(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210203330.5 (22)申请日 2022.03.03 (71)申请人 中国农业银行股份有限公司四川省 分行 地址 610041 四川省成 都市高新区天府三 街666号 (72)发明人 罗贵木　何维　宋朝霞　严林　 张毓玺　游震　朱武　岳永姣　 郑宇飞　银盈　李硕　翁邦艳　 卢露　李达平　杨力波　陈雪　 (74)专利代理 机构 成都金英专利代理事务所 (普通合伙) 51218 专利代理师 郭肖凌 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于Web系统单点登录的校验机制 (57)摘要 本发明公开了一种基于Web系统单点登录的 校验机制， 包括： 登录中心生成token， 并在登陆 中心及请求的业务系统中进行token缓存， 同时 将token返回至客户端并完成重定向； 在用户后 续发送请求时， 携带上一次请求返回的token， 同 时对传输业务信息通过token进行非对称加密； 在登录中心进行校验， 并返回校验 结果给业务系 统； 业务系统接收到登录中心的校验结果后， 若 校验成功， 则放行请求并将新token附带上返回 参数后一并返回； 若校验失败， 则熔断此次访问 请求。 本发明对单点登录校验过程改进， 每次进 行校验成功后， 对token更新， 保证攻击者无法绕 过token以劫持整个请求的后续过程， 提高了系 统安全性。 权利要求书1页 说明书4页 附图1页 CN 114500097 A 2022.05.13 CN 114500097 A 1.一种基于Web系统单点登录的校验机制， 其特 征在于， 包括以下步骤： 步骤1： 在用户初次登录时， 业务系统重定向登陆请求到登陆中心， 由登录中心生成 token， 并在登陆中心及请求的业务系统中进行token 缓存， 同时将token返回至客户端并完 成重定向； 步骤2： 在用户后续发送请求时， 携带上一次请求返回的token， 同时对传输业务信息通 过token生成动态的公钥以及私钥， 并使用RSA算法实现非对称加密； 在业务系统接收到请 求后， 先使用非对称解密获得正确的报文， 然后获取报文中的token以及当前请求报文， 传 输到登录中心进行 校验； 步骤3： 登录中心对获取到的to ken进行校验， 并将校验结果返回给业 务系统； 步骤4： 业务系统接收到登录中心的校验结果后， 若校验成功， 则放行请求并将新token 附带上返回参数后一并返回； 若校验失败， 则熔断此次访问请求。 2.根据权利要求1所述的一种基于Web系统单点登录的校验机制， 其特征在于， 所述步 骤1包括以下子步骤： 步骤101： 在用户初次登录时， 业务系 统对用户的登录状态进行判断， 并将登录请求转 至登录中心； 步骤102： 登录成功后， 登录中心根据用户初次的登录报文生成摘要， 在加上固定盐以 及时间戳后生成初始 token， 并进行缓存； 步骤103： 将所述to ken返回至业 务系统。 3.根据权利要求2所述的一种基于Web系统单点登录的校验机制， 其特征在于， 所述 token缓存采用的缓存 模式为缓存链 表， 池中记录用户最近使用过的N次to ken。 4.根据权利要求2所述的一种基于Web系统单点登录的校验机制， 其特征在于， 所述熔 断具体为： 当业务系统收到的校验结果为校验失败时， 直接 向客户端返回错误码标识此次 登陆失败。 5.根据权利要求1所述的一种基于Web系统单点登录的校验机制， 其特征在于， 所述步 骤2中对传输业 务信息通过to ken进行非对称加密采用的加密算法在前端 进行代码混淆。 6.根据权利要求1所述的一种基于Web系统单点登录的校验机制， 其特征在于， 所述步 骤3包括以下子步骤： 步骤301： 登录中心判断to ken是否存在且处于该用户缓存to ken队列的末尾； 步骤302： 若存在， 则判断用户登录状态有效， 根据此次请求生成新的token， 新token由 发起登陆请求业务系统所在编号、 用户唯一标识、 当前时间戳、 机器mac地址和上一有效 token共同生成， 并将新的to ken追加到缓存to ken队列尾部， 同时返回给业 务系统； 步骤303： 若不存在， 则向业 务系统返回校验失败。权　利　要　求　书 1/1 页 2 CN 114500097 A 2一种基于Web系统单点登录的校验机制 技术领域 [0001]本发明涉及Web系统的实时及权限管理技术领域， 尤其涉及一种基于Web系统单点 登录的校验机制。 背景技术 [0002]token在计算机身份认证中是令牌 （临时） 的意思； 一般作为邀请、 登录系统使用。 token其实说的更通俗点可以叫暗号， 在一些数据传输之前， 要先进行暗号的核对， 不同的 暗号被授权不同的数据操作。 [0003]例如， 在USB1.1协议中定义了4类数据包： token包、 data包、 handshake包和 special包。 主机和USB设备之间连续数据的交换可以分为三个阶段， 第一个阶段由主机发 送token包， 不同的token包内容不一样 （暗号不一样） 可以告诉设备做不同的工作， 第二个 阶段发送data包， 第三个阶段由设备返回一个handshake包。 [0004]目前， 许多web应用程序要求用户注册一个新帐户。 随着web应用程序的普及， 期望 用户记住每个应用程序的不同用户名和密码已经变得不切实际。 Web单点登录(Web  SSO)协 议允许用户使用单个用户名和密码访问不同的应用程序而逐渐成为当前互联网企业对客 的主流登录模式。 SSO （  Single Sign‑On ） ， 中文意即单点登录， 在  Wiki 上的解释更细腻 点—— SSO, is a property  of access control  of multiple  related,  but  independent  software  systems.  With this property  a user logs with a single ID  and password  to gain access to connected  system or systems without using  different  usernames  or passwords,  or in some configurations  seamlessly  sign  on at each system. （单点登录是一种控制多个相关但彼此独立的系统的访问权限,  拥 有这一权限的用户可以使用单一的ID和密码访问某个或多个系统从而避免使用不同的用 户名或密码， 或者通过某种配置无缝地登录每个系统）.  注： 系统， 在本文特指WEB  应用或 者WEB 服务； 用户， 下文也会称之为User； ID， 用户标识； 密码， 本文也称其为口令， Password, Passcode 或者 Pin。 [0005]因此， 从上面的定义中我们可以总结出与SSO交互的2个元素： 1.  用户， 2. 系统， 它的特点是： 一次登录， 全部访问。 上面提到SSO是访问控制的一种， 控制用户能否登录， 即 验证用户身份， 而且是所有其它系统的身份验证都在它这里进 行， 因此还 可以认为SSO还是 一个验证中心。 那么从整个系统层面来看SSO， 它的核心 就是以下这3个元素了： 1.  用户， 2.  系统， 3. 验证中心。 [0006]基于此， 我们发现， 现有的单点登录存在着以下的问题： token一旦生成后需要返 回给客户端， 后续以token作为用户身份认证的唯一标识， 下次客户端发起请求时， 无论通 过请求参数传输token 或依托于客户端本身机制在http头部设置cookie参数， 一旦被拦截， 均无法逃脱关键参数被泄露的问题。 这将导致整个请求后续直接被劫持， 业务系统登录校 验模块直接形同虚设。 [0007]在现有技术中， 如申请 号为CN201711131291.8中公开了一种名为单点登录的校验说　明　书 1/4 页 3 CN 114500097 A 3