CN104065612B - 一种用户管理方法、装置和统一用户管理*** - Google Patents
一种用户管理方法、装置和统一用户管理*** Download PDFInfo
- Publication number
- CN104065612B CN104065612B CN201310085024.7A CN201310085024A CN104065612B CN 104065612 B CN104065612 B CN 104065612B CN 201310085024 A CN201310085024 A CN 201310085024A CN 104065612 B CN104065612 B CN 104065612B
- Authority
- CN
- China
- Prior art keywords
- user
- information
- servicetick
- operation system
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供一种用户管理方法、装置和统一用户管理***,在业务***中可以配置与不同操作权限对应的多个用户类型,业务***可以将自身配置的用户类型全量同步至用户管理***。用户管理***向业务***反馈在该业务***中,用户的用户类型,使得业务***可以根据用户类型确定用户的操作权限,从而实现对用户的业务访问请求的合法性判断。
Description
技术领域
本发明涉及通信领域,尤其涉及一种用户管理方法、装置和统一用户管理***。
背景技术
目前,针对业务***的用户管理方法中,包括移动代理***(Mobile AgentSystem,MAS)模式和应用数据中心(Application data Center,ADC)模式。
在MAS模式下,主要采用基座加插件的实现方案。作为基座的用户管理***只实现了对各业务***的接入管理,并没有实现对各业务***的用户数据的管理。因此,需要***管理员分别在作为插件的每个业务***上添加用户数据(即用户账户信息)和配置用户操作权限,各个业务***相互独立,各自管理用户。在用户需要使用多个业务***时,需要在每个业务***上分别进行登录验证。
在ADC模式下,虽然实现了单点登录,但需要用户管理***向各业务***同步用户数据,并需要针对每个业务***分别配置用户的操作权限。
在现有方案中,用户管理***为用户配置各业务***的操作权限时,用户管理***需要根据该用户的用户数据,分别向各业务***查询该用户的操作权限,将该操作权限分配给该用户,并可以存储在轻量目录访问协议(Lightweight Directory AccessProtocol,LADP)中。用户通过用户管理***的认证后,单点登录到业务***,在进行每次操作时,业务***根据该用户的用户数据,如用户名向用户管理***查询该用户的操作权限,从而得知该用户是否可以进行本次操作。
因此,现有技术方案存在以下问题:
(1)、针对每个用户,用户管理***均需向该用户使用的每个业务***查询该用户的操作权限;且针对一个用户的每次操作,业务***均需向用户管理***查询该用户的操作权限。由于业务***和用户管理***之间的数据查询操作频繁,会导致占用大量的***资源。且由于每次进行数据查询时,均需要携带用户数据,使得用户数据被黑客窃取的风险性较高。
(2)、用户管理***需要向各业务***同步用户数据,由此可能存在各业务***与用户管理***中的用户数据不一致的问题。
发明内容
本发明实施例提供一种用户管理方法、装置和统一用户管理***,用于提高用户数据的安全性。
一种用户管理方法,所述方法包括:
用户管理***接收业务***发送的认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;
所述用户管理***对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证通过时,向所述业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;
其中,所述业务***根据所述用户类型对应的操作权限,确定对所述用户标识表示的用户发送的业务访问请求的响应结果。
一种用户管理方法,所述方法包括:
业务***接收用户通过浏览器发送的业务访问请求;
所述业务***根据操作权限,确定对所述用户发送的业务访问请求的响应结果,所述操作权限是所述业务***根据预先确定的所述用户对应的用户类型,确定出的对应的操作权限;
其中,所述用户类型通过以下方式确定:
所述业务***向用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;接收所述用户管理***发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
一种用户管理装置,所述装置包括:
接收模块,用于接收业务***发送的认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;
认证模块,用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证通过时,向所述业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;其中,所述业务***根据所述用户类型对应的操作权限,确定对所述用户标识表示的用户发送的业务访问请求的响应结果。
一种用户管理装置,所述装置包括:
确定模块,用于向用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带业务***对应的ServiceTick信息;接收所述用户管理***发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;
接收模块,用于接收用户通过浏览器发送的业务访问请求;
响应模块,用于根据操作权限,确定对所述用户发送的业务访问请求的响应结果,所述操作权限是根据所述确定模块接收到的用户类型,确定出的对应的操作权限。
一种统一用户管理***,所述***包括用户管理***和至少一个业务***,其中:
所述业务***,用于向所述用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;根据接收到的用户类型对应的操作权限,确定对接收到的用户标识表示的用户发送的业务访问请求的响应结果;
所述用户管理***,用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证通过时,向发送所述ServiceTick信息的业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是所述用户管理***从发送所述ServiceTick信息的业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
根据本发明实施例提供的方案,业务***可以预先向用户管理***发送自身配置的所有的用户类型,一个用户类型对应一种对所述业务***的操作权限。用户管理***在对业务***发送的ServiceTick信息认证通过时,向业务***返回该ServiceTick信息对应的用户标识,以及该用户标识在所述业务***对应的用户类型,使得业务***可以根据接收到的用户类型,确定接收到的用户标识表示的用户对自身的操作权限。
因此,业务***在每次接收到用户发送的业务访问请求时,可以无需重复查询用户管理***,即可以根据该用户对应的用户类型所对应的操作权限,对该用户的业务访问请求进行合法性判断,减少了业务***向用户管理***的查询次数。另外,由于业务***是向用户管理***传递自身配置的所有的用户类型,即可以一次性将所有用户的操作权限传递给用户管理***,使得用户管理***无需针对每个用户,分别查询该用户的操作权限,还减少了用户管理***向业务***的查询次数。由于用户管理***和业务***之间查询次数的减少,可以提高用户数据的安全性,并有效减少***资源的占用。而由于业务***根据用户类型即可以确定用户在自身对应的操作权限,用户管理***无需向各业务***进行用户数据同步,还可以避免各业务***与用户管理***中的用户数据不一致的问题。
附图说明
图1为本发明实施例一提供的用户管理方法的步骤流程图;
图2为本发明实施例二提供的用户管理装置的结构示意图;
图3为本发明实施例三提供的用户管理方法的步骤流程图;
图4为本发明实施例四提供的用户管理装置的结构示意图;
图5为本发明实施例五提供的用户数据配置的流程示意图;
图6为本发明实施例五提供的用户管理方法的步骤流程图;
图7为本发明实施例六提供的用户管理***的结构示意图;
图8为本发明实施例六提供的用户管理***的结构示意图。
具体实施方式
在本发明各实施例提供的方案中,在业务***中可以配置与不同操作权限对应的多个用户类型,业务***可以将自身配置的用户类型全量同步至用户管理***。用户管理***向业务***反馈在该业务***中,用户的用户类型,使得业务***可以根据用户类型确定用户的操作权限,从而实现对用户的业务访问请求的合法性判断。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例一、
本发明实施例一提供一种用户管理方法,从用户管理***侧对本发明提供的用户管理方法进行说明,该方法的步骤流程可以如图1所示,包括:
步骤101、用户管理***接收认证业务***访问标签(ServiceTick)请求。
在本实施例中,用户管理***可以向业务***反馈用户的用户类型,使得业务***可以根据用户的用户类型确定用户的操作权限。具体的,用户管理***可以在对认证ServiceTick请求的认证响应消息中携带用户的用户类型。
因此,在本步骤中,用户管理***可以接收业务***发送的认证ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息。
步骤102、用户管理***返回认证响应消息。
用户管理***对所述ServiceTick信息进行认证,在对所述ServiceTick信息认证通过时,向所述业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。从而将在所述业务***中,所述用户标识对应的用户类型反馈给所述业务***。
当然,在本实施例中,可以预先在业务***中配置与操作权限对应的多个用户类型,业务***可以将自身配置的每个用户类型预先全量同步至用户管理***。因此,相当于业务***可以将所有用户对应的操作权限一次性传递给用户管理***,大大减少了用户管理***向业务***查询用户操作权限的次数。
例如,假设预先在业务***中配置了三个用户类型,分别用第一用户类型、第二用户类型和第三用户类型表示,第一用户类型、第二用户类型和第三用户类型在该业务***中对应的操作权限分别为第一操作权限、第二操作权限和第三操作权限。
所述业务***可以将第一用户类型、第二用户类型和第三用户类型预先全量同步至用户管理***。
在用户管理***对ServiceTick信息认证通过时,就可以将该ServiceTick信息对应的用户标识,以及该用户标识表示的用户在所述业务***中,对应的用户类型发送给所述业务***。
当然,在用户管理***中,已经预先配置了用户(用户标识)与所述业务***中用户类型的对应关系。
进一步的,在步骤101之前,用户管理***还可以对临时文本文件(Cookie)信息进行验证,即在步骤101之前,还可以进一步包括以下步骤:
步骤101’、用户管理***接收认证Cookie请求。
用户管理***还可以对Cookie信息进行认证,以实现单点登录。在本步骤中,用户管理***可以接收用户通过浏览器发送的认证Cookie请求,所述认证Cookie请求中携带Cookie信息。
步骤101”、用户管理***认证Cookie信息。
在本步骤中,用户管理***对Cookie信息进行认证,从而确定进行单点登录的用户是否已经登陆过。
所述用户管理***在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,确定进行单点登录的用户未曾登陆过,可以向所述浏览器返回登录页面,请求所述用户输入用户账户信息。
所述用户管理***在确定所述Cookie信息对应的用户账户信息有效时,确定进行单点登录的用户已经登陆过,可以为所述业务***分配ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息(此时,所述ServiceTick信息即与所述Cookie信息建立了对应关系,即建立了所述ServiceTick信息与所述Cookie信息对应的用户账户信息(中的用户标识)的对应关系),其中,所述浏览器携带所述ServiceTick信息重定向至所述业务***。从而使得业务***可以向用户管理***发送认证ServiceTick请求。
与本发明实施例一基于同一发明构思,提供以下的用户管理装置。
实施例二、
本发明实施例二提供一种用户管理装置,该用户管理装置可以集成在实施例一涉及的用户管理***中,该装置的结构可以如图2所示,包括:
接收模块11用于接收业务***发送的认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;
认证模块12用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证通过时,向所述业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;其中,所述业务***根据所述用户类型对应的操作权限,确定对所述用户标识表示的用户发送的业务访问请求的响应结果。
所述接收模块11还用于接收用户通过浏览器发送的认证临时文本文件Cookie请求,所述认证Cookie请求中携带Cookie信息;
所述认证模块12还用于在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入用户账户信息;在确定所述Cookie信息对应的用户账户信息有效时,为所述业务***分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息,其中,所述浏览器携带所述ServiceTick信息重定向至所述业务***。
实施例三、
本发明实施例三提供一种用户管理方法,从业务***侧对本发明提供的用户管理方法进行说明,该方法的步骤流程可以如图3所示,包括:
步骤201、业务***接收业务访问请求。
业务***在对用户管理的过程中,可以根据预先接收到的用户类型,来确定用户的业务访问请求的合法性。而无需每次接收到业务访问请求时,均向用户管理***查询该用户的操作权限,从而减少向用户管理***的查询次数。
在本步骤中,业务***接收用户通过浏览器发送的业务访问请求。
步骤202、业务***确定响应结果。
在本步骤中,业务***可以根据用户的用户类型所对应的操作权限,确定对该用户的业务访问请求的响应结果。
具体的,在本步骤中,所述业务***根据操作权限,确定对所述用户发送的业务访问请求的响应结果,所述操作权限是所述业务***根据预先确定的所述用户对应的用户类型,确定出的对应的操作权限。
其中,所述用户类型通过以下方式确定:
所述业务***向用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;接收所述用户管理***发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
具体的,所述业务***向用户管理***发送认证业务***访问标签ServiceTick请求之前,所述业务***接收所述用户通过浏览器发送的业务***访问请求;
则,所述业务***向用户管理***发送认证业务***访问标签ServiceTick请求,具体包括:
所述业务***判断所述业务***访问请求中是否携带ServiceTick信息:
在确定所述业务***访问请求中携带ServiceTick信息时,确定用户管理***已经向所述用户签发了访问所述业务***的票据,可以向用户管理***发送认证ServiceTick请求;
在确定所述业务***访问请求中没有携带ServiceTick信息时,确定用户管理***没有向所述用户签发访问所述业务***的票据,可以重定向至所述浏览器;其中,所述浏览器向所述用户管理***发送认证临时文本文件Cookie请求,所述认证Cookie请求中携带Cookie信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入用户账户信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息有效时,为所述业务***分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息,所述浏览器携带所述ServiceTick信息重定向至所述业务***。
与本发明实施例三基于同一发明构思,提供以下的用户管理装置。
实施例四、
本发明实施例四提供一种用户管理装置,该用户管理装置可以集成在实施例一涉及的业务***中,该装置的结构可以如图4所示,包括:
确定模块21用于向用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带业务***对应的ServiceTick信息;接收所述用户管理***发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;
接收模块22用于接收用户通过浏览器发送的业务访问请求;
响应模块23用于根据操作权限,确定对所述用户发送的业务访问请求的响应结果,所述操作权限是根据所述确定模块接收到的用户类型,确定出的对应的操作权限。
所述接收模块22还用于接收所述用户通过浏览器发送的业务***访问请求;
所述确定模块21具体用于判断所述业务***访问请求中是否携带ServiceTick信息:
在确定所述业务***访问请求中携带ServiceTick信息时,向用户管理***发送认证ServiceTick请求;
在确定所述业务***访问请求中没有携带ServiceTick信息时,重定向至所述浏览器;其中,所述浏览器向所述用户管理***发送认证临时文本文件Cookie请求,所述认证Cookie请求中携带Cookie信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入用户账户信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息有效时,为所述业务***分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息,所述浏览器携带所述ServiceTick信息重定向至所述业务***。
下面通过一个具体的实例对本发明实施例一~四的方案进行说明。
实施例五、
本发明实施例五提供一种用户管理方法,在实现过程中,用户数据配置的流程可以如图5所示,包括:
第一步、***管理员在业务***中配置用户类型。
每个用户类型对应一种操作权限。
在图5中,以一个业务***为例进行说明。针对每个业务***的操作相同。
第二步、业务***同步用户类型至用户管理***。
在业务***中配置好与各种操作权限对应的用户类型后,业务***可以将自身配置的所有用户类型全量同步至用户管理***。
第三步、用户管理***绑定信息。
在本步骤中,用户管理***可以将各业务***对应的用户类型,与该业务***的注册信息绑定,从而建立业务***和用户类型的对应关系。如果一个业务***未在用户管理***中注册,则绑定失败。
第四步、用户管理***反馈绑定结果。
用户管理***将一个业务***对应的用户类型,与该业务***的注册信息绑定后,可以向该业务***反馈绑定成功信息。当然,如果,绑定失败,即确定该业务***未注册,可以向该业务***反馈绑定失败信息。
第五步、***管理员创建用户。
在用户管理***针对各业务***,建立该业务***、与该业务***对应的用户类型的对应关系后,即可以创建用户。
在本步骤中,***管理员可以通过用户管理***创建用户,为该用户选择可用的业务***,并针对每个可用的业务***,分配该用户的用户类型。
当然,用户管理***可以保存***管理员创建的用户的相关信息。
在预先进行用户数据配置之后,即可以实现用户管理。具体的,在本实施例中,用户管理方法的步骤流程可以如图6所示,包括:
步骤301、用户通过浏览器发送业务***访问请求。
步骤302、业务***判断业务***访问请求中,是否携带ServiceTick信息。
如果业务***确定业务***访问请求中携带ServiceTick信息,则可以跳转执行步骤309,否则,可以继续执行步骤303。
步骤303、业务***重定向至浏览器。
步骤304、浏览器重定向至用户管理***,携带Cookie信息。
步骤305、用户管理***认证Cookie信息。
用户管理***在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,执行步骤306;所述用户管理***在确定所述Cookie信息对应的用户账户信息有效时,执行步骤307。
步骤306、用户管理***向所述浏览器返回登录页面。
在本步骤中,用户管理***向所述浏览器返回登录页面,请求所述用户输入用户账户信息。
步骤307、用户管理***向所述浏览器返回所述ServiceTick信息和所述Cookie信息。
用户管理***为所述业务***分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息。
步骤308、所述浏览器重定向至所述业务***。
在本步骤中,所述浏览器携带所述ServiceTick信息重定向至所述业务***。
步骤309、业务***向用户管理***发送认证ServiceTick请求。
所述认证ServiceTick请求中,携带所述ServiceTick信息。
步骤310、用户管理***返回认证响应消息。
如果用户管理***对所述ServiceTick信息认证通过,则向所述业务***返回认证响应消息,所述认证响应消息中携带所述用户的用户标识(如,用户名)以及在所述业务***中,所述用户标识对应的用户类型。
步骤311、业务***分配操作权限。
业务***可以根据接收到的用户类型,根据自身配置的用户类型与操作权限的对应关系,确定所述用户在自身对应的操作权限。
步骤312、业务***重定向至浏览器。
业务***为所述用户分配操作权限后,可以重定向至原始请求地址。
步骤301~步骤312主要对单点登录过程进行了说明。在步骤312之后,业务***可以接收用户通过浏览器发送的业务访问请求,并根据步骤311确定出的该用户的操作权限,确定对每次业务访问请求的响应结果,而无需在每次接收到业务访问请求时,向用户管理***重复查询用户的操作权限。
进一步的,本发明实施例六提供一种统一用户管理***。
实施例六、
本发明实施例六提供一种统一用户管理***,该***的结构可以如图7所示,包括用户管理***31(相当于实施例一~五涉及的用户管理***)和至少一个业务***32(相当于实施例一~五涉及的业务***),即一个统一用户管理***中可以包括多个业务***,其中:
所述业务***32用于向所述用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;根据接收到的用户类型对应的操作权限,确定对接收到的用户标识表示的用户发送的业务访问请求的响应结果;
所述用户管理***31用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证通过时,向发送所述ServiceTick信息的业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是所述用户管理***从发送所述ServiceTick信息的业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
当然,在本实施例中,可以对用户管理***进行进一步模块划分。例如,如图8所示,可以将用户管理***划分为注册管理模块、用户类型管理模块、用户管理模块和单点登录认证模块,其中:
注册管理模块,可以理解为用于实现各业务***在用户管理***的注册。在接收到业务***的注册请求时,若业务***的注册信息合法,可以保存业务***的相关注册信息。
用户类型管理模块,可以理解为用于保存各业务***,与该业务***对应的用户类型的对应关系,实现用户类型和注册信息的绑定。
用户管理模块,可以理解为用于***管理员登录用户管理***,创建用户,配置用户账户信息、用户可使用的业务***以及用户的用户类型并保存。
单点登录认证模块,可以理解为用于在用户通过浏览器访问业务***时,实现统一的用户认证。
类似的,也可以对业务***进行进一步模块划分。例如,如图8所示,可以将业务***划分为注册认证模块、用户类型配置模块、业务功能实现模块和登录认证模块,其中:
注册认证模块,可以理解为用于向用户管理***发起注册认证流程。注册信息中可以包括:业务***的唯一标识(Single Identifation,SID)、用户访问业务***的入口统一资源定位符(Uniform Resource Locator,URL)地址。
用户类型配置模块,可以理解为用于***管理员配置业务***的用户类型。并可以向用户管理***同步配置的各种用户类型。
业务功能模块,可以理解为用于实现业务***的各种业务功能。
登录认证模块,可以理解为用于实现单点登录。
在图8中,以一个业务***为例,示出了业务***各模块与用户管理***各模块之间的连接关系。当然,在统一用户管理***包括多个业务***时,每个业务***与用户管理***之间的连接关系类似,在此不再重复说明。
根据本发明各实施例提供的方案,通过用户类型的传递实现用户在多业务***中的操作权限控制。各业务***将自身配置的用户类型全量同步至用户管理***,***管理员在用户管理***进行用户创建、分配用户在各业务***的用户类型(即操作权限)。当业务***向用户管理***发起认证ServiceTick请求时,业务***可以根据用户管理***反馈的认证响应消息,确定用户的用户类型,并根据用户的用户类型实现用户的操作权限管理。
相比较现有技术,本发明方案中,用户类型由业务***仅全量传输一次,只有业务***中配置的用户类型发生变化时,才需要再次传输。减少了用户管理***向业务***查询各用户的操作权限的次数。在单点登录过程中,用户管理***将用户的操作权限一次性传输给业务***,无需业务***针对用户的每次操作,重复查询用户管理***,即可以根据一次性接收到的操作权限,进行用户操作的合法性判断,减少了业务***向用户管理***的查询次数。由此,本发明方案减少了业务***和用户管理***之间的交互次数,提高了用户数据的安全性。
同时,本发明方案中,***管理员可以通过用户管理***实现对用户数据的统一管理操作,无需在业务***进行用户数据的配置管理,减少了用户数据不一致的风险。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (9)
1.一种用户管理方法,其特征在于,所述方法包括:
用户管理***接收业务***发送的认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;
所述用户管理***对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证通过时,向所述业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;
其中,所述业务***根据所述用户类型对应的操作权限,确定对所述用户标识表示的用户发送的业务访问请求的响应结果。
2.如权利要求1所述的方法,其特征在于,用户管理***接收业务***发送的认证业务***访问标签ServiceTick的请求之前,所述方法还包括:
所述用户管理***接收用户通过浏览器发送的认证临时文本文件Cookie请求,所述认证Cookie请求中携带Cookie信息;
所述用户管理***在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入用户账户信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息有效时,为所述业务***分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息,其中,所述浏览器携带所述ServiceTick信息重定向至所述业务***。
3.一种用户管理方法,其特征在于,所述方法包括:
业务***接收用户通过浏览器发送的业务访问请求;
所述业务***根据操作权限,确定对所述用户发送的业务访问请求的响应结果,所述操作权限是所述业务***根据预先确定的所述用户对应的用户类型,确定出的对应的操作权限;
其中,所述用户类型通过以下方式确定:
所述业务***向用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;接收所述用户管理***发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
4.如权利要求3所述的方法,其特征在于,所述业务***向用户管理***发送认证业务***访问标签ServiceTick请求之前,所述方法还包括:
所述业务***接收所述用户通过浏览器发送的业务***访问请求;
则,所述业务***向用户管理***发送认证业务***访问标签ServiceTick请求,具体包括:
所述业务***判断所述业务***访问请求中是否携带ServiceTick信息:
在确定所述业务***访问请求中携带ServiceTick信息时,向用户管理***发送认证ServiceTick请求;
在确定所述业务***访问请求中没有携带ServiceTick信息时,重定向至所述浏览器;其中,所述浏览器向所述用户管理***发送认证临时文本文件Cookie请求,所述认证Cookie请求中携带Cookie信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入用户账户信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息有效时,为所述业务***分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息,所述浏览器携带所述ServiceTick信息重定向至所述业务***。
5.一种用户管理装置,其特征在于,所述装置包括:
接收模块,用于接收业务***发送的认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;
认证模块,用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证通过时,向所述业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;其中,所述业务***根据所述用户类型对应的操作权限,确定对所述用户标识表示的用户发送的业务访问请求的响应结果。
6.如权利要求5所述的装置,其特征在于,所述接收模块,还用于接收用户通过浏览器发送的认证临时文本文件Cookie请求,所述认证Cookie请求中携带Cookie信息;
所述认证模块,还用于在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入用户账户信息;在确定所述Cookie信息对应的用户账户信息有效时,为所述业务***分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息,其中,所述浏览器携带所述ServiceTick信息重定向至所述业务***。
7.一种用户管理装置,其特征在于,所述装置包括:
确定模块,用于向用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带业务***对应的ServiceTick信息;接收所述用户管理***发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型,所述用户类型是所述用户管理***从所述业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;
接收模块,用于接收用户通过浏览器发送的业务访问请求;
响应模块,用于根据操作权限,确定对所述用户发送的业务访问请求的响应结果,所述操作权限是根据所述确定模块接收到的用户类型,确定出的对应的操作权限。
8.如权利要求7所述的装置,其特征在于,所述接收模块,还用于接收所述用户通过浏览器发送的业务***访问请求;
所述确定模块,具体用于判断所述业务***访问请求中是否携带ServiceTick信息:
在确定所述业务***访问请求中携带ServiceTick信息时,向用户管理***发送认证ServiceTick请求;
在确定所述业务***访问请求中没有携带ServiceTick信息时,重定向至所述浏览器;其中,所述浏览器向所述用户管理***发送认证临时文本文件Cookie请求,所述认证Cookie请求中携带Cookie信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入用户账户信息;所述用户管理***在确定所述Cookie信息对应的用户账户信息有效时,为所述业务***分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息,所述浏览器携带所述ServiceTick信息重定向至所述业务***。
9.一种统一用户管理***,其特征在于,所述***包括用户管理***和至少一个业务***,其中:
所述业务***,用于向所述用户管理***发送认证业务***访问标签ServiceTick请求,所述认证ServiceTick请求中携带所述业务***对应的ServiceTick信息;根据接收到的用户类型对应的操作权限,确定对接收到的用户标识表示的用户发送的业务访问请求的响应结果;
所述用户管理***,用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证通过时,向发送所述ServiceTick信息的业务***返回认证响应消息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是所述用户管理***从发送所述ServiceTick信息的业务***预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310085024.7A CN104065612B (zh) | 2013-03-18 | 2013-03-18 | 一种用户管理方法、装置和统一用户管理*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310085024.7A CN104065612B (zh) | 2013-03-18 | 2013-03-18 | 一种用户管理方法、装置和统一用户管理*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104065612A CN104065612A (zh) | 2014-09-24 |
| CN104065612B true CN104065612B (zh) | 2017-11-14 |
Family
ID=51553145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310085024.7A Active CN104065612B (zh) | 2013-03-18 | 2013-03-18 | 一种用户管理方法、装置和统一用户管理*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104065612B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107832592B (zh) * | 2017-10-30 | 2020-11-10 | 北京小米移动软件有限公司 | 权限管理方法、装置及存储介质 |
| CN111142926B (zh) * | 2019-12-26 | 2022-08-26 | 新华三大数据技术有限公司 | 多***管理方法及装置 |
| CN113225296B (zh) * | 2020-01-21 | 2022-11-11 | 华为技术有限公司 | 一种权限管理的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007310512A (ja) * | 2006-05-16 | 2007-11-29 | Mitsubishi Electric Corp | 通信システム、サービス提供サーバおよびユーザ認証サーバ |
| CN101477596A (zh) * | 2009-02-02 | 2009-07-08 | 中国网络通信集团公司 | 医疗数据中心*** |
| CN101588241A (zh) * | 2008-05-20 | 2009-11-25 | 中兴通讯股份有限公司 | 一种Web网络单点登录***及方法 |
| CN102420836A (zh) * | 2012-01-12 | 2012-04-18 | 中国电子科技集团公司第十五研究所 | 业务信息***的登录方法以及登录管理*** |
| CN102469075A (zh) * | 2010-11-09 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种基于web单点登录的集成认证方法 |
| CN102946603A (zh) * | 2012-10-31 | 2013-02-27 | 重庆市电力公司 | 电力云***中基于社交特性的统一身份认证方法 |
-
2013
- 2013-03-18 CN CN201310085024.7A patent/CN104065612B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007310512A (ja) * | 2006-05-16 | 2007-11-29 | Mitsubishi Electric Corp | 通信システム、サービス提供サーバおよびユーザ認証サーバ |
| CN101588241A (zh) * | 2008-05-20 | 2009-11-25 | 中兴通讯股份有限公司 | 一种Web网络单点登录***及方法 |
| CN101477596A (zh) * | 2009-02-02 | 2009-07-08 | 中国网络通信集团公司 | 医疗数据中心*** |
| CN102469075A (zh) * | 2010-11-09 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种基于web单点登录的集成认证方法 |
| CN102420836A (zh) * | 2012-01-12 | 2012-04-18 | 中国电子科技集团公司第十五研究所 | 业务信息***的登录方法以及登录管理*** |
| CN102946603A (zh) * | 2012-10-31 | 2013-02-27 | 重庆市电力公司 | 电力云***中基于社交特性的统一身份认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104065612A (zh) | 2014-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9021570B2 (en) | System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium | |
| EP3316544B1 (en) | Token generation and authentication method, and authentication server | |
| CN103428179B (zh) | 一种登录多域名网站的方法、***以及装置 | |
| CN102171984B (zh) | 服务提供者访问 | |
| CN104580364B (zh) | 一种资源分享的方法和装置 | |
| US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
| CN106713271A (zh) | 一种基于单点登录的Web***登录约束方法 | |
| US20140041002A1 (en) | Secure Access Method, Apparatus And System For Cloud Computing | |
| CN110740121B (zh) | 资源订阅***及方法 | |
| US11012233B1 (en) | Method for providing authentication service by using decentralized identity and server using the same | |
| CN105554098A (zh) | 一种设备配置方法、服务器及*** | |
| CN108200155A (zh) | Docker镜像仓库的镜像同步方法和镜像同步*** | |
| CN108259437A (zh) | 一种http访问方法、http服务器和*** | |
| CN111143814B (zh) | 单点登录方法、微服务接入平台及存储介质 | |
| CN108022100B (zh) | 一种基于区块链技术的交叉认证***及方法 | |
| KR20140035382A (ko) | 사용자 액세스를 허용하는 방법, 클라이언트, 서버 및 시스템 | |
| CN105430012B (zh) | 一种多站点同步登录的方法及装置 | |
| JP2014534515A5 (zh) | ||
| CN107508822A (zh) | 访问控制方法及装置 | |
| CN108600234A (zh) | 一种身份验证方法、装置和移动终端 | |
| CN113746719B (zh) | 一种任务信息处理方法、装置、电子设备及存储介质 | |
| CN104065612B (zh) | 一种用户管理方法、装置和统一用户管理*** | |
| CN109962892A (zh) | 一种登录应用的认证方法及客户端、服务器 | |
| CN106209727A (zh) | 一种会话访问方法和装置 | |
| CN105959278B (zh) | 一种调用vpn的方法、设备和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |