【技术实现步骤摘要】
本专利技术涉及单点登录,尤其涉及一种单点登录方法、系统、电子设备及存储介质。
技术介绍
1、单点登录(sso)作为一种身份验证技术,它使用户仅通过一次登录和一组凭据,即可访问多个相互信任的应用系统。通常,认证中心管理着用户相关信息和登录状态,用户经过认证中心进行身份校验,通过后创建全局凭证,便可在多个相互信任的应用系统间共享用户相关信息和登录状态,避免了访问多个应用系统时需要频繁登录的麻烦。
2、目前,现有的单点登录方法中,一般是认证中心对用户认证通过后,将生成的全局凭证发放至浏览器;应用系统使用全局凭证在认证中心获取临时凭证,在认证中心校验临时凭证以获取用户身份信息,并生成应用凭证;最后开放应用系统资源给用户。
3、然而,当全局凭证或临时凭证被非法系统获取时,非法系统可使用全局凭证或应用凭据持续访问应用系统,导致安全性较差;其次,应用系统获取应用凭证后,还需通过认证中心再次校验应用凭证以获取用户信息,增加了网络请求和认证中心压力,导致响应速度低。
技术实现思路
1、本专利技术提供一种单点登录方法、系统、电子设备及存储介质,用以解决现有单点登录安全性差和响应速度低的问题。
2、第一方面,本专利技术提供了一种单点登录方法,所述方法包括:
3、应用系统接收用户的访问业务请求,向认证中心发送请求消息;所述认证中心对所述请求消息进行验证,得到所述用户身份信息;对所述用户身份信息进行预设处理,得到负载数据和头部数据;其中,所述头部数据至少包括时
4、所述认证中心对所述负载数据和所述头部数据分别进行编码处理,依次得到负载编码数据和头部编码数据;将所述负载数据和所述头部数据合并后进行加签处理,得到加签数据;并基于所述负载编码数据、所述头部编码数据和所述加签数据,生成临时凭证并发送给所述应用系统;
5、所述应用程序接收所述临时凭证,并对所述临时凭证进行验签处理和解密处理,得到用户身份信息;基于所述用户身份信息创建应用系统的应用凭证,将对应的系统资源开放给用户。
6、进一步的,所述请求消息包括:利用所述应用系统私钥加签的应用系统标识和利用所述认证中心公钥加密的用户身份信息。
7、进一步的,所述验证包括:利用应用系统公钥对所述应用系统私钥加签的应用系统标识进行验签和利用认证中心私钥对所述认证中心公钥加密的用户身份信息进行解密。
8、进一步的,所述负载数据的得到包括:利用预设加密处理方式对所述用户身份信息进行加密,得到负载数据;
9、所述头部数据的得到包括:利用预设加签处理方式确定所述负载数据中的对应头部数据,并将时间戳和非重复随机数值增加到所述对应头部数据中,得到头部数据。
10、进一步的,所述验签处理包括:获取所述头部数据中的时间戳和非重复随机数值,当时间戳在设定范围内且非重复随机数值没有被所述应用系统使用时,表示验签成功,所述临时凭证为有效。
11、进一步的,所述预设加密处理方式为json格式网络加密方式;所述预设加签处理方式为json格式网络加签方式。
12、进一步的,当用户在没有登录过所述应用系统时,所述应用系统接收用户的访问业务请求,向认证中心发送请求消息之前,还包括:
13、当用户访问所述应用系统时,显示用户未登录所述应用系统,则跳转至所述认证中心;当用户访问所述认证中心时,显示用户未登录所述认证中心,则跳转至用户的登录页面。
14、第二方面,本专利技术提供了一种单点登录系统,所述系统包括相互连接的:
15、应用程序:用于接收用户的访问业务请求,向认证中心发送请求消息;接收所述临时凭证,并对所述临时凭证进行验签处理和解密处理,得到用户身份信息;基于所述用户身份信息创建应用系统的应用凭证,将对应应用系统的资源开放给用户;
16、认证中心:用于对所述请求消息进行验证,得到所述用户身份信息;对所述用户身份信息进行预设处理,得到负载数据和头部数据;其中,所述头部数据包括时间戳和非重复随机数值;对所述负载数据和所述头部数据分别进行编码处理,依次得到负载编码数据和头部编码数据;将所述负载数据和所述头部数据合并后进行加签处理,得到加签数据;基于所述负载编码数据、所述头部编码数据和所述加签数据,生成临时凭证并发送给所述应用系统。
17、第三方面,本专利技术提供了一种单点登录电子设备,所述电子设备包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述计算机程序被所述处理单元执行时,使得所述处理单元执行上述任一项所述方法的步骤。
18、第四方面,本专利技术提供了一种存储介质,其存储有可由访问认证设备执行的计算机程序,当所述计算机程序在访问认证设备上运行时,使得所述访问认证设备执行上述任一项所述方法的步骤。
19、总体而言,通过本专利技术所构思的技术方案,与现有技术相比能够取得下列有益效果:
20、(1)本专利技术提供一种单点登录方法、系统、电子设备及存储介质,生成临时凭证时,在头部数据中增加时间戳和非重复随机数值,使得后续应用系统可以根据时间戳和非重复随机数值确保临时凭证的一次有效性,从而避免临时凭证被多次使用,在很大程度上提高了单点登录的安全性。
21、(2)本专利技术提供一种单点登录方法、系统、电子设备及存储介质,通过对请求消息进行加密加签处理,使得认证中心对请求消息进行验证时,需要利用应用系统公钥对请求消息验签,从而根据应用系统标识和验签结果确保请求消息是由应用系统端发送而来。由于应用系统的公钥私钥对和认证中心的公钥私钥对均无法被仿造,因此可以避免请求消息被非法破解,为后续避免临时凭证被窃取使用奠定了基础,保证了单点登录的安全性。
22、(3)本专利技术提供一种单点登录方法、系统、电子设备及存储介质,使用预定加密处理方式加密用户身份信息,将其作为临时凭证的负载数据部分,减少了应用系统与认证中心之间的交互,使得在一定程度上减少了网络请求和认证中心的压力,提高了响应速度和用户体验。
23、(4)本专利技术提供一种单点登录方法、系统、电子设备及存储介质,通过将加密后用户身份信息作为临时凭证的负载数据部分,并在头部数据中增加时间戳和非重复随机数值,同时对负载数据和头部数据进行编码处理和加签;在防止临时凭证被多次使用的同时,还保证了临时凭证不被篡改或非法请求,也避免了应用系统与认证中心的再次交互,加快了应用系统的响应速度。
本文档来自技高网...【技术保护点】
1.一种单点登录方法,其特征在于,所述方法包括:
2.如权利要求1所述的一种单点登录方法,其特征在于,所述请求消息包括:利用所述应用系统私钥加签的应用系统标识和利用所述认证中心公钥加密的用户身份信息。
3.如权利要求2所述的一种单点登录方法,其特征在于,所述验证包括:利用应用系统公钥对所述应用系统私钥加签的应用系统标识进行验签和利用认证中心私钥对所述认证中心公钥加密的用户身份信息进行解密。
4.如权利要求1所述的一种单点登录方法,其特征在于,所述负载数据的得到包括:利用预设加密处理方式对所述用户身份信息进行加密,得到负载数据;
5.如权利要求1所述的一种单点登录方法,其特征在于,所述验签处理包括:获取所述头部数据中的时间戳和非重复随机数值,当时间戳在设定范围内且非重复随机数值没有被所述应用系统使用时,表示验签成功,所述临时凭证为有效。
6.如权利要求4所述的一种单点登录方法,其特征在于,所述预设加密处理方式为json格式网络加密方式;所述预设加签处理方式为json格式网络加签方式。
7.如权利要求1所述的一种
8.一种单点登录系统,其特征在于,所述系统包括相互连接的:
9.一种单点登录电子设备,其特征在于,所述电子设备包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述计算机程序被所述处理单元执行时,使得所述处理单元执行权利要求1~7任一项所述方法的步骤。
10.一种存储介质,其特征在于,其存储有可由访问认证设备执行的计算机程序,当所述计算机程序在访问认证设备上运行时,使得所述访问认证设备执行权利要求1~7任一项所述方法的步骤。
...【技术特征摘要】
1.一种单点登录方法,其特征在于,所述方法包括:
2.如权利要求1所述的一种单点登录方法,其特征在于,所述请求消息包括:利用所述应用系统私钥加签的应用系统标识和利用所述认证中心公钥加密的用户身份信息。
3.如权利要求2所述的一种单点登录方法,其特征在于,所述验证包括:利用应用系统公钥对所述应用系统私钥加签的应用系统标识进行验签和利用认证中心私钥对所述认证中心公钥加密的用户身份信息进行解密。
4.如权利要求1所述的一种单点登录方法,其特征在于,所述负载数据的得到包括:利用预设加密处理方式对所述用户身份信息进行加密,得到负载数据;
5.如权利要求1所述的一种单点登录方法,其特征在于,所述验签处理包括:获取所述头部数据中的时间戳和非重复随机数值,当时间戳在设定范围内且非重复随机数值没有被所述应用系统使用时,表示验签成功,所述临时凭证为有效。
6.如...
【专利技术属性】
技术研发人员:许杰,魏国,王云亮,万水明,
申请(专利权)人:武汉虹信技术服务有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。