[发明专利]用户认证方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种用户认证方法及系统。

背景技术

cookie是互联网网站为了辨别用户身份而存储在用户使用的本地客户端上的数据。当用户需要某网站提供的服务时，用户登录该网站，网站会在本地客户端上存储一个小文本文件，用于记录用户ID（标识）、密码、网页地址和停留时间等cookie信息，接下来用户在该网站进行类似业务预定、下单、购买或其它消费等各种服务时，网站通过cookie确认用户身份，完成提供服务的流程。cookie识别方案是RFC（Request For Comments，一系列以编号排定的文件）协议中的标准流程。cookie只能在宿主网站使用，第三方网站不能使用其它网站生成的cookie。如果用户通过第三方网站（如网站A）需要使用宿主网站（如网站B）提供的服务，则必须要求用户通过网站A中的链接到达网站B，进行二次登录（第一次登录网站A，第二次登录网站B）。现有技术还提供了一种oauth协议，该协议为用户资源的授权提供了一个安全、开放而又简易的标准。根据oauth协议的规定，第三方网站（如网站A）为了使用宿主网站（如网站B）的一些需要用户身份的接口或服务，需要引导用户到达网站B，在网站B完成登录和授权等相应流程，网站B会颁发一个在一定时间内（称为有效期）唯一标识该用户的标记（Token）给网站A，网站A可以使用这个Token在有效期内多次获取用户的信息，继而提供相应的服务。oauth协议为了取得宿主网站的用户的授权，从而获取该用户的各种信息的服务，但其核心目的不是为了标识用户身份。为了使得第三方网站能在较长时间内获取用户的信息，宿主网站颁发的Token的有效期一般都比较长，这样第三方网站可能会利用该Token恶意长期使用宿主网站提供的服务，尤其是针对某些宿主网站提供的扣费服务，假如被恶意使用，会给用户造成很大的损失。另外，oauth协议也需要用户登录宿主网站，而且需要得到宿主网站的授权，操作起来十分复杂。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的用户认证系统和相应的用户认证方法。

根据本发明的一个方面，提供了一种用户认证系统，包括用户代理装置、宿主网站服务器以及第三方应用服务器；

所述用户代理装置包括：登录器，适于当用户登录时获取包括第一用户标识的用户登录信息；第一发送器，适于当用户访问第三方应用服务器时，将所述第一用户标识传送给所述第三方应用服务器；第一接收器，适于接收所述第三方应用服务器发出的包括第一用户标识的服务接口地址请求消息；第二发送器，适于根据所述服务接口地址请求消息，将所述第一用户标识发送给宿主网站服务器；第二接收器，适于获取所述宿主网站服务器根据所述第一用户标识生成的用户密钥；附加器，适于将所述用户密钥附加在服务接口地址中；所述第一发送器还适于将所述服务接口地址传送给第三方应用服务器；

所述宿主网站服务器，包括：第三接收器，适于接收用户代理装置发送的第一用户标识，所述第一用户标识是所述用户代理装置在用户登录并访问第三方应用服务器时，将所述用户的第一用户标识传送给所述第三方应用服务器之后，接收到所述第三方应用服务器发出的包括第一用户标识的服务接口地址请求消息而发送的；生成器，适于根据所述第一用户标识生成用户密钥；第三发送器，适于将所述用户密钥发送给所述用户代理装置，以供所述用户代理装置将所述用户密钥附加在服务接口地址中，将所述服务接口地址传送给第三方应用服务器；第四接收器，适于接收所述第三方应用服务器发出的包括第二用户标识和所述服务接口地址的服务提供请求消息；查询器，适于解析所述服务接口地址，获取所述用户密钥，然后根据所述用户密钥获取所述第一用户标识；第一认证器，适于根据所述第一用户标识与第二用户标识是否一致的比较结果确定是否要向第三方应用服务器提供服务。

根据本发明的另一方面，提供了一种用户认证方法，包括：

当用户登录用户代理并通过所述用户代理访问第三方应用服务器时，将所述用户的第一用户标识传送给所述第三方应用服务器；

接收所述第三方应用服务器发出的包括第一用户标识的服务接口地址请求消息，将所述第一用户标识发送给宿主网站服务器；