一種跨網(wǎng)站服務器的登錄認證方法
【專利摘要】本發(fā)明公布了一種跨網(wǎng)站服務器的登錄認證方法�����,包括以下步驟:S1生成密鑰文件對��;S2將B網(wǎng)站的入口地址改造為A網(wǎng)站域內(nèi)地址�,A網(wǎng)站對用戶身份校驗�����;S3當不是A網(wǎng)站的用戶時,將B網(wǎng)站的入口地址返回給用戶瀏覽器���,要求重定向����;S4當是A網(wǎng)站的用戶時���,根據(jù)會話ID生成標識符UUID���,其與用戶登錄賬號組成用戶信息字符串;S5利用私鑰文件對用戶信息字符串加密�����,并將瀏覽器重定向到B網(wǎng)站的入口地址�����;S6 B網(wǎng)站提取請求中的UUID并判斷其有效性��;S7若有效��,則用公鑰文件對密文解密得到用戶的會話ID及登錄賬號;S8若無效���,則B網(wǎng)站將當前用戶作為普通未登錄用戶處理��。本發(fā)明實現(xiàn)在不同的網(wǎng)站服務器之間安全經(jīng)濟的共享用戶登錄信息���。
【專利說明】—種跨網(wǎng)站服務器的登錄認證方法
【技術領域】
[0001]本發(fā)明屬于網(wǎng)站設計開發(fā)領域,是一種服務器對用戶會話的識別和標記技術���。
【背景技術】
[0002]隨著web2.0技術的普及��,大量企業(yè)都將自己的業(yè)務及工作流程放到網(wǎng)站上實現(xiàn)���,以達到高效、規(guī)范的辦公能力�。隨著企業(yè)的發(fā)展,這種業(yè)務系統(tǒng)的企業(yè)級架構會越來越復雜��,不同子系統(tǒng)的開發(fā)可能由不同的部門主導����。這些子系統(tǒng)的設計實現(xiàn)往往存在較大的差異����,且實現(xiàn)技術��、開發(fā)語言甚至服務器所處地理位置也不相同�,這種差異性導致各網(wǎng)站子系統(tǒng)之間數(shù)據(jù)的標準化及共享成為一個難題�。其中最困擾企業(yè)及開發(fā)者的問題在于,用戶在各個網(wǎng)站子系統(tǒng)之間跳轉(zhuǎn)時�,為了保證用戶數(shù)據(jù)的安全性,用戶需要多次輸入賬號密碼進行重登錄����,這種在一個網(wǎng)站系統(tǒng)內(nèi)部,反復多次的要求用戶登錄自己賬號的做法給用戶帶來了極差的使用體驗���。更有甚者��,同一個用戶在不同的子系統(tǒng)上賬號和密碼都不一致�,需要用戶記憶多套賬號密碼��。
[0003]為了應對這種跨網(wǎng)站服務器系統(tǒng)的用戶身份識別問題��,目前主流的做法是采用以OpenSSO為代表的單點登錄系統(tǒng)(SSO)����。單點登錄是目前比較流行的解決企業(yè)業(yè)務整合的方案之一�����,主要就是用于解決上面提到的問題���,使用戶在復雜網(wǎng)站系統(tǒng)中只需要登錄一次就可以訪問所有相互信任的子應用系統(tǒng)。但是單點登錄系統(tǒng)也存在一些問題�,表現(xiàn)在,第一���、需要單獨部署認證服務器��,對架構略微簡單的網(wǎng)站系統(tǒng)來講�����,這樣做增加了經(jīng)濟預算也增加了維護成本�����;第二�����、如果不是在整個企業(yè)級系統(tǒng)一開始設計時就考慮到單點登錄機制����,而是在現(xiàn)有各子系統(tǒng)整合過程中加入���,則需要對現(xiàn)有生產(chǎn)環(huán)境上的子系統(tǒng)進行重構���,對用戶認證模塊重寫,這樣做花費的精力較大����,且存在系統(tǒng)升級風險。
【發(fā)明內(nèi)容】
[0004]為解決上述問題�����,本發(fā)明提供一種跨網(wǎng)站服務器的登錄認證方法��。
[0005]技術方案:一種跨網(wǎng)站服務器的登錄認證方法����,假設存在兩個網(wǎng)站服務器,A網(wǎng)站和B網(wǎng)站�����,并分別部署于不同的網(wǎng)絡環(huán)境,其特征在于���,包括以下步驟:
[0006]S1.通過openssl生成密鑰文件對���,將私鑰文件部署在A網(wǎng)站,將公鑰文件部署在B網(wǎng)站�;
[0007]S2.將跳入B網(wǎng)站的入口地址改造成為A網(wǎng)站域內(nèi)地址,用戶在頁面上向B網(wǎng)站跳轉(zhuǎn)時��,請求首先發(fā)到A網(wǎng)站�,A網(wǎng)站對所述用戶身份進行校驗;
[0008]S3.當步驟S2的所述校驗結果為用戶不是登錄A網(wǎng)站的用戶時��,將B網(wǎng)站的入口地址返回給用戶瀏覽器���,要求瀏覽器重定向�;
[0009]S4.當步驟S2的所述校驗結果為用戶是登錄A網(wǎng)站的用戶時�����,根據(jù)當前用戶的會話ID���,生成一個唯一標識符UUID�����,將所述UUID與用戶登錄賬號組合成用戶信息字符串�����;
[0010]S5.利用步驟SI所述私鑰文件對步驟S4所述用戶信息字符串加密形成密文�,所述密文作為URL參數(shù)傳回用戶瀏覽器�����,并通知瀏覽器帶上密文參數(shù)重定向到B網(wǎng)站的入口地址����;
[0011]S6.B網(wǎng)站提取請求中的UUID,并判斷所述UUID的有效性�����;
[0012]S7.若步驟S6的所述判斷結果為用戶是A網(wǎng)站的合法用戶�,則通過步驟SI的所述公鑰文件,對用戶信息密文做解密操作����,得到用戶的會話ID及登錄賬號���,將用戶會話標識為登錄狀態(tài),并根據(jù)該賬號的權限為其分配相應的操作權限��;
[0013]S8.若步驟S6的所述判斷結果為用戶不是A網(wǎng)站的合法用戶����,B網(wǎng)站將當前用戶作為普通未登錄用戶處理。
[0014]進一步的,步驟SI所述的通過openssl生成密鑰文件對時,采用的算法為RSA算法����。
[0015]進一步的,步驟S2所述的A網(wǎng)站對用戶身份進行校驗的校驗內(nèi)容包括:用戶是否是A
[0016]網(wǎng)站的登錄用戶�,登錄名是什么。
[0017]進一步的����,步驟S4所述的UUID存放于A網(wǎng)站自身的緩存系統(tǒng),設置其狀態(tài)為有效����,并設置5秒超時時限。步驟S6判斷所述UUID的有效性是根據(jù)步驟S4所述的狀態(tài)有效性與所述時限來判定的�,若步驟S6中B網(wǎng)站提取請求中的UUID在A網(wǎng)站中的狀態(tài)有效且未超時���,則判斷結果為用戶是A網(wǎng)站的合法用戶,否則判斷結果為用戶不是A網(wǎng)站的合法用戶�����。
[0018]進一步的�����,在所述步驟S6與所述步驟S7之間還要進行以下操作����,A網(wǎng)站將存儲其內(nèi)的UUID標識為無效��,或直接刪除���。
[0019]進一步的���,所述B網(wǎng)站的入口地址在HTTPS的保護下,以避免用戶信息被惡意截取����。
[0020]由于采用了上述技術方案�����,本發(fā)明具有以下有益效果:
[0021](I)滿足用戶的會話跨服務器登錄的需求�;
[0022](2)安全的傳遞用戶隱私數(shù)據(jù)�,能夠既不影響用戶的上網(wǎng)體驗,又保證用戶數(shù)據(jù)在跨服務器傳輸時安全可靠����;
[0023](3)既避免了現(xiàn)有技術中需要增加經(jīng)濟成本部署龐大的單點登錄服務器,又避免了對現(xiàn)有網(wǎng)站服務器系統(tǒng)進行較大的改造����,并且在實現(xiàn)登錄認證的過程中對A、B網(wǎng)站的域名沒有特殊要求���;
[0024](4)既能滿足同一企業(yè)級架構下不同子系統(tǒng)間的通信要求���,又能滿足兩個完全獨立網(wǎng)站之間的跨站點用戶識別,快速適應企業(yè)網(wǎng)站應用的需求�����,節(jié)約成本���。
【專利附圖】
【附圖說明】
[0025]圖1是本發(fā)明的流程示意圖�����;
[0026]圖2是B網(wǎng)站識別A網(wǎng)站登錄用戶認證的時序關系圖���。
【具體實施方式】
[0027]在介紹本發(fā)明的具體實施例之前�,先對本發(fā)明欲實現(xiàn)的功能需求作一簡單介紹���。
[0028]在大多數(shù)應用場合�,實際需求只需要用戶從一個已登錄站點到達另一個未登錄站點時�����,未登錄站點能夠識別出用戶在上個站點中的用戶身份�����。對于存在這種需求的應用場景�,具備以下特征:
[0029]1.用戶在兩個網(wǎng)站系統(tǒng)中具有相同的賬號密碼��;
[0030]I1.在兩個網(wǎng)站系統(tǒng)中����,用戶的會話信息不需要共享���,僅僅提供用戶身份(賬號)識別能力即可;
[0031]II1.在大多數(shù)情況中���,這種身份識別是單向的���,即只需要支持從A網(wǎng)站到達B網(wǎng)站時,B網(wǎng)站能夠辨識用戶是否在A上做過登錄�����,且得到用戶的身份信息即可�����;
[0032]IV.至于用戶在A網(wǎng)站上有沒有登出系統(tǒng)��,B網(wǎng)站并不關心��,B網(wǎng)站對A網(wǎng)站的登錄認證過程完全信任���,用戶從A網(wǎng)站登出后��,任然可以在B網(wǎng)站進行各項基于身份認證的業(yè)務操作�����。
[0033]為了滿足具有上述特征的需求���,本發(fā)明設計了一種跨網(wǎng)站服務器的登錄認證方法���,并且該方法是基于RSA算法及SSL協(xié)議,同時解決了現(xiàn)有技術中引入單點登錄系統(tǒng)的成本和安全風險的問題����。
[0034]下面結合附圖對本實施例作進一步說明。
[0035]假設用戶從A網(wǎng)站到B網(wǎng)站需要傳遞身份認證信息�,即應用場景中存在兩個網(wǎng)站服務器系統(tǒng),A網(wǎng)站和B網(wǎng)站���,用戶經(jīng)常訪問A網(wǎng)站,偶爾需要進入B網(wǎng)站尋求服務�,A網(wǎng)站和B網(wǎng)站部署于不同的網(wǎng)絡環(huán)境,B網(wǎng)站需要知道用戶是否在A網(wǎng)站進行過登錄���,如果登錄則需要知道用戶的登錄賬號���,并以該賬號作為憑證�,向用戶提供服務��。
[0036]如圖1所示�����,一種跨網(wǎng)站服務器的登錄認證方法�����,包括如下步驟:
[0037]S1.首先安裝OpenSSL軟件���,用RSA協(xié)議生成密鑰文件對����,該密鑰文件對用于A網(wǎng)站系統(tǒng)和B網(wǎng)站系統(tǒng)進行參數(shù)加解密使用���,將私鑰文件部署于A網(wǎng)站�,將公鑰文件部署于B網(wǎng)站��。
[0038]根據(jù)需要,為B網(wǎng)站申請數(shù)字證書�,用于保護用戶到B網(wǎng)站的通信過程。
[0039]S2.A網(wǎng)站中����,跳入B網(wǎng)站的入口地址改造成為A網(wǎng)站域內(nèi)地址,從A網(wǎng)站上跳轉(zhuǎn)B網(wǎng)站的超鏈接地址不直接指向B網(wǎng)站�,改為指向A網(wǎng)站的一個處理用戶跳轉(zhuǎn)的URL地址。用戶需要向B網(wǎng)站跳轉(zhuǎn)時��,不是直接通過瀏覽器跳轉(zhuǎn)�,而是請求A網(wǎng)站的地址,由A網(wǎng)站對其進行請求重定向���。
[0040]S3.用戶在A網(wǎng)站未登錄情況下����,向B網(wǎng)站跳轉(zhuǎn)�����;
[0041]A網(wǎng)站判斷到用戶是未登錄用戶�����,簡單將B網(wǎng)站入口地址返回給用戶瀏覽器��,要求瀏覽器側(cè)重定向即可��,此時B網(wǎng)站會將該用戶作為普通未登錄用戶處理��。
[0042]S4.用戶在A網(wǎng)站登錄成功情況下����,向B網(wǎng)站跳轉(zhuǎn);
[0043]A網(wǎng)站判斷當前用戶是其自身登錄用戶后����,根據(jù)當前用戶的會話ID,生成一個唯一標識符(UUID)���,將UUID與用戶登錄賬號(或其他A���、B服務器之間共同協(xié)商的信息)組合成用戶信息字符串。A網(wǎng)站將該UUID存放于自身的緩存系統(tǒng)�,設置狀態(tài)為有效,并設置5秒超時時間(該時間參數(shù)可根據(jù)需要調(diào)整)�����。
[0044]S5.然后A網(wǎng)站利用部署于自身設備的私鑰文件對步驟S4中的用戶信息字符串進行加密,將加密后的密文作為URL參數(shù)傳回用戶瀏覽器�,并通知瀏覽器帶上密文參數(shù)重定向到B網(wǎng)站的入口地址。B網(wǎng)站獲取到請求后�,發(fā)現(xiàn)請求信息中帶有UUID參數(shù)及用戶信息密文,判斷當前用戶是在A網(wǎng)站中的登錄用戶�����。
[0045]S6.B網(wǎng)站提取請求中的UUID��,將其發(fā)送到A網(wǎng)站的認證接口判斷該UUID的有效性��;
[0046]該判斷結束之后����,即UUID在A網(wǎng)站進行驗證后,無論有效或無效���,A網(wǎng)站都會將其標識為無效�����,或直接刪除該UUID標記����,避免該UUID被重復利用。
[0047]S7.如果步驟S6中的UUID在A網(wǎng)站上沒有超時���,且狀態(tài)為有效,則認為該用戶是A網(wǎng)站的合法用戶��,B網(wǎng)站通過部署于自身服務器上的公鑰文件�����,對用戶信息密文做解密操作��,得到用戶在A網(wǎng)站上登錄的賬號�,將該用戶會話表示為已登錄狀態(tài),并根據(jù)自身服務器設置為當前用戶授予適配的權限�。
[0048]S8.如果步驟S6的判定結果為該用戶不是A網(wǎng)站的合法用戶,則B網(wǎng)站將當前用戶作為普通未登錄用戶處理�����。
[0049]至此�,用戶完成了從A網(wǎng)站到B網(wǎng)站的跨網(wǎng)站服務器登錄認證,在B網(wǎng)站上實現(xiàn)了登錄狀態(tài)標識���,并獲取B網(wǎng)站的后續(xù)服務���。另外����,本發(fā)明中�����,B網(wǎng)站的認證入口地址��,在HTTPS的保護下����,避免了用戶信息被惡意截取。
[0050]如圖2所示����,是用戶成功從A網(wǎng)站登錄認證到B網(wǎng)站(即用戶是A網(wǎng)站的合法用戶并需要訪問B網(wǎng)站的情況)的時序關系圖,如下:
[0051]第一步:請求從A網(wǎng)站跳轉(zhuǎn)至B網(wǎng)站�;
[0052]第二步:通過Sess1nId生成并緩存UUID ;
[0053]第三步:構造用戶信息并用私鑰加密�;
[0054]第四步:為用戶生成重定向地址;
[0055]第五步:根據(jù)A網(wǎng)站的重定向地址請求B網(wǎng)站��;
[0056]第六步:對UUID的有效性進行認證���;
[0057]第七步:UUID認證成功����;
[0058]第八步:通過公鑰解密用戶信息;
[0059]第九步:標示用戶身份并記錄會話��;
[0060]第十步:提供登錄用戶服務���。
[0061]以上實施方式列舉了從A網(wǎng)站到B網(wǎng)站的單向用戶跨服務器登錄認證過程,也可以根據(jù)需要�,對稱的實現(xiàn)B網(wǎng)站到A網(wǎng)站的用戶跨服務器登錄認證過程,以滿足站點間的雙向跨服務器登錄認證需求���。本發(fā)明是基于現(xiàn)有RSA���、HTTPS協(xié)議基礎上的交互機制,與具體的編程語言無關�。
[0062]綜上,本發(fā)明在滿足用戶會話跨服務器登錄的需求時��,既避免了增加經(jīng)濟成本部署龐大的單點登錄服務器����,又避免了對現(xiàn)有網(wǎng)站服務器系統(tǒng)進行較大的改造�,并且對A����、B網(wǎng)站的域名沒有特殊要求;既能滿足同一企業(yè)級架構下不同子系統(tǒng)間的通信要求�����,又能滿足兩個完全獨立網(wǎng)站之間的跨站點用戶識別�,快速適應企業(yè)網(wǎng)站應用的需求,節(jié)約成本����。
[0063]本領域的普通技術人員將會意識到,這里所述的實施例是為了幫助讀者理解本發(fā)明的原理��,應被理解為本發(fā)明的保護范圍并不局限于這樣的特別陳述和實施例����。本領域的普通技術人員可以根據(jù)本發(fā)明公開的這些技術啟示做出各種不脫離本發(fā)明實質(zhì)的其它各種具體變形和組合,這些變形和組合仍然在本發(fā)明的保護范圍內(nèi)��。
【權利要求】
1.一種跨網(wǎng)站服務器的登錄認證方法����,假設存在兩個網(wǎng)站服務器�����,A網(wǎng)站和B網(wǎng)站�,并分別部署于不同的網(wǎng)絡環(huán)境���,其特征在于����,包括以下步驟: 51.通過openssl生成密鑰文件對����,將私鑰文件部署在A網(wǎng)站�,將公鑰文件部署在B網(wǎng)站; 52.將跳入B網(wǎng)站的入口地址改造成為A網(wǎng)站域內(nèi)地址�,用戶在頁面上向B網(wǎng)站跳轉(zhuǎn)時,請求首先發(fā)到A網(wǎng)站����,A網(wǎng)站對所述用戶身份進行校驗; 53.當步驟S2的所述校驗結果為用戶不是登錄A網(wǎng)站的用戶時�����,將B網(wǎng)站的入口地址返回給用戶瀏覽器,要求瀏覽器重定向�; 54.當步驟S2的所述校驗結果為用戶是登錄A網(wǎng)站的用戶時,根據(jù)當前用戶的會話ID,生成一個唯一標識符UUID�����,將所述UUID與用戶登錄賬號組合成用戶信息字符串���; 55.利用步驟SI所述私鑰文件對步驟S4所述用戶信息字符串加密形成密文��,所述密文作為URL參數(shù)傳回用戶瀏覽器�,并通知瀏覽器帶上密文參數(shù)重定向到B網(wǎng)站的入口地址���; 56.B網(wǎng)站提取請求中的UUID�����,并判斷所述UUID的有效性��; 57.若步驟S6的所述判斷結果為用戶是A網(wǎng)站的合法用戶��,則通過步驟SI的所述公鑰文件��,對用戶信息密文做解密操作����,得到用戶的會話ID及登錄賬號,將用戶會話標識為登錄狀態(tài)�����,并根據(jù)該賬號的權限為其分配相應的操作權限��; 58.若步驟S6的所述判斷結果為用戶不是A網(wǎng)站的合法用戶��,B網(wǎng)站將當前用戶作為普通未登錄用戶處理���。
2.根據(jù)權利要求1所述的一種跨網(wǎng)站服務器的登錄認證方法�,其特征在于:步驟SI所述的通過openssl生成密鑰文件對時���,采用的算法為RSA算法。
3.根據(jù)權利要求1所述的一種跨網(wǎng)站服務器的登錄認證方法����,其特征在于,步驟S2所述的A網(wǎng)站對用戶身份進行校驗的校驗內(nèi)容包括:用戶是否是A網(wǎng)站的登錄用戶���,登錄名是什么�。
4.根據(jù)權利要求1所述的一種跨網(wǎng)站服務器的登錄認證方法,其特征在于:步驟S4所述的UUID存放于A網(wǎng)站自身的緩存系統(tǒng)��,設置其狀態(tài)為有效�,并設置5秒超時時限。
5.根據(jù)權利要求4所述的一種跨網(wǎng)站服務器的登錄認證方法��,其特征在于:步驟S6判斷所述UUID的有效性是根據(jù)步驟S4所述的狀態(tài)有效性與所述時限來判定的�,若步驟S6中B網(wǎng)站提取請求中的UUID在A網(wǎng)站中的狀態(tài)有效且未超時,則判斷結果為用戶是A網(wǎng)站的合法用戶�,否則判斷結果為用戶不是A網(wǎng)站的合法用戶。
6.根據(jù)權利要求1所述的一種跨網(wǎng)站服務器的登錄認證方法���,其特征在于:在所述步驟S6與所述步驟S7之間還要進行以下操作��,A網(wǎng)站將存儲其內(nèi)的UUID標識為無效���,或直接刪除。
7.根據(jù)權利要求1所述的一種跨網(wǎng)站服務器的登錄認證方法���,其特征在于:所述B網(wǎng)站的入口地址在HTTPS的保護下�,以避免用戶信息被惡意截取��。
【文檔編號】H04L29/06GK104243488SQ201410513419
【公開日】2014年12月24日 申請日期:2014年9月29日 優(yōu)先權日:2014年9月29日
【發(fā)明者】蔡淼 申請人:成都西山居互動娛樂科技有限公司