专利名称:一种客户端访问插件应用系统的方法和装置的制作方法
技术领域:
本发明属于互联网应用系统技术领域,尤其针对集成多种应用插件的开放式客户端体系,实现单点登录到加入登录域的任何一个c/s或B/S结构的方法和系统。
背景技术:
随着宽带技术的发展,各种互联网应用越来越丰富,运营商们越来 越倾向于将这些应用整合,由统一的定制客户端向用户推送,于是,在 客户端的架构设计中引入了插件的概念,而插件应用系统本身有可能是 C/S或B/S结构,因此,用户启动客户端时将面临着C/S和B/S的多重 应用系统身份认证。
如果仍然使用各自的帐号登录,用户操作仍然十分烦瑣,与运营商 们简化用户操作的初衷相背而驰。因此,运营商需要研究一种适合C/S 和B/S多重应用系统的单点登录机制,实现客户端上所有业务的一次登 录,同时能方便用户操作,亦能够保障用户身份信息的安全性。
发明内容
本发明要解决的技术问题是提供一种客户端访问插件应用系统的方 法和装置,使用户只需一次登录,就可以访问所有授权服务,实现了集 中的身份认证,并且能有效保障系统数据传输安全性。
为了解决上述技术问题,本发明提出了 一种客户端访问插件应用系 统的方法,用于使具有插件集成的客户端访问加入单点登录系统域的插 件应用系统,包括
(1)用户向单点登录系统发送登录请求,该请求中包括单点登录 帐号和密码;
(2) 当单点登录系统根据所述单点登录帐号和密码确认该请求合 法时,向其返回包括用户身份ID和时间戳的令牌;
(3) 用户访问具有插件集成的客户端,由客户端将所述令牌发送 到应用系统;以及
(4) 由应用系统向单点登录系统发送解析所述令牌的请求,根据 其返回的信息解析出用户身份ID,并将查找到的与用户身份ID对应的 业务内容返回给客户端。
进一步,上述客户端访问插件应用系统的方法还可具有以下特点, 步骤(l)还包括用户在单点登录系统注册,由其为用户提供单点登 录帐号和密码,生成与该帐号对应的用户身份ID,并保存所述映射关 系。
进一步,上述客户端访问插件应用系统的方法还可具有以下特点, 步骤(l)中,当用户要定购应用系统的业务时,将单点登录帐号和应 用帐号捆绑后保存在应用系统,由应用系统维护该业务定购关系以及业 务权限;当用户登录应用系统时,填写捆绑的单点登录帐号和密码并发 送单点登录系统验证,验证通过后单点登录系统会向应用系统返回该单 点登录帐号对应的用户身份ID,由应用系统生成应用帐号和用户身份 ID之间的映射关系;以及步骤(4)中,根据用户身份ID查询到该用 户在本系统中的帐号及其业务权限,根据业务权限判断该用户是否已定 购所申请的服务,如果是,返回相应的应用内容,否则,拒绝返回并提 示未登录或未定购。
进一步,上ii^户端访问插件应用系统的方法还可具有以下特点, 步骤(3)中,用户访问具有插件集成的客户端,由客户端将所述令牌 写入浏览器中并请求访问B/S架构的应用系统;步骤U)中,由应用 系统向单点登录系统发送的请求中携带所述令牌和应用系统公钥,当单 点登录系统解析所述令牌获取用户身份ID和时间戳后,根据时间戳判 断该会话是否在有效期内,如果是,则向应用系统返回经应用系统公钥 加密的用户身份ID,否则,通知应用系统该认证失败。
进一步,上述客户端访问插件应用系统的方法还可具有以下特点,
步骤(2)中,当单点登录系统根据所述单点登录帐号和密码确认该请 求合法时,向其返回经单点登录系统私钥签名的令牌,所述令牌包括用 户身份ID和时间戳;步骤(3)中,用户访问具有插件集成的客户端, 将所述令牌发送到具有C/S架构的应用系统中;步骤U)中,由应用 系统向单点登录系统发送的请求中包括SPID、时间戳和经过应用系统 私钥签名的验证码信息,则单点登录系统才艮据请求中的时间戳信息向应 用系统返回用于解析所述用户身份ID的单点登录系统公钥。
