一种互信登录系统与方法与流程

本发明涉及互信登录领域，尤其涉及一种互信登录系统与方法。

背景技术：

1、随着传统企业数字化、信息化服务体量日益增大，传统的登陆方式对于多信息化系统的企业客户来说非常不友好。用户层面，逐渐出现多个系统涉及多个密码难记忆、同时使用多个系统需要反复登陆等问题；信息化软件系统方面，通常会遇到登录模块反复开发、不同应用系统之间登陆规则参差不齐、用户信息安全无法统一管理等一系列问题；信息化运维方面，出现每个软件系统登录各自为政，不利于登陆日志的统一管理、异常登陆分析难等问题。

2、基于以上考虑，为了使企业通过软件互信完成登陆的可配置化与标准化，降低使用难度的同时大幅提升各软件系统的易用性，本发明提出了一种安全易用的互信登录系统与方法。

技术实现思路

1、为了标准化各应用系统之间的登陆规则，对多个应用系统进行互信管理，实现在登录其中任意一个应用系统后，其他应用系统免登录的功能，提高系统的易用性，本发明提出了一种互信登录系统，其应用在多个互信应用系统间；所述互信登录系统包括：

2、系统访问入口，用于访问任意互信应用系统；

3、idp身份认证模块；

4、设置在互信应用系统上的验证模块，用于在接收到访问请求后，验证对应互信应用系统的登录状态，并在登录状态为未登录时，提取对应互信应用系统的地址作为跳转参数，跳转至idp身份认证模块，所述验证模块与互信应用系统一一对应；

5、所述idp身份认证模块，用于验证当前用户的登录状态，并根据登录状态进入登录执行模块或互信执行模块；

6、所述登录执行模块，用于跳转至登录界面，并接受用户的登录信息，基于用户的登录信息创建全局会话与授权令牌，并校验授权令牌，得到令牌状态，基于令牌状态跳转至当前互信应用系统中的局部会话创建模块；所述全局会话表示用户与idp身份认证模块之间的会话；

7、所述互信执行模块，用于校验授权令牌得到令牌状态，基于令牌状态跳转至当前互信应用系统中的局部会话创建模块；

8、设置在互信应用系统中的局部会话创建模块，用于根据授权令牌的令牌状态，创建局部会话与局部令牌，存储局部令牌至当前互信应用系统对应的局部会话中，并将授权令牌写入系统访问入口中的cookie文件；所述局部会话即用户与当前互信应用系统之间的会话；所述局部会话创建模块与互信应用系统一一对应。

9、进一步地，所述验证模块中，验证对应互信应用系统的登录状态，具体为：

10、捕获对应互信应用系统中的局部令牌，并根据捕获状态得到互信应用系统的登录状态；所述捕获状态包括捕获到与未捕获到状态；所述登录状态包括已登录与未登录状态；所述未捕获到状态对应于未登录状态，所述捕获到状态对应于登录状态。

11、进一步地，所述idp身份认证模块中，验证当前用户的登录状态，具体为：

12、捕获授权令牌，并根据捕获状态得到当前用户的登录状态；所述捕获状态包括捕获到与未捕获到状态；所述登录状态包括已登录与未登录状态；未捕获到状态对应于未登录状态，捕获到状态对应于已登录状态。

13、进一步地，所述idp身份认证模块中，在当前用户的登录状态为未登录状态时进入登录执行模块，在当前用户的登录状态为已登录状态时进入互信执行模块。

14、进一步地，所述登录执行模块中，基于用户的登录信息创建全局会话与授权令牌，具体包括：

15、通过用户的登录信息获取当前用户的注册状态，在注册状态为已注册时，创建全局会话，得到用户身份唯一标识，并以预设时长为缓存时效，缓存至idp身份认证模块，并通过rsa算法加密用户身份唯一标识得到授权令牌。

16、进一步地，所述验证模块还用于，在所述登录执行模块创建授权令牌后，且在校验授权令牌之前，通过当前互信应用系统获取cookie文件中的授权令牌并传输至登录执行模块；

17、所述验证模块还用于，在所述互信执行模块校验授权令牌之前，通过当前互信应用系统获取cookie文件中的授权令牌并传输至互信执行模块；

18、所述登录执行模块与互信执行模块中，校验授权令牌，具体为：

19、通过rsa解密cookie文件中的授权令牌，得到待校验的用户身份唯一标识，获取待校验的用户身份唯一标识在idp身份认证模块缓存中的存在状态，若存在，且对应的用户身份唯一标识处于缓存时效内，则表示授权令牌的令牌状态为有效状态。

20、进一步地，所述登录执行模块与互信执行模块中，基于令牌状态跳转至当前互信应用系统中的局部会话创建模块，具体为：在令牌状态为有效状态时跳转至当前互信应用系统中的局部会话创建模块；

21、所述局部会话创建模块中，根据授权令牌的令牌状态，创建局部会话与局部令牌，具体为：在令牌状态为有效状态时，创建局部会话与局部令牌。

22、本发明还提出了一种互信登录方法，应用于互信登录系统，包括步骤：

23、s01：通过系统访问入口向互信应用系统即当前互信应用系统发出访问请求；

24、s02：在当前互信应用系统接收到访问请求后，通过对应的验证模块获取当前互信应用系统的登录状态，在登录状态为未登录时，提取当前互信应用系统的地址作为跳转参数，跳转至idp身份认证模块；

25、s03：通过idp身份认证模块获取当前用户的登录状态，判断登录状态是否为未登录状态，若是，则进入下一步骤，若否，则跳转至s05步骤；

26、s04：通过登录执行模块跳转至登录界面，并接受用户的登录信息，基于用户的登录信息创建全局会话与授权令牌，并校验授权令牌，得到令牌状态，基于令牌状态跳转至s06步骤；

27、s05：通过互信执行模块校验授权令牌得到令牌状态，基于令牌状态进入s06步骤；

28、s06：通过局部会话创建模块利用授权令牌的令牌状态，创建局部会话与局部令牌，存储局部令牌至当前互信应用系统对应的局部会话中，并将授权令牌写入系统访问入口中的cookie文件。

29、进一步地，所述s02步骤中，通过对应的验证模块获取当前互信应用系统的登录状态，具体为：捕获当前互信应用系统中的局部令牌，并根据捕获状态获取当前互信应用系统的登录状态；

30、所述s03步骤中，通过idp身份认证模块获取当前用户的登录状态，具体为：捕获授权令牌，并根据捕获状态得到当前用户的登录状态；

31、所述捕获状态包括捕获到与未捕获到状态；所述登录状态包括已登录与未登录状态；所述未捕获到状态对应于未登录状态，所述捕获到状态对应于登录状态。

32、进一步地，所述s04步骤中，基于用户的登录信息创建全局会话与授权令牌，具体为：

33、通过用户的登录信息获取当前用户的注册状态，在注册状态为已注册时，创建全局会话，得到用户身份唯一标识，并以预设时长为缓存时效，缓存至idp身份认证模块，并通过rsa算法加密用户身份唯一标识得到授权令牌；

34、所述s04步骤中，在创建授权令牌后，校验授权令牌之前，还包括：通过当前互信应用系统获取cookie文件中的授权令牌并传输至登录执行模块；

35、所述s05步骤中，在通过互信执行模块校验授权令牌之前，还包括：通过当前互信应用系统获取cookie文件中的授权令牌并传输至互信执行模块；

36、所述校验授权令牌，具体为：

37、通过rsa解密cookie文件中的授权令牌，得到待校验的用户身份唯一标识，获取待校验的用户身份唯一标识在idp身份认证模块缓存中的存在状态，若存在，且对应的用户身份唯一标识处于缓存时效内，则表示授权令牌的令牌状态为有效状态。

38、与现有技术相比，本发明至少含有以下有益效果：

39、(1)本发明通过idp身份认证模块验证当前用户的登录状态，并根据登录状态进入登录执行模块或互信执行模块，其中，所述登录执行模块，用于创建全局会话与授权令牌，并校验授权令牌，得到令牌状态；所述互信执行模块，用于校验授权令牌得到令牌状态；所述局部会话创建模块，用于根据授权令牌的令牌状态，创建局部会话与局部令牌，存储局部令牌至当前互信应用系统对应的局部会话中，并将授权令牌写入系统访问入口中的cookie文件，其根据当前用户的登录状态，选择登录执行模块或互信执行模块，在已登录的状态下，进入互信执行模块，避免了重新创建全局会话与授权令牌，即免去了重复登录，实现了在登录其中任意一个应用系统后，其他应用系统免登录的功能，提高系统的易用性；

40、(2)本发明的idp身份认证模块，用于捕获授权令牌(在idp身份认证模块的缓存中捕获)，并根据捕获状态得到当前用户的登录状态，在当前用户的登录状态为未登录状态时进入登录执行模块，在当前用户的登录状态为已登录状态时进入互信执行模块，即本发明利用：当前用户通过登录执行模块对某互信应用系统实现第一次登录时生成的授权令牌，避免了当前用户进入其他互信应用系统时的重复登录；

41、(3)本发明中所述登录执行模块，用于缓存用户身份唯一标识至idp身份认证模块；而登录执行模块与互信执行模块，在校验授权令牌时：通过rsa解密cookie文件中的授权令牌，得到待校验的用户身份唯一标识，获取待校验的用户身份唯一标识在idp身份认证模块缓存中的存在状态，若存在，且对应的用户身份唯一标识处于缓存时效内，则表示授权令牌的令牌状态为有效状态，其通过核对用户身份唯一标识与缓存时效，确定授权令牌的令牌状态，并根据授权令牌的令牌状态，创建局部会话与局部令牌，其在不重复登录的前提下实现了用户与当前互信应用系统之间的会话。