[发明专利]支持跨网络区域多终端多凭证的身份认证和鉴权系统有效
| 申请号: | 202110138169.3 | 申请日: | 2021-02-01 |
| 公开(公告)号: | CN113067797B | 公开(公告)日: | 2023-04-07 |
| 发明(设计)人: | 何钧雷;金越成;王志宽;范明柯;王惠文;丁万超 | 申请(专利权)人: | 上海金融期货信息技术有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 上海专利商标事务所有限公司 31100 | 代理人: | 施浩 |
| 地址: | 200122 上海市浦东新*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 支持 网络 区域 终端 凭证 身份 认证 系统 | ||
1.一种支持跨网络区域多终端多凭证的身份认证和鉴权系统,其特征在于,系统包括统一认证模块、权限管理模块、认证切面模块、鉴权切面模块,各个应用系统通过集成认证切面模块和鉴权切面模块接入到整个统一身份认证和鉴权体系中,且分别在统一认证模块和权限管理模块中配置认证策略和权限策略,其中:
统一认证模块包含管理端和服务端,统一认证模块的管理端用于提供配置系统的认证策略,系统资源的访问权限和认证策略进行绑定,以使不同的认证策略拥有各自对应的资源权限范围,统一认证模块的服务端用于提供登录接口处理用户登录请求,通过会话校验接口进行登录校验;
权限管理模块包含管理端和服务端,权限管理模块的管理端用于提供权限管理,权限管理模块的服务端用于提供获取用户权限列表的接口;
认证切面模块用于处理业务请求前调用统一认证服务进行会话校验;
鉴权切面模块用于会话校验后判断该会话是否有权限进入业务请求方法;
其中,系统认证策略是多维度的,包括网络区域、终端类型和凭据类型,每个维度的数据均可以在统一认证模块的管理端进行配置,每一个应用系统对应配置一个或多个系统认证策略;
其中,网络区域的参数并不是由用户指定的,而是配置在每个网络区域里的代理服务器上,所有的前后端访问都先经过本区域的代理服务器,由代理服务器加上代表本网络区域的请求头后再转发到后端,以防止用户伪造请求发起的网络区域。
2.根据权利要求1所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统,其特征在于,统一认证模块和权限管理模块均是基于springboot开发的web应用。
3.根据权利要求2所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统,其特征在于,不同认证策略产生的登录凭证对应设置不同的安全级别,不同应用系统登录后产生各自的令牌,不同应用系统之间的令牌转换以及权限资源的控制都和统一认证模块管理端所配置的安全级别关联,安全级别较高的令牌可以换安全级别较低的令牌,通过在统一认证模块管理端设置系统间令牌互认的规则,实现统一身份认证以及防止从低安全级别系统登录后可以直接访问高安全级别系统。
4.根据权利要求3所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统,其特征在于,统一认证模块服务端的登录校验包括先进行认证策略检验,再进行凭据合法性校验,只有两个校验都成功才允许登录系统,其中认证策略校验是根据请求传过来的系统名、网络区域、用户名、凭据类型,判断该系统是否在统一认证模块的管理端配置过该认证策略,凭据合法性校验是判断凭据信息是否准确。
5.根据权利要求4所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统,其特征在于,权限管理模块管理端进行权限管理的模型是基于角色访问控制的权限管理模型,系统资源的粒度为系统-菜单-方法,资源指定对应的安全级别并分配给角色,拥有该角色的用户在获得不低于资源安全级别的登录凭据后就拥有该资源的访问权限。
6.根据权利要求5所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统,其特征在于,系统还配置一次成功登录并进行业务请求的时序进程:
用户进入系统前端登录界面,输入用户名、选择凭据类型、输入凭据信息,发起登录请求;
登录请求经过用户所在网络区域的代理,代理给请求打上带网络区域标签的请求头,再转发到统一认证模块;
统一认证模块处理用户登录请求,先进行认证策略的校验,再进行凭据合法性校验;
登录校验成功后记录产生的登录凭证令牌并返回给系统前端,令牌中记录了安全级别信息;
系统前端发起业务请求,经过代理服务后转发到系统后端;
在进入业务方法前,系统后端集成的认证切面模块携带令牌调用统一认证模块提供的会话校验接口进行身份认证;
身份认证成功后,系统后端集成的鉴权切面模块携带令牌调用权限管理模块提供的获取用户权限列表的接口,令牌中包含了安全级别,通过用户、安全级别计算出该用户拥有的权限列表,权限列表缓存在系统后端,如果用户请求的方法在权限列表中则鉴权成功,进入业务方法;
系统执行业务方法,返回结果到前端,代表一次业务请求的结束。
7.根据权利要求5所述的支持跨网络区域多终端多凭证的身份认证和鉴权系统,其特征在于,系统还配置一次系统间跳转并进行业务请求的时序进程:
用户已经成功登陆第一系统,附带系统第一系统对应的令牌;
用户从第一系统跳转到第二系统;
第二系统发起业务请求到第二系统的后端;
在进入业务方法前,第二系统后端集成的认证切面模块携带第一系统的令牌调用统一认证模块提供的会话校验接口进行身份认证;
统一认证模块进行身份认证时,发现没有第二系统对应的令牌,触发会话转换,尝试用其他系统的令牌来生成第二系统的令牌,其中生成第二系统的令牌需要满足规则:第二系统配置的认证策略包含第一系统的令牌中指定的网络区域、设备类型、凭据类型,第二系统配置的该认证策略的安全级别不高于第一系统的令牌对应的安全级别;
身份认证成功后,第二系统后端集成的鉴权切面模块携带自己的令牌调用权限管理模块提供的获取用户权限列表的接口,如果用户请求的方法在权限列表中则鉴权成功,进入业务方法;
第二系统执行业务方法,返回结果到前端,代表第二系统的一次业务请求结束。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海金融期货信息技术有限公司,未经上海金融期货信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110138169.3/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种双头鼓式探针的运输装置
- 下一篇:一种匹配式超宽带定位系统架构设计方法
