CN110381084A - 单点登录***和方法,存储介质及电子设备 - Google Patents
单点登录***和方法,存储介质及电子设备 Download PDFInfo
- Publication number
- CN110381084A CN110381084A CN201910726743.XA CN201910726743A CN110381084A CN 110381084 A CN110381084 A CN 110381084A CN 201910726743 A CN201910726743 A CN 201910726743A CN 110381084 A CN110381084 A CN 110381084A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- server
- application server
- authentication information
- service device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开涉及一种单点登录***和方法,存储介质及电子设备,以解决相关技术中企业外部的、封闭性的商业应用服务器与企业内部已有的单点登录业务无法集成的问题。所述单点登陆***包括:用户终端、桥接服务器以及认证服务器,桥接服务器分别与用户终端和认证服务器连接且与应用服务器之间建立信任关系,应用服务器允许获得桥接服务器的认证票据的用户终端登录;桥接服务器用于在接收到用户终端首次访问应用服务器的请求时,引导用户终端跳转至登陆认证服务器,以及在用户终端成功登陆认证服务器后,根据认证服务器返回的用户标识信息和第一登陆认证信息,生成认证票据,并将认证票据发送给用户终端,认证票据用于所述用户终端登陆所述应用服务器。
Description
技术领域
本公开涉及网络技术领域,具体地,涉及一种单点登录***和方法,存储介质及电子设备。
背景技术
单点登录(SSO,Single Sign On)是指在多个应用集成的环境中,用户只需登陆一次就可以访问所有相互信任的应用。
对于诸如OWA(Outlook Web Application)邮箱等商业应用,由于其具有一定的封闭性,使得这类商业应用的应用无法与企业内部的其他单点登录应用服务进行集成,也就是说,用户每次登陆这类商业应用时都需要输入账号和密码。
发明内容
为了克服现有技术中存在的问题,本公开提供一种单点登录***和方法,存储介质及电子设备。
为了实现上述目的,本公开第一方面提供一种单点登录***,包括:用户终端、桥接服务器以及认证服务器,所述桥接服务器分别与所述用户终端和所述认证服务器连接,且所述桥接服务器与应用服务器之间建立信任关系,所述应用服务器允许获得所述桥接服务器的认证票据的用户终端登录;
所述桥接服务器用于,在接收到所述用户终端首次访问所述应用服务器的请求时,引导所述用户终端跳转至登陆所述认证服务器,以及在所述用户终端成功登陆所述认证服务器后,根据所述认证服务器返回的用户标识信息和第一登陆认证信息,生成认证票据,并将所述认证票据发送给所述用户终端,所述认证票据用于所述用户终端登陆所述应用服务器。
可选地,所述桥接服务器用于:
使用所述认证服务器的私钥对所述用户标识信息进行签名,得到签名信息;
在所述签名信息的扩充字段中写入所述第一登陆认证信息,得到所述认证票据。
可选地,所述单点登录***还包括代理服务器,所述代理服务器分别与所述用户终端和所述应用服务器连接;
所述代理服务器用于,拦截所述用户终端向所述应用服务器发送的登陆请求;对所述登陆请求中携带的认证票据进行解析,判断所述认证票据中的第一登陆认证信息是否有效;若所述认证票据中的第一登陆认证信息有效,则将所述认证票据发送给所述应用服务器。
可选地,所述代理服务器还用于:
为首次登陆所述应用服务器的用户终端分配第二登陆认证信息;
若拦截到的登陆请求中包括有效的第二登陆认证信息,则将所述登陆请求发送给所述应用服务器。
可选地,所述代理服务器还用于:
若拦截到的登陆请求中的第二登陆认证信息无效,则指示所述用户终端退出所述认证服务器。
可选地,所述用户终端用于,若所述认证票据中的第一登陆认证信息无效,则将分配的所述第二登录认证信息设置为无效;
所述代理服务器还用于,在接收到调用所述应用服务器的操作接口时,对所述第二登陆认证信息进行验证,若所述第二登陆认证信息无效,则登出所述应用服务器。
本公开第二方面提供一种单点登录方法,应用于桥接服务器,所述桥接服务器分别与用户终端和认证服务器连接,且所述桥接服务器与应用服务器之间建立有信任关系,所述应用服务器允许获得所述桥接服务器的认证票据的用户终端登陆,所述方法包括:
响应于接收到所述用户终端首次访问所述应用服务器的请求,引导所述用户终端跳转至登陆所述认证服务器;
接收所述认证服务器在所述用户终端成功登陆后返回的用户标识信息和第一登陆认证信息;
根据所述用户标识信息和所述第一登陆认证信息,生成认证票据;
将所述认证票据发送给所述用户终端,所述认证票据用于所述用户终端登陆所述应用服务器。
可选地,所述根据所述用户标识信息和所述第一登陆认证信息,生成认证票据,包括:
使用所述认证服务器的私钥对所述用户标识信息进行签名,得到签名信息;
在所述签名信息的扩充字段中写入所述第一登陆认证信息,得到所述认证票据。
本公开第三方面提供一种单点登录方法,应用于代理服务器,所述方法包括:
拦截用户终端向应用服务器发送的登陆请求,所述登陆请求中携带有认证票据,所述认证票据是根据权利要求7或8所述的方法获得的;
对所述认证票据进行解析,判断所述认证票据中的第一登陆认证信息是否有效;
若所述第一登陆认证信息有效,则将所述认证票据发送给所述应用服务器。
本公开第四方面提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本公开第一方面或者第二方面所述方法的步骤。
本公开第五方面提供一种电子设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现本公开第一方面或者第二方面所述方法的步骤。
通过上述技术方案,至少能够达到以下技术效果:通过桥接服务器连接用户终端和认证服务器且与应用服务器之间建立信任关系,桥接服务器在用户终端首次访问应用服务器时,引导用户终端跳转至登陆认证服务器,并在用户终端成功登陆认证服务器后,根据认证服务器返回的用户标识信息和第一登陆认证信息生成票据,将认证票据发送给用户终端,用户终端拥有了桥接服务器签发的认证票据,就能够证明自己已成功登陆认证服务器。由于桥接服务器与应用服务器之间建立有信任关系,应用服务器允许获得桥接服务器的认证票据的用户终端登陆,这样,用户终端只需使用该认证票据就能直接访问应用服务器,实现了企业内部的多个相互信任的应用服务器与企业外部的、封闭性的商业应用服务器的协同登陆,进而使得已成功登陆认证服务器的用户无需再次输入用户名和密码等用户登陆信息,提升了用户体验。其次,本实施例提供的单点登录***,相当于是将应用服务器对用户终端的认证过程收敛至企业的认证服务器进行,保证了用户终端访问应用服务器过程的安全性。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是根据本公开一示例性实施例示出的一种单点登录***的框图;
图2是根据本公开一示例性实施例示出的一种单点登录***中的用户终端、桥接服务器以及认证服务器与应用服务器之间的信令交互示意图;
图3是根据本公开一示例性实施例示出的另一种单点登录***的框图;
图4是根据本公开一示例性实施例示出的一种单点登录方法的流程图,其中,该单点登陆方法应用于桥接服务器;
图5是根据本公开一示例性实施例示出的一种单点登录方法的流程图,其中,该单点登陆方法应用于代理服务器;
图6是根据本公开一示例性实施例示出的一种电子设备的框图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
本公开主要应用于企业SSO业务的场景中,在企业SSO业务中,用户终端能够对企业内部相互信任的应用服务器(以下简称“内部应用服务器”)进行访问,当用户终端对内部应用服务器进行访问时,通过认证服务器来实现该访问的信息认证,从而以单点登录的方式实现用户终端对这些内部应用服务器的访问,即用户终端只需登陆其中一个内部应用服务器,就可以直接访问其他所有的内部应用服务器。然而,对于企业外部的应用服务器,比如微软的OWA邮箱服务器等商业应用服务器,由于这类应用服务器具有封闭性,导致其难以接入企业SSO业务,这样,就需要将用户登陆信息同步至这类应用服务器,对于已经登陆认证服务器的用户终端,在其登陆这类应用服务器时仍需要输入用户登陆信息(比如账号和密码等),用户体验差。
为了解决上述存在的问题,本公开提供一种单点登录***和方法,存储介质及电子设备,以将诸如OWA邮箱服务器等企业外部的、具有封闭性的应用服务器与企业SSO业务集成,使用户终端在成功登陆企业内部相互信任的任一应用服务器的情况下,能够直接访问企业外部的、封闭性的应用服务器,而无需再次输入用户登陆信息,提升用户体验。
图1是根据本公开一示例性实施例示出的一种单点登录***的框图。如图1所示,该单点登录***100包括:用户终端110、桥接服务器120以及认证服务器130。其中,用户终端110能够对企业内部的多个相互信任的应用服务器(以下简称内部应用服务器)进行访问,当用户终端110对任一内部应用服务器进行访问时,通过认证服务器130来实现该访问的信息认证,从而以单点登录的方式实现用户终端110对这些内部应用服务器的访问。
在该单点登录***100中,桥接服务器120分别与用户终端110和认证服务器130连接,并且桥接服务器120还与应用服务器200之间建立信任关系,应用服务器200允许获得桥接服务器120的认证票据的用户终端登陆。其中,应用服务器200为企业外部的、具有封闭性的商业应用服务器,比如,微软的OWA邮箱服务器等。
桥接服务器120用于在接收到用户终端110首次访问应用服务器200的请求时,引导用户终端110跳转至登陆认证服务器130,以及在用户终端110成功登陆认证服务器130后,根据认证服务器130返回的用户标识信息和第一登陆认证信息,生成认证票据,并将认证票据发送给用户终端110,该认证票据用于用户终端110登陆应用服务器200。
具体地,如图2所示,用户终端110响应于用户访问应用服务器200的操作,向桥接服务器120发送访问应用服务器200的请求。桥接服务器200根据该请求中携带的信息判断用户终端110是否首次访问应用服务器200,若用户终端110首次访问应用服务器200,则引导用户终端110跳转至认证服务器130的登陆页面,以指示用户输入相应的用户登陆信息(比如,用户名和密码等)。接着,用户终端110在接收到用户输入的用户登陆信息后,通过桥接服务器120将用户登陆信息发送给认证服务器130,由认证服务器130根据用户登陆信息对用户终端110进行身份校验,示例地,认证服务器130可将用户登陆信息与预设的用户登陆信息进行匹配,若两者匹配成功,则确定用户终端110登陆成功,允许用户终端110访问任一内部应用服务器。认证服务器130还在确定用户终端110登陆成功后,生成用于表征该用户终端110成功登陆的第一登陆认证信息,并将此次访问的用户标识信息和对应的第一登陆认证信息发送给桥接服务器120,其中,第一登陆认证信息恶意为认证服务器130的cookie,其包含了有效期等信息。桥接服务器120则为用户终端110签发在认证服务器130上的登陆凭证,即对用户标识信息和第一登陆认证信息进行组装,生成认证票据,并将认证票据发送给用户终端110,该认证票据即可作为用户终端110在认证服务器130上的登陆凭证。
用户终端110拥有了桥接服务器120签发的认证票据,就能够证明自己已成功登陆认证服务器130。由于桥接服务器120与应用服务器200之间建立有信任关系,应用服务器200允许获得桥接服务器120的认证票据的用户终端登陆,这样,用户终端110只需使用该认证票据就能直接访问应用服务器200,实现了企业内部的多个相互信任的应用服务器与企业外部的、封闭性的商业应用服务器的协同登陆,进而使得已成功登陆认证服务器的用户无需再次输入用户名和密码等用户登陆信息,提升了用户体验。其次,本实施例提供的单点登录***,相当于是将应用服务器对用户终端的认证过程收敛至企业的认证服务器进行,保证了用户终端访问应用服务器过程的安全性。
进一步地,在上述实施例提供的单点登录***100中,为了减少用户标识信息等信息的泄露风险,保证用户终端访问各应用服务器过程中的安全性,桥接服务器120可向应用服务器200发送认证服务器130的公钥,认证服务器130接收并存储认证服务器130的公钥,这样,桥接服务器120便与应用服务器200建立起信任关系。相应地,桥接服务器120用于:使用认证服务器130的私钥对用户标识信息进行签名,得到签名信息,并在签名信息的扩充字段中写入第一登陆认证信息,得到认证票据。
相应地,用户终端110在使用该方式生成的认证票据登陆应用服务器200时,应用服务器200可利用认证服务器130的公钥对认证票据中的签名信息进行解密,若对该签名信息解密成功,则可确定该认证票据是由桥接服务器120签发的,进而允许用户终端110访问其资源。
通过该实施例提供的单点登录***,桥接服务器120在生成认证票据时基于安全签名算法对用户标识信息进行加密,使得用户标识信息在认证票据的传递过程中均以密文形式出现,可以减少用户标识信息的泄露风险,保证用户终端访问各应用服务器过程中的安全性。
在本公开的另一个实施例中,如图3所示,该单点登录***100还包括代理服务器140。其中,代理服务器140与应用服务器200连接,用于拦截用户终端110向应用服务器200发送的登陆请求,并对登录请求中携带的认证票据进行解析,判断认证票据中的第一登陆认证信息是否有效,若认证票据中的第一登陆认证信息有效,则将认证票据发送给应用服务器200。
具体地,如图2所示,对于用户终端110首次访问应用服务器200的情况,用户终端110在获取到桥接服务器120签发的认证票据后,可向应用服务器200发送携带有该认证票据的登陆请求。代理服务器140拦截该登陆请求,检验该登陆请求携带的认证票据中的第一登陆认证信息是否有效,若该第一登陆认证信息有效,则可确定该用户终端110已在认证服务器130成功登陆,则将认证票据发送给应用服务器200,由应用服务器200进一步校验该认证票据是否为已建立信任关系的桥接服务器120签发的,示例地,应用服务器130使用认证服务器120的公钥对认证票据中的签名信息进行解密,若解密成功,则可确定该认证票据是已建立信任关系的桥接服务器120签发的。应用服务器200在确定该认证票据为桥接服务器120签发的认证票据的情况下,允许用户终端110访问其提供的资源。
通过本实施例提供的单点登录***,增加代理服务器来拦截用户终端向应用服务器发送的登陆请求并对登陆请求携带的认证票据中的第一登陆认证信息进行校验,在确定第一登陆认证信息有效才将认证票据发送给应用服务器,可以保证第一登陆认证信息的有效性,且便于对企业内部所有用户进行统一管理。
进一步地,在上述实施例提供的单点登录***100中,上述代理服务器140还用于:为首次登陆应用服务器200的用户终端110分配第二登陆认证信息,其中,第二登陆认证信息可以是应用服务器200的cookie,其包含了在应用服务器200上的有效期等信息。相应地,用户终端110在下一次访问应用服务器200时,可在向应用服务器200发送的登陆请求中携带该第二登陆认证信息。在此情况下,代理服务器140会对拦截到的登陆请求进行有效性校验,确认该登陆请求中是否包括有效的第二登陆认证信息,若该登陆请求中包括有效的第二登陆认证信息,则将登陆请求发送给应用服务器200,由应用服务器200确认是否允许该用户终端110访问其资源。
进一步地,在上述实施例提供的单点登录***100中,代理服务器140还用于:在确定认证票据中的第一登陆认证信息无效的情况下,将为用户终端110分配的第二登陆认证信息设置为无效,以及在接收到调用应用服务器200的操作接口时,对第二登陆认证信息进行验证,若该第二登陆认证信息无效,则登出应用服务器200。这样,代理服务器140将认证票据中的第一登陆认证信息与第二登陆认证信息的有效期保持一致,实现在用户终端登出企业内部的所有相互信任的应用服务器时,联动登出企业外部的应用服务器,方便企业统一管理登陆认证信息的有效期。
进一步地,在上述实施例提供的单点登录***100中,上述代理服务器140还用于:在拦截到的登陆请求中的第二登陆认证信息无效的情况下,指示用户终端110退出认证服务器130。具体地,用户终端110响应于代理服务器140发送的指示信息,跳转至认证服务器130的退出页面,此时,用户只需在该退出页面进行退出操作即可登出认证服务器,进而登出所有内部应用服务器。这样,可以实现在用户终端登出企业外部的应用服务器时,联动登出企业内部的所有相互信任的应用服务器,使得用户依次对所需登出的内部应用服务器执行登出操作,提升用户体验。
基于同一发明构思,本公开还提供了一种单点登录方法,该方法应用于桥接服务器,其中,桥接服务器分别与用户终端和认证服务器连接,并且桥接服务器还与应用服务器之间建立信任关系,应用服务器允许获得桥接服务器的认证票据的用户终端登录,其中,应用服务器200为企业外部的、具有封闭性的商业应用服务器,比如,微软的OWA邮箱服务器等。该桥接服务器可以例如为图1和图3所示的单点登录***中的桥接服务器120。参见图4,图4是根据本公开一示例性实施例示出的一种单点登录方法的流程图,该方法包括以下步骤:
S401、响应于接收到用户终端首次访问应用服务器的请求,引导用户终端跳转至登陆认证服务器。
具体地,用户终端响应于用户访问应用服务器的操作,向桥接服务器发送访问应用服务器的请求。桥接服务器根据该请求中携带的信息判断该用户终端是否首次访问应用服务器,若该用户终端首次访问应用服务器,则引导该用户终端跳转至认证服务器的登陆页面,以指示用户输入相应的用户登陆信息(比如,用户名和密码等)。
S402、接收认证服务器在用户终端成功登陆后返回的用户标识信息和第一登陆认证信息。
桥接服务器响应于接收到该用户终端发送的用户登陆信息,将该用户登陆信息发送给认证服务器,由认证服务器根据用户登陆信息对用户终端进行身份校验,示例地,认证服务器可将用户登陆信息与预设的用户登陆信息进行匹配,若两者匹配成功,则确定用户终端登陆成功,允许用户终端访问任一内部应用服务器。
与此同时,认证服务器还在确定用户终端登陆成功后,生成用于表征该用户终端成功登陆的第一登陆认证信息,并将此次访问的用户标识信息和对应的第一登陆认证信息发送给桥接服务器,其中,第一登陆认证信息恶意为认证服务器的cookie,其包含了有效期等信息。
S403、根据用户标识信息和第一登陆认证信息,生成认证票据。
S404、将认证票据发送给用户终端,该认证票据用于用户终端登陆应用服务器。
桥接服务器在接收到用户标识信息和第一登陆认证信息后,为用户终端签发在认证服务器上的登陆凭证,即对用户标识信息和第一登陆认证信息进行组装,生成认证票据,并将认证票据发送给用户终端,该认证票据即可作为用户终端在认证服务器上的登陆凭证。
用户终端拥有了桥接服务器签发的认证票据,就能够证明自己已成功登陆认证服务器。由于桥接服务器与应用服务器之间建立有信任关系,应用服务器允许获得桥接服务器的认证票据的用户终端登陆,这样,用户终端只需使用该认证票据就能直接访问应用服务器,实现了企业内部的多个相互信任的应用服务器与企业外部的、封闭性的商业应用服务器的协同登陆,进而使得已成功登陆认证服务器的用户无需再次输入用户名和密码等用户登陆信息,提升了用户体验。其次,本实施例提供的单点登录***,相当于是将应用服务器对用户终端的认证过程收敛至企业的认证服务器进行,保证了用户终端访问应用服务器过程的安全性。
进一步地,在上述实施例提供的单点登录方法中,为了减少用户标识信息等信息的泄露风险,保证用户终端访问各应用服务器过程中的安全性,桥接服务器可向应用服务器发送认证服务器的公钥,认证服务器接收并存储认证服务器的公钥,这样,桥接服务器便与应用服务器建立起信任关系。相应地,针对上述步骤S403,可选地,桥接服务器120可使用认证服务器130的私钥对用户标识信息进行签名,得到签名信息,并在签名信息的扩充字段中写入第一登陆认证信息,得到认证票据。
相应地,用户终端在使用该方式生成的认证票据登陆应用服务器时,应用服务器可利用认证服务器的公钥对认证票据中的签名信息进行解密,若对该签名信息解密成功,则可确定该认证票据是由桥接服务器签发的,进而允许用户终端访问其资源。
通过该实施例提供的单点登录***,桥接服务器在生成认证票据时基于安全签名算法对用户标识信息进行加密,使得用户标识信息在认证票据的传递过程中均以密文形式出现,可以减少用户标识信息等信息的泄露风险,保证用户终端访问各应用服务器过程中的安全性。
基于同一发明构思,本公开还提供了一种单点登录方法,该方法应用于代理服务器,例如图3所示的单点登录***中的代理服务器140。参见图5,图5是根据本公开一示例性实施例示出的一种单点登录方法的流程图,该方法包括以下步骤:
S501、拦截用户终端向应用服务器发送的登陆请求。
其中,登录请求中携带有认证票据,该认证票据是根据上述图4所述的实施例提供的单点登录方法所获得的,此处不再赘述。
S502、对登陆请求中携带的认证票据进行解析,判断认证票据中的第一登陆认证信息是否有效。
S503、若认证票据中的第一登陆认证信息有效,则将认证票据发送给应用服务器。
代理服务器拦截该登陆请求,检验该登陆请求携带的认证票据中的第一登陆认证信息是否有效,若该第一登陆认证信息有效,则可确定该用户终端已在认证服务器成功登陆,则将认证票据发送给应用服务器,由应用服务器进一步校验该认证票据是否为已建立信任关系的桥接服务器签发的。示例地,认证票据可以是经认证服务器的私钥签名并在签名信息的扩充字段中写入第一登陆认证信息得到的,相应地,应用服务器使用认证服务器的公钥对认证票据中的签名信息进行解密,若解密成功,则可确定该认证票据是已建立信任关系的桥接服务器签发的。应用服务器在确定该认证票据为桥接服务器签发的认证票据的情况下,允许用户终端访问其提供的资源。
通过本实施例提供的单点登录方法,代理服务器拦截用户终端向应用服务器发送的登陆请求,并对登陆请求携带的认证票据中的第一登陆认证信息进行校验,在确定第一登陆认证信息有效才将认证票据发送给应用服务器,可以保证第一登陆认证信息的有效性,且便于对企业内部所有用户进行统一管理。
基于同一发明构思,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例提供的单点登录方法的步骤。
基于同一发明构思,本公开还提供了一种电子设备,包括:存储器,其上存储有计算机程序;处理器,用于执行所述存储器中的所述计算机程序,以实现任一实施例提供的单点登录方法的步骤。
如图6所示,图6是根据一示例性实施例示出的一种电子设备600的框图。例如,电子设备600可以被提供为一服务器。参照图6,电子设备600包括处理器622,其数量可以为一个或多个,以及存储器632,用于存储可由处理器622执行的计算机程序。存储器632中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器622可以被配置为执行该计算机程序,以执行上述的单点登陆方法。
另外,电子设备600还可以包括电源组件626和通信组件650,该电源组件626可以被配置为执行电子设备600的电源管理,该通信组件650可以被配置为实现电子设备600的通信,例如,有线或无线通信。此外,该电子设备600还可以包括输入/输出(I/O)接口658。电子设备600可以操作基于存储在存储器632的操作***,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的单点登陆方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器632,上述程序指令可由电子设备600的处理器622执行以完成上述的单点登陆方法。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (11)
1.一种单点登录***,其特征在于,包括:用户终端、桥接服务器以及认证服务器,所述桥接服务器分别与所述用户终端和所述认证服务器连接,且所述桥接服务器与应用服务器之间建立信任关系,所述应用服务器允许获得所述桥接服务器的认证票据的用户终端登录;
所述桥接服务器用于,在接收到所述用户终端首次访问所述应用服务器的请求时,引导所述用户终端跳转至登陆所述认证服务器,以及在所述用户终端成功登陆所述认证服务器后,根据所述认证服务器返回的用户标识信息和第一登陆认证信息,生成认证票据,并将所述认证票据发送给所述用户终端,所述认证票据用于所述用户终端登陆所述应用服务器。
2.根据权利要求1所述的单点登录***,其特征在于,所述桥接服务器用于:
使用所述认证服务器的私钥对所述用户标识信息进行签名,得到签名信息;
在所述签名信息的扩充字段中写入所述第一登陆认证信息,得到所述认证票据。
3.根据权利要求1所述的单点登录***,其特征在于,所述单点登录***还包括代理服务器,所述代理服务器分别与所述用户终端和所述应用服务器连接;
所述代理服务器用于,拦截所述用户终端向所述应用服务器发送的登陆请求;对所述登陆请求中携带的认证票据进行解析,判断所述认证票据中的第一登陆认证信息是否有效;若所述认证票据中的第一登陆认证信息有效,则将所述认证票据发送给所述应用服务器。
4.根据权利要求3所述的单点登录***,其特征在于,所述代理服务器还用于:
为首次登陆所述应用服务器的用户终端分配第二登陆认证信息;
若拦截到的登陆请求中包括有效的第二登陆认证信息,则将所述登陆请求发送给所述应用服务器。
5.根据权利要求4所述的单点登录***,其特征在于,所述代理服务器还用于:
若拦截到的登陆请求中的第二登陆认证信息无效,则指示所述用户终端退出所述认证服务器。
6.根据权利要求4所述的单点登录***,其特征在于,所述用户终端用于,若所述认证票据中的第一登陆认证信息无效,则将端分配的所述第二登录认证信息设置为无效;
所述代理服务器还用于,在接收到调用所述应用服务器的操作接口时,对所述第二登陆认证信息进行验证,若所述第二登陆认证信息无效,则登出所述应用服务器。
7.一种单点登录方法,其特征在于,应用于桥接服务器,所述桥接服务器分别与用户终端和认证服务器连接,且所述桥接服务器与应用服务器之间建立有信任关系,所述应用服务器允许获得所述桥接服务器的认证票据的用户终端登陆,所述方法包括:
响应于接收到所述用户终端首次访问所述应用服务器的请求,引导所述用户终端跳转至登陆所述认证服务器;
接收所述认证服务器在所述用户终端成功登陆后返回的用户标识信息和第一登陆认证信息;
根据所述用户标识信息和所述第一登陆认证信息,生成认证票据;
将所述认证票据发送给所述用户终端,所述认证票据用于所述用户终端登陆所述应用服务器。
8.根据权利要求7所述的方法,其特征在于,所述根据所述用户标识信息和所述第一登陆认证信息,生成认证票据,包括:
使用所述认证服务器的私钥对所述用户标识信息进行签名,得到签名信息;
在所述签名信息的扩充字段中写入所述第一登陆认证信息,得到所述认证票据。
9.一种单点登录方法,其特征在于,应用于代理服务器,所述方法包括:
拦截用户终端向应用服务器发送的登陆请求,所述登陆请求中携带有认证票据,所述认证票据是根据权利要求7或8所述的方法获得的;
对所述认证票据进行解析,判断所述认证票据中的第一登陆认证信息是否有效;
若所述第一登陆认证信息有效,则将所述认证票据发送给所述应用服务器。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求7-9中任一项所述方法的步骤。
11.一种电子设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现权利要求7-9中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910726743.XA CN110381084A (zh) | 2019-08-07 | 2019-08-07 | 单点登录***和方法,存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910726743.XA CN110381084A (zh) | 2019-08-07 | 2019-08-07 | 单点登录***和方法,存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110381084A true CN110381084A (zh) | 2019-10-25 |
Family
ID=68258388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910726743.XA Pending CN110381084A (zh) | 2019-08-07 | 2019-08-07 | 单点登录***和方法,存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110381084A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933087A (zh) * | 2019-12-02 | 2020-03-27 | 紫光云技术有限公司 | 一种基于数据桥接的敏感信息安全传输方法 |
| CN113726774A (zh) * | 2020-10-13 | 2021-11-30 | 杭州涂鸦信息技术有限公司 | 客户端登录认证方法、***和计算机设备 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207482A (zh) * | 2007-12-13 | 2008-06-25 | 深圳市戴文科技有限公司 | 一种实现单点登录的方法及*** |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及*** |
| US8832782B2 (en) * | 2012-08-31 | 2014-09-09 | Avaya Inc. | Single sign-on system and method |
