CN109981666A - 一种接入方法、接入***和接入服务器 - Google Patents
一种接入方法、接入***和接入服务器 Download PDFInfo
- Publication number
- CN109981666A CN109981666A CN201910257945.4A CN201910257945A CN109981666A CN 109981666 A CN109981666 A CN 109981666A CN 201910257945 A CN201910257945 A CN 201910257945A CN 109981666 A CN109981666 A CN 109981666A
- Authority
- CN
- China
- Prior art keywords
- access side
- access
- user data
- data
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
一种接入方法和***,应用于接入方,该方法包括:通过第一应用接收到访问请求后,根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面;通过第一应用从被接入方接收用户数据密文;基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。通过本发明实施例的接入方法和***,能够利用被接入方的公私钥进行用户数据的校验和加密传输,实现了用户数据传输的双向验证,从而能够有效地保证用户数据的传输安全。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种接入方法、接入***和接入服务器。
背景技术
在互联网高速发展的今天,业务如何能够快速部署上线,缩短周期和减少成本成为软件公司追求的一项目标。几乎所有的互联网软件都涉及到账号***,账号***建立一般有自建账号***和接入第三方账号***这两种策略。自建账号***的优点在于用户是自己的,缺点在于用户积累慢,导致业务发展速度慢。相反,接入第三方账号***的优点在于开发周期短,一般第三方***是较出名的、拥有大量活跃用户的账号***,因而能够有利于业务推广和快速发展,但缺点在于用户从一定意义上来说不是自己的。
在发展初期,自己的软件不太出名时依托知名的第三方账号***更有利于自己业务的发展,比如很多软件公司的产品会选择接入QQ等账号***。开发一个软件需要使用另一个软件中用户产生的数据资源,这时候也需要将一个***接入另一个***使用的账号中心。
如果确定要接入第三方账号***,那么安全、快速接入将成为关键的考虑因素。
发明内容
本发明提供了一种接入方法、接入***和接入服务器,能够以便捷的方式保证用户数据传输的安全。
为此,一方面,本申请实施例提供了一种接入方法,应用于接入方,该方法包括:通过第一应用接收到访问请求后,根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息;通过第一应用从被接入方接收用户数据密文,所述用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的;基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
可选地,第一校验数据为数字签名,则使用被接入方公钥对第一校验数据进行校验,包括:基于目标用户数据并使用被接入方公钥对第一校验数据进行验签。
可选地,第一校验数据为数字签名,则使用被接入方公钥对第一校验数据进行校验,包括:基于目标用户数据的预定部分并使用被接入方公钥对第一校验数据进行验签。
可选地,基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,包括:使用接入方私钥对所述用户数据密文进行解密得到目标用户数据和第一校验数据。
可选地,所述用户数据密文包括第一密文和第二密文,其中,基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,包括:使用接入方私钥对第二密文进行解密得到随机密钥;使用随机密钥对第一密文解密得到目标用户数据和第一校验数据。
可选地,目标用户数据是通过对如下数据进行组装而得到的:接入方在被接入方的唯一应用标识和由被接入方针对接入方而分配给用户的唯一用户标识;或唯一应用标识、唯一用户标识以及用户数据协议版本、操作信息代码、时间戳这三种数据中的至少一种。
可选地,将用于接收用户数据密文的重定向接口地址发送给所述被接入方。
可选地,在校验通过后完成用户对第一应用的登录,包括:为用户在接入方生成唯一标识,将目标用户数据与该唯一标识对应存储。
另一方面,本申请实施例提供了一种接入***,包括服务端和安装在终端设备的第一应用,其中:第一应用包括:用户接口,其配置为接收访问请求,并根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息;重定向接口,其配置为从被接入方接收用户数据密文,所述用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的;服务端包括:通信单元,其配置为从第一应用接收用户数据密文;处理单元,其配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
另一方面,本发明实施例提供了一种接入***,包括被接入方服务器、接入方服务器和安装在终端设备的第一应用。其中,第一应用包括:用户接口,其配置为接收访问请求,并根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息;重定向接口,其配置为从被接入方接收用户数据密文。所述被接入方服务器包括:第一通信单元,其配置为接收所述用户登录信息,并发送所述用户数据密文;第一处理单元,其配置为对所述用户登录信息进行验证,并在验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到所述用户数据密文。所述接入方服务器包括:第二通信单元,其配置为从第一应用接收用户数据密文;第二处理单元,其配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
再一方面,本发明实施例提供了一种接入服务器,其包括处理器,所述处理器配置为运行预定的计算机指令以执行以上任一实施例的方法。
通过本发明实施例的用户数据传输方法和装置,能够利用被接入方的公私钥进行用户数据的校验和加密传输,实现了用户数据传输的双向验证,从而能够有效地保证用户数据的传输安全。
附图说明
图1为本发明的接入方法的一个实施例的示意性流程图。
图2为本发明的接入方法的另一实施例的示意性流程图。
图3为本发明的接入方法的另一实施例的示意性流程图。
图4为本发明的接入方法的另一实施例的示意性流程图。
图5为本发明的接入方法的另一实施例的示意性流程图。
图6为本发明的接入***一个实施例的示意性框图。
图7A为本发明的接入***的另一实施例的示意性框图。
图7B为本发明的接入方法的另一实施例的示意性流程图。
图7C为本发明的接入方法的另一实施例的示意性流程图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种变型。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他变型。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本申请实施例。
图1为本发明的接入方法的一个实施例的示意性流程图。本发明实施例的接入方法应用于接入方。如图1所示,本发明实施例的接入方法包括:
S11:通过第一应用接收到访问请求后,根据用户操作所选定的被接入方,从第一应用重定向至被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息;
S12:通过第一应用从被接入方接收用户数据密文,用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的;
S13:基于接入方私钥从用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
具体地,在本发明的实施例中,第一应用可以是接入方开发的用于向用户提供应用服务的独立应用程序,也可以是终端设备上的浏览器,用户可以通过浏览器访问接入方的网站并进行登录。被接入方的登录界面可以为与第一应用不同的第二应用,重定向过程例如在用户终端上从第一应用跳转到第二应用。被接入方的登录界面也可以是浏览器等。被接入方可以是用户数据的拥有方,接入方可以为用户数据的使用方。作为一个具体的实施例,接入方例如可以是一个服务器,被接入方可以是另一服务器,两者由不同的运营商进行操作。作为另一个具体的实施例,接入方例如可以包括安装在用户终端上的应用和应用服务器,该应用与接入方的应用服务器连接,被接入方可以为另一服务器并且与接入方进行通信。
接入方通过第一应用从用户接收访问请求,例如用户需要登录到第一应用来使用第一应用的具体功能服务时,通过操作第一应用的用户界面发出访问请求。这时,第一应用的用户界面上可以提示是否选择以第三方账号登录,例如以多个图标的形式展示多个第三方服务商时,用户可以点选其中的一个图标来选定被接入方。根据用户的选择操作,接入方可以从第一应用重定向至用户选中的被接入方的登录界面,以便用户在该被接入方的登录界面输入用户在该被接入方的用户账号的登录信息。
用户完成登录信息的输入和提交后,被接入方接收该登录信息并进行验证,如验证通过,表明该用户为被接入方的注册用户,并且表明上述通过登录被接入方来登录第一应用的请求是该用户提交的,则被接入方进行将目标用户数据传输给接入方的第一应用的处理。
在传输用户数据之前,接入方需要预先生成一对公私钥,将其中的公钥提交给被接入方;被接入方也需要预先生成一对公私钥,并为接入方生成或分配一个唯一标识,用以表示是哪个接入方请求使用用户数据,并将该公钥和唯一标识提交给该接入方。
待传输的目标用户数据可以包括接入方在被接入方处的唯一标识和用户信息数据。当接入方包括第一应用时,该唯一标识可以是唯一应用标识,如AppId。用户信息数据例如可以包括用户在被接入方处的唯一标识,该唯一标识可以与用户在被接入方处的登录信息、数字资源、个人资料信息等关联存储。例如,在被接入方为第三方登录服务器的情况下,接入方得到用户信息数据后,每次用户通过登录被接入方来登录接入方时,接入方可以通过校验从被接入方发来的用户信息数据来确定用户已经通过了被接入方的登录验证,从而使得用户在接入方进入登录状态。
在本发明实施例中,在需要向接入方传输目标用户数据时,被接入方基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到用户数据密文发送给接入方。从被接入方接收到用户数据密文后,接入方使用自身的私钥对用户数据密文解密得到目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行验证。这里,第一校验数据用于接入方对被接入方进行验证,因为接入方只有使用正确的被接入方公钥才能对第一校验数据进行验证通过。并且被接入方将第一校验数据和目标用户数据一同加密得到密文并发送给接入方,这是为了对接入方进行验证,因为只有特定的接入方才持有密文解密过程所需的私钥,才能从密文中得到目标用户数据和第一校验数据。如此,实现了接入方和被接入方之间的双向验证。
在完成了接入方和被接入方之间的双向验证后,接入方确认从被接入方所接收到的目标用户数据为合法数据,将目标用户数据进行存储,并使得用户进入已通过第一应用登录到接入方的状态。
通过本发明实施例的接入方法,能够利用被接入方的公私钥进行用户数据的校验和加密传输,实现了用户数据传输的双向验证,从而能够有效地保证用户数据的传输安全。在将本发明实施例的方案应用于第三方登录时,即便不法分子截获了用户数据,由于他们并没有接入方的私钥,也不能够解密获得用户数据的明文数据,而且用户数据也无法被篡改或仿冒,从而有效地避免了不法分子对“隐蔽重定向”漏洞的利用。
图2为本发明的接入方法的另一实施例的示意性流程图。如图2所示,本发明实施例的接入方法包括如下步骤:
S21:通过第一应用接收到访问请求后,根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息。
S22:通过第一应用从被接入方接收用户数据密文。
S23:使用接入方私钥对所述用户数据密文进行解密得到目标用户数据和第一校验数据。
S24:基于目标用户数据并使用被接入方公钥对第一校验数据进行校验。
在本发明的实施例中,被接入方在生成用户数据密文时,可以使用约定的数字签名算法对目标用户数据进行数字签名处理得到第一数字签名作为第一校验数据。约定的数字签名算法可以是任意的,例如DSA签名算法或RSA签名算法等。然后被接入方对目标用户数据和第一数字签名进行加密后发送给接入方,例如被接入方可以使用接入方的公钥或其他约定密钥来对目标用户数据和第一数字签名进行加密后发送给接入方,其中约定密钥可以是双方预先协商的对称密钥。接入方接收到用户数据密文后,能够基于接入方私钥或其他约定密钥从数据密文获得目标用户数据和第一数字签名,从而接入方能够基于目标用户数据并使用被接入方公钥对第一数字签名进行验签,如果对第一数字签名验证通过,则认为目标用户数据为可信数据并进行存储,否则认为目标用户数据已经被非法篡改或者是仿冒数据,弃用该目标用户数据。
图3为本发明的接入方法的另一实施例的示意性流程图。如图3所示,本发明实施例的接入方法包括如下步骤:
S31:通过第一应用接收到访问请求后,根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息。
S32:通过第一应用从被接入方接收用户数据密文。
S33:使用接入方私钥对密文进行解密得到目标用户数据和第一校验数据。
S34:基于目标用户数据的预定部分并使用被接入方公钥对第一校验数据进行验签。
在本发明的实施例中,被接入方在生成用户数据密文时,可以使用约定的数字签名算法对目标用户数据的预定部分进行数字签名处理得到第一数字签名作为第一校验数据。约定的数字签名算法可以是任意的,例如DSA签名算法或RSA签名算法等。然后被接入方对目标用户数据和第一数字签名进行加密后发送给接入方,例如被接入方可以使用接入方的公钥或其他约定密钥来对目标用户数据和第一数字签名进行加密后发送给接入方。接入方得到用户数据密文后,基于接入方私钥从密文中获得目标用户数据和第一校验数据,基于目标用户数据的预定部分并使用被接入方公钥对第一校验数据进行验签,如果验证通过则认为解密得到的目标用户数据合法并进行存储,否则弃用解密得到的目标用户数据。
图4为本发明的接入方法的另一实施例的示意性流程图。如图4所示,本发明实施例的接入方法包括如下步骤:
S41:通过第一应用接收到访问请求后,根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息。
S42:通过第一应用从被接入方接收用户数据密文,用户数据密文包括第一密文和第二密文。
S43:使用接入方私钥对第二密文进行解密得到随机密钥。
S44:使用随机密钥对第一密文解密得到目标用户数据和第一校验数据.
S45:基于目标用户数据并使用被接入方公钥对第一校验数据进行校验。
在本发明的实施例中,被接入方使用被接入方私钥对目标用户数据进行处理得到第一校验数据后,先使用随机密钥对目标用户数据和第一校验数据进行加密生成第一密文,再用接入方公钥对随机密钥进行加密生成第二密文,将包括第一密文和第二密文的用户数据密文发送给接入方。随机密钥可以为任意的,例如由机器生成的伪随机密钥。本发明实施例中,被接入方使用随机密钥对目标用户数据和第一校验数据进行加密得到第一密文,可以是任意的,例如可以是对目标用户数据和第一校验数据作为整体加密,也可以对其中的一者或部分进行加密,然后对整体再次加密。此外,还可以对目标用户数据和第一校验数据的预定部分进行多次加密。本发明实施例中,使用接入方公钥对随机密钥进行加密得到第二密文,也可以是任意的方式,例如,利用接入方公钥对随机密钥加密,可以是利用接入方公钥对随机密钥进行部分加密,也可以对随机密钥进行全部加密,或者可以是对随机密钥进行预定次数的加密。
在本发明实施例中,被接入方可以将第一密文和第二密文按预定格式进行组装后发送给接入方,得接入方能够按照预定格式从中提取出第一密文和第二密文,从而使用接入方的私钥对第二密文解密得到随机密钥,进而用随机密钥对第一密文解密得到目标用户数据和第一校验数据,然后对第一校验数据进行校验。根据被接入方生成第一校验数据的具体方式,校验过程具体可以为,基于目标用户数据并使用被接入方公钥对第一校验数据进行验签。
图5为本发明的接入方法的另一实施例的示意性流程图。如图5所示,本发明实施例的接入方法包括如下步骤:
S51:通过第一应用接收到访问请求后,根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信
S52:通过第一应用从被接入方接收用户数据密文。
S53:使用接入方私钥对第二密文进行解密得到随机密钥;
S54:使用随机密钥对第一密文解密得到目标用户数据和第一校验数据。
S55:基于目标用户数据的预定部分并使用被接入方公钥对第一校验数据进行验签。
S56:为用户在接入方生成唯一标识,将目标用户数据与该唯一标识对应存储。
在本发明的实施例中,目标用户数据的预定部分都是任意约定的,在一个实施例中,可以将预定部分及其编号进行不同的关联,例如具体地,将目标用户数据的各个部分进行重新编号。接入方获得包括第一密文和第二密文的用户数据密文后,基于接入方私钥从第二密文中得到随机密钥,使用随机密钥对第一密文解密得到目标用户数据和第一校验数据,基于目标用户数据的预定部分并使用被接入方公钥对第一校验数据进行验签,如果验证通过则认为解密得到的目标用户数据合法,为用户在接入方生成唯一标识以将目标用户数据与该唯一标识对应存储,否则弃用解密得到的目标用户数据。
在本发明实施例中,目标用户数据可以是通过对多个数据进行组装而得到的。例如,被接入方可以通过将接入方在被接入方的唯一应用标识和由被接入方针对接入方而分配给用户的唯一用户标识进行组装而得到目标用户数据。此外,目标用户数据中除了标识之外还可以包括其他用户相关信息,例如用户数据协议版本、操作信息代码、时间戳中的至少一种信息。
在本发明实施例中,接入方还可以预先将用于接收用户数据密文的重定向接口地址通过第一应用或者直接从应用服务器发送给被接入方,从而被接入方在生成用户数据密文后可以直接发送至重定向接口地址。
图6为本发明的接入***一个实施例的示意性框图。如图6所示,本发明实施例的接入***包括服务端61和安装在终端设备62的第一应用620。
第一应用620包括用户接口621和重定向接口622,其中用户接口621配置为接收访问请求,并根据用户操作所选定的被接入方,从第一应用重定向至被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息;重定向接口622配置为从被接入方接收用户数据密文,用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的。
服务端61包括通信单元611和处理单元612,其中通信单元611配置为从第一应用接收用户数据密文;处理单元612配置为基于接入方私钥从用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
在本发明的实施例中,接入***的各单元的操作和配置与上述接入方法相对应。
通过本发明实施例的接入***,能够利用被接入方的公私钥进行用户数据的校验和加密传输,实现了用户数据传输的双向验证,从而能够有效地保证用户数据的传输安全。在将本发明实施例的方案应用于第三方登录时,即便不法分子截获了用户数据,由于他们并没有接入方的私钥,也不能够解密获得用户数据的明文数据,而且用户数据也无法被篡改或仿冒,从而有效地避免了不法分子对“隐蔽重定向”漏洞的利用。
图7A为本发明的接入***的另一实施例的示意性框图。
如图7A所示,本发明的接入***包括被接入方服务器71、接入方服务器72和安装在终端设备73的第一应用730。
第一应用730包括用户接口731和重定向接口732。其中用户接口731配置为接收访问请求,并根据用户操作所选定的被接入方,从第一应用重定向至被接入方的登录界面,以便用户在被接入方的登录界面输入用户登录信息;重定向接口732,其配置为从被接入方接收用户数据密文。
被接入方服务器71包括第一通信单元711和第一处理单元712。其中,第一通信单元711配置为接收用户登录信息,并发送用户数据密文;第一处理单元712,其配置为对用户登录信息进行验证,并在验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到用户数据密文。
接入方服务器72包括第二通信单元721和第二处理单元722。其中,第二通信单元721配置为从第一应用接收用户数据密文;第二处理单元722配置为基于接入方私钥从用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
本发明实施例的接入***具体按照如下方式进行操作:
一、被接入方需提供以下接口供接入方接入时初始化数据(图7B),接入方初始化数据调用:
1、给接入方生成一个唯一的标识AppID;
2、能够让接入方将代表接入方身份的公钥上传保存在被接入方***中;
3、被接入方生成代表被接入方身份的公私钥,将公钥返回给接入方,私钥保存在***中;
4、能够保存当被接入方用户身份验证通过后,将用户信息返回给接入方的接口地址;
5、被接入方和接入方产生的信息存储在t_accessParty表中;
二、接入方需要提供接口存储初始化的数据,如下:为被接入方的账号中心分配一个id,标识是接入的哪一个帐号中心,并将步骤一中的步骤3中获取到的公钥、自己的私钥、AppId存储在t_userCenter表中;该步骤完成之后,接入方和被接入方***间调用有以下步骤(图7C):
1、用户通过终端设备(可以是浏览器终端设备,也可以是接入方开发的终端设备)访问接入方的在线服务(如果支持多用户中心接入,需要让用户选择使用哪一个账号中心,比如腾讯QQ账号,或者新浪微博账号);
2、界面上的账号中心选择项对应的是它的AppId,接入方***带上AppId等参数,重定向到被接入方用户***进行用户登录验证;
3、用户在被接入方的***登录页面输入正确的账号信息(当然用户在此过程也可以取消登录);
4、被接入方的***验证账号信息通过后,通过参数AppId从t_accessParty表中获取该AppId对应的接入方的公钥和自己的私钥组装用户数据包,需要注意在此处为该用户分配一个针对该接入者唯一的用户编号写在UserInfo中,如果这个用户再次通过接入方***登录,依然使用相同的编号,不重新生成,因此需要将分配的用户编号存储在自己的存储服务的t_accessPartyUserIdMapping表中,登录验证通过后首先判断该用户有没有针对该接入方的唯一编号,有直接使用,没有生成后入库保存。组装好的数据包发送给接入方提供的用户数据重定向的接口。
5、终端设备获取到用户数据之后,将数据提交给接入方的服务端;
6、接入方服务端***收到数据包之后,通过拆包得到协议中定义的数据,其中UserInfo中存储的是被接入方针对该接入方提供的登录用户的唯一编号,接入方服务端重新生成一个唯一编号与之对应进行存储,存储在t_userInfo表中,如果该用户已经在表中,就不再***,到此完成用户在接入方***中的登录。重新生成的原因是,当多账号中心接入时,不同厂家的账号中心分配给接入方的不同账号的用户编号有可能重复。在接入方的***中使用重新生成的用户编号标识此登录用户。
描述于本申请实施例中所涉及到的模块可以通过图6所示的硬件的方式实现,也可以通过软件的方式来实现。例如,在本发明的接入***的另一实施例中,应用于接入方的接入***可以包括处理器和存储器,存储器可以配置为存储预定的计算机指令,处理器可以配置为运行存储器中存储的预定的计算机指令以执行根据图1至图5所示实施例中的处理过程。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的数据处理方法所应用于的电子设备,可以参考前述产品实施例中的对应描述,在此不再赘述。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (11)
1.一种接入方法,应用于接入方,该方法包括:
通过第一应用接收到访问请求后,根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息;
通过第一应用从被接入方接收用户数据密文,所述用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的;
基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
2.如权利要求1所述的方法,其特征在于,第一校验数据为数字签名,则使用被接入方公钥对第一校验数据进行校验,包括:
基于目标用户数据并使用被接入方公钥对第一校验数据进行验签。
3.如权利要求1所述的方法,其特征在于,第一校验数据为数字签名,则使用被接入方公钥对第一校验数据进行校验,包括:
基于目标用户数据的预定部分并使用被接入方公钥对第一校验数据进行验签。
4.如权利要求1-3中任一项所述的方法,其特征在于,基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,包括:
使用接入方私钥对所述用户数据密文进行解密得到目标用户数据和第一校验数据。
5.如权利要求1-3中任一项所述的方法,其特征在于,所述用户数据密文包括第一密文和第二密文,其中,基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,包括:
使用接入方私钥对第二密文进行解密得到随机密钥;
使用随机密钥对第一密文解密得到目标用户数据和第一校验数据。
6.如权利要求1-5中任一项所述的方法,其特征在于,目标用户数据是通过对如下数据进行组装而得到的:接入方在被接入方的唯一应用标识和由被接入方针对接入方而分配给用户的唯一用户标识;或唯一应用标识、唯一用户标识以及用户数据协议版本、操作信息代码、时间戳这三种数据中的至少一种。
7.如权利要求1-5中任一项所述的方法,其特征在于,还包括:
将用于接收用户数据密文的重定向接口地址发送给所述被接入方。
8.如权利要求1-5中任一项所述的方法,其特征在于,在校验通过后完成用户对第一应用的登录,包括:
为用户在接入方生成唯一标识,将目标用户数据与该唯一标识对应存储。
9.一种接入***,包括服务端和安装在终端设备的第一应用,其中:
第一应用包括:
用户接口,其配置为接收访问请求,并根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息;
重定向接口,其配置为从被接入方接收用户数据密文,所述用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的;
服务端包括:
通信单元,其配置为从第一应用接收用户数据密文;
处理单元,其配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
10.一种接入***,包括被接入方服务器、接入方服务器和安装在终端设备的第一应用,其中:
第一应用包括:
用户接口,其配置为接收访问请求,并根据用户操作所选定的被接入方,从第一应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息;
重定向接口,其配置为从被接入方接收用户数据密文;
所述被接入方服务器包括:
第一通信单元,其配置为接收所述用户登录信息,并发送所述用户数据密文;
第一处理单元,其配置为对所述用户登录信息进行验证,并在验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到所述用户数据密文;
所述接入方服务器包括:
第二通信单元,其配置为从第一应用接收用户数据密文;
第二处理单元,其配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后完成用户对第一应用的登录。
11.一种接入服务器,其包括处理器,所述处理器配置为运行预定的计算机指令以执行如权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910257945.4A CN109981666B (zh) | 2019-04-01 | 2019-04-01 | 一种接入方法、接入***和接入服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910257945.4A CN109981666B (zh) | 2019-04-01 | 2019-04-01 | 一种接入方法、接入***和接入服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109981666A true CN109981666A (zh) | 2019-07-05 |
| CN109981666B CN109981666B (zh) | 2020-08-04 |
Family
ID=67082185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910257945.4A Active CN109981666B (zh) | 2019-04-01 | 2019-04-01 | 一种接入方法、接入***和接入服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109981666B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113949566A (zh) * | 2021-10-15 | 2022-01-18 | 工银科技有限公司 | 资源访问方法、装置、电子设备和介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924635A (zh) * | 2010-08-04 | 2010-12-22 | 吴晓军 | 一种用户身份认证的方法及装置 |
| CN103023646A (zh) * | 2012-11-26 | 2013-04-03 | 韩益亮 | 一种签密文可聚合的签密方法 |
| CN103490881A (zh) * | 2013-09-06 | 2014-01-01 | 广东数字证书认证中心有限公司 | 认证服务***、用户认证方法、认证信息处理方法及*** |
| CN104580264A (zh) * | 2015-02-13 | 2015-04-29 | 人民网股份有限公司 | 登录方法、注册方法、登录装置以及登录和注册*** |
| US20160078251A1 (en) * | 2014-09-16 | 2016-03-17 | Freescale Semiconductor, Inc. | Key storage and revocation in a secure memory system |
| US9547778B1 (en) * | 2014-09-26 | 2017-01-17 | Apple Inc. | Secure public key acceleration |
| CN106792665A (zh) * | 2016-12-19 | 2017-05-31 | 华东师范大学 | 基于短小公钥密码体制的无线传感器网络安全小数据分发方法 |
| CN107017993A (zh) * | 2017-04-01 | 2017-08-04 | 北京江南天安科技有限公司 | 一种多方联合密钥产生和数字签名方法及*** |
| CN108599950A (zh) * | 2018-04-09 | 2018-09-28 | 北京无字天书科技有限公司 | 一种适用于sm9标识密码的用户密钥申请下载安全协议的实现方法 |
-
2019
- 2019-04-01 CN CN201910257945.4A patent/CN109981666B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924635A (zh) * | 2010-08-04 | 2010-12-22 | 吴晓军 | 一种用户身份认证的方法及装置 |
| CN103023646A (zh) * | 2012-11-26 | 2013-04-03 | 韩益亮 | 一种签密文可聚合的签密方法 |
| CN103490881A (zh) * | 2013-09-06 | 2014-01-01 | 广东数字证书认证中心有限公司 | 认证服务***、用户认证方法、认证信息处理方法及*** |
| US20160078251A1 (en) * | 2014-09-16 | 2016-03-17 | Freescale Semiconductor, Inc. | Key storage and revocation in a secure memory system |
| US9547778B1 (en) * | 2014-09-26 | 2017-01-17 | Apple Inc. | Secure public key acceleration |
| CN104580264A (zh) * | 2015-02-13 | 2015-04-29 | 人民网股份有限公司 | 登录方法、注册方法、登录装置以及登录和注册*** |
| CN106792665A (zh) * | 2016-12-19 | 2017-05-31 | 华东师范大学 | 基于短小公钥密码体制的无线传感器网络安全小数据分发方法 |
| CN107017993A (zh) * | 2017-04-01 | 2017-08-04 | 北京江南天安科技有限公司 | 一种多方联合密钥产生和数字签名方法及*** |
| CN108599950A (zh) * | 2018-04-09 | 2018-09-28 | 北京无字天书科技有限公司 | 一种适用于sm9标识密码的用户密钥申请下载安全协议的实现方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113949566A (zh) * | 2021-10-15 | 2022-01-18 | 工银科技有限公司 | 资源访问方法、装置、电子设备和介质 |
| CN113949566B (zh) * | 2021-10-15 | 2024-06-11 | 工银科技有限公司 | 资源访问方法、装置、电子设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109981666B (zh) | 2020-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
| AU2005318933B2 (en) | Authentication device and/or method | |
| CA2591968C (en) | Authentication device and/or method | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| CN104767731B (zh) | 一种Restful移动交易***身份认证防护方法 | |
| CN112000951B (zh) | 一种访问方法、装置、***、电子设备及存储介质 | |
| CN109618341A (zh) | 一种数字签名认证方法、***、装置以及存储介质 | |
| CN1937498A (zh) | 一种动态密码认证方法、***及装置 | |
| CN102404314A (zh) | 远程资源单点登录 | |
| CN101160787A (zh) | 一种下载事务有效性控制方法、装置及数据下载*** | |
| CN108900561A (zh) | 单点登录的方法、装置及*** | |
| CN109981665B (zh) | 资源提供方法及装置、资源访问方法及装置和*** | |
| CN111062023B (zh) | 多应用***实现单点登录的方法及装置 | |
| WO2021062020A1 (en) | Non-custodial tool for building decentralized computer applications | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN112688773A (zh) | 一种令牌的生成和校验方法及装置 | |
| CN108011717A (zh) | 一种请求用户数据的方法、装置及*** | |
| CN108600234A (zh) | 一种身份验证方法、装置和移动终端 | |
| CN114257430A (zh) | 一种单点登录*** | |
| CN109495458A (zh) | 一种数据传输的方法、***及相关组件 | |
| CN109257381A (zh) | 一种密钥管理方法、***及电子设备 | |
| CN109981666A (zh) | 一种接入方法、接入***和接入服务器 | |
| TWI546698B (zh) | 基於伺服器的登入系統、登入驗證伺服器及其驗證方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 124, 1 / F, building 2, yard 9, jiaogezhuang street, Nanfaxin Town, Shunyi District, Beijing Patentee after: Beijing Wikipedia Technology Co.,Ltd. Address before: 102200 No. 1, 120, Area C, 23 Qianqian Road, Changping Science and Technology Park, Beijing Patentee before: Beijing Wikipedia Technology Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |