一种登录访问方法、系统和存储介质与流程

本发明涉及应用系统技术领域，尤其涉及一种登录访问方法、系统和存储介质。

背景技术：

随着数字化的不断普及，大型企事业单位的各个部门逐渐的上了与本身业务相关的各种各样的子系统(在这些业务子系统中，以web、andriod/app子系统居多)，几乎每个业务子系统都需要识别操作者的身份，并根据其不同的身份，分配一定的权限，做一些操作上的限制。结果很多公司或者部门都在各个业务子系统便各自设计了一套用户资料和权限管理的机制，并提供用户登录认证。这样满足了上面的需求，但由此带来用户账号管理不方便、用户资料不统一等问题。在数字化网络发展到一定阶段时，对用户资料的整合以进行统一的管理变得十分必要，现有的统一登录系统和各个业务子系统之间基于用户信息的互相认证过程是通过soap协议来实现的，然后统一登录系统将含有用户认证凭证的session信息进行保存，后续用户通过浏览器获取session信息向业务子系统发起登录请求，业务子系统经过信息鉴权后向用户的浏览器返回登录成功。

采用以上方案将会产生如下问题：

1.统一登录系统响应效率缓慢，资源得不到合理利用，容易产生消息堵塞现象；

2.统一登录系统的资源与视图的松耦合差，不便于系统维护，不便于第三方系统集成，系统扩展性差；

3.统一登录系统的数据结构单一，传统的是基于soap(simpleobjectaccessprotocol，简单对象访问协议)以xml(extensiblemarkuplanguage，扩展标记语言)格式传输数据的，难以适应移动互联业务发展需要；

4.业务子系统的安全性低，传统的传输都是以url(uniformresourcelocator，统一资源定位器)方式，很多敏感信息都暴露在外面，只是通过简单的增加配置ssl(securesocketslayer，安全套接层)传输数据，很难保证信息安全。

技术实现要素：

本发明要解决的技术问题是，提供一种登录访问方法、系统和存储介质，既保证业务子系统的信息安全，又使得统一登录系统有良好的动态伸缩性。

本发明采用的技术方案是，所述登录访问方法，应用于统一登录系统侧，所述方法包括：

当统一登录系统接收到所述用户针对任一业务子系统的访问请求时，将用户登录信息以及业务子系统认证令牌信息发送给所述业务子系统，供所述业务子系统进行校验。

进一步的，在所述统一登录系统接收到所述用户针对任一业务子系统的访问请求之前，所述方法，还包括：

所述统一登录系统依据预先获取到的所述业务子系统的特征信息，生成所述业务子系统认证令牌信息并保存；

其中，所述业务子系统的特征信息包括：所述业务子系统的账户信息，或者，所述业务子系统的账户信息和所述业务子系统对应的唯一编码信息；所述业务子系统的账户信息包括：业务子系统名称和业务子系统密码。

进一步的，所述将用户登录信息以及所述业务子系统认证令牌信息发送给所述业务子系统包括：

通过rest(representationalstatetransfer，表述性状态传递)方式将用户登录信息以及所述业务子系统认证令牌信息发送给所述业务子系统。

进一步的，所述依据预先获取到的所述业务子系统的特征信息，生成所述业务子系统认证令牌信息，包括：

通过随机数据序列字符串和所述业务子系统的账户信息生成令牌；

对所述令牌进行加密得到所述业务子系统认证令牌信息，或者，对所述令牌和所述业务子系统对应的唯一编码信息进行加密得到所述业务子系统认证令牌信息。

进一步的，所述对所述令牌进行加密得到所述业务子系统认证令牌信息包括：

对所述令牌进行散列并生成验证码；

对所述验证码和经过散列的所述令牌进行加密得到所述业务子系统认证令牌信息；

所述对所述令牌和所述业务子系统对应的唯一编码信息进行加密得到所述业务子系统认证令牌信息包括：

对所述令牌进行散列并生成验证码；

对所述验证码、所述业务子系统对应的唯一编码信息和经过散列的所述令牌进行加密得到所述业务子系统认证令牌信息。

本发明还提供一种登录访问方法，包括：

业务子系统接收统一登录系统发来的用户登录信息以及业务子系统认证令牌信息；

所述业务子系统对接收到的所述用户登录信息以及所述业务子系统认证令牌信息进行校验，并向所述统一登录系统返回校验结果。

进一步的，所述业务子系统与所述统一登录系统之间是以rest方式交互的。

进一步的，所述对接收到的所述用户登录信息以及业务子系统认证令牌信息进行校验，包括：

判断本地是否已保存有接收到的所述用户登录信息，其中，所述用户登录信息包括：用户信息，或者，用户信息和密码信息；

在判断结果为是的情况下；

判断依据接收到的所述业务子系统认证令牌信息得到的令牌是否有效，或者，判断依据接收到的所述业务子系统认证令牌信息得到的令牌和业务子系统对应的唯一编码信息是否有效。

进一步的，依据接收到的所述业务子系统认证令牌信息得到的令牌和业务子系统对应的唯一编码信息的方式，包括：

对所述业务子系统认证令牌信息解密得到令牌和业务子系统对应的唯一编码信息；

对所述令牌进行解散列得到随机数据序列字符串和业务子系统的账户信息；所述业务子系统的账户信息包括：业务子系统名称和业务子系统密码。

进一步的，所述判断依据接收到的所述业务子系统认证令牌信息得到的令牌和业务子系统对应的唯一编码信息是否有效，包括：

a1：判断所述令牌是否在有效期内，若是则执行步骤a2，否则判定接收到的令牌和业务子系统对应的唯一编码信息无效；

a2：判断本地是否已保存有对所述业务子系统认证令牌信息解密得到的业务子系统对应的唯一编码信息、以及依据所述令牌得到的业务子系统的账户信息，若是，则判定接收到的令牌和业务子系统对应的唯一编码信息有效，否则判定接收到的令牌和业务子系统对应的唯一编码信息无效。

本发明还提供一种统一登录系统，包括：第一通信模块、第一存储器和第一处理器，其中：

所述第一通信模块，配置为与用户以及业务子系统进行通信交互；

所述第一存储器存储有认证管理程序；

第一处理器，配置为执行所述认证管理程序以实现如上述登录访问方法的步骤。

本发明还提供一种业务子系统，包括：第二通信模块、第二存储器和第二处理器，其中：

所述第二通信模块，配置为与统一登录系统进行通信交互；

所述第二存储器存储有认证注册程序的；

第二处理器，配置为执行所述认证注册程序以实现如上述登录访问方法的步骤。

本发明还提供一种计算机存储介质所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述登录访问方法的步骤。

采用上述技术方案，本发明至少具有下列优点：

本发明所述登录访问方法、系统和存储介质，针对目前客户端用户通过统一登录系统访问业务子系统的过程中存在的服务效率不高、服务资源浪费以及数据结构单一等问题，提供了一种解决方法，在确保了系统可用性的同时，提高了系统处理的实时性和准确性。本发明既能提高服务效率，节省服务资源，给移动应用提供优质服务，又能减少运营成本，提高了用户体验和增加运营商的经济收入。

附图说明

图1为本发明第一实施例的登录访问方法流程图；

图2为本发明第二实施例的登录访问方法流程图；

图3为本发明第三实施例的统一登录系统组成示意图；

图4为本发明第四实施例的业务子系统组成示意图。

具体实施方式

为更进一步阐述本发明为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本发明进行详细说明如后。

本发明第一实施例，一种登录访问方法，应用于统一登录系统，如图1所示，该方法包括以下具体步骤：

步骤s101，统一登录系统针对每一个业务子系统生成业务子系统认证令牌信息并保存，所述业务子系统认证令牌信息也被配置到相应的业务子系统中。

具体的，在第一个可选的实例中，所述业务子系统认证令牌信息包括：业务子系统的账户信息。

在第二个可选的实例中，所述业务子系统认证令牌信息包括：业务子系统的账户信息和业务子系统对应的唯一编码信息。

业务子系统的账户信息包括：业务子系统名称和业务子系统密码；

统一登录系统与用户以及与业务子系统之间均是以rest方式交互。比如：统一登录系统通过rest方式将用户登录信息以及所述业务子系统认证令牌信息发送给所述业务子系统。

在步骤s101中，可以预先获取到的业务子系统的特征信息，所述业务子系统的特征信息包括：所述业务子系统的账户信息，或者，所述业务子系统的账户信息和所述业务子系统对应的唯一编码信息；所述业务子系统的账户信息包括：业务子系统名称和业务子系统密码。

统一登录系统针对每一个业务子系统，根据预先获取到的所述业务子系统的特征信息生成业务子系统认证令牌信息，包括：

a1：针对任一业务子系统，通过随机数据序列字符串和所述任一业务子系统的账户信息生成令牌；

a2：对所述令牌进行加密得到所述任一业务子系统认证令牌信息，或者，对所述令牌和所述任一业务子系统对应的唯一编码信息进行加密得到所述任一业务子系统认证令牌信息。

进一步的，在步骤a2中，对所述令牌或者对所述令牌和唯一的编码信息进行加密得到所述任一业务子系统认证令牌信息，包括：

对所述令牌进行散列并产生验证码；

在第一个可选的实例中，将所述验证码和经过散列的所述令牌组合起来进行加密得到所述任一业务子系统认证令牌信息；

在第二个可选的实例中，将所述验证码、所述任一业务子系统对应的唯一编码信息和经过散列的所述令牌组合起来进行加密得到所述任一业务子系统认证令牌信息。

步骤s102，当接收到所述用户针对任一业务子系统的访问请求时，将用户登录信息以及所述任一业务子系统认证令牌信息发送给所述任一业务子系统，供所述任一业务子系统进行校验。

本发明实施例主要采用基于rest轻量级服务技术，rest技术服务具有如下特点：

1)数据缓存。基于rest系统根据需要可以对数据进行缓存，可以减少服务端和客户端之间的信息传输、提高性能，增加用户体验。业务子系统缓存来自于统一登录系统的访问请求，提高访问的速度。

2)系统结构层次化。一个基于rest的系统中，客户端可以和一个或者多个服务器交互通信，好的系统层次化结构便于运维人员的维护和其他应用的集成。比如：本发明实施例的，通过统一登录系统(类似于客户端的统一登录入口)可以登录不同的业务子系统(类似于服务器)。

3)数据结构丰富。表现形式按客户端请求资源时要求给予相应内容，一般返回xml、json、xhml等格式。比如：本发明实施例中统一登录系统(类似于客户端的统一登录入口)向业务子系统(类似于服务器)请求资源时，客户端不仅可以使pc机也可以移动终端，移动终端可以向业务子系统请求xml、json、xhml等各种格式的资源，而现有技术的客户端只能是pc机，且不支持移动终端以及上述多种格式。

4)无状态。在一个rest系统中，服务端(类似于统一登录入口)并不会保存有关客户端(类似于业务子系统)的任何状态。也就是说，客户端自身负责用户状态的维持，并在每次发送请求时都需要提供足够的信息。比如：本发明实施例中的用户侧发送用户登录请求时，统一登录系统(类似于客户端的统一登录入口)会将用户登录信息连同注册密文组合后发送给业务子系统(类似于服务器)进行校验。

5)统一的接口。一个rest系统需要使用统一的接口(即本发明实施例的统一登录系统)来完成统一的接口与业务子系统之间的交互。这使得rest系统中的各个业务子系统可以独自完成演化。综上所述，可以从根本上解决现有技术中存在的问题。

另外，可以将本发明实施例的所述方法对应的程序设计成一种登陆访问服务。该服务将登陆访问过程发布为rest服务，供本地用户和远程用户调用,同时采用加密令牌方式将管理员输入的业务子系统认证令牌信息保存在统一登录系统以及配置在业务子系统中,该服务不再使用session以会话的方式保存业务子系统相关认证信息，而是通过解密令牌密文获取业务子系统认证令牌信息,既保证用户的信息安全,又使得服务器具有良好的动态伸缩性等。

本发明实施例的用户侧可以是pc机安装的浏览器(如：ie、firefox、chrome等)或者手机客户端(app或ios)。例如：某企业管理系统或大型互联网门户，在用户登录了某个系统后其他的子系统就不需要登录，可以访问相关的子系统的所有应用。

本发明第二实施例，一种登录访问方法，应用于业务子系统，如图2所示，该方法还包括以下具体步骤：

步骤s201，业务子系统在本地配置自身的业务子系统认证令牌信息；该业务子系统认证令牌信息也保存在统一登录系统中。

步骤s202，业务子系统接收统一登录系统基于用户的访问请求发来的用户登录信息以及业务子系统认证令牌信息时，对接收到的所述用户登录信息以及业务子系统认证令牌信息进行校验，并向所述统一登录系统返回校验结果。

具体的，业务子系统与统一登录系统之间是以rest方式交互的。

在步骤s202中，所述对接收到的所述用户登录信息以及业务子系统认证令牌信息进行校验，包括：

a1：判断本地是否已保存有接收到的所述用户登录信息，若是，则执行步骤a2；否则执行步骤a3；所述用户登录信息包括：用户信息，或者，用户信息和密码信息；

a2：判断依据接收到的业务子系统认证令牌信息得到的令牌或者得到的令牌和业务子系统对应的唯一编码信息是否有效，若是，则向统一登录系统返回校验成功信息；否则执行步骤a3；

a3：向统一登录系统返回校验失败信息。

可选的，步骤a2中，依据业务子系统认证令牌信息得到令牌或者得到的令牌和业务子系统对应的唯一编码信息的方式，包括：

在第一个可选的实例中，对业务子系统认证令牌信息解密得到令牌；

在第二个可选的实例中，对业务子系统认证令牌信息解密得到令牌和业务子系统对应的唯一编码信息；

对所述令牌进行解散列得到随机数据序列字符串和业务子系统的账户信息；业务子系统的账户信息包括：业务子系统名称和业务子系统密码。

进一步的，步骤a2中，所述判断依据接收到的所述业务子系统认证令牌信息得到的令牌和业务子系统对应的唯一编码信息是否有效，包括：

b1：判断所述令牌是否在有效期内，若是则执行步骤b2，否则判定接收到的令牌和业务子系统对应的唯一编码信息无效；

b2：判断本地是否已保存有对所述业务子系统认证令牌信息解密得到的业务子系统对应的唯一编码信息、以及依据所述令牌得到的业务子系统的账户信息，若是，则判定接收到的令牌和业务子系统对应的唯一编码信息有效，否则判定接收到的令牌和业务子系统对应的唯一编码信息无效。

在本发明实施例中由于引入了用令牌方式存储业务子系统认证的相关信息，同时采用了rest方式实现用户、统一登录系统以及业务子系统之间的交互，既保证业务子系统的信息安全，又使得统一登录系统有良好的动态伸缩性。

本发明实施例的用户侧可以是pc机安装的浏览器(如：ie、firefox、chrome等)或者手机客户端(app或ios)。例如：某企业管理系统或大型互联网门户，在用户登录了某个系统后其他的子系统就不需要登录，可以访问相关的子系统的所有应用。

本发明第三实施例，一种统一登录系统，如图3所示，包括以下组成部分：第一通信模块301、第一存储器302和第一处理器303，其中：

第一通信模块301，配置为与用户侧以及业务子系统进行通信交互；

第一存储器302存储有认证管理程序的；

第一处理器303，配置为执行所述认证管理程序以实现如本发明第一实施例或第二实施例所述的登录访问方法的步骤。

本发明第四实施例，一种业务子系统，如图4所示，包括以下组成部分：第二通信模块401、第二存储器402和第二处理器403，其中：

第二通信模块401，配置为与统一登录系统进行通信交互；

第二存储器402存储有认证注册程序的；

第二处理器403，配置为执行所述认证注册程序以实现如本发明第三实施例或第四实施例所述的登录访问方法的步骤。

本发明第五实施例，一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如本发明第一或二实施例所述的登录访问方法的步骤。

在工程实现上，本实施例的所述计算机存储介质中的软件可以运行在必需的通用硬件平台上来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的计算机存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台设备(可以是服务器、客户端)执行本发明实施例所述的方法。

通过具体实施方式的说明，应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解，然而所附图示仅是提供参考与说明之用，并非用来对本发明加以限制。