CN109639649B - 一种单点登录方法 - Google Patents

一种单点登录方法 Download PDF

Info

Publication number
CN109639649B
CN109639649B CN201811383988.9A CN201811383988A CN109639649B CN 109639649 B CN109639649 B CN 109639649B CN 201811383988 A CN201811383988 A CN 201811383988A CN 109639649 B CN109639649 B CN 109639649B
Authority
CN
China
Prior art keywords
token
time limit
client
authority server
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811383988.9A
Other languages
English (en)
Other versions
CN109639649A (zh
Inventor
林振天
陈又咏
郝亚龙
蔡清远
白海滨
袁宝峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Information and Telecommunication Co Ltd
Fujian Yirong Information Technology Co Ltd
Great Power Science and Technology Co of State Grid Information and Telecommunication Co Ltd
Original Assignee
State Grid Information and Telecommunication Co Ltd
Fujian Yirong Information Technology Co Ltd
Great Power Science and Technology Co of State Grid Information and Telecommunication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Information and Telecommunication Co Ltd, Fujian Yirong Information Technology Co Ltd, Great Power Science and Technology Co of State Grid Information and Telecommunication Co Ltd filed Critical State Grid Information and Telecommunication Co Ltd
Priority to CN201811383988.9A priority Critical patent/CN109639649B/zh
Publication of CN109639649A publication Critical patent/CN109639649A/zh
Application granted granted Critical
Publication of CN109639649B publication Critical patent/CN109639649B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种单点登录方法,包括如下步骤:步骤S10、客户端登录权限服务器;步骤S20、权限服务器创建一用于身份验证的第一令牌以及一用于会话刷新保持的第二令牌并进行保存;步骤S30权限服务器将第一令牌以及第二令牌发送给客户端;客户端将第一令牌以及第二令牌存储至cookie中;步骤S40、客户端利用cookie访问资源服务器。本发明的优点在于:提高了单点登录的安全性以及对会话保持进行有效控制。

Description

一种单点登录方法
技术领域
本发明涉及信息技术领域,特别指一种单点登录方法。
背景技术
随着时代的发展,许多公司都有多个办公业务***用于办理不同的业务。然而,当用户需要分别访问多个办公业务***时,需要进行多次的登陆操作,导致用户需要记录的密码众多,严重影响了用户的体验,而且对密码进行保护也十分繁杂。
针对上述情况,传统的做法是通过单点登录机制实现用户一次登陆办公业务***,多个办公业务***共享会话信息,解决多次登录的问题。具体实现技术如下:当用户第一次访问办公业务***时,引导到权限***中进行登录,权限***依据用户提供的登录信息进行身份校验,校验通过则返回一个token(令牌)作为认证凭据,而token通过cookie(浏览器缓存)技术保持在用户的浏览器中;当用户访问别的办公业务***时,浏览器将token作为认证的凭证发送给别的办公业务***,别的办公业务***将token发送到权限***中进行校验,校验通过即可登录。
但是,传统的做法存在有如下缺点:没有很好的实现单点登录的会话刷新与保持;刷新频率过高会导致***性能下降,反之若不能及时刷新会话将不能达到保持会话在线的目的;且未考虑到会话保持的最大时长,用户可通过会话刷新一直保持在线,产生一定的安全隐患。
发明内容
本发明要解决的技术问题,在于提供一种单点登录方法,用于提高单点登录的安全性以及对会话保持进行有效控制。
本发明是这样实现的:一种单点登录方法,所述方法包括如下步骤:
步骤S10、客户端登录权限服务器;
步骤S20、权限服务器创建一用于身份验证的第一令牌以及一用于会话刷新保持的第二令牌并进行保存;
步骤S30权限服务器将第一令牌以及第二令牌发送给客户端;客户端将第一令牌以及第二令牌存储至cookie中;
步骤S40、客户端利用cookie访问资源服务器。
进一步地,所述步骤S10具体为:
客户端将用户输入的登录信息发送至权限服务器进行身份验证,若验证通过,则进入步骤S20;若验证不通过,则结束流程;
进一步地,所述步骤S20具体为:
权限服务器创建一用于身份验证的第一令牌,并在所述第一令牌的基础上创建一用于会话刷新保持的第二令牌,并将所述第一令牌以及第二令牌存储至权限服务器的缓存中。
进一步地,所述第一令牌设置一第一时限,所述第二令牌设置一第二时限;权限服务器创建一第三时限。
进一步地,所述第一时限小于所述第二时限,所述第二时限小于所述第三时限。
进一步地,所述步骤S40具体为:
步骤S41、客户端利用第一令牌以及第二令牌向会话过滤器发送访问资源服务器的验证请求,若验证通过,则进入步骤S42;若验证不通过,则结束流程;
步骤S42、允许客户端访问资源服务器。
进一步地,所述步骤S41具体为:
步骤S411、客户端利用第一令牌向会话过滤器发送访问资源服务器的验证请求,验证请求附带上客户端的ip,会话过滤器判断第一令牌是否存储于权限服务器,是,则进入步骤S412;否,则结束流程;
步骤S412、会话过滤器判断发送第一令牌所使用的ip与客户端的ip是否一致,若一致,则进入步骤S413;若不一致,则结束流程;
步骤S413、会话过滤器判断第一时限是否超时,若未超时,则进入步骤S42;若超时,则进入步骤S414;
步骤S414、客户端将存储在cookie中的第二令牌发送给权限服务器,权限服务器判断接收的第二令牌与存储在缓存中的第一令牌是否匹配,若匹配,则进入步骤S415;若不匹配,则结束流程;
步骤S415、权限服务器判断第二时限是否超时,若未超时,则进入步骤S417;若超时,则进入步骤S416;
步骤S416、权限服务器判断第二时限的刷新总时长是否超过第三时限,若未超过,则进入步骤S417;若超过,则结束流程;
步骤S417、权限服务器刷新第一时限以及第二时限,并进入步骤S30。
本发明的优点在于:
1、提高了单点登录的安全性以及实现了对会话保持进行有效的控制。
2、通过在第一令牌的基础上创建一用于会话刷新保持的第二令牌,便于后期身份验证时判断第一令牌或者第二令牌是否被仿冒,提高了安全性。
3、通过设置第三时限来控制用户登录的最大时长,避免用户一直刷新第二令牌而不下线,进而产生安全隐患。
4、通过设置第一令牌的第一时限以及第二令牌的第二时限,实现了最大空闲时间控制以及登录会话的刷新保持。
附图说明
下面参照附图结合实施例对本发明作进一步的说明。
图1是本发明一种单点登录方法的流程图。
具体实施方式
请参照图1所示,本发明一种单点登录方法的较佳实施例,包括如下步骤:
步骤S10、客户端登录权限服务器;
步骤S20、权限服务器创建一用于身份验证的第一令牌(accessToken)以及一用于会话刷新保持的第二令牌(freshToken)并进行保存;
步骤S30权限服务器将第一令牌以及第二令牌发送给客户端;客户端将第一令牌以及第二令牌存储至cookie中;
步骤S40、客户端利用cookie访问资源服务器。
所述步骤S10具体为:
客户端将用户输入的登录信息发送至权限服务器进行身份验证,若验证通过,则进入步骤S20;若验证不通过,则结束流程;
所述步骤S20具体为:
权限服务器创建一用于身份验证的第一令牌,并在所述第一令牌的基础上创建一用于会话刷新保持的第二令牌,并将所述第一令牌以及第二令牌存储至权限服务器的缓存中。通过在第一令牌的基础上创建一用于会话刷新保持的第二令牌,便于后期身份验证时判断第一令牌或者第二令牌是否被仿冒,提高了安全性。
所述第一令牌设置一第一时限,所述第二令牌设置一第二时限;通过设置第一时限以及第二时限,实现了最大空闲时间控制以及登录会话的刷新保持;权限服务器创建一第三时限;通过设置第三时限来控制用户登录的最大时长,避免用户一直刷新freshToken而不下线,进而产生安全隐患。
所述第一时限小于所述第二时限,所述第二时限小于所述第三时限。
所述步骤S40具体为:
步骤S41、客户端利用第一令牌以及第二令牌向会话过滤器发送访问资源服务器的验证请求,若验证通过,则进入步骤S42;若验证不通过,则结束流程;会话过滤器与权限服务器通过RPC框架保持连接,减少耦合;
步骤S42、允许客户端访问资源服务器。
所述步骤S41具体为:
步骤S411、客户端利用第一令牌向会话过滤器发送访问资源服务器的验证请求,验证请求附带上客户端的ip,会话过滤器判断第一令牌是否存储于权限服务器,是,则进入步骤S412;否,则结束流程;
步骤S412、会话过滤器判断发送第一令牌所使用的ip与客户端的ip是否一致,若一致,则进入步骤S413;若不一致,则结束流程;
步骤S413、会话过滤器判断第一时限是否超时,若未超时,则进入步骤S42;若超时,则进入步骤S414;
步骤S414、客户端将存储在cookie中的第二令牌发送给权限服务器,权限服务器判断接收的第二令牌与存储在缓存中的第一令牌是否匹配,若匹配,则进入步骤S415;若不匹配,则结束流程;
步骤S415、权限服务器判断第二时限是否超时,若未超时,则进入步骤S417;若超时,则进入步骤S416;
步骤S416、权限服务器判断第二时限的刷新总时长是否超过第三时限,若未超过,则进入步骤S417;若超过,则结束流程;
步骤S417、权限服务器刷新第一时限以及第二时限,并进入步骤S30。
第一时限的设置应尽量小,保证用户访问***时可以及时触发刷新操作,如2秒;
第二时限的设置可以依据用户操作***的屏保时间设置,如15分钟,当用户在15分钟内没有操作,需要进行刷新以保持会话;
第三时限的设置可以依据实际的情况来确定,如60分钟。
综上所述,本发明的优点在于:
1、提高了单点登录的安全性以及实现了对会话保持进行有效的控制。
2、通过在第一令牌的基础上创建一用于会话刷新保持的第二令牌,便于后期身份验证时判断第一令牌或者第二令牌是否被仿冒,提高了安全性。
3、通过设置第三时限来控制用户登录的最大时长,避免用户一直刷新第二令牌而不下线,进而产生安全隐患。
4、通过设置第一令牌的第一时限以及第二令牌的第二时限,实现了最大空闲时间控制以及登录会话的刷新保持。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。

Claims (2)

1.一种单点登录方法,其特征在于:所述方法包括如下步骤:
步骤S10、客户端将用户输入的登录信息发送至权限服务器进行身份验证,若验证通过,则进入步骤S20;若验证不通过,则结束流程;
步骤S20、权限服务器创建一用于身份验证的第一令牌,并在所述第一令牌的基础上创建一用于会话刷新保持的第二令牌,并将所述第一令牌以及第二令牌存储至权限服务器的缓存中;所述第一令牌设置一第一时限,所述第二令牌设置一第二时限;权限服务器创建一第三时限;
步骤S30权限服务器将第一令牌以及第二令牌发送给客户端;客户端将第一令牌以及第二令牌存储至cookie中;
步骤S40、客户端利用cookie访问资源服务器;
所述步骤S40具体为:
步骤S41、客户端利用第一令牌以及第二令牌向会话过滤器发送访问资源服务器的验证请求,若验证通过,则进入步骤S42;若验证不通过,则结束流程;
步骤S42、允许客户端访问资源服务器;
所述步骤S41具体为:
步骤S411、客户端利用第一令牌向会话过滤器发送访问资源服务器的验证请求,验证请求附带上客户端的ip,会话过滤器判断第一令牌是否存储于权限服务器,是,则进入步骤S412;否,则结束流程;
步骤S412、会话过滤器判断发送第一令牌所使用的ip与客户端的ip是否一致,若一致,则进入步骤S413;若不一致,则结束流程;
步骤S413、会话过滤器判断第一时限是否超时,若未超时,则进入步骤S42;若超时,则进入步骤S414;
步骤S414、客户端将存储在cookie中的第二令牌发送给权限服务器,权限服务器判断接收的第二令牌与存储在缓存中的第一令牌是否匹配,若匹配,则进入步骤S415;若不匹配,则结束流程;
步骤S415、权限服务器判断第二时限是否超时,若未超时,则进入步骤S417;若超时,则进入步骤S416;
步骤S416、权限服务器判断第二时限的刷新总时长是否超过第三时限,若未超过,则进入步骤S417;若超过,则结束流程;
步骤S417、权限服务器刷新第一时限以及第二时限,并进入步骤S30。
2.如权利要求1所述的一种单点登录方法,其特征在于:所述第一时限小于所述第二时限,所述第二时限小于所述第三时限。
CN201811383988.9A 2018-11-20 2018-11-20 一种单点登录方法 Active CN109639649B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811383988.9A CN109639649B (zh) 2018-11-20 2018-11-20 一种单点登录方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811383988.9A CN109639649B (zh) 2018-11-20 2018-11-20 一种单点登录方法

Publications (2)

Publication Number Publication Date
CN109639649A CN109639649A (zh) 2019-04-16
CN109639649B true CN109639649B (zh) 2021-08-10

Family

ID=66068745

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811383988.9A Active CN109639649B (zh) 2018-11-20 2018-11-20 一种单点登录方法

Country Status (1)

Country Link
CN (1) CN109639649B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698264A (zh) * 2020-06-28 2020-09-22 京东数字科技控股有限公司 用于保持用户认证会话的方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377788A (zh) * 2011-12-13 2012-03-14 方正国际软件有限公司 单点登录***及其单点登录方法
CN103188248A (zh) * 2011-12-31 2013-07-03 卓望数码技术(深圳)有限公司 基于单点登录的身份认证***及方法
CN105049427A (zh) * 2015-06-29 2015-11-11 用友优普信息技术有限公司 应用***登录账号的管理方法及装置
CN107277015A (zh) * 2017-06-21 2017-10-20 北京易教阳光教育科技有限公司 统一用户认证管理方法、***、存储介质及服务器
CN108475312A (zh) * 2015-10-02 2018-08-31 华睿泰科技有限责任公司 用于装置安全外壳的单点登录方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377788A (zh) * 2011-12-13 2012-03-14 方正国际软件有限公司 单点登录***及其单点登录方法
CN103188248A (zh) * 2011-12-31 2013-07-03 卓望数码技术(深圳)有限公司 基于单点登录的身份认证***及方法
CN105049427A (zh) * 2015-06-29 2015-11-11 用友优普信息技术有限公司 应用***登录账号的管理方法及装置
CN108475312A (zh) * 2015-10-02 2018-08-31 华睿泰科技有限责任公司 用于装置安全外壳的单点登录方法
CN107277015A (zh) * 2017-06-21 2017-10-20 北京易教阳光教育科技有限公司 统一用户认证管理方法、***、存储介质及服务器

Also Published As

Publication number Publication date
CN109639649A (zh) 2019-04-16

Similar Documents

Publication Publication Date Title
US10326795B2 (en) Techniques to provide network security through just-in-time provisioned accounts
US11366906B2 (en) Domain-authenticated control of platform resources
AU2019384472B2 (en) Dual factor authentication with active directory and one time password token combination
US8925053B1 (en) Internet-accessible service for dynamic authentication and continuous assertion of trust level in identities
US8336091B2 (en) Multi-level authentication
US9137228B1 (en) Augmenting service provider and third party authentication
US20130111586A1 (en) Computing security mechanism
US20080276308A1 (en) Single Sign On
EP3132562A1 (en) Device registration, authentication, and authorization system and method
US11950094B2 (en) Customer communication system
US10454921B1 (en) Protection of authentication credentials of cloud services
CN105991614A (zh) 一种开放授权、资源访问的方法及装置、服务器
US20210209200A1 (en) Systems and methods for improved authentication
CN104994102A (zh) 一种基于反向代理的企业信息***认证和访问控制的方法
US20200267146A1 (en) Network analytics for network security enforcement
JP2023524173A (ja) 共有化されたリソース識別
US20180219843A1 (en) Management of access sessions
US9674177B1 (en) Dynamic knowledge-based user authentication without need for presentation of predetermined credential
CN109639649B (zh) 一种单点登录方法
US11824856B1 (en) Chaining of authorizations
US11418488B2 (en) Dynamic variance mechanism for securing enterprise resources using a virtual private network
US10078747B2 (en) Resumption of logon across reboots
TWI773025B (zh) 設備帳號使用安全、監控與管理終端化之流程及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant