CN118233167A - 用户登录方法、装置、设备、介质和产品 - Google Patents

用户登录方法、装置、设备、介质和产品 Download PDF

Info

Publication number
CN118233167A
CN118233167A CN202410302119.8A CN202410302119A CN118233167A CN 118233167 A CN118233167 A CN 118233167A CN 202410302119 A CN202410302119 A CN 202410302119A CN 118233167 A CN118233167 A CN 118233167A
Authority
CN
China
Prior art keywords
identity authentication
authorization token
information system
user
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410302119.8A
Other languages
English (en)
Inventor
黄桂锋
王喆
黄志远
曾媛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202410302119.8A priority Critical patent/CN118233167A/zh
Publication of CN118233167A publication Critical patent/CN118233167A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本公开提供了一种用户登录方法,可以应用于信息安全技术领域。该用户登录方法应用于用户终端中,该方法包括:在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,所述第一信息系统的用户端包括第一浏览器或第一客户端;在所述第一信息系统的用户端取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台;以及在所述授权令牌验证成功的情况下,接收数字签名,或者接收会话凭证。本公开还提供了一种用户登录装置、设备、介质和产品。

Description

用户登录方法、装置、设备、介质和产品
技术领域
本公开涉及信息安全技术领域,具体地涉及一种用户登录方法、装置、设备、介质和产品。
背景技术
在企业内部,特别是大型的金融企业,由于业务开展、内部办公管理等相关工作的需要,基于不同的业务领域,员工用户通常需要通过办公电脑访问多个信息系统。通常情况下,企业对于内部的各信息系统实施单点登录方案,对于B/S架构的业务系统,可以实现用户在同一个浏览器会话中实现单点登录,降低用户密码认证操作频次,提升用户使用效率与用户体验。
随着企业内部信息系统种类以及使用场景复杂度增加,特别在C/S架构的业务系统使用方面,业务系统客户端无法使用原有单点登录,用户在使用各类客户端/浏览器时需要频繁进行密码认证操作。
发明内容
鉴于上述问题,本公开提供了提高用户登录便捷度和登录效率的用户登录方法、装置、设备、介质和产品。
根据本公开的第一个方面,提供了一种用户登录方法,所述方法应用于用户终端中,所述方法包括:在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,所述第一信息系统的用户端包括第一浏览器或第一客户端;在所述第一信息系统的用户端取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台;以及在所述授权令牌验证成功的情况下,接收数字签名,或者接收会话凭证。
根据本公开的实施例,所述在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,包括:由第一信息系统的用户端生成登录请求数据包;由第一信息系统的用户端将所述登录请求数据包传输至身份认证客户端,所述登录请求数据包包括系统标识;由身份认证客户端基于预存的认证令牌和来自第一信息系统的用户端的所述登录请求数据包,生成授权请求;由身份认证客户端将所述授权请求发送至身份认证平台;在所述身份认证平台认证成功的情况下,由身份认证客户端接收来自身份认证平台的授权令牌;以及由身份认证客户端将所述授权令牌发送至第一信息系统的用户端。
根据本公开的实施例,所述由第一信息系统的用户端将所述登录请求数据包传输至身份认证客户端,包括:由第一信息系统的用户端基于数字信封传输所述登录请求数据包。
根据本公开的实施例,所述在所述第一信息系统的用户端在取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台,包括:在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端将所述授权令牌直接发送至所述身份认证平台;或者在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端将所述授权令牌经由第一服务端,间接发送至所述身份认证平台。
根据本公开的实施例,所述在所述授权令牌验证成功的情况下,接收身份认证平台发放的数字签名,或者接收基于所述数字签名形成的会话凭证,包括:在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端直接接收身份认证平台发放的数字签名;或者在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端接收来自第一服务端的会话凭证,所述会话凭证是基于所述数字签名形成的。
本公开的第二个方面提供了一种用户登录方法,所述方法应用于服务器中,所述方法包括:在身份认证客户端完成登录的情况下,由身份认证平台通过身份认证客户端对第一信息系统的用户端发放授权令牌,所述第一信息系统的用户端包括第一客户端或第一浏览器;由身份认证平台验证来自第一信息系统的用户端的所述授权令牌;在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名;以及由身份认证平台下送所述数字签名。
根据本公开的实施例,所述在身份认证客户端完成登录的情况下,由身份认证平台通过身份认证客户端对第一信息系统的用户端发放授权令牌,包括:由身份认证平台接收来自身份认证客户端的授权请求;由身份认证平台解析所述授权请求,得到第一认证信息和系统标识,所述第一认证信息包括第一时间戳;由身份认证平台对所述第一认证信息和所述系统标识,分别执行第一校验规则和第二校验规则;由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,生成授权令牌;以及由身份认证平台经由身份认证客户端将所述授权令牌发放至第一信息系统的用户端。
根据本公开的实施例,所述由身份认证平台对所述第一认证信息和所述系统标识,分别执行第一校验规则和第二校验规则,包括:对于所述第一校验规则,由身份认证平台基于校验第一认证信息,与预存在所述身份认证平台中的来源信息是否一致,以及由身份认证平台校验所述第一认证信息校验用户状态是否为有效;以及对于所述第二校验规则,由身份认证平台校验所述系统标识是否为平台接入站。
根据本公开的实施例,所述由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,生成授权令牌,包括:由身份认证平台获取第二认证信息,所述第二认证信息包括第二时间戳;以及由身份认证平台加密所述第二认证信息和所述系统标识,得到所述授权令牌。
根据本公开的实施例,所述由身份认证平台验证来自第一信息系统的用户端的所述授权令牌,包括:由身份认证平台解密所述授权令牌,得到所述第二认证信息和所述系统标识;由身份认证平台对所述第二认证信息执行第一校验规则;以及由身份认证平台对所述系统标识执行第二校验规则。
根据本公开的实施例,所述在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名,包括:由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,获取第三认证信息,所述第三认证信息包括第三时间戳;基于所述第三认证信息和所述系统标识生成数字签名。
根据本公开的实施例,所述由身份认证平台下送所述数字签名,包括:在所述第一信息系统的用户端为第一浏览器的情况下,将所述数字签名下送至所述第一浏览器;或者在所述第一信息系统的用户端为第一客户端的情况下,将所述数字签名下送至第一服务端。
本公开的第三方面提供了一种用户登录装置,所述装置配置于用户终端中,所述装置包括:授权令牌获取模块,用于在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,所述第一信息系统的用户端包括第一浏览器或第一客户端;授权令牌登录模块,用于在所述第一信息系统的用户端取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台;以及登录成功模块,用于在所述授权令牌验证成功的情况下,接收数字签名,或者接收会话凭证。
根据本公开的实施例,授权令牌获取模块,包括:登录请求数据包生成子模块、登录请求数据包传输子模块、授权请求生成子模块、授权请求发送子模块、授权令牌接收子模块以及授权令牌转发子模块,所述登录请求数据包生成子模块,用于由第一信息系统的用户端生成登录请求数据包;所述登录请求数据包传输子模块,用于由第一信息系统的用户端将所述登录请求数据包传输至身份认证客户端,所述登录请求数据包包括系统标识;所述授权请求生成子模块,用于由身份认证客户端基于预存的认证令牌和来自第一信息系统的用户端的所述登录请求数据包,生成授权请求;所述授权请求发送子模块,用于由身份认证客户端将所述授权请求发送至身份认证平台;所述授权令牌接收子模块,用于在所述身份认证平台认证成功的情况下,由身份认证客户端接收来自身份认证平台的授权令牌;以及所述授权令牌转发子模块,用于由身份认证客户端将所述授权令牌发送至第一信息系统的用户端。
根据本公开的实施例,所述登录请求数据包传输子模块,包括:安全传输单元,用于由第一信息系统的用户端基于数字信封传输所述登录请求数据包。
根据本公开的实施例,所述授权令牌登录模块,用于在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端将所述授权令牌直接发送至所述身份认证平台;或者在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端将所述授权令牌经由第一服务端,间接发送至所述身份认证平台。
根据本公开的实施例,所述登录成功模块,用于在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端直接接收身份认证平台发放的数字签名;或者在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端接收来自第一服务端的会话凭证,所述会话凭证是基于所述数字签名形成的。
本公开的第四方面提供了一种用户登录装置,所述装置配置于服务器中,所述装置包括:授权令牌发放模块,用于在身份认证客户端完成登录的情况下,由身份认证平台通过身份认证客户端对第一信息系统的用户端发放授权令牌,所述第一信息系统的用户端包括第一客户端或第一浏览器;授权令牌验证模块,用于由身份认证平台验证来自第一信息系统的用户端的所述授权令牌;数字签名生成模块,用于在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名;以及数字签名下送模块,用于由身份认证平台下送所述数字签名。
根据本公开的实施例,所述授权令牌发送模块,包括:授权请求接收子模块、授权请求解析子模块、解析内容校验子模块、授权令牌生成子模块以及授权令牌下发子模块,所述授权请求接收子模块,用于由身份认证平台接收来自身份认证客户端的授权请求;所述授权请求解析子模块,用于由身份认证平台解析所述授权请求,得到第一认证信息和系统标识,所述第一认证信息包括第一时间戳;所述解析内容校验子模块,用于由身份认证平台对所述第一认证信息和所述系统标识,分别执行第一校验规则和第二校验规则;所述授权令牌生成子模块,用于由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,生成授权令牌;以及所述授权令牌下发子模块,用于由身份认证平台经由身份认证客户端将所述授权令牌发放至第一信息系统的用户端。
根据本公开的实施例,所述解析内容校验子模块,包括:第一校验单元和第二校验单元,所述第一校验单元,用于对于所述第一校验规则,由身份认证平台基于校验第一认证信息,与预存在所述身份认证平台中的来源信息是否一致,以及由身份认证平台校验所述第一认证信息校验用户状态是否为有效;以及所述第二校验单元,用于对于所述第二校验规则,由身份认证平台校验所述系统标识是否为平台接入站。
根据本公开的实施例,所述授权令牌生成子模块,包括:第二认证信息获取单元和授权令牌生成单元,所述第二认证信息获取单元,用于由身份认证平台获取第二认证信息,所述第二认证信息包括第二时间戳;以及所述授权令牌生成单元,用于由身份认证平台加密所述第二认证信息和所述系统标识,得到所述授权令牌。
根据本公开的实施例,所述授权令牌验证模块,包括:授权令牌解密单元和授权令牌校验单元,所述授权令牌解密单元,用于由身份认证平台解密所述授权令牌,得到所述第二认证信息和所述系统标识;所述授权令牌校验单元,用于由身份认证平台对所述第二认证信息执行第一校验规则;以及所述授权令牌校验单元,用于由身份认证平台对所述系统标识执行第二校验规则。
根据本公开的实施例,所述数字签名生成模块,包括:第三认证信息获取单元和数字签名生成单元,所述第三认证信息获取单元,用于由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,获取第三认证信息,所述第三认证信息包括第三时间戳;所述数字签名生成单元,用于基于所述第三认证信息和所述系统标识生成数字签名。
根据本公开的实施例,所述数字签名下送模块,包括:第一数字签名下送单元和第二数字签名下送单元,所述第一数字签名下送单元,用于在所述第一信息系统的用户端为第一浏览器的情况下,将所述数字签名下送至所述第一浏览器;或者所述第二数字签名下送单元,用于在所述第一信息系统的用户端为第一客户端的情况下,将所述数字签名下送至第一服务端。
本公开的第五方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述用户登录方法。
本公开的第六方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述用户登录方法。
本公开的第七方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述用户登录方法。
在本公开的实施例中,为了解决传统单点登录方案在跨浏览器、跨端使用场景的不足的技术问题。本公开的实施例通过设置身份认证客户端和身份认证平台,在身份认证客户端登录的情况下,可以通过浏览器/客户端的相关接口,通过身份认证客户端的已授权身份获取专属于浏览器/客户端的授权令牌,进而,再通过该授权令牌与身份认证平台交互,实现浏览器/客户端的登录操作。本公开的实施例可以至少实现以下有益效果:
1.弥补了传统单点登录方案在跨浏览器、跨端使用场景的不足,可实现用户终端全场景的单点登录;
2.可通过身份认证平台及其客户端的封装,降低信息系统的实现难度;
3.统一的授权流程实现跨浏览器、跨端的单点登录,也方便了用户行为监控、访问控制等安全策略的实施。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1A示意性示出了根据本公开实施例的用户登录方法的应用场景图;
图1B示意性示出了根据本公开实施例的用户登录方法整体架构图的流程图;
图2示意性示出了根据本公开实施例的用户登录方法的流程图;
图3示意性示出了根据本公开实施例的授权令牌请求方法的流程图;
图4示意性示出了根据本公开实施例的用户登录方法的流程图;
图5示意性示出了根据本公开实施例的授权令牌发放方法的流程图;
图6示意性示出了根据本公开实施例的授权令牌验证方法的流程图;
图7示意性示出了根据本公开实施例的在B/S架构下的用户登录方法的全流程图;
图8示意性示出了根据本公开实施例的在C/S架构下的用户登录方法的全流程图;
图9示意性示出了根据本公开实施例的用户登录装置的结构框图;
图10示意性示出了根据本公开实施例的用户登录装置的结构框图;以及
图11示意性示出了根据本公开实施例的适于实现用户登录方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
在对本公开的实施例进行详细揭示之前,对本公开的实施例中涉及的关键技术术语进行一一说明,如下所示:
B/S架构:即浏览器和服务器架构模式,是WEB兴起后的一种网络架构模式,WEB浏览器是客户端最主要的应用软件;这种模式统一了客户端,将系统功能实现的核心部分集中到服务器上,简化系统的开发、维护和使用。
C/S架构:即客户端-服务器架构模式,采用两层结构,服务器负责数据的管理,客户机负责完成与用户的交互任务。
数字信封:是公钥密码体系在实际中的一个应用,通过加密技术来保证只有规定的特定收信人才能阅读通信的内容。数字信封采用对称密码体制和公钥密码体制。可以保证数据传输的真实性和完整性。
令牌:即Token,是系统的临时密钥,具有随机性,难以被破译,相当于账户名和密码,用来决定是否允许这次请求和判断这次请求是属于哪个用户,可以访问网络和系统资源,令牌能够持续存在于系统中。
数字签名:是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息的真实性的一个有效证明。
会话:即Session,代表客户端与服务器的一次交互过程,该交互过程可以是连续的,也可以是非连续的。
现有技术中,存在仅针对浏览器的单点登录方法,或者存在仅针对客户端的单点登录方法,此种方法并不适用于C/S架构的业务系统和B/S架构的业务系统之间实现身份认证。
为了解决现有技术中存在的技术问题,本公开的实施例提供了一种用户登录方法,所述方法应用于用户终端中,所述方法包括:在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,所述第一信息系统的用户端包括第一浏览器或第一客户端;在所述第一信息系统的用户端取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台;以及在所述授权令牌验证成功的情况下,接收数字签名,或者接收会话凭证。
在本公开的实施例中,为了解决传统单点登录方案在跨浏览器、跨端使用场景的不足的技术问题。本公开的实施例通过设置身份认证客户端和身份认证平台,在身份认证客户端登录的情况下,可以通过浏览器/客户端的相关接口,通过身份认证客户端的已授权身份获取专属于浏览器/客户端的授权令牌,进而,再通过该授权令牌与身份认证平台交互,实现浏览器/客户端的登录操作。本公开的实施例可以至少实现以下有益效果:
1.弥补了传统单点登录方案在跨浏览器、跨端使用场景的不足,可实现用户终端全场景的单点登录;
2.可通过身份认证平台及其客户端的封装,降低信息系统的实现难度;
3.统一的授权流程实现跨浏览器、跨端的单点登录,也方便了用户行为监控、访问控制等安全策略的实施。
图1A示意性示出了根据本公开实施例的用户登录方法的应用场景图。
如图1A所示,根据该实施例的应用场景100可以包括终端设备101、102、103、网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的用户登录方法一般可以由服务器105执行。相应地,本公开实施例所提供的用户登录装置一般可以设置于服务器105中。本公开实施例所提供的用户登录方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的用户登录装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1A中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图1B示意性示出了根据本公开实施例的用户登录方法整体架构图的流程图。
如图1B所示,以企业内部网络为例,在本公开的实施例中,在用户终端设备处新增有身份认证客户端,该身份认证客户端可以作为用户终端设备中集中实现用户登录的客户端,身份认证客户端在服务器端对应有身份认证平台,通过身份认证客户端与身份认证平台交互即可实现身份认证客户端的认证与授权,且身份认证客户端为B/S架构和C/S架构系统提供授权登录接口,实现通用的单点登录机制。在身份认证客户端已取得合法身份的情况下,其他用户终端设备登陆信息系统时,无论是C/S架构还是B/S架构,都无需输入账号密码等校验信息,直接通过已经授权的身份认证客户端获取合法身份,以实现C/S架构或B/S架构自身信息系统的用户终端与服务器端的交互。
图2示意性示出了根据本公开实施例的用户登录方法的流程图。
如图2所示,该实施例的用户登录方法包括操作S210~操作S230,该用户登录方法可以由终端设备101、102、103执行。
在操作S210中,在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,所述第一信息系统的用户端包括第一浏览器或第一客户端。
一般,一个用户需要登录多个信息系统,这些信息系统可以是通过浏览器登录,也可以是通过客户端登录,那么,其中,第一信息系统是指某一信息系统,第一信息系统的用户端是指某一信息系统在用户设备处进行登录时的媒介,包括浏览器和客户端。
用户可以在身份认证客户端处通过校验用户身份的行为,实现身份认证客户端的身份认证与授权(即实现身份认证客户端的登录),那么,结合图1B所示,用户可以从浏览器或客户端处调用身份认证客户端接口,通过该接口传输一些校验信息(非账号密码类的校验信息),组合身份认证客户端的相关信息,取身份认证平台获取对应信息系统的授权令牌。其中,授权令牌与信息系统一一对应,授权令牌只能用于一个信息系统的登录,后续通过授权令牌可以直接做到信息系统的无感登录。
具体地,授权令牌的请求方式如下所示:
图3示意性示出了根据本公开实施例的授权令牌请求方法的流程图。
如图3所示,该实施例的授权令牌请求方法包括操作S310~操作S360,该操作S310~操作S360至少可以部分执行上述操作S210。
在操作S310中,由第一信息系统的用户端生成登录请求数据包。
在操作S320中,由第一信息系统的用户端将所述登录请求数据包传输至身份认证客户端,所述登录请求数据包包括系统标识。
其中,登录请求数据包包含第一信息系统的用户端的校验数据,在本公开的实施例中,请求数据包中至少包括第一信息系统的系统标识。
根据本公开的实施例,所述由第一信息系统的用户端将所述登录请求数据包传输至身份认证客户端,包括:由第一信息系统的用户端基于数字信封传输所述登录请求数据包。
其中,通过数字信封的传输登录请求数据,更加安全。
在操作S330中,由身份认证客户端基于预存的认证令牌和来自第一信息系统的用户端的所述登录请求数据包,生成授权请求。
其中,认证令牌是对应“身份认证客户端-身份认证平台”的认证令牌,在身份认证客户端完成登录时便由身份认证平台生成并下送至身份认证客户端。
在操作S340中,由身份认证客户端将所述授权请求发送至身份认证平台。
身份认证客户端将授权请求发送至身份认证平台,以由身份认证平台对其进行认证,并在认证成功的情况下,由身份认证平台下送授权令牌。
在操作S350中,在所述身份认证平台认证成功的情况下,由身份认证客户端接收来自身份认证平台的授权令牌。
在操作S360中,由身份认证客户端将所述授权令牌发送至第一信息系统的用户端。
具体地,身份认证客户端承接来自身份认证平台的授权令牌,并转发该授权令牌至第一信息系统的用户端。
在操作S220中,在所述第一信息系统的用户端取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台。
具体地,第一用户的用户端通过该授权令牌去身份认证平台进行认证,其中,授权令牌的认证过程不需要身份认证客户端进行转发。
根据本公开的实施例,所述在所述第一信息系统的用户端在取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台,包括:在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端将所述授权令牌直接发送至所述身份认证平台;或者在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端将所述授权令牌经由第一服务端,间接发送至所述身份认证平台。
具体地,在B/S架构下,浏览器将授权令牌直接发送至身份认证平台,由身份认证平台对其进行校验;在C/S架构下,客户端将授权令牌先发送至该系统对应的服务端中,并再由该服务端将授权令牌转发至身份认证平台中认证。
在操作S230中,在所述授权令牌验证成功的情况下,接收数字签名,或者接收会话凭证。
根据本公开的实施例,所述在所述授权令牌验证成功的情况下,接收身份认证平台发放的数字签名,或者接收基于所述数字签名形成的会话凭证,包括:在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端直接接收身份认证平台发放的数字签名;或者在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端接收来自第一服务端的会话凭证,所述会话凭证是基于所述数字签名形成的。
具体地,在B/S架构下,浏览器直接接收来自身份认证平台发放的数字签名;在C/S架构下,服务端接收来自身份认证平台发放的数字签名,服务端再基于该数字签名形成会话并交由客户端。
在本公开的实施例中,为了解决传统单点登录方案在跨浏览器、跨端使用场景的不足的技术问题。本公开的实施例通过设置身份认证客户端和身份认证平台,在身份认证客户端登录的情况下,可以通过浏览器/客户端的相关接口,通过身份认证客户端的已授权身份获取专属于浏览器/客户端的授权令牌,进而,再通过该授权令牌与身份认证平台交互,实现浏览器/客户端的登录操作。本公开的实施例可以至少实现以下有益效果:
1.弥补了传统单点登录方案在跨浏览器、跨端使用场景的不足,可实现用户终端全场景的单点登录;
2.可通过身份认证平台及其客户端的封装,降低信息系统的实现难度;
3.统一的授权流程实现跨浏览器、跨端的单点登录,也方便了用户行为监控、访问控制等安全策略的实施。
以下,将在服务器的角度下,对本公开的实施例的用户登录方法进行详细揭示,如下所示:
图4示意性示出了根据本公开实施例的用户登录方法的流程图。
如图4所示,该实施例的用户登录方法包括操作S410~操作S440,该用户登录方法可以由服务器105执行。
在操作S4 1.0中,在身份认证客户端完成登录的情况下,由身份认证平台通过身份认证客户端对第一信息系统的用户端发放授权令牌,所述第一信息系统的用户端包括第一客户端或第一浏览器。
具体地,在身份认证客户端完成登录且第一信息系统的用户端请求发放授权令牌的情况下,身份认证平台发放授权令牌。
图5示意性示出了根据本公开实施例的授权令牌发放方法的流程图。
如图5所示,该实施例的授权令牌发放方法包括操作S510~操作S550,该操作S510~操作S550至少可以部分执行上述操作S410。
在操作S510中,由身份认证平台接收来自身份认证客户端的授权请求。
在操作S520中,由身份认证平台解析所述授权请求,得到第一认证信息和系统标识,所述第一认证信息包括第一时间戳。
具体地,解析后的授权请求包括:用户登录后获取的认证令牌(即加密信息文本)、授权系统标识(平台授予的唯一标识)、当前设备指纹以及事件编号等信息。
在对认证令牌进行解密(可以采用国密算法加解密,例如,SM4算法)后得到第一认证信息:用户账号信息、该令牌产生的登录时间戳(即上述第一时间戳)以及登录设备编号等。
在操作S530中,由身份认证平台对所述第一认证信息和所述系统标识,分别执行第一校验规则和第二校验规则。
其中,第一校验规则是针对第一认证信息的校验规则,第二校验规则是针对系统标识的校验规则。
根据本公开的实施例,所述由身份认证平台对所述第一认证信息和所述系统标识,分别执行第一校验规则和第二校验规则,包括:对于所述第一校验规则,由身份认证平台基于校验第一认证信息,与预存在所述身份认证平台中的来源信息是否一致,以及由身份认证平台校验所述第一认证信息校验用户状态是否为有效;以及对于所述第二校验规则,由身份认证平台校验所述系统标识是否为平台接入站。
其中,上述由身份认证平台基于校验第一认证信息,与预存在所述身份认证平台中的来源信息是否一致,具体包括:判断用户账号信息、该认证令牌产生的登录时间戳(即上述第一时间戳)以及登录设备编号等信息于身份认证平台方预存的数据是否一致,以确保来源的有效性。
其中,上述由身份认证平台校验所述第一认证信息校验用户状态是否为有效,具体包括:通过该令牌产生的登录时间戳判断身份认证客户端的身份是否仍然处于有效期、通过后台存储的当前用户状态、用户密码修改时间等影响用户登录的数据判断令牌的有效性。
其中,上述由身份认证平台校验所述系统标识是否为平台接入站,具体包括:判断系统标识对应的信息系统是否为可以以此方式实现登录的信息系统,同时,还可以校验所述系统标识是否满足业务上预设的授权策略。
在操作S540中,由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,生成授权令牌。
根据本公开的实施例,所述由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,生成授权令牌,包括:由身份认证平台获取第二认证信息,所述第二认证信息包括第二时间戳;以及由身份认证平台加密所述第二认证信息和所述系统标识,得到所述授权令牌。
其中,第二认证信息中除了第二时间戳外,与第一认证信息基本一致,第二认证信息包括:用户账号信息、该授权令牌产生的登录时间戳(即上述第二时间戳)以及登录设备编号等。
其中,加密的过程可以采用任意的加密算法,例如,可以采用国密文算法SM4进行加密。
在操作S550中,由身份认证平台经由身份认证客户端将所述授权令牌发放至第一信息系统的用户端。
具体地,将授权令牌经由身份认证客户端转发至浏览器处或客户端处,以完成针对第一信息系统的用户端的授权令牌的发放。
在操作S420中,由身份认证平台验证来自第一信息系统的用户端的所述授权令牌。
图6示意性示出了根据本公开实施例的授权令牌验证方法的流程图。
如图6所示,该实施例的授权令牌验证方法包括操作S610~操作S630,该操作S610~操作S630至少可以部分执行上述操作S420。
在操作S610中,由身份认证平台解密所述授权令牌,得到所述第二认证信息和所述系统标识。
在操作S620中,由身份认证平台对所述第二认证信息执行第一校验规则。
在操作S630中,由身份认证平台对所述系统标识执行第二校验规则。
同样地,对于授权令牌的验证过程与认证令牌的验证过程一致,在此不再赘述。
在操作S430中,在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名。
根据本公开的实施例,所述在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名,包括:由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,获取第三认证信息,所述第三认证信息包括第三时间戳;基于所述第三认证信息和所述系统标识生成数字签名。
其中,第三认证信息中除了第三时间戳外,与第一认证信息和第二认证信息基本一致,第三认证信息包括:用户账号信息、该当前登录的时间戳(即上述第三时间戳)以及登录设备编号等。
在操作S440中,由身份认证平台下送所述数字签名。
根据本公开的实施例,所述由身份认证平台下送所述数字签名,包括:在所述第一信息系统的用户端为第一浏览器的情况下,将所述数字签名下送至所述第一浏览器;或者在所述第一信息系统的用户端为第一客户端的情况下,将所述数字签名下送至第一服务端。
具体地,在B/S架构下,身份认证平台将数字签名发送至浏览器,以完成此次登录;在C/S架构下,身份认证平台将数字签名发送至该系统对应的服务端中,再由该服务端形成会话凭证,返回第一客户端中。
在本公开的实施例中,为了解决传统单点登录方案在跨浏览器、跨端使用场景的不足的技术问题。本公开的实施例通过设置身份认证客户端和身份认证平台,在身份认证客户端登录的情况下,可以通过浏览器/客户端的相关接口,通过身份认证客户端的已授权身份获取专属于浏览器/客户端的授权令牌,进而,再通过该授权令牌与身份认证平台交互,实现浏览器/客户端的登录操作。本公开的实施例可以至少实现以下有益效果:
1.弥补了传统单点登录方案在跨浏览器、跨端使用场景的不足,可实现用户终端全场景的单点登录;
2.可通过身份认证平台及其客户端的封装,降低信息系统的实现难度;
3.统一的授权流程实现跨浏览器、跨端的单点登录,也方便了用户行为监控、访问控制等安全策略的实施。
图7示意性示出了根据本公开实施例的在B/S架构下的用户登录方法的全流程图。
如图7所示,B/S架构信息系统的授权流程。用户在已经登录身份认证客户端的情况下,通过浏览器访问B/S架构的信息系统。在B/S架构下的用户登录方法存在以下操作,如下所示:
在步骤1中,用户在身份认证客户端完成登录后,通过浏览器访问信息系统A。
在步骤2中,信息系统A通过身份认证客户端提供的本地接口,发起用户登录的授权请求。请求数据包通过数字信封的方式进行传输,保障传输的机密性与完整性。
在步骤3中,身份认证客户端向身份认证平台(服务端)请求授权,请求数据包括用户登录后获取的认证令牌(加密信息文本)、授权系统标识(平台授予的唯一标识)、当前设备指纹、事件编号等信息。
在步骤4中,身份认证平台对认证令牌进行校验。认证令牌为SM4算法加密过的信息,SM4算法的密钥仅由平台持有。令牌中包含了用户账号信息、该令牌产生的登录时间戳、登录设备编号等。平台需要对授权请求中的上送信息进行校验,确保认证令牌与授权请求的来源的一致性。
在步骤5中,身份认证平台对用户状态进行检查。平台需要将当前用户状态、用户密码修改时间等影响用户登录的关键数据进行检查,确保用于请求授权的认证令牌的有效性。
在步骤6中,身份认证平台生产给信息系统A的授权令牌。平台需要对上送的信息系统A系统标识进行校验,校验其是否为平台接入站,校验是否满足授权策略。授权令牌为SM4算法加密过的信息,其中包含了用户账号信息、该令牌时间戳、登录设备编号、授权系统标识、事件编号等信息。
在步骤7中,身份认证平台返回授权令牌到身份认证客户端。
在步骤8中,身份认证客户端通过响应浏览器请求,返回授权令牌给信息系统A。
在步骤9中,信息系统A服务端通过身份认证平台服务接口请求授权令牌验证。
在步骤10中,身份认证平台校验给信息系统A的授权令牌。平台需要对上送的信息系统A授权令牌进行校验,校验其中的授权。
在步骤11中,身份认证平台对用户状态进行检查。平台需要将当前用户状态、用户密码修改时间等影响用户登录的关键数据进行检查,确保用于请求授权的认证令牌的有效性。
在步骤12中,身份认证平台生产给信息系统A的数字签名。数字签名为SM4算法加密过的信息,其中包含了简要的用户信息、登录时间戳、事件编号等信息。
在步骤13中,身份认证平台返回数字签名给信息系统A。
在步骤14中,信息系统A完成数字签名的验证后,即完成登录验证,为用户返回系统首页。
图8示意性示出了根据本公开实施例的在C/S架构下的用户登录方法的全流程图。
如图8所示,C/S架构信息系统的授权流程。用户在已经登录身份认证客户端的情况下,登录C/S架构信息系统客户端。在C/S架构下的用户登录方法存在以下操作,如下所示:
在步骤1中,用户在身份认证客户端完成登录后,登录C/S架构信息系统客户端。
在步骤2中,信息系统A通过身份认证客户端提供的本地接口,发起用户登录的授权请求。请求数据包通过数字信封的方式进行传输,保障传输的机密性与完整性。
在步骤3中,身份认证客户端向身份认证平台(服务端)请求授权,请求数据包括用户登录后获取的认证令牌(加密信息文本)、授权系统标识(平台授予的唯一标识)、当前设备指纹、事件编号等信息。
在步骤4中,身份认证平台对认证令牌进行校验。认证令牌为SM4算法加密过的信息,其中包含了用户账号信息、该令牌产生的登录时间戳、登录设备编号等。平台需要对授权请求中的上送信息进行校验,确保认证令牌与授权请求的来源的一致性。
在步骤5中,身份认证平台对用户状态进行检查。平台需要将当前用户状态、用户密码修改时间等影响用户登录的关键数据进行检查,确保用于请求授权的认证令牌的有效性。
在步骤6中,身份认证平台生产给信息系统A的授权令牌。平台需要对上送的信息系统A系统标识进行校验,校验其是否为平台接入站,校验是否满足授权策略。授权令牌为SM4算法加密过的信息,其中包含了用户账号信息、该令牌时间戳、登录设备编号、授权系统标识、事件编号等信息。
在步骤7中,身份认证平台返回授权令牌到身份认证客户端。
在步骤8中,身份认证客户端通过响应信息系统客户端请求,返回授权令牌给信息系统A。
在步骤9中,信息系统客户端将授权令牌已经本地设备信息上送至信息系统A服务端,请求验证授权令牌验证。
在步骤10中,信息系统A服务端通过身份认证平台服务接口请求授权令牌验证。
在步骤11中,身份认证平台校验给信息系统A的授权令牌。平台需要对上送的信息系统A授权令牌进行校验,校验其中的授权。
在步骤12中,身份认证平台对用户状态进行检查。平台需要将当前用户状态、用户密码修改时间等影响用户登录的关键数据进行检查,确保用于请求授权的认证令牌的有效性。
在步骤13中,身份认证平台生产给信息系统A的数字签名。数字签名为SM4算法加密过的信息,其中包含了简要的用户信息、登录时间戳、事件编号等信息。
在步骤14中,身份认证平台返回数字签名给信息系统A。
在步骤15中,信息系统A完成数字签名的验证后,即完成登录验证,为信息系统客户端返回会话凭证。
在步骤16中,信息系统A客户端完成登录操作,进入功能主界面。
基于上述用户登录方法,本公开还提供了一种用户登录装置,该用户登录装置分别设置于终端设备101、102、103和服务器105中。以下将结合图9和图10对该装置进行详细描述。
图9示意性示出了根据本公开实施例的用户登录装置的结构框图。
如图9所示,该实施例的用户登录装置900包括授权令牌获取模块910、授权令牌登录模块920和登录成功模块930。用户登录装置900设置于终端设备101、102、103中。
授权令牌获取模块910用于在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,所述第一信息系统的用户端包括第一浏览器或第一客户端。在一实施例中,授权令牌获取模块910可以用于执行前文描述的操作S210,在此不再赘述。
授权令牌登录模块920用于在所述第一信息系统的用户端取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台。在一实施例中,授权令牌登录模块920可以用于执行前文描述的操作S220,在此不再赘述。
登录成功模块930用于在所述授权令牌验证成功的情况下,接收数字签名,或者接收会话凭证。在一实施例中,登录成功模块930可以用于执行前文描述的操作S230,在此不再赘述。
在本公开的实施例中,为了解决传统单点登录方案在跨浏览器、跨端使用场景的不足的技术问题。本公开的实施例通过设置身份认证客户端和身份认证平台,在身份认证客户端登录的情况下,可以通过浏览器/客户端的相关接口,通过身份认证客户端的已授权身份获取专属于浏览器/客户端的授权令牌,进而,再通过该授权令牌与身份认证平台交互,实现浏览器/客户端的登录操作。本公开的实施例可以至少实现以下有益效果:
1.弥补了传统单点登录方案在跨浏览器、跨端使用场景的不足,可实现用户终端全场景的单点登录;
2.可通过身份认证平台及其客户端的封装,降低信息系统的实现难度;
3.统一的授权流程实现跨浏览器、跨端的单点登录,也方便了用户行为监控、访问控制等安全策略的实施。
根据本公开的实施例,授权令牌获取模块,包括:登录请求数据包生成子模块、登录请求数据包传输子模块、授权请求生成子模块、授权请求发送子模块、授权令牌接收子模块以及授权令牌转发子模块,所述登录请求数据包生成子模块,用于由第一信息系统的用户端生成登录请求数据包;所述登录请求数据包传输子模块,用于由第一信息系统的用户端将所述登录请求数据包传输至身份认证客户端,所述登录请求数据包包括系统标识;所述授权请求生成子模块,用于由身份认证客户端基于预存的认证令牌和来自第一信息系统的用户端的所述登录请求数据包,生成授权请求;所述授权请求发送子模块,用于由身份认证客户端将所述授权请求发送至身份认证平台;所述授权令牌接收子模块,用于在所述身份认证平台认证成功的情况下,由身份认证客户端接收来自身份认证平台的授权令牌;以及所述授权令牌转发子模块,用于由身份认证客户端将所述授权令牌发送至第一信息系统的用户端。
根据本公开的实施例,所述登录请求数据包传输子模块,包括:安全传输单元,用于由第一信息系统的用户端基于数字信封传输所述登录请求数据包。
根据本公开的实施例,所述授权令牌登录模块,用于在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端将所述授权令牌直接发送至所述身份认证平台;或者在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端将所述授权令牌经由第一服务端,间接发送至所述身份认证平台。
根据本公开的实施例,所述登录成功模块,用于在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端直接接收身份认证平台发放的数字签名;或者在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端接收来自第一服务端的会话凭证,所述会话凭证是基于所述数字签名形成的。
根据本公开的实施例,授权令牌获取模块910、授权令牌登录模块920和登录成功模块930中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,授权令牌获取模块910、授权令牌登录模块920和登录成功模块930中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,授权令牌获取模块910、授权令牌登录模块920和登录成功模块930中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图10示意性示出了根据本公开实施例的用户登录装置的结构框图。
如图10所示,该实施例的用户登录装置1000包括授权令牌发放模块1010、授权令牌验证模块1020、数字签名生成模块1030和数字签名下送模块1040。该用户登录装置1000设置于服务器105中。
