CN111586054A - 一种基于互联网架构的单点登录实现方法 - Google Patents
一种基于互联网架构的单点登录实现方法 Download PDFInfo
- Publication number
- CN111586054A CN111586054A CN202010384868.1A CN202010384868A CN111586054A CN 111586054 A CN111586054 A CN 111586054A CN 202010384868 A CN202010384868 A CN 202010384868A CN 111586054 A CN111586054 A CN 111586054A
- Authority
- CN
- China
- Prior art keywords
- subsystem
- platform
- account
- user
- single sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及全民健康信息平台子***集成领域,具体提供了一种基于互联网架构的单点登录实现方法。该方法采用平台账号和各个子***的账号映射的方式实现平台用户权限体系和子***的用户权限体系的对应,采用redis记录平台分配给各个子***的票据、cookies和登出接口,采用kafka将平台的新增账号信息通知给各个子***,采用Nginx作为反向代理实现负载均衡。与现有技术相比,本发明一方面减少各个子***的开发成本,另一方面减少各个子***维护人员维护用户权限的工作量,具有良好的推广价值。
Description
技术领域
本发明涉及全民健康信息平台子***集成领域,具体提供一种基于互联网架构的单点登录实现方法。
背景技术
全民健康信息平台包含公共卫生、计划生育、医疗服务、医疗保障、药品管理和综合管理等六大业务应用,分为国家、省、地市、县四级平台,以四级平台作为六大业务应用纵横连接的枢纽,以居民健康卡为群众享受卫生计生服务的介质,为各级各类卫生机构提供实现业务应用互联互通、信息共享和有效协同的平台。
全民健康信息平台从覆盖范围上来说,横向要联通同级卫生健康相关信息平台,纵向要联通上下级全民健康信息平台;从功能上来说,要集成各种不同功能的子***。通常,各级信息平台以及各个子***都有独立的登录模块、用户和权限体系,这就意味着从全民健康信息平台进入各级信息平台以及各个子***还需要逐一登录,这对于使用者来说很不方便。
要实现单点登录,首先要对接各子***的用户权限体系,常见的处理方式有如下两种:
1、建立一个权限***,集中管理各个子***的用户权限体系,即各个子***的用户认证和鉴权都要通过权限***,这使得各个子***的用户认证和鉴权模块都近乎重新开发,这种方案不仅改造代价高难以推动,还使得各个子***都依赖权限***和权限***高度耦合。
2、同步各个子***的用户信息,即平台和各个子***的用户信息保持一致,这意味着大多数***已经存在的用户和授权信息都失败,并且需要重新分配账号和授权,大大增加了维护人员的工作量。
发明内容
本发明是针对上述现有技术的不足,提供一种实用性强的基于互联网架构的单点登录实现方法。
本发明解决其技术问题所采用的技术方案是:
一种基于互联网架构的单点登陆实现方法,该方法采用平台账号和各个子***的账号映射的方式实现平台用户权限体系和子***的用户权限体系的对应,采用redis记录平台分配给各个子***的票据、cookies和登出接口,采用kafka将平台的新增账号信息通知给各个子***,采用Nginx作为反向代理实现负载均衡。
进一步的,实现上述方法,分为以下步骤:
(1)用户权限分配;
(2)账号映射;
(3)单点登陆;
(4)单点登出;
(5)部署。
进一步的,在步骤(1)中,由平台负责分配用户使用子***的权利,各子***负责分配用户使用其功能的权利。
进一步的,在步骤(2)中,当子***已有对应账号,但平台没有账号时,用户从平台进入子***,用户输入子***的账号和密码验证通过后,需要在平台建立平台账号和子***账号的映射关系;
当平台已有对应账号,但子***没有账号时,则将平台账号信息写入kafka,子***从kafka中读取账号信息,并在子***中建立对应的账号,调用平台接口建立映射关系。
进一步的,在步骤(2)中,平台若有新增账号时,管理员将新增的账号信息写入kafka中,子***从kafka读取账号信息,并在子***建立对应账号,调用平台接口建立映射关系;
若子***有新增账号,则输入子***的账号和密码验证通过后,在平台建立平台账号和子***账号的映射关系即可。
进一步的,在步骤(3)中,登陆平台的用户进入子***时,会带着子***的ID,子***收到请求,会重定向到平台,平台验证用户是否登陆并判断登陆用户是否有访问所述子***的权限;
若无,则显示错误;
若有,平台生成ticket,并将sessionID、***ID和ticket存入redis;
然后,再附加上ticket重新访问子***,子***收到请求,会带着自有的cookies和登出地址重定向到平台,平台验证ticket是否有效、登陆用户的session是否已过期,
若都有效,则将子***的cookies和登出地址写入redis中,查找出平台登录用户对应的子***的用户,重新访问子***,经过此***验证,子***获取到登录账号,即可自行登录本***。
进一步的,在步骤(4)中,若从平台登出,则平台从redis中查询出当前登录的子***以及登出接口,异步调用,继而从平台登出;
若从子***登出,则子***请求平台的登出接口,平台登出接口从redis中查询出当前登录的子***以及登出接口,异步调用,继而从平台登出。
进一步的,在步骤(5)中,进入各个子***时,都要到平台的认证中心进行认证,所述认证中心采用分布式部署,并使用Nginx作为反向代理实现负载均衡。
本发明的一种基于互联网架构的单点登录实现方法和现有技术相比,具有以下突出的有益效果:
本发明使得各子***可以维持各自的用户权限体系,只和平台做几个调用接口便可以实现从平台单点登陆至各子***的功能。只需在平台登录一次,即可免登录进入集成的各***;只需在任一集成***或者平台登出,即可实现在平台和所有集成***的登出。一方面减少各个子***的开发成本,另一方面减少各个子***维护人员维护用户权限的工作量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
附图1是一种基于互联网架构的单点登录实现方法的登陆流程图;
附图2是一种基于互联网架构的单点登录实现方法的平台登出图;
附图3是一种基于互联网架构的单点登录实现方法的子***登出图。
具体实施方式
为了使本技术领域的人员更好的理解本发明的方案,下面结合具体的实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例都属于本发明保护的范围。
下面给出一个最佳实施例:
如图1-3所示,本实施例中的基于互联网架构的单点登录实现方法,该方法主要采用平台账号和各个子***的账号映射的方式实现平台用户权限体系和子***的用户权限体系的对应,采用redis记录平台分配给各个子***的票据、cookies和登出接口,采用kafka将平台的新增账号信息通知给各个子***,采用Nginx作为反向代理实现负载均衡。
实现上述方法时,具体的实现如下:
(1)用户权限分配:平台负责分配用户有使用哪些子***的权利;各子***负责分配用户有使用子***哪些功能的权利。
(2)账号映射:当子***已有对应账号,但平台没有账号时,用户从平台进入子***,用户输入子***的账号和密码验证通过后,需要在平台建立平台账号和子***账号的映射关系;
当平台已有对应账号,但子***没有账号时,则将平台账号信息写入kafka,子***从kafka中读取账号信息,并在子***中建立对应的账号,调用平台接口建立映射关系。
平台若有新增账号时,管理员将新增的账号信息写入kafka中,子***从kafka读取账号信息,并在子***建立对应账号,调用平台接口建立映射关系;
若子***有新增账号,则输入子***的账号和密码验证通过后,在平台建立平台账号和子***账号的映射关系即可。
(3)单点登陆:登陆平台的用户进入子***时,会带着子***的ID,子***收到请求,会重定向到平台,平台验证用户是否登陆并判断登陆用户是否有访问所述子***的权限;
若无,则显示错误;
若有,平台生成ticket,并将sessionID、***ID和ticket存入redis;
然后,再附加上ticket重新访问子***,子***收到请求,会带着自有的cookies和登出地址重定向到平台,平台验证ticket是否有效、登陆用户的session是否已过期,
若都有效,则将子***的cookies和登出地址写入redis中,查找出平台登录用户对应的子***的用户,重新访问子***,经过此***验证,子***获取到登录账号,即可自行登录本***。
(4)单点登出:若从平台登出,则平台从redis中查询出当前登录的子***以及登出接口,异步调用,继而从平台登出;
若从子***登出,则子***请求平台的登出接口,平台登出接口从redis中查询出当前登录的子***以及登出接口,异步调用,继而从平台登出。
(5)部署:进入各个子***时,都要到平台的认证中心进行认证,会使得认证中心负载比较大,故认证中心采用分布式部署,并使用Nginx作为反向代理实现负载均衡。
上述具体的实施方式仅是本发明具体的个案,本发明的专利保护范围包括但不限于上述具体的实施方式,任何符合本发明的基于互联网架构的单点登录实现方法权利要求书的且任何所述技术领域普通技术人员对其做出的适当变化或者替换,皆应落入本发明的专利保护范围。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (8)
1.一种基于互联网架构的单点登录实现方法,其特征在于,该方法采用平台账号和各个子***的账号映射的方式实现平台用户权限体系和子***的用户权限体系的对应,采用redis记录平台分配给各个子***的票据、cookies和登出接口,采用kafka将平台的新增账号信息通知给各个子***,采用Nginx作为反向代理实现负载均衡。
2.根据权利要求1所述的一种基于互联网架构的单点登录实现方法,其特征在于,实现上述方法,分为以下步骤:
(1)用户权限分配;
(2)账号映射;
(3)单点登录;
(4)单点登出;
(5)部署。
3.根据权利要求2所述的一种基于互联网架构的单点登录实现方法,其特征在于,在步骤(1)中,由平台负责分配用户使用子***的权利,各子***负责分配用户使用其功能的权利。
4.根据权利要求2所述的一种基于互联网架构的单点登录实现方法,其特征在于,在步骤(2)中,当子***已有对应账号,但平台没有账号时,用户从平台进入子***,用户输入子***的账号和密码验证通过后,需要在平台建立平台账号和子***账号的映射关系;
当平台已有对应账号,但子***没有账号时,则将平台账号信息写入kafka,子***从kafka中读取账号信息,并在子***中建立对应的账号,调用平台接口建立映射关系。
5.根据权利要求4所述的一种基于互联网架构的单点登录实现方法,其特征在于,在步骤(2)中,平台若有新增账号时,管理员将新增的账号信息写入kafka中,子***从kafka读取账号信息,并在子***建立对应账号,调用平台接口建立映射关系;
若子***有新增账号,则输入子***的账号和密码验证通过后,在平台建立平台账号和子***账号的映射关系即可。
6.根据权利要求2所述的一种基于互联网架构的单点登录实现方法,其特征在于,在步骤(3)中,登录平台的用户进入子***时,会带着子***的ID,子***收到请求,会重定向到平台,平台验证用户是否登录并判断登录用户是否有访问所述子***的权限;
若无,则显示错误;
若有,平台生成ticket,并将sessionID、***ID和ticket存入redis;
然后,再附加上ticket重新访问子***,子***收到请求,会带着自有的cookies和登出地址重定向到平台,平台验证ticket是否有效、登录用户的session是否已过期,
若都有效,则将子***的cookies和登出地址写入redis中,查找出平台登录用户对应的子***的用户,重新访问子***,经过此***验证,子***获取到登录账号,即可自行登录本***。
7.根据权利要求2所述的一种基于互联网架构的单点登录实现方法,其特征在于,在步骤(4)中,若从平台登出,则平台从redis中查询出当前登录的子***以及登出接口,异步调用,继而从平台登出;
若从子***登出,则子***请求平台的登出接口,平台登出接口从redis中查询出当前登录的子***以及登出接口,异步调用,继而从平台登出。
8.根据权利要求2所述的一种基于互联网架构的单点登录实现方法,其特征在于,在步骤(5)中,进入各个子***时,都要到平台的认证中心进行认证,所述认证中心采用分布式部署,并使用Nginx作为反向代理实现负载均衡。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010384868.1A CN111586054A (zh) | 2020-05-09 | 2020-05-09 | 一种基于互联网架构的单点登录实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010384868.1A CN111586054A (zh) | 2020-05-09 | 2020-05-09 | 一种基于互联网架构的单点登录实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111586054A true CN111586054A (zh) | 2020-08-25 |
Family
ID=72113474
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010384868.1A Pending CN111586054A (zh) | 2020-05-09 | 2020-05-09 | 一种基于互联网架构的单点登录实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111586054A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112288396A (zh) * | 2020-10-29 | 2021-01-29 | 上海淇玥信息技术有限公司 | 一种多***用户属性信息管理方法、装置和电子设备 |
CN112836197A (zh) * | 2021-01-12 | 2021-05-25 | 青海绿能数据有限公司 | 一种web***功能集成*** |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102655494A (zh) * | 2011-03-01 | 2012-09-05 | 广州从兴电子开发有限公司 | 一种基于saml的单点登录模式设计的认证平台 |
US9118657B1 (en) * | 2011-03-15 | 2015-08-25 | Avior, Inc. | Extending secure single sign on to legacy applications |
CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用***的单点登录方法及装置 |
CN106101054A (zh) * | 2016-04-29 | 2016-11-09 | 乐视控股(北京)有限公司 | 一种多***的单点登录方法和集中管控*** |
CN106936772A (zh) * | 2015-12-29 | 2017-07-07 | ***通信集团湖南有限公司 | 一种云平台资源的访问方法、装置及*** |
CN107172054A (zh) * | 2017-05-26 | 2017-09-15 | 努比亚技术有限公司 | 一种基于cas的权限认证方法、装置及*** |
CN109379363A (zh) * | 2018-10-25 | 2019-02-22 | 北京开普云信息科技有限公司 | 一种基于集约化治理平台的单点登录集成方法及*** |
CN110381031A (zh) * | 2019-06-21 | 2019-10-25 | 中国平安财产保险股份有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
CN110519296A (zh) * | 2019-09-17 | 2019-11-29 | 焦点科技股份有限公司 | 一种异构web***的单点登录与登出方法 |
CN110830512A (zh) * | 2019-12-10 | 2020-02-21 | 宝付网络科技(上海)有限公司 | 一种基于域帐户多平台统一认证*** |
CN111083136A (zh) * | 2019-12-12 | 2020-04-28 | 北京百分点信息科技有限公司 | 账号资源管理装置、方法及数据采集***、方法 |
-
2020
- 2020-05-09 CN CN202010384868.1A patent/CN111586054A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102655494A (zh) * | 2011-03-01 | 2012-09-05 | 广州从兴电子开发有限公司 | 一种基于saml的单点登录模式设计的认证平台 |
US9118657B1 (en) * | 2011-03-15 | 2015-08-25 | Avior, Inc. | Extending secure single sign on to legacy applications |
CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用***的单点登录方法及装置 |
CN106936772A (zh) * | 2015-12-29 | 2017-07-07 | ***通信集团湖南有限公司 | 一种云平台资源的访问方法、装置及*** |
CN106101054A (zh) * | 2016-04-29 | 2016-11-09 | 乐视控股(北京)有限公司 | 一种多***的单点登录方法和集中管控*** |
CN107172054A (zh) * | 2017-05-26 | 2017-09-15 | 努比亚技术有限公司 | 一种基于cas的权限认证方法、装置及*** |
CN109379363A (zh) * | 2018-10-25 | 2019-02-22 | 北京开普云信息科技有限公司 | 一种基于集约化治理平台的单点登录集成方法及*** |
CN110381031A (zh) * | 2019-06-21 | 2019-10-25 | 中国平安财产保险股份有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
CN110519296A (zh) * | 2019-09-17 | 2019-11-29 | 焦点科技股份有限公司 | 一种异构web***的单点登录与登出方法 |
CN110830512A (zh) * | 2019-12-10 | 2020-02-21 | 宝付网络科技(上海)有限公司 | 一种基于域帐户多平台统一认证*** |
CN111083136A (zh) * | 2019-12-12 | 2020-04-28 | 北京百分点信息科技有限公司 | 账号资源管理装置、方法及数据采集***、方法 |
Non-Patent Citations (4)
Title |
---|
姜海庆: "统一安全管理平台在网络管理中的应用", 《通信技术》 * |
徐骁麟等: "4A统一安全管理平台关键技术分析与评估", 《电信网技术》 * |
朱国萃: "电信企业网中账号口令集中管理体系研究", 《计算机安全》 * |
陆川: "《智慧城市"电子信息+"视角下的总体规划与实践》", 30 April 2018 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112288396A (zh) * | 2020-10-29 | 2021-01-29 | 上海淇玥信息技术有限公司 | 一种多***用户属性信息管理方法、装置和电子设备 |
CN112836197A (zh) * | 2021-01-12 | 2021-05-25 | 青海绿能数据有限公司 | 一种web***功能集成*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
US8234336B2 (en) | Virtual conference center architecture | |
CN104301418B (zh) | 一种基于saml的跨域单点登录***及登录方法 | |
CN100502307C (zh) | 一种集中用户安全管理方法及装置 | |
CN105429999B (zh) | 基于云平台的统一身份认证*** | |
CN104836803B (zh) | 基于session机制的单点登录方法 | |
CN106506620A (zh) | 一种云桌面智能终端管理*** | |
CN108111473A (zh) | 混合云统一管理方法、装置和*** | |
JPH09146844A (ja) | 機密保護方法 | |
CN101488857B (zh) | 认证服务虚拟化 | |
CN101309139B (zh) | 通行证认证*** | |
CN111586054A (zh) | 一种基于互联网架构的单点登录实现方法 | |
CN101707594A (zh) | 基于单点登录的网格认证信任模型 | |
CN106959854A (zh) | 云终端虚拟化*** | |
CN105516160B (zh) | 一种域管理对象映射装置及统一身份认证*** | |
US7657945B2 (en) | Systems and arrangements to adjust resource accessibility based upon usage modes | |
CN109413080B (zh) | 一种跨域动态权限控制方法及*** | |
CN108092983A (zh) | 统一内控安全管理方法和*** | |
CN111695108B (zh) | 一种异构计算环境中多源账号的用户统一账号标识*** | |
CN110830512A (zh) | 一种基于域帐户多平台统一认证*** | |
CN106686149A (zh) | 端到端的企业级动态虚拟桌面交付方法 | |
CN101908967B (zh) | Linux虚拟服务器配置方法和*** | |
CN101741556B (zh) | 一种接入互联网的方法和*** | |
CN110266722A (zh) | 一种多途径访问服务器的方法及*** | |
CN112804193B (zh) | 一种实现多平台业务互通的统一账号*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200825 |
|
RJ01 | Rejection of invention patent application after publication |