TW201430608A - 單點登入系統及方法 - Google Patents
單點登入系統及方法 Download PDFInfo
- Publication number
- TW201430608A TW201430608A TW101149875A TW101149875A TW201430608A TW 201430608 A TW201430608 A TW 201430608A TW 101149875 A TW101149875 A TW 101149875A TW 101149875 A TW101149875 A TW 101149875A TW 201430608 A TW201430608 A TW 201430608A
- Authority
- TW
- Taiwan
- Prior art keywords
- service system
- access
- user
- permission
- single sign
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Abstract
本發明提供一種單點登入系統。當用戶端訪問第一業務系統的方式為直接訪問時,該系統要求用戶端輸入用戶名及密碼進行訪問許可權驗證。當用戶端訪問第一業務系統的方式為單點登入訪問時,該系統根據接收到的第一請求資料包中的資訊及用戶資訊記錄表中的資訊進行訪問許可權驗證。當用戶端有訪問第一業務系統的許可權時,該系統保存該用戶端透過驗證使用的用戶資訊至第一業務系統。該系統還接收該用戶端選擇從第一業務系統切換至第二業務系統的請求,發送第二請求資料包至第二業務系統。
Description
本發明涉及用戶驗證系統及方法,尤其是關於一種單點登入系統及方法。
隨著企業業務的不斷發展,提供的網上業務系統越來越多,用戶或客戶(例如企業員工或商業夥伴)通常需要訪問多個業務系統查看資訊或辦理業務。儘管這些業務系統是相容的且相互信任,但是為了保證資訊安全,用戶每訪問一個業務系統,都被要求輸入一次用戶名和密碼進行身份驗證。這種登入系統的方法不利於用戶在不同業務系統之間靈活切換。
鑒於以上內容,有必要提供一種單點登入系統及方法,可以供用戶登入一個業務系統後,從該業務系統切換至該業務系統信任的其他業務系統。
一種單點登入系統,該系統包括:訪問方式判斷模組,用於當用戶端請求訪問第一業務系統時,透過判斷第一業務系統是否接收到其他業務系統發送的第一請求資料包判斷用戶端訪問方式為直接訪問還是單點登入訪問;訪問許可權驗證模組,用於當用戶端訪問方式為直接訪問時,要求用戶端輸入用戶名及密碼以驗證用戶端是否有訪問第一業務系統的許可權,當用戶端訪問方式為單點登入訪問時,根據第一請求資料包中的資訊及用戶資訊記錄表中的資訊驗證用戶端是否有訪問第一業務系統的許可權;用戶資訊儲存模組,用於當用戶端有訪問第一業務系統的許可權時,保存該用戶端透過驗證使用的用戶資訊至該第一業務系統;及系統切換模組,用於接收該用戶端選擇從第一業務系統切換至第二業務系統的請求,發送第二請求資料包至第二業務系統。
一種單點登入方法,該方法包括:(A)當用戶端請求訪問第一業務系統時,透過判斷第一業務系統是否接收到其他業務系統發送的第一請求資料包判斷用戶端訪問方式為直接訪問還是單點登入訪問;(B)若用戶端訪問方式為直接訪問,則要求用戶端輸入用戶名及密碼以驗證用戶端是否有訪問第一業務系統的許可權,若用戶端訪問方式為單點登入訪問,根據第一請求資料包中的資訊及用戶資訊記錄表中的資訊驗證用戶端是否有訪問第一業務系統的許可權;(C)若用戶端有訪問第一業務系統的許可權,則保存該用戶端透過驗證使用的用戶資訊至該第一業務系統;及(D)接收該用戶端選擇從第一業務系統切換至第二業務系統的請求,發送第二請求資料包至第二業務系統。
相較於現有技術,本發明提供的單點登入系統及方法,可以供用戶登入一個業務系統後,從該業務系統切換至該業務系統信任的其他業務系統。
參閱圖1所示,係本發明單點登入系統10較佳實施例之應用環境圖。多個用戶端1(圖中僅示出1個)透過網路2連接業務伺服器3、4,業務伺服器3、4透過網路2連接驗證伺服器5。在本實施例中,業務伺服器3包括該單點登入系統10及第一業務系統20,業務伺服器3包括該單點登入系統10及第二業務系統30。驗證伺服器5包括用戶資訊記錄表40,該用戶資訊記錄表40儲存了允許用戶端1訪問的業務系統的相關資訊,例如:用戶端1的用戶名稱,允許該用戶端1訪問的系統的標識、該系統所在伺服器的IP位址、該系統的首頁位址、該系統的訪問許可權密鑰、允許訪問該系統的位址來源,等等。第一業務系統20、第二業務系統30向用戶端1提供不同的業務資訊。例如,第一業務系統20為用戶端1提供企業A提供的所有服務專案的資訊查詢功能,第二業務系統30可以供用戶端1訂購企業A提供的服務專案。
在本實施例中,第一業務系統20、第二業務系統30及用戶資訊記錄表40位於不同的伺服器。在其他實施例中,第一業務系統20、第二業務系統30及用戶資訊記錄表40也可以位於相同的伺服器。網路2可以為企業內部網路或外部網路。
參閱圖2所示,之本發明單點登入系統10較佳實施例之功能模組圖。該單點登入系統10包括訪問方式判斷模組11、訪問許可權驗證模組12、用戶資訊儲存模組13及系統切換模組14。模組11-14包括電腦程式化指令,這些電腦程式化指令儲存在單點登入系統10所在的業務伺服器(例如業務伺服器3、4)的儲存器中,業務伺服器的處理器執行這些電腦程式化指令,允許用戶端1登入一個業務系統後,直接從該業務系統切換至另外一個業務系統,例如從第一業務系統20直接切換至第二業務系統30。以下結合圖3說明模組11-14的具體功能。
參閱圖3所示,係本發明單點登入方法較佳實施例之流程圖。本實施例以第一業務系統20為登入點說明。
步驟S101,當用戶端1請求訪問第一業務系統20時,訪問方式判斷模組11透過判斷是否接收到從其他業務系統(例如第二業務系統30)發送的請求訪問第一業務系統20的第一請求資料包。若第一業務系統20未接收到其他業務系統發送的第一請求資料包,則流程進入步驟S103,訪問方式判斷模組11判斷用戶端1的訪問方式為直接訪問,訪問許可權驗證模組12要求用戶端1輸入用戶名及密碼進行訪問許可權驗證。之後,流程從步驟S103進入步驟S107。若第一業務系統20接收到其他業務系統發送的第一請求資料包,則流程進入步驟S105。
步驟S105,訪問方式判斷模組11判斷用戶端1的訪問方式為單點登入方式,訪問許可權驗證模組12根據第一請求資料包中的資訊及用戶資訊記錄表40中的資訊驗證用戶端1是否有訪問第一業務系統20的許可權。單點登入方式表示用戶端1是從先登入前一個業務系統(例如第二業務系統30),然後從該前一個業務系統切換到第一業務系統20。
所述第一請求資料包包括以下資訊:用戶端1登入的前一個業務系統(例如第二業務系統30)所在的伺服器(例如業務伺服器4)的IP位址、用戶端1登入前一個業務系統使用的用戶名、前一個業務系統的系統首頁位址,及第一業務系統20的訪問密鑰。該第一請求資料包也可能是加密後的資料包,故該單點登入系統10還可以包括一個加/解密模組,當接收到的第一請求資料包為加密資料包時,利用相應的解密演算法對該加密資料包進行解密。
在本實施例中,訪問許可權驗證模組12的驗證流程如下:從所述第一請求資料包中獲取第一業務系統20的訪問密鑰;從驗證伺服器5獲取用戶資訊記錄表40;判斷所述第一請求資料包中記錄的第一業務系統20的訪問密鑰是否與用戶資訊記錄表40中記錄的第一業務系統20的訪問密鑰一致;若不一致,則表明該用戶端1無訪問第一業務系統20的許可權,流程進入步驟S109,若一致,則從所述第一請求資料包中獲取用戶端1登入前一個業務系統使用的用戶名,根據該用戶名是否在用戶資訊記錄表40記錄的允許訪問第一業務系統20的用戶名單中,來判斷該用戶端1是否有訪問第一業務系統20的許可權;若該用戶名不在用戶資訊記錄表40記錄的允許訪問第一業務系統20的用戶名單中,則表明該用戶端1無訪問第一業務系統20的許可權,流程進入步驟S109,若該用戶名在用戶資訊記錄表40記錄的允許訪問第一業務系統20的用戶名單中,則表明該用戶端1有許可權訪問第一業務系統20,流程進入步驟S113。
步驟S109,訪問許可權驗證模組12拒絕用戶端1訪問第一業務系統20,流程結束。
步驟S113,訪問許可權驗證模組12允許用戶端1訪問第一業務系統20。用戶資訊儲存模組13保存該用戶端1透過驗證使用的用戶資訊,例如從所述第一請求資料包中獲取的用戶名,以及該用戶訪問過的業務系統的相關資訊,等等。
步驟S115,系統切換模組14接收該用戶端1選擇切換至第二業務系統30的請求,發送第二請求資料包至第二業務系統30。該第二請求資料包記錄的資訊與所述第一請求資料包記錄的資訊類似,例如該第二請求資料包包括用戶名、用戶登入的第一業務系統20所在的伺服器(例如業務伺服器3)的IP位址、第一業務系統20的系統首頁位址,及用戶請求切換至的第二業務系統30的訪問密鑰。該第二請求資料包也可以為加密後的資料包,例如,加密演算法可以為MD5。
步驟S117,第二業務系統30根據第二請求資料包中的資訊及用戶資訊記錄表40中的資訊驗證用戶端1是否有訪問第二業務系統30的許可權。驗證過程與上述步驟S101-S107類似,再次不再贅述。在其他實施例中,圖3也可以省略步驟S117。
最後應說明的是,以上實施方式僅用以說明本發明的技術方案而非限制,儘管參照較佳實施方式對本發明進行了詳細說明,本領域的普通技術人員應當理解,可以對本發明的技術方案進行修改或等同替換,而不脫離本發明技術方案的精神和範圍。
1...用戶端
2...網路
3、4...業務伺服器
5...驗證伺服器
10...單點登入系統
11...訪問方式判斷模組
12...訪問許可權驗證模組
13...用戶資訊儲存模組
14...系統切換模組
20...第一業務系統
30...第二業務系統
40...用戶資訊記錄表
圖1係本發明單點登入系統較佳實施例之應用環境圖。
圖2係本發明單點登入系統較佳實施例之功能模組圖。
圖3係本發明單點登入方法較佳實施例之流程圖。
1...用戶端
2...網路
3、4...業務伺服器
5...驗證伺服器
10...單點登入系統
20...第一業務系統
30...第二業務系統
40...用戶資訊記錄表
Claims (14)
- 一種單點登入方法,該方法包括:
訪問方式判斷步驟:當用戶端請求訪問第一業務系統時,透過判斷第一業務系統是否接收到其他業務系統發送的第一請求資料包判斷用戶端訪問方式為直接訪問還是單點登入訪問;
訪問許可權驗證步驟:若用戶端訪問方式為直接訪問,則要求用戶端輸入用戶名及密碼以驗證用戶端是否有訪問第一業務系統的許可權,若用戶端訪問方式為單點登入訪問,根據第一請求資料包中的資訊及用戶資訊記錄表中的資訊驗證用戶端是否有訪問第一業務系統的許可權;
用戶資訊儲存步驟:若用戶端有訪問第一業務系統的許可權,則保存該用戶端透過驗證使用的用戶資訊至該第一業務系統;及
系統切換步驟:接收該用戶端選擇從第一業務系統切換至第二業務系統的請求,發送第二請求資料包至第二業務系統。 - 如申請專利範圍第1項所述之單點登入方法,其中,所述用戶資訊記錄表儲存了允許用戶端訪問的業務系統的相關資訊,包括:用戶端的用戶名稱,允許該用戶訪問的業務系統的標識、該業務系統所在伺服器的IP位址、該業務系統的首頁位址、該業務系統的訪問許可權密鑰及允許訪問該業務系統的位址來源。
- 如申請專利範圍第2項所述之單點登入方法,其中,所述“根據第一請求資料包中的資訊及用戶資訊記錄表中的資訊驗證用戶端是否有訪問第一業務系統的許可權”的步驟包括:
從所述第一請求資料包中獲取第一業務系統的訪問密鑰,判斷所述第一請求資料包中記錄的第一業務系統的訪問密鑰是否與用戶資訊記錄表中記錄的第一業務系統的訪問密鑰一致;
若不一致,則表明該用戶端無訪問第一業務系統的許可權,拒絕該用戶端訪問第一業務系統,若一致,則從所述第一請求資料包中獲取用戶端登入前一個業務系統使用的用戶名,判斷該用戶名是否記錄在用戶資訊記錄表記錄的允許訪問第一業務系統的用戶名單中;
若該用戶名不在用戶資訊記錄表記錄的允許訪問第一業務系統的用戶名單中,則表明該用戶端無訪問第一業務系統的許可權,拒絕該用戶端訪問第一業務系統,若該用戶名記錄在用戶資訊記錄表記錄的允許訪問第一業務系統的用戶名單中,則表明該用戶端有許可權訪問第一業務系統,允許該用戶端訪問第一業務系統。 - 如申請專利範圍第1項所述之單點登入方法,其中,所述第一請求資料包包括:該用戶端在訪問第一業務系統之前登入的前一個業務系統所在的伺服器的IP位址、該用戶端登入前一個業務系統使用的用戶名、前一個業務系統的系統首頁位址,及第一業務系統的訪問密鑰。
- 如申請專利範圍第1項所述之單點登入方法,其中,所述第二請求資料包包括該用戶端的用戶名、第一業務系統所在的伺服器的IP位址、第一業務系統的系統首頁位址,及第二業務系統的訪問密鑰。
- 如申請專利範圍第1項所述之單點登入方法,其中,所述第一業務系統、第二業務系統及用戶資訊記錄表位於不同的伺服器。
- 如申請專利範圍第1項所述之單點登入方法,其中,所述第一業務系統、第二業務系統及用戶資訊記錄表位於相同的伺服器。
- 一種單點登入系統,其中,該系統包括:
訪問方式判斷模組,用於當用戶端請求訪問第一業務系統時,透過判斷第一業務系統是否接收到其他業務系統發送的第一請求資料包判斷用戶端訪問方式為直接訪問還是單點登入訪問;
訪問許可權驗證模組,用於當用戶端訪問方式為直接訪問時,要求用戶端輸入用戶名及密碼以驗證用戶端是否有訪問第一業務系統的許可權,當用戶端訪問方式為單點登入訪問時,根據第一請求資料包中的資訊及用戶資訊記錄表中的資訊驗證用戶端是否有訪問第一業務系統的許可權;
用戶資訊儲存模組,用於當用戶端有訪問第一業務系統的許可權時,保存該用戶端透過驗證使用的用戶資訊至該第一業務系統;及
系統切換模組,用於接收該用戶端選擇從第一業務系統切換至第二業務系統的請求,發送第二請求資料包至第二業務系統。 - 如申請專利範圍第8項所述之單點登入系統,其中,所述用戶資訊記錄表儲存了允許用戶端訪問的業務系統的相關資訊,包括:用戶端的用戶名稱,允許該用戶訪問的業務系統的標識、該業務系統所在伺服器的IP位址、該業務系統的首頁位址、該業務系統的訪問許可權密鑰及允許訪問該業務系統的位址來源。
- 如申請專利範圍第9項所述之單點登入系統,其中,所述訪問許可權驗證模組“根據第一請求資料包中的資訊及用戶資訊記錄表中的資訊驗證用戶端是否有訪問第一業務系統的許可權”包括:
訪問許可權驗證模組從所述第一請求資料包中獲取第一業務系統的訪問密鑰,判斷所述第一請求資料包中記錄的第一業務系統的訪問密鑰是否與用戶資訊記錄表中記錄的第一業務系統的訪問密鑰一致;
若不一致,則表明該用戶端無訪問第一業務系統的許可權,訪問許可權驗證模組拒絕該用戶端訪問第一業務系統,若一致,則訪問許可權驗證模組從所述第一請求資料包中獲取用戶端登入前一個業務系統使用的用戶名,判斷該用戶名是否記錄在用戶資訊記錄表記錄的允許訪問第一業務系統的用戶名單中;
若該用戶名不在用戶資訊記錄表記錄的允許訪問第一業務系統的用戶名單中,則表明該用戶端無訪問第一業務系統的許可權,訪問許可權驗證模組拒絕該用戶端訪問第一業務系統,若該用戶名記錄在用戶資訊記錄表記錄的允許訪問第一業務系統的用戶名單中,則表明該用戶端有許可權訪問第一業務系統,訪問許可權驗證模組允許該用戶端訪問第一業務系統。 - 如申請專利範圍第8項所述之單點登入系統,其中,所述第一請求資料包包括:該用戶端在訪問第一業務系統之前登入的前一個業務系統所在的伺服器的IP位址、該用戶端登入前一個業務系統使用的用戶名、前一個業務系統的系統首頁位址,及第一業務系統的訪問密鑰。
- 如申請專利範圍第8項所述之單點登入系統,其中,所述第二請求資料包包括該用戶端的用戶名、第一業務系統所在的伺服器的IP位址、第一業務系統的系統首頁位址,及第二業務系統的訪問密鑰。
- 如申請專利範圍第8項所述之單點登入系統,其中,所述第一業務系統、第二業務系統及用戶資訊記錄表位於不同的伺服器。
- 如申請專利範圍第8項所述之單點登入系統,其中,所述第一業務系統、第二業務系統及用戶資訊記錄表位於相同的伺服器。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210562553.7A CN103888430A (zh) | 2012-12-21 | 2012-12-21 | 单点登入系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201430608A true TW201430608A (zh) | 2014-08-01 |
Family
ID=50957152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101149875A TW201430608A (zh) | 2012-12-21 | 2012-12-25 | 單點登入系統及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20140181945A1 (zh) |
| CN (1) | CN103888430A (zh) |
| TW (1) | TW201430608A (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104219251B (zh) * | 2014-09-26 | 2018-02-23 | 北京国双科技有限公司 | 获取网站数据的方法和装置 |
| CN104796436B (zh) * | 2015-05-20 | 2018-10-23 | 郑州悉知信息科技股份有限公司 | 用户登录方法、系统、第一平台服务器及相关平台服务器 |
| CN105635153B (zh) * | 2015-12-31 | 2019-02-15 | 广州小百合信息技术有限公司 | 多租户b/s软件系统的访问方法及系统 |
| CN110287682B (zh) * | 2019-07-01 | 2020-12-04 | 北京芯盾时代科技有限公司 | 一种登录方法、装置及系统 |
| CN113055186B (zh) * | 2021-03-29 | 2023-04-07 | 中国建设银行股份有限公司 | 一种跨系统的业务处理方法、装置及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7529801B2 (en) * | 2003-11-06 | 2009-05-05 | International Business Machines Corporation | Method and system for multiple instant messaging login sessions |
| JP4779444B2 (ja) * | 2005-05-26 | 2011-09-28 | 株式会社日立製作所 | シングルサインオン実現方法 |
| CN101771542A (zh) * | 2009-01-05 | 2010-07-07 | 英业达股份有限公司 | 提供以单点登入多服务主机的系统及其方法 |
| US9325680B2 (en) * | 2009-05-15 | 2016-04-26 | Adobe Systems Incorporated | Digital rights management retrieval system |
| CN102571762A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 单点登录的方法和设备 |
-
2012
- 2012-12-21 CN CN201210562553.7A patent/CN103888430A/zh active Pending
- 2012-12-25 TW TW101149875A patent/TW201430608A/zh unknown
-
2013
- 2013-12-05 US US14/097,280 patent/US20140181945A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| CN103888430A (zh) | 2014-06-25 |
| US20140181945A1 (en) | 2014-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11711222B1 (en) | Systems and methods for providing authentication to a plurality of devices | |
| US9621355B1 (en) | Securely authorizing client applications on devices to hosted services | |
| US8549326B2 (en) | Method and system for extending encrypting file system | |
| JP6656157B2 (ja) | ネットワーク接続自動化 | |
| JP5570610B2 (ja) | 遠隔ユーザ・セッションのためのシングル・サインオン | |
| CA2689847C (en) | Network transaction verification and authentication | |
| US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
| US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
| WO2015196659A1 (zh) | 一种桌面云客户端和服务端之间连接认证的方法及装置 | |
| US20220109675A1 (en) | Identity defined secure connect | |
| US20080320566A1 (en) | Device provisioning and domain join emulation over non-secured networks | |
| US20140143847A1 (en) | System for and method of providing single sign-on (sso) capability in an application publishing environment | |
| WO2018219056A1 (zh) | 鉴权方法、装置、系统和存储介质 | |
| US20190306148A1 (en) | Method for oauth service through blockchain network, and terminal and server using the same | |
| US20140075513A1 (en) | Device token protocol for authorization and persistent authentication shared across applications | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| JP5827680B2 (ja) | IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード | |
| TW201248526A (en) | Dynamic platform reconfiguration by multi-tenant service providers | |
| CN109388937B (zh) | 一种多因子身份认证的单点登录方法及登录系统 | |
| US9544287B1 (en) | Systems and methods for performing authentication at a network device | |
| US20180063101A1 (en) | Keys for encrypted disk partitions | |
| US11146552B1 (en) | Decentralized application authentication | |
| TW201430608A (zh) | 單點登入系統及方法 | |
| US11251951B2 (en) | Remote authentication for accessing on-premises network devices | |
| WO2019165667A1 (zh) | 一种账户迁移的方法、装置、终端设备及存储介质 |