directory,ad)域服务请求目标对象的登录名以及电子设备的地址;电子设备接收ad域服务的响应信息,ad域服务的响应信息包括目标对象的登录名以及电子设备的地址;电子设备基于第一浏览器插件根据电子设备的地址以及当前的时间戳确定第一浏览器插件的标识以及第二随机数;电子设备基于第一浏览器插件将加密后的目标对象的登录名、加密后的第一浏览器插件的标识以及第二随机数发送至验证服务器进行签名处理,确定第二随机数的签名;验证服务器解密目标对象的登录名、第一浏览器插件的标识后并存储;电子设备基于第一浏览器插件验证第二随机数的签名;所述验证服务器存储所述第一浏览器插件的私钥以及所述业务服务器的私钥。
9.需要说明的是,不同的浏览器插件对应不同的网址,如浏览器插件1对应的网址1,通常目标对象在网址1查询数据可能还需要登录在网址1上注册的用户名。ad域用来存储用户账户信息、计算机账户信息、打印机和共享文件夹等对象,而提供目录服务的组件就是ad域服务,主要负责目录数据库的存储、添加、删除、修改与查询等操作。电子设备通过ad域服务获取目标对象在第一浏览器插件的登录名后,进行签名验证,存储在验证服务器中,通过该方式目标对象无需再打开浏览器后在第一浏览器插件对应的网址再次输入登录名,通过该方式可以提高数据的处理效率,且提高用户的体验,且业务服务器在对电子设备验证通过后,是从验证服务器获取的目标对象的登录名信息,而非cookie,通过该方式可以保证用户信息的安全。
10.在一种可选的方式中,电子设备检测到目标对象的访问请求,则向业务服务器发送页面请求;电子设备接收来自业务服务器的页面请求的响应信息,页面请求的响应信息包括第一随机数、业务服务器的标识以及第一浏览器插件对应的页面。
11.需要说明的是,电子设备检测到目标对象的访问请求后,想要请求第一浏览器插件的页面,以便在加载页面成功后,更加快速地获取业务数据。
12.在一种可选的方式中,电子设备基于浏览器加载第一浏览器插件对应的页面后,通过第一浏览器插件对第一随机数以及业务服务器的标识进行加密处理,得到加密的第一随机数以及加密的业务服务器的标识;基于第一浏览器插件将加密的第一随机数以及加密的业务服务器的标识进行签名处理,确定第一随机数的签名。
13.需要说明的是,从业务服务器获取第一随机数后,进行签名处理以便业务服务器验证通过后,确定电子设备的安全身份,从验证服务器获取目标对象的登录名,该方式可以保证单点登录过程中数据处理的安全性。
14.在一种可选的方式中,业务服务器从验证服务器获取目标对象的登录名之前,业务服务器可基于业务服务器的标识、业务服务器的令牌以及第三随机数生成业务请求签名;业务服务器将业务请求签名、加密后的第一浏览器插件的标识、业务服务器的标识以及第三随机数发送至验证服务器进行签名验证;若签名验证成功,则接收来自验证服务器根据第一浏览器插件的标识查询到的目标对象的登录名。
15.该方式中,验证服务器验证业务服务器的签名后,查询目标对象的登录名并反馈给业务服务器,业务服务器基于目标对象的登录名,检索相关的业务数据,业务服务器对电子设备的身份验证通过后,验证服务器对业务服务器的身份进行验证,验证均通过后,才查询目标对象的业务数据,该方式可保证单点登录的安全性,且身份验证的操作,不全在业务服务器端进行操作,可以减少业务服务器的数据处理压力,提高数据处理效率。
16.第二方面,本技术提供一种单点登录装置,包括:确定单元,用于基于浏览器检测到的目标对象的访问请求,确定第一浏览器插件对应的页面数据访问请求;第一浏览器插件为多个浏览器插件中的一个;页面数据访问请求中携带有第一随机数的签名以及加密后的第一浏览器插件的标识;第一随机数是业务服务器生成的;发送单元,用于向业务服务器发送页面数据访问请求,以使业务服务器在验证页面访问请求通过后,从验证服务器获取目标对象的登录名,并根据目标对象的登录名查询业务数据;接收单元,用于接收业务服务器反馈的业务数据。
17.第三方面,本技术提供另一种单点登录装置,包括:接收单元,用于接收来自电子设备的浏览器的第一浏览器插件对应的页面数据访问请求;第一浏览器插件为多个浏览器插件中的一个;页面数据访问请求中携带有第一随机数的签名以及加密后的第一浏览器插件的标识;第一随机数是业务服务器生成的;验证单元,用于采用业务服务器的公钥验证页面访问请求中第一随机数的签名;查询单元,用于若验证通过后,从验证服务器获取目标对象的登录名,并根据目标对象的登录名查询业务数据;发送单元,用于发送业务数据至浏览器。
18.第四方面,本技术提供一种计算装置,包括:存储器以及处理器;存储器,用于存储程序指令;处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行第一方面所述的方法。
19.第五方面,本技术提供一种计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行如第一方面所述的方法。
20.上述第二方面至第五方面可以达到的技术效果,请参照上述第一方面中相应可能设计方案可以达到的技术效果说明,本技术这里不再重复赘述。
21.本技术的其它特征和优点将在随后的说明书中阐述,并且部分地从说明书中变得显而易见,或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
22.为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
23.图1为一种单点登录的流程示意图;
24.图2为本技术实施例提供单点登录的应用场景示意图;
25.图3为本技术实施例提供的单点登录的流程示意图;
26.图4为本技术实施例提供的单点登录的流程示意图;
27.图5为本技术实施例提供的单点登录的执行逻辑示意图;
28.图6为本技术实施例提供的单点登录装置的结构示意图;
29.图7为本技术实施例提供的单点登录装置的结构示意图;
30.图8为本技术实施例提供的一种计算设备的结构示意图。
具体实施方式
31.为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
32.需要说明的是,本技术中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应所述理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
33.如
背景技术:
所述,目前的单点登录方案主要分为两种,基于浏览器的cookie或基于中间件记录用户标识,其中,基于浏览器的cookie的单点登录如图1所示,用户可打开电子设备后可在浏览器中输入业务系统网址,浏览器会向业务服务器请求用户的业务数据,业务服务器确定用户未登录,则返回响应信息,浏览的器则重定向到登录页面,浏览器向单点登录的服务器请求页面,请求成功后返回页面,用户在浏览器中输入用户名和密码,浏览器将用户名和密码发送至单点登录的服务器进行单点登录,登录成功后,反馈用户标识信息,浏览器将用户标识信息写入cookie,浏览器向业务服务器请求业务数据,业务服务器向单点登录的服务器请求业务数据,返回业务数据,并通过浏览器展示给用户。通常cookie保存在本地文件中,有被木马盗取的可能性。业务服务器默认为单点登录的服务器是可信任的,只进行单向验证,业务服务器本身无法判断获取到的用户信息是否可靠。业务服务器的接入流程比较复杂,存在大量的判断、重定向逻辑都需要业务服务器完成。基于此,本技术提供一种单点登录的方法,在保证信息安全的情况下,提高单点登录的效率。
34.下面具体介绍单点登录过程。本技术下述实施例中,“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b,可以表示:单独存在a,同时存在a和b,单独存在b的情况,其中a,b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式,除非其上下文中明确地有相反指示。以及,除非有相反的说明,本技术实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。例如,第一任务执行设备和第二任务执行设备,只是为了区分不同的任务执行设备,而并不是表示这两种任务执行设备的优先级或者重要程度等的不同。
35.在本技术说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本技术的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
36.本技术一种单点登录的应用场景如图2所示,包括电子设备、用户,电子设备设置有浏览器,浏览器设置有多个浏览器插件,图2以浏览器加载3个浏览器插件为例来说明,浏
览器插件1对应的网址a,浏览器插件2对应的网址b,浏览器插件3对应的网址c,通常用户在网址查询数据可能还需要登录在网址上注册的用户名。用户想要访问网址1,在打开电子设备后,点击浏览器点击网址1后即可获取网址1中用户的业务数据,无需在网址1中再次登录在网址1上注册的用户名,该方式可以提高数据的处理效率,且给用户带来良好的业务体验。
37.图3为本技术实施例提供的一种单点登录的方法的流程示意图,该方法可用于电子设备或业务服务器,可通过电子设备与业务服务器的分别实现,也可通过电子设备与业务服务器的交互来实现,本技术在此不具体限定,下面以两者交互为例来说明。可执行如下:
38.步骤301,电子设备可基于浏览器检测到的目标对象的访问请求,确定第一浏览器插件对应的页面数据访问请求;第一浏览器插件为多个浏览器插件中的一个;页面数据访问请求中携带有第一随机数的签名以及加密后的第一浏览器插件的标识;第一随机数是业务服务器生成的;第一随机数的签名是通过业务服务器的私钥签名确定的。
39.需要说明的是,页面数据访问请求中携带第一随机数的签名,以确保电子设备的安全身份,保证数据处理的安全性。第一随机数可以为业务服务器发送给浏览器的,也可为浏览器发送请求后,业务服务器发送的,本技术在此不具体限定,以浏览器发送请求后,业务服务器再发送第一随机数为例来说明。
40.例如,电子设备检测到目标对象的访问请求,则向业务服务器发送页面请求;电子设备接收来自业务服务器的页面请求的响应信息,页面请求的响应信息包括第一随机数、业务服务器的标识以及第一浏览器插件对应的页面。通常电子设备可向多个业务服务器请求业务数据,业务服务器回馈电子设备的请求响应可携带业务服务器的标识便于快速获取业务数据。
41.之后,电子设备基于浏览器加载第一浏览器插件对应的页面后,通过第一浏览器插件对第一随机数以及业务服务器的标识进行加密处理,得到加密的第一随机数以及加密的业务服务器的标识;基于第一浏览器插件将加密的第一随机数以及加密的业务服务器的标识进行签名处理,确定第一随机数的签名。从业务服务器获取第一随机数后,进行签名处理以便业务服务器验证通过后,确定电子设备的安全身份,从验证服务器获取目标对象的登录名,该方式可以保证单点登录过程中数据处理的安全性。
42.步骤302,电子设备向业务服务器发送页面数据访问请求;相应地,业务服务器可接收来自电子设备的浏览器的第一浏览器插件对应的页面数据访问请求。
43.步骤303,业务服务器采用业务服务器的公钥验证页面访问请求中第一随机数的签名。
44.步骤304,若验证通过后,业务服务器从验证服务器获取目标对象的登录名,并根据目标对象的登录名查询业务数据。
45.步骤305,业务服务器发送业务数据至浏览器;相应地,电子设备接收业务服务器反馈的业务数据。
46.本技术中,单点登录时,电子设备在请求页面数据时,携带业务系统生成第一随机数的签名到业务系统进行验证,业务系统在接到请求时用公钥验证签名,验证通过后,就可以从验证服务器获取目标对象的登录名,并根据目标对象的登录名查询业务数据,发送业
务数据至浏览器,该方式并非从浏览器的cookie获取目标对象的登录名,也并非从中间件获取的目标对象的登录名,而是经过验证后,从验证服务器获取的目标对象的登录名,可以保证目标对象的登录名的可靠性,且可保证单点登录的安全性。
47.在一种可选的方式中,电子设备可基于第一浏览器插件向ad域服务请求目标对象的登录名以及电子设备的地址;电子设备接收ad域服务的响应信息,ad域服务的响应信息包括目标对象的登录名以及电子设备的地址;电子设备基于第一浏览器插件根据电子设备的地址以及当前的时间戳确定第一浏览器插件的标识以及第二随机数;电子设备基于第一浏览器插件将加密后的目标对象的登录名、加密后的第一浏览器插件的标识以及第二随机数发送至验证服务器进行签名处理,确定第二随机数的签名;验证服务器解密目标对象的登录名、第一浏览器插件的标识后并存储;电子设备基于第一浏览器插件验证第二随机数的签名;其中,所述验证服务器存储所述第一浏览器插件的私钥以及所述业务服务器的私钥。
48.需要说明的是,不同的浏览器插件对应不同的网址,如浏览器插件1对应的网址1,通常目标对象在网址1查询数据可能还需要登录在网址1上注册的用户名。ad域用来存储用户账户信息、计算机账户信息、打印机和共享文件夹等对象,而提供目录服务的组件就是ad域服务,主要负责目录数据库的存储、添加、删除、修改与查询等操作。电子设备通过ad域服务获取目标对象在第一浏览器插件的登录名后,进行签名验证,存储在验证服务器中,通过该方式目标对象无需再打开浏览器后在第一浏览器插件对应的网址再次输入登录名,通过该方式可以提高数据的处理效率,且提高用户的体验,且业务服务器在对电子设备验证通过后,是从验证服务器获取的目标对象的登录名信息,而非cookie,通过该方式可以保证用户信息的安全。
49.在一种可选的方式中,业务服务器从验证服务器获取目标对象的登录名之前,业务服务器可基于业务服务器的标识、业务服务器的令牌以及第三随机数生成业务请求签名;业务服务器将业务请求签名、加密后的第一浏览器插件的标识、业务服务器的标识以及第三随机数发送至验证服务器进行签名验证;若签名验证成功,则接收来自验证服务器根据第一浏览器插件的标识查询到的目标对象的登录名。
50.该方式中,验证服务器验证业务服务器的签名后,查询目标对象的登录名并反馈给业务服务器,业务服务器基于目标对象的登录名,检索相关的业务数据,业务服务器对电子设备的身份验证通过后,验证服务器对业务服务器的身份进行验证,验证均通过后,才查询目标对象的业务数据,该方式可保证单点登录的安全性,且身份验证的操作,不全在业务服务器端进行操作,可以减少业务服务器的数据处理压力,提高数据处理效率。
51.为了更好地说明本技术的方案,通过图4所示的单点登录方法来具体示意,第一浏览器插件保存第一浏览器插件的公钥p_pub,验证服务器保存第一浏览器插件的私钥p_inv以及业务服务器的私钥b_inv,目标对象的登录名为user,电子设备的地址为ip,第一随机数为b_ran,第一随机数的签名b_ran_enc,加密的目标对象的登录名user_enc,加密的第一浏览器插件的标识p_key_enc,第一浏览器插件的标识p_key,第二随机数为p_ran,第二随机数的签名p_ran_sign,业务服务器的公钥b_pub,业务服务器的标识b_appid,业务服务器的令牌b_token,第三随机数b_nonce,业务请求签名b_req_sign。
52.第一浏览器插件可从ad域服务获取user、ip以及时间戳,生成p_key:p_key=ip
时间戳,以及第二随机数:p_ran,之后第一浏览器插件可对p_key和user进行加密处理,在加密时可采用rsa进行加密,也可采用其他方式进行加密本技术在此不具体限定,具体如下:
53.p_key_enc=rsa.encrypt(p_key,p_pub)
54.user_enc=rsa.encrypt(user,p_pub)
55.之后,第一浏览器插件可发送信息至验证服务器,注册第一浏览器插件与目标对象的关系,验证服务器通过第一浏览器插件的私钥解密得到p_key、user并将p_key、user存入数据库,并为签名p_ran返回至第一浏览器插件:p_ran_sign=rsa.sign(p_ran,p_inv)。第一浏览器插件校验第二随机数的签名,避免有中间系统拦截请求,可通过rsa.verify(p_ran_sign,p_pub)来验证第二随机数的签名是否有效。
56.目标对象也即用户在浏览器输入网址,业务服务器响应浏览器请求,返回第一浏览器插件对应的页面,并生成b_ran,将b_ran、b_appid写入cookie中,用于后续接口校验用户信息是否有效。浏览器页面加载完成后,第一浏览器插件加密b_ran和b_appid得到b_ran_enc和b_appid_enc后发送至验证服务器,采用b_inv进行签名后得到b_ran_sign,返回至浏览器插件,验证服务器可根据b_appid获取b_inv,b_ran_sign=rsa.sign(b_ran,b_inv)。第一浏览器插件修改所有业务服务器的请求头(也即页面数据访问请求),在请求头中放入p_key_enc、b_ran_sgin。业务服务器在接到浏览器发送的页面数据请求后,从请求头之后取出p_key_enc、b_ran_sgin,先验证签名有效性,避免伪造用户信息,再从验证服务器获取用户信息也即user,具体可依序执行下述步骤:
57.步骤a.验证签名b_ran_sgin是否有效=rsa.verify(b_ran_sign,b_pub);
58.步骤b.生成签名:b_req_sign=generate_sign(b_appid,b_token,b_nonce);
59.步骤c.将b_req_sign、p_key_enc、b_appid、b_nonce发送至验证服务器;
60.步骤d.验证服务器根据b_appid取出b_token,根据b_token、b_appid、b_nonce生成签名,与b_req_sign比较,若一致则返回用户信息。
61.步骤e.验证服务器可以根据p_key_enc做用户信息缓存,避免短时间内重复从验证服务器获取用户信息。
62.需要说明的是,业务服务器的集成复用性比较低,用一个可信的第三方服务也即验证服务器,可以减少业务服务器的复用率,并且浏览器插件和验证服务器之间是需要持有一对密钥,而不是将密钥均放置在业务服务器中,如果将密钥都放在业务服务器中,每个业务服务器中都会持有这对密钥了,密钥泄露的风险会提高,那浏览器插件的可信度也会降低了。
63.图5示出了本技术的执行逻辑,如下:
64.流程1、第一浏览器插件从本地ad域服务,是获取目标对象的登录名,该过程无需验证;
65.流程2、第一浏览器插件上报目标对象的登录名信息、第二随机数、第一浏览器插件的标识等信息至验证服务器,第一浏览器插件采用公钥对信息进行加密。
66.流程3、验证服务器返回第二随机数签名,第一浏览器插件用公钥验证签名。
67.流程4、业务服务器将第一随机数、业务服务器的标识传输至第一浏览器插件,第一浏览器插件写入cookie,不加密。
68.流程5、第一浏览器插件传输加密的第一随机数和业务服务器的标识至验证服务器。
69.流程6、验证服务器解密得到第一随机数、业务服务器的标识,使用业务系统私钥签名第一随机数,得到第一随机数的签名。
70.流程7、第一浏览器插件将第一随机数的签名发送至业务服务器进行签名验证。
71.流程8、业务服务器从验证服务器获取用户信息。
72.基于同样的构思,本技术实施例提供一种单点登录装置,如图6所示,包括:确定单元61、发送单元62以及接收单元63。
73.其中,确定单元61,用于基于浏览器检测到的目标对象的访问请求,确定第一浏览器插件对应的页面数据访问请求;第一浏览器插件为多个浏览器插件中的一个;页面数据访问请求中携带有第一随机数的签名以及加密后的第一浏览器插件的标识;第一随机数是业务服务器生成的;第一随机数的签名是通过业务服务器的私钥签名确定的;发送单元62,用于向业务服务器发送页面数据访问请求,以使业务服务器在验证页面访问请求通过后,从验证服务器获取目标对象的登录名,并根据目标对象的登录名查询业务数据;接收单元63,用于接收业务服务器反馈的业务数据。
74.本技术中,单点登录时,电子设备在请求页面数据时,携带业务系统生成第一随机数的签名到业务系统进行验证,业务系统在接到请求时用公钥验证签名,验证通过后,就可以从验证服务器获取目标对象的登录名,并根据目标对象的登录名查询业务数据,发送业务数据至浏览器,该方式并非从浏览器的cookie获取目标对象的登录名,也并非从中间件获取的目标对象的登录名,而是经过验证后,从验证服务器获取的目标对象的登录名,可以保证目标对象的登录名的可靠性,且可保证单点登录的安全性。
75.在一种可选的方式中,单点登录装置还包括处理单元,可基于第一浏览器插件向活动目录(active directory,ad)域服务请求目标对象的登录名以及电子设备的地址;电子设备接收ad域服务的响应信息,ad域服务的响应信息包括目标对象的登录名以及电子设备的地址;电子设备基于第一浏览器插件根据电子设备的地址以及当前的时间戳确定第一浏览器插件的标识以及第二随机数;电子设备基于第一浏览器插件将加密后的目标对象的登录名、加密后的第一浏览器插件的标识以及第二随机数发送至验证服务器进行签名处理,确定第二随机数的签名;验证服务器解密目标对象的登录名、第一浏览器插件的标识后并存储;电子设备基于第一浏览器插件验证第二随机数的签名;其中,验证服务器存储业务服务器的私钥,第一浏览器插件存储业务服务器的公钥。
76.需要说明的是,不同的浏览器插件对应不同的网址,如浏览器插件1对应的网址1,通常目标对象在网址1查询数据可能还需要登录在网址1上注册的用户名。ad域用来存储用户账户信息、计算机账户信息、打印机和共享文件夹等对象,而提供目录服务的组件就是ad域服务,主要负责目录数据库的存储、添加、删除、修改与查询等操作。电子设备通过ad域服务获取目标对象在第一浏览器插件的登录名后,进行签名验证,存储在验证服务器中,通过该方式目标对象无需再打开浏览器后在第一浏览器插件对应的网址再次输入登录名,通过该方式可以提高数据的处理效率,且提高用户的体验,且业务服务器在对电子设备验证通过后,是从验证服务器获取的目标对象的登录名信息,而非cookie,通过该方式可以保证用户信息的安全。
77.在一种可选的方式中,单点登录装置还包括处理单元,处理单元检测到目标对象的访问请求,则向业务服务器发送页面请求;电子设备接收来自业务服务器的页面请求的响应信息,页面请求的响应信息包括第一随机数、业务服务器的标识以及第一浏览器插件对应的页面。
78.需要说明的是,电子设备检测到目标对象的访问请求后,想要请求第一浏览器插件的页面,以便在加载页面成功后,更加快速地获取业务数据。
79.在一种可选的方式中,处理单元还基于浏览器加载第一浏览器插件对应的页面后,通过第一浏览器插件对第一随机数以及业务服务器的标识进行加密处理,得到加密的第一随机数以及加密的业务服务器的标识;基于第一浏览器插件将加密的第一随机数以及加密的业务服务器的标识进行签名处理,确定第一随机数的签名。
80.需要说明的是,从业务服务器获取第一随机数后,进行签名处理以便业务服务器验证通过后,确定电子设备的安全身份,从验证服务器获取目标对象的登录名,该方式可以保证单点登录过程中数据处理的安全性。
81.基于同样的构思,本技术实施例提供一种单点登录装置,如图7所示,包括:接收单元71、验证单元72、查询单元73以及发送单元74。
82.其中,接收单元71,用于接收来自电子设备的浏览器的第一浏览器插件对应的页面数据访问请求;第一浏览器插件为多个浏览器插件中的一个;页面数据访问请求中携带有第一随机数的签名以及加密后的第一浏览器插件的标识;第一随机数是业务服务器生成的;第一随机数的签名是通过业务服务器的私钥签名确定的;验证单元72,用于采用业务服务器的公钥验证页面访问请求中第一随机数的签名;查询单元73,用于若验证通过后,从验证服务器获取目标对象的登录名,并根据目标对象的登录名查询业务数据;发送单元74,用于发送业务数据至浏览器。
83.在一种可选的方式中,单点登录装置还包括处理单元,基于业务服务器的标识、业务服务器的令牌以及第三随机数生成业务请求签名;业务服务器将业务请求签名、加密后的第一浏览器插件的标识、业务服务器的标识以及第三随机数发送至验证服务器进行签名验证;若签名验证成功,则接收来自验证服务器根据第一浏览器插件的标识查询到的目标对象的登录名。
84.该方式中,验证服务器验证业务服务器的签名后,查询目标对象的登录名并反馈给业务服务器,业务服务器基于目标对象的登录名,检索相关的业务数据,业务服务器对电子设备的身份验证通过后,验证服务器对业务服务器的身份进行验证,验证均通过后,才查询目标对象的业务数据,该方式可保证单点登录的安全性,且身份验证的操作,不全在业务服务器端进行操作,可以减少业务服务器的数据处理压力,提高数据处理效率。
85.在介绍了本技术示例性实施方式中的单点登录方法、装置之后,接下来,介绍本技术的另一示例性实施方式的计算设备。
86.所属技术领域的技术人员能够理解,本技术的各个方面可以实现为系统、方法或程序产品。因此,本技术的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
87.在一些可能的实施方式中,根据本技术的计算设备可以至少包括至少一个处理
器、以及至少一个存储器。其中,存储器存储有计算机程序,当计算机程序被处理器执行时,使得处理器执行本说明书上述描述的根据本技术各种示例性实施方式的单点登录方法中的步骤。例如,处理器可以执行如图3中所示的步骤301-步骤305。
88.下面参照图8来描述根据本技术的这种实施方式的计算设备130。图8显示的计算设备130仅仅是一个示例,不应对本技术实施例的功能和使用范围带来任何限制。如图8所示,计算设备130以通用智能终端的形式表现。计算设备130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
89.总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(ram)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(rom)1323。存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
90.计算设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,和/或与使得该计算设备130能与一个或多个其它智能终端进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口135进行。并且,计算设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(lan),广域网(wan)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于计算设备130的其它模块通信。应当理解,尽管图中未示出,可以结合计算设备130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
91.在一些可能的实施方式中,本技术提供的交易数据备份方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当程序产品在计算机设备上运行时,计算机程序用于使计算机设备执行本说明书上述描述的根据本技术各种示例性实施方式的单点登录方法中的步骤。例如,处理器可以执行如图3中所示的步骤301-步骤305。
92.程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
93.本技术的实施方式的用于三维视觉重定位的程序产品可采用便携式紧凑盘只读存储器(cd-rom)并包括计算机程序,并可在智能终端上运行。但本技术的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可被指令执行系统、装置或者器件使用或者与其结合使用。
94.可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁
信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
95.应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本技术的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
96.此外,尽管在附图中以特定顺序描述了本技术方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
97.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程访问频次的预测设备的处理器以产生一个机器,使得通过计算机或其他可编程访问频次的预测设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
98.这些计算机程序指令也可存储在能引导计算机或其他可编程访问频次的预测设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
99.这些计算机程序指令也可装载到计算机或其他可编程访问频次的预测设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
100.尽管已描述了本技术的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
101.显然,本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样,倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内,则本技术也意图包含这些改动和变型在内。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
