CN101075875B - 在门户/***之间实现单点登录的方法及其*** - Google Patents
在门户/***之间实现单点登录的方法及其*** Download PDFInfo
- Publication number
- CN101075875B CN101075875B CN200710112108XA CN200710112108A CN101075875B CN 101075875 B CN101075875 B CN 101075875B CN 200710112108X A CN200710112108X A CN 200710112108XA CN 200710112108 A CN200710112108 A CN 200710112108A CN 101075875 B CN101075875 B CN 101075875B
- Authority
- CN
- China
- Prior art keywords
- door
- user
- message
- session
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种用于在门户之间实现单点登录的方法和***。所述方法包括以下步骤:第一门户对用户进行验证并建立与用户的第一会话;用户在第一门户中点击对第二门户的***;第一门户产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;以及第二门户根据第一消息中的用户身份认证信息确定该用户已经被验证,并建立与该用户的第二会话以允许该用户访问第二门户。
Description
技术领域
本发明涉及互联网及移动互联网的用户门户/***(Portal)的登录方法及其***,更具体地,本发明涉及在不同门户/***之间实现单点登录的方法及***,其中,用户在登录一个门户/***后,无须再次进行登录操作,就可以访问其它门户/***。
背景技术
单点登录(SSO:Single Sign On)技术主要用于实现“单点登陆、一网通行”,例如,用户登陆某一门户/***后,在门户/***中点击某一其它链接,则重定向到其它***,此时通过SSO接口,可以避免用户再次输入帐号/密码来进行再次登陆。即,用户只要在门户/***中登陆一次,就可以通过该门户/***访问所有实现SSO的其它相关授权***。
目前实现SSO的技术主要有两种:一种是利用自动化登录技术来屏蔽用户登录不同***的过程;一种是采用具有SSO功能的协议来完成。无论采用上述技术中的哪一种技术来实现SSO,都需要完成一个共同的过程,即,最初的登录过程。
第一种现有技术采用自动化登录技术,即,屏蔽用户登录目标***的过程。其中,用户在最初使用目标***的时候,需要输入用户名和口令(或者其它认证方式),之后,当用户通过该目标***访问其它***时,该自动化技术能够通过一些脚本自动为用户输入口令和用户名,而整个登录过程用户不参与。这种方式对目标***较为透明,能够通过客户端脚本语言(如javascript、vbscript等)完成对绝大多数目标***的登录过程。但是登录脚本的编写比较复杂,同时对客户端浏览器有一定要求,例如,需要其支持Cookie(由web服务器创建的并存储在客户端本地的文本信息称之为Cookie)。在移动互联网中,由于手机浏览器目前实现支持Cookie的能力不一致,因此,大多数手机还不能完全支持Cookie。而且由于Cookie数据放在客户端,用户终端本地的其它程序可以读取所述Cookie数据,因此,这种布置安全性比较差。
第二种技术采用具有SSO功能的网络协议。例如,典型的具有SSO功能的网络协议是Kerberos协议。通过Kerberos协议,能够采用票据(ticket-granting ticket)方式来访问多个目标***,其中,在由认证服务器认证用户之后,服务器为用户产生一张票,用户可以凭借这张票来访问所有授权的***。这种技术是目前普遍采用的一种单点登录技术。例如,采用所述技术的示例性***如图1所示。
但是,第二种技术也具有缺点。该技术需要对目标***或目标服务进行Kerberos化,即需要***支持Kerberos协议。这限制所述技术对一些封闭***的应用(例如,网络设备上的应用)。例如,目前在很多网络设备上都不支持Kerberos认证,并且由于Kerberos协议中的消息无法穿透防火墙,因此,这些限制条件就限制了Kerberos协议往往只能应用于一个组织的内部。然而,许多门户/***是提供给公网上的广大用户进行访问的,这其中必然涉及到防火墙。如果SSO协议无法穿透防火墙,则其应用的范围明显受到限制。
因此,需要一种新的技术方案来解决上述现有技术中的问题。
发明内容
为了解决上述问题,本发明设计了一种用于单点登录的技术。
根据本发明的第一方面,提供了一种用于在门户之间实现单点登录的方法,包括以下步骤:第一门户对用户进行验证并建立与用户的第一会话;用户在第一门户中点击对第二门户的***;第一门户产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;以及第二门户根据第一消息中的用户身份认证信息确定该用户已经被验证,并建立与该用户的第二会话以允许该用户访问第二门户。
在本发明的第一方面的一个实施例中,所述方法还包括以下步骤:如果用户在访问第一门户之前访问第二门户,则第二门户将重定向到第一门户来验证所述用户。
在本发明的第一方面的另一个实施例中,所述方法还包括以下步骤:第二门户在第一会话的生存周期内发送会话保持消息给第一门户以维持第一会话。
在本发明的第一方面的另一个实施例中,所述方法还包括以下步骤:采用DES算法和MD5算法来对第一消息进行加密和解密。
在本发明的第一方面的另一个实施例中,所述方法还包括以下步骤:第一门户通过用户名和密码来验证所述用户。
在本发明的第一方面的另一个实施例中,所述方法还包括以下步骤:第一门户通过用户的MSISDN来验证所述用户。
在本发明的第一方面的另一个实施例中,所述第一消息是以HTTP协议格式的。
根据本发明的第二方面,提供了一种用于在门户之间实现单点登录的***,包括:第一门户,其被配置成对用户进行验证,建立与该用户的用户终端的第一会话,产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;第二门户,其被配置成根据第一消息中的用户身份认证信息确定该用户已经被验证,并建立与该用户的用户终端的第二会话以允许该用户访问第二门户;以及用户终端,其被配置成访问所述门户。
在本发明的第二方面的一个实施例中,第二门户还被配置成在用户在访问第一门户之前访问第二门户的情况下重定向到第一门户,以便让第一门户验证所述用户。
在本发明的第二方面的另一个实施例中,第二门户还被配置成在第一会话的生存周期内发送会话保持消息给第一门户,以便维持第一会话。
在本发明的第二方面的另一个实施例中,第一门户被配置成采用DES算法和MD5算法来对第一消息进行加密,以及第二门户被配置成采用DES算法和MD5算法来对第一消息进行解密。
在本发明的第二方面的另一个实施例中,第一门户还被配置成通过用户名和密码来验证所述用户。
在本发明的第二方面的另一个实施例中,第一门户还被配置成通过用户的MSISDN来验证所述用户。
在本发明的第二方面的另一个实施例中,所述第一消息是以HTTP协议格式的。
根据本发明的技术方案具有广泛的适用性。本发明的技术方案与现有技术不同。在根据本发明的技术方案中,用户在门户网站进行认证之后,认证的结果信息保存在后台(例如第一门户)中,并在第一门户中实现对其它门户的登录;而在现有技术中,Coockie和票据都是保存在用户终端中的,并且每次登录都是从终端直接向目标***登录。由于所有控制逻辑都在后台执行,即,在第一门户中执行对其它门户的访问认证,因此,根据本发明的技术方案对于用户终端没有特殊要求,其可以适用于互联网以及移动互联网应用。另外,根据本发明的SSO消息采用公知的标准通信协议,例如HTTP协议,因此,其可以穿透防火墙,从而能够在公共网络上应用本发明。因此,根据本发明的技术方法的设备支持程度高。
另外,根据本发明的技术方案,通过定时发送会话保持信息,可以使得在用户访问其它门户期间,其在第一门户中的会话一直处于激活状态,此时用户在其它门户中的会话也是激活的,这样用户就可以任意访问各个门户,而不需要多次认证。
此外,根据本发明的技术方案还具有很高的安全性。在根据本发明的技术方案中,用户认证信息保存在***的后台,并采用加密协议,例如MD5、DES(Data Encryption Standard)等来对所传递的消息进行加密,从而保证了用户信息的安全。
此外,由于采用现有的通信协议以及加密算法,并且只要能够传递SSO消息,就能够实现本发明的技术方案,因此,根据本发明的技术方案实现简单。
附图说明
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1是根据现有技术的示例性单点登录***的示意图。
图2是根据本发明的多个门户/***的总体***架构。
图3描述了根据本发明的用户会话保持的过程。
图4是示出根据本发明的一个实施例的单点登录方法的流程图。
图5是示出根据本发明的另一个实施例的单点登录方法的流程图。
具体事实方式
为了简明和清楚起见,附图中的单元不必按照比例来进行绘制,并且在不同附图中,相同参考标记表示相同的单元。此外,为了描述的简明以及不会在不必要的方面使得本发明模糊,而省略了关于公知步骤和单元的描述和细节。
本领域的普通技术人员应该明白,前面的一般描述和下面的详细描述是对发明进行举例和说明的,而不是为了对本发明进行限制的。
下面通过例子来说明本发明的技术方案。
根据本发明的SSO单点登录方法是基于公知的国际标准协议的,其采用门户/***之间的用户会话(Session)的方式,实现不同门户/***之间的单点登录,并保持用户在上述门户/***中的激活状态。
根据本发明的方法实现的单点登录是完全通过由门户/***来实现的,对于用户的客户端浏览器无任何额外的要求。而且,门户/***之间的消息格式采用公知的国际标准协议,这样使得对设备的支持程度很高。另外,利用现有的、成熟的算法来对消息内容进行加密,从而令根据本发明的***实现变得容易。另外,本发明还可以应用在互联网和移动互联网等领域,从而真正实现互联网与移动互联网业务的融合。
在图2中示出了根据本发明的多个门户/***的总体***架构,所述总体***本架构用于构建根据本发明的SSO***。如图2所示,在一个实施例中,根据本发明的***包括用户终端、门户A和门户B。其中,用户终端首先访问门户A,并随后通过门户A访问门户B。为了说明的简单而仅示出了门户B,本领域的普通技术人员应当理解,根据本发明的***还可以包括多个与门户B类似的其它门户,其中,用户终端可以通过门户A来访问所述其它门户。
根据本发明的***中的网络实体及其功能如下。
门户A:用户首先进行访问的门户***,其为用户提供身份认证功能,并产生SSO消息。其它门户***从门户A获取用户身份信息。门户A是网络内所有其它门户/***的认证入口门户。在互联网环境下,门户A提供用户登录界面,在移动互联网环境下,门户A可以提供后台隐式登录。门户A根据用户UserID产生SSO消息,并采用DES加密算法对UserID进行加密,以防止用户信息在传输过程中泄露。门户A在将所有SSO消息的***应用字段进行MD5摘要计算之后再传递给门户B,以防止用户信息在消息传递过程中被篡改。
门户B:用户通过门户A访问的其它门户***。门户B通过SSO接口从门户A获取用户身份信息,避免用户再次登录,从而给用户单点登录全网通行的良好体验。如果用户首先访问的是门户B,此时门户B不能从门户A获取用户身份信息,则门户B会调用门户A的登录界面,以让用户进行登录。门户B从门户A获取到SSO消息,并对所有SSO消息的***应用字段进行MD5摘要计算,以判断其中的数据是否被篡改过,并对SSO消息的***应用字段进行DES解密,以提取出其中的所有数据。
用户终端:用户访问***所使用的客户端。例如,在互联网情况下是用户电脑中的浏览器,以及在移动互联网情况下是用户手机中的WAP浏览器。例如,在移动互联网中,用户终端会携带用户用户身份信息。
其中,UserID用于表明用户的身份信息,在互联网环境下是用户手工输入的注册帐号,以及在移动互联网情况下是用户终端浏览器中携带的MSISDN号码。会话A是用户在门户A中产生的会话,其表明用户已经登录并访问门户A。会话B是用户在门户B中产生的会话,其表明用户已经登录并访问门户B。
下面将参照图2来说明根据本发明的方法的主要流程。根据本发明的方法的流程如下。
1.用户访问门户/***(以下简称为门户)A,门户A在收到用户访问请求后对用户进行验证,产生用户会话A。
2.用户通过在门户A中点击到门户B的链接来访问门户B。门户A产生SSO消息,其中,该SSO消息内包含有经加密的用户身份认证信息。门户A将所述SSO消息传递给门户B。
3.门户B根据所述SSO消息来获取用户的身份信息。如果门户B能够成功地获取用户身份信息,则在门户B内产生用户的会话B。可选地,在一个实施例中,如果门户B不能够成功地获取用户身份信息,则这表明用户尚未在门户A中进行登录,例如,用户在尚未在门户A中进行登录的情况下访问门户B。在这种情况下,门户B可以通过门户A提示用户进行***登录。
4.当在门户B内产生用户会话B之后,用户就可以不必再次登录而直接访问门户B了。
5.用户在访问门户B时,门户B的***后台定时向门户A发送会话保持消息,以使得用户在门户A中的会话A的生命周期得以延续。
综上所述,本方法通过在多个***中采用SSO消息和通用加密算法的方式,使用户在多个***中的会话相关联,并对相关联的会话进行声明周期的管理,从而实现了以下过程:用户在登录一个***之后可以访问其它授权的相关***而无需重新登录。
根据本发明的技术方案具有以下优点:
1.对用户终端没有特殊的限制要求。在根据本发明的技术方案中,所有控制逻辑都在***后台实现,即,用户在门户网站(门户A)中进行认证之后,认证的信息被保存在***的后台中,即,门户A中,并且在门户A中实现对其它门户的登录。而在现有技术中,Coockie和票据等都是保存在终端中的,并且每次登录都是从终端直接向目标***登录。因此,这样根据本发明的技术即能适用于互联网门户/******,也适用于移动互联网(WAP)门户/******。
2.SSO消息可以在多个***间传递,这样只需一个***实现了用户认证,其它***不需要实现用户认证,只要获取到用户SSO消息即可。降低了对***的要求,减少***成本。
3.***间的SSO消息传递采用目前广为采用的国际标准协议HTTP,可以很好的穿透防火墙,从而可以应用在提供公网服务的门户/***上。
4.SSO消息采用在通讯***中广泛使用的DES加密算法与MD5摘要技术,该算法拥有极强的安全性,并且算法应用成熟,这样就增加了***数据在传播途径中的安全性。
门户A收到用户的HTTP请求后,根据用户信息生成SSO消息,所述SSO消息的参数格式可以采用XML形式。下面示出了SSO消息的参数格式的一个例子:
<?xml version=“1.0”?>
<SSOMessage version=”1.0”>
<SSOParas>
<SessionID>SessionA</SessionID>
<MSISDN>MSISDN</MSISDN>
<EchoURL>EchoURL</EchoURL>
<Timeout>Timeout</Timeout>
<TimeStamp>YYMMDDHHMMSS</TimeStamp>
<Authenticator>Authenticator</Authenticator>
</SSOParas>
</SSOMessage>
其中,对所述消息参数进行说明如下:
表1
| 参数名 | 参数类型 | 参数说明 |
| SessionA | 字符串 | 用户在门户A的会话A |
| MSISDN | 字符串 | 用户使用的手机号码,需要对其进行DES加密,然后再对其进行BASE64转码 |
| EchoURL | 字符串 | 门户B发送用户会话保持消息的URL |
| Timeout | 字符串 | 会话A在门户A的超时时间,门户B发送Echo消息的时间间隔必须小于Timeout。时间单位为秒。 |
| TimeStamp | 字符串 | YYYYMMDDHHMMSS表示当前的时间标签,共14位 |
| Authenticator | 字符串 | 对以上所有字段进行MD5签名,然后再进行BASE64转码 |
用户会话保持
当用户在门户A与门户B分别产生会话A和会话B之后,由于会话具有一定的时效性,即,如果会话A的有效期为T1分钟,则经过了T1分钟之后,如果用户不继续访问门户A,则会话A将自动结束。为了防止在用户继续访问门户B时,用户在门户A的会话A结束,需要门户B定时向门户A发送会话保持消息。
门户B向门户A请求保持会话时所采用的目标URL为:http://EchoURL?SessionID=session id。
其中,参数EchoURL表示门户A接收会话保持消息的URL,此URL由门户A提供,门户B向这个URL发送会话保持消息。参数sessionid是SessionA。
下面参照图3具体描述根据本发明的用户会话保持的过程,其中,假设已经在门户A和门户B中分别建立会话A和会话B。
1)门户B定时发送会话保持消息给门户A,其中,发送的时间间隔不得大于T1分钟。在门户B所发送的消息中,采取一定的措施来保护门户B的数据,例如,门户B采用MD5算法对消息内的数据进行摘要计算,以防止消息在传输过程中被修改。
2)门户A接收到会话保持消息后,首先对消息中的数据进行MD5摘要计算,并与传过来的摘要进行对比,以检查数据在传送过程中是否被修改。如果检查结果表明数据正确,则门户A会根据请求中的sessionid参数对用户会话SessionA进行延迟,然后向门户B发出消息响应。
当在实际应用***中使用本发明方法时,将会涉及到以下两种情况,具体如下:
1.用户首先登录门户A,然后访问其它***;
2.用户尚未登录过门户A,直接访问其它***。
下面结合图4和5,通过示例性的实施例,针对上面所述的两种情况进行讨论。其中,为了说明的简单起见,假设***中存在两个门户(门户A和门户B)。但是,本领域普通技术人员应当理解,根据本发明的***不限于仅包括两个门户,而是可以根据需要包括多个门户。
示例1:用户首先登录门户A,然后访问其它***
在这个示例性的实施例中,用户先访问门户A,在门户A产生会话信息,然后用户访问门户B,门户A通过传递SSO消息使门户B获取用户身份信息,从而实现单点登录。下面参照图4具体描述所述过程。
1)用户首先访问门户A***。在互联网应用的情况下,用户可以手工输入UserID和密码进行登录。另外,在移动互联网应用的情况下,门户A在HTTP访问请求的头部中检取用户MSISDN作为UserID,然后自动在后台进行登录。
2)门户A调用后台数据对用户身份进行合法性认证。如果所述认证成功,则在门户A***中产生用户会话SessionA。
3)如果经过认证,用户为合法用户,则在用户终端出现门户/***的相应页面,例如门户A的首页。
4)用户在门户A的页面中点击到门户B的链接。
5)门户A根据用户身份信息生成SSOMessage消息。
门户A可以首先采用DES加密算法对包括UserID、SessionA在内的所有数据进行加密,然后对SSO消息中的所有***应用字段进行MD5摘要计算,并把摘要数据也放入SSO消息中。
6)门户A将SSO消息传递给门户B。
7)门户B对SSOMessage消息进行解析。门户B首先对SSO消息中的所有***应用字段进行MD5摘要计算,然后,将计算的结果与SSO消息中的摘要进行比较。如果比较结果一致,则这说明所接收的数据没有被篡改,如果比较结果不一致,则这说明所接收的数据是错误的或者已经被篡改了。然后,门户B根据与门户A事先达成一致的密钥(ShareKey)对SSO消息中的***应用字段进行DES解密,从而得到用户身份信息。在这种情况下,门户B可以得知用户已经通过门户A的身份认证,即,该用户是合法用户。接着,门户B为该用户产生会话SessionB。
8)门户B返回SSO响应消息给门户A,该SSO响应消息中包含用户在门户B中产生的会话SessionB。
9)本领域的普通技术人员可以知道,在某些情况下,可能会由于某些原因而导致SSO响应消息失败。
10)如果返回SSO响应消息失败,则门户A给用户返回相应的失败提示页面。
11)返回SSO响应消息成功。
12)如果返回SSO响应消息成功,则门户A发起页面重定向操作。
13)门户A将用户终端页面重定向到门户B,并自动发起对门户B页面的访问请求。
14)门户B为用户终端返回相应的访问页面。
示例2:用户尚未登录过门户A,而直接访问其它***
用户首先访问门户B,如果用户事先没有进行过登录,则门户B通知门户A让用户进行登录。在互联网环境下,门户A在用户终端弹出登录页面让用户进行登录。另外,在移动互联网环境下,门户A可以自动获取UserID(用户MSISDN)并在后台进行用户登录。然后,门户A通过传递SSO消息使门户B获取用户身份信息,以实现单点登录。
下面参照图5具体描述所述过程。
1)用户通过用户终端直接访问门户B***。
2)门户B判断用户是否已经登录。如果门户B中已经包含有用户身份信息,则这表明用户已经通过认证,可以继续进行访问。
3)如果门户B***中没有用户身份信息,则这表明用户没有进行过登录,需要对用户进行认证。于是,门户B将用户终端页面重定向到门户A登录页面。在进行重定向时以BackUrl代表用户在门户B的访问位置。
4)用户访问经重定向的门户A登录页面。
5)在互联网环境下,门户A返回用户终端登录页面。另外,在移动互联网环境下,门户A不需要显示登录页面,可以直接从HTTP请求的头部获取用户MSISDN作为UserID。
6)在互联网环境下,用户手工输入UserID和密码,以便向门户A进行登录。在移动互联网环境下,门户A可以自动在后台进行登录。
7)门户A调用后台数据对用户身份进行合法性认证。如果认证成功,则在门户A中产生用户会话SessionA。
8)如果门户A对用户的身份认证没有成功,则返回错误提示页面给用户终端。
9)门户A根据用户身份信息生成SSOMessage消息。
门户A首先采用DES加密算法对包括UserID、SessionA在内的所有数据进行加密,然后对SSO消息中的所有***应用字段进行MD5摘要计算,并把摘要数据也放入SSO消息中。
10)门户A将SSO消息传递给门户B。
11)门户B对接收的SSOMessage消息进行解析。门户B首先对SSO消息中的所有***应用字段进行MD5摘要计算,然后将计算结果与SSO消息中的摘要进行比较。如果比较结果一致,则这说明所接收的数据没有被篡改;如果比较结果不一致,则这说明所接收的数据是错误的或者已经被篡改了。然后,根据与门户A事先达成一致的密钥(ShareKey)对SSO消息中的***应用字段进行DES解密,从而得到用户身份信息。在这种情况下,门户B可以得知用户已经通过门户A的身份认证,即,该用户是合法用户。接着,门户B为该用户产生会话SessionB。
12)门户B返回SSO响应消息给门户A,该SSO响应消息中包含用户在门户B中产生的会话SessionB。
13)门户A根据参数BackURL发起页面重定向操作。
14)门户A将用户终端页面重定向到门户B的BackUrl,以继续进行用户先前对门户B页面的访问请求。
15)门户B为用户终端返回相应的访问页面。
可以通过各种方式来实现本发明的方法及***。例如,可以通过软件、硬件、固件以及其任意组合来实现本发明的方法及***。上面描述方法步骤的顺序仅是为了说明性的目的而采用的,除非明确的说明,否则,本发明的方法的步骤不限于上面具体描述的顺序。另外,在某些实施例中,本发明还可以体现为在记录介质上所记录的程序,其包括用于实现根据本发明的方法的机器可读指令。
尽管上面已经通过例子对本发明的特定实施例进行了详细描述,但是,本领域的普通技术人员应当理解,上述例子仅是说明性的而并非是对本发明的限制。本领域的普通技术人员应当明白,在不脱离本发明的精神和范围的情况下,可以对上述实施例做出修改。本发明的范围由所附的权利要求来限定。
Claims (14)
1.一种用于在门户之间实现单点登录的方法,第一门户为网络内所有其他门户的认证入口门户,为用户提供身份认证功能,并包括以下步骤:
第一门户对用户进行验证并建立与用户的第一会话;
用户在第一门户中点击对第二门户的***;
第一门户产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;以及
第二门户根据第一消息中的用户身份认证信息确定该用户已经被验证,第二门户返回响应消息给第一门户;
第一门户发起页面重定向操作,将用户终端页面重定向到第二门户,并自动发起对第二门户页面的访问请求;
第二门户建立与该用户的第二会话以允许该用户访问第二门户;
如果用户在访问第一门户之前访问第二门户,则第二门户将用户终端页面重定向到第一门户来验证所述用户。
2.根据权利要求1所述的方法,如果用户在访问第一门户之前访问第二门户,还包括以下步骤:第二门户判断用户是否已经登录,如果第二门户中已经包含有该用户身份认证信息,则继续进行访问,如果第二门户中没有该用户身份认证信息,则所述第二门户将用户终端页面重定向到第一门户来验证所述用户。
3.根据权利要求1所述的方法,还包括以下步骤:第二门户在第一会话的生存周期内发送会话保持消息给第一门户以维持第一会话。
4.根据权利要求1所述的方法,还包括以下步骤:采用DES算法和MD5算法来对第一消息进行加密和解密。
5.根据权利要求1所述的方法,还包括以下步骤:第一门户通过用户名和密码来验证所述用户。
6.根据权利要求1所述的方法,还包括以下步骤:第一门户通过用户的手机号码来验证所述用户。
7.根据权利要求1所述的方法,其中,所述第一消息是以HTTP协议格式的。
8.一种用于在门户之间实现单点登录的***,包括:
第一门户,为网络内所有其他门户的认证入口门户,为用户提供身份认证功能,其被配置成对用户进行验证,建立与该用户的用户终端的第一会话,在用户在第一门户中点击对第二门户的***后产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户,并在收到第二门户返回的响应消息后,发起页面重定向操作,将用户终端页面重定向到第二门户,并自动发起对第二门户页面的访问请求;
第二门户,其被配置成根据第一消息中的用户身份认证信息确定该用户已经被验证后,返回响应消息给第一门户,并建立与该用户的用户终端的第二会话以允许该用户访问第二门户;在用户在访问第一门户之前访问第二门户的情况下,将用户终端页面重定向到第一门户,以便让第一门户验证所述用户;以及
用户终端,其被配置成访问所述门户。
9.根据权利要求8所述的***,其中,第二门户还被配置成在用户在访问第一门户之前访问第二门户的情况下,首先判断用户是否已经登录,如果第二门户中已经包含有该用户身份认证信息,则继续进行访问,如果第二门户中没有该用户身份认证信息,则所述第二门户将用户终端页面重定向到第一门户,以便让第一门户验证所述用户。
10.根据权利要求8所述的***,其中,第二门户还被配置成在第一会话的生存周期内发送会话保持消息给第一门户,以便维持第一会话。
11.根据权利要求8所述的***,其中,第一门户被配置成采用DES算法和MD5算法来对第一消息进行加密,以及第二门户被配置成采用DES算法和MD5算法来对第一消息进行解密。
12.根据权利要求8所述的***,其中,第一门户还被配置成通过用户名和密码来验证所述用户。
13.根据权利要求8所述的***,其中,第一门户还被配置成通过用户的手机号码来验证所述用户。
14.根据权利要求8所述的***,其中,所述第一消息是以HTTP协议格式的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710112108XA CN101075875B (zh) | 2007-06-14 | 2007-06-14 | 在门户/***之间实现单点登录的方法及其*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710112108XA CN101075875B (zh) | 2007-06-14 | 2007-06-14 | 在门户/***之间实现单点登录的方法及其*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101075875A CN101075875A (zh) | 2007-11-21 |
| CN101075875B true CN101075875B (zh) | 2011-08-31 |
Family
ID=38976709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710112108XA Active CN101075875B (zh) | 2007-06-14 | 2007-06-14 | 在门户/***之间实现单点登录的方法及其*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101075875B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790272A (zh) * | 2017-02-16 | 2017-05-31 | 济南浪潮高新科技投资发展有限公司 | 一种单点登录的***及方法、一种应用服务器 |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286843B (zh) * | 2008-06-03 | 2010-08-18 | 江西省电力信息通讯有限公司 | 点对点模式下单点登录方法 |
| CN101626369B (zh) * | 2008-07-11 | 2012-07-25 | ***通信集团公司 | 一种单点登录方法、设备及*** |
| CN101674285B (zh) * | 2008-09-08 | 2012-12-26 | 中兴通讯股份有限公司 | 一种单点登录***及其方法 |
| CN101478485B (zh) * | 2009-01-19 | 2012-04-04 | 成都市华为赛门铁克科技有限公司 | 局域网访问控制的方法以及网关设备 |
| CN101510877B (zh) * | 2009-02-25 | 2012-05-23 | 中国联合网络通信集团有限公司 | 单点登录方法和***、通信装置 |
| CN101557403B (zh) * | 2009-05-27 | 2015-06-10 | 阿里巴巴集团控股有限公司 | 一种登录网站的方法、装置和*** |
| CN101997685B (zh) * | 2009-08-27 | 2013-05-29 | 阿里巴巴集团控股有限公司 | 单点登录方法、单点登录***以及相关设备 |
| CN102045166B (zh) * | 2009-10-13 | 2014-07-02 | ***通信集团福建有限公司 | 单点登录的方法及*** |
| CN102457546B (zh) * | 2010-10-27 | 2014-12-31 | 中兴通讯股份有限公司 | 网状Web应用服务器单点登录的方法、装置及*** |
| CN102480474A (zh) * | 2010-11-30 | 2012-05-30 | 金蝶软件(中国)有限公司 | 一种验证用户登录状态的方法、装置及企业*** |
| CN102065131A (zh) * | 2010-12-03 | 2011-05-18 | 湖南大学 | 单点登录的方式和登录认证 |
| CN102571344B (zh) * | 2010-12-08 | 2014-12-03 | 中国电信股份有限公司 | 一种单点认证方法和*** |
| CN102682009B (zh) * | 2011-03-11 | 2017-02-15 | 腾讯科技(北京)有限公司 | 一种用户登录网页的方法及*** |
| CN103107974B (zh) * | 2011-11-09 | 2018-01-09 | 腾讯科技(深圳)有限公司 | 一种用户注册和登录方法和移动终端 |
| CN102404336B (zh) * | 2011-12-12 | 2014-08-13 | 北京像素软件科技股份有限公司 | 一种网络游戏中用户跨区转移的方法 |
| CN102377788B (zh) * | 2011-12-13 | 2014-06-25 | 方正国际软件有限公司 | 单点登录***及其单点登录方法 |
| CN103179088B (zh) * | 2011-12-21 | 2017-07-07 | 腾讯科技(深圳)有限公司 | 通用网关接口业务的保护方法及*** |
| CN102638454B (zh) * | 2012-03-14 | 2014-05-21 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN103546432B (zh) * | 2012-07-12 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 实现跨域跳转的方法和***以及浏览器、域名服务器 |
| CN105162675B (zh) * | 2014-05-26 | 2018-06-12 | 杭州迪普科技股份有限公司 | 一种会话记录获取方法以及装置 |
| CN105472052B (zh) * | 2014-09-03 | 2019-12-31 | 阿里巴巴集团控股有限公司 | 一种跨域服务器的登录方法和*** |
| CN105490991A (zh) * | 2014-09-18 | 2016-04-13 | 北京大学 | 一种第三方应用全站式登录的实现方法及装置 |
| CN104270391B (zh) * | 2014-10-24 | 2018-10-19 | 中国建设银行股份有限公司 | 一种访问请求的处理方法及装置 |
| CN104410674B (zh) * | 2014-11-12 | 2018-04-10 | 国云科技股份有限公司 | 一种单点登录***的web会话同步方法 |
| CN106330829A (zh) * | 2015-06-26 | 2017-01-11 | 东方电气集团东方电机有限公司 | 一种采用中间件实现单点登录的方法和*** |
| CN106487816A (zh) * | 2016-12-25 | 2017-03-08 | 张忠义 | 一种利用手机号加密的方法 |
| CN107707570A (zh) * | 2017-11-13 | 2018-02-16 | 山东省农村信用社联合社 | 跨域单点登录集成方法和*** |
| CN108200047A (zh) * | 2017-12-29 | 2018-06-22 | 北京中油瑞飞信息技术有限责任公司 | 数据处理方法、装置及*** |
| CN108200060B (zh) * | 2018-01-03 | 2020-07-14 | 深圳壹账通智能科技有限公司 | 基于web子***的单点登录验证方法、服务器及存储介质 |
| CN108650209B (zh) * | 2018-03-06 | 2021-05-14 | 北京信安世纪科技股份有限公司 | 一种单点登录的方法、***、装置及认证方法 |
| CN109274694A (zh) * | 2018-11-14 | 2019-01-25 | 天津市国瑞数码安全***股份有限公司 | 一种基于标识的通用跨域认证方法 |
| CN109347857A (zh) * | 2018-11-14 | 2019-02-15 | 天津市国瑞数码安全***股份有限公司 | 一种基于标识的通用跨网认证方法 |
| CN109544325A (zh) * | 2018-11-28 | 2019-03-29 | 平安科技(深圳)有限公司 | 基于数据处理的面签***的切换方法、装置和计算机设备 |
| CN111259355A (zh) * | 2020-02-12 | 2020-06-09 | 深信服科技股份有限公司 | 单点登录方法、门户***、服务平台 |
| CN111935107B (zh) * | 2020-07-23 | 2022-06-10 | 珠海大横琴科技发展有限公司 | 身份认证的方法及装置、***、电子设备、存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547343A (zh) * | 2003-12-17 | 2004-11-17 | 上海市高级人民法院 | 一种基于数字证书的单点登录方法 |
| CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
-
2007
- 2007-06-14 CN CN200710112108XA patent/CN101075875B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547343A (zh) * | 2003-12-17 | 2004-11-17 | 上海市高级人民法院 | 一种基于数字证书的单点登录方法 |
| CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
Non-Patent Citations (1)
| Title |
|---|
| 同上. |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790272A (zh) * | 2017-02-16 | 2017-05-31 | 济南浪潮高新科技投资发展有限公司 | 一种单点登录的***及方法、一种应用服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101075875A (zh) | 2007-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101075875B (zh) | 在门户/***之间实现单点登录的方法及其*** | |
| US9871791B2 (en) | Multi factor user authentication on multiple devices | |
| US10523678B2 (en) | System and method for architecture initiated network access control | |
| US9887999B2 (en) | Login method and apparatus | |
| CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| CN102638473B (zh) | 一种用户数据授权方法、装置及*** | |
| CN101350717B (zh) | 一种通过即时通信软件登录第三方服务器的方法及*** | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| US20160269396A1 (en) | Methods and Systems for Controlling Mobile Terminal Access to a Third-Party Server | |
| US20100050243A1 (en) | Method and system for trusted client bootstrapping | |
| CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
| US9419974B2 (en) | Apparatus and method for performing user authentication by proxy in wireless communication system | |
| CN101448001B (zh) | 一种实现wap手机银行交易安全控制的***及方法 | |
| US8266434B2 (en) | System and method for providing an user's security when setting-up a connection over insecure networks | |
| KR101569753B1 (ko) | 보안 로그인 시스템, 방법 및 장치 | |
| US20120240203A1 (en) | Method and apparatus for enhancing online transaction security via secondary confirmation | |
| CN103179134A (zh) | 基于Cookie的单点登录方法、***及其应用服务器 | |
| CN105554098A (zh) | 一种设备配置方法、服务器及*** | |
| CN103929482B (zh) | 一种安全地访问监控前端设备的方法和装置 | |
| CN103024740A (zh) | 移动终端访问互联网的方法及*** | |
| CN101902329A (zh) | 用于单点登录的方法和装置 | |
| CN101360107A (zh) | 一种提高单次登录***安全的方法、***及装置 | |
| CN104243488B (zh) | 一种跨网站服务器的登录认证方法 | |
| CN109495458A (zh) | 一种数据传输的方法、***及相关组件 | |
| CN101969426B (zh) | 分布式用户认证***及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1113523 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1113523 Country of ref document: HK |