| CN104281801A (zh) * | 2014-10-28 | 2015-01-14 | 杭州东方通信软件技术有限公司 | 单点登录控制方法和装置 |
| CN105100068A (zh) * | 2015-06-29 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 一种实现单点登录的***及方法 |
| CN106101134A (zh) * | 2016-07-13 | 2016-11-09 | 十九楼网络股份有限公司 | 用户多域名下跨站漫游验证登录状态的方法 |
| CN107395566A (zh) * | 2017-06-16 | 2017-11-24 | 北京小米移动软件有限公司 | 认证方法及装置 |
| CN108600203A (zh) * | 2018-04-11 | 2018-09-28 | 四川长虹电器股份有限公司 | 基于Cookie的安全单点登录方法及其统一认证服务*** |
| WO2018187174A1 (en) * | 2017-04-07 | 2018-10-11 | Citrix Systems, Inc. | Systems and methods for securely and transparently proxying saas applications through a cloud-hosted or on-premise network gateway for enhanced security and visibility |
| CN109587147A (zh) * | 2018-12-11 | 2019-04-05 | 咪咕文化科技有限公司 | 一种单点登录***、方法、服务器及存储介质 |
| CN109688114A (zh) * | 2018-12-10 | 2019-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
| CN111431838A (zh) * | 2019-01-09 | 2020-07-17 | 北京神州泰岳软件股份有限公司 | 一种集群中单点登录和注销的方法、装置及api网关 |
-
2019
- 2019-08-07 CN CN201910726743.XA patent/CN110381084A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207482A (zh) * | 2007-12-13 | 2008-06-25 | 深圳市戴文科技有限公司 | 一种实现单点登录的方法及*** |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及*** |
| US8832782B2 (en) * | 2012-08-31 | 2014-09-09 | Avaya Inc. | Single sign-on system and method |
| CN104281801A (zh) * | 2014-10-28 | 2015-01-14 | 杭州东方通信软件技术有限公司 | 单点登录控制方法和装置 |
| CN105100068A (zh) * | 2015-06-29 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 一种实现单点登录的***及方法 |
| CN106101134A (zh) * | 2016-07-13 | 2016-11-09 | 十九楼网络股份有限公司 | 用户多域名下跨站漫游验证登录状态的方法 |
| WO2018187174A1 (en) * | 2017-04-07 | 2018-10-11 | Citrix Systems, Inc. | Systems and methods for securely and transparently proxying saas applications through a cloud-hosted or on-premise network gateway for enhanced security and visibility |
| CN107395566A (zh) * | 2017-06-16 | 2017-11-24 | 北京小米移动软件有限公司 | 认证方法及装置 |
| CN108600203A (zh) * | 2018-04-11 | 2018-09-28 | 四川长虹电器股份有限公司 | 基于Cookie的安全单点登录方法及其统一认证服务*** |
| CN109688114A (zh) * | 2018-12-10 | 2019-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
| CN109587147A (zh) * | 2018-12-11 | 2019-04-05 | 咪咕文化科技有限公司 | 一种单点登录***、方法、服务器及存储介质 |
| CN111431838A (zh) * | 2019-01-09 | 2020-07-17 | 北京神州泰岳软件股份有限公司 | 一种集群中单点登录和注销的方法、装置及api网关 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933087A (zh) * | 2019-12-02 | 2020-03-27 | 紫光云技术有限公司 | 一种基于数据桥接的敏感信息安全传输方法 |
| CN113726774A (zh) * | 2020-10-13 | 2021-11-30 | 杭州涂鸦信息技术有限公司 | 客户端登录认证方法、***和计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102984127B (zh) | 一种以用户为中心的移动互联网身份管理及认证方法 | |
| KR101459802B1 (ko) | 암호화 증명의 재검증에 기반을 둔 인증 위임 | |
| US7240362B2 (en) | Providing identity-related information and preventing man-in-the-middle attacks | |
| CN107294916B (zh) | 单点登录方法、单点登录终端及单点登录*** | |
| EP4066434B1 (en) | Password-authenticated public key establishment | |
| JP2004531914A (ja) | 非安全通信チャネルを安全にするためのシステムおよび方法 | |
| CN104378210A (zh) | 跨信任域的身份认证方法 | |
| WO2008067646A1 (en) | Method and system for trusted client bootstrapping | |
| Berbecaru et al. | Providing login and Wi-Fi access services with the eIDAS network: A practical approach | |
| CN105681470A (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| Alzuwaini et al. | An Efficient Mechanism to Prevent the Phishing Attacks. | |
| Alhaidary et al. | Vulnerability analysis for the authentication protocols in trusted computing platforms and a proposed enhancement of the offpad protocol | |
| Jøsang | Identity management and trusted interaction in Internet and mobile computing | |
| US8387126B2 (en) | Systems and methods for authenticating a server by combining image recognition with codes | |
| CN104821951B (zh) | 一种安全通信的方法和装置 | |
| Leicher et al. | Trusted computing enhanced openid | |
| CN110381084A (zh) | 单点登录***和方法,存储介质及电子设备 | |
| Nongbri et al. | A survey on single sign-on | |
| TW201328280A (zh) | 即時通訊身分認證系統與方法 | |
| Kim et al. | Can we create a cross-domain federated identity for the industrial Internet of Things without Google? | |
| KR102118556B1 (ko) | 프라이빗 블록체인 기반 개인정보 관리 서비스 제공 방법 | |
| CN101242263B (zh) | 基于可扩展标志语言安全策略的网格安全处理方法 | |
| CN109598114B (zh) | 跨平台统一用户账户管理方法及*** | |
| Guo et al. | Extending registration and authentication processes of FIDO2 external authenticator with qr codes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191025 |