TWI706263B - 信任登錄方法、伺服器及系統 - Google Patents

信任登錄方法、伺服器及系統 Download PDF

Info

Publication number
TWI706263B
TWI706263B TW106138739A TW106138739A TWI706263B TW I706263 B TWI706263 B TW I706263B TW 106138739 A TW106138739 A TW 106138739A TW 106138739 A TW106138739 A TW 106138739A TW I706263 B TWI706263 B TW I706263B
Authority
TW
Taiwan
Prior art keywords
server
token
page
trust
access
Prior art date
Application number
TW106138739A
Other languages
English (en)
Other versions
TW201830280A (zh
Inventor
楊文學
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201830280A publication Critical patent/TW201830280A/zh
Application granted granted Critical
Publication of TWI706263B publication Critical patent/TWI706263B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本發明公開了一種信任登錄方法、伺服器及系統,該方法包括:接收第二伺服器對應的目標客戶端發送的頁面接取請求,所述頁面接取請求用於請求接取第一伺服器提供的業務頁面;獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限;若所述臨時信任登錄符記具有接取所述業務頁面的業務權限,允許所述目標客戶端信任登錄到所述第一伺服器上,返回所述目標客戶端請求接取的所述業務頁面。透過上述技術方案,解決了現有技術中信任登錄存在的安全問題,提高了信任登錄的安全性。

Description

信任登錄方法、伺服器及系統
本案涉及軟體技術領域,特別涉及一種信任登錄的方法、伺服器及系統。
隨著科學技術的不斷發展,軟體技術得到了快速的發展,各種應用系統層出不窮。通常情况下,用戶在使用應用系統時,需要用戶輸入帳號和密碼進行登錄,才能享受相應的服務。   客戶除了可以透過在系統A上註册的帳號和密碼登錄到系統A上,也可以透過在系統A上註册的的帳號和密碼登錄到信任系統A的系統B上。系統A上的用戶登錄到信任系統A的系統B上,這種登錄方式被稱之為信任登錄。系統A上的用戶信任登錄到系統B上後,系統A的用戶可以對系統B提供的相應業務進行接取及操作。   目前,現有的信任登錄方案是系統B分配一個信任登錄編號給系統A,然後系統A將系統A上的用戶登錄請求參數以及系統B頒發的登錄編號寫入信任登錄請求,透過密鑰對信任登錄請求進行加密並發送。系統B根據系統A提供的公鑰對接收到的信任登錄請求進行解密,解密後,系統B檢查信任登錄請求中信任登錄編號是否合法,如果合法則允許系統A上的用戶登錄到系統B上,信任登錄成功。然而,現有的信任登錄一旦登錄成功,系統A的客戶可以對系統B的所有業務頁面進行接取及操作,存在一定的安全隱患。例如:若系統A(如地圖應用系統)由於安全性要求較弱被資料庫入侵或者盜號,那麽可以透過資料庫入侵或者盜號獲得的用戶信息登錄系統A,再透過系統A信任登錄到系統B(如支付應用系統)上,以對安全性要求更高的系統B上的頁面(如支付頁面)進行操作,導致安全性要求更高的系統B遭遇風險。
本案實施例提供一種信任登錄方法、裝置及電子設備,用於解決現有技術中系統之間信任登錄存在的安全問題,提高信任登錄的安全性。   本案的第一方面,提供一種信任登錄方法,應用於第一伺服器,所述方法包括:   接收第二伺服器對應的目標客戶端發送的頁面接取請求,所述頁面接取請求用於請求接取所述第一伺服器提供的業務頁面;   獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限;   若所述臨時信任登錄符記具有接取所述業務頁面的業務權限,允許所述目標客戶端信任登錄到所述第一伺服器上,返回所述目標客戶端請求接取的所述業務頁面。   可選的,判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限,包括:   判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係;   若所述臨時信任登錄符記與所述業務身份標識之間滿足第一映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。   可選的,所述確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限,包括:   判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係,及判斷所述臨時信任登錄符記與所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識之間是否滿足第二映射關係;   若所述臨時信任登錄符記與所述業務身份標識之間滿足所述第一映射關係,且所述臨時信任登錄符記與所述目前信任登錄標識之間滿足所述第二映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。   可選的,在所述判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限之前,所述方法還包括:   判斷所述臨時信任登錄符記是否合法,以及判斷所述臨時信任登錄符記是否過期;   若所述臨時信任登錄符記合法且未過期,執行判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限的操作。   可選的,所述業務頁面為可嵌入加載到所述目標客戶端的頁面。   可選的,所述方法還包括:   接收第二伺服器發送的符記獲取請求;   基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端;   若所述目標客戶端是授信客戶端,產生所述臨時信任登錄符記並設置所述臨時信任登錄符記接取頁面的業務權限;   透過所述第二伺服器將所述臨時信任登錄符記發送至所述目標客戶端。   可選的,所述基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端,包括:   判斷所述符記獲取請求中是否包含所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識;   若包含,確定所述目標客戶端為授信客戶端。   可選的,所述基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端,包括:   判斷所述目標客戶端在所述第一伺服器中是否存在對應的第一客戶端;   若存在,確定所述目標客戶端為授信客戶端。   本發明的第二方面,提供一種信任登錄方法,應用於第二伺服器,所述第二伺服器為目標客戶端的伺服端,所述方法包括:   接收所述目標客戶端發送的信任登錄請求,所述信任登錄請求用於請求登錄第一伺服器並接取所述第一伺服器提供的業務頁面;   基於所述信任登錄請求,產生符記獲取請求並發送至所述第一伺服器;   接收所述第一伺服器反饋的臨時信任登錄符記,所述臨時信任登錄符記具有登錄所述第一伺服器並接取所述業務頁面的業務權限;   將所述臨時信任登錄符記反饋至所述目標客戶端,以使所述目標客戶端透過所述臨時信任登錄符記登錄所述第一伺服器並接取所述業務頁面。   可選的,所述基於所述接取請求,產生符記獲取請求並發送至所述第一伺服器,包括:   獲取所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識,所述目前信任登錄標識為獲取所述臨時信任登錄符記的憑證;   將所述目前信任登錄標識寫入所述接取請求,以產生所述符記獲取請求。   本發明的第三方面,提供一種第一伺服器,包括:   接收單元,用於接收第二伺服器對應的目標客戶端發送的頁面接取請求,所述頁面接取請求用於請求接取所述第一伺服器提供的業務頁面;   判斷單元,用於獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限;   接取限制單元,用於在所述臨時信任登錄符記具有接取所述業務頁面的業務權限時,允許所述目標客戶端信任登錄到所述第一伺服器上,返回所述目標客戶端請求接取的所述業務頁面。   可選的,所述判斷單元,用於:   判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係;   若所述臨時信任登錄符記與所述業務身份標識之間滿足所述第一映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。   可選的,所述判斷單元,用於:   判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係,及判斷所述臨時信任登錄符記與所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識之間是否滿足第二映射關係;   若所述臨時信任登錄符記與所述業務身份標識之間滿足所述第一映射關係,且所述臨時信任登錄符記與所述目前信任登錄標識之間滿足所述第二映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。   可選的,所述判斷單元還用於:   在判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限之前,判斷所述臨時信任登錄符記是否合法,以及判斷所述臨時信任登錄符記是否過期;   若所述臨時信任登錄符記合法且未過期,執行判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限的操作。   可選的,所述業務頁面為可嵌入加載到所述目標客戶端的頁面。   