一种单点登录的方法及系统、一种认证中心服务器与流程
本发明涉及计算机技术领域,特别涉及一种单点登录的方法及系统、一种认证中心服务器。
背景技术:
随着科技的快速发展,同一个用户可能在多个不同的应用系统中都注册有账号,同一个企业中也一般包括多个应用系统,通过单点登录可以方便用户登录不同的应用系统。
现有技术中,当用户通过门户系统第一次登录某个应用系统时,需要对该用户进行身份认证,当该用户下次登录时,无需再进行身份认证,并且可以直接登录到该门户系统对应的各个应用系统中。举例来说,门户系统对应应用系统a和应用系统b,用户a第一次通过门户系统登录应用系统a时,需要对用户a进行身份认证,通过身份认证后才可以单点登录应用系统a,当用户a下次登录时,无需再进行身份认证,并且,用户a也可以直接通过门户系统单点登录到应用系统b中。
通过上述描述可见,现有技术中单点登录的方案中,非法用户能够轻易利用合法用户第一次登录时的记录访问各个应用系统,安全性较低。
技术实现要素:
本发明实施例提供了一种单点登录的方法及系统、一种认证中心服务器,能够提高单点登录的安全性。
第一方面,本发明实施例提供了一种单点登录的方法,应用于认证中心服务器,包括:
接收发起登录请求的系统发来的申请令牌的请求;
获取所述申请令牌的请求对应的用户的用户信息;
根据所述申请令牌的请求,生成令牌;
保存所述令牌的认证信息和所述用户信息;
向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
接收所述要登录到的系统发来的所述令牌;
根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
进一步地,所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
在所述接收发起登录请求的系统发来的申请令牌的请求之后,进一步包括:
从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:预先设置令牌失效时间长度;
所述根据保存的所述令牌的认证信息,对所述令牌进行验证,包括:
判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
进一步地,在所述接收发起登录请求的系统发来的申请令牌的请求之前,进一步包括:
接收所述用户输入的用户验证信息;
根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
进一步地,该方法进一步包括:当所述令牌通过验证时,销毁所述令牌。
第二方面,本发明实施例提供了一种认证中心服务器,包括:
第一接收单元,用于接收发起登录请求的系统发来的申请令牌的请求;
第一获取单元,用于获取所述申请令牌的请求对应的用户的用户信息;
生成单元,用于根据所述申请令牌的请求,生成令牌;
保存单元,用于保存所述令牌的认证信息和所述用户信息;
发送单元,用于向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
第二接收单元,用于接收所述要登录到的系统发来的所述令牌;
验证单元,用于根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
进一步地,所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
进一步包括:第二获取单元,用于从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:设置单元,用于设置令牌失效时间长度;
所述验证单元,用于判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
进一步地,该认证中心服务器进一步包括:第三接收单元,用于接收所述用户输入的用户验证信息;
身份验证单元,用于根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,触发所述第一接收单元,当所述用户没有通过身份验证时,结束当前流程。
进一步地,所述验证单元,进一步用于当所述令牌通过验证时,销毁所述令牌。
第三方面,本发明实施例提供了一种单点登录的系统,包括:
如第二方面中任一所述的认证中心服务器、至少一个设置有登录请求拦截器的系统;
所述至少一个设置有登录请求拦截器的系统中包括:发起登录请求的系统、要登录到的系统;
所述发起登录请求的系统中的登录请求拦截器,用于向所述认证中心服务器发送申请令牌的请求,接收所述认证中心服务器发来的令牌,将所述令牌发送给所述要登录到的系统;
所述要登录到的系统中的登录请求拦截器,用于拦截所述发起登录请求的系统发来的所述令牌,向所述认证中心服务器发送所述令牌,当接收到所述认证中心服务器发来的用户信息时,根据所述用户信息创建用户会话。
进一步地,所述发起登录请求的系统中的登录请求拦截器,用于接收用户发来的登录所述要登录到的系统的请求,判断所述用户是否已登录所述认证中心服务器,如果是,则执行所述向所述认证中心服务器发送申请令牌的请求,否则,将所述用户重定向至所述认证中心服务器的登录界面,以使所述通过所述登录界面输入用户验证信息;
所述认证中心服务器,进一步用于通过所述登录界面接收所述用户输入的用户验证信息;根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
在本发明实施例中,用户需要登录要登录到的系统时,发起登录请求的系统需要获取认证中服务器发出令牌,将该令牌发送给要登录到的系统,要登录到的系统将接收到的令牌发送给认证中心服务器进行验证,只有通过验证后,要登录到的系统才会针对该用户创建用户会话,实现用户登录到要登录到的系统,如果用户没有令牌,或者令牌没有通过验证,都无法登录到要登录到的系统,提高了单点登录的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种单点登录的方法的流程图;
图2是本发明一实施例提供的另一种单点登录的方法的流程图;
图3是本发明一实施例提供的一种认证中心服务器的示意图;
图4是本发明一实施例提供的另一种认证中心服务器的示意图;
图5是本发明一实施例提供的一种单点登录的系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种单点登录的方法,应用于认证中心服务器,该方法可以包括以下步骤:
步骤101:接收发起登录请求的系统发来的申请令牌的请求;
步骤102:获取所述申请令牌的请求对应的用户的用户信息;
步骤103:根据所述申请令牌的请求,生成令牌;
步骤104:保存所述令牌的认证信息和所述用户信息;
步骤105:向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
步骤106:接收所述要登录到的系统发来的所述令牌;
步骤107:根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
在本发明实施例中,用户需要登录要登录到的系统时,发起登录请求的系统需要获取认证中服务器发出令牌,将该令牌发送给要登录到的系统,要登录到的系统将接收到的令牌发送给认证中心服务器进行验证,只有通过验证后,要登录到的系统才会针对该用户创建用户会话,实现用户登录到要登录到的系统,如果用户没有令牌,或者令牌没有通过验证,都无法登录到要登录到的系统,提高了单点登录的安全性。
在本发明一实施例中,所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
在所述接收发起登录请求的系统发来的申请令牌的请求之后,进一步包括:
从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:预先设置令牌失效时间长度;
所述根据保存的所述令牌的认证信息,对所述令牌进行验证,包括:
判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
在本发明实施例中,通过令牌失效时间长度来限制令牌的有效期,避免令牌一直处于有效的状态,一旦这种令牌被非法用户获取,对单点登录造成很大的安全威胁。通过目标地址来限定令牌的使用范围,使得每个令牌只能登录对应的要登录到的系统,避免同一个令牌可以登录多个系统,对单点登录造成较大的安全威胁。其中,令牌失效时间长度的取值范围可以是[500毫秒,5秒]。例如:令牌失效时间长度为1秒、2秒等。
在本发明一实施例中,在所述接收发起登录请求的系统发来的申请令牌的请求之前,进一步包括:
接收所述用户输入的用户验证信息;
根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
在本发明实施例中,只有通过认证中心服务器的身份验证的用户才有资格获取令牌。通过对身份验证和令牌验证使得单点登录的安全性更高。
在本发明一实施例中,该方法进一步包括:当所述令牌通过验证时,销毁所述令牌。
在本发明实施例中,一个令牌只能使用一次,避免令牌被重复使用,可以降低令牌被非法获取并使用的概率,提高了单点登录的安全。
如图2所示,本发明实施例提供了一种单点登录的方法,该方法应用于认证中心服务器,在本发明实施例中,发起登录请求的系统为系统a,要登录到的系统为系统b。用户需要从系统a单点登录到系统b中。该方法可以包括以下步骤:
步骤201:预先设置令牌失效时间长度。
步骤202:接收系统a发来的申请令牌的请求,该申请令牌的请求包括系统b的目标地址。
具体地,申请令牌的请求可以为:http(s)://认证中心服务器的host地址/asktoken?url=要登录到的系统的地址。
举例来说,申请令牌的请求可以为:http(s)://认证中心服务器的host地址/asktoken?url=目标地址。
步骤203:从申请令牌的请求中获取目标地址。
步骤204:获取申请令牌的请求对应的用户的用户信息。
可以从与系统a建立的会话中获取用户信息。
用户信息可以包括:用户的id等用于建立用户会话的信息。
步骤205:根据申请令牌的请求,生成令牌。
具体地,可以生成一个guid(globallyuniqueidentifier,全局唯一标识符)格式的字符串,将该字符串作为令牌。
作为令牌返回给发起令牌申请请求的登录请求拦截器。
步骤206:保存令牌的生成时间、目标地址和用户信息。
具体地,可以将与令牌相关的用户信息、令牌的生成时间和目标地址生成一个记录放在等待验证集合中。在保存目标地址时,可以直接保存申请令牌的请求的url(uniformresourelocator,统一资源定位器)。
步骤207:向系统a发送令牌,以使系统a向系统b发送令牌。
具体地,系统a可以通过以下格式将令牌发送给系统b:
http(s)://系统b的host地址/sso/令牌。
步骤208:接收系统b发来的令牌。
具体地,系统b接收到系统a发送的令牌后,将该令牌发送给认证中心服务器进行认证。
系统b可以通过以下格式将令牌发送给认证中心服务器:
http(s)://认证中心服务器的host地址/verifytoken/令牌。
步骤209:判断系统b发来的令牌是否满足:接收到系统b发来的令牌的时间与令牌的生成时间的时间差不大于令牌失效时间长度,且保存的目标地址与发来令牌的系统的地址相同,如果是,则执行步骤210,否则,执行步骤211。
具体地,认证中心服务器根据令牌的生成时间对接收到的令牌进行时效性验证,确定该令牌是否有效。认证中心服务器根据保存的目标地址,验证接收到的令牌是否与保存的目标地址相对应。
认证中心服务器可以根据与发来令牌的系统建立的会话确定接收到的令牌的来源,也就是能够确定发送给令牌的系统的地址。
步骤210:向系统b发送用户信息,以使系统b根据用户信息创建用户的用户会话。
具体地,当系统b接收到认证中心服务器发来的用户信息时,则确定认证中心服务器允许用户登录系统b。系统b根据用户信息创建用户会话,使得该用户能够登录到系统b,实现与系统b的交互。
步骤211:禁止用户登录系统b,结束当前流程。
在本发明实施例中,认证中心服务器产生的令牌具有时效性,同时只能用于一个系统的单点登录,认证中心服务器接到令牌验证请求时会验证令牌的时效,并根据发来待验证的令牌的系统的地址验证该系统是否是要登录到的系统。通过这些机制,在实现单点登录的同时,可以避免第三方恶意软件截获令牌并用于其他用途的可能,具有非常高的安全性。
如图3所示,本发明实施例提供了一种认证中心服务器,包括:
第一接收单元301,用于接收发起登录请求的系统发来的申请令牌的请求;
第一获取单元302,用于获取所述申请令牌的请求对应的用户的用户信息;
生成单元303,用于根据所述申请令牌的请求,生成令牌;
保存单元304,用于保存所述令牌的认证信息和所述用户信息;
发送单元305,用于向所述发起登录请求的系统发送所述令牌,以使所述发起登录请求的系统向要登录到的系统发送所述令牌;
第二接收单元306,用于接收所述要登录到的系统发来的所述令牌;
验证单元307,用于根据保存的所述令牌的认证信息,对所述要登录到的系统发来的所述令牌进行验证,当所述令牌通过验证时,允许所述用户登录到所述要登录到的系统,向所述要登录到的系统发送所述用户信息,以使所述要登录到的系统根据所述用户信息创建所述用户的用户会话。
在本发明一实施例中,所述申请令牌的请求中包括:所述令牌对应的所述要登录到的系统的目标地址;
进一步包括:第二获取单元,用于从所述申请令牌的请求中获取所述目标地址;
所述令牌的认证信息包括:所述令牌的生成时间、所述目标地址;
进一步包括:设置单元,用于设置令牌失效时间长度;
所述验证单元,用于判断所述要登录到的系统发来的所述令牌是否满足:接收到所述要登录到的系统发来的所述令牌的时间与所述令牌的生成时间的时间差不大于所述令牌失效时间长度,且保存的所述目标地址与发来所述令牌的系统的地址相同,如果是,则判定所述要登录到的系统发来的所述令牌通过验证,否则,判定所述要登录到的系统发来的所述令牌没有通过验证。
如图4所示,在本发明一实施例中,该认证中心服务器,进一步包括:第三接收单元401,用于接收所述用户输入的用户验证信息;
身份验证单元402,用于根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,触发所述第一接收单元,当所述用户没有通过身份验证时,结束当前流程。
在本发明一实施例中,该认证中心服务器,所述验证单元,进一步用于当所述令牌通过验证时,销毁所述令牌。
本发明实施例提供了一种单点登录的系统,包括:
本发明实施例中任一所述的认证中心服务器、至少一个设置有登录请求拦截器的系统;
所述至少一个设置有登录请求拦截器的系统中包括:发起登录请求的系统、要登录到的系统;
所述发起登录请求的系统中的登录请求拦截器,用于向所述认证中心服务器发送申请令牌的请求,接收所述认证中心服务器发来的令牌,将所述令牌发送给所述要登录到的系统;
所述要登录到的系统中的登录请求拦截器,用于拦截所述发起登录请求的系统发来的所述令牌,向所述认证中心服务器发送所述令牌,当接收到所述认证中心服务器发来的用户信息时,根据所述用户信息创建用户会话。
在本发明实施例中,为每个用户可以单点登录到的系统设置登录请求拦截器,该登录请求拦截器中封装了使用本单点登录的系统实现登录和单点登录所需的操作逻辑,每个用户可以单点登录到的系统经过简单配置即可实现统一认证和单点登录服务,极大的简化了单点登录的实施过程,节约了实施成本。
本发明实施例提供的一种单点登录的系统提供了认证服务和拦截服务,认证服务由认证中心服务器实现,拦截服务由登录请求拦截器来实现。认证服务可以部署成单独的web应用,向为每个用户可以单点登录到的系统提供用户认证等服务。
如图5所示,本发明实施例提供了一种单点登录的系统,包括:
本发明实施例中任一所述的认证中心服务器501、发起登录请求的系统502和要登录到的系统503,发起登录请求的系统502中包括登录请求拦截器5021,要登录到的系统503中包括登录请求拦截器5031。
在本发明一实施例中,所述发起登录请求的系统中的登录请求拦截器,用于接收用户发来的登录所述要登录到的系统的请求,判断所述用户是否已登录所述认证中心服务器,如果是,则执行所述向所述认证中心服务器发送申请令牌的请求,否则,将所述用户重定向至所述认证中心服务器的登录界面,以使所述通过所述登录界面输入用户验证信息;
所述认证中心服务器,进一步用于通过所述登录界面接收所述用户输入的用户验证信息;根据所述用户验证信息对所述用户进行身份验证,当所述用户通过身份验证时,执行所述接收发起登录请求的系统发来的申请令牌的请求,当所述用户没有通过身份验证时,结束当前流程。
在本发明实施例中,认证中心服务器可以提供账号管理服务、用户验证服务、令牌管理服务。其中,基于账户管理服务,认证中心服务器可以实现对用户的账户进行管理,可以对用户设置需要采用的认证方式。基于用户验证服务,认证中心服务器可以实现对用户进行身份验证,可以提供用户名+密码、ca(certificateauthority,数字证书认证中心)、usbkey等多种方式。其中,用输入的用户验证信息可以是用户的账号和密码等。基于令牌管理服务,认证中心服务器可以实现令牌的生成、令牌的验证、令牌的销毁等功能。
在本发明实施例中,当用户通过身份验证时,认证中心服务器中会创建该用户的会话,并把该用户重定向至发起登录请求的系统中的登录请求拦截器,发起登录请求的系统中的登录请求拦截器创建该用户的用户会话并把用户导向至其原先请求的地址。
在本发明实施例中,当用户从一个部署了登录请求拦截器的系统中,单点登录到另一个系统时,这两个系统中必须部署登录请求拦截器。
在本发明实施例中,当用户从一个部署了登录请求拦截器的系统中发起单点登录时,需要向该系统发送一个包含了特定信息的单点登录请求,该特定信息中包含了要单点登录到的系统的地址,以及表示本请求是单点登录请求的标示字符串;该登录请求拦截器拦截到此请求后,会向认证中心服务器请求一个令牌,并把令牌通过一个特定的链接发送给要单点登录到的系统。
其中,用户发的单点登录请求可以通过以下方式实现:
http(s)://发起登录请求的系统的host地址/tokensso?url=要登录到的系统的地址
其中的“tokensso”用户说明该请求是单点登录请求。
在本发明实施例中,登录请求拦截器可以是一个http请求的拦截组件。其主要作用是验证用户是否登录,并调用认证中心服务器完成单点登录。登录请求拦截器封装了第三方系统实现单点登录的所有逻辑。
本发明实施例由于把相关逻辑封装在了登录请求拦截器中,大大减轻了其他系统的应用难度,通过设置即可使用,主要是实施步骤如下:
部署认证中心服务器的web应用,并完成用户初始,和令牌有效性时间设置。
在使用本发明实施例实现单点登录的应用系统bin目录中部署登录请求拦截器dll,并在web.config中添加如下信息:
<httpmodules>
<addname="ssoprovider"type="inspur.sso.provider,inspur.sso"/>
</httpmodules>
本发明实施例提供了一种可读介质,包括执行指令,当存储控制器的处理器执行所述执行指令时,所述存储控制器执行本发明实施例中任一单点登录的方法。
本发明实施例提供了一种存储控制器,包括:处理器、存储器和总线;
所述存储器用于存储执行指令,所述处理器与所述存储器通过所述总线连接,当所述存储控制器运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述存储控制器执行本发明实施例中任一单点登录的方法。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明各个实施例至少具有如下有益效果:
1、在本发明实施例中,用户需要登录要登录到的系统时,发起登录请求的系统需要获取认证中服务器发出令牌,将该令牌发送给要登录到的系统,要登录到的系统将接收到的令牌发送给认证中心服务器进行验证,只有通过验证后,要登录到的系统才会针对该用户创建用户会话,实现用户登录到要登录到的系统,如果用户没有令牌,或者令牌没有通过验证,都无法登录到要登录到的系统,提高了单点登录的安全性。
2、在本发明实施例中,认证中心服务器产生的令牌具有时效性,同时只能用于一个系统的单点登录,认证中心服务器接到令牌验证请求时会验证令牌的时效,并根据发来待验证的令牌的系统的地址验证该系统是否是要登录到的系统。通过这些机制,在实现单点登录的同时,可以避免第三方恶意软件截获令牌并用于其他用途的可能,具有非常高的安全性。
3、在本发明实施例中,为每个用户可以单点登录到的系统设置登录请求拦截器,该登录请求拦截器中封装了使用本单点登录的系统实现登录和单点登录所需的操作逻辑,每个用户可以单点登录到的系统经过简单配置即可实现统一认证和单点登录服务,极大的简化了单点登录的实施过程,节约了实施成本。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃·····”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!