单点登录方法、装置、电子设备及存储介质与流程

1.本公开涉及人工智能识别分类技术领域，尤其涉及一种单点登录方法、装置、电子设备及存储介质。


背景技术：

2.近年来，移动互联网高速发展，随着基础设施的不断完善、智能终端的不断普及，app(application，应用程序)客户端的数量增长迅速，单个app客户端提供的功能范围也不断扩大。如各大商业银行提供的手机银行app客户端，从最初的只实现账户查询、挂失、转账等基本金融服务，到现在功能已基本涵盖日常生活的方方面面，例如生活缴费、投资理财、网上购物等。
3.早期，大部分app客户端都只由单一的应用系统为其提供服务，慢慢地，随着功能的日趋丰富，为其提供服务的应用系统逐渐增多。若干个不同的应用系统提供h5页面，即html5(hypertext markup language 5，超文本5.0)页面，app客户端通过内嵌这些h5页面，为客户提供不同的服务。例如，某手机银行app，其挂失、转账等金融服务由银行的核心系统提供，而买电影票的功能，则由第三方系统提供。这些提供不同服务的应用系统，往往具有自己独立的用户体系，通常需要注册不同的用户和密码。在同一个app客户端中，在切换不同应用场景的时候，如果要逐个进行登陆或者退出，这样客户体验就会很差。


技术实现要素：

4.本公开实施例提供一种单点登录方法、装置、电子设备及存储介质，能够实现跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系，同时还可有效保证身份认证安全可信。
5.本公开第一方面实施例提出了一种单点登录方法，包括：接收第一用户认证请求，其中，所述第一用户认证请求包括第一应用系统的用户认证信息；根据所述第一应用系统的用户认证信息生成第一令牌，其中，所述第一令牌包括所述第一应用系统的第一用户编号；将所述第一令牌发送至所述第一应用系统，其中，所述第一应用系统根据所述第一令牌完成登录认证；接收第二用户认证请求，其中，所述第二用户认证请求包括所述第一令牌；根据所述第一用户编号获取第一目标跳转系统的第二用户编号；将所述第二用户编号发送至所述第一目标跳转系统，其中，所述第一目标跳转系统根据所述第二用户编号完成登录认证。
6.在本公开的一个实施例中，上述的单点登录方法还包括：接收第三用户认证请求，其中，所述第三用户认证请求包括所述第一目标跳转系统的用户认证信息；根据所述第一目标跳转系统的用户认证信息生成第二令牌，其中，所述第二令牌包括所述第二用户编号；将所述第二令牌发送至所述第一目标跳转系统；接收第四用户认证请求，其中，所述第四用户认证请求包括所述第二令牌；根据所述第二用户编号获取第二目标跳转系统的第三用户编号；将所述第三用户编号发送至所述第二目标跳转系统，其中，所述第二目标跳转系统根
据所述第三用户编号完成登录认证。
7.在本公开的一个实施例中，所述第一应用系统的用户认证信息包括所述第一用户编号、所述第一目标跳转系统的编号和用户个人信息，所述根据所述第一应用系统的用户信息生成第一令牌，包括：根据所述用户个人信息获取用户画像信息；根据所述用户画像信息、所述第一用户编号和所述第一目标跳转系统的编号生成所述第一令牌。
8.在本公开的一个实施例中，所述根据所述第一用户编号获取第一目标跳转系统的第二用户编号，包括：对所述第一令牌进行校验；若所述第一令牌通过校验，则根据所述第一用户编号，从所述用户画像信息中获取所述第二用户编号。
9.在本公开的一个实施例中，所述第一目标跳转系统的用户认证信息包括所述第二用户编码和所述第二目标跳转系统的编号，所述根据所述第一目标跳转系统的用户认证信息生成第二令牌，包括：根据所述用户画像信息、所述第二用户编号和所述第二目标跳转系统的编号生成所述第二令牌。
10.在本公开的一个实施例中，所述根据所述第二用户编号获取第二目标跳转系统的第三用户编号，包括：对所述第二令牌进行校验；若所述第二令牌通过校验，则根据所述第二用户编号，从所述用户画像信息中获取所述第三用户编号。
11.本公开第二方面实施例提出了一种单点登录装置，包括：第一接收模块，用于接收第一用户认证请求，其中，所述第一用户认证请求包括第一应用系统的用户认证信息；第一生成模块，用于根据所述第一应用系统的用户认证信息生成第一令牌，其中，所述第一令牌包括所述第一应用系统的第一用户编号；第一发送模块，用于将所述第一令牌发送至所述第一应用系统，其中，所述第一应用系统根据所述第一令牌完成登录认证；第二接收模块，用于接收第二用户认证请求，其中，所述第二用户认证请求包括所述第一令牌；第一获取模块，用于根据所述第一用户编号获取第一目标跳转系统的第二用户编号；第二发送模块，用于将所述第二用户编号发送至所述第一目标跳转系统，其中，所述第一目标跳转系统根据所述第二用户编号完成登录认证。
12.在本公开的一个实施例中，上述的单点登录装置还包括：第三接收模块，用于接收第三用户认证请求，其中，所述第三用户认证请求包括所述第一目标跳转系统的用户认证信息；第二生成模块，用于根据所述第一目标跳转系统的用户认证信息生成第二令牌，其中，所述第二令牌包括所述第二用户编号；第三发送模块，用于将所述第二令牌发送至所述第一目标跳转系统；第四接收模块，接收第四用户认证请求，其中，所述第四用户认证请求包括所述第二令牌；第二获取模块，用于根据所述第二用户编号获取第二目标跳转系统的第三用户编号；第四发送模块，用于将所述第三用户编号发送至所述第二目标跳转系统，其中，所述第二目标跳转系统根据所述第三用户编号完成登录认证。
13.在本公开的一个实施例中，所述第一应用系统的用户认证信息包括所述第一用户编号、所述第一目标跳转系统的编号和用户个人信息，所述第一生成模块，具体用于：根据所述用户个人信息获取用户画像信息；根据所述用户画像信息、所述第一用户编号和所述第一目标跳转系统的编号生成所述第一令牌。
14.在本公开的一个实施例中，所述第一获取模块，具体用于：对所述第一令牌进行校验；若所述第一令牌通过校验，则根据所述第一用户编号，从所述用户画像信息中获取所述第二用户编号。
15.在本公开的一个实施例中，所述第一目标跳转系统的用户认证信息包括所述第二用户编码和所述第二目标跳转系统的编号，所述第二生成模块，具体用于：根据所述用户画像信息、所述第二用户编号和所述第二目标跳转系统的编号生成所述第二令牌。
16.在本公开的一个实施例中，所述第二获取模块，具体用于：对所述第二令牌进行校验；若所述第二令牌通过校验，则根据所述第二用户编号，从所述用户画像信息中获取所述第三用户编号。
17.本公开第三方面实施例提出了一种电子设备，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令，以实现本公开第一方面实施例提出的单点登录方法。
18.本公开第四方面实施例提出了一种非临时性计算机可读存储介质，当所述存储介质中的指令由电子设备的处理器执行时，使得电子设备能够执行本公开第一方面实施例提出的单点登录方法。
19.本公开第五方面实施例提出了一种计算机程序产品，包括计算机程序，所述计算机程序在被通信设备中的处理器执行时实现本公开第一方面实施例提出的单点登录方法。
20.本公开实施例提供的单点登录方法、装置、电子设备及存储介质，至少有以下有益效果：
21.①
、能够通过独立的单点登录认证系统，构筑用户画像体系(即，用户画像信息)，利用token令牌，解决跨一级域名写cookie(储存在用户本地终端上的数据)和必须共用相同客户体系的限制；
22.②
、用户画像体系，通过为每个用户建立画像表，实现用户在不同系统的身份识别，达到在某个应用系统登录，在其它应用系统也能够识别其身份的目的，从而提高用户的使用体验；
23.③
、通过token令牌方式，很好地解决了相关技术中跨一级域名写cookie及cookie安全性低、容易被篡改和攻击的问题；
24.④
、能够实现跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系，同时还可有效保证身份认证安全可信。
25.本公开附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本公开的实践了解到。
附图说明
26.本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
27.图1为本公开第一实施例所提供的一种单点登录方法的流程示意图；
28.图2为本公开第二实施例所提供的一种单点登录方法的时序图；
29.图3为本公开第三实施例所提供的另一种单点登录方法的流程示意图；
30.图4为本公开第三实施例中的用户画像体系的示意图；
31.图5为本公开第四实施例所提供的另一种单点登录方法的流程示意图；
32.图6为本公开第五实施例所提供的另一种单点登录方法的流程示意图；
33.图7为本公开第六实施例所提供的另一种单点登录方法的流程示意图；
34.图8为本公开第七实施例所提供的一种单点登录系统架构图；
35.图9为本公开第八实施例所提供的一种单点登录装置的结构示意图；以及
36.图10为根据本公开一示例性实施例所示出的电子设备的结构示意图。
具体实施方式
37.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。
38.在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
39.应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”及“若”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
40.下面详细描述本公开的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的要素。下面通过参考附图描述的实施例是示例性的，旨在用于解释本公开，而不能理解为对本公开的限制。
41.下面参照附图描述本公开实施例的单点登录方法、装置、电子设备及存储介质。
42.本公开实施例提供的单点登录方法，可以由电子设备来执行，该电子设备可为pc(personal computer，个人计算机)电脑、平板电脑、掌上电脑或服务器等，此处不做任何限定。
43.在本公开实施例中，电子设备中可以设置有处理组件、存储组件和驱动组件。可选的，该驱动组件和处理组件可以集成设置，该存储组件可以存储操作系统、应用程序或其他程序模块，该处理组件通过执行存储组件中存储的应用程序来实现本公开实施例提供的单点登录方法。
44.需要说明的是，本公开实施例提供的单点登录方法，可应用在各种客户端中，该客户端可为移动终端中安装的app客户端，也可为pc电脑中安装的pc客户端。其中，该客户端可集成多个第三方应用系统，应说明的是，该客户端本身也可以是一个提供服务的应用系统。
45.在本公开实施例中，所有需要应用本公开实施例提供的单点登录方法实现单点登录认证的应用系统(包括客户端)，都需要事先在单点登录认证系统进行注册登记，提供应用系统简称、对外提供服务的域名、服务器ip(internet protocol，网际互连协议)等，并申请访问单点登录认证系统。单点登录认证系统授权以后，对该应用系统(包括客户端)进行访问策略配置，并为其分配编码(即，应用系统的唯一编码、用户在应用系统的唯一身份标识等)、加密密钥(即，私钥)等。
46.需要说明的是，该实施例中所描述的单点登录认证系统可安装在相关的服务器中，且该服务器可以为云服务器。另外，服务器还可与上述的应用系统对应的服务器建立通讯链接，以便于进行相关的注册。
47.其中，各个应用系统可通过对应的注册页面进行相关信息的录入并注册。其中，该注册页面可由对应的应用系统(即，应用系统对应的服务器)提供，并在注册完成后提供相关注册信息给单点登录认证系统(即，单点登录认证系统对应的服务器)，或者该注册页面可由单点登录认证系统统一提供，并在完成注册登记后将相关注册提供给对应的应用系统，以便于应用系统完成注册。此处不做任何限定。
48.图1为本公开实施例所提供的一种单点登录方法的流程示意图。
49.本公开实施例的单点登录方法，还可由本公开实施例提供的单点登录装置执行，该装置可配置于电子设备中，以实现接收第一用户认证请求，其中，第一用户认证请求包括第一应用系统的用户认证信息，并根据第一应用系统的用户认证信息生成第一令牌，其中，第一令牌包括第一应用系统的第一用户编号，以及将第一令牌发送至第一应用系统，以使第一应用系统根据第一令牌完成登录认证，而后接收第二用户认证请求，其中，第二用户认证请求包括第一令牌，并根据第一用户编号获取第一目标跳转系统的第二用户编号，以及将第二用户编号发送至第一目标跳转系统，以使第一目标跳转系统根据第二用户编号完成登录认证，从而能够实现跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系并可保证身份认证安全可信。
50.作为一种可能的情况，本公开实施例的单点登录方法还可以在服务器端执行，服务器可以为云服务器，可以在云端执行该单点登录方法。
51.如图1所示，该单点登录方法，可包括：
52.步骤101，接收第一用户认证请求，其中，第一用户认证请求包括第一应用系统的用户认证信息。其中，该第一用户认证请求还可包括第一应用系统的编号。
53.在本公开实施例中，上述的第一用户认证请求可由客户端对应的服务器发送，也可由该客户端中集成的第三方应用系统对应的服务器发送。
54.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，其中，本公开实施例提供的单点登录方法中的第一应用系统为应用系统1、第一目标跳转系统为客户端(客户端本身的应用系统)、第二目标跳转系统为应用系统2。
55.具体地，用户打开某个客户端进行访问(浏览、查看)，当用户访问到应用系统1的受保护资源时，该应用系统1会判断该用户是否已经登录具有查看该受保护资源的权限。若应用系统1发现该客户没有登录，则可提供(跳出)应用系统1的登录界面，即进入应用系统1的登录页面。当用户以应用系统1的会员身份成功登录后，应用系统1可从对应的服务器中获取用户编号(用户在应用系统1的唯一身份标识)，用户个人信息(例如，用户的三要素，(姓名、证件号码、手机号码))等信息，并从客户端中获取目标跳转系统(客户端，即客户端本身的应用系统)的id(identity document，唯一编码)(即，客户端的唯一编码)，应说明的是，本地客户端中可预存有客户端以及客户端中集成的第三方应用系统的编码(id)，以便在使用时获取。
56.然后应用系统1可根据该用户编号、用户个人信息、目标跳转系统的id等生成应用
系统1的用户认证信息。而后应用系统1可从对应的服务器中获取应用系统1的编号，并可根据该应用系统1的编号和该应用系统1的用户认证信息生成第一用户认证请求，并将该第一用户认证请求发送至单点登录认证系统(即，单点登录认证系统对应的服务器)。单点登录认证系统在接收到该第一用户认证请求之后，可响应于该第一用户认证请求进行后续的操作。
57.在本公开实施例中，应用系统1还可对生成的用户认证信息进行加密，例如，使用应用系统1的专属私钥进行加密。
58.步骤102，根据第一应用系统的用户认证信息生成第一令牌，其中，第一令牌包括第一应用系统的第一用户编号。其中，第一令牌可为一种token令牌。
59.为了清楚说明上一实施例，在本公开的一个实施例中，第一应用系统的用户认证信息可包括第一用户编号、第一目标跳转系统的编号和用户个人信息，如图3所述，根据第一应用系统的用户信息生成第一令牌，包括：
60.步骤301，根据用户个人信息获取用户画像信息。
61.需要说明的是，该实施例中所描述的用户画像信息可以是预先生成的，并存储在单点登录认证系统对应的存储空间中。其中，该用户画像信息可以通过以下方式生成：
62.客户端(例如，app客户端)中的所有应用系统(包括客户端)在线下注册的时候，单点登录认证系统会为每一个应用系统分配一个标识记录其唯一的用户编号。刚开始的时候，用户在用户画像体系(即，用户画像信息)里面没有任何信息，当他在客户端登录之后，单点登录认证系统就会为该客户新建一条画像信息，包括其在客户端的用户编号、姓名、证件类型、证件号码、手机号码等信息，具体地可参见图4。
63.当用户准备跳转至应用系统1，单点登录认证系统会根据其在客户端的用户编号返回姓名、身份证号、手机号码等信息，应用系统1根据这些三要素信息，可以反查该用户在应用系统1的用户编号并反馈给单点登录认证系统，这样用户画像体系就可以更新该用户的画像信息，把他在应用系统1的用户编号补充进去。如此类推，当用户在其它应用系统登录之后，用户画像体系就可以获知其用户编号并更新其画像信息，直至所有应用系统的用户编号都在用户画像体系登记完成。用户编号在用户画像体系完成登记后，以后用户就可以在不用的应用系统实现单点登录，即只需登录一次，就能够访问所有应用系统的受保护资源。
64.或者，客户端(例如，app客户端)中的所有应用系统(包括客户端)在线下注册的时候，单点登录认证系统会为每一个应用系统分配一个标识记录其唯一的用户编号，并基于所有应用系统中每个应用系统提供的用户的注册信息直接构建出完整的用户画像体系(即，用户画像信息)。应说明的是，用户画像体系(即，用户画像信息)，通过为每个用户建立画像表，可以实现用户在不同系统的身份识别，达到在某个应用系统登录，在其它应用系统也能够识别其身份的目的，从而提高用户的使用体验
65.步骤302，根据用户画像信息、第一用户编号和第一目标跳转系统的编号生成第一令牌。
66.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，单点登录认证系统在接收到应用系统1发送的第一用户认证请求之后，可先对该第一
用户认证请求进行解析以获取应用系统1的用户编号(第一用户编号)、目标跳转系统的id(客户端的编号)和用户个人信息，然后根据该用户个人信息从单点登录认证系统对应的存储空间中获取用户画像信息，即基于用户的三要素(姓名、证件号码、手机号码)检索该存储空间以获取对应的用户画像信息，并根据该用户画像信息、该用户编号(第一用户编号)和该目标跳转系统的id(第一目标跳转系统的编号)生成第一令牌。
67.需要说明的是，该实施例中所描述的第一令牌的数据结构可如下述的表1所示：
68.字段名数据类型必说明备注khdidfromvarchar2(32)y目标跳转系统的id custidtovarchar2(32)y应用系统1的id custidfrovarchar2(64)y应用系统1的用户编号 custnamevarchar2(64) 用户姓名 certtypevarchar2(2) 证件类型 certnovarchar2(32) 证件号码 mobilenovarchar2(16) 手机号码 createtimevarchar2(64)y令牌生成时间 69.表1
70.在本公开实施例中，若应用系统的用户认证信息被加密，则先可根据第一用户认证请求中的应用系统1的id获取公钥对该用户认证信息进行解密。
71.步骤103，将第一令牌发送至第一应用系统，其中，第一应用系统根据第一令牌完成登录认证。
72.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，单点登录认证系统在生成第一令牌之后，可将该第一令牌发送至应用系统1，应用系统1在接收到该第一令牌后，可根据该第一令牌完成登录认证。
73.在本公开实施例中，应用系统1还可对第一令牌进行加密。
74.作为一种可能的情况，用户在通过应用系统1提供的登录页面完成了相关的登录操作之后，即可访问应用系统1的受保护资源，而根据该第一令牌完成登录认证是为了验证该第一令牌的是否有效。
75.作为另一种可能的情况，用户在通过应用系统1提供的登录页面完成了相关的登录操作之后，还无法访问应用系统1的受保护资源，而是在接收到第一令牌之后，根据该第一令牌完成后续的登录认证，才可以访问应用系统1的受保护资源。
76.作为另一种可能的情况，用户在通过应用系统1提供的登录页面完成了相关的登录操作之后，即可访问应用系统1的受保护资源，而应用系统1接收到第一令牌之后，仅是将该第一令牌转发至客户端。其中，应用系统1也可根据改第一令牌进行相关的认证，即登录认证，此处不作任何限定。
77.步骤104，接收第二用户认证请求，其中，第二用户认证请求包括第一令牌。
78.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，应用系统1在根据第一令牌完成登录认证之后，可将该第一令牌发送给客户端，客户
端在接收到该第一令牌之后，可获取客户端的id，并根据客户端的id和第一令牌生成第二用户认证请求，并将该第二用户认证请求发送至单点登录认证系统。单点登录认证系统在接收到该第二用户认证请求之后，可响应于该第二用户认证请求进行后续的操作。
79.步骤105，根据第一用户编号获取第一目标跳转系统的第二用户编号。
80.为了清楚说明上一实施例，在本公开的一个实施例中，如图5所示，根据第一用户编号获取第一目标跳转系统的第二用户编号，可包括：
81.步骤501，对第一令牌进行校验。
82.在本公开实施例中，可校验第一令牌是否过期、是否已经被使用等。
83.步骤502，若第一令牌通过校验，则根据第一用户编号，从用户画像信息中获取第二用户编号。
84.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，单点登录认证系统在接收客户端发送的第二用户认证请求之后，可先对该第二用户认证请求进行解析以获取第一令牌，并校验其合法性，例如第一令牌是否过期、是否已经被使用等。校验通过后，单点登录认证系统可从该第一令牌中获取应用系统1的用户编号(第一用户编号)，并根据该用户编号从用户画像信息中获取客户端的用户编号(即，第一目标跳转系统的第二用户编号)。
85.步骤106，将第二用户编号发送至第一目标跳转系统，其中，第一目标跳转系统根据第二用户编号完成登录认证。
86.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，单点登录认证系统在得到客户端的用户编号之后，可将客户端的用户编号发送至对应的客户端，客户端在接收到客户端的用户编号之后，可根据该用户编号完成登录认证，例如，基于该用户编号从客户端的服务器中获取授权信息，从而可以访问客户端的受保护资源。由此，可以完成客户端和应用系统1的单点登录，若客户端中还集成有应用系统2、应用系统3等，则可按照上述的登录认证的方式类推完成应用系统2、应用系统3等的登录认证。由此，能够通过独立的单点登录认证系统，构筑用户画像体系(即，用户画像信息)，利用token令牌，解决跨一级域名写cookie和必须共用相同客户体系的限制，并且通过token令牌方式，很好地解决了相关技术中跨一级域名写cookie及cookie安全性低、容易被篡改和攻击的问题，同时实现了跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系，同时还可有效保证身份认证安全可信。
87.为了进一步地清楚说明上本公开，在本公开的一个实施例中，如图6所示，该单点登录方法，还可包括：
88.步骤601，接收第三用户认证请求，其中，第三用户认证请求包括第一目标跳转系统的用户认证信息。其中，该第三用户认证请求还可包括第一目标跳转系统的编号。
89.在本公开实施例中，上述的第三用户认证请求可由上述的第一目标跳转系统发送。
90.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，其
中，本公开实施例提供的单点登录方法中的第一应用系统为应用系统1、第一目标跳转系统为客户端(客户端本身的应用系统)、第二目标跳转系统为应用系统2。
91.具体地，在客户端完成登录认证之后，当用户准备访问应用系统2的受保护资源时，客户端可从对应的服务器中获取用户编号(用户在客户端的唯一身份标识)，用户个人信息(例如，用户的三要素，(姓名、证件号码、手机号码))等信息，并从客户端中获取目标跳转系统(应用系统2)的id(即，应用系统2的唯一编码)。
92.然后客户端可根据该用户编号、用户个人信息、目标跳转系统的id等生成客户端的用户认证信息。而后客户端可从对应的服务器中获取客户端的编号，并可根据该客户端的编号和该客户端的用户认证信息生成第三用户认证请求，并将该第三用户认证请求发送至单点登录认证系统。单点登录认证系统在接收到该第三用户认证请求之后，可响应于该第三用户认证请求进行后续的操作。
93.在本公开实施例中，客户端还可对生成的用户认证信息进行加密，例如，使用客户端的专属私钥进行加密。
94.步骤602，根据第一目标跳转系统的用户认证信息生成第二令牌，其中，第二令牌包括第二用户编号。其中，第二令牌可也为一种token令牌。
95.为了清楚说明上一实施例，在本公开的一个实施例中，第一目标跳转系统的用户认证信息可包括第二用户编码和第二目标跳转系统的编号，根据第一目标跳转系统的用户认证信息生成第二令牌，可包括根据用户画像信息、第二用户编号和第二目标跳转系统的编号生成第二令牌。
96.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，单点登录认证系统在接收到客户端发送的第三用户认证请求之后，可先对该第三用户认证请求进行解析以获取客户端的用户编号(第二用户编号)和目标跳转系统的id(应用系统2的编号)，然后根据上述获取的用户画像信息、该用户编号(第二用户编号)和该目标跳转系统的id(第二目标跳转系统的编号)生成第一令牌。
97.在本公开实施例中，若客户端的用户认证信息被加密，则先可根据第三用户认证请求中的客户端的id获取公钥对该用户认证信息进行解密。
98.步骤603，将第二令牌发送至第一目标跳转系统。
99.步骤604，接收第四用户认证请求，其中，第四用户认证请求包括第二令牌。
100.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，单点登录认证系统在生成第二令牌之后，可将该第二令牌发送至客户端，然后客户端可将该第二令牌转发至应用系统2，应用系统2在接收到该第二令牌之后，可获取应用系统2的id，并根据应用系统2的id和第二令牌生成第四用户认证请求，并将该第四用户认证请求发送至单点登录认证系统。单点登录认证系统在接收到该第四用户认证请求之后，可响应于该第二用户认证请求进行后续的操作。
101.步骤605，根据第二用户编号获取第二目标跳转系统的第三用户编号。
102.为了清楚说明上一实施例，在本公开的一个实施例中，如图7所示，根据第二用户编号获取第二目标跳转系统的第三用户编号，可包括：
103.步骤701，对第二令牌进行校验。
104.在本公开实施例中，可校验第二令牌是否过期、是否已经被使用等。
105.步骤702，若第二令牌通过校验，则根据第二用户编号，从用户画像信息中获取第三用户编号。
106.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，单点登录认证系统在接收应用系统2发送的第四用户认证请求之后，可先对该第四用户认证请求进行解析以获取第二令牌，并校验其合法性，例如第二令牌是否过期、是否已经被使用等。校验通过后，单点登录认证系统可从该第二令牌中获取客户端的用户编号(第二用户编号)，并根据该用户编号从用户画像信息中获取应用系统2的用户编号(即，第二目标跳转系统的第三用户编号)。
107.步骤606，将第三用户编号发送至第二目标跳转系统，其中，第二目标跳转系统根据第三用户编号完成登录认证。
108.为使本领域技术人员更清楚地了解本公开，参见图2，以上述的第一用户认证请求由客户端中集成的第三方应用系统(例如，图2中的应用系统1)对应的服务器发送为例，具体地，单点登录认证系统在得到应用系统2的用户编号之后，可将应用系统2的用户编号发送至对应的应用系统2，应用系统2在接收到应用系统2的用户编号之后，可根据该用户编号完成登录认证，例如，基于该用户编号从应用系统2的服务器中获取授权信息，从而可以访问应用系统2的受保护资源。由此，可以完成客户端、应用系统1和应用系统2的单点登录，若客户端中还集成有多个应用系统，则可按照上述的登录认证的方式类推完成多个应用系统的登录认证。由此，能够实现跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系，同时还可有效保证身份认证安全可信。另外，通过token令牌方式，很好地解决了相关技术中跨一级域名写cookie及cookie安全性低、容易被篡改和攻击的问题。
109.在本公开实施例中，参见图8，其中，单点登录认证系统是整个单点登录认证机制的核心部件，它可由token(令牌)服务、加密服务、认证服务、接口服务及用户画像体系等构成。其中，token(令牌)服务可用于生成授权令牌(例如，第一令牌、第二令牌)，加解密服务可用于对用户信息进行加解密处理，认证服务用于对用户身份的验证，用户画像体系则可用于生成、查询、更新或者删除用户的画像。
110.根据本公开实施例的单点登录方法，接收第一用户认证请求，其中，第一用户认证请求包括第一应用系统的用户认证信息，并根据第一应用系统的用户认证信息生成第一令牌，其中，第一令牌包括第一应用系统的第一用户编号，以及将第一令牌发送至第一应用系统，以使第一应用系统根据第一令牌完成登录认证，而后接收第二用户认证请求，其中，第二用户认证请求包括第一令牌，并根据第一用户编号获取第一目标跳转系统的第二用户编号，以及将第二用户编号发送至第一目标跳转系统，以使第一目标跳转系统根据第二用户编号完成登录认证。由此，能够实现跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系，同时还可有效保证身份认证安全可信。
111.图9为本公开实施例提供的一种单点登录装置的结构示意图。
112.本公开实施例的单点登录装置，可配置于电子设备中，以实现接收第一用户认证请求，其中，第一用户认证请求包括第一应用系统的用户认证信息，并根据第一应用系统的
用户认证信息生成第一令牌，其中，第一令牌包括第一应用系统的第一用户编号，以及将第一令牌发送至第一应用系统，以使第一应用系统根据第一令牌完成登录认证，而后接收第二用户认证请求，其中，第二用户认证请求包括第一令牌，并根据第一用户编号获取第一目标跳转系统的第二用户编号，以及将第二用户编号发送至第一目标跳转系统，以使第一目标跳转系统根据第二用户编号完成登录认证，从而能够实现跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系并可保证身份认证安全可信。
113.如图9所示，该单点登录装置900，可包括：第一接收模块901、第一生成模块902、第一发送模块903、第二接收模块904、第一获取模块905和第二发送模块906。
114.其中，第一接收模块901用于接收第一用户认证请求，其中，第一用户认证请求包括第一应用系统的用户认证信息。
115.第一生成模块902用于根据第一应用系统的用户认证信息生成第一令牌，其中，第一令牌包括第一应用系统的第一用户编号。
116.第一发送模块903用于将第一令牌发送至第一应用系统，其中，第一应用系统根据第一令牌完成登录认证。
117.第二接收模块904用于接收第二用户认证请求，其中，第二用户认证请求包括第一令牌。
118.第一获取模块905用于根据第一用户编号获取第一目标跳转系统的第二用户编号。
119.第二发送模块906用于将第二用户编号发送至第一目标跳转系统，其中，第一目标跳转系统根据第二用户编号完成登录认证。
120.在本公开的一个实施例中，如图9所示，该单点登录装置900，还可包括：第三接收模块907、第二生成模块908、第三发送模块909、第四接收模块910、第二获取模块911和第四发送模块912。
121.其中，第三接收模块907用于接收第三用户认证请求，其中，第三用户认证请求包括第一目标跳转系统的用户认证信息。
122.第二生成模块908用于根据第一目标跳转系统的用户认证信息生成第二令牌，其中，第二令牌包括第二用户编号。
123.第三发送模块909用于将第二令牌发送至第一目标跳转系统。
124.第四接收模块910接收第四用户认证请求，其中，第四用户认证请求包括第二令牌。
125.第二获取模块911用于根据第二用户编号获取第二目标跳转系统的第三用户编号。
126.第四发送模块912用于将第三用户编号发送至第二目标跳转系统，其中，第二目标跳转系统根据第三用户编号完成登录认证。
127.在本公开的一个实施例中，第一应用系统的用户认证信息包括第一用户编号、第一目标跳转系统的编号和用户个人信息，第一生成模块902具体用于：根据用户个人信息获取用户画像信息；根据用户画像信息、第一用户编号和第一目标跳转系统的编号生成第一令牌。
128.在本公开的一个实施例中，第一获取模块905具体用于：对第一令牌进行校验；若
第一令牌通过校验，则根据第一用户编号，从用户画像信息中获取第二用户编号。
129.在本公开的一个实施例中，第一目标跳转系统的用户认证信息包括第二用户编码和第二目标跳转系统的编号，第二生成模块908具体用于：根据用户画像信息、第二用户编号和第二目标跳转系统的编号生成第二令牌。
130.在本公开的一个实施例中，第二获取模块911具体用于：对第二令牌进行校验；若第二令牌通过校验，则根据第二用户编号，从用户画像信息中获取第三用户编号。
131.需要说明的是，本公开实施例的单点登录装置中未披露的细节，请参照本公开实施例的单点登录装置中所披露的细节，具体这里不再赘述。
132.综上，本公开实施例的单点登录装置，通过第一接收模块接收第一用户认证请求，其中，第一用户认证请求包括第一应用系统的用户认证信息，并通过第一生成模块根据第一应用系统的用户认证信息生成第一令牌，其中，第一令牌包括第一应用系统的第一用户编号，以及通过第一发送模块将第一令牌发送至第一应用系统，以使第一应用系统根据第一令牌完成登录认证，而后通过第二接收模块接收第二用户认证请求，其中，第二用户认证请求包括第一令牌，并通过第一获取模块根据第一用户编号获取第一目标跳转系统的第二用户编号，以及通过第二发送模块将第二用户编号发送至第一目标跳转系统，以使第一目标跳转系统根据第二用户编号完成登录认证。由此，能够实现跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系，同时还可有效保证身份认证安全可信。
133.根据本公开实施例的第三方面，还提供一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器，其中，处理器被配置为执行指令，以实现如上的单点登录方法。
134.为了实现上述实施例，本公开还提出了一种存储介质。
135.其中，当存储介质中的指令由电子设备的处理器执行时，使得电子设备能够执行如上的单点登录方法。
136.为了实现上述实施例，本公开还提供一种计算机程序产品。
137.其中，该计算机程序产品由电子设备的处理器执行时，使得电子设备能够执行如上的单点登录方法。
138.图10是根据一示例性实施例示出的一种电子设备框图。图10示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
139.如图10所示，电子设备1000包括处理器111，其可以根据存储在只读存储器(rom，read only memory)112中的程序或者从存储器116加载到随机访问存储器(ram，random access memory)113中的程序而执行各种适当的动作和处理。在ram 113中，还存储有电子设备1000操作所需的各种程序和数据。处理器111、rom 112以及ram 113通过总线114彼此相连。输入/输出(i/o，input/output)接口115也连接至总线114。
140.以下部件连接至i/o接口115：包括硬盘等的存储器116；以及包括诸如lan(局域网，local area network)卡、调制解调器等的网络接口卡的通信部分117，通信部分117经由诸如因特网的网络执行通信处理；驱动器118也根据需要连接至i/o接口115。
141.特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分117从网络上被下载和安装。在该计算机程序被处理器111执行时，执行本公开
的方法中限定的上述功能。
142.在示例性实施例中，还提供了一种包括指令的存储介质，例如包括指令的存储器，上述指令可由电子设备1000的处理器111执行以完成上述方法。可选地，存储介质可以是非临时性计算机可读存储介质，例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
143.在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
144.本公开的实施例提供的技术方案至少带来以下有益效果：
145.在本公开实施例中，通过服务器接收第一用户认证请求，其中，第一用户认证请求包括第一应用系统的用户认证信息，并根据第一应用系统的用户认证信息生成第一令牌，其中，第一令牌包括第一应用系统的第一用户编号，以及将第一令牌发送至第一应用系统，以使第一应用系统根据第一令牌完成登录认证，而后接收第二用户认证请求，其中，第二用户认证请求包括第一令牌，并根据第一用户编号获取第一目标跳转系统的第二用户编号，以及将第二用户编号发送至第一目标跳转系统，以使第一目标跳转系统根据第二用户编号完成登录认证。由此，能够实现跨域单点登录的功能，且所有的应用系统无需使用相同的用户体系，同时还可有效保证身份认证安全可信。
146.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。
147.应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。