(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211111606.3 (22)申请日 2022.09.13 (71)申请人 中国银行股份有限公司 地址 100818 北京市西城区复兴门内大街1 号 (72)发明人 范曾鹏　张嘉清　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 吕俊刚　安然 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种统一身份认证方法和装置 (57)摘要 本发明提供了一种统一身份认证方法和装 置， 涉及网络安全， 包括： 域终端通过浏览器访问 应用系统的应用接口， 应用系统判定域终端需要 进行身份认证， 附带第一身份认证参数， 重定向 到IWA反向代理； IWA反向代理获取域终端的域账 号信息， 结合第一身份认证参数， 确定第二身份 认证参数， 重定向到应用系统， 返回第二身份认 证参数至浏览器； 浏览器通过应用系统访问MIM 应用服务， 获取域账号信息， 登录应用系统； 应用 系统根据域账号信息和第一身份认证参数访问 MIM应用服务， 获取应用系统账号信息； 应用系统 根据应用系统账号信息获取对应目标登录应用 系统的认证身份信息， 将目标登录应用系统的认 证身份信息重定向至浏览器， 登录目标应用系 统。 权利要求书2页 说明书9页 附图5页 CN 115484092 A 2022.12.16 CN 115484092 A 1.一种统一身份认证方法， 其特 征在于， 包括： 域终端通过浏览器访问应用系统的应用接口， 应用系统判定域终端需要进行身份认 证， 附带第一身份认证参数， 重 定向到IWA反向代理； IWA反向代 理根据第一身份认证参数， 获取域终端的域账号信息， 根据第一身份认证参 数和域账号信息， 确定第二身份认证参数， 重定向到应用系统， 返回第二身份认证参数至浏 览器； 浏览器附带第一身份认证信息和第二身份认证信 息， 通过应用系统访问MIM应用服务， 获取域账号信息， 登录应用系统； 应用系统根据域账号信息和第一身份认证参数访问MIM应 用服务， 获取应用系统账号信息； 应用系统根据应用系统账号信 息确定应用系统获取认证身份信 息接口， 根据第 一身份 认证参数和域账号信息， 通过应用系统获取认证身份信息接口访问MIM应用服务， 获取对应 目标登录应用系统的认证身份信息； 应用系统将目标登录应用系统的认证身份信息 重定向至浏览器， 登录目标应用系统。 2.如权利要求1所述的方法， 其特征在于， 域终端通过浏览器访问应用系统的应用接 口， 应用系统判定域终端需要进行身份认证， 附带第一身份认证参数， 重定向到IWA反向代 理， 包括： 域终端通过浏览器请求访问应用系统的应用接口； 应用系统根据浏览器的访问请求， 判断域终端是否登录， 若判定域终端未登录， 则需要 域终端进行身份认证， 确定 重定向数据， 返回浏览器； 浏览器根据返回的重定向数据， 附带第一身份认证参数， 通过IWA重定向使用的应用接 口URL， 重 定向到IWA反向代理。 3.如权利要求1所述的方法， 其特征在于， IWA反向代 理根据第 一身份认证参数， 获取域 终端的域账号信息， 包括： IWA反向代理通过已实现的IWA认证， 根据第一身份认证参数， 获取域终端 的域账号信 息。 4.如权利要求1所述的方法， 其特征在于， 浏 览器附带第 一身份认证信 息和第二身份认 证信息， 通过应用系统访问MIM应用服 务， 获取域账号信息， 登录应用系统， 包括： 浏览器附带第一身份认证信息和第二身份认证信息， 访问应用系统的应用接口； 应用系统根据第一身份认证信息和第二身份认证信息， 请求MIM应用服务接口， 通过 MIM应用服 务接口访问MIM应用服 务， 获取域用户对应的域账号信息； 应用系系根据域用户对应的域账号信息， 在应用系统中登录域用户。 5.如权利要求4所述的方法， 其特征在于， 应用系统根据域账号信 息和第一身份认证参 数访问MIM应用服 务， 获取应用系统账号信息， 包括： 应用系统根据域账号信息和第一身份认证参数作为条件， 请求MIM应用服务接口， 通过 MIM应用服 务接口访问MIM应用服 务， 获取已登录域用户对应的应用系统账号信息 。 6.一种统一身份认证装置， 其特 征在于， 包括： 身份认证判断模块， 用于域终端通过浏览器访 问应用系统的应用接口， 应用系统判定 域终端需要 进行身份认证， 附带第一身份认证参数， 重 定向到IWA反向代理； 域账号信 息获取模块， 用于IWA反向代 理根据第 一身份认证参数， 获取域终端的域账号权　利　要　求　书 1/2 页 2 CN 115484092 A 2信息， 根据第一身份认证参数和域账号信息， 确定第二身份认证参数， 重定 向到应用系统， 返回第二身份认证参数至浏览器； 应用系统登录模块， 用于浏览器附带第一身份认证信息和第二身份认证信息， 通过应 用系统访问MIM应用服务， 获取域账号信息， 登录应用系统； 应用系统根据域账号信息和第 一身份认证参数访问MIM应用服 务， 获取应用系统账号信息； 对应目标登录应用系统 的认证身份信 息获取模块， 用于应用系统根据应用系统账号信 息确定应用系统获取认证身份信息接口， 根据第一身份认证参数和域账号信息， 通过应用 系统获取认证身份信息接口访问MIM应用服务， 获取对应目标登录应用系统的认证身份信 息； 目标应用系统登录模块， 用于应用系统将目标登录应用系统 的认证身份信 息重定向至 浏览器， 登录目标应用系统。 7.如权利要求6所述的装置， 其特 征在于， 身份认证判断模块， 具体用于： 域终端通过浏览器请求访问应用系统的应用接口； 应用系统根据浏览器的访问请求， 判断域终端是否登录， 若判定域终端未登录， 则需要 域终端进行身份认证， 确定 重定向数据， 返回浏览器； 浏览器根据返回的重定向数据， 附带第一身份认证参数， 通过IWA重定向使用的应用接 口URL， 重 定向到IWA反向代理。 8.如权利要求6所述的装置， 其特 征在于， 域账号信息获取模块， 具体用于： IWA反向代理通过已实现的IWA认证， 根据第一身份认证参数， 获取域终端 的域账号信 息。 9.如权利要求6所述的装置， 其特 征在于， 浏应用系统登录模块， 具体用于： 浏览器附带第一身份认证信息和第二身份认证信息， 访问应用系统的应用接口； 应用系统根据第一身份认证信息和第二身份认证信息， 请求MIM应用服务接口， 通过 MIM应用服 务接口访问MIM应用服 务， 获取域用户对应的域账号信息； 应用系系根据域用户对应的域账号信息， 在应用系统中登录域用户。 10.如权利要求9所述的装置， 其特 征在于， 应用系统登录模块， 还用于： 应用系统根据域账号信息和第一身份认证参数作为条件， 请求MIM应用服务接口， 通过 MIM应用服 务接口访问MIM应用服 务， 获取已登录域用户对应的应用系统账号信息 。 11.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至5任一所述方 法。 12.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被处 理器执行时实现权利要求1至 5任一所述方法。 13.一种计算机程序产品， 其特征在于， 所述计算机程序产品包括计算机程序， 所述计 算机程序被处 理器执行时实现权利要求1至 5任一所述方法。权　利　要　求　书 2/2 页 3 CN 115484092 A 3