(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210084528.6 (22)申请日 2022.01.25 (71)申请人 百安居信息技 术 （上海） 有限公司 地址 200120 上海市浦东 新区银霄路393号 百安居浦东商务大楼 (72)发明人 陈芳洲　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于多认证协 议的单点登录方法、 介质 及电子设备 (57)摘要 本发明提供一种基于多认证协议的单点登 录方法， 所述方法包括： 接收客户终端浏览器发 送的带有业务应用系统识别标识的用户登录认 证授权标识请求信息； 根据所述业务应用系统识 别标识及其采用的登录认证协议生成认证授权 标识； 向所述客户终端浏览器 返回所述认证授权 标识以便所述客户终端浏览器通过所述认证授 权标识向所述业务应用系统发送用户登录认证 请求。 本发明实现了用户在使用单点登录系统 时， 只需要登录一次， 就可以访问多个系统， 无需 记忆多个口令密码， 实现快速访问网络， 从而提 高工作效率， 同时也能帮助提高系统的安全性。 权利要求书3页 说明书8页 附图8页 CN 114422258 A 2022.04.29 CN 114422258 A 1.一种基于多认证协议的单点登录方法， 其特征在于， 应用于统一登录平台服务器， 包 括： 接收用户终端浏览器发送的带有业务应用系统识别标识的用户登录认证授权标识请 求信息； 根据所述 业务应用系统识别标识及其采用的登录认证协议 生成认证授权标识； 向所述用户终端浏览器返回所述认证授权标识以便所述用户终端浏览器通过所述认 证授权标识向所述 业务应用系统发送用户登录认证请求。 2.根据权利要求1所述的方法， 其特征在于， 所述统一登录平台服务器支持的业务应用 系统认证协议包括OAuth、 SAML、 CAS、 JWT、 共享co okie。 3.根据权利要求2所述的方法， 向统一登录平台发送获取应用系统授权信息之前还包 括： 预先在所述统一登录平台注册所述业务应用系统， 所述业务应用系统具有唯一识别 id； 对统一登录平台 中用户账号与所述 业务应用系统账号做映射管理。 4.根据权利要求3所述的方法， 其特征在于， 当所述业务应用系统采用的认证协议为 OAuth， 认证步骤 包括： 接收所述用户终端浏览器发送的带有业 务应用系统识别id的code请求信息； 根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应 用系统注 册信息； 基于用户信息生成code并返回； 接收所述业务应用系统携带code信息发送的token请求信息， 其 中， 所述业务应用系统 在发送token请求信息之前， 接收用户终端浏览器发送的通过code获取用户登录认证请求； 根据所述code生成to ken信息并返回给 所述业务应用系统； 接收所述 业务应用系统携带to ken信息发送的用户信息请求； 将用户信息返回给所述业务应用系统以便所述业务应用系统进行用户登录认证， 其 中， 所述业务应用系统在认证成功后重定 向进入所述业务应用系统页面， 再设置所述业务 应用系统登录状态， 并对用户在所述 业务应用系统登录状态设定失效时效。 5.根据权利要求3所述的方法， 其特征在于， 当所述业务应用系统采用的认证协议为 SAML， 认证步骤 包括： 接收所述用户终端浏览器发送的根据所述 业务应用系统证书加密的请求 参数信息； 通过所述业务应用系统证书解密所述加密后的请求参数信 息， 所述请求参数信 息包括 所述业务应用系统注 册数据； 校验所述 业务应用系统注 册数据； 在所述业务应用系统注册数据校验成功后， 获取当前用户信息， 加密后返回所述用户 终端浏览器以便所述用户终端浏览器根据所述加密后的用户信息 向所述业务应用 系统获 取用户登录认证请求， 所述业务应用系统在接收到用户登录认证请求后解密获取用户信息 并根据用户信息进行用户登录认证， 认证成功后重 定向进入所述 业务应用系统页面。 6.根据权利要求3所述的方法， 其特征在于， 当所述业务应用系统采用的认证协议为 CAS， 认证步骤 包括：权　利　要　求　书 1/3 页 2 CN 114422258 A 2接收所述用户终端浏览器发送的带有业务应用系统识别id的授权票据ST请求信息； 根 据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应用系统 注册信息； 基于用户信息生成所述授权票据ST并返回； 接收所述业务应用系统携带授权票据ST发送 的用户信息获取请求， 其中， 所述业务应 用系统在发送用户信息获取请求之前， 接收用户终端浏览器发送的通过授权票据ST获取用 户登录认证请求； 将用户信息返回给所述业务应用系统以便所述业务应用系统进行用户登录认证， 其 中， 所述业务应用系统在认证成功后重定 向进入所述业务应用系统页面， 再设置所述业务 应用系统登录状态， 并对用户在所述 业务应用系统登录状态设定失效时效。 7.根据权利要求3所述的方法， 其特征在于， 当所述业务应用系统采用的认证协议为 JWT时， 判断所述业务应用系统采用的认证协议为对称加密方式认证模式或非对称加密方 式认证模式， 当所述业务应用系统采用的认证协议为对称加密方式认证模式时， 认证步骤 包括： 接收所述用户终端浏览器发送的带有业务应用系统识别id的授权令牌JwtToken请求 信息； 根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应 用系统注 册信息； 基于用户信息生成所述授权 令牌JwtTo ken并返回； 所述用户终端浏览器在接收到所述授权令牌JwtToken进行保存， 并向所述业务应用系 统发送携带有授权令牌 JwtToken的用户登录认证请求， 所述业务应用系统在接收到用户登 录认证请求后通过对称加密方式解密获取用户信息并根据用户信息进 行用户登录认证， 认 证成功后重定向进入所述业务应用系统页面， 所述业务应用系统在解密后保存授权令牌 JwtToken， 再设置所述业务应用系统登录状态， 并对用户在所述业务应用系统登录状态设 定失效时效。 当所述业务应用系统采用的认证协议 为非对称加密方式认证模式时， 认证步骤 包括： 接收所述用户终端浏览器发送的带有业务应用系统识别id的授权令牌JwtToken请求 信息； 根据所述业务应用系统的识别id获取所述业务应用系统配置信息以校验所述业务应 用系统注 册信息； 生成公私钥对， 使用私钥签名后结合用户信息,生成授权 令牌JwtTo ken并返回； 接收所述业务应用系统发送的公钥获取请求， 其中， 在所述业务应用系统发送公钥获 取请求之前， 所述用户终端浏览器在接收到所述授权令牌JwtToken进行保存， 并向所述业 务应用系统发送携带有授权 令牌JwtTo ken的用户登录认证请求； 将所述公钥发送给所述业务应用系统以便所述业务应用系统根据公钥验证授权令牌 JwtToken的签名以判断用户信息真实性， 在判断用户信息真实后进行用户登录认证， 并在 认证成功后重 定向进入所述 业务应用系统页面。 8.根据权利要求3所述的方法， 其特征在于， 当所述业务应用系统采用的认证协议为共 享cookie， 认证步骤 包括：权　利　要　求　书 2/3 页 3 CN 114422258 A 3