可選的,所述接收單元還用於:接收第二伺服器發送的符記獲取請求;   所述判斷單元還用於:基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端;   所述第一伺服器還包括:   產生單元,用於在所述目標客戶端是授信客戶端時,產生所述臨時信任登錄符記並設置所述臨時信任登錄符記接取頁面的業務權限;   發送單元,用於透過所述第二伺服器將所述臨時信任登錄符記發送至所述目標客戶端。   可選的,所述判斷單元,還用於:   判斷所述符記獲取請求中是否包含所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識;   若包含,確定所述目標客戶端為授信客戶端。   可選的,所述判斷單元,還用於:   判斷所述目標客戶端在所述第一伺服器中是否存在對應的第一客戶端;   若存在,確定所述目標客戶端為授信客戶端。   本發明的第四方面,提供一種第二伺服器,所述第二伺服器為目標客戶端的伺服端,所述第二伺服器包括:   接收模組,用於接收所述目標客戶端發送的信任登錄請求,所述信任登錄請求用於請求登錄第一伺服器並接取所述第一伺服器提供的業務頁面;   產生模組,用於基於所述信任登錄請求,產生符記獲取請求並透過發送模組發送至所述第一伺服器;   所述接收模組還用於接收所述第一伺服器反饋的臨時信任登錄符記,所述臨時信任登錄符記具有登錄所述第一伺服器並接取所述業務頁面的業務權限;   所述發送模組還用於將所述臨時信任登錄符記反饋至所述目標客戶端,以使所述目標客戶端透過所述臨時信任登錄符記登錄所述第一伺服器並接取所述業務頁面。   可選的,所述產生模組,用於:   獲取所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識,所述目前信任登錄標識為獲取所述臨時信任登錄符記的憑證;   將所述目前信任登錄標識寫入所述接取請求,以產生所述符記獲取請求。   本發明的第五方面,提供一種信任登錄系統,所述系統包括:   第一伺服器;   第二伺服器;   目標客戶端,用於發送響應用戶對目標接取登錄項的操作,向所述第二伺服器發送信任登錄請求,所述信任登錄請求用於請求登錄所述第一伺服器並接取所述第一伺服器提供的業務頁面;接收所述第二伺服器發送的臨時信任登錄符記,所述臨時信任登錄符記具有接取所述業務頁面的業務權限;基於所述臨時信任登錄符記,產生接取所述業務頁面的接取請求並發送至第一伺服器,以請求登錄所述第一伺服器並接取所述業務頁面。   本案實施例中的上述一個或多個技術方案,至少具有如下技術效果:   本案實施例在接收第二伺服器對應的目標客戶端發送的頁面接取請求,請求接取第一伺服器提供的業務頁面時,獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限;若具有該業務權限,允許所述目標客戶端信任登錄到所述第一伺服器上,返回所述目標客戶端請求接取的業務頁面,使得信任登錄的用戶接取受臨時信任登錄符記的業務權限的限制只能接取對應的業務頁面,而系統的其它業務頁面不可以接取,解決了現有技術中信任登錄存在的安全問題,提高了信任登錄的安全性。
下面結合附圖對本案實施例技術方案的主要實現原理、具體實施方式及其對應能够達到的有益效果進行詳細的闡述。 實施例一   本案實施例提供一種信任登錄方法,該方法應用於一信任登錄系統。該系統包含兩個應用系統,第一應用系統包含第一伺服器和第一客戶端,第二應用系統包含第二伺服器和第二客戶端(即目標客戶端),在目標客戶端的應用界面中嵌入設置有第一伺服器提供的業務頁面的目標接取登錄項,用戶可以操作該目標接取登錄項來觸發目標客戶端透過信任登錄方法來接取第一伺服器提供的業務頁面。   請參考圖1a,為本案實施例提供的信任登錄方法,應用於目標客戶端,包括:   S1.1:目標客戶端響應用戶對目標接取登錄項的操作,向第二伺服器發送信任登錄請求,所述信任登錄請求用於請求登錄第一伺服器並接取第一伺服器提供的業務頁面。   其中,信任登錄請求中包含目標客戶端所要接取的業務頁面的業務ID(Identification,身份標識)。業務ID用於表徵目標客戶端所要接取的業務頁面是哪一個頁面。信任登錄請求中還可以包含用戶帳號和密碼。用戶帳號和密碼用於請求登錄第二伺服器,或者,使第二伺服器對目標客戶端的合法性進行驗證。當目標客戶端透過用戶帳號和密碼成功登錄到第二伺服器上,或者,通過第二伺服器的合法性驗證後,第二伺服器才響應目標客戶端發送的信任登錄請求,向目標客戶端發送臨時信任登錄符記。   S1.2:目標客戶端接收第二伺服器響應信任登錄請求發送的臨時信任登錄符記。   臨時信任登錄符記為目標客戶端登錄第一伺服器並接取第一伺服器提供的業務頁面的憑證。臨時信任登錄符記中寫有接取業務頁面的業務權限,在臨時信任登錄符記的業務權限範圍以外的業務頁面,禁止目標客戶端接取。臨時信任登錄符記由第一伺服器根據第二伺服器發送的符記獲取請求產生並反饋至第二伺服器,再由第二伺服器發送至目標客戶端。   S1.3:目標客戶端基於接收到的臨時信任登錄符記,產生接取第一伺服器提供的業務頁面的接取請求並發送至第一伺服器。   具體的,產生接取業務頁面的接取請求時,可以對臨時信任登錄符記和所要接取的業務ID進行封裝產生接取請求,也可以對臨時信任登錄符記、所要接取的業務ID及用戶帳號進行封裝產生接取請求。當接取請求中包含用戶帳號時,第一伺服器可根據第一伺服器與第二伺服器之間商定的用戶映射關係,基於接取請求中的用戶帳號,為目標客戶端查找或建立在第一伺服器上的第一用戶帳號。   在S1.3之後,目標客戶端等待第一伺服器返回業務頁面。當接收到第一伺服器返回的業務頁面後,對業務頁面進行操作。由於目標客戶端對第一伺服器的業務頁面的接取受臨時信任登錄符記的業務權限限制,使得目標客戶端信任登錄到第一伺服器時只能接取臨時信任登錄符記的業務權限範圍內的業務頁面,提升了業務頁面接取的安全性。   請參考圖1b,為本案實施例提供的信任登錄方法,應用於第二伺服器,包括:   S2.1:第二伺服器接收目標客戶端發送的信任登錄請求。   S2.2:第二伺服器基於接收到的信任登錄請求,產生符記獲取請求並發送至第一伺服器。   具體的,符記獲取請求可以基於信任登錄請求以及第二伺服器的伺服器標識封裝產生。第一伺服器可以根據伺服器標識判斷第二伺服器是否為授信伺服器。若第二伺服器為授信伺服器,第一伺服器則對符記獲取請求中的信任登錄請求進行解析,反饋臨時登錄符記。若第二伺服器不是授信伺服器,第一伺服器拒絕向第二伺服器反饋臨時登錄符記。   符記獲取請求也可以基於信任登錄請求以及第一伺服器向第二伺服器頒發的目前信任登錄標識封裝產生。目前信任登錄標識為第二伺服器獲取臨時信任登錄符記的憑證。若目前信任登錄標識合法,第一伺服器則對符記獲取請求中的信任登錄請求進行解析,判斷是否反饋臨時登錄符記。若目前信任登錄標識不合法,第一伺服器拒絕向第二伺服器反饋臨時登錄符記。   其中,目前信任登錄標識可以是一個信任登錄編號。信任登錄編號由第一伺服器向授信的第二伺服器頒發。信任登錄編號可以為一個固定的編號,一旦頒發在授信期間均有效。信任登錄編號也可以為不斷更新的動態編號,由第一伺服器按照一定的時間周期更新並將更新後的信任登錄編號頒發給第二伺服器。   S2.3:第二伺服器接收第一伺服器反饋的臨時信任登錄符記,將臨時信任符記發送至目標客戶端。   補充說明:第二伺服器在S2.1之後可以直接執行S2.2。第二伺服器也可以在S2.1之後,對接收到的信任登錄請求進行解析,判斷該信任登錄請求是否合法,如目標客戶端是否已經登錄到第二伺服器上、提供業務頁面的第一伺服器是否與其簽約等。若判斷出信任登錄請求合法,則執行S2.2,若判斷出信任登錄請求不合法,則返回目標客戶端請求失敗的消息。   請參考圖1c,為本案實施例提供的信任登錄方法的符記下發方法,應用於第一伺服器,該方法包括:   S3.1:第一伺服器接收第二伺服器發送的符記獲取請求。   第一伺服器在接收到符記獲取請求後,可以直接執行S3.2,也可以基於符記獲取請求判斷目標客戶端是否為授信客戶端,根據判斷結果選擇是否執行S3.2。   其中,第一伺服器基於符記獲取請求,可以透過如下方式判斷目標客戶端是否為授信客戶端:   方式一、判斷符記獲取請求中是否包含第一伺服器向第二服務頒發的目前信任登錄標識。若符記獲取請求中包含目前信任登錄標識,則確定目標客戶端是授信客戶端。反之,若符記獲取請求中不包含目前信任登錄標識,則確定目標客戶端不是授信客戶端。   方式二、透過第一伺服器與第二伺服器之間的用戶映射關係來判斷目標客戶端是否為授信客戶端。第一伺服器與第二伺服器之間建立信任登錄關係時,會建立相互之間用戶的映射關係,即為第二伺服器上的用戶在第一伺服器上創建或者查找到對應的目標用戶,例如:第二服務上的用戶X,登錄到第一伺服器上時對應為第一伺服器上的目標用戶X1。為此,第一伺服器可以獲取符記獲取請求中目標客戶端的用戶帳號,第一伺服器判斷第一伺服器中是否存在與目標客戶端的用戶帳號對應的目標用戶帳號。若存在目標用戶帳號,確定目標客戶端為授信客戶端,反之,則確定目標客戶端不是授信客戶端。   第一伺服器在判斷出目標客戶端不是授信客戶端時,返回請求失敗的消息至第二伺服器。第一伺服器在判斷出目標客戶端是授信客戶端時,繼續執行S3.2。   S3.2:基於接收到的符記獲取請求,第一伺服器產生臨時信任登錄符記並設置臨時信任登錄符記接取頁面的業務權限。   該業務權限可以是針對某一個業務頁面的,也可以是針對多個業務頁面的。設置臨時信任登錄符記接取頁面的業務權限,包括:建立第一映射關係,或者,建立第一映射關係和第二映射關係。第一映射關係為臨時信任登錄符記與允許被接取的業務頁面的業務ID之間的映射關係。第二映射關係為臨時信任登錄符記與第一伺服器向第二伺服器頒發的目前信任登錄標識之間的映射關係。透過第二映射關係,限定臨時信任登錄符記只能對應指定的目前信任登錄標識(即對應指定的伺服器)才有效,進而避免臨時信任登錄符記被其它伺服器盜用。例如:如表一所示的映射關係,臨時信任登錄符記x1579只對具有目前信任登錄標識4627對應的第二伺服器Y1有效,對其它伺服器如Y2則無效。
Figure 106138739-A0304-0001
表一   產生臨時信任登錄符記的過程中,可以按照特定的產生規則產生使其具有合法性,也可以為每個臨時信任登錄符記設置有效期,一旦過期則該臨時信任登錄符記失效。   S3.3:第一伺服器透過第二伺服器將產生的臨時信任登錄符記發送至目標客戶端。   請參考圖1d,為本案實施例提供的信任登錄方法的符記驗證方法,應用於第一伺服器,該方法包括:   S3.4:第一伺服器接收第二伺服器對應的目標客戶端發送的頁面接取請求。   S3.5:第一伺服器獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取其請求接取的業務頁面的業務權限。   具體的,為了提高第一伺服器信息反饋的效率,在進行臨時信任登錄符記的業務權限判斷之前,可以先對臨時信任登錄符記的是否合法、是否過期進行判斷。若判斷出臨時信任登錄符記不合法或者已經過期,則拒絕頁面接取請求;若判斷出臨時信任登錄符記合法且未過期則執行臨時信任登錄符記的業務權限判斷。   具體實施過程中,可以透過如下任一方式判斷臨時信任登錄符記的業務權限:   方式一、判斷臨時信任登錄符記與目標終端所要接取的業務頁面的業務ID是否滿足第一映射關係。具體的,可以根據第一伺服器建立的臨時信任登錄符記與業務ID之間的第一映射關係,查詢頁面接取請求中的臨時信任登錄符記是否對應接取請求中的業務ID。若查詢結果為對應,那麽判斷出頁面接取請求中的臨時信任登錄符記與業務ID匹配,臨時信任登錄符記具有接取對應業務頁面的業務權限,反之,則不具有接取對應業務頁面的業務權限。   方式二、判斷臨時信任登錄符記與目標終端所要接取的業務頁面的業務ID是否滿足第一映射關係,及判斷臨時信任登錄符記與第一伺服器向目標客戶端所屬的第二伺服器頒發的目前信任登錄標識之間是否滿足第二映射關係。在判斷出臨時登錄符記與目標終端所要接取的業務頁面的業務ID滿足第一映射關係,且臨時信任登錄符記與第一伺服器向目標客戶端所屬的第二伺服器頒發的目前信任登錄標識之間滿足第二映射關係時,臨時信任登錄符記具有接取對應業務頁面的業務權限,反之,則不具有接取對應業務頁面的業務權限。例如:假設第一伺服器中建立的臨時信任登錄符記映射關係如表一所示。第一伺服器接收到的頁面接取請求中臨時信任登錄符記為x6478、所要接取的業務ID為103、目標客戶端所屬的第二伺服器的目前信任登錄標識為3450。第一伺服器根據表一,判斷出頁面接取請求中的臨時信任登錄符記與業務ID之間滿足第一映射關係,但臨時信任登錄符記與目前信任登錄標識不滿足第二映射關係(臨時信任登錄符記為x6478對應的目前信任登錄標識為3451,不是3450),臨時信任登錄符記為x6478可能是盜用、過期等非法符記,因此,第一伺服器可以拒絕此次業務接取請求。   S3.6:第一伺服器若判斷出臨時信任登錄符記具有接取對應業務頁面的業務權限,允許目標客戶端信任登錄到第一伺服器上,返回目標客戶端請求接取的業務頁面。反之,第一伺服器若判斷出臨時信任登錄符記不具有接取對應業務頁面的業務權限,禁止目標客戶端接取對應業務頁面。   具體實施過程中,第一伺服器允許目標客戶端信任登錄到第一伺服器上,可以僅在第一伺服器上完成信任登錄即可,不執行目標客戶端到第一伺服器的第一客戶端的跳轉,而是向目標客戶端返回業務頁面,提升用戶的使用體驗。例如:地圖應用系統A與支付應用系統B,地圖應用系統A的用戶在目標客戶端(即地圖客戶端軟體)上點擊接取登錄項,請求接取支付應用系統B的業務頁面C,支付應用系統B只用驗證完成目標客戶端用戶在系統B上的信任登錄,然後返回地圖客戶端軟體業務頁面C即可,而不用跳轉進入支付應用系統B的支付客戶端軟體中。   進一步的,第一伺服器提供的業務頁面可以嵌入加載到目標客戶端的頁面,採用H5頁面(即html5頁面:採用超文件標示語言的第五次修訂語言實現的頁面)來實現業務頁面的業務流程以及業務展示,減少第一伺服器的第一應用系統的開發,第一伺服器只用完成信任登錄返回頁面即可,可實現將業務頁面推廣到更多的應用系統、客戶端的目的。   在信任登錄後,第一伺服器可以在對應的業務頁面中埋下標識,如在根據信任登錄結果來寫目標客戶端與業務頁面的會話控制session,將目標客戶端的用戶標識寫入session,表明信任登錄成功,有效期內目標客戶端無需再次登錄,業務頁面在有效期內可以直接響應目標客戶端的業務操作。   請參考圖1e,下面透過一個互動實例,來對本案實施例提供的信任登錄方法,進行完整說明。   S1.1:目標客戶端響應用戶對目標接取登錄項的操作,向第二伺服器發送信任登錄請求。   例如:假設在地圖APP中嵌入有支付APP的車險接取登錄項。目標客戶端上的用戶B點擊在地圖APP上的車險接取登錄項,目標客戶端響應該點擊操作,向地圖APP的第二伺服器發送信任登錄請求。其中,信任登錄請求中寫有所要接取的業務頁面的業務ID、目標客戶端的用戶帳號。   S2.1:第二伺服器接收目標客戶端發送的信任登錄請求。   S2.2:第二伺服器基於接收到的信任登錄請求,產生符記獲取請求並發送至第一伺服器。   第二伺服器可以將信任登錄請求和第一伺服器頒發的目前信任登錄標識封裝產生符記獲取請求,然後,將封裝產生的符記獲取請求發送至第一伺服器。例如:地圖APP的第二伺服器可以先將支付APP的伺服器頒發的目前信任登錄標識XXX與接收到的信任登錄請求進行封裝,然後,將封裝產生的符記獲取請求發送至支付APP的第一伺服器。   S3.1:第一伺服器接收第二伺服器發送的符記獲取請求。   S3.2:第一伺服器產生臨時信任登錄符記並設置臨時信任登錄符記接取頁面的業務權限。   例如:支付APP的第一伺服器從接收到的符記獲取請求中獲取目前信任登錄標識。確認目前信任登錄標識與第一伺服器保存的向第二伺服器頒發的目前信任登錄標識是否一致;若一致,可以根據符記獲取請求確定目標客戶端接取頁面的業務權限,若不一致,則拒絕符記獲取請求。假設確認出地圖APP的目標客戶端只能接取支付APP的車險頁面,則產生臨時信任登錄符記,並設置臨時信任登錄符記接取頁面的業務權限為:只能够接取車險頁面,並將產生的臨時信任登錄符記發送至地圖APP的第二伺服器。   S3.3:第一伺服器透過第二伺服器將產生的臨時信任登錄符記發送至目標客戶端。   具體的,第一伺服器先將臨時信任登錄符記發作為符記獲取請求的反饋信息反饋至第二伺服器。再由第二服務將臨時信任登錄符記發送至目標客戶端。   S2.3:第二伺服器接收第一伺服器反饋的臨時信任登錄符記,將臨時信任登錄符記發送至目標客戶端。具體的,第二伺服器還可以將第一伺服器頒發的目前信任登錄標識與臨時信任登錄一起發送至目標客戶端。   S1.2:目標客戶端接收第二伺服器發送的臨時信任登錄符記。   S1.3:目標客戶端基於接收到的臨時信任登錄符記,產生接取該業務頁面的頁面接取請求並發送至第一伺服器,以請求登錄第一伺服器並接取第一伺服器提供的業務頁面。   例如:目標客戶端可以將接收到的臨時信任登錄符記、所要接取的業務ID、目前信任登錄標識等信息進行封裝,將封裝產生的頁面接取請求發送至支付APP的第一伺服器。   S3.4:第一伺服器接收第二伺服器對應的目標客戶端發送的頁面接取請求。   S3.5:第一伺服器獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取目標客戶端請求接取的業務頁面的業務權限。   例如:若頁面接取請求中包含臨時信任登錄符記、所要接取的業務ID、目前信任登錄標識。支付APP的第一伺服器可以根據其在先建立的臨時信任登錄符記的映射關係表如表一所示,判斷臨時信任登錄符記與業務ID之間是否滿足第一映射關係、臨時信任登錄符記與目前信任登錄標識之間是否滿足第二映射關係。在判斷出臨時信任登錄符記與業務ID之間滿足第一映射關係、臨時信任登錄符記與目前信任登錄標識之間是否滿足第二映射關係時,確認臨時信任登錄符記具有接取目標客戶端請求接取的業務頁面的業務權限;反之,則確認臨時信任登錄符記不具有接取目標客戶端請求接取的業務頁面的業務權限,拒絕頁面接取請求。   S3.6:第一伺服器若判斷出臨時信任登錄符記具有接取對應業務頁面的業務權限,允許目標客戶端信任登錄到第一伺服器上,返回目標客戶端請求接取的業務頁面。   在上述實施例中,第一伺服器透過頒發臨時信任登錄符記來限制第二伺服器的目標客戶端信任登錄後的接取業務頁面的權限,有效的保護了第一伺服器上的其它業務頁面,解決了現有技術中全域通用的信任登錄存在的安全問題,提高了信任登錄的安全性。與此同時,本案還透過業務頁面返回的方式,可實現第二應用系統到第一應用系統,再到第二應用系統的複雜登錄,避免了應用系統與應用系統之間的來回跳轉,提升了用戶體驗。 實施例二   基於同一發明構思,本案實施例還對應提供一種第一伺服器200,如圖2所示,該第一伺服器200包括:   接收單元21,用於接收第二伺服器對應的目標客戶端發送的頁面接取請求,所述頁面接取請求用於請求接取所述第一伺服器提供的業務頁面;   判斷單元22,用於獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限;   接取限制單元23,用於在所述臨時信任登錄符記具有接取所述業務頁面的業務權限時,允許所述目標客戶端信任登錄到所述第一伺服器上,返回所述目標客戶端請求接取的所述業務頁面。   其中,所述業務頁面為可嵌入加載到所述目標客戶端的頁面。   作為一種可選的實施方式,所述判斷單元22可以用於:判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係;若所述臨時信任登錄符記與所述業務身份標識之間滿足所述第一映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。反之,確定所述臨時信任登錄符記不具有所述業務權限。   所述判斷單元22也可以用於:判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係,及判斷所述臨時信任登錄符記與所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識之間是否滿足第二映射關係;若所述臨時信任登錄符記與所述業務身份標識之間滿足所述第一映射關係,且所述臨時信任登錄符記與所述目前信任登錄標識之間滿足所述第二映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。   在判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限之前,所述判斷單元22還可以用於:判斷所述臨時信任登錄符記是否合法,以及判斷所述臨時信任登錄符記是否過期;若所述臨時信任登錄符記合法且未過期,執行判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限的操作。   作為一種可選的實施方式,所述接收單元21還可以用於:接收第二伺服器發送的符記獲取請求;所述判斷單元22還可以用於:基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端;相應的,所述第一伺服器200還包括:產生單元24,用於在所述目標客戶端是授信客戶端時,產生所述臨時信任登錄符記並設置所述臨時信任登錄符記接取頁面的業務權限;發送單元25,用於透過所述第二伺服器將所述臨時信任登錄符記發送至所述目標客戶端。   作為一種可選的實施方式,所述判斷單元22還可以用於:判斷所述符記獲取請求中是否包含所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識;若包含,確定所述目標客戶端為授信客戶端。或者,判斷所述目標客戶端在所述第一伺服器中是否存在對應的第一客戶端;若存在,確定所述目標客戶端為授信客戶端。   同樣的,本案實施例還提供一種第二伺服器300,所述第二伺服器為目標客戶端的伺服端,如圖3所示,所述第二伺服器300包括:   接收模組31,用於接收所述目標客戶端發送的信任登錄請求,所述信任登錄請求用於請求登錄第一伺服器並接取所述第一伺服器提供的業務頁面;   產生模組32,用於基於所述信任登錄請求,產生符記獲取請求並透過發送模組33發送至所述第一伺服器;   所述接收模組31還用於接收所述第一伺服器反饋的臨時信任登錄符記,所述臨時信任登錄符記具有登錄所述第一伺服器並接取所述業務頁面的業務權限;   所述發送模組33還用於將所述臨時信任登錄符記反饋至所述目標客戶端,以使所述目標客戶端透過所述臨時信任登錄符記登錄所述第一伺服器並接取所述業務頁面。   具體的,所述產生模組32,用於:獲取所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識,所述目前信任登錄標識為獲取所述臨時信任登錄符記的憑證;將所述目前信任登錄標識寫入所述接取請求,以產生所述符記獲取請求。   基於上述實施例提供的信任登錄方法,本案實施例還對應提供一種信任登錄系統,如圖4所示,所述系統包括:   第一伺服器200;   第二伺服器300;   目標客戶端100,用於發送響應用戶對目標接取登錄項的操作,向所述第二伺服器300發送信任登錄請求,所述信任登錄請求用於請求登錄所述第一伺服器200並接取所述第一伺服器200提供的業務頁面;接收所述第二伺服器300發送的臨時信任登錄符記,所述臨時信任登錄符記具有接取所述業務頁面的業務權限;基於所述臨時信任登錄符記,產生接取所述業務頁面的接取請求並發送至第一伺服器200,以請求登錄所述第一伺服器200並接取所述業務頁面。   關於上述實施例中的裝置,其中各個模組、單元執行操作的具體方式已經在有關該方法的實施例中進行了詳細描述,此處將不做詳細闡述說明。   應當理解的是,本發明並不侷限於上面已經描述並在附圖中示出的精確結構,並且可以在不脫離其範圍進行各種修改和改變。本發明的範圍僅由所附的申請專利範圍來限制。   以上所述僅為本發明的較佳實施例,並不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護範圍之內。
200‧‧‧第一伺服器21‧‧‧接收單元22‧‧‧判斷單元23‧‧‧接取限制單元24‧‧‧產生單元300‧‧‧第二伺服器31‧‧‧接收模組32‧‧‧發送模組33‧‧‧產生模組100‧‧‧目標客戶端
圖1a為本案實施例一提供的目標客戶端信任登錄方法的流程圖;   圖1b為本案實施例一提供的第二伺服器側信任登錄方法的流程圖;   圖1c為本案實施例一提供的第一伺服器側信任登錄方法的符記下發流程圖;   圖1d為本案實施例一提供的第一伺服器側信任登錄方法的符記驗證流程圖;   圖1e為本案實施例一提供的信任登錄方法的互動示意圖;   圖2為本案實施例二提供的第一伺服器的示意圖;   圖3為本案實施例二提供的第二伺服器的示意圖;   圖4為本案實施例二提供的一種信任登錄系統的示意圖。

Claims (21)

  1. 一種信任登錄方法,應用於第一伺服器,其特徵在於,所述方法包括:接收第二伺服器對應的目標客戶端發送的頁面接取請求,所述頁面接取請求用於請求接取所述第一伺服器提供的業務頁面;產生臨時信任登錄符記;設定該臨時信任登錄符記的接取業務頁面的業務權限;獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限;若所述臨時信任登錄符記具有接取所述業務頁面的業務權限,允許所述目標客戶端信任登錄到所述第一伺服器上,返回所述目標客戶端請求接取的所述業務頁面。
  2. 如申請專利範圍第1項所述的方法,其中,判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限,包括:判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係;若所述臨時信任登錄符記與所述業務身份標識之間滿足第一映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。
  3. 如申請專利範圍第1項所述的方法,其中,判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限,包括:判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係,及判斷所述臨時信任登錄符記與所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識之間是否滿足第二映射關係;若所述臨時信任登錄符記與所述業務身份標識之間滿足所述第一映射關係,且所述臨時信任登錄符記與所述目前信任登錄標識之間滿足所述第二映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。
  4. 如申請專利範圍第1項所述的方法,其中,在所述判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限之前,所述方法還包括:判斷所述臨時信任登錄符記是否合法,以及判斷所述臨時信任登錄符記是否過期;若所述臨時信任登錄符記合法且未過期,執行判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限的操作。
  5. 如申請專利範圍第1項所述的方法,其中,所述業務頁面為可嵌入加載到所述目標客戶端的頁面。
  6. 如申請專利範圍第1~5項中任一項所述的方法,其中,所述方法還包括:接收第二伺服器發送的符記獲取請求;基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端;若所述目標客戶端是授信客戶端,產生所述臨時信任登錄符記並設置所述臨時信任登錄符記接取頁面的業務權限;透過所述第二伺服器將所述臨時信任登錄符記發送至所述目標客戶端。
  7. 如申請專利範圍第6項所述的方法,其中,所述基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端,包括:判斷所述符記獲取請求中是否包含所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識;若包含,確定所述目標客戶端為授信客戶端。
  8. 如申請專利範圍第6項所述的方法,其中,所述基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端,包括:判斷所述目標客戶端在所述第一伺服器中是否存在對應的第一客戶端; 若存在,確定所述目標客戶端為授信客戶端。
  9. 一種信任登錄方法,應用於第二伺服器,所述第二伺服器為目標客戶端的伺服端,其特徵在於,所述方法包括:接收所述目標客戶端發送的信任登錄請求,所述信任登錄請求用於請求登錄第一伺服器並接取所述第一伺服器提供的業務頁面;基於所述信任登錄請求,產生符記獲取請求並發送至所述第一伺服器;接收所述第一伺服器反饋的臨時信任登錄符記,所述臨時信任登錄符記具有登錄所述第一伺服器並接取所述業務頁面的業務權限;將所述臨時信任登錄符記發送至所述目標客戶端,以使所述目標客戶端透過所述臨時信任登錄符記登錄所述第一伺服器並接取所述業務頁面。
  10. 如申請專利範圍第9項所述的方法,其中,所述基於所述接取請求,產生符記獲取請求並發送至所述第一伺服器,包括:獲取所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識,所述目前信任登錄標識為獲取所述臨時信任登錄符記的憑證;將所述目前信任登錄標識寫入所述接取請求,以產生 所述符記獲取請求。
  11. 一種第一伺服器,其特徵在於,包括:接收單元,用於接收第二伺服器對應的目標客戶端發送的頁面接取請求,所述頁面接取請求用於請求接取所述第一伺服器提供的業務頁面;產生單元,用於產生臨時信任登錄符記並設定所述臨時信任登錄符記接取頁面的業務權限;發送單元,用於透過該第二伺服器將該臨時信任登錄符記發送至該目標客戶端;判斷單元,用於獲取並判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限;接取限制單元,用於在所述臨時信任登錄符記具有接取所述業務頁面的業務權限時,允許所述目標客戶端信任登錄到所述第一伺服器上,返回所述目標客戶端請求接取的所述業務頁面。
  12. 如申請專利範圍第11項所述的第一伺服器,其中,所述判斷單元,用於:判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係;若所述臨時信任登錄符記與所述業務身份標識之間滿足第一映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。
  13. 如申請專利範圍第11項所述的第一伺服器,其中,所述判斷單元,用於:判斷所述臨時信任登錄符記與所述業務頁面的業務身份標識之間是否滿足第一映射關係,及判斷所述臨時信任登錄符記與所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識之間是否滿足第二映射關係;若所述臨時信任登錄符記與所述業務身份標識之間滿足所述第一映射關係,且所述臨時信任登錄符記與所述目前信任登錄標識之間滿足所述第二映射關係,確定所述臨時信任登錄符記具有接取所述業務頁面的業務權限。
  14. 如申請專利範圍第11項所述的第一伺服器,其中,所述判斷單元還用於:在判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限之前,判斷所述臨時信任登錄符記是否合法,以及判斷所述臨時信任登錄符記是否過期;若所述臨時信任登錄符記合法且未過期,執行判斷所述頁面接取請求中的臨時信任登錄符記是否具有接取所述業務頁面的業務權限的操作。
  15. 如申請專利範圍第11項所述的第一伺服器,其中,所述業務頁面為可嵌入加載到所述目標客戶端的頁面。
  16. 如申請專利範圍第11~15項中任一項所述的第一伺服器,其中,所述接收單元還用於:接收第二伺服器發送的符記獲取請求;所述判斷單元還用於:基於所述符記獲取請求,判斷所述目標客戶端是否為授信客戶端;所述第一伺服器還包括:產生單元,用於在所述目標客戶端是授信客戶端時,產生所述臨時信任登錄符記並設置所述臨時信任登錄符記接取頁面的業務權限;發送單元,用於透過所述第二伺服器將所述臨時信任登錄符記發送至所述目標客戶端。
  17. 如申請專利範圍第16項所述的第一伺服器,其中,所述判斷單元,還用於:判斷所述符記獲取請求中是否包含所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識;若包含,確定所述目標客戶端為授信客戶端。
  18. 如申請專利範圍第16項所述的第一伺服器,其中,所述判斷單元,還用於:判斷所述目標客戶端在所述第一伺服器中是否存在對應的第一客戶端;若存在,確定所述目標客戶端為授信客戶端。
  19. 一種第二伺服器,所述第二伺服器為目標客戶端的伺服端,其特徵在於,所述第二伺服器包括:接收模組,用於接收所述目標客戶端發送的信任登錄請求,所述信任登錄請求用於請求登錄第一伺服器並接取所述第一伺服器提供的業務頁面;產生模組,用於基於所述信任登錄請求,產生符記獲取請求並透過發送模組發送至所述第一伺服器;所述接收模組還用於接收所述第一伺服器反饋的臨時信任登錄符記,所述臨時信任登錄符記具有登錄所述第一伺服器並接取所述業務頁面的業務權限;所述發送模組還用於將所述臨時信任登錄符記反饋至所述目標客戶端,以使所述目標客戶端透過所述臨時信任登錄符記登錄所述第一伺服器並接取所述業務頁面。
  20. 如申請專利範圍第19項所述的第二伺服器,其中,所述產生模組,用於:獲取所述第一伺服器向所述第二伺服器頒發的目前信任登錄標識,所述目前信任登錄標識為獲取所述臨時信任登錄符記的憑證;將所述目前信任登錄標識寫入所述接取請求,以產生所述符記獲取請求。
  21. 一種信任登錄系統,其特徵在於,所述系統包括: 如申請專利範圍第11~18項中任一項所述之第一伺服器;如申請專利範圍第19或20項所述之第二伺服器;目標客戶端,用於發送響應用戶對目標接取登錄項的操作,向所述第二伺服器發送信任登錄請求,所述信任登錄請求用於請求登錄所述第一伺服器並接取所述第一伺服器提供的業務頁面;接收所述第二伺服器發送的臨時信任登錄符記,所述臨時信任登錄符記具有接取所述業務頁面的業務權限;基於所述臨時信任登錄符記,產生接取所述業務頁面的接取請求並發送至第一伺服器,以請求登錄所述第一伺服器並接取所述業務頁面。
TW106138739A 2017-02-09 2017-11-09 信任登錄方法、伺服器及系統 TWI706263B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201710071568.6A CN107026847B (zh) 2017-02-09 2017-02-09 一种信任登录方法、服务器及系统
CN201710071568.6 2017-02-09

Publications (2)

Publication Number Publication Date
TW201830280A TW201830280A (zh) 2018-08-16
TWI706263B true TWI706263B (zh) 2020-10-01

Family

ID=59525544

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106138739A TWI706263B (zh) 2017-02-09 2017-11-09 信任登錄方法、伺服器及系統

Country Status (12)

Country Link
US (2) US11057363B2 (zh)
EP (2) EP3745290B1 (zh)
JP (1) JP6756051B2 (zh)
KR (1) KR102118840B1 (zh)
CN (2) CN107026847B (zh)
ES (1) ES2816556T3 (zh)
MY (1) MY195630A (zh)
PH (1) PH12019501854A1 (zh)
PL (1) PL3580679T3 (zh)
SG (2) SG11201907320YA (zh)
TW (1) TWI706263B (zh)
WO (1) WO2018148568A1 (zh)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107026847B (zh) 2017-02-09 2020-05-26 阿里巴巴集团控股有限公司 一种信任登录方法、服务器及系统
CN109426734A (zh) * 2017-08-28 2019-03-05 阿里巴巴集团控股有限公司 一种访问方法、装置、系统及电子设备
CN109688086A (zh) * 2017-10-19 2019-04-26 北京京东尚科信息技术有限公司 用于终端设备的权限控制方法和装置
CN108200050B (zh) * 2017-12-29 2022-07-01 重庆金融资产交易所有限责任公司 单点登录服务器、方法及计算机可读存储介质
CN108846634B (zh) * 2018-05-30 2022-08-12 北京尚易德科技有限公司 一种案件自动授权方法及系统
CN109033808B (zh) * 2018-07-03 2020-08-18 福建天晴数码有限公司 一种体验游戏的方法及账号服务端
CN110795720A (zh) * 2018-08-03 2020-02-14 北京京东尚科信息技术有限公司 信息处理方法、系统、电子设备和计算机可读介质
CN110912865A (zh) * 2018-09-18 2020-03-24 深圳市鸿合创新信息技术有限责任公司 一种安全访问控制方法及服务器、电子设备
CN109462604B (zh) * 2018-12-17 2021-11-12 北京城市网邻信息技术有限公司 一种数据传输方法、装置、设备及存储介质
CN111385279A (zh) * 2018-12-28 2020-07-07 深圳市优必选科技有限公司 业务访问的权限系统和方法
CN109962908B (zh) * 2019-01-22 2023-06-13 深圳壹账通智能科技有限公司 基于令牌的权限管理方法、装置、设备和存储介质
CN112383663B (zh) * 2019-05-08 2022-03-04 华为技术有限公司 一种显示的方法及设备
CN116049785A (zh) * 2019-07-04 2023-05-02 创新先进技术有限公司 一种身份认证的方法和系统
CN110493184B (zh) * 2019-07-09 2022-10-14 深圳壹账通智能科技有限公司 在客户端中登录页面的处理方法、装置、电子装置
US11329823B2 (en) 2019-09-26 2022-05-10 Bank Of America Corporation User authentication using tokens
US11303629B2 (en) 2019-09-26 2022-04-12 Bank Of America Corporation User authentication using tokens
US11140154B2 (en) * 2019-09-26 2021-10-05 Bank Of America Corporation User authentication using tokens
CN110784457B (zh) * 2019-10-17 2022-08-19 中诚信征信有限公司 一种业务访问方法及装置
CN111027051B (zh) * 2019-10-29 2021-12-17 贝壳技术有限公司 控制页面权限调用的方法、装置及可读存储介质
CN111177672A (zh) * 2019-12-20 2020-05-19 北京淇瑀信息科技有限公司 一种页面访问控制方法、装置和电子设备
CN114945037B (zh) * 2020-01-19 2024-05-07 先进新星技术(新加坡)控股有限公司 会话建立方法、跨境支付方法、装置及系统
CN111259363B (zh) * 2020-01-19 2022-10-28 数字广东网络建设有限公司 业务访问信息处理方法、系统、装置、设备和存储介质
CN111355730A (zh) * 2020-02-28 2020-06-30 政采云有限公司 一种平台登录方法、装置、设备及计算机可读存储介质
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
CN112069436B (zh) * 2020-08-11 2024-07-02 长沙市到家悠享网络科技有限公司 页面展示方法、系统和设备
CN112016074B (zh) * 2020-09-09 2024-08-06 政采云有限公司 一种逆向授权登录的方法、装置及介质
CN112333198B (zh) * 2020-11-17 2023-09-05 中国银联股份有限公司 安全跨域登录方法、系统及服务器
CN112491861A (zh) * 2020-11-20 2021-03-12 长沙市到家悠享网络科技有限公司 登录状态同步方法、设备及存储介质
CN113032749A (zh) * 2021-03-03 2021-06-25 北京读我网络技术有限公司 一种同步鉴权方法及装置
CN113536365B (zh) * 2021-06-07 2022-10-28 北京字跳网络技术有限公司 一种文件访问方法、装置、设备及介质
CN113347190B (zh) * 2021-06-10 2022-10-21 北京字节跳动网络技术有限公司 鉴权方法、系统、从站点服务器、客户端、设备和介质
CN113487328A (zh) * 2021-07-27 2021-10-08 中国银行股份有限公司 业务身份切换方法及装置
CN114124430B (zh) * 2021-08-31 2024-03-01 青岛海尔科技有限公司 一种令牌置换方法、装置和存储介质
CN114416195B (zh) * 2021-12-24 2023-08-18 青岛海尔科技有限公司 一种h5页面加载方法、装置、智能终端及服务器
CN114465785B (zh) * 2022-01-21 2024-01-30 云新易联(北京)科技有限公司 服务器登录管理方法、系统、装置及存储介质
CN116541814B (zh) * 2023-07-04 2023-09-08 北京亿中邮信息技术有限公司 一种统一登录认证方法、系统
CN118018274A (zh) * 2024-02-01 2024-05-10 徐州好一家科技有限公司 一种互联网访问方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120204221A1 (en) * 2009-10-22 2012-08-09 Universidad Politecnica De Madrid Method for managing access to protected resources in a computer network, physical entities and computer programs therefor
US20130086645A1 (en) * 2011-09-29 2013-04-04 Oracle International Corporation Oauth framework
TW201644293A (zh) * 2015-06-10 2016-12-16 Chunghwa Telecom Co Ltd 無線網路傳輸方法及裝置

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5210795A (en) 1992-01-10 1993-05-11 Digital Equipment Corporation Secure user authentication from personal computer
US7721329B2 (en) * 2003-11-18 2010-05-18 Aol Inc. Method and apparatus for trust-based, fine-grained rate limiting of network requests
US8214890B2 (en) 2008-08-27 2012-07-03 Microsoft Corporation Login authentication using a trusted device
US9276929B2 (en) 2013-03-15 2016-03-01 Salesforce.Com, Inc. Method and apparatus for multi-domain authentication
US8935777B2 (en) 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
WO2013145517A1 (ja) 2012-03-28 2013-10-03 ソニー株式会社 情報処理装置、情報処理システム、情報処理方法及びプログラム
US9032033B2 (en) 2012-07-19 2015-05-12 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for private token communication services
US9954843B2 (en) 2013-02-28 2018-04-24 Microsoft Technology Licensing, Llc Web ticket based upon a symmetric key usable for user authentication
US9531719B1 (en) * 2014-04-29 2016-12-27 Amazon Technologies, Inc. Permissions for hybrid distributed network resources
JP6354407B2 (ja) 2014-07-11 2018-07-11 株式会社リコー 認証システム、認証方法、プログラム及び通信システム
CN104580496B (zh) * 2015-01-22 2018-04-13 深圳先进技术研究院 一种基于临时代理的虚拟机访问系统及服务器
CN105897663A (zh) * 2015-01-26 2016-08-24 阿里巴巴集团控股有限公司 一种确定访问权限的方法、装置及设备
CN107026847B (zh) 2017-02-09 2020-05-26 阿里巴巴集团控股有限公司 一种信任登录方法、服务器及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120204221A1 (en) * 2009-10-22 2012-08-09 Universidad Politecnica De Madrid Method for managing access to protected resources in a computer network, physical entities and computer programs therefor
US20130086645A1 (en) * 2011-09-29 2013-04-04 Oracle International Corporation Oauth framework
TW201644293A (zh) * 2015-06-10 2016-12-16 Chunghwa Telecom Co Ltd 無線網路傳輸方法及裝置

Also Published As

Publication number Publication date
CN111628971B (zh) 2022-09-13
TW201830280A (zh) 2018-08-16
SG11201907320YA (en) 2019-09-27
CN107026847B (zh) 2020-05-26
US11057363B2 (en) 2021-07-06
US20180227290A1 (en) 2018-08-09
ES2816556T3 (es) 2021-04-05
PH12019501854A1 (en) 2020-06-15
JP6756051B2 (ja) 2020-09-16
EP3745290A1 (en) 2020-12-02
EP3580679B1 (en) 2020-07-22
KR102118840B1 (ko) 2020-06-04
MY195630A (en) 2023-02-03
CN107026847A (zh) 2017-08-08
WO2018148568A1 (en) 2018-08-16
US20210336945A1 (en) 2021-10-28
US11212271B2 (en) 2021-12-28
CN111628971A (zh) 2020-09-04
PL3580679T3 (pl) 2020-11-16
EP3580679A1 (en) 2019-12-18
KR20190118608A (ko) 2019-10-18
JP2020509475A (ja) 2020-03-26
EP3745290B1 (en) 2021-12-08
SG10202108677WA (en) 2021-09-29

Similar Documents

Publication Publication Date Title
TWI706263B (zh) 信任登錄方法、伺服器及系統
CN109309683B (zh) 基于token的客户端身份验证的方法及系统
US10810515B2 (en) Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment
TWI659313B (zh) Automatic login method and device between multiple websites
US7788711B1 (en) Method and system for transferring identity assertion information between trusted partner sites in a network using artifacts
WO2021169107A1 (zh) 一种网络身份保护方法、装置及电子设备和存储介质
CN101027676B (zh) 用于可控认证的个人符记和方法
CN102265255B (zh) 通过凭证的逐步到期来提供联合认证服务的系统和方法
EP1427160B1 (en) Methods and systems for authentication of a user for sub-locations of a network location
US8196177B2 (en) Digital rights management (DRM)-enabled policy management for a service provider in a federated environment
US8028331B2 (en) Source access using request and one-way authentication tokens
WO2014048749A1 (en) Inter-domain single sign-on
KR20170106515A (ko) 다중 팩터 인증 기관
KR20040076627A (ko) 디지털 콘텐츠 권리 관리 아키텍처로의 drm 서버등록/부등록 방법
US20080005573A1 (en) Credentials for blinded intended audiences
CN112532599B (zh) 一种动态鉴权方法、装置、电子设备和存储介质
KR20130109322A (ko) 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법
JP2007280393A (ja) コンピューターログインをコントロールする装置およびその方法
KR101803535B1 (ko) 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법
KR101839049B1 (ko) 서버단 세션 관리 방식 및 쿠키 정보 공유 방식을 병행 지원하는 싱글 사인온 인증 방법
EP2077019A1 (en) Secure access
KR102062851B1 (ko) 토큰 관리 데몬을 이용한 싱글 사인 온 서비스 인증 방법 및 시스템
US11849041B2 (en) Secure exchange of session tokens for claims-based tokens in an extensible system
Chandersekaran et al. Information sharing and federation
Alrodhan Identity management systems