CN112543180B - 基于Token实现多认证鉴权中心单点登陆的***及方法 - Google Patents
基于Token实现多认证鉴权中心单点登陆的***及方法 Download PDFInfo
- Publication number
- CN112543180B CN112543180B CN202011206810.4A CN202011206810A CN112543180B CN 112543180 B CN112543180 B CN 112543180B CN 202011206810 A CN202011206810 A CN 202011206810A CN 112543180 B CN112543180 B CN 112543180B
- Authority
- CN
- China
- Prior art keywords
- service system
- token
- authentication
- sensitive data
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出一种基于Token实现多认证鉴权中心单点登陆的***及方法,包括:互相调用的多个业务***构成的业务***群、与每个业务***对应的多个统一认证节点和连接业务***群的多认证鉴权中心。其实现了:不同认证鉴权中心的业务***相互调用,采用Token代替直接传递敏感数据;业务流程跨多个认证中心,只需一次登陆授权。
Description
技术领域
本发明涉及应用软件***开发领域,关注基于Token实现多认证鉴权中心单点登陆实现方式,尤其涉及一种基于Token实现多认证鉴权中心单点登陆的方法。
背景技术
随着分布式和微服务技术架构的成熟和推广,统一认证鉴权中心成为各应用集群的标配,当一个业务流程需要跨多个应用集群实现,多个应用集群又隶属于不同统一认证鉴权中心时。由于不同的统一认证鉴权中心的Token不能通用,导致业务流程在不同统一认证鉴权中心跳转便成为一个技术难题。
当前使用的技术方案有:
1、直接信息传递,在跳转到依赖其他统一认证鉴权中心的应用集群时将应用需要的业务敏感信息直接在应用间传递。
2、二次授权登陆,在跳转到依赖其他统一认证鉴权中心的应用集群时进行再次授权登陆。
现有技术方案存在以下不足:
1.信息安全问题,直接在应用间传递敏感信息,存在数据外泄风险。
2.用户体验差,重新登陆授权打断了原本的业务流程用户体验差。
发明内容
为了解决现有技术存在的缺陷和不足的问题,本发明提出一种基于Token实现多认证鉴权中心单点登陆的***及方法。其要旨在于:1、不同认证鉴权中心的业务***相互调用,采用Token代替直接传递敏感数据;2、业务流程跨多个认证中心,只需一次登陆授权。
本发明具体包括以下内容:
一种基于Token实现多认证鉴权中心单点登陆的***,其特征在于,包括:互相调用的多个业务***构成的业务***群、与每个业务***对应的多个统一认证节点和连接业务***群的多认证鉴权中心;
所述统一认证节点用于向首次登陆所述业务***群中的任一业务***的用户发放令牌;
所述多认证鉴权中心用于用户在所述业务***群中切换登陆***的过程中根据令牌进行鉴权和存储前一业务***的敏感数据,并发放用于登陆后一业务***的新的令牌;
所述令牌用于在业务***中获取敏感数据和/或向多认证鉴权中心调取之前访问过的业务***获取的敏感数据,并用于切换登陆***时的鉴权。
优选地,当用户从所述业务***群中的任一业务***登陆时,向该业务***对应的统一认证节点请求获得第一令牌;所述第一令牌用于取得该业务***内的第一敏感数据。
优选地,当用户离开第一业务***准备访问业务***群中的第二业务***时,所述第一令牌和第一敏感数据提交至多认证鉴权中心,所述多认证鉴权中心经过认证,存储第一敏感数据并向用户发放用于访问第二业务***的第二令牌;
当用户进入第二业务***后,所述第二令牌用于取得第二业务***内的第二敏感数据和存储于多认证鉴权中心上的第一敏感数据,以及准备访问第三业务***的鉴权。
优选地,当用户离开第N业务***准备访问业务***群中的第N+1业务***时,第N令牌和第N敏感数据提交至多认证鉴权中心,所述多认证鉴权中心经过认证,存储第一敏感数据并向用户发放用于访问第N+1业务***的第N+1令牌;
当用户进入第N+1业务***后,所述第N+1令牌用于取得第N+1业务***内的第N+1敏感数据和存储于多认证鉴权中心上的第一至第N敏感数据,以及准备访问第N+2业务***的鉴权。
优选地,当用户完成操作从第M业务***登出时,存储于所述多认证鉴权中心上的第一至第M敏感数据被删除。
本发明及其优选方案相比于现有技术,具备以下优势:
1.不同统一认证鉴权跳转时,使用Token请求外部业务,不直接传递敏感数据。
2.业务流程跨认证鉴权中心,不需要重新登陆授权。
附图说明
下面结合附图和具体实施方式对本发明进一步详细的说明:
图1为本发明实施例***框架及工作流程示意图。
具体实施方式
为让本专利的特征和优点能更明显易懂,下文特举实施例,并配合附图,作详细说明如下:
如图1所示,基于本发明提供的基于Token实现多认证鉴权中心单点登陆的***及方法的总体方案,本实施例构建的的基于Token实现多认证鉴权中心单点登陆的***模型包括:
互相调用的3个业务***构成的业务***群:A业务***、B业务***和D业务***;
与每个业务***对应的3个统一认证节点:统一认证A、统一认证B和统一认证D;
和连接业务***群的多认证鉴权中心C;
在本实施例中,默认用户都是从A业务***登陆,因此
统一认证A用于向首次登陆业务***群的用户发放令牌Token-A;
多认证鉴权中心C用于用户在业务***群中切换登陆***的过程中根据令牌进行鉴权和存储前一业务***的敏感数据,并发放用于登陆后一业务***的新的令牌;
令牌用于在业务***中获取敏感数据和/或向多认证鉴权中心调取之前访问过的业务***获取的敏感数据,并用于切换登陆***时的鉴权。
具体地,多认证鉴权中心单点登陆技术实现流程细节详述如下:
(1)需要互相调用的A业务***、B业务***、C业务***向多认证鉴权中心C申请注册获取自有的appKey;用户登陆A业务***,向统一认证A请求令牌Token-A, 用Token-A从统一认证A取得敏感数据。
(2)A业务***为完成业务流程需要访问B业务***,B业务***基于统一认证B,应用A先把敏感数据和自有appKey提交给多认证鉴权中心C,C通过对A的认证,存储A提交的敏感数据并返回Token-C1。
(3)A业务***用获取的Token-C1请求B业务***。
(4)B业务***用获取的Token-C1和自有appKey从多认证鉴权中心C获取敏感数据,继续业务办理。B业务***为完成业务流程需要继续访问C业务***,C业务***基于统一认证C, 应用B先把敏感数据和自有appKey提交给多认证鉴权中心C,C通过对B的认证,存储B提交的敏感数据并返回Token-C2。
(5)B业务***用获取的Token-C2请求D业务***。
(6)D业务***用获取的Token-C2和自有appKey从多认证鉴权中心C获取敏感数据,继续业务流程,直至完成业务流程。
为了避免长期使用的数据冗余,当用户完成操作从D业务***登出时,存储于多认证鉴权中心上的本次流程对应的敏感数据被删除。
本专利不局限于上述最佳实施方式,任何人在本专利的启示下都可以得出其它各种形式的基于Token实现多认证鉴权中心单点登陆的***及方法,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本专利的涵盖范围。
Claims (1)
1.一种基于Token实现多认证鉴权中心单点登陆的***,其特征在于,包括:互相调用的多个业务***构成的业务***群、与每个业务***对应的多个统一认证节点和连接业务***群的多认证鉴权中心;
所述统一认证节点用于向首次登陆所述业务***群中的任一业务***的用户发放令牌;
所述多认证鉴权中心用于用户在所述业务***群中切换登陆***的过程中根据令牌进行鉴权和存储前一业务***的敏感数据,并发放用于登陆后一业务***的新的令牌;
所述令牌用于在业务***中获取敏感数据和/或向多认证鉴权中心调取之前访问过的业务***获取的敏感数据,并用于切换登陆***时的鉴权;
当用户从所述业务***群中的任一业务***登陆时,向该业务***对应的统一认证节点请求获得第一令牌;所述第一令牌用于取得该业务***内的第一敏感数据;
当用户离开第一业务***准备访问业务***群中的第二业务***时,所述第一令牌和第一敏感数据提交至多认证鉴权中心,所述多认证鉴权中心经过认证,存储第一敏感数据并向用户发放用于访问第二业务***的第二令牌;
当用户进入第二业务***后,所述第二令牌用于取得第二业务***内的第二敏感数据和存储于多认证鉴权中心上的第一敏感数据,以及准备访问第三业务***的鉴权;
当用户离开第N业务***准备访问业务***群中的第N+1业务***时,第N令牌和第N敏感数据提交至多认证鉴权中心,所述多认证鉴权中心经过认证,存储第一敏感数据并向用户发放用于访问第N+1业务***的第N+1令牌;
当用户进入第N+1业务***后,所述第N+1令牌用于取得第N+1业务***内的第N+1敏感数据和存储于多认证鉴权中心上的第一至第N敏感数据,以及准备访问第N+2业务***的鉴权;
当用户完成操作从第M业务***登出时,存储于所述多认证鉴权中心上的第一至第M敏感数据被删除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011206810.4A CN112543180B (zh) | 2020-11-03 | 2020-11-03 | 基于Token实现多认证鉴权中心单点登陆的***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011206810.4A CN112543180B (zh) | 2020-11-03 | 2020-11-03 | 基于Token实现多认证鉴权中心单点登陆的***及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112543180A CN112543180A (zh) | 2021-03-23 |
CN112543180B true CN112543180B (zh) | 2023-03-24 |
Family
ID=75014973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011206810.4A Active CN112543180B (zh) | 2020-11-03 | 2020-11-03 | 基于Token实现多认证鉴权中心单点登陆的***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112543180B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113411349B (zh) * | 2021-07-22 | 2022-09-02 | 用友汽车信息科技(上海)股份有限公司 | 鉴权认证方法、鉴权认证***、计算机设备和存储介质 |
CN114385995B (zh) * | 2022-01-06 | 2024-05-17 | 徐工汉云技术股份有限公司 | 一种基于Handle的标识解析微服务接入工业互联网的方法及标识服务*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605030A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的基于Active Directory的统一认证实现方法 |
CN101605031A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的跨域单点登陆*** |
CN104378376A (zh) * | 2014-11-18 | 2015-02-25 | 深圳中兴网信科技有限公司 | 基于soa的单点登录方法、认证服务器和浏览器 |
CN110535884A (zh) * | 2019-09-26 | 2019-12-03 | 招商局金融科技有限公司 | 跨企业***间访问控制的方法、装置及存储介质 |
-
2020
- 2020-11-03 CN CN202011206810.4A patent/CN112543180B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605030A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的基于Active Directory的统一认证实现方法 |
CN101605031A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的跨域单点登陆*** |
CN104378376A (zh) * | 2014-11-18 | 2015-02-25 | 深圳中兴网信科技有限公司 | 基于soa的单点登录方法、认证服务器和浏览器 |
CN110535884A (zh) * | 2019-09-26 | 2019-12-03 | 招商局金融科技有限公司 | 跨企业***间访问控制的方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112543180A (zh) | 2021-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11848936B2 (en) | Method, apparatus, and computer program product for selectively granting permissions to group-based objects in a group-based communication system | |
US11153296B2 (en) | Privacy-aware ID gateway | |
CN112166588B (zh) | 多租户身份云服务的租户复制自举 | |
US11843611B2 (en) | Framework for multi-level and multi-factor inline enrollment | |
CN112154639B (zh) | 在没有用户足迹的情况下的多因素认证 | |
CN105765944B (zh) | 第三方批处理授权重复访问资源的请求的方法及*** | |
US8935757B2 (en) | OAuth framework | |
US20220232003A1 (en) | Limiting scopes in token-based authorization systems | |
US20060294103A1 (en) | Security and authorization in management agents | |
CN108289101B (zh) | 信息处理方法及装置 | |
CN110944046B (zh) | 一种共识机制的控制方法及相关设备 | |
CN112543180B (zh) | 基于Token实现多认证鉴权中心单点登陆的***及方法 | |
CN103716326A (zh) | 一种资源访问方法及用户资源网关 | |
US9769159B2 (en) | Cookie optimization | |
CN113271311B (zh) | 一种跨链网络中的数字身份管理方法及*** | |
CN110247917B (zh) | 用于认证身份的方法和装置 | |
CN112434818A (zh) | 模型构建方法、装置、介质及电子设备 | |
US20220358233A1 (en) | Framework for pushing access-privilege information from data environments | |
US20200007541A1 (en) | Registration of the same domain with different cloud services networks | |
CN110691089B (zh) | 一种应用于云服务的认证方法、计算机设备及存储介质 | |
US11093309B1 (en) | Communication hub for information technology (IT) services | |
CN114641767A (zh) | 在经管理的多租户服务中管理用户身份 | |
US20100222022A1 (en) | Communication method, communication system and access method to service provider base | |
CN115660872A (zh) | 一种保险信息处理方法和装置 | |
JP2016128966A (ja) | サービス連携システム、サービス連携装置、端末装置、サービス連携方法及びサービス連携プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |