CN110365716A - 一种单点登录方式的实现方法 - Google Patents
一种单点登录方式的实现方法 Download PDFInfo
- Publication number
- CN110365716A CN110365716A CN201910799808.3A CN201910799808A CN110365716A CN 110365716 A CN110365716 A CN 110365716A CN 201910799808 A CN201910799808 A CN 201910799808A CN 110365716 A CN110365716 A CN 110365716A
- Authority
- CN
- China
- Prior art keywords
- bill
- information
- ticket
- sign
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种单点登录方式的实现方法,属于算机应用技术领域,本发明对于提交应用信息的第三方,***平台为其提供appcode及签名证书。平台应用端请求平台服务端获取临时code传给应用客户端。应用客户端利用临时code和应用标识进行数字签名,向sso平台获取ticket票据。检查ticket状态是否需要刷新。应用利用ticket获取用户基本信息和认证信息。极大程度保证了用户信息的安全。
Description
技术领域
本发明涉及算机应用技术,尤其涉及一种单点登录方式的实现方法。
背景技术
企业发展之初,每个企业使用到的***很少,两个或者更少,每个***独立运行,分别拥有自己独自的登录模块。久而久之,随着企业使用的***增多,***之间相互独立费事费时的弊端便逐渐显露出来,sso(Single Sign On,单点登录***)便应运而生,联通各个***,一处登录即可浏览全部相关***,无需再重复登录。
然而即使有了sso单点登录***,我们若想实现一处登录多点免登的需求,仍需要拥有一个账号作为登录通行证才可以浏览其他***的相关网页。而对于时间比较紧张的用户,为了体验单点登录的快捷从而再去注册一个新的账号,无形中造成了不必要的时间浪费,和方便快捷的初衷也南辕北辙;并且重新申请账号无异于增大了信息泄露的风险,使得一些对个人隐私保护较为苛刻的用户望而却步。
发明内容
为了解决以上技术问题,本发明提供一种利用第三方应用接入来实现单点登录的技术方法,既能实现一处登录其他互通的设计理念,也能在其基础进行改进和创新,让用户无需承担信息泄露的风险无需忍受注册流程的繁琐。
本发明的技术方案是:
一种单点登录方式的实现方法,通过对***平台及第三方应用的登录检测、登录授权、传递身份信息来完成利用第三方完成单点登录。
进一步的,
平台应用端请求平台服务端获取临时code传给应用客户端;
应用客户端利用临时code和应用标识进行数字签名,向sso平台获取ticket票据;
检查ticket票据状态是否需要刷新;利用ticket获取用户基本信息和认证信息。
进一步的,
第三方应用提供相应信息,***平台根据第三方提供的内容会颁发一个签名证书及认证标识。
所述ticket票据包括:基础信息票据accessTicket、刷新票据refreshTicket、认证信息票据realAuthTicket。
返回内容为:为返回状态标识returnCode、信息描述description、返回结果result。
如果基础信息票据accessTicket过期,则传递refreshTicket参数进行刷新ticket操作,获取最新的登录票据。
返回值包括:结果描述description、最新的票据result、返回状态标识returnCode。
进一步的,
应用服务端使用基础信息票据accessTicket、appcode和sign,获取用户基础信息,其中sign是根据签名证书和appCode标识生成。
应用服务端使用签名认证工具类RsaUtils.java进行签名。
进一步的,
第三方应用使用realAuthTicket获取用户实名认证信息.
加密:首先对字符段进行base64加密,然后在加密后获得的字符串之前加字符。
解密:将前面的特定字符去除,然后利用base64算法对去除字符后的字符串进行解密。
本发明的有益效果是
该方法省略繁杂的注册流程,只需登录第三方应用并授权,即可实现账号信息共享并访问所需资源。
该方法在向sso获取用户基本信息及认证信息为加密传输,极大程度保证了用户信息的安全。
该方法通过第三方应用同***平台的交互与传输数据,利用第三方的信息即可浏览***平台下所有的内容。
附图说明
图1是本发明的工作流程示意图;
图2是第三方所需提供信息示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的一种单点登录的实现方法,对于提交应用信息的第三方,***平台为其提供appcode及签名证书,用于应用获取用户信息时进行签名认证。应用客户端获取ticket票据时,利用临时code和应用标识进行数字签名,并ticket状态是否需要刷新。应用获取用户基本信息和认证信息为加密状态,要进行解密,保障安全性。
本发明基于单点登录实现原理,通过对***平台及第三方应用的登录检测、登录授权、传递身份信息来完成利用第三方完成单点登录。流程图如图1所示。
a)申请接入平台
第三方应用提供相应信息,***平台根据第三方提供的内容会颁发一个签名证书及认证标识
应用若接入平台需要提供如图2所需内容。
b)应用端获取ticket
第三方应用服务端使用***平台服务端临时code及自身应用标识获取基础信息票据、刷新票据、认证信息票据:
返回结果为returnCode(返回状态标识)、description(信息描述)、result
(返回结果)。
c)检查ticket是否过期并刷新(refreshTicket)
如果accessTicket票据过期,则传递refreshTicket参数进行刷新ticket操作,获取最新的登录票据。返回值包括description(结果描述)、result(最新的ticket)、returnCode(返回状态标识)
d)获取用户基础信息(证书签名认证)
应用服务端使用accessTicket、appcode、sign,获取用户基础信息,其中sign是根据签名证书和appCode标识生成,其中涉及到签名认证工具类。应用服务端使用签名认证工具类RsaUtils.java进行签名。例:String sign=RsaUtil.sign(loginTicket+appCode);(loginTicket:需要进行签名的内容,appCode:
每个应用的应用编码,对应一个签名证书文件*.P8)
e)换取用户认证信息(realAuthTicket加密约束)
第三方应用使用realAuthTicket获取用户实名认证信息
i.加密:首先对字符段进行base64加密,然后在加密后获得的字符串之前加一段特定的字符。例如:
李明进行base64加密,得到“5p2O5piO”,在首部加“ch”,最后得到“ch5p2O5piO”
ii.解密:将前面的特定字符去除,然后利用base64算法对去除字符后的字符串进行解密。例如:
将串“ch5p2O5piO”去掉前2位,然后base64算法解密,得到正常值。
以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (9)
1.一种单点登录方式的实现方法,其特征在于,
通过对***平台及第三方应用的登录检测、登录授权、传递身份信息来完成利用第三方完成单点登录。
2.根据权利要求1所述的方法,其特征在于,
平台应用端请求平台服务端获取临时code传给应用客户端;
应用客户端利用临时code和应用标识进行数字签名,向sso平台获取ticket票据;
检查ticket票据状态是否需要刷新;利用ticket获取用户基本信息和认证信息。
3.根据权利要求2所述的方法,其特征在于,
第三方应用提供相应信息,***平台根据第三方提供的内容会颁发一个签名证书及认证标识。
4.根据权利要求2所述的方法,其特征在于,
所述ticket票据包括:基础信息票据accessTicket、刷新票据refreshTicket、认证信息票据realAuthTicket。
返回内容为:为返回状态标识returnCode、信息描述description、返回结果result。
5.根据权利要求4所述的方法,其特征在于,
如果基础信息票据accessTicket过期,则传递refreshTicket参数进行刷新ticket操作,获取最新的登录票据;
返回值包括:结果描述description、最新的票据result、返回状态标识returnCode。
6.根据权利要求5所述的方法,其特征在于,
应用服务端使用基础信息票据accessTicket、appcode和sign,获取用户基础信息,其中sign是根据签名证书和appCode标识生成。
7.根据权利要求6所述的方法,其特征在于,
应用服务端使用签名认证工具类RsaUtils.java进行签名。
8.根据权利要求1所述的方法,其特征在于,
第三方应用使用realAuthTicket获取用户实名认证信息。
9.根据权利要求8所述的方法,其特征在于,
加密:首先对字符段进行base64加密,然后在加密后获得的字符串之前加字符。
解密:将前面的特定字符去除,然后利用base64算法对去除字符后的字符串进行解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910799808.3A CN110365716A (zh) | 2019-08-28 | 2019-08-28 | 一种单点登录方式的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910799808.3A CN110365716A (zh) | 2019-08-28 | 2019-08-28 | 一种单点登录方式的实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110365716A true CN110365716A (zh) | 2019-10-22 |
Family
ID=68225290
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910799808.3A Pending CN110365716A (zh) | 2019-08-28 | 2019-08-28 | 一种单点登录方式的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110365716A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112491881A (zh) * | 2020-11-26 | 2021-03-12 | 中国人寿保险股份有限公司 | 跨平台单点登录方法、***、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105897757A (zh) * | 2016-06-12 | 2016-08-24 | 上海携程商务有限公司 | 授权认证***及授权认证方法 |
US20160285858A1 (en) * | 2015-03-27 | 2016-09-29 | Hong Li | Technologies for authentication and single-sign-on using device security assertions |
CN107294916A (zh) * | 2016-03-31 | 2017-10-24 | 北京神州泰岳软件股份有限公司 | 单点登录方法、单点登录终端及单点登录*** |
CN107645474A (zh) * | 2016-07-20 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 登录开放平台的方法及登录开放平台的装置 |
CN107786571A (zh) * | 2017-11-07 | 2018-03-09 | 昆山云景商务服务有限公司 | 一种用户统一认证的方法 |
CN110032842A (zh) * | 2019-03-03 | 2019-07-19 | 北京立思辰安科技术有限公司 | 同时支持单点登录及第三方登录的方法 |
-
2019
- 2019-08-28 CN CN201910799808.3A patent/CN110365716A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160285858A1 (en) * | 2015-03-27 | 2016-09-29 | Hong Li | Technologies for authentication and single-sign-on using device security assertions |
CN107294916A (zh) * | 2016-03-31 | 2017-10-24 | 北京神州泰岳软件股份有限公司 | 单点登录方法、单点登录终端及单点登录*** |
CN105897757A (zh) * | 2016-06-12 | 2016-08-24 | 上海携程商务有限公司 | 授权认证***及授权认证方法 |
CN107645474A (zh) * | 2016-07-20 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 登录开放平台的方法及登录开放平台的装置 |
CN107786571A (zh) * | 2017-11-07 | 2018-03-09 | 昆山云景商务服务有限公司 | 一种用户统一认证的方法 |
CN110032842A (zh) * | 2019-03-03 | 2019-07-19 | 北京立思辰安科技术有限公司 | 同时支持单点登录及第三方登录的方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112491881A (zh) * | 2020-11-26 | 2021-03-12 | 中国人寿保险股份有限公司 | 跨平台单点登录方法、***、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4600851B2 (ja) | コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立 | |
CN100580657C (zh) | 分布式单一注册服务 | |
CN104917741B (zh) | 一种基于usbkey的明文文档公网安全传输*** | |
CN101938473B (zh) | 单点登录***及单点登录方法 | |
CN101212293B (zh) | 一种身份认证方法及*** | |
CN102377788B (zh) | 单点登录***及其单点登录方法 | |
US20130205360A1 (en) | Protecting user credentials from a computing device | |
CN102148819B (zh) | 防信息泄漏协同办公安全***及方法 | |
CN106060078B (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
JP2004048679A (ja) | セッションキー・セキュリティプロトコル | |
CN107465689A (zh) | 云环境下的虚拟可信平台模块的密钥管理***及方法 | |
CN104394172A (zh) | 单点登录装置和方法 | |
CN103414559B (zh) | 一种云计算环境下的基于类ibe***的身份认证方法 | |
CN109150821A (zh) | 基于超文本传输协议http的数据交互方法及*** | |
CN102685110A (zh) | 一种基于指纹特征的通用用户注册认证方法及*** | |
CN105827395A (zh) | 一种网络用户认证方法 | |
CN108632035A (zh) | 一种带有访问控制的不经意传输***及方法 | |
CN113515756B (zh) | 基于区块链的高可信数字身份管理方法及*** | |
CN102404337A (zh) | 数据加密方法和装置 | |
CN109560935A (zh) | 基于公共非对称密钥池的抗量子计算的签章方法和签章*** | |
CN107689957A (zh) | 一种数字证书管理方法、电子设备、存储介质 | |
US8392703B2 (en) | Electronic signature verification method implemented by secret key infrastructure | |
CN113051540A (zh) | 一种应用程序接口安全分级治理方法 | |
CN101510238B (zh) | 一种文档库安全访问方法及*** | |
CN106713349A (zh) | 一种能抵抗选择密文攻击的群组间代理重加密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191022 |
|
RJ01 | Rejection of invention patent application after publication |