授权令牌发放模块1010用于在身份认证客户端完成登录的情况下,由身份认证平台通过身份认证客户端对第一信息系统的用户端发放授权令牌,所述第一信息系统的用户端包括第一客户端或第一浏览器。在一实施例中,授权令牌发放模块1010可以用于执行前文描述的操作S410,在此不再赘述。
授权令牌验证模块1020用于由身份认证平台验证来自第一信息系统的用户端的所述授权令牌。在一实施例中,授权令牌验证模块1020可以用于执行前文描述的操作S420,在此不再赘述。
数字签名生成模块1030用于在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名。在一实施例中,数字签名生成模块1030可以用于执行前文描述的操作S430,在此不再赘述。
数字签名下送模块1040用于由身份认证平台下送所述数字签名。在一实施例中,数字签名下送模块1040可以用于执行前文描述的操作S440,在此不再赘述。
在本公开的实施例中,为了解决传统单点登录方案在跨浏览器、跨端使用场景的不足的技术问题。本公开的实施例通过设置身份认证客户端和身份认证平台,在身份认证客户端登录的情况下,可以通过浏览器/客户端的相关接口,通过身份认证客户端的已授权身份获取专属于浏览器/客户端的授权令牌,进而,再通过该授权令牌与身份认证平台交互,实现浏览器/客户端的登录操作。本公开的实施例可以至少实现以下有益效果:
1.弥补了传统单点登录方案在跨浏览器、跨端使用场景的不足,可实现用户终端全场景的单点登录;
2.可通过身份认证平台及其客户端的封装,降低信息系统的实现难度;
3.统一的授权流程实现跨浏览器、跨端的单点登录,也方便了用户行为监控、访问控制等安全策略的实施。
根据本公开的实施例,所述授权令牌发送模块,包括:授权请求接收子模块、授权请求解析子模块、解析内容校验子模块、授权令牌生成子模块以及授权令牌下发子模块,所述授权请求接收子模块,用于由身份认证平台接收来自身份认证客户端的授权请求;所述授权请求解析子模块,用于由身份认证平台解析所述授权请求,得到第一认证信息和系统标识,所述第一认证信息包括第一时间戳;所述解析内容校验子模块,用于由身份认证平台对所述第一认证信息和所述系统标识,分别执行第一校验规则和第二校验规则;所述授权令牌生成子模块,用于由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,生成授权令牌;以及所述授权令牌下发子模块,用于由身份认证平台经由身份认证客户端将所述授权令牌发放至第一信息系统的用户端。
根据本公开的实施例,所述解析内容校验子模块,包括:第一校验单元和第二校验单元,所述第一校验单元,用于对于所述第一校验规则,由身份认证平台基于校验第一认证信息,与预存在所述身份认证平台中的来源信息是否一致,以及由身份认证平台校验所述第一认证信息校验用户状态是否为有效;以及所述第二校验单元,用于对于所述第二校验规则,由身份认证平台校验所述系统标识是否为平台接入站。
根据本公开的实施例,所述授权令牌生成子模块,包括:第二认证信息获取单元和授权令牌生成单元,所述第二认证信息获取单元,用于由身份认证平台获取第二认证信息,所述第二认证信息包括第二时间戳;以及所述授权令牌生成单元,用于由身份认证平台加密所述第二认证信息和所述系统标识,得到所述授权令牌。
根据本公开的实施例,所述授权令牌验证模块,包括:授权令牌解密单元和授权令牌校验单元,所述授权令牌解密单元,用于由身份认证平台解密所述授权令牌,得到所述第二认证信息和所述系统标识;所述授权令牌校验单元,用于由身份认证平台对所述第二认证信息执行第一校验规则;以及所述授权令牌校验单元,用于由身份认证平台对所述系统标识执行第二校验规则。
根据本公开的实施例,所述数字签名生成模块,包括:第三认证信息获取单元和数字签名生成单元,所述第三认证信息获取单元,用于由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,获取第三认证信息,所述第三认证信息包括第三时间戳;所述数字签名生成单元,用于基于所述第三认证信息和所述系统标识生成数字签名。
根据本公开的实施例,所述数字签名下送模块,包括:第一数字签名下送单元和第二数字签名下送单元,所述第一数字签名下送单元,用于在所述第一信息系统的用户端为第一浏览器的情况下,将所述数字签名下送至所述第一浏览器;或者所述第二数字签名下送单元,用于在所述第一信息系统的用户端为第一客户端的情况下,将所述数字签名下送至第一服务端。
根据本公开的实施例,授权令牌发放模块1010、授权令牌验证模块1020、数字签名生成模块1030和数字签名下送模块1040中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,授权令牌发放模块1010、授权令牌验证模块1020、数字签名生成模块1030和数字签名下送模块1040中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,授权令牌发放模块1010、授权令牌验证模块1020、数字签名生成模块1030和数字签名下送模块1040中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图11示意性示出了根据本公开实施例的适于实现用户登录方法的电子设备的方框图。
如图11所示,根据本公开实施例的电子设备1100包括处理器1101,其可以根据存储在只读存储器(ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(RAM)1103中的程序而执行各种适当的动作和处理。处理器1101例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器1101还可以包括用于缓存用途的板载存储器。处理器1101可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1103中,存储有电子设备1100操作所需的各种程序和数据。处理器1101、ROM 1102以及RAM 1103通过总线1104彼此相连。处理器1101通过执行ROM 1102和/或RAM1103中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1102和RAM 1103以外的一个或多个存储器中。处理器1101也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1100还可以包括输入/输出(I/O)接口1105,输入/输出(I/O)接口1105也连接至总线1104。电子设备1100还可以包括连接至I/O接口1105的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1106;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1107;包括硬盘等的存储部分1108;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1110上,以便于从其上读出的计算机程序根据需要被安装入存储部分1108。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可渎存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只渎存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只渎存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1102和/或RAM 1103和/或ROM 1102和RAM 1103以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的物品推荐方法。
在该计算机程序被处理器1101执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分1109被下载和安装,和/或从可拆卸介质1111被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分1109从网络上被下载和安装,和/或从可拆卸介质1111被安装。在该计算机程序被处理器1101执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (17)

