本申请涉及网络安全技术领域,公开了一种认证方法、装置、设备和存储介质,本实施例的方法应用于可信控制设备,该方法包括:对应用服务器发送的应用信息进行验证;在对所述应用信息验证通过后,基于所述应用信息以及对应的目标用户令牌得到应用认证请求;向第一IAM发送所述应用认证请求,以使所述第一IAM基于所述应用认证请求确定应用认证信息;基于所述第一IAM发送的应用认证信息,生成目标格式的token信息,并将所述token信息发送给所述应用服务器。应用服务器基于针对上述目标格式的统一业务逻辑对该token信息解析,就能完成应用认证。就能完成应用认证。就能完成应用认证。
【技术实现步骤摘要】
一种认证方法、装置、设备和存储介质
[0001]本申请涉及网络安全
,特别涉及一种认证方法、装置、设备和存储介质。
技术介绍
[0002]单点登录被广泛应用到企业业务整合中,用户只需要登录一次就可以访问所有相互信任的应用系统。
[0003]在单点登录中,应用服务器通过可信控制设备对接多个身份识别与访问管理设备(Identity and Access Management,IAM)。不同IAM基于不同的接口协议返回认证信息,因此应用收到的认证信息包含的字段不同,需要对应用服务器配置不同的业务逻辑,才能完成认证。
技术实现思路
[0004]本申请提供了一种认证方法、装置、设备和存储介质,用以使应用服务器基于统一业务逻辑完成应用认证。
[0005]第一方面,本申请实施例提供一种认证方法,应用于可信控制设备,所述方法包括:
[0006]对应用服务器发送的应用信息进行验证;
[0007]在对所述应用信息验证通过后,基于所述应用信息以及对应的目标用户令牌得到应用认证请求;
[0008]向第一IAM发送所述应用认证请求,以使所述第一IAM基于所述应用认证请求确定应用认证信息;
[0009]基于所述第一IAM发送的应用认证信息,生成目标格式的token(令牌)信息,并将所述token信息发送给所述应用服务器。
[0010]上述方案,可信控制设备在对应用服务器发送的应用信息验证通过后,基于该应用信息以及对应的目标用户令牌得到应用认证请求;进而向第一IAM发送符合第一IAM格式要求的应用认证请求,第一IAM基于该应用认证请求确定应用认证信息;可信控制设备基于该应用认证信息,生成统一的目标格式的token信息,并将该token信息发送给应用服务器,应用服务器基于针对上述目标格式的统一业务逻辑对该token信息解析,就能完成应用认证。
[0011]在一些可选的实施方式中,所述基于所述第一IAM发送的应用认证信息,生成目标格式的token信息,包括:
[0012]若所述应用认证信息包含用户信息,则基于所述应用认证信息生成符合身份认证标准协议(OpenID Connect,OIDC)的token信息;或者
[0013]若所述应用认证信息不包含用户信息,则向所述第一IAM发送获取用户信息的请求,并接收所述第一IAM发送的用户信息;基于所述应用认证信息以及接收的用户信息,生成符合OIDC的token信息。
[0014]在一些可选的实施方式中,所述应用信息包含应用标识,基于所述应用信息以及对应的目标用户令牌得到应用认证请求,包括:
[0015]根据所述第一IAM的类型,生成包含所述应用标识以及所述目标用户令牌的应用认证请求。
[0016]上述方案,可信控制设备根据第一IAM的类型,生成符合第一IAM要求格式的应用认证请求,第一IAM能够正确解析该应用认证请求,进而对应用进行认证。
[0017]在一些可选的实施方式中,在所述对应用服务器发送的应用信息进行验证之前,还包括:
[0018]确定所述应用服务器发送的授权请求对应的目标用户令牌;
[0019]基于选择的第二IAM的类型,得到包含所述目标用户令牌的令牌验证请求;
[0020]将所述令牌验证请求发送给所述第二IAM,并接收所述第二IAM对所述目标用户令牌的验证信息;
[0021]若基于所述验证信息确定所述目标用户令牌验证通过,则基于加密时的时间戳、所述目标用户令牌以及所述授权请求包含的应用标识进行加密得到授权码,并将所述授权码发送给所述应用服务器,其中所述授权码用于指示所述应用服务器发送所述应用信息。
[0022]上述方案,在对应用进行认证之前,可信控制设备先根据选择的第二IAM的类型,得到符合第二IAM格式要求的包含目标用户令牌的令牌验证请求;并将该令牌验证请求发送给第二IAM,第二IAM能正确解析该令牌验证请求,进而对目标用户令牌进行验证得到验证信息,可信控制设备接收到该验证信息能够确定目标用户令牌是否验证通过;如果验证通过,说明目标用户令牌是有效的,进而基于加密时的时间戳、目标用户令牌以及授权请求包含的应用标识进行加密得到授权码,并将授权码发送给上述应用服务器,以使应用服务器基于该授权码在目标用户令牌验证通过后再发送上述应用信息。
[0023]在一些可选的实施方式中,所述应用信息包含应用标识、应用密钥以及授权码;
[0024]所述对应用服务器发送的应用信息进行验证,包括:
[0025]对所述应用信息包含的授权码进行解密,得到解密的用户令牌、解密的应用标识以及加密时的时间戳;
[0026]若所述加密时的时间戳与当前时间戳的时间差小于预设时间差,则基于解密的应用标识、所述应用信息包含的应用标识以及所述应用信息包含的应用密钥,对所述应用信息进行验证。
[0027]上述方案,如果加密时的时间戳与当前时间戳的时间差小于预设时间差,确定授权码还未过期,再基于解密的应用标识、上述应用信息包含的应用标识以及上述应用信息包含的应用密钥,验证应用信息与上述授权码是否匹配,并验证应用密钥是否是伪造的。
[0028]在一些可选的实施方式中,基于解密的应用标识、所述应用信息包含的应用标识以及所述应用信息包含的应用密钥,对所述应用信息进行验证,包括:
[0029]若解密的应用标识与所述应用信息包含的应用标识相同,则根据标识与密钥的对应关系,确定所述应用信息包含的应用标识对应的目标密钥;
[0030]若所述目标密钥与所述应用信息包含的应用密钥相同,则确定所述应用信息验证通过,并将所述解密的用户令牌确定为所述目标用户令牌。
[0031]上述方案,如果确定授权码还未过期,通过将解密的应用标识与应用信息包含的
应用标识进行比对,如果两者相同,说明应用信息与上述授权码是匹配的,进而确定该应用标识对应的目标密钥,并将该目标密钥与应用信息包含的应用密钥进行比对,如果目标密钥与应用信息包含的应用密钥相同,说明应用密钥不是伪造的,确定应用信息通过验证。
[0032]在一些可选的实施方式中,若所述授权请求没有对应的目标用户令牌,则所述方法还包括:
[0033]向所述应用服务器发送显示登录界面的指令,并在接收到所述应用服务器发送的登录信息后,将所述登录信息发送给第三IAM进行登录信息认证;
[0034]接收所述第三IAM在对所述登录信息认证通过后发送的目标用户令牌,并将基于所述目标用户令牌得到的SSO登录凭证通过所述应用服务器发送给对应的用户设备。
[0035]第二方面,本申请实施例提供一种认证装置,包括:
[0036]验证模块,用于对应用服务器发送的应用信息进行验证;
[0037]应用认证请求处理模块,用于在对所述应用信息验证通过后,基于所述应用信息以及对应的目标用户令牌得到应用认证请求;
[0038]所述应用认证请求处理模块,还用于向第一IAM发送所述应用认证请求,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种认证方法,其特征在于,应用于可信控制设备,所述方法包括:对应用服务器发送的应用信息进行验证;在对所述应用信息验证通过后,基于所述应用信息以及对应的目标用户令牌得到应用认证请求;向第一身份识别与访问管理设备IAM发送所述应用认证请求,以使所述第一IAM基于所述应用认证请求确定应用认证信息;基于所述第一IAM发送的应用认证信息,生成目标格式的token信息,并将所述token信息发送给所述应用服务器。2.根据权利要求1所述的方法,其特征在于,所述基于所述第一IAM发送的应用认证信息,生成目标格式的token信息,包括:若所述应用认证信息包含用户信息,则基于所述应用认证信息生成符合身份认证标准协议OIDC的token信息;或者若所述应用认证信息不包含用户信息,则向所述第一IAM发送获取用户信息的请求,并接收所述第一IAM发送的用户信息;基于所述应用认证信息以及接收的用户信息,生成符合OIDC的token信息。3.根据权利要求1所述的方法,其特征在于,所述应用信息包含应用标识,基于所述应用信息以及对应的目标用户令牌得到应用认证请求,包括:根据所述第一IAM的类型,生成包含所述应用标识以及所述目标用户令牌的应用认证请求。4.根据权利要求1所述的方法,其特征在于,在所述对应用服务器发送的应用信息进行验证之前,还包括:确定所述应用服务器发送的授权请求对应的目标用户令牌;基于选择的第二IAM的类型,得到包含所述目标用户令牌的令牌验证请求;将所述令牌验证请求发送给所述第二IAM,并接收所述第二IAM对所述目标用户令牌的验证信息;若基于所述验证信息确定所述目标用户令牌验证通过,则基于加密时的时间戳、所述目标用户令牌以及所述授权请求包含的应用标识进行加密得到授权码,并将所述授权码发送给所述应用服务器,其中所述授权码用于指示所述应用服务器发送所述应用信息。5.根据权利要求4所述的方法,其特征在于,所述应用信息包含应用标识、应用密钥以及授权码;所述对应用服务器发送的应用信息进行验证,包括:对所述应用信息包含的授权码进行解密,得到解密的用户令牌、解密的应用标识以及...
【专利技术属性】
技术研发人员:潘亚玲,郑彬,杨旭,何坤,陈实,张曼妮,薛霁,廖艳玲,陈星,杨寒飞,
申请(专利权)人:北京神州绿盟科技有限公司神州绿盟成都科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。