多个应用系统的单点登录方法及装置的制造方法

多个应用系统的单点登录方法及装置的制造方法
【技术领域】
[0001]本发明涉及单点登录技术领域，更为具体地，涉及一种多个应用系统的单点登录方法及装置。
【背景技术】
[0002]随着企业规模的扩大，企业移动门户客户端后期集成的系统越来越多，每个单独的系统都会有自己的安全体系和身份认证系统，长此以往，企业移动门户客户端会面临诸多的问题，例如:
[0003](1)用户使用移动客户端的多个系统时，需要多次登录、多次认证，在认证的过程中耗费过长的时间，导致用户体验差；
[0004](2)移动客户端内需要存储用户信息，各个系统有不同的登录和认证体系，导致需要分别存储处理不同系统的用户信息，占用不必要的内存空间；
[0005](3)多个用户信息中的账号和密码会带来记忆繁琐、使用不便及安全风险的问题；
[0006](4)多个身份认证系统会增加管理工作成本，无法统一分析用户的行为。

【发明内容】

[0007]鉴于上述问题，本发明的目的是提供一种多个应用系统的单点登录方法及装置，以解决上述【背景技术】中指出的问题。
[0008]本发明提供一种多个应用系统的单点登录方法，通过采集接入认证系统的各应用系统中用户的账号信息，并基于用户的账号信息和各应用系统的标识建立账号关系映射表，根据账号关系映射表对各应用系统的用户进行统一认证登录，该方法包括:
[0009]在用户通过客户端首次登录应用系统时，跳转到认证系统进行认证，在跳转的同时将用户的账号信息、与客户端一一对应的设备标识加密上传到认证系统；
[0010]在认证系统解密后验证用户的账号信息正确时，将设备标识、上传时的IP和当前系统时间用密钥加密生成具有时效性的票据；
[0011]将票据保存到认证系统的数据库中，同时，在账号关系映射表中，根据应用系统的标识建立票据与用户的账号信息的映射关系，以及，将票据返回给用户的客户端；
[0012]根据票据与应用系统的标识，在账号关系映射表中查询用户在应用系统的账号信息;
[0013]根据查询到的账号信息登录应用系统。
[0014]本发明还提供一种多个应用系统的单点登录装置，包括:
[0015]账号信息采集单元，用于通过采集接入认证系统的各应用系统中用户的账号信息;
[0016]映射表建立单元，用于基于用户的账号信息和各应用系统的标识建立账号关系映射表；
[0017]跳转认证单元，用于在用户通过客户端首次登录应用系统时，将用户跳转到认证系统进行认证；
[0018]用户信息上传单元，用于将用户的账号信息、与客户端一一对应的设备标识加密上传到认证系统；
[0019]票据生成单元，用于在认证系统解密后验证用户的账号信息正确时，将设备标识、上传时的IP和当前系统时间用密钥加密生成具有时效性的票据；
[0020]票据保存单元，用于将票据保存到认证系统的数据库中，并将票据返回给用户的客户端；
[0021]票据映射单元，用于在账号关系映射表中，根据应用系统的标识建立票据与用户的账号信息的映射关系；
[0022]账号信息查询单元，用于根据票据与应用系统的标识，在账号关系映射表中查询用户在应用系统的账号信息；
[0023]系统登录单元，用于根据查询到的账号信息登录应用系统。
[0024]利用上述本发明的多个应用系统的单点登录方法及装置，能够取得以下技术效果:
[0025]1、通过登录一次认证系统，就能访问该用户具有访问权限的系统，能够减少用户在登录不同系统时所耗费的时间，以及减少用户登录出错的可能性，优化用户体验；
[0026]2、能够避免处理和保存多套系统用户的认证信息；
[0027]3、增加安全性:在认证系统对生成的票据中，增加了设备标识、ip与系统时间，能够有效增加用户认证的安全性，避免被破解；
[0028]4、统一采集多个系统的用户的身份信息，能够减少管理工作成本，及统一分析用户的行为。
[0029]为了实现上述以及相关目的，本发明的一个或多个方面包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本发明的某些示例性方面。然而，这些方面指示的仅仅是可使用本发明的原理的各种方式中的一些方式。此外，本发明旨在包括所有这些方面以及它们的等同物。
【附图说明】
[0030]通过参考以下结合附图的说明及权利要求书的内容，并且随着对本发明的更全面理解，本发明的其它目的及结果将更加明白及易于理解。在附图中:
[0031]图1为根据本发明实施例的多个应用系统的单点登录方法的流程示意图；
[0032]图2为根据本发明实施例的多个应用系统的单点登录方法的情景流程示意图；
[0033]图3为根据本发明实施例的多个应用系统的单点登录装置的第一逻辑结构示意图。
[0034 ]在所有附图中相同的标号指示相似或相应的特征或功能。
【具体实施方式】
[0035]在下面的描述中，出于说明的目的，为了提供对一个或多个实施例的全面理解，阐述了许多具体细节。然而，很明显，也可以在没有这些具体细节的情况下实现这些实施例。在其它例子中，为了便于描述一个或多个实施例，公知的结构和设备以方框图的形式示出。
[0036]本发明的整体思路为:通过认证系统统一采集各应用系统中用户的账号信息，在用户登录应用系统时，先跳转到认证系统进行认证，在通过认证后认证系统根据用户的账号信息生成票据，返回给用户，用户根据票据登录该应用系统，或其它的应用系统。
[0037]认证系统采集各应用系统中用户的账号信息的过程为:在认证系统中建立含有用户标识的用户数据源，根据用户标识和各应用系统的标识在用户数据源、应用系统和应用系统的用户的账号信息三者之间建立映射关系，形成账号关系映射表，即将各应用系统的用户的账号信息通过定时或手动的方式映射到用户数据源中。其中，无论是通过定时映射方式或手动映射方式均需在用户跳转认证系统之前完成用户的账号信息的映射。
[0038]需要说明的是，用户标识为唯一确定用户身份的标志，可以为用户的身份证号或员工工号等等，应用系统的标识为唯一确定应用系统的标志，可以为应用系统的编号等等。以下将结合附图对本发明的具体实施例进行详细描述。
[0039]图1示出了根据本发明实施例的多个应用系统的单点登录方法的流程。
[0040]如图1所示，本发明实施例提供的多个应用系统的单点登录方法，包括:
[0041]步骤S101:在用户通过客户端首次登录应用系统时，跳转到认证系统进行认证，在跳转的同时将用户的账号信息、与客户端一一对应的设备标识加密上传到认证系统。
[0042]本发明将各应用系统接入认证系统，以认证系统作为各应用系统的认证中心，用户想要访问各应用系统先要经过认证系统的认证，只有经过认证的用户才可以访问应用系统，未经过认证的用户无权访问应用系统。
[0043]具体地，在用户通过客户端登录应用系统时，会跳转到认证系统进行认证，在跳转的同时，将用户登录应用系统时输入的账号信息(包括账号名称和密码)、与客户端一一对应的设备标识会加密形成用户登录信息，再将加密后用户登录信息的上传到认证系统。用户登录信息加密的方式可以通过一种加密算法实现，也可以通过几种加密算法的结合实现，加密算法为现有技术，故在此不再赘述。
[0044]需要说明的是，客户端可以为手机、笔记本、台式机或平板电脑等移动终端，每一个移动终端具有一个唯一的device ID，将device ID作为用户客户端的设备标识。
[0045]步骤S102:在认证系统解密后验证用户的账号信息正确时，将设备标识、上传时的IP和当前系统时间用密钥加密生成具有时效性的票据。
[0046]在认证系统收到加密后的用户登录信息后，对用户登录信息进行解密，并验证解密出的账户信息是否正确，也就是验证解密出的用户输入的账号名称和密码是否正确，如果用户输入的账号名称和密码正确，则将一同解密出的device ID、上传用户登录信息时的IP地址以及认证系统的当前时间用密钥key加密生成具有时效性的票据。票据的时效性根据认证系统生成密钥key的时间确定，将在下文中详述。
[0047]在一个【具体实施方式】中，用户通过HTTP请求向认证系统上传用户登录信息，则IP地址包含在HTTP请求的head里。
[0048]IP地址和设备标识使票据具有唯一性，而认证系统记录的时间使票据具有时效性，如果票据不存在或者无法解密，意味着用户没有登录或者登录信息不正确，在这里加密的作用有两个，一是防止用户信息被泄露，二是保证票据不会被伪造。
[0049]步骤S103:将票据保存到认证系统的数据库中，同时，在账号关系映射表中，根据应用系统的标识建立票据与用户的账号信息的映射关系，以及，将票据返回给用户的客户端。
[0050]在认证系统生成票据后，需要对票据