CN117319087A - 基于集中式认证服务的单点登录方法、装置及存储介质 - Google Patents
基于集中式认证服务的单点登录方法、装置及存储介质 Download PDFInfo
- Publication number
- CN117319087A CN117319087A CN202311595939.2A CN202311595939A CN117319087A CN 117319087 A CN117319087 A CN 117319087A CN 202311595939 A CN202311595939 A CN 202311595939A CN 117319087 A CN117319087 A CN 117319087A
- Authority
- CN
- China
- Prior art keywords
- proxy
- authentication
- authentication client
- credential
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000012795 verification Methods 0.000 claims description 41
- 238000012545 processing Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 13
- 238000011161 development Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种基于集中式认证服务的单点登录方法、装置及存储介质。涉及计算机网络技术领域。其中方法包括:接收用户终端的浏览器发送的登录请求信息;对登录请求信息进行验证,并且在登录请求信息验证成功的情况下,生成与第一认证客户端对应的服务凭据,并将服务凭据发送至第一认证客户端;从第一认证客户端接收服务凭据并对服务凭据进行验证,并且在服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将代理凭据通过第一认证客户端发送至用户终端的浏览器;以及在用户终端的浏览器访问第二认证客户端时,从第二认证客户端接收代理凭据,并对代理凭据进行验证。从而提高用户使用配置单点服务协议应用时的用户体验。
Description
技术领域
本申请涉及计算机网络技术领域,特别是涉及一种基于集中式认证服务的单点登录方法、装置及存储介质。
背景技术
集中式认证服务(Central Authentication Service,后文简称CAS)是一种针对浏览器的单点登录协议,旨在为浏览器提供一种可靠的单点登录方法,它允许一个用户访问多个应用程序,而只需向认证服务器提供一次凭证(如用户名和密码)。
在浏览器应用(也称基于浏览器的应用,例如web应用或基于web的应用等)的开发中,微服务架构得到了广泛应用。参考图1所示,在微服务的架构中,部署于用户终端的浏览器应用的各个组件1~3以微服务的形式部署。从而各个组件1~3以类似于客户端的形式嵌入在浏览器应用中,并与相应的组件服务器1~3进行交互。由于组件1~3是部署于浏览器应用中的,因此组件1~3通过浏览器来登录各自的组件服务器1~3,如图1所示。
为了方便用户使用,浏览器应用可以通过浏览器以单点登录的方式登录与各个组件1~3对应的组件服务器1~3。从而,认证服务器(也称为 CAS Server)被部署用于实现组件1~3的单点登录,并且各个组件服务器1~3分别部署有用于CAS单点登录的认证客户端1~3(也称 CAS Client)。
其中,图2示出了在CAS单点登录的情况下,各个组件1~3的登录过程。在步骤S201,浏览器应用通过浏览器访问作为受保护资源的组件服务器1;在步骤S202,认证客户端1生成CAS登录链接并发送至用户终端的浏览器;在步骤S203,用户终端的浏览器跳转至认证服务器的登录页面,从而用户输入用户信息(用户名和密码等),并且由认证服务器进行验证;在步骤S204,认证服务器通过验证后,向认证客户端1发送相应的服务凭据(ST,即ServiceTicket);在步骤S205,认证客户端1在接收到服务凭据之后,向认证服务器发送服务凭据进行验证;在步骤S206,在验证通过后,认证服务器向认证客户端1发送该用户的用户信息,从而完成对组件服务器1的登录。
然后在步骤S207~S212,浏览器应用通过浏览器以单点登录的方式完成对组件服务器2的登录,在步骤S213~S218,浏览器应用通过浏览器以单点登录的方式完成对组件服务器3的登录。
参见图2中的步骤S209和S215,在单点登录的过程中,认证客户端为了获取服务凭据,需要将浏览器的跳转至认证服务器,从而导致浏览器应用的页面跳转,从而导致浏览器应用的页面多次刷新。影响了用户的体验。
公开号为CN111538966A,名称为访问方法、访问装置、服务器及存储介质。该发明中,向多个微服务器的认证服务器发送多个所述微服务器的登录请求,供所述认证服务器在验证登录成功时生成多个所述微服务器的访问令牌;接收所述认证服务器反馈的所述访问令牌,并将所述访问令牌保存在本地;当检测到有对应于所述微服务器的业务的访问需求时,向所述微服务器发送包含所述访问令牌的业务请求,供所述微服务器在所述访问令牌认证成功时下发所述业务请求对应的业务数据;接收所述微服务器下发的所述业务数据。使得在完成一次登录后,访问不同的微服务器时不需要再次进行登录即可完成认证过程,提高了访问效率。
公开号为CN112564916A,名称为应用于微服务架构的访问客户端认证系统,包括:微服务网关,用于接收并分发访问客户端发送的登录认证信息至登录认证服务器;登录认证服务器,用于对登录认证信息进行正确性校验,并将在校验通过后生成的token信息经微服务网关返回给所述访问客户端,同时将token信息存储到缓存服务器;微服务网关,用于接收访问客户端发送的携带token信息的资源请求,并在对该token信息验证通过后,将资源请求路由分发到微服务架构中相应的资源服务上;其中,微服务网关基于缓存服务器中存储的token信息对所该token信息进行验证,以解决现有微服务架构中,访问客户端登录认证过程复杂以及资源管理不安全的问题。
发明内容
本发明提供了一种基于集中式认证服务的单点登录方法、装置及存储介质,用于提高用户使用配置单点服务协议应用时的用户体验。本申请的技术方案如下:
根据本申请示例的一个方面,提供了一种基于集中式认证服务的单点登录方法,应用于认证服务器,方法包括:接收用户终端的浏览器发送的登录请求信息,其中登录请求信息是由用户终端的浏览器在访问第一认证客户端,并由第一认证客户端重定向至认证服务器时产生;对登录请求信息进行验证,并且在登录请求信息验证成功的情况下,生成与第一认证客户端对应的服务凭据,并将服务凭据发送至第一认证客户端;从第一认证客户端接收服务凭据并对服务凭据进行验证,并且在服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将代理凭据通过第一认证客户端发送至用户终端的浏览器;以及在用户终端的浏览器访问第二认证客户端时,从第二认证客户端接收代理凭据,并对代理凭据进行验证。
根据本申请实施例的另一个方面,提供了一种基于集中式认证服务的单点登录方法,应用于用户终端,包括:通过浏览器向第一认证客户端发送登录请求信息,并根据从第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至认证服务器;在认证服务器验证登录请求信息之后,通过浏览器从第一认证客户端接收与第二认证客户端对应的代理凭据;以及通过浏览器基于代理凭据访问第二认证客户端。
根据本申请实施例的另一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时由处理器执行以上任意一项所述的方法。
根据本申请实施例的另一个方面,还提供了一种基于集中式认证服务的单点登录装置,应用于认证服务器,装置包括:登录请求信息接收模块,用于接收用户终端的浏览器发送的登录请求信息,其中登录请求信息是由用户终端的浏览器在访问第一认证客户端,并由第一认证客户端重定向至认证服务器时产生;服务凭据生成模块,用于对登录请求信息进行验证,并且在登录请求信息验证成功的情况下,生成与第一认证客户端对应的服务凭据,并将服务凭据发送至第一认证客户端;服务凭据验证模块,用于从第一认证客户端接收服务凭据并对服务凭据进行验证,并且在服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将代理凭据通过第一认证客户端发送至用户终端的浏览器;以及代理凭据验证模块,用于在用户终端的浏览器访问第二认证客户端时,从第二认证客户端接收代理凭据,并对代理凭据进行验证。
根据本申请实施例的另一个方面,还提供了一种基于集中式认证服务的单点登录装置,应用于用户终端,包括:登录请求信息发送模块,用于通过浏览器向第一认证客户端发送登录请求信息,并根据从第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至认证服务器;代理凭据接收模块,用于在认证服务器验证登录请求信息之后,通过浏览器从第一认证客户端接收与第二认证客户端对应的代理凭据;以及访问模块,用于通过浏览器基于代理凭据访问第二认证客户端。
根据本申请实施例的另一个方面,还提供了一种基于集中式认证服务的单点登录装置,应用于认证服务器,包括:第一处理器;以及第一存储器,与第一处理器连接,用于为第一处理器提供处理以下处理步骤的指令:接收用户终端的浏览器发送的登录请求信息,其中登录请求信息是由用户终端的浏览器在访问第一认证客户端,并由第一认证客户端重定向至认证服务器时产生;对登录请求信息进行验证,并且在登录请求信息验证成功的情况下,生成与第一认证客户端对应的服务凭据,并将服务凭据发送至第一认证客户端;从第一认证客户端接收服务凭据并对服务凭据进行验证,并且在服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将代理凭据通过第一认证客户端发送至用户终端的浏览器;以及在用户终端的浏览器访问第二认证客户端时,从第二认证客户端接收代理凭据,并对代理凭据进行验证。
根据本申请实施例的另一个方面,还提供了一种基于集中式认证服务的单点登录装置,应用于用户终端,包括:第二处理器;以及第二存储器,与第二处理器连接,用于为第二处理器提供处理以下处理步骤的指令:通过浏览器向第一认证客户端发送登录请求信息,并根据从第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至认证服务器;在认证服务器验证登录请求信息之后,通过浏览器从第一认证客户端接收与第二认证客户端对应的代理凭据;以及通过浏览器基于代理凭据访问第二认证客户端。
从而根据本申请的技术方案,将浏览器应用中与一个微服务组件对应的认证客户端指定为代理凭据生成器,其为本方案中的第一认证客户端,负责处理用户的初始登录验证,并生成认证凭据。一旦认证凭据被认证服务器验证成功,代理凭据生成器就可以为浏览器应用中其他的微服务组件对应的认证客户端,即第二认证客户端,接收由认证服务器生成的代理凭据,并将代理凭据发送至浏览器。从而,当浏览器访问第二认证客户端时,第二认证客户端可以使用相应的代理凭据来验证用户并获取用户信息,而不需要进行额外的浏览器跳转和验证。由此,用户只需要在访问第一认证客户端时进行一次页面跳转,即可访问与各个组件对应的认证客户端。每个第二认证客户端都有自己的代理凭据,因此可以通过自己的代理凭据在认证服务器进行验证,而不需要每次访问第二认证客户端时都进行页面跳转。综上,本发明在进行基于浏览器且包含微服务的应用开发中,巧妙的在基于B/S的应用架构下,采用了基于C/S的CAS单点登录机制,通过消除了额外的浏览器跳转和验证,从而避免了基于浏览器的应用在访问微服务时频繁刷新页面的问题,提高了用户体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是基于微服务的浏览器应用以及相关集中式认证服务单点登录系统的示意图;
图2是基于微服务的浏览器应用按照现有的方法对各个组件实现集中式认证服务单点登录的流程示意图;
图3是用于实现根据本申请实施例1所述的方法的计算设备的硬件结构框图;
图4是根据本实施例所述的基于集中式认证服务的单点登录系统的示意图;
图5进一步示出了基于集中式认证服务的单点登录系统的各个设备的模块示意图;
图6是根据本申请实施例1的第一个方面所述的基于集中式认证服务的单点登录方法的流程示意图;
图7示出了根据本申请技术方案的基于集中式认证服务的单点登录方法的详细流程示意图;
图8是根据本申请实施例1的第二个方面所述的基于集中式认证服务的单点登录方法的流程示意图;
图9是根据本申请实施例2的第一个方面所述的基于集中式认证服务的单点登录装置的示意图;
图10是根据本申请实施例2的第二个方面所述的基于集中式认证服务的单点登录装置的示意图;
图11是根据本申请实施例3的第一个方面所述的基于集中式认证服务的单点登录装置的示意图;以及
