信息处理方法及其系统、计算机系统及计算机可读介质

本公开涉及网络领域，更具体地，涉及一种信息处理方法及其系统、以及一种计算机系统和一种计算机可读介质。

用户可以通过输入登录账号(如用户名和密码)的方式来登录目标客户端，出于安全性的考虑，通常会对登录账号进行身份认证和操作权限授权。如对Linux系统的客户端来说，账户系统会在/etc/passwd、/etc/group、/etc/shadow中建立账户信息，在用户通过远程登录协议(Secure Shell，简称为ssh)登录工具登录客户端的时候，账号系统会先去读取/etc/passwd，验证是否有这个账号，然后再利用/etc/shadow去校验密码。

然而，在实现本公开构思的过程中，发明人发现相关技术中至少存在如下问题：相关技术中，由于采用客户端的账户系统来实现账户管理，无法实现通过一台客户端申请账户，多台客户端可用，即无法实现账户的共享，在用户需要登录多台客户端的情况下，操作较为繁琐，用户体验不好。

针对相关技术中的上述问题，目前还未提出有效的解决方案。

有鉴于此，本公开提供了一种应用于账号管理服务器的信息处理方法、一种应用于客户端的信息处理方法以及一种应用于认证服务器的信息处理方法，相应地，本公开还提供了一种应用于账号管理服务器的信息处理系统、一种应用于客户端的信息处理系统以及一种应用于认证服务器的信息处理系统。

本公开的第一个方面提供了一种信息处理方法，应用于账号管理服务器，包括：接收来自客户端的与登录账号关联的申请信息，其中，上述申请信息包含上述登录账号欲登录的目标客户端信息；以及基于上述申请信息，生成与目标客户端信息匹配的第一认证信息，以使认证服务器在接收到上述目标客户端响应于登录请求而发送的登录账号的情况下，能够基于上述第一认证信息确定上述登录账号是否具有上述目标客户端的登录权限。

根据本公开的实施例，上述申请信息还包含上述登录账号的角信息，上述角信息用于反映上述登录账号的操作权限，上述方法还包括：基于上述申请信息，生成与上述角信息匹配的第二认证信息，以使上述目标客户端能够基于上述第二认证信息确定上述登录账号针对上述目标客户端的操作权限。

根据本公开的实施例，上述基于上述申请信息，生成与目标客户端信息匹配的第一认证信息包括：获取与上述申请信息关联的登录密码；以及在上述登录密码校验通过的情况下，对上述申请信息进行非对称加密处理，生成与目标客户端信息匹配的第一认证信息。

本公开的第二个方面提供了一种信息处理方法，应用于客户端，包括：向账号管理服务器发送与登录账号关联的申请信息，其中，上述申请信息包含上述登录账号欲登录的目标客户端信息，以使上述账号管理服务器能够基于上述申请信息，生成与目标客户端信息匹配的第一认证信息；接收针对上述目标客户端的登录请求；以及响应于上述登录请求向上述认证服务器发送登录账号，以使上述认证服务器能够基于上述第一认证信息确定上述登录账号是否具有上述目标客户端的登录权限。

根据本公开的实施例，上述申请信息还包含上述登录账号的角信息，上述角信息用于反映上述登录账号的操作权限，上述方法还包括：向账号管理服务器发送与登录账号关联的申请信息，以使上述账号管理服务器能够基于上述申请信息，生成与上述角信息匹配的第二认证信息。

根据本公开的实施例，上述方法还包括：从上述账号管理服务器中获取上述第二认证信息；以及在确定上述登录账号具有上述目标客户端的登录权限的情况下，基于上述第二认证信息来确定上述登录账号是否具有上述目标客户端的操作权限。

本公开的第三个方面提供了一种信息处理方法，应用于认证服务器，包括：从账号管理服务器中获取与目标客户端信息匹配的第一认证信息，其中，上述第一认证信息用于确定登录账号是否具有上述目标客户端的登录权限，并由上述账号管理服务器基于来自客户端的与上述登录账号的申请信息生成，上述申请信息包含上述登录账号欲登录的目标客户端信息；以及在接收到上述目标客户端响应于登录请求而发送的上述登录账号的情况下，基于上述第一认证信息确定上述登录账号是否具有上述目标客户端的登录权限。

根据本公开的实施例，上述从账号管理服务器中获取与目标客户端信息匹配的第一认证信息包括：定期从账号管理服务器中获取与目标客户端信息匹配的第一认证信息。

根据本公开的实施例，上述方法还包括：在上述登录账号具有上述目标客户端的登录权限的情况下，记录上述登录账号在上述目标客户端上的操作记录。

本公开的第四个方面提供了一种信息处理系统，应用于账号管理服务器，包括：第一接收模块，用于接收来自客户端的与登录账号关联的申请信息，其中，上述申请信息包含上述登录账号欲登录的目标客户端信息；以及第一生成模块，用于基于上述申请信息，生成与目标客户端信息匹配的第一认证信息，以使认证服务器在接收到上述目标客户端响应于登录请求而发送的登录账号的情况下，能够基于上述第一认证信息确定上述登录账号是否具有上述目标客户端的登录权限。

根据本公开的实施例，上述申请信息还包含上述登录账号的角信息，上述角信息用于反映上述登录账号的操作权限，上述系统还包括：第二生成模块，用于基于上述申请信息，生成与上述角信息匹配的第二认证信息，以使上述目标客户端能够基于上述第二认证信息确定上述登录账号针对上述目标客户端的操作权限。

根据本公开的实施例，上述第一生成模块包括：获取单元，用于获取与上述申请信息关联的登录密码；以及处理单元，用于在上述登录密码校验通过的情况下，对上述申请信息进行非对称加密处理，生成与目标客户端信息匹配的第一认证信息。

本公开的第五个方面提供了一种信息处理系统，应用于客户端，包括：第一发送模块，用于向账号管理服务器发送与登录账号关联的申请信息，其中，上述申请信息包含上述登录账号欲登录的目标客户端信息，以使上述账号管理服务器能够基于上述申请信息，生成与目标客户端信息匹配的第一认证信息；第二接收模块，用于接收针对上述目标客户端的登录请求；以及第二发送模块，用于响应于上述登录请求向上述认证服务器发送登录账号，以使上述认证服务器能够基于上述第一认证信息确定上述登录账号是否具有上述目标客户端的登录权限。

根据本公开的实施例，上述申请信息还包含上述登录账号的角信息，上述角信息用于反映上述登录账号的操作权限，上述系统还包括：第三发送模块，用于向账号管理服务器发送与登录账号关联的申请信息，以使上述账号管理服务器能够基于上述申请信息，生成与上述角信息匹配的第二认证信息。

根据本公开的实施例，上述系统还包括：第一获取模块，用于从上述账号管理服务器中获取上述第二认证信息；以及第一确定模块，用于在确定上述登录账号具有上述目标客户端的登录权限的情况下，基于上述第二认证信息来确定上述登录账号是否具有上述目标客户端的操作权限。

本公开的第六个方面提供了一种信息处理系统，应用于认证服务器，包括：第二获取模块，用于从账号管理服务器中获取与目标客户端信息匹配的第一认证信息，其中，上述第一认证信息用于确定登录账号是否具有上述目标客户端的登录权限，并由上述账号管理服务器基于来自客户端的与上述登录账号的申请信息生成，上述申请信息包含上述登录账号欲登录的目标客户端信息；以及第二确定模块，用于在接收到上述目标客户端响应于登录请求而发送的上述登录账号的情况下，基于上述第一认证信息确定上述登录账号是否具有上述目标客户端的登录权限。

根据本公开的实施例，上述第二获取模块还用于：定期从账号管理服务器中获取与目标客户端信息匹配的第一认证信息。

根据本公开的实施例，上述系统还包括：记录模块，用于在上述登录账号具有上述目标客户端的登录权限的情况下，记录上述登录账号在上述目标客户端上的操作记录。

本公开的第七个方面提供了一种非易失性存储介质，存储有计算机可执行指令，上述指令在被执行时用于实现如上所述的方法。

本公开的第八个方面提供了一种计算机程序，上述计算机程序包括计算机可执行指令，上述指令在被执行时用于实现如上所述的方法。

根据本公开的实施例，由于利用能够提供账户管理的服务器来管理账号信息，该服务器可以基于用户输入的与登录账号关联的申请信息，生成能够使得认证服务器确定登录权限的第一认证信息，可以至少部分地克服现有的账户管理方法中，由于采用的是利用客户端的账户系统来管理，无法实现一键申请，多客户端可用，即无法实现账户的共享，尤其在用户登录多台客户端的情况下，需要申请多个登录账号造成的操作较为繁琐，用户体验不好的技术问题，并因此可以实现一键申请，多台目标客户端可用的技术效果。

通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：

图1示意性示出了根据本公开实施例的信息处理方法和信息处理系统的应用场景；

图2A示意性示出了根据本公开实施例的应用于账号管理服务器的信息处理方法的流程图；

图2B示意性示出了根据本公开另一实施例的应用于账号管理服务器的信息处理方法的流程图；

图2C示意性示出了根据本公开实施例的基于申请信息，生成与目标客户端信息匹配的第一认证信息的流程图；

图3A示意性示出了根据本公开实施例的应用于客户端的信息处理方法的流程图；

图3B示意性示出了根据本公开另一实施例的应用于客户端的信息处理方法的流程图；

图3C示意性示出了根据本公开又一实施例的应用于客户端的信息处理方法的流程图；

图4A示意性示出了根据本公开实施例的应用于认证服务器的信息处理方法的流程图；

图4B示意性示出了根据本公开另一实施例的应用于认证服务器的信息处理方法的流程图；

图5A示意性示出了根据本公开实施例的应用于账号管理服务器的信息处理系统的框图；

图5B示意性示出了根据本公开另一实施例的应用于账号管理服务器的信息处理系统的框图；

图5C示意性示出了根据本公开实施例的第一生成模块的框图；

图6A示意性示出了根据本公开实施例的应用于客户端的信息处理系统的框图；

图6B示意性示出了根据本公开另一实施例的应用于客户端的信息处理系统的框图；

图6C示意性示出了根据本公开又一实施例的应用于客户端的信息处理系统的框图；

图7A示意性示出了根据本公开实施例的应用于认证服务器的信息处理系统的框图；

图7B示意性示出了根据本公开另一实施例的应用于客户端的信息处理系统的框图；以及

图8示意性示出了根据本公开实施例的适于实现信息处理方法和系统的计算机系统的方框图。

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。本领域技术人员还应理解，实质上任意表示两个或更多可选项目的转折连词和/或短语，无论是在说明书、权利要求书还是附图中，都应被理解为给出了包括这些项目之一、这些项目任一方、或两个项目的可能性。例如，短语“A或B”应当被理解为包括“A”或“B”、或“A和B”的可能性。

本公开的实施例提供了一种信息处理方法，应用于账号管理服务器，包括：接收来自客户端的与登录账号关联的申请信息，其中，申请信息包含登录账号欲登录的目标客户端信息；以及基于申请信息，生成与目标客户端信息匹配的第一认证信息，以使认证服务器在接收到目标客户端响应于登录请求而发送的登录账号的情况下，能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限。本公开的实施例提供了一种信息处理方法，应用于客户端，包括：向账号管理服务器发送与登录账号关联的申请信息，其中，申请信息包含登录账号欲登录的目标客户端信息，以使账号管理服务器能够基于申请信息，生成与目标客户端信息匹配的第一认证信息，接收针对目标客户端的登录请求；以及响应于登录请求向认证服务器发送登录账号，以使认证服务器能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限。本公开的实施例提供了一种信息处理方法，应用于认证服务器，包括：从账号管理服务器中获取与目标客户端信息匹配的第一认证信息，在接收到目标客户端响应于登录请求而发送的登录账号的情况下，基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

图1示意性示出了根据本公开实施例的信息处理方法和信息处理系统的应用场景100。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

如图1所示，根据该实施例的系统架构100可以包括客户端110、账号管理服务器120和认证服务器130和网络140，网络140用以在客户端110、账号管理服务器120和认证服务器130之间提供通信链路的介质。网络140可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

客户端110可以是具有远程登录功能的各种电子设备，可以包括但不限于Linux系统的终端或服务器。

账号管理服务器120可以是能够提供账号管理服务的服务器，例如在用户通过客户端110申请登录账号的阶段，对用户欲登录客户端110的登录账号的申请信息提供认证支持的后台管理服务器(仅为示例)。账号管理服务器120可以对接收到的登录账号的申请信息等数据进行分析加密等处理，并将处理结果(例如根据登录账号的申请信息获取或生成的认证信息或数据等)储存在数据库中，以便与账号管理服务器120交互的客户端110和认证服务器130从数据库中获取需要的信息，实现特定的操作。

认证服务器130可以是能够提供认证服务的服务器，例如可以基于客户端110发送的账号信息等，对该账号是否有权限登录客户端110进行认证的服务器。

在用户利用登录账号登录客户端110的阶段，客户端110通过读取配置文件，转发登录账号的账户信息和密码至认证服务器130，使得认证服务器130可以依据从账号管理服务器120获取的认证信息来判断用户是否有权限登录客户端110，客户端依据从账号管理服务器120获取的认证信息来判断用户是否有权限操作客户端110。

应该理解，图1中的客户端、账号管理服务器和认证服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的客户端、账号管理服务器和认证服务器。

由于本公开实施例涉及账号管理服务器、客户端以及认证服务器三侧，因此，以下将分别从三侧来详细描述本公开实施例的具体实施方式。

图2A示意性示出了根据本公开实施例的应用于账号管理服务器的信息处理方法的流程图。

如图2A所示，该方法可以包括操作S211和S212。其中：

在操作S211，接收来自客户端的与登录账号关联的申请信息。

在操作S212，基于申请信息，生成与目标客户端信息匹配的第一认证信息，以使认证服务器在接收到目标客户端响应于登录请求而发送的登录账号的情况下，能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

根据本公开的实施例，登录账号可以包括但不限于用户名，密码为可选项，可由用户自行设置，也可以由账号管理服务器生成，如18位随机密码，与登录账号关联的申请信息可以包括但不限于登录账号欲登录的目标客户端信息，该目标客户端信息可以包括但不限于目标客户端的互联网协议地址(Internet Protocol Address，简称为IP地址)。

申请信息可以是来自客户端的，该客户端可以是账号管理服务器所管辖范围内的任意一台客户端，特殊地，也可以是登录账号欲登录的目标客户端，本公开实施例不做限定。

账号管理服务器可以基于上述申请信息，生成与目标客户端信息匹配的第一认证信息，以使认证服务器在接收到目标客户端响应于登录请求而发送的登录账号的情况下，能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

通过本公开的实施例，由于利用能够提供账户管理的服务器来管理账号信息，该服务器可以基于用户输入的与登录账号关联的申请信息，生成能够使得认证服务器确定登录权限的第一认证信息，可以至少部分地克服现有的账户管理方法中，由于采用的是利用客户端的账户系统来管理，无法实现一键申请，多客户端可用，即无法实现账户的共享，尤其在用户登录多台客户端的情况下，需要申请多个登录账号造成的操作较为繁琐，用户体验不好的技术问题，并因此可以实现一键申请，多台目标客户端可用的技术效果。

下面参考图2B～图2C，结合具体实施例对图2A所示的信息处理方法做进一步说明。

图2B示意性示出了根据本公开另一实施例的应用于账号管理服务器的信息处理方法的流程图。

如图2B所示，该方法除了可以包括前述操作S211和S212，还可以包括操作S221。其中：

在操作S221，基于申请信息，生成与角信息匹配的第二认证信息，以使目标客户端能够基于第二认证信息确定登录账号针对目标客户端的操作权限。

根据本公开的实施例，申请信息还包含登录账号的角信息，角信息用于反映登录账号的操作权限，可以包括但不限于运维者、开发者。不同的角具有不同的操作权限，如开发者权限，仅有只读权限，运维者权限，拥有读写权限，可任意切换用户账号。

如同linux中IP到域名的解析方式，账号管理服务器可以基于申请信息，利用名字服务切换配置(Nameservice switch，简称为Nsswitch)，实现登录账号中的用户名到用户身份证明(User Indentification，简称为uid)和身份(Group Indentification，简称为gid)的解析。

例如，账号管理服务端提供根据IP返回用户列表信息，首先获取申请信息中请求头信息中的客户端IP，通过校验客户端IP的正确性，返回给客户端uid、gid以及home字段，其中home字段是用户登录目标客户端时显示的目录。

通过本公开的实施例，利用能够提供账户管理的服务器来管理账号信息，该服务器可以基于用户输入的账号管理的申请信息，并生成能够使得目标客户端确定操作权限的第二认证信息，可以实现基于角信息对操作权限的控制，降低误操作带来的不可逆事件。

图2C示意性示出了根据本公开实施例的基于申请信息，生成与目标客户端信息匹配的第一认证信息的流程图。

如图2C所示，该方法可以包括操作S231和S232。其中：

在操作S231，获取与申请信息关联的登录密码。

在操作S232，在登录密码校验通过的情况下，对申请信息进行非对称加密处理，生成与目标客户端信息匹配的第一认证信息。

根据本公开的实施例，账号管理服务端接收客户端的请求后，会首先校验用户密码的强弱性以及用户携带的安全码值来进一步加强用户信息的安全性，其次使用非对称加密方式如RSA加密方式，加密密码和主机信息后存储到数据库，同时密码类信息存储采用非对称加密，且在内部间交互密码只签名，不传输。

通过本公开的实施例，对登录密码和目标客户端信息进行加密处理，可以提高第一认证信息的安全性。

图3A示意性示出了根据本公开实施例的应用于客户端的信息处理方法的流程图。

如图3A所示，该方法可以包括操作S311～S313。其中：

在操作S311，向账号管理服务器发送与登录账号关联的申请信息，其中，申请信息包含登录账号欲登录的目标客户端信息，以使账号管理服务器能够基于申请信息，生成与目标客户端信息匹配的第一认证信息。

在操作S312，接收针对目标客户端的登录请求。

在操作S313，响应于登录请求向认证服务器发送登录账号，以使认证服务器能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

根据本公开的实施例，在用户登录目标主机之前，需要申请登录账号，具体地，可以是向账号管理服务器发送与登录账号关联的申请信息，其中，申请信息包含登录账号欲登录的目标客户端信息，以使账号管理服务器能够基于申请信息，生成与目标客户端信息匹配的第一认证信息，第一认证信息可以包括但不限于是存储在账号管理服务器的数据库中的加密处理之后的密码和目标客户端信息。

当用户通过ssh请求主机时，通过读取sshd配置文件，来转发客户端的用户信息和密码到认证服务器，以使认证服务器能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

通过本公开的实施例，借助账号管理服务器管理登录账号的第一认证信息和第二认证信息，在接收到登录请求后，借助认证服务器来确定登录权限，可以至少克服相关技术中，由目标客户端实现登录权限验证安全性低的技术问题。

图3B示意性示出了根据本公开另一实施例的应用于客户端的信息处理方法的流程图。

如图3B所示，该方法除了可以包括前述操作S311～S313之外，还可以包括操作S321。其中：

在操作S321，向账号管理服务器发送与登录账号关联的申请信息，以使账号管理服务器能够基于申请信息，生成与角信息匹配的第二认证信息。

根据本公开的实施例，客户端上需要通过执行初始化脚本在/etc/nsswitch.conf文件配置行中添加自定义扩展，此方式用户获取用户uid，gid。

客户端上还需要部署系统提供的定时脚本，通过在同目录/etc/下生成数据文件，以此来查询用户是否有权限登录该机器

为了实现对登录账号是否具有目标客户端操作权限的控制，客户端还可以向账号管理服务器发送与还包含登录账号的角信息，以使账号管理服务器能够基于申请信息，生成与角信息匹配的第二认证信息。

通过本公开的实施例，利用能够提供账户管理的服务器来管理账号信息，该服务器可以基于用户输入的账号管理的申请信息，并生成能够使得目标客户端确定操作权限的第二认证信息，可以实现基于角信息对操作权限的控制，降低误操作带来的不可逆事件。

图3C示意性示出了根据本公开又一实施例的应用于客户端的信息处理方法的流程图。

如图3C所示，该方法除了可以包括前述操作S311～S313和操作S321之外，还可以包括操作S331和S332。其中：

在操作S331，从账号管理服务器中获取第二认证信息。

在操作S332，在确定登录账号具有目标客户端的登录权限的情况下，基于第二认证信息来确定登录账号是否具有目标客户端的操作权限。

根据本公开的实施例，客户端可以通过执行初始化脚本在/etc/sudoers文件中添加用户的uid，来判断用户是否有切换用户的权限。具体地，可以从账号管理服务器中获取第二认证信息，基于第二认证信息来确定登录账号是否具有目标客户端的操作权限。

通过本公开的实施例，基于从账号管理服务器获取的第二认证信息确定操作权限，可以至少部分克服相关技术中，读取目标客户端账号系统信息导致的安全性低的技术问题，实现操作权限的可控性，减少误操作带来的不可逆事件。

图4A示意性示出了根据本公开实施例的应用于认证服务器的信息处理方法的流程图。

如图4A所示，该方法可以包括操作S411和S412。其中：

在操作S411，从账号管理服务器中获取与目标客户端信息匹配的第一认证信息。

在操作S412，在接收到目标客户端响应于登录请求而发送的登录账号的情况下，基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

根据本公开的实施例，认证服务器可以包括但不限于利用Kerberos认证协议来实现认证的服务器。由于客户端通过初始化脚本在/etc/ssh/sshd_config文件中配置有kerberos认证，可以在接收到用户的登录请求时，可以将用户信息和密码转发给认证服务器。认证服务器为了实现对登录账号的认证，可以从账号管理服务器中获取用户密码和信息，存储在自身数据库中，当客户端请求认证时，通过校验密码的正确性，来判断用户是否有权限登录机器。

根据本公开的实施例，在用户多次输入错误密码的情况下，账号会被自动加黑，使其处于锁定状态，可以有效防止网络攻击用户的暴力破解。

通过本公开的实施例，从账号管理服务器中获取目标客户端的第一认证信息，利用该第一认证信息确定登录权限，可以提高操作权限认证的准确性。

根据本公开的实施例，从账号管理服务器中获取与目标客户端信息匹配的第一认证信息包括：定期从账号管理服务器中获取与目标客户端信息匹配的第一认证信息。

通过本公开的实施例，由于采用定时过期机制，使得第一认证信息过期失效，利用该第一认证信息确定登录权限，可以进一步提高操作权限认证的准确性，来保证密码的安全性。

图4B示意性示出了根据本公开另一实施例的应用于认证服务器的信息处理方法的流程图。

如图4B所示，该方法除了可以包括前述操作S411和S412之外，还可以包括操作S421。其中：

在操作S421，在登录账号具有目标客户端的登录权限的情况下，记录登录账号在目标客户端上的操作记录。

根据本公开的实施例，为了使得用户行为的可追溯性，认证服务器可以不断记录用户登录目标客户端的操作信息并存储于数据库，操作信息可以包括但不限于登录账号的用户名，登录时间以及具体的操作记录。

通过本公开的实施例，通过认证服务器，实现对授权账号的操作的记录，可以实现用户操作行为的可控性和可追溯性，提升线上操作的安全性，降低运维成本。

图5A示意性示出了根据本公开实施例的应用于账号管理服务器的信息处理系统的框图。

如图5A所示，该系统500可以包括第一接收模块511和第一生成模块512。其中：

第一接收模块511用于接收来自客户端的与登录账号关联的申请信息，其中，申请信息包含登录账号欲登录的目标客户端信息。

第一生成模块512用于基于申请信息，生成与目标客户端信息匹配的第一认证信息，以使认证服务器在接收到目标客户端响应于登录请求而发送的登录账号的情况下，能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

通过本公开的实施例，由于利用能够提供账户管理的服务器来管理账号信息，该服务器可以基于用户输入的与登录账号关联的申请信息，生成能够使得认证服务器确定登录权限的第一认证信息，可以至少部分地克服现有的账户管理方法中，由于采用的是利用客户端的账户系统来管理，无法实现一键申请，多客户端可用，即无法实现账户的共享，尤其在用户登录多台客户端的情况下，需要申请多个登录账号造成的操作较为繁琐，用户体验不好的技术问题，并因此可以实现一键申请，多台目标客户端可用的技术效果。

图5B示意性示出了根据本公开另一实施例的应用于账号管理服务器的信息处理系统的框图。

如图5B所示，该系统500除了可以包括前述第一接收模块511和第一生成模块512之外，还可以包括第二生成模块521。其中：

第二生成模块521用于基于申请信息，生成与角信息匹配的第二认证信息，以使目标客户端能够基于第二认证信息确定登录账号针对目标客户端的操作权限。

通过本公开的实施例，利用能够提供账户管理的服务器来管理账号信息，该服务器可以基于用户输入的账号管理的申请信息，并生成能够使得目标客户端确定操作权限的第二认证信息，可以实现基于角信息对操作权限的控制，降低误操作带来的不可逆事件。

图5C示意性示出了根据本公开实施例的第一生成模块的框图。

如图5C所示，第一生成模块512可以包括获取单元531和处理单元532。其中：

获取单元531用于获取与申请信息关联的登录密码。

处理单元532用于在登录密码校验通过的情况下，对申请信息进行非对称加密处理，生成与目标客户端信息匹配的第一认证信息。

通过本公开的实施例，对登录密码和目标客户端信息进行加密处理，可以提高第一认证信息的安全性。

图6A示意性示出了根据本公开实施例的应用于客户端的信息处理系统的框图。

如图6A所示，该系统600可以包括第一发送模块611、第二接收模块612和第二发送模块613。其中：

第一发送模块611用于向账号管理服务器发送与登录账号关联的申请信息。

第二接收模块612用于接收针对目标客户端的登录请求。

第二发送模块613用于响应于登录请求向认证服务器发送登录账号，以使认证服务器能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

通过本公开的实施例，借助账号管理服务器管理登录账号的第一认证信息和第二认证信息，在接收到登录请求后，借助认证服务器来确定登录权限，可以至少克服相关技术中，由目标客户端实现登录权限验证安全性低的技术问题。

图6B示意性示出了根据本公开另一实施例的应用于客户端的信息处理系统的框图。

如图6B所示，该系统600除了可以包括前述第一发送模块611、第二接收模块612和第二发送模块613之外，还可以包括第三发送模块621。其中：

第三发送模块621用于向账号管理服务器发送与登录账号关联的申请信息，以使账号管理服务器能够基于申请信息，生成与角信息匹配的第二认证信息。

通过本公开的实施例，利用能够提供账户管理的服务器来管理账号信息，该服务器可以基于用户输入的账号管理的申请信息，并生成能够使得目标客户端确定操作权限的第二认证信息，可以实现基于角信息对操作权限的控制，降低误操作带来的不可逆事件。

图6C示意性示出了根据本公开又一实施例的应用于客户端的信息处理系统的框图。

如图6C所示，该系统600除了可以包括前述第一发送模块611、第二接收模块612、第二发送模块613和第三发送模块621之外，还可以包括第一获取模块631和第一确定模块632。其中：

第一获取模块631用于从账号管理服务器中获取第二认证信息。

第一确定模块632用于在确定登录账号具有目标客户端的登录权限的情况下，基于第二认证信息来确定登录账号是否具有目标客户端的操作权限。

通过本公开的实施例，基于从账号管理服务器获取的第二认证信息确定操作权限，可以至少部分克服相关技术中，读取目标客户端账号系统信息导致的安全性低的技术问题，实现操作权限的可控性，减少误操作带来的不可逆事件。

图7A示意性示出了根据本公开实施例的应用于认证服务器的信息处理系统的框图。

如图7A所示，该系统700可以包括第二获取模块711和第二确定模块712。其中：

第二获取模块711用于从账号管理服务器中获取与目标客户端信息匹配的第一认证信息。

第二确定模块712用于在接收到目标客户端响应于登录请求而发送的登录账号的情况下，基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

通过本公开的实施例，从账号管理服务器中获取目标客户端的第一认证信息，利用该第一认证信息确定登录权限，可以提高操作权限认证的准确性。

根据本公开的实施例，第二获取模块711还用于从账号管理服务器中获取与目标客户端信息匹配的第一认证信息包括：定期从账号管理服务器中获取与目标客户端信息匹配的第一认证信息。

通过本公开的实施例，由于采用定时过期机制，使得第一认证信息过期失效，利用该第一认证信息确定登录权限，可以进一步提高操作权限认证的准确性，来保证密码的安全性。

图7B示意性示出了根据本公开另一实施例的应用于客户端的信息处理系统的框图。

如图7B所示，该系统700除了可以包括前述第二获取模块711和第二确定模块712之外，还可以包括记录模块721。其中：

记录模块721用于在登录账号具有目标客户端的登录权限的情况下，记录登录账号在目标客户端上的操作记录。

通过本公开的实施例，通过认证服务器，实现对授权账号的操作的记录，可以实现用户操作行为的可控性和可追溯性，提升线上操作的安全性，降低运维成本。

根据本公开的实施例的模块、单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

例如，第一接收模块511和第一生成模块512、以及第二生成模块521中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，第一接收模块511和第一生成模块512、以及第二生成模块521中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，第一接收模块511和第一生成模块512、以及第二生成模块521中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图8示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的方框图。图8示出的计算机系统仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图8所示，根据本公开实施例的计算机系统800包括处理器801，其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。处理器801例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器801还可以包括用于缓存用途的板载存储器。处理器801可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在RAM 803中，存储有系统800操作所需的各种程序和数据。处理器801、ROM 802以及RAM 803通过总线804彼此相连。处理器801通过执行ROM 802和/或RAM 803中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除ROM 802和RAM 803以外的一个或多个存储器中。处理器801也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，系统800还可以包括输入/输出(I/O)接口805，输入/输出(I/O)接口805也连接至总线804。系统800还可以包括连接至I/O接口805的以下部件中的一项或多项：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。

根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被处理器801执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

本公开还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，在账号管理服务器中，实现：接收来自客户端的与登录账号关联的申请信息，其中，申请信息包含登录账号欲登录的目标客户端信息以及基于申请信息，生成与目标客户端信息匹配的第一认证信息，以使认证服务器在接收到目标客户端响应于登录请求而发送的登录账号的情况下，能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限；在客户端中，实现向账号管理服务器发送与登录账号关联的申请信息，以使账号管理服务器能够基于申请信息，生成与目标客户端信息匹配的第一认证信息，接收针对目标客户端的登录请求以及响应于登录请求向认证服务器发送登录账号，以使认证服务器能够基于第一认证信息确定登录账号是否具有目标客户端的登录权限；在认证服务器中，实现从账号管理服务器中获取与目标客户端信息匹配的第一认证信息，在接收到目标客户端响应于登录请求而发送的登录账号的情况下，基于第一认证信息确定登录账号是否具有目标客户端的登录权限。

根据本公开的实施例，计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线、光缆、射频信号等等，或者上述的任意合适的组合。

例如，根据本公开的实施例，计算机可读介质可以包括上文描述的ROM 802和/或RAM 803和/或ROM 802和RAM 803以外的一个或多个存储器。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。