一种应用于云服务的认证方法、计算机设备及存储介质转让专利
申请号 : CN201910936314.5
文献号 : CN110691089B
文献日 : 2020-08-11
发明人 : 顾逸圣 , 王宾 , 钟晶晶
申请人 : 星环信息科技(上海)有限公司
摘要 :
本发明实施例公开了一种应用于云服务的认证方法、计算机设备及存储介质,方法包括:获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;根据所述租户名确认所述租户名注册的多个认证源;依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。本发明实施例的技术方案能够提高多租户认证的灵活性,从而满足多租户的认证管控需求。
权利要求 :
1.一种应用于云服务的认证方法,其特征在于,包括:
获取目标用户输入的认证关联信息;其中,所述目标用户为登录客户端的用户,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;
根据所述租户名确认所述租户名注册的多个认证源;
依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证;
根据认证标识查询所述目标用户对应的租户名,并根据所述目标用户对应的租户名建立第一租户名列表;其中,所述认证标识是在确认所述用户名和所述密码匹配时根据预设认证协议生成的,且所述认证标识与所述目标用户的租户名、用户名及所述目标用户的关联用户信息之间建立绑定关系;
将所述第一租户名列表与第二租户名列表进行对比;其中,所述第二租户名列表包括客户端对应的租户名;
如果确定所述第一租户名列表与所述第二租户名列表一致,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;否则,根据预存的信任关系列表判断所述用户名和/或所述第一租户名列表与所述第二租户名列表是否存在信任关系,若是,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;其中,所述目标用户的关联用户信息为认证源中存储的所述目标用户的关联信息。
2.根据权利要求1所述的方法,其特征在于,在所述获取目标用户输入的认证关联信息之前,包括:根据各所述认证源的类型配置匹配的对接接口;
其中,所述对接接口用于配置认证源信息。
3.根据权利要求2所述的方法,其特征在于,所述依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证,包括:根据各所述认证源的优先级属性信息对各所述认证源进行排序;
根据排序结果依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
4.根据权利要求3所述的方法,其特征在于,所述根据排序结果依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证,包括:根据当前认证源的对接接口验证所述目标用户的用户名和密码;
如果确认所述用户名和所述密码匹配,则记录所述目标用户的租户名、用户名及所述目标用户的关联用户信息,根据预设认证协议生成认证标识,并建立所述认证标识与所述目标用户的租户名、用户名及所述目标用户的关联用户信息之间的绑定关系;
否则,将下一个认证源作为所述当前认证源,并返回执行根据当前认证源的对接接口验证所述目标用户的用户名和密码的操作;
如果确定所有认证源没有通过验证,则向所述目标用户返回报错信息。
5.根据权利要求4所述的方法,其特征在于,在所述确认所述用户名和所述密码匹配之后,还包括:对所述用户名和所述密码的验证结果进行缓存。
6.根据权利要求4所述的方法,其特征在于,在所述获取目标用户输入的认证关联信息之前,包括:通过所述对接接口配置用户与租户之间的互信关联信息,其中,所述用户与租户之间的互信关联信息包括一个租户下的一个用户被另一租户信任,或者一个租户下的所有用户被另一租户信任。
7.根据权利要求1所述的方法,其特征在于,向所述目标用户返回的用户名携带租户名后缀;
在将所述第一租户名列表与第二租户名列表进行对比之后,还包括:如果确定所述第一租户名列表与所述第二租户名列表不一致,且根据预存的信任关系列表判断所述用户名和/或所述第一租户名列表与所述第二租户名列表均不存在信任关系,则向所述目标用户返回报错信息。
8.一种计算机设备,包括处理器和存储器,所述存储器用于存储计算机程序,当所述计算机程序执行时使得所述处理器执行以下操作:获取目标用户输入的认证关联信息;其中,所述目标用户为登录客户端的用户,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;
根据所述租户名确认所述租户名注册的多个认证源;
依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证;
根据认证标识查询所述目标用户对应的租户名,并根据所述目标用户对应的租户名建立第一租户名列表;其中,所述认证标识是在确认所述用户名和所述密码匹配时根据预设认证协议生成的,且所述认证标识与所述目标用户的租户名、用户名及所述目标用户的关联用户信息之间建立绑定关系;
将所述第一租户名列表与第二租户名列表进行对比;其中,所述第二租户名列表包括客户端对应的租户名;
如果确定所述第一租户名列表与所述第二租户名列表一致,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;否则,根据预存的信任关系列表判断所述用户名和/或所述第一租户名列表与所述第二租户名列表是否存在信任关系,若是,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;其中,所述目标用户的关联用户信息为认证源中存储的所述目标用户的关联信息。
9.根据权利要求8所述的计算机设备,其特征在于,所述处理器是设置为通过以下方式完成在获取目标用户输入的认证关联信息之前执行的操作:根据各所述认证源的类型配置匹配的对接接口;
其中,所述对接接口用于配置认证源信息。
10.根据权利要求9所述的计算机设备,其特征在于,所述处理器是设置为通过以下方式依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证:根据各所述认证源的优先级属性信息对各所述认证源进行排序;
根据排序结果依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
11.根据权利要求10所述的计算机设备,其特征在于,所述处理器是设置为通过以下方式依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证:根据当前认证源的对接接口验证所述目标用户的用户名和密码;
如果确认所述用户名和所述密码匹配,则记录所述目标用户的租户名、用户名及所述目标用户的关联用户信息,根据预设认证协议生成认证标识,并建立所述认证标识与所述目标用户的租户名、用户名及所述目标用户的关联用户信息之间的绑定关系;
否则,将下一个认证源作为所述当前认证源,并返回执行根据当前认证源的对接接口验证所述目标用户的用户名和密码的操作;
如果确定所有认证源没有通过验证,则向所述目标用户返回报错信息。
12.根据权利要求11所述的计算机设备,其特征在于,所述处理器是设置为通过以下方式完成在确认所述用户名和所述密码匹配之后的操作:对所述用户名和所述密码的验证结果进行缓存。
13.根据权利要求11所述的计算机设备,其特征在于,所述处理器是设置为通过以下方式完成在获取目标用户输入的认证关联信息之前的操作:通过所述对接接口配置用户与租户之间的互信关联信息,其中,所述用户与租户之间的互信关联信息包括一个租户下的一个用户被另一租户信任,或者一个租户下的所有用户被另一租户信任。
14.根据权利要求8所述的计算机设备,其特征在于,所述处理器向所述目标用户返回的用户名携带租户名后缀;
所述处理器是设置为通过以下方式完成在将所述第一租户名列表与第二租户名列表进行对比之后执行的操作:如果确定所述第一租户名列表与所述第二租户名列表不一致,且根据预存的信任关系列表判断所述用户名和/或所述第一租户名列表与所述第二租户名列表均不存在信任关系,则向所述目标用户返回报错信息。
15.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的应用于云服务的认证方法。
说明书 :
一种应用于云服务的认证方法、计算机设备及存储介质
技术领域
[0001] 本发明实施例涉及信息安全技术领域,尤其涉及一种应用于云服务的认证方法、计算机设备及存储介质。
背景技术
[0002] 随着业务规模的不断扩大,企业内部通常会同时存在多个Web(World Wide Web,万维网)应用系统。出于安全管控的需求,其中大部分的系统都需要用户提供账户和密码用以登录认证。
[0003] 现有技术中,统一认证系统作为用户认证的一种解决方案,能够实现单次登录,便可访问所有接入的Web的系统,从而避免多个系统间用户重复登录的操作,实现将具体业务与用户认证剥离。然而企业用户的人员构成复杂,部门、职级或是职能不尽相同。传统的统一认证系统无法将用户按某种逻辑进行划分管控。目前的统一认证系统中会引入“租户”的概念,将不同的部门的人员抽象成不同租户下的用户,并以租户为单位对各部门的人员进行管理。
[0004] 现有基于多租户的统一认证系统强调用户信息必须统一存储在某种数据源中,因此在对接的过程中需要将各系统不同格式的用户数据进行统一迁移,并废弃原有的认证接口,灵活性较差。
发明内容
[0005] 本发明实施例提供一种应用于云服务的认证方法、计算机设备及存储介质,以提高多租户认证的灵活性,从而满足多租户的认证管控需求。
[0006] 第一方面,本发明实施例提供了一种应用于云服务的认证方法,包括:
[0007] 获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;
[0008] 根据所述租户名确认所述租户名注册的多个认证源;
[0009] 依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0010] 第二方面,本发明实施例还提供了一种应用于云服务的认证装置,包括:
[0011] 认证关联信息获取模块,用于获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;
[0012] 认证源确认模块,用于根据所述租户名确认所述租户名注册的多个认证源;
[0013] 信息认证模块,用于依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0014] 第三方面,本发明实施例还提供了一种计算机设备,包括处理器和存储器,存储器用于存储指令,当指令执行时使得处理器执行以下操作:
[0015] 获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;
[0016] 根据所述租户名确认所述租户名注册的多个认证源;
[0017] 依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0018] 第四方面,本发明实施例还提供了一种存储介质,存储介质用于存储指令,指令用于执行:
[0019] 获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;
[0020] 根据所述租户名确认所述租户名注册的多个认证源;
[0021] 依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0022] 本发明实施例通过获取目标用户输入的至少包括目标用户的租户名、用户名和密码的认证关联信息,以根据租户名确认租户名注册的多个认证源,从而依次调用各认证源的对接接口对目标用户的用户名和密码进行认证,解决现有认证系统存在的无法对各租户及用户进行细粒度的信任关系的控制的问题,以提高多租户认证的灵活性,从而满足多租户的认证管控需求。
附图说明
[0023] 图1是本发明实施例提供的一种认证系统的结构示意图;
[0024] 图2是本发明实施例一提供的一种应用于云服务的认证方法的流程图;
[0025] 图3是本发明实施例二提供的一种应用于云服务的认证方法的流程图;
[0026] 图4是本发明实施例三提供的一种应用于云服务的认证方法的流程图;
[0027] 图5是本发明实施例四提供的一种应用于云服务的认证装置的示意图;
[0028] 图6为本发明实施例五提供的一种计算机设备的结构示意图。
具体实施方式
[0029] 下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。
[0030] 另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
[0031] 本文使用的术语“目标用户”可以是需要登录某一客户端的用户。
[0032] 本文使用的术语“认证关联信息”可以是用于客户端进行认证的相关信息。
[0033] 本文使用的术语“优先级属性信息”可以是表征各认证源优先级高低的信息。
[0034] 本文使用的术语“关联用户信息”可以是认证源中存储的目标用户的关联信息,如目标用户的邮箱、联系方式等信息。
[0035] 本文使用的术语“预设认证协议”可以是任意类型的认证协议,如CAS、OAuth、或OIDC等。
[0036] 本文使用的术语“认证标识”可以是根据预设认证协议所生成的用于认证的标识,如票据或令牌等。
[0037] 本文使用的术语“用户与租户之间互信关联信息”可以是用户被另一租户信任,或租户下的所有用户被另一租户所信任。
[0038] 本文使用的术语“第一租户名列表”可以是根据认证标识查询到的租户名所构建的列表。
[0039] 本文使用的术语“第二租户名列表”可以是根据客户端所属的租户名所构建的列表。
[0040] 本文使用的术语“用户关联信息”可以包括但不限于用户名、租户名、密码及关联用户信息等。
[0041] 为了便于理解,将本发明实施例的主要发明构思进行简述。
[0042] 现有基于多租户的统一认证系统强调用户信息必须统一存储在某种数据源中,因此在对接的过程中需要将各系统不同格式的用户数据进行统一迁移,并废弃原有的认证接口。同时,基于多租户的统一认证系统中的不同租户间处于完全隔离状态,即租户内用户无法访问其他租户下的资源,或者,租户内任意用户都可以通过认证访问其他租户下的资源,只通过用户名或者其他标识来记录租户属性的状态。由此可见,现有的基于多租户的统一认证系统无法对各租户及用户进行细粒度的信任关系的控制。
[0043] 基于上述思考,发明人创造性的提出,获取目标用户输入的至少包括目标用户的租户名、用户名和密码的认证关联信息,以根据租户名确认租户名注册的多个认证源,从而依次调用各认证源的对接接口对目标用户的用户名和密码进行认证,解决现有认证系统存在的无法对各租户及用户进行细粒度的信任关系的控制的问题,以提高多租户认证的灵活性,从而满足多租户的认证管控需求。
[0044] 相应的,本发明实施例为解决现有统一认证系统中认证方式存在的问题,提出了一种可应用于云服务系统的认证系统。图1是本发明实施例提供的一种认证系统的结构示意图。如图1所示,本发明实施例所提供的认证系统可以包括系统接口API(Application Programming Interface,应用程序编程接口),该系统接口API可以实现基于角色的访问控制功能。在业务逻辑层,可以至少包括多认证源认证模块、用户管理模块,租户管理模块、客户端管理模块和互信管理模块等。其中,多认证源认证模块可以用于对租户下的各个用户进行认证,租户可以注册在一个或多个认证源。用户管理模块可以用于对用户信息进行管理,租户管理模块可以用于对租户信息进行管理,客户端管理模块可以用于对客户端信息进行管理,互信管理模块则可以用于对租户与租户及用户与租户之间的信任关系进行管理。数据持久层则用于对各种关联数据(如用户名和密码信息等)进行管理。
[0045] 认证系统还可以包括对系统用户管理的用户模块,用户模块支持将用户直接注册到认证系统上成为系统用户。系统用户可以属于系统预留的某个租户。认证系统中的用户模块可以提供统一的集中式的用户源,可以像普通租户的用户一样,通过配置互信关系访问其他租户下的资源。同时,用户模块还可以对系统用户赋予一些预定义的角色,来实现对系统API调用的访问控制。其中,预定义的角色可以至少包括系统用户、系统管理员、系统访客、系统用户管理员、系统用户访客、系统租户管理员以及系统租户访客。具体的,系统管理员(FED_ADMIN)可以拥有系统的最高权限;系统访客(FED_VIEWER)可以拥有系统所有资源的查看权限;系统用户管理员(FED_USER_ADMIN)可以拥有认证系统用户的管理权限;系统用户访客(FED_USER_VIEWER)可以拥有认证系统用户的查看权限;系统租户管理员(FED_TENANT_ADMIN)可以拥有认证系统全部租户的管理权限;系统租户访客(FED_TENANT_VIEWER)可以拥有认证系统全部租户的查看权限。上述各种系统角色的权限还具有如下的优先级关系。FED_ADMIN>FED_VIEWER、FED_ADMIN>FED_USER_ADMIN>FED_USER_VIEWER、FED_ADMIN>FED_TENANT_ADMIN>FED_TENANT_VIEWER、FED_VIEWER>FED_USER_VIEWER、FED_VIEWER>FED_TENANT_VIEWER。另外,认证系统还可引入“租户所有者(TENANT_OWNER)”以及“租户访客(TENANT_ACCESSOR)”两个角色。其中,租户所有者即某一租户的租户创建者。某个用户被其他租户信任,则其成为对方租户的租户访客。租户所有者与租户访客之间的优先级关系为TENANT_OWNER>TENANT_ACCESSOR。
[0046] 表1是认证系统中部分权限控制列表,如表1所示,认证系统中的不同系统用户所具备的系统中的权限是不同的。示例性的,具有FED_USER_ADMIN角色的系统用户具备添加、删除、更新、添加租户以及查看系统用户的权限。对不同系统用户设置不同的权限可实现对认证系统的功能化管理。需要说明的是,表1示例性的列举了认证系统中最基本的角色定义,进一步的,可以根据各系统角色之间的优先级关系推导系统用户的其他权限。示例性的,根据FED_USER_ADMIN>FED_USER_VIEWER的优先级关系可以推导出,FED_USER_ADMIN的优先级要高于FED_USER_VIEWER。由于具有FED_USER_VIEWER角色的系统用户具有查看系统用户的权限,因此具有FED_USER_ADMIN角色的系统用户同样具有查看系统用户的权限。
[0047] 本发明实施例所提供的认证系统对实现单点登录的协议的类型并不进行限制,包括但不限于CAS(Central Authentication Service,中央认证服务),OAuth(Open authorization,开放授权)及OIDC(OpenID Connect)等。客户端在接入认证系统之前需要先在认证系统进行注册,表明该客户端所属的租户。在认证系统运行过中,多认证源认证模块和互信管理模块发挥主要的功能。其中,多认证源认证模块的核心作用是使得认证系统同时对接多种提供不同接口的认证源,比如数据库接口、LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)接口或Kerberos接口等,并且能够以租户为单位配置各租户下的认证源。互信管理模块可以用于管理配置某一租户的认证源中的用户是否能在其他租户的客户端中通过认证。
[0048] 表1系统权限设置分配
[0049]
[0050] 实施例一
[0051] 图2是本发明实施例一提供的一种应用于云服务的认证方法的流程图,本实施例可适用于对多租户的认证管控,该方法可以由应用于云服务的认证装置来执行,该装置可以由软件和/或硬件的方式来实现,并一般可集成在计算机设备中,与用于完成应用于云服务的认证的客户端和用户代理等配合使用。相应的,如图2所示,该方法包括如下操作:
[0052] 步骤110、获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名。
[0053] 其中,目标用户即为需要登录某一客户端的用户。认证关联信息可以是用于客户端进行认证的相关信息,包括但不限于目标用户的租户名、用户名和密码等,例如,验证码等验证信息也可以作为认证关联信息,本发明实施例并不对认证关联信息的具体内容进行限定。租户名可以包括目标用户的用户名在内的至少一个用户名,从而以租户为单位对各认证源的数据进行管理。
[0054] 在本发明实施例中,在对目标用户的登录信息进行认证之前,可以首先获取目标用户通过认证系统输入的认证关联信息。
[0055] 在本发明的一个可选实施例中,在所述获取目标用户输入的认证关联信息之前,可以包括:根据各所述认证源配置匹配的对接接口;其中,所述对接接口用于配置认证源信息。
[0056] 在本发明实施例中,认证系统可以预先实现对各种认证源,如数据库或LDAP等的对接。具体的,可以根据各认证源的类型分别设计匹配的对接接口。认证系统在运行过程中,可以通过对接接口动态地添加或删除认证源信息。
[0057] 需要说明的是,为了保证认证系统能够实现与认证源的对接,目标用户在注册认证源时的注册信息需要附带认证源类型属性信息、目标用户所属租户的属性信息以及认证源的优先级属性信息等关联信息,这些关联信息可以用于认证系统区分对接接口的类型。
[0058] 在本发明的一个可选实施例中,在所述获取目标用户输入的认证关联信息之前,可以包括:通过所述对接接口配置用户与租户之间的互信关联信息。
[0059] 步骤120、根据所述租户名确认所述租户名注册的多个认证源。
[0060] 可以理解的是,目标用户所属的租户名可以在多个认证源中注册,也即,目标用户所属的租户名下可能已注册了多个认证源。因此,在获取到目标用户输入的认证关联信息后,可以根据目标用户所属的租户名确认该租户名注册的多个认证源。
[0061] 步骤130、依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0062] 相应的,在确认标用户所属的租户名注册的多个认证源后,即可调用每个认证源的对接接口对目标用户的用户名和密码进行认证。
[0063] 在本发明的一个可选实施例中,所述依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证,可以包括:根据各所述认证源的优先级属性信息对各所述认证源进行排序;根据排序结果依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0064] 其中,优先级属性信息可以是表征各认证源优先级高低的信息。例如,数据库的优先级属性信息为一级,LDAP的属性信息为二级,一级比二级的优先级要高。
[0065] 具体的,在对目标用户的用户名和密码进行认证时,可以根据各认证源的优先级属性信息对各认证源进行排序。示例性的,可以根据各认证源的优先级从高到低的顺序进行排序。然后根据排序结果依次调用各认证源的对接接口对目标用户的用户名和密码进行认证。
[0066] 在本发明的一个可选实施例中,所述根据排序结果依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证,可以包括:根据当前认证源的对接接口验证所述目标用户的用户名和密码;如果确认所述用户名和所述密码匹配,则记录所述目标用户的租户名、用户名及所述目标用户的关联用户信息,根据预设认证协议生成认证标识,并建立所述认证标识与所述目标用户的租户名、用户名及所述目标用户的关联用户信息之间的绑定关系;否则,将下一个认证源作为所述当前认证源,并返回执行根据当前认证源的对接接口验证所述目标用户的用户名和密码的操作;如果确定所有认证源没有通过验证,则向所述目标用户返回报错信息。
[0067] 其中,关联用户信息可以是认证源中存储的目标用户的关联信息,如目标用户的邮箱、联系方式等信息,具体可以根据实际需求进行信息类型的修改,本发明实施例并不对关联用户信息的具体类型和内容进行限定。预设认证协议可以是任意类型的认证协议,如CAS、OAuth、或OIDC等,本发明实施例并不对预设认证协议的具体类型进行限定。认证标识可以是根据预设认证协议所生成的用于认证的标识,如票据或令牌等,本发明实施例同样不对认证标识的类型进行限定。
[0068] 具体的,认证系统在根据排序结果依次调用各认证源的对接接口对目标用户的用户名和密码进行认证时,可以根据当前认证源的对接接口验证目标用户的用户名和密码是否匹配。如果确定用户名和密码匹配,则记录目标用户的租户名、用户名及目标用户在认证源中存储的关联用户信息,并根据预设认证协议生成认证标识,以建立认证标识与目标用户的租户名、用户名及目标用户的关联用户信息之间的绑定关系。认证系统可以通过其他的系统接口来调用认证标识以进行后续的操作,如判断该用户是否被其他租户所信任。如果确定用户名和密码不匹配,则继续根据下一个认证源验证用户名和密码,直至遍历完目标用户所属租户下所有的认证源都无法匹配,则向目标用户返回报错信息。
[0069] 在本发明的一个可选实施例中,在根据预设认证协议生成认证标识之后,还可以包括:根据所述认证标识查询所述目标用户对应的租户名,并根据所述目标用户对应的租户名建立第一租户名列表;将所述第一租户名列表与第二租户名列表进行对比;其中,所述第二租户名列表包括客户端对应的租户名;如果确定所述第一租户名列表与所述第二租户名列表一致,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;否则,根据预存的信任关系列表判断所述用户名和/或所述第一租户名列表与所述第二租户名列表是否存在信任关系,若是,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;否则,向所述目标用户返回报错信息;其中,向所述目标用户返回的用户名携带租户名后缀。
[0070] 在本发明的一个可选实施例中,在所述确认所述用户名和所述密码匹配之后,还可以包括:对所述用户名和所述密码的验证结果进行缓存。
[0071] 考虑到同一个租户下注册的认证源数量可能较多,每次对用户进行认证会产生较大的网络开销。因此认证系统可以对用户的验证结果进行缓存,从而避免用户请求认证时每次都向各认证源校验用户名和密码,从而节省网络开销。
[0072] 本发明实施例通过获取目标用户输入的至少包括目标用户的租户名、用户名和密码的认证关联信息,以根据租户名确认租户名注册的多个认证源,从而依次调用各认证源的对接接口对目标用户的用户名和密码进行认证,解决现有认证系统存在的无法对各租户及用户进行细粒度的信任关系的控制的问题,以提高多租户认证的灵活性,从而满足多租户的认证管控需求。
[0073] 实施例二
[0074] 图3是本发明实施例二提供的一种应用于云服务的认证方法的流程图,本发明实施例可以与上述一个或者多个实施例中各个可选方案结合,在本实施例中,给出了对用户与租户以及租户与租户间的信任关系的控制方法。相应的,如图3所示,本实施例的方法可以包括:
[0075] 步骤210、根据各所述认证源的类型配置匹配的对接接口,并通过所述对接接口配置用户与租户之间的互信关联信息;
[0076] 其中,用户与租户之间互信关联信息可以是用户被另一租户信任,或租户下的所有用户被另一租户所信任,本发明实施例并不对互信关联信息的具体内容进行限定。
[0077] 在本发明实施例中,还可以通过认证系统的对接接口动态地添加或删除用户与租户之间的互信关联信息。示例性的,可以设置租户下的某个或某些用户被另一租户信任,也可以是某一租户下的所有用户被另一租户所信任。需要说明的是,如果配置的互信关联信息为租户间的信任,则配置的信任关系可以单向的,也可以是双向的,即互信。
[0078] 步骤220、获取目标用户输入的认证关联信息。
[0079] 步骤230、根据所述租户名确认所述租户名注册的多个认证源。
[0080] 步骤240、依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0081] 步骤250、根据所述认证标识查询所述目标用户对应的租户名,并根据所述目标用户对应的租户名建立第一租户名列表。
[0082] 其中,第一租户名列表可以是根据认证标识查询到的租户名所构建的列表。
[0083] 在本发明实施例中,如果认证系统调用各认证源的对接接口对目标用户的用户名和密码认证成功,则可以根据认证过程产生的认证标识所绑定的租户名、用户名及目标用户的关联用户信息中查询目标用户对应的租户名,并根据目标用户对应的租户名建立第一租户名列表。
[0084] 步骤260、将所述第一租户名列表与第二租户名列表进行对比;其中,所述第二租户名列表包括客户端对应的租户名。
[0085] 其中,第二租户名列表可以是根据客户端所属的租户名所构建的列表。
[0086] 相应的,在建立第一租户名列表之后,认证系统可以将第一租户名列表与第二租户名列表进行对比。
[0087] 步骤270、判断第一租户名列表与第二租户名列表是否一致,若是,则执行步骤280,否则,执行步骤290。
[0088] 步骤280、向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息。
[0089] 具体的,如果认证系统确定第一租户名列表与第二租户名列表一致,则可以向目标用户返回目标用户的租户名、用户名及目标用户的关联用户信息等信息。
[0090] 可选的,向目标用户返回的用户名可以携带租户名后缀,以唯一标识用户ID(Identity document,身份标识号)。
[0091] 步骤290、判断用户名和/或第一租户名列表与第二租户名列表是否存在信任关系,若是,则执行步骤280,否则执行步骤2110。
[0092] 相应的,如果认证系统确定第一租户名列表与第二租户名列表不一致,则可以根据认证系统中通过对接接口配置存储的信任关系继续判断目标用户的用户名和/或第一租户名列表与第二租户名列表之前是否存在信任关系。具体的,判断目标用户是否被第二租户名列表信任,或者判断第一租户名列表是否被第二租户名列表信任。如果确定目标用户的用户名和/或第一租户名列表与第二租户名列表之前存在信任关系,则向目标用户返回目标用户的租户名、用户名及目标用户的关联用户信息等信息。
[0093] 步骤2110、向所述目标用户返回报错信息。
[0094] 相应的,如果确定目标用户的用户名和/或第一租户名列表与第二租户名列表之前不存在信任关系,则向所述目标用户返回报错信息。
[0095] 本发明实施例通过对用户与租户之间的信任关系进行管理,能够实现对各租户及用户进行细粒度的信任关系的控制。
[0096] 实施例三
[0097] 图4是本发明实施例三提供的一种应用于云服务的认证方法的流程图,本发明实施例可以与上述一个或者多个实施例中各个可选方案结合,在本实施例中,给出了客户端接入认证系统并通过认证系统实现单点登录的具体流程。相应的,如图4所示,本实施例的方法可以包括:
[0098] 步骤310、用户代理向客户端发送访问请求,请求客户端的内容。
[0099] 步骤320、客户端向用户代理反馈认证系统的登录页。
[0100] 步骤330、用户代理向认证系统发送登录请求。
[0101] 步骤340、认证系统响应登录请求。
[0102] 步骤350、用户代理输入目标用户的租户名、用户名及密码等信息。
[0103] 步骤360、认证系统中的多认证源认证模块根据租户名对用户名和密码进行认证。认证成功时,生成认证标识。同时设置cookie(储存在用户本地终端上的数据),以记录当前登录状态。同时在客户端的URL(Uniform Resource Locator,统一资源定位符)之后附带一次性的认证标识。
[0104] 步骤370、目标用户成功登录客户端。
[0105] 步骤380、认证系统通过互信管理模块一次或多次向客户端请求获取用户关联信息。
[0106] 步骤390、互信模块向目标用户返回用户关联信息。
[0107] 其中,用户关联信息可以包括但不限于用户名、租户名、密码及关联用户信息等。
[0108] 步骤3110、客户端设置cookie,以记录当前登录状态,并向用户代理反馈客户端内容页。
[0109] 步骤3120、用户代理访问客户端内容页。
[0110] 步骤3130、客户端验证cookie,并响应用户代理的访问请求。
[0111] 本发明实施例通过对接多种提供不同接口的认证源,并以租户为单位配置各租户下的认证源,同时管理配置租户的认证源中的用户是否能在其他租户的客户端中通过认证,实现提高多租户认证的灵活性,从而满足多租户的认证管控需求。
[0112] 需要说明的是,以上各实施例中各技术特征之间的任意排列组合也属于本发明的保护范围。
[0113] 实施例四
[0114] 图5是本发明实施例四提供的一种应用于云服务的认证装置的示意图,如图5所示,所述装置包括:认证关联信息获取模块410、认证源确认模块420以及信息认证模块430,其中:
[0115] 认证关联信息获取模块410,用于获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;
[0116] 认证源确认模块420,用于根据所述租户名确认所述租户名注册的多个认证源;
[0117] 信息认证模块430,用于依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0118] 本发明实施例通过获取目标用户输入的至少包括目标用户的租户名、用户名和密码的认证关联信息,以根据租户名确认租户名注册的多个认证源,从而依次调用各认证源的对接接口对目标用户的用户名和密码进行认证,解决现有认证系统存在的无法对各租户及用户进行细粒度的信任关系的控制的问题,以提高多租户认证的灵活性,从而满足多租户的认证管控需求。
[0119] 可选的,所述装置还包括:对接接口配置模块,用于根据各所述认证源的类型配置匹配的对接接口;其中,所述对接接口用于配置认证源信息。
[0120] 可选的,信息认证模块430,包括:认证源排序单元,用于根据各所述认证源的优先级属性信息对各所述认证源进行排序;信息认证单元,用于根据排序结果依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0121] 可选的,信息认证单元,具体用于根据当前认证源的对接接口验证所述目标用户的用户名和密码;如果确认所述用户名和所述密码匹配,则记录所述目标用户的租户名、用户名及所述目标用户的关联用户信息,根据预设认证协议生成认证标识,并建立所述认证标识与所述目标用户的租户名、用户名及所述目标用户的关联用户信息之间的绑定关系;否则,将下一个认证源作为所述当前认证源,并返回执行根据当前认证源的对接接口验证所述目标用户的用户名和密码的操作;如果确定所有认证源没有通过验证,则向所述目标用户返回报错信息。
[0122] 可选的,所述装置还包括:信息缓存模块,用于对所述用户名和所述密码的验证结果进行缓存。
[0123] 可选的,所述装置还包括:互信关联信息配置模块,用于通过所述对接接口配置用户与租户之间的互信关联信息。
[0124] 可选的,所述装置还包括:互信管理模块,用于根据所述认证标识查询所述目标用户对应的租户名,并根据所述目标用户对应的租户名建立第一租户名列表;将所述第一租户名列表与第二租户名列表进行对比;其中,所述第二租户名列表包括客户端对应的租户名;如果确定所述第一租户名列表与所述第二租户名列表一致,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;否则,根据预存的信任关系列表判断所述用户名和/或所述第一租户名列表与所述第二租户名列表是否存在信任关系,若是,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;否则,向所述目标用户返回报错信息;其中,向所述目标用户返回的用户名携带租户名后缀。
[0125] 上述应用于云服务的认证装置可执行本发明任意实施例所提供的应用于云服务的认证方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明任意实施例提供的应用于云服务的认证方法。
[0126] 由于上述所介绍的应用于云服务的认证装置为可以执行本发明实施例中的应用于云服务的认证方法的装置,故而基于本发明实施例中所介绍的应用于云服务的认证方法,本领域所属技术人员能够了解本实施例的应用于云服务的认证装置的具体实施方式以及其各种变化形式,所以在此对于该应用于云服务的认证装置如何实现本发明实施例中的应用于云服务的认证方法不再详细介绍。只要本领域所属技术人员实施本发明实施例中应用于云服务的认证方法所采用的装置,都属于本申请所欲保护的范围。
[0127] 实施例五
[0128] 图6为本发明实施例五提供的一种计算机设备的结构示意图。图6示出了适于用来实现本发明实施方式的计算机设备512的框图。图6显示的计算机设备512仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
[0129] 如图6所示,计算机设备512以通用计算设备的形式表现。计算机设备512的组件可以包括但不限于:一个或者多个处理器516,存储装置528,连接不同系统组件(包括存储装置528和处理器516)的总线518。
[0130] 总线518表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry Standard Architecture,ISA)总线,微通道体系结构(Micro Channel Architecture,MCA)总线,增强型ISA总线、视频电子标准协会(Video Electronics Standards Association,VESA)局域总线以及外围组件互连(Peripheral Component Interconnect,PCI)总线。
[0131] 计算机设备512典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备512访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
[0132] 存储装置528可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(Random Access Memory,RAM)530和/或高速缓存存储器532。计算机设备512可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统534可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如只读光盘(Compact Disc-Read Only Memory,CD-ROM)、数字视盘(Digital Video Disc-Read Only Memory,DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线518相连。存储装置528可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
[0133] 具有一组(至少一个)程序模块526的程序536,可以存储在例如存储装置528中,这样的程序模块526包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块526通常执行本发明所描述的实施例中的功能和/或方法。
[0134] 计算机设备512也可以与一个或多个外部设备514(例如键盘、指向设备、摄像头、显示器524等)通信,还可与一个或者多个使得用户能与该计算机设备512交互的设备通信,和/或与使得该计算机设备512能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(Input/Output,I/O)接口522进行。并且,计算机设备512还可以通过网络适配器520与一个或者多个网络(例如局域网(Local Area Network,LAN),广域网Wide Area Network,WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器520通过总线518与计算机设备512的其它模块通信。应当明白,尽管图中未示出,可以结合计算机设备512使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Disks,RAID)系统、磁带驱动器以及数据备份存储系统等。
[0135] 处理器516通过运行存储在存储装置528中的程序,从而执行各种功能应用以及数据处理,例如实现本发明上述实施例所提供的应用于云服务的认证方法。
[0136] 也即,所述处理单元执行所述程序时实现:获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;根据所述租户名确认所述租户名注册的多个认证源;依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0137] 在上述各实施例的基础上,处理器516是设置为通过以下方式完成在获取目标用户输入的认证关联信息之前执行的操作:
[0138] 根据各所述认证源的类型配置匹配的对接接口;其中,所述对接接口用于配置认证源信息。
[0139] 在上述各实施例的基础上,处理器516是设置为通过以下方式依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证:根据各所述认证源的优先级属性信息对各所述认证源进行排序;根据排序结果依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0140] 在上述各实施例的基础上,处理器516是设置为通过以下方式依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证:根据当前认证源的对接接口验证所述目标用户的用户名和密码;如果确认所述用户名和所述密码匹配,则记录所述目标用户的租户名、用户名及所述目标用户的关联用户信息,根据预设认证协议生成认证标识,并建立所述认证标识与所述目标用户的租户名、用户名及所述目标用户的关联用户信息之间的绑定关系;否则,将下一个认证源作为所述当前认证源,并返回执行根据当前认证源的对接接口验证所述目标用户的用户名和密码的操作;如果确定所有认证源没有通过验证,则向所述目标用户返回报错信息。
[0141] 在上述各实施例的基础上,处理器516是设置为通过以下方式完成在确认所述用户名和所述密码匹配之后的操作:对所述用户名和所述密码的验证结果进行缓存。
[0142] 在上述各实施例的基础上,处理器516是设置为通过以下方式完成在获取目标用户输入的认证关联信息之前的操作:通过所述对接接口配置用户与租户之间的互信关联信息。
[0143] 在上述各实施例的基础上,处理器516是设置为通过以下方式完成在根据预设认证协议生成认证标识之后执行的操作:根据所述认证标识查询所述目标用户对应的租户名,并根据所述目标用户对应的租户名建立第一租户名列表;将所述第一租户名列表与第二租户名列表进行对比;其中,所述第二租户名列表包括客户端对应的租户名;如果确定所述第一租户名列表与所述第二租户名列表一致,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;否则,根据预存的信任关系列表判断所述用户名和/或所述第一租户名列表与所述第二租户名列表是否存在信任关系,若是,则向所述目标用户返回所述目标用户的租户名、用户名及所述目标用户的关联用户信息;否则,向所述目标用户返回报错信息;其中,向所述目标用户返回的用户名携带租户名后缀。
[0144] 实施例六
[0145] 本发明实施例六还提供一种存储计算机程序的计算机存储介质,所述计算机程序在由计算机处理器执行时用于执行本发明上述实施例任一所述的应用于云服务的认证方法:获取目标用户输入的认证关联信息;其中,所述认证关联信息包括目标用户的租户名、用户名和密码;所述租户名包括至少一个用户名;根据所述租户名确认所述租户名注册的多个认证源;依次调用各所述认证源的对接接口对所述目标用户的用户名和密码进行认证。
[0146] 本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(Read Only Memory,ROM)、可擦式可编程只读存储器((Erasable Programmable Read Only Memory,EPROM)或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0147] 计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0148] 计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、射频(Radio Frequency,RF)等等,或者上述的任意合适的组合。
[0149] 可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0150] 注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。