[发明专利]一种系统间安全伪登陆方法

说明书

本发明提供一种系统间安全伪登录方法，用户在源系统触发访问目标系统网址，经由源系统内的URL转换系统，中心签名生成与验证服务器，至目标系统内的URL授权鉴别系统，实现系统间安全伪登录。本发明可实现跨系统访问指定类型页面，无需预先在后台系统中注册账号和绑定角色或者与某一授权账户映射，同时该方案中的URL授权鉴别系统能实现链接超时失效和防止URL被不同设备滥用，是一种安全高效的跨系统访问机制。

技术领域

本发明涉及互联网领域，尤其涉及具有登录授权验证的后台系统架构及方法。

背景技术

业务后台系统，一般都会涉及到用户登录，非授权登录用户不允许访问指定的网页内容，可实现系统功能模块只授权给具有指定角色的用户账户。每个后台系统可以独立维护自己的账号权限体系，使登录用户在系统内完成业务操作闭环。不同系统间可以共享账号信息，基于Oauth的SSO(单点登录)方案可以实现用户账户一处登录认证后，在多个关联系统间维持登录态。由于不同后台系统业务模块会有差异，较难实现角色，以及角色所能使用资源集合的统一管理。在系统间功能交互较多的业务场景中，会涉及其一后台系统用户，需要能查看另一后台系统模块信息的情况。由于各自系统有不同的权限控制逻辑，一种通用的做法是，在统一SSO模式下，各自系统开通同一账号，并给予该账号另一系统某特定模块的权限，实现系统间页面访问。此种方法具有较大局限性，系统间一旦有互认证授权需求时，均需预先在各独立系统中开设相同账号，同时做相应账号角色权限设置，不具有灵活，而且对于没有采取SSO认证的系统来说，将更会增加登录功能复杂度。

发明内容

本发明所要解决的技术问题在于，针对现有系统间页面授权访问处理方式存在的问题，提供了一种轻量级，易于跨系统网页访问的系统间安全伪登录架构和方法，用户在源系统触发访问目标系统网址(以下统称为URL)时，经由源系统内的URL转换系统，中心签名生成与验证服务器，至目标系统内的URL授权鉴别系统，实现系统间安全伪登录。

为了解决上述问题本发明的技术方案是这样的：

一种系统间安全伪登陆架构，包括：可视化终端设备、源网站系统宿主物理机、签名生成与验证服务宿主物理机、目标网站系统宿主物理机；可视化终端设备与源网站系统宿主物理机网络连接，源网站系统宿主物理机与签名生成与验证服务宿主物理机网络连接，签名生成与验证服务宿主物理机与目标网站系统宿主物理机网络连接；目标网站系统宿主物理机与可视化终端设备网络连接；

用户通过可视化终端设备向源网站系统宿主物理机发起网络请求获取转换网址，并以转换后网址向目标网站系统宿主物理机发起网络请求，源网站系统宿主物理机与目标网站系统宿主物理机均须与签名生成与验证服务宿主物理交互，实现安全伪登陆。

系统间安全伪登陆方法，包括如下步骤：

用户在源系统触发访问目标系统URL，源系统以URL作为请求参数，向签名生成与验证服务器发起请求，获得最终的请求URL’；

签名生成与验证服务器在原始URL字段后追加随机参数与签名字段生成URL’，其中随机参数字段中包含原始请求时间信息；

源系统以URL’发起网络请求；

目标系统解析URL’参数，提取随机参数与签名字段，并做以下验证：

1)目标系统结合服务器当前时间，以及原始时间信息，验证链接是否超时失效；

2)目标系统以URL’作为请求参数，向签名生成与验证服务器发起请求，验证URL’的合法性；

3)目标系统同时根据用户IP与初始请求时间的组合标识，鉴别访问请求来源的一致性；

以上三项验证通过后，目标系统授权展示网页内容，实现超时失效，安全登录。

签名生成与验证服务器的URL转换的方法如下：