本發(fā)明實施例涉及單點登錄技術(shù)領(lǐng)域，公開了一種單點登錄方法、裝置及系統(tǒng)。其中，該方法包括：接收第一應(yīng)用系統(tǒng)發(fā)送的隨機串生成請求時，生成第一動態(tài)口令和用戶標(biāo)識，隨機串生成請求包括用戶信息和由用戶信息生成的根票據(jù)；通過第一動態(tài)口令加密用戶信息、用戶標(biāo)識生成隨機串；將用戶標(biāo)識、根票據(jù)儲存到數(shù)據(jù)庫；向第一應(yīng)用系統(tǒng)發(fā)送隨機串；接收到第二應(yīng)用系統(tǒng)發(fā)送的隨機串時，生成第二動態(tài)口令，通過第二動態(tài)口令解密隨機串以獲取用戶信息和用戶標(biāo)識；根據(jù)用戶標(biāo)識從數(shù)據(jù)庫中獲取根票據(jù)；返回用戶信息和根票據(jù)給第二應(yīng)用系統(tǒng)，以完成第二應(yīng)用系統(tǒng)的單點登錄。通過上述方式，本發(fā)明實施例能夠提高單點登錄的安全性。

技術(shù)領(lǐng)域

本發(fā)明實施例涉及單點登錄技術(shù)領(lǐng)域，具體涉及一種單點登錄方法、裝置及系統(tǒng)。

背景技術(shù)

單點登錄（Single Sign On，SSO），是指在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。例如，上豆瓣時，無需要另外登錄豆瓣FM、豆瓣讀書、豆瓣電影、豆瓣日記等應(yīng)用的服務(wù)端，只需要登錄一次豆瓣就可以訪問所有應(yīng)用。

目前的單點登錄方式一般在應(yīng)用跳轉(zhuǎn)時傳遞票據(jù)，以實現(xiàn)票據(jù)共享，雖然在傳遞票據(jù)時進(jìn)行了加密，但是，所有應(yīng)用共享同一密鑰，安全性不高。

發(fā)明內(nèi)容

本發(fā)明實施例一個目的旨在提供一種單點登錄方法、裝置及系統(tǒng)，能夠提高單點登錄的安全性。

根據(jù)本發(fā)明實施例的第一方面，提供了一種單點登錄方法，包括：所述統(tǒng)一認(rèn)證系統(tǒng)接收所述第一應(yīng)用系統(tǒng)發(fā)送的隨機串生成請求，并生成第一動態(tài)口令以及用戶標(biāo)識，其中，所述隨機串生成請求包括用戶信息和根票據(jù)，所述根票據(jù)是根據(jù)所述用戶信息生成的；所述統(tǒng)一認(rèn)證系統(tǒng)根據(jù)隨機串生成請求，通過所述第一動態(tài)口令對所述用戶信息、所述用戶標(biāo)識進(jìn)行加密，以生成隨機串；所述統(tǒng)一認(rèn)證系統(tǒng)將所述用戶標(biāo)識以及所述根票據(jù)對應(yīng)儲存到數(shù)據(jù)庫；所述統(tǒng)一認(rèn)證系統(tǒng)向所述第一應(yīng)用系統(tǒng)發(fā)送所述隨機串，以使所述第一應(yīng)用系統(tǒng)將所述隨機串發(fā)送至第二應(yīng)用系統(tǒng)；當(dāng)接收到第二應(yīng)用系統(tǒng)發(fā)送的所述隨機串時，所述統(tǒng)一認(rèn)證系統(tǒng)生成第二動態(tài)口令，并當(dāng)所述第二動態(tài)口令與所述第一動態(tài)口令相同時，通過所述第二動態(tài)口令對所述隨機串進(jìn)行解密，以獲取所述用戶信息和所述用戶標(biāo)識；所述統(tǒng)一認(rèn)證系統(tǒng)根據(jù)所述用戶標(biāo)識從所述數(shù)據(jù)庫中獲取所述根票據(jù)；所述統(tǒng)一認(rèn)證系統(tǒng)將所述用戶信息和所述根票據(jù)返回給所述第二應(yīng)用系統(tǒng)，以完成所述第二應(yīng)用系統(tǒng)的單點登錄。

在一種可選的方式中，所述隨機串生成請求包括第二應(yīng)用跳轉(zhuǎn)信息；在所述根據(jù)隨機串生成請求，通過所述第一動態(tài)口令對所述用戶信息、所述用戶標(biāo)識進(jìn)行加密，以生成隨機串之前，所述方法還包括：根據(jù)所述第二應(yīng)用跳轉(zhuǎn)信息，確定目標(biāo)信息，并將所述目標(biāo)信息作為所述用戶信息。

在一種可選的方式中，所述通過所述第一動態(tài)口令對所述用戶信息、所述用戶標(biāo)識進(jìn)行加密，以生成所述隨機串，具體包括：通過所述第一動態(tài)口令對所述用戶信息、所述用戶標(biāo)識以及當(dāng)前加密時間進(jìn)行加密，以生成所述隨機串。

在一種可選的方式中，所述生成第一動態(tài)口令，具體包括：獲取當(dāng)前加密時間；根據(jù)所述當(dāng)前加密時間、預(yù)設(shè)固定密鑰和預(yù)設(shè)加密算法，生成所述第一動態(tài)口令；

所述生成第二動態(tài)口令，具體包括：獲取當(dāng)前解密時間；根據(jù)所述當(dāng)前解密時間、所述預(yù)設(shè)固定密鑰和所述預(yù)設(shè)加密算法，生成所述第二動態(tài)口令；其中，所述預(yù)設(shè)加密算法包括：若所述當(dāng)前加密時間與所述當(dāng)前解密時間的時間間隔在預(yù)設(shè)時間間隔范圍內(nèi)，則生成的所述第一動態(tài)口令和所述第二動態(tài)口令相同。

在一種可選的方式中，所述預(yù)設(shè)固定密鑰拆分后儲存在所述統(tǒng)一認(rèn)證系統(tǒng)中。

在一種可選的方式中，所述用戶標(biāo)識為唯一識別碼。

在一種可選的方式中，在所述統(tǒng)一認(rèn)證系統(tǒng)接收所述第一應(yīng)用系統(tǒng)發(fā)送的隨機串生成請求之前，所述方法還包括：通過根票據(jù)密鑰對包括所述用戶信息的登錄信息進(jìn)行加密，以生成所述根票據(jù)。