应用系统访问方法及装置与流程

1.本发明涉及网络安全技术领域，尤其涉及一种应用系统访问方法及装置。


背景技术：

2.本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
3.目前，在一个业务场景中，若客户需要访问某一个应用系统，需要先由身份认证系统进行身份认证，然后经过该应用系统的授权才可以访问。例如，手机银行app在身份认证系统进行用户名、密码认证，认证通过之后从文件上传下载模块获得授权，才可进行文件上传下载。这种访问方式的认证授权效率较低，在应用系统面临大量的访问时，无法给予客户及时的反馈，给客户带来了较差的体验。


技术实现要素：

4.本发明实施例提供一种应用系统访问方法，用以提高应用系统访问时的身份认证和授权效率，改善客户体验，该方法包括：
5.接收客户端发送的授权请求，所述授权请求包括客户端身份信息、客户端ip地址和待访问应用系统的标识；
6.根据预先存储的多个客户端身份信息，对授权请求中的客户端身份信息进行身份认证；
7.在身份认证通过之后，根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成用于访问待访问应用系统的第一票据；
8.对第一票据进行加密，得到第一票据唯一对应的授权码；
9.将授权码发送至客户端，以使客户端通过授权码访问待访问应用系统。
10.本发明实施例还提供一种应用系统访问装置，用以提高应用系统访问时的身份认证和授权效率，改善客户体验，该装置包括：
11.接收模块，用于接收客户端发送的授权请求，所述授权请求包括客户端身份信息、客户端ip地址和待访问应用系统的标识；
12.身份认证模块，用于根据预先存储的多个客户端身份信息，对授权请求中的客户端身份信息进行身份认证；
13.票据生成模块，用于在身份认证通过之后，根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成用于访问待访问应用系统的第一票据；
14.授权码生成模块，用于对第一票据进行加密，得到第一票据唯一对应的授权码；
15.发送模块，用于将授权码发送至客户端，以使客户端通过授权码访问待访问应用系统。
16.本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述应用系统访
问方法。
17.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述应用系统访问方法。
18.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述应用系统访问方法。
19.本发明实施例中，接收客户端发送的授权请求，所述授权请求包括客户端身份信息、客户端ip地址和待访问应用系统的标识；根据预先存储的多个客户端身份信息，对授权请求中的客户端身份信息进行身份认证；在身份认证通过之后，根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成用于访问待访问应用系统的第一票据；对第一票据进行加密，得到第一票据唯一对应的授权码；将授权码发送至客户端，以使客户端通过授权码访问待访问应用系统。与现有的应用系统访问时由不同的系统分别进行身份认证和授权的技术方案相比，通过同一个系统对客户端的身份进行认证，在身份认证通过之后，生成仅用于访问待访问应用系统的票据，将该票据转化为授权码发送至客户端，客户端可以通过授权码访问待访问应用系统，从而可以提高应用系统的身份认证和授权效率，改善客户体验。
附图说明
20.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
21.图1为本发明实施例中提供的一种应用系统访问方法的流程图；
22.图2为本发明实施例中提供的通过授权码访问待访问应用系统时的访问验证方法的流程图；
23.图3为本发明实施例中提供的利用应用系统访问方法进行访问的流程图；
24.图4为本发明实施例中提供的一种应用系统访问装置的示意图；
25.图5为本发明实施例中提供的一种计算机设备的示意图。
具体实施方式
26.为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。
27.在本说明书的描述中，所使用的“包含”、“包括”、“具有”、“含有”等，均为开放性的用语，即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本技术的实施，其中的步骤顺序不作限定，可根据需要作适当调整。
28.经研究发现，在一个业务场景中，若客户需要访问某一个应用系统，需要先由身份认证系统进行身份认证，然后经过该应用系统的授权才可以访问。具体的，前端系统a通常在身份认证系统b进行身份认证成功，并且获得应用系统c的授权许可的情况下，才可访问应用系统c的服务。这种访问方式由不同的系统分别进行身份认证和授权，导致认证授权效率较低，在应用系统面临大量的访问时，无法给予客户及时的反馈，给客户带来了较差的体验。
29.针对上述研究，本发明实施例提供一种可以集身份认证、访问授权于一体的解决方案。
30.如图1所示，为本发明实施例提供的一种应用系统访问方法的流程图，该方法可以包括以下步骤：
31.步骤101，接收客户端发送的授权请求，所述授权请求包括客户端身份信息、客户端ip地址和待访问应用系统的标识；
32.步骤102，根据预先存储的多个客户端身份信息，对授权请求中的客户端身份信息进行身份认证；
33.步骤103，在身份认证通过之后，根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成用于访问待访问应用系统的第一票据；
34.步骤104，对第一票据进行加密，得到第一票据唯一对应的授权码；
35.步骤105，将授权码发送至客户端，以使客户端通过授权码访问待访问应用系统。
36.本发明实施例中，接收客户端发送的授权请求，所述授权请求包括客户端身份信息、客户端ip地址和待访问应用系统的标识；根据预先存储的多个客户端身份信息，对授权请求中的客户端身份信息进行身份认证；在身份认证通过之后，根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成用于访问待访问应用系统的第一票据；对第一票据进行加密，得到第一票据唯一对应的授权码；将授权码发送至客户端，以使客户端通过授权码访问待访问应用系统。与现有的应用系统访问时由不同的系统分别进行身份认证和授权的技术方案相比，通过同一个系统对客户端的身份进行认证，在身份认证通过之后，生成仅用于访问待访问应用系统的票据，将该票据转化为授权码发送至客户端，客户端可以通过授权码访问待访问应用系统，从而可以提高应用系统的身份认证和授权效率，改善客户体验。
37.上述应用系统访问方法可以是应用于同时提供身份认证和访问授权的应用系统t，应用系统t管理了所有客户端身份信息。
38.针对上述步骤101，上述客户端可以是服务消费者所对应的客户端，服务消费者可以是用户、进程或请求访问的应用系统等。相应的，客户端身份信息可以是由服务消费者提供的用于表示服务消费者身份的要素，例如，服务消费者身份的要素可以是：用户名(进程或请求访问的应用系统的标识)和密码、用户指纹、用户虹膜等。
39.针对上述步骤102，应用系统t可以从预先存储的多个客户端身份信息中，获取与授权请求中的客户端身份信息对应的客户端身份信息，将两者进行对比，若身份信息一致，则说明身份认证通过。
40.针对上述步骤103，在身份认证通过之后，可以通过预先设定的票据生成算法，根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成只能用于访
问待访问应用系统的第一票据。
41.具体实施时，票据生成算法可以采用hmac、aes等密码算法。
42.本发明实施例中，为了进一步提高访问时的安全性，在生成用于访问待访问应用系统的第一票据之后，还可以包括：
43.设置第一票据的有效期信息。
44.具体实施时，第一票据的有效期信息可以包括第一票据可以使用的时间范围信息、或者第一票据可以使用的次数信息等等。例如，第一票据的有效期信息可以为长期有效，或者一次有效。
45.针对上述步骤104，为了保护票据的安全性，可以为第一票据置换一个与之对应的授权码。具体的，生成一个加密密钥，利用该加密密钥对第一票据进行加密，得到第一票据唯一对应的授权码。应用系统t存储加密密钥与授权码的关联关系。其中，不同的第一票据对应不同的加密密钥。
46.同时，在授权码生成后，客户端与待访问应用系统为互信系统，应用系统t还可以存储客户端与待访问应用系统的互信关系。
47.针对上述步骤105，将上述授权码发送至客户端，以使客户端通过授权码访问待访问应用系统。
48.综上，应用系统t既承担身份认证的功能，又承担了针对待访问应用系统进行授权访问的功能。
49.如图2所示，为本发明实施例提供的通过授权码访问待访问应用系统时的访问验证方法的流程图，该方法可以包括以下步骤：
50.步骤201，在客户端向待访问应用系统发送访问请求之后，接收待访问应用系统发送的访问验证请求；所述访问验证请求包括待访问应用系统的标识、以及访问请求中携带的授权码、客户端身份信息和客户端ip地址；
51.步骤202，根据待访问应用系统的标识、以及访问请求中携带的客户端身份信息和客户端ip地址，生成第二票据；
52.步骤203，将第二票据和授权码对应的第一票据进行对比；
53.步骤204，若第二票据和授权码对应的第一票据一致，且第一票据的有效期信息未失效的情况下，向待访问应用系统发送允许访问的指示信息。
54.针对上述步骤201，服务消费者通过服务消费者所对应的客户端向待访问应用系统发起访问请求。其中，该访问请求中可以携带有授权码、客户端身份信息和客户端ip地址。
55.待访问应用系统在接收到访问请求后，需要将待访问应用系统的标识、和客户端发送的访问请求中的授权码、客户端身份信息和客户端ip地址发送至应用系统t进行访问验证，即应用系统t接收待访问应用系统发送的访问验证请求。
56.针对上述步骤202，应用系统t首先通过预先设定的票据生成算法(与上述生成第一票据的票据生成算法相同)，根据待访问应用系统发送的待访问应用系统的标识、以及访问请求中携带的客户端身份信息和客户端ip地址，生成第二票据。
57.针对上述步骤203，可以将第二票据和授权码对应的第一票据进行对比，验证票据的一致性。
58.本发明实施例中，由于授权码是对第一票据加密之后得到的，因此，本发明实施例中，上述步骤203之前，还可以包括：
59.对授权码进行解密，得到授权码对应的第一票据。
60.具体实施时，根据应用系统t存储的加密密钥与授权码的关联关系，利用授权码关联的加密密钥，对授权码进行解密，得到授权码对应的第一票据。
61.针对上述步骤204，若第二票据和授权码对应的第一票据一致，且第一票据的有效期信息未失效的情况下，说明该授权码验证通过，应用系统t可以向待访问应用系统发送允许访问的指示信息。
62.本发明实施例中，为了进一步实现对待访问应用系统中资源的保护，所述指示信息可以包括访问控制信息，所述访问控制信息可以包括访问待访问应用系统时允许访问的资源信息、和访问所述资源信息的有效期信息；
63.应用系统t向待访问应用系统发送允许访问的指示，可以包括：
64.将访问控制信息以会话控制信息的形式发送至待访问应用系统，以使待访问应用系统根据会话控制信息对客户端访问待访问应用系统资源的权限进行验证。
65.具体实施时，应用系统t中在得到第一票据唯一对应的授权码之后，还可以建立授权码与应用系统访问控制信息的映射关系，存储在应用系统访问控制关系表中，实现对访问待访问应用系统时允许访问的资源信息、和访问资源信息的有效期信息等信息进行安全控制。
66.其中，资源信息可以包括待访问应用系统中的服务、接口等信息。
67.具体实施时，应用系统t在向待访问应用系统发送包含访问控制信息的指示信息时，可以是以会话控制信息的形式发送。
68.其中，会话控制信息的形式是指session。
69.需要说明的是，session是一种服务端会话技术，是指客户端第一次给服务器资源发送请求，会话建立，直到有一方断开为止。session是保存在服务器上，客户端访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。在客户端再次访问时只需要从该session中查找该客户的状态就可以了。
70.可以理解的是，在本发明实施例中，session是用于访问受保护的资源(即访问待访问应用系统时允许访问的资源信息、和访问所述资源信息的有效期信息)，会话控制信息中携带有session id，待访问应用系统将session id发送至客户端，客户端在第二次访问待访问应用系统时，可以携带session id进行访问，此时，应用系统t仅校验session id所对应session的有效性即可，不需要重复进行上述复杂的认证和授权流程。
71.为了能更清楚地理解上述应用系统访问方法，下面以一个具体的示例进行说明。
72.图3为利用上述应用系统访问方法进行访问的流程图。如图3所示，可以包括以下步骤：
73.1.服务消费者(即服务消费者对应的客户端)向身份认证授权互信系统(即上述应用系统t)请求身份认证/授权，申请授权码。
74.此步骤中，服务消费者将客户端身份信息、客户端ip地址和服务提供系统(即待访问应用系统)的标识发送至身份认证授权互信系统。
75.2.身份认证授权互信系统允许请求，返回授权码。
76.此步骤中，身份认证授权互信系统根据预先存储的多个客户端身份信息，对服务消费者发送的客户端身份信息进行身份认证；在认证通过之后，根据服务消费者发送的客户端身份信息、客户端ip地址和服务提供系统的标识，生成只能用于访问服务提供系统的票据(即第一票据)；并为了保护票据的安全性，对票据加密，置换为一个与之对应的授权码；向服务消费者返回授权码。
77.3.服务消费者提供授权码，向服务提供系统请求服务。
78.此步骤中，服务消费者在访问服务提供系统的服务时，向服务提供系统发送授权码、以及客户端身份信息和客户端ip地址。
79.4.服务提供系统调用身份认证授权互信系统验证授权码请求。
80.此步骤中，服务提供系统将服务提供系统的标识、以及服务消费者发送的授权码、客户端身份信息和客户端ip地址发送至身份认证授权互信系统，用于进行验证。
81.身份认证授权互信系统首先根据服务提供系统的标识、以及客户端身份信息和客户端ip地址，生成一个待验证的票据(即第二票据)；然后，将待验证的票据与授权码解密后的票据进行比对，若比对一致且在有效期内则认为验证通过，此时，向服务提供系统颁发专用会话session，用于访问受保护的资源(session包括有效期的控制)，在服务消费者下次访问时提供session id(免去上述复杂流程)，身份认证授权互信系统校验session的有效性，判断是否可以为服务消费者提供相应服务。
82.5.身份认证授权互信系统返回验证结果。
83.6.服务提供系统根据身份认证授权互信系统返回验证结果提供服务。
84.综上，本发明实施例将身份认证、访问授权融入一个应用系统中，由该应用系统完成身份认证、票据生成、授权访问、票据验证等，将身份认证、授权的责任和提供服务的责任分离开来，并结合授权码、票据，请求系统进行授权码的颁发和验证，并通过颁发专用会话session，对受保护的应用系统资源进行访问控制。
85.本技术技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定
86.本发明实施例中还提供了一种应用系统访问装置，如下面的实施例所述。由于该装置解决问题的原理与应用系统访问方法相似，因此该装置的实施可以参见应用系统访问方法的实施，重复之处不再赘述。
87.如图4所示，为本发明实施例提供的一种应用系统访问装置的示意图，该装置可以包括：
88.接收模块401，用于接收客户端发送的授权请求，所述授权请求包括客户端身份信息、客户端ip地址和待访问应用系统的标识；
89.身份认证模块402，用于根据预先存储的多个客户端身份信息，对授权请求中的客户端身份信息进行身份认证；
90.票据生成模块403，用于在身份认证通过之后，根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成用于访问待访问应用系统的第一票据；
91.授权码生成模块404，用于对第一票据进行加密，得到第一票据唯一对应的授权码；
92.发送模块405，用于将授权码发送至客户端，以使客户端通过授权码访问待访问应
用系统。
93.本发明实施例中，还可以包括有效期设置模块，用于在票据生成模块根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成用于访问待访问应用系统的第一票据之后：
94.设置第一票据的有效期信息。
95.本发明实施例中，还可以包括访问验证模块，用于：
96.在客户端向待访问应用系统发送访问请求之后，接收待访问应用系统发送的访问验证请求；所述访问验证请求包括待访问应用系统的标识、以及访问请求中携带的授权码、客户端身份信息和客户端ip地址；
97.根据待访问应用系统的标识、以及访问请求中携带的客户端身份信息和客户端ip地址，生成第二票据；
98.将第二票据和授权码对应的第一票据进行对比；
99.若第二票据和授权码对应的第一票据一致，且第一票据的有效期信息未失效的情况下，向待访问应用系统发送允许访问的指示信息。
100.本发明实施例中，访问验证模块，还可以用于将第二票据和授权码对应的第一票据进行对比之前：
101.对授权码进行解密，得到授权码对应的第一票据。
102.本发明实施例中，所述指示信息可以包括访问控制信息，所述访问控制信息可以包括访问待访问应用系统时允许访问的资源信息、和访问所述资源信息的有效期信息；
103.访问验证模块，还可以用于：
104.将访问控制信息以会话控制信息的形式发送至待访问应用系统，以使待访问应用系统根据会话控制信息对客户端访问待访问应用系统资源的权限进行验证。
105.本发明实施例还提供一种计算机设备，如图5所示，为本发明实施例中计算机设备的示意图，所述计算机设备500包括存储器510、处理器520及存储在存储器510上并可在处理器520上运行的计算机程序530，所述处理520执行所述计算机程序530时实现上述应用系统访问方法。
106.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述应用系统访问方法。
107.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述应用系统访问方法。
108.本发明实施例中，接收客户端发送的授权请求，所述授权请求包括客户端身份信息、客户端ip地址和待访问应用系统的标识；根据预先存储的多个客户端身份信息，对授权请求中的客户端身份信息进行身份认证；在身份认证通过之后，根据授权请求中客户端身份信息、客户端ip地址和待访问应用系统的标识，生成用于访问待访问应用系统的第一票据；对第一票据进行加密，得到第一票据唯一对应的授权码；将授权码发送至客户端，以使客户端通过授权码访问待访问应用系统。与现有的应用系统访问时由不同的系统分别进行身份认证和授权的技术方案相比，通过同一个系统对客户端的身份进行认证，在身份认证通过之后，生成仅用于访问待访问应用系统的票据，将该票据转化为授权码发送至客户端，客户端可以通过授权码访问待访问应用系统，从而可以提高应用系统的身份认证和授权效
率，改善客户体验。
109.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
110.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
111.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
112.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
113.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。