单点登录方法及装置、相关设备和应用的处理方法及装置制造方法及图纸

一种基于登录状态的单点登录方法及装置，包括：终端侧第三方应用接收用户应用请求，获取登录令牌，并经第三方应用服务器向存储有终端侧用户登录状态数据的资源服务器发送登录状态验证请求；登录令牌包含有终端侧用户登录状态数据，登录状态验证请求携带登录令牌和第三方应用标识信息；资源服务器接收并解析登录状态验证请求，判断登录状态验证请求中的数据信息与资源服务器存储的数据信息是否匹配；第三方应用服务器根据请求令牌向资源服务器申请访问权限，资源服务器验证请求令牌中的数据信息与资源服务器存储的数据信息是否匹配，向第三方应用服务器发送访问令牌；从而避免多次弹出登录框；本发明专利技术还提供相关设备和应用的处理方法及装置。

【技术实现步骤摘要】

本申请涉及计算机通信领域，具体涉及一种单点登录的方法及装置，相关设备和应用的处理方法及装置。
技术介绍
单点登录(Single Sign On)，简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统，也就是说，将登录映射到其他应用中用于同一个用户的登录的机制。在单点登录模式中通常存在以下三个要素：：Gatekeeper(入口检查单元)、Authenticator(身份认证单元)和Credential Store(用户凭证存储单元)，其中，Gatekeeper：对用户的请求进行验证和重定向；Authenticatior：对用户进行认证；Credential Srore:凭证库存放认证的凭证或票据；一个单点登录的过程通常包括以下四个阶段：用户向资源拥有者发起请求，请求经过Gatekeeper，Gatekeeper会验证用户是否已经建立与资源拥有者的会话，若没有则验证是否具备单点登录会话。当Gatekeeper发现未建立单点登录会话时，用户被重定向至认证者页面，提示用户输入账户信息，认证者对账户信息进行校验，若成功则为用户建立Login session。认证者对login session进行校验，验证成功后Gatekeeper建立Login session。认证者实现Token重定向实现认证者和Gatekeeper的通信。目前主流的SSO协议有OPENID、SAML(Security Assertion Markup Language)、CAS(Central Authentication Service)和Oauth(Open Authorization)等；下面就上述SAML和Oauth协议进行介绍：一、SAMLSAML是一种基于XML的安全描述语言，利用XML对认证和授权信息进行编码实现在异构安全系统间信息的交换和处理。互联网发展至今天，各种网络应用层出不穷，用户为了保护自己的个人信息，需要通过口令的方式作为个
人信息的安全保障，然而，若每个站点都需要各自的一套口龙，用户将有难以控制的大量口令。所以SSO单点登录理念开始流行，通过SSO，某个Web站点可以与其他站点共享用户身份信息，SAML就是这种通信协议。SAML实现用户通过认证提供方(IDP)授权获取认证，将IDP颁发的口令作为凭证去登入目标站点，目标站点可以通过口令确认用户的信息。SAML标准主要由声明和请求/响应协议两部分构成。声明是SAML的基本数据对象，是对主体(用户、计算机)的安全信息(身份、权限等)的XML描述形式。SAML声明能够传递三种信息：主体完成认证行为的信息、主体的属性信息以及关于主体是否允许访问特定资源的授权决议信息。因此，对应的SAML声明包括三种形式：认证声明、属性声明和授权决议声明。其中认证声明描述与认证成功事件相关的信息(如认证的机构、方式和有效期等)；授权决议声明描述许可权查询和检查的结果，决定是否接受主体对资源的访问请求；属性声明描述与主体的认证和授权决议相关的信息(如主体的标志、所属用户组、角色、可访问的资源及权限等)如图1所示，图1是SAML的工作流程图，其实现步骤如下：1)Subject向IDP请求凭证(方法是提交用户名、密码)；2)IDP通过验证Subject提供的信息，来确定是否提供凭证以及将服务请求同时提交给SP；3)假如Subject的验证信息正确，他将获取IDP的凭证以及将服务请求同时提交给SP；4)SP接受到Subject的凭证，它是提供服务之前必须验证此凭证，于是，它产生了一个SAML请求，要求IDP对凭证断言；5)凭证是IDP产生的，它当然知道凭证的内容，于是它回应一个SAML断言给SP；6)SP信任IDP的SAML断言，它会根据断言结果确定是否为Subject提供服务。二、Oauth协议Oauth是一种开放的协议，为桌面程序或者基于B/S的web应用提供了一种简单的，标准的方式去访问需要用户授权的API服务。Oauth认证协议具备简单、安全、开放的特点。Oauth认证协议包含三个带有认证信息的URL，分别是：a.User Authorization URL：授权Request Token访问地址；b.Request Token URL:未授权Request Token访问地址；c.Access Token URL：Access Token访问地址。如图2所示，图2为Oauth工作流程如下：1)用户点击第三方应用，第三方应用向认证服务器发起请求request_token。2)认证服务器创建token及密钥并发送给第三方应用。3)第三方应用将用户重定向。4)认证服务器向用户发起申请，请求授权。5)用户进行授权。6)认证服务器将用户重定向至第三方应用服务器。7)第三方应用服务器向认证服务器申请access_token。8)认证服务器创建Access_token并发放给第三方服务器。9)第三方服务器利用access_token申请认证服务器上的用户资源。上述的两种协议均存在各自的缺点，例如：通过Oauth协议进行登录，由于不存在多个第三方应用可以复用令牌机制，这就造成当更换第三方应用程序进行登录时需要再次弹出登录对话框，从而使得用户体验很不好，尤其在一些对操作简易型要求较高的应用场景中，若采用这种认证授权协议，可能会造成其他的对用户使用的影响；且在进行用户授权过程中，需要第三方应用服务器对用户登录请求进行重定向至认证服务器，授权完成后重定向用户操作至第三方应用，两次重定向会对用户的使用产生影响，且存在重定向过程中数据截获的可能性。而SAML协议，能够实现单次登录多次授权，但由于基于XML的设计，授权服务器中的授权模块仅可完成在开发阶段进行授权内容的更改，且SAML协议在作为单点登录限制使用时，其作用为通过断言对用户在认证服务器已经注册过的权限内容进行验证。在这种机制下，通过SAML协议无法实现用户对第三方应用的权限管理，用户体验不好。如何提供一种单点登录的方法，能够解决多应用授权重复申请及用户无法再次选择向第三方应用授权内容的不足，提高现有单点登录认证协议的破解难度并改善用户体验。
技术实现思路
本申请提供一种基于登录状态的单点登录方法及装置，终端侧发送登录请求的方法及装置，资源服务器授权认证方法及装置，第三方应用访问权限请求
方法及装置，以解决现有上述技术问题。本申请提供一种基于登录状态的单点登录方法，包括：终端侧第三方应用接收用户应用请求，获取登录令牌，并经由第三方应用服务器向存储有终端侧用户登录状态数据的资源服务器发送登录状态验证请求；所述登录令牌包含有终端侧用户登录状态数据，所述登录状态验证请求携带所述登录令牌和所述第三方应用标识信息；资源服务器接收并解析所述登录状态验证请求，并判断所述登录状态验证请求中的数据信息与所述资源服务器存储的数据信息是否匹配；若匹配，则向所述第三方应用服务器发送携带登录令牌和第三方应用标识信息的请求令牌；所述第三方应用服务器根据所述请求令牌向资源服务器申请访问权限，所述资源服务器验证所述请求令牌中的数据信息与所述资源服务器存储的数据信息是本文档来自技高网...

【技术保护点】
一种基于登录状态的单点登录方法，其特征在于，包括：终端侧第三方应用接收用户应用请求，获取登录令牌，并经由第三方应用服务器向存储有终端侧用户登录状态数据的资源服务器发送登录状态验证请求；所述登录令牌包含有终端侧用户登录状态数据，所述登录状态验证请求携带所述登录令牌和所述第三方应用标识信息；资源服务器接收并解析所述登录状态验证请求，并判断所述登录状态验证请求中的数据信息与所述资源服务器存储的数据信息是否匹配；若匹配，则向所述第三方应用服务器发送携带登录令牌和第三方应用标识信息的请求令牌；所述第三方应用服务器根据所述请求令牌向资源服务器申请访问权限，所述资源服务器验证所述请求令牌中的数据信息与所述资源服务器存储的数据信息是否匹配，若匹配，则向所述第三方应用服务器发送访问令牌。

【技术特征摘要】
1.一种基于登录状态的单点登录方法，其特征在于，包括：终端侧第三方应用接收用户应用请求，获取登录令牌，并经由第三方应用服务器向存储有终端侧用户登录状态数据的资源服务器发送登录状态验证请求；所述登录令牌包含有终端侧用户登录状态数据，所述登录状态验证请求携带所述登录令牌和所述第三方应用标识信息；资源服务器接收并解析所述登录状态验证请求，并判断所述登录状态验证请求中的数据信息与所述资源服务器存储的数据信息是否匹配；若匹配，则向所述第三方应用服务器发送携带登录令牌和第三方应用标识信息的请求令牌；所述第三方应用服务器根据所述请求令牌向资源服务器申请访问权限，所述资源服务器验证所述请求令牌中的数据信息与所述资源服务器存储的数据信息是否匹配，若匹配，则向所述第三方应用服务器发送访问令牌。2.根据权利要求1所述的基于登录状态的单点登录方法，其特征在于：所述获取登录令牌，包括：所述终端侧将用户的登录请求发送至所述资源服务器；并接收所述资源服务器返回的根据所述登录请求生成的登录令牌；所述登录请求包括：所述终端侧标识信息和用户账户信息；所述登录令牌包括：终端侧标识、终端侧临时ID和登录状态值。3.根据权利要求2所述的基于登录状态的单点登录方法，其特征在于：所述终端侧接收所述资源服务器返回的根据所述登录请求生成的登录令牌，包括：所述终端侧接收所述资源服务器发送的所述登录令牌的失效时间选择请求。4.根据权利要求2所述的基于登录状态的单点登录方法，其特征在于：所述终端侧向所述第三方应用服务器发送的登录令牌，和向所述资源服务器发送的登录请求，采用对称加密方式对所述登录令牌和登录请求中的数据加密传输。5.根据权利要求1所述的基于登录状态的单点登录方法，其特征在于：向所述第三方应用服务器发送携带登录令牌和第三方应用标识信息的请求令牌，还包括：所述资源服务器向所述终端侧发送授权服务选择请求；所述资源服务器接收所述终端侧用户根据所述授权服务选择请求所选择的授权服务内容。6.根据权利要求1所述的基于登录状态的单点登录方法，其特征在于：包括：封装所述经由第三方应用服务器向存储有终端侧用户登录状态数据的资源服务器发送的登录状态验证请求；封装所述第三方应用服务器接收的携带登录令牌和第三方应用标识信息的请求令牌；封装所述第三应用服务器接收的访问令牌。7.根据权利要求6所述的基于登录状态的单点登录方法，其特征在于：所述第三方应用服务器向所述资源服务器发送登录状态验证请求，和所述第三方应用服务器根据所述请求令牌向资源服务器申请访问权限，采用非对称加密的方式，对所述登录状态验证请求和申请访问权限中的数据加密及传输。8.根据权利要求1所述的基于登录状态的单点登录方法，其特征在于：所述终端标识信息通过所述用户的MAC地址与SIM卡中的身份信息串联哈希获得。9.根据权利要求1所述的基于登录状态的单点登录方法，其特征在于：所述登录令牌是所述资源服务器根据所述应用请求中的数据信息以及登录状态数据哈希获得。10.根据权利要求1所述的基于登录状态的单点登录方法，其特征在于：所述请求令牌是所述资源服务器根据所述登录令牌和所述第三方应用标识哈希获得。11.根据权利要求1所述的基于登录状态的单点登录方法，其特征在于：所述访问令牌是所述资源服务器根据所述请求令牌和所述第三方应用标识哈希获得。12.根据权利要求1所述的基于登录状态的单点登录方法，其特征在于：向所述第三方应用服务器发送访问令牌，包括：所述资源服务器存储所述访问令牌，并删除所述登录令牌和请求令牌。13.一种基于登录状态的单点登录装置，其特征在于，包括：终端管理单元，用于终端侧第三方应用接收用户应用请求，获取登录令牌，并经由第三方应用管理单元向存储有终端侧用户登录状态数据的授权认证登录管理单元发送登录状态验证请求；所述登录令牌包含有终端侧用户登录状态数
\t据，所述登录状态验证请求携带所述登录令牌和所述第三方应用标识信息；授权认证管理单元，用于接收并解析所述登录状态验证请求，并判断所述登录状态验证请求中的数据信息与所述授权认证登录管理单元中存储的数据信息是否匹配；若匹配，则向所述第三方应用管理单元发送携带登录令牌和第三方应用标识信息的请求令牌；第三方应用管理单元，用于根据所述请求令牌向授权认证登录管理单元申请访问权限，所述授权认证登录管理单元验证所述请求令牌中的数据信息与所述授权认证登录管理单元存储的数据信息是否匹配，若匹配，则向所述第三方应用管理单元发送访问令牌。14.根据权利要求13所述的基于登录状态的单点登录装置，其特征在于，所述终端管理单元包括：登录令牌获取单元，用于终端侧将用户的登录请求发送至所述资源服务器，并接收所述资源服务器返回的根据所述登录请求生成的登录令牌；所述登录请求包括：所述终端侧标识信息和用户账户信息；所述登录令牌包括：终端侧标识、终端侧临时ID和登录状态值。15.根据权利要求14所述的基于登录状态的单点登录装置，其特征在于，所述登录令牌获取单元包括：失效时间选择单元，用于接收所述资源服务器发送的所述登录令牌的失效时间选择请求。16.根据权利要求14所述的基于登录状态的单点登录装置，其特征在于，所述终端管理单元包括：第一数据加密传输单元，用于所述终端侧向所述第三方应用服务器发送的登录令牌，和向所述资源服务器发送的登录请求，采用对称加密方式对所述登录令牌和登录请求中的数据加密传输。17.根据权利要求13所述基于登录状态的单点登录装置，其特征在于，所述授权认证管理单元包括：授权服务选择请求发送单元，用于所述资源服务器向终端侧发送授权服务选择请求；授权服务选择接收单元，用于所述终端侧获取所述用户根据所述授权服务选择请求所选择的授权服务内容，并发送至所述资源服务器。18.根据权利要求13所述基于登录状态的单点登录装置，其特征在于，所述第三方应用管理单元包括：封装单元，用于封装所述经由第三方应用服务器向存储有终端侧用户登录状态数据的资源服务器发送的登录状态验证请求；所述第三方应用服务器接收的携带登录令牌和第三方应用标识信息的请求令牌；和所述第三应用服务器接收的访问令牌。19.根据权利要求18所述的基于登录状态的单点登录装置，其特征在于，所述第三方应用管理单元包括：第二数据加密传输单元，用于所述第三方应用服务器向所述资源服务器发送登录状态验证请求，和所述第三方...

【专利技术属性】
技术研发人员：方强，彭骏涛，朱红儒，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY