本发明专利技术提供一种基于OAuth2的单点登录方法,属于互联网技术领域,用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证(需要有客户端id和回调地址),认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。这种场景下,用户的敏感信息没有泄露给客户端应用,保证了安全。
【技术实现步骤摘要】
一种基于OAuth2的单点登录方法
本专利技术涉及互联网
,尤其涉及一种基于OAuth2的单点登录方法。
技术介绍
随着企业的发展,业务系统的数量在不断的增加,老的系统却不能轻易的替换,这会带来很多的开销。其一是管理上的开销,需要维护的系统越来越多。很多系统的数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的计费系统和财务系统,财务系统和人事系统之间都不可避免的有着密切的关系。为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成。通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。整合以前,进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,在安全方面也埋下了重大的隐患。在面向服务的架构中,服务和服务之间,程序和程序之间的通讯大量存在,服务之间的安全认证是SOA应用的难点之一,应此建立“单点登录”的系统体系能够大大简化SOA的安全问题,提高服务之间的合作效率。
技术实现思路
为了解决以上技术问题,本专利技术提供了一种基于OAuth2的单点登录方法。本专利技术的技术方案是:一种基于OAuth2的单点登录方法,授权码模式是最安全并且使用最广泛的一种模式。用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证(需要有客户端id和回调地址),认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。这种场景下,用户的敏感信息没有泄露给客户端应用,保证了安全。进一步的,包括:1)客户端通过将资源所有者的用户代理指向授权端点来启动这个流程。客户端包含它的客户端标识符,请求范围,本地状态,和重定向URI,在访问被允许(或者拒绝)后授权服务器立即将用户代理返回给重定向URI。2)授权服务器验证资源所有者(通过用户代理),并确定资源所有者是否授予或拒绝客户端的访问请求。如果资源所有者授权访问,那么授权服务器用之前提供的重定向URI(在请求中或在客户端时提供的)将用户代理重定向回客户端。重定向URI包括授权码和前面客户端提供的任意本地状态。3)客户端用上一步接收到的授权码从授权服务器的令牌端点那里请求获取一个访问令牌。4)授权服务器对客户端进行认证,校验授权码,并确保这个重定向URI和第三步中那个URI匹配。如果校验通过,则发放访问令牌,以及可选的刷新令牌。进一步的,工作步骤如下:(A)客户端向资源所有者请求其授权;(B)客户端收到授权服务器的授权许可,这个授权许可是一个代表资源所有者授权的凭据;(C)客户端向授权服务器请求访问令牌,并出示授权许可;(D)授权服务器对客户端身份进行认证,并校验授权许可,如果都是有效的,则发放访问令牌;(E)客户端向资源服务器请求受保护的资源,并出示访问令牌;(F)资源服务器校验访问令牌,如果令牌有效,则提供服务。本专利技术利用OAuth2授权码模式的单点登录方法,支持第三方支持访问有限的HTTP服务,通过在资源所有者和HTTP服务之间进行一个批准交互来代表资源者去访问这些资源,或者通过允许第三方应用程序以自己的名义获取访问权限。本专利技术的有益效果是为用户提供了统一身份认证的功能应用,只需在系统中设定其他常用系统的登录信息,就可以直接从协同办公系统进入相应信息系统,切换到其他系统时无需再输入用户名和密码,使协同办公平台成为真正意义上的个人信息门户,为各个功能模块和第三方应用系统提供统一的用户身份认证和账号管理平台,做到“一次登录,多次访问”的优质服务。附图说明图1是本专利技术的技术实现示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术提供了一种基于OAuth2授权码模式的单点登录方法,用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证(需要有客户端id和回调地址),认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。如图1所示,主要分为六个步骤:(A)客户端向资源所有者请求其授权(B)客户端收到授权服务器的授权许可,这个授权许可是一个代表资源所有者授权的凭据(C)客户端向授权服务器请求访问令牌,并出示授权许可(D)授权服务器对客户端身份进行认证,并校验授权许可,如果都是有效的,则发放访问令牌(E)客户端向资源服务器请求受保护的资源,并出示访问令牌(F)资源服务器校验访问令牌,如果令牌有效,则提供服务。在企业生产和工作中,办公自动化越来越普遍。同时用户信息管理的安全性也引起关注。在企业建立实现系统单点登录,能够极大的提高工作效率和工作质量,并且在很大程度上减轻应用系统管理工作人员的工作量,对企业信息化的发展也十分有利。单点登录使用中,经过对用户身份的验证管理,更加增强了系统的安全,使得用户在使用单点登录时不用考虑安全受到威胁的问题。由于使用单点登录,众多的应用系统就不用都开饭登录认证模块,在一定程度上减少了对应用系统开发的成本投入。以上所述仅为本专利技术的较佳实施例,仅用于说明本专利技术的技术方案,并非用于限定本专利技术的保护范围。凡在本专利技术的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本专利技术的保护范围内。本文档来自技高网...
【技术保护点】
1.一种基于OAuth2的单点登录方法,其特征在于/n用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证,认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。/n
【技术特征摘要】
1.一种基于OAuth2的单点登录方法,其特征在于
用户向客户端发起请求时,客户端应用引导用户去授权服务器进行认证,认证成功授权服务器会将授权码发送给客户端应用,客户端应用再通过授权码,客户端id,客户端密码去授权服务器换取令牌,授权服务器验证无误后,将令牌发送给客户端应用。
2.根据权利要求1所述的方法,其特征在于,
用户去授权服务器进行认证需要有客户端id和回调地址。
3.根据权利要求1所述的方法,其特征在于,
客户端通过将资源所有者的用户代理指向授权端点来启动这个流程。
4.根据权利要求3所述的方法,其特征在于,
客户端包含它的客户端标识符、请求范围、本地状态和重定向URI,在访问被允许或者拒绝后授权服务器立即将用户代理返回给重定向URI。
5.根据权利要求4所述的方法,其特征在于,
授权服务器验证资源所有者,并确定资源所有者是否授予或拒绝客户端的访问请求。
6.根据权利要求5所述的方法,其特征在于,
如果资源所有者授权访问,那么授权服务器用之前提供的重定向URI将用户代理重定向...
【专利技术属性】
技术研发人员:陈隽,崔乐乐,
申请(专利权)人:浪潮卓数大数据产业发展有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。