CN110535884A - 跨企业***间访问控制的方法、装置及存储介质 - Google Patents
跨企业***间访问控制的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN110535884A CN110535884A CN201910929863.XA CN201910929863A CN110535884A CN 110535884 A CN110535884 A CN 110535884A CN 201910929863 A CN201910929863 A CN 201910929863A CN 110535884 A CN110535884 A CN 110535884A
- Authority
- CN
- China
- Prior art keywords
- business system
- access
- token
- business
- enterprise
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种跨企业***间访问控制的方法、装置及存储介质,该方法包括:当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,在登录界面上登录;在跳转至第一企业***后,为第一企业***发放令牌及***标记;当拦截到从第一企业***跳转访问第二企业***的访问请求后,获取本次跳转访问请求的统一资源定位信息中携带的第一企业***的令牌及***标记,对令牌进行认证,且获取授权信息,认证第一企业***是否被授权访问第二企业***;若认证均通过,则从第一企业***跳转访问第二企业***。本发明能够打通企业间应用***的壁垒,实现企业间应用***的互信访问。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种跨企业***间访问控制的方法、装置及存储介质。
背景技术
现有的单点登录(Single Sign On,SSO),是在企业内部多个应用***中,用户只需要登录一次就可以访问所有相互信任的应用***。如图1所示,当用户第一次访问应用***1时,会被引导到认证***中进行登录,根据用户提供的登录信息,认证***进行身份校验,如果通过校验,应该返回给用户一个认证的凭据ticket;用户再访问该企业中其他应用***2或3时,就会将这个凭据ticket带上,应用***2或3接收到请求之后会把凭据ticket送到认证***进行校验。如果通过校验,用户就可以在不用再次登录的情况下访问应用***2或应用***3了。
然而,单点登录只能在企业内部应用,一个企业内部的多个应用***使用单点登录实现多个应用***间的访问。现今,各企业间的合作及信息的交互越来越多,单点登录的方式已经不能满足需求,如何打通企业间应用***的壁垒,以实现企业间应用***的互信访问,成为有待解决的问题。
发明内容
本发明的目的在于提供一种跨企业***间访问控制的方法、装置及存储介质,旨在打通企业间应用***的壁垒,实现企业间应用***的互信访问。
为实现上述目的,本发明提供一种跨企业***间访问控制的方法,所述跨企业***间访问控制的方法包括:
S1,当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,在所述登录界面上基于预设的登录方式进行登录,所述访问请求包含所述第一企业***的统一资源定位信息;
S2,在登录成功,基于所述统一资源定位信息跳转至所述第一企业***后,基于预定的协议服务为所述第一企业***发放令牌及***标记;
S3,当拦截到从所述第一企业***跳转访问第二企业***的访问请求后,获取本次跳转访问请求的统一资源定位信息中携带的所述第一企业***的令牌及***标记,对所述令牌进行认证,且获取预先经安全域划分后得到的各企业***之间的授权信息,基于所述***标记及授权信息认证所述第一企业***是否被授权访问所述第二企业***;
S4,若认证均通过,则从所述第一企业***跳转访问所述第二企业***。
优选地,所述预设的登录方式包括第一登录方式及第二登录方式,其中:
所述第一登录方式为基于预先在所述认证中心注册的统一账号登录的方式,包括:接收在所述认证中心的登录界面输入的统一账号,并对所述统一账号进行认证,以进行登录;
所述第二登录方式为基于在预先划分的、且包含所述第一企业***在内的安全域中的任一企业***所注册的对应的企业账号登录的方式,包括:
接收在所述认证中心的登录界面输入的企业账号,基于预定的协议服务获取所述企业账号对应的第三企业***的令牌,基于所述令牌获取对应的用户信息,基于所述用户信息创建在所述认证中心的统一账号并保存,将所述企业账号与所创建的统一账号进行绑定,以进行登录。
优选地,所述第二登录方式进一步包括对所述企业账号进行认证的步骤,包括:接收在所述认证中心的登录界面输入的企业账号,前端利用预定的加密算法对所述企业账号进行加密后发送给后端,所述后端获取预存的、经预定的加密算法加密后的各个企业账号,若预存的各个企业账号中有与所述后端接收到的企业账号相同的企业账号,则所述企业账号认证通过。
优选地,所述步骤S3之后,还包括:
若所述令牌认证未通过,或者所述第一企业***未被授权访问所述第二企业***,则禁止从所述第一企业***跳转访问所述第二企业***。
优选地,所述对所述令牌进行认证的步骤,具体包括对所述令牌的唯一性、有效性及准确性的认证。
为实现上述目的,本发明还提供一种跨企业***间访问控制的装置,所述跨企业***间访问控制的装置包括存储器及与所述存储器连接的处理器,所述存储器中存储有可在所述处理器上运行的处理***,所述处理***被所述处理器执行时实现如下步骤:
当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,在所述登录界面上基于预设的登录方式进行登录,所述访问请求包含所述第一企业***的统一资源定位信息;
在登录成功,基于所述统一资源定位信息跳转至所述第一企业***后,基于预定的协议服务为所述第一企业***发放令牌及***标记;
当拦截到从所述第一企业***跳转访问第二企业***的访问请求后,获取本次跳转访问请求的统一资源定位信息中携带的所述第一企业***的令牌及***标记,对所述令牌进行认证,且获取预先经安全域划分后得到的各企业***之间的授权信息,基于所述***标记及授权信息认证所述第一企业***是否被授权访问所述第二企业***;
若认证均通过,则从所述第一企业***跳转访问所述第二企业***。
优选地,所述预设的登录方式包括第一登录方式及第二登录方式,其中:
所述第一登录方式为基于预先在所述认证中心注册的统一账号登录的方式,包括:接收在所述认证中心的登录界面输入的统一账号,并对所述统一账号进行认证,以进行登录;
所述第二登录方式为基于在预先划分的、且包含所述第一企业***在内的安全域中的任一企业***所注册的对应的企业账号登录的方式,包括:
接收在所述认证中心的登录界面输入的企业账号,基于预定的协议服务获取所述企业账号对应的第三企业***的令牌,基于所述令牌获取对应的用户信息,基于所述用户信息创建在所述认证中心的统一账号并保存,将所述企业账号与所创建的统一账号进行绑定,以进行登录。
优选地,所述第二登录方式进一步包括对所述企业账号进行认证的步骤,包括:接收在所述认证中心的登录界面输入的企业账号,前端利用预定的加密算法对所述企业账号进行加密后发送给后端,所述后端获取预存的、经预定的加密算法加密后的各个企业账号,若预存的各个企业账号中有与所述后端接收到的企业账号相同的企业账号,则所述企业账号认证通过。
优选地,所述处理***被所述处理器执行时,还实现如下步骤:若所述令牌认证未通过,或者所述第一企业***未被授权访问所述第二企业***,则禁止从所述第一企业***跳转访问所述第二企业***。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有处理***,所述处理***被处理器执行时实现上述的方法的步骤。
本发明的有益效果是:首先,将各企业间的多个应用***划分为可信的互访***,形成企业间互信的区域,即安全域,得到授权信息;然后,在拦截到访问第一企业***的访问请求后跳转至认证中心的登录界面,基于预设的登录方式登录第一企业***,以预定的协议服务为通信基础,当拦截到从第一企业***跳转访问其他企业***的访问请求后,对第一企业***的令牌进行认证,且基于***标记及授权信息认证第一企业***是否被授权访问所述第二企业***,本实施例在成功登录一次安全域中的成员企业***后,可以满足认证的条件下在该安全域的各个企业***间直接跳转访问,无需再次登录,能够打通企业间应用***的壁垒,实现企业间应用***的互信访问。
附图说明
图1为现有技术中单点登录技术的示意图;
图2为本发明跨企业***间访问控制的方法一实施例的流程示意图;
图3为图2中以第一登录方式登录,并由第一企业***跳转访问第二企业***的示意图;
图4为图2中以第二登录方式登录,并由第一企业***跳转访问第二企业***的示意图;
图5为本发明跨企业***间访问控制的装置一实施例的硬件架构的示意图;
图6为图5中处理***一实施例的程序模块图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
参阅图2所示,是本发明跨企业***间访问控制的方法一实施例的流程示意图,该跨企业***间访问控制的方法包括:
步骤S1,当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,在所述登录界面上基于预设的登录方式进行登录;
其中,第一企业***为预先经安全域划分的企业***,安全域划分指的是在不同的企业的多个企业子***间进行划分,形成一个或者多个安全域,每一安全域至少包括两个子***,在相同安全域中的子***之间可实现一次登陆即可访问在该安全域中的其他各个子***。
其中,当在地址栏中输入第一企业***的地址后触发访问第一企业***的访问请求,该访问请求包含第一企业***对应的统一资源定位信息(uniform resource locator,URL)。
当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,其中,可以通过预设的登录方式在该登录界面进行登录,预设的登录方式包括第一登录方式及第二登录方式,其中:
第一登录方式为基于预先在认证中心注册的统一账号登录的方式,包括:接收在认证中心的登录界面输入的统一账号,并对统一账号进行认证,若认证通过,则跳转至该访问请求包含的统一资源定位信息对应的第一企业***所在的界面,若认证不通过,则无法跳转至第一企业***所在的界面。
第二登录方式为基于在预先划分的、且包含第一企业***在内的安全域中的任一企业***所注册的对应的企业账号登录的方式,包括:
接收在认证中心的登录界面输入的企业账号,该企业账号为包含第一企业***在内的安全域中的任一企业***(例如,第三企业***,可与第一企业***、第二企业***相同或者不同)所注册的对应的企业账号,基于预定的协议服务获取所述企业账号对应的第三企业***的令牌,其中,该令牌为token令牌,预定的协议服务为OAuth2协议服务,基于令牌获取对应的用户信息,基于用户信息创建在认证中心的统一账号并保存,将企业账号与所创建的统一账号进行绑定,绑定后生成该统一账号的令牌,该令牌为token令牌,则登录成功,跳转至该访问请求包含的统一资源定位信息对应的第一企业***所在的界面。
上述的两种登录方式不分优劣,为用户提供灵活的登录方式,提高应用的便利性。
进一步地,对于上述的第二登录方式,为了提高安全性,还进一步包括对企业账号进行认证的步骤,包括:接收在认证中心的登录界面输入的企业账号,前端利用预定的加密算法对企业账号进行加密后发送给后端,预定的加密算法例如为对称加密算法,当然也可以是其他的加密算法,后端获取预存的、经预定的加密算法加密后的各个企业账号,该后端的预存的各个企业账号所使用的加密算法与前端的加密算法相同,将后端接收到的企业账号与预存的各个企业账号进行一一比对,若预存的各个企业账号中有与后端接收到的企业账号相同的企业账号,则该企业账号认证通过,登录成功;若预存的各个企业账号中没有与后端接收到的企业账号相同的企业账号,则该企业账号认证不通过,登录失败。
步骤S2,在登录成功,基于所述统一资源定位信息跳转至所述第一企业***后,基于预定的协议服务为所述第一企业***发放令牌及***标记;
其中,该令牌为token令牌,预定的协议服务为OAuth2协议服务。
步骤S3,当拦截到从所述第一企业***跳转访问第二企业***的访问请求后,获取本次跳转访问请求的统一资源定位信息中携带的所述第一企业***的令牌及***标记,对所述令牌进行认证,且获取预先经安全域划分后得到的各企业***之间的授权信息,基于所述***标记及授权信息认证所述第一企业***是否被授权访问所述第二企业***;
步骤S4,若认证均通过,则从所述第一企业***跳转访问所述第二企业***。
其中,当在第一企业***所在的界面上点击第二企业***的链接后,可触发从第一企业***跳转访问第二企业***的访问请求。该访问请求包含第二企业***对应的统一资源定位信息,该统一资源定位信息中还包括第一企业***的令牌及***标记。
其中,对牌进行认证包括对令牌的唯一性、有效性及准确性的认证,认证令牌的有效性指的是分析令牌是否过期及无效,若令牌不是唯一的或者不是准确的或者是过期的或者是无效的,则认证失败,无法由第一企业***跳转访问第二企业***。
同时,获取预先经安全域划分得到的各企业***之间的授权信息,该授权信息中,记载了在该安全域中各企业***之间是否被授权跳转访问。基于***标记及授权信息认证第一企业***是否被授权访问第二企业***。当上述的令牌的唯一性、有效性及准确性的认证均通过,且授权信息中记载了在该安全域中第一企业***被授权访问第二企业***,则从第一企业***跳转访问第二企业***。当上述的令牌的唯一性、有效性及准确性的认证均通过,但授权信息中记载在该安全域中第一企业***未被授权访问第二企业***,则也无法由第一企业***跳转访问第二企业***。
本实施例中,首先,将各企业间的多个应用***划分为可信的互访***,形成企业间互信的区域,即安全域,得到授权信息;然后,在拦截到访问第一企业***的访问请求后跳转至认证中心的登录界面,基于预设的登录方式登录第一企业***,以预定的协议服务为通信基础,当拦截到从第一企业***跳转访问其他企业***的访问请求后,对第一企业***的令牌进行认证,且基于***标记及授权信息认证第一企业***是否被授权访问所述第二企业***,本实施例在成功登录一次安全域中的成员企业***后,可以满足认证的条件下在该安全域的各个企业***间直接跳转访问,无需再次登录,能够打通企业间应用***的壁垒,实现企业间应用***的互信访问。
以下对以第一登录方式、第二登录方式登录,并由第一企业***跳转访问第二企业***的过程进行举例说明。
如图3所示,为以第一登录方式登录,并由第一企业***跳转访问第二企业***的过程,包括:
1、用户在地址栏中输入第一企业***的地址,认证中心在进入第一企业***的界面之前进行拦截,并进入认证中心的登录界面,用户在登录界面输入统一账号登录,对统一账号进行认证;
2、认证通过后,登录成功,跳转至第一企业***(可在第一企业***进行业务操作);同时,由于第一企业***对接认证中心的OAuth2协议,因此认证中心通过该OAuth2协议为第一企业***发放token令牌及***标记;
3、第一企业***中有其他***的链接,当点击第二企业***的链接后,跳转至第二企业***的URL中会携带第一企业***的token令牌及***标记,将第一企业***的token令牌及***标记发送给认证中心,认证中心对token令牌进行认证(包括token令牌的唯一性、有效性、准确性认证),并基于该***标记、预先划分安全域得到的授权信息,认证第一企业***是否被授权跳转访问第二企业***;
4、若两种认证均通过,则跳转至第二企业***(第二企业***可基于token令牌向认证中心请求用户信息,认证中心向第二企业***返回用户信息);若token令牌不是唯一的或者不是准确的或者token令牌过期或无效,则认证失败,无法跳转访问第二企业***;若token令牌是唯一的、准确的,但token令牌过期或无效,则第二企业***可发起获取新的token令牌的操作,以便通过有效性认证;若第一企业***未被授权跳转访问第二企业***,则认证失败,无法跳转访问第二企业***。
在该过程中,用户预先在认证中心中注册了统一账号,可以直接使用统一账号登录。此外,从第二企业***跳转访问其他的***,基本同上述第一企业***跳转访问第二企业***的步骤,此处不再赘述。
如图4所示,为以第二登录方式登录,并由第一企业***跳转访问第二企业***的过程,包括:
1、用户在地址栏中输入第一企业***的地址,认证中心在进入第一企业***的界面之前进行拦截,并进入认证中心的登录界面,用户在登录界面输入企业账号登录;
2、认证中心对接该企业账号所在的第三企业***(图中以与第一企业***、第二企业***不同的第三企业***为例进行说明)的OAuth2协议,基于OAuth2协议获取第三企业***的token令牌,基于token令牌请求获取用户信息,基于用户信息创建统一账号,并保存,将该企业账号与统一账号进行绑定,生成该统一账号的token令牌,以进行登录;
3、登录成功后,跳转至第一企业***(可在第一企业***进行业务操作);同时,由于第一企业***对接认证中心的OAuth2协议,因此认证中心通过该OAuth2协议为第一企业***发放token令牌及***标记;
后续的步骤与上述的第一登录方式的相同:
4、第一企业***中有其他***的链接,当点击第二企业***的链接后,跳转至第二企业***的URL中会携带第一企业***的token令牌及***标记,将第一企业***的token令牌及***标记发送给认证中心,认证中心对token令牌进行认证(包括token令牌的唯一性、有效性、准确性认证),并基于该***标记、预先划分安全域得到的授权信息,认证第一企业***是否被授权跳转访问第二企业***;
5、若两种认证均通过,则跳转至第二企业***(第二企业***可基于token令牌向认证中心请求用户信息,认证中心向第二企业***返回用户信息);若token令牌不是唯一的或者不是准确的或者token令牌过期或无效,则认证失败,无法跳转访问第二企业***;若token令牌是唯一的、准确的,但token令牌过期或无效,则第二企业***可发起获取新的token令牌的操作,以便通过有效性认证;若第一企业***未被授权跳转访问第二企业***,则认证失败,无法跳转访问第二企业***。
在该过程中,用户使用企业账号登录(可视为未创建统一账号),可以通过企业账号自动创建统一账号,将企业账号与统一账号进行绑定,绑定后登录成功。此外,从第二企业***跳转访问其他的***,基本同上述第一企业***跳转访问第二企业***的步骤,此处不再赘述。
参阅图5所示,是本发明跨企业***间访问控制的装置一实施例的硬件架构的示意图,跨企业***间访问控制的装置1即为认证中心所在的装置,其为一种能够按照事先设定或者存储的指令,自动进行数值计算和/或信息处理的设备。所述跨企业***间访问控制的装置1可以是计算机、也可以是单个网络服务器、多个网络服务器组成的服务器组或者基于云计算的由大量主机或者网络服务器构成的云,其中云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
在本实施例中,跨企业***间访问控制的装置1可包括,但不仅限于,可通过***总线相互通信连接的存储器11、处理器12、网络接口13,存储器11存储有可在处理器12上运行的处理***10。需要指出的是,图5仅示出了具有组件11-13的跨企业***间访问控制的装置1,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
其中,存储器11包括内存及至少一种类型的可读存储介质。内存为跨企业***间访问控制的装置1的运行提供缓存;可读存储介质可为如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等的非易失性存储介质。在一些实施例中,可读存储介质可以是跨企业***间访问控制的装置1的内部存储单元,例如该跨企业***间访问控制的装置1的硬盘;在另一些实施例中,该非易失性存储介质也可以是跨企业***间访问控制的装置1的外部存储设备,例如跨企业***间访问控制的装置1上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。本实施例中,存储器11的可读存储介质通常用于存储安装于跨企业***间访问控制的装置1的操作***和各类应用软件,例如存储本发明一实施例中的处理***10的程序代码等。此外,存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器12在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片,用于运行所述存储器11中存储的程序代码或者处理数据,例如运行处理***10等。
所述网络接口13可包括标准的无线网络接口、有线网络接口,该网络接口13通常用于在所述跨企业***间访问控制的装置1与其他电子设备之间建立通信连接。
所述处理***10存储在存储器11中,包括至少一个存储在存储器11中的计算机可读指令,该至少一个计算机可读指令可被处理器器12执行,以实现本申请各实施例的方法;以及,该至少一个计算机可读指令依据其各部分所实现的功能不同,可被划为不同的逻辑模块。
在一实施例中,上述处理***10被所述处理器12执行时实现如下步骤:
当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,在所述登录界面上基于预设的登录方式进行登录,所述访问请求包含所述第一企业***的统一资源定位信息;
在登录成功,基于所述统一资源定位信息跳转至所述第一企业***后,基于预定的协议服务为所述第一企业***发放令牌及***标记;
当拦截到从所述第一企业***跳转访问第二企业***的访问请求后,获取本次跳转访问请求的统一资源定位信息中携带的所述第一企业***的令牌及***标记,对所述令牌进行认证,且获取预先经安全域划分后得到的各企业***之间的授权信息,基于所述***标记及授权信息认证所述第一企业***是否被授权访问所述第二企业***;
若认证均通过,则从所述第一企业***跳转访问所述第二企业***。
进一步地,所述预设的登录方式包括第一登录方式及第二登录方式,其中:
所述第一登录方式为基于预先在所述认证中心注册的统一账号登录的方式,包括:接收在所述认证中心的登录界面输入的统一账号,并对所述统一账号进行认证,以进行登录;
所述第二登录方式为基于在预先划分的、且包含所述第一企业***在内的安全域中的任一企业***所注册的对应的企业账号登录的方式,包括:
接收在所述认证中心的登录界面输入的企业账号,基于预定的协议服务获取所述企业账号对应的第三企业***的令牌,基于所述令牌获取对应的用户信息,基于所述用户信息创建在所述认证中心的统一账号并保存,将所述企业账号与所创建的统一账号进行绑定,以进行登录。
进一步地,所述第二登录方式进一步包括对所述企业账号进行认证的步骤,包括:接收在所述认证中心的登录界面输入的企业账号,前端利用预定的加密算法对所述企业账号进行加密后发送给后端,所述后端获取预存的、经预定的加密算法加密后的各个企业账号,若预存的各个企业账号中有与所述后端接收到的企业账号相同的企业账号,则所述企业账号认证通过。
进一步地,所述处理***被所述处理器执行时,还实现如下步骤:若所述令牌认证未通过,或者所述第一企业***未被授权访问所述第二企业***,则禁止从所述第一企业***跳转访问所述第二企业***。
参照图6所示,为图5中处理***10的程序模块图。所述处理***10被分割为多个模块,该多个模块被存储于存储器12中,并由处理器13执行,以完成本发明。本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段。
所述处理***10可以被分割为:登录模块101、发放模块102、认证模块103及跳转访问模块104。
所述登录模块101,用于当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,在所述登录界面上基于预设的登录方式进行登录,所述访问请求包含所述第一企业***的统一资源定位信息;
所述发放模块102,用于在登录成功,基于所述统一资源定位信息跳转至所述第一企业***后,基于预定的协议服务为所述第一企业***发放令牌及***标记;
所述认证模块103,用于当拦截到从所述第一企业***跳转访问第二企业***的访问请求后,获取本次跳转访问请求的统一资源定位信息中携带的所述第一企业***的令牌及***标记,对所述令牌进行认证,且获取预先经安全域划分后得到的各企业***之间的授权信息,基于所述***标记及授权信息认证所述第一企业***是否被授权访问所述第二企业***;
所述跳转访问模块104,用于若认证均通过,则从所述第一企业***跳转访问所述第二企业***。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质可以是硬盘、多媒体卡、SD卡、闪存卡、SMC、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、便携式紧致盘只读存储器(CD-ROM)、USB存储器等等中的任意一种或者几种的任意组合。所述计算机可读存储介质中包括处理***,该处理***被处理器执行时实现的功能,请参照上述关于图2的介绍,在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种跨企业***间访问控制的方法,其特征在于,所述跨企业***间访问控制的方法包括:
S1,当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,在所述登录界面上基于预设的登录方式进行登录,所述访问请求包含所述第一企业***的统一资源定位信息;
S2,在登录成功,基于所述统一资源定位信息跳转至所述第一企业***后,基于预定的协议服务为所述第一企业***发放令牌及***标记;
S3,当拦截到从所述第一企业***跳转访问第二企业***的访问请求后,获取本次跳转访问请求的统一资源定位信息中携带的所述第一企业***的令牌及***标记,对所述令牌进行认证,且获取预先经安全域划分后得到的各企业***之间的授权信息,基于所述***标记及授权信息认证所述第一企业***是否被授权访问所述第二企业***;
S4,若认证均通过,则从所述第一企业***跳转访问所述第二企业***。
2.根据权利要求1所述的跨企业***间访问控制的方法,其特征在于,所述预设的登录方式包括第一登录方式及第二登录方式,其中:
所述第一登录方式为基于预先在所述认证中心注册的统一账号登录的方式,包括:接收在所述认证中心的登录界面输入的统一账号,并对所述统一账号进行认证,以进行登录;
所述第二登录方式为基于在预先划分的、且包含所述第一企业***在内的安全域中的任一企业***所注册的对应的企业账号登录的方式,包括:
接收在所述认证中心的登录界面输入的企业账号,基于预定的协议服务获取所述企业账号对应的第三企业***的令牌,基于所述令牌获取对应的用户信息,基于所述用户信息创建在所述认证中心的统一账号并保存,将所述企业账号与所创建的统一账号进行绑定,以进行登录。
3.根据权利要求2所述的跨企业***间访问控制的方法,其特征在于,所述第二登录方式进一步包括对所述企业账号进行认证的步骤,包括:接收在所述认证中心的登录界面输入的企业账号,前端利用预定的加密算法对所述企业账号进行加密后发送给后端,所述后端获取预存的、经预定的加密算法加密后的各个企业账号,若预存的各个企业账号中有与所述后端接收到的企业账号相同的企业账号,则所述企业账号认证通过。
4.根据权利要求1至3任一项所述的跨企业***间访问控制的方法,其特征在于,所述步骤S3之后,还包括:
若所述令牌认证未通过,或者所述第一企业***未被授权访问所述第二企业***,则禁止从所述第一企业***跳转访问所述第二企业***。
5.根据权利要求1至3任一项所述的跨企业***间访问控制的方法,其特征在于,所述对所述令牌进行认证的步骤,具体包括对所述令牌的唯一性、有效性及准确性的认证。
6.一种跨企业***间访问控制的装置,其特征在于,所述跨企业***间访问控制的装置包括存储器及与所述存储器连接的处理器,所述存储器中存储有可在所述处理器上运行的处理***,所述处理***被所述处理器执行时实现如下步骤:
当拦截到访问第一企业***的访问请求后,跳转至认证中心的登录界面,在所述登录界面上基于预设的登录方式进行登录,所述访问请求包含所述第一企业***的统一资源定位信息;
在登录成功,基于所述统一资源定位信息跳转至所述第一企业***后,基于预定的协议服务为所述第一企业***发放令牌及***标记;
当拦截到从所述第一企业***跳转访问第二企业***的访问请求后,获取本次跳转访问请求的统一资源定位信息中携带的所述第一企业***的令牌及***标记,对所述令牌进行认证,且获取预先经安全域划分后得到的各企业***之间的授权信息,基于所述***标记及授权信息认证所述第一企业***是否被授权访问所述第二企业***;
若认证均通过,则从所述第一企业***跳转访问所述第二企业***。
7.根据权利要求6所述的跨企业***间访问控制的装置,其特征在于,所述预设的登录方式包括第一登录方式及第二登录方式,其中:
所述第一登录方式为基于预先在所述认证中心注册的统一账号登录的方式,包括:接收在所述认证中心的登录界面输入的统一账号,并对所述统一账号进行认证,以进行登录;
所述第二登录方式为基于在预先划分的、且包含所述第一企业***在内的安全域中的任一企业***所注册的对应的企业账号登录的方式,包括:
接收在所述认证中心的登录界面输入的企业账号,基于预定的协议服务获取所述企业账号对应的第三企业***的令牌,基于所述令牌获取对应的用户信息,基于所述用户信息创建在所述认证中心的统一账号并保存,将所述企业账号与所创建的统一账号进行绑定,以进行登录。
8.根据权利要求7所述的跨企业***间访问控制的装置,其特征在于,所述第二登录方式进一步包括对所述企业账号进行认证的步骤,包括:接收在所述认证中心的登录界面输入的企业账号,前端利用预定的加密算法对所述企业账号进行加密后发送给后端,所述后端获取预存的、经预定的加密算法加密后的各个企业账号,若预存的各个企业账号中有与所述后端接收到的企业账号相同的企业账号,则所述企业账号认证通过。
9.根据权利要求6至8任一项所述的跨企业***间访问控制的装置,其特征在于,所述处理***被所述处理器执行时,还实现如下步骤:若所述令牌认证未通过,或者所述第一企业***未被授权访问所述第二企业***,则禁止从所述第一企业***跳转访问所述第二企业***。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有处理***,所述处理***被处理器执行时实现如权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910929863.XA CN110535884B (zh) | 2019-09-26 | 2019-09-26 | 跨企业***间访问控制的方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910929863.XA CN110535884B (zh) | 2019-09-26 | 2019-09-26 | 跨企业***间访问控制的方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110535884A true CN110535884A (zh) | 2019-12-03 |
CN110535884B CN110535884B (zh) | 2021-10-22 |
Family
ID=68670745
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910929863.XA Active CN110535884B (zh) | 2019-09-26 | 2019-09-26 | 跨企业***间访问控制的方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110535884B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112149108A (zh) * | 2020-09-15 | 2020-12-29 | 京东数字科技控股股份有限公司 | 访问控制方法、装置、电子设备及存储介质 |
CN112311768A (zh) * | 2020-09-29 | 2021-02-02 | 新华三信息安全技术有限公司 | 非http协议应用的策略中心、控制***、方法、介质及设备 |
CN112543180A (zh) * | 2020-11-03 | 2021-03-23 | 福建福诺移动通信技术有限公司 | 基于Token实现多认证鉴权中心单点登陆的***及方法 |
CN112637167A (zh) * | 2020-12-15 | 2021-04-09 | 平安资产管理有限责任公司 | ***登录方法、装置、计算机设备和存储介质 |
CN113660204A (zh) * | 2021-07-09 | 2021-11-16 | 北京航天云路有限公司 | 一种实现统一集成绑定服务的方法 |
CN115102724A (zh) * | 2022-06-06 | 2022-09-23 | 珠海格力电器股份有限公司 | 一种双Token跨端跳转***的登录方法、*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106534143A (zh) * | 2016-11-28 | 2017-03-22 | 上海斐讯数据通信技术有限公司 | 一种跨应用认证授权的方法和*** |
CN106936853A (zh) * | 2017-04-26 | 2017-07-07 | 河海大学 | 一种面向***集成的跨域单点登录***及方法 |
US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
CN110225035A (zh) * | 2019-06-11 | 2019-09-10 | 深圳市微付充科技有限公司 | 第三方账户绑定及登录方法、服务器、终端及装置 |
-
2019
- 2019-09-26 CN CN201910929863.XA patent/CN110535884B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106534143A (zh) * | 2016-11-28 | 2017-03-22 | 上海斐讯数据通信技术有限公司 | 一种跨应用认证授权的方法和*** |
CN106936853A (zh) * | 2017-04-26 | 2017-07-07 | 河海大学 | 一种面向***集成的跨域单点登录***及方法 |
US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
CN110225035A (zh) * | 2019-06-11 | 2019-09-10 | 深圳市微付充科技有限公司 | 第三方账户绑定及登录方法、服务器、终端及装置 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112149108A (zh) * | 2020-09-15 | 2020-12-29 | 京东数字科技控股股份有限公司 | 访问控制方法、装置、电子设备及存储介质 |
CN112311768A (zh) * | 2020-09-29 | 2021-02-02 | 新华三信息安全技术有限公司 | 非http协议应用的策略中心、控制***、方法、介质及设备 |
CN112311768B (zh) * | 2020-09-29 | 2022-06-28 | 新华三信息安全技术有限公司 | 非http协议应用的策略中心、控制***、方法、介质及设备 |
CN112543180A (zh) * | 2020-11-03 | 2021-03-23 | 福建福诺移动通信技术有限公司 | 基于Token实现多认证鉴权中心单点登陆的***及方法 |
CN112543180B (zh) * | 2020-11-03 | 2023-03-24 | 福建福诺移动通信技术有限公司 | 基于Token实现多认证鉴权中心单点登陆的***及方法 |
CN112637167A (zh) * | 2020-12-15 | 2021-04-09 | 平安资产管理有限责任公司 | ***登录方法、装置、计算机设备和存储介质 |
CN113660204A (zh) * | 2021-07-09 | 2021-11-16 | 北京航天云路有限公司 | 一种实现统一集成绑定服务的方法 |
CN113660204B (zh) * | 2021-07-09 | 2024-01-23 | 北京航天云路有限公司 | 一种实现统一集成绑定服务的方法 |
CN115102724A (zh) * | 2022-06-06 | 2022-09-23 | 珠海格力电器股份有限公司 | 一种双Token跨端跳转***的登录方法、*** |
CN115102724B (zh) * | 2022-06-06 | 2023-12-08 | 珠海格力电器股份有限公司 | 一种双Token跨端跳转***的登录方法、*** |
Also Published As
Publication number | Publication date |
---|---|
CN110535884B (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110535884A (zh) | 跨企业***间访问控制的方法、装置及存储介质 | |
CN110036613B (zh) | 提供用于去中心化应用的身份认证的***和方法 | |
CN107359996B (zh) | 多网站间的自动登录方法及装置 | |
CN108259438B (zh) | 一种基于区块链技术的认证的方法和装置 | |
US9087183B2 (en) | Method and system of securing accounts | |
CN105164633B (zh) | 由可信提供商进行的配置和验证 | |
CN110677376B (zh) | 认证方法、相关设备和***及计算机可读存储介质 | |
US8275985B1 (en) | Infrastructure to secure federated web services | |
USRE47533E1 (en) | Method and system of securing accounts | |
CN105959267A (zh) | 单点登录技术中的主令牌获取方法、单点登录方法及*** | |
CN107124431A (zh) | 鉴权方法、装置、计算机可读存储介质和鉴权*** | |
CN106462674A (zh) | 使用验证令牌的资源访问控制 | |
WO2014048749A1 (en) | Inter-domain single sign-on | |
KR102011763B1 (ko) | 보안 터널 기반 인증 방법 및 장치 | |
CN105897663A (zh) | 一种确定访问权限的方法、装置及设备 | |
CN110661779B (zh) | 基于区块链网络的电子证件管理方法、***、设备及介质 | |
CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
BR112018010287B1 (pt) | Método para autenticação de um usuário para uma dada operação,função, ação e/ou processo a ser assegurado, dispositivo para a autenticação de um usuário para uma dada operação, função, ação e/ou processo a ser assegurado,servidor para a autenticação de um usuário para uma dada operação, função, ação e/ou processo a ser assegurado, e sistema, para autenticação de um usuário para uma dada operação, função, ação e/ou processo a ser assegurado | |
KR20160018554A (ko) | 신뢰 및 비신뢰 플랫폼에 걸쳐 인터넷 액세스가능 애플리케이션 상태를 로밍하는 기법 | |
CN111342964B (zh) | 单点登录方法、装置及*** | |
CN112738021A (zh) | 单点登录方法、终端、应用服务器、认证服务器及介质 | |
CN114385995B (zh) | 一种基于Handle的标识解析微服务接入工业互联网的方法及标识服务*** | |
US20150066766A1 (en) | Secure Generation of a User Account in a Service Server | |
CN114297609A (zh) | 单点登录方法、装置、电子设备及计算机可读存储介质 | |
Otterbein et al. | The German eID as an authentication token on android devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |