CN117093977A - 用户认证方法、系统、装置、存储介质以及电子设备 - Google Patents

用户认证方法、系统、装置、存储介质以及电子设备 Download PDF

Info

Publication number
CN117093977A
CN117093977A CN202311017108.7A CN202311017108A CN117093977A CN 117093977 A CN117093977 A CN 117093977A CN 202311017108 A CN202311017108 A CN 202311017108A CN 117093977 A CN117093977 A CN 117093977A
Authority
CN
China
Prior art keywords
authentication
client
target
request
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311017108.7A
Other languages
English (en)
Inventor
霍煜豪
马啸风
黄�俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202311017108.7A priority Critical patent/CN117093977A/zh
Publication of CN117093977A publication Critical patent/CN117093977A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种用户认证方法、系统、装置、存储介质以及电子设备。涉及信息安全领域。该方法包括:用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求;通过认证客户端将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,接收认证服务器返回的授权令牌,将授权令牌发送至目标接入客户端;目标接入客户端接收认证客户端发送的授权令牌,解析授权令牌,得到授权结果,在授权结果表征用户具有访问权限的情况下,访问业务系统。通过本申请,解决了相关技术中用户在使用多个客户端的情况下,需要进行多次重复的登陆操作,导致操作流程繁琐并且存在密码泄露的风险的问题。

Description

用户认证方法、系统、装置、存储介质以及电子设备
技术领域
本申请涉及信息安全领域,具体而言,涉及一种用户认证方法、系统、装置、存储介质以及电子设备。
背景技术
在公司规模较大时,员工在办公过程中通常需要使用多个办公客户端应用程序。然而由于客户端之间用户认证信息没有打通,用户在使用每个客户端的时候均需要进行认证登录,重复登录的操作不仅繁琐,还会在无形间增加密码泄露等泄密风险。
针对相关技术中用户在使用多个客户端的情况下,需要进行多次重复的登陆操作,导致操作流程繁琐并且存在密码泄露的风险的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种用户认证方法、系统、装置、存储介质以及电子设备,以解决相关技术中用户在使用多个客户端的情况下,需要进行多次重复的登陆操作,导致操作流程繁琐并且存在密码泄露的风险的问题。
根据本申请的一个方面,提供了一种用户认证方法,应用于终端设备中的域账户的系统空间中,域账户的系统空间内设置认证客户端和多个接入客户端,该方法包括:用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求,其中,初始访问请求中包括请求访问的业务系统的名称;通过认证客户端将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,接收认证服务器返回的授权令牌,将授权令牌发送至目标接入客户端;目标接入客户端接收认证客户端发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统。
可选地,用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求包括:确定目标接入客户端的架构信息,并从存储器中获取与架构信息相同的第三方构件,得到目标构件,其中,存储器中存储有架构信息不同的多个第三方构件;目标接入客户端在接收到用户输入的预设访问请求后,将预设访问请求输入目标构件中,通过目标构件对预设访问请求进行格式转换,得到初始访问请求,并通过目标构件将初始访问请求发送至认证客户端。
可选地,将目标访问请求发送至认证服务器包括:向认证服务器发送查询请求,并接收认证服务器返回的目标请求量,其中,目标请求量表征认证服务器正在执行的请求操作的数量,查询请求用于查询认证服务器在当前时刻接收到的请求数量;在目标请求量大于预设请求量的情况下,暂停发送目标访问请求,并在预设时间间隔后重新执行向认证服务器发送请求数量查询请求,并接收认证服务器返回的目标请求量的步骤,直至目标请求量小于等于预设请求量;在目标请求量小于等于预设请求量的情况下,将目标访问请求发送至认证服务器。
可选地,终端设备中还包括认证服务层,用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求包括:通过目标构件向认证服务层发送初始访问请求;认证服务层根据初始访问请求中携带的标识确定目标接入客户端对应的认证客户端,并判断认证客户端是否正常运行,其中,标识用于指示域账户的系统空间,目标接入客户端与目标接入客户端对应的认证客户端属于同于域账户的系统空间;在认证客户端正常运行的情况下,执行通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求的步骤;在认证客户端异常运行的情况下,在目标接入客户端中显示提示信息,其中,提示信息表征认证客户端异常。
可选地,在通过目标构件向认证服务层发送初始访问请求之前,该方法还包括:通过目标构件向认证服务层发送标识;认证服务层识别标识,得到识别结果,并在识别结果表征标识无异常的情况下,将目标构件与认证服务器相连接。
可选地,在用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求之前,该方法还包括:用户通过用户信息登录终端设备,并在完成终端设备登录后,判断用户信息的域账户的系统空间中是否存在认证客户端;在域账户的系统空间中不存在认证客户端的情况下,在域账户的系统空间中安装认证客户端,通过用户信息登录认证客户端,并将认证客户端接入认证服务层,其中,认证客户端中携带标识。
可选地,认证服务器通过确定用户信息和设备信息的注册状态确定初始访问请求的授权结果;和/或,通过判断用户信息和设备信息之间是否存在预设关联关系确定初始访问请求的授权结果。
根据本申请的另一方面,提供了一种用户认证系统。该系统包括:接入客户端,包含目标构件,用于通过目标构件向认证客户端中发送初始访问请求,接收认证客户端发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统;认证客户端,用于将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,并接收认证服务器返回的授权令牌,将授权令牌发送至接入客户端;认证服务器,用于通过确定用户信息和设备信息的注册状态确定初始访问请求的授权结果;和/或,通过判断用户信息和设备信息之间是否存在预设关联关系确定初始访问请求的授权结果。
根据本申请的另一方面,提供了一种用户认证装置。该装置包括:第一发送单元,用于用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求,其中,初始访问请求中包括请求访问的业务系统的名称;第二发送单元,用于通过认证客户端将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,接收认证服务器返回的授权令牌,将授权令牌发送至目标接入客户端;访问单元,用于目标接入客户端接收认证客户端发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统。
根据本发明的另一方面,还提供了一种计算机存储介质,计算机存储介质用于存储程序,其中,程序运行时控制计算机存储介质所在的设备执行一种用户认证方法。
根据本发明的另一方面,还提供了一种电子设备,包含一个或多个处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种用户认证方法。
通过本申请,采用以下步骤:用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求,其中,初始访问请求中包括请求访问的业务系统的名称;通过认证客户端将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,接收认证服务器返回的授权令牌,将授权令牌发送至目标接入客户端;目标接入客户端接收认证客户端发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统。解决了相关技术中用户在使用多个客户端的情况下,需要进行多次重复的登陆操作,导致操作流程繁琐并且存在密码泄露的风险的问题。通过目标构件向认证客户端发送访问请求,并通过认证客户端统一向认证服务器发送认证请求,从而根据认证服务器返回的令牌确定是否允许接入客户端对业务系统进行访问,可以使得用户仅登陆认证客户端即可通过认证客户端对接入客户端进行认证,进而无需多次输入认证信息,同时降低认证服务器接入的客户端数量,保证了认证服务器的正常运行,用户可以通过认证客户端对接入客户端进行一键登录,并且无需输入密码,达到了减少用户操作,提高保密性的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的用户认证系统的示意图;
图2是根据本申请实施例提供的用户认证方法的流程图;
图3是根据本申请实施例提供的可选地用户认证系统的示意图;
图4是根据本申请实施例提供的用户认证装置的示意图;
图5是根据本申请实施例提供的一种电子设备的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
需要说明的是,本公开所确定的用户认证方法、系统、装置、存储介质以及电子设备可用于信息安全领域,也可用于除信息安全领域之外的任意领域,本公开所确定的用户认证方法、系统、装置、存储介质以及电子设备的应用领域不做限定。
为了便于描述,以下对本申请实施例涉及的部分名词或术语进行说明:
客户端,又称作客户端应用程序,简称客户端,是指安装在用户设备上的应用程序,例如手机App、个人电脑上的软件等。
域账户:域账户是域的网络对象的分组,不同的域账户在登录终端设备后使用的系统空间不同,空间中的内容不同。
图1是根据本申请实施例提供的用户认证系统的示意图,包括:
接入客户端101,包含目标构件104,用于通过目标构件104向认证客户端102中发送初始访问请求,接收认证客户端102发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统。
具体的,每个域账户的系统空间中包括该账户所属用户使用的多个客户端,其中,可以将使用频率较高、或是不能关闭的客户端设置为认证客户端102,并将其余需要频繁登陆的客户端设置为接入客户端101。用户在登陆域账户后,只需要登陆认证客户端102,即可通过认证客户端102和认证服务器103进行交互,从而使得用户在使用接入客户端101的时候,无需再次重复输入登陆信息,可直接通过认证客户端102与接入客户端101之间的关联关系,通过认证客户端102代替接入客户端101与认证服务器103进行交互,进而达到用户可以在无感知的情况下确定能否使用接入客户端101访问业务系统的效果。
进一步的,在用户需要使用接入客户端101对业务系统进行访问的时候,可以在接入客户端101中输入初始访问请求,并通过接入客户端101中的目标构件104向认证客户端102发送初始访问请求。
需要说明的是,由于接入客户端101之间、以及认证客户端102与接入客户端101之间的编码框架实现不同,因此需要通过第三方构件(也即目标构件104)统一封装相同业务逻辑,提供相同接口,从而使得接入客户端101与认证客户端102之间可以进行请求传输和读取。
在接入客户端101向认证客户端102发送请求后,会接收到认证客户端102反馈的授权令牌,从而在授权令牌中的授权结果表征用户具有访问权限的情况下,可以让用户通过接入客户端101对业务系统进行访问,在授权令牌中的授权结果表征用户不具有访问权限的情况下,则在接入客户端101中提示授权失败,无法访问业务系统。
认证客户端102,用于将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器103,并接收认证服务器103返回的授权令牌,将授权令牌发送至接入客户端101。
具体的,认证客户端102在接收到接入客户端101发送的请求后,将用户在登陆认证客户端102时输入的用户信息,以及终端设备的设备信息添加至请求中,得到目标访问请求,并将目标访问请求发送至认证服务器103中进行认证,并将认证服务器103反馈的授权令牌发送至接入服务器中,从而使得接入服务器可以根据授权令牌中的授权结果对业务系统进行访问,从而完成对用户的认证和授权操作。
认证服务器103,用于通过确定用户信息和设备信息的注册状态确定初始访问请求的授权结果;和/或,通过判断用户信息和设备信息之间是否存在预设关联关系确定初始访问请求的授权结果。
具体的,认证服务器103用于通过请求中的用户信息和设备信息的注册状态确定该请求能否被授权,同时还可以通过确定用户信息和设备信息之间是否存在关联关系确定能否被授权。
例如,在用户信息和设备信息均被注册,并且用户信息和设备信息之间存在关联关系的情况下,表征该访问请求可以被授权。
根据本申请的实施例,提供了一种用户认证方法。
图2是根据本申请实施例提供的用户认证方法的流程图。如图2所示,该方法应用于终端设备中的域账户的系统空间中,域账户的系统空间内设置认证客户端和多个接入客户端,该方法包括以下步骤:
步骤S201,用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求,其中,初始访问请求中包括请求访问的业务系统的名称。
需要说明的是,在用户需要使用目标接入客户端对业务系统进行访问的时候,需要先向认证服务器发送请求信息,并在接收到认证服务器反馈的授权令牌后,根据授权令牌确定能否对业务系统进行访问。
由于每个域账户的系统空间中包括该账户所属用户所使用的多个客户端,因此,为了减少与认证服务器进行连接的服务器的数量,同时减少用户输入认证信息的次数,可以将使用频率较高、或是不能关闭的客户端设置为认证客户端,并在用户使用接入客户端的时候,通过接入客户端向认证客户端发送请求,认证客户端再统一向认证服务器发送请求的方法,减少用户输入用户信息进行身份认证的频率,同时减少与认证服务器连接的客户端的数量。
因此,在用户需要使用目标接入客户端对业务系统进行访问的时候,可以通过向认证客户端发送初始访问请求的方式,完成向认证服务器发送请求的操作。
进一步的,由于接入客户端之间、以及认证客户端与接入客户端之间的编码框架实现不同,因此需要通过第三方构件统一封装相同业务逻辑,提供相同接口,从而使得接入客户端与认证客户端之间可以进行请求传输和读取。在使用第三方构件的时候,需要保证第三方构件的框架与接入客户端相同,因此需要在多个预设第三方构件中为每个接入客户端选取对应的目标构件。
例如,接入客户端采用的编码框架为A,认证客户端采用的编码框架为B,则可通过编码框架为A的目标构件将接入客户端传输的请求数据统一成认证客户端可以识别的数据,从而保证了请求数据的正常传递。
步骤S202,通过认证客户端将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,接收认证服务器返回的授权令牌,将授权令牌发送至目标接入客户端。
具体的,认证客户端在接收到接入客户端发送的请求后,将用户在登陆认证客户端时输入的用户信息,以及终端设备的设备信息添加至请求中,得到目标访问请求,并将目标访问请求发送至认证服务器中进行认证,并将认证服务器反馈的授权令牌发送至接入服务器中,从而使得接入服务器可以根据授权令牌中的授权结果对业务系统进行访问,从而完成对用户的认证和授权操作。
需要说明的是,本申请中采用将用户信息和设备信息一同发送至认证服务器的方式,将设备硬件参数作为认证第二验证因子,进一步提升认证安全性。硬件参数通常选取计算机显卡唯一标识,主板唯一标识,硬盘序列号等常用的稳定系统参数。
需要说明的是,用户在登陆域账户后,需要使用用户信息登陆认证客户端,在成功登陆后,认证客户端中会存储用户信息,此时在用户在该域账户下进行接入客户端的操作的时候,即可通过认证客户端和认证服务器进行交互,直接使用认证服务器中存储的用户信息,无需再次重复输入登陆信息,通过认证客户端代替接入客户端与认证服务器进行交互以及身份验证,进而达到用户可以在无感知的情况下确定能否使用接入客户端访问业务系统的效果。
步骤S203,目标接入客户端接收认证客户端发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统。
具体的,在接入客户端向认证客户端发送请求后,会接收到认证客户端反馈的授权令牌,在授权令牌中的授权结果表征用户具有访问权限的情况下,可以让用户通过接入客户端对业务系统进行访问,在授权令牌中的授权结果表征用户不具有访问权限的情况下,则在接入客户端中提示授权失败,无法访问业务系统。
本申请实施例提供的用户认证方法,用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求,其中,初始访问请求中包括请求访问的业务系统的名称;通过认证客户端将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,接收认证服务器返回的授权令牌,将授权令牌发送至目标接入客户端;目标接入客户端接收认证客户端发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统。解决了相关技术中用户在使用多个客户端的情况下,需要进行多次重复的登陆操作,导致操作流程繁琐并且存在密码泄露的风险的问题。通过目标构件向认证客户端发送访问请求,并通过认证客户端统一向认证服务器发送认证请求,从而根据认证服务器返回的令牌确定是否允许接入客户端对业务系统进行访问,可以使得用户仅登陆认证客户端即可通过认证客户端对接入客户端进行认证,进而无需多次输入认证信息,同时降低认证服务器接入的客户端数量,保证了认证服务器的正常运行,用户可以通过认证客户端对接入客户端进行一键登录,并且无需输入密码,达到了减少用户操作,提高保密性的效果。
可选地,在本申请实施例提供的用户认证方法中,用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求包括:确定目标接入客户端的架构信息,并从存储器中获取与架构信息相同的第三方构件,得到目标构件,其中,存储器中存储有架构信息不同的多个第三方构件;目标接入客户端在接收到用户输入的预设访问请求后,将预设访问请求输入目标构件中,通过目标构件对预设访问请求进行格式转换,得到初始访问请求,并通过目标构件将初始访问请求发送至认证客户端。
具体的,由于接入客户端之间、以及认证客户端与接入客户端之间的编码框架实现不同,因此需要通过第三方构件(也即目标构件)统一封装相同业务逻辑,提供相同接口,从而使得接入客户端与认证客户端之间可以进行请求传输和读取。
在选取目标构件的时候,需要先确定目标接入客户端的架构信息,并选取与目标接入客户端的架构信息相同的第三方构件,从而保证第三方构件可以读取目标接入客户端中的请求,并将请求进行格式转换,使得认证客户端可正常读取该请求。
例如,接入客户端采用的编码框架为A,认证客户端采用的编码框架为B,则可通过编码框架为A的目标构件将接入客户端传输的请求数据统一成认证客户端可以识别的数据,从而保证了请求数据的正常传递。
为了保证认证服务器的请求接收量处于正常水平,从而保证认证服务器的正常运行,可选地,在本申请实施例提供的用户认证方法中,将目标访问请求发送至认证服务器包括:向认证服务器发送查询请求,并接收认证服务器返回的目标请求量,其中,目标请求量表征认证服务器正在执行的请求操作的数量,查询请求用于查询认证服务器在当前时刻接收到的请求数量;在目标请求量大于预设请求量的情况下,暂停发送目标访问请求,并在预设时间间隔后重新执行向认证服务器发送请求数量查询请求,并接收认证服务器返回的目标请求量的步骤,直至目标请求量小于等于预设请求量;在目标请求量小于等于预设请求量的情况下,将目标访问请求发送至认证服务器。
具体的,在向认证服务器发送目标访问请求的时候,需要先向认证服务器发送查询请求,从而通过查询请求确定认证服务器此刻的目标请求量,在目标请求量大于预设请求量的情况下,表征认证服务器在此刻接收到大量的访问请求,则此时不能再向认证服务器发送目标访问请求,需要等待预设时间间隔后再重新确定认证服务器的目标请求量,直至目标请求量小于等于预设请求量,并在目标请求量小于等于预设请求量的情况下,表征认证服务器具有处理新增请求的能力,则可以将目标访问请求发送至认证服务器进行处理,从而保证了认证服务器的正常运行。
可选地,在本申请实施例提供的用户认证方法中,终端设备中还包括认证服务层,用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求包括:通过目标构件向认证服务层发送初始访问请求;认证服务层根据初始访问请求中携带的标识确定目标接入客户端对应的认证客户端,并判断认证客户端是否正常运行,其中,标识用于指示域账户的系统空间,目标接入客户端与目标接入客户端对应的认证客户端属于同于域账户的系统空间;在认证客户端正常运行的情况下,执行通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求的步骤;在认证客户端异常运行的情况下,在目标接入客户端中显示提示信息,其中,提示信息表征认证客户端异常。
需要说明的是,图3是根据本申请实施例提供的可选地用户认证系统的示意图,如图3所示,认证服务层是一种特殊的可执行应用程序,设置于接入客户端与认证客户端之间,该服务独立于用户计算机域账户上下文,是设置在终端设备的操作系统中的应用程序,因此同台计算机不同域账户可以共用该服务层。认证服务层业务逻辑主要实现了不同客户端之间通信的Websocket服务中心。Websocket是一种基于TCP(Transmission ControlProtocol传输控制协议)协议的全双工通信协议,该协议无需轮询即可收发消息,具有开销低,实时性高的优点。认证服务层可以根据标识确定发送访问请求的接入客户端所处的域账户,并将该接入客户端与该域账户下的认证客户端相连接,从而保证了客户端之间的正常通信,以及访问请求的正常传输。
具体的,接入客户端在向认证客户端发送访问请求的情况下,由于认证客户端的状态是未知的,因此,需要通过目标构件向认证服务层发送初始访问请求,由于认证服务层对应多个认证客户端,因此认证服务层需要根据初始访问请求中携带的标识确定目标接入客户端对应的认证客户端,并判断认证客户端当前状态,也即是否正常运行,在正常运行的情况下,可以根据标识将接入客户端发送的请求发送至认证客户端,在认证客户端异常运行的情况下,由认证服务层向目标接入客户端中反馈提示信息,进而保证了访问请求的准确传输。
也即,在接入客户端中的目标构件进行请求发送的时候,先将请求和标识发送至认证服务层,认证服务层根据标识或是预设关系确定该接入客户端对应的认证客户端是否开启,并在开启的情况下将请求发送至认证服务端,从而完成客户端之间的请求数据传递的操作。
可选地,在本申请实施例提供的用户认证方法中,在通过目标构件向认证服务层发送初始访问请求之前,该方法还包括:通过目标构件向认证服务层发送标识;认证服务层识别标识,得到识别结果,并在识别结果表征标识无异常的情况下,将目标构件与认证服务器相连接。
具体的,在通过认证服务层进行客户端的通信之前,需要通过标识将认证客户端与接入客户端进行关联,在认证服务层识别标识后,将标识与该标识相对应的认证客户端相关联,从而在后续接收到该接入客户端发送的或是携带该标识的访问请求的情况下,可以直接根据标识确定对应的认证客户端,并将访问请求发送至对应的认证客户端中。
需要说明的是,还可以通过在认证服务层中添加预设表格的方式将接入客户端与认证客户端相连接,表1为一种可选的对照表,如表1所示,认证服务层可以以message Id(标识ID)为标识区分消息,message Id设置为随机字符串以确保消息唯一性,通过from参数确定发送请求的接入客户端,通过to参数确定消息需要被分发到的认证客户端,从而完成接入客户端和认证客户端之间的关联链接,并且在需要新增和修改关联关系的情况下,可以直接对表格进行修改,从而便捷的修改关联关系。
表1
参数名 说明
messageId 消息id
from 发送客户端对象
to 接受客户端对象
可选地,在本申请实施例提供的用户认证方法中,在用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求之前,该方法还包括:用户通过用户信息登录终端设备,并在完成终端设备登录后,判断用户信息的域账户的系统空间中是否存在认证客户端;在域账户的系统空间中不存在认证客户端的情况下,在域账户的系统空间中安装认证客户端,通过用户信息登录认证客户端,并将认证客户端接入认证服务层,其中,认证客户端中携带标识。
具体的,在用户开启终端设备后,需要判断用户信息的域账户的系统空间中是否存在认证客户端,在不存在认证客户端的情况下,需要安装认证客户端,或是将某个客户端设置为认证客户端,并在存在认证客户端的情况下,使得用户在终端设备中登录域账户的情况下,使用登录时的用户信息登录认证客户端,从而在认证客户端登录信息后,无需在接入客户端中再次输入用户信息,也可以发送请求,从而减少了用户的输入操作,并且减少了信息输入次数,提高了信息安全性。
可选地,在本申请实施例提供的用户认证方法中,认证服务器通过确定用户信息和设备信息的注册状态确定初始访问请求的授权结果;和/或,通过判断用户信息和设备信息之间是否存在预设关联关系确定初始访问请求的授权结果。
具体的,认证服务器用于通过请求中的用户信息和设备信息的注册状态确定该请求能否被授权,同时还可以通过确定用户信息和设备信息之间是否存在关联关系确定能否被授权。
例如,在用户信息和设备信息均被注册,并且用户信息和设备信息之间存在关联关系的情况下,表征该访问请求可以被授权。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种用户认证装置,需要说明的是,本申请实施例的用户认证装置可以用于执行本申请实施例所提供的用于用户认证方法。以下对本申请实施例提供的用户认证装置进行介绍。
图4是根据本申请实施例提供的用户认证装置的示意图。如图4所示,该装置包括:第一发送单元41,第二发送单元42,访问单元43。
