本發(fā)明涉及分布式系統(tǒng)技術(shù)領(lǐng)域，特別涉及一種分布式系統(tǒng)及其登錄驗(yàn)證方法。

背景技術(shù)：

隨著網(wǎng)絡(luò)的蓬勃發(fā)展，分布式系統(tǒng)已經(jīng)成為大型系統(tǒng)網(wǎng)站的必要手段，將復(fù)雜的業(yè)務(wù)系統(tǒng)進(jìn)行拆分，拆分成若干個(gè)功能系統(tǒng)，形成大規(guī)模的分布式系統(tǒng)應(yīng)用。這樣，就涉及到若干個(gè)功能系統(tǒng)的統(tǒng)一登錄問(wèn)題，即單點(diǎn)登錄。即從登錄系統(tǒng)登錄后，訪問(wèn)其他業(yè)務(wù)系統(tǒng)時(shí)可以不再登錄，即可訪問(wèn)對(duì)應(yīng)的功能。

現(xiàn)有技術(shù)方案是用戶每次通過(guò)單點(diǎn)登錄系統(tǒng)，輸入賬號(hào)密碼進(jìn)行登錄驗(yàn)證，驗(yàn)證成功后登錄系統(tǒng)會(huì)通過(guò)唯一的密鑰生成加密信息(登錄cookie值)，同時(shí)，將加密信息放置到cookie中返回給用戶客戶端瀏覽器。之后，用戶再通過(guò)瀏覽器訪問(wèn)各個(gè)業(yè)務(wù)系統(tǒng)時(shí)，每個(gè)業(yè)務(wù)系統(tǒng)都會(huì)從用戶的請(qǐng)求中獲取登錄cookie值，用與單點(diǎn)登錄系統(tǒng)相同的密鑰進(jìn)行cookie值解密，并校驗(yàn)解密結(jié)果是否合法。如果不合法，則跳回登錄頁(yè)面重新登錄；如果合法，則正常處理用戶的請(qǐng)求。

現(xiàn)有技術(shù)方案存在密鑰被人竊取的風(fēng)險(xiǎn)，即當(dāng)業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)人員能夠拿到登錄cookie解密的客戶端代碼和解密密鑰。這樣，就可以破解用戶的登錄cookie信息，或逆向模擬加密流程進(jìn)行登錄cookie偽造，對(duì)業(yè)務(wù)系統(tǒng)的安全造成威脅。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種分布式系統(tǒng)及其登錄驗(yàn)證方法，能夠確保系統(tǒng)的登錄安全。

為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明提供了一種分布式系統(tǒng)的登錄驗(yàn)證方法，該方法包括：登錄系統(tǒng)在驗(yàn)證客戶端的賬號(hào)密碼成功后，采用密鑰列表中最高版本的有效密鑰生成帶有該最高版本號(hào)的登錄cookie值，并將所述登錄cookie值返回給客戶端；業(yè)務(wù)系統(tǒng)接收到客戶端攜帶有所述登錄cookie值的業(yè)務(wù)請(qǐng)求后，獲取登錄cookie值的密鑰版本，通過(guò)所述密鑰版本在自身保存的密鑰列表中查詢對(duì)應(yīng)的密鑰；利用該密鑰解密登錄cookie值，在校驗(yàn)解密結(jié)果合法后，處理正常的業(yè)務(wù)請(qǐng)求。

為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明還提供了一種分布式系統(tǒng)，包括：登錄系統(tǒng)，在驗(yàn)證客戶端的賬號(hào)密碼成功后，采用密鑰列表中最高版本的有效密鑰生成帶有該最高版本號(hào)的登錄cookie值，并將所述登錄cookie值返回給客戶端；業(yè)務(wù)系統(tǒng)，接收到客戶端攜帶有所述登錄cookie值的業(yè)務(wù)請(qǐng)求后，獲取登錄cookie值的密鑰版本，通過(guò)所述密鑰版本在自身保存的密鑰列表中查詢對(duì)應(yīng)的密鑰；利用該密鑰解密登錄cookie值，在校驗(yàn)解密結(jié)果合法后，處理正常的業(yè)務(wù)請(qǐng)求。

綜上所述，本發(fā)明實(shí)施例的分布式系統(tǒng)及其登錄驗(yàn)證方法，登錄系統(tǒng)的管理人員維護(hù)著密鑰列表，該密鑰列表中至少存在一個(gè)有效密鑰，當(dāng)客戶端進(jìn)行登錄操作時(shí)，登錄系統(tǒng)采用版本號(hào)最高的有效密鑰生成登錄cookie值。當(dāng)客戶端訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)，業(yè)務(wù)系統(tǒng)獲取登錄cookie值的密鑰版本，通過(guò)所述密鑰版本在自身保存的密鑰列表中查詢對(duì)應(yīng)的密鑰；利用該密鑰解密登錄cookie值。本方案既可以防止惡意人員獲取密鑰進(jìn)行cookie破解、偽造等操作，又可以進(jìn)行系統(tǒng)安全的提升，可以定時(shí)進(jìn)行cookie過(guò)期、失效操作，對(duì)老的cookie進(jìn)行失效操作，保持系統(tǒng)的登錄安全。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例分布式系統(tǒng)的登錄驗(yàn)證方法的流程示意圖。

圖2為本發(fā)明優(yōu)選實(shí)施例分布式系統(tǒng)登錄驗(yàn)證方法的流程示意圖。

圖3為本發(fā)明實(shí)施例分布式系統(tǒng)的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下參照附圖并舉實(shí)施例，對(duì)本發(fā)明所述方案作進(jìn)一步地詳細(xì)說(shuō)明。

本發(fā)明針對(duì)現(xiàn)有分布式系統(tǒng)中存在的缺陷，采用密鑰列表、動(dòng)態(tài)管理密鑰的方法，進(jìn)行密鑰的新增、失效，來(lái)定期對(duì)密鑰進(jìn)行替換處理。防止密鑰泄露引起的一系列問(wèn)題。

本發(fā)明實(shí)施例分布式系統(tǒng)的登錄驗(yàn)證方法的流程示意圖如圖1所示，包括以下步驟：

步驟11、登錄系統(tǒng)在驗(yàn)證客戶端的賬號(hào)密碼成功后，采用密鑰列表中最高版本的有效密鑰生成帶有該最高版本號(hào)的登錄cookie值，并將所述登錄cookie值返回給客戶端；

其中，登錄系統(tǒng)采用了實(shí)時(shí)修改的密鑰列表，該密鑰列表包括多個(gè)密鑰值，每個(gè)密鑰值對(duì)應(yīng)有密鑰狀態(tài)和密鑰版本。也就是說(shuō)，登錄系統(tǒng)管理人員維護(hù)密鑰列表，因此密鑰列表可以實(shí)時(shí)修改，可以對(duì)現(xiàn)有的密鑰進(jìn)行失效處理等，也可以新增密鑰。

步驟12、業(yè)務(wù)系統(tǒng)接收到客戶端攜帶有所述登錄cookie值的業(yè)務(wù)請(qǐng)求后，獲取登錄cookie值的密鑰版本，通過(guò)所述密鑰版本在自身保存的密鑰列表中查詢對(duì)應(yīng)的密鑰；利用該密鑰解密登錄cookie值，在校驗(yàn)解密結(jié)果合法后，處理正常的業(yè)務(wù)請(qǐng)求。

其中，業(yè)務(wù)系統(tǒng)自身保存的密鑰列表是在業(yè)務(wù)系統(tǒng)啟動(dòng)后，定時(shí)同步登錄系統(tǒng)當(dāng)前密鑰列表得到的。

進(jìn)一步地，所述業(yè)務(wù)系統(tǒng)通過(guò)所述密鑰版本在自身保存的密鑰列表中查詢對(duì)應(yīng)的密鑰，如果查找不到對(duì)應(yīng)的密鑰，則向登錄系統(tǒng)同步當(dāng)前密鑰列表。

進(jìn)一步地，業(yè)務(wù)系統(tǒng)在啟動(dòng)后還加載有用于對(duì)登錄cookie值進(jìn)行解密的cookie解密程序包，所述業(yè)務(wù)系統(tǒng)利用密鑰和所述cookie解密程序包解密登錄cookie值。

綜上，本發(fā)明由登錄系統(tǒng)管理人員動(dòng)態(tài)管理密鑰列表，業(yè)務(wù)系統(tǒng)定時(shí)獲取到登錄系統(tǒng)的密鑰列表，而業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)人員并不會(huì)知曉，因此提高了業(yè)務(wù)系統(tǒng)的安全性。

為清楚說(shuō)明本發(fā)明，下面列舉具體場(chǎng)景進(jìn)行說(shuō)明。

圖2為本發(fā)明優(yōu)選實(shí)施例分布式系統(tǒng)登錄驗(yàn)證方法的流程示意圖，如圖2所示。

步驟20、登錄系統(tǒng)在驗(yàn)證客戶端的賬號(hào)密碼成功后，采用密鑰列表中最高版本的有效密鑰生成帶有該最高版本號(hào)的登錄cookie值，并將所述登錄cookie值返回給客戶端。

本發(fā)明實(shí)施例中登錄系統(tǒng)中由登錄系統(tǒng)管理人員維護(hù)的密鑰列表如表1所示。由表1可以看出，密鑰值為1a2b的密鑰版本最高，且密鑰狀態(tài)為有效，所以采用該密鑰值1a2b生成登錄cookie值，具體生成方法為現(xiàn)有技術(shù)，在此不再贅述。因此，返回給客戶端的響應(yīng)內(nèi)容為v12-********，其中，v12為密鑰版本，********為根據(jù)密鑰值1a2b加密后的登錄cookie值。

表1

步驟21、業(yè)務(wù)系統(tǒng)接收到客戶端的業(yè)務(wù)請(qǐng)求后，獲取業(yè)務(wù)請(qǐng)求中的登錄cookie值。

步驟22、業(yè)務(wù)系統(tǒng)判斷業(yè)務(wù)請(qǐng)求中是否存在登錄cookie值，如果不存在，則返回執(zhí)行步驟20；如果存在，則執(zhí)行步驟23。

需要說(shuō)明的是，如果客戶端不登錄登錄系統(tǒng)，而是直接訪問(wèn)業(yè)務(wù)系統(tǒng)的情況下，業(yè)務(wù)請(qǐng)求中就可能無(wú)法攜帶登錄cookie值。

步驟23、業(yè)務(wù)系統(tǒng)獲取登錄cookie值的密鑰版本。

本實(shí)施例中，密鑰版本為v12。

步驟24、業(yè)務(wù)系統(tǒng)通過(guò)所述密鑰版本在自身保存的密鑰列表中查詢對(duì)應(yīng)的密鑰。

本實(shí)施例中查詢的是v12對(duì)應(yīng)的密鑰值1a2b。

步驟25、業(yè)務(wù)系統(tǒng)判斷是否查詢到對(duì)應(yīng)的密鑰，如果不存在，則執(zhí)行步驟26；如果存在，則執(zhí)行步驟27。

步驟26、業(yè)務(wù)系統(tǒng)向登錄系統(tǒng)同步當(dāng)前密鑰列表。

需要說(shuō)明的是，業(yè)務(wù)系統(tǒng)自身保存的密鑰列表是在業(yè)務(wù)系統(tǒng)啟動(dòng)后，定時(shí)同步登錄系統(tǒng)當(dāng)前密鑰列表得到的，可以如表1所示。如果時(shí)間上有延遲，只通過(guò)定時(shí)同步，業(yè)務(wù)系統(tǒng)有可能無(wú)法查詢到最新的有效密鑰，因此，業(yè)務(wù)系統(tǒng)在查詢不到對(duì)應(yīng)密鑰的情況下，需要向登錄系統(tǒng)同步當(dāng)前密鑰列表，以獲得最新有效密鑰。這時(shí)，返回執(zhí)行步驟25，重新判斷是否查詢到對(duì)應(yīng)的密鑰。

步驟27、業(yè)務(wù)系統(tǒng)利用該密鑰和cookie解密程序包解密登錄cookie值。

其中，接入登錄系統(tǒng)的業(yè)務(wù)系統(tǒng)，都需要將cookie解密程序包依賴進(jìn)本業(yè)務(wù)系統(tǒng)中，該cookie解密程序包包括對(duì)cookie解密的程序。

步驟28、業(yè)務(wù)系統(tǒng)校驗(yàn)解密結(jié)果。

步驟29、業(yè)務(wù)系統(tǒng)判斷是否通過(guò)校驗(yàn)，如果通過(guò)，則執(zhí)行步驟30、業(yè)務(wù)系統(tǒng)處理正常的業(yè)務(wù)請(qǐng)求。如果不通過(guò)，則返回執(zhí)行步驟20。

由此，完成了本發(fā)明優(yōu)選實(shí)施例的登錄驗(yàn)證方法。

基于同樣的發(fā)明構(gòu)思，本發(fā)明公開(kāi)了一種分布式系統(tǒng)，結(jié)構(gòu)示意圖如圖3所示。該分布式系統(tǒng)包括：

登錄系統(tǒng)301，在驗(yàn)證客戶端的賬號(hào)密碼成功后，采用密鑰列表中最高版本的有效密鑰生成帶有該最高版本號(hào)的登錄cookie值，并將所述登錄cookie值返回給客戶端；

業(yè)務(wù)系統(tǒng)302，接收到客戶端攜帶有所述登錄cookie值的業(yè)務(wù)請(qǐng)求后，獲取登錄cookie值的密鑰版本，通過(guò)所述密鑰版本在自身保存的密鑰列表中 查詢對(duì)應(yīng)的密鑰；利用該密鑰解密登錄cookie值，在校驗(yàn)解密結(jié)果合法后，處理正常的業(yè)務(wù)請(qǐng)求。

所述登錄系統(tǒng)301采用了實(shí)時(shí)修改的密鑰列表，該密鑰列表包括多個(gè)密鑰值，每個(gè)密鑰值對(duì)應(yīng)有密鑰狀態(tài)和密鑰版本。

所述業(yè)務(wù)系統(tǒng)302啟動(dòng)后，還用于定時(shí)同步登錄系統(tǒng)當(dāng)前密鑰列表。

所述業(yè)務(wù)系統(tǒng)302通過(guò)所述密鑰版本在自身保存的密鑰列表中查詢對(duì)應(yīng)的密鑰，如果查找不到對(duì)應(yīng)的密鑰，還用于：向登錄系統(tǒng)同步當(dāng)前密鑰列表。

所述業(yè)務(wù)系統(tǒng)302在啟動(dòng)后還加載有用于對(duì)登錄cookie值進(jìn)行解密的cookie解密程序包，所述業(yè)務(wù)系統(tǒng)利用密鑰和所述cookie解密程序包解密登錄cookie值。

本發(fā)明的有益效果在于：

一、本方案既可以防止惡意人員獲取密鑰進(jìn)行cookie破解、偽造等操作，又可以進(jìn)行系統(tǒng)安全的提升，可以定時(shí)進(jìn)行cookie過(guò)期、失效操作，對(duì)老的cookie進(jìn)行失效操作，保持系統(tǒng)的登錄安全。

二、采用業(yè)務(wù)系統(tǒng)定時(shí)獲取密鑰列表、密鑰版本管理、密鑰過(guò)期失效等方式。對(duì)登錄密鑰進(jìn)行有效的管理，保證登錄系統(tǒng)的安全性和可控性。

以上所述，僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。