本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其是一種登錄認(rèn)證方法及系統(tǒng)。

背景技術(shù)：

目前，用戶在登錄應(yīng)用服務(wù)器時，需要輸入用戶在該應(yīng)用服務(wù)器上注冊的賬戶信息，如果用戶要登錄不同的應(yīng)用服務(wù)器，就需要用戶在不同的應(yīng)用服務(wù)器上均注冊有賬戶信息，且每登錄一個應(yīng)用服務(wù)器都需要輸入一次賬戶信息，這使得用戶在使用服務(wù)時非常不方便，且用戶需要記住很多賬戶信息也容易造成使用時出錯。因此，需要一種開放、便捷的登錄認(rèn)證方式來解決上述問題。

目前已有的一種解決方案是使用oAuth(Open Authorization)協(xié)議，第三方無需使用用戶的用戶名與密碼就可以申請獲得該用戶資源的授權(quán)。但缺點在于兼容性和開發(fā)新接口的代價高，例如，公有云資源一般需要支持兩套認(rèn)證才行；并且，oAuth的簽名很復(fù)雜；用戶可能需要輸入兩次密碼，否則不能在第三方服務(wù)器關(guān)掉的情況下正常訪問其資源。

因此，需要一種方便、安全性高的登錄認(rèn)證方案。

技術(shù)實現(xiàn)要素：

為此，本發(fā)明提供了一種登錄認(rèn)證方法及系統(tǒng)，以力圖解決或者至少緩解上面存在的至少一個問題。

根據(jù)本發(fā)明的一個方面，提供了一種登錄認(rèn)證方法，方法在第一認(rèn)證服務(wù)器中執(zhí)行，該第一認(rèn)證服務(wù)器分別與客戶端和第二認(rèn)證服務(wù)器相連接，且第一認(rèn)證服務(wù)器和第二認(rèn)證服務(wù)器分別對應(yīng)不同的資源，該方法包括步驟：接收由客戶端發(fā)送的第一登錄請求，其中第一登錄請求中包含請求登錄的用戶賬戶信息和該客戶端標(biāo)識；根據(jù)用戶賬戶信息生成用戶標(biāo)識；發(fā)送用戶標(biāo)識和該第一認(rèn)證服務(wù)器所在集群的集群標(biāo)識給第二認(rèn)證服務(wù)器，由第二認(rèn)證服務(wù)器判斷是否存在所述用戶標(biāo)識和集群標(biāo)識的關(guān)聯(lián)關(guān)系；接收由第二認(rèn)證服務(wù)器在判斷存在關(guān)聯(lián)關(guān)系后返回的用戶標(biāo)識、集群標(biāo)識和安全標(biāo)識符，其中安全標(biāo)識符是第二訪問令牌的索引信息，用以獲取訪問第二認(rèn)證服務(wù)器對應(yīng)資源的權(quán)限；發(fā)送安全標(biāo)識符給客戶端，以便客戶端發(fā)送第二登錄請求給第二認(rèn)證服務(wù)器，該第二登錄請求中包含該安全標(biāo)識符和客戶端標(biāo)識，由第二認(rèn)證服務(wù)器判斷該安全標(biāo)識符是否正確；接收由第二認(rèn)證服務(wù)器在判斷該安全標(biāo)識符正確后返回的客戶端標(biāo)識；判斷該客戶端標(biāo)識與第一登錄請求中的客戶端標(biāo)識是否一致；以及若一致則返回確認(rèn)消息給第二認(rèn)證服務(wù)器，以便第二認(rèn)證服務(wù)器根據(jù)該安全標(biāo)識符發(fā)送第二訪問令牌給客戶端，由客戶端根據(jù)該第二訪問令牌訪問第二認(rèn)證服務(wù)器對應(yīng)的資源。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證方法中，用戶標(biāo)識包括在第一認(rèn)證服務(wù)器登錄的第一用戶標(biāo)識和在第二認(rèn)證服務(wù)器登錄的第二用戶標(biāo)識，其中，根據(jù)用戶賬戶信息生成用戶標(biāo)識的步驟包括：根據(jù)用戶賬戶信息查找與之關(guān)聯(lián)的第一用戶標(biāo)識；根據(jù)第一用戶標(biāo)識查找與之關(guān)聯(lián)的第二用戶標(biāo)識；以及結(jié)合第一用戶標(biāo)識和第二用戶標(biāo)識生成用戶標(biāo)識。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證方法中，還包括步驟：預(yù)先存儲用戶賬戶信息與第一用戶標(biāo)識、第一用戶標(biāo)識與第二用戶標(biāo)識的關(guān)聯(lián)關(guān)系。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證方法中，發(fā)送安全標(biāo)識符給客戶端的步驟之前，還包括步驟：判斷所接收到的用戶標(biāo)識和集群標(biāo)識是否與之前發(fā)送給第二認(rèn)證服務(wù)器的一致；以及若一致則發(fā)送確認(rèn)消息給第二認(rèn)證服務(wù)器，并接收第二認(rèn)證服務(wù)器返回的請求成功消息。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證方法中，判斷所接收到的用戶標(biāo)識和集群標(biāo)識是否與之前發(fā)送給第二認(rèn)證服務(wù)器的一致的步驟還包括：若一致則關(guān)聯(lián)存儲安全標(biāo)識符和客戶端標(biāo)識。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證方法中，發(fā)送安全標(biāo)識符給客戶端的步驟還包括：發(fā)送第一訪問令牌給所述客戶端，以便客戶端根據(jù)第一訪問令牌訪問第一認(rèn)證服務(wù)器對應(yīng)的資源。

根據(jù)本發(fā)明的另一方面，提供了一種登錄認(rèn)證方法，方法在第二認(rèn)證服務(wù)器中執(zhí)行，該第二認(rèn)證服務(wù)器分別與客戶端和第一認(rèn)證服務(wù)器相連接，且第一認(rèn)證服務(wù)器和第二認(rèn)證服務(wù)器分別對應(yīng)不同的資源，該方法包括步驟：接收由第一認(rèn)證服務(wù)器發(fā)送的用戶標(biāo)識和第一認(rèn)證服務(wù)器所在集群的集群標(biāo)識；判斷是否存在用戶標(biāo)識與集群標(biāo)識的關(guān)聯(lián)關(guān)系；若存在該關(guān)聯(lián)關(guān)系，則將安全標(biāo)識符和用戶標(biāo)識、集群標(biāo)識一并返回給第一認(rèn)證服務(wù)器，其中安全標(biāo)識符是第二訪問令牌的索引信息，用以獲取訪問第二認(rèn)證服務(wù)器對應(yīng)資源的權(quán)限；接收由客戶端發(fā)送的第二登錄請求，其中，該第二登錄請求中包含安全標(biāo)識符和客戶端標(biāo)識；判斷安全標(biāo)識符是否正確；若該安全標(biāo)識符正確，則返回客戶端標(biāo)識給第一認(rèn)證服務(wù)器；接收由第一認(rèn)證服務(wù)器返回的確認(rèn)消息；根據(jù)該安全標(biāo)識符發(fā)送第二訪問令牌給客戶端，以便客戶端根據(jù)第二訪問令牌訪問第二認(rèn)證服務(wù)器對應(yīng)的資源。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證方法中，用戶標(biāo)識包括在第一認(rèn)證服務(wù)器登錄的第一用戶標(biāo)識和在第二認(rèn)證服務(wù)器登錄的第二用戶標(biāo)識。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證方法中，還包括步驟：預(yù)先存儲第二用戶標(biāo)識與第一用戶標(biāo)識、第一用戶標(biāo)識與集群標(biāo)識的關(guān)聯(lián)關(guān)系。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證方法中，將安全標(biāo)識符和用戶標(biāo)識、集群標(biāo)識一并返回給第一認(rèn)證服務(wù)器的步驟之后，還包括步驟：接收由第一認(rèn)證服務(wù)器在確認(rèn)用戶標(biāo)識和集群標(biāo)識后發(fā)送的確認(rèn)消息，并返回請求成功消息給第一認(rèn)證服務(wù)器。

根據(jù)本發(fā)明的另一方面，提供了一種登錄認(rèn)證系統(tǒng)，該系統(tǒng)包括客戶端、第一認(rèn)證服務(wù)器、第二認(rèn)證服務(wù)器，且第一認(rèn)證服務(wù)器和第二認(rèn)證服務(wù)器分別對應(yīng)不同的資源，該系統(tǒng)包括：客戶端，適于發(fā)送第一登錄請求給第一認(rèn)證服務(wù)器、發(fā)送第二登錄請求給第二認(rèn)證服務(wù)器，還適于接收第二認(rèn)證服務(wù)器發(fā)送的第二訪問令牌、并根據(jù)第二訪問令牌訪問第二認(rèn)證服務(wù)器對應(yīng)的資源，其中，第一登錄請求中包含請求登錄的用戶賬戶信息和該客戶端標(biāo)識，第二登錄請求中包含該安全標(biāo)志符和客戶端標(biāo)識；第一認(rèn)證服務(wù)器，包括：連接管理單元，適于接收第一登錄請求，還適于發(fā)送用戶標(biāo)識和該第一認(rèn)證服務(wù)器所在集群的集群標(biāo)識給第二認(rèn)證服務(wù)器、并接收由第二認(rèn)證服務(wù)器在判斷存在該用戶標(biāo)識和集群標(biāo)識的關(guān)聯(lián)關(guān)系后返回的用戶標(biāo)識、集群標(biāo)識和安全標(biāo)識符；生成單元，適于根據(jù)用戶賬戶信息生成用戶標(biāo)識；判斷單元，適于判斷所接收到的用戶標(biāo)識和集群標(biāo)識是否與發(fā)送給第二認(rèn)證服務(wù)器的一致；連接管理單元還適于發(fā)送確認(rèn)消息給第二認(rèn)證服務(wù)器、并接收第二認(rèn)證服務(wù)器返回的請求成功消息、以及發(fā)送安全標(biāo)識符給所述客戶端、接收由第二認(rèn)證服務(wù)器在判斷該安全標(biāo)識符正確后發(fā)送客戶端標(biāo)識；判斷單元還適于判斷該客戶端標(biāo)識和第一登錄請求中的客戶端標(biāo)識是否一致；連接管理單元還適于在判斷客戶端標(biāo)識一致時返回確認(rèn)消息給第二認(rèn)證服務(wù)器；以及第二認(rèn)證服務(wù)器，包括：連接管理單元，適于接收由第一認(rèn)證服務(wù)器發(fā)送的用戶標(biāo)識和第一認(rèn)證服務(wù)器所在集群的集群標(biāo)識；判斷單元，適于判斷是否存在用戶標(biāo)識與集群標(biāo)識的關(guān)聯(lián)關(guān)系；連接管理單元還適于在判斷存在關(guān)聯(lián)關(guān)系時將安全標(biāo)識符和用戶標(biāo)識、集群標(biāo)識一并返回給第一認(rèn)證服務(wù)器、接收由客戶端發(fā)送的第二登錄請求；判斷單元還適于判斷安全標(biāo)識符是否正確；連接管理單元還適于在判斷該安全標(biāo)識符正確時發(fā)送客戶端標(biāo)識給第一認(rèn)證服務(wù)器以便第一認(rèn)證服務(wù)器確認(rèn)該客戶端標(biāo)識是否正確、接收由第一認(rèn)證服務(wù)器返回的確認(rèn)消息、并根據(jù)該安全標(biāo)識符發(fā)送第二訪問令牌給客戶端。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證系統(tǒng)中，用戶標(biāo)識包括在第一認(rèn)證服務(wù)器登錄的第一用戶標(biāo)識和在第二認(rèn)證服務(wù)器登錄的第二用戶標(biāo)識。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證系統(tǒng)中，在第一認(rèn)證服務(wù)器中，生成單元適于根據(jù)用戶賬戶信息查找與之關(guān)聯(lián)的第一用戶標(biāo)識、根據(jù)第一用戶標(biāo)識查找與之關(guān)聯(lián)的第二用戶標(biāo)識、并結(jié)合第一用戶標(biāo)識和第二用戶標(biāo)識生成用戶標(biāo)識。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證系統(tǒng)中，第一認(rèn)證服務(wù)器還包括：存儲單元，適于預(yù)先存儲用戶賬戶信息與第一用戶標(biāo)識、第一用戶標(biāo)識與第二用戶標(biāo)識的關(guān)聯(lián)關(guān)系；存儲單元還適于在判斷單元判斷所接收到的用戶標(biāo)識和集群標(biāo)識與之前發(fā)送給第二認(rèn)證服務(wù)器的一致時，關(guān)聯(lián)存儲安全標(biāo)識符和客戶端標(biāo)識。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證系統(tǒng)中，第二認(rèn)證服務(wù)器還包括：存儲單元，適于存儲第二用戶標(biāo)識與第一用戶標(biāo)識、第一用戶標(biāo)識與集群標(biāo)識的關(guān)聯(lián)關(guān)系。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證系統(tǒng)中，在第一認(rèn)證服務(wù)器中，連接管理單元還適于在發(fā)送安全標(biāo)識符的時一并發(fā)送第一訪問令牌給所述客戶端。

可選地，在根據(jù)本發(fā)明的登錄認(rèn)證系統(tǒng)中，客戶端還適于根據(jù)第一訪問令牌訪問第一認(rèn)證服務(wù)器對應(yīng)的資源。

根據(jù)本發(fā)明的登錄認(rèn)證方案，不僅可以實現(xiàn)一次登錄即可同時訪問第一認(rèn)證服務(wù)器和第二認(rèn)證服務(wù)器對應(yīng)的資源；還確保整個交互通道的安全性，防止用戶標(biāo)識等信息泄露對會話的影響。同時，第一認(rèn)證服務(wù)器和第二認(rèn)證服務(wù)器的Token分離、互不影響，即使盜用了第一訪問令牌也不能使用第二認(rèn)證服務(wù)器的資源，反之亦然。

附圖說明

為了實現(xiàn)上述以及相關(guān)目的，本文結(jié)合下面的描述和附圖來描述某些說明性方面，這些方面指示了可以實踐本文所公開的原理的各種方式，并且所有方面及其等效方面旨在落入所要求保護(hù)的主題的范圍內(nèi)。通過結(jié)合附圖閱讀下面的詳細(xì)描述，本公開的上述以及其它目的、特征和優(yōu)勢將變得更加明顯。遍及本公開，相同的附圖標(biāo)記通常指代相同的部件或元素。

圖1示出了根據(jù)本發(fā)明一個實施例的登錄認(rèn)證系統(tǒng)100的示意圖；

圖2示出了根據(jù)本發(fā)明一個實施例的系統(tǒng)100執(zhí)行登錄認(rèn)證方法200的交互圖；

圖3示出了根據(jù)本發(fā)明一個實施例的第一認(rèn)證服務(wù)器120的結(jié)構(gòu)示意圖；以及

圖4示出了根據(jù)本發(fā)明一個實施例的第二認(rèn)證服務(wù)器130的結(jié)構(gòu)示意圖。

具體實施方式

下面將參照附圖更詳細(xì)地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應(yīng)當(dāng)理解，可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

圖1示出了根據(jù)本發(fā)明一個實施例的登錄認(rèn)證系統(tǒng)100的示意圖。

如圖1所示，該系統(tǒng)100包括：客戶端110、第一認(rèn)證服務(wù)器120和第二認(rèn)證服務(wù)器130，且第一認(rèn)證服務(wù)器120和第二認(rèn)證服務(wù)器130分別對應(yīng)不同的資源?？蛻舳?10可以是PC端、Web端、移動設(shè)備等，其通過第一認(rèn)證服務(wù)器120或第二認(rèn)證服務(wù)器130訪問相應(yīng)資源。應(yīng)當(dāng)注意的是，圖1中對客戶端100、第一認(rèn)證服務(wù)器120和第二認(rèn)證服務(wù)器130的數(shù)目僅是示意性的，本發(fā)明對系統(tǒng)100內(nèi)各部件的數(shù)量不作限制。

根據(jù)一種實現(xiàn)方式，系統(tǒng)100布置為混合云登錄認(rèn)證系統(tǒng)，其中，第一認(rèn)證服務(wù)器120為私有云服務(wù)器，連接私有云資源；第二認(rèn)證服務(wù)器130為公有云服務(wù)器，連接公有云資源。

一般地，客戶端110是私有云客戶端，當(dāng)客戶端110要訪問私有云資源時，可以直接登錄第一認(rèn)證服務(wù)器120，經(jīng)用戶賬戶認(rèn)證正確后，即可訪問私有云資源。但是，當(dāng)客戶端110要訪問公有云資源時，其無法直接通過私有云客戶端的用戶賬戶登錄第二認(rèn)證服務(wù)器。本系統(tǒng)提供了一種單點登錄認(rèn)證的方法，使得客戶端110登錄一次即可訪問系統(tǒng)內(nèi)的私有云資源、公有云資源。

下面將詳細(xì)介紹本系統(tǒng)100進(jìn)行登錄認(rèn)證的過程。如圖2，示出了根據(jù)本發(fā)明一個實施例的系統(tǒng)100執(zhí)行登錄認(rèn)證方法200的交互圖。

首先在步驟S201中，客戶端110發(fā)送第一登錄請求給第一認(rèn)證服務(wù)器120，該第一登錄請求中包含請求登錄的用戶賬戶信息和該客戶端110的標(biāo)識，如用戶賬戶信息可以是用戶的賬戶名user、賬戶密碼pwd，客戶端標(biāo)識記為clientID。

隨后在步驟S202中，第一認(rèn)證服務(wù)器120根據(jù)第一登錄請求中的用戶賬戶信息生成用戶標(biāo)識。

根據(jù)本發(fā)明的一個實施例，第一認(rèn)證服務(wù)器120中預(yù)存有用戶賬戶信息與第一用戶標(biāo)識、第一用戶標(biāo)識與第二用戶標(biāo)識的關(guān)聯(lián)關(guān)系。第一認(rèn)證服務(wù)器120根據(jù)用戶賬戶信息(user+pwd)查找與之關(guān)聯(lián)的第一用戶標(biāo)識，記作pri_userID；再根據(jù)第一用戶標(biāo)識(pri_userID)查找與之關(guān)聯(lián)的第二用戶標(biāo)識，記作pub_userID；最后，結(jié)合第一用戶標(biāo)識(pri_userID)和第二用戶標(biāo)識(pub_userID)生成用戶標(biāo)識，記作pri_userID+pub_userID。

隨后在步驟S203中，第一認(rèn)證服務(wù)器120發(fā)送該用戶標(biāo)識和第一認(rèn)證服務(wù)器120所在集群的集群標(biāo)識(clusterID)給第二認(rèn)證服務(wù)器130?？蛇x地，第一認(rèn)證服務(wù)器120可以直接以“pub_userID:pri_userID:clusterID”的形式發(fā)送消息給第二認(rèn)證服務(wù)器130，也可以對上述內(nèi)容進(jìn)行加密后再發(fā)送給第二認(rèn)證服務(wù)器130，本發(fā)明對此不作限制。

隨后在步驟S204中，第二認(rèn)證服務(wù)器130判斷是否存在該用戶標(biāo)識和集群標(biāo)識的關(guān)聯(lián)關(guān)系。

根據(jù)本發(fā)明的實施例，第一用戶標(biāo)識pri_userID和第二用戶標(biāo)識pub_userID可以不是一對一的關(guān)系，以第一用戶標(biāo)識+此時第一認(rèn)證服務(wù)器120所在集群的集群標(biāo)識，即，pri_userID+clusterID，來唯一地標(biāo)識該用戶。

故，用戶使用公有云賬號(即，pub_userID對應(yīng)賬號)登陸第二認(rèn)證服務(wù)器130時，預(yù)先設(shè)置和私有云用戶(即，pri_userID)的關(guān)聯(lián)關(guān)系。這樣，第二認(rèn)證服務(wù)器130上會存儲有第二用戶標(biāo)識(pub_userID)與第一用戶標(biāo)識(pri_userID)、第一用戶標(biāo)識(pri_userID)與集群標(biāo)識(clusterID)的關(guān)聯(lián)關(guān)系。第二認(rèn)證服務(wù)器130在接收到第一認(rèn)證服務(wù)器120發(fā)送的用戶標(biāo)識和集群標(biāo)識后，根據(jù)預(yù)存的關(guān)聯(lián)關(guān)系判斷是否存在上述關(guān)系。

隨后在步驟S205中，若第二認(rèn)證服務(wù)器130判斷存在這樣的關(guān)聯(lián)關(guān)系，即，在該集群上有該用戶標(biāo)識，則第二認(rèn)證服務(wù)器130將安全標(biāo)識符和用戶標(biāo)識、集群標(biāo)識一并返回給第一認(rèn)證服務(wù)器120。其中，安全標(biāo)識符SID是第二訪問令牌(即，公有云Token)的索引信息，用以獲取訪問第二認(rèn)證服務(wù)器130對應(yīng)資源的權(quán)限。

這里，僅是將安全標(biāo)識符發(fā)送給第一認(rèn)證服務(wù)器120，而不是將第二訪問令牌直接發(fā)送給第一認(rèn)證服務(wù)器，可以避免當(dāng)?shù)谝徽J(rèn)證服務(wù)器120和第二認(rèn)證服務(wù)器130的交互信息泄漏時(例如，被非法用戶監(jiān)聽該通路)，非法用戶就會利用第二訪問令牌通過第二認(rèn)證服務(wù)器130訪問對應(yīng)資源。

隨后在步驟S206中，第一認(rèn)證服務(wù)器120判斷所接收到的用戶標(biāo)識和集群標(biāo)識是否與之前發(fā)送給第二認(rèn)證服務(wù)器的一致，即，與步驟S203中的用戶標(biāo)識和集群標(biāo)識是否一致，若一致則第一認(rèn)證服務(wù)器120發(fā)送確認(rèn)消息給第二認(rèn)證服務(wù)器130。

根據(jù)本發(fā)明的實施例，第一認(rèn)證服務(wù)器120還會對應(yīng)存儲該安全標(biāo)識符SID和步驟S201中的客戶端標(biāo)識clientID。

隨后在步驟S207中，第二認(rèn)證服務(wù)器130返回請求成功消息給第一認(rèn)證服務(wù)器120。

至此，第一認(rèn)證服務(wù)器120與第二認(rèn)證服務(wù)器130就完成了相互認(rèn)證的過程。應(yīng)當(dāng)注意的是，在第一認(rèn)證服務(wù)器120與第二認(rèn)證服務(wù)器130的交互過程中，第一認(rèn)證服務(wù)器并未發(fā)送客戶端標(biāo)識clientID給第二認(rèn)證服務(wù)器130，這一點很重要，在后續(xù)中會有相關(guān)說明。

隨后在步驟S208中，第一認(rèn)證服務(wù)器120發(fā)送安全標(biāo)識符SID給該客戶端110，即clientID對應(yīng)的客戶端。

根據(jù)本發(fā)明的一個實施例，第一認(rèn)證服務(wù)器120還會一并發(fā)送第一訪問令牌(即，私有云Token)給該客戶端110。

隨后在步驟S209中，客戶端110根據(jù)收到的第一訪問令牌(即，私有云Token)訪問第一認(rèn)證服務(wù)器120對應(yīng)的私有云資源。

在步驟S210中，客戶端110根據(jù)收到的安全標(biāo)識符SID發(fā)送第二登錄請求給第二認(rèn)證服務(wù)器130，其中，第二登錄請求中包含該安全標(biāo)識符SID和客戶端標(biāo)識clientID。

應(yīng)當(dāng)注意的是，第二認(rèn)證服務(wù)器130上預(yù)先并沒有存儲客戶端標(biāo)識信息，客戶端標(biāo)識還是由第一認(rèn)證服務(wù)器120去認(rèn)證，這是為了防止當(dāng)?shù)谝徽J(rèn)證服務(wù)器120和第二認(rèn)證服務(wù)器130的通路被監(jiān)聽時，非法用戶就截獲到SID+clientID信息并發(fā)送給第二認(rèn)證服務(wù)器。

隨后在步驟S211中，第二認(rèn)證服務(wù)器130判斷該安全標(biāo)識符是否正確，若該安全標(biāo)識符正確，則返回客戶端標(biāo)識給第一認(rèn)證服務(wù)器120，由其判斷客戶端標(biāo)識是否正確。根據(jù)本發(fā)明的實施例，第二認(rèn)證服務(wù)器130一并將安全標(biāo)識符也返回給第一認(rèn)證服務(wù)器120。

例如，第二認(rèn)證服務(wù)器130接收到安全標(biāo)識符SID＝1，若第二認(rèn)證服務(wù)器130判斷該SID無誤，則返回clientID+SID給第一認(rèn)證服務(wù)器120。

隨后在步驟S212中，第一認(rèn)證服務(wù)器120接收客戶端標(biāo)識和安全標(biāo)識符后，判斷該客戶端標(biāo)識與第一登錄請求中的客戶端標(biāo)識是否一致。

根據(jù)本發(fā)明的實施例，在步驟S206中，第一認(rèn)證服務(wù)器120關(guān)聯(lián)存儲了安全標(biāo)識符SID和客戶端標(biāo)識clientID，故在本步驟中，第一認(rèn)證服務(wù)器120需查找該安全標(biāo)識符SID對應(yīng)的clientID是否與接收到的clientID一致。

隨后在步驟S213中，若判斷一致則第一認(rèn)證服務(wù)器120返回確認(rèn)消息給第二認(rèn)證服務(wù)器130，如，{"success”:true}。

隨后在步驟S214中，第二認(rèn)證服務(wù)器130就可以確定該客戶端110是安全的，即可發(fā)送第二訪問令牌給客戶端110，該第二訪問令牌根據(jù)安全標(biāo)識符得到。例如，安全標(biāo)識符SID＝1，第二認(rèn)證服務(wù)器130即返回Token＝2給客戶端110。但是，若已知第二訪問令牌，是無法換取到對應(yīng)安全標(biāo)識符的。

隨后在步驟S215中，客戶端110根據(jù)該第二訪問令牌(即，公有云Token)訪問第二認(rèn)證服務(wù)器130對應(yīng)的公有云資源。

至此，根據(jù)本發(fā)明的系統(tǒng)100執(zhí)行登錄認(rèn)證方法200的交互過程就介紹完畢。根據(jù)上文描述可知，該登錄認(rèn)證方法不僅可以實現(xiàn)一次登錄即可同時訪問私有云資源、公有云資源；還保證了整個交互通道的安全性，防止用戶標(biāo)識等信息泄露對會話的影響。

同時，私有云的認(rèn)證和公有云的認(rèn)證Token分離、互不影響，即使盜用了私有云Token也不能使用公有云的資源，反之亦然；假設(shè)公有云服務(wù)因某些原因關(guān)閉，并不會影響對私有云資源的訪問，同樣，如果私有云服務(wù)因某些原因關(guān)閉，也不影響后續(xù)繼續(xù)使用公有云資源。

對應(yīng)于圖2的交互過程，圖3和圖4分別示出了第一認(rèn)證服務(wù)器120和第二認(rèn)證服務(wù)器130的結(jié)構(gòu)示意圖。

如圖3所示，第一認(rèn)證服務(wù)器120包括：連接管理單元122、生成單元124、判斷單元126和存儲單元128。

其中，連接管理單元122接收第一登錄請求，第一登錄請求中包含請求登錄的用戶賬戶信息和該客戶端標(biāo)識。

存儲單元128預(yù)先存儲用戶賬戶信息與第一用戶標(biāo)識、第一用戶標(biāo)識與第二用戶標(biāo)識的關(guān)聯(lián)關(guān)系。

生成單元124根據(jù)用戶賬戶信息生成用戶標(biāo)識，用戶標(biāo)識包括在第一認(rèn)證服務(wù)器120上登錄的第一用戶標(biāo)識和在第二認(rèn)證服務(wù)器130上登錄的第二用戶標(biāo)識。根據(jù)本發(fā)明的實施例，生成單元124根據(jù)用戶賬戶信息查找與之關(guān)聯(lián)的第一用戶標(biāo)識、根據(jù)第一用戶標(biāo)識查找與之關(guān)聯(lián)的第二用戶標(biāo)識、并結(jié)合第一用戶標(biāo)識和第二用戶標(biāo)識生成用戶標(biāo)識。

連接管理單元122發(fā)送用戶標(biāo)識和該第一認(rèn)證服務(wù)器120所在集群的集群標(biāo)識給第二認(rèn)證服務(wù)器130、并接收由第二認(rèn)證服務(wù)器130在判斷存在該用戶標(biāo)識和集群標(biāo)識的關(guān)聯(lián)關(guān)系后返回的用戶標(biāo)識、集群標(biāo)識和安全標(biāo)識符。

判斷單元126判斷所接收到的用戶標(biāo)識和集群標(biāo)識是否與發(fā)送給第二認(rèn)證服務(wù)器130的相一致。

若判斷單元126判斷一致，則存儲單元128關(guān)聯(lián)存儲該安全標(biāo)識符和客戶端標(biāo)識。

同時，連接管理單元122發(fā)送確認(rèn)消息給第二認(rèn)證服務(wù)器130、并接收第二認(rèn)證服務(wù)器130返回的請求成功消息。

同時，連接管理單元122發(fā)送第一訪問令牌和安全標(biāo)識符給客戶端110、并接收由第二認(rèn)證服務(wù)器130在判斷該安全標(biāo)識符正確后發(fā)送的客戶端標(biāo)識。

判斷單元126判斷該客戶端標(biāo)識和第一登錄請求中的客戶端標(biāo)識是否一致。若一致，則由連接管理單元122返回確認(rèn)消息給第二認(rèn)證服務(wù)器130。

如圖4，第二認(rèn)證服務(wù)器130包括：連接管理單元132、判斷單元134和存儲單元136。

連接管理單元132接收由第一認(rèn)證服務(wù)器120發(fā)送的用戶標(biāo)識和第一認(rèn)證服務(wù)器120所在集群的集群標(biāo)識。

根據(jù)本發(fā)明的實施例，用戶標(biāo)識包括在第一認(rèn)證服務(wù)器120上登錄的第一用戶標(biāo)識和在第二認(rèn)證服務(wù)器130上登錄的第二用戶標(biāo)識。

存儲單元136存儲第二用戶標(biāo)識與第一用戶標(biāo)識、第一用戶標(biāo)識與集群標(biāo)識的關(guān)聯(lián)關(guān)系。

判斷單元134從存儲單元136存儲的內(nèi)容中判斷是否存在該用戶標(biāo)識與集群標(biāo)識的關(guān)聯(lián)關(guān)系。

連接管理單元132在判斷存在關(guān)聯(lián)關(guān)系時將安全標(biāo)識符和用戶標(biāo)識、集群標(biāo)識一并返回給第一認(rèn)證服務(wù)器120、并接收由客戶端110發(fā)送的第二登錄請求，第二登錄請求中包含該安全標(biāo)志符和客戶端標(biāo)識。

判斷單元134判斷安全標(biāo)識符是否正確，若判斷該安全標(biāo)識符正確，則由連接管理單元132發(fā)送客戶端標(biāo)識給第一認(rèn)證服務(wù)器120以便第一認(rèn)證服務(wù)器確認(rèn)該客戶端標(biāo)識是否正確。

連接管理單元132接收由第一認(rèn)證服務(wù)器120返回的確認(rèn)消息后，再根據(jù)該安全標(biāo)識符發(fā)送第二訪問令牌給客戶端110。

關(guān)于更具體的第一認(rèn)證服務(wù)器120和第二認(rèn)證服務(wù)器130、客戶端110的交互過程，在基于圖2的描述中已經(jīng)詳細(xì)闡述，可參考前文所述，此處不再贅述。

應(yīng)當(dāng)理解，為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式，其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。

本領(lǐng)域那些技術(shù)人員應(yīng)當(dāng)理解在本文所公開的示例中的設(shè)備的模塊或單元或組件可以布置在如該實施例中所描述的設(shè)備中，或者可替換地可以定位在與該示例中的設(shè)備不同的一個或多個設(shè)備中。前述示例中的模塊可以組合為一個模塊或者此外可以分成多個子模塊。

本領(lǐng)域那些技術(shù)人員可以理解，可以對實施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中?？梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。

本發(fā)明還一并公開了：

A10、如A7-9中任一項所述的方法，其中，將安全標(biāo)識符和用戶標(biāo)識、集群標(biāo)識一并返回給第一認(rèn)證服務(wù)器的步驟之后，還包括步驟：接收由第一認(rèn)證服務(wù)器在確認(rèn)所述用戶標(biāo)識和集群標(biāo)識后發(fā)送的確認(rèn)消息，并返回請求成功消息給第一認(rèn)證服務(wù)器。

B12、如B11所述的系統(tǒng)，其中，用戶標(biāo)識包括在第一認(rèn)證服務(wù)器登錄的第一用戶標(biāo)識和在第二認(rèn)證服務(wù)器登錄的第二用戶標(biāo)識。

B13、如B12所述的系統(tǒng)，在第一認(rèn)證服務(wù)器中，生成單元適于根據(jù)用戶賬戶信息查找與之關(guān)聯(lián)的第一用戶標(biāo)識、根據(jù)第一用戶標(biāo)識查找與之關(guān)聯(lián)的第二用戶標(biāo)識、并結(jié)合所述第一用戶標(biāo)識和第二用戶標(biāo)識生成用戶標(biāo)識。

B14、如B12或13所述的系統(tǒng)，第一認(rèn)證服務(wù)器還包括：存儲單元，適于預(yù)先存儲用戶賬戶信息與第一用戶標(biāo)識、第一用戶標(biāo)識與第二用戶標(biāo)識的關(guān)聯(lián)關(guān)系；存儲單元還適于在判斷單元判斷所接收到的用戶標(biāo)識和集群標(biāo)識與之前發(fā)送給第二認(rèn)證服務(wù)器的一致時，關(guān)聯(lián)存儲所述安全標(biāo)識符和客戶端標(biāo)識。

B15、如B12-14中任一項所述的系統(tǒng)，其中，第二認(rèn)證服務(wù)器還包括：存儲單元，適于存儲第二用戶標(biāo)識與第一用戶標(biāo)識、第一用戶標(biāo)識與集群標(biāo)識的關(guān)聯(lián)關(guān)系。

B16、如B11-15中任一項所述的系統(tǒng)，在第一認(rèn)證服務(wù)器中，連接管理單元還適于在發(fā)送安全標(biāo)識符的時一并發(fā)送第一訪問令牌給客戶端。

B17、如B16所述的系統(tǒng)，其中，客戶端還適于根據(jù)第一訪問令牌訪問第一認(rèn)證服務(wù)器對應(yīng)的資源。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征，但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實施例的任意之一都可以以任意的組合方式來使用。

此外，所述實施例中的一些在此被描述成可以由計算機系統(tǒng)的處理器或者由執(zhí)行所述功能的其它裝置實施的方法或方法元素的組合。因此，具有用于實施所述方法或方法元素的必要指令的處理器形成用于實施該方法或方法元素的裝置。此外，裝置實施例的在此所述的元素是如下裝置的例子：該裝置用于實施由為了實施該發(fā)明的目的的元素所執(zhí)行的功能。

如在此所使用的那樣，除非另行規(guī)定，使用序數(shù)詞“第一”、“第二”、“第三”等等來描述普通對象僅僅表示涉及類似對象的不同實例，并且并不意圖暗示這樣被描述的對象必須具有時間上、空間上、排序方面或者以任意其它方式的給定順序。

盡管根據(jù)有限數(shù)量的實施例描述了本發(fā)明，但是受益于上面的描述，本技術(shù)領(lǐng)域內(nèi)的技術(shù)人員明白，在由此描述的本發(fā)明的范圍內(nèi)，可以設(shè)想其它實施例。此外，應(yīng)當(dāng)注意，本說明書中使用的語言主要是為了可讀性和教導(dǎo)的目的而選擇的，而不是為了解釋或者限定本發(fā)明的主題而選擇的。因此，在不偏離所附權(quán)利要求書的范圍和精神的情況下，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說許多修改和變更都是顯而易見的。對于本發(fā)明的范圍，對本發(fā)明所做的公開是說明性的，而非限制性的，本發(fā)明的范圍由所附權(quán)利要求書限定。