第一发送单元41,用于用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求,其中,初始访问请求中包括请求访问的业务系统的名称。
第二发送单元42,用于通过认证客户端将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,接收认证服务器返回的授权令牌,将授权令牌发送至目标接入客户端。
访问单元43,用于目标接入客户端接收认证客户端发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统。
本申请实施例提供的用户认证装置,通过第一发送单元41用户通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求,其中,初始访问请求中包括请求访问的业务系统的名称。第二发送单元42通过认证客户端将用户信息和终端设备的设备信息添加至初始访问请求中,得到目标访问请求,将目标访问请求发送至认证服务器,接收认证服务器返回的授权令牌,将授权令牌发送至目标接入客户端。访问单元43目标接入客户端接收认证客户端发送的授权令牌,并解析授权令牌,得到授权结果,并在授权结果表征用户具有访问权限的情况下,访问业务系统。解决了相关技术中用户在使用多个客户端的情况下,需要进行多次重复的登陆操作,导致操作流程繁琐并且存在密码泄露的风险的问题。通过目标构件向认证客户端发送访问请求,并通过认证客户端统一向认证服务器发送认证请求,从而根据认证服务器返回的令牌确定是否允许接入客户端对业务系统进行访问,可以使得用户仅登陆认证客户端即可通过认证客户端对接入客户端进行认证,进而无需多次输入认证信息,同时降低认证服务器接入的客户端数量,保证了认证服务器的正常运行,用户可以通过认证客户端对接入客户端进行一键登录,并且无需输入密码,达到了减少用户操作,提高保密性的效果。
可选地,在本申请实施例提供的用户认证装置中,第一发送单元41包括:确定模块,用于确定目标接入客户端的架构信息,并从存储器中获取与架构信息相同的第三方构件,得到目标构件,其中,存储器中存储有架构信息不同的多个第三方构件;转换模块,用于目标接入客户端在接收到用户输入的预设访问请求后,将预设访问请求输入目标构件中,通过目标构件对预设访问请求进行格式转换,得到初始访问请求,并通过目标构件将初始访问请求发送至认证客户端。
可选地,在本申请实施例提供的用户认证装置中,第二发送单元42包括:第一发送模块,用于向认证服务器发送查询请求,并接收认证服务器返回的目标请求量,其中,目标请求量表征认证服务器正在执行的请求操作的数量,查询请求用于查询认证服务器在当前时刻接收到的请求数量;第一执行模块,用于在目标请求量大于预设请求量的情况下,暂停发送目标访问请求,并在预设时间间隔后重新执行向认证服务器发送请求数量查询请求,并接收认证服务器返回的目标请求量的步骤,直至目标请求量小于等于预设请求量;第二发送模块,用于在目标请求量小于等于预设请求量的情况下,将目标访问请求发送至认证服务器。
可选地,在本申请实施例提供的用户认证装置中,终端设备中还包括认证服务层,第一发送单元41包括:第三发送模块,用于通过目标构件向认证服务层发送初始访问请求;判断模块,用于认证服务层根据初始访问请求中携带的标识确定目标接入客户端对应的认证客户端,并判断认证客户端是否正常运行,其中,标识用于指示域账户的系统空间,目标接入客户端与目标接入客户端对应的认证客户端属于同于域账户的系统空间;第二执行模块,用于在认证客户端正常运行的情况下,执行通过目标接入客户端中的目标构件向认证客户端中发送初始访问请求的步骤;显示模块,用于在认证客户端异常运行的情况下,在目标接入客户端中显示提示信息,其中,提示信息表征认证客户端异常。
可选地,在本申请实施例提供的用户认证装置中,该装置还包括:第三发送单元,用于通过目标构件向认证服务层发送标识;连接单元,用于认证服务层识别标识,得到识别结果,并在识别结果表征标识无异常的情况下,将目标构件与认证服务器相连接。
可选地,在本申请实施例提供的用户认证装置中,该装置还包括:判断单元,用于用户通过用户信息登录终端设备,并在完成终端设备登录后,判断用户信息的域账户的系统空间中是否存在认证客户端;接入单元,用于在域账户的系统空间中不存在认证客户端的情况下,在域账户的系统空间中安装认证客户端,通过用户信息登录认证客户端,并将认证客户端接入认证服务层,其中,认证客户端中携带标识。
可选地,在本申请实施例提供的用户认证装置中,认证服务器通过确定用户信息和设备信息的注册状态确定初始访问请求的授权结果;和/或,通过判断用户信息和设备信息之间是否存在预设关联关系确定初始访问请求的授权结果。
上述用户认证装置包括处理器和存储器,上述第一发送单元41,第二发送单元42,访问单元43等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决了相关技术中用户在使用多个客户端的情况下,需要进行多次重复的登陆操作,导致操作流程繁琐并且存在密码泄露的风险的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现所述用户认证方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述用户认证方法。
图5是根据本申请实施例提供的一种电子设备的示意图,如图5所示,本发明实施例提供了一种电子设备,电子设备50包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现上述用户认证方法步骤。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有上述用户认证方法步骤的程序。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种用户认证方法,其特征在于,应用于终端设备中的域账户的系统空间中,所述域账户的系统空间内设置认证客户端和多个接入客户端,所述方法包括:
用户通过目标接入客户端中的目标构件向所述认证客户端中发送初始访问请求,其中,所述初始访问请求中包括请求访问的业务系统的名称;
通过所述认证客户端将用户信息和所述终端设备的设备信息添加至所述初始访问请求中,得到目标访问请求,将所述目标访问请求发送至认证服务器,接收所述认证服务器返回的授权令牌,将所述授权令牌发送至所述目标接入客户端;
所述目标接入客户端接收所述认证客户端发送的授权令牌,并解析所述授权令牌,得到授权结果,并在所述授权结果表征所述用户具有访问权限的情况下,访问所述业务系统。
2.根据权利要求1所述的方法,其特征在于,用户通过目标接入客户端中的目标构件向所述认证客户端中发送初始访问请求包括:
确定所述目标接入客户端的架构信息,并从存储器中获取与所述架构信息相同的第三方构件,得到目标构件,其中,所述存储器中存储有架构信息不同的多个第三方构件;
所述目标接入客户端在接收到用户输入的预设访问请求后,将所述预设访问请求输入所述目标构件中,通过所述目标构件对所述预设访问请求进行格式转换,得到所述初始访问请求,并通过所述目标构件将所述初始访问请求发送至所述认证客户端。
3.根据权利要求1所述的方法,其特征在于,将所述目标访问请求发送至认证服务器包括:
向所述认证服务器发送查询请求,并接收所述认证服务器返回的目标请求量,其中,所述目标请求量表征所述认证服务器正在执行的请求操作的数量,所述查询请求用于查询所述认证服务器在当前时刻接收到的请求数量;
在所述目标请求量大于预设请求量的情况下,暂停发送所述目标访问请求,并在预设时间间隔后重新执行所述向所述认证服务器发送请求数量查询请求,并接收所述认证服务器返回的目标请求量的步骤,直至所述目标请求量小于等于所述预设请求量;
在所述目标请求量小于等于所述预设请求量的情况下,将所述目标访问请求发送至所述认证服务器。
4.根据权利要求1所述的方法,其特征在于,所述终端设备中还包括认证服务层,用户通过目标接入客户端中的目标构件向所述认证客户端中发送初始访问请求包括:
通过所述目标构件向所述认证服务层发送所述初始访问请求;
所述认证服务层根据所述初始访问请求中携带的标识确定所述目标接入客户端对应的认证客户端,并判断所述认证客户端是否正常运行,其中,所述标识用于指示所述域账户的系统空间,所述目标接入客户端与所述目标接入客户端对应的认证客户端属于同于域账户的系统空间;
在所述认证客户端正常运行的情况下,执行所述通过目标接入客户端中的目标构件向所述认证客户端中发送初始访问请求的步骤;
在所述认证客户端异常运行的情况下,在所述目标接入客户端中显示提示信息,其中,所述提示信息表征所述认证客户端异常。
5.根据权利要求4所述的方法,其特征在于,在通过所述目标构件向所述认证服务层发送所述初始访问请求之前,所述方法还包括:
通过所述目标构件向所述认证服务层发送所述标识;
所述认证服务层识别所述标识,得到识别结果,并在所述识别结果表征所述标识无异常的情况下,将所述目标构件与所述认证服务器相连接。
6.根据权利要求4所述的方法,其特征在于,在用户通过目标接入客户端中的目标构件向所述认证客户端中发送初始访问请求之前,所述方法还包括:
所述用户通过所述用户信息登录所述终端设备,并在完成所述终端设备登录后,判断所述用户信息的域账户的系统空间中是否存在所述认证客户端;
在所述域账户的系统空间中不存在所述认证客户端的情况下,在所述域账户的系统空间中安装所述认证客户端,通过所述用户信息登录所述认证客户端,并将所述认证客户端接入所述认证服务层,其中,所述认证客户端中携带所述标识。
7.根据权利要求1所述的方法,其特征在于,所述认证服务器通过确定所述用户信息和所述设备信息的注册状态确定所述初始访问请求的授权结果;和/或,通过判断所述用户信息和所述设备信息之间是否存在预设关联关系确定所述初始访问请求的授权结果。
8.一种用户认证系统,其特征在于,应用于终端设备中的域账户的系统空间中,所述域账户的系统空间内设置认证客户端和多个接入客户端,包括:
所述接入客户端,包含目标构件,用于通过所述目标构件向所述认证客户端中发送初始访问请求,接收所述认证客户端发送的授权令牌,并解析所述授权令牌,得到授权结果,并在所述授权结果表征所述用户具有访问权限的情况下,访问业务系统;
所述认证客户端,用于将用户信息和终端设备的设备信息添加至所述初始访问请求中,得到目标访问请求,将所述目标访问请求发送至认证服务器,并接收所述认证服务器返回的授权令牌,将所述授权令牌发送至所述接入客户端;
所述认证服务器,用于通过确定所述用户信息和所述设备信息的注册状态确定所述初始访问请求的授权结果;和/或,通过判断所述用户信息和所述设备信息之间是否存在预设关联关系确定所述初始访问请求的授权结果。
9.一种计算机存储介质,其特征在于,所述计算机存储介质用于存储程序,其中,所述程序运行时控制所述计算机存储介质所在的设备执行权利要求1至7中任意一项所述的用户认证方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的用户认证方法。
CN202311017108.7A 2023-08-11 2023-08-11 用户认证方法、系统、装置、存储介质以及电子设备 Pending CN117093977A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311017108.7A CN117093977A (zh) 2023-08-11 2023-08-11 用户认证方法、系统、装置、存储介质以及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311017108.7A CN117093977A (zh) 2023-08-11 2023-08-11 用户认证方法、系统、装置、存储介质以及电子设备

Publications (1)

Publication Number Publication Date
CN117093977A true CN117093977A (zh) 2023-11-21

Family

ID=88779043

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311017108.7A Pending CN117093977A (zh) 2023-08-11 2023-08-11 用户认证方法、系统、装置、存储介质以及电子设备

Country Status (1)

Country Link
CN (1) CN117093977A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117650950A (zh) * 2024-01-30 2024-03-05 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) 安全通信方法与装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117650950A (zh) * 2024-01-30 2024-03-05 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) 安全通信方法与装置
CN117650950B (zh) * 2024-01-30 2024-04-19 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) 安全通信方法与装置

Similar Documents

Publication Publication Date Title
US20180013747A1 (en) Controlling Access to Resources on a Network
CN108337677B (zh) 网络鉴权方法及装置
CN111641675A (zh) 多租户访问服务实现方法、装置、设备及存储介质
US20130152169A1 (en) Controlling access to resources on a network
US9507927B2 (en) Dynamic identity switching
CN110365684B (zh) 应用集群的访问控制方法、装置和电子设备
CN107040560B (zh) 一种基于业务平台的业务处理方法及装置
CN112995166B (zh) 资源访问的鉴权方法及装置、存储介质、电子设备
CN111526111B (zh) 登录轻应用的控制方法、装置和设备及计算机存储介质
CN107104923B (zh) 一种账号绑定和业务处理的方法及装置
CN112738021B (zh) 单点登录方法、终端、应用服务器、认证服务器及介质
CN113992408B (zh) 多系统统一登录信息处理方法及系统
CN113079164A (zh) 堡垒机资源的远程控制方法、装置、存储介质及终端设备
CN111177741A (zh) 一种基于企业浏览器的预授权数据访问方法和装置
CN117093977A (zh) 用户认证方法、系统、装置、存储介质以及电子设备
CN110278192A (zh) 外网访问内网的方法、装置、计算机设备及可读存储介质
CN112953745A (zh) 服务调用方法、系统、计算机设备和存储介质
US20220377556A1 (en) Internet-of-things device registration method and apparatus, device, and storage medium
CN116484338A (zh) 数据库访问方法及装置
US20190132304A1 (en) Loopback verification of multi-factor authentication
CN114692172A (zh) 用户请求的处理方法及装置
CN111049795B (zh) 分布式Web应用的敏感数据未加密漏洞的检测方法及装置
CN117675241A (zh) 访问请求的处理方法及装置、存储介质和处理器
CN112583777B (zh) 用户登录的实现方法及装置
CN110535957B (zh) 业务应用平台的数据调取方法及业务应用平台系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination