CN108616530B - 基于互联网Web端的统一身份认证体系及其认证方法 - Google Patents

基于互联网Web端的统一身份认证体系及其认证方法 Download PDF

Info

Publication number
CN108616530B
CN108616530B CN201810378733.7A CN201810378733A CN108616530B CN 108616530 B CN108616530 B CN 108616530B CN 201810378733 A CN201810378733 A CN 201810378733A CN 108616530 B CN108616530 B CN 108616530B
Authority
CN
China
Prior art keywords
authentication
user
authenticator
request
certification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810378733.7A
Other languages
English (en)
Other versions
CN108616530A (zh
Inventor
宗建锋
吴宝俊
陈营新
徐潇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Wingconn Information Technology Co ltd
Original Assignee
Suzhou Wingconn Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Wingconn Information Technology Co ltd filed Critical Suzhou Wingconn Information Technology Co ltd
Priority to CN201810378733.7A priority Critical patent/CN108616530B/zh
Publication of CN108616530A publication Critical patent/CN108616530A/zh
Application granted granted Critical
Publication of CN108616530B publication Critical patent/CN108616530B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于互联网Web端的统一身份认证体系,包括入站认证、认证框架、认证器以及用户仓库,所述的入站认证通过认证框架与认证器通讯连接,所述的用户仓库与认证框架通讯连接,其中,所述的入站认证包含请求处理和应答返回两个部分,所述的认证框架包含会话管理和认证器配置两个部分,所述的认证器包括本地认证器和联邦认证器。通过上述,本发明的基于互联网Web端的统一身份认证体系及其认证方法,将各***或应用独立的用户整合到统一的用户管理平台,并且让各***或应用与该体系进行对接,从而达到一个账号可以访问各个***或应用的目的,从而提高了用户的使用体验。