1.一种用户登录方法,其特征在于,所述方法应用于用户终端中,
所述方法包括:
在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,所述第一信息系统的用户端包括第一浏览器或第一客户端;
在所述第一信息系统的用户端取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台;以及
在所述授权令牌验证成功的情况下,接收数字签名,或者接收会话凭证。
2.根据权利要求1所述的方法,其特征在于,所述在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,包括:
由第一信息系统的用户端生成登录请求数据包;
由第一信息系统的用户端将所述登录请求数据包传输至身份认证客户端,所述登录请求数据包包括系统标识;
由身份认证客户端基于预存的认证令牌和来自第一信息系统的用户端的所述登录请求数据包,生成授权请求;
由身份认证客户端将所述授权请求发送至身份认证平台;
在所述身份认证平台认证成功的情况下,由身份认证客户端接收来自身份认证平台的授权令牌;以及
由身份认证客户端将所述授权令牌发送至第一信息系统的用户端。
3.根据权利要求2所述的方法,其特征在于,所述由第一信息系统的用户端将所述登录请求数据包传输至身份认证客户端,包括:
由第一信息系统的用户端基于数字信封传输所述登录请求数据包。
4.根据权利要求2或3所述的方法,其特征在于,所述在所述第一信息系统的用户端在取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台,包括:
在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端将所述授权令牌直接发送至所述身份认证平台;或者
在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端将所述授权令牌经由第一服务端,间接发送至所述身份认证平台。
5.根据权利要求4所述的方法,其特征在于,所述在所述授权令牌验证成功的情况下,接收身份认证平台发放的数字签名,或者接收基于所述数字签名形成的会话凭证,包括:
在所述第一信息系统的用户端为第一浏览器的情况下,由第一信息系统的用户端直接接收身份认证平台发放的数字签名;或者
在所述第一信息系统的用户端为第一客户端的情况下,由第一信息系统的用户端接收来自第一服务端的会话凭证,所述会话凭证是基于所述数字签名形成的。
6.一种用户登录方法,其特征在于,所述方法应用于服务器中,
所述方法包括:
在身份认证客户端完成登录的情况下,由身份认证平台通过身份认证客户端对第一信息系统的用户端发放授权令牌,所述第一信息系统的用户端包括第一客户端或第一浏览器;
由身份认证平台验证来自第一信息系统的用户端的所述授权令牌;
在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名;以及
由身份认证平台下送所述数字签名。
7.根据权利要求6所述的方法,其特征在于,所述在身份认证客户端完成登录的情况下,由身份认证平台通过身份认证客户端对第一信息系统的用户端发放授权令牌,包括:
由身份认证平台接收来自身份认证客户端的授权请求;
由身份认证平台解析所述授权请求,得到第一认证信息和系统标识,所述第一认证信息包括第一时间戳;
由身份认证平台对所述第一认证信息和所述系统标识,分别执行第一校验规则和第二校验规则;
由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,生成授权令牌;以及
由身份认证平台经由身份认证客户端将所述授权令牌发放至第一信息系统的用户端。
8.根据权利要求7所述的方法,其特征在于,所述由身份认证平台对所述第一认证信息和所述系统标识,分别执行第一校验规则和第二校验规则,包括:
对于所述第一校验规则,由身份认证平台基于校验第一认证信息,与预存在所述身份认证平台中的来源信息是否一致,以及由身份认证平台校验所述第一认证信息校验用户状态是否为有效;
以及
对于所述第二校验规则,由身份认证平台校验所述系统标识是否为平台接入站。
9.根据权利要求8所述的方法,其特征在于,所述由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,生成授权令牌,包括:
由身份认证平台获取第二认证信息,所述第二认证信息包括第二时间戳;以及
由身份认证平台加密所述第二认证信息和所述系统标识,得到所述授权令牌。
10.根据权利要求9所述的方法,其特征在于,所述由身份认证平台验证来自第一信息系统的用户端的所述授权令牌,包括:
由身份认证平台解密所述授权令牌,得到所述第二认证信息和所述系统标识;
由身份认证平台对所述第二认证信息执行第一校验规则;以及
由身份认证平台对所述系统标识执行第二校验规则。
11.根据权利要求10所述的方法,其特征在于,所述在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名,包括:
由身份认证平台在所述第一校验规则和所述第二校验规则都通过的情况下,获取第三认证信息,所述第三认证信息包括第三时间戳;
基于所述第三认证信息和所述系统标识生成数字签名。
12.根据权利要求6~11中任一项所述的方法,其特征在于,所述由身份认证平台下送所述数字签名,包括:
在所述第一信息系统的用户端为第一浏览器的情况下,将所述数字签名下送至所述第一浏览器;或者
在所述第一信息系统的用户端为第一客户端的情况下,将所述数字签名下送至第一服务端。
13.一种用户登录装置,其特征在于,所述装置配置于用户终端中,
所述装置包括:
授权令牌获取模块,用于在身份认证客户端完成登录的情况下,由第一信息系统的用户端通过身份认证客户端,请求服务器的身份认证平台的授权令牌,所述第一信息系统的用户端包括第一浏览器或第一客户端;
授权令牌登录模块,用于在所述第一信息系统的用户端取得所述授权令牌的情况下,由所述第一信息系统的用户端将所述授权令牌发送至服务器的身份认证平台;以及
登录成功模块,用于在所述授权令牌验证成功的情况下,接收数字签名,或者接收会话凭证。
14.一种用户登录装置,其特征在于,所述装置配置于服务器中,
所述装置包括:
授权令牌发放模块,用于在身份认证客户端完成登录的情况下,由身份认证平台通过身份认证客户端对第一信息系统的用户端发放授权令牌,所述第一信息系统的用户端包括第一客户端或第一浏览器;
授权令牌验证模块,用于由身份认证平台验证来自第一信息系统的用户端的所述授权令牌;
数字签名生成模块,用于在所述身份认证平台验证所述授权令牌成功的情况下,生成数字签名;以及
数字签名下送模块,用于由身份认证平台下送所述数字签名。
15.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个计算机程序,
其特征在于,所述一个或多个处理器执行所述一个或多个计算机程序以实现根据权利要求1~12中任一项所述方法的步骤。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现根据权利要求1~12中任一项所述方法的步骤。
17.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现根据权利要求1~12中任一项所述方法的步骤。
CN202410302119.8A 2024-03-15 2024-03-15 用户登录方法、装置、设备、介质和产品 Pending CN118233167A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410302119.8A CN118233167A (zh) 2024-03-15 2024-03-15 用户登录方法、装置、设备、介质和产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410302119.8A CN118233167A (zh) 2024-03-15 2024-03-15 用户登录方法、装置、设备、介质和产品

Publications (1)

Publication Number Publication Date
CN118233167A true CN118233167A (zh) 2024-06-21

Family

ID=91507146

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410302119.8A Pending CN118233167A (zh) 2024-03-15 2024-03-15 用户登录方法、装置、设备、介质和产品

Country Status (1)

Country Link
CN (1) CN118233167A (zh)

Similar Documents

Publication Publication Date Title
US11102191B2 (en) Enabling single sign-on authentication for accessing protected network services
WO2017028804A1 (zh) 一种Web实时通信平台鉴权接入方法及装置
US7747856B2 (en) Session ticket authentication scheme
US11757640B2 (en) Non-fungible token authentication
CN110048848B (zh) 通过被动客户端发送会话令牌的方法、系统和存储介质
CN112131021B (zh) 一种访问请求处理方法及装置
CN103259663A (zh) 一种云计算环境下的用户统一认证方法
CN108322416B (zh) 一种安全认证实现方法、装置及系统
US10601809B2 (en) System and method for providing a certificate by way of a browser extension
US20030135734A1 (en) Secure mutual authentication system
CN112511565B (zh) 请求响应方法、装置、计算机可读存储介质及电子设备
CN109150800A (zh) 一种登录访问方法、系统和存储介质
CN113949566B (zh) 资源访问方法、装置、电子设备和介质
CN111147525A (zh) 基于api网关的认证方法、系统、服务器和存储介质
CN114584381A (zh) 基于网关的安全认证方法、装置、电子设备和存储介质
JP2013008140A (ja) シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム
CN116346486A (zh) 联合登录方法、装置、设备及存储介质
US20220417020A1 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
US20200053059A1 (en) Secure Method to Replicate On-Premise Secrets in a Cloud Environment
CN114090996A (zh) 多方系统互信认证方法及装置
CN118233167A (zh) 用户登录方法、装置、设备、介质和产品
CN114553570B (zh) 生成令牌的方法、装置、电子设备及存储介质
CN111179099B (zh) 获取保险合同的方法、装置、介质及电子设备
CN114500031B (zh) 基于单点登录获取bi报表的系统、方法、电子设备及介质
CN114826616B (zh) 数据处理方法、装置、电子设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination