一种单点登录方法及装置与流程

本发明涉及通信技术领域，特别是涉及一种单点登录方法及装置。

背景技术：

随着各种移动网络终端设备、特别是智能手机技术的发展和普及应用，人们每天都被大量各种信息和数据所包围，信息社会已进入了大数据的时代。然而，信息和网络技术的快速发展在推进社会文明进步、给人们工作和生活带来各种方便的同时，个人的信息安全所面临的危险也与日俱增。

比如，企业业务整合中常用到的单点登录系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。在此过程中，只要用户登录认证信息被泄露出去，信息窃取者即可通过此票据来获得其他应用的访问权限，信息安全存在较大隐患。

技术实现要素：

本发明要解决的技术问题是提供一种单点登录方法及装置，用以解决现有技术中单点登录信息安全存在较大隐患的问题。

一方面，本发明提供一种单点登录方法，包括：用户成功登录第一应用后，生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据；当所述用户启动第二应用时，将所述加密票据发送给所述第二应用，以使所述第二应用启动票据验证过程；在所述第二应用提供的加密票据被验证通过的情况下，允许所述用户登录所述第二应用。

可选的，所述用户成功登录第一应用后，生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据包括：通过手机号和验证码的方式接受用户登录所述第一应用；为所述用户生成相应的认证票据并应用当前时间对所述认证票据加密以形成所述加密票据。

可选的，所述通过手机号和验证码的方式接受用户登录所述第一应用之后，形成所述加密票据之前，所述方法还包括：将所述用户的、除登录账号之外的其他账号与所述手机号绑定。

可选的，在所述第二应用提供的加密票据被验证通过的情况下，允许所述用户登录所述第二应用包括：在所述第二应用提供的加密票据与服务器生成的加密票据一致的情况下，将所述用户的、与所述手机号绑定的所有账号发送给所述第二应用；根据用户的账号选择指令，接收从所述所有账号中选择一个目标账号发起登录请求；对所述第二应用提供的加密票据进行再次验证，如果验证通过，允许所述目标账号登录所述第二应用。

可选的，所述方法还包括：如果所述第二应用提供的加密票据与服务器生成的加密票据不一致，禁止所述用户登录所述第二应用。

可选的，所述方法还包括每间隔预设时间对所述认证票据进行一次重新加密，以更新所述加密票据。

另一方面，本发明还提供一种单点登录装置，包括：生成与加密单元，用于在用户成功登录第一应用后，生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据；发送单元，用于当所述用户启动第二应用时，将所述加密票据发送给所述第二应用，以使所述第二应用启动票据验证过程；允许单元，用于在所述第二应用提供的加密票据被验证通过的情况下，允许所述用户登录所述第二应用。

可选的，所述生成与加密单元包括：接受模块，用于通过手机号和验证码的方式接受用户登录所述第一应用；加密模块，用于为所述用户生成相应的认证票据并应用当前时间对所述认证票据加密以形成所述加密票据。

可选的，所述装置还包括绑定单元，用于在通过手机号和验证码的方式接受用户登录所述第一应用之后，形成所述加密票据之前，将所述用户的、除登录账号之外的其他账号与所述手机号绑定。

可选的，所述允许单元，具体用于：在所述第二应用提供的加密票据与服务器生成的加密票据一致的情况下，将所述用户的、与所述手机号绑定的所有账号发送给所述第二应用；根据用户的账号选择指令，接收从所述所有账号中选择一个目标账号发起登录请求；对所述第二应用提供的加密票据进行再次验证，如果验证通过，允许所述目标账号登录所述第二应用。

可选的，所述装置还包括更新单元，用于每间隔预设时间对所述认证票据进行一次重新加密，以更新所述加密票据。

本发明实施例提供的单点登录方法及装置，用户成功登录第一应用后，能够生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据，当所述用户启动第二应用时，将所述加密票据发送给所述第二应用，用于登录第二应用。由于对认证票据的加密与时间条件相关，因此生成的加密票据具有严格的时效性，超过时限就无法验证通过，从而大大减少了票据泄露带来的风险，有效提高了单点登录的安全性。

附图说明

图1是本发明实施例提供的单点登录方法的一种流程图；

图2是本发明实施例提供的单点登录方法的一种信号流向示意图；

图3是本发明实施例提供的单点登录方法一种详细的流程图；

图4是本发明实施例提供的单点登录装置的一种结构示意图。

具体实施方式

以下结合附图对本发明进行详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

如图1所示，本发明的实施例提供一种单点登录方法，包括：

s11，用户成功登录第一应用后，生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据；

s12，当所述用户启动第二应用时，将所述加密票据发送给所述第二应用，以使所述第二应用启动票据验证过程；

s13，在所述第二应用提供的加密票据被验证通过的情况下，允许所述用户登录所述第二应用。

本发明实施例提供的单点登录方法，用户成功登录第一应用后，能够生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据，当所述用户启动第二应用时，将所述加密票据发送给所述第二应用，用于登录第二应用。由于对认证票据的加密与时间条件相关，因此生成的加密票据具有严格的时效性，超过时限就无法验证通过，从而大大减少了票据泄露带来的风险，有效提高了单点登录的安全性。

可选的，在步骤s11中，用户可以使用用户名加密码的方式登录第一应用，也可以使用手机号加验证码或者邮箱加验证码的方式登录第一应用。登录第一应用后，服务器可以为该用户生成相应的认证票据，从而使该用户在登录其他应用时可以凭借此票据直接登录。为了加强认证票据的安全性，生成的认证票据可以采用与时间条件相关的加密方式进行加密。本发明实施例中所谓的与时间条件相关具体是指对认证票据的加密具有严格的时效性，例如可以是当前时间经过预设算法形成的加密算法等，如果时间相差较大，则对应得加密方式不同。生成加密票据的服务器可以每隔预设时间对该认证票据进行一次重新加密，以便更新该加密票据。

在本发明的一个实施例中，为了防止用户名和密码被盗带来的风险，在步骤s11中，用户成功登录第一应用后，生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据可具体包括：

通过手机号和验证码的方式接受用户登录所述第一应用；

为所述用户生成相应的认证票据并应用当前时间对所述认证票据加密以形成所述加密票据。

也就是说，用户在登录第一应用时，可以直接输入手机号，服务器可以将对应得验证码发送到该手机号对应的移动终端。用户可以通过查看移动终端上的验证码并将验证码输入登录系统完成对第一应用的登录。

进一步的，对于某些应用，一个用户可能会有多个账号，用户也可能会对同一应用使用不同账号登录。为了方便用户对这种场景的使用，也为了提高在这种场景下的登录安全，在本发明的一个实施例中，通过手机号和验证码的方式接受用户登录所述第一应用之后，形成所述加密票据之前，本发明实施例提供的单点登录方法还包括：将所述用户的、除登录账号之外的其他账号与所述手机号绑定。基于此，在所述第二应用提供的加密票据被验证通过的情况下，允许所述用户登录所述第二应用包括：

在所述第二应用提供的加密票据与服务器生成的加密票据一致的情况下，将所述用户的、与所述手机号绑定的所有账号发送给所述第二应用；

根据用户的账号选择指令，接收从所述所有账号中选择一个目标账号发起登录请求；

对所述第二应用提供的加密票据进行再次验证，如果验证通过，允许所述目标账号登录所述第二应用。

例如，当用户使用手机号加验证码的方式登录第一用户后，可以将该用户的其他用户名w1,w2与该手机号绑定，然后将用户名w1、w2对应的账号向第二应用发送，以供用户选择。当用户选择了其中一个账号后，可以对该账号使用同样的加密票据进行验证登录，从而方便地提供了不同账号的安全登录方式。

可选的，对加密票据的验证可以为检测第二应用提供的加密票据与服务器生成的票据是否一致，在二者一致的情况下，确定该加密票据通过验证，允许第二应用登录，在二者不一致的情况下，确定该加密票据没有通过验证，禁止该用户登录第二应用。

下面通过具体实施例对本发明提供的单点登录方法进行详细的说明。

图2是本发明实施例提供的单点登录方法的信号流向示意图，图3是本发明实施例提供的单点登录方法的流程图。结合图2和图3，本实施例中的单点登录方法可包括如下步骤：

s201，用户通过移动终端访问第一应用，填写手机号，发送验证码，填写手机收到的验证码后登录成功。

s202，如果用户有未绑定至此手机号的账号，使用账号绑定功能绑定这些账号。

s203，用户使用第一应用单点登录功能。服务器根据当前的时间对认证票据进行加密并下相应的加密票据。

s204，第一应用将此票据传递给第二应用，第二应用收到此票据后启动单点登录的票据验证码过程。

s205，第二应用向服务器请求票据的校验，通过校验后，服务器下发此票据对应账号的所有子账号。

s206，第二应用弹出子账号选择页面。用户选择某一个账号，向服务器发起登录请求，登录此账号成功。

本实施例提供的单点登录方法，通过使用手机号和验证码的登录方式上减少了用户信息泄露的风险。并且可通过手机号绑定多个子账号，因而减少了用户信息泄露的风险和范围，使用户获得更简单的体验。而且，用户登录后生成的票据具有时效性，大大降低了因为此票据泄露而造成用户信息泄露的风险。总之，本实施例提供的单点登录方法更加安全，有效，同时使用户使用起来更加方便。

相应的，如图4所示，本发明的实施例还提供一种单点登录装置，包括：

生成与加密单元41，用于在用户成功登录第一应用后，生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据；

发送单元42，用于当所述用户启动第二应用时，将所述加密票据发送给所述第二应用，以使所述第二应用启动票据验证过程；

允许单元43，用于在所述第二应用提供的加密票据被验证通过的情况下，允许所述用户登录所述第二应用。

本发明实施例提供的单点登录装置，用户成功登录第一应用后，能够生成相应的认证票据并对所述认证票据进行与时间条件相关的加密以形成加密票据，当所述用户启动第二应用时，将所述加密票据发送给所述第二应用，用于登录第二应用。由于对认证票据的加密与时间条件相关，因此生成的加密票据具有严格的时效性，超过时限就无法验证通过，从而大大减少了票据泄露带来的风险，有效提高了单点登录的安全性。

可选的，生成与加密单元41可包括：

接受模块，用于通过手机号和验证码的方式接受用户登录所述第一应用；

加密模块，用于为所述用户生成相应的认证票据并应用当前时间对所述认证票据加密以形成所述加密票据。

可选的，本发明提供的单点登录装置还可包括绑定单元，用于在通过手机号和验证码的方式接受用户登录所述第一应用之后，形成所述加密票据之前，将所述用户的、除登录账号之外的其他账号与所述手机号绑定。

可选的，允许单元43，具体可用于：

在所述第二应用提供的加密票据与服务器生成的加密票据一致的情况下，将所述用户的、与所述手机号绑定的所有账号发送给所述第二应用；

根据用户的账号选择指令，接收从所述所有账号中选择一个目标账号发起登录请求；

对所述第二应用提供的加密票据进行再次验证，如果验证通过，允许所述目标账号登录所述第二应用。

进一步的，本发明实施例提供的单点登录装置还可包括更新单元，用于每间隔预设时间对所述认证票据进行一次重新加密，以更新所述加密票据。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。