进一 步,上述客户端访问插件应用系统的方法还可具有以下特点, 步骤(4)还包括由应用系统根据所述单点登录系统公钥解析令牌, 获取用户身份ID和时间戳信息,并根据时间戳判断在系统内部的有效 期,如果有效,返回相应的应用内容,否则,结束流程。
进一步,上述客户端访问插件应用系统的方法还可具有以下特点, 步骤(4)还包括如果SPID在单点登录系统中有记录,且验证所述 私钥签名的验证码信息合法,即被认为是加入单点登录系统域的合法应 用系统,则向应用系统返回7>钥,否则结束。
一种客户端访问应用系统的装置,包括
客户端,用于向单点登录系统发送用户的登录请求,该请求中包括 单点登录帐号和密码,在用户访问时,将所述包括用户身份ID和时间 戳的令牌发送到插件应用系统,以及将应用系统返回的应用内容发送给 用户;
单点登录系统,用于接收用户的登录请求,4艮据所述单点登录帐号 和密码确认该请求合法时,向其发送包括用户身份ID和时间戳信息的 令牌;用于接收并响应应用系统发送的解析所述令牌的请求;以及
应用系统,用于向单点登录系统发送解析所述令牌的请求,并根据 其返回的信息解析出用户身份ID,将查找到的与用户身份ID对应的业 务内容返回给客户端。
进一步,上述客户端访问插件应用系统的装置还可具有以下特点, 所述单点登录系统在用户注册后,提供单点登录帐号和密码,生成与该 帐号对应的用户身份ID,并保存所述映射关系。
进一步,上述客户端访问插件应用系统的装置还可具有以下特点, 所述客户端在用户定购应用系统的业务时,将单点登录帐号和应用帐号 捆绑后保存在应用系统,以及将捆绑的单点登录帐号和密码发送到单点
登录系统验证;所述单点登录系统用于在验证单点登录帐号和密码合法 时,向所述应用系统返回该单点登录帐号对应的用户身份ID;所述应 用系统用于维护单点登录帐号、应用帐号和业务权限的捆绑关系,以及 根据所述单点登录系统返回的用户身份ID,生成应用帐号和所述用户 身份ID之间的映射关系;用于在解析出所述用户身份ID时,查询到该 用户在本系统中的帐号及其业务权限,并在该用户已定购所申请的服务 时,向客户端返回相应的应用内容,否则,拒绝返回并提示未登录或未 定购。
进一步,上述客户端访问插件应用系统的装置还可具有以下特点, 所述单点登录系统接收的解析请求中包括所述令牌和应用系统公钥,当 解析出所述令牌中的用户身份ID和时间戳后,根据时间戳判断该会话 是否在有效期内,如果是,则向具有B/S架构的应用系统返回经应用系 统公钥加密的用户身份ID,否则,通知应用系统该认证失败。
进一步,上述客户端访问插件应用系统的装置还可具有以下特点, 所述单点登录系统根据登录请求,向所述客户端返回经单点登录系统私 钥签名的令牌,所述令牌包括用户身份ID和时间戳,以及根据所述解 析请求中的时间戳信息,向应用系统返回用于解析所述用户身份ID的 单点登录系统公钥;所述客户端将所述经单点登录系统私钥签名的令牌 发送到具有C/S架构的应用系统中;所述应用系统向单点登录系统发送 解析所述令牌的请求,所述请求中包括SPID、时间戳和经过应用系统 私钥签名的验证码信息。
进一 步,上述客户端访问插件应用系统的装置还可具有以下特点, 所述应用系统根据所述单点登录系统公钥解析令牌,获取用户身份ID 和时间戳信息,并根据时间戳判断在系统内部的有效期,如果有效,返 回相应的应用内容,否则,结束流程。
进一步,上述客户端访问插件应用系统的装置还可具有以下特点,
所述应用系统在加入单点登录系统的认证域时,向单点登录系统申请
SPID,并在审核通过后向,接收到颁发的SPID,并由应用系统将自己 的公钥发往单点登录系统保存;所述单点登录系统判断SPID已有记 录,且验证所述私钥签名的验证码信息合法时,根据请求中的时间戳信 息向应用系统返回单点登录系统公钥,否则结束。
进一步,上述客户端访问插件应用系统的装置还可具有以下特点, 所述单点登录系统后台提供接口 ,使所述应用系统通过该接口发送获取 单点登录系统公钥的请求以及接收相应的公钥。
进一步,上述客户端访问插件应用系统的装置还可具有以下特点, 客户端还包括第一客户端主模块,用于向单点登录系统发送用户的登 录请求,该请求中包括单点登录帐号和密码,在该请求合法时,接收到 包括用户身份ID和时间戳信息的用户令牌;用于根据用户的访问请 求,将所述令牌写入浏览器中;用于将应用系统返回的应用内容发送给 用户,或者通知用户拒绝登录或提示未登录或未定购;以及第一应用插 件,用于将用户的访问请求发送到对应的应用系统。
进一 步,上述客户端访问插件应用系统的装置还可具有以下特点, 客户端还包括第二客户端主模块,用于向单点登录系统发送用户的登 录请求,该请求中包括单点登录帐号和密码,在该请求合法时,接收经 单点登录系统私钥签名的包括用户身份ID和时间戳信息的令牌;用于 根据第二应用插件的要求返回所述私钥签名的令牌;以及第二应用插 件,用于在接收到用户的访问请求时,向第二客户端主模块请求私钥签 名的令牌,并将获取的所述令牌发送到应用系统;用于将应用系统返回 的应用内容发送给用户,或通知用户拒绝登录或提示未登录或未定购。
与现有技术相比,本发明采用独立的单点登录系统承担认证功能, 使用户只需一次登录,就可以访问所有授权服务,实现了集中的身份认 证,并且安全加密算法和PKI机制有效保障系统数据传输安全性。另 外,各应用系统也可以省略独立的认证模块,完全依赖于单点登录系统 实现应用系统的i人证功能。应用系统既可以是B/S结构,也可以是C/S 结构,既可以属于统一的系统,也可以是跨域系统;各应用系统可以根据自身业务的特点,对Token中包含的内容进行扩展定制。
图1是第 一 实施例中客户端访问插件应用系统的方法流程图。
图2是第二实施例中客户端访问插件应用系统的装置结构图。
图3是第三实施例中客户端访问插件应用系统的方法流程图。
图4是第四实施例中客户端访问插件应用系统的装置结构图。
具体实施例方式
第一实施例为客户端访问加入单点登录系统域的具有B/S结构的应 用系统的流程,如图1所示,包括以下步骤
步骤101,用户发送登录请求,由客户端主模块将该登录请求发送 到单点登录系统,该登录请求中包括用户的单点登录帐号和密码;
用户在单点登录系统注册后,由单点登录系统为用户提供单点登录 帐号和密码,在系统内部自动生成一个用户身份ID与帐号对应,并将 该映射关系保存在单点登录系统。其中,用户身份ID与单点登录帐号 不同,是在单点登录系统内部维护的标识该用户的数字编码。
步骤102,由单点登录系统验证单点登录帐号和密码的合法性,如 果验证通过,则执行步骤103;否则,结束流程;
步骤103,向客户端主模块返回用户令牌,即UserToken (釆用 3DES算法对原始数据以及摘要信息进行加密),该UserToken包括用 户身份ID和时间戳信息;
步骤104,由客户端主模块向用户返回已登录通知;
步骤105,当用户调用客户端的应用插件时,由客户端主模块将 UserToken写入浏览器中,UserToken采用内存cookie的形式保存在用 户的浏览器中;
步骤106,用户访问的页面需要进行用户认证或判断是否授权时, 应用系统自动将其重定向到单点登录系统,该重定向请求中包含应用系 统的公钥,浏览器会将UserToken令牌和请求一同发往单点登录系统;
应用系统产生并保存一对公私密钥,且其私钥只保存在应用系统。SP提供的某些业务是需要身份认证的,有些是开放的,不需要认证的,比如执行查看详细内容、定购、退定、查看定购内容等关键流程时 需要用户认证,而查看某个节目摘要时不需要用户认证。
步骤107,当单点登录系统收到该请求时,从用户浏览器Cookie中 读取UserToken,解析UserToken获取用户身份ID和时间戳信息,并 根据时间戳判断该用户的会话是否在有效期内,如果是,执行步骤 108,否则,执行步骤109;
步骤108,将用户身份ID经过应用系统的公钥加密,并在重定向 结果中返回给应用系统,执行步骤110;
步骤109,应用系统接收到重定向结果,即^人证失败,则由应用系 统向用户提示重新登录,即执行步骤101;
步骤IIO,由应用系统通过本系统的私钥解析获取用户身份ID,根 据该用户身份ID和应用帐号之间的映射关系,查询到该用户在本系统 中的帐号及其业务权限,根据业务权限判断该用户是否已定购所申请的 服务,如果是,执行步骤lll;否则,执行步骤112;
每个应用系统都有相应的应用帐号,当用户要定购应用系统的业务 时,将单点登录帐号和应用帐号捆绑后保存在应用系统,由应用系统维 护该业务定购关系以及业务权限,业务权限包括业务定购的有效期,每 个业务设置的有效期可以不同。
当用户设置捆绑信息时,需要首先登录应用系统,填写捆绑的单点 登录帐号和密码并发送单点登录系统验证,验证通过后单点登录系统会 向应用系统返回该单点登录帐号对应的用户身份ID (用户不可见),由 应用系统生成应用帐号和用户身份ID之间的映射关系。
步骤lll,应用系统向用户返回相应的应用内容;
步骤112,拒绝返回并给出未登录或未定购的提示。
图2示出了第二实施例中, 一种客户端访问插件应用系统的装置, 包括客户端,单点登录系统以及具有B/S架构的应用系统,其中,客 户端包括客户端主模块和应用插件,则
-客户端主模块,用于维护客户端登录状态和各插件的状态信息, 由其负责向单点登录系统发送用户的登录请求,包括单点登录帐号和密码,在该请求合法时,接收到其返回的包括用户身份ID和时间戳信息 的用户令牌,即UserToken,并向用户返回已登录通知;用于在用户调 用应用插件时,将UserToken写入浏览器中并发送到应用系统,该请求 中携带所述包括用户身份ID和时间戳信息的令牌;用于将应用系统返 回的应用内容发送给用户;
-应用插件,用于在接收到用户的调用请求时,将该请求发送到对应的应用系统;
-单点登录系统,用于接收用户的登录请求,如果该请求不合法,结束流程,否则,向其发送包括用户身份ID和时间戳信息的令牌;
用户在单点登录系统注册后,由单点登录系统为用户提供单点登录帐号和密码,在系统内部自动生成一个用户身份ID与帐号对应,并将 该映射关系保存在单点登录系统。其中,用户身份ID与单点登录帐号 不同,是在单点登录系统内部维护的标识该用户的数字编码。
-应用系统,用于根据应用系统私钥解密获得用户身份ID、时间戳信息,并根据与所述用户身份ID对应的业务权限,向客户端返回相 应的应用内容。
每个应用系统都有相应的应用帐号,当用户要定购应用系统的业务时,将单点登录帐号和应用帐号的捆绑后保存在应用系统,由应用系统 维护该业务定购关系以及业务权限,业务权限包括业务定购的有效期, 每个业务设置的有效期可以不同。当用户设置捆绑信息时,需要首先登 录应用系统,填写捆绑的单点登录帐号和密码并发送单点登录系统验 证,验证通过后单点登录系统会向应用系统返回该单点登录帐号对应的 用户身份ID (用户不可见),由应用系统生成应用帐号和用户身份ID之间的映射关系。
根据用户身份ID和应用帐号之间的映射关系,查询到该用户在本系统中的帐号及其业务权限;用于根据业务权限判断该用户已定购所申 请的服务时,向客户端返回相应的应用内容,否则,拒绝返回并提示未登录或未定购。
如果用户访问的页面需要进行用户认证或判断是否授权时,则所述 应用系统向单点登录系统发送重定向请求,该重定向请求中包含应用系
统的公钥,浏览器会将UserToken令牌和请求一同发往单点登录系统, 以及
所述单点登录系统解析所述令牌获取用户身份ID和时间戳,并根 据时间戳判断该会话是否在有效期内,如果是,则向应用系统返回经应 用系统公钥加密的用户身份ID,否则,通知应用系统该认证失败。
第三实施例为客户端访问加入单点登录系统域的具有C/S结构应用 系统的流程,如图3所示,包括以下步骤
步骤201,用户发送登录请求,由客户端主模块将该登录请求发送 到单点登录系统,该登录请求中包括用户的单点登录帐号和密码;
步骤202,单点登录系统验证单点登录帐号和密码的合法性,如果 验证通过,执行步骤203;否则,结束流程;
步骤203,向客户端主模块返回经单点登录系统的私钥签名的客户 端令牌,即ClientToken, ClientToken中包含用户身份ID、时间戳等 信息;
单点登录系统产生并保存一对公私密钥,且其私钥只保存在单点登 录系统。
步骤204,由客户端主模块向用户返回已登录通知;
步骤205,当用户访问客户端应用插件时,由该应用插件向客户端 主模块请求私钥签名的ClientToken;
步骤206,客户端主模块向应用插件返回私钥签名的ClientToken;
步骤207,所述应用插件向C/S结构的应用系统发送私钥签名的 ClientToken;
步骤208,应用系统向单点登录系统发送获取单点登录系统的公钥 的请求,该请求中包括SPID (应用系统在单点登录系统中的编号,事 先生成)、时间戳和经过SP私钥签名的验证码信息;
单点登录系统后台提供接口 ,用于使C/S架构的应用系统通过该接口发送获取公钥的请求以及接收相应的公钥。第三方插件系统和第三方 网站系统加入客户端系统的单点认证域时,需要向单点登录系统申请
SPID,在审核批准后获取该SPID,并由应用系统将自己的公钥发往单 点登录系统保存。时间戳用于记录产生这一请求的时间,因为公私密钥 对定期更换,单点登录系统可以根据此时间戳返回相应的公钥。
在单点登录系统中保存公私密钥对,并且私钥只保存在单点登录系 统,应用系统需要向单点登录系统获取公钥来解开通过私钥签名的 ClientToken,如果解密成功,则可以成功获取用户身份,并在应用系统 内完成授权。
步骤209,如果SPID在单点登录系统中有记录,且验证所述私钥 签名的验证码信息合法,即被认为是加入单点登录系统的合法应用系 统,则单点登录系统根据请求中的时间戳信息向应用系统返回公钥;否 则,结束流程;
步骤210,应用系统才艮据所述公钥解析ClientToken,获得用户身份 ID、时间戳信息,并根据时间戳判断在系统内部的有效期,如果有效, 执行步骤211,否则,结束流程;
步骤211,由应用系统根据用户身份ID和应用帐号之间的映射关 系,查询到该用户在本系统中的帐号及其业务^U艮,根据业务权限判断 该用户是否已定购所申请的服务,如果是,执行步骤212;否则,执行 步骤213;
步骤212,应用系统向应用插件返回相应的应用内容,并由应用插
件将内容发送给用户;
步骤213,拒绝返回并给出未登录或未定购的提示。
图4示出了在第四实施例中, 一种客户端访问插件应用系统的装
置,包括客户端,单点登录系统以及具有C/S架构的应用系统,其
中,
-客户端主模块,用于维护客户端登录状态和各插件的状态信息, 由其向单点登录系统发送用户的登录请求,在该请求合法时,接收到其
返回的经单点登录系统私钥签名的包括用户身份ID和时间戳信息的客户端令牌,即ClientToken,并向用户返回已登录通知;用于才艮据应用 插件的要求返回私钥签名的ClientToken,其中携带所述用户身份ID和 时间戳信息;
-应用插件,用于在接收到用户的访问请求时,向客户端主模块请 求私钥签名的ClientToken,并将获取的ClientToken发送到应用系统; 用于将应用系统返回的应用内容发送给用户,或者通知用户拒绝登录或 提示未登录或未定购;
-单点登录系统,用于接收用户的登录请求,如果该请求不合法, 结束流程,否则,向其发送包括用户身份ID和时间戳信息的令牌;用 于将解析所述令牌的系统公钥发送到应用系统;
所述登录请求中包括单点登录帐号和密码,如果该帐号和密码合 法,则认为该请求合法。单点登录系统后台提供接口,用于接收C/S架 构的应用系统发送的获取公钥的请求,以及通过该接口下发所述公钥。
当接收到应用系统获取公钥的请求时,该请求中包括SP1D、时间 戳和经过应用系统私钥签名的验证码信息,如果已记录所述SPID且验 证所述私钥签名的验证码信息合法时,根据请求中的时间戳信息向应用 系统返回公钥;否则,结束流程。
-应用系统,用于向单点登录系统发送获取单点登录系统公钥的请 求,并根据所述公钥解析令牌,获得用户身份ID、时间戳信息,根据 与所述用户身份ID对应的业务权限,向客户端返回相应的应用内容。
应用系统用于根据时间戳判断在系统内部的有效期,如果有效,根 据用户身份ID和应用帐号之间的映射关系,查询到该用户在本系统中 的帐号及其业务权限;用于根据业务权限判断该用户已定购所申请的服 务时,向客户端返回相应的应用内容,否则,拒绝返回并提示未登录或
未定购。
本发明采用独立的单点登录系统承担认证功能,单点登录系统为客 户端系统保留 一对公私密钥对,保证令牌信息及来源的正确性和安全 性。私钥仅保存在单点登录平台,公钥可供各插件应用系统查询并用于 数据加密和签名验证。各应用系统通过接口调用获取公钥,为保证密钥的安全传输,接口中可以通过增加请求源参数验证调用者的身份。为保 证系统安全性,公私密钥对应该定期更换。应用系统应也应当定时获取 最新的/>钥,并进行本地緩存。
本发明中,各应用系统可以分别保存该应用帐号与单点登录帐号或用户身份ID的映射关系,也可以将所有应用帐号与单点登录系统帐号 或用户身份的映射关系集中保存,则当用户使用单点登录帐号和密码登 录时,即可进入加入单点登录域的任何一个C/S或B/S结构。
权利要求
1.一种客户端访问插件应用系统的方法,用于使具有插件集成的客户端访问加入单点登录系统域的插件应用系统,包括(1)用户向单点登录系统发送登录请求,该请求中包括单点登录帐号和密码;(2)当单点登录系统根据所述单点登录帐号和密码确认该请求合法时,向其返回包括用户身份ID和时间戳的令牌;(3)用户访问具有插件集成的客户端,由客户端将所述令牌发送到应用系统;以及(4)由应用系统向单点登录系统发送解析所述令牌的请求,根据其返回的信息解析出用户身份ID,并将查找到的与用户身份ID对应的业务内容返回给客户端。
2. 如权利要求1所述客户端访问插件应用系统的方法,步骤(1) 还包括用户在单点登录系统注册,由其为用户提供单点登录帐号和密 码,生成与该帐号对应的用户身份ID,并保存所述映射关系。
3. 如权利要求2所述客户端访问插件应用系统的方法,还包括 步骤(l)中,当用户要定购应用系统的业务时,将单点登录帐号和应用帐号捆绑后保存在应用系统,由应用系统维护该业务定购关系以 及业务权限;当用户登录应用系统时,填写捆绑的单点登录帐号和密码 并发送单点登录系统验证,验证通过后单点登录系统会向应用系统返回 该单点登录帐号对应的用户身份ID,由应用系统生成应用帐号和用户 身份ID之间的映射关系;以及步骤U)中,根据用户身份ID查询到该用户在本系统中的帐号及 其业务权限,根据业务权限判断该用户是否已定购所申请的服务,如果 是,返回相应的应用内容,否则,拒绝返回并提示未登录或未定购。
4. 如权利要求1所述客户端访问插件应用系统的方法,还包括 步骤(3)中,用户访问具有插件集成的客户端,由客户端将所述令牌写入浏览器中并请求访问B/S架构的应用系统; 步骤(4)中,由应用系统向单点登录系统发送的请求中携带所述 令牌和应用系统公钥,当单点登录系统解析所述令牌获取用户身份ID 和时间戳后,根据时间戳判断该会话是否在有效期内,如果是,则向应 用系统返回经应用系统公钥加密的用户身份ID,否则,通知应用系统 该认证失败。
5. 如权利要求2所a户端访问插件应用系统的方法,还包括 步骤(2)中,当单点登录系统根据所述单点登录帐号和密码确认该请求合法时,向其返回经单点登录系统私钥签名的令牌,所述令牌包 括用户身份ID和时间戳;步骤(3)中,用户访问具有插件集成的客户端,将所述令牌发送 到具有C/S架构的应用系统中;步骤(4)中,由应用系统向单点登录系统发送的请求中包括 SPID、时间戳和经过应用系统私钥签名的验证码信息,则单点登录系 统根据请求中的时间戳信息向应用系统返回用于解析所述用户身份ID 的单点登录系统公钥。
6. 如权利要求5所述客户端访问插件应用系统的方法,步骤(4) 还包括由应用系统根据所述单点登录系统公钥解析令牌,获取用户身份 ID和时间戳信息,并根据时间戳判断在系统内部的有效期,如果有 效,返回相应的应用内容,否则,结束流程。
7. 如权利要求5所述客户端访问插件应用系统的方法,步骤(4) 还包括如果SPID在单点登录系统中有记录,且验证所述私钥签名的验证 码信息合法,即被认为是加入单点登录系统域的合法应用系统,则向应 用系统返回公钥,否则结束。
8. —种客户端访问应用系统的装置,包括客户端,用于向单点登录系统发送用户的登录请求,该请求中包括 单点登录帐号和密码,在用户访问时,将所述包括用户身份ID和时间 戳的令牌发送到插件应用系统,以及将应用系统返回的应用内容发送给用户;单点登录系统,用于接收用户的登录请求,根据所述单点登录帐号 和密码确认该请求合法时,向其发送包括用户身份id和时间戳信息的令牌;用于接收并响应应用系统发送的解析所述令牌的请求;以及应用系统,用于向单点登录系统发送解析所述令牌的请求,并根据 其返回的信息解析出用户身份id,将查找到的与用户身份id对应的业 务内容返回给客户端。
9. 如权利要求8所^户端访问插件应用系统的装置,其中 所述单点登录系统在用户注册后,提供单点登录帐号和密码,生成与该帐号对应的用户身份id,并保存所述映射关系。
10. 如权利要求9所述户端访问插件应用系统的装置,其中 所述客户端在用户定购应用系统的业务时,将单点登录帐号和应用帐号捆绑后保存在应用系统,以及将捆绑的单点登录帐号和密码发送到 单点登录系统验证;所述单点登录系统用于在验证单点登录帐号和密码合法时,向所述 应用系统返回该单点登录帐号对应的用户身份id;所述应用系统用于维护单点登录帐号、应用帐号和业务权限的捆绑 关系,以及根据所述单点登录系统返回的用户身份id,生成应用帐号 和所述用户身份id之间的映射关系;用于在解析出所述用户身份id 时,查询到该用户在本系统中的帐号及其业务权限,并在该用户已定购 所申请的服务时,向客户端返回相应的应用内容,否则,拒绝返回并提 示未登录或未定购。
11. 如权利要求8所述客户端访问插件应用系统的装置,其中 所述单点登录系统接收的解析请求中包括所述令牌和应用系统公钥,当解析出所述令牌中的用户身份id和时间戳后,根据时间戳判断 该会话是否在有效期内,如果是,则向具有b/S架构的应用系统返回经 应用系统公钥加密的用户身份id,否则,通知应用系统该认证失败。
12. 如权利要求8所述户端访问插件应用系统的装置,其中 所述单点登录系统根据登录请求,向所述客户端返回经单点登录系统私钥签名的令牌,所述令牌包括用户身份ID和时间戳,以及根据所 述解析请求中的时间戳信息,向应用系统返回用于解析所述用户身份 ID的单点登录系统公钥;所述客户端将所述经单点登录系统私钥签名的令牌发送到具有C/S 架构的应用系统中;所述应用系统向单点登录系统发送解析所述令牌的请求,所述请求 中包括SPID、时间戳和经过应用系统私钥签名的验证码信息。
13. 如权利要求12所述客户端访问插件应用系统的装置,其中 所述应用系统根据所述单点登录系统公钥解析令牌,获取用户身份ID和时间戳信息,并根据时间戳判断在系统内部的有效期,如果有 效,返回相应的应用内容,否则,结束流程。
14. 如权利要求13所ii^户端访问插件应用系统的装置,其中 所述应用系统在加入单点登录系统的认证域时,向单点登录系统申请SPID,并在审核通过后向,接收到颁发的SPID,并由应用系统将自 己的公钥发往单点登录系统保存;所述单点登录系统判断SPID已有记录,且验证所述私钥签名的验 证码信息合法时,根据请求中的时间戳信息向应用系统返回单点登录系 统公钥,否则结束。
15. 如权利要求12所述客户端访问插件应用系统的装置,其中 所述单点登录系统后台提供接口 ,使所述应用系统通过该接口发送获取单点登录系统公钥的请求以及接收相应的公钥。
16. 如权利要求11所^户端访问插件应用系统的装置,客户端 还包括第一客户端主模块,用于向单点登录系统发送用户的登录请求,该 请求中包括单点登录帐号和密码,在该请求合法时,接收到包括用户身 份ID和时间戳信息的用户令牌;用于根据用户的访问请求,将所述令 牌写入浏览器中;用于将应用系统返回的应用内容发送给用户,或者通 知用户拒绝登录或提示未登录或未定购;以及第 一应用插件,用于将用户的访问请求发送到对应的应用系统。
17. 如权利要求12所述客户端访问插件应用系统的装置,客户端 还包括第二客户端主模块,用于向单点登录系统发送用户的登录请求,该 请求中包括单点登录帐号和密码,在该请求合法时,接收经单点登录系 统私钥签名的包括用户身份ID和时间戳信息的令牌;用于根据第二应 用插件的要求返回所述私钥签名的令牌;以及第二应用插件,用于在接收到用户的访问请求时,向笫二客户端主 模块请求私钥签名的令牌,并将获取的所述令牌发送到应用系统;用于 将应用系统返回的应用内容发送给用户,或者通知用户拒绝登录或提示 未登录或未定购。
全文摘要
本发明提出一种客户端访问插件应用系统的方法和装置,包括(1)用户向单点登录系统发送登录请求,该请求中包括单点登录帐号和密码;(2)当单点登录系统根据所述单点登录帐号和密码确认该请求合法时,向其返回包括用户身份ID和时间戳的令牌;(3)用户访问具有插件集成的客户端,由客户端将所述令牌发送到应用系统;(4)由应用系统向单点登录系统发送解析所述令牌的请求,根据其返回的信息解析出用户身份ID,并将查找到的与用户身份ID对应的业务内容返回给客户端。本发明中用户只需一次登录,就可以访问所有授权服务,实现了集中的身份认证,并且能有效保障系统数据传输安全性。
文档编号H04L29/06GK101202753SQ200710195129
公开日2008年6月18日 申请日期2007年11月29日 优先权日2007年11月29日
发明者于洪涌, 杨晓玲, 罗斯青, 力 蒋 申请人:中国电信股份有限公司