专利名称:跨系统用户身份验证系统及方法
技术领域:
本发明涉及一种用户身份验证系统及方法,尤其涉及一种跨系统的用户身份验证系统及 方法。
背景技术:
随着网络应用系统的规模化与集成化,用户在日常工作中所接触的应用系统越来越多, 如仓管系统、采购系统,发票系统等。这些系统对于彼此来说可能是独立运行在不同的网站 服务器上的,然而,这些系统往往又需要同时配合使用。出于信息安全的考虑,用户每登陆 一个系统时,都要进行用户身份的验证。在传统的做法中,当打开各应用系统时,用户需要逐一输入账号、密码才能登陆该各个 应用系统。而且,当用户长时间操作其中的一个系统,而在一定时间内没有操作其他已经登 陆的系统时,这些长时间闲置的系统将会出现用户会话过期而需要重新登陆才能正常使用。 如此繁多的用户身份验证过程在保障了系统信息安全性的同时,却增加了用户的操作,给用 户带来了相当的不便,不利于工作效率的提高。发明内容鉴于以上内容,有必要提出一种跨系统用户身份验证系统,其能够在保障系统安全性的 同时,减少用户的操作。此外,还有必要提出一种跨系统用户身份验证方法,其能够在保障系统安全性的同时, 减少用户的操作。一种跨系统用户身份验证系统。该系统运行于一台应用服务器中。该应用服务器与至少 一台客户端计算机及多个外部的应用系统通信连接。该系统包括关联模块,用于将上述的 多个应用系统建立起关联,以使该多个应用系统的账号及密码成为并集;判断模块,用于判 断是否至少打开了上述相关联应用系统中的一个应用系统;扫描模块,用于当用户打开一个 应用系统时,扫描客户端计算机中的Cookie文件,以判断该客户端计算机中是否存在与该应 用系统相关联的其他应用系统的Cookie文件;获取模块,用于当该客户端计算机中存在与该 应用系统相关联的其他应用系统的Cookie文件时,获取所述其他应用系统的Cookie文件中储 存的Session标识;搜寻模块,用于根据获取的Session标识到所述其他应用系统的网站服务 器中搜寻该客户端计算机的Session文件;提取模块,用于当在所述其他应用系统的网站服时,提取该Session文件中储存的用户基本信息 ;及登陆模块,用于根据该提取出的用户基本信息,自动登陆该应用系统。一种跨系统用户身份验证方法。该方法运行于一台应用服务器中。该应用服务器与至少 一台客户端计算机及多个外部的应用系统通讯连接。该方法包括将上述的多个应用系统建 立起关联,以使该多个应用系统的账号及密码成为并集;判断是否至少打开了上述相关联应 用系统中的一个应用系统;当用户打开一个应用系统时,扫描客户端计算机中的Cookie文件 ,以判断该客户端计算机中是否存在与该应用系统相关联的其他应用系统的Cookie文件;当 该客户端计算机中存在与该应用系统相关联的其他应用系统的Cookie文件时,获取所述其他 应用系统的Cookie文件中储存的Session标识;根据获取的Session标识到所述其他应用系统 的网站服务器中搜寻该客户端计算机的Session文件;当在所述其他应用系统的网站服务器 中搜寻到该客户端计算机的Session文件时,提取该Session文件中储存的用户基本信息;及 根据该提取出的用户基本信息,自动登陆该应用系统。相较于现有技术,本发明所提供的跨系统用户身份验证系统及方法通过对网站session 信息的获取与智能生成,实现跨系统的用户身份自动识别与验证,应用本系统及方法,只要 用户登陆任意一个应用系统,便自动具有与该系统相关联的其他应用系统的使用权限,在保 障系统安全性的同时,减轻了的用户的登陆验证操作。
图l为本发明跨系统用户身份验证系统较佳实施例的实施环境图。 图2为本发明跨系统用户身份验证系统较佳实施例的功能模块图。 图3为本发明跨系统用户身份验证方法较佳实施例的流程图。
具体实施方式
参阅图1所示,是本发明跨系统用户身份验证系统较佳实施例的实施环境图。所述跨系 统用户身份验证系统10运行于一台应用服务器1中,用于实现跨系统的用户身份验证。所述 应用服务器1通过网络3与多个应用系统相连接,如仓管系统4、采购系统5及发票系统6等。 所述多个应用系统可以运行于相同的网站服务器中,也可以运行于不同的网站服务器中,图 l中所示,为运行于不同的网站服务器中。所述的网络2可以为企业内部网或者国际互联网。所述的应用服务器1还连接有至少一台客户端计算机2,其提供一个用户界面,用于登陆 上述的多个应用系统。参阅图2所示,为本发明跨系统用户身份验证系统较佳实施例的功能模块图。该跨系统用户身份验证系统10包括关联模块100、判断模块101、扫描模块102、提示模块103、验证模块104、登陆模块105、保存模块106、获取模块107、搜寻模块108、以及提取 模块109。上述所称的各个模块是完成某一特定功能的计算机程序段,比程序更适合于描述软件在 计算机中的执行过程,因此在本发明将软件程序的功能分别用各个模块来描述。其中,所述的关联模块100主要用于将上述的多个应用系统,如仓管系统4、采购系统5 及发票系统6等,建立起关联,以使该多个应用系统的账号及密码在该跨系统用户身份验证 系统10中成为并集。例如,仓管系统4的账号及密码为(a, a),采购系统5的账号及密码为 (b, b),发票系统6的账号及密码为(c, c),则将该仓管系统4、采购系统5及发票系统 6建立起关联后,通过该跨系统用户身份验证系统IO,该仓管系统4、采购系统5及发票系统 6的账号及密码可以为(a, a) 、 (b, b)及(c, c)中的任何一个。所述的判断模块101主要用于判断用户是否通过客户端计算机2的用户界面至少打开了上 述相关联的其中一个应用系统。此处的打开只是通过点击或者其他方式使该应用系统开始运 行,而并未登陆进入该应用系统。所述的扫描模块102主要用于当用户打开了上述相关联的其中一个应用系统时,扫描客 户端计算机2中的Cookie文件,以判断该客户端计算机2中是否存在与该应用系统相关联的其 他应用系统的Cookie文件。所述Cookie文件通常是指网站服务器为了辨别用户身份而储存在 用户客户端计算机上的数据(通常该数据是经过加密处理的)。客户端计算机中的每一个 Cookie文件对应一个网站服务器中的一个特定的应用程序,反言之, 一个网站服务器或者不 同网站服务器中的不同的应用程序在一台客户端计算机中具有不同的Cookie文件。储存在客 户端计算机的Cookie文件除非用户手动的删除,该Cookie文件将会永远储存在该客户端计算 机中。所述的提示模块103主要用于当该客户端计算机2中不存在与该应用系统相关联的其他应 用系统的Cookie文件时,提示用户输入该应用系统的账号及密码。所述的验证模块104主要用于当用户输入账号及密码后,对输入的帐号及密码进行验证 以确认用户的身份。所述的登陆模块105主要用于当上述账号及密码通过验证时,允许用户在其权限范围内 登陆该应用系统。所述的保存模块106用于加密该用户的基本信息,并将该加密后的信息储存在该应用系 统网站服务器的Session文件中,以及将该Session的标识,S卩SessionID储存在该用户的客 户端计算机2的Cookie文件中。所述用户的基本信息包括用户名及账号、密码等。通常情况下,Cookie文件可以用来储存用户的基本信息,但是由于Cookie文件的特性(除非用户手 动的删除,该Cookie文件将会永远储存在该客户端计算机中),为了保障信息安全,本发明 将用户的基本信息储存在Session文件中,Cookie文件只是用来储存该Session的标识。所述 Session即网站会话,是指一个客户端计算机与服务器之间进行通信的时间间隔。因此, Session实际上是一个时间概念,即客户端计算机与服务器进行不中断的操作时间。 一个客 户端计算机与不同的服务器进行通讯连接时,该客户端计算机对应不同的服务器具有不同的 Session,如客户端计算机A和服务器B建立通讯连接时所处的Session同客户端计算机A和服 务器C建立通讯连接时所处的Session是两个不同的Session。相反的,不同的客户端计算机 与同一台服务器进行通讯连接时,该不同的客户端计算机也具有不同的Session。当某一客 户端计算机与服务器断开连接时,其所对应的Session就会被自动清除。
上述各个模块,即判断模块101、扫描模块102、提示模块103、验证模块104、登陆模块 105、以及保存模块106完成了进入该多个相关联的应用系统中第一个应用系统时的用户身份 验证过程。
另一方面,当上述的扫描模块102扫描到客户端计算机2中存在相关联的其他应用系统的 Cookie文件时,所述的获取模块107主要用于获取该相关联应用系统的Cookie文件中储存的 Session的标识,艮卩SessionID。
所述搜寻模块108主要用于根据该SessionlD到该相关联的应用系统的网站服务器中搜寻 该客户端计算机2的Session。若根据该SessionID不能在该相关联的应用系统的网站服务器 中搜寻该客户端计算机2的Session,则说明此时该相关联的应用系统没有处于登陆状态,没 有处于有效的会话期间内。
所述的提取模块109主要用于当在该相关联的应用系统的网站服务器中搜寻到该客户端 计算机2的Session时,说明此时该相关联的应用系统正处于登陆状态,则提取该Session中 储存的用户基本信息。
进一步地,当提取出用户基本信息后,所述的登陆模块105还用于根据该提取出的用户 基本信息,自动允许该用户在其权限范围内登陆该应用系统。
进一步地,在用户登陆该应用系统后,由所述的保存模块106加密该用户的基本信息, 并将该加密后的信息储存在该应用系统网站服务器的Session中,以及将该Session的标识, 即SessionID储存在该用户的客户端计算机2的Cookie文件中。
上述各个模块,即判断模块101、扫描模块102、获取模块107、搜寻模块108、提取模块 109、登陆模块105以及保存模块106完成了在至少一个与该应用系统相关联的其他应用系统已经被登陆,且仍然在有效的会话期间内的情况下,进入该应用系统时的用户身份验证过程
参阅参阅图3所示,是本发明跨系统用户身份验证方法较佳实施例的流程图。
步骤S100,用户通过关联模块100将多个应用系统相关联,以使该多个应用系统的账号 及密码在该跨系统用户身份验证系统10中成为并集。所述的多个应用系统可以包括仓管系统 4、采购系统5及发票系统6等。
步骤S101,判断模块101判断用户是否通过客户端计算机2的用户界面打开了上述相关联 的其中一个应用系统。若没有打开任何一个应用系统,则结束流程。
若有任何一个应用系统被打开,则步骤S102,扫描模块102扫描客户端计算机2中的 Cookie文件,以判断该客户端计算机2中是否存在与该应用系统相关联的其他应用系统的 Cookie文件。
若没有Cookie文件,则说明通过该客户端计算机2没有登陆过相关联的其他应用系统, 则步骤S104,提示模块103提示用户输入该应用系统的账号及密码。
步骤S105,当用户输入账号及密码后,验证模块104对该输入的帐号及密码进行验证以 确认用户的身份。若账号或者密码没有通过验证,则该用户不具有登陆该应用系统的权限, 直接结束流程。
否则,若账号及密码都通过了验证,则步骤S106,登陆模块105根据该输入的账号及密 码允许用户在其权限范围内登陆该应用系统。
步骤S107,保存模块106加密该用户的基本信息,并将该加密后的信息储存在该应用系 统网站服务器的Session中。所述用户的基本信息包括用户名及账号、密码等。
步骤S108,保存模块106将该Session的标识,S卩SessionID储存在该用户的客户端计算 机2的Cookie文件中。
上述步骤完成了进入该多个相关联的应用系统中第一个应用系统时的用户身份验证过程
进一步地,流程返回步骤SIOI,判断模块101判断用户是否通过客户端计算机2的用户界 面打开了相关联的其中一个应用系统。若没有打开任何一个应用系统,则结束流程。
若有任何一个应用系统被打开,则步骤S102,扫描模块102扫描客户端计算机2中的 Cookie文件,以判断该客户端计算机2中是否存在与该应用系统相关联的其他应用系统的 Cookie文件。
若存在Cookie文件,则说明通过该客户端计算机l有登陆过相关联的其他应用系统,则步骤S110,获取模块107获取该Cookie文件中储存的Session的标识,即SessionID,进一步 地,搜寻模块108根据该SessionlD到该Cookie文件所对应的其他应用系统的网站服务器中搜 寻该客户端计算机2的S e s s i on 。
步骤Slll,搜寻模块108判断根据该SessionlD是否能在该Cookie文件所对应的其他应用 系统的网站服务器中搜寻该客户端计算机2的Session。若根据该SessionID不能找到对应的 Session,则说明上述通过该客户端计算机2登陆过的相关联的其他应用系统已经退出登陆, 则执行步骤S104至步骤S108。
否则,若根据该SessionID能够找到对应的Session,则说明包含该SessionID的Cookie 文件所对应的应用系统已经被登陆,并处于有效的会话期间,则步骤S112,提取模块109提 取该Session中储存的用户基本信息。
步骤S106,登陆模块105根据该提取出的用户基本信息,自动允许用户在其权限范围内 登陆该应用系统。
步骤S107,保存模块106加密该用户的基本信息,并将该加密后的信息储存在该应用系 统网站服务器的Session中,以及步骤S108,保存模块106将该Session的标识,即 SessionID储存在该用户的客户端计算机2的Cookie文件中。
上述个步骤完成了在至少一个与该应用系统相关联的其他应用系统已经被登陆,且仍然 在有效的会话期间内的情况下,进入该应用系统时的用户身份验证过程。
本发明提供的跨系统的用户身份验证系统及方法将用户的基本信息,包括账号密码等, 保存在服务器的Session中,而不是保存在本地的Cookie文件中,因而保证了应用系统的信 息安全;进一步地,通过对Session中保存的用户基本信息的获取及生成,实现了跨系统的 用户身份自动验证,减少了用户的操作。
以上实施例仅用以说明本发明的技术方案而非限制,尽管参照以上较佳实施例对本发明 进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行的修改或等同 替换,都不应脱离本发明技术方案的精神和范围。
权利要求
1.一种跨系统用户身份验证系统,其运行于一台应用服务器中,该应用服务器与至少一台客户端计算机及多个外部的应用系统通信连接,其特征在于,该系统包括关联模块,用于将上述的多个应用系统建立起关联,以使该多个应用系统的账号及密码成为并集;判断模块,用于判断是否至少打开了上述相关联应用系统中的一个应用系统;扫描模块,用于当用户打开一个应用系统时,扫描客户端计算机中的Cookie文件,以判断该客户端计算机中是否存在与该应用系统相关联的其他应用系统的Cookie文件;获取模块,用于当该客户端计算机中存在与该应用系统相关联的其他应用系统的Cookie文件时,获取所述其他应用系统的Cookie文件中储存的Session标识;搜寻模块,用于根据获取的Session标识到所述其他应用系统的网站服务器中搜寻该客户端计算机的Session文件;提取模块,用于当在所述其他应用系统的网站服务器中搜寻到该客户端计算机的Session文件时,提取该Session文件中储存的用户基本信息;及登陆模块,用于根据该提取出的用户基本信息,自动登陆该应用系统。
2 如权利要求l所述的跨系统用户身份验证系统,其特征在于,该系统还包括提示模块,用于当该客户端计算机中不存在与该应用系统相关联的其他应用系统的 Cookie文件时,提示用户输入该应用系统的账号及密码;验证模块,用于当用户输入账号及密码后,对输入的帐号及密码进行验证以确认用户 的身份;及所述的登陆模块还用于当输入的账号及密码通过验证时,根据该输入的账号及密码登 陆该应用系统。
3 如权利要求1或2所述的跨系统用户身份验证系统,其特征在于,该系统还包括保存模块,用于加密用户的基本信息,并将该加密后的用户基本信息储存在该应用系 统的网站服务器的Session中,以及将该Session的标识储存在该用户的客户端计算机的 Cookie文件中。
4 如权利要求3所述的跨系统用户身份验证系统,其特征在于,所述 用户的基本信息包括用户名、账号及密码。
5 一种跨系统用户身份验证方法,该方法运行于一台应用服务器中 ,该应用服务器与至少一台客户端计算机及多个外部的应用系统通讯连接,其特征在于,该 方法包括将上述的多个应用系统建立起关联,以使该多个应用系统的账号及密码成为并集; 判断是否至少打开了上述相关联应用系统中的一个应用系统;当用户打开一个应用系统时,扫描客户端计算机中的Cookie文件,以判断该客户端计 算机中是否存在与该应用系统相关联的其他应用系统的Cookie文件;当该客户端计算机中存在与该应用系统相关联的其他应用系统的Cookie文件时,获取 所述其他应用系统的Cooki e文件中储存的S e s s i on标识;根据获取的Session标识到所述其他应用系统的网站服务器中搜寻该客户端计算机的 Session文件;当在所述其他应用系统的网站服务器中搜寻到该客户端计算机的Session文件时,提取 该Session文件中储存的用户基本信息;及根据该提取出的用户基本信息,自动登陆该应用系统。
6 如权利要求5所述的跨系统用户身份验证方法,其特征在于,当该 客户端计算机中不存在与该应用系统相关联的其他应用系统的Cookie文件时,该方法还包括提示用户输入该应用系统的账号及密码;当用户输入账号及密码后,对输入的帐号及密码进行验证以确认用户的身份;及 当输入的账号及密码通过验证时,根据该输入的账号及密码登陆该应用系统。
7 如权利要求5或6所述的跨系统用户身份验证方法,其特征在于, 该方法还包括加密用户的基本信息,并将该加密后的用户基本信息储存在该应用系统的网站服务器 的Session中,以及将该Session的标识储存在该用户的客户端计算机的Cookie文件中。
8.如权利要求7所述的跨系统用户身份验证方法,其特征在于,所述 用户的基本信息包括用户名、账号及密码。
全文摘要
本发明提供一种跨系统用户身份验证系统,包括关联模块,用于将多个应用系统建立关联;扫描模块,用于当用户打开一个应用系统时,扫描并判断该客户端计算机中是否存在与该应用系统相关联的其他应用系统的Cookie文件;获取模块,用于当存在所述Cookie文件时,获取该Cookie文件中的Session标识;搜寻模块,用于根据该Session标识到所述其他应用系统的网站服务器中搜寻Session文件;提取模块,用于提取该Session文件中储存的用户基本信息;及登陆模块,用于根据该提取出的用户基本信息,自动登陆该应用系统。本发明还提供跨系统用户身份验证方法。本发明能够同时保障系统安全性及减少用户的操作。
文档编号H04L29/06GK101651671SQ20081030377
公开日2010年2月17日 申请日期2008年8月14日 优先权日2008年8月14日
发明者常小军 申请人:鸿富锦精密工业(深圳)有限公司;鸿海精密工业股份有限公司