应用系统登录账号的管理方法及装置的制造方法
【技术领域】
[0001] 本发明涉及账号管理技术领域,具体而言,涉及一种应用系统登录账号的管理方 法和一种应用系统登录账号的管理装置。
【背景技术】
[0002] 统一账号系统、单点登录已经提出很多年,且这一领域已经形成了相关标准化协 议,主要有基于kerberos (-种网络认证协议)协议和基于客户端证书两种。从2012年开 始OAuth(Open Authorization,开放协议)协议也逐渐兴起,并形成了诸多公众账号系统, 比如QQ、微信、微博账号系统。
[0003] 相对于Kerberos,OAuth协议(授权码流程)的优势在于互联网友好,首先它完 全基于HTTP(HyperText Transfer Protocol,超文本传输协议)协议和浏览器,而不是 Kerberos的TCP协议。其次,OAuth协议提供用户逐项授权的能力,比如允许应用访问昵 称、访问好友或者访问头像等,而不是Kerberos这种仅认证协议。
[0004] 但是OAuth也存在一些不足,它不能进行认证的级联。比如仅仅使用OAuth协议, 虽然可以实现一个应用接入多套公众账号系统。但集团内多个应用接入多套公众账号系统 时需要每个应用逐一实现,而不能统一实现。
[0005] 除了工作量问题,根据现有的公众账号系统往往实现了 OpenID,即同一个用户通 过公众账号系统登录到不同的应用,应用获得的OpenID不同。比如张三使用自己的QQ账 号登录A网站,A网站获得的OpenID是12345 ;而当他用自己的QQ登录B网站后,B网站获 得的OpenID为ab234 ;A网站和B网站无法通过OpenID判定是同一人,不便于后期对用户 行为进行分析。
[0006] 因此,如何能够将多个应用(如整个集团的诸多应用)统一接入公众账号系统,避 免每个应用独立建立与公众账号系统之间的连接而导致无法对多个应用进行统一管理成 为亟待解决的技术问题。
【发明内容】
[0007] 本发明正是基于上述技术问题至少之一,提出了一种新的应用系统登录账号的管 理方案,实现了由集团统一账号系统将多个应用统一接入公众账号系统,避免了每个应用 单独建立与公众账号系统之间的连接而导致OpenID较多而不便于分析用户行为的问题。
[0008] 有鉴于此,本发明提出了一种应用系统登录账号的管理方法,包括:集团统一账号 系统在接收到任一应用系统发送的通过公众账号进行登录的请求时,根据所述集团统一账 号系统向所述任一应用系统分配的第一登录信息和公众账号系统向所述集团统一账号系 统分配的第二登录信息,向所述公众账号系统发送认证请求;在所述公众账号系统向所述 集团统一账号系统发送认证成功的反馈信息后,所述集团统一账号系统向所述公众账号系 统发送访问令牌请求,以使所述公众账号系统反馈第一访问令牌信息;所述集团统一账号 系统根据接收到的所述第一访问令牌信息生成对所述任一应用系统进行认证的第二访问 令牌信息,并向所述任一应用系统反馈认证和授权结果。
[0009] 在该技术方案中,集团统一账号系统通过在接收到任一应用系统发送的通过公众 账号进行认证的请求时,根据上述第一登录信息和第二登录信息向公众账号系统发送登录 请求,并接收公众账号系统反馈的第一访问令牌信息,以及向该任一应用系统反馈认证和 授权结果,使得多个应用系统在通过公众账号进行登录时,可以由集团统一账号系统统一 与公众账号系统进行交互,节省了集团内多个应用系统逐个接入公众账号系统的工作量, 同时也避免了多个应用系统逐个接入公众账号系统导致OpenID较多而不便于分析用户行 为的问题;此外,由于多个应用系统可以采用统一的登录认证界面,因此也便于用户使用和 记忆密码,有利于提升用户的使用体验。
[0010] 在上述技术方案中,优选地,还包括:所述集团统一账号系统在接收到所述任一应 用系统发送的申请和注册请求时,向所述任一应用系统分配所述第一登录信息;所述集团 统一账号系统向所述公众账号系统发送申请和注册请求,以使所述公众账号系统分配所述 第二登录?目息。
[0011] 在上述技术方案中,优选地,所述第一登录信息包括:所述任一应用系统的唯一标 识、对应于所述任一应用系统的唯一标识的密钥,以及回调地址信息;所述第二登录信息包 括:所述集团统一账号系统的唯一标识、对应于所述集团统一账号系统的唯一标识的密钥, 以及回调地址信息。
[0012] 在上述技术方案中,优选地,所述集团统一账号系统根据接收到的所述第一访问 令牌信息生成对所述任一应用系统进行认证的第二访问令牌信息的步骤具体包括:对所述 第一访问令牌信息进行对称加密,得到所述第二访问令牌信息;或生成随机数,将所述随机 数作为所述第二访问令牌信息,其中,所述集团统一账号系统可根据所述随机数确定所述 第一访问令牌信息。
[0013] 在上述技术方案中,优选地,在所述任一应用系统认证和授权成功之后,还包括: 所述任一应用系统通过所述集团统一账号系统访问所述公众账号系统中的资源。
[0014] 在该技术方案中,应用系统通过集团统一账号系统访问公众账号系统中的资源, 实现了由集团统一账号系统对多个应用系统与公众账号系统之间的资源交互管理,避免了 多个应用系统逐个接入公众账号系统导致OpenID较多而不便于分析用户行为的问题。
[0015] 根据本发明的另一方面,还提出了一种应用系统登录账号的管理装置,包括:交 互单元,用于集团统一账号系统在接收到任一应用系统发送的通过公众账号进行登录的请 求时,根据所述集团统一账号系统向所述任一应用系统分配的第一登录信息和公众账号系 统向所述集团统一账号系统分配的第二登录信息,向所述公众账号系统发送认证请求;请 求发送单元,用于在所述公众账号系统向所述集团统一账号系统发送认证成功的反馈信息 后,所述集团统一账号系统向所述公众账号系统发送访问令牌请求,以使所述公众账号系 统反馈第一访问令牌信息;处理单元,用于所述集团统一账号系统根据接收到的所述第一 访问令牌信息生成对所述任一应用系统进行认证的第二访问令牌信息,并向所述任一应用 系统反馈认证和授权结果。
[0016] 在该技术方案中,集团统一账号系统通过在接收到任一应用系统发送的通过公众 账号进行认证的请求时,根据上述第一登录信息和第二登录信息向公众账号系统发送登录 请求,并接收公众账号系统反馈的第一访问令牌信息,以及向该任一应用系统反馈认证和 授权结果,使得多个应用系统在通过公众账号进行登录时,可以由集团统一账号系统统一 与公众账号系统进行交互,节省了集团内多个应用系统逐个接入公众账号系统的工作量, 同时也避免了多个应用系统逐个接入公众账号系统导致OpenID较多而不便于分析用户行 为的问题;此外,由于多个应用系统可以采用统一的登录认证界面,因此也便于用户使用和 记忆密码,有利于提升用户的使用体验。
[0017] 在上述技术方案中,优选地,还包括:分配单元,用于所述集团统一账号系统在接 收到所述任一应用系统发送的申请和注册请求时,向所述任一应用系统分配所述第一登录 信息,并用于所述集团统一账号系统向所述公众账号系统发送申请和注册请求,以使所述 公众账号系统分配所述第二登录信息。
[0018] 在上述技术方案中,优选地,所述第一登录信息包括:所述任一应用系统的唯一标 识、对应于所述任一应用系统的唯一标识的密钥,以及回调地址信息;所述第二登录信息包 括:所述集团统一账号系统的唯一标识、对应