图12是根据本申请实施例3的第二个方面所述的基于集中式认证服务的单点登录装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本实施例,提供了一种基于集中式认证服务的单点登录方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的计算设备中执行。图3示出了一种用于实现基于集中式认证服务的单点登录方法的计算设备的硬件结构框图。如图3所示,计算设备可以包括一个或多个处理器(处理器可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器、用于通信功能的传输装置以及输入/输出接口。其中存储器、传输装置以及输入/输出接口通过总线与处理器连接。除此以外,还可以包括:与输入/输出接口连接的显示器、键盘以及光标控制设备。本领域普通技术人员可以理解,图3所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。
应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算设备中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器可用于存储应用软件的软件程序以及模块,如本申请实施例中的基于集中式认证服务的单点登录方法对应的程序指令/数据存储装置,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的基于集中式认证服务的单点登录方法。存储器可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算设备的通信供应商提供的无线网络。在一个实例中,传输装置包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算设备的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图3所示的计算设备可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图3仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算设备中的部件的类型。
图4是根据本实施例所述的基于集中式认证服务的单点登录系统的示意图。参照图4所示,该系统包括:用户终端100、组件服务器210、组件服务器220、组件服务器230以及认证服务器300。其中,用户终端100、组件服务器210、组件服务器220、组件服务器230以及认证服务器300通过网络通信连接。
图5进一步示出了基于集中式认证服务的单点登录系统的各个设备的模块示意图。参见图5所示,用户终端100部署有浏览器150以及基于浏览器的浏览器应用140(例如,web应用),其中浏览器应用140中部署有基于微服务的组件110~130。并且,系统中还部署有分别与组件110~130对应的组件服务器210~230。即,组件服务器210是与组件110对应的服务器、组件服务器220是与组件120对应的服务器以及组件服务器230是与组件130对应的服务器。此外,组件服务器210~230分别部署有各自的认证客户端211~231(即,CAS Client),与认证服务器300(即,CAS Server)一起实现组件1~3的单点登录。
其中,在本申请中,各个组件服务器210~230部署的认证客户端211~231可以被划分为两种不同的类型。其中,一种认证客户端(例如认证客户端211)可以被指定为代理凭据生成器,用于为其他认证客户端生成代理凭据。该种类型的认证客户端在本申请的技术方案中被称为“第一认证客户端”。在本申请的技术方案中,只有第一认证客户端需要生成服务凭据ST,并且在ST验证成功后,为其他认证客户端生成代理凭据(PT,即proxy ticket)。另一种认证客户端(例如认证客户端221和231)可以被指定为使用代理凭据PT的认证客户端,在本申请的技术方案中被称为“第二认证客户端”。
其中代理凭据是一种用于在C/S架构下使用的认证凭据。在C/S架构下,认证客户端不需要生成服务凭据ST,而只需要通过验证代理凭据PT从认证服务器获取用户信息,从而验证过程中不会发生页面跳转。
从而在本申请的技术方案中,第二认证客户端可以通过由第一认证客户端所生成的代理凭据PT从认证服务器300获取用户信息,同时不会发生页面跳转。
进一步地,在本申请的技术方案中,工作人员可以通过指令指定一个组件服务器中的认证客户端为第一认证客户端,例如,工作人员可以通过以下指令来指定第一认证客户端:
sso.client.running_mode: proxying。
此外,工作人员也可以通过指令指定一个组件服务器中的认证客户端为第二认证客户端,例如工作人员可以通过以下指令来指定第二认证客户端:
sso.client.running_mode: proxied。
需要说明的是,系统中的用户终端100、组件服务器210、组件服务器220、组件服务器230以及认证服务器300均可适用上面所述的硬件结构。
在上述运行环境下,根据本实施例的第一个方面,提供了一种基于集中式认证服务的单点登录方法,该方法由图2中所示的认证服务器300实现。图6示出了该方法的流程示意图,参考图6所示,该方法包括:
S602:接收用户终端的浏览器发送的登录请求信息,其中登录请求信息是由用户终端的浏览器在访问第一认证客户端,并由第一认证客户端重定向至认证服务器时产生;
S604:对登录请求信息进行验证,并且在登录请求信息验证成功的情况下,生成与第一认证客户端对应的服务凭据,并将服务凭据发送至第一认证客户端;
S606:从第一认证客户端接收服务凭据并对服务凭据进行验证,并且在服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将代理凭据通过第一认证客户端发送至用户终端的浏览器;以及
S608:在用户终端的浏览器访问第二认证客户端时,从第二认证客户端接收代理凭据,并对代理凭据进行验证。
具体地,图7示出了根据本申请技术方案的基于集中式认证服务的单点登录方法的详细流程示意图。
参考图7所示的步骤S501~S503,当用户终端100的浏览器应用140通过浏览器150访问组件110~130对应的组件服务器210~230时,首先在步骤S501浏览器150访问组件服务器210的认证客户端211(即第一认证客户端)。在步骤S502,认证客户端211生成认证服务器的登录链接并发送至浏览器150,从而在步骤S503将浏览器150重定向至认证服务器300的登录页,向认证服务器300发送登录请求信息。从而认证服务器300接收浏览器150发送的登录请求信息(S602)。
然后,认证服务器300对登录请求信息进行验证,例如通过登录页接收用户输入的用户ID以及登录密钥,对登录请求信息进行验证。并且参考图7中的步骤S504~S505,在登录请求信息验证成功的情况下,认证服务器300生成与认证客户端211对应的服务凭据ST,并将服务凭据ST发送至认证客户端211(S604)。
然后,参考图7中的步骤S506~510,认证客户端211在接收到服务凭据ST之后将服务凭据ST发送至认证服务器300进行验证,从而认证服务器300对该服务凭据ST进行验证,并且在验证成功的情况下,生成与认证客户端221和231(即第二认证客户端)对应的代理凭据PT。例如与认证客户端221对应的代理凭据为PT-2,与认证客户端231对应的代理凭据PT为PT-3。然后认证服务器300将生成的代理凭据PT-2和PT-3发送至认证客户端211,并由认证客户端211将与认证客户端221和231对应的代理凭据PT-2和PT-3发送至浏览器150(S606)。
然后,参考图7中的步骤S511~513,当浏览器150访问认证客户端221时,将与认证客户端221对应的代理凭据PT-2发送至认证客户端221,然后认证客户端221将代理凭据PT-2发送至认证服务器300由认证服务器300进行验证。此外,参考图7中的步骤S514~S516,当浏览器150访问认证客户端231时,将与认证客户端231对应的代理凭据PT-3发送至认证客户端231,然后认证客户端231将代理凭据PT-3发送至认证服务器300由认证服务器300进行验证。其中,认证客户端221和认证客户端231均为第二认证客户端,从而在步骤S511~S516中,认证服务器300从各个第二认证客户端接收相应的代理凭据,并对代理凭据进行验证(S608)。
从而根据本申请的技术方案,将浏览器应用中与一个微服务组件对应的认证客户端指定为代理凭据生成器,其为本方案中的第一认证客户端,负责处理用户的初始登录验证,并生成认证凭据。一旦认证凭据被认证服务器验证成功,代理凭据生成器就可以为浏览器应用中其他的微服务组件对应的认证客户端,即第二认证客户端,接收由认证服务器生成的代理凭据,并将代理凭据发送至浏览器。从而,当浏览器访问第二认证客户端时,第二认证客户端可以使用相应的代理凭据来验证用户并获取用户信息,而不需要进行额外的浏览器跳转和验证。由此,用户只需要在访问第一认证客户端时进行一次页面跳转,即可访问与各个组件对应的认证客户端。每个第二认证客户端都有自己的代理凭据,因此可以通过自己的代理凭据在认证服务器进行验证,而不需要每次访问第二认证客户端时都进行页面跳转。综上,本发明在进行基于浏览器且包含微服务的应用开发中,巧妙的在基于B/S的应用架构下,采用了基于C/S的CAS单点登录机制,通过消除了额外的浏览器跳转和验证,从而避免了基于浏览器的应用在访问微服务时频繁刷新页面的问题,提高了用户体验。
可选地,在登录请求信息验证成功的情况下,方法还包括:生成与代理凭据对应的第一代理凭据参数和第二代理凭据参数,其中第一代理凭据参数用于获取代理凭据,第二代理凭据参数用于获取第一代理凭据参数;以及将第一代理凭据参数和第二代理凭据参数发送至第一认证客户端。
具体地,参见图7步骤S504,在认证服务器300对登录请求信息验证成功的情况下,在步骤S504将与认证客户端221和231(即第二认证客户端)对应的代理凭据参数PGTID(即第一代理凭据参数)和代理凭据参数PGTIOU(即第二代理凭据参数)发送至认证客户端221。其中PGTID用于获取代理凭据PT,而PGTIOU用于获取PGTID。从而认证客户端221在接收到PGTID和PGTIOU后,调用PGT Storage存储PGTID和PGTIOU。
可选地,在服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据的操作,包括:在服务凭据验证成功的情况下,将用户信息和第二代理凭据参数发送至第一认证客户端;从第一认证客户端接收用于获取代理凭据的代理凭据请求信息,其中代理凭据请求信息中包含所述第一代理凭据参数;以及根据第一代理凭据参数生成所述代理凭据。
具体地,参考图7所示,认证服务器300在步骤S506对认证客户端211(即第一认证客户端)的服务凭据ST进行验证成功后,在步骤S507将用户信息以及用于获取认证客户端221和231(即第二认证客户端)的代理凭据PT的代理凭据参数PGTIOU(即第二代理凭据参数)发送至认证客户端211(即第一认证客户端)。然后,在步骤S508,认证客户端211从根据PGTIOU以及用户信息获取与认证客户端221和231对应的PGTID(即第一代理凭据参数),并调用AttributePrinciple.getProxyTicketFor(pgtid)将PGTID发送至认证服务器300。从而认证服务器300从认证客户端211获取包含PGTID的代理凭据请求信息,并根据PGTID生成与认证客户端221和231对应的代理凭据。
根据本实施例的第二个方面,提供了一种基于CAS的单点登录方法,该方法由图2中所示的用户终端100实现。其中,图8示出了该方法的流程示意图,参考图8所示,该方法包括:
S802:通过浏览器向第一认证客户端发送登录请求信息,并根据从第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至认证服务器;
S804:在认证服务器验证登录请求信息之后,通过浏览器从第一认证客户端接收与第二认证客户端对应的代理凭据;以及
S806:通过浏览器基于代理凭据访问第二认证客户端。
具体地,参见图7所示,当用户终端100的浏览器应用140通过浏览器150访问组件110~130对应的组件服务器210~230时,首先在步骤S501浏览器150访问组件服务器210的认证客户端211(即第一认证客户端)。在步骤S502,认证客户端211生成认证服务器的登录链接并发送至浏览器150,从而在步骤S503将浏览器150重定向至认证服务器300的登录页,向认证服务器300发送登录请求信息(S802)。从而认证服务器300对该登录请求信息进行验证。
然后参考图7所示,在步骤S510,在认证服务器300将生成的代理凭据PT-2和PT-3发送至认证客户端211(即第一认证客户端)之后,认证客户端211将与认证客户端221和231(即第二认证客户端)对应的代理凭据PT-2和PT-3发送至浏览器150。从而浏览器150接收代理凭据PT-2和PT-3。
然后参考图7所示,在步骤S511和步骤S514,浏览器150基于代理凭据PT-2访问认证客户端221以及基于代理凭据PT-3访问认证客户端331。从而认证客户端221和认证客户端331可以将各自的代理凭据发送至认证服务器300进行认证,在这种情况下,不需要浏览器150进行页面跳转,从而避免了频繁出现刷新页面的情景。
此外,参考图3所示,根据本实施例的第三个方面,提供了一种存储介质。所述存储介质包括存储的程序,其中,在所述程序运行时由处理器执行以上任意一项所述的方法。
从而根据本实施例,将浏览器应用中与一个微服务组件对应的认证客户端指定为代理凭据生成器,其为本方案中的第一认证客户端,它负责处理用户的初始登录验证,并生成认证凭据。一旦认证凭据被认证服务器验证成功,代理凭据生成器就可以为浏览器应用中其他的微服务组件对应的认证客户端,即第二认证客户端,接收由认证服务器生成的代理凭据,并将代理凭据发送至浏览器。从而,当浏览器访问第二认证客户端时,第二认证客户端可以使用相应的代理凭据来验证用户并获取用户信息,而不需要进行额外的浏览器跳转和验证。由此,用户只需要在访问第一认证客户端时进行一次页面跳转,即可以访问多个不同的页面服务,每个第二认证客户端都有自己的代理凭据,因此可以通过自己的代理凭据在认证服务器进行验证,而不需要每次访问第二认证客户端时都进行页面跳转。综上,本发明在进行基于浏览器且包含微服务的应用开发中,巧妙的在基于B/S的应用架构下,采用了基于C/S的CAS单点登录机制,通过消除了额外的浏览器跳转和验证,从而避免了基于浏览器的应用在访问微服务时频繁刷新页面的问题,提高了用户体验。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
图9示出了根据本实施例的第一个方面所述的基于集中式认证服务的单点登录装置900,应用于认证服务器,该装置900与根据实施例1的第一个方面所述的方法相对应。参考图9所示,该装置900包括:登录请求信息接收模块910,用于接收用户终端的浏览器发送的登录请求信息,其中所述登录请求信息是由所述用户终端的浏览器在访问第一认证客户端,并由所述第一认证客户端重定向至所述认证服务器时产生;服务凭据生成模块920,用于对所述登录请求信息进行验证,并且在所述登录请求信息验证成功的情况下,生成与所述第一认证客户端对应的服务凭据,并将所述服务凭据发送至所述第一认证客户端;服务凭据验证模块930,用于从所述第一认证客户端接收所述服务凭据并对所述服务凭据进行验证,并且在所述服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将所述代理凭据通过所述第一认证客户端发送至所述用户终端的浏览器;以及代理凭据验证模块940,用于在所述用户终端的浏览器访问所述第二认证客户端时,从所述第二认证客户端接收所述代理凭据,并对所述代理凭据进行验证。
可选地,装置900还包括:代理凭据参数生成模块,用于在所述登录请求信息验证成功的情况下,生成与所述代理凭据对应的第一代理凭据参数和第二代理凭据参数,其中所述第一代理凭据参数用于获取所述代理凭据,所述第二代理凭据参数用于获取所述第一代理凭据参数;以及代理凭据参数发送模块,用于将所述第一代理凭据参数和所述第二代理凭据参数发送至所述第一认证客户端。
可选地,服务凭据生成模块920,包括:第二代理凭据参数发送子模块,用于在所述服务凭据验证成功的情况下,将所述第二代理凭据参数发送至所述第一认证客户端;代理凭据请求信息接收子模块,用于从所述第一认证客户端接收用于获取所述代理凭据的代理凭据请求信息,其中所述代理凭据请求信息中包含所述第一代理凭据参数;以及代理凭据生成子模块,用于根据所述第一代理凭据参数生成所述代理凭据。
此外,图10示出了根据本实施例的第二个方面所述的基于集中式认证服务的单点登录装置1000,该装置1000应用于用户终端,与根据实施例1的第二个方面所述的方法相对应。参考图10所示,该装置1000包括:登录请求信息发送模块1010,用于通过浏览器向第一认证客户端发送登录请求信息,并根据从所述第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至所述认证服务器;代理凭据接收模块1020,用于在所述认证服务器验证所述登录请求信息之后,通过所述浏览器从所述第一认证客户端接收与第二认证客户端对应的代理凭据;以及访问模块1030,用于通过所述浏览器基于所述代理凭据访问所述第二认证客户端。
从而根据本实施例,将浏览器应用中与一个微服务组件对应的认证客户端指定为代理凭据生成器,其为本方案中的第一认证客户端,它负责处理用户的初始登录验证,并生成认证凭据。一旦认证凭据被认证服务器验证成功,代理凭据生成器就可以为浏览器应用中其他的微服务组件对应的认证客户端,即第二认证客户端,接收由认证服务器生成的代理凭据,并将代理凭据发送至浏览器。从而,当浏览器访问第二认证客户端时,第二认证客户端可以使用相应的代理凭据来验证用户并获取用户信息,而不需要进行额外的浏览器跳转和验证。由此,用户只需要在访问第一认证客户端时进行一次页面跳转,即可以访问多个不同的页面服务,每个第二认证客户端都有自己的代理凭据,因此可以通过自己的代理凭据在认证服务器进行验证,而不需要每次访问第二认证客户端时都进行页面跳转。综上,本发明在进行基于浏览器且包含微服务的应用开发中,巧妙的在基于B/S的应用架构下,采用了基于C/S的CAS单点登录机制,通过消除了额外的浏览器跳转和验证,从而避免了基于浏览器的应用在访问微服务时频繁刷新页面的问题,提高了用户体验。
实施例3
图11示出了根据本实施例的第一个方面所述的基于集中式认证服务的单点登录装置1100,该装置1100应用于认证服务器,与根据实施例1的第一个方面所述的方法相对应。参考图11所示,该装置1100包括:第一处理器1110;以及第一存储器1120,与所述第一处理器连接,用于为所述第一处理器提供处理以下处理步骤的指令:接收用户终端的浏览器发送的登录请求信息,其中所述登录请求信息是由所述用户终端的浏览器在访问第一认证客户端,并由所述第一认证客户端重定向至所述认证服务器时产生;对所述登录请求信息进行验证,并且在所述登录请求信息验证成功的情况下,生成与所述第一认证客户端对应的服务凭据,并将所述服务凭据发送至所述第一认证客户端;从所述第一认证客户端接收所述服务凭据并对所述服务凭据进行验证,并且在所述服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将所述代理凭据通过所述第一认证客户端发送至所述用户终端的浏览器;以及在所述用户终端的浏览器访问所述第二认证客户端时,从所述第二认证客户端接收所述代理凭据,并对所述代理凭据进行验证。
可选地,在所述登录请求信息验证成功的情况下,第一存储器1120还用于为所述第一处理器1110提供处理以下处理步骤的指令:在所述登录请求信息验证成功的情况下,生成与所述代理凭据对应的第一代理凭据参数和第二代理凭据参数,其中所述第一代理凭据参数用于获取所述代理凭据,所述第二代理凭据参数用于获取所述第一代理凭据参数;以及将所述第一代理凭据参数和所述第二代理凭据参数发送至所述第一认证客户端。
可选地,在所述服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据的操作,包括:在所述服务凭据验证成功的情况下,将所述第二代理凭据参数发送至所述第一认证客户端;从所述第一认证客户端接收用于获取所述代理凭据的代理凭据请求信息,其中所述代理凭据请求信息中包含所述第一代理凭据参数;以及根据所述第一代理凭据参数生成所述代理凭据。
可选地,在所述服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据的操作,包括:在所述服务凭据验证成功的情况下,将所述第二代理凭据参数发送至所述第一认证客户端;从所述第一认证客户端接收用于获取所述代理凭据的代理凭据请求信息,其中所述代理凭据请求信息中包含所述第一代理凭据参数;以及根据所述第一代理凭据参数生成所述代理凭据。
此外,图12示出了根据本实施例的第二个方面所述的基于集中式认证服务的单点登录装置1200,该装置1200应用于用户终端,与根据实施例1的第二个方面所述的方法相对应。参考图12所示,该装置1200包括:第二处理器1210;以及第二存储器1220,与所述第二处理器连接,用于为所述第二处理器提供处理以下处理步骤的指令:通过浏览器向第一认证客户端发送登录请求信息,并根据从所述第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至所述认证服务器;在所述认证服务器验证所述登录请求信息之后,通过所述浏览器从所述第一认证客户端接收与第二认证客户端对应的代理凭据;以及通过所述浏览器基于所述代理凭据访问所述第二认证客户端。
从而根据本实施例,从而根据本实施例,将浏览器应用中与一个微服务组件对应的认证客户端指定为代理凭据生成器,其为本方案中的第一认证客户端,它负责处理用户的初始登录验证,并生成认证凭据。一旦认证凭据被认证服务器验证成功,代理凭据生成器就可以为浏览器应用中其他的微服务组件对应的认证客户端,即第二认证客户端,接收由认证服务器生成的代理凭据,并将代理凭据发送至浏览器。从而,当浏览器访问第二认证客户端时,第二认证客户端可以使用相应的代理凭据来验证用户并获取用户信息,而不需要进行额外的浏览器跳转和验证。由此,用户只需要在访问第一认证客户端时进行一次页面跳转,即可以访问多个不同的页面服务,每个第二认证客户端都有自己的代理凭据,因此可以通过自己的代理凭据在认证服务器进行验证,而不需要每次访问第二认证客户端时都进行页面跳转。综上,本发明在进行基于浏览器且包含微服务的应用开发中,巧妙的在基于B/S的应用架构下,采用了基于C/S的CAS单点登录机制,通过消除了额外的浏览器跳转和验证,从而避免了基于浏览器的应用在访问微服务时频繁刷新页面的问题,提高了用户体验。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于集中式认证服务的单点登录方法,应用于认证服务器,其特征在于,所述方法包括:
接收用户终端的浏览器发送的登录请求信息,其中所述登录请求信息是由所述用户终端的浏览器在访问第一认证客户端,并由所述第一认证客户端重定向至所述认证服务器时产生;
对所述登录请求信息进行验证,并且在所述登录请求信息验证成功的情况下,生成与所述第一认证客户端对应的服务凭据,并将所述服务凭据发送至所述第一认证客户端;
从所述第一认证客户端接收所述服务凭据并对所述服务凭据进行验证,并且在所述服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将所述代理凭据通过所述第一认证客户端发送至所述用户终端的浏览器;以及
在所述用户终端的浏览器访问所述第二认证客户端时,从所述第二认证客户端接收所述代理凭据,并对所述代理凭据进行验证。
2.根据权利要求1所述的方法,其特征在于,在所述登录请求信息验证成功的情况下,方法还包括:
生成与所述代理凭据对应的第一代理凭据参数和第二代理凭据参数,其中所述第一代理凭据参数用于获取所述代理凭据,所述第二代理凭据参数用于获取所述第一代理凭据参数;以及
将所述第一代理凭据参数和所述第二代理凭据参数发送至所述第一认证客户端。
3.根据权利要求2所述的方法,其特征在于,在所述服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据的操作,包括:
在所述服务凭据验证成功的情况下,将所述第二代理凭据参数发送至所述第一认证客户端;
从所述第一认证客户端接收用于获取所述代理凭据的代理凭据请求信息,其中所述代理凭据请求信息中包含所述第一代理凭据参数;以及
根据所述第一代理凭据参数生成所述代理凭据。
4.一种基于集中式认证服务的单点登录方法,应用于用户终端,其特征在于,包括:
通过浏览器向第一认证客户端发送登录请求信息,并根据从所述第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至所述认证服务器;
在所述认证服务器验证所述登录请求信息之后,通过所述浏览器从所述第一认证客户端接收与第二认证客户端对应的代理凭据;以及
通过所述浏览器基于所述代理凭据访问所述第二认证客户端。
5.一种基于集中式认证服务的单点登录装置,应用于认证服务器,其特征在于,所述装置包括:
登录请求信息接收模块,用于接收用户终端的浏览器发送的登录请求信息,其中所述登录请求信息是由所述用户终端的浏览器在访问第一认证客户端,并由所述第一认证客户端重定向至所述认证服务器时产生;
服务凭据生成模块,用于对所述登录请求信息进行验证,并且在所述登录请求信息验证成功的情况下,生成与所述第一认证客户端对应的服务凭据,并将所述服务凭据发送至所述第一认证客户端;
服务凭据验证模块,用于从所述第一认证客户端接收所述服务凭据并对所述服务凭据进行验证,并且在所述服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将所述代理凭据通过所述第一认证客户端发送至所述用户终端的浏览器;以及
代理凭据验证模块,用于在所述用户终端的浏览器访问所述第二认证客户端时,从所述第二认证客户端接收所述代理凭据,并对所述代理凭据进行验证。
6.根据权利要求5所述的装置,其特征在于,装置还包括:
代理凭据参数生成模块,用于在所述登录请求信息验证成功的情况下,生成与所述代理凭据对应的第一代理凭据参数和第二代理凭据参数,其中所述第一代理凭据参数用于获取所述代理凭据,所述第二代理凭据参数用于获取所述第一代理凭据参数;以及
代理凭据参数发送模块,用于将所述第一代理凭据参数和所述第二代理凭据参数发送至所述第一认证客户端。
7.根据权利要求6所述的装置,其特征在于,服务凭据生成模块,包括:
第二代理凭据参数发送子模块,用于在所述服务凭据验证成功的情况下,将所述第二代理凭据参数发送至所述第一认证客户端;
代理凭据请求信息接收子模块,用于从所述第一认证客户端接收用于获取所述代理凭据的代理凭据请求信息,其中所述代理凭据请求信息中包含所述第一代理凭据参数;以及
代理凭据生成子模块,用于根据所述第一代理凭据参数生成所述代理凭据。
8.一种基于集中式认证服务的单点登录装置,应用于用户终端,其特征在于,包括:
登录请求信息发送模块,用于通过浏览器向第一认证客户端发送登录请求信息,并根据从所述第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至所述认证服务器;
代理凭据接收模块,用于在所述认证服务器验证所述登录请求信息之后,通过所述浏览器从所述第一认证客户端接收与第二认证客户端对应的代理凭据;以及
访问模块,用于通过所述浏览器基于所述代理凭据访问所述第二认证客户端。
9.一种基于集中式认证服务的单点登录装置,应用于认证服务器,其特征在于,包括:
第一处理器;以及
第一存储器,与所述第一处理器连接,用于为所述第一处理器提供处理以下处理步骤的指令:
接收用户终端的浏览器发送的登录请求信息,其中所述登录请求信息是由所述用户终端的浏览器在访问第一认证客户端,并由所述第一认证客户端重定向至所述认证服务器时产生;
对所述登录请求信息进行验证,并且在所述登录请求信息验证成功的情况下,生成与所述第一认证客户端对应的服务凭据,并将所述服务凭据发送至所述第一认证客户端;
从所述第一认证客户端接收所述服务凭据并对所述服务凭据进行验证,并且在所述服务凭据验证成功的情况下,生成与第二认证客户端对应的代理凭据,并将所述代理凭据通过所述第一认证客户端发送至所述用户终端的浏览器;以及
在所述用户终端的浏览器访问所述第二认证客户端时,从所述第二认证客户端接收所述代理凭据,并对所述代理凭据进行验证。
10.一种基于集中式认证服务的单点登录装置,应用于用户终端,其特征在于,包括:
第二处理器;以及
第二存储器,与所述第二处理器连接,用于为所述第二处理器提供处理以下处理步骤的指令:
通过浏览器向第一认证客户端发送登录请求信息,并根据从所述第一认证客户端接收的认证服务器的登录链接,将登录请求信息发送至所述认证服务器;
在所述认证服务器验证所述登录请求信息之后,通过所述浏览器从所述第一认证客户端接收与第二认证客户端对应的代理凭据;以及
通过所述浏览器基于所述代理凭据访问所述第二认证客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311595939.2A CN117319087B (zh) | 2023-11-28 | 2023-11-28 | 基于集中式认证服务的单点登录方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311595939.2A CN117319087B (zh) | 2023-11-28 | 2023-11-28 | 基于集中式认证服务的单点登录方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117319087A true CN117319087A (zh) | 2023-12-29 |
| CN117319087B CN117319087B (zh) | 2024-02-27 |
Family
ID=89288685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311595939.2A Active CN117319087B (zh) | 2023-11-28 | 2023-11-28 | 基于集中式认证服务的单点登录方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117319087B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469075A (zh) * | 2010-11-09 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种基于web单点登录的集成认证方法 |
| US9286465B1 (en) * | 2012-12-31 | 2016-03-15 | Emc Corporation | Method and apparatus for federated single sign on using authentication broker |
| CN105592003A (zh) * | 2014-10-22 | 2016-05-18 | 北京拓尔思信息技术股份有限公司 | 一种基于通知的跨域单点登录方法及系统 |
| CN108111473A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 混合云统一管理方法、装置和系统 |
| CN108289101A (zh) * | 2018-01-25 | 2018-07-17 | 中企动力科技股份有限公司 | 信息处理方法及装置 |
| CN109815010A (zh) * | 2018-12-29 | 2019-05-28 | 深圳供电局有限公司 | 一种云平台统一身份认证方法及系统 |
| US20190207812A1 (en) * | 2016-11-24 | 2019-07-04 | Tencent Technology (Shenzhen) Company Limited | Hybrid cloud network configuration management |
| CN111786969A (zh) * | 2020-06-17 | 2020-10-16 | 朗新科技集团股份有限公司 | 单点登录方法、装置及系统 |
| CN112995219A (zh) * | 2021-05-06 | 2021-06-18 | 四川省明厚天信息技术股份有限公司 | 一种单点登录方法、装置、设备及存储介质 |
| KR20220096270A (ko) * | 2020-12-30 | 2022-07-07 | (주)이스톰 | 동적 토큰 생성 에이전트를 이용한 단말기 기반 싱글 사인 온 인증 방법 및 시스템 |
| CN114785590A (zh) * | 2022-04-21 | 2022-07-22 | 成都商汤科技有限公司 | 登录方法、装置、设备、存储介质 |
| CN116668190A (zh) * | 2023-07-21 | 2023-08-29 | 之江实验室 | 一种基于浏览器指纹的跨域单点登录方法及系统 |
-
2023
- 2023-11-28 CN CN202311595939.2A patent/CN117319087B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469075A (zh) * | 2010-11-09 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种基于web单点登录的集成认证方法 |
| US9286465B1 (en) * | 2012-12-31 | 2016-03-15 | Emc Corporation | Method and apparatus for federated single sign on using authentication broker |
| CN105592003A (zh) * | 2014-10-22 | 2016-05-18 | 北京拓尔思信息技术股份有限公司 | 一种基于通知的跨域单点登录方法及系统 |
| CN108111473A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 混合云统一管理方法、装置和系统 |
| US20190207812A1 (en) * | 2016-11-24 | 2019-07-04 | Tencent Technology (Shenzhen) Company Limited | Hybrid cloud network configuration management |
| CN108289101A (zh) * | 2018-01-25 | 2018-07-17 | 中企动力科技股份有限公司 | 信息处理方法及装置 |
| CN109815010A (zh) * | 2018-12-29 | 2019-05-28 | 深圳供电局有限公司 | 一种云平台统一身份认证方法及系统 |
| CN111786969A (zh) * | 2020-06-17 | 2020-10-16 | 朗新科技集团股份有限公司 | 单点登录方法、装置及系统 |
| KR20220096270A (ko) * | 2020-12-30 | 2022-07-07 | (주)이스톰 | 동적 토큰 생성 에이전트를 이용한 단말기 기반 싱글 사인 온 인증 방법 및 시스템 |
| CN112995219A (zh) * | 2021-05-06 | 2021-06-18 | 四川省明厚天信息技术股份有限公司 | 一种单点登录方法、装置、设备及存储介质 |
| CN114785590A (zh) * | 2022-04-21 | 2022-07-22 | 成都商汤科技有限公司 | 登录方法、装置、设备、存储介质 |
| CN116668190A (zh) * | 2023-07-21 | 2023-08-29 | 之江实验室 | 一种基于浏览器指纹的跨域单点登录方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117319087B (zh) | 2024-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10277409B2 (en) | Authenticating mobile applications using policy files | |
| CN108733991B (zh) | 网页应用访问方法及装置、存储介质 | |
| US9641513B2 (en) | Methods and systems for controlling mobile terminal access to a third-party server | |
| EP2307982B1 (en) | Method and service integration platform system for providing internet services | |
| US9548975B2 (en) | Authentication method, authentication system, and service delivery server | |
| EP3723341A1 (en) | Single sign-on for unmanaged mobile devices | |
| US8516239B2 (en) | Virtual authentication proxy server and terminal authentication server | |
| CN105556894A (zh) | 网络连接自动化 | |
| CN102017572A (zh) | 用于提供单一服务签入的方法、设备和计算机程序产品 | |
| CN112491776B (zh) | 安全认证方法及相关设备 | |
| CN108632291A (zh) | 一种第三方授权登录方法及系统 | |
| CN110278179A (zh) | 单点登录方法、装置和系统以及电子设备 | |
| CN105991518B (zh) | 网络接入认证方法及装置 | |
| CN113938886A (zh) | 身份认证平台测试方法、装置、设备及存储介质 | |
| CN109450890B (zh) | 单点登录的方法和装置 | |
| CN108259457A (zh) | 一种web认证方法及装置 | |
| CN107948210A (zh) | 一种登录方法、装置、客户端、服务器及介质 | |
| CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和系统 | |
| CN105959278B (zh) | 一种调用vpn的方法、设备和系统 | |
| CN109862047A (zh) | 登录服务器的方法、装置及存储介质 | |
| US9762535B2 (en) | Information processing apparatus, system, method and medium | |
| CN117319087B (zh) | 基于集中式认证服务的单点登录方法、装置及存储介质 | |
| CN105635059B (zh) | 一种wlan接入认证方法、相关设备及系统 | |
| CN115190483B (zh) | 一种访问网络的方法及装置 | |
| CN104734934B (zh) | 一种关注公众账号的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |