一对象标识对应的对象信息;
S304、接收外部系统根据唯一对象标识返回的对象信息。
具体地,认证服务端首先根据外部系统的安全性需求确定访问令牌的类型,其中,若认证服务器确定外部系统对应的安全性需求为“外部系统对对象信息敏感”,认证服务端确定访问令牌的类型为唯一对象标识,反之,认证服务端确定访问令牌的类型不为唯一对象标识。
承接上例,认证服务端在确定访问令牌的类型为唯一对象标识后,会根据唯一对象标识生成对象信息获取请求,该对象信息获取请求中包含唯一对象标识,然后将该对象信息获取请求传输到外部系统,该外部系统会根据该唯一对象标识确定对应的对象信息,并将该对象信息传输到认证服务端,使得认证服务端实现根据安全性需求和访问令牌确定目标对象对应的对象信息。
为了更好的理解上述方案,本示例提供一种更为具体的示例进行说明。
在一些示例中,外部系统的安全性需求为“外部系统对对象信息敏感”,该外部系统包括外部系统用户中心接口,该外部系统用户中心接口用于根据唯一对象标识生成规则为目标对象生成唯一对象标识(能够理解的是,本实施例并不限制具体的唯一对象标识生成规则,例如,该唯一对象标识生成规则如下:获取目标对象的对象名称、对象标识、联系方式以及四位随机数等信息组成格式字符串,通过MD5加密方式对该格式字符串进行加密生成32位小写的唯一对象标识)。
承接上例,当目标对象在外部系统内触发访问内部系统的访问指令时,外部系统直接将唯一对象标识作为访问令牌传输给认证服务端,认证服务端接收到该访问令牌时,根据外部系统的安全性需求确定该访问令牌为唯一对象标识,认证服务端在确定访问令牌的类型为唯一对象标识后,会根据唯一对象标识生成对象信息获取请求,然后将该对象信息获取请求传输到外部系统的外部系统用户中心接口,该外部系统用户中心接口会根据对象信息获取请求中包含的唯一对象标识确定对应的对象信息(也即对象名称、对象标识、联系方式,在一些示例中,该对象信息中至少包括对象名称),并将该对象信息传输到认证服务端,使得认证服务端实现根据安全性需求和访问令牌确定目标对象对应的对象信息。
根据本申请实施例提供的技术方案,根据安全性需求确定访问令牌的类型;若访问令牌的类型为唯一对象标识,则根据唯一对象标识生成对象信息获取请求,对象信息获取请求中包含唯一对象标识;将对象信息获取请求传输到外部系统,以使得外部系统基于唯一对象标识确定唯一对象标识对应的对象信息;接收外部系统根据唯一对象标识返回的对象信息,其中,认证服务端在确定访问令牌为唯一对象标识时,直接根据唯一对象标识生成对象信息获取请求,使得外部系统根据该对象信息获取请求返回准确的对象信息,进而达到了准确获取对象信息的效果。
在一些实施例中,如图4所示,根据唯一对象标识生成对象信息获取请求,包括:
S401、确定外部系统对应的秘钥,基于秘钥和唯一对象标识生成授权请求;
S402、将授权请求发送到外部系统,使得外部系统对秘钥进行验证,并在秘钥验证通过时,生成唯一对象标识对应的授权标识;
S403、接收外部系统返回的授权标识,并根据唯一对象标识和授权标识生成对象信息获取请求。
具体地,由于外部系统对安全性要求很高,外部系统需要对内部系统进行方向验证,才能返回对象信息,因此,在一些示例中,外部系统会为内部系统分配可访问权限和秘钥,并将该秘钥传输给认证服务端,认证服务端在确定唯一对象标识时,基于唯一对象标识和秘钥生成授权请求。
在一些示例中,外部系统包括:外部系统授权验证接口,该外部系统授权验证接口用于进行授权验证,具体地,外部系统授权验证接口接收认证服务端传输的认证请求,然后对该授权请求进行解析得到唯一对象标识和秘钥,并对秘钥进行验证,并在秘钥验证通过时,生成唯一对象标识对应的授权标识,然后将该授权标识返回给认证服务端,若秘钥验证失败,则生成授权失败原因。
为了更好的理解上述方案,本实施例提供一种更为具体的示例进行说明。
在一些示例中,外部系统的安全性需求为“外部系统对对象信息敏感”,该外部系统包括外部系统用户中心接口和外部系统授权验证接口;当目标对象在外部系统内触发访问内部系统的访问指令时,外部系统直接将唯一对象标识作为访问令牌传输给认证服务端,认证服务端接收到该访问令牌时,根据外部系统的安全性需求确定该访问令牌为唯一对象标识,认证服务端在确定访问令牌的类型为唯一对象标识后,进一步的确定外部系统对应的秘钥,并根据唯一对象标识和秘钥生成授权请求,然后授权请求传输给外部系统授权验证接口,该外部系统授权验证接口对授权请求中携带的秘钥进行验证,若验证通过,则返回授权标识到认证服务端,认证服务端接收外部系统授权验证接口返回的授权标识,并根据唯一对象标识和授权标识生成对象信息获取请求,然后将该对象信息获取请求传输到外部系统的外部系统用户中心接口,该外部系统用户中心接口会根据对象信息获取请求中包含的唯一对象标识确定对应的对象信息(也即对象名称、对象标识、联系方式,在一些示例中,该对象信息中至少包括对象名称),并将该对象信息传输到认证服务端,使得认证服务端实现根据安全性需求和访问令牌确定目标对象对应的对象信息。
根据本申请实施例提供的技术方案,确定外部系统对应的秘钥,基于秘钥和唯一对象标识生成授权请求;将授权请求发送到外部系统,使得外部系统对秘钥进行验证,并在秘钥验证通过时,生成唯一对象标识对应的授权标识;接收外部系统返回的授权标识,并根据唯一对象标识和授权标识生成对象信息获取请求,其中,认证系统通过外部系统的秘钥生成授权请求,实现外部系统对内部系统的反向认证,保证了外部系统的安全性。
在一些实施例中,如图5所示,根据安全性需求和访问令牌确定目标对象对应的对象信息,包括:
S501、根据安全性需求确定访问令牌的类型;
S502、若访问令牌的类型为加密身份令牌,则确定与外部系统协商的对称加密秘钥,根据对称加密秘钥对加密身份令牌进行解密,得到解密身份令牌;
S503、确定与外部系统协商的解析规则,基于解析规则解析解密身份令牌得到目标对象对应的对象信息。
具体地,认证服务端首先根据外部系统的安全性需求确定访问令牌的类型,其中,若认证服务器确定外部系统对应的安全性需求为“外部系统对对象信息不敏感”或认证服务器确定外部系统对应的安全性需求为“外部系统在业务中已经形成一套稳定的身份令牌生成和解析规则”,认证服务端确定访问令牌的类型为加密身份令牌,反之,认证服务端确定访问令牌的类型不为加密身份令牌。
承接上例,认证服务端在确定访问令牌的类型为加密身份令牌后,会确定与外部系统协商的对称加密秘钥,根据对称加密秘钥对加密身份令牌进行解密,得到解密身份令牌;确定与外部系统协商的解析规则,基于解析规则解析解密身份令牌得到目标对象对应的对象信息。
为了更好的理解上述方案,本示例提供一种更为具体的示例进行说明。
在一些示例中,外部系统的安全性需求为“外部系统对对象信息敏感”,该外部系统包括外部系统用户中心接口,该外部系统用户中心接口用于根据加密身份令牌生成规则为目标对象生成加密身份令牌(能够理解的是,本实施例并不限制具体的加密身份令牌生成规则,例如,该加密身份令牌生成规则如下:获取目标对象的对象名称、对象标识、联系方式等信息,通过解析规则(Json web token,JWT)生成解密身份令牌,将解密身份令牌通过对称加密秘钥(Data Encryption Standard,DES)进行加密生成加密身份令牌)。
承接上例,当目标对象在外部系统内触发访问内部系统的访问指令时,外部系统直接将加密身份令牌作为访问令牌传输给认证服务端,认证服务端接收到该加密身份令牌时,通过对称加密秘钥对加密身份令牌进行解密,得到解密身份令牌,然后基于解析规则解析解密身份令牌得到目标对象对应的对象信息。
根据本申请实施例提供的技术方案,根据安全性需求确定访问令牌的类型;若访问令牌的类型为加密身份令牌,则确定与外部系统协商的对称加密秘钥,根据对称加密秘钥对加密身份令牌进行解密,得到解密身份令牌;确定与外部系统协商的解析规则,基于解析规则解析解密身份令牌得到目标对象对应的对象信息,其中,认证服务端在确定访问令牌为加密身份令牌时,直接根据解析规则和对称加密秘钥对加密身份令牌进行解密,获取对象信息,进而达到了准确获取对象信息的效果。
在一些示例中,如图6所示,根据安全性需求和访问令牌确定目标对象对应的对象信息,包括:
S601、根据安全性需求确定访问令牌的类型;
S602、若访问令牌的类型为免密令牌,则直接获取特定目标信息,并将特定目标信息作为对象信息,特定目标信息用于登录内部系统,并在内部系统中访问特定资源。
具体地,认证服务端提供有特定接口(例如,免密接口),当外部系统感知到目标对象输入的访问内部系统的访问指令,并确定该访问指令仅需要访问无权限要求的资源或者需要快速对接内部系统查看接入效果,则外部系统可以直接发出一个与内部系统协商好的免密令牌给到认证服务端,认证服务端在确定访问令牌的类型为免密令牌时,直接获取特定目标信息,并将特定目标信息作为对象信息。
为了更好的理解上述方案,本示例提供一种更为具体的示例进行说明。
认证服务端配置特定目标信息,该特定目标信息能够登录内部系统,并在内部系统中访问特定资源,该特定资源为无权限要求的资源;
认证服务端提供特定接口,简称‘免密接口’,当外部系统通过该特定接口传输访问令牌到认证服务端时,认证服务端确定外部系统接收到的访问指令仅需要访问无权限要求的资源,则认证服务端直接将预设的特定目标信息作为对象信息。
根据本申请实施例提供的技术方案,根据安全性需求确定访问令牌的类型;若访问令牌的类型为免密令牌,则直接获取特定目标信息,并将特定目标信息作为对象信息,特定目标信息用于登录内部系统,并在内部系统中访问特定资源,其中,认证服务端通过设置特定目标信息,并在接收到免密令牌时,直接将特定目标信息作为对象信息,该对象信息能够登录内部系统,并在内部系统中访问特定资源,使得目标对象能够直接内部系统中访问特定资源,避免了目标对象重复登录,提升了目标对象的使用体验。
在一些示例中,内部系统包括:内部系统认证中心,如图7所示,基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问,包括:
S701、从内部系统认证中心确定对象信息对应的账户信息;
S702、根据账户信息发出登录请求到内部系统认证中心,以登录内部系统;
S703、获取访问令牌中携带的资源请求,根据资源请求进行资源访问。
具体地,认证服务端内包括预设的通用登录流程,该预设的通用登录流程包括但不限于步骤S701和步骤S702,其中,在上述步骤S701中,认证服务端从内部系统认证中心确定对象信息对应的账户信息,也即,该内部系统认证中心内预设有用于登录内部系统的账户信息(包括用户名和用户密码),认证服务端将对象信息传输给内部系统认证中心,该内部系统认证中心从预设的账户信息中查询该对象信息对应的账户信息,则内部系统认证中心查询到该对象信息对应的账户信息,则返回账户信息到认证服务端,若内部系统认证中心未查询到该对象信息对应的账户信息,则返回对应的异常信息到认证服务端。
若认证服务端获取到对象信息对应的账户信息后,则根据账户信息发出登录请求到内部系统认证中心,以登录内部系统;例如,认证服务端通过query参数携带账号和密码信息,请求内部系统认证中心的登录接口“/cas/login”;内部系统认证中心接收到账户信息后,验证账户信息,验证通过后为当前访问的客户端生成一个身份验证票证(TicketGranting Ticket,TGT)令牌,作为当前用户认证成功的标识,且具有时效性,通常为2小时;认证服务端端接收到TGT数据后,携带TGT参数和客户端地址参数,请求内部系统认证中心的校验接口“/cas/validate”;内部系统认证中心接收到验证请求后,验证TGT真实性和时效。如果验证通过,认证中心生成一个临时服务票证(Service Ticket,ST)令牌返回认证服务端,作为认证服务端本次认证通过的凭证,如果验证不通过,提示异常信息;认证服务端接收到ST令牌后,将ST令牌作为session数据的key,用户信息作为value进行缓存,实现登录内部系统。
承接上例,在登录内部系统后,认证服务端获取访问令牌中携带的资源请求,根据资源请求进行资源访问,具体地,认证服务端根据资源请求重定向内部系统资源地址,内部系统响应资源数据,并将该资源数据展示给目标对象,实现多系统的融合登录。
根据本申请实施例提供的技术方案,从内部系统认证中心确定对象信息对应的账户信息;根据账户信息发出登录请求到内部系统认证中心,以登录内部系统;获取访问令牌中携带的资源请求,根据资源请求进行资源访问,实现了在根据外部系统传输的访问令牌获取对象信息后,认证服务端直接通过上述预设的通用流程和对象信息对内部系统的认证登录与资源访问,实现了复用上述预设的通用登录流程,避免了认证服务端为不同的外部系统分别设置内部系统内的登录流程,导致开发效率低下的问题。
在一些示例中,如图8所示,基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问之前,方法还包括:
S801、确定内部系统定义的属性数据,根据属性数据从外部系统获取对象数据;
S802、将对象数据同步到内部系统,并在内部系统内初始化对象数据以生成账户信息。
具体地,认证服务端确定内部系统定义的属性数据,该属性数据为相关人员根据实际需求灵活设置的数据,例如,该属性数据包括:对象名称属性、对象标识属性以及联系方式属性,则认证服务器根据该属性数据从外部系统中获取多条对象数据,每条对象数据中均包含对象名称、对象标识以及联系方式,能够理解的是,上述每条对象数据中包含了每个对象的对象信息。
认证服务器在获取对象数据后,将对象数据同步到内部系统,并在内部系统内初始化对象数据以生成账户信息,具体地,认证服务器将对象数据同步到内部系统后,认证服务器分别确定每一对象数据对应的访问权限以及用户名和用户密码,进而实现在内部系统内初始化对象数据以生成账户信息,该账户信息用于登录内部系统;能够理解的是,由于对象数据中包含了每个对象的对象信息,因此,认证服务端能够基于对象信息查询到对应的账户信息。
根据本申请实施例提供的技术方案,通过确定内部系统定义的属性数据,根据属性数据从外部系统获取对象数据;将对象数据同步到内部系统,并在内部系统内初始化对象数据以生成账户信息,通过将外部系统的对象数据传输到内部系统,并在内部系统内生成对应的账户信息,进而使得认证服务端在获取到对象信息后,能够获取到内部系统内对应的账户信息,进而实现基于该账户信息直接登录到内部系统,实现了外部系统与内部系统的融合登录。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
本实施例还提供一种多系统融合登录装置,多系统融合登录装置应用于内部系统的认证服务端,如图9所示,该装置包括:
接收模块901,被配置为接收外部系统传输的访问令牌,访问令牌是外部系统基于目标对象访问内部系统的访问指令,以及外部系统自身的安全性需求确定的令牌;
确定模块902,被配置为根据安全性需求和访问令牌确定目标对象对应的对象信息;
登录模块903,被配置为基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问。
在一些示例中,确定模块902还被配置为根据安全性需求确定访问令牌的类型;若访问令牌的类型为唯一对象标识,则根据唯一对象标识生成对象信息获取请求,对象信息获取请求中包含唯一对象标识;将对象信息获取请求传输到外部系统,以使得外部系统基于唯一对象标识确定唯一对象标识对应的对象信息;接收外部系统根据唯一对象标识返回的对象信息。
在一些示例中,确定模块902还被配置为确定外部系统对应的秘钥,基于秘钥和唯一对象标识生成授权请求;将授权请求发送到外部系统,使得外部系统对秘钥进行验证,并在秘钥验证通过时,生成唯一对象标识对应的授权标识;接收外部系统返回的授权标识,并根据唯一对象标识和授权标识生成对象信息获取请求。
在一些示例中,确定模块902还被配置为根据安全性需求确定访问令牌的类型;若访问令牌的类型为加密身份令牌,则确定与外部系统协商的对称加密秘钥,根据对称加密秘钥对加密身份令牌进行解密,得到解密身份令牌;确定与外部系统协商的解析规则,基于解析规则解析解密身份令牌得到目标对象对应的对象信息。
在一些示例中,确定模块902还被配置为根据安全性需求确定访问令牌的类型;若访问令牌的类型为免密令牌,则直接获取特定目标信息,并将特定目标信息作为对象信息,特定目标信息用于登录内部系统,并在内部系统中访问特定资源。
在一些示例中,登录模块903还被配置为从内部系统认证中心确定对象信息对应的账户信息;根据账户信息发出登录请求到内部系统认证中心,以登录内部系统;获取访问令牌中携带的资源请求,根据资源请求进行资源访问。
在一些示例中,多系统融合登录装置还包括同步模块,被配置为确定内部系统定义的属性数据,根据属性数据从外部系统获取对象数据;将对象数据同步到内部系统,并在内部系统内初始化对象数据以生成账户信息。
根据本申请实施例提供的技术方案,本申请实施例的装置认证服务端通过接收外部系统传输的访问令牌,然后根据安全性需求和访问令牌确定目标对象对应的对象信息,达到了根据外部系统的安全性需求对访问令牌进行解密,进而准确获取目标对象的对象信息的效果,避免了不同的安全性需求下通过同一种方式对访问令牌进行解密,导致安全性差且获取的对象信息不准确的问题;然后认证服务端基于预设的通用登录流程对对象信息进行登录认证,并根据登录认证结果对内部系统进行资源访问,实现了外部系统登录后,在外部系统内触发访问内部系统的访问链接时,直接基于外部系统传输的访问令牌获取对象信息对内部系统进行登录认证和访问,达到了外部系统和内部系统融合登录,快速登录内部系统的效果,避免了由外部系统跳转到内部系统时,需要相关对象重新进行登录,导致操作繁琐的问题;此外,认证服务端使用预设的通用登录流程对对象信息进行登录认证,使得当不同的外部系统与该内部系统进行融合登录时,认证服务端仅需要根据外部系统的安全性需求调整获取对象信息的方式,实现了复用上述预设的通用登录流程,避免了认证服务端为不同的外部系统分别设置登录流程,导致开发效率低下的问题。
图10是本申请实施例提供的电子设备10的示意图。如图10所示,该实施例的电子设备10包括:处理器1001、存储器1002以及存储在该存储器1002中并且可在处理器1001上运行的计算机程序1003。处理器1001执行计算机程序1003时实现上述各个方法实施例中的步骤。或者,处理器1001执行计算机程序1003时实现上述各装置实施例中各模块/单元的功能。
电子设备10可以是桌上型计算机、笔记本、掌上电脑及云端服务器等电子设备。电子设备10可以包括但不仅限于处理器1001和存储器1002。本领域技术人员可以理解,图10仅仅是电子设备10的示例,并不构成对电子设备10的限定,可以包括比图示更多或更少的部件,或者不同的部件。
处理器1001可以是中央处理单元(Central Processing Unit,CPU),也可以是其它通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
存储器1002可以是电子设备10的内部存储单元,例如,电子设备10的硬盘或内存。存储器1002也可以是电子设备10的外部存储设备,例如,电子设备10上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。存储器1002还可以既包括电子设备10的内部存储单元也包括外部存储设备。存储器1002用于存储计算机程序以及电子设备所需的其它程序和数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,计算机程序可以存储在计算机可读存储介质中,该计算机程序在被处理器执行时,可以实现上述各个方法实施例的步骤。计算机程序可以包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如,在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种多系统融合登录方法,其特征在于,所述多系统融合登录方法应用于内部系统的认证服务端,所述方法包括:
接收外部系统传输的访问令牌,所述访问令牌是所述外部系统基于目标对象访问内部系统的访问指令,以及所述外部系统自身的安全性需求确定的令牌;
根据所述安全性需求和所述访问令牌确定所述目标对象对应的对象信息;
基于预设的通用登录流程对所述对象信息进行登录认证,并根据登录认证结果对所述内部系统进行资源访问。
2.根据权利要求1所述的方法,其特征在于,所述访问令牌为唯一对象标识,根据所述安全性需求和所述访问令牌确定所述目标对象对应的对象信息,包括:
根据所述安全性需求确定所述访问令牌的类型;
若所述访问令牌的类型为唯一对象标识,则根据所述唯一对象标识生成对象信息获取请求,所述对象信息获取请求中包含所述唯一对象标识;
将所述对象信息获取请求传输到所述外部系统,以使得所述外部系统基于所述唯一对象标识确定所述唯一对象标识对应的所述对象信息;
接收所述外部系统根据所述唯一对象标识返回的所述对象信息。
3.根据权利要求2所述的方法,其特征在于,根据所述唯一对象标识生成对象信息获取请求,所述对象信息获取请求中包含所述唯一对象标识,包括:
确定所述外部系统对应的秘钥,基于所述秘钥和所述唯一对象标识生成授权请求;
将所述授权请求发送到所述外部系统,使得所述外部系统对所述秘钥进行验证,并在所述秘钥验证通过时,生成所述唯一对象标识对应的授权标识;
接收所述外部系统返回的授权标识,并根据所述唯一对象标识和所述授权标识生成所述对象信息获取请求。
4.根据权利要求1所述的方法,其特征在于,根据所述安全性需求和所述访问令牌确定所述目标对象对应的对象信息,包括:
根据所述安全性需求确定所述访问令牌的类型;
若所述访问令牌的类型为加密身份令牌,则确定与所述外部系统协商的对称加密秘钥,根据所述对称加密秘钥对所述加密身份令牌进行解密,得到解密身份令牌;
确定与所述外部系统协商的解析规则,基于所述解析规则解析所述解密身份令牌得到所述目标对象对应的所述对象信息。
5.根据权利要求1所述的方法,其特征在于,根据所述安全性需求和所述访问令牌确定所述目标对象对应的对象信息,包括:
根据所述安全性需求确定所述访问令牌的类型;
若所述访问令牌的类型为免密令牌,则直接获取特定目标信息,并将所述特定目标信息作为所述对象信息,所述特定目标信息用于登录所述内部系统,并在所述内部系统中访问特定资源。
6.根据权利要求1所述的方法,其特征在于,所述内部系统包括:内部系统认证中心,基于预设的通用登录流程对所述对象信息进行登录认证,并根据登录认证结果对所述内部系统进行资源访问,包括:
从所述内部系统认证中心确定所述对象信息对应的账户信息;
根据所述账户信息发出登录请求到所述内部系统认证中心,以登录所述内部系统;
获取所述访问令牌中携带的资源请求,根据所述资源请求进行资源访问。
7.根据权利要求1所述的方法,其特征在于,基于预设的通用登录流程对所述对象信息进行登录认证,并根据登录认证结果对所述内部系统进行资源访问之前,所述方法还包括:
确定所述内部系统定义的属性数据,根据所述属性数据从所述外部系统获取对象数据;
将所述对象数据同步到所述内部系统,并在所述内部系统内初始化所述对象数据以生成账户信息。
8.一种多系统融合登录装置,其特征在于,所述多系统融合登录装置应用于内部系统的认证服务端,所述装置包括:
接收模块,用于接收外部系统传输的访问令牌,所述访问令牌是所述外部系统基于目标对象访问内部系统的访问指令,以及所述外部系统自身的安全性需求确定的令牌;
确定模块,用于根据所述安全性需求和所述访问令牌确定所述目标对象对应的对象信息;
登录模块,用于基于预设的通用登录流程对所述对象信息进行登录认证,并根据登录认证结果对所述内部系统进行资源访问。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器中并且可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311041396.XA CN117040861A (zh) | 2023-08-17 | 2023-08-17 | 一种多系统融合登录方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311041396.XA CN117040861A (zh) | 2023-08-17 | 2023-08-17 | 一种多系统融合登录方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117040861A true CN117040861A (zh) | 2023-11-10 |
Family
ID=88635143
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311041396.XA Pending CN117040861A (zh) | 2023-08-17 | 2023-08-17 | 一种多系统融合登录方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117040861A (zh) |
-
2023
- 2023-08-17 CN CN202311041396.XA patent/CN117040861A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11665006B2 (en) | User authentication with self-signed certificate and identity verification | |
EP4216081A1 (en) | Information verification method, related apparatus, device, and storage medium | |
US11669805B2 (en) | Single sign-on through customer authentication systems | |
CN111212095B (zh) | 一种身份信息的认证方法、服务器、客户端及系统 | |
CN111556006B (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
US20190305955A1 (en) | Push notification authentication | |
US10536436B1 (en) | Client authentication utilizing shared secrets to encrypt one-time passwords | |
US10581806B2 (en) | Service providing method, service requesting method, information processing device, and client device | |
CN110365684B (zh) | 应用集群的访问控制方法、装置和电子设备 | |
US20170070353A1 (en) | Method of managing credentials in a server and a client system | |
CN112313648A (zh) | 认证系统、认证方法、应用提供装置、认证装置以及认证用程序 | |
CN112491776B (zh) | 安全认证方法及相关设备 | |
KR20210095093A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
CN111914229A (zh) | 一种身份验证方法、装置、电子设备及存储介质 | |
WO2016191376A1 (en) | Initial provisioning through shared proofs of knowledge and crowdsourced identification | |
WO2020115748A1 (en) | Secure consensus over a limited connection | |
CN105657474A (zh) | 在视频应用中使用基于身份签名体制的防盗链方法及系统 | |
CN112738797B (zh) | 基于蓝牙的web应用认证登录方法及系统 | |
US11949688B2 (en) | Securing browser cookies | |
CN112004201A (zh) | 一种短信的发送方法、装置及计算机系统 | |
CN109729045B (zh) | 单点登录方法、系统、服务器以及存储介质 | |
KR20210095061A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
CN112994882B (zh) | 基于区块链的鉴权方法、装置、介质及设备 | |
CN117040861A (zh) | 一种多系统融合登录方法、装置、电子设备及存储介质 | |
US20240143730A1 (en) | Multi-factor authentication using blockchain |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |