一种双重身份验证装置与方法与流程

本发明涉及系统身份验证领域，尤其涉及一种双重身份验证装置与方法。

背景技术：

1、现代数字化转型背景下，企业或集团在整合其对外业务应用时面临的一个关键挑战，即如何有效地管理和保护应用流量，同时确保安全性和用户体验。随着企业服务的多样化和互联网化，许多大型集团企业拥有多个对外业务应用，为了提升用户体验和管理效率，往往需要将这些应用集成到一个统一的对外平台上。然而，这一集成过程中伴随着几个显著的技术难题。

2、首先，当集团的多个业务应用被集成到统一平台后，应用间的流量控制成为一个问题。传统上，这些独立的应用可能各自管理自己的流量，但一旦集成，就需要一个集中式的流量管理系统来保证整体的稳定性和安全性，防止未授权访问或恶意攻击。

3、其次，现有的流量网关技术虽然能够实现基本的流量路由和部分身份验证，但通常要求所有集成的应用使用统一的用户身份服务，这在实际操作中并不总是可行。因为不同的应用可能有着自己独立的用户管理体系，要求它们全部迁移到统一系统不仅技术上复杂，而且成本高昂，还可能影响用户体验。

4、此外，集成过程中的身份验证和安全措施往往需要对应用前端进行大量改造，特别是前端路由方面，这增加了开发和维护的难度。传统的解决方案往往需要开发者深入应用前端代码，进行定制化的调整，这既费时又可能引入新的错误。

5、鉴于以上问题，亟需一种创新的技术方案，既能实现应用流量的有效集中管控和安全验证，又能减少对应用自身的改造负担，保持集成的灵活性和高效性。本发明利用流量网关和平台的双重身份验证机制，以及前端的轻量级代理技术，实现了对应用的无感集成，解决了上述背景技术中的核心问题。通过一次登录，用户就能同时完成与流量网关和应用的双重身份验证，而且不需要对原业务应用进行大幅度的前端改造，显著提升了应用集成的便捷性和安全性。

技术实现思路

1、为了既能实现应用流量的有效集中管控和安全验证，又能减少对应用自身的改造负担，保持集成的灵活性和高效性，本发明提出了一种双重身份验证装置，应用于集成有多个业务应用的综合管理平台；所述双重身份验证装置包括：

2、浏览器端、综合管理平台前端的js模块、包含多个流量网关的网关模块、综合管理平台后端的身份验证模块与集成的业务应用；其中：

3、所述浏览器端用于向js模块发起登陆请求或业务应用跳转请求；

4、所述js模块用于通过网关模块中被定向的流量网关向身份验证模块转发登陆请求；

5、所述身份验证模块用于验证登陆请求的用户信息，在验证通过后向对应的流量网关请求绑定有对应用户信息的网关身份令牌，并在请求成功后将网关身份令牌返回浏览器端，完成网关身份验证；

6、所述流量网关用于基于身份验证模块发出的请求向身份验证模块返回网关身份令牌；

7、所述身份验证模块还用于在所述浏览器端发起业务应用跳转请求时，通过对应的用户信息生成用户信息票据并发送至对应的业务应用；

8、所述js模块还用于向网关模块中被定向的流量网关发送携带有网关身份令牌的业务应用跳转请求；

9、所述流量网关还用于验证业务应用跳转请求中的网关身份令牌，并在验证成功后将该业务应用跳转请求转发至对应的业务应用；

10、所述业务应用用于在接收到业务应用跳转请求时，向身份验证模块获取应用访问令牌，通过应用访问令牌与用户信息票据向身份验证模块获取用户信息，并验证用户信息，验证通过则生成组装有用户信息的应用身份令牌，并实现业务应用跳转请求，同时将应用身份令牌返回至浏览器端，完成应用身份认证。

11、进一步地，所述网关模块还包括：f5本地流量管理器；

12、所述js模块具体用于在接收到浏览器端发起的登陆请求或业务应用跳转请求时，通过service worker代理将登陆请求或业务应用跳转请求转发至f5本地流量管理器；

13、所述f5本地流量管理器用于根据其配置的选择策略定向流量网关，并将接收到的登陆请求或业务应用跳转请求发送至该定向的流量网关。

14、进一步地，所述业务应用具体包括：应用前端与应用后端；

15、所述应用前端用于接收所述身份验证模块发送的用户信息票据，并发送至应用后端；

16、所述应用后端用于在接收到业务应用跳转请求时，向身份验证模块获取应用访问令牌，通过应用访问令牌与用户信息票据向身份验证模块获取用户信息，并验证用户信息，验证通过则生成组装有用户信息的应用身份令牌，并将应用身份令牌返回至浏览器端；

17、所述应用前端还用于在应用后端验证通过后实现业务应用跳转请求。

18、本发明还提出了一种双重身份验证方法，应用于双重身份验证装置，包括：

19、通过浏览器端向js模块发起登陆请求；

20、通过js模块利用被定向的流量网关向身份验证模块转发登陆请求；

21、通过身份验证模块验证登陆请求的用户信息，在验证通过后向对应的流量网关请求绑定有对应用户信息的网关身份令牌，并在请求成功后将网关身份令牌返回浏览器端，完成网关身份验证；

22、通过浏览器端向js模块发起业务应用跳转请求；所述身份验证模块在所述浏览器端发起业务应用跳转请求时，通过对应的用户信息生成用户信息票据并发送至对应的业务应用；所述业务应用跳转请求中包含网关身份令牌；

23、通过js模块向被定向的流量网关发送业务应用跳转请求；

24、通过被定向的流量网关验证业务应用跳转请求中的网关身份令牌，并在验证成功后将该业务应用跳转请求转发至对应的业务应用；

25、通过业务应用向身份验证模块获取应用访问令牌，通过应用访问令牌与用户信息票据向身份验证模块获取用户信息，并验证用户信息，验证通过则生成组装有用户信息的应用身份令牌，并实现业务应用跳转请求，同时将应用身份令牌返回至浏览器端，完成应用身份认证。

26、进一步地，所述应用身份认证，具体包括：

27、通过应用前端接收所述身份验证模块发送的用户信息票据，并发送至应用后端；

28、通过应用后端向身份验证模块获取应用访问令牌；

29、通过应用后端利用应用访问令牌与用户信息票据向身份验证模块获取用户信息；

30、通过应用后端验证用户信息，验证通过则生成组装有用户信息的应用身份令牌，并将应用身份令牌返回至浏览器端，同时通过应用前端实现业务应用跳转请求。

31、进一步地，通过js模块利用被定向的流量网关向身份验证模块转发登陆请求，具体为：

32、通过js模块利用service worker代理将登陆请求转发至f5本地流量管理器；

33、通过f5本地流量管理器利用其配置的选择策略定向流量网关，并将接收到的登陆请求发送至该定向的流量网关；

34、通过流量网关利用路由规则将所述登陆请求转发至身份验证模块；

35、所述通过js模块向被定向的流量网关发送业务应用跳转请求，具体为：

36、通过js模块利用service worker代理将业务应用跳转请求转发至f5本地流量管理器；

37、通过f5本地流量管理器利用其配置的选择策略定向流量网关，并将接收到的业务应用跳转请求发送至该定向的流量网关。

38、进一步地，所述通过应用后端向身份验证模块获取应用访问令牌，具体包括：

39、通过应用后端利用api密钥对向身份验证模块获取应用访问令牌；

40、通过身份验证模块校验api密钥对，验证通过则向应用后端返回应用访问令牌；所述api密钥对为身份验证模块向应用后端生成的应用id和应用密钥。

41、进一步地，所述双重身份验证方法还包括：

42、通过浏览器端向js模块发起业务应用请求；所述业务应用请求中包括网关身份令牌与应用身份令牌；

43、通过js模块利用service worker代理预处理业务应用请求，并将处理后的业务应用请求转发至f5本地流量管理器；

44、通过f5本地流量管理器利用其配置的选择策略定向流量网关，并将接收到的业务应用请求发送至该定向的流量网关；

45、通过被定向的流量网关验证业务应用请求中的网关身份令牌，并在验证成功后将该业务应用请求转发至对应业务应用的应用后端；

46、通过应用后端验证业务应用请求中的应用身份令牌，验证通过则执行业务应用请求对应的业务逻辑，并向对应的流量网关返回响应信息；所述响应信息包括响应状态码；所述响应状态码用于表示应用身份令牌验证成功与否的状态；

47、通过流量网关验证响应状态码，若为验证成功的状态码，则向浏览器端返回响应信息，若为验证失败的状态码，则跳出登陆。

48、与现有技术相比，本发明至少含有以下有益效果：

49、（1）本发明中，通过js模块利用被定向的流量网关向身份验证模块转发登陆请求；通过身份验证模块验证登陆请求的用户信息，在验证通过后向对应的流量网关请求绑定有对应用户信息的网关身份令牌，并在请求成功后将网关身份令牌返回浏览器端，完成网关身份验证；通过浏览器端向js模块发起业务应用跳转请求；通过js模块向被定向的流量网关发送业务应用跳转请求；通过被定向的流量网关验证业务应用跳转请求中的网关身份令牌，并在验证成功后将该业务应用跳转请求转发至对应的业务应用；通过业务应用验证用户信息，验证通过则生成应用身份令牌，并实现业务应用跳转请求，同时将应用身份令牌返回至浏览器端，完成应用身份认证；即本发明通过一次登录，同时完成了流量网关和业务应用的双重身份验证，既实现了业务应用流量的有效集中管控和安全验证，又减少了对业务应用自身的改造负担，同时还保持了集成的灵活性和高效性，实现了对业务应用的无感集成；

50、（2）在面对多用户体系（即不同的应用对应着不同的用户管理体系）时，本发明通过双重身份验证的方法，实现了拥有不同用户体系的各个业务应用在同一平台（综合管理平台）上的集成，提高了综合管理平台在业务应用集成上的自由度；

51、（3）本发明通过综合管理平台前端的js模块与身份验证模块以及流量网关实现了流量网关和业务应用的双重身份验证，降低了对业务应用集成至同一平台时所需要的侵入性改造要求，提高了综合管理平台的便捷度。