一种登录方法、装置、系统及设备与流程

1.本技术涉及计算机技术领域，尤其涉及一种登录的技术。


背景技术：

2.随着互联网的发展，由很多企业将业务放到网络上，通过企业门户提供统一入口，可访问该企业的不同应用/业务(以下统称应用)，为其客户及员工(以下统称用户)提供高效服务，同时，基于安全性考虑，企业通常会有自己统一的身份认证平台，通过网络提供网上服务的一种典型系统结构如图1所示。并且，为了提升用户体验，通过单点登录(single sign on，sso)，用户只需要认证一次便可以访问多个应用。
3.而随着云技术的不断发展，企业通常通过云服务商提供网上服务。云服务商可将企业需要提供网上服务的应用作为第三方应用，在其运营的云平台提供云插件服务，将第三方应用链接作为插件集成在云平台，用户成功登录云平台后，点击第三方应用链接来访问第三方应用，获取企业提供的网上服务，通过云平台提供服务的一种典型系统结构如图2所示。
4.如何实现基于云平台架构下的安全登录以及云平台集成的若干第三方应用的单点登录，是本技术要解决的技术问题。


技术实现要素：

5.本技术的目的是提供一种登录方法、装置、系统及设备，以解决基于云平台架构下的安全登录以及云平台集成的若干第三方应用的单点登录的技术问题。
6.本技术的一个方面，提供了一种登录方法，应用于云平台，所述云平台集成有若干第三方应用链接，其中，所述方法包括：
7.当用户登录云平台时，将用户登录请求重定向至身份认证平台；
8.接收所述身份认证平台发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台；
9.接收所述身份认证平台发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息；
10.解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，并基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息。
11.可选地，其中，所述授权码是基于用户输入的账号信息生成的，且具有时效性。
12.可选地，所述方法还包括：
13.当用户点击对应第三方应用服务器的第三方应用链接时，向所述第三方应用服务器发送包括所述令牌的访问请求。
14.可选地，其中，在向所述第三方应用服务器发送包括所述令牌的访问请求之前，基于所述访问权限信息，判断所述用户是否有访问所述第三方应用的访问权限，若有，则向所
述第三方应用服务器发送包括所述令牌的访问请求。
15.本技术的一个方面，提供了一种登录方法，应用于身份认证平台，其中，所述方法包括：
16.接收云平台重定向发来的用户登录请求，并向用户展示登录页面；
17.基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台发送授权码；
18.接收所述云平台发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息。
19.可选地，所述方法还包括：
20.接收第三方应用服务器发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器。
21.本技术的一个方面，提供了一种登录方法，应用于第三方应用服务器，其中，所述方法包括：
22.接收云平台发送的包括令牌的访问请求，其中，所述令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限信息；
23.解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请；
24.接收所述身份认证平台发回的验证结果，若验证结果是有效，向所述用户展示所述第三方应用。
25.本技术的另一个方面，提供了一种登录装置，部署于云平台，所述云平台集成有若干第三方应用链接，其中，所述装置包括：
26.第一模块，用于当用户登录云平台时，将用户登录请求重定向至身份认证平台；
27.第四模块，用于接收所述身份认证平台发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台；
28.第六模块，用于接收所述身份认证平台发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息；
29.第七模块，用于解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，并基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息。
30.可选地，所述装置还包括：
31.第八模块，用于当用户点击第三方应用链接时，向所述第三方应用服务器发送包括所述令牌的访问请求。
32.本技术的另一个方面，提供了一种登录装置，部署于身份认证平台，其中，所述装置包括：
33.第二模块，用于接收云平台重定向发来的用户登录请求，并向用户展示登录页面；
34.第三模块，用于基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台发送授权码；
35.第五模块，用于接收所述云平台发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息。
36.可选地，所述装置还包括：
37.第十一模块，用于接收第三方应用服务器发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器。
38.本技术的另一个方面，提供了一种登录装置，部署于第三方应用服务器，其中，所述装置包括：
39.第九模块，用于接收云平台发送的包括令牌的访问请求，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限；
40.第十模块，用于解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请；
41.第十二模块，用于接收所述身份认证平台发回的验证结果，若验证结果是有效，则向所述用户展示所述第三方应用。
42.本技术的又一个方面，提供了一种登录系统，其中，所述系统包括：
43.云平台，集成有若干第三方应用链接，用于：
44.当用户登录时，将用户登录请求重定向至身份认证平台，接收所述身份认证平台发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台，以及接收所述身份认证平台发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息，并解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，以及基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息；
45.身份认证平台，用于：
46.接收云平台重定向发来的用户登录请求，并向用户展示登录页面，基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台发送授权码，以及接收所述云平台发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台，其中，所述令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限信息；
47.第三方应用服务器，用于：
48.接收云平台发送的包括令牌的访问请求，其中，所述令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限，解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请，接收所述身份认证平台发回的验证结果，若验证结果是有效，则向所述用户展示所述第三方应用。
49.可选地，其中，所述云平台还用于：
50.当用户点击对应第三方应用服务器的第三方应用链接时，向所述第三方应用服务器发送包括所述令牌的访问请求；
51.其中，所述身份认证平台还用于：
52.接收所述第三方应用服务器发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器。
53.与现有技术相比，本技术提供了一种登录方法、装置、系统及设备。其方法包括：当用户登录云平台时，将用户登录请求重定向至身份认证平台；身份认证平台接收到所述用户登录请求，并向用户展示登录页面；基于用户输入的账号信息，进行身份认证，若认证通过，向云平台发送授权码；云平台接收到授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台；身份认证平台接收到所述令牌请求，生成令牌，并发送至云平台，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息；云平台接收到所述令牌并保存，解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，并基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息。进一步地，当用户点击对应第三方应用服务器的第三方应用链接时，向所述第三方应用服务器发送包括所述令牌的访问请求；所述第三方应用服务器接收到所述访问请求，解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请；身份认证平台接收到所述有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器；所述第三方应用服务器接收到验证结果，若验证结果是有效，向所述用户展示所述第三方应用。通过该方法，提升了云平台的访问安全保障，进一步地，还实现了单点登录，可免密登录到云平台集成的具有访问权限的若干第三方应用。
附图说明
54.通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：
55.图1示出一种未采用云平台提供网上服务的系统结构示意图；
56.图2示出一种采用云平台提供网上服务的系统结构示意图；
57.图3示出本技术的一种登录方法的流程示意图；
58.图4示出本技术一个方面的应用于云平台的一种登录方法流程示意图；
59.图5示出本技术一个方面的应用于身份认证平台的一种登录方法流程示意图；
60.图6示出本技术一个方面的应用于第三方应用服务器的一种登录方法流程示意图；
61.图7示出本技术另一个方面的部署于云平台的一种登录装置结构示意图；
62.图8示出本技术另一个方面的部署于身份认证平台的一种登录装置结构示意图；
63.图9示出本技术另一个方面的部署于第三方应用服务器的一种登录装置结构示意图；
64.图10示出本技术又一个方面的一种登录系统结构示意图；
65.附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
66.下面结合附图对本发明作进一步详细描述。
67.在本技术的各实施例的一个典型的配置中，设备、系统和/或装置各单元和/或模块均可包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
68.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
69.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或者任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
70.云服务商将企业需要提供网上服务的应用作为第三方应用，在其运营的云平台提供云插件服务，将第三方应用链接作为插件集成在云平台，用户成功登录云平台后，可点击第三方应用链接来访问第三方应用，获得服务。
71.为了提升用户访问云平台的安全保障，解决用户身份认证以及访问权限等问题，以及实现一次认证，本技术提供了一种采用云平台提供若干第三方应用服务的系统的登录方案，其方法流程示意图如图3所示：当用户通过企业门户或者客户端登录云平台时，先被重定向至身份认证平台，身份认证平台返回认证登录页面，根据用户输入的正确账号信息，生成具有时效性的授权码给到云平台；接着云平台向身份认证平台发送包括该授权码的令牌申请，身份认证平台核对授权码，若通过，生成令牌并发送给云平台，其中，令牌中包括该用户的用户身份信息和对应若干第三方应用的访问权限信息；云平台接收到该令牌并保存，然后解析该令牌，获取用户的用户身份信息，并判断该用户是否已在云平台的用户白名单中，若在，则向该用户展示登录成功信息，若不在，还可将该用户作为合法新用户加入云平台的用户白名单中，再向该用户展示登录成功信息。向用户展示的登录成功信息可以是包括若干第三方应用链接的页面。当用户点击第三方应用链接，要访问第三方应用的服务器时，云平台会向第三方应用服务器发送包括上述令牌的访问请求，第三方应用服务器接收到该令牌，解析获得其中的用户身份信息和访问权限信息，先判断该用户对该第三方应用是否有访问权限，如有，则将令牌发送至身份认证平台进行有效性验证，并根据收到的验证结果，向该用户展示登录状态信息：若收到令牌有效的验证结果，则向该用户展示第三方应用成功登录信息，若收到令牌无效的验证结果，则向该用户展示第三方应用登录失败信息。使得合法用户只需在登录云平台时输入账号信息，在有效期限内登录集成在云平台的任一有访问权限的第三方应用时无需输入账号信息，实现单点登录。
72.本技术中，用户登录过程中涉及到云平台100、企业统一的身份认证平台200和第三方应用服务器300，流程中相关流程可通过云平台100、企业统一的身份认证平台200或第三方应用服务器300实施或执行，其中，云平台100可以是云服务商部署的或者企业自建的，可提供云插件服务，将企业的网上服务业务作为第三方应用集成到云平台100中，用户通过企业门户或者客户端成功登录云平台100后，可在展示的云平台100的页面上点击第三方应
用链接，访问第三方应用。其中，所述云平台100可由基于云计算(cloud computing)的大量计算机或网络服务器构成，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述身份认证平台200、第三方应用服务器300可为计算机设备，所述计算机设备包括但不限于个人计算机、笔记本电脑、工业计算机、网络主机、单个网络服务器、多个网络服务器集。
73.在此，所述云和/或计算机设备仅为举例，其他现有的或者今后可能出现的设备和/或资源平台如适用于本技术，也应包含在本技术的保护范围内，在此，以引用的方式包含于此。
74.为更进一步阐述本技术所采取的技术手段及取得的效果，下面结合附图及优选实施例，对本技术的技术方案，进行清楚和完整的描述。
75.图4示出本技术一个方面的应用于云平台的一种登录方法流程示意图，其中，一个实施例的方法包括：
76.s101当用户登录云平台时，将用户登录请求重定向至身份认证平台；
77.s104接收所述身份认证平台发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台；
78.s106接收所述身份认证平台发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息；
79.s107解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，并基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息。
80.在该实施例中，在步骤s101中，当用户通过企业门户或者客户端登录云平台100时，云平台100会将用户的登录请求重定向至企业统一的身份认证平台200进行用户身份认证，以确保只有合法用户才能成功登录。企业统一的身份认证平台200在收到用户的登录请求后，会将登录认证页面发给企业门户或者客户端，在用户输入账户信息后，对账户信息进行认证，并向云平台100发送认证结果。
81.继续在该实施例中，在步骤s104中，云平台100接收企业统一的身份认证平台200发送的认证结果，其中，如果身份认证平台200验证用户输入的是合法账户信息，即该用户是合法用户，则认证通过，其向云平台100发送的认证结果包括授权码。云平台100会生成一个包括该授权码的令牌请求，并将该令牌请求发送至企业统一的身份认证平台200。
82.其中，若身份认证平台200验证用户输入的是不合法账户信息，即该用户不是合法用户，则云平台100在收到的是指示该用户不是合法用户的认证结果后，向企业门户或者客户端发出拒绝登录信息。
83.其中，身份认证平台200在收到云平台100发送的包括授权码的令牌请求后，检验其中的授权码的有效性，若授权码有效，则会生成令牌，并将令牌发送至云平台100，其中，该令牌中至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息。
84.其中，用户身份信息可用于验证用户的身份和/或授权处理，通常包括有关用户身份和身份认证信息的声明，比如，用户id、姓名、电子邮件等，一般由身份认证平台生成并发布，通常经过数字签名，可被验证真实性及完整性。访问权限信息用于访问受保护的应用、服务等资源时的验证、授权处理，通常包括用户可访问受保护资源的权限信息，一般由身份
认证平台生成并发布，访问权限信息还可具有时效性，过期后需要重新获取。
85.可选地，其中，所述授权码是基于用户输入的账号信息生成的，且具有时效性。
86.其中，该授权码是身份认证平台200根据用户输入的合法账户信息生成的，并且为了提高安全性，还具有时效性，即该授权码除了与用户有关，还与时间有关，比如，授权码自生成起在预设时间内有效，超过预设时间则失效。
87.继续在该实施例中，在步骤s106中，云平台100接收到企业统一的身份认证平台200发送的令牌并保存起来。
88.继续在该实施例中，在步骤s107中，云平台100解析该令牌，获取令牌中包括的该用户的用户身份信息和对若干第三方应用的访问权限信息，并基于该用户身份信息，判断云平台100的用户白名单中是否包括该用户，若包括，则向企业门户或者客户端发送登录成功页面，以向用户展示登录成功信息。
89.其中，为了提高安全性，通常令牌还包括时间信息，具有时效性。
90.因为该用户是通过企业统一的身份认证平台200认证通过的合法用户，其中，若云平台100的用户白名单中不包括该用户，还可将该用户作为合法新用户加入云平台的用户白名单中，再向该用户展示登录成功信息。
91.可选地，该方法还包括：
92.s108当用户点击对应第三方应用服务器300的第三方应用链接时，向所述第三方应用服务器300发送包括所述令牌的访问请求。
93.本技术中，云平台100上集成有若干第三方应用，在企业的合法用户成功登录云平台100后，向用户展示的是集成在云平台100上的与企业相关的若干第三方应用链接。当用户想要访问某个企业的第三方应用服务器300，登录、使用相应的第三方应用时，可点击页面上对应第三方应用服务器300的第三方应用链接，云平台100会向该第三方应用服务器300发送包括上述令牌的访问请求。
94.其中，第三方应用服务器300在接收到云平台100发送的包括上述令牌的访问请求后，解析该令牌，获得该用户的用户身份信息和对若干第三方应用的访问权限信息，然后判断该用户是否有访问该第三方应用的访问权限，如果有，则向企业统一的身份认证平台200发送包括该令牌的有效性验证申请，然后接收身份认证平台200发送的有效性验证结果。如果验证结果是令牌是合法有效的，则向企业门户或者客户端发送第三方应用登录成功页面，向用户展示该第三方应用，以便用户使用。从而使得合法用户只需在登录云平台时输入账号信息，在有效期限内登录集成在云平台的任一有访问权限的第三方应用时无需输入账号信息，实现单点登录。
95.可选地，其中，所述步骤s108还包括：
96.在向所述第三方应用服务器200发送包括所述令牌的访问请求之前，基于所述访问权限信息，判断所述用户是否有访问所述第三方应用的访问权限，若有，则向所述第三方应用服务器300发送包括所述令牌的访问请求。
97.其中，为了提高登录效率，当用户点击对应第三方应用服务器300的第三方应用链接时，云平台100在向第三方应用服务器200发送包括所述令牌的访问请求之前，先根据解析令牌获取的访问权限信息，判断该用户是否有访问该第三方应用的访问权限，如果有，则向第三方应用服务器300发送包括该令牌的访问请求。
98.图5示出本技术一个方面的应用于身份认证平台的一种登录方法流程示意图，其中，一个实施例的方法包括：
99.s102接收云平台重定向发来的用户登录请求，并向用户展示登录页面；
100.s103基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台发送授权码；
101.s105接收所述云平台发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息。
102.本技术中，当用户通过企业门户或者客户端登录云平台100时，云平台100会将用户的登录请求重定向至企业统一的身份认证平台200进行用户身份认证，以确保只有合法用户才能成功登录。
103.在该实施例中，在步骤s102中，企业统一的身份认证平台200在收到云平台100重定向发来的用户登录请求后，会将登录认证页面发给企业门户或者客户端，向用户展示认证登录页面。
104.继续在该实施例中，在步骤s103中，当用户在登录页面输入账户信息后，身份认证平台200会根据用户输入的账号信息，进行身份认证，并向云平台100发送认证结果，其中，若认证通过，则认证结果包括授权码，若认证不通过，则认证结果包括指示该用户不是合法用户的信息。
105.其中，若认证通过，云平台100收到包括授权码的认证结果后，会生成包括授权码的令牌请求发送至身份认证平台200。
106.继续在该实施例中，在步骤s105中，身份认证平台200接收到云平台100发送的包括授权码的令牌请求，经过验证通过后，生成令牌，并将令牌发送至云平台100，其中，该令牌至少包括该合法用户的用户身份信息和对若干第三方应用的访问权限信息。
107.可选地，该方法还包括：
108.s111接收第三方应用服务器发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器。
109.本技术中，云平台100上集成有若干第三方应用，在企业的合法用户成功登录云平台100后，向用户展示的是集成在云平台100上的与企业相关的若干第三方应用链接，当用户想要访问某个企业的第三方应用服务器300，登录、使用第三方应用时，可点击页面上对应第三方应用服务器300的第三方应用链接，云平台100会向该第三方应用服务器300发送包括上述令牌的访问请求。第三方应用服务器300在接收到云平台100发送的包括上述令牌的访问请求后，解析该令牌，获得该用户的用户身份信息和对若干第三方应用的访问权限信息，然后判断该用户是否有访问该第三方应用的访问权限，如果有，则向企业统一的身份认证平台200发送包括该令牌的有效性验证申请。
110.其中，身份认证平台200在接收到第三方应用服务器300发送的包括该令牌的有效性验证申请后，会对该令牌的有效性进行验证，并将验证结果发送至该第三方应用服务器300，其中，如果验证结果是令牌是合法有效的，该第三方应用服务器300会向企业门户或者客户端发送第三方应用登录成功页面，向用户展示该第三方应用，以便用户使用。从而使得合法用户只需在登录云平台时输入账号信息，在有效期限内登录集成在云平台的任一有访
问权限的第三方应用时无需输入账号信息，实现单点登录。
111.图6示出本技术一个方面的应用于第三方应用服务器的一种登录方法流程示意图，其中，一个实施例的方法包括：
112.s109接收云平台发送的包括令牌的访问请求，其中，所述令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限信息；
113.s110解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请；
114.s112接收所述身份认证平台发回的验证结果，若验证结果是有效，向所述用户展示所述第三方应用。
115.本技术中，当用户通过企业门户或者客户端登录云平台100时，云平台100会将用户的登录请求重定向至企业统一的身份认证平台200进行用户身份认证，以确保只有合法用户才能成功登录。当合法用户通过认证成功登录到云平台100时，向企业门户或者客户端发送登录成功页面，以向合法用户展示登录成功信息。云平台100上集成有若干第三方应用，在企业的合法用户成功登录云平台100后，向用户展示的是集成在云平台100上的与企业相关的若干第三方应用链接，当用户想要访问某个企业的第三方应用服务器300，登录、使用第三方应用时，可点击页面上对应第三方应用服务器300的第三方应用链接，云平台100会向该第三方应用服务器300发送包括上述令牌的访问请求。
116.在该实施例中，在步骤s109中，第三方应用服务器300接收到云平台100发送的包括令牌的访问请求，其中，该令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限信息。
117.继续在该实施例中，在步骤s110中，第三方应用服务器300解析该令牌，获得该用户的用户身份信息和对若干第三方应用的访问权限信息，并判断该用户是否有访问该第三方应用服务器300提供的第三方应用的访问权限，如果有，则向身份认证平台200发送包括该令牌的有效性验证申请。身份认证平台200在接收到第三方应用服务器300发送的包括该令牌的有效性验证申请后，会对该令牌的有效性进行验证，并将验证结果发送至该第三方应用服务器300。
118.其中，当用户点击对应第三方应用服务器300的第三方应用链接时，云平台100在向第三方应用服务器200发送包括所述令牌的访问请求之前，先根据解析令牌获取的访问权限信息，判断该用户是否有访问该第三方应用的访问权限，如果有，再向第三方应用服务器300发送包括该令牌的访问请求。那么在步骤s110中，第三方应用服务器300无需解析令牌，可直接向身份认证平台200发送包括该令牌的有效性验证申请。可避免云平台100和第三方应用服务器300都要判断该用户是否有访问权限，提高效率。
119.继续在该实施例中，在步骤s112中，该第三方应用服务器300接收到身份认证平台200发回的验证结果，如果验证结果是令牌是合法有效的，则会向企业门户或者客户端发送该第三方应用登录成功页面，向用户展示该第三方应用，以便用户使用。从而使得合法用户只需在登录云平台时输入账号信息，在有效期限内登录集成在云平台的任一有访问权限的第三方应用时无需输入账号信息，实现单点登录。
120.其中，登录云平台100时是合法用户，能成功登录云平台100，在用户点击云平台
100的第三方应用链接，尝试登录第三方应用服务器300时，如果身份认证平台200因故取消了该用户身份的合法性，把该用户剔除了合法用户名单，则这种情况下第三方应用服务器300发送至身份认证平台200的令牌是无效的，不能通过有效性认证，该第三方应用服务器300接收到身份认证平台200发回的是指示令牌无效的验证结果，则该用户登录该第三方应用失败。
121.在上述方法实施例和/或可选实施例中的一个示例性的应用场景中，企业统一的身份认证平台200可基于oauth2协议生成授权码和令牌，云平台100、第三方应用服务器300可以使用jwt(json web token)技术解析令牌。
122.图7示出本技术另一个方面的部署于云平台的一种登录装置结构示意图，其中，一个实施例的装置包括：
123.第一模块11，用于当用户登录云平台时，将用户登录请求重定向至身份认证平台；
124.第四模块14，用于接收所述身份认证平台发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台；
125.第六模块16，用于接收所述身份认证平台发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息；
126.第七模块17，用于解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，并基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息。
127.在该实施例中，该装置部署或者集成在执行前述相关方法实施例和/或可选实施例中的云平台100中。
128.其中，云平台100通过第一模块11，当用户通过企业门户或者客户端登录云平台100时，会将用户的登录请求重定向至企业统一的身份认证平台200进行用户身份认证，以确保只有合法用户才能成功登录。云平台100第四模块14接收企业统一的身份认证平台200发送的认证结果，其中，如果身份认证平台200验证用户输入的是合法账户信息，即该用户是合法用户，则认证通过，其向云平台100发送的认证结果包括授权码。云平台100第四模块14还会生成一个包括该授权码的令牌请求，并将该令牌请求发送至企业统一的身份认证平台200。云平台100第六模块16接收到企业统一的身份认证平台200发送的令牌并保存起来。云平台100第七模块17解析身份认证平台200发送的令牌，获取该令牌中包括的该用户的用户身份信息和对若干第三方应用的访问权限信息，并基于该用户身份信息，判断云平台100的用户白名单中是否包括该用户，若包括，则向企业门户或者客户端发送登录成功页面，以向用户展示登录成功信息。
129.可选地，该装置还包括：
130.第八模块18，用于当用户点击第三方应用链接时，向所述第三方应用服务器发送包括所述令牌的访问请求。
131.本技术中，云平台100上集成有若干第三方应用，在企业的合法用户成功登录云平台100后，通过第七模块17，向用户展示的是集成在云平台100上的与企业相关的若干第三方应用链接。当用户想要访问某个企业的第三方应用服务器300，登录、使用相应的第三方应用时，可点击页面上对应第三方应用服务器300的第三方应用链接，会通过云平台100第八模块18，向该第三方应用服务器300发送包括上述令牌的访问请求。
132.图8示出本技术另一个方面的部署于身份认证平台的一种登录装置结构示意图，其中，一个实施例的装置包括：
133.第二模块12，用于接收云平台重定向发来的用户登录请求，并向用户展示登录页面；
134.第三模块13，用于基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台发送授权码；
135.第五模块15，用于接收所述云平台发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息。
136.在该实施例中，该装置部署或者集成在执行前述相关方法实施例和/或可选实施例中的企业统一的身份证平台200中。
137.其中，通过企业统一的身份认证平台200第二模块12，接收到云平台100重定向发来的用户登录请求后，会将登录认证页面发给企业门户或者客户端，向用户展示认证登录页面。当用户在登录页面输入账户信息后，身份认证平台200第三模块13,会根据用户输入的账号信息，进行身份认证，并向云平台100发送认证结果。其中，若认证通过，则认证结果包括授权码，若认证不通过，则认证结果包括指示该用户不是合法用户的信息。身份认证平台200第五模块15接收云平台100发送的包括授权码的令牌请求，生成令牌，并将令牌发送至云平台100，其中，该令牌至少包括该合法用户的用户身份信息和对若干第三方应用的访问权限信息。
138.可选地，该装置还包括：
139.第十一模块111，用于接收第三方应用服务器发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器。
140.其中，身份认证平台200第十一模块111在接收到第三方应用服务器300发送的包括前述令牌的有效性验证申请后，会对该令牌的有效性进行验证，并将验证结果发送至该第三方应用服务器300。
141.图9示出本技术另一个方面的部署于第三方应用服务器的一种登录装置结构示意图，其中，一个实施例的装置包括：
142.第九模块19，用于接收云平台发送的包括令牌的访问请求，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限；
143.第十模块110，用于解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请；
144.第十二模块112，用于接收所述身份认证平台发回的验证结果，若验证结果是有效，则向所述用户展示所述第三方应用。
145.在该实施例中，该装置部署或者集成在执行前述相关方法实施例和/或可选实施例中的第三方应用服务器300中。
146.其中，第三方应用服务器300第九模块109接收到云平台100发送的包括令牌的访问请求，其中，该令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限信息。然后通过第三方应用服务器300第十模块110解析该令牌，获得该用户的用户身份信息和对
若干第三方应用的访问权限信息，并判断该用户是否有访问该第三方应用服务器300提供的第三方应用的访问权限，如果有，则向身份认证平台200发送包括该令牌的有效性验证申请。通过第三方应用服务器300第十二模块112，接收到身份认证平台200发回的验证结果，如果验证结果是令牌是合法有效的，则会向企业门户或者客户端发送该第三方应用登录成功页面，向用户展示该第三方应用，以便用户使用。
147.图10示出本技术又一个方面的一种登录系统，其中，一个实施例的该系统包括：
148.云平台100，集成有若干第三方应用链接，用于：
149.当用户登录时，将用户登录请求重定向至身份认证平台200，接收所述身份认证平台200发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台200，以及接收所述身份认证平台200发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息，并解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，以及基于所述用户身份信息，判断所述云平台100的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息；
150.身份认证平台200，用于：
151.接收云平台100重定向发来的用户登录请求，并向用户展示登录页面，基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台100发送授权码，以及接收所述云平台100发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台100，其中，所述令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限信息；
152.第三方应用服务器300，用于：
153.接收云平台100发送的包括令牌的访问请求，其中，所述令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限，解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台200发送包括所述令牌的有效性验证申请，接收所述身份认证平台200发回的验证结果，若验证结果是有效，则向所述用户展示所述第三方应用。
154.在该实施例中，该系统包括的云平台100、身份认证平台200和第三方应用服务器300的软硬件环境与执行前述相关方法实施例和/或可选实施例中的云平台100、身份认证平台200和第三方应用服务器300的相同。
155.其中，当用户通过企业门户或者客户端登录云平台100时，云平台100会将用户的登录请求重定向至企业统一的身份认证平台200进行用户身份认证，以确保只有合法用户才能成功登录。企业统一的身份认证平台200在收到用户的登录请求后，会将登录认证页面发给企业门户或者客户端，向用户展示认证登录页面，当用户在登录页面输入账户信息后，身份认证平台200会根据用户输入的账号信息，进行身份认证，并向云平台100发送认证结果，其中，若认证通过，则认证结果包括授权码，若认证不通过，则认证结果包括指示该用户不是合法用户的信息。云平台100接收企业统一的身份认证平台200发送的认证结果，其中，如果身份认证平台200验证用户输入的是合法账户信息，即该用户是合法用户，则认证通过，其向云平台100发送的认证结果包括授权码。云平台100会生成一个包括该授权码的令牌请求，并将该令牌请求发送至企业统一的身份认证平台200。身份认证平台200接收到云平台100发送的包括授权码的令牌请求，经过验证通过后，生成令牌，并将令牌发送至云平
台100，其中，该令牌至少包括该合法用户的用户身份信息和对若干第三方应用的访问权限信息。云平台100接收到企业统一的身份认证平台200发送的令牌并保存起来，然后解析该令牌，获取令牌中包括的该用户的用户身份信息和对若干第三方应用的访问权限信息，并基于该用户身份信息，判断云平台100的用户白名单中是否包括该用户，若包括，则向企业门户或者客户端发送登录成功页面，以向用户展示登录成功信息。
156.本技术中，云平台100上集成有若干第三方应用，在企业的合法用户成功登录云平台100后，向用户展示的是集成在云平台100上的与企业相关的若干第三方应用链接。
157.可选地，其中，该云平台100还用于：
158.当用户点击对应第三方应用服务器300的第三方应用链接时，向所述第三方应用服务器300发送包括所述令牌的访问请求；
159.其中，所述身份认证平台200还用于：
160.接收所述第三方应用服务器300发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器300。
161.其中，在合法用户成功登录云平台100后，当用户想要访问某个企业的第三方应用服务器300，登录、使用相应的第三方应用时，可点击页面上对应第三方应用服务器300的第三方应用链接，云平台100会向该第三方应用服务器300发送包括上述令牌的访问请求。第三方应用服务器300接收到云平台100发送的包括令牌的访问请求，然后解析该令牌，获得该用户的用户身份信息和对若干第三方应用的访问权限信息，并判断该用户是否有访问该第三方应用服务器300提供的第三方应用的访问权限，如果有，则向身份认证平台200发送包括该令牌的有效性验证申请。身份认证平台200在接收到第三方应用服务器300发送的包括该令牌的有效性验证申请后，会对该令牌的有效性进行验证，并将验证结果发送至该第三方应用服务器300。第三方应用服务器300接收到身份认证平台200发回的验证结果，如果验证结果是令牌是合法有效的，则会向企业门户或者客户端发送该第三方应用登录成功页面，向用户展示该第三方应用，以便用户使用。从而使得合法用户只需在登录云平台时输入账号信息，在有效期限内登录集成在云平台的任一有访问权限的第三方应用时无需输入账号信息，实现单点登录。
162.本技术的还一方面，还提供了一种计算机可读介质，所述计算机可读介质存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现前述各方法实施例。
163.需要注意的是，本技术中各方法实施例和/或可选实施例并不严格限定各步骤执行的顺序，只要各方法实施例和/或可选实施例能解决现有技术存在的缺陷，实现本技术的发明目的，获得有益效果。本技术中各方法实施例和/或可选实施例可在软件和/或软件与硬件的组合体中被实施。本技术中涉及的软件程序可以通过处理器执行以实现上述各实施例的步骤或功能。同样地，本技术的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中。
164.另外，本技术的一部分或者全部可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供本技术的方法和/或技术方案。而调用本技术的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。
165.本技术的再一方面，还提供了一种用于登录的设备，该设备可以是云平台、身份认证平台和/或第三方应用服务器，包括：存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，可触发该设备运行前述各实施例的方法和/或技术方案。
166.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件和/或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

技术特征：
1.一种登录方法，应用于云平台，所述云平台集成有若干第三方应用链接，其特征在于，所述方法包括：当用户登录云平台时，将用户登录请求重定向至身份认证平台；接收所述身份认证平台发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台；接收所述身份认证平台发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息；解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，并基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息。2.根据权利要求1所述的方法，其特征在于，所述授权码是基于用户输入的账号信息生成的，且具有时效性。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：当用户点击对应第三方应用服务器的第三方应用链接时，向所述第三方应用服务器发送包括所述令牌的访问请求。4.根据权利要求3所述的方法，其特征在于，在向所述第三方应用服务器发送包括所述令牌的访问请求之前，基于所述访问权限信息，判断所述用户是否有访问所述第三方应用的访问权限，若有，则向所述第三方应用服务器发送包括所述令牌的访问请求。5.一种登录方法，应用于身份认证平台，其特征在于，所述方法包括：接收云平台重定向发来的用户登录请求，并向用户展示登录页面；基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台发送授权码；接收所述云平台发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：接收第三方应用服务器发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器。7.一种登录方法，应用于第三方应用服务器，其特征在于，所述方法包括：接收云平台发送的包括令牌的访问请求，其中，所述令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限信息；解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请；接收所述身份认证平台发回的验证结果，若验证结果是有效，向所述用户展示所述第三方应用。8.一种登录装置，部署于云平台，所述云平台集成有若干第三方应用链接，其特征在于，所述装置包括：第一模块，用于当用户登录云平台时，将用户登录请求重定向至身份认证平台；第四模块，用于接收所述身份认证平台发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台；
第六模块，用于接收所述身份认证平台发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息；第七模块，用于解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，并基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息。9.根据权利要求8所述的装置，其特征在于，所述装置还包括：第八模块，用于当用户点击第三方应用链接时，向所述第三方应用服务器发送包括所述令牌的访问请求。10.一种登录装置，部署于身份认证平台，其特征在于，所述装置包括：第二模块，用于接收云平台重定向发来的用户登录请求，并向用户展示登录页面；第三模块，用于基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台发送授权码；第五模块，用于接收所述云平台发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息。11.根据权利要求10所述的装置，其特征在于，所述装置还包括：第十一模块，用于接收第三方应用服务器发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器。12.一种登录装置，部署于第三方应用服务器，其特征在于，所述装置包括：第九模块，用于接收云平台发送的包括令牌的访问请求，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限；第十模块，用于解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请；第十二模块，用于接收所述身份认证平台发回的验证结果，若验证结果是有效，则向所述用户展示所述第三方应用。13.一种登录系统，其特征在于，所述系统包括：云平台，集成有若干第三方应用链接，用于：当用户登录时，将用户登录请求重定向至身份认证平台，接收所述身份认证平台发送的认证结果，其中，若认证通过，所述认证结果包括授权码，生成包括所述授权码的令牌请求，并发送至所述身份认证平台，以及接收所述身份认证平台发送的令牌并保存，其中，所述令牌至少包括所述用户的用户身份信息和对若干第三方应用的访问权限信息，并解析所述令牌，获取所述用户的用户身份信息和所述访问权限信息，以及基于所述用户身份信息，判断所述云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息；身份认证平台，用于：接收云平台重定向发来的用户登录请求，并向用户展示登录页面，基于用户输入的账号信息，进行身份认证，若认证通过，向所述云平台发送授权码，以及接收所述云平台发送的包括所述授权码的令牌请求，生成令牌，并发送至所述云平台，其中，所述令牌至少包括
用户的用户身份信息和对若干第三方应用的访问权限信息；第三方应用服务器，用于：接收云平台发送的包括令牌的访问请求，其中，所述令牌至少包括用户的用户身份信息和对若干第三方应用的访问权限，解析所述令牌，获得所述用户的用户身份信息和所述访问权限信息并判断所述用户是否有访问所述第三方应用的访问权限，若有，则向身份认证平台发送包括所述令牌的有效性验证申请，接收所述身份认证平台发回的验证结果，若验证结果是有效，则向所述用户展示所述第三方应用。14.根据权利要求13所述的系统，其特征在于，所述云平台还用于：当用户点击对应第三方应用服务器的第三方应用链接时，向所述第三方应用服务器发送包括所述令牌的访问请求；其中，所述身份认证平台还用于：接收所述第三方应用服务器发送的包括所述令牌的有效性验证申请，对所述令牌的有效性进行验证，并将验证结果发送至所述第三方应用服务器。15.一种计算机可读介质，其特征在于，其上存储有计算机可读指令，所述计算机可读指令被处理器执行以实现如权利要求1至7中任一项所述的方法。16.一种用于登录的云平台，其特征在于，所述云平台包括：一个或多个处理器；以及存储有计算机可读指令的存储器，所述计算机可读指令在被执行时使所述处理器执行如权利要求1至4中任一项所述方法的操作。17.一种用于登录的身份认证平台，其特征在于，所述服务器包括：一个或多个处理器；以及存储有计算机可读指令的存储器，所述计算机可读指令在被执行时使所述处理器执行如权利要求5至6中任一项所述方法的操作。18.一种用于登录的第三方应用服务器，其特征在于，所述服务器包括：一个或多个处理器；以及存储有计算机可读指令的存储器，所述计算机可读指令在被执行时使所述处理器执行如权利要求7中所述方法的操作。

技术总结
本申请提供了一种登录方法、装置、系统及设备。其方法包括：将用户登录请求重定向至身份认证平台；身份认证平台向用户展示登录页面；基于用户输入的账号信息，进行身份认证，若通过，向云平台发送授权码；云平台生成包括授权码的令牌请求，并发送至身份认证平台；身份认证平台接收后生成令牌，并发送至云平台，其中，令牌至少包括用户身份信息和对若干第三方应用的访问权限信息；云平台接收到令牌并保存，解析令牌，基于用户身份信息，判断云平台的用户白名单中是否包括所述用户，若包括，则向所述用户展示登录成功信息。通过该方法，提升了云平台的访问安全保障。了云平台的访问安全保障。了云平台的访问安全保障。


技术研发人员：张秋宇
受保护的技术使用者：上海云轴信息科技有限公司
技术研发日：2023.07.18
技术公布日：2023/9/20