一种用户管理方法、装置和统一用户管理系统的制作方法

文档序号:7997294阅读:158来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种用户管理方法、装置和统一用户管理系统的制作方法
【专利摘要】本发明实施例提供一种用户管理方法、装置和统一用户管理系统,在业务系统中可以配置与不同操作权限对应的多个用户类型,业务系统可以将自身配置的用户类型全量同步至用户管理系统。用户管理系统向业务系统反馈在该业务系统中,用户的用户类型,使得业务系统可以根据用户类型确定用户的操作权限,从而实现对用户的业务访问请求的合法性判断。
【专利说明】一种用户管理方法、装置和统一用户管理系统

【技术领域】
[0001] 本发明涉及通信领域,尤其涉及一种用户管理方法、装置和统一用户管理系统。

【背景技术】
[0002] 目前,针对业务系统的用户管理方法中,包括移动代理系统(Mobile Agent System,MAS)模式和应用数据中心(Application data Center,ADC)模式。
[0003] 在MAS模式下,主要采用基座加插件的实现方案。作为基座的用户管理系统只实 现了对各业务系统的接入管理,并没有实现对各业务系统的用户数据的管理。因此,需要系 统管理员分别在作为插件的每个业务系统上添加用户数据(即用户账户信息)和配置用户 操作权限,各个业务系统相互独立,各自管理用户。在用户需要使用多个业务系统时,需要 在每个业务系统上分别进行登录验证。
[0004] 在ADC模式下,虽然实现了单点登录,但需要用户管理系统向各业务系统同步用 户数据,并需要针对每个业务系统分别配置用户的操作权限。
[0005] 在现有方案中,用户管理系统为用户配置各业务系统的操作权限时,用户管理 系统需要根据该用户的用户数据,分别向各业务系统查询该用户的操作权限,将该操作 权限分配给该用户,并可以存储在轻量目录访问协议(Lightweight Directory Access Pr〇t〇C〇l,LADP)中。用户通过用户管理系统的认证后,单点登录到业务系统,在进行每次操 作时,业务系统根据该用户的用户数据,如用户名向用户管理系统查询该用户的操作权限, 从而得知该用户是否可以进行本次操作。
[0006] 因此,现有技术方案存在以下问题:
[0007] (1)、针对每个用户,用户管理系统均需向该用户使用的每个业务系统查询该用户 的操作权限;且针对一个用户的每次操作,业务系统均需向用户管理系统查询该用户的操 作权限。由于业务系统和用户管理系统之间的数据查询操作频繁,会导致占用大量的系统 资源。且由于每次进行数据查询时,均需要携带用户数据,使得用户数据被黑客窃取的风险 性较高。
[0008] (2)、用户管理系统需要向各业务系统同步用户数据,由此可能存在各业务系统与 用户管理系统中的用户数据不一致的问题。


【发明内容】

[0009] 本发明实施例提供一种用户管理方法、装置和统一用户管理系统,用于提高用户 数据的安全性。
[0010] 一种用户管理方法,所述方法包括:
[0011] 用户管理系统接收业务系统发送的认证业务系统访问标签ServiceTick请求,所 述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信息;
[0012] 所述用户管理系统对所述ServiceTick信息进行认证,并在对所述ServiceTick 信息认证通过时,向所述业务系统返回认证响应消息,所述认证响应消息中携带用户标识 以及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是 所述用户管理系统从所述业务系统预先发送的所有用户类型中,确定出的所述用户标识对 应的用户类型;
[0013] 其中,所述业务系统根据所述用户类型对应的操作权限,确定对所述用户标识表 示的用户发送的业务访问请求的响应结果。
[0014] 一种用户管理方法,所述方法包括:
[0015] 业务系统接收用户通过浏览器发送的业务访问请求;
[0016] 所述业务系统根据操作权限,确定对所述用户发送的业务访问请求的响应结果, 所述操作权限是所述业务系统根据预先确定的所述用户对应的用户类型,确定出的对应的 操作权限;
[0017] 其中,所述用户类型通过以下方式确定:
[0018] 所述业务系统向用户管理系统发送认证业务系统访问标签ServiceTick请求,所 述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信息;接收所述用户 管理系统发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类 型,所述用户类型是所述用户管理系统从所述业务系统预先发送的所有用户类型中,确定 出的所述用户标识对应的用户类型。
[0019] 一种用户管理装置,所述装置包括:
[0020] 接收模块,用于接收业务系统发送的认证业务系统访问标签ServiceTick请求, 所述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信息;
[0021] 认证模块,用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信息 认证通过时,向所述业务系统返回认证响应消息,所述认证响应消息中携带用户标识以及 用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是从所 述业务系统预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;其中,所 述业务系统根据所述用户类型对应的操作权限,确定对所述用户标识表示的用户发送的业 务访问请求的响应结果。
[0022] 一种用户管理装置,所述装置包括:
[0023] 确定模块,用于向用户管理系统发送认证业务系统访问标签ServiceTick请求, 所述认证ServiceTick请求中携带业务系统对应的ServiceTick信息;接收所述用户管理 系统发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型, 所述用户类型是所述用户管理系统从所述业务系统预先发送的所有用户类型中,确定出的 所述用户标识对应的用户类型;
[0024] 接收模块,用于接收用户通过浏览器发送的业务访问请求;
[0025] 响应模块,用于根据操作权限,确定对所述用户发送的业务访问请求的响应结果, 所述操作权限是根据所述确定模块接收到的用户类型,确定出的对应的操作权限。
[0026] 一种统一用户管理系统,所述系统包括用户管理系统和至少一个业务系统,其 中:
[0027] 所述业务系统,用于向所述用户管理系统发送认证业务系统访问标签 ServiceTick请求,所述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信 息;根据接收到的用户类型对应的操作权限,确定对接收到的用户标识表示的用户发送的 业务访问请求的响应结果;
[0028] 所述用户管理系统,用于对所述ServiceTick信息进行认证,并在对所述 ServiceTick信息认证通过时,向发送所述ServiceTick信息的业务系统返回认证响应消 息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick 信息对应的用户标识,所述用户类型是所述用户管理系统从发送所述ServiceTick信息的 业务系统预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
[0029] 根据本发明实施例提供的方案,业务系统可以预先向用户管理系统发送自身配置 的所有的用户类型,一个用户类型对应一种对所述业务系统的操作权限。用户管理系统在 对业务系统发送的ServiceTick信息认证通过时,向业务系统返回该ServiceTick信息对 应的用户标识,以及该用户标识在所述业务系统对应的用户类型,使得业务系统可以根据 接收到的用户类型,确定接收到的用户标识表示的用户对自身的操作权限。
[0030] 因此,业务系统在每次接收到用户发送的业务访问请求时,可以无需重复查询用 户管理系统,即可以根据该用户对应的用户类型所对应的操作权限,对该用户的业务访问 请求进行合法性判断,减少了业务系统向用户管理系统的查询次数。另外,由于业务系统是 向用户管理系统传递自身配置的所有的用户类型,即可以一次性将所有用户的操作权限传 递给用户管理系统,使得用户管理系统无需针对每个用户,分别查询该用户的操作权限,还 减少了用户管理系统向业务系统的查询次数。由于用户管理系统和业务系统之间查询次数 的减少,可以提高用户数据的安全性,并有效减少系统资源的占用。而由于业务系统根据用 户类型即可以确定用户在自身对应的操作权限,用户管理系统无需向各业务系统进行用户 数据同步,还可以避免各业务系统与用户管理系统中的用户数据不一致的问题。

【专利附图】

【附图说明】
[0031] 图1为本发明实施例一提供的用户管理方法的步骤流程图;
[0032] 图2为本发明实施例二提供的用户管理装置的结构示意图;
[0033] 图3为本发明实施例三提供的用户管理方法的步骤流程图;
[0034] 图4为本发明实施例四提供的用户管理装置的结构示意图;
[0035] 图5为本发明实施例五提供的用户数据配置的流程示意图;
[0036] 图6为本发明实施例五提供的用户管理方法的步骤流程图;
[0037] 图7为本发明实施例六提供的用户管理系统的结构示意图;
[0038] 图8为本发明实施例六提供的用户管理系统的结构示意图。

【具体实施方式】
[0039] 在本发明各实施例提供的方案中,在业务系统中可以配置与不同操作权限对应的 多个用户类型,业务系统可以将自身配置的用户类型全量同步至用户管理系统。用户管理 系统向业务系统反馈在该业务系统中,用户的用户类型,使得业务系统可以根据用户类型 确定用户的操作权限,从而实现对用户的业务访问请求的合法性判断。
[0040] 以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的 优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申 请中的实施例及实施例中的特征可以相互组合。
[0041] 实施例一、
[0042] 本发明实施例一提供一种用户管理方法,从用户管理系统侧对本发明提供的用户 管理方法进行说明,该方法的步骤流程可以如图1所示,包括:
[0043] 步骤101、用户管理系统接收认证业务系统访问标签(ServiceTick)请求。
[0044] 在本实施例中,用户管理系统可以向业务系统反馈用户的用户类型,使得业务系 统可以根据用户的用户类型确定用户的操作权限。具体的,用户管理系统可以在对认证 ServiceTick请求的认证响应消息中携带用户的用户类型。
[0045] 因此,在本步骤中,用户管理系统可以接收业务系统发送的认证ServiceTick请 求,所述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信息。
[0046] 步骤102、用户管理系统返回认证响应消息。
[0047] 用户管理系统对所述ServiceTick信息进行认证,在对所述ServiceTick信息认 证通过时,向所述业务系统返回认证响应消息,所述认证响应消息中携带用户标识以及用 户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是所述用 户管理系统从所述业务系统预先发送的所有用户类型中,确定出的所述用户标识对应的用 户类型。从而将在所述业务系统中,所述用户标识对应的用户类型反馈给所述业务系统。 [0048] 当然,在本实施例中,可以预先在业务系统中配置与操作权限对应的多个用户类 型,业务系统可以将自身配置的每个用户类型预先全量同步至用户管理系统。因此,相当于 业务系统可以将所有用户对应的操作权限一次性传递给用户管理系统,大大减少了用户管 理系统向业务系统查询用户操作权限的次数。
[0049] 例如,假设预先在业务系统中配置了三个用户类型,分别用第一用户类型、第二用 户类型和第三用户类型表示,第一用户类型、第二用户类型和第三用户类型在该业务系统 中对应的操作权限分别为第一操作权限、第二操作权限和第三操作权限。
[0050] 所述业务系统可以将第一用户类型、第二用户类型和第三用户类型预先全量同步 至用户管理系统。
[0051] 在用户管理系统对ServiceTick信息认证通过时,就可以将该ServiceTick信息 对应的用户标识,以及该用户标识表示的用户在所述业务系统中,对应的用户类型发送给 所述业务系统。
[0052] 当然,在用户管理系统中,已经预先配置了用户(用户标识)与所述业务系统中用 户类型的对应关系。
[0053] 进一步的,在步骤101之前,用户管理系统还可以对临时文本文件(Cookie)信息 进行验证,即在步骤101之前,还可以进一步包括以下步骤:
[0054] 步骤101'、用户管理系统接收认证Cookie请求。
[0055] 用户管理系统还可以对Cookie信息进行认证,以实现单点登录。在本步骤中,用 户管理系统可以接收用户通过浏览器发送的认证Cookie请求,所述认证Cookie请求中携 带Cookie信息。
[0056] 步骤101"、用户管理系统认证Cookie信息。
[0057] 在本步骤中,用户管理系统对Cookie信息进行认证,从而确定进行单点登录的用 户是否已经登陆过。
[0058] 所述用户管理系统在确定所述Cookie信息对应的用户账户信息不存在或所述 Cookie信息对应的用户账户信息无效时,确定进行单点登录的用户未曾登陆过,可以向所 述浏览器返回登录页面,请求所述用户输入用户账户信息。
[0059] 所述用户管理系统在确定所述Cookie信息对应的用户账户信息有效时,确定进 行单点登录的用户已经登陆过,可以为所述业务系统分配ServiceTick信息,并向所述浏 览器返回所述ServiceTick信息和所述Cookie信息(此时,所述ServiceTick信息即与所 述Cookie信息建立了对应关系,即建立了所述ServiceTick信息与所述Cookie信息对应 的用户账户信息(中的用户标识)的对应关系),其中,所述浏览器携带所述ServiceTick信 息重定向至所述业务系统。从而使得业务系统可以向用户管理系统发送认证ServiceTick 请求。
[0060] 与本发明实施例一基于同一发明构思,提供以下的用户管理装置。
[0061] 实施例二、
[0062] 本发明实施例二提供一种用户管理装置,该用户管理装置可以集成在实施例一涉 及的用户管理系统中,该装置的结构可以如图2所示,包括:
[0063] 接收模块11用于接收业务系统发送的认证业务系统访问标签ServiceTick请求, 所述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信息;
[0064] 认证模块12用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信 息认证通过时,向所述业务系统返回认证响应消息,所述认证响应消息中携带用户标识以 及用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是从 所述业务系统预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;其中, 所述业务系统根据所述用户类型对应的操作权限,确定对所述用户标识表示的用户发送的 业务访问请求的响应结果。
[0065] 所述接收模块11还用于接收用户通过浏览器发送的认证临时文本文件Cookie请 求,所述认证Cookie请求中携带Cookie信息;
[0066] 所述认证模块12还用于在确定所述Cookie信息对应的用户账户信息不存在或 所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户 输入用户账户信息;在确定所述Cookie信息对应的用户账户信息有效时,为所述业务系统 分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信 息,其中,所述浏览器携带所述ServiceTick信息重定向至所述业务系统。
[0067] 实施例三、
[0068] 本发明实施例三提供一种用户管理方法,从业务系统侧对本发明提供的用户管理 方法进行说明,该方法的步骤流程可以如图3所示,包括:
[0069] 步骤201、业务系统接收业务访问请求。
[0070] 业务系统在对用户管理的过程中,可以根据预先接收到的用户类型,来确定用户 的业务访问请求的合法性。而无需每次接收到业务访问请求时,均向用户管理系统查询该 用户的操作权限,从而减少向用户管理系统的查询次数。
[0071] 在本步骤中,业务系统接收用户通过浏览器发送的业务访问请求。
[0072] 步骤202、业务系统确定响应结果。
[0073] 在本步骤中,业务系统可以根据用户的用户类型所对应的操作权限,确定对该用 户的业务访问请求的响应结果。
[0074] 具体的,在本步骤中,所述业务系统根据操作权限,确定对所述用户发送的业务访 问请求的响应结果,所述操作权限是所述业务系统根据预先确定的所述用户对应的用户类 型,确定出的对应的操作权限。
[0075] 其中,所述用户类型通过以下方式确定:
[0076] 所述业务系统向用户管理系统发送认证业务系统访问标签ServiceTick请求,所 述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信息;接收所述用户 管理系统发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类 型,所述用户类型是所述用户管理系统从所述业务系统预先发送的所有用户类型中,确定 出的所述用户标识对应的用户类型。
[0077] 具体的,所述业务系统向用户管理系统发送认证业务系统访问标签ServiceTick 请求之前,所述业务系统接收所述用户通过浏览器发送的业务系统访问请求;
[0078] 贝IJ,所述业务系统向用户管理系统发送认证业务系统访问标签ServiceTick请 求,具体包括:
[0079] 所述业务系统判断所述业务系统访问请求中是否携带ServiceTick信息:
[0080] 在确定所述业务系统访问请求中携带ServiceTick信息时,确定用户管理系 统已经向所述用户签发了访问所述业务系统的票据,可以向用户管理系统发送认证 ServiceTick 请求;
[0081] 在确定所述业务系统访问请求中没有携带ServiceTick信息时,确定用户管理系 统没有向所述用户签发访问所述业务系统的票据,可以重定向至所述浏览器;其中,所述浏 览器向所述用户管理系统发送认证临时文本文件Cookie请求,所述认证Cookie请求中携 带Cookie信息;所述用户管理系统在确定所述Cookie信息对应的用户账户信息不存在或 所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户 输入用户账户信息;所述用户管理系统在确定所述Cookie信息对应的用户账户信息有效 时,为所述业务系统分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信 息和所述Cookie信息,所述浏览器携带所述ServiceTick信息重定向至所述业务系统。 [0082] 与本发明实施例三基于同一发明构思,提供以下的用户管理装置。
[0083] 实施例四、
[0084] 本发明实施例四提供一种用户管理装置,该用户管理装置可以集成在实施例一涉 及的业务系统中,该装置的结构可以如图4所示,包括:
[0085] 确定模块21用于向用户管理系统发送认证业务系统访问标签ServiceTick请求, 所述认证ServiceTick请求中携带业务系统对应的ServiceTick信息;接收所述用户管理 系统发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型, 所述用户类型是所述用户管理系统从所述业务系统预先发送的所有用户类型中,确定出的 所述用户标识对应的用户类型;
[0086] 接收模块22用于接收用户通过浏览器发送的业务访问请求;
[0087] 响应模块23用于根据操作权限,确定对所述用户发送的业务访问请求的响应结 果,所述操作权限是根据所述确定模块接收到的用户类型,确定出的对应的操作权限。
[0088] 所述接收模块22还用于接收所述用户通过浏览器发送的业务系统访问请求;
[0089] 所述确定模块21具体用于判断所述业务系统访问请求中是否携带ServiceTick 信息:
[0090] 在确定所述业务系统访问请求中携带ServiceTick信息时,向用户管理系统发送 认证ServiceTick请求;
[0091] 在确定所述业务系统访问请求中没有携带ServiceTick信息时,重定向至所述浏 览器;其中,所述浏览器向所述用户管理系统发送认证临时文本文件Cookie请求,所述认 证Cookie请求中携带Cookie信息;所述用户管理系统在确定所述Cookie信息对应的用户 账户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录 页面,请求所述用户输入用户账户信息;所述用户管理系统在确定所述Cookie信息对应的 用户账户信息有效时,为所述业务系统分配所述ServiceTick信息,并向所述浏览器返回 所述ServiceTick信息和所述Cookie信息,所述浏览器携带所述ServiceTick信息重定向 至所述业务系统。
[0092] 下面通过一个具体的实例对本发明实施例一?四的方案进行说明。
[0093] 实施例五、
[0094] 本发明实施例五提供一种用户管理方法,在实现过程中,用户数据配置的流程可 以如图5所示,包括:
[0095] 第一步、系统管理员在业务系统中配置用户类型。
[0096] 每个用户类型对应一种操作权限。
[0097] 在图5中,以一个业务系统为例进行说明。针对每个业务系统的操作相同。
[0098] 第二步、业务系统同步用户类型至用户管理系统。
[0099] 在业务系统中配置好与各种操作权限对应的用户类型后,业务系统可以将自身配 置的所有用户类型全量同步至用户管理系统。
[0100] 第三步、用户管理系统绑定信息。
[0101] 在本步骤中,用户管理系统可以将各业务系统对应的用户类型,与该业务系统的 注册信息绑定,从而建立业务系统和用户类型的对应关系。如果一个业务系统未在用户管 理系统中注册,则绑定失败。
[0102] 第四步、用户管理系统反馈绑定结果。
[0103] 用户管理系统将一个业务系统对应的用户类型,与该业务系统的注册信息绑定 后,可以向该业务系统反馈绑定成功信息。当然,如果,绑定失败,即确定该业务系统未注 册,可以向该业务系统反馈绑定失败信息。
[0104] 第五步、系统管理员创建用户。
[0105] 在用户管理系统针对各业务系统,建立该业务系统、与该业务系统对应的用户类 型的对应关系后,即可以创建用户。
[0106] 在本步骤中,系统管理员可以通过用户管理系统创建用户,为该用户选择可用的 业务系统,并针对每个可用的业务系统,分配该用户的用户类型。
[0107] 当然,用户管理系统可以保存系统管理员创建的用户的相关信息。
[0108] 在预先进行用户数据配置之后,即可以实现用户管理。具体的,在本实施例中,用 户管理方法的步骤流程可以如图6所示,包括:
[0109] 步骤301、用户通过浏览器发送业务系统访问请求。
[0110] 步骤302、业务系统判断业务系统访问请求中,是否携带ServiceTick信息。
[0111] 如果业务系统确定业务系统访问请求中携带ServiceTick信息,则可以跳转执行 步骤309,否则,可以继续执行步骤303。
[0112] 步骤303、业务系统重定向至浏览器。
[0113] 步骤304、浏览器重定向至用户管理系统,携带Cookie信息。
[0114] 步骤305、用户管理系统认证Cookie信息。
[0115] 用户管理系统在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie 信息对应的用户账户信息无效时,执行步骤306 ;所述用户管理系统在确定所述Cookie信 息对应的用户账户信息有效时,执行步骤307。
[0116] 步骤306、用户管理系统向所述浏览器返回登录页面。
[0117] 在本步骤中,用户管理系统向所述浏览器返回登录页面,请求所述用户输入用户 账户信息。
[0118] 步骤307、用户管理系统向所述浏览器返回所述ServiceTick信息和所述Cookie 信息。
[0119] 用户管理系统为所述业务系统分配所述ServiceTick信息,并向所述浏览器返回 所述ServiceTick信息和所述Cookie信息。
[0120] 步骤308、所述浏览器重定向至所述业务系统。
[0121] 在本步骤中,所述浏览器携带所述ServiceTick信息重定向至所述业务系统。
[0122] 步骤309、业务系统向用户管理系统发送认证ServiceTick请求。
[0123] 所述认证ServiceTick请求中,携带所述ServiceTick信息。
[0124] 步骤310、用户管理系统返回认证响应消息。
[0125] 如果用户管理系统对所述ServiceTick信息认证通过,则向所述业务系统返回认 证响应消息,所述认证响应消息中携带所述用户的用户标识(如,用户名)以及在所述业务 系统中,所述用户标识对应的用户类型。
[0126] 步骤311、业务系统分配操作权限。
[0127] 业务系统可以根据接收到的用户类型,根据自身配置的用户类型与操作权限的对 应关系,确定所述用户在自身对应的操作权限。
[0128] 步骤312、业务系统重定向至浏览器。
[0129] 业务系统为所述用户分配操作权限后,可以重定向至原始请求地址。
[0130] 步骤301?步骤312主要对单点登录过程进行了说明。在步骤312之后,业务系 统可以接收用户通过浏览器发送的业务访问请求,并根据步骤311确定出的该用户的操作 权限,确定对每次业务访问请求的响应结果,而无需在每次接收到业务访问请求时,向用户 管理系统重复查询用户的操作权限。
[0131] 进一步的,本发明实施例六提供一种统一用户管理系统。
[0132] 实施例六、
[0133] 本发明实施例六提供一种统一用户管理系统,该系统的结构可以如图7所示,包 括用户管理系统31 (相当于实施例一?五涉及的用户管理系统)和至少一个业务系统32 (相当于实施例一?五涉及的业务系统),即一个统一用户管理系统中可以包括多个业务系 统,其中:
[0134] 所述业务系统32用于向所述用户管理系统发送认证业务系统访问标签 ServiceTick请求,所述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信 息;根据接收到的用户类型对应的操作权限,确定对接收到的用户标识表示的用户发送的 业务访问请求的响应结果;
[0135] 所述用户管理系统31用于对所述ServiceTick信息进行认证,并在对所述 ServiceTick信息认证通过时,向发送所述ServiceTick信息的业务系统返回认证响应消 息,所述认证响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick 信息对应的用户标识,所述用户类型是所述用户管理系统从发送所述ServiceTick信息的 业务系统预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
[0136] 当然,在本实施例中,可以对用户管理系统进行进一步模块划分。例如,如图8所 示,可以将用户管理系统划分为注册管理模块、用户类型管理模块、用户管理模块和单点登 录认证模块,其中:
[0137] 注册管理模块,可以理解为用于实现各业务系统在用户管理系统的注册。在接收 到业务系统的注册请求时,若业务系统的注册信息合法,可以保存业务系统的相关注册信 肩、。
[0138] 用户类型管理模块,可以理解为用于保存各业务系统,与该业务系统对应的用户 类型的对应关系,实现用户类型和注册信息的绑定。
[0139] 用户管理模块,可以理解为用于系统管理员登录用户管理系统,创建用户,配置用 户账户信息、用户可使用的业务系统以及用户的用户类型并保存。
[0140] 单点登录认证模块,可以理解为用于在用户通过浏览器访问业务系统时,实现统 一的用户认证。
[0141] 类似的,也可以对业务系统进行进一步模块划分。例如,如图8所示,可以将业务 系统划分为注册认证模块、用户类型配置模块、业务功能实现模块和登录认证模块,其中:
[0142] 注册认证模块,可以理解为用于向用户管理系统发起注册认证流程。注册信息中 可以包括:业务系统的唯一标识(Single Identifation,SID)、用户访问业务系统的入口统 一资源定位符(Uniform Resource Locator,URL)地址。
[0143] 用户类型配置模块,可以理解为用于系统管理员配置业务系统的用户类型。并可 以向用户管理系统同步配置的各种用户类型。
[0144] 业务功能模块,可以理解为用于实现业务系统的各种业务功能。
[0145] 登录认证模块,可以理解为用于实现单点登录。
[0146] 在图8中,以一个业务系统为例,示出了业务系统各模块与用户管理系统各模块 之间的连接关系。当然,在统一用户管理系统包括多个业务系统时,每个业务系统与用户管 理系统之间的连接关系类似,在此不再重复说明。
[0147] 根据本发明各实施例提供的方案,通过用户类型的传递实现用户在多业务系统中 的操作权限控制。各业务系统将自身配置的用户类型全量同步至用户管理系统,系统管理 员在用户管理系统进行用户创建、分配用户在各业务系统的用户类型(即操作权限)。当业 务系统向用户管理系统发起认证ServiceTick请求时,业务系统可以根据用户管理系统反 馈的认证响应消息,确定用户的用户类型,并根据用户的用户类型实现用户的操作权限管 理。
[0148] 相比较现有技术,本发明方案中,用户类型由业务系统仅全量传输一次,只有业务 系统中配置的用户类型发生变化时,才需要再次传输。减少了用户管理系统向业务系统查 询各用户的操作权限的次数。在单点登录过程中,用户管理系统将用户的操作权限一次性 传输给业务系统,无需业务系统针对用户的每次操作,重复查询用户管理系统,即可以根据 一次性接收到的操作权限,进行用户操作的合法性判断,减少了业务系统向用户管理系统 的查询次数。由此,本发明方案减少了业务系统和用户管理系统之间的交互次数,提高了用 户数据的安全性。
[0149] 同时,本发明方案中,系统管理员可以通过用户管理系统实现对用户数据的统一 管理操作,无需在业务系统进行用户数据的配置管理,减少了用户数据不一致的风险。
[0150] 本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序 产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实 施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机 可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产 品的形式。
[0151] 本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一 流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算 机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理 器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生 用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能 的装置。
[0152] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特 定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能。
[0153] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计 算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图 一个方框或多个方框中指定的功能的步骤。
[0154] 尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造 性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优 选实施例以及落入本申请范围的所有变更和修改。
[0155] 显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精 神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围 之内,则本申请也意图包含这些改动和变型在内。
【权利要求】
1. 一种用户管理方法,其特征在于,所述方法包括: 用户管理系统接收业务系统发送的认证业务系统访问标签ServiceTick请求,所述认 证ServiceTick请求中携带所述业务系统对应的ServiceTick信息; 所述用户管理系统对所述ServiceTick信息进行认证,并在对所述ServiceTick信息 认证通过时,向所述业务系统返回认证响应消息,所述认证响应消息中携带用户标识以及 用户类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是所述 用户管理系统从所述业务系统预先发送的所有用户类型中,确定出的所述用户标识对应的 用户类型; 其中,所述业务系统根据所述用户类型对应的操作权限,确定对所述用户标识表示的 用户发送的业务访问请求的响应结果。
2. 如权利要求1所述的方法,其特征在于,用户管理系统接收业务系统发送的认证业 务系统访问标签ServiceTick的请求之前,所述方法还包括: 所述用户管理系统接收用户通过浏览器发送的认证临时文本文件Cookie请求,所述 认证Cookie请求中携带Cookie信息; 所述用户管理系统在确定所述Cookie信息对应的用户账户信息不存在或所述Cookie 信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入用户账 户信息;所述用户管理系统在确定所述Cookie信息对应的用户账户信息有效时,为所述 业务系统分配所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述 Cookie信息,其中,所述浏览器携带所述ServiceTick信息重定向至所述业务系统。
3. -种用户管理方法,其特征在于,所述方法包括: 业务系统接收用户通过浏览器发送的业务访问请求; 所述业务系统根据操作权限,确定对所述用户发送的业务访问请求的响应结果,所述 操作权限是所述业务系统根据预先确定的所述用户对应的用户类型,确定出的对应的操作 权限; 其中,所述用户类型通过以下方式确定: 所述业务系统向用户管理系统发送认证业务系统访问标签ServiceTick请求,所述认 证ServiceTick请求中携带所述业务系统对应的ServiceTick信息;接收所述用户管理系 统发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型,所 述用户类型是所述用户管理系统从所述业务系统预先发送的所有用户类型中,确定出的所 述用户标识对应的用户类型。
4. 如权利要求3所述的方法,其特征在于,所述业务系统向用户管理系统发送认证业 务系统访问标签ServiceTick请求之前,所述方法还包括: 所述业务系统接收所述用户通过浏览器发送的业务系统访问请求; 贝1J,所述业务系统向用户管理系统发送认证业务系统访问标签ServiceTick请求,具 体包括: 所述业务系统判断所述业务系统访问请求中是否携带ServiceTick信息: 在确定所述业务系统访问请求中携带ServiceTick信息时,向用户管理系统发送认证 ServiceTick 请求; 在确定所述业务系统访问请求中没有携带ServiceTick信息时,重定向至所述浏览 器;其中,所述浏览器向所述用户管理系统发送认证临时文本文件Cookie请求,所述认证 Cookie请求中携带Cookie信息;所述用户管理系统在确定所述Cookie信息对应的用户账 户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页 面,请求所述用户输入用户账户信息;所述用户管理系统在确定所述Cookie信息对应的用 户账户信息有效时,为所述业务系统分配所述ServiceTick信息,并向所述浏览器返回所 述ServiceTick信息和所述Cookie信息,所述浏览器携带所述ServiceTick信息重定向至 所述业务系统。
5. -种用户管理装置,其特征在于,所述装置包括: 接收模块,用于接收业务系统发送的认证业务系统访问标签ServiceTick请求,所述 认证ServiceTick请求中携带所述业务系统对应的ServiceTick信息; 认证模块,用于对所述ServiceTick信息进行认证,并在对所述ServiceTick信息认证 通过时,向所述业务系统返回认证响应消息,所述认证响应消息中携带用户标识以及用户 类型,所述用户标识为所述ServiceTick信息对应的用户标识,所述用户类型是从所述业 务系统预先发送的所有用户类型中,确定出的所述用户标识对应的用户类型;其中,所述业 务系统根据所述用户类型对应的操作权限,确定对所述用户标识表示的用户发送的业务访 问请求的响应结果。
6. 如权利要求5所述的装置,其特征在于,所述接收模块,还用于接收用户通过浏览器 发送的认证临时文本文件Cookie请求,所述认证Cookie请求中携带Cookie信息; 所述认证模块,还用于在确定所述Cookie信息对应的用户账户信息不存在或所述 Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页面,请求所述用户输入 用户账户信息;在确定所述Cookie信息对应的用户账户信息有效时,为所述业务系统分配 所述ServiceTick信息,并向所述浏览器返回所述ServiceTick信息和所述Cookie信息, 其中,所述浏览器携带所述ServiceTick信息重定向至所述业务系统。
7. -种用户管理装置,其特征在于,所述装置包括: 确定模块,用于向用户管理系统发送认证业务系统访问标签ServiceTick请求,所述 认证ServiceTick请求中携带业务系统对应的ServiceTick信息;接收所述用户管理系统 发送的认证响应消息,所述认证响应消息中携带所述用户的用户标识以及用户类型,所述 用户类型是所述用户管理系统从所述业务系统预先发送的所有用户类型中,确定出的所述 用户标识对应的用户类型; 接收模块,用于接收用户通过浏览器发送的业务访问请求; 响应模块,用于根据操作权限,确定对所述用户发送的业务访问请求的响应结果,所述 操作权限是根据所述确定模块接收到的用户类型,确定出的对应的操作权限。
8. 如权利要求7所述的装置,其特征在于,所述接收模块,还用于接收所述用户通过浏 览器发送的业务系统访问请求; 所述确定模块,具体用于判断所述业务系统访问请求中是否携带ServiceTick信息: 在确定所述业务系统访问请求中携带ServiceTick信息时,向用户管理系统发送认证 ServiceTick 请求; 在确定所述业务系统访问请求中没有携带ServiceTick信息时,重定向至所述浏览 器;其中,所述浏览器向所述用户管理系统发送认证临时文本文件Cookie请求,所述认证 Cookie请求中携带Cookie信息;所述用户管理系统在确定所述Cookie信息对应的用户账 户信息不存在或所述Cookie信息对应的用户账户信息无效时,向所述浏览器返回登录页 面,请求所述用户输入用户账户信息;所述用户管理系统在确定所述Cookie信息对应的用 户账户信息有效时,为所述业务系统分配所述ServiceTick信息,并向所述浏览器返回所 述ServiceTick信息和所述Cookie信息,所述浏览器携带所述ServiceTick信息重定向至 所述业务系统。
9. 一种统一用户管理系统,其特征在于,所述系统包括用户管理系统和至少一个业务 系统,其中: 所述业务系统,用于向所述用户管理系统发送认证业务系统访问标签ServiceTick请 求,所述认证ServiceTick请求中携带所述业务系统对应的ServiceTick信息;根据接收到 的用户类型对应的操作权限,确定对接收到的用户标识表示的用户发送的业务访问请求的 响应结果; 所述用户管理系统,用于对所述ServiceTick信息进行认证,并在对所述ServiceTick 信息认证通过时,向发送所述ServiceTick信息的业务系统返回认证响应消息,所述认证 响应消息中携带用户标识以及用户类型,所述用户标识为所述ServiceTick信息对应的用 户标识,所述用户类型是所述用户管理系统从发送所述ServiceTick信息的业务系统预先 发送的所有用户类型中,确定出的所述用户标识对应的用户类型。
【文档编号】H04L1/16GK104065612SQ201310085024
【公开日】2014年9月24日 申请日期:2013年3月18日 优先权日:2013年3月18日
【发明者】陈云峰, 陈志刚, 范晓晖 申请人:中国移动通信集团公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:陈云峰;陈志刚;范晓晖
  • 技术所有人:中国移动通信集团公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2