单点登陆方法、装置、计算机设备及存储介质与流程

本发明涉及系统登陆方法，更具体地说是指单点登陆方法、装置、计算机设备及存储介质。

背景技术：

当前随着信息化的快速发展，很多公司或者政府部门逐渐使用了与本身业务相关的各种各样的系统，其中以web系统居多，几乎每个业务系统都各自设计了一套用户资料和权限管理的机制，并提供了用户登录来识别使用者的身份，并根据其不同的角色，分配一定的权限，在权限使用范围内操作业务系统。这样满足了业务方面的需求，但这种系统带来用户账号管理不方便、用户资料不统一等问题，不仅给管理上带来了很大的困难，在安全方面也埋下了重大的隐患。

因此，有必要设计一种方法，实现为各个子系统提供统一鉴权服务，提供统一的登录入口，便于用户和应用的统一管理。

技术实现要素：

本发明的目的在于克服现有技术的缺陷，提供单点登陆方法、装置、计算机设备及存储介质。

为实现上述目的，本发明采用以下技术方案：单点登陆方法，包括：

获取用户所访问的用户终端id以及重定向地址；

获取用户授权情况；

判断所述授权情况是否是给予用户终端授权；

若是，则将用户导向事先指定的重定向统一资源标识符，以得到标准重定向统一资源标识符；

对标准重定向统一资源标识符附上标准授权码；

获取来自用户终端的申请令牌请求以及待验证信息；

判断待验证信息是否满足要求；

若是，则根据申请令牌请求发送访问令牌；

将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源。

其进一步技术方案为：所述重定向地址包括用户所访问的应用地址。

其进一步技术方案为：所述待验证信息包括来自用户终端的授权码以及来自用户终端的重定向统一资源标识符。

其进一步技术方案为：所述判断待验证信息是否满足要求，包括：

判断来自用户终端的授权码是否与标准授权码一致；

若是，则判断来自用户终端的重定向统一资源标识符是否与标准的重定向统一资源标识符一致；

若是，则待验证信息满足要求。

其进一步技术方案为：所述访问令牌包括用户的相关信息。

其进一步技术方案为：所述将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源之后，还包括：

在用户通过访问令牌访问业务资源时，获取用户访问请求；

将访问令牌放于访问请求的http请求头中；

根据http请求头调用相关微服务；

验证访问令牌是否符合要求；

若是，则返回用户基础信息、权限范围以及有效时间。

本发明还提供了单点登陆装置，包括：

id获取单元，用于获取用户所访问的用户终端id以及重定向地址；

授权情况单元，用于获取用户授权情况；

授权情况判断单元，用于判断所述授权情况是否是给予用户终端授权；

导向单元，用于若是，则将用户导向事先指定的重定向统一资源标识符，以得到标准重定向统一资源标识符；

附码单元，用于对标准重定向统一资源标识符附上标准授权码；

信息获取单元，用于获取来自用户终端的申请令牌请求以及待验证信息；

信息判断单元，用于判断待验证信息是否满足要求；

令牌发送单元，用于若是，则根据申请令牌请求发送访问令牌；

页面重定向单元，用于将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源。

其进一步技术方案为：所述装置还包括：

请求获取单元，用于在用户通过访问令牌访问业务资源时，获取用户访问请求；

令牌设置单元，用于将访问令牌放于访问请求的http请求头中；

调用单元，用于根据http请求头调用相关微服务；

验证单元，用于验证访问令牌是否符合要求；

返回单元，用于若是，则返回用户基础信息、权限范围以及有效时间。

本发明还提供了一种计算机设备，其特征在于，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法。

本发明还提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时可实现上述的方法。

本发明与现有技术相比的有益效果是：本发明通过基于开放授权协议以及一系列框架的有序集合的单点登陆服务，根据用户的授权情况、标准重定向统一资源标识符以及标准授权码，对来自用户终端的授权码以及来自用户终端的重定向统一资源标识符进行验证，在验证通过后，发送访问令牌，且将用户终端的页面重定向至访问的应用页面，以访问业务资源，实现了为各个业务服务器提供统一鉴权服务，提供统一的登录入口，方便了用户的不同业务服务器统一登录需求和安全管理，增强了用户的使用体验。

下面结合附图和具体实施例对本发明作进一步描述。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的单点登陆方法的应用场景示意图；

图2为本发明实施例提供的单点登陆方法的流程示意图；

图3为本发明实施例提供的单点登陆方法的子流程示意图；

图4为本发明另一实施例提供的单点登陆方法的流程示意图；

图5为本发明实施例提供的单点登陆装置的示意性框图；

图6为本发明实施例提供的单点登陆装置的信息判断单元的示意性框图；

图7为本发明另一实施例提供的单点登陆装置的示意性框图；

图8为本发明实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

请参阅图1和图2，图1为本发明实施例提供的单点登陆方法的应用场景示意图。图2为本发明实施例提供的单点登陆方法的示意性流程图。该单点登陆方法的应用场景包括认证服务器、业务服务器以及用户终端。其中，用户终端可以是智能手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等电子设备；认证服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群，业务服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。

认证服务器中部署有单点登陆平台，用户访问业务服务器，业务服务器请求至认证服务器，对用户的访问进行处理，且该用户终端将用户输入账号和密码等授权情况发送至认证服务器中，以使得认证服务器可以对授权情况进行授权认证和处理，以使用户可通过该单点登陆平台访问至业务服务器。

该认证服务器是基于oauth2协议的身份认证微服务，该微服务就是为各个子系统(即业务服务器)提供基于oauth2(开放授权)协议和springcloudsecurity(一系列框架的有序集合)的单点登陆服务的基础。其中，认证服务器采用了oauth2、springsecurity、springboot。springboot为微服务架构最常用的系统架构，springboot是由pivotal团队提供的全新框架，其设计目的是用来简化新spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置，从而使开发人员不再需要定义样板化的配置，oauth2为稳定的鉴权认证协议，springsecurity是一个能够为基于spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架，其配合oauth2，为用户提供登录接口。

需要说明的是，图2中仅仅示意出一台认证服务器，在实际操作过程中可以是多台认证服务器进行处理。

图2是本发明实施例提供的单点登陆方法的流程示意图。如图2所示，该方法包括以下步骤s110至s200。

s110、获取用户所访问的用户终端id以及重定向地址。

用户终端id指的是用户终端的唯一标识，以识别用户所用的终端身份，重定向地址指的是用户终端访问的业务服务器的地址，即所述重定向地址包括用户所访问的应用地址。

用户通过浏览器访问对应的业务服务器，业务服务器若在数据库内找不到用户及权限信息则判定用户未登录，需要进行单点登陆处理，请求认证服务器为其下发用户信息和访问令牌。

业务服务器发送请求到认证服务器，并携带所访问业务服务器的用户终端id以及重定向地址。

s120、获取用户授权情况。

在本实施例中，具体是用户通过用户终端输入账号和密码并选择是否给予用户终端授权。

s130、判断所述授权情况是否是给予用户终端授权；

s140、若是，则将用户导向事先指定的重定向统一资源标识符，以得到标准重定向统一资源标识符。

具体地，标准重定向统一资源标识符是由用户终端事先指定一个重定向统一资源标识符；认证服务器将用户导向客户端事先指定的重定向uri(统一资源标识符，uniformresourceidentifier)。

s150、对标准重定向统一资源标识符附上标准授权码。

授权码指的是用户授权于用户终端的一个标识码，在认证用户身份时需要用到；附上标准授权码可以进行双重认证，提高认证准确率。

s160、获取来自用户终端的申请令牌请求以及待验证信息。

在本实施例中，所述待验证信息包括来自用户终端的授权码以及来自用户终端的重定向统一资源标识符。

申请令牌请求指的是申请用户相关信息的请求。

具体地，用户终端接收到认证终端授权码，附上用户终端初始的重定向uri后，用户终端通过业务服务器向认证服务器发送申请令牌请求，具体是在用户终端的后台完成的，对用户不可见。

s170、判断待验证信息是否满足要求。

在一实施例中，如图3所示，上述的步骤s170可包括步骤s171～s174。

s171、判断来自用户终端的授权码是否与标准授权码一致；

若否，则进入步骤s174。

s172、若是，则判断来自用户终端的重定向统一资源标识符是否与标准的重定向统一资源标识符一致；

s173、若是，则待验证信息满足要求；

s174、若否，则待验证信息不满足要求。

s180、若是，则根据申请令牌请求发送访问令牌。

在本实施例中，所述访问令牌包括用户的相关信息。

将访问令牌返回至业务服务器后，由业务服务器返回至用户终端，用户采用该访问令牌登录后，将登录信息反馈至业务服务器。

在一实施例中，上述的认证服务器可通过endpoint来设置令牌的相关属性如有效期和令牌的存储方式，本实施例中使用的jdbctoken的存储方式，将令牌信息存在数据库中，以供不同业务服务器共享。

还可通过用户终端详细信息服务配置程序和认证服务器安全配置程序来对应设置用户终端的相关属性和认证服务端的相关属性。安全配置类采用重写受保护的空白配置(如安全http)方法配置安全属性，可设置登录跳转和登出跳转，并设置要过滤的请求，与oauth2配合实现了统一登录的入口。

s190、将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源。

认证服务器将用户终端的页面重定向至访问的应用页面，以便于用户访问业务服务器内的资源。

s200、若否，则发送不符合要求通知至用户终端。

另外，在步骤s130判断所述授权情况是否是给予用户终端授权之后还包括：

若否，则进入结束步骤。

上述的单点登录方法，通过基于开放授权协议以及一系列框架的有序集合的单点登陆服务，根据用户的授权情况、标准重定向统一资源标识符以及标准授权码，对来自用户终端的授权码以及来自用户终端的重定向统一资源标识符进行验证，在验证通过后，发送访问令牌，且将用户终端的页面重定向至访问的应用页面，以访问业务资源，实现了为各个业务服务器提供统一鉴权服务，提供统一的登录入口，方便了用户的不同业务服务器统一登录需求和安全管理，增强了用户的使用体验。

图4是本发明另一实施例提供的一种单点登陆方法的流程示意图。如图4所示，本实施例的单点登陆方法包括步骤s210-s350。其中步骤s210-s250与上述实施例中的步骤s110-s200类似，在此不再赘述。下面详细说明本实施例中所增加的步骤s310-s350。

s310、在用户通过访问令牌访问业务资源时，获取用户访问请求；

s320、将访问令牌放于访问请求的http请求头中；

s330、根据http请求头调用相关微服务；

s340、验证访问令牌是否符合要求；

s350、若是，则返回用户基础信息、权限范围以及有效时间。

若否，则进入结束步骤。

访问令牌一般会包含用户的相关信息，通过验证访问令牌就可以完成身份校验。用户输入登录信息，发送到身份认证服务到认证服务器进行认证。认证服务器验证访问令牌是否正确，返回用户基础信息、权限范围、有效时间等信息以及客户终端存储接口。用户将访问令牌放在http请求头中，发起相关的身份微服务api(应用程序编程接口，applicationprogramminginterface)调用，即调用认证服务器的接口进行身份认证，验证访问令牌后。业务服务器返回相关资源和数据。

图5是本发明实施例提供的一种单点登陆装置400的示意性框图。如图5所示，对应于以上单点登陆方法，本发明还提供一种单点登陆装置400。该单点登陆装置400包括用于执行上述单点登陆方法的单元，该装置可以被配置于服务器中。

具体地，请参阅图5，该单点登陆装置400包括：

id获取单元401，用于获取用户所访问的用户终端id以及重定向地址；

授权情况单元402，用于获取用户授权情况；

授权情况判断单元403，用于判断所述授权情况是否是给予用户终端授权；

导向单元404，用于若是，则将用户导向事先指定的重定向统一资源标识符，以得到标准重定向统一资源标识符；

附码单元405，用于对标准重定向统一资源标识符附上标准授权码；

信息获取单元406，用于获取来自用户终端的申请令牌请求以及待验证信息；

信息判断单元407，用于判断待验证信息是否满足要求；

令牌发送单元408，用于若是，则根据申请令牌请求发送访问令牌；

页面重定向单元409，用于将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源。

通知单元410，用于若否，则发送不符合要求通知至用户终端。

在一实施例中，如图6所示，上述的信息判断单元407包括：

授权码判断子单元4071，用于判断来自用户终端的授权码是否与标准授权码一致；

标识符判断子单元4072，用于若是，则判断来自用户终端的重定向统一资源标识符是否与标准的重定向统一资源标识符一致；若是，则待验证信息满足要求，若否，则待验证信息不满足要求。

图7是本发明另一实施例提供的一种单点登陆装置400的示意性框图。如图7所示，本实施例的单点登陆装置400是上述实施例的基础上增加了请求获取单元411、令牌设置单元412、调用单元413、验证单元414以及返回单元415。

请求获取单元411，用于在用户通过访问令牌访问业务资源时，获取用户访问请求；

令牌设置单元412，用于将访问令牌放于访问请求的http请求头中；

调用单元413，用于根据http请求头调用相关微服务；

验证单元414，用于验证访问令牌是否符合要求；

返回单元415，用于若是，则返回用户基础信息、权限范围以及有效时间。

需要说明的是，所属领域的技术人员可以清楚地了解到，上述单点登陆装置400和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。

上述单点登陆装置400可以实现为一种计算机程序的形式，该计算机程序可以在如图8所示的计算机设备上运行。

请参阅图8，图8是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500是服务器，服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。

参阅图8，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。

该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令，该程序指令被执行时，可使得处理器502执行一种单点登陆方法。

该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。

该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种单点登陆方法。

该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解，图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下步骤：

获取用户所访问的用户终端id以及重定向地址；

获取用户授权情况；

判断所述授权情况是否是给予用户终端授权；

若是，则将用户导向事先指定的重定向统一资源标识符，以得到标准重定向统一资源标识符；

对标准重定向统一资源标识符附上标准授权码；

获取来自用户终端的申请令牌请求以及待验证信息；

判断待验证信息是否满足要求；

若是，则根据申请令牌请求发送访问令牌；

将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源。

其中，所述重定向地址包括用户所访问的应用地址。

所述待验证信息包括来自用户终端的授权码以及来自用户终端的重定向统一资源标识符。

所述访问令牌包括用户的相关信息。

在一实施例中，处理器502在实现所述判断待验证信息是否满足要求步骤时，具体实现如下步骤：

判断来自用户终端的授权码是否与标准授权码一致；

若是，则判断来自用户终端的重定向统一资源标识符是否与标准的重定向统一资源标识符一致；

若是，则待验证信息满足要求。

在一实施例中，处理器502在实现所述将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源步骤之后，还实现如下步骤：

在用户通过访问令牌访问业务资源时，获取用户访问请求；

将访问令牌放于访问请求的http请求头中；

根据http请求头调用相关微服务；

验证访问令牌是否符合要求；

若是，则返回用户基础信息、权限范围以及有效时间。

应当理解，在本申请实施例中，处理器502可以是中央处理单元(centralprocessingunit，cpu)，该处理器502还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令，计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。

因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中该计算机程序被处理器执行时使处理器执行如下步骤：

获取用户所访问的用户终端id以及重定向地址；

获取用户授权情况；

判断所述授权情况是否是给予用户终端授权；

若是，则将用户导向事先指定的重定向统一资源标识符，以得到标准重定向统一资源标识符；

对标准重定向统一资源标识符附上标准授权码；

获取来自用户终端的申请令牌请求以及待验证信息；

判断待验证信息是否满足要求；

若是，则根据申请令牌请求发送访问令牌；

将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源。

其中，所述重定向地址包括用户所访问的应用地址。

所述待验证信息包括来自用户终端的授权码以及来自用户终端的重定向统一资源标识符。

所述访问令牌包括用户的相关信息。

在一实施例中，所述处理器在执行所述计算机程序而实现所述判断待验证信息是否满足要求步骤时，具体实现如下步骤：

判断来自用户终端的授权码是否与标准授权码一致；

若是，则判断来自用户终端的重定向统一资源标识符是否与标准的重定向统一资源标识符一致；

若是，则待验证信息满足要求。

在一实施例中，所述处理器在执行所述计算机程序而实现所述将页面重定向至访问的应用页面，以使用户通过访问令牌访问业务资源步骤之后，还实现如下步骤：

在用户通过访问令牌访问业务资源时，获取用户访问请求；

将访问令牌放于访问请求的http请求头中；

根据http请求头调用相关微服务；

验证访问令牌是否符合要求；

若是，则返回用户基础信息、权限范围以及有效时间。

所述存储介质可以是u盘、移动硬盘、只读存储器(read-onlymemory，rom)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，终端，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。