Description

基于互联网Web端的统一身份认证体系及其认证方法
技术领域
本发明涉及政企***管理领域,尤其涉及一种基于互联网Web端的统一身份认证体系和方法。
背景技术
随着数字化的不断普及,大型公司或者单位的各个部门逐渐形成了与本身业务相关的各种各样***,几乎每个***都需要识别操作者的身份,并根据其不同的身份,分配一定的权限,做一些操作上的限制。结果很多公司或者部门都在各个***便各自设计了一套用户资料和权限管理的机制,并提供了用户登录认证,这样满足了上面的需求,但由此带来和用户账号管理不方便,用户资料不统一等等问题。
当前政企领域中多***、多应用且***和应用都拥有各自的用户管理体系,造成用户需要牢记多套账户密码,给用户造成困扰的问题。
发明内容
本发明主要解决的技术问题是提供一种基于互联网Web端的统一身份认证体系和方法,将各***或应用独立的用户整合到统一的用户管理平台,并且让各***或应用与该体系进行对接,从而达到一个账号可以访问各个***或应用的目的,从而提高了用户的使用体验。
为解决上述技术问题,本发明采用的一个技术方案是:提供了一种基于互联网Web端的统一身份认证体系,包括入站认证、认证框架、认证器以及用户仓库,所述的入站认证通过认证框架与认证器通讯连接,所述的用户仓库与认证框架通讯连接,其中,所述的入站认证包含请求处理和应答返回两个部分,所述的认证框架包含会话管理和认证器配置两个部分,所述的认证器包括本地认证器和联邦认证器。
在本发明一个较佳实施例中,所述的
请求处理,负责请求协议的解析;
应答返回,负责请求结果的包装和返回;
会话管理,负责用户的统一会话维护;
认证器配置,负责预先定义使用哪种认证器并在用户请求过程中为用户请求选择对应的认证器对用户进行认证;
本地认证器,指使用用户名和密码方式的认证;
联邦认证器,指使用QQ、微信账号进行的认证;
用户仓库,指存储用户账号密码、用户基本信息及附加信息的数据库。
在本发明一个较佳实施例中,所述的入站认证还与客户端通讯连接。
为解决上述技术问题,本发明采用的另一个技术方案是:提供了一种基于互联网Web端的统一身份认证体系的认证方法,包括以下具体步骤:
a、互联网用户从客户端的***或应用发起基于国际化标准协议SAML2.0的统一身份认证请求,认证体系首先判断用户是否已完成认证,如果已完成认证则直接将认证结果返回,整个认证流程结束;
b、如果未完成认证,则直接进入以下处理流程:
b1、入站认证组件负责校验请求中包含的***或应用信息是否合法,即***或应用信息是否在认证体系内登记,如果不合法则直接返回错误提示信息;如果合法则对请求进行协议解析,然后将请求转发至认证框架;
b2、认证框架渲染认证界面提示用户输入账号密码信息,互联网用户输入账号密码并将输入的数据提交至认证框架,认证框架通过预先定义的认证器配置选择认证器并由认证器负责对互联网用户进行认证;
b3、认证器的认证过程需要与用户仓库内存储的账号信息数据进行比对,认证通过后由认证框架生成一个统一的会话标识,
b4、认证框架将统一的会话标识连同认证用户的信息组装成认证结果,并将认证结果通过入站认证返回给客户端的***或应用;
b5、客户端的***或应用收到认证结果并按照与认证体系约定的解密方式,对认证结果进行解密,从而最终完成整个认证过程。
在本发明一个较佳实施例中,所述的认证请求中从内容上包含能唯一识别***或应用的身份信息。
在本发明一个较佳实施例中,所述的会话标识具有一定的时效性。
在本发明一个较佳实施例中,所述的认证结果是一段JWT格式的加密密文,内容包括用户主要属性。
在本发明一个较佳实施例中,所述的用户主要属性包括用户名、认证机构、认证时间、用户统一会话标识以及会话有效期。
在本发明一个较佳实施例中,所述的约定的解密方式是客户端的***或应用在认证体系内登记时完成的。
本发明的有益效果是:本发明的基于互联网Web端的统一身份认证体系及其认证方法,将各***或应用独立的用户整合到统一的用户管理平台,并且让各***或应用与该体系进行对接,从而达到一个账号可以访问各个***或应用的目的,从而提高了用户的使用体验。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图,其中:
图1 是本发明基于互联网Web端的统一身份认证体系的一较佳实施例的结构框图。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,本发明实施例包括:
一种基于互联网Web端的统一身份认证体系,包括入站认证、认证框架、认证器以及用户仓库,所述的入站认证通过认证框架与认证器通讯连接,所述的用户仓库与认证框架通讯连接,其中,所述的入站认证包含请求处理和应答返回两个部分,所述的认证框架包含会话管理和认证器配置两个部分,所述的认证器包括本地认证器和联邦认证器。
上述中,请求处理,负责请求协议的解析;应答返回,负责请求结果的包装和返回;会话管理,负责用户的统一会话维护;认证器配置,负责预先定义使用哪种认证器并在用户请求过程中为用户请求选择对应的认证器对用户进行认证;本地认证器,指使用用户名和密码方式的认证;联邦认证器,指使用QQ、微信账号进行的认证;用户仓库,指存储用户账号密码、用户基本信息及附加信息的数据库。
本实施例中,所述的入站认证还与客户端通讯连接。
本发明还提供了一种基于互联网Web端的统一身份认证体系的认证方法,包括以下具体步骤:
a、互联网用户从客户端的***或应用发起基于国际化标准协议SAML2.0的统一身份认证请求,认证体系首先判断用户是否已完成认证,如果已完成认证则直接将认证结果返回,整个认证流程结束;
b、如果未完成认证,则直接进入以下处理流程:
b1、入站认证组件负责校验请求中包含的***或应用信息是否合法,即***或应用信息是否在认证体系内登记,如果不合法则直接返回错误提示信息;如果合法则对请求进行协议解析,然后将请求转发至认证框架;
b2、认证框架渲染认证界面提示用户输入账号密码信息,互联网用户输入账号密码并将输入的数据提交至认证框架,认证框架通过预先定义的认证器配置选择认证器并由认证器负责对互联网用户进行认证;
b3、认证器的认证过程需要与用户仓库内存储的账号信息数据进行比对,认证通过后由认证框架生成一个统一的会话标识,
b4、认证框架将统一的会话标识连同认证用户的信息组装成认证结果,并将认证结果通过入站认证返回给客户端的***或应用;
b5、客户端的***或应用收到认证结果并按照与认证体系约定的解密方式,对认证结果进行解密,从而最终完成整个认证过程。
上述中,所述的认证请求中从内容上包含能唯一识别***或应用的身份信息;所述的会话标识具有一定的时效性。
进一步的,所述的认证结果是一段JWT格式的加密密文,内容包括用户主要属性。其中,所述的用户主要属性包括用户名、认证机构、认证时间、用户统一会话标识以及会话有效期。
再进一步的,所述的约定的解密方式是客户端的***或应用在认证体系内登记时完成的。
综上所述,本发明的基于互联网Web端的统一身份认证体系及其认证方法,将各***或应用独立的用户整合到统一的用户管理平台,并且让各***或应用与该体系进行对接,从而达到一个账号可以访问各个***或应用的目的,这样用户就可以从维护多套账号密码转到仅仅维护一套账号密码,从而提高了用户的使用体验。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书内容所作的等效结构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (1)

1.一种基于互联网Web端的统一身份认证体系,其特征在于,包括入站认证、认证框架、认证器以及用户仓库,所述的入站认证通过认证框架与认证器通讯连接,所述的用户仓库与认证框架通讯连接,其中,所述的入站认证包含请求处理和应答返回两个部分,所述的认证框架包含会话管理和认证器配置两个部分,所述的入站认证还与客户端通讯连接,所述的认证器包括本地认证器和联邦认证器;
请求处理,负责请求协议的解析;
应答返回,负责请求结果的包装和返回;
会话管理,负责用户的统一会话维护;
认证器配置,负责预先定义使用哪种认证器并在用户请求过程中为用户请求选择对应的认证器对用户进行认证;
本地认证器,指使用用户名和密码方式的认证;
联邦认证器,指使用QQ、微信账号进行的认证;
用户仓库,指存储用户账号密码、用户基本信息及附加信息的数据库;
基于互联网Web端的统一身份认证体系的具体步骤包括:
a、互联网用户从客户端的***或应用发起基于国际化标准协议SAML2.0的统一身份认证请求,认证体系首先判断用户是否已完成认证,如果已完成认证则直接将认证结果返回,整个认证流程结束,所述的认证请求中从内容上包含能唯一识别***或应用的身份信息;
b、如果未完成认证,则直接进入以下处理流程:
b1、入站认证组件负责校验请求中包含的***或应用信息是否合法,即***或应用信息是否在认证体系内登记,如果不合法则直接返回错误提示信息;如果合法则对请求进行协议解析,然后将请求转发至认证框架;
b2、认证框架渲染认证界面提示用户输入账号密码信息,互联网用户输入账号密码并将输入的数据提交至认证框架,认证框架通过预先定义的认证器配置选择认证器并由认证器负责对互联网用户进行认证;
b3、认证器的认证过程需要与用户仓库内存储的账号信息数据进行比对,认证通过后由认证框架生成一个统一的会话标识,所述的会话标识具有一定的时效性;
b4、认证框架将统一的会话标识连同认证用户的信息组装成认证结果,并将认证结果通过入站认证返回给客户端的***或应用;
b5、客户端的***或应用收到认证结果并按照与认证体系约定的解密方式,对认证结果进行解密,从而最终完成整个认证过程,所述的认证结果是一段JWT格式的加密密文,内容包括用户主要属性,所述的用户主要属性包括用户名、认证机构、认证时间、用户统一会话标识以及会话有效期,所述的约定的解密方式是客户端的***或应用在认证体系内登记时完成的。
CN201810378733.7A 2018-04-25 2018-04-25 基于互联网Web端的统一身份认证体系及其认证方法 Active CN108616530B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810378733.7A CN108616530B (zh) 2018-04-25 2018-04-25 基于互联网Web端的统一身份认证体系及其认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810378733.7A CN108616530B (zh) 2018-04-25 2018-04-25 基于互联网Web端的统一身份认证体系及其认证方法

