一种用户认证的方法及系统

本发明涉及互联网技术领域，特别涉及一种用户认证的方法及系统。

随着科学技术的快速发展，越来越多的应用软件在不断的涌现。大部分 应用软件都需要进行用户认证。在现有技术中，每个应用软件都有自己的用 户认证的系统，开发人员在进行应用软件开发时，还有需要考虑用户认证的 系统的开发。通过上述描述可见，现有技术中，用户认证的实现方式比较复 杂。

本发明提供了一种用户认证的方法及系统，能够更加简单的实现用户认 证。

一方面，本发明提供了一种用户认证的方法，包括：预先在平台即服务 PAAS层部署用户认证的系统，所述用户认证的系统包括：至少一个认证模 块、每个认证模块对应的认证应用程序编程接口API；所述用户认证的系统 接收外部应用发来的服务申请，根据所述服务申请返回访问key，还包括：

S1：接收请求应用发来的访问key，对所述访问key进行验证，验证通 过后，接收所述访问key对应的所述请求应用发来的认证模块调用请求；

S2：根据所述认证模块调用请求，向所述外部应用提供对应的目标认证 模块的目标认证API，允许所述请求应用通过所述目标认证API调用所述目 标认证模块。

进一步地，所述至少一个认证模块，包括：用户认证登录模块；

所述认证模块调用请求，包括：用户认证登录模块的调用请求；

所述目标认证模块，包括：用户认证登录模块；

在所述S2之后，还包括：

通过所述用户认证登录模块接收外部输入的认证信息，根据所述认证信 息判断是否通过认证，如果是，则输出所述用户名对应的会话ID；

所述认证信息，包括：用户名、密码。

进一步地，所述至少一个认证模块，包括：会话模块；

所述认证模块调用请求，包括：会话模块的调用请求；

所述目标认证模块，包括：会话模块；

在所述S2之后，还包括：

通过所述会话模块接收外部输入的会话ID，输出所述会话ID对应的会 话信息；

所述会话信息，包括：会话超时时间、会话失效时间、用户名、用户所 在的系统分组。

进一步地，所述至少一个认证模块，包括：注销模块；

所述认证模块调用请求，包括：注销模块的调用请求；

所述目标认证模块，包括：注销模块；

在所述S2之后，还包括：

通过所述注销模块接收外部输入的会话ID，注销所述会话ID对应的会 话。

进一步地，该方法还包括：接收外部插入的扩展认证模块，将所述扩展 认证模块作为所述至少一个认证模块。

进一步地，该方法还包括：将所述外部应用转换为认证主题，通过所述 认证主题与所述至少一个认证模块和认证API进行交互。

另一方面，本发明提供了一种用户认证的系统，包括：所述用户认证的 系统部署在PAAS层上；

至少一个认证模块、每个认证模块对应的认证应用程序编程接口API；

申请单元，用于接收外部应用发来的服务申请，根据所述服务申请返回 访问key；

验证单元，用于接收请求应用发来的访问key，对所述访问key进行验 证，验证通过后，接收所述访问key对应的所述请求应用发来的认证模块调 用请求；

调用单元，用于根据所述认证模块调用请求，向所述外部应用提供对应 的目标认证模块的目标认证API，允许所述请求应用通过所述目标认证API 调用所述目标认证模块。

进一步地，所述至少一个认证模块，包括：用户认证登录模块；

所述认证模块调用请求，包括：用户认证登录模块的调用请求；

所述目标认证模块，包括：用户认证登录模块；

所述用户认证登录模块，用于接收外部输入的认证信息，根据所述认证 信息判断是否通过认证，如果是，则输出所述用户名对应的会话ID；

所述认证信息，包括：用户名、密码。

进一步地，所述至少一个认证模块，包括：会话模块；

所述认证模块调用请求，包括：会话模块的调用请求；

所述目标认证模块，包括：会话模块；

所述会话模块，用于接收外部输入的会话ID，输出所述会话ID对应的 会话信息；

所述会话信息，包括：会话超时时间、会话失效时间、用户名、用户所 在的系统分组。

进一步地，所述至少一个认证模块，包括：注销模块；

所述认证模块调用请求，包括：注销模块的调用请求；

所述目标认证模块，包括：注销模块；

所述注销模块，用于接收外部输入的会话ID，注销所述会话ID对应的 会话。

进一步地，该系统还包括：扩展单元，用于接收外部插入的扩展认证模 块，将所述扩展认证模块作为所述至少一个认证模块；

进一步地，该系统还包括：转换模块，用于将所述外部应用转换为认证 主题；

所述认证主题，用于与所述至少一个认证模块和认证API进行交互。

通过本发明提供的一种用户认证的方法及系统，预先在PAAS层部署用 户认证的系统，当外部应用需要用户认证功能时，可以向用户认证的系统申 请，获取认证key，通过该认证key可以使用用户认证的系统中的各个认证 模块，以满足对用户认证的需求，无需单独实现用户认证功能，更加简单的 实现了用户认证。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不 付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的一种用户认证的方法的流程图；

图2是本发明一实施例提供的另一种用户认证的方法的流程图；

图3是本发明一实施例提供的一种用户认证的系统的示意图；

图4是本发明一实施例提供的另一种用户认证的系统的示意图；

图5是本发明一实施例提供的一种用户认证的系统的架构的示意图；

图6是本发明一实施例提供的一种用户认证的系统的部署示意图。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发 明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述， 显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所 获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供了一种用户认证的方法，该方法可以包 括以下步骤：

S0：预先在PAAS(Platform-as-a-Service，平台即服务)层部署用户认 证的系统，所述用户认证的系统包括：至少一个认证模块、每个认证模块对 应的认证API(ApplicationProgrammingInterface，应用程序编程接口)，所 述用户认证的系统接收外部应用发来的服务申请，根据所述服务申请返回访 问key；

S1：接收请求应用发来的访问key，对所述访问key进行验证，验证通 过后，接收所述访问key对应的所述请求应用发来的认证模块调用请求；

S2：根据所述认证模块调用请求，向所述外部应用提供对应的目标认证 模块的目标认证API，允许所述请求应用通过所述目标认证API调用所述目 标认证模块。

通过本发明实施例提供的一种用户认证的方法，预先在PAAS层部署用 户认证的系统，当外部应用需要用户认证功能时，可以向用户认证的系统申 请，获取认证key，通过该认证key可以使用用户认证的系统中的各个认证 模块，以满足对用户认证的需求，无需单独实现用户认证功能，更加简单的 实现了用户认证。

在一种可能的实现方式中，所述至少一个认证模块，包括：用户认证登 录模块；

所述认证模块调用请求，包括：用户认证登录模块的调用请求；

所述目标认证模块，包括：用户认证登录模块；

在所述S2之后，还包括：

通过所述用户认证登录模块接收外部输入的认证信息，根据所述认证信 息判断是否通过认证，如果是，则输出所述用户名对应的会话ID；

所述认证信息，包括：用户名、密码。

举例来说，在税务领域中，认证信息可以包括：纳税人识别号、密码、 系统所属分组、会话超时间隔、会话扩展信息等。该实现方式可以通过 UserLogin()方法来实现。其中，系统所属分组是指同一个外部应用可能在手 机端、电脑端等都有对应的客户端，因此，需要确定系统所属分组。会话超 时间隔是指每次会话有时间限制，当超过时间限制后，就结束当前会话。例 如：会话超时间隔为30分钟，会话超过30分钟就需要重新认证。具体地， 如表1所示。

表1

在一种可能的实现方式中，所述至少一个认证模块，包括：会话模块；

所述认证模块调用请求，包括：会话模块的调用请求；

所述目标认证模块，包括：会话模块；

在所述S2之后，还包括：

通过所述会话模块接收外部输入的会话ID，输出所述会话ID对应的会 话信息；

所述会话信息，包括：会话超时时间、会话失效时间、用户名、用户所 在的系统分组。

举例来说，在税务领域中，会话信息可以包括：用户所在的系统分组的 编号、纳税人识别号、电子档案号、纳税人名称、会话超时间隔、会话失效 时间。具体地，如表2所示。

表2

参数名称 中文名称 数据类型 必填否 备注

systemGroup 系统所属分组 String 是

nsrsbh 纳税人识别号 String 是

dzdah 电子档案号 String 是

nsrmc 纳税人名称 String 是

timeoutInterval 会话超时间隔 Int 是 单位：秒

outTime 会话失效时间 String 是

在一种可能的实现方式中，所述至少一个认证模块，包括：注销模块；

所述认证模块调用请求，包括：注销模块的调用请求；

所述目标认证模块，包括：注销模块；

在所述S2之后，还包括：

通过所述注销模块接收外部输入的会话ID，注销所述会话ID对应的会 话。

在注销模块根据会话ID进行注销后，可以输出如表3所示的信息。

表3

参数名称 中文名称 数据类型 必填否 备注

success 是否成功 String 是 true成功，false失败

errorCode 错误编码 String 否 Success＝false时，有信息

errorMessage 错误描述 String 否 Success＝false时，有信息

在表3中，当注销成功后，输出注销成功的信息，即Success＝true。当 注销失败后，输出注销失败的信息，即Success＝false，并可以显示错误编码 和错误描述，使得用户能够知道失败原因，便于维护。

在一种可能的实现方式中，所述至少一个认证模块，包括：会话认证模 块；

所述认证模块调用请求，包括：会话认证模块的调用请求；

所述目标认证模块，包括：会话认证模块；

在所述S2之后，还包括：

通过所述会话认证模块接收外部输入的会话ID，验证所述会话ID对应 的会话是否存在，如果存在，可以返回对应的用户名，如果不存在，可以返 回不存在的消息，或者返回空。

在一种可能的实现方式中，所述至少一个认证模块，包括：会话设置模 块；

所述认证模块调用请求，包括：会话设置模块的调用请求；

所述目标认证模块，包括：会话设置模块；

在所述S2之后，还包括：

通过所述会话设置模块接收外部输入的会话ID和时间参数，根据所述 时间参数设置所述会话ID对应的会话失效时间，当设置成功时，返回成功 的消息，当设置失败时，返回失败的消息，其中，失败的消息可以包括：错 误编码、错误描述等。

在一种可能的实现方式中，该方法还包括：

接收外部插入的扩展认证模块，将所述扩展认证模块作为所述至少一个 认证模块。

通过该实现方式，可以实现外部自定义的认证模块，使得外部应用能够 根据需要添加相应的认证模块，更加灵活多样。该实现方式可以实现层次认 证数据信息的多态性，比如可以JDBC(JavaDataBaseConnectivity，java数 据库连接)数据，也可以是LDAP(LightweightDirectoryAccessProtocol， 轻量目录访问协议)实现，或者内存实现等等，这样用户认证的系统的易扩 展性、友好的集成性。

在一种可能的实现方式中，该方法还包括：将所述外部应用转换为认证 主题，通过所述认证主题与所述至少一个认证模块和认证API进行交互。通 过该实现方式，将外部应用的认证授权进行了抽象，使得用户认证的系统的 应用范围更广泛。

为使本发明的目的、技术方案和优点更加清楚，下面结合附图及具体实 施例对本发明作进一步地详细描述。

在本实施例中，应用A需要使用用户认证的系统，有用户A需要登录应 用A进行操作。

如图2所示，本发明实施例提供了一种用户认证的方法，该方法可以包 括以下步骤：

步骤201：预先在PAAS层部署用户认证的系统，用户认证的系统包括： 至少一个认证模块、每个认证模块对应的认证API，所述至少一个认证模块， 包括：用户认证登录模块。

步骤202：应用A向用户认证的系统发送服务申请。

步骤203：用户认证的系统接收应用A发来的服务申请，根据服务申请 向应用A返回访问key。

步骤204：用户认证的系统接收应用A发来的访问key，对应访问key 进行验证，验证通过后，向应用A返回验证通过信息。

步骤205：应用A接收到验证通过信息后，向用户认证的系统发送用户 认证登录模块调用请求。

步骤206：用户认证的系统根据用户认证登录模块调用请求，向应用A 提供用户认证登录模块的认证API，允许应用A通过用户认证登录模块的认 证API调用用户认证登录模块。

步骤207：应用A通过用户认证登录模块的认证API调用用户认证登录 模块。

通过该步骤，应用A的用户A可以向用户认证登录模块输入用户名和密 码进行验证。

步骤208：用户认证登录模块接收应用A的用户A输入的用户名和密码， 根据用户名和密码判断当前用户是否通过认证，如果是，输出用户名对应的 会话ID，否则，输出认证失败的信息。

在该步骤中，如果用户A通过认证，则可以对应用A进行操作，即可以 与应用A进行会话。这里的会话ID可以是新建的，也可以是已存储的，与 该用户名相对应的会话ID。

如图3、图4所示，本发明实施例提供了一种用户认证的系统。系统实 施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬 件层面而言，如图3所示，为本发明实施例提供的一种用户认证的系统所在 设备的一种硬件结构图，除了图3所示的处理器、内存、网络接口、以及非 易失性存储器之外，实施例中系统所在的设备通常还可以包括其他硬件，如 负责处理报文的转发芯片等等。以软件实现为例，如图4所示，作为一个逻 辑意义上的系统，是通过其所在设备的CPU将非易失性存储器中对应的计算 机程序指令读取到内存中运行形成的。本实施例提供的一种用户认证的系统， 包括：所述用户认证的系统部署在PAAS层上；

至少一个认证模块401、每个认证模块对应的认证API402；

申请单元403，用于接收外部应用发来的服务申请，根据所述服务申请 返回访问key；

验证单元404，用于接收请求应用发来的访问key，对所述访问key进行 验证，验证通过后，接收所述访问key对应的所述请求应用发来的认证模块 调用请求；

调用单元405，用于根据所述认证模块调用请求，向所述外部应用提供 对应的目标认证模块的目标认证API，允许所述请求应用通过所述目标认证 API调用所述目标认证模块。

在一种可能的实现方式中，所述至少一个认证模块，包括：用户认证登 录模块；

所述认证模块调用请求，包括：用户认证登录模块的调用请求；

所述目标认证模块，包括：用户认证登录模块；

所述用户认证登录模块，用于接收外部输入的认证信息，根据所述认证 信息判断是否通过认证，如果是，则输出所述用户名对应的会话ID；

所述认证信息，包括：用户名、密码。

在一种可能的实现方式中，所述至少一个认证模块，包括：会话模块；

所述认证模块调用请求，包括：会话模块的调用请求；

所述目标认证模块，包括：会话模块；

所述会话模块，用于接收外部输入的会话ID，输出所述会话ID对应的 会话信息；

所述会话信息，包括：会话超时时间、会话失效时间、用户名、用户所 在的系统分组。

在一种可能的实现方式中，所述至少一个认证模块，包括：注销模块；

所述认证模块调用请求，包括：注销模块的调用请求；

所述目标认证模块，包括：注销模块；

所述注销模块，用于接收外部输入的会话ID，注销所述会话ID对应的 会话。

在一种可能的实现方式中，该系统还包括：

扩展单元，用于接收外部插入的扩展认证模块，将所述扩展认证模块作 为所述至少一个认证模块。

在一种可能的实现方式中，该系统还包括：转换模块，用于将所述外部 应用转换为认证主题；

所述认证主题，用于与所述至少一个认证模块和认证API进行交互。

如图5所示，图5为一种本发明实施例提供的一种用户认证的系统的架 构的示意图。认证主题代表外部应用与用户认证的系统中模块进行交互。认 证主题可以是任何可以与用户认证的系统中的模块交互的应用，例如：web 应用、移动APP、、桌面应用等。扩展模块可以支持RDMS(Relational Data(base)ManagementSystem，关系数据(库)管理系统)、LDAP、活动 目录、内存等实现方式。

如图6所示，图6为本发明实施例提供的一种用户认证的系统的部署示 意图。图中，用户认证的系统部署在PAAS层上，使用用户认证的系统的应 用部署在SAAS(Software-as-a-Service，软件即服务)层上。基础设备部署 在IAAS(InfrastructureasaService，基础设施即服务)层上。另外，用户认 证的系统包括：用于存储认证key的键值存储模块、用于缓存用户登录信息 的缓存模块、用于显示消息的开放消息模块。通过缓存模块可以在用户登录 后，缓存其用户信息、拥有的角/权限，可以提高效率。基础设备CPU虚 拟化设备、存储虚拟化设备、网络虚拟化设备。

在一种可能的实现方式中，用户认证的系统还可以包括：授权模块，用 于权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能 使用对应的应用，常见的如：验证某个用户是否拥有某个角，或者细粒度 的验证某个用户对某个资源是否具有某个权限。

会话管理模块。用户登录后就是一次会话，在没有退出之前，它的所有 信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的。 通过会话管理模块来管理用户的会话。

加密解密模块，用于加密和解密数据。通过该加密解密模块保护数据的 安全性，如密码加密存储到数据库，而不是明文存储。

Web支持模块，用于制作Web环境。可以将该系统非常容易的集成到 Web环境中。

该系统还支持多线程，支持多线程应用的并发验证，即如在一个线程中 开启另一个线程，能把权限自动传播过去。还可以支持测试功能。

上述系统内的各单元之间的信息交互、执行过程等内容，由于与本发明 方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此 处不再赘述。

本发明实施例提供的一种用户认证的方法及系统，具有如下有益效果：

1、通过本发明实施例提供的一种用户认证的方法及系统，预先在PAAS 层部署用户认证的系统，当外部应用需要用户认证功能时，可以向用户认证 的系统申请，获取认证key，通过该认证key可以使用用户认证的系统中的 各个认证模块，以满足对用户认证的需求，无需单独实现用户认证功能，更 加简单的实现了用户认证。

2、通过本发明实施例提供的一种用户认证的方法及系统，为各种应用提 供统一的用户认证服务，在开发应用时，无需关注用户认证方面的开放，可 以提高开发效率。

需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将 一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这 些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、 “包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系 列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明 确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有 的要素。在没有更多限制的情况下，由语句“包括一个〃〃〃〃〃〃”限定 的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另 外的相同因素。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取 的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述 的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介 质中。

最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本 发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原 则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。