一種跨網(wǎng)段的統(tǒng)一身份認(rèn)證方法技術(shù)

本發(fā)明專利技術(shù)涉及一種跨網(wǎng)段的統(tǒng)一身份認(rèn)證方法，屬于身份認(rèn)證技術(shù)領(lǐng)域。該方法包括按照（1）網(wǎng)段配置：在統(tǒng)一身份認(rèn)證系統(tǒng)中，配置工作的網(wǎng)段以及各網(wǎng)段的訪問入口；（2）系統(tǒng)配置：在統(tǒng)一身份認(rèn)證系統(tǒng)和業(yè)務(wù)系統(tǒng)中分別完成對(duì)接配置；（3）身份認(rèn)證：分別對(duì)應(yīng)用戶首先訪問統(tǒng)一身份認(rèn)證系統(tǒng)和首先訪問業(yè)務(wù)系統(tǒng)兩種情況進(jìn)行相應(yīng)的認(rèn)證。本發(fā)明專利技術(shù)可以同一業(yè)務(wù)系統(tǒng)被跨網(wǎng)段訪問的情況下，使用同一個(gè)認(rèn)證系統(tǒng)，提供統(tǒng)一身份認(rèn)證能力，自適應(yīng)的完成用戶的身份認(rèn)證過程，而無需開發(fā)，并在不同網(wǎng)段部署多套認(rèn)證系統(tǒng)。本發(fā)明專利技術(shù)對(duì)比現(xiàn)有技術(shù)方案，顯著降低了統(tǒng)一認(rèn)證系統(tǒng)開發(fā)、部署、管理、運(yùn)維成本，提高了業(yè)務(wù)系統(tǒng)的對(duì)接效率，易于推廣應(yīng)用。易于推廣應(yīng)用。易于推廣應(yīng)用。

【技術(shù)實(shí)現(xiàn)步驟摘要】
一種跨網(wǎng)段的統(tǒng)一身份認(rèn)證方法


[0001]本專利技術(shù)屬于身份認(rèn)證
，具體涉及一種跨網(wǎng)段的統(tǒng)一身份認(rèn)證方法。

技術(shù)介紹

[0002]隨著智能化、信息化水平的不斷提高，如今各規(guī)模企業(yè)也基于自己的業(yè)務(wù)發(fā)展需要，逐步建立起各自的軟件系統(tǒng)。一般地，各軟件系統(tǒng)都有自己獨(dú)立的身份認(rèn)證模塊，同一系統(tǒng)用戶需要在各系統(tǒng)之間來回反復(fù)多次執(zhí)行身份認(rèn)證操作，才能夠順利的訪問和使用各系統(tǒng)的業(yè)務(wù)功能，這勢必增加了管理成本，也影響了用戶體驗(yàn)。為了解決這一問題，OAuth、CAS等統(tǒng)一身份認(rèn)證技術(shù)逐漸被業(yè)界采納，用于解決跨系統(tǒng)的統(tǒng)一身份認(rèn)證問題，實(shí)現(xiàn)一套身份認(rèn)證系統(tǒng)、一組用戶身份信息對(duì)接多個(gè)業(yè)務(wù)系統(tǒng)。一次登錄，處處訪問，極大地降低了管理運(yùn)維成本，優(yōu)化了用戶交互流程。
[0003]但上述統(tǒng)一身份認(rèn)證方法，均需指定一個(gè)唯一固定的訪問入口，用于用戶身份認(rèn)證和業(yè)務(wù)系統(tǒng)對(duì)接。在一些企業(yè)中，由于信息安全和保密制度等原因，會(huì)劃分多個(gè)網(wǎng)絡(luò)地址段，并根據(jù)業(yè)務(wù)特點(diǎn)和安全要求，在每個(gè)網(wǎng)段上施加不同的安全策略。因此，同一業(yè)務(wù)系統(tǒng)可能需要在不同網(wǎng)段上暴露不同的訪問入口，即同一業(yè)務(wù)系統(tǒng)被跨網(wǎng)段訪問。在此類企業(yè)環(huán)境和網(wǎng)絡(luò)條件下，基于OAuth或CAS等的統(tǒng)一身份認(rèn)證系統(tǒng)，需要在不同網(wǎng)段上建立多個(gè)身份認(rèn)證系統(tǒng)，并在底層共享同一組用戶身份信息，才能夠?qū)崿F(xiàn)跨網(wǎng)段的統(tǒng)一身份認(rèn)證功能。這一方法，無論是從系統(tǒng)的開發(fā)部署，還是從管理運(yùn)維的角度上來看，復(fù)雜度高且經(jīng)濟(jì)性差，存在一定的弊端。因此如何克服現(xiàn)有技術(shù)的不足是目前身份認(rèn)證
