本发明专利技术公开了一种基于应用角色托管的用户集成系统及方法。用户集成系统,包括认证服务端和至少一个业务服务端,所述认证服务端包括,用户管理模块,注册执行模块,用户绑定模块,令牌验证接口模块,所述业务服务端执行应用服务,包括,注册模块,角色和权限发现接口,令牌鉴权模块。本发明专利技术通过角色托管的方式提出的用户集成方案,避免了前述认证服务器无法准确的描述应用服务权限模式等问题。提供了基于Oauth2.0认证和授权的用户集成系统,实现了统一的用户管理系统,包括用户管理、授权管理和鉴权管理;实现了应用的快速用户集成;提供完整的用户集成框架,适应异构应用,实现了基于Oauth2.0的认证和授权,应用范围更广。
【技术实现步骤摘要】
一种基于应用角色托管的用户集成系统及方法
本专利技术涉及用户集成系统,尤其涉及一种基于应用角色托管的用户集成系统及方法。
技术介绍
应用系统集成难题,对于一个现代企业来说,必然拥有大量应用系统,如电子邮件、OA办公系统、CRM系统、HR系统、进销存系统等,这些系统操作在企业日常办公中是每个员工必不可少的工作。用户登录每个系统都必须进行认证和授权工作,如果这些系统认证都是相互独立、互不相干的,毫无疑问,企业IT部门的大部分时间和精力将用于各个系统的认证和授权管理,这不仅会大大提高企业的生产和办公成本,降低整个企业的工作效率,而且将产生严重的安全隐患。企业内应用系统集成存在着如下的技术问题:多套用户系统上线,造成多套帐号维护;帐号维护不能实现统一、更新不及时,维护工作量大;使用者需要记住多套帐号密码、修改时需要分别登录多套系统维护,造成使用习惯非常不便;除了保证数据在物理上的安全,更多的时候是保证数据被安全的访问。安全的基本要点就是认证(Authentication)和授权(Authorization);对于企业来说,数据就是核心,就是生命,就是竞争力,如何保证多套应用系统数据的安全,就成为企业IT管理的重点;新接入的系统如何实现与旧系统的无缝对接并不增加系统复杂性。传统的应用系统集成在面对该问题时,通常采取以下方法对应:1)通过用户数据集成实现用户的统一,即通过将部分应用系统的用户数据集中到某个应用系统的用户管理系统中,并改造应用系统,实现用户集成。该方法常用于烟囱系统的改造;2)通过内容管理系统或门户网站实现内容集成,并在内容管理系统或门户网站上于用户管理集成实现软件系统集成。该方法在各种政务应用、BS模式应用的集成。前者的代表主要有LDAP。LDAP的英文全称是LightweightDirectoryAccessProtocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPmanRFC网页中找到。现在LDAP技术不仅发展得很快而且也是激动人心的。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至连主要的数据源都可以放在任何地方。后者的代表为各种内容管理系统和各类门户应用。CMS其实是一个很广泛的称呼,从连锁管理体系(chainmanagementsystem)、一般的博客程序,新闻发布程序,到综合性的网站管理程序都可以被称为内容管理系统。CMS最多的应用是“连锁管理体系”的简称,连锁企业完整的管理体系应包括:标准—训练—考核—改进等有效流程环节,缺一不可,不然就形不成体系的整体运行。“CMS连锁管理系统”将有效地改变传统连锁企业管理的方法与模式,再造连锁企业管理体系新架构。市场上有很多公司自行开发的CMS系统模板,几个比较大的网站上也经常能够看到一些国外(欧美,韩国)的模板,当中比较有代表性的,在美国有较大影响力的当属怪兽模板了。起源于美国,随即登陆亚洲市场,瞬间风靡全球的网站建设的崭新模式--怪兽网页模板的CMS网站模板,包括了WordPress,joomla,magento,drupal,mambo等目前市场上最流行的模板。中国也有一些好的开源项目如:jeecms、kooboo、wojilu。作为面向WEB开发的CMS系统,其开发阵营一般分为PHP、.NET、JSP三大阵营,而国内.NET开发阵营中典型的CMS产品:Zoomla!逐浪CMS集聚了FLEX、3D、全景等应用,力求为用户提供更多便利,并开始集成信息化系统,以符合未来互联网的发展需求。现有技术的用户集成有以下问题:1.没有实现真正意义上的统一用户数据信息:用户数据集成的实现方式需要每次在新的应用加入时添加新的用户数据和认证信息,被集成的应用也需要做出相应的适配才能实现用户验证信息集成,同时也会影响已经被集成的应用,并没有实现真正意义上的统一用户数据信息,依然是独立开发应用后座数据迁移实现用户集成的方式。内容管理系统或门户(本文将之称为集成系统)的集成方式则是通过在集成系统内部实现的形式上的用户集成,一旦脱离集成系统的界面,则完全无法实现用户信息的统一和用户集成。2.没有实现完整的授权和鉴权管理:用户数据集成的实现方式仅仅实现了用户基本信息集成(例如LDAP允许根据需要使用ACL(访问控制列表)控制对数据读和写的权限)。完全不能实现被集成的应用的授权和鉴权管理。内容管理系统或门户的集成方式则通过集成系统实现鉴权控制,无法为独立运行的被集成的各个系统系统授权和鉴权支持。3.没有提供完整的用户集成框架:用户数据集成的实现方式和内容管理系统或门户的集成方式都缺乏为被集成的应用提供统一用户验证服务、授权管理和鉴权管理的的用户集成框架,缺乏为异构实现(开发语言、运行环境、实现架构)的应用提供集成框架性支撑能力。4.缺乏在Oauth2.0下统一的授权和鉴权功能。Oauth2.0仅给出了认证流程,没有给出鉴权实现方法,也未能给出统一的鉴权和授权流程。
技术实现思路
为了解决上述技术所存在的不足之处,解决统一的认证和授权问题,本专利技术提供了一种基于应用角色托管的用户集成系统及方法。为了解决以上技术问题,本专利技术采用的技术方案是:一种基于应用角色托管的用户集成系统,包括认证服务端和至少一个业务服务端,所述认证服务端包括,用户管理模块,用于常规用户管理;注册执行模块,用于执行业务服务端角色和权限的注册;用户绑定模块,用于执行用户和业务服务、角色、权限的绑定,并运行在不同认证服务端质之间出现重复的角色和权限;令牌验证接口模块,用于接收业务服务端发送的验证令牌信息,并返回所述令牌对应用户的角色信息;所述业务服务端执行应用服务,包括,注册模块,用于提供角色和权限的注册服务;角色和权限发现接口,用于共认证服务端调用进行角色发现;令牌鉴权模块,用于对传入的令牌进行鉴权,并提供相应服务。进一步地,所述认证服务端还包括:注销模块,用于注销和删除用户和对应的业务服务的授权关系。进一步地,所述注销模块还用于执行删除服务信息、服务的角色和权限信息。本专利技术的内容还包括一种基于应用角色托管的用户集成方法,包括以下步骤:步骤1、角色托管:认证服务端执行应用服务的角色注册,应用服务端将该服务的角色和权限的托管到认证服务端;步骤2、用户授权:认证服务端将托管到认证服务端上的角色和权限授予对应的用户;步骤3、用户鉴权:认证服务端通过OAUTH2.0流程发放的令牌,应用服务端向认证服务端验证该令牌,验证后,认证服务端返回该令牌对应的用户所持有的角色信息。进一步的,所述步骤1中,角色托管由WebService、数据库、nettytcp形式的接口中的一种或几种方式实现。进一步地,所述步骤3中,用户鉴权还包括用户认证,用于验证用户的安全凭据的合法性。本专利技术通过本文档来自技高网...
【技术保护点】
1.一种基于应用角色托管的用户集成系统,其特征在于:包括认证服务端和至少一个业务服务端,所述认证服务端包括,用户管理模块,用于常规用户管理;注册执行模块,用于执行业务服务端角色和权限的注册;用户绑定模块,用于执行用户和业务服务、角色、权限的绑定,并运行在不同认证服务端质之间出现重复的角色和权限;令牌验证接口模块,用于接收业务服务端发送的验证令牌信息,并返回所述令牌对应用户的角色信息;所述业务服务端执行应用服务,包括,注册模块,用于提供角色和权限的注册服务;角色和权限发现接口,用于共认证服务端调用进行角色发现;令牌鉴权模块,用于对传入的令牌进行鉴权,并提供相应服务。
【技术特征摘要】
1.一种基于应用角色托管的用户集成系统,其特征在于:包括认证服务端和至少一个业务服务端,所述认证服务端包括,用户管理模块,用于常规用户管理;注册执行模块,用于执行业务服务端角色和权限的注册;用户绑定模块,用于执行用户和业务服务、角色、权限的绑定,并运行在不同认证服务端质之间出现重复的角色和权限;令牌验证接口模块,用于接收业务服务端发送的验证令牌信息,并返回所述令牌对应用户的角色信息;所述业务服务端执行应用服务,包括,注册模块,用于提供角色和权限的注册服务;角色和权限发现接口,用于共认证服务端调用进行角色发现;令牌鉴权模块,用于对传入的令牌进行鉴权,并提供相应服务。2.根据权利要求1所述的基于应用角色托管的用户集成系统,其特征在于:所述认证服务端还包括:注销模块,用于注销和删除用户和对应的业务服务的授权关系。3.根据权利要求2所述的基于应用角色托管的用户集成系统,其...
【专利技术属性】
技术研发人员:时信华,林殷,安西民,徐凤桐,黄会敏,
申请(专利权)人:航天星图科技北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。