国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種認(rèn)證接入方法和認(rèn)證系統(tǒng)的制作方法

      文檔序號:7870592閱讀:139來源:國知局
      專利名稱:一種認(rèn)證接入方法和認(rèn)證系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域,具體而言,涉及一種認(rèn)證接入方法和認(rèn)證系統(tǒng)。
      背景技術(shù)
      隨著信息安全技術(shù)的不斷發(fā)展,人們對身份安全認(rèn)證意識的不斷提高,對于不同級別或?qū)哟螛I(yè)務(wù)或操作,采用不同安全認(rèn)證方案成為一種趨勢。例如,在金融行業(yè)中,對于不同風(fēng)險等級的應(yīng)用而言,需要不同等級的用戶身份認(rèn)證方案,也就是說,對于同一用戶而言,需要在不同應(yīng)用服務(wù)之間反復(fù)的進行身份認(rèn)證接入處理操作,認(rèn)證效率極低。例如,某一銀行A為提高報表展現(xiàn)效率,建立了集中顯示報表服務(wù)的應(yīng)用服務(wù)端,作為前端的該應(yīng)用服務(wù)端以后端的多個報表服務(wù)端為支撐,集中顯示后端多個報表服務(wù)端的的處理結(jié)果。然而,為確保報表數(shù)據(jù)的安全需要,一般的銀行都會對不同的應(yīng)用服務(wù)采用 不同等級的身份認(rèn)證方案,這就是說,后端的每一個應(yīng)用服務(wù)采用不同認(rèn)證方案的服務(wù)端接入前端的應(yīng)用服務(wù)端,每次都需要為其在應(yīng)用服務(wù)端和報表服務(wù)端進行一次手工配置,以將后端的多個報表服務(wù)端在集成的應(yīng)用服務(wù)端上進行顯示,這種認(rèn)證接入配置繁瑣,效率較低,導(dǎo)致認(rèn)證服務(wù)系統(tǒng)的整體認(rèn)證集成度低下。

      發(fā)明內(nèi)容
      本發(fā)明提供了一種認(rèn)證接入方法和認(rèn)證系統(tǒng),對于采用集成的第一服務(wù)端對多個第二服務(wù)端進行展現(xiàn)的場景而言,在不同的應(yīng)用服務(wù)即不同認(rèn)證方案中,僅需在第一服務(wù)端配置一次,即可實現(xiàn)對第二服務(wù)端的訪問,實現(xiàn)了在第一服務(wù)端和第二服務(wù)端之間的單點登錄,提高了認(rèn)證服務(wù)系統(tǒng)的整體集成度。根據(jù)本發(fā)明實施方式的第一方面,提供了一種認(rèn)證接入方法,包括通過用戶名登陸第一服務(wù)端,在通過所述第一服務(wù)端的認(rèn)證后,生成認(rèn)證標(biāo)識,其中所述認(rèn)證標(biāo)識與所述登陸第一服務(wù)端的時間相關(guān)聯(lián);將所述用戶名和所述認(rèn)證標(biāo)識寫入所述第一服務(wù)端的數(shù)據(jù)庫以及與所述第一服務(wù)端連接的一個或一個以上第二服務(wù)端的數(shù)據(jù)庫;若通過所述第一服務(wù)端根據(jù)所述用戶名訪問所述第二服務(wù)端,則啟動部署在所述第二服務(wù)端的接入模塊根據(jù)所述用戶名從所述第二服務(wù)端的數(shù)據(jù)庫讀取認(rèn)證標(biāo)識,并將所讀取的認(rèn)證標(biāo)識與從所述第一服務(wù)端的數(shù)據(jù)庫中讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則允許繼續(xù)訪問所述第二服務(wù)端。根據(jù)本發(fā)明實施方式的第二方面,提供了一種認(rèn)證系統(tǒng),包括第一服務(wù)端、與所述第一服務(wù)端連接的一個或一個以上第二服務(wù)端、部署在所述第一服務(wù)端的生成模塊和部署在所述第二服務(wù)端的接入模塊,其中,第一服務(wù)端,用于通過用戶名登陸;所述生成模塊,用于在通過所述第一服務(wù)端的認(rèn)證后,生成認(rèn)證標(biāo)識,其中所述認(rèn)證標(biāo)識與所述登陸第一服務(wù)端的時間相關(guān)聯(lián),并將所述用戶名和所述認(rèn)證標(biāo)識寫入所述第一服務(wù)端的數(shù)據(jù)庫以及與所述第一服務(wù)端連接的一個或一個以上第二服務(wù)端的數(shù)據(jù)庫;所述接入模塊,用于若通過所述第一服務(wù)端根據(jù)所述用戶名訪問所述第二服務(wù)端,根據(jù)所述用戶名從所述第二服務(wù)端的數(shù)據(jù)庫讀取認(rèn)證標(biāo)識,并將所讀取的認(rèn)證標(biāo)識與從所述第一服務(wù)端的數(shù)據(jù)庫中讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則允許繼續(xù)訪問所述第二服務(wù)端。本發(fā)明實施方式提供的認(rèn)證接入方法和認(rèn)證系統(tǒng),通過在登陸第一服務(wù)端后生成與登陸時間相關(guān)聯(lián)的一次性認(rèn)證 標(biāo)識,并將該認(rèn)證標(biāo)識和用戶名寫入第一服務(wù)端和第二服務(wù)端的數(shù)據(jù)庫,當(dāng)通過第一服務(wù)端訪問第二服務(wù)端時,通過配置在第二服務(wù)端的接入模塊讀取兩個服務(wù)端的認(rèn)證標(biāo)識并進行比對,比對一致后可繼續(xù)訪問第二服務(wù)端,通過用戶名結(jié)合認(rèn)證標(biāo)識的方式實現(xiàn)了對第一服務(wù)端和第二服務(wù)端之間的單點登錄,提高了認(rèn)證服務(wù)系統(tǒng)的整體集成度。


      圖1圖示了根據(jù)本發(fā)明實施方式的認(rèn)證接入方法的示意圖。圖2圖示了根據(jù)本發(fā)明實施方式的認(rèn)證系統(tǒng)的示意圖。
      具體實施例方式為使本發(fā)明的實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明作進一步地詳細(xì)描述。參考圖1,圖示了根據(jù)本發(fā)明實施方式的認(rèn)證接入方法的示意圖,具體而言,該認(rèn)證接入方法包括S101,通過用戶名登陸第一服務(wù)端,S102,在通過所述第一服務(wù)端的認(rèn)證后,生成認(rèn)證標(biāo)識,其中所述認(rèn)證標(biāo)識與所述登陸第一服務(wù)端的時間相關(guān)聯(lián);S103,將所述用戶名和所述認(rèn)證標(biāo)識寫入所述第一服務(wù)端的數(shù)據(jù)庫以及與所述第一服務(wù)端連接的一個或一個以上第二服務(wù)端的數(shù)據(jù)庫;S104,若通過所述第一服務(wù)端根據(jù)所述用戶名訪問所述第二服務(wù)端,則啟動部署在所述第二服務(wù)端的接入模塊根據(jù)所述用戶名從所述第二服務(wù)端的數(shù)據(jù)庫讀取認(rèn)證標(biāo)識,并將所讀取的認(rèn)證標(biāo)識與從所述第一服務(wù)端的數(shù)據(jù)庫中讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則允許繼續(xù)訪問所述第二服務(wù)端。本發(fā)明實施方式中,用戶通過用戶名登陸第一服務(wù)端,其中第一服務(wù)端可以是為多種不同應(yīng)用系統(tǒng)提供統(tǒng)一報表展現(xiàn)的集成的應(yīng)用服務(wù)端(例如,可以是中國建設(shè)銀行開發(fā)的RIDE服務(wù)端),而第二服務(wù)端可以是各種行業(yè)領(lǐng)先的BI報表工具(例如,Cognos服務(wù)端),作為前端的第一服務(wù)端(例如,RIDE端)以作為后端的第二服務(wù)端為支撐。在一些特定實施方式中,企業(yè)資源管理系統(tǒng)、統(tǒng)計信息管理系統(tǒng)等應(yīng)用系統(tǒng)的報表展現(xiàn)功能不用進行單獨開發(fā),它們可以利用RIDE+Cognos的功能獲得所有基本的報表展現(xiàn)服務(wù)。第一服務(wù)端和第二服務(wù)端之間通過webservice方式進行通訊,換而言之,第一服務(wù)端和第二服務(wù)端中的任意一個服務(wù)端通過調(diào)用另一個服務(wù)端提供的webservice接口來取得進入的入口方式。在同一應(yīng)用服務(wù)中,第一服務(wù)端和第二服務(wù)端采用相同的認(rèn)證方法,而對于不同的應(yīng)用服務(wù),基于認(rèn)證安全的需要采用不同的認(rèn)證方法。例如,對于應(yīng)用aa來說,第一服務(wù)端和第二服務(wù)端可以采用認(rèn)證方法AA ;而對于應(yīng)用bb來說(其中,bb應(yīng)用是與aa應(yīng)用不同的應(yīng)用),第一服務(wù)端和第二服務(wù)端可以均采用認(rèn)證方法BB (例如,認(rèn)證方法BB可以是與認(rèn)證方法AA不同的認(rèn)證方法)。本發(fā)明提供的認(rèn)證接入方法可以在不同應(yīng)用服務(wù)(也就是對應(yīng)不同認(rèn)證方法)的場景下,無需對各個不同應(yīng)用對應(yīng)的不同認(rèn)證方法單獨進行認(rèn)證配置,而是利用統(tǒng)一的認(rèn)證標(biāo)識進行認(rèn)證處理,這種認(rèn)證接入方法顯著改善了認(rèn)證處理的接入效率,特別在第二服務(wù)端個數(shù)較多(換而言之,對應(yīng)應(yīng)用服務(wù)數(shù)目較大)的場景中。在通過用戶名登陸第一服務(wù)端后進行認(rèn)證處理,不管采用的是何種認(rèn)證方案,當(dāng)然前提是已經(jīng)在第一服務(wù)端配置完成相關(guān)認(rèn)證信息,在該用戶名通過第一服務(wù)端的認(rèn)證后,第一服務(wù)端記錄該用戶名的登陸狀態(tài)為“已成功登陸”。在該用戶名通過認(rèn)證后,第一服務(wù)端部署的生成模塊將為該用戶名生成認(rèn)證標(biāo)識,該認(rèn)證標(biāo)識與該用戶名登陸第一服務(wù)端的時間相關(guān)聯(lián),也就是說,該認(rèn)證標(biāo)識隨用戶名 登陸第一服務(wù)端的時間變化而變化,同一用戶名在不同時間點登陸第一服務(wù)端所生成的認(rèn)證標(biāo)識不同。這種方式生成的認(rèn)證標(biāo)識可確保認(rèn)證標(biāo)識的實時性和唯一性,提高認(rèn)證接入的安全性。在本發(fā)明的一些實施方式中,認(rèn)證標(biāo)識可以是與登陸第一服務(wù)端的時間相關(guān)聯(lián)的字符串,例如,可以是32位的隨機字符串。本領(lǐng)域技術(shù)人員可采用能實現(xiàn)上述目的的任何形式的認(rèn)證標(biāo)識,并不限于本文中提到的實施方式。然后,將用戶本次登陸的用戶名和該用戶名本次登陸第一服務(wù)端生成的認(rèn)證標(biāo)識一起寫入第一服務(wù)端的數(shù)據(jù)庫,同時寫入與第一服務(wù)端連接的一個或一個以上(例如,兩個、三個或更多個)第二服務(wù)端的數(shù)據(jù)庫。本發(fā)明實施方式中的第二服務(wù)端可以是Cognos(國際商業(yè)機器 IBM 公司的 Cognos)、MSTR(Microstrategy)、B0 (Business Object)等專業(yè)商務(wù)智能(Business Intelligence, BI)報表工具服務(wù)端。本發(fā)明實施方式中,在通過第一服務(wù)端認(rèn)證之后,生成認(rèn)證標(biāo)識之前,還包括,從認(rèn)證的數(shù)據(jù)庫中獲取該用戶名所屬機構(gòu)和所屬角色,以及該用戶名所屬應(yīng)用的所有機構(gòu)和所有角色,并將該用戶名、該用戶名所屬機構(gòu)、該用戶名所屬角色組成認(rèn)證信息,然后將組成的認(rèn)證信息以及該用戶名所屬應(yīng)用所有機構(gòu)和角色寫入第一服務(wù)端的數(shù)據(jù)庫(例如,oracle數(shù)據(jù)庫),以便后續(xù)管理用戶對第一服務(wù)端進行權(quán)限管理。例如,對于銀行目前使用的各種認(rèn)證系統(tǒng),一般要求用戶具備所屬機構(gòu)和所屬角色,以此來區(qū)分用戶所應(yīng)授予的權(quán)限,以libin. xm為例,其所屬機構(gòu)可認(rèn)為是“廈門分行”,所屬角色為“會計部門一般查詢?nèi)藛T”,則授予libin. xm的權(quán)限為查看廈門分行會計部的數(shù)據(jù),而不能進行其他操作,如不能對所查看的數(shù)據(jù)變更修改,也不能查看此機構(gòu)之外的數(shù)據(jù)。例如,某張報表“存款明細(xì)表”,在應(yīng)用管理員對該報表授權(quán)時,第一服務(wù)端會將所有機構(gòu)及所有角色列出,方便管理員從中選擇出來進行授權(quán)(比如授予某個機構(gòu)中的某個角色具有查看和刪除該報表的權(quán)限)。其中,同一用戶名以及該用戶名所屬機構(gòu)和角色以一張數(shù)據(jù)庫表的形式保存在數(shù)據(jù)庫中,而該用戶名所屬應(yīng)用的全機構(gòu)、全角色各自以一張數(shù)據(jù)庫表的形式在數(shù)據(jù)庫中進行存儲。需要說明的是,當(dāng)用戶退出第一服務(wù)端后,除了該用戶名所屬應(yīng)用的全機構(gòu)、全角色之外的其他信息,例如本次登錄生成的認(rèn)證標(biāo)識、該用戶名所屬機構(gòu)和角色等都會刪除,節(jié)省了存儲空間,也有利于減低數(shù)據(jù)庫中存在多個認(rèn)證標(biāo)識而導(dǎo)致的查詢壓力。
      用戶在第一服務(wù)端登陸后,可以根據(jù)用戶名通過第一服務(wù)端訪問第二服務(wù)端,若通過第一服務(wù)端根據(jù)用戶名訪問第二服務(wù)端,則啟動部署在第二服務(wù)端的接入模塊,接入模塊根據(jù)訪問第二服務(wù)端的用戶名從第二服務(wù)端的數(shù)據(jù)庫中查詢該用戶名對應(yīng)的認(rèn)證標(biāo)識,并將從第二服務(wù)端數(shù)據(jù)庫讀取的認(rèn)證標(biāo)識與從第一服務(wù)端數(shù)據(jù)庫讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則該接入模塊可以通過向第二服務(wù)端反饋認(rèn)證通過來允許繼續(xù)訪問第二服務(wù)端。本發(fā)明實施方式中,正常情況下,第一服務(wù)端和第二服務(wù)端中存儲的認(rèn)證標(biāo)識均為第一服務(wù)端生成的與該用戶本次登陸時刻關(guān)聯(lián)的認(rèn)證標(biāo)識,此時接入模塊的比對結(jié)果為一致,允許通過第一服務(wù)端繼續(xù)訪問第二服務(wù)端。在本發(fā)明的一些實施方式中,對于cognos服務(wù)端(例如,一個或一個以上服務(wù)端)對應(yīng)的服務(wù)器集群,可以是一臺或一臺以上計算機組成的計算機集群,接入模塊在集群的內(nèi)容管理主機(對于cognos系統(tǒng),管理主機就是Cognos content manager)上進行部署。一般而言,對于一個Cognos計算機集群來說,只有一個內(nèi)容管理主機,也就是說,本發(fā)明實施方式中的接入模塊可以只需部署在一個內(nèi)容管理主機上即可。每次用戶進行訪問時,都可以調(diào)用內(nèi)容管理主機上的接入模塊進行對應(yīng)的處理操作。需要說明的是,本領(lǐng)域技術(shù)人員可以根據(jù)cognos等報表應(yīng)用對于認(rèn)證的 管理方式來確定接入模塊的具體配置方式。本發(fā)明實施方式中,部署在第二服務(wù)端的接入模塊在向第二服務(wù)端反饋認(rèn)證通過,允許通過第一服務(wù)端繼續(xù)訪問第二服務(wù)端之后,還會對第一服務(wù)端在訪問第二服務(wù)端時發(fā)送的認(rèn)證信息進行驗證,具體地,包括驗證用戶名是否正確,若該用戶名正確,則查詢該用戶名對應(yīng)的認(rèn)證信息,所述認(rèn)證信息包括用戶名、該用戶名所屬機構(gòu)和所屬角色,具體而言,根據(jù)用戶名到第一服務(wù)端的數(shù)據(jù)庫中查詢該用戶名所屬機構(gòu)信息,并且根據(jù)用戶名查詢該用戶名所屬角色信息,并獲取該用戶名所屬應(yīng)用的所有機構(gòu)以及該用戶名所屬應(yīng)用的所有角色,并將驗證通過后獲取的信息(包括該用戶名、該用戶名所屬機構(gòu)和所屬角色、和該用戶名所屬應(yīng)用的所有機構(gòu)和所有角色)組裝為第二服務(wù)端可識別的visa對象。本發(fā)明實施方式中,用戶名可認(rèn)為是標(biāo)識用戶的標(biāo)識ID (例如,前述的libin. xm),用戶名與其所屬機構(gòu)和所屬角色關(guān)聯(lián),例如,用戶名可以作為主鍵,該用戶名所屬機構(gòu)和所屬角色則可以作為該用戶名對應(yīng)主鍵的屬性值。本發(fā)明實施方式中采用visa對象進行數(shù)據(jù)封裝,提高了本發(fā)明中認(rèn)證需求的應(yīng)用范圍。第二服務(wù)端在驗證成功后,第二服務(wù)端(例如,Cognos服務(wù)端)可以接收該用戶名的訪問請求,并根據(jù)visa對象分配給用戶應(yīng)具有的服務(wù)權(quán)限,進行相應(yīng)的服務(wù)展現(xiàn)。在用戶退出第二服務(wù)端后,第二服務(wù)端的數(shù)據(jù)庫中除了全機構(gòu)和全角色信息之外其他的信息(例如,登陸第一服務(wù)端生成的認(rèn)證標(biāo)識、該用戶名所屬機構(gòu)和角色等信息)都可以隨之刪除。本發(fā)明實施方式中,接入模塊通過java實施,編譯后形成jar包,第二服務(wù)端支持調(diào)用jar包,同時也可以運行jar包,而接入模塊與第一服務(wù)端之間通過webservice應(yīng)用接口進行通信。以上結(jié)合實施例描述了本發(fā)明的認(rèn)證接入方法,下面將結(jié)合實施例闡述采用上述認(rèn)證接入方法的認(rèn)證系統(tǒng)。參見圖2,圖示了根據(jù)本發(fā)明實施方式的認(rèn)證系統(tǒng)的示意圖,該認(rèn)證系統(tǒng)200包括第一服務(wù)端201、與第一服務(wù)端連接的一個或一個以上第二服務(wù)端202、部署在第一服務(wù)端201的生成模塊2010和部署在第二服務(wù)端202的接入模塊2020,第一服務(wù)端201,用于通過用戶名登陸;所述生成模塊2010,用于在通過所述第一服務(wù)端的認(rèn)證后,生成認(rèn)證標(biāo)識,其中所述認(rèn)證標(biāo)識與所述登陸第一服務(wù)端的時間相關(guān)聯(lián),并將所述用戶名和所述認(rèn)證標(biāo)識寫入所述第一服務(wù)端的數(shù)據(jù)庫以及與所述第一服務(wù)端連接的一個或一個以上第二服務(wù)端的數(shù)據(jù)庫;所述接入模塊2020,用于若通過所述第一服務(wù)端根據(jù)所述用戶名訪問所述第二服務(wù)端,根據(jù)所述用戶名從所述第二服務(wù)端的數(shù)據(jù)庫讀取認(rèn)證標(biāo)識,并將所讀取的認(rèn)證標(biāo)識與從所述第一服務(wù)端的數(shù)據(jù)庫中讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則允許繼續(xù)訪問所述第二服務(wù)端。本發(fā)明實施方式中,用戶通過用戶名登陸第一服務(wù)端201 (例如,可以是中國建設(shè) 銀行開發(fā)的RIDE服務(wù)端),而第二服務(wù)端可以是各種行業(yè)領(lǐng)先的BI報表工具(例如,Cognos服務(wù)端),作為前端的第一服務(wù)端(例如,RIDE端)以作為后端的第二服務(wù)端為支撐。在一些特定實施方式中,企業(yè)資源管理系統(tǒng)、統(tǒng)計信息管理系統(tǒng)等等應(yīng)用系統(tǒng)的報表展現(xiàn)功能不用進行單獨開發(fā),它們可以利用RIDE+Cognos的功能獲得所有基本的報表展現(xiàn)服務(wù)。第一服務(wù)端和第二服務(wù)端之間通過webservice方式進行通訊,換而言之,第一服務(wù)端和第二服務(wù)端中的任意一個服務(wù)端通過調(diào)用另一個服務(wù)端提供的webservice接口來取得進入的入口方式。在同一應(yīng)用服務(wù)中,第一服務(wù)端和第二服務(wù)端采用相同的認(rèn)證方法,而對于不同的應(yīng)用服務(wù),基于認(rèn)證安全的需要采用不同的認(rèn)證方法。本發(fā)明提供的認(rèn)證接入系統(tǒng)可以在不同應(yīng)用服務(wù)(也就是對應(yīng)不同認(rèn)證方法)的場景下,無需對各個不同應(yīng)用對應(yīng)的不同認(rèn)證方法單獨進行認(rèn)證配置,而是利用統(tǒng)一的認(rèn)證標(biāo)識進行認(rèn)證處理,這種認(rèn)證接入方式顯著改善了認(rèn)證處理的接入效率,特別在第二服務(wù)端個數(shù)較多(換而言之,對應(yīng)應(yīng)用服務(wù)數(shù)目較大)的場景中。在該用戶名通過第一服務(wù)端的認(rèn)證后,第一服務(wù)端記錄該用戶名的登陸狀態(tài)為“已成功登陸”。在通過認(rèn)證后,部署在第一服務(wù)端201的生成模塊2010為該用戶名生成認(rèn)證標(biāo)識,該認(rèn)證標(biāo)識與該用戶名登陸第一服務(wù)端的時間相關(guān)聯(lián),也就是說,該認(rèn)證標(biāo)識隨用戶名登陸第一服務(wù)端的時間變化而變化,同一用戶名在不同時間點登陸第一服務(wù)端所生成的認(rèn)證標(biāo)識不同。生成模塊2010采用這種方式生成的認(rèn)證標(biāo)識可確保認(rèn)證標(biāo)識的實時性和唯一性,提高認(rèn)證接入的安全性。在本發(fā)明的一些實施方式中,生成模塊2010生成認(rèn)證標(biāo)識可以是與登陸第一服務(wù)端的時間相關(guān)聯(lián)的字符串,例如,可以是32位的隨機字符串。本領(lǐng)域技術(shù)人員可采用能實現(xiàn)上述目的的任何形式的認(rèn)證標(biāo)識,并不限于本文中提到的實施方式。生成模塊2010在生成認(rèn)證標(biāo)識后,將用戶本次登陸的用戶名和該用戶名本次登陸生成的認(rèn)證標(biāo)識一起寫入第一服務(wù)端的數(shù)據(jù)庫,同時寫入與第一服務(wù)端連接的一個或一個以上(例如,兩個、三個或更多個)第二服務(wù)端的數(shù)據(jù)庫。本發(fā)明實施方式中的第二服務(wù)端可以是 Cognos、MSTR(Microstrategy)、BO (Business Object)等專業(yè)商務(wù)智能 BI 報表工具服務(wù)端。本發(fā)明實施方式中,在通過第一服務(wù)端認(rèn)證之后,生成認(rèn)證標(biāo)識之前,還通過部署在第一服務(wù)端201的獲取模塊,從認(rèn)證的數(shù)據(jù)庫中獲取該用戶名所屬機構(gòu)和所屬角色,以及該用戶名所屬應(yīng)用的所有機構(gòu)和所有角色,并將該用戶名、該用戶名所屬機構(gòu)、該用戶名所屬角色組成認(rèn)證信息,然后將組成的認(rèn)證信息以及該用戶名所屬應(yīng)用所有機構(gòu)和所有角色寫入第一服務(wù)端的數(shù)據(jù)庫(例如,oracle數(shù)據(jù)庫),以便后續(xù)管理用戶對第一服務(wù)端進行權(quán)限管理。例如,對于銀行目前使用的各種認(rèn)證系統(tǒng),一般要求用戶具備所屬機構(gòu)和所屬角色,以此來區(qū)分用戶所應(yīng)賦予的權(quán)限,以libin. xm為例,其所屬機構(gòu)可認(rèn)為是“廈門分行”,所屬角色為“會計部門一般查詢?nèi)藛T”,則授予libin. xm的權(quán)限為查看廈門分行會計部的數(shù)據(jù),而不能進行其他操作,如不能對所查看的數(shù)據(jù)變更修改,也不能查看此機構(gòu)之外的數(shù)據(jù)。例如,某張報表“存款明細(xì)表”,在應(yīng)用管理員對該報表授權(quán)時,第一服務(wù)端會將所有機構(gòu)及所有角色列出,方便管理員從中選擇出來進行授權(quán)(比如授予某個機構(gòu)中的某個角色具有查看和刪除該報表的權(quán)限)。其中,同一用戶名以及該用戶名所屬機構(gòu)和角色以一張數(shù)據(jù)庫表的形式保存在數(shù)據(jù)庫中,而該用戶名所述應(yīng)用的全機構(gòu)、全角色各自以一張數(shù)據(jù)庫表的形式進行存儲。需要說明的是,當(dāng)用戶退出第一服務(wù)端后,除了該用戶名所屬應(yīng)用的全機構(gòu)、全角色之外的其他信息,例如本次登錄生成的認(rèn)證標(biāo)識、該用戶名所屬機構(gòu)和角色等都會刪除, 節(jié)省了存儲空間,也有利于減低數(shù)據(jù)庫中存在多個認(rèn)證標(biāo)識而導(dǎo)致的查詢壓力。若通過第一服務(wù)端201根據(jù)用戶名訪問第二服務(wù)端202,配置在第二服務(wù)端202的接入模塊202會根據(jù)訪問第二服務(wù)端202的用戶名從第二服務(wù)端數(shù)據(jù)庫中查詢該用戶名對應(yīng)的認(rèn)證標(biāo)識,并將從第二服務(wù)端數(shù)據(jù)庫中讀取的認(rèn)證標(biāo)識與從第一服務(wù)端數(shù)據(jù)庫讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則可以通過向第二服務(wù)端反饋認(rèn)證通過來允許繼續(xù)訪問第二服務(wù)端。在本發(fā)明的一些實施方式中,對于cognos服務(wù)端(例如,一個或一個以上服務(wù)端)對應(yīng)的服務(wù)器集群,可以是一臺或一臺以上計算機組成的計算機集群,接入模塊在集群的內(nèi)容管理主機(對于cognos系統(tǒng),管理主機就是Cognos content manager)上進行部署。一般而言,對于一個Cognos計算機集群來說,只有一個內(nèi)容管理主機,也就是說,本發(fā)明實施方式中的接入模塊可以只需部署在一個內(nèi)容管理主機上即可。每次用戶進行訪問時,都可以調(diào)用內(nèi)容管理主機上的接入模塊進行對應(yīng)的處理操作。需要說明的是,本領(lǐng)域技術(shù)人員可以根據(jù)cognos等報表應(yīng)用對于認(rèn)證的管理方式來確定接入模塊的具體配置方式。其中,本發(fā)明實施方式中的接入模塊通java實施,編譯后形成jar包,第二服務(wù)端支持調(diào)用并運行jar包。本發(fā)明實施方式中,配置在第二服務(wù)端的接入模塊在向第二服務(wù)端反饋認(rèn)證通過,允許通過第一服務(wù)端繼續(xù)訪問第二服務(wù)端之后,還會對第一服務(wù)端在訪問第二服務(wù)端時發(fā)送的認(rèn)證信息進行驗證,具體地,包括驗證用戶名是否正確,若該用戶名正確,則根據(jù)用戶名查詢該用戶名對應(yīng)的認(rèn)證信息,所述認(rèn)證信息包括該用戶名、該用戶名所屬機構(gòu)和所屬角色,具體而言,根據(jù)用戶名到第一服務(wù)端的數(shù)據(jù)庫中查詢該用戶名所屬機構(gòu)信息,并且根據(jù)用戶名查詢該用戶名所屬角色信息,并獲取該用戶名所屬應(yīng)用的所有機構(gòu)以及該用戶名所屬應(yīng)用的所有角色,并將驗證通過后獲取的信息(包括該用戶名、該用戶名所屬機構(gòu)和所屬角色、和該用戶名所屬應(yīng)用的所有機構(gòu)和所有角色)組裝為第二服務(wù)端可識別的visa對象。本發(fā)明實施方式中,用戶名可認(rèn)為是標(biāo)識用戶的標(biāo)識ID (例如,前述的libin.xm),用戶名與其所屬機構(gòu)和所屬角色關(guān)聯(lián),例如,用戶名可以作為主鍵,該用戶名所屬機構(gòu)和所屬角色則可以作為該用戶名對應(yīng)主鍵的屬性值。本發(fā)明實施方式中采用visa對象進行數(shù)據(jù)封裝,提高了本發(fā)明中認(rèn)證需求的應(yīng)用范圍。驗證成功后,第二服務(wù)端202 (例如,Cognos服務(wù)端)可以接收該用戶名的訪問請求,并根據(jù)visa對象分配給用戶應(yīng)具有的服務(wù)權(quán)限,進行相應(yīng)的服務(wù)展現(xiàn)。在用戶退出第二服務(wù)端后,第二服務(wù)端的數(shù)據(jù)庫中除了全機構(gòu)和全角色信息之外其他的信息(例如,登陸第一服務(wù)端生成的認(rèn)證標(biāo)識、該用戶名所屬機構(gòu)和角色等信息)都可以隨之刪除。本發(fā)明實施方式中,配置在第二服務(wù)端的接入模塊2020通過webservice應(yīng)用接口與第一服務(wù)端201進行通信。綜上所述,本發(fā)明的認(rèn)證接入方法和認(rèn)證系統(tǒng),通過登錄第一服務(wù)端后生成與登陸時間關(guān)聯(lián)的一次性認(rèn)證標(biāo)識,并將生成的認(rèn)證標(biāo)識及用戶名寫入第一服務(wù)端和第二服務(wù)端的數(shù)據(jù)庫,以便當(dāng)通過第一服務(wù)端訪問第二服務(wù)端時,通過部署在第二服務(wù)端的接入模塊讀取寫入上述兩服務(wù)端數(shù)據(jù)庫的認(rèn)證標(biāo)識并進行比對,比對一致后可繼續(xù)訪問第二服務(wù)端,通過用戶名結(jié)合唯一性認(rèn)證標(biāo)識的方式實現(xiàn)了在兩種服務(wù)端之間的單點登陸;而且在 認(rèn)證標(biāo)識比對通過后,將登陸第一服務(wù)端后獲取的認(rèn)證信息進行驗證后封裝為第二服務(wù)端可識別的visa對象進行權(quán)限分配,實現(xiàn)了不同認(rèn)證方案場景下的集中認(rèn)證,從整體上提高了認(rèn)證系統(tǒng)的集成認(rèn)證處理效率。通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件結(jié)合硬件平臺的方式來實現(xiàn),當(dāng)然也可以全部通過硬件來實施?;谶@樣的理解,本發(fā)明的技術(shù)方案對背景技術(shù)做出貢獻的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中,如R0M/RAM、磁碟、光盤等,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。以上所揭露的僅為本發(fā)明的一種較佳實施例而已,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍,因此依本發(fā)明權(quán)利要求所作的等同變化,仍屬本發(fā)明所涵蓋的范圍。
      權(quán)利要求
      1.一種認(rèn)證接入方法,其特征在于,包括通過用戶名登陸第一服務(wù)端,在通過所述第一服務(wù)端的認(rèn)證后,生成認(rèn)證標(biāo)識,其中所述認(rèn)證標(biāo)識與所述登陸第一服務(wù)端的時間相關(guān)聯(lián);將所述用戶名和所述認(rèn)證標(biāo)識寫入所述第一服務(wù)端的數(shù)據(jù)庫以及與所述第一服務(wù)端連接的一個或一個以上第二服務(wù)端的數(shù)據(jù)庫;若通過所述第一服務(wù)端根據(jù)所述用戶名訪問所述第二服務(wù)端,則啟動部署在所述第二服務(wù)端的接入模塊根據(jù)所述用戶名從所述第二服務(wù)端的數(shù)據(jù)庫讀取認(rèn)證標(biāo)識,并將所讀取的認(rèn)證標(biāo)識與從所述第一服務(wù)端的數(shù)據(jù)庫中讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則允許繼續(xù)訪問所述第二服務(wù)端。
      2.如權(quán)利要求1所述的方法,其特征在于,還包括在通過所述第一服務(wù)端的認(rèn)證之后,生成認(rèn)證標(biāo)識之前,獲取所述用戶名所屬機構(gòu)和所屬角色,并將所述用戶名、所述用戶名所屬機構(gòu)和所屬角色組成的認(rèn)證信息寫入所述第一服務(wù)端的數(shù)據(jù)庫。
      3.如權(quán)利要求2所述的方法,其特征在于,所述第二服務(wù)端包括Cognos服務(wù)端。
      4.如權(quán)利要求3所述的方法,其特征在于,還包括在允許繼續(xù)訪問所述第二服務(wù)端之后,啟動所述接入模塊對所述第一服務(wù)端發(fā)送的所述認(rèn)證信息進行驗證,并將驗證后獲取的信息組裝為visa對象,保存至所述第二服務(wù)端的數(shù)據(jù)庫。
      5.如權(quán)利要求4所述的方法,其特征在于,所述對所述第一服務(wù)端發(fā)送的所述認(rèn)證信息進行驗證包括驗證用戶名是否正確,若正確,則查詢該用戶名對應(yīng)的認(rèn)證信息,并獲取該用戶名所屬應(yīng)用的所有機構(gòu)和角色。
      6.如權(quán)利要求1至5任一項所述的方法,其特征在于,所述接入模塊通過webservice 應(yīng)用接口與所述第一服務(wù)端進行通信。
      7.如權(quán)利要求1至5任一項所述的方法,其特征在于,所述認(rèn)證標(biāo)識包括與所述登陸第一服務(wù)端的時間相關(guān)聯(lián)的字符串。
      8.如權(quán)利要求2所述的方法,其特征在于,所述認(rèn)證信息中用戶名和該用戶名所屬機構(gòu)和角色以單張數(shù)據(jù)庫表的形式進行存儲。
      9.一種認(rèn)證系統(tǒng),其特征在于,包括第一服務(wù)端、與所述第一服務(wù)端連接的一個或一個以上第二服務(wù)端、部署在所述第一服務(wù)端的生成模塊和部署在所述第二服務(wù)端的接入模塊,其中,第一服務(wù)端,用于通過用戶名登陸;所述生成模塊,用于在通過所述第一服務(wù)端的認(rèn)證后,生成認(rèn)證標(biāo)識,其中所述認(rèn)證標(biāo)識與所述登陸第一服務(wù)端的時間相關(guān)聯(lián),并將所述用戶名和所述認(rèn)證標(biāo)識寫入所述第一服務(wù)端的數(shù)據(jù)庫以及與所述第一服務(wù)端連接的一個或一個以上第二服務(wù)端的數(shù)據(jù)庫;所述接入模塊,用于若通過所述第一服務(wù)端根據(jù)所述用戶名訪問所述第二服務(wù)端,根據(jù)所述用戶名從所述第二服務(wù)端的數(shù)據(jù)庫讀取認(rèn)證標(biāo)識,并將所讀取的認(rèn)證標(biāo)識與從所述第一服務(wù)端的數(shù)據(jù)庫中讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則允許繼續(xù)訪問所述第二服務(wù)端。
      10.如權(quán)利要求9所述的系統(tǒng),其特征在于,所述第一服務(wù)端還部署有獲取模塊,用于在通過所述第一服務(wù)端的認(rèn)證之后,生成認(rèn)證標(biāo)識之前,獲取所述用戶名所屬機構(gòu)和所屬角色,并將所述用戶名、所述用戶名所屬機構(gòu)和所屬角色組成的認(rèn)證信息寫入所述第一服務(wù)端的數(shù)據(jù)庫。
      11.如權(quán)利要求10所述的系統(tǒng),其特征在于,所述第二服務(wù)端包括Cognos服務(wù)端。
      12.如權(quán)利要求11所述的系統(tǒng),其特征在于,所述接入模塊,還用于在允許繼續(xù)訪問所述第二服務(wù)端之后,對所述第一服務(wù)端發(fā)送的所述認(rèn)證信息進行驗證,并將驗證后獲取的信息組裝為visa對象,保存至所述第二服務(wù)端的數(shù)據(jù)庫。
      13.如權(quán)利要求12所述的系統(tǒng),其特征在于,所述接入模塊,用于對所述第一服務(wù)端發(fā)送的所述認(rèn)證信息進行驗證,具體地,驗證用戶名是否正確,若正確,查詢該用戶名對應(yīng)的認(rèn)證信息,并獲取該用戶名所屬應(yīng)用的所有機構(gòu)和角色。
      14.如權(quán)利要求9至13任一項所述的系統(tǒng),其特征在于,所述接入模塊通過webservice應(yīng)用接口與所述第一服務(wù)端進行通信。
      15.如權(quán)利要求9至13任一項所述的系統(tǒng),其特征在于,所述認(rèn)證標(biāo)識包括與所述登陸第一服務(wù)端的時間相關(guān)聯(lián)的字符串。
      16.如權(quán)利要求10所述的系統(tǒng),其特征在于,所述認(rèn)證信息中用戶名和該用戶名所屬機構(gòu)和角色以單張數(shù)據(jù)庫表的形式進行存儲。
      全文摘要
      本發(fā)明公開了一種認(rèn)證接入方法,包括通過用戶名登陸第一服務(wù)端,在通過認(rèn)證后,生成認(rèn)證標(biāo)識,其中認(rèn)證標(biāo)識與登陸第一服務(wù)端的時間相關(guān)聯(lián),將用戶名和認(rèn)證標(biāo)識寫入第一服務(wù)端的數(shù)據(jù)庫以及與第一服務(wù)端連接的一個或多個第二服務(wù)端的數(shù)據(jù)庫,若通過第一服務(wù)端根據(jù)用戶名訪問第二服務(wù)端,則啟動配置在第二服務(wù)端的接入模塊根據(jù)用戶名從第二服務(wù)端的數(shù)據(jù)庫讀取認(rèn)證標(biāo)識,并將所讀取的認(rèn)證標(biāo)識與從第一服務(wù)端的數(shù)據(jù)庫中讀取的認(rèn)證標(biāo)識進行比對,若比對一致,則允許繼續(xù)訪問第二服務(wù)端。本發(fā)明還提供了相應(yīng)的認(rèn)證系統(tǒng)。本發(fā)明的方法和系統(tǒng)實現(xiàn)了兩種服務(wù)端之間的單點登陸,整體上提高了認(rèn)證系統(tǒng)的集成認(rèn)證效率。
      文檔編號H04L29/06GK103023921SQ201210580828
      公開日2013年4月3日 申請日期2012年12月27日 優(yōu)先權(quán)日2012年12月27日
      發(fā)明者歐萬翔, 孫浩, 葉坤林, 朱志, 林廷懋 申請人:中國建設(shè)銀行股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1