一种系统登录方法及装置与流程

本发明涉及系统登录技术领域，更具体的说，涉及一种系统登录方法及装置。

背景技术：

目前，在大型企业中，随着应用系统与信息技术的发展，常常需要用户从一个应用系统切换到另一个应用系统中。在登录到每个应用系统时，需要用户输入用户名和密码进行登录。由于每个应用系统登录时都需要输入用户账号和密码，因此给用户带来使用上的不便。

技术实现要素：

有鉴于此，本发明公开一种系统登录方法及装置，以实现对多个应用系统的单点登录，从而有效解决了现有方案因每登录一个应用系统都需要输入用户名和密码而带来不便的问题。

一种系统登录方法，包括：

作为单点登录发起方的第一应用系统，将预存储的第一根票据信息发送给登录认证服务网关，其中，所述第一根票据信息至少包含有所述第一应用系统的签名信息和用户信息，所述用户信息至少包括用户名和密码；

所述第一应用系统获取所述登录认证服务网关发送的根据所述第一根票据信息生成的第一认证票据信息，其中，所述第一认证票据信息中至少包含有第二应用系统的签名信息、第一时间戳和所述用户信息；

所述第一应用系统将所述第一认证票据信息发送给所述第二应用系统；

所述第二应用系统接收所述第一认证票据信息，并将所述第一认证票据信息发送至所述登录认证服务网关进行有效性验证；

所述第二应用系统接收所述登录认证服务网关发送的第二根票据信息并保存，完成所述第二应用系统的单点登录认证，其中，所述第二根票据信息由所述登录认证服务网关在验证所述第一认证票据信息有效后生成，所述第二根票据信息至少包含有所述第二应用系统的签名信息和所述用户信息。

优选的，在所述第一应用系统存储所述第一根票据信息之前，还包括：

所述第一应用系统通过将所述用户信息发送至所述登录认证服务网关发起单点登录请求；

所述第一应用系统接收所述登录认证服务网关发送的第二认证票据信息，其中，所述第二认证票据信息为所述登录认证服务网关对所述用户信息认证通过后生成，所述第二认证票据信息至少包含有所述第一应用系统的签名信息、第二时间戳和所述用户信息；

所述第一应用系统将所述第二认证票据信息发送至所述登录认证服务网关，以验证所述第二认证票据信息的有效性；

所述第一应用系统接收所述登录认证服务网关发送的所述第一根票据信息并保存，完成所述第一应用系统的单点登录认证，其中，所述第一根票据信息由所述登录认证服务网关在验证所述第二认证票据信息有效后生成。

优选的，

所述第一应用系统通过将所述用户信息发送至所述登录认证服务网关发起单点登录请求包括：所述第一应用系统对所述用户信息进行加密，通过将加密后的用户信息发送至所述登录认证服务网关发起单点登录请求；

所述第二认证票据信息为所述登录认证服务网关对所述用户信息认证通过后生成包括：所述第二认证票据信息为所述登录认证服务网关对所述加密后的用户信息进行解密，并对解密后的用户信息认证通过后生成。

一种系统登录装置，包括：

第一发送单元，用于通过作为单点登录发起方的第一应用系统，将预存储的第一根票据信息发送给登录认证服务网关，其中，所述第一根票据信息至少包含有所述第一应用系统的签名信息和用户信息，所述用户信息至少包含用户名和密码；

第一获取单元，用于通过所述第一应用系统获取所述登录认证服务网关发送的根据所述第一根票据信息生成的第一认证票据信息，其中，所述第一认证票据信息中至少包含有第二应用系统的签名信息、第一时间戳和所述用户信息；

第二发送单元，用于通过所述第一应用系统将所述第一认证票据信息发送给所述第二应用系统；

第二接收单元，用于通过所述第二应用系统接收所述第一认证票据信息，并将所述第一认证票据信息发送至所述登录认证服务网关进行有效性验证；

第三接收单元，用于通过所述第二应用系统接收所述登录认证服务网关发送的第二根票据信息并保存，完成所述第二应用系统的单点登录认证，其中，所述第二根票据信息由所述登录认证服务网关在验证所述第一认证票据信息有效后生成，所述第二根票据信息至少包含有所述第二应用系统的签名信息和所述用户信息。

优选的，还包括：

第三发送单元，用于在所述第一应用系统存储所述第一根票据信息之前，通过所述第一应用系统通过将所述用户信息发送至所述登录认证服务网关发起单点登录请求；

第四接收单元，用于通过所述第一应用系统接收所述登录认证服务网关发送的第二认证票据信息，其中，所述第二认证票据信息为所述登录认证服务网关对所述用户信息认证通过后生成，所述第二认证票据信息至少包含有所述第一应用系统的签名信息、第二时间戳和所述用户信息；

第四发送单元，用于通过所述第一应用系统将所述第二认证票据信息发送至所述登录认证服务网关，以验证所述第二认证票据信息的有效性；

第五接收单元，用于通过所述第一应用系统接收所述登录认证服务网关发送的所述第一根票据信息并保存，完成所述第一应用系统的单点登录认证，其中，所述第一根票据信息由所述登录认证服务网关在验证所述第二认证票据信息有效后生成。

优选的，

所述第三发送单元，还用于通过所述第一应用系统对所述用户信息进行加密，通过将加密后的用户信息发送至所述登录认证服务网关发起单点登录请求；

所述第四接收单元，还用于通过所述第一应用系统接收所述登录认证服务网关发送的第二认证票据信息，其中，所述第二认证票据信息为所述登录认证服务网关对所述加密后的用户信息进行解密，并对解密后的用户信息认证通过后生成。

从上述的技术方案可知，本发明公开了一种系统登录方法及装置，当需要通过第一应用系统单点登录到第二应用系统时，第一应用系统会将预存储的第一根票据信息发送给登录认证服务网关，以获取至少包含有第二应用系统的签名信息、第一时间戳和用户信息的第一认证票据信息，第二应用系统通过将第一认证票据信息发送给登录认证服务网关，来获取登录认证服务网关根据第一认证票据信息生成的第二根票据信息，从而完成第二应用系统的单点登录认证。由此可知，本发明实现了对多个应用系统的单点登录，因此，当用户需要访问多个应用系统时，只需要登录一次就可以访问所有相互信任的应用系统，从而有效解决了现有方案因每登录一个应用系统都需要输入用户账号和密码而带来不便的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据公开的附图获得其他的附图。

图1为本发明实施例公开的一种系统登录方法的方法流程图；

图2为本发明实施例公开的另一种系统登录方法的方法流程图；

图3为本发明实施例公开的一种系统登录装置的结构示意图；

图4为本发明实施例公开的另一种系统登录装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种系统登录方法及装置，以实现对多个应用系统的单点登录，从而有效解决了现有方案因每登录一个应用系统都需要输入用户名和密码而带来不便的问题。

参见图1，本发明实施例公开的一种系统登录方法的方法流程图，该方法包括步骤：

步骤S101、作为单点登录发起方的第一应用系统，将预存储的第一根票据信息发送给登录认证服务网关；

其中，第一根票据信息至少包含有第一应用系统的签名信息和用户信息，所述用户信息至少包含用户名和密码；

步骤S102、第一应用系统获取登录认证服务网关发送的根据第一根票据信息生成的第一认证票据信息；

其中，所述第一认证票据信息中至少包含有第二应用系统的签名信息、第一时间戳和用户信息。

第一时间戳记录的是第一认证票据信息的生成时间。

需要说明的是，为保证接收的第一根票据信息的有效性，登录认证服务网关还可以在接收到第一根票据信息后，首先对第一根票据信息进行有效认证，认证的过程可以是根据第一根票据信息中包含的标识信息认证，即将该标识信息与预存储的标识信息进行比对，并在该标识信息和预存储的表示信息相同时，确定第一根票据信息有效，当然，本领域技术人员也可以根据实际需要采用其它的认证方法，本发明在此不做限定。

步骤S103、第一应用系统将第一认证票据信息发送给第二应用系统；

步骤S104、第二应用系统接收第一认证票据信息，并将第一认证票据信息发送至登录认证服务网关进行有效性验证；

同样的，为保证第一应用系统发送的第一认证票据信息的有效性，第二应用系统在接收到第一认证票据信息后，还需通过登录认证服务网关对该第一认证票据信息进行有效性验证，验证的内容可以包括：验证第一认证票据信息是否存在、过期等。

步骤S105、第二应用系统接收登录认证服务网关发送的第二根票据信息并保存，完成第二应用系统的单点登录认证。

其中，所述第二根票据信息由所述登录认证服务网关在验证所述第一认证票据信息有效后生成，所述第二根票据信息至少包含有所述第二应用系统的签名信息和所述用户信息。

需要说明的是，本实施例中的第一应用系统和第二应用系统为所有相互信任的可相互切换系统中的任意两个。作为单点登录发起方的系统并不局限于本实施例公开的第一应用系统，只要存储有根票据信息的系统均可以作为单点登录发起方，例如，当需要访问第三应用系统时，除可以将第一应用系统作为单点登录发起方外，还可以将第二应用系统作为单点登录发起方。

综上可知，本发明可实现对多个应用系统的单点登录，因此，当用户需要访问多个应用系统时，只需要登录一次就可以访问所有相互信任的应用系统，从而有效解决了现有方案因每登录一个应用系统都需要输入用户账号和密码而带来不便的问题。

可以理解的是，第一应用系统在存储第一根票据信息之前，首先需要获取第一根票据信息，因此为进一步优化上述实施例，参见图2，本发明另一实施例公开的一种系统登录方法的方法流程图，该方法包括步骤：

步骤S201、第一应用系统通过将用户信息发送至登录认证服务网关发起单点登录请求；

步骤S202、第一应用系统接收登录认证服务网关发送的第二认证票据信息；

其中，所述第二认证票据信息为所述登录认证服务网关对所述用户信息认证通过后生成，所述第二认证票据信息至少包含有所述第一应用系统的签名信息、第二时间戳和所述用户信息。

第二时间戳记录的是第二认证票据信息的生成时间。

需要说明的是，登录认证服务网关对用户信息认证的内容包括：验证用户信息中包含的用户名和密码是否存在，也即该用户名和密码是否已注册。并且登录认证服务网关只有在确定用户信息存在时才会生成第二认证票据信息，否则会提示第一应用系统当前发送的用户信息不存在、错误或需要注册等。

步骤S203、第一应用系统将第二认证票据信息发送至登录认证服务网关，以验证第二认证票据信息的有效性；

同样，第一应用系统为保证接收的第二认证票据信息的有效性，第一应用系统在接收到第二认证票据信息后，还会将该第二认证票据转发至登录认证服务网关进行有效性验证。

步骤S204、第一应用系统接收登录认证服务网关发送的第一根票据信息并保存，完成第一应用系统的单点登录认证；

其中，所述第一根票据信息由所述登录认证服务网关在验证所述第二认证票据信息有效后生成。

需要说明的是，本发明公开的实施例中，各应用系统以接收到登录认证服务网关发送的对应的根票据信息为依据，确定完成该应用系统的单点登录认证。

当从第一应用系统单点登录到第二应用系统时，继续执行步骤S205。

步骤S205、作为单点登录发起方的第一应用系统，将预存储的第一根票据信息发送给登录认证服务网关；

其中，第一根票据信息至少包含有第一应用系统的签名信息和用户信息。

步骤S206、第一应用系统获取登录认证服务网关发送的根据第一根票据信息生成的第一认证票据信息；

其中，所述第一认证票据信息中至少包含有第二应用系统的签名信息、第一时间戳和用户信息。

第一时间戳记录的是第一认证票据信息的生成时间。

步骤S207、第一应用系统将第一认证票据信息发送给第二应用系统；

步骤S208、第二应用系统接收第一认证票据信息，并将第一认证票据信息发送至登录认证服务网关进行有效性验证；

为保证第一应用系统发送的第一认证票据信息的有效性，第二应用系统在接收到第一认证票据信息后，还需通过登录认证服务网关对该第一认证票据信息进行有效性验证，验证的内容可以包括：验证第一认证票据信息是否存在、过期等。

步骤S209、第二应用系统接收登录认证服务网关发送的第二根票据信息并保存，完成第二应用系统的单点登录认证。

其中，所述第二根票据信息由所述登录认证服务网关在验证所述第一认证票据信息有效后生成，所述第二根票据信息至少包含有所述第二应用系统的签名信息和所述用户信息。

需要说明的是，本实施例中的第一应用系统和第二应用系统为所有相互信任的可相互切换系统中的任意两个。作为单点登录发起方的系统并不局限于本实施例公开的第一应用系统，只要存储有根票据信息的系统均可以作为单点登录发起方，例如，当需要访问第三应用系统时，除可以将第一应用系统作为单点登录发起方外，还可以将第二应用系统作为单点登录发起方。

综上可知，本发明可实现对多个应用系统的单点登录，因此，当用户需要访问多个应用系统时，只需要登录一次就可以访问所有相互信任的应用系统，从而有效解决了现有方案因每登录一个应用系统都需要输入用户账号和密码而带来不便的问题。

需要说明的是，本发明为保证各应用系统与登录认证服务网关之间信息交互的安全性，在各应用系统向登录认证服务网关发送信息之前，还需对所发信息进行加密处理，同样的，登录认证服务网关在向各应用系统发送信息之前，也会对所发信息进行加密处理。

以上述实施例中的步骤S201和步骤S202为例进行说明：

步骤S201具体可以包括：第一应用系统对用户信息进行加密，通过将加密后的用户信息发送至登录认证服务网关发起单点登录请求。

相应的，步骤S202具体可以包括：当登录认证服务网关接收到第一系统发送的加密后的用户信息后，登录认证服务网关首先会按照与第一应用系统约定的密钥对加密后的用户信息进行解密，以得到解密后用户信息，然后再对解密后的用户信息进行认证，当解密后的用户信息认证通过后，再采用与第一应用系统约定的密钥生成与第一应用系统对应的第二认证票据信息，并将该第二认证票据信息发送至第一应用系统。

其中，本申请中的加密内容包括但布局限于上述内容，还可以为其它内容，例如，登录认证服务网关向应用系统发送的根票据信息等。

与上述方法实施例相对应，本发明还公开了一种系统登录装置。

参见图3，本发明实施例公开的一种系统登录装置的结构示意图，该装置包括：

第一发送单元301，用于通过作为单点登录发起方的第一应用系统，将预存储的第一根票据信息发送给登录认证服务网关，其中，所述第一根票据信息至少包含有所述第一应用系统的签名信息和用户信息，所述用户信息至少包含用户名和密码；

第一获取单元302，用于通过所述第一应用系统获取所述登录认证服务网关发送的根据所述第一根票据信息生成的第一认证票据信息，其中，所述第一认证票据信息中至少包含有第二应用系统的签名信息、第一时间戳和所述用户信息；

第一时间戳记录的是第一认证票据信息的生成时间。

需要说明的是，为保证接收的第一根票据信息的有效性，登录认证服务网关还可以在接收到第一根票据信息后，首先对第一根票据信息进行有效认证，认证的过程可以是根据第一根票据信息中包含的标识信息认证，即将该标识信息与预存储的标识信息进行比对，并在该标识信息和预存储的表示信息相同时，确定第一根票据信息有效，当然，本领域技术人员也可以根据实际需要采用其它的认证方法，本发明在此不做限定。

第二发送单元303，用于通过所述第一应用系统将所述第一认证票据信息发送给所述第二应用系统；

第二接收单元304，用于通过所述第二应用系统接收所述第一认证票据信息，并将所述第一认证票据信息发送至所述登录认证服务网关进行有效性验证；

同样的，为保证第一应用系统发送的第一认证票据信息的有效性，第二应用系统在接收到第一认证票据信息后，还需通过登录认证服务网关对该第一认证票据信息进行有效性验证，验证的内容可以包括：验证第一认证票据信息是否存在、过期等。

第三接收单元305，用于通过所述第二应用系统接收所述登录认证服务网关发送的第二根票据信息并保存，完成所述第二应用系统的单点登录认证，其中，所述第二根票据信息由所述登录认证服务网关在验证所述第一认证票据信息有效后生成，所述第二根票据信息至少包含有所述第二应用系统的签名信息和所述用户信息。

需要说明的是，本实施例中的第一应用系统和第二应用系统为所有相互信任的可相互切换系统中的任意两个。作为单点登录发起方的系统并不局限于本实施例公开的第一应用系统，只要存储有根票据信息的系统均可以作为单点登录发起方，例如，当需要访问第三应用系统时，除可以将第一应用系统作为单点登录发起方外，还可以将第二应用系统作为单点登录发起方。

综上可知，本发明可实现对多个应用系统的单点登录，因此，当用户需要访问多个应用系统时，只需要登录一次就可以访问所有相互信任的应用系统，从而有效解决了现有方案因每登录一个应用系统都需要输入用户账号和密码而带来不便的问题。

可以理解的是，第一应用系统在存储第一根票据信息之前，首先需要获取第一根票据信息，因此为进一步优化上述实施例，参见图4，本发明另一实施例公开的一种系统登录装置的结构示意图，该装置包括：

第三发送单元401，用于在所述第一应用系统存储所述第一根票据信息之前，通过所述第一应用系统通过将所述用户信息发送至所述登录认证服务网关发起单点登录请求；

第四接收单元402，用于通过所述第一应用系统接收所述登录认证服务网关发送的第二认证票据信息，其中，所述第二认证票据信息为所述登录认证服务网关对所述用户信息认证通过后生成，所述第二认证票据信息至少包含有所述第一应用系统的签名信息、第二时间戳和所述用户信息；

需要说明的是，登录认证服务网关对用户信息认证的内容包括：验证用户信息中包含的用户名和密码是否存在，也即该用户名和密码是否已注册。并且登录认证服务网关只有在确定用户信息存在时才会生成第二认证票据信息，否则会提示第一应用系统当前发送的用户信息不存在、错误或需要注册等。

第四发送单元403，用于通过所述第一应用系统将所述第二认证票据信息发送至所述登录认证服务网关，以验证所述第二认证票据信息的有效性；

同样，第一应用系统为保证接收的第二认证票据信息的有效性，第一应用系统在接收到第二认证票据信息后，还会将该第二认证票据转发至登录认证服务网关进行有效性验证。

第五接收单元404，用于通过所述第一应用系统接收所述登录认证服务网关发送的所述第一根票据信息并保存，完成所述第一应用系统的单点登录认证，其中，所述第一根票据信息由所述登录认证服务网关在验证所述第二认证票据信息有效后生成；

需要说明的是，本发明公开的实施例中，各应用系统以接收到登录认证服务网关发送的对应的根票据信息为依据，确定完成该应用系统的单点登录认证。

第一发送单元405，用于通过作为单点登录发起方的第一应用系统，将预存储的第一根票据信息发送给登录认证服务网关，其中，所述第一根票据信息至少包含有所述第一应用系统的签名信息和用户信息，所述用户信息至少包含用户名和密码；

第一获取单元406，用于通过所述第一应用系统获取所述登录认证服务网关发送的根据所述第一根票据信息生成的第一认证票据信息，其中，所述第一认证票据信息中至少包含有第二应用系统的签名信息、第一时间戳和所述用户信息；

第二发送单元407，用于通过所述第一应用系统将所述第一认证票据信息发送给所述第二应用系统；

第二接收单元408，用于通过所述第二应用系统接收所述第一认证票据信息，并将所述第一认证票据信息发送至所述登录认证服务网关进行有效性验证；

第三接收单元409，用于通过所述第二应用系统接收所述登录认证服务网关发送的第二根票据信息并保存，完成所述第二应用系统的单点登录认证，其中，所述第二根票据信息由所述登录认证服务网关在验证所述第一认证票据信息有效后生成，所述第二根票据信息至少包含有所述第二应用系统的签名信息和所述用户信息。

需要说明的是，本实施例中的第一应用系统和第二应用系统为所有相互信任的可相互切换系统中的任意两个。作为单点登录发起方的系统并不局限于本实施例公开的第一应用系统，只要存储有根票据信息的系统均可以作为单点登录发起方，例如，当需要访问第三应用系统时，除可以将第一应用系统作为单点登录发起方外，还可以将第二应用系统作为单点登录发起方。

综上可知，本发明可实现对多个应用系统的单点登录，因此，当用户需要访问多个应用系统时，只需要登录一次就可以访问所有相互信任的应用系统，从而有效解决了现有方案因每登录一个应用系统都需要输入用户账号和密码而带来不便的问题。

需要说明的是，本发明为保证各应用系统与登录认证服务网关之间信息交互的安全性，在各应用系统向登录认证服务网关发送信息之前，还需对所发信息进行加密处理，同样的，登录认证服务网关在向各应用系统发送信息之前，也会对所发信息进行加密处理。

以上述实施例中的第三发送单元401和第四接收单元402为例进行说明：

第三发送单元401，还用于通过所述第一应用系统对所述用户信息进行加密，通过将加密后的用户信息发送至所述登录认证服务网关发起单点登录请求；

第四接收单元402，还用于通过所述第一应用系统接收所述登录认证服务网关发送的第二认证票据信息，其中，所述第二认证票据信息为所述登录认证服务网关对所述加密后的用户信息进行解密，并对解密后的用户信息认证通过后生成。

需要说明的是，装置实施例中，各组成部分的具体工作原理，请参见方法实施例对应部分，此处不再赘述。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。