一种去中心化的单点登录方法、装置及存储介质制造方法及图纸

本发明专利技术涉及信息化技术领域，提供了一种去中心化的单点登录方法、装置及存储介质。解决用户在不同系统办理不同业务，需要来回切换登录验证，体验感差，操作不方便等问题。主要方案包括用户在A系统验证通过后，再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA，然后用加密DATA生成签名SignData，最后生成链接B

【技术实现步骤摘要】
一种去中心化的单点登录方法、装置及存储介质


[0001]本专利技术涉及信息化
，提供了一种去中心化的单点登录方法、装置及存储介质。

技术介绍

[0002]现有技术架构：
[0003]目前企业网银和企业现金管理系统采用不同厂商的不通技术框架，但两套系统用户体系存在高度重合，部分企业用户会同时用到两个系统的不同功能，每个系统又都有单独的登录信息安全认证功能体系，无法做到系统间的安全登录认证互信，用户频繁操作两个系统需要多次登录验证，用户体验度差。缺乏统一的单点登录系统和用户中心体系，无法在短期内建成。
[0004]业务压力：
[0005]随着两个用户使用量的增多，业务方提出为方便用户操作，需要在两个系统之间进行互相受信任跳转，而无需重复登录，提升用户使用便捷度。

技术实现思路

[0006]本专利技术的目的在于解决现在缺乏统一的单点登录系统和用户中心体系，无法在短期内建成，同时两个系统用户体系存在高度重合，解决用户在不同系统办理不同业务，需要来回切换登录验证，体验感差，操作不方便等问题。
[0007]为了达到上述的目的，本专利技术采用如下技术方案：
[0008]本专利技术提供了一种去中心化的单点登录方法，包括以下步骤：
[0009]S1.用户信息在A系统组装：
[0010]用户在A系统用登录名和密码登录验证通过后，服务端系统生成一笔校验流水持久化到数据库，再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA，然后用加密DATA生成签名SignData，最后生成链接B
‑
URL携带加密DATA和签名SignData参数展示到A系统前端UI页面，为后续用户点击跳转B系统提供入口；
[0011]S2.用户信息在B系统解码：
[0012]用户点击A系统前端UI跳转B系统的链接B
‑
URL，B系统接收加密DATA和签名值SignData两个请求参数，先用与A系统对应的非对称算法RSA私钥验证签名值SignData，通过后用RSA私钥解密，获得用户ID和唯一流水号、时间戳，如能正常解密，判定时间戳在有效期内，再将唯一流水号通过网络接口从B系统发送A系统进行校验，校验通过的同时将该流水号置为已使用并持久化到数据库(不可再次校验使用)，此时即可认为用户受信任登录成功，在B系统不再进行登录信息校验，直接认定已经在B系统登录成功，直接加载该用户相关登录后信息。
[0013]在上述技术方案的基础上，所诉步骤S1包括以下步骤：
[0014]步骤1.1：A系统在用户登录成功后，服务端先预生成一笔校验流水持久化到数据
库，包含用户ID、唯一流水号、时间戳、使用状态等；
[0015]步骤2.1：A系统提供一个唯一流水号校验接口J，判断该唯一流水号是否存在且未使用，若存在且未使用则验证校验通过，否则校验失败。该接口供其他系统调用，如验证通过，则将使用状态置为已使用，不可再次校验，并将使用状态持久化到数据库；
[0016]步骤3.1：提前生成一对RSA公私钥，将公钥保存在A系统服务端中，将私钥提供给B系统；s
[0017]步骤4.1：用RSA公钥将用户ID和唯一流水号、时间戳进行加密产生加密DATA；
[0018]步骤5.1：用RSA公钥将加密DATA进行签名，产生签名值SignData；
[0019]步骤6.1：生成跳转B系统的链接B
‑
URL，在链接中携带加密DATA和签名SignData参数(如B系统的互联网访问域名为https：//b.com，则跳转链接地址为：https：//b.com？Data＝加密DATA&Sign＝签名值SignData)；
[0020]步骤7.1：生成跳转B系统的链接B
‑
URL，展示到A系统前端页面，链接到跳转B系统的功能菜单上，展示到A系统前端页面。
[0021]在上述技术方案的基础上，所诉步骤S2包括以下步骤：
[0022]步骤2.1：用户点击A系统前端UI跳转B系统功能菜单的链接B
‑
URL，获取链接中携带的加密DATA和签名SignData参数；
[0023]步骤2.2：用B系统中保存的RSA私钥验证签名值SignData，验证不通过则拒绝该链接，说明数据被非法篡改；验证通过则继续下一步操作；
[0024]步骤2.3：用B系统中保存的RSA私钥继续解密参数加密DATA，获得用户ID和唯一流水号、时间戳等信息；
[0025]步骤2.4：为了保证链接的安全时效性同时满足用户使用期限，设定h为链接有效期，判定时间戳从产生到解密在这h内为链接有效期，超出则拒绝该链接，提示链接失效；验证通过则继续下一步操作；
[0026]步骤2.5：B系统服务端将唯一流水号在双方系统安全且可信任的网络环境(包括但不限于内网、开发平台网关等)，调用A系统事先定义好的唯一流水校验接口J进行校验，校验该唯一流水号是否存在、是否已使用，如不存在则说明流水号非法并拒绝；如唯一流水号已使用，再说明重复验证也一并拒绝；如存在且未使用则验证通过，先将A系统的使用状态改为已使用持久化到数据库中，同时继续下一步操作；
[0027]步骤2.6：以上步骤校验通过后，则认定用户受信任登录成功，通过该用户ID加载用户登录后相关信息，至此受信任登录跳转完成。
[0028]本专利技术还提供了一种去中心化的单点登录装置，包括：
[0029]用户信息在A系统组装模块：
[0030]用户在A系统用登录名和密码登录验证通过后，服务端系统生成一笔校验流水持久化到数据库，再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA，然后用加密DATA生成签名SignData，最后生成链接B
‑
URL携带加密DATA和签名SignData参数展示到A系统前端UI页面，为后续用户点击跳转B系统提供入口；
[0031]用户信息在B系统解码模块：
[0032]用户点击A系统前端UI跳转B系统的链接B
‑
URL，B系统接收加密DATA和签名值SignData两个请求参数，先用与A系统对应的非对称算法RSA私钥验证签名值SignData，通
过后用RSA私钥解密，获得用户ID和唯一流水号、时间戳，如能正常解密，判定时间戳在有效期内，再将唯一流水号通过网络接口从B系统发送A系统进行校验，校验通过的同时将该流水号置为已使用并持久化到数据库(不可再次校验使用)，此时即可认为用户受信任登录成功，在B系统不再进行登录信息校验，直接认定已经在B系统登录成功，直接加载该用户相关登录后信息。
[0033]在上述技术方案的基础上，用户信息在A系统组装模块，实现步骤：
[0034]步骤1.1：A系统在用户登录成功后，服务端先预生成一笔校验流水持久化到数据库，包含用户ID、唯一流水号本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种去中心化的单点登录方法，其特征在于，包括以下步骤：S1.用户信息在A系统组装：用户在A系统用登录名和密码登录验证通过后，服务端系统生成一笔校验流水持久化到数据库，再将用户ID、该笔校验流水的唯一流水号、时间戳用非对称算法RSA公钥加密产生加密DATA，然后用加密DATA生成签名SignData，最后生成链接B
‑
URL携带加密DATA和签名SignData参数展示到A系统前端UI页面，为后续用户点击跳转B系统提供入口；S2.用户信息在B系统解码：用户点击A系统前端UI跳转B系统的链接B
‑
URL，B系统接收加密DATA和签名值SignData两个请求参数，先用与A系统对应的非对称算法RSA私钥验证签名值SignData，通过后用RSA私钥解密，获得用户ID和唯一流水号、时间戳，如能正常解密，判定时间戳在有效期内，再将唯一流水号通过网络接口从B系统发送A系统进行校验，校验通过的同时将该流水号置为已使用并持久化到数据库，此时即可认为用户受信任登录成功，在B系统不再进行登录信息校验，直接认定已经在B系统登录成功，直接加载该用户相关登录后信息。2.根据权利要求1所述的一种去中心化的单点登录方法，其特征在于：所诉步骤S1包括以下步骤：步骤1.1：A系统在用户登录成功后，服务端先预生成一笔校验流水持久化到数据库，包含用户ID、唯一流水号、时间戳、使用状态等；步骤2.1：A系统提供一个唯一流水号校验接口J，判断该唯一流水号是否存在且未使用，若存在且未使用则验证校验通过，否则校验失败。该接口供其他系统调用，如验证通过，则将使用状态置为已使用，不可再次校验，并将使用状态持久化到数据库；步骤3.1：提前生成一对RSA公私钥，将公钥保存在A系统服务端中，将私钥提供给B系统；s步骤4.1：用RSA公钥将用户ID和唯一流水号、时间戳进行加密产生加密DATA；步骤5.1：用RSA公钥将加密DATA进行签名，产生签名值SignData；步骤6.1：生成跳转B系统的链接B
‑
URL，在链接中携带加密DATA和签名SignData参数；步骤7.1：生成跳转B系统的链接B
‑
URL，展示到A系统前端页面，链接到跳转B系统的功能菜单上，展示到A系统前端页面。3.根据权利要求1所述的一种去中心化的单点登录方法，其特征在于：所诉步骤S2包括以下步骤：步骤2.1：用户点击A系统前端UI跳转B系统功能菜单的链接B
‑
URL，获取链接中携带的加密DATA和签名SignData参数；步骤2.2：用B系统中保存的RSA私钥验证签名值SignData，验证不通过则拒绝该链接，说明数据被非法篡改；验证通过则继续下一步操作；步骤2.3：用B系统中保存的RSA私钥继续解密参数加密DATA，获得用户ID和唯一流水号、时间戳等信息；步骤2.4：为了保证链接的安全时效性同时满足用户使用期限，设定h为链接有效期，判定时间戳从产生到解密在这h内为链接有效期，超出则拒绝该链接，提示链接失效；验证通过则继续下一步操作；步骤2.5：B系统服务端将唯一流水号在双方系统安全且可信任的网络环境，调用A系统
事先定义好的唯一流水校验接口J进行校验，校验该唯一流水号是否存在、是否已使用，如不存在则说明流水号非法并拒绝；如唯一流水号已使用，再说明重复验证也一并拒绝；如存在且未使用则验证通过，先将A系统的使用状态改为已使用持久化到数据库中，同时继续下一步操作；步骤2.6：以上步骤校验通过后，则认定用户受信任登录成功，通过该用户ID加载用户登录后相关信息，至此受信任登录跳转完成。4.一种去中心化的单点登录装置，其特征在于，包括：用户信息在A系统组装模块：用户在A系统用登录名和密码登...

【专利技术属性】
技术研发人员：陈来来，李耀，彭磊，
申请(专利权)人：武汉众邦银行股份有限公司，
类型：发明
国别省市：