Publications (2)

Publication Number Publication Date
CN108616530A CN108616530A (zh) 2018-10-02
CN108616530B true CN108616530B (zh) 2021-03-16

Family

ID=63660972

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810378733.7A Active CN108616530B (zh) 2018-04-25 2018-04-25 基于互联网Web端的统一身份认证体系及其认证方法

Country Status (1)

Country Link
CN (1) CN108616530B (zh)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100563155C (zh) * 2004-11-23 2009-11-25 华为技术有限公司 互联网身份认证方法及***
CN102315945A (zh) * 2011-10-20 2012-01-11 江苏三源教育实业有限公司 基于私有协议的统一身份认证方法
CN102857501A (zh) * 2012-08-28 2013-01-02 曙光信息产业(北京)有限公司 一种用户身份认证***及其认证方法
CN105306211B (zh) * 2014-08-01 2018-09-04 成都天钥科技有限公司 一种客户端软件的身份认证方法
CN105812314B (zh) * 2014-12-29 2019-11-29 北京新媒传信科技有限公司 一种用户登录互联网应用程序的方法和统一认证平台
CN107172008B (zh) * 2017-04-01 2019-10-18 北京芯盾时代科技有限公司 一种在移动设备中进行多***认证及同步的***和方法
CN107425983A (zh) * 2017-08-08 2017-12-01 北京明朝万达科技股份有限公司 一种基于web服务的统一身份认证方法及***平台

Also Published As

Publication number Publication date
CN108616530A (zh) 2018-10-02

Similar Documents

Publication Publication Date Title
US11323441B2 (en) System and method for proxying federated authentication protocols
RU2308755C2 (ru) Система и способ предоставления доступа к защищенным услугам с однократным вводом пароля
US9401918B2 (en) User to user delegation service in a federated identity management environment
US8495720B2 (en) Method and system for providing multifactor authentication
US20160065579A1 (en) Method and system for interoperable identity and interoperable credentials
CN111556006A (zh) 第三方应用***登录方法、装置、终端及sso服务平台
US8613059B2 (en) Methods, systems and computer program products for secure access to information
CN103986584A (zh) 基于智能设备的双因子身份验证方法
Sharma et al. Identity and access management-a comprehensive study
CN106302606B (zh) 一种跨应用访问方法及装置
US10601809B2 (en) System and method for providing a certificate by way of a browser extension
CN102916965A (zh) 一种云服务接口的安全认证机制及其认证***
US10003592B2 (en) Active directory for user authentication in a historization system
CN102420808B (zh) 一种在电信网上营业厅实现单点登录的方法
CN105262751A (zh) 一种安全登陆方法及装置
JP2013008140A (ja) シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム
CN105119916B (zh) 一种基于http的认证方法及***
CN108616530B (zh) 基于互联网Web端的统一身份认证体系及其认证方法
Hühnlein et al. Diffusion of federated identity management
EP3840288B1 (en) Pre-registration of authentication devices
Madsen et al. Challenges to supporting federated assurance
CN114491435A (zh) 一种基于工业互联网平台的安全访问方法及设备
Seak et al. A centralized multimodal unified authentication platform for web-based application
Daniels Identity Management Practices and Concerns in Enterprise Cloud Infrastructures
Zwattendorfer et al. Secure single sign-on authentication using eIDs across public clouds

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant