一种单点登录方法、设备及系统的制作方法

文档序号:7695681阅读:94来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种单点登录方法、设备及系统的制作方法
技术领域
本发明涉及通信技术领域,尤其涉及一种单点登录方法、设备及系统。
技术背景随着社会信息化的发展,各行各业都越来越多的使用互联网这个工具来介 绍自己和为客户提供丰富便捷的网上服务。现在人们的日常生活中,需要使用 的应用系统越来越多,而一般的,每个应用系统都需要认证用户的身份,从而 提供相应的服务,用户每次访问都需要首先成功登录应用系统。这样用户就需 要在多个应用系统中设立并且记住多套用户名称和口令,访问时,在每个应用 系统都需要输入一次对应的用户名称和口令来登录。这样给用户带来诸多的不 便及安全问题。单点登录技术的出现,正是为了解决以上问题。单点登录是指用户进行一 次验证(即使用用户名称和口令登录)后即可以访问相关的多个应用系统的功 能。通过单点登录,用户只需要登录一次,便可以实现在多个应用系统中的登 录,从而使用户省去了繁瑣的逐一登录过程,同时也避免了因为用户在多个应 用系统中设置不同的用户名称和口令带来的 一 系列管理和安全的问题。在通信领域由于应用系统的不同和运营的需要,现有应用系统一般分级部 署对于需要全网运营的应用系统(称为一级应用系统),建立全网应用平台; 对于需要分省、分区域运营的应用系统(称为二级应用系统),建立省级、区 域级应用平台。为了减轻大数据量的处理压力,用户数据一般只在用户归属省 或者区域进行存放。要实现此类应用系统的单点登录,需要解决不同级别应用 系统之间的单点登录问题。目前有多种技术实现分级应用系统的单点登录,主要包括如下两类一、 在全网应用平台集中认证和登录如图l所示,在全网应用平台设立单一集中的公共认证中心,用来认证用 户身份,实现全部一级应用系统和二级应用系统的认证和单点登录管理。公共 认证中心保存用户身份令牌并且对用户进行验证,用户端仅保存令牌编号,以 保证信息安全。用户在不同的应用系统之间进行登录时,对用户的认证请求会 送到公共认证中心,公共认证中心会判断用户是否已经在其他系统登录,如果 用户没有登录,则提示用户登录,如果用户已经登录,则提供用户的身份信息 给应用系统。发明人经过分析,发现集中认证和登录的实现方案存在如下不足 实现单点登录的公共认证中心是集中设置的,不能分散部署。集中设置的 公共认证中心在用户量激增的情况下,需要不断提高系统处理能力,才能满足 需求。但是单一系统的处理能力是有限的,不能无限制增加,因此当用户量达 到一定数量时,公共认证中心的处理能力将消耗殆尽,从而影响用户的登录访 问,甚至会出现系统瘫痪的极端情况的出现。 一旦公共认证中心出现故障,则 全网都将无法登录,性能和可靠性无法得到保证。另外,对于很多应用系统来 说,由于建设和运营的要求,网站可能分布在不同地方而无法进行集中管理, 仅设置一个集中的公共认证中心将使省级业务运营的自主性和灵活性受到影 响,不能满足实际需求。二、 分省认证和登录如图2所示,认证和单点登录管理功能由各省自己提供,用户在一级应用 系统登录时,该一级应用系统(通过手工选择或简单的自动判断)与相应的省 认证中心直接通信。发明人经过分析,发现分省认证和登录的实现方案存在如下不足 若干个一级应用系统与若干个省认证中心形成网状连接,使整个网络架构 异常复杂,在跨系统访问中容易形成蜘蛛网式的访问从而导致信息拥塞,不适用规一莫大、用户量大的系统,不利于系统的维护和业务的扩展。发明内容本发明实施例4是供一种单点登录方法,用以对认证进行分级管理,并有效分散系统压力,该方法包括确定请求登录第一应用系统的用户未在其它应用系统登录;当第 一应用系统为 一级应用系统时,则由 一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;当第一应用系统为二级应用系统时,则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;第 一应用系统按用户身份令牌向用户提供服务页面。本发明实施例还提供一种单点登录系统,用以对认证进行分级管理,并有 效分散系统压力,该系统包括多个应用系统,其中包括一级应用系统和二级应用系统,用于接收用户的 登录请求,按用户身份令牌向用户提供服务页面;一级认证中心,用于在确定请求登录一级应用系统的用户未在其它应用系 统登录时,将用户登录信息提供给用户归属的二级认证中心进行认证;以及, 在认证通过后生成用户身份令牌并提供给用户请求登录的一级应用系统;多个二级认证中心,用于在确定请求登录二级应用系统的用户未在其它应 用系统登录时,对用户登录信息进行认证;以及,在认证通过后生成用户身份 令牌并提供给用户请求登录的二级应用系统。本发明实施例中,为一级应用系统设置一个统一的一级认证中心,为二级 应用系统设置对应归属的多个二级认证中心,用户可以在多级应用系统多个认 证中心并存情况下实施单点登录过程,具体实施时,确定请求登录第一应用系 统的用户未在其它应用系统登录;当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证 通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;当第一应 用系统为二级应用系统时,则由第一应用系统归属的二级认证中心对用户登录 信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;第 一应用系统按用户身份令牌向用户提供服务页面,从而通过在多级应用系统中 部署多个认证中心,对认证进行分级管理,分流用户单点登录时的数据流,有 效分散系统压力,不仅可以适用于大用户量系统,还可以适应不同场景的需要, 具有广泛的应用前景。


图1为背景技术中在全网应用平台集中认证和登录的示意图; 图2为背景技术中分省认证和登录的示意图; 图3为本发明实施例中单点登录的处理流程图; 图4为本发明实施例中单点登录的一个具体实例的系统结构图; 图5为本发明实施例中用户首先登录网站A的处理流程图; 图6为本发明实施例中用户首先登录网站C的处理流程图; 图7为本发明实施例中用户在已首先登录网站A时再登录网站C的处理 流程图;图8为本发明实施例中用户在已首先登录网站A时再登录网站B的处理 流程图;图9、图IO为本发明实施例中单点登录系统的结构示意图。
具体实施方式
下面结合说明书附图对本发明实施例进行详细说明。如图3所示,本发明实施例中,单点登录的处理流程如下步骤301、确定请求登录第一应用系统的用户未在其它应用系统登录。步骤302、当第一应用系统为一级应用系统时,则由一级认证中心将用户 登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认 证中心生成用户身份令牌并提供给第一应用系统。步骤303、当第一应用系统为二级应用系统时,则由第一应用系统归属的 二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌 提供给第一应用系统。步骤304 、第 一应用系统按用户身份令牌向用户提供服务页面。图3所示流程中的用户身份令牌是一个文本串,用以标识用户身份,如其 内容可以包含用户名称等用户身份信息,可以通过加密手段来保证安全性。一级认证中心或第一应用系统归属的二级认证中心可以在向第一应用系 统提供用户身份令牌之前,为用户身份令牌设置一编号,先向第一应用系统提 供用户身份令牌编号;后续第一应用系统根据用户身份令牌编号,获取用户身 份令牌。一个实施例中,第一应用系统向认证中心发送用户身份令牌编号;认证中 心根据用户身份令牌编号,查找用户身份令牌;对查找到的用户身份令牌进行 有效性检查,在有效性检查通过后,向第一应用系统返回用户身份令牌。第一应用系统可以先对用户身份令牌进行有效性检查,在有效性检查通过 后,向用户提供服务页面。一个实施例中,用户首先在某一应用系统登录时,该应用系统归属的认证 中心向用户提供包含该认证中心标识信息的公共Cookie;用户后续请求登录的 应用系统归属的认证中心可以根据用户保存的公共Cookie,确定用户已在至少 一个应用系统登录,以及,确定用户首先登录的应用系统。其中的公共Cookie是一个保留在用户端的文本文件,内容包括用户首次 登录的应用系统归属的认证中心的标识信息,例如地址、名称等; 一个实施例 中,公共Cookie还可以包括用户首次请求登录的会话编号等信息。在处理用户的首次登录请求时,需要将用户提交的用户登录信息交由用户认证服务器进行认证,由于二级认证中心可以直接与相应的用户认证服务器交 互以实现对用户登录信息的验证,而一级认证中心需通过二级认证中心与用户 认证服务器相交互,因而由于用户首次登录的应用系统级别的不同,其登录处 理流程有所不同。在步骤302中,如果确定第一应用系统为一级应用系统,则由一级认证中 心将用户登录信息提供给用户关联的二级认证中心;用户关联的二级认证中心 将用户登录信息交由关联的用户认证服务器进行认证。如果确定第一应用系统 为二级应用系统,则第 一应用系统归属的二级认证中心将用户登录信息交由关 联的用户认证服务器进行认证。下面举一具体实例说明本发明实施例的单点登录方法。如图4所示,在该具体实例中,设置有两级应用系统及分别归属的一级、 二级认证中心网站A和网站B属一级应用系统,均归属于认证中心1 ( 一级 认证中心);网站C、网站D属二级应用系统,均归属于认证中心2 (二级认 证中心);网站E、网站F属二级应用系统,均归属于认证中心3 ( 二级认证中 心);认证中心2与用户认证服务器M进行交互,认证中心3与用户认证服务 器N进行交互。假设用户首次登录的是一级应用系统网站A,则如图5所示,用户首次登 录网站A的处理流禾呈可以如下步骤501、用户请求登录网站A。步骤502、网站A检查用户的登录状态(即是否在本网站登录),如果已经在本网站登录,则跳转到步骤520。步骤503、网站A将用户的登录请求重定向至网站A归属的认证中心1。 步骤504、认证中心1确定用户并未保存有公共Cookie,则确定用户的单点登录状态为没有在任一 网站登录。步骤505、认证中心l提示用户进行登录。步骤506、用户输入登录信息(如用户ID和口令)后提交。步骤507、认证中心1进行必要的格式检查,如果检查未通过,则进行错 误提示,如果4企查通过,则执行步骤508。步骤508、认证中心1在格式检查通过后,根据用户的登录信息查找用户 关联的二级认证中心,本例中假设为认证中心2。步骤509、认i正中心1向认证中心2前转用户的登录请求。步骤510、认证中心2将用户的登录信息提交给用户认证服务器M进行验证。步骤511、用户认证服务器M进行验证处理。步骤512、用户认证服务器M向认证中心2返回验证结果。步骤513、认证中心2向认证中心1返回'验证结果。步骤514、在验证成功时,认证中心l设置用户的公共Cookie并向用户提 供。其中的公共Cookie中包括认证中心1的标识信息,如地址、名称等;还 可能包括用户首次请求登录的会话编号等信息。认证中心1还可以保存用户的 登录标识。如果认证中心1收到的验证结果为失败时,提示错误信息。步骤515、认证中心1将用户的登录请求重定向到网站A,携带用户身份 令牌编号。步骤516、网站A根据用户身份令牌编号向认证中心1提取用户身份令牌。步骤517、认证中心1根据用户身份令牌编号查找对应的用户身份令牌, 并检查查找到的用户身份令牌的有效性,在有效性检查通过后,执行步骤518。步骤518、认证中心1向网站A发送用户身份令牌。步骤519、网站A收到用户身份令牌后,检查其有效性,在有效性检查通 过后,执行步骤520。步骤520、网站A向用户提供服务页面。在另一例中,〗叚设用户首次登录的是二级应用系统网站C,则如图6所示, 用户首次登录网站C的处理流程可以如下 步骤601、用户请求登录网站C。步骤602、网站C检查用户的登录状态(即是否在本网站登录),如果已经在本网站登录,则跳转到步骤617。步骤603、网站C将用户的登录请求重定向至网站C归属的认证中心2。 步骤604、认证中心2确定用户未保存公共Cookie,则确定用户的单点登录状态用户没有在任一网站登录。步骤605、认证中心2提示用户进行登录。步骤606、用户输入登录信息(如用户ID和口令)后提交。步骤607、认证中心2进行必要的格式检查,如果检查未通过,则进行错误提示,如果检查通过,则执行步骤608。步骤608、认证中心2在格式检查通过后,将用户的登录信息提交给用户认证服务器M进行验证。步骤609、用户认证服务器M进行验证处理。步骤610、用户认证服务器M向认证中心2返回验证结果。步骤611、在验证成功时,认证中心2设置用户的公共Cookie并向用户提供。其中公共Cookie中包括认证中心2的标识信息,如地址、名称等;还可能包括用户首次请求登录的会话编号等信息。认证中心2还可以保存用户的登录标识。如果认证中心2收到的验证结果为失败时,提示错误信息。步骤612、认证中心2将用户的登录请求重定向到网站C,携带用户身份令牌编号。步骤613 、网站C根据用户身份令牌编号向认证中心2提取用户身份令牌。步骤614、认证中心2根据用户身份令牌编号查找对应的用户身份令牌, 并检查查找到的用户身份令牌的有效性,在有效性检查通过后,执行步骤615。步骤615、认证中心2向网站C发送用户身份令牌。步骤616、网站C收到用户身份令牌后,检查其有效性,在有效性检查通 过后,执行步骤617。步骤617、网站C向用户提供服务页面。一个实施例中,确定请求登录第二应用系统的用户已在至少一个应用系统登录,并且首先在一级应用系统登录;第二应用系统按从一级认证中心获取的 用户身份令牌,向用户提供服务页面。仍以图4所示网络结构为例,在又一例中,假设用户首先登录网站A,并 且在已登录网站A的情况下,再登录网站C进行单点登录。网站A属一级应 用系统,归属于认i正中心1,网站C属二级应用系统,归属于认i正中心2,如 图7所示,其处理流程如下步骤701、用户请求登录网站C。步骤702、网站C检查用户的登录状态(即是否在本网站登录),如果已经在本网站登录,则跳转到步骤713,如果未在本网站登录,则执行步骤703。 步骤703、网站C将用户的登录请求重定向至网站C归属的认证中心2。 步骤704、认证中心2通过用户保存的公共Cookie的内容检查用户的单点登录状态,确定用户已经在至少一个网站登录,并且首次登录是在网站A。 步骤705、认证中心2向网站A归属的认证中心l提取用户身份令牌。 步骤706、认证中心1查找到用户身份令牌,并检查其有效性,在有效性检查通过后,执行步骤707。步骤707 、认证中心1向认证中心2返回用户身份令牌。步骤708、认证中心2将用户的登录请求重定向到网站C,携带用户身份令牌编号。步骤709、网站C根据用户身份令牌编号向认证中心2提取用户身份令牌。 步骤710、认证中心2根据用户身份令牌编号查找用户身份令牌,并检查 查找到的用户身份令牌的有效性,在有效性检查通过后,执行步骤711。 步骤711、认证中心2向网站C发送用户身份令牌。步骤712、网站C收到用户身份令牌后,检查其有效性,在有效性检查通 过后,执行步骤713。步骤713、网站C向用户提供服务页面。图7所示流程示出了用户在不同级别的应用系统之间实施单点登录的处理 过程,当然,用户也可以在相同级别的应用系统之间实施单点登录的处理过程。 例如,用户在首先登录网站C,并且在已登录网站C的情况下,再登录网站E 进行单点登录实施时,网站E归属的认证中心3确定用户已首先在网站C 登录后,从网站C归属的认证中心2获取用户身份令牌并提供给网站E,网站 E按获得的用户身份令牌向用户提供服务页面,其具体实施流程与图7所示流 程类似。当然,为避免在不同的二级认证中心之间互连而形成网状访问,可以由一 级认证中心控制,使不同二级认证中心不可直接通信。实施中,若用户首先登 录二级应用系统,则该二级应用系统归属的二级认证中心可在生成用户身份令 牌后,将用户身份令牌提交给一级认证中心进行存储。后续该用户请求登录其 它一级或二级应用系统时,可向存储有用户身份令牌的一级认证中心获取用户 身份令牌,这样不必在二级认证中心之间互连,可以避免形成网状访问。例如,用户在首先登录网站C,并且在已登录网站C的情况下,再登录网 站E进行单点登录实施时,网站C归属的认证中心2已将生成的用户身份令 牌提交给认证中心1。网站E归属的认证中心3确定用户已首先在网站C登录 后,直接从认证中心A获取用户身份令牌并提供给网站E,网站E按获得的用 户身份令牌向用户提供服务页面。一个实施例中,用户首先登录的二级应用系统归属的二级i/d正中心也可以 不将用户身份令牌提交给一级认证中心进行存储。后续该用户请求登录其它一 级或二级应用系统时,向 一级认证中心请求获取用户身份令牌, 一级认证中心 再从用户首先登录的二级应用系统归属的二级认证中心查询并获取用户身份 令牌,这样也不必在二级认证中心之间互连,可以避免形成网状访问。例如,用户在首先登录网站C,并且在已登录网站C的情况下,再登录网 站E进行单点登录实施时,网站E归属的认证中心3确定用户已首先在网站 C登录后,向认证中心1请求获取用户身份令牌,认证中心1从认证中心2查询用户身令牌并提供给网站E ,网站E按获得的用户身份令牌向用户提供服务 页面。用户可以在归属于同一认证中心的应用系统之间实施单点登录的处理过 程,例如,用户在首先登录网站A之后,再访问网站B,网站B和网站A均 归属于认证中心l,如图8所示,具体流程如下步骤801、用户请求登录网站B。步骤802、网站B检查用户的登录状态(即是否在本网站登录),如果已 经在本网站登录,则跳转到步骤810。步骤803、网站B将用户的登录请求重定向至网站B归属的认证中心1。步骤804、认证中心1检查用户的单点登录状态,确定用户已经在至少一 个网站登录,并且首次登录是在网站A。步骤805、认证中心1在本地获取用户身份令牌,将用户的登录请求重定 向到网站B,携带用户身份令牌编号。步骤806、网站B根据用户身份令牌编号向认证中心1提取用户身份令牌。步骤807 、认证中心1根据用户身份令牌编号查找用户身份令牌,并检查 查找到的用户身份令牌的有效性,在有效性检查通过后,执行步骤808。步骤808、认证中心1向网站B发送用户身份令牌。步骤809、网站B收到用户身份令牌后,检查其有效性,在有效性检查通 过后,执行步骤810。步骤810、网站B向用户提供服务页面。图8所示流程示出了用户在归属于同 一认证中心的不同 一级应用系统之间 实施单点登录的处理过程,当然,用户也可以在归属于同一认证中心的不同二 级应用系统之间实施单点登录的处理过程,例如,用户在首先登录网站C之后, 再访问网站D,网站C和网站D均归属于认证中心B,其具体实施流程与图8 所示流程类似。基于同一发明构思,本发明实施例还提供一种单点登录系统,其结构如图一级iU正中心903,用于在确定请求登录一级应用系统的用户未在其它应 用系统登录时,将用户登录信息提供给用户归属的二级认证中心进行认证;以 及,在认证通过后生成用户身份令牌并提供给用户请求登录的一级应用系统;多个二级认证中心904,用于在确定请求登录二级应用系统的用户未在其 它应用系统登录时,对用户登录信息进行认证;以及,在认证通过后生成用户 身份令牌并提供给用户请求登录的二级应用系统。如图10所示, 一个实施例中,图9所示的单点登录系统还包括多个用户认证服务器905,分别与关联的二级认证中心相连,用于接收关 联的二级认证中心提交的用户登录信息并进行验证。一个实施例中, 一级认证中心还可以用于在确定请求登录一级应用系统 的用户已首先在其它应用系统登录时,将用户身份令牌提供给用户请求登录的 一级应用系统;二级认证中心还可以用于在确定请求登录二级应用系统的用户已首先在 其它应用系统登录时,从一级认证中心获取用户身份令牌并提供给用户请求登 录的二级应用系统。一个实施例中,二级认证中心还可以用于将生成的用户身份令牌提交给一 级认证中心进行存储。一个实施例中, 一级认证中心还可以用于查询用户归属的二级认证中心生 成的用户身份令牌。本发明实施例中, 一级认证中心可以提供用户登录页面,处理一级应用系 统用户的登录请求;对用户的登录请求进行转发,路由用户登录请求至用户归 属的二级认证中心(用户归属地二级应用系统归属的认证中心)进行认证;当 用户在一级应用系统登录时产生和管理用户身份令牌,维护用户会话,对外提供单点登录服务;当用户在二级应用系统登录时,则存储用户归属的二级应用 系统归属的二级认证中心提交的用户身份令牌,或向用户归属的二级认证中心 查询用户身份令牌,完成单点登录。二级认证中心可以提供用户登录页面,处理二级应用系统用户的登录请 求;为用户提供登录认证服务(验证用户名和登录密码);若用户在二级应用 系统登录,则产生和管理用户身份令牌,维护用户会话,对外提供单点登录服 务;若用户在一级应用系统登录,则向一级认证中心查询用户身4分令牌,完成 单点登录。实施中,在部署一级、二级认证中心时,可能考虑的因素有系统配置、 系统压力、部署地点限制、运营需要。多个应用系统可以是提供数据资源、互联网资源等信息的管理平台,例如 网站等系统,可以为用户提供统一的用户界面,提供互联网信息资源及相关信 息服务。在多认证中心的情况下,每个认证中心可以负责一个或者多个应用系统的 登录管理。对于每个应用系统,可以选择归属于其中一个认证中心。实施中, 对于应用系统来说,可以采用事先配置的方法,或者是在用户登录过程中采用 一定算法临时确定归属的认证中心。本发明实施例中,为一级应用系统设置一个统一的一级认证中心,为二级 应用系统:没置对应归属的多个二级认证中心,用户可以在多级应用系统多个^人 证中心并存情况下实施单点登录过程,具体实施时,确定请求登录第一应用系 统的用户未在其它应用系统登录;当第一应用系统为一级应用系统时,则由一 级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证 通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;当第一应 用系统为二级应用系统时,则由第 一应用系统归属的二级i人i正中心对用户登录 信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;第 一应用系统按用户身份令牌向用户提供服务页面,从而通过在多级应用系统中部署多个认证中心,对认证进行分级管理,分流用户单点登录时的数据流,有 效分散系统压力,解决了以往单一公共认证中心存在的系统压力集中、不能分散部署等问题;不仅可以适用于大用户量系统,还可以适应不同场景的需要, 具有广泛的应用前景。本发明实施例方法还具备良好的安全性。认证中心在向应用系统提供用户 身份令牌时,可以不在跳转过程中直接采用参数传递,而是先给应用系统发一 个用户身份令牌编号,由应用系统根据用户身份令牌编号,通过后台向认证中 心提取用户身份令牌,从而避免用户身份令牌被截获、篡改等安全问题。显然,本领域的技术人员可以对本发明进行各种改动和变形而不脱离本发 明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求 及其等同技术的范围之内,则本发明也意图包含这些改动和变形在内。
权利要求
1、一种单点登录方法,其特征在于,该方法包括确定请求登录第一应用系统的用户未在其它应用系统登录;当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;当第一应用系统为二级应用系统时,则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;第一应用系统按用户身份令牌向用户提供服务页面。
2、 如权利要求1所述的方法,其特征在于,二级认证中心对用户登录信 息进行认证包括二级认证中心将用户登录信息交由关联的用户认证服务器进行认证。
3、 如权利要求1或2所述的方法,其特征在于,该方法进一步包括 确定请求登录第二应用系统的用户已在至少一个应用系统登录; 第二应用系统按从所述一级认证中心获取的用户身份令牌,向用户提供服务页面。
4、 如权利要求3所述的方法,其特征在于,当第一应用系统为二级应用 系统时,则所述从一级认证中心获取用户身份令牌包括一级认证中心存储有第 一应用系统归属的二级认证中心在第 一次认证后 提交的用户身份令牌,在接收到第二应用系统获取用户身份令牌的请求后,直 接提供所存储的用户身份令牌;或, 一级认证中心接收到获取第二应用系统获取用户身份令牌的请求后, 从所述第一应用系统归属的二级认证中心获取用户身份令牌。
5、 一种单点登录系统,其特征在于,包括多个应用系统,其中包括一级应用系统和二级应用系统,用于接收用户的登录请求,按用户身份令牌向用户提供服务页面;一级认证中心,用于在确定请求登录一级应用系统的用户未在其它应用系 统登录时,将用户登录信息提供给用户归属的二级认证中心进行认证;以及, 在认证通过后生成用户身份令牌并提供给用户请求登录的一级应用系统;多个二级认证中心,用于在确定请求登录二级应用系统的用户未在其它应 用系统登录时,对用户登录信息进行认证;以及,在认证通过后生成用户身份 令牌并提供给用户请求登录的二级应用系统。
6、 如权利要求5所述的系统,其特征在于,还包括 多个用户认证服务器,分别与关联的二级认证中心相连,用于接收关联的二级认证中心提交的用户登录信息并进行验证。
7、 如权利要求5或6所述的系统,其特征在于, 一级认证中心进一步用 于在确定请求登录一级应用系统的用户已首先在其它应用系统登录时,将用 户身份令牌提供给用户请求登录的一级应用系统;二级认证中心进一步用于在确定请求登录二级应用系统的用户已首先在 其它应用系统登录时,从一级认证中心获取用户身份令牌并提供给用户请求登 录的二级应用系统。
8、 如权利要求7所述的系统,其特征在于,二级认证中心进一步用于将 生成的用户身份令牌提交给一级认证中心进行存储。
9、 如权利要求7所述的系统,其特征在于, 一级认证中心进一步用于查 询用户归属的二级认证中心生成的用户身份令牌。
全文摘要
本发明公开了一种单点登录方法,该方法包括确定请求登录第一应用系统的用户未在其它应用系统登录;当第一应用系统为一级应用系统时,则由一级认证中心将用户登录信息提供给用户关联的二级认证中心进行认证;在认证通过后,由一级认证中心生成用户身份令牌并提供给第一应用系统;当第一应用系统为二级应用系统时则由第一应用系统归属的二级认证中心对用户登录信息进行认证,并在认证通过后,生成用户身份令牌提供给第一应用系统;第一应用系统按用户身份令牌向用户提供服务页面。本发明同时公开一种单点登录系统。采用本发明可以对认证进行分级管理,并有效分散系统压力。
文档编号H04L29/06GK101626369SQ200810116578
公开日2010年1月13日 申请日期2008年7月11日 优先权日2008年7月11日
发明者兰建明, 唐华斌, 宁 安, 张莹莹, 翔 段, 滨 滕 申请人:中国移动通信集团公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:兰建明;唐华斌;安宁;段翔;张莹莹;滕滨
  • 技术所有人:中国移动通信集团公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
sso单点登录系统相关技术
圆通单点登录系统相关技术
单点登录系统相关技术
天狮集团单点登录系统相关技术
天狮单点登录系统相关技术
圆通sso单点登录系统相关技术
国信证券单点登录系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2