本说明书涉及信息安全技术领域,尤其涉及一种服务器登录方法、系统及装置。
背景技术:
目前,在用户登录服务器的过程中,一般是由用户与服务器进行交互,根据服务器的本地文件中存储的用户的uid(useridentify,用户身份证明)、gid(groupidentify,组身份证明)、家目录路径、登录公钥、服务器登录权限等用户相关数据,验证用户是否能够登录至服务器。但由于各服务器是相互独立的,当用户需要登录多台服务器时,则需要在每台服务器上均创建用户的上述用户相关数据。在用户想要登录某台服务器时,由该服务器根据用户相关数据验证用户是否具备登录服务器的权限,这不仅导致信息冗余,使得服务器的数据存储压力大,且不便于对用户的服务器登录权限进行管理。
在对用户的服务器登录权限的管理方面,现有技术中,由于是针对每位用户分别创建对应的用户相关数据,因此若要更改用户对服务器的登录权限,就需要在对应服务器中存储的与该用户对应的服务器登录权限进行更改。假如需要同时更改用户对多台服务器的登录权限,则需要在多台服务器中分别更改该用户对应的服务器登录权限。显然,此种管理登录权限的方式不仅消耗人力,而且效率低下,尤其对于用户较多以及服务器较多的应用场景更加难以满足需求。
技术实现要素:
本说明书一个或多个实施例的目的是提供一种服务器登录方法、系统及装置,用以解决现有技术中在服务器上存储及管理用户的登录权限信息导致服务器中数据存储压力大、以及登录权限信息管控效果差的问题。
为解决上述技术问题,本说明书一个或多个实施例是这样实现的:
一方面,本说明书一个或多个实施例提供一种服务器登录方法,应用于认证中心,包括:
接收目标服务器发送的、第一用户针对所述目标服务器的登录请求;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
根据所述第一用户的用户标识信息,确定所述第一用户的用户类别;所述用户类别包括用户身份、用户等级、所属用户组中的至少一项;
基于所述第一用户的用户类别,确定属于所述用户类别的第二用户对应的目标登录权限信息,并根据所述目标登录权限信息,对所述第一用户登录所述目标服务器的第一权限进行认证;
若所述第一权限认证通过,则向所述目标服务器返回与所述目标服务器对应的第二登录密码,以使所述目标服务器根据所述第一登录密码及所述第二登录密码判断是否允许所述第一用户登录所述目标服务器。
另一方面,本说明书一个或多个实施例提供一种服务器登录方法,应用于目标服务器,包括:
接收第一用户针对所述目标服务器的登录请求;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
将所述登录请求转发至认证中心;所述认证中心用于根据所述第一用户的用户标识信息,确定所述第一用户的用户类别,并基于所述第一用户的用户类别对所述第一用户登录所述目标服务器的第一权限进行认证;
接收所述认证中心发送的与所述目标服务器对应的第二登录密码,并判断所述第一登录密码和所述第二登录密码是否相匹配;所述第二登录密码由所述认证中心对所述第一权限认证通过后发送至所述目标服务器;
根据判断结果确定是否允许所述第一用户登录所述目标服务器。
再一方面,本说明书一个或多个实施例提供一种服务器登录系统,包括目标服务器和认证中心;
所述目标服务器,用于接收第一用户针对所述目标服务器的登录请求;将所述登录请求转发至所述认证中心;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
所述认证中心,用于接收所述目标服务器发送的所述登录请求;根据所述第一用户的用户标识信息,确定所述第一用户的用户类别;基于所述第一用户的用户类别,确定属于所述用户类别的第二用户对应的目标登录权限信息,并根据所述目标登录权限信息,对所述第一用户登录所述目标服务器的第一权限进行认证;若所述第一权限认证通过,则向所述目标服务器返回与所述目标服务器对应的第二登录密码;
所述目标服务器,还用于接收所述认证中心发送的与所述目标服务器对应的第二登录密码,并判断所述第一登录密码和所述第二登录密码是否相匹配;根据判断结果确定是否允许所述第一用户登录所述目标服务器。
再一方面,本说明书一个或多个实施例提供一种服务器登录装置,包括:
第一接收模块,用于接收目标服务器发送的、第一用户针对所述目标服务器的登录请求;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
第一确定模块,用于根据所述第一用户的用户标识信息,确定所述第一用户的用户类别;所述用户类别包括用户身份、用户等级、所属用户组中的至少一项;
第一执行模块,用于基于所述第一用户的用户类别,确定属于所述用户类别的第二用户对应的目标登录权限信息,并根据所述目标登录权限信息,对所述第一用户登录所述目标服务器的第一权限进行认证;
返回模块,用于若所述第一权限认证通过,则向所述目标服务器返回与所述目标服务器对应的第二登录密码,以使所述目标服务器根据所述第一登录密码及所述第二登录密码判断是否允许所述第一用户登录所述目标服务器。
再一方面,本说明书一个或多个实施例提供一种服务器登录装置,包括:
第三接收模块,用于接收第一用户针对目标服务器的登录请求;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
转发模块,用于将所述登录请求转发至认证中心;所述认证中心用于根据所述第一用户的用户标识信息,确定所述第一用户的用户类别,并基于所述第一用户的用户类别对所述第一用户登录所述目标服务器的第一权限进行认证;
第四执行模块,用于接收所述认证中心发送的与所述目标服务器对应的第二登录密码,并判断所述第一登录密码和所述第二登录密码是否相匹配;所述第二登录密码由所述认证中心对所述第一权限认证通过后发送至所述目标服务器;
第四确定模块,用于根据判断结果确定是否允许所述第一用户登录所述目标服务器。
再一方面,本说明书一个或多个实施例提供一种服务器登录设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收目标服务器发送的、第一用户针对所述目标服务器的登录请求;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
根据所述第一用户的用户标识信息,确定所述第一用户的用户类别;所述用户类别包括用户身份、用户等级、所属用户组中的至少一项;
基于所述第一用户的用户类别,确定属于所述用户类别的第二用户对应的目标登录权限信息,并根据所述目标登录权限信息,对所述第一用户登录所述目标服务器的第一权限进行认证;
若所述第一权限认证通过,则向所述目标服务器返回与所述目标服务器对应的第二登录密码,以使所述目标服务器根据所述第一登录密码及所述第二登录密码判断是否允许所述第一用户登录所述目标服务器。
再一方面,本说明书一个或多个实施例提供一种服务器登录设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收第一用户针对目标服务器的登录请求;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
将所述登录请求转发至认证中心;所述认证中心用于根据所述第一用户的用户标识信息,确定所述第一用户的用户类别,并基于所述第一用户的用户类别对所述第一用户登录所述目标服务器的第一权限进行认证;
接收所述认证中心发送的与所述目标服务器对应的第二登录密码,并判断所述第一登录密码和所述第二登录密码是否相匹配;所述第二登录密码由所述认证中心对所述第一权限认证通过后发送至所述目标服务器;
根据判断结果确定是否允许所述第一用户登录所述目标服务器。
再一方面,本申请实施例提供一种存储介质,用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收目标服务器发送的、第一用户针对所述目标服务器的登录请求;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
根据所述第一用户的用户标识信息,确定所述第一用户的用户类别;所述用户类别包括用户身份、用户等级、所属用户组中的至少一项;
基于所述第一用户的用户类别,确定属于所述用户类别的第二用户对应的目标登录权限信息,并根据所述目标登录权限信息,对所述第一用户登录所述目标服务器的第一权限进行认证;
若所述第一权限认证通过,则向所述目标服务器返回与所述目标服务器对应的第二登录密码,以使所述目标服务器根据所述第一登录密码及所述第二登录密码判断是否允许所述第一用户登录所述目标服务器。
再一方面,本申请实施例提供一种存储介质,用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收第一用户针对目标服务器的登录请求;所述登录请求包括所述第一用户的用户标识信息、所述目标服务器的服务器标识信息和用于登录所述目标服务器的第一登录密码;
将所述登录请求转发至认证中心;所述认证中心用于根据所述第一用户的用户标识信息,确定所述第一用户的用户类别,并基于所述第一用户的用户类别对所述第一用户登录所述目标服务器的第一权限进行认证;
接收所述认证中心发送的与所述目标服务器对应的第二登录密码,并判断所述第一登录密码和所述第二登录密码是否相匹配;所述第二登录密码由所述认证中心对所述第一权限认证通过后发送至所述目标服务器;
根据判断结果确定是否允许所述第一用户登录所述目标服务器。
采用本说明书一个或多个实施例的技术方案,认证中心通过根据目标服务器发送的、第一用户针对目标服务器的登录请求,确定第一用户的用户类别,并基于第一用户的用户类别对第一用户登录目标服务器的第一权限进行认证,在第一权限认证通过时,向目标服务器返回与目标服务器对应的第二登录密码,以使目标服务器根据第一登录密码及第二登录密码判断是否允许第一用户登录目标服务器。可见,该技术方案通过目标服务器和认证中心之间的交互,从认证中心处获取与目标服务器对应的第二登录密码即可实现目标服务器的登录,而无需在各服务器中存储用户相关数据,相较于传统的由服务器创建及存储用户相关数据的方式而言,能够有效缓解服务器的数据存储压力,尤其是在用户需登录多台服务器时,也无需在各服务器中重复创建同一用户的用户相关数据,从而避免了信息冗余,节约了服务器的存储资源。并且,通过根据用户类别对用户登录服务器的权限进行认证,实现了按照各用户类别对用户登录服务器的权限进行认证及管控的效果,相较于传统的分别针对用户个人管理权限信息的方式而言,该技术方案提升了对服务器登录权限的管控的便捷性,管控效果更优。
进一步地,该技术方案在需要更改用户登录服务器的权限信息时,只需在用户相关数据中更改用户所属的用户类别、或者只需更改用户所属的用户类别对应的权限信息即可,而无需针对每个用户分别更改用户的个人信息及权限信息,从而使得服务器登录权限的管控效果更加灵活、快捷。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本说明书一实施例的一种服务器登录系统的示意性架构图;
图2是根据本说明书一实施例的一种服务器登录方法的示意性流程图;
图3是根据本说明书另一实施例的一种服务器登录方法的示意性流程图;
图4是根据本说明书另一实施例的一种服务器登录方法的示意性流程图;
图5是根据本说明书一实施例的一种服务器登录装置的结构示意图;
图6是根据本说明书另一实施例的一种服务器登录装置的结构示意图;
图7是根据本说明书一实施例的一种服务器登录设备的硬件结构示意图;
图8是根据本说明书另一实施例的一种服务器登录设备的硬件结构示意图。
具体实施方式
本说明书一个或多个实施例提供一种服务器登录方法、系统及装置,用以解决现有技术中在服务器上存储及管理用户的登录权限信息导致服务器中数据存储压力大、以及登录权限信息管控效果差的问题。
为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书一个或多个实施例保护的范围。
图1是根据本说明书一实施例的一种服务器登录系统的示意性架构图。如图1所示,服务器登录系统包括服务器集和认证中心120;服务器集中包括多个服务器110,各服务器110分别与认证中心120之间网络连接。用户想要登录的目标服务器110可以是服务器集中的任一个服务器110。
本实施例中,目标服务器110用于接收第一用户针对目标服务器110的登录请求,并将登录请求转发至认证中心120。
本实施例中,认证中心120用于接收目标服务器110发送的登录请求,根据第一用户的用户标识信息确定第一用户的用户类别,基于第一用户的用户类别,确定属于该用户类别的第二用户对应的目标登录权限信息,并根据目标登录权限信息,对第一用户登录目标服务器110的第一权限进行认证,若第一权限认证通过,则向目标服务器110返回与目标服务器110对应的第二登录密码。
本实施例中,目标服务器110还用于接收认证中心120发送的与目标服务器110对应的第二登录密码,并判断第一登录密码和第二登录密码是否相匹配,根据判断结果确定是否允许第一用户登录目标服务器110。
以下分别叙述服务器登录系统中的认证中心120和目标服务器110,在用户请求登录服务器的过程中具体执行的操作。
如图2所示,是根据本说明书一实施例的服务器登录方法的示意性流程图,应用于如图1中所示的认证中心,图2的方法可包括:
s202,接收目标服务器发送的、第一用户针对目标服务器的登录请求。
其中,登录请求包括第一用户的用户标识信息、目标服务器的服务器标识信息和用于登录目标服务器的第一登录密码。
本实施例中,第一用户的用户标识信息可为用于标识用户的信息,例如,第一用户的uid、gid、用户名称等。目标服务器的服务器标识信息可为目标服务器的服务器名称,例如,服务器x、服务器y等。用于登录目标服务器的第一登录密码可为由认证中心下发的与目标服务器对应的唯一密码,服务器不同则对应的第一登录密码不同。
s204,根据第一用户的用户标识信息,确定第一用户的用户类别。
其中,用户类别包括用户身份、用户等级、所属用户组等。
本实施例中,用户身份可包括用户的社会身份,例如,学生、职员、老师等。用户等级可包括用户的权限等级,例如,初级、一级、高级等。所属用户组可包括所属工作组、所属学习组、所属家庭组等。
s206,基于第一用户的用户类别,确定属于该用户类别的第二用户对应的目标登录权限信息,并根据目标登录权限信息,对第一用户登录目标服务器的第一权限进行认证。
其中,第二用户包括属于某一用户类别的所有用户,即第二用户用于标识一类用户。
其中,目标登录权限信息包括第二用户有权登录的至少一个第一服务器的服务器标识信息、各第一服务器分别对应的权限时间、各第一服务器分别对应的第一登录密码和第二登录密码等。
例如,第二用户有权登录的至少一个第一服务器的服务器标识信息包括服务器x、服务器y、服务器z等。各第一服务器分别对应的权限时间可包括服务器x对应的权限时间(如权限到期时间:2020年5月)、服务器y对应的权限时间(如权限到期时间:2020年12月)、服务器z对应的权限时间(如权限到期时间:2020年11月)。
本实施例中,不同的用户类别对应的登录权限信息可相同或不同。例如,不同的用户身份对应的登录权限信息不同,不同的用户等级对应的登录权限信息不同,不同的用户组对应的登录权限信息相同或者不同。
其中,第二登录密码为由认证中心下发的与目标服务器对应的密码。第一登录密码和第二登录密码可以是相同的密码,也可以是相互匹配的密钥对。例如,采用非对称加密算法实现目标服务器的安全登录,则第一登录密码可为私钥,第二登录密码可为与第一登录密码相匹配的公钥。
s208,若第一权限认证通过,则向目标服务器返回与目标服务器对应的第二登录密码,以使目标服务器根据第一登录密码及第二登录密码判断是否允许第一用户登录目标服务器。
采用本说明书一个或多个实施例的技术方案,认证中心通过根据目标服务器发送的、第一用户针对目标服务器的登录请求,确定第一用户的用户类别,并基于第一用户的用户类别对第一用户登录目标服务器的第一权限进行认证,在第一权限认证通过时,向目标服务器返回与目标服务器对应的第二登录密码,以使目标服务器根据第一登录密码及第二登录密码判断是否允许第一用户登录目标服务器。可见,该技术方案通过目标服务器和认证中心之间的交互,从认证中心处获取与目标服务器对应的第二登录密码即可实现目标服务器的登录,而无需在各服务器中存储用户相关数据,相较于传统的由服务器创建及存储用户相关数据的方式而言,能够有效缓解服务器的数据存储压力,尤其是在用户需登录多台服务器时,也无需在各服务器中重复创建同一用户的用户相关数据,从而避免了信息冗余,节约了服务器的存储资源。并且,通过根据用户类别对用户登录服务器的权限进行认证,实现了按照各用户类别对用户登录服务器的权限进行认证及管控的效果,相较于传统的分别针对用户个人管理权限信息的方式而言,该技术方案提升了对服务器登录权限的管控的便捷性,管控效果更优。
认证中心在接收目标服务器发送的、第一用户针对目标服务器的登录请求之前,可预先创建及存储用户相关数据与用户标识信息之间的对应关系、以及根据实际情况对用户相关数据进行更新。具体执行方式如下所述。
在一个实施例中,接收目标服务器发送的、第一用户针对目标服务器的登录请求之前,认证中心可获取第一用户对应的用户相关数据,创建并存储用户相关数据与用户标识信息之间的第一对应关系,在创建第一对应关系之后,可将用户标识信息和各第一服务器分别对应的第一登录密码发送给第一用户,以使第一用户基于用户标识信息和第一登录密码向对应的服务器发起登录请求。
其中,用户相关数据可包括第一用户的用户类别和属于该用户类别的第二用户对应的目标登录权限信息。在一个实施例中,用户相关数据还可包括第一用户对应的家目录路径信息,以使目标服务器根据该家目录路径信息创建第一用户的家目录。
其中,由于第一登录密码和服务器一一对应,因此,第一用户想要登录哪一服务器,就需要基于用户标识信息和该服务器对应的第一登录密码向该服务器发起登录请求。相应的,认证中心接收到目标服务器发送的、第一用户针对目标服务器的登录请求之后,根据登录请求中携带的第一登录密码即可确定第一用户请求登录至哪一服务器。
本实施例中,在创建并存储用户相关数据与用户标识信息之间的第一对应关系时,认证中心可基于预设频率,主动创建并存储用户相关数据与用户标识信息之间的对应关系,或者,基于用户发起的创建请求,在该创建请求的触发下创建并存储用户相关数据与用户标识信息之间的对应关系。
在一个实施例中,认证中心可包括多个数据接口,相应的,可在认证中心的不同数据接口中分别创建并存储部分用户相关数据与用户标识信息之间的第一对应关系,以使目标服务器通过用户标识信息调用认证中心的不同数据接口,获取数据接口中定义的用户相关数据。以下详述各个数据接口分别创建的用户相关数据。
在一个实施例中,认证中心至少包括查询用户接口、查询用户属组接口、查询用户密码接口、查询用户登录公钥接口这4个数据接口。在认证中心提供的4个基于https协议访问的restful(一种软件架构风格)数据接口中,可分别创建并存储各自对应的部分用户相关数据与用户标识信息之间的第一对应关系。
其中,查询用户接口中可定义用户标识信息(如,name:用户名)与用户相关数据中用于标识用户的数据之间的第一对应关系。例如,用户相关数据中用于标识用户的数据包括:name:用户名/passwd:密码/uid:单调递增用户id(identitydocument,身份证明)/gid:单调递增组id/gecos:用户描述/dir:用户家目录路径/shell:默认shell路径。
查询用户属组接口中可定义用户标识信息(如,name:用户名)与用户相关数据中用于标识用户属组的数据之间的第一对应关系。例如,用户相关数据中用于标识用户属组的数据包括:name:组名/passwd:组密码/gid:单调递增组id/members:组中的用户。
查询用户密码接口中可定义用户标识信息(如,name:用户名)与用户相关数据中与用户密码相关的数据之间的第一对应关系。例如,与用户密码相关的数据包括:name:用户名/passwd:加密密码/last_change:最后一次修改密码时间/change_min_days:最小修改密码时间间隔/change_max_days:密码有效期/change_warn_days:密码需要变更前的警告天数/change_inactive_days:密码过期后的宽限天数/expire_date:账号失效时间/reserved:保留字段。
查询用户登录公钥接口中可定义用户标识信息(如,name:用户名)与用户相关数据中的用户登录公钥(如,public_key:登录公钥)之间的第一对应关系。
本实施例中,在从认证中心获取用户相关数据时,可通过调用认证中心的不同的数据接口,获取各数据接口中分别定义的用户相关数据。
在上述实施例中,认证中心通过在不同的数据接口中分别创建并存储部分用户相关数据与用户标识信息之间的第一对应关系,使得目标服务器通过用户标识信息调用认证中心的不同数据接口,即可获取数据接口中定义的用户相关数据,提高了目标服务器与认证中心之间数据交互的准确性。
在一个实施例中,创建并存储用户相关数据与用户标识信息之间的第一对应关系之后,可接收对用户标识信息中的目标登录权限信息执行更新操作的更新请求,根据更新请求对目标登录权限信息执行相应的更新操作。
其中,更新操作包括对第二服务器的服务器标识信息的增添操作、对第一服务器的服务器标识信息的删除操作、对权限时间的修改操作、对第一登录密码和第二登录密码的修改操作等。
在本实施例中,通过接收对目标登录权限信息执行更新操作的更新请求,根据更新请求对目标登录权限信息执行相应的更新操作,实现了对用户相关数据的管控,有效保证了认证中心中存储的用户相关数据的准确性。
在一个实施例中,创建并存储用户相关数据与用户标识信息之间的第一对应关系之后,若监测到用户相关数据中的用户类别发生变化,则可确定变化后的用户类别,并确定属于变化后的用户类别的第三用户对应的登录权限信息,进而将用户相关数据中的目标登录权限信息更新为第三用户对应的登录权限信息。
其中,第三用户包括属于变化后的用户类别的所有用户。
在本实施例中,能够实时监测到用户相关数据中的用户类别是否发生变化,并在用户类别发生变化时对用户相关数据中的目标登录权限信息进行相应更新,从而确保对不同类别的用户所具有的登录权限信息的准确管控,防止用户类别变化后其对应的登录权限信息有误而影响用户登录服务器的情况。
认证中心在接收目标服务器发送的、第一用户针对目标服务器的登录请求之后,可根据登录请求携带的信息对第一用户登录目标服务器进行认证。具体执行方式如下所述。
在一个实施例中,可根据第一用户的用户标识信息,获取预先创建的与用户标识信息对应的用户相关数据,并基于用户相关数据确定第一用户的用户类别。
确定第一用户的用户类别之后,可基于第一用户针对目标服务器的登录请求及第一用户的用户类别对应的目标登录权限信息,对目标服务器获取用户相关数据的第二权限进行认证,若第二权限认证通过,则将用户相关数据发送至目标服务器。
若在第一用户的用户类别对应的目标登录权限信息中的至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内时,则确定第二权限认证通过。
若监测到登录权限信息中目标服务器对应的权限时间过期,例如,目标服务器的服务器标识信息为服务器x,服务器x对应的权限到期时间为2020年5月,当前认证时间为2020年6月,则确定第二权限认证不通过。可见,通过在登录权限信息中设置权限时间,实现了自动回收用户登录服务器的权限,以及授予用户临时登录服务器的权限的功能。
本实施例中,认证中心将用户相关数据发送至目标服务器之后,目标服务器可基于用户相关数据判断第一用户是否为合法用户,若目标服务器判定第一用户为合法用户,则可将判定结果反馈认证中心,以使认证中心执行对第一用户登录目标服务器的第一权限进行认证的步骤。
其中,目标服务器将判定结果反馈至认证中心的方式可包括:仅将判定结果反馈至认证中心,或者,通过认证中心预设的用于接收合法用户数据的接口,将第一用户针对目标服务器的登录请求发送至认证中心。认证中心预设的用于接收合法用户数据的接口可为上述实施例中列举的查询用户登录公钥接口。
当认证中心的指定数据接口接收到目标服务器发送的、第一用户针对目标服务器的登录请求时,可触发认证中心对目标服务器获取用户相关数据的第二权限进行认证。
在一个实施例中,认证中心的指定数据接口可包括上述实施例中列举的查询用户接口、查询用户属组接口和查询用户密码接口。若第一用户与目标服务器采用ssh(secureshell,安全外壳协议)进行数据传输,则目标服务器在接收到第一用户的登录请求时,触发sshd进程调用名称解析nss服务在目标服务器的本地文件中查询第一用户的uid、gid、家目录路径等用户相关数据,在查询不到时,基于https协议、通过动态链接库(创建/usr/lib64/libnss_https.so动态链接库)分别将第一用户针对目标服务器的登录请求发送至认证中心的查询用户接口、查询用户属组接口和查询用户密码接口,以触发认证中心对目标服务器获取用户相关数据的第二权限进行认证,并在认证通过时,返回各接口中定义的用户相关数据。
当认证中心的另一指定数据接口接收到目标服务器发送的、第一用户针对目标服务器的登录请求时,可触发认证中心对第一用户登录目标服务器的第一权限进行认证,若第一权限认证通过,则向目标服务器返回与目标服务器对应的第二登录密码。
在一个实施例中,认证中心的另一指定数据接口可包括上述实施例中列举的查询用户登录公钥接口,第一用户与目标服务器可采用ssh协议进行数据传输。在目标服务器接收到第一用户的登录请求时,触发sshd进程通过authorizedkeyscommand调用shell脚本,在shell脚本中写入第一用户的登录请求,并通过https协议传递给认证中心的查询用户登录公钥接口,以触发认证中心对第一用户登录目标服务器的第一权限进行认证,并在认证通过时,返回查询用户登录公钥接口中定义的第二登录密码。
其中,可预先在目标服务器的配置文件/etc/ssh/sshd_config中增加如下配置:authorizedkeyscommand/bin/sh/usr/libexec/openssh/get_keys.sh%u,以使目标服务器接收到第一用户的登录请求时,触发sshd进程利用authorizedkeyscommand调用shell脚本,并通过shell脚本访问认证中心的查询用户登录公钥接口。
在上述实施例中,认证中心根据第一用户针对目标服务器的登录请求及第一用户的用户类别对应的目标登录权限信息,对目标服务器获取用户相关数据的第二权限进行认证,并在第二权限认证通过时将用户相关数据发送至目标服务器,以使目标服务器基于用户相关数据判断第一用户是否为合法用户,若目标服务器判定第一用户为合法用户,则由认证中心执行对第一用户登录目标服务器的第一权限进行认证的步骤。可见,上述实施例能够根据用户类别对用户登录服务器的权限进行认证,实现了按照各用户类别对用户登录服务器的权限进行认证及管控的效果,相较于传统的分别针对用户个人管理权限信息的方式而言,提升了对服务器登录权限的管控的便捷性,管控效果更优。
进一步地,根据上述实施例,在需要更改用户登录服务器的权限信息时,只需在用户相关数据中更改用户所属的用户类别、或者只需更改用户所属的用户类别对应的权限信息即可,而无需针对每个用户分别更改用户的个人信息及权限信息,从而使得服务器登录权限的管控效果更加灵活、快捷。
在一个实施例中,基于第一用户的用户类别确定属于该用户类别的第二用户对应的目标登录权限信息时,可获取用户相关数据中的、与第一用户的用户类别相匹配的目标登录权限信息;或者可根据认证中心中预先创建的各用户类别与登录权限信息之间的第二对应关系,确定与第一用户的用户类别相匹配的目标登录权限信息。
可选的,认证中心可基于第一用户的用户类别,获取该用户类别对应的用户相关数据,从而得到用户相关数据中记录的与第一用户的用户类别相匹配的目标登录权限信息。
可选的,认证中心可根据第一用户的用户类别、以及认证中心中预先创建的各用户类别与登录权限信息之间的第二对应关系,确定出与第一用户的用户类别相匹配的目标登录权限信息。
在本实施例中,能够通过多种方式确定用户的登录权限信息,提高了确定登录权限信息的灵活性。
在一个实施例中,可根据第一用户针对目标服务器的登录请求和第一用户的用户类别对应的目标登录权限信息,判断至少一个第一服务器的服务器标识信息中是否包含目标服务器的服务器标识信息、且登录请求的接收时间是否位于权限时间内,若至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内,则确定第一权限认证通过。
在本实施例中,在对第一用户登录目标服务器的第一权限进行认证时,能够根据多种因素得到权限认证的结果,因此有效提高了认证结果的准确性。
如图3所示,是根据本说明书另一实施例的服务器登录方法的示意性流程图,应用于如图1中所示的目标服务器,图3的方法可包括:
s302,接收第一用户针对目标服务器的登录请求。
其中,登录请求包括第一用户的用户标识信息、目标服务器的服务器标识信息和用于登录目标服务器的第一登录密码。
该步骤中登录请求的具体内容已在s202中详细叙述,此处不再赘述。
s304,将登录请求转发至认证中心。
其中,认证中心用于根据第一用户的用户标识信息,确定第一用户的用户类别,并基于第一用户的用户类别对第一用户登录目标服务器的第一权限进行认证。
s306,接收认证中心发送的与目标服务器对应的第二登录密码,并判断第一登录密码和第二登录密码是否相匹配。
其中,第二登录密码由认证中心对第一权限认证通过后发送至目标服务器。
s308,根据判断结果确定是否允许第一用户登录目标服务器。
其中,若第一登录密码和第二登录密码相匹配,则允许第一用户登录目标服务器;若第一登录密码和第二登录密码不匹配,则不允许第一用户登录目标服务器。
若目标服务器对应的第一登录密码和第二登录密码是相同的密码,则当第一登录密码和第二登录密码相同时,确定第一登录密码和第二登录密码相匹配;当第一登录密码和第二登录密码不同时,确定第一登录密码和第二登录密码不匹配。
若目标服务器对应的第一登录密码和第二登录密码是相互匹配的密钥对,则可预设密钥对的匹配关系,当第一登录密码和第二登录密码满足上述匹配关系时,确定第一登录密码和第二登录密码相匹配;当第一登录密码和第二登录密码不满足上述匹配关系时,确定第一登录密码和第二登录密码不匹配。
在一个实施例中,目标服务器可支持ssh协议。在目标服务器确定允许第一用户登录时,可触发sshd进程调用目标服务器pam模块的session模块,由session模块基于用户相关数据中第一用户对应的家目录路径信息,创建第一用户的家目录,以便存储第一用户的数据。
采用本说明书一个或多个实施例的技术方案,目标服务器通过接收第一用户针对目标服务器的登录请求,将登录请求转发至认证中心,接收认证中心发送的与目标服务器对应的第二登录密码,并判断第一登录密码和第二登录密码是否相匹配,根据判断结果确定是否允许第一用户登录目标服务器。可见,该技术方案通过目标服务器和认证中心之间的交互,从认证中心处获取与目标服务器对应的第二登录密码即可实现目标服务器的登录,而无需在各服务器中存储用户相关数据,相较于传统的由服务器创建及存储用户相关数据的方式而言,能够有效缓解服务器的数据存储压力,尤其是在用户需登录多台服务器时,也无需在各服务器中重复创建同一用户的用户相关数据,从而避免了信息冗余,节约了服务器的存储资源。
在一个实施例中,接收认证中心发送的与目标服务器对应的第二登录密码之前,可接收认证中心发送的用户相关数据,基于第一用户针对目标服务器的登录请求和用户相关数据,判断第一用户是否为合法用户,若第一用户为合法用户,则执行接收认证中心发送的与目标服务器对应的第二登录密码的步骤。
在一个实施例中,目标服务器可支持ssh协议,在目标服务器接收到认证中心发送的用户相关数据时,可触发sshd进程调用目标服务器pam模块的auth接口,验证第一用户账户的合法性,例如验证第一用户的用户标识信息和第一登录密码是否准确。并调用目标服务器pam模块的account接口,验证第一用户有权登录的服务器和各服务器对应的权限时间。
在本实施例中,通过接收认证中心发送的用户相关数据,基于第一用户针对目标服务器的登录请求和用户相关数据,判断第一用户是否为合法用户,并在确定第一用户为合法用户时,执行接收认证中心发送的与目标服务器对应的第二登录密码的步骤,由于进行了多重验证,因此有效保证了用户登录服务器过程中数据交互的安全性。
在一个实施例中,基于第一用户针对目标服务器的登录请求和用户相关数据,判断第一用户是否为合法用户时,可判断至少一个第一服务器的服务器标识信息中是否包含目标服务器的服务器标识信息、且登录请求的接收时间是否位于权限时间内,若至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内,则确定第一用户为合法用户。
在本实施例中,根据多种因素(至少一个第一服务器的服务器标识信息中是否包含目标服务器的服务器标识信息、且登录请求的接收时间是否位于权限时间内)对用户的合法性进行判断,在至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内时,确定第一用户为合法用户,有效提高了判断结果的准确性。
图4是根据本说明书另一实施例的一种服务器登录方法的示意性流程图。本实施例中,服务器登录方法应用于图1中所示的服务器登录系统,通过认证中心与目标服务器之间的交互,实现用户安全登录至服务器的效果。图4的方法可包括:
s401,认证中心获取第一用户对应的用户相关数据,并创建及存储用户相关数据与用户标识信息之间的第一对应关系。
在一个实施例中,创建并存储用户相关数据与用户标识信息之间的第一对应关系之后,可接收对目标登录权限信息执行更新操作的更新请求,根据更新请求对目标登录权限信息执行相应的更新操作。
其中,更新操作包括对第二服务器的服务器标识信息的增添操作、对第一服务器的服务器标识信息的删除操作、对权限时间的修改操作、对第一登录密码和第二登录密码的修改操作等。
在一个实施例中,创建并存储用户相关数据与用户标识信息之间的第一对应关系之后,若监测到用户相关数据中的用户类别发生变化,则可确定变化后的用户类别,并确定属于变化后的用户类别的第三用户对应的登录权限信息,将用户相关数据中的目标登录权限信息更新为第三用户对应的登录权限信息。
上述实施例在图2对应的实施例中已详细叙述,此处不再赘述。
s402,认证中心将用户标识信息和各第一服务器分别对应的第一登录密码发送给第一用户,以使第一用户基于用户标识信息和第一登录密码向对应的服务器发起登录请求。
s403,目标服务器接收第一用户针对目标服务器的登录请求,并将登录请求转发至认证中心。
其中,登录请求包括第一用户的用户标识信息、目标服务器的服务器标识信息和用于登录目标服务器的第一登录密码。
s404,认证中心根据接收到的登录请求中的第一用户的用户标识信息,获取预先创建的与用户标识信息对应的用户相关数据,并基于用户相关数据确定第一用户的用户类别。
其中,用户类别包括用户身份、用户等级、所属用户组等。
s405,认证中心基于第一用户的用户类别,确定属于该用户类别的第二用户对应的目标登录权限信息。
可选的,认证中心可基于第一用户的用户类别,获取该用户类别对应的用户相关数据,从而得到用户相关数据中记录的与第一用户的用户类别相匹配的目标登录权限信息。
可选的,认证中心可根据第一用户的用户类别、以及认证中心中预先创建的各用户类别与登录权限信息之间的第二对应关系,确定出与第一用户的用户类别相匹配的目标登录权限信息。
其中,目标登录权限信息包括第二用户有权登录的至少一个第一服务器的服务器标识信息、各第一服务器分别对应的权限时间、各第一服务器分别对应的第一登录密码和第二登录密码等。
s406,认证中心根据第一用户所属用户类别对应的目标登录权限信息,对目标服务器获取用户相关数据的第二权限进行认证;若第二权限认证通过,则执行s407;若第二权限认证不通过,则执行s414。
s407,认证中心将用户相关数据发送至目标服务器。
s408,目标服务器根据接收到的用户相关数据,确定第一用户是否为合法用户;若是,则执行s409;若否,则执行s415。
其中,目标服务器通过判断至少一个第一服务器的服务器标识信息中是否包含目标服务器的服务器标识信息、且登录请求的接收时间是否位于权限时间内,来确定第一用户是否为合法用户。
若至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内,则目标服务器确定第一用户为合法用户;若至少一个第一服务器的服务器标识信息中不包含目标服务器的服务器标识信息、且登录请求的接收时间不位于权限时间内,则目标服务器确定第一用户为不合法用户。
s409,目标服务器确定第一用户为合法用户。
s410,认证中心根据第一用户所属用户类别对应的目标登录权限信息,对第一用户登录目标服务器的第一权限进行认证;若第一权限认证通过,则执行s411;若第一权限认证不通过,则执行s414。
s411,认证中心向目标服务器返回与目标服务器对应的第二登录密码。
s412,目标服务器接收认证中心发送的第二登录密码,并判断第一登录密码和第二登录密码是否相匹配;若相匹配,则执行s413;若不匹配,则执行s416。
该步骤中,判断第一登录密码和第二登录密码是否相匹配的方法与s308中说明的判断方法相同,此处不再赘述。
s413,目标服务器允许第一用户登录目标服务器。
s414,认证中心向目标服务器发送空数据,之后执行s416。
s415,目标服务器确定第一用户为不合法用户,之后执行s416。
s416,目标服务器不允许第一用户登录目标服务器。
本申请实施例提供的服务器登录方法可应用于多种场景下,如学校中的师生请求登录至服务器、公司中的普通职员和管理员请求登录至服务器等。下面以公司中的职员a使用用户标识信息a请求登录至服务器x的场景为例,说明服务器登录方法的具体过程。
在某公司中,假设服务器登录系统采用非对称加密算法实现目标服务器的安全登录,第一登录密码为私钥,第二登录密码为与第一登录密码相匹配的公钥,并预设公司中的用户类别包括普通职员和管理员,普通职员和管理员分别对应各自的登录权限信息。例如,普通职员对应的登录权限信息包括普通职员有权登录的服务器的服务器标识信息,如服务器x、服务器y。各服务器分别对应的权限时间可包括服务器x对应的权限时间(如权限到期时间:2020年5月)和服务器y对应的权限时间(如权限到期时间:2020年12月)。各服务器分别对应的第一登录密码和第二登录密码可包括服务器x对应的公钥和私钥、服务器y对应的公钥和私钥。
再例如,管理员对应的登录权限信息包括管理员有权登录的服务器的服务器标识信息,如服务器x、服务器y、服务器z等。各服务器分别对应的权限时间可包括服务器x对应的权限时间(如权限到期时间:2020年5月)、服务器y对应的权限时间(如权限到期时间:2020年12月)、服务器z对应的权限时间(如权限到期时间:2020年11月)。各服务器分别对应的第一登录密码和第二登录密码可包括服务器x对应的公钥和私钥、服务器y对应的公钥和私钥、服务器z对应的公钥和私钥。
本实施例中,假设职员a对应的用户类别为普通职员。若在创建并存储用户相关数据与用户标识信息a之间的第一对应关系之后,监测到用户相关数据中的用户类别变化为管理员,则可确定管理员对应的登录权限信息,并将用户相关数据中的登录权限信息更新为管理员对应的登录权限信息。
由于认证中心按照各用户类别对用户登录服务器的权限进行认证及管控,因此,若要更改职员a登录服务器的权限信息,可只在职员a的用户相关数据中更改职员a所属的用户类别、或者只更改职员a所属的用户类别对应的权限信息。
在职员a使用用户标识信息a和第一登录密码请求登录至服务器x时,由服务器x接收职员a针对服务器x的登录请求,并将登录请求转发至认证中心。认证中心接收到职员a针对服务器x的登录请求,根据登录请求中携带的用户标识信息a确定职员a所属的用户类别。假设认证中心确定出用户类别为普通职员,则可进一步确定普通职员对应的登录权限信息,并根据普通职员对应的登录权限信息确定职员a是否有登录服务器x的权限。若有,则认证中心将服务器x对应的第二登录密码发送至服务器x。若服务器x判定第一登录密码和第二登录密码相匹配,则允许职员a登录。此外,对于公司中的职员依权限登录服务器,还可按照职员所属部门来划分用户类别,例如职员a属于xx部门,职员b属于yy部门。并且,认证中心预先配置不同部门下的职员分别对应的登录权限信息,用于约束各职员对公司内服务器的登录权限。当某职员想要登录某一服务器时,认证中心会根据该职员所属部门去确定其是否有权限登录服务器。具体的权限判断方法已在上述实施例中详述,此处不再重复。
可见,采用上述实施例的技术方案,能够通过目标服务器和认证中心之间的交互,从认证中心处获取与目标服务器对应的第二登录密码即可实现目标服务器的登录,而无需在各服务器中存储用户相关数据,相较于传统的由服务器创建及存储用户相关数据的方式而言,能够有效缓解服务器的数据存储压力,尤其是在用户需登录多台服务器时,也无需在各服务器中重复创建同一用户的用户相关数据,从而避免了信息冗余,节约了服务器的存储资源。并且,通过根据用户类别对用户登录服务器的权限进行认证,实现了按照各用户类别对用户登录服务器的权限进行认证及管控的效果,相较于传统的分别针对用户个人管理权限信息的方式而言,该技术方案提升了对服务器登录权限的管控的便捷性,管控效果更优。
综上,已经对本主题的特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作可以按照不同的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序,以实现期望的结果。在某些实施方式中,多任务处理和并行处理可以是有利的。
以上为本说明书一个或多个实施例提供的服务器登录方法,基于同样的思路,本说明书一个或多个实施例还提供一种服务器登录装置。
图5是根据本说明书一实施例的一种服务器登录装置的结构示意图,如图5所示,服务器登录装置包括:
第一接收模块510,用于接收目标服务器发送的、第一用户针对目标服务器的登录请求;登录请求包括第一用户的用户标识信息、目标服务器的服务器标识信息和用于登录目标服务器的第一登录密码;
第一确定模块520,用于根据第一用户的用户标识信息,确定第一用户的用户类别;用户类别包括用户身份、用户等级、所属用户组中的至少一项;
第一执行模块530,用于基于第一用户的用户类别,确定属于用户类别的第二用户对应的目标登录权限信息,并根据目标登录权限信息,对第一用户登录目标服务器的第一权限进行认证;
返回模块540,用于若第一权限认证通过,则向目标服务器返回与目标服务器对应的第二登录密码,以使目标服务器根据第一登录密码及第二登录密码判断是否允许第一用户登录目标服务器。
在一个实施例中,第一确定模块520包括:
获取单元,用于根据第一用户的用户标识信息,获取预先创建的与用户标识信息对应的用户相关数据;用户相关数据至少包括用户类别和目标登录权限信息;目标登录权限信息包括以下至少一项:第二用户有权登录的至少一个第一服务器的服务器标识信息、各第一服务器分别对应的权限时间、各第一服务器分别对应的第一登录密码和第二登录密码;
第一确定单元,用于基于用户相关数据,确定第一用户的用户类别。
在一个实施例中,服务器登录装置还包括:
获取模块,用于获取第一用户对应的用户相关数据;
创建及存储模块,用于创建并存储用户相关数据与用户标识信息之间的第一对应关系;
第一发送模块,用于将用户标识信息和各第一服务器分别对应的第一登录密码发送给第一用户,以使第一用户基于用户标识信息和第一登录密码向对应的服务器发起登录请求。
在一个实施例中,第一执行模块530包括:
执行单元,用于获取用户相关数据中的、与第一用户的用户类别相匹配的目标登录权限信息;
或者,
根据认证中心中预先创建的各用户类别与登录权限信息之间的第二对应关系,确定与第一用户的用户类别相匹配的目标登录权限信息。
在一个实施例中,服务器登录装置还包括:
第二接收模块,用于接收对目标登录权限信息执行更新操作的更新请求;更新操作包括以下至少一项:对第二服务器的服务器标识信息的增添操作、对第一服务器的服务器标识信息的删除操作、对权限时间的修改操作、对第一登录密码和第二登录密码的修改操作;
第二执行模块,用于根据更新请求,对目标登录权限信息执行相应的更新操作。
在一个实施例中,服务器登录装置还包括:
第二确定模块,用于若监测到用户相关数据中的用户类别发生变化,则确定变化后的用户类别;
第三确定模块,用于确定属于变化后的用户类别的第三用户对应的登录权限信息;
更新模块,用于将用户相关数据中的目标登录权限信息更新为第三用户对应的登录权限信息。
在一个实施例中,第一执行模块530包括:
第一判断单元,用于判断是否满足以下条件:至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内;
第二确定单元,用于若是,则确定第一权限认证通过。
在一个实施例中,服务器登录装置还包括:
认证模块,用于基于用户标识信息及对应的用户相关数据,对目标服务器获取用户相关数据的第二权限进行认证;
第二发送模块,用于若第二权限认证通过,则将用户相关数据发送至目标服务器,以使目标服务器基于用户相关数据判断第一用户是否为合法用户;
第三执行模块,用于若判定第一用户为合法用户,则执行对第一用户登录目标服务器的第一权限进行认证的步骤。
采用本说明书一个或多个实施例的装置,认证中心通过根据目标服务器发送的、第一用户针对目标服务器的登录请求,确定第一用户的用户类别,并基于第一用户的用户类别对第一用户登录目标服务器的第一权限进行认证,在第一权限认证通过时,向目标服务器返回与目标服务器对应的第二登录密码,以使目标服务器根据第一登录密码及第二登录密码判断是否允许第一用户登录目标服务器。可见,该装置通过目标服务器和认证中心之间的交互,从认证中心处获取与目标服务器对应的第二登录密码即可实现目标服务器的登录,而无需在各服务器中存储用户相关数据,相较于传统的由服务器创建及存储用户相关数据的方式而言,能够有效缓解服务器的数据存储压力,尤其是在用户需登录多台服务器时,也无需在各服务器中重复创建同一用户的用户相关数据,从而避免了信息冗余,节约了服务器的存储资源。并且,通过根据用户类别对用户登录服务器的权限进行认证,实现了按照各用户类别对用户登录服务器的权限进行认证及管控的效果,相较于传统的分别针对用户个人管理权限信息的方式而言,该装置提升了对服务器登录权限的管控的便捷性,管控效果更优。
本领域的技术人员应可理解,上述服务器登录装置能够用来实现上述认证中心执行的服务器登录方法,其中的细节描述应与前文方法部分描述类似,为避免繁琐,此处不另赘述。
图6是根据本说明书一实施例的一种服务器登录装置的结构示意图,如图6所示,服务器登录装置包括:
第三接收模块610,用于接收第一用户针对目标服务器的登录请求;登录请求包括第一用户的用户标识信息、目标服务器的服务器标识信息和用于登录目标服务器的第一登录密码;
转发模块620,用于将登录请求转发至认证中心;认证中心用于根据第一用户的用户标识信息,确定第一用户的用户类别,并基于第一用户的用户类别对第一用户登录目标服务器的第一权限进行认证;
第四执行模块630,用于接收认证中心发送的与目标服务器对应的第二登录密码,并判断第一登录密码和第二登录密码是否相匹配;第二登录密码由认证中心对第一权限认证通过后发送至目标服务器;
第四确定模块640,用于根据判断结果确定是否允许第一用户登录目标服务器。
在一个实施例中,服务器登录装置还包括:
第四接收模块,用于接收认证中心发送的用户相关数据;用户相关数据包括第一用户的用户类别和属于用户类别的第二用户对应的目标登录权限信息;目标登录权限信息包括以下至少一项:第二用户有权登录的至少一个第一服务器的服务器标识信息、各第一服务器分别对应的权限时间、各第一服务器分别对应的第一登录密码和第二登录密码;
判断模块,用于基于登录请求和用户相关数据,判断第一用户是否为合法用户;
第五执行模块,用于若第一用户为合法用户,则执行接收认证中心发送的与目标服务器对应的第二登录密码的步骤。
在一个实施例中,判断模块包括:
第二判断单元,用于判断是否满足以下条件:至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内;
第三确定单元,用于若是,则确定第一用户为合法用户。
采用本说明书一个或多个实施例的装置,目标服务器通过接收第一用户针对目标服务器的登录请求,将登录请求转发至认证中心,接收认证中心发送的与目标服务器对应的第二登录密码,并判断第一登录密码和第二登录密码是否相匹配,根据判断结果确定是否允许第一用户登录目标服务器。可见,该装置通过目标服务器和认证中心之间的交互,从认证中心处获取与目标服务器对应的第二登录密码即可实现目标服务器的登录,而无需在各服务器中存储用户相关数据,相较于传统的由服务器创建及存储用户相关数据的方式而言,能够有效缓解服务器的数据存储压力,尤其是在用户需登录多台服务器时,也无需在各服务器中重复创建同一用户的用户相关数据,从而避免了信息冗余,节约了服务器的存储资源。
本领域的技术人员应可理解,上述服务器登录装置能够用来实现上述目标服务器执行的服务器登录方法,其中的细节描述应与前文方法部分描述类似,为避免繁琐,此处不另赘述。
基于同样的思路,本说明书一个或多个实施例还提供一种服务器登录设备,如图7所示。服务器登录设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器701和存储器702,存储器702中可以存储有一个或一个以上存储应用程序或数据。其中,存储器702可以是短暂存储或持久存储。存储在存储器702的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对服务器登录设备中的一系列计算机可执行指令。更进一步地,处理器701可以设置为与存储器702通信,在服务器登录设备上执行存储器702中的一系列计算机可执行指令。服务器登录设备还可以包括一个或一个以上电源703,一个或一个以上有线或无线网络接口704,一个或一个以上输入输出接口705,一个或一个以上键盘706。
具体在本实施例中,服务器登录设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对服务器登录设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
接收目标服务器发送的、第一用户针对目标服务器的登录请求;登录请求包括第一用户的用户标识信息、目标服务器的服务器标识信息和用于登录目标服务器的第一登录密码;
根据第一用户的用户标识信息,确定第一用户的用户类别;用户类别包括用户身份、用户等级、所属用户组中的至少一项;
基于第一用户的用户类别,确定属于用户类别的第二用户对应的目标登录权限信息,并根据目标登录权限信息,对第一用户登录目标服务器的第一权限进行认证;
若第一权限认证通过,则向目标服务器返回与目标服务器对应的第二登录密码,以使目标服务器根据第一登录密码及第二登录密码判断是否允许第一用户登录目标服务器。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
根据第一用户的用户标识信息,获取预先创建的与用户标识信息对应的用户相关数据;用户相关数据至少包括用户类别和目标登录权限信息;目标登录权限信息包括以下至少一项:第二用户有权登录的至少一个第一服务器的服务器标识信息、各第一服务器分别对应的权限时间、各第一服务器分别对应的第一登录密码和第二登录密码;
基于用户相关数据,确定第一用户的用户类别。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
获取第一用户对应的用户相关数据;
创建并存储用户相关数据与用户标识信息之间的第一对应关系;
将用户标识信息和各第一服务器分别对应的第一登录密码发送给第一用户,以使第一用户基于用户标识信息和第一登录密码向对应的服务器发起登录请求。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
获取用户相关数据中的、与第一用户的用户类别相匹配的目标登录权限信息;
或者,
根据认证中心中预先创建的各用户类别与登录权限信息之间的第二对应关系,确定与第一用户的用户类别相匹配的目标登录权限信息。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
接收对目标登录权限信息执行更新操作的更新请求;更新操作包括以下至少一项:对第二服务器的服务器标识信息的增添操作、对第一服务器的服务器标识信息的删除操作、对权限时间的修改操作、对第一登录密码和第二登录密码的修改操作;
根据更新请求,对目标登录权限信息执行相应的更新操作。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
若监测到用户相关数据中的用户类别发生变化,则确定变化后的用户类别;
确定属于变化后的用户类别的第三用户对应的登录权限信息;
将用户相关数据中的目标登录权限信息更新为第三用户对应的登录权限信息。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
判断是否满足以下条件:至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内;
若是,则确定第一权限认证通过。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
基于用户标识信息及对应的用户相关数据,对目标服务器获取用户相关数据的第二权限进行认证;
若第二权限认证通过,则将用户相关数据发送至目标服务器,以使目标服务器基于用户相关数据判断第一用户是否为合法用户;
若判定第一用户为合法用户,则执行对第一用户登录目标服务器的第一权限进行认证的步骤。
采用本说明书一个或多个实施例的设备,认证中心通过根据目标服务器发送的、第一用户针对目标服务器的登录请求,确定第一用户的用户类别,并基于第一用户的用户类别对第一用户登录目标服务器的第一权限进行认证,在第一权限认证通过时,向目标服务器返回与目标服务器对应的第二登录密码,以使目标服务器根据第一登录密码及第二登录密码判断是否允许第一用户登录目标服务器。可见,该设备通过目标服务器和认证中心之间的交互,从认证中心处获取与目标服务器对应的第二登录密码即可实现目标服务器的登录,而无需在各服务器中存储用户相关数据,相较于传统的由服务器创建及存储用户相关数据的方式而言,能够有效缓解服务器的数据存储压力,尤其是在用户需登录多台服务器时,也无需在各服务器中重复创建同一用户的用户相关数据,从而避免了信息冗余,节约了服务器的存储资源。并且,通过根据用户类别对用户登录服务器的权限进行认证,实现了按照各用户类别对用户登录服务器的权限进行认证及管控的效果,相较于传统的分别针对用户个人管理权限信息的方式而言,该设备提升了对服务器登录权限的管控的便捷性,管控效果更优。
基于同样的思路,本说明书一个或多个实施例还提供一种服务器登录设备,如图8所示。服务器登录设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器801和存储器802,存储器802中可以存储有一个或一个以上存储应用程序或数据。其中,存储器802可以是短暂存储或持久存储。存储在存储器802的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对服务器登录设备中的一系列计算机可执行指令。更进一步地,处理器801可以设置为与存储器802通信,在服务器登录设备上执行存储器802中的一系列计算机可执行指令。服务器登录设备还可以包括一个或一个以上电源803,一个或一个以上有线或无线网络接口804,一个或一个以上输入输出接口805,一个或一个以上键盘806。
具体在本实施例中,服务器登录设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对服务器登录设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
接收第一用户针对目标服务器的登录请求;登录请求包括第一用户的用户标识信息、目标服务器的服务器标识信息和用于登录目标服务器的第一登录密码;
将登录请求转发至认证中心;认证中心用于根据第一用户的用户标识信息,确定第一用户的用户类别,并基于第一用户的用户类别对第一用户登录目标服务器的第一权限进行认证;
接收认证中心发送的与目标服务器对应的第二登录密码,并判断第一登录密码和第二登录密码是否相匹配;第二登录密码由认证中心对第一权限认证通过后发送至目标服务器;
根据判断结果确定是否允许第一用户登录目标服务器。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
接收认证中心发送的用户相关数据;用户相关数据包括第一用户的用户类别和属于用户类别的第二用户对应的目标登录权限信息;目标登录权限信息包括以下至少一项:第二用户有权登录的至少一个第一服务器的服务器标识信息、各第一服务器分别对应的权限时间、各第一服务器分别对应的第一登录密码和第二登录密码;
基于登录请求和用户相关数据,判断第一用户是否为合法用户;
若第一用户为合法用户,则执行接收认证中心发送的与目标服务器对应的第二登录密码的步骤。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
判断是否满足以下条件:至少一个第一服务器的服务器标识信息中包含目标服务器的服务器标识信息、且登录请求的接收时间位于权限时间内;
若是,则确定第一用户为合法用户。
采用本说明书一个或多个实施例的设备,目标服务器通过接收第一用户针对目标服务器的登录请求,将登录请求转发至认证中心,接收认证中心发送的与目标服务器对应的第二登录密码,并判断第一登录密码和第二登录密码是否相匹配,根据判断结果确定是否允许第一用户登录目标服务器。可见,该设备通过目标服务器和认证中心之间的交互,从认证中心处获取与目标服务器对应的第二登录密码即可实现目标服务器的登录,而无需在各服务器中存储用户相关数据,相较于传统的由服务器创建及存储用户相关数据的方式而言,能够有效缓解服务器的数据存储压力,尤其是在用户需登录多台服务器时,也无需在各服务器中重复创建同一用户的用户相关数据,从而避免了信息冗余,节约了服务器的存储资源。
本说明书一个或多个实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的服务器登录设备执行时,能够使该服务器登录设备执行上述服务器登录方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本说明书一个或多个实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的服务器登录设备执行时,能够使该服务器登录设备执行上述服务器登录方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
以上所述仅为本说明书一个或多个实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书一个或多个实施例可以有各种更改和变化。凡在本说明书一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例的权利要求范围之内。