亟需解決的問題。

技術(shù)實(shí)現(xiàn)思路

[0004]本專利技術(shù)的目的是為了解決現(xiàn)有技術(shù)的不足，提供一種跨網(wǎng)段的統(tǒng)一身份認(rèn)證方法。
[0005]為實(shí)現(xiàn)上述目的，本專利技術(shù)采用的技術(shù)方案如下：一種跨網(wǎng)段的統(tǒng)一身份認(rèn)證方法，包括如下步驟：步驟（1），網(wǎng)段配置：在統(tǒng)一身份認(rèn)證系統(tǒng)中，配置工作的網(wǎng)段以及各網(wǎng)段的訪問入口；步驟（2），系統(tǒng)配置：在統(tǒng)一身份認(rèn)證系統(tǒng)和業(yè)務(wù)系統(tǒng)中分別完成對(duì)接配置；（2.1）在統(tǒng)一身份認(rèn)證系統(tǒng)中，配置業(yè)務(wù)系統(tǒng)的名稱、描述，并配置業(yè)務(wù)系統(tǒng)在各網(wǎng)段的訪問入口信息，同時(shí)生成業(yè)務(wù)系統(tǒng)的身份令牌信息；（2.2）在業(yè)務(wù)系統(tǒng)中，配置（2.1）中由統(tǒng)一身份認(rèn)證系統(tǒng)生成的身份令牌信息，并配置統(tǒng)一身份認(rèn)證系統(tǒng)在各網(wǎng)段的訪問入口信息；步驟（3），身份認(rèn)證：（3.1）用戶首先訪問統(tǒng)一身份認(rèn)證系統(tǒng)：（3.1.1）統(tǒng)一身份認(rèn)證系統(tǒng)發(fā)現(xiàn)用戶身份尚未得到驗(yàn)證，將用戶訪問請(qǐng)求重定向
至身份認(rèn)證頁面；（3.1.2）用戶憑自己的身份憑據(jù)向統(tǒng)一身份認(rèn)證系統(tǒng)表明自己的身份；（3.1.3）統(tǒng)一身份認(rèn)證系統(tǒng)查驗(yàn)用戶身份憑據(jù)通過后，將用戶訪問請(qǐng)求重定向至業(yè)務(wù)系統(tǒng)選擇頁面；（3.1.4）用戶選擇需要訪問的業(yè)務(wù)系統(tǒng)，統(tǒng)一身份認(rèn)證系統(tǒng)根據(jù)用戶選擇的業(yè)務(wù)系統(tǒng)，查找業(yè)務(wù)系統(tǒng)在統(tǒng)一身份認(rèn)證系統(tǒng)中的配置信息，并根據(jù)用戶來訪的網(wǎng)段信息及統(tǒng)一身份認(rèn)證系統(tǒng)在該網(wǎng)段的入口信息，與（2.1）中業(yè)務(wù)系統(tǒng)的配置匹配后得到業(yè)務(wù)系統(tǒng)在該網(wǎng)段的訪問入口；統(tǒng)一身份認(rèn)證系統(tǒng)將用戶訪問請(qǐng)求重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在該網(wǎng)段下的授權(quán)頁面，并帶有業(yè)務(wù)系統(tǒng)在該網(wǎng)段下的重定向地址參數(shù)；（3.2）用戶首先訪問業(yè)務(wù)系統(tǒng)：（3.2.1）業(yè)務(wù)系統(tǒng)發(fā)現(xiàn)用戶身份尚未得到驗(yàn)證，根據(jù)用戶來訪的網(wǎng)段信息，查找統(tǒng)一認(rèn)證系統(tǒng)在該網(wǎng)段下的訪問入口，并將用戶的訪問請(qǐng)求重定向至該網(wǎng)段的統(tǒng)一身份認(rèn)證系統(tǒng)的身份認(rèn)證頁面，同時(shí)帶有業(yè)務(wù)系統(tǒng)在該網(wǎng)段下的重定向地址參數(shù)；（3.2.2）用戶憑自己的身份憑據(jù)向統(tǒng)一身份認(rèn)證系統(tǒng)表明自己的身份；（3.2.3）統(tǒng)一身份認(rèn)證系統(tǒng)查驗(yàn)用戶身份憑據(jù)通過后，將用戶訪問請(qǐng)求重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在該網(wǎng)段下的授權(quán)頁面，并帶有業(yè)務(wù)系統(tǒng)在該網(wǎng)段下的重定向地址參數(shù)；（3.3）用戶在統(tǒng)一身份認(rèn)證系統(tǒng)的授權(quán)頁面完成業(yè)務(wù)系統(tǒng)訪問授權(quán)，統(tǒng)一身份認(rèn)證系統(tǒng)根據(jù)業(yè)務(wù)系統(tǒng)在該網(wǎng)段下的重定向地址參數(shù)，將請(qǐng)求重定向至該網(wǎng)段下的業(yè)務(wù)系統(tǒng)，并附帶用戶的一次性授權(quán)碼參數(shù)；（3.4）業(yè)務(wù)系統(tǒng)使用用戶的一次性授權(quán)碼，和自己在統(tǒng)一身份認(rèn)證系統(tǒng)的令牌信息，從統(tǒng)一身份認(rèn)證系統(tǒng)獲取用戶的臨時(shí)身份令牌；（3.5）業(yè)務(wù)系統(tǒng)使用用戶的臨時(shí)身份令牌，從統(tǒng)一身份認(rèn)證系統(tǒng)獲取用戶信息，并進(jìn)行查驗(yàn)，查驗(yàn)通過后，向用戶返回認(rèn)證通過，并頒發(fā)臨時(shí)token或cookie，用戶據(jù)此開展后續(xù)業(yè)務(wù)活動(dòng)。
[0006]本專利技術(shù)中一次性授權(quán)碼是每次用戶顯式或隱式完成業(yè)務(wù)系統(tǒng)的訪問授權(quán)后，由統(tǒng)一身份認(rèn)證系統(tǒng)自動(dòng)隨機(jī)生成的。一次性授權(quán)碼用于臨時(shí)的表征用戶身份，常用于業(yè)務(wù)系統(tǒng)向統(tǒng)一認(rèn)證系統(tǒng)換取用戶的臨時(shí)身份令牌。一次性授權(quán)碼具有一定時(shí)長的有效期，至多使用一次，使用后即作廢。
[0007]進(jìn)一步，優(yōu)選的是，（3.1.2）、（3.2.2）中，身份憑據(jù)為賬號(hào)及對(duì)應(yīng)的密碼、手機(jī)號(hào)及對(duì)應(yīng)的短信驗(yàn)證碼、數(shù)字證書三種中的任一種。
[0008]進(jìn)一步，優(yōu)選的是，步驟（3.1）的具體方法為：用戶訪問統(tǒng)一身份認(rèn)證系統(tǒng)；統(tǒng)一身份認(rèn)證系統(tǒng)發(fā)現(xiàn)用戶尚未進(jìn)行身份認(rèn)證；統(tǒng)一身份認(rèn)證系統(tǒng)響應(yīng)用戶請(qǐng)求，重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在用戶所在網(wǎng)段的身份認(rèn)證頁面；用戶憑自己的身份憑據(jù)進(jìn)行系統(tǒng)登錄；統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)用戶身份憑據(jù)進(jìn)行查驗(yàn)；統(tǒng)一身份認(rèn)證系統(tǒng)查驗(yàn)通過后，響應(yīng)用戶請(qǐng)求，重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在用
戶所在網(wǎng)段的業(yè)務(wù)系統(tǒng)選擇頁面；用戶選擇待訪問的業(yè)務(wù)系統(tǒng)；統(tǒng)一身份認(rèn)證系統(tǒng)查詢?cè)摌I(yè)務(wù)系統(tǒng)在用戶所在網(wǎng)段下的訪問入口，用于生成業(yè)務(wù)系統(tǒng)的重定向參數(shù)；統(tǒng)一身份認(rèn)證系統(tǒng)響應(yīng)用戶請(qǐng)求，重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在用戶所在網(wǎng)段的授權(quán)頁面，同時(shí)帶有業(yè)務(wù)系統(tǒng)的重定向參數(shù)。
[0009]進(jìn)一步，優(yōu)選的是，步驟（3.2）的具體方法為：用戶訪問業(yè)務(wù)系統(tǒng)；業(yè)務(wù)系統(tǒng)發(fā)現(xiàn)用戶尚未進(jìn)行身份認(rèn)證；業(yè)務(wù)系統(tǒng)查詢統(tǒng)一身份認(rèn)證系統(tǒng)在用戶所在網(wǎng)段下的訪問入口，用于生成統(tǒng)一認(rèn)證系統(tǒng)在辦公網(wǎng)網(wǎng)段下授權(quán)頁面的重定向地址；業(yè)務(wù)系統(tǒng)響應(yīng)用戶請(qǐng)求，重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在用戶所在網(wǎng)段的身份認(rèn)證頁面，同時(shí)帶有業(yè)務(wù)系統(tǒng)在辦公網(wǎng)網(wǎng)段下的重定向參數(shù)；用戶憑自己的身份憑據(jù)進(jìn)行系統(tǒng)登錄；統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)用戶身份憑據(jù)進(jìn)行查驗(yàn)；統(tǒng)一身份認(rèn)證系統(tǒng)查驗(yàn)通過后，響應(yīng)用戶請(qǐng)求，重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在用戶所在網(wǎng)段的授權(quán)頁面，同時(shí)帶有業(yè)務(wù)系統(tǒng)在用戶所在網(wǎng)段的重定向參數(shù)。
[0010]進(jìn)一步，優(yōu)選的是，步驟（3.4）和（3.5）的具體方法為：用戶向業(yè)務(wù)系統(tǒng)提交一次性授權(quán)碼；業(yè)務(wù)系統(tǒng)收到用戶的一次性授權(quán)碼后，附加用戶的由統(tǒng)一身份認(rèn)證系統(tǒng)生成的令牌信息，通過業(yè)務(wù)系統(tǒng)所在網(wǎng)段向統(tǒng)一身份認(rèn)證系統(tǒng)發(fā)起請(qǐng)求；即業(yè)務(wù)系統(tǒng)用自己的身份令牌（appId+appKey）以及用戶的一次性授權(quán)碼作為參數(shù)，向統(tǒng)一身份認(rèn)證系統(tǒng)發(fā)起請(qǐng)求，目的是換取用戶的臨時(shí)身份令牌，進(jìn)而獲得用戶的身份信息；統(tǒng)一身份認(rèn)證系統(tǒng)校驗(yàn)用戶的一次性授權(quán)碼及令牌信息；統(tǒng)一身份認(rèn)證系統(tǒng)校驗(yàn)通過后，向業(yè)務(wù)系統(tǒng)返回用戶臨時(shí)身份令牌access_token；業(yè)務(wù)系統(tǒng)通過其所在網(wǎng)段，向統(tǒng)一身份認(rèn)證系統(tǒng)提交中獲得access_token，換取用戶身份信息；統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)access_token校驗(yàn)通過后，向業(yè)務(wù)系統(tǒng)返回用戶身份信息；業(yè)務(wù)系統(tǒng)基于自身存儲(chǔ)的數(shù)據(jù)，對(duì)用戶身份信息本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】

【技術(shù)特征摘要】
1.一種跨網(wǎng)段的統(tǒng)一身份認(rèn)證方法，其特征在于，包括如下步驟：步驟（1），網(wǎng)段配置：在統(tǒng)一身份認(rèn)證系統(tǒng)中，配置工作的網(wǎng)段以及各網(wǎng)段的訪問入口；步驟（2），系統(tǒng)配置：在統(tǒng)一身份認(rèn)證系統(tǒng)和業(yè)務(wù)系統(tǒng)中分別完成對(duì)接配置；（2.1）在統(tǒng)一身份認(rèn)證系統(tǒng)中，配置業(yè)務(wù)系統(tǒng)的名稱、描述，并配置業(yè)務(wù)系統(tǒng)在各網(wǎng)段的訪問入口信息，同時(shí)生成業(yè)務(wù)系統(tǒng)的身份令牌信息；（2.2）在業(yè)務(wù)系統(tǒng)中，配置（2.1）中由統(tǒng)一身份認(rèn)證系統(tǒng)生成的身份令牌信息，并配置統(tǒng)一身份認(rèn)證系統(tǒng)在各網(wǎng)段的訪問入口信息；步驟（3），身份認(rèn)證：（3.1）用戶首先訪問統(tǒng)一身份認(rèn)證系統(tǒng)：（3.1.1）統(tǒng)一身份認(rèn)證系統(tǒng)發(fā)現(xiàn)用戶身份尚未得到驗(yàn)證，將用戶訪問請(qǐng)求重定向至身份認(rèn)證頁面；（3.1.2）用戶憑自己的身份憑據(jù)向統(tǒng)一身份認(rèn)證系統(tǒng)表明自己的身份；（3.1.3）統(tǒng)一身份認(rèn)證系統(tǒng)查驗(yàn)用戶身份憑據(jù)通過后，將用戶訪問請(qǐng)求重定向至業(yè)務(wù)系統(tǒng)選擇頁面；（3.1.4）用戶選擇需要訪問的業(yè)務(wù)系統(tǒng)，統(tǒng)一身份認(rèn)證系統(tǒng)根據(jù)用戶選擇的業(yè)務(wù)系統(tǒng)，查找業(yè)務(wù)系統(tǒng)在統(tǒng)一身份認(rèn)證系統(tǒng)中的配置信息，并根據(jù)用戶來訪的網(wǎng)段信息及統(tǒng)一身份認(rèn)證系統(tǒng)在該網(wǎng)段的入口信息，與（2.1）中業(yè)務(wù)系統(tǒng)的配置匹配后得到業(yè)務(wù)系統(tǒng)在該網(wǎng)段的訪問入口；統(tǒng)一身份認(rèn)證系統(tǒng)將用戶訪問請(qǐng)求重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在該網(wǎng)段下的授權(quán)頁面，并帶有業(yè)務(wù)系統(tǒng)在該網(wǎng)段下的重定向地址參數(shù)；（3.2）用戶首先訪問業(yè)務(wù)系統(tǒng)：（3.2.1）業(yè)務(wù)系統(tǒng)發(fā)現(xiàn)用戶身份尚未得到驗(yàn)證，根據(jù)用戶來訪的網(wǎng)段信息，查找統(tǒng)一認(rèn)證系統(tǒng)在該網(wǎng)段下的訪問入口，并將用戶的訪問請(qǐng)求重定向至該網(wǎng)段的統(tǒng)一身份認(rèn)證系統(tǒng)的身份認(rèn)證頁面，同時(shí)帶有業(yè)務(wù)系統(tǒng)在該網(wǎng)段下的重定向地址參數(shù)；（3.2.2）用戶憑自己的身份憑據(jù)向統(tǒng)一身份認(rèn)證系統(tǒng)表明自己的身份；（3.2.3）統(tǒng)一身份認(rèn)證系統(tǒng)查驗(yàn)用戶身份憑據(jù)通過后，將用戶訪問請(qǐng)求重定向至統(tǒng)一身份認(rèn)證系統(tǒng)在該網(wǎng)段下的授權(quán)頁面，并帶有業(yè)務(wù)系統(tǒng)在該網(wǎng)段下的重定向地址參數(shù)；（3.3）用戶在統(tǒng)一身份認(rèn)證系統(tǒng)的授權(quán)頁面完成業(yè)務(wù)系統(tǒng)訪問授權(quán)，統(tǒng)一身份認(rèn)證系統(tǒng)根據(jù)業(yè)務(wù)系統(tǒng)在該網(wǎng)段下的重定向地址參數(shù)，將請(qǐng)求重定向至該網(wǎng)段下的業(yè)務(wù)系統(tǒng)，并附帶用戶的一次性授權(quán)碼參數(shù)；（3.4）業(yè)務(wù)系統(tǒng)使用用戶的一次性授權(quán)碼，和自己在統(tǒng)一身份認(rèn)證系統(tǒng)的令牌信息，從統(tǒng)一身份認(rèn)證系統(tǒng)獲取用戶的臨時(shí)身份令牌；（3.5）業(yè)務(wù)系統(tǒng)使用用戶的臨時(shí)身份令牌，從統(tǒng)一身份認(rèn)證系統(tǒng)獲取用戶信息，并進(jìn)行查驗(yàn)，查驗(yàn)通過后，向用戶返回認(rèn)證通過，并頒發(fā)臨時(shí)token或cookie，用戶據(jù)此開展后續(xù)業(yè)務(wù)活動(dòng)。2.根據(jù)權(quán)利要求1所述的跨網(wǎng)...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：王睿琛，鄭水斌，趙偉華，蔡娜，孫永軍，陳丹琦，楊怡靜，王吉飛，
申請(qǐng)(專利權(quán))人：昆明電力交易中心有限責(zé)任公司，
類型：發(fā)明
國別省市：