CN115001732A - 一种企业内部***单点登录***及方法 - Google Patents

Abstract

本发明涉及一种企业内部***单点登录***及方法，其中单点登录***包括：公共接口；域账户信息获取模块，与公共接口相连，用于根据公共接口接收到的请求获取域账户信息；用户信息查询模块，与域账户信息获取模块相连，用于根据域账户信息查询用户信息；加密模块，与用户信息查询模块相连，用于将用户信息加密生成认证标志，并将认证标志通过公共接口返回用户；用户通过认证标志登录企业内部***。与现有技术相比，本发明具有方便快捷、安全性高、通用性强等优点。

Description

一种企业内部***单点登录***及方法

技术领域

本发明涉及安全管理技术领域，尤其是涉及一种企业内部***单点登录***及方法。

背景技术

现阶段，大部分公司的内部智能办公***(OA)是公司唯一的门户网站，也是全体员工的主要办公平台，它涉及工时登记、人员信息管理、员工考勤、财务报销、资源管理、外援管理、员工自助、流程中心等多个模块。它需要为业务部门、全体员工提供标准化、公共化、线上化的办公自动化流程。

但目前大部分子***都各自有自己的数据库存储人员信息，而这些子***的人员信息输入来源却都是为OA的办公门户***，通过数据库脚本和批量作业每天同步信息，每一个***都有自己的登录方式，没有实现单点登录。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种方便快捷、安全性高、通用性强的企业内部***单点登录***及方法。

本发明的目的可以通过以下技术方案来实现：

一种企业内部***单点登录***，所述的单点登录***包括：

公共接口；

域账户信息获取模块，与公共接口相连，用于根据公共接口接收到的请求获取域账户信息；

用户信息查询模块，与域账户信息获取模块相连，用于根据域账户信息查询用户信息；

加密模块，与用户信息查询模块相连，用于将用户信息加密生成认证标志，并将认证标志通过公共接口返回用户；

用户通过认证标志登录企业内部***。

优选地，所述的公共接口为http接口。

优选地，所述的认证标志采用json格式数据返回用户，json格式数据包括域账号ADAccount、用户信息加密密文Content和状态码StatusCode。

更加优选地，所述的用户信息加密密文包括账号ADAccount、姓名Name、部门名称DeptName、签发者Iss、面向用户Sub、接收方Aud、过期时间Exp、该时间之前不可用Nbf、签发时间Iat和唯一身份标识Jti。

优选地，所述的加密模块采用JWT机制对用户信息进行加密；所述的企业内部***中各个***分别与单点登录***之间设有一对密钥对，单点登录***采用一个密钥进行加密，企业内部***采用另一密钥进行解密。

优选地，所述的单点登录***基于.net平台编写，使用IIS进行部署。

一种用于上述企业内部***单点登录***的企业内部***单点登录方法，所述的单点登录方法包括：

步骤1：获取用户请求；

步骤2：根据请求获取域账户信息；

步骤3：根据域账户信息在公司内部智能办公***OA的用户中心子***中查询用户信息；

步骤4：对用户信息进行加密，生成统一的认证标志token；

步骤5：将认证标志token返回用户；

步骤6：用户使用认证标志token登录企业内部***。

优选地，所述的步骤3中的用户信息包括账号ADAccount、姓名Name、部门名称DeptName、签发者Iss、面向用户Sub、接收方Aud、过期时间Exp、该时间之前不可用Nbf、签发时间Iat和唯一身份标识Jti；

所述的认证标志token采用json格式数据返回用户，json格式数据包括域账号ADAccount、用户信息加密密文Content和状态码StatusCode。

优选地，所述的步骤4采用JWT机制对用户信息进行加密。

优选地，所述的步骤6具体为：

首先，用户调用公共接口，上送待登录的***标识；

其次，用户获取单点登录***返回的状态码Status，若状态码标识认证通过，则待登录的***对认证标志token进行识别、提取和解析；

若登录成功，则将验证通过标志ticket返回用户，用户在预设的过期时间内通过ticket登录企业内部各***。

与现有技术相比，本发明具有以下有益效果：

一、方便快捷：本发明中的企业内部单点登录***及方法中，用户在有效时限内仅需要访问一次单点登录***即可登录企业内部各***，无需再单独输入各个***的账号密码，更加方便快捷。

二、安全性高：本发明中的企业内部单点登录***及方法在每一个子***与单点登录***之间分别设置一对密钥对，单点登录***使用其中一个密钥对用户信息进行加密，各个子***采用另外一个密钥对用户信息进行解密，安全性较高。

三、通用性强：本发明中的企业内部单点登录***及方法基于基于.net平台编写，部署在IIS服务器上，企业内部的.net应用***、java开发的应用***均能够使用这统一的认证机制实现单点登录。

附图说明

图1为本发明中单点登录***的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

一种企业内部***单点登录***，其结构如图1所示，包括：

公共接口，本实施例采用http接口；

域账户信息获取模块，与公共接口相连，用于根据公共接口接收到的请求获取域账户信息；

用户信息查询模块，与域账户信息获取模块相连，用于根据域账户信息查询用户信息；

加密模块，与用户信息查询模块相连，用于将用户信息加密生成认证标志，并将认证标志通过公共接口返回用户；

用户通过认证标志登录企业内部***。

认证标志采用json格式数据返回用户，json格式数据包括：

(1)域账号ADAccount：公司内每一个员工唯一身份标识；

(2)Content：用户信息加密密文；

(3)状态码StatusCode，其中ErrCode＝-1表示未知，Unknown＝0表示默认，NoUser＝1表示用户不存在，Success＝200表示用户存在。

用户信息加密密文包括账号ADAccount、姓名Name、部门名称DeptName、签发者Iss、面向用户Sub、接收方Aud、过期时间Exp、该时间之前不可用Nbf、签发时间Iat和唯一身份标识Jti。

加密模块采用JWT机制对用户信息进行加密，企业内部***中各个***分别与单点登录***之间设有一对密钥对，单点登录***采用一个密钥进行加密，企业内部***采用另一密钥进行解密。本实施例采用HMACSHA256加密算法对用户信息进行加密。

本实施例中的单点登录***基于.net平台编写，使用IIS进行部署，企业内部的.net应用***、java开发的应用***均能够使用这统一的认证机制实现单点登录。

本实施例还涉及一种单点登录方法，包括：

步骤1：获取用户请求；

步骤2：根据请求获取域账户信息；

步骤3：根据域账户信息在公司内部智能办公***OA的用户中心子***中查询用户信息；

步骤4：对用户信息进行加密，生成统一的认证标志token；

步骤5：将认证标志token返回用户；

步骤6：用户使用认证标志token登录企业内部***。

步骤6具体为：

首先，用户调用公共接口，上送待登录的***标识；

比如http://localhost:8090/？appcode＝HRSYSTEM中的appcode就是***标识参数。OA的每一个子***都具有自己独一无二的标识，并且每一个子***与中间站点之间有一对密钥对，站点存储子***的私钥，子***存储公钥。中间站点使用***的私钥对用户的信息进行加密，子***使用公钥识别和提取token信息，对token进行解密获取登陆的域用户信息。

其次，用户获取单点登录***返回的状态码Status，若状态码标识认证通过，则待登录的***对认证标志token进行识别、提取和解析；

若登录成功，则将验证通过标志ticket返回用户，用户在预设的过期时间内通过ticket登录企业内部各***。

下面提供一种用户获取token后登录子***的应用例：

用户登录***1：用户服务器进行访问前验证→调用单点登录***的公共接口，上送待登录***的***标识→用户获取状态码返回值，返回值状态为200通过，否则，登录失败→若状态值为200，则***1识别、提取、解析token→***1验证token通过后向用户发送验证通过标识ticket。

用户登录***2：用户服务器进行访问前验证→向***2发送ticket直接登录。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种企业内部***单点登录***，其特征在于，所述的单点登录***包括：

公共接口；

域账户信息获取模块，与公共接口相连，用于根据公共接口接收到的请求获取域账户信息；

用户信息查询模块，与域账户信息获取模块相连，用于根据域账户信息查询用户信息；

加密模块，与用户信息查询模块相连，用于将用户信息加密生成认证标志，并将认证标志通过公共接口返回用户；

用户通过认证标志登录企业内部***。

2.根据权利要求1所述的一种企业内部***单点登录***，其特征在于，所述的公共接口为http接口。

3.根据权利要求1所述的一种企业内部***单点登录***，其特征在于，所述的认证标志采用json格式数据返回用户，json格式数据包括域账号ADAccount、用户信息加密密文Content和状态码StatusCode。

4.根据权利要求3所述的一种企业内部***单点登录***，其特征在于，所述的用户信息加密密文包括账号ADAccount、姓名Name、部门名称DeptName、签发者Iss、面向用户Sub、接收方Aud、过期时间Exp、该时间之前不可用Nbf、签发时间Iat和唯一身份标识Jti。

5.根据权利要求1所述的一种企业内部***单点登录***，其特征在于，所述的加密模块采用JWT机制对用户信息进行加密；所述的企业内部***中各个***分别与单点登录***之间设有一对密钥对，单点登录***采用一个密钥进行加密，企业内部***采用另一密钥进行解密。

6.根据权利要求1所述的一种企业内部***单点登录***，其特征在于，所述的单点登录***基于.net平台编写，使用IIS进行部署。

7.一种用于如权利要求1所述企业内部***单点登录***的企业内部***单点登录方法，其特征在于，所述的单点登录方法包括：

步骤1：获取用户请求；

步骤2：根据请求获取域账户信息；

步骤3：根据域账户信息在公司内部智能办公***OA的用户中心子***中查询用户信息；

步骤4：对用户信息进行加密，生成统一的认证标志token；

步骤5：将认证标志token返回用户；

步骤6：用户使用认证标志token登录企业内部***。

8.根据权利要求7所述的一种企业内部***单点登录方法，其特征在于，所述的步骤3中的用户信息包括账号ADAccount、姓名Name、部门名称DeptName、签发者Iss、面向用户Sub、接收方Aud、过期时间Exp、该时间之前不可用Nbf、签发时间Iat和唯一身份标识Jti；

所述的认证标志token采用json格式数据返回用户，json格式数据包括域账号ADAccount、用户信息加密密文Content和状态码StatusCode。

9.根据权利要求7所述的一种企业内部***单点登录方法，其特征在于，所述的步骤4采用JWT机制对用户信息进行加密。

10.根据权利要求7所述的一种企业内部***单点登录方法，其特征在于，所述的步骤6具体为：

首先，用户调用公共接口，上送待登录的***标识；

其次，用户获取单点登录***返回的状态码Status，若状态码标识认证通过，则待登录的***对认证标志token进行识别、提取和解析；

若登录成功，则将验证通过标志ticket返回用户，用户在预设的过期时间内通过ticket登录企业内部各***。

Images