一种多认证源认证授权方法及装置

技术领域

本申请各实施例属网络安全技术领域，尤其涉及一种多认证源认证授权方法及装置。

背景技术

现有技术中，用户在访问具体的应用时，都需要认证通过后，才可以进行访问，因为用户类型的不同及访问具体应用的不同，为了访问应用的安全性，所以每次用户访问用户前，需要专门为不同用户配置并单独发送具体的不同认证方式，这样会造成管理员的工作量大的问题。

发明内容

为了解决或缓解现有技术中的问题，本发明实施例提供了一种多认证源认证授权方法及装置。

第一方面，本申请实施例提供了一种多认证源认证授权方法，包括：

接收用户访问应用的请求；

根据第一认证源与用户属性之间的第一匹配规则对所述用户匹配对应的第一认证源；

接收所述用户根据匹配的对应第一认证源输入的登录凭证以便对所述用户进行第一次认证；

验证所述登录凭证，如果第一次认证通过，发送登录令牌至用户；

接收携带所述登录令牌的访问请求。

作为本申请一优选实施例，所述接收用户访问应用的请求之前，包括：

配置第一认证源与用户属性之间的第一匹配规则和第二认证源与应用或用户属性之间的第二匹配规则。

作为本申请一优选实施例，所述第一匹配规则，包括：

确定用户访问ip地址是否包含在某个ip段，和/或，

确定用户访问浏览器是否携带标识字符；

所述第二匹配规则，包括：

确定所述用户IP、用户属性或应用类型是否具有对应的第二认证源。

作为本申请一优选实施例，所述第一匹配规则多个，且每个所述第一匹配规则具有对应的权重，所述根据第一认证源与用户属性之间的第一匹配规则对所述用户匹配对应的第一认证源，包括；

按照所述第一匹配规则的权重从大到小进行循环遍历所有的第一匹配规则；

确定是否有多个第一匹配规则被命中，如果具有多个第一匹配规则被命中，则选择权重最大的第一匹配规则为与所述用户匹配的第一认证源；

如果只有一个第一匹配规则被命中，则确定所述被命中的第一匹配规则与所述用户匹配的第一认证源；

如果无第一匹配规则被命中，获取默认认证源，则确定默认认证源为与所述用户匹配的第一认证源。

作为本申请一优选实施例，所述发送登录令牌至用户之前，包括：

确定所述用户是否需要进行第二次认证；

如果是，确定所述用户第二次认证的第二认证源；

根据所述第二次认证的第二认证源对所述用户进行第二次认证。

作为本申请一优选实施例，所述第一次认证的第一认证源通过静态认证方式认证，所述第二次认证的第二认证源通过动态认证方式认证。

作为本申请一优选实施例，所述确定所述用户是否需要进行第二次认证，包括：

获取所述用户IP、用户属性和应用类型；

如果有，则根据获取的用户IP、用户属性或应用类型确定所述用户是否需要进行第二次认证。

作为本申请一优选实施例，所述确定所述用户第二次认证的第二认证源，包括：

遍历第二匹配规则；

如果第二匹配规则被命中，则根据第二匹配规则对应的第二认证源对所述用户进行第二次认证。

作为本申请一优选实施例，所述接收携带所述登录令牌的访问请求，包括：

解析所述登录令牌获取用户信息和用户访问应用权限；

根据解析后的登录令牌信息判断用户是否具有访问应用的权限；

如果有，接收用户的访问应用的请求。

与现有技术相比，本申请实施例用户在访问具体应用时，根据第一认证源与用户属性之间的第一匹配规则对所述用户直接匹配对应的第一认证源；所以本申请不用像现有技术中，每次用户在访问应用时，都需要单独发送具体认证源，所以减少了管理员的工作量，提高了效率。

第二方面，本申请实施例提供了一种多认证源认证授权装置，包括：

接收模块，用户接收用户访问应用的请求；

匹配模块，用于根据第一认证源与用户属性之间的第一匹配规则对所述用户匹配对应的第一认证源；

所述接收模块，还用于接收所述用户根据匹配的对应第一认证源输入的登录凭证以便对所述用户进行第一次认证；

验证模块，用于验证所述登录凭证，如果第一次认证通过，发送登录令牌至用户；

所述接收模块，还用于接收携带所述登录令牌的访问请求。

与现有技术相比，第二方面提供了技术方案的有益效果与第一方面提供的技术方案的有益效果相同，在此不再赘述。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分，本领域技术人员应该理解的是，这些附图未必是按比例绘制的，在附图中：

图1是本申请实施例提供的一种多认证源认证授权方法的流程示意图；

图2是本申请实施例提供的一种多认证源认证授权方法交互过程的示意图；

图3是本申请实施例提供的一种多认证源认证授权装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

第一方面，如图1和2所示，本申请实施例提供了一种多认证源认证授权方法，包括：

步骤S01，接收用户访问应用的请求；

需要说明的是，首先，用户尝试访问企业内部的一个应用程序，所以应用可以接收到访问请求，此处的用户可以为公司内部的员工，也可以为分公司员工，也可以为公司临时聘请的外聘人员。

步骤S01之前，包括：

配置第一认证源与用户属性之间的第一匹配规则和第二认证源与应用之间的第二匹配规则。

需要说明的是，本申请引入了多个认证源，包括标准协议（如CAS、SAML、OAuth）以及用户可定制的脚本认证源，多源认证的支持使得系统能够适应各种不同的认证需求，在本申请中，认证源为用户访问应用的登录方式。

具体的，需要首先在认证引擎上进行配置认证源，比如配置的认证源可以为：用户密码登录方式，短信验证码登录方式，识别图片认证方式等等。另外还需要配置用户属性对应的认证源的匹配规则，本申请中的用户属性根据用户所在区域，及用户在公司的组织架构进行确认。

所述第一匹配规则，包括：

确定用户访问ip地址是否包含在某个ip段；

这个匹配规则主要是为了区分不同区域的用户，因为每个区域的用户的ip地址不同。

和/或，

确定用户访问浏览器是否携带标识字符；

在有些特殊应用场景，比如有些公司内部规则员工访问一些具体的应用需要用特殊的浏览器，此时用户通过特殊的浏览器访问时，就会携带标识字符，此标识字符是公司内部的信息部门需要提前进行配置。

所述第二匹配规则，包括：

确定所述应用、用户属性或应用类型是否具有对应的第二认证源。

需要说明的是，如图2所示，如应用A未配置指定认证源，应用B具有指定认证源，如果应用指定了认证源，就需要根据指定的认证进行认证，因为有些具体的应用对用户的访问权限有要求，所以有些用户访问一些应用就需要进行第二次认证，第二次认证就需要第二认证源。所以提前需要配置哪些应用需要进行第二次认证及对应的第二认证源。

步骤S02，根据第一认证源与用户属性之间的第一匹配规则对所述用户匹配对应的第一认证源；

需要说明的是，具体包括：所述第一匹配规则多个，且每个所述第一匹配规则具有对应的权重，所述根据第一认证源与用户属性之间的第一匹配规则对所述用户匹配对应的第一认证源，包括；

按照所述第一匹配规则的权重从大到小进行循环遍历所有的第一匹配规则；

确定是否有多个第一匹配规则被命中，如果具有多个第一匹配规则被命中，则选择权重最大的第一匹配规则为与所述用户匹配的第一认证源；

如果只有一个第一匹配规则被命中，则确定所述被命中的第一匹配规则与所述用户匹配的第一认证源；

如果无第一匹配规则被命中，获取默认认证源，则确定默认认证源为与所述用户匹配的第一认证源。

具体的，当用户发起请求时, 会将后台所有开启的第一匹配规则按照权重从大到小进行循环遍历匹配, 比如用户的ip为192.168.20.210，此用户具有两个第一匹配规则都能命中, 但是因为第一匹配规则具有权重排序, 所以会确定第一条命中的第一匹配规则为与所述用户匹配的第一认证源；

如果第一条第一匹配规则未被命中，则会根据第一匹配规则的权重依次循环下一个，直到找到一条命中的第一匹配规则为止。

如果全部第一匹配规则都为被命中，还需要配置一个默认认证源，默认认证源是用户提前进行配置的，所以当全部第一匹配规则都为被命中时，则需要将用户访问应用的认证源跳转到默认认证源进行认证。

本申请通过智能判断机制的实现方式以及它与多源认证方式的结合，可以保障系统的稳定性和可靠性。

步骤S03，接收所述用户根据匹配的对应第一认证源输入的登录凭证以便对所述用户进行第一次认证；

需要说明的时，所述第一次认证的第一认证源通过静态认证方式认证，如用户名和密码认证方式，这种方式认证的安全性相对较低，但是比较方便可以快捷进行认证。

步骤S04，验证所述登录凭证，如果第一次认证通过，发送登录令牌至用户；

需要说明的，当用户进行第一次认证通过后，因为每个用户的访问的具体应用不同，所以有些需要级别更高的认证方式，可以提高用户访问应用的安全性，所以需要进行第二次认证。

所述发送登录令牌至用户之前，包括：

确定所述用户是否需要进行第二次认证；

如果是，确定所述用户第二次认证的第二认证源；

根据所述第二次认证的第二认证源对所述用户进行第二次认证。

需要说明的是，根据用户IP、用户属性和应用类型等，智能判断是否需要进行第二次认证，如果需要的话则返回二次认证的认证源。

通过本申请管理员根据特定需求制定个性化认证策略的创新机制。这使得系统可以适应不同领域和场景的认证需求，提供了更高的适应性和安全性。通过根据用户IP、用户属性和应用类型等多维度数据，实现了智能判断是否需要进行第二次认证，这种智能判断机制可以减少不必要的认证步骤，提升用户体验。

所述确定所述用户是否需要进行第二次认证，包括：

获取所述用户IP、用户属性和应用类型；

根据获取所述获取所述用户IP、用户属性或应用类型确定所述用户是否需要进行第二次认证。

所述确定所述用户第二次认证的第二认证源，包括：

根据所述用户IP、用户属性和应用类型遍历第二匹配规则；

如果第二匹配规则被命中，则根据第二匹配规则对应的第二认证源对所述用户进行第二次认证。

具体的，如果用户IP、用户属性或应用类型均配置了第二认证源，则根据所述用户IP、用户属性或应用类型的权重从大到小确定对应的第二认证源对所述用户进行认证。

步骤S05，接收携带所述登录令牌的访问请求。

具体包括：

解析所述登录令牌获取用户信息和用户访问应用权限；

根据解析后的登录令牌信息判断用户是否具有访问应用的权限；

如果有，接收用户的访问应用的请求。

本申请在于在多元化数字环境中实现了更智能、更精确、更安全的数据访问控制和用户认证授权。本申请允许管理员根据不同的用户、应用和安全等级，设定个性化的认证策略。这使得系统能够更精确地控制数据访问，从而提高数据安全性。具体技术效果如下：

本申请通过多源认证、智能判断和个性化授权策略，可以有效提升数据的安全性。敏感数据和高机密性应用得到更严格的保护，避免了未经授权的访问。

通过智能判断，避免了用户不必要的认证流程，从而优化了用户体验。用户可以更轻松地访问所需的应用，减少了繁琐的认证步骤。

基于多维度的智能判断机制，可以实现精确的数据访问控制。每个用户、每个应用可以根据不同的情境进行个性化的认证和授权，确保了数据的安全性和隐私性。

支持多个认证源和定制化认证策略，使得本方法能够适应不同用户、不同应用和不同安全等级的多样化认证需求

智能判断机制能够快速地对用户认证请求进行判断和决策，减少了认证等待时间，提高了系统的响应速度。

本申请的方案可以应用在以下方面：

企业内部应用系统：在大型企业内部，存在着多种不同级别的应用，包括人力资源应用、财务应用、销售应用等。本申请可以根据不同的用户、不同部门和不同应用，实现精确的数据访问控制，确保敏感数据的安全性。

云服务平台：随着云服务的普及，用户需要在云平台上访问不同的应用。本申请可以通过多源认证和智能判断，实现对用户访问的精确控制，保障云平台的安全性。

移动应用：在移动应用领域，用户可能需要访问不同的功能和数据，而这些数据可能具有不同的安全等级。通过本申请的个性化授权策略，可以确保移动应用的数据安全性。

政府机构和公共服务：政府机构和公共服务领域需要对不同的用户提供不同级别的服务，同时确保数据的隐私和安全。本方法可以根据用户需求和安全要求，实现精确的授权控制。

第二方面，如图3所示，本申请实施例提供了一种多认证源认证授权装置，包括：

接收模块21，用户接收用户访问应用的请求；

匹配模块22，用于根据第一认证源与用户属性之间的第一匹配规则对所述用户匹配对应的第一认证源；

所述接收模块21，还用于接收所述用户根据匹配的对应第一认证源输入的登录凭证以便对所述用户进行第一次认证；

验证模块23，用于验证所述登录凭证，如果第一次认证通过，发送登录令牌至用户；

所述接收模块21，还用于接收携带所述登录令牌的访问请求。

与现有技术相比，第二方面提供了技术方案的有益效果与第一方面提供的技术方案的有益效果相同，在此不再赘述。

最后应说明的是：以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。