一种颁发身份认证凭据的方法、系统及认证服务器技术方案
Method, system and authentication server for issuing identity authentication credentials
The invention relates to the communication field, in particular relates to a method, issued by the authentication credentials system and authentication server; the method includes: an authentication request authentication server receives the application server, when the user from the user authentication page for user information, judging whether the user information is legitimate, is to generate the authorization code, and authorization sent to the application server; when the authentication server receives the authentication credentials for the application, according to the identification and application of judging the legality of the application server password authentication credentials, and determine the authentication credentials in the authorization code is valid, when the judgment is, according to the application of identity authentication server, authentication server and user identification the information organization authentication credentials and authentication credentials to use the private key signature, the signature and the identity Credentials are sent to the application server. The invention makes the login of the user more convenient and quick, and reduces the cost of the website to create the membership system and the login function of the user.
【技术实现步骤摘要】
一种颁发身份认证凭据的方法、系统及认证服务器
本专利技术涉及通信领域,特别涉及一种颁发身份认证凭据的方法、系统及认证服务器。
技术介绍
现有技术中用户首次使用某网站的服务时一般需要经过繁琐的注册账号的过程,网站注册账号一般通过两种方式,第一种为通过用户自选的字母或者数据作为账号,同时需要填写繁多的用户信息;并且当用户在多个网站注册账号后则面临记忆大量的网站账号的麻烦,若用户忘记网站账号则需要重新注册网站账号;第二种方式用户也可以通过已有的邮箱地址来注册网站账号,但是用户往往会接收到更多的垃圾邮件,用户体验差。每个提供服务的网站都需要建立自己的会员系统和登录功能,增加的网站的开发成本。
技术实现思路
本专利技术提供了一种颁发身份认证凭据的方法、系统及认证服务器,一种颁发身份认证凭据的方法,包括:步骤S1、当接收到用户触发的访问请求后,应用服务器跳转到用户认证页面,并向认证服务器发送鉴权请求;步骤S2、当用户从用户认证页面输入用户信息时,认证服务器从用户认证页面获取用户信息,并判断用户信息是否合法,是则生成授权码,并将授权法返回给应用服务器,执行步骤S3,否则结束;步骤S...
【技术保护点】
一种颁发身份认证凭据的方法,其特征在于,包括:步骤S1、当接收到用户触发的访问请求后,应用服务器跳转到用户认证页面,并向认证服务器发送鉴权请求;步骤S2、当用户从所述用户认证页面输入用户信息时,所述认证服务器从所述用户认证页面获取用户信息,并判断所述用户信息是否合法,是则生成授权码,并将所述授权码返回给所述应用服务器,执行步骤S3,否则结束;步骤S3、所述应用服务器根据所述授权码以及在所述认证服务器预先注册的应用标识和应用密码组织获取身份认证凭据请求,并将所述获取身份认证凭据请求发送给所述认证服务器;步骤S4、所述认证服务器根据所述获取身份认证凭据请求中的所述应用标识和所述...
【技术特征摘要】
1.一种颁发身份认证凭据的方法,其特征在于,包括:步骤S1、当接收到用户触发的访问请求后,应用服务器跳转到用户认证页面,并向认证服务器发送鉴权请求;步骤S2、当用户从所述用户认证页面输入用户信息时,所述认证服务器从所述用户认证页面获取用户信息,并判断所述用户信息是否合法,是则生成授权码,并将所述授权码返回给所述应用服务器,执行步骤S3,否则结束;步骤S3、所述应用服务器根据所述授权码以及在所述认证服务器预先注册的应用标识和应用密码组织获取身份认证凭据请求,并将所述获取身份认证凭据请求发送给所述认证服务器;步骤S4、所述认证服务器根据所述获取身份认证凭据请求中的所述应用标识和所述应用密码判断所述应用服务器是否合法,并判断获取身份认证凭据请求中的所述授权码是否有效,当判断均为是时执行步骤S5,否则结束;步骤S5、所述认证服务器根据所述应用标识,认证服务器标识和所述用户信息组织身份认证凭据,并使用私钥对所述身份认证凭据进行签名,将签名结果和所述身份认证凭据发送给所述应用服务器;步骤S6、所述应用服务器使用公钥对所述签名结果验签,若验签通过,将所述身份认证凭据与用户进行绑定。2.如权利要求1所述的方法,其特征在于,所述将所述身份认证凭据与用户进行绑定具体为:所述应用服务器从所述身份凭据中获取用户信息,并将所述用户信息与所述身份认证凭据对应存储。3.如权利要求1所述的方法,其特征在于,所述将所述身份认证凭据与用户进行绑定具体为:所述应用服务器分配字符串作为用户标识,将所述用户标识与所述身份认证凭据进行对应存储。4.如权利要求1所述的方法,其特征在于,所述步骤S1和所述步骤S2之间还包括:所述认证服务器判断所述鉴权请求中的所有必要参数是否都存在且有效,是则执行步骤S2,否则向所述应用服务器返回鉴权失败响应,结束。5.如权利要求4所述的方法,其特征在于,所述判断所述鉴权请求中的所有必要参数是否都存在且有效具体包括:步骤A1、所述认证服务器判断所述鉴权请求中是否包含应用标识和重定向URL,是则执行步骤A2,否则向所述应用服务器返回鉴权失败响应,结束;步骤A2、所述认证服务器从所述鉴权请求中获取应用标识,根据所述应用标识判断所述应用服务器是否已经注册过,是则执行步骤A3,否则向所述应用服务器返回鉴权失败响应,结束;步骤A3、所述认证服务器根据所述应用标识获取所述应用服务器预先注册的重定向URL,并判断所述鉴权请求中的重定向URL与所述预存的重定向URL是否匹配,是则执行步骤S2,否则向所述应用服务器返回鉴权失败响应,结束。6.如权利要求1所述的方法,其特征在于,所述鉴权请求中还包括:请求访问的资源范围;所述步骤S5具体包括:所述认证服务器生成访问凭据,将所述访问凭据和所述请求访问的资源范围对应存储;并根据所述应用标识、认证服务器标识和所述用户信息组织身份认证凭据,并使用私钥对所述身份认证凭据进行签名,并将签名结果、所述身份认证凭据和所述访问凭据发送给所述应用服务器;所述步骤S6之后还包括:应用服务器使用所述访问凭据从所述认证服务器中获取所述请求访问的资源范围内的资源。7.如权利要求6所述的方法,其特征在于,所述步骤S2中判定所述用户信息合法后,生成授权码之前还包括:所述认证服务器根据请求访问的资源范围跳转到用户授权页面,判断从所述用户授权页面中是否可以获取到对所述请求访问的资源范围的允许授权信息,是则生成授权码,否则向所述应用服务器返回鉴权失败响应。8.如权利要求1所述的方法,其特征在于,所述鉴权请求中包括:重定向URL;所述将所述授权码返回给所述应用服务器具体为:将所述授权码根据所述重定向URL返回给所述应用服务器。9.如权利要求1所述的方法,其特征在于,所述步骤S3具体包括:步骤B1、所述应用服务器将预先在所述认证服务器注册的应用标识和应用密码进行加密生成应用密文信息;步骤B2、所述应用服务器根据所述应用密文信息和所述授权码组织获取身份认证凭据请求,并将所述获取身份认证凭据请求发送给所述认证服务器;所述步骤S4具体包括:所述认证服务器从所述获取身份认证凭据请求中获取所述应用密文信息,对所述应用密文信息进行解密得到所述应用标识和所述应用密码,根据所述应用标识和所述应用密码判断应用服务器是否合法,并判断获取身份认证凭据请求中的授权码是否有效,当判断均为是时执行步骤S5,否则结束。10.如权利要求1所述的方法,其特征在于,所述步骤S6中所述应用服务器使用公钥对签名结果进行验签,若验签通过之后,所述将所述身份认证凭据与用户进行绑定之前还包括:所述应用服务器判断所述身份认证凭据中的应用标识是否合法,是则继续执行所述将所述身份认证凭据与用户进行绑定,否则向所述认证服务器返回身份认证凭据无效信息,结束。11.如权利要求1所述的方法,其特征在于,所述步骤S5具体包括:所述认证服务器获取当前服务器时间作为身份认证凭据发送时间,根据所述应用标识、认证服务器标识、所述用户信息和所述身份认证凭据发送时间组织身份认证凭据,并使用私钥对身份认证凭据进行签名,将签名结果和所述身份认证凭据发送给所述应用服务器;所述步骤S6中所述应用服务器使用公钥对签名结果进行验签,若验签通过之后,所述将所述身份认证凭据与用户进行绑定之前还包括:所述应用服务器判断所述身份认证凭据中的所述身份认证凭据发送时间是否早于第一预设时间,是则向所述认证服务器发送所述身份认证凭据无效信息,结束;否则继续执行所述将所述身份认证凭据与用户进行绑定。12.如权利要求1所述的方法,其特征在于,所述步骤S2判定用户合法时候还包括:获取服务器当前时间作为鉴别终端用户时间;所述步骤S5具体包括:所述认证服务器根据所述应用标识、认证服务器标识、所述用户信息和所述鉴别终端用户时间组织身份认证凭据,并使用私钥对所述身份认证凭据进行签名,将签名结果和身份认证凭据发送给所述应用服务器;所述步骤S6中所述应用服务器使用公钥对签名结果进行验签,若验签通过之后,将所述身份认证凭据与用户进行绑定之前还包括:所述应用服务器判断身份认证凭据中的所述鉴别终端用户时间是否早于第二预设时间,是则向所述认证服务器发送所述身份认证凭据无效信息;否则继续执行所述将所述身份认证凭据与用户进行绑定。13.如权利要求1所述的方法,其特征在于,所述步骤S5中具体包括:所述认证服务器根据所述应用标识、认证服务器标识、所述用户信息和身份认证凭据有效期组织身份认证凭据,并使用私钥对所述身份认证凭据进行签名,将签名结果和身份认证凭据发送给所述应用服务器;所述步骤S6中所述应用服务器使用公钥对签名结果进行验签,若验签通过之后,将所述身份认证凭据与用户进行绑定之前还包括:所述应用服务器判断当前服务器时间是否早于所述身份认证凭据的有效期,是则继续执行所述将所述身份认证凭据与用户进行绑定,否则向所述认证服务返回所述身份认证凭据无效信息。14.一种颁发身份认证凭据的系统,其特征在于,包括:认证服务器和应用服务器;所述应用服务器具体包括:第一发送模块,用于接收到用户触发的访问请求,跳转到用户认证页面,并向认证服务器发送鉴权请求;还用于将第一组织模块组织的所获取身份认证凭据请求发送给所述认证服务器;第二接收模块,用于接收所述认证服务器发送的所述授权码;还用于接收所述认证服务器发送的签名结果和身份认证凭据;所述第一组织模块,用于根据所述第二接收模块接收到的所述授权码以及在所述认证服务器预先注册的应用标识和应用密码组织获取身份认证凭据请求;绑定模块,用于使用公钥对所述第二接收模块接收到的所述签名结果验签,若验签通过,将所述第二接收模块接收到的所述身份认证凭据与用户进行绑定;所述认证服务器具体包括:第一接收模块,用于接收所述应用服务器发送的所述鉴权请求;还用于接收所述应用服务器发送的所述获取身份认证凭据请求;获取用户信息模块,当用户从用户认证页面输入用户信息时,用于从所述用户认证页面获取用户信息;第一判断模块,用于当所述第一接收模块接收到所述鉴权请求时,判断所述获取用户信息模块获取到的所述用户信息是否合法;授权码生成模块,用于当所述第一判断模块判定所述用户信息合法后生成授权码;第二发送模块,用于将所述授权码生成模块生成的所述授权码发送给所述应用服务器;还用于将第二组织模块组织得到的所述身份认证凭据和签名模块签名得到的所述签名结果发送给所述应用服务器;第二判断模块,用于根据所述第一接收模块接收到的所述获取身份认证凭据请求中的所述应用标识和所述应用密码判断所述应用服务器是否合法,并判断所述第一接收模块接收到的所述获取身份认证凭据请求中的所述授权码是否有效;所述第二组织模块,用于当所述第二判断模块判定所述应用服务器合法且所述授权码有效时根据所述第一接收模块接收到的获取身份认证凭据请求中的应用标识、认证服务器标识和所述获取用户信息模块获取到的用户信息组织身份认证凭据;所述签名模块,用于使用私钥对所述第二组织模块组织得到的所述身份认证凭据进行签名得到签名结果。15.如权利要求14所述的系统,其特征在于,所述绑定模块,具体用于使用公钥对所述第二接收模块接收到的所述签名结果验签,若验签通过,从所述身份凭据中获取用户信息,并将所述用户信息与所述身份认证凭据对应存储。16.如权利要求14所述的系统,其特征在于,所述绑定模块,具体用于使用公钥对所述第二接收模块接收到的所述签名结果验签,若验签通过,分配字符串作为用户标识,将所述用户标识与所述身份认证凭据进行对应存储。17.如权利要求14所述的系统,其特征在于,所述认证服务器还包括:第三判断模块,用于判断所述第一接收模块接收到的所述鉴权请求中的所有必要参数是否都存在且有效;所述第一判断模块,用于当所述第三判断模块判定所述鉴权请求中的所有必要参数存在且有效时,判断所述获取用户信息模块获取到的所述用户信息是否合法;所述第二发送模块,还用于所述第三判断模块判定所述鉴权请求中所有必要参数不都存在或者不都有效时向所述应用服务器发送鉴权失败响应。18.如权利要求17所述的系统,其特征在于,所述第三判断模块具体包括:第一判断子模块,用于判断所述第一接收模块接收到的所述鉴权请求中是否包含应用标识和重定向URL;第二判断子模块,用于所述第一判断子模块判定所述鉴权请求中包含应用标识和重定向URL时从所述鉴权请求中获取应用标识,根据所述应用标识判断所述应用服务器是否已经注册过;第三判断子模块,用于当所述第二判断子模块判定所述应用服务器已经注册过时根据所述应用标识获取预存的重定向URL,根据所述应用标识获取所述应用服务器预先注册的重定向URL,并判断所述鉴权请求中的重定向URL与所述预存的重定向URL是否匹配;所述第一判断模块,具体用于所述第三判断子模块判定所述鉴权请求中的重定向URL与所述预存的重定向URL匹配时,判断所述获取用户信息模块获取到的所述用户信息是否合法;所述第二发送模块,还用于所述第三判断子模块判定所述鉴权请求中的重定向URL与所述预存的重定向URL不匹配时向所述应用服务器发送鉴权失败响应。19.如权利要求14所述的系统,其特征在于,所述第一接收模块接收到的所述鉴权请求中还包括:请求访问的资源范围;第二组织模块,具体用于当所述第二判断模块判定所述应用服务器合法且所述授权码有效时生成访问凭据,将所述访问凭据和所述请求访问的资源范围对应存储;并根据所述第一接收模块接收到的获取身份认证凭据请求中的应用标识、认证服务器标识和所述获取用户信息模块获取到的所述用户信息组织身份认证凭据;所述第二发送模块,还用于将所述第二组织模块生成的所述访问凭据发送给应用服务器;所述应用服务器还包括:访问资源模块,用于接收访问凭据,并使用所述访问凭据从所述认证服务器中获取所述请求访问的资源范围内的资源。20.如权利要求14所述的系统,其特征在于,所述认证服务器还包括:第四判断模块,用于根据所述第一接收模块接收到的所述鉴权请求中的请求访问的资源范围跳转到用户授权页面,判断从所述用户授权页面中是否可以获取到对所述请求访问的资源范围的允许授权信息;所述授权码生成模块,用于当所述第四判断模块判定接收到对所述请求访问的资源范围的允许授权信息时生成授权码;所述第二发送模块,还用于所述第四判断模块判定没有接收到对所述请求访问的资源范围的允许授权信息时向所述应用服务器发送鉴权失败响应。21.如权利要求14所述的系统,其特征在于,所述第一接收模块接收到的所述鉴权请求中还包括重定向URL;所述第二发送模块,具体用于将所述授权码生成模块生成的所述授权码根据所述重定向URL发送给所述应用服务器。22.如权利要求14所述的系统,其特征在于,所述第一组织模块具体包括:加密子模块,用于将预先在所述认证服务器注册的应用标识和应用密码进行加密生成应用密文信息;第一组织子模块,用于根据所述加密子模块生成的所述应用密文信息、所述第一接收模块接收到的所述授权码和重定向URL生成获取身份认证凭据请求;所述第一发送模块,用于将所述第一组织子模块生成的所述获取身份认证凭据请求发送给所述认证服务器;所述第二判断模块具体包括:解密子模块,用于从所述第一接收模块中的获取身份认证凭据请求中获取应用密文信息,对应用密文信息进行解密生成应用标识和应用密码;第四判断子模块,用于根据所述解密子模块解密得到的所述应用标识和所述应用密码判断所述应用服务器是否合法;第五判断子模块,用于从所述第二接收模块接收到的的获取身份认证凭据请求中获取授权码,判断授权码是否有效;所述第二组织模块,用于当所述第五判断子模块判定授权码有效且所述第四判断子模块判定所述应用服务器合法时根据所述应用标识、认证服务器...
【专利技术属性】
技术研发人员:陆舟,于华章,
申请(专利权)人:飞天诚信科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。