CN113204759A

CN113204759A - 一种身份认证方法及装置、电子设备和存储介质

Info

Publication number: CN113204759A
Application number: CN202110593393.1A
Authority: CN
Inventors: 吴军甫; 周明骏; 胡二洋; 梁延鹏; 庄汉阳
Original assignee: Beijing Sensetime Technology Development Co Ltd
Current assignee: Beijing Sensetime Technology Development Co Ltd
Priority date: 2021-05-28
Filing date: 2021-05-28
Publication date: 2021-08-03

Abstract

本公开涉及一种身份认证方法及装置、电子设备和存储介质，所述方法应用于访问控制平台，所述访问控制平台用于对至少一个软件服务进行访问控制，所述方法包括：拦截客户端向目标软件服务发送的访问请求；在所述访问请求中的身份信息未认证的情况下，请求权限管控中心对所述访问请求中的身份信息进行身份认证；接收所述权限管控中心返回的认证结果，在所述认证结果为认证通过的情况下，通知所述目标软件服务对所述访问请求进行响应。

Description

一种身份认证方法及装置、电子设备和存储介质

技术领域

本公开涉及计算机技术领域，尤其涉及一种身份认证方法及装置、电子设备和存储介质。

背景技术

随着互联网、网页技术和云计算技术的发展，以软件即服务(Software as aService，SaaS)的形式为客户提供软件服务成为主流的形式之一，SaaS平台向用户提供多种不同类型的软件服务，用户可以根据自身需求订阅多个软件服务。

对于SaaS平台的用户而言，用户希望能够以统一的账户访问多个软件服务，因此，统一认证和鉴权功能成为SaaS服务的重要组成部分。

在相关技术中，通过权限管控中心(包括认证服务和/或鉴权服务)来实现对访问软件服务的用户进行身份认证。权限管控中心需要与软件服务进行大量的交互，且交互的过程中遵从一定的标准协议，因此需要软件服务进行大幅度的改造才能符合相关标准协议的要求，实现认证和鉴权的功能，导致软件服务的开发效率较低。

发明内容

本公开提出了一种身份认证技术方案。

根据本公开的一方面，提供了一种身份认证方法，应用于访问控制平台，所述访问控制平台用于对至少一个软件服务进行访问控制，所述方法包括：

拦截客户端向目标软件服务发送的访问请求；

在所述访问请求中的身份信息未认证的情况下，请求权限管控中心对所述访问请求中的身份信息进行身份认证；

接收所述权限管控中心返回的认证结果，在所述认证结果为认证通过的情况下，通知所述目标软件服务对所述访问请求进行响应。

在一种可能的实现方式中，所述认证结果包括认证通过后的鉴权结果，所述鉴权结果表征所述身份信息对应所述目标软件服务的权限；

所述通知所述目标软件服务对所述访问请求进行响应，包括：

通知所述目标软件服务对所述访问请求进行与所述鉴权结果对应的响应。

在一种可能的实现方式中，在所述拦截客户端向目标软件服务发送的访问请求后，所述方法还包括：

根据所述访问控制平台中保存的历史访问请求中的第一身份信息和对应的认证结果，确定所述访问请求中的身份信息是否通过认证，所述历史访问请求为在所述访问请求之前拦截的、用于请求访问所述软件服务的请求。

在一种可能的实现方式中，所述方法还包括：

在所述访问请求中的身份信息通过认证、且访问控制平台中不存在所述身份信息对应所述目标软件服务的鉴权结果的情况下，请求所述权限管控中心对所述身份信息对应所述目标软件服务的权限进行鉴权；

接收所述权限管控中心返回的鉴权结果。

在一种可能的实现方式中，所述根据所述访问控制平台中保存的历史访问请求中的第一身份信息和对应的认证结果，确定所述访问请求中的身份信息是否通过认证，包括：

获取所述访问请求中携带的会话标识；

在所述访问控制平台中检索到所述会话标识对应的会话对象的情况下，确定所述访问请求中的身份信息认证通过，

其中，所述会话对象是利用历史访问请求中的第一身份信息和对应的认证结果生成的，所述会话对象的会话标识被发送给所述客户端。

在一种可能的实现方式中，在获取所述访问请求中携带的会话标识后，所述方法还包括：

在所述访问控制平台中检索到所述会话标识对应的会话对象的情况下，根据所述身份信息，在所述会话对象中检索是否存在所述身份信息对应所述目标软件服务的鉴权结果。

在一种可能的实现方式中，在所述接收所述权限管控中心返回的认证结果后，所述方法还包括：

在所述认证结果为认证通过的情况下，将所述身份信息和所述认证结果进行关联保存。

在一种可能的实现方式中，所述将所述身份信息和所述认证结果进行关联保存，包括：

利用所述身份信息和所述身份信息认证通过后的认证结果生成会话对象，并保存生成的会话对象。

在一种可能的实现方式中，所述方法还包括：

拦截所述客户端向所述至少一个软件服务中的任意软件服务发送的登出请求；

删除所述访问控制平台中保存的与所述登出请求中的身份信息对应的认证结果。

在一种可能的实现方式中，所述方法还包括：

接收待进行访问控制的软件服务的注册信息，所述注册信息包括：

所述软件服务的访问地址；所述软件服务的用户的身份信息和对应权限。

在一种可能的实现方式中，所述权限管控中心用于管理多个租户的用户身份信息和用户权限信息。

根据本公开的一方面，提供了一种身份认证装置，应用于访问控制平台，所述访问控制平台用于对至少一个软件服务进行访问控制，所述装置包括：

拦截模块，用于拦截客户端向目标软件服务发送的访问请求；

请求模块，用于在所述访问请求中的身份信息未认证的情况下，请求权限管控中心对所述访问请求中的身份信息进行身份认证；

响应模块，用于接收所述权限管控中心返回的认证结果，在所述认证结果为认证通过的情况下，通知所述目标软件服务对所述访问请求进行响应。

所述响应模块，用于通知所述目标软件服务对所述访问请求进行与所述鉴权结果对应的响应。

在一种可能的实现方式中，所述装置还包括：

确定模块，用于根据所述访问控制平台中保存的历史访问请求中的第一身份信息和对应的认证结果，确定所述访问请求中的身份信息是否通过认证，所述历史访问请求为在所述访问请求之前拦截的、用于请求访问所述软件服务的请求。

在一种可能的实现方式中，所述装置还包括：

鉴权请求模块，用于在所述访问请求中的身份信息通过认证、且访问控制平台中不存在所述身份信息对应所述目标软件服务的鉴权结果的情况下，请求所述权限管控中心对所述身份信息对应所述目标软件服务的权限进行鉴权；

鉴权结果接收模块，用于接收所述权限管控中心返回的鉴权结果。

在一种可能的实现方式中，所述确定模块，包括：

获取所述访问请求中携带的会话标识；

在一种可能的实现方式中，所述装置还包括：

检索模块，用于在所述访问控制平台中检索到所述会话标识对应的会话对象的情况下，根据所述身份信息，在所述会话对象中检索是否存在所述身份信息对应所述目标软件服务的鉴权结果。

在一种可能的实现方式中，所述装置还包括：

保存模块，用于在所述认证结果为认证通过的情况下，将所述身份信息和所述认证结果进行关联保存。

在一种可能的实现方式中，所述保存模块，用于利用所述身份信息和所述身份信息认证通过后的认证结果生成会话对象，并保存生成的会话对象。

在一种可能的实现方式中，所述装置还包括：

拦截模块，用于拦截所述客户端向所述至少一个软件服务中的任意软件服务发送的登出请求；

删除模块，用于删除所述访问控制平台中保存的与所述登出请求中的身份信息对应的认证结果。

在一种可能的实现方式中，所述装置还包括：

注册信息接收模块，用于接收待进行访问控制的软件服务的注册信息，所述注册信息包括：

根据本公开的一方面，提供了一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为调用所述存储器存储的指令，以执行上述方法。

根据本公开的一方面，提供了一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述方法。

在本公开实施例中，通过访问控制平台来对软件服务进行访问控制，访问控制平台通过拦截客户端向目标软件服务发送的访问请求，然后在访问请求中的身份信息未认证的情况下，请求权限管控中心对访问请求中的身份信息进行身份认证，在权限管控中心返回的认证结果为认证通过的情况下，通知目标软件服务对访问请求进行响应。由此，由访问控制平台与权限管控中心进行交互来完成访问请求的身份认证，目标软件服务不必与访问控制平台进行大量的交互，根据访问控制平台的通知即可实现对访问请求的响应，减少了目标软件服务开发过程中对身份认证功能进行开发的工作量，提高了软件服务的开发效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本公开。根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，这些附图示出了符合本公开的实施例，并与说明书一起用于说明本公开的技术方案。

图1示出根据本公开实施例的一种身份认证系统的结构示意图。

图2示出根据本公开实施例的一种身份认证方法的流程图。

图3示出根据本公开实施例的一种身份认证方法的多端交互示意图。

图4示出根据本公开实施例的一种身份认证装置的框图。

图5示出根据本公开实施例的一种电子设备的框图。

图6示出根据本公开实施例的一种电子设备的框图。

具体实施方式

以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合，例如，包括A、B、C中的至少一种，可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。

另外，为了更好地说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。

SaaS是一种基于互联网提供软件服务的应用模式，租户按需租用，通常一个软件服务可以同时服务多个租户。其中，SaaS提供商为企业搭建信息化所需要的网络基础设施及软件、硬件运作平台，并负责前期的实施、后期的维护等一系列服务，企业无需购买软硬件、建设机房、招聘技术人员等，即可通过互联网使用信息系统。

租户是指按需订购使用SaaS中的软件服务的企业组织或者群组等，用户是指直接使用SaaS中软件服务的用户，且一个租户可以包括多个用户。比如，公司A订购使用SaaS软件服务1，则公司A可以称为SaaS应用1的租户，公司A的员工可以称为使用SaaS应用1的用户。

在本公开实施例中，可以通过权限管控中心管理多个租户的用户身份信息和用户权限信息，租户的管理员可以设置每个租户中用户的身份信息和权限信息，权限管理中心对多个租户的用户身份信息和用户权限信息进行存储。

权限管控中心可以通过权限管控中心(包括认证服务和/或鉴权服务)对请求使用软件服务的用户进行认证和/或鉴权，软件服务接收到访问请求后，会按照权限管控中心定义的标准协议与权限管控中心进行复杂的交互，来实现认证和鉴权，此外，软件服务中还需要实现权限模型，来定义和鉴别不同用户的权限。

请参阅图1，为本公开实施例提供的一种身份认证系统，包括：客户端101，访问控制平台102，权限管控中心103，软件服务104，其中，权限管控中心103包括认证服务1031和鉴权服务1032。

访问控制平台102、权限管控中心103和软件服务104为服务端，可以位于分布式的服务器集群中，客户端101位于终端设备中。

其中，所述客户端101位于终端设备中，向服务端的软件服务104发送访问请求，以请求使用软件服务104中的资源或使用软件服务104中的服务。终端设备可以为用户设备(User Equipment，UE)、移动设备、用户终端、终端、蜂窝电话、无绳电话、个人数字处理(Personal Digital Assistant，PDA)、手持设备、计算设备、车载设备、可穿戴设备等。

访问控制平台102、权限管控中心103和软件服务104为服务端，可以位于分布式的服务器集群中。访问控制平台102用于拦截客户端101向目标软件服务发送的访问请求，在访问请求中的身份信息未认证的情况下，请求权限管控中心103对访问请求中的身份信息进行身份认证；权限管控中心103对身份信息进行身份认证得到认证结果，并将认证结果发送给访问控制平台102；访问控制平台102接收权限管控中心返回的认证结果，在认证结果为认证通过的情况下，通知目标软件服务104对访问请求进行响应，向客户端提供服务。

在本公开实施例中，在租户在SaaS平台中添加软件服务后，租户的管理员可以向访问控制平台提交注册信息，即可通过访问控制平台控制客户端对软件服务的访问。软件服务平台接收待进行访问控制的软件服务的注册信息，所述注册信息包括：所述软件服务的访问地址；所述软件服务的用户的身份信息和对应权限。

软件服务的访问地址，例如可以是网络协议(Internet Protocol，IP)地址或者域名地址，用于供用户访问软件服务。软件服务的用户的身份信息和对应权限用于供鉴权管理中心进行身份认证。

租户在开发软件服务的过程中，在软件服务中实现从访问控制平台接收认证结果和对认证结果的响应逻辑即可，减少了目标软件服务开发过程中对身份认证功能进行开发的工作量，提高了软件服务的开发效率。

以下结合本公开提供的身份认证方法，详细阐述本公开的访问控制平台的工作流程。

本公开实施例中，提供一种身份认证方法，该所述身份认证方法应用于访问控制平台，访问控制平台用于对至少一个软件服务进行访问控制，所述方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。或者，可通过服务器执行所述方法。

为便于描述，本说明书一个或多个实施例中，身份认证方法的执行主体可以是服务器中的访问控制平台，后文以执行主体为访问控制平台为例，对该方法的实施方式进行介绍。可以理解，该方法的执行主体为访问控制平台只是一种示例性的说明，并不应理解为对该方法的限定。

图2示出根据本公开实施例的身份认证方法的流程图，如图2所示，所述身份认证方法包括：

在步骤S21中，拦截客户端向目标软件服务发送的访问请求。

目标软件服务是多个软件服务中客户端请求访问的软件服务，在SaaS平台中，往往会存在多个软件服务，为便于描述，这里将客户端请求访问的软件服务描述为目标软件服务。

在访问请求中，往往会携带请求访问的软件服务的标识信息，该标识可以是软件服务在互联网中的访问地址，例如可以是网络协议(Internet Protocol，IP)地址或者域名地址。

访问控制平台可以对访问请求进行拦截，并解析访问请求，得到访问请求中携带的信息，访问请求中一般会携带请求访问的软件服务的访问地址、用户身份信息等等。

在步骤S22中，在所述访问请求中的身份信息未认证的情况下，请求权限管控中心对所述访问请求中的身份信息进行身份认证。

在拦截访问请求后，可以判断访问请求中的身份信息是否通过认证，在未通过认证的情况下，可以请求权限管控中心对访问请求中的身份信息进行身份认证。访问控制平台可以基于本地保存的身份认证的认证结果，来判断访问请求中的身份信息是否通过认证。

权限管控中心可以包括认证服务，还可以包括鉴权服务。其中，认证服务用于根据认证信息来判断用户是否为合法用户，或者已注册用户；而鉴权服务用于根据用户身份信息判断用户对目标软件服务的使用权限，目标软件服务可能包含多个子模块，对于不同的子模块，均可以定义对应的使用权限。

权限管控中心在对身份信息进行认证的过程中，可能会与客户端进行交互，例如，可能会向客户端下发用于提交认证信息的页面数据，接收客户端提交的认证信息并进行身份认证等等，认证信息例如可以是账户、密码等信息。

鉴权管控中心对身份信息进行认证，得到认证结果，认证结果可以包括：身份信息认证通过，或者身份信息认证不通过。鉴权管控中心在得到认证结果后，可以将认证结果发送给访问控制平台。

在步骤S23中，接收所述权限管控中心返回的认证结果，在所述认证结果为认证通过的情况下，通知所述目标软件服务对所述访问请求进行响应。

访问控制平台接收权限管控中心返回的认证结果，在认证结果为认证通过的情况下通知目标软件服务对所述访问请求进行响应。

在一种可能的实现方式中，认证结果包括认证通过后的鉴权结果，所述鉴权结果表征所述身份信息对应所述目标软件服务的权限；所述通知所述目标软件服务对所述访问请求进行响应，包括：通知所述目标软件服务对所述访问请求进行与所述鉴权结果对应的响应。

认证结果包括身份认证是否通过的结果，还可以包括认证通过后对用户权限的鉴定结果。这里的权限包括下述至少一种：

访问目标软件服务中的内容的访问权限、在目标软件服务中执行操作指令的执行权限。

具体的，操作指令的执行权限，包括下述权限中的至少一种：

删除权限、修改权限、新建权限、拷贝权限、剪切权限、共享权限、发送权限、查看权限。

具体的，操作指令所操作的内容的访问权限，包括下述权限中的至少一种：

此外，目标软件服务中还可能包含多个子模块，那么，对于各子模块，也可以分别设置对应的权限。

访问控制平台在得到鉴权结果后，可以通知目标软件服务对访问请求进行与鉴权结果对应的响应。由此，由访问控制平台与权限管控中心进行交互来完成对访问请求中身份信息的鉴权，目标软件服务不必与访问控制平台进行大量的交互，根据访问控制平台的通知即可进行与鉴权结果对应的响应，减少了目标软件服务开发过程中对身份认证功能进行开发的工作量，提高了软件服务的开发效率。

在一种可能的实现方式中，在所述拦截客户端向目标软件服务发送的访问请求后，所述方法还包括：根据所述访问控制平台中保存的历史访问请求中的第一身份信息和对应的认证结果，确定所述访问请求中的身份信息是否通过认证，所述历史访问请求为在所述访问请求之前拦截的、用于请求访问所述软件服务的请求。

在本公开实施例中，访问控制平台中会保存有在本次(步骤S11)拦截的访问请求之前拦截的访问请求中的身份信息和对应的认证结果，该认证结果可以是通过认证的身份信息和对应的鉴权结果。

这里的历史访问请求，是用于请求对访问控制平台控制的任一软件服务进行访问的请求，也就是说，历史访问请求所请求访问的软件服务，可以与本次拦截的访问请求所请求访问的软件服务相同，也可以不同。例如，历史访问请求用于请求访问软件服务A，本次拦截的访问请求用于请求访问软件服务B。

在访问控制平台中保存了第一身份信息和对应的认证结果的前提下，那么可以根据该认证结果来确定步骤S11中拦截的访问请求中的身份信息是否通过认证。具体地，可以在保存的第一身份信息检索所述身份信息，在检索到的情况下，则可以根据保存的认证结果确定访问请求中的身份信息是否通过认证。

在一种可能的实现方式中，可以在身份信息认证通过的情况下将身份信息进行保存，那么，在第一身份信息中检索到所述身份信息的情况下，即可确定所述身份信息认证通过。

在本公开实施例中，可以根据访问控制平台中保存的历史访问请求中的第一身份信息和对应的认证结果，确定访问请求中的身份信息是否通过认证。由于该历史访问请求为在所述访问请求之前拦截的、用于请求访问软件服务的请求，也就是说，对访问控制平台控制的任一软件服务的访问请求的认证结果，均可以用于对请求访问目标软件服务的非法请求中的身份信息进行认证，因此，实现了对访问控制平台控制的软件服务进行统一的身份认证，简化了用户操作，提高了用户的登陆效率。此外，在根据访问控制平台中保存的认证结果确定访问请求中的身份信息通过认证的情况下，可以无需再请求权限管控中心进行身份认证，提高了统一身份认证的效率。

而在根据访问控制平台中保存的认证结果确定访问请求中的身份信息未通过认证的情况下，可以再请求权限管控中心进行身份认证，得到权限管控中心返回的认证结果。为了便于后续利用该认证结果进行统一身份认证，在一种可能的实现方式中，在所述接收所述权限管控中心返回的认证结果后，所述方法还包括：在所述认证结果为认证通过的情况下，将所述身份信息和所述认证结果进行关联保存。

在进行保存时，可以是对认证通过的结果进行保存，而认证结果又可以包含鉴权结果，那么，在关联保存时，可以对身份信息和目标软件服务的鉴权结果进行关联保存。

在一种可能的实现方式中，所述方法还包括：在所述访问请求中的身份信息通过认证、且访问控制平台中不存在所述身份信息对应所述目标软件服务的鉴权结果的情况下，请求所述权限管控中心对所述身份信息对应所述目标软件服务的权限进行鉴权；接收所述权限管控中心返回的鉴权结果。

认证结果可以包括鉴权结果，而访问控制平台往往会对多个软件服务进行访问控制，而这多个软件服务可能是属于不同的租户的，那么，用户对多个软件服务的权限往往是不同的。而权限管控中心所返回的认证结果，往往是针对访问请求当前所请求访问的软件服务的鉴权结果，也就是说，在访问控制平台中保存的鉴权结果，为历史访问请求中的第一身份信息对历史访问请求所请求访问的软件服务的权限信息。

显然，在根据访问控制平台中保存的历史访问请求中的第一身份信息和对应的认证结果，确定访问请求中的身份信息通过认证的情况下，还可以判断访问控制平台中是否存在所述身份信息对应目标软件服务的鉴权结果。在访问控制平台中不存在所述身份信息对应所述目标软件服务的鉴权结果的情况下，请求权限管控中心对所述身份信息对应软件服务的权限进行鉴权。

权限管控中心能够获取到目标软件服务的管理员预先设置的用户的权限信息，进而根据预先设置的权限信息对访问请求中的身份信息进行鉴权，得到鉴权结果，并将鉴权结果返回给权限管控中心，权限管控中心即可得到鉴权结果。

在本公开实施例中，在访问请求中的身份信息通过认证、且访问控制平台中不存在该身份信息对应目标软件服务的鉴权结果的情况下，进一步请求权限管控中心对该身份信息对应目标软件服务的权限进行鉴权。由此，可以利用历史访问请求中第一身份信息的认证结果，在实现统一认证的前提下，得到准确的鉴权结果。

本公开实施例提供的身份认证方法可以基于会话机制(session)来实现，鉴权管理中心在首次对用户认证通过后，为该用户创建一个会话对象(Session)，并向用户颁发会话标识(Session ID)，客户端通过cookie记录该Session ID，在下次提交访问请求时会携带该Session ID，访问控制平台收到Session ID，如果Session ID在服务器的Session ID存储列表里便认为该用户为合法用户。

那么，在本公开实施例中，访问控制平台中保存的认证结果，即可以是会话对象，该会话对象是利用历史访问请求中的第一身份信息和对应的认证结果生成的。而在拦截到访问请求后，即可获取访问请求中的会话标识来进行身份认证。

具体的，在一种可能的实现方式中，所述根据所述访问控制平台中保存的历史访问请求中的第一身份信息和对应的认证结果，确定所述访问请求中的身份信息是否通过认证，包括：获取所述访问请求中携带的会话标识；在所述访问控制平台中检索到所述会话标识对应的会话对象的情况下，确定所述访问请求中的身份信息认证通过，其中，所述会话对象是利用已拦截过的历史访问请求中的第一身份信息和对应的认证结果生成的，所述会话对象的会话标识被发送给所述客户端。

会话对象的会话标识可以是权限管控中心在身份认证通过后，向客户端发送的。而访问控制中心中会保存身份认证通过后的会话对象。

访问控制平台保存的会话对象可以表示为{Session-UserX-ProductX,Session-UserX-ProductY,Session-UserX-ProductZ,……}，其中，会话对象Session-UserX-ProductX为关联存储的用户UserX对应软件服务ProductX的认证结果，例如，可以包含UserX的身份信息、租户信息和在软件服务ProductX中的权限信息，当然也会包含Session的Session ID；会话对象Session-UserX-ProductY和Session-UserX-ProductZ，则分别表示了UserX在软件服务ProductY和ProductZ中的认证结果。

访问控制平台拦截到访问请求后，会对访问请求进行解析，获取访问请求中携带的Session ID，然后在保存的会话对象的中检索该Session ID，如果检索到，则确定访问请求中的身份信息认证通过，即用户为合法的用户，然后通知目标软件服务对访问请求进行响应。

此外，在目标软件服务需要鉴权的情况下，在查找到Session ID后，还会进一步再检索会话对象中是否存在身份信息对应目标软件服务的鉴权结果。

具体地，在一种可能的实现方式中，在获取所述访问请求中携带的会话标识后，所述方法还包括：在所述访问控制平台中检索到所述会话标识对应的会话对象的情况下，根据所述身份信息，在所述会话对象中检索是否存在所述身份信息对应所述目标软件服务的鉴权结果。

那么，在接收到权限管控中心返回的认证结果后，在一种可能的实现方式中，所述将所述身份信息和所述认证结果进行关联保存，包括：利用所述身份信息和所述身份信息认证通过后的认证结果生成会话对象，并保存生成的会话对象。以便后续利用该会话对象判断访问请求中的身份信息是否通过认证。

在一种可能的实现方式中，所述方法还包括：拦截所述客户端向所述至少一个软件服务中的任意软件服务发送的登出请求；删除所述访问控制平台中保存的与所述登出请求中的身份信息对应的认证结果。

登出请求用于请求从软件服务中登出，注销登录的用户信息，在注销登录的用户信息后，将客户端页面重定向至登出成功的页面。

在本公开实施例中，当接收到客户端向软件访问控制平台所控制的任意软件服务发送的登出请求的情况下，即将访问控制平台中保持的与所述登出请求中的身份信息对应的认证结果删除，这样便实现了从访问控制平台控制的所有软件服务进行统一登出，简化了用户操作，提高了用户的登出效率。

请参阅图3，为本公开实施例提供的认证方法的一种具体实现方式的多端交互图，在该实现方式中，认证方法的具体过程如下：

步骤S301：访问控制平台拦截客户端向业务服务A发送的第一访问请求；

步骤S302：访问控制平台解析第一访问请求，未解析出session id，确认第一访问请求中的身份信息未认证；

步骤S303：请求认证服务对该身份信息进行认证；

步骤S304：认证服务向客户端发送重定向的身份认证页面；

步骤S305：客户端接收用户输入的身份认证信息，将身份认证信息发送给认证服务；

步骤S306：认证服务对身份认证信息进行认证，认证通过后请求鉴权服务对用户权限进行鉴权；

步骤S307：鉴权服务鉴定该身份信息对应软件服务A的访问权限，在鉴权通过后，得到鉴权结果token，并生成该身份信息对应的Session对象；

步骤S308：鉴权服务发送Session和token给访问控制平台；

步骤S309：访问控制平台接收Session并保存；

步骤S310：鉴权服务向客户端发送Session ID；

步骤S311：软件访问控制平台将第一访问请求中的信息和鉴权结果发送给软件服务A；

这里发送的第一访问请求中的信息包含第一访问请求中，所请求访问的资源的标识、客户端标识、用户信息等等。

访问控制平台可以将第一访问请求中的信息和鉴权结果附加在消息的头部(header)，然后将消息透传给目标软件服务，目标软件服务在收到消息后，通过解析消息的header，获取用户信息和鉴权结果，进一步执行对应的业务响应。

步骤S312：软件服务A根据第一访问请求中的信息向客户端返回与鉴权结果对应的资源；

步骤S313：客户端将session ID放到cookie中，向软件服务B发送包含cookie的第二访问请求；

步骤S314：访问控制平台拦截客户端向业务服务B发送的第二访问请求；

步骤S315：访问控制平台检索本地是否保存有第二访问请求中的session id；

步骤S316：访问控制平台检索到保存有session id，确定认证通过，并进一步检索第二访问请求中的身份信息对应业务服务B的鉴权结果token；

步骤S317：访问控制平台未检索到该身份信息对应业务服务B的鉴权结果token，向鉴权服务发送对该身份信息对应业务服务B的鉴权请求；

步骤S318：鉴权服务接收到鉴权请求，确定该身份信息对应业务服务B的权限信息，得到鉴权结果；

步骤S319：将鉴权结果发送给访问控制平台；

步骤S320：软件访问控制平台将第二访问请求中的信息和鉴权结果发送给软件服务B；

这里发送的第二访问请求中的信息包含第二访问请求中，所请求访问的资源的标识、客户端标识、用户信息等等。

步骤S321：软件服务B根据第二访问请求中的信息向客户端返回与鉴权结果对应的资源。

在本公开实施例中，实现了统一的身份认证，通过将客户端请求访问软件服务A时的身份认证结果以session的形式保存在访问控制平台，当该客户端请求访问软件服务B时，访问控制平台可以直接根据请求中的session id通过认证。并且，客户端访问软件服务A和B时的身份认证是访问控制平台与认证服务和鉴权服务进行交互实现的，软件服务A和B接收访问控制平台的认证结果和访问请求，即可对客户端访问请求进行响应，减少了目标软件服务开发过程中对身份认证功能进行开发的工作量，提高了软件服务的开发效率。

在该实现方式中没有介绍到的具体可参见前文的相关描述，此处不再赘述。

可以理解，本公开提及的上述各个方法实施例，在不违背原理逻辑的情况下，均可以彼此相互结合形成结合后的实施例，限于篇幅，本公开不再赘述。本领域技术人员可以理解，在具体实施方式的上述方法中，各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。

此外，本公开还提供了身份认证装置、电子设备、计算机可读存储介质、程序，上述均可用来实现本公开提供的任一种身份认证方法，相应技术方案和描述和参见方法部分的相应记载，不再赘述。

图4示出根据本公开实施例的身份认证装置的框图，应用于访问控制平台，所述访问控制平台用于对至少一个软件服务进行访问控制，所述装置40包括：

拦截模块41，用于拦截客户端向目标软件服务发送的访问请求；

请求模块42，用于在所述访问请求中的身份信息未认证的情况下，请求权限管控中心对所述访问请求中的身份信息进行身份认证；

响应模块43，用于接收所述权限管控中心返回的认证结果，在所述认证结果为认证通过的情况下，通知所述目标软件服务对所述访问请求进行响应。

所述响应模块43，用于通知所述目标软件服务对所述访问请求进行与所述鉴权结果对应的响应。

在一种可能的实现方式中，所述装置还包括：

在一种可能的实现方式中，所述确定模块，包括：

获取所述访问请求中携带的会话标识；

在一种可能的实现方式中，所述装置还包括：

拦截模块41，用于拦截所述客户端向所述至少一个软件服务中的任意软件服务发送的登出请求；

在一种可能的实现方式中，所述装置还包括：

在一些实施例中，本公开实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法，其具体实现和技术效果可以参照上文方法实施例的描述，为了简洁，这里不再赘述。

本公开实施例还提出一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述方法。计算机可读存储介质可以是非易失性计算机可读存储介质。

本公开实施例还提出一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为调用所述存储器存储的指令，以执行上述方法。

本公开实施例还提供了一种计算机程序产品，包括计算机可读代码，当计算机可读代码在设备上运行时，设备中的处理器执行用于实现如上任一实施例提供的身份认证方法的指令。

本公开实施例还提供了另一种计算机程序产品，用于存储计算机可读指令，指令被执行时使得计算机执行上述任一实施例提供的身份认证方法的操作。

电子设备可以被提供为终端、服务器或其它形态的设备。

图5示出根据本公开实施例的一种电子设备800的框图。例如，电子设备800可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等终端。

参照图5，电子设备800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制电子设备800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在电子设备800的操作。这些数据的示例包括用于在电子设备800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为电子设备800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为电子设备800生成、管理和分配电力相关联的组件。

多媒体组件808包括在所述电子设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当电子设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当电子设备800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为电子设备800提供各个方面的状态评估。例如，传感器组件814可以检测到电子设备800的打开/关闭状态，组件的相对定位，例如所述组件为电子设备800的显示器和小键盘，传感器组件814还可以检测电子设备800或电子设备800一个组件的位置改变，用户与电子设备800接触的存在或不存在，电子设备800方位或加速/减速和电子设备800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如互补金属氧化物半导体(CMOS)或电荷耦合装置(CCD)图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于电子设备800和其他设备之间有线或无线方式的通信。电子设备800可以接入基于通信标准的无线网络，如无线网络(WiFi)，第二代移动通信技术(2G)或第三代移动通信技术(3G)，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，电子设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种非易失性计算机可读存储介质，例如包括计算机程序指令的存储器804，上述计算机程序指令可由电子设备800的处理器820执行以完成上述方法。

图6示出根据本公开实施例的一种电子设备1900的框图。例如，电子设备1900可以被提供为一服务器。参照图6，电子设备1900包括处理组件1922，其进一步包括一个或多个处理器，以及由存储器1932所代表的存储器资源，用于存储可由处理组件1922的执行的指令，例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1922被配置为执行指令，以执行上述方法。

电子设备1900还可以包括一个电源组件1926被配置为执行电子设备1900的电源管理，一个有线或无线网络接口1950被配置为将电子设备1900连接到网络，和一个输入输出(I/O)接口1958。电子设备1900可以操作基于存储在存储器1932的操作系统，例如微软服务器操作系统(Windows Server^TM)，苹果公司推出的基于图形用户界面操作系统(Mac OSX^TM)，多用户多进程的计算机操作系统(Unix^TM),自由和开放原代码的类Unix操作系统(Linux^TM)，开放原代码的类Unix操作系统(FreeBSD^TM)或类似。

在示例性实施例中，还提供了一种非易失性计算机可读存储介质，例如包括计算机程序指令的存储器1932，上述计算机程序指令可由电子设备1900的处理组件1922执行以完成上述方法。

本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是(但不限于)电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

该计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中，所述计算机程序产品具体体现为计算机存储介质，在另一个可选实施例中，计算机程序产品具体体现为软件产品，例如软件开发包(Software Development Kit，SDK)等等。

以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims

1.一种身份认证方法，其特征在于，应用于访问控制平台，所述访问控制平台用于对至少一个软件服务进行访问控制，所述方法包括：

拦截客户端向目标软件服务发送的访问请求；

2.根据权利要求1所述的方法，其特征在于，所述认证结果包括认证通过后的鉴权结果，所述鉴权结果表征所述身份信息对应所述目标软件服务的权限；

3.根据权利要求1所述的方法，其特征在于，在所述拦截客户端向目标软件服务发送的访问请求后，所述方法还包括：

4.根据权利要求3所述方法，其特征在于，所述方法还包括：

接收所述权限管控中心返回的鉴权结果。

5.根据权利要求3或4所述的方法，其特征在于，所述根据所述访问控制平台中保存的历史访问请求中的第一身份信息和对应的认证结果，确定所述访问请求中的身份信息是否通过认证，包括：

获取所述访问请求中携带的会话标识；

6.根据权利要求5所述的方法，其特征在于，在获取所述访问请求中携带的会话标识后，所述方法还包括：

7.根据权利要求1-6任一项所述方法，其特征在于，在所述接收所述权限管控中心返回的认证结果后，所述方法还包括：

8.根据权利要求7所述的方法，其特征在于，所述将所述身份信息和所述认证结果进行关联保存，包括：

9.根据权利要求1-6任一所述方法，其特征在于，所述方法还包括：

10.根据权利要求1-7任一所述方法，其特征在于，所述方法还包括：

11.根据权利要求1-10任一所述方法，其特征在于，所述权限管控中心用于管理多个租户的用户身份信息和用户权限信息。

12.一种身份认证装置，其特征在于，应用于访问控制平台，所述访问控制平台用于对至少一个软件服务进行访问控制，包括：

13.一种电子设备，其特征在于，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为调用所述存储器存储的指令，以执行权利要求1至11中任意一项所述的方法。

14.一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，所述计算机程序指令被处理器执行时实现权利要求1至11中任意一项所述的方法。