CN101252767A - 业务提供系统及业务提供中的鉴权方法 - Google Patents
业务提供系统及业务提供中的鉴权方法 Download PDFInfo
- Publication number
- CN101252767A CN101252767A CN200710077424.8A CN200710077424A CN101252767A CN 101252767 A CN101252767 A CN 101252767A CN 200710077424 A CN200710077424 A CN 200710077424A CN 101252767 A CN101252767 A CN 101252767A
- Authority
- CN
- China
- Prior art keywords
- server
- terminal
- transaction identifier
- request
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及通信领域,公开了一种业务提供中的鉴权方法及业务提供系统,在接收到来自服务器的终端鉴权请求时,对请求中指定的终端进行鉴权,并在鉴权通过后,生成用于标识该终端有权限使用业务的事务标识,并将该事务标识返回给该服务器;在后续的业务使用过程中,只需对终端携带的事务标识进行有效性验证即可,无需重新鉴权。这样既提高了用户体验,又使得在服务器为终端提供业务的过程中的安全性得到保障。
Description
技术领域
本发明涉及通信领域,特别涉及业务提供技术。
背景技术
随着无线数据业务的高速发展,一个业务可能涉及到多个服务器的功能,业务的完整体验过程可能需要终端与多个服务器进行交互来完成。而各服务器之间如何保证用户体验业务过程的安全性和完整性,是在数据业务发展过程中面临的一个挑战。
另外,随着业务种类以及参与方式的多样化,出现了业务推荐和赠送等参与业务的方式,在这种方式下,可能涉及到多个不同终端与多个服务器之间进行交互来完成一个完整的体验过程。如一个终端为另一个终端定购业务后,由另一个终端使用该业务。在这种应用场景下,如何确保多终端与多服务器之间交互的安全性,是产品设计过程中必须重点考虑的方面,尤其是在涉及到业务赠送等实际付费终端与业务使用的终端相分离的场景。
现有技术中,在终端需要与多个服务器进行交互来完成一个业务时,可以采用在多服务器之间共享Session(会话)的方式来实现在多服务器之间的会话的连续性和安全性。具体地说,即是由多个相互信任的服务器进行Session共享,用户只需要进行了一次登陆后即可在所有参与Session共享的服务器之间切换。然而这种技术实现的前提是参与共享的服务器必须在一个域内或者进行域名影射,而且客户端必须支持Cookies。
本发明的发明人发现,参与共享服务器在同一个域内的条件使得该技术的适用范围十分有限;另外,通过域名影射的方式参与共享,存在很多已知的安全隐患,比如:由于域名的映射是无需认证的,可能有不安全的服务器混杂其中,造成安全隐患。并且,该技术对客户端的要求使得在客户端不支持Cookies的Web应用中不可用。
另一种在多服务器之间确保会话安全性的技术为单点登陆(SingleSign-on,简称“SSO”)技术,SSO技术是在共享Session技术上的改进,在Web中有较多的应用。该方案提供一个鉴权登陆服务器,终端(客户端)需要登陆该鉴权登陆服务器进行鉴权,之后登陆相应的Web服务器进行业务体验。在终端登陆Web服务器后,Web服务器到鉴权登陆服务器判断该终端是否登陆,如果登陆则进行相应的业务提供流程,如果未登陆则将该终端重定向到鉴权登陆服务器,由用户进行鉴权登陆。
本发明发明人发现,在SSO中为确保登录凭证的安全性,SSO协议中对登陆凭证的有效性作了很大的限制,如有效次数的限制和有效时间的限制,从而使得该方案需要用户进行多次登陆,在Web应用中会明显降低用户的体验质量,而且,由于鉴权登陆服务器中保存的是进行业务请求的用户相关的信息和登录凭证,因此如果该业务中涉及到多个终端用户,包括请求业务的终端和使用业务的其它终端,则其它终端和服务器之间业务交互流程的安全性无法得到保障。
发明内容
本发明实施方式提供了一种业务提供系统及业务提供中的鉴权方法,使得业务提供过程中的安全性得到保障。
本发明的实施方式提供了一种业务提供中的鉴权方法,包括以下步骤:
接收来自服务器的终端鉴权请求,对请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该服务器;
接收来自服务器的事务标识有效性验证请求,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该服务器返回验证结果。
本发明的实施方式还提供了一种事务控制服务器,包括:
第一接收单元,用于接收来自服务器的终端鉴权请求;
鉴权单元,用于对请求中指定的终端进行鉴权;
标识生成单元,用于在鉴权单元鉴权通过后,生成事务标识;
第一发送单元,用于将生成单元生成的事务标识返回给发送鉴权请求的服务器;
第二接收单元,用于接收来自服务器的事务标识有效性验证请求;
验证单元,用于根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,得到验证结果;
第二发送单元,用于将验证结果发送给请求验证事务标识有效性的服务器。
本发明的实施方式还提供了一种服务器,包括:
鉴权请求单元,用于在收到终端的业务请求,且该终端所请求的业务需要至少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;
标识接收单元,用于在鉴权通过后,从事务控制服务器接收事务标识;
标识发送单元,用于将事务标识发给终端,指示终端重定向到其它服务器,并在重定向请求中包含事务标识,该事务标识用于供其它服务器进行事务标识的有效性验证。
本发明的实施方式还提供了一种服务器,包括:
第一接收单元,用于从终端接收包含事务标识的业务请求;
验证请求单元,用于向分配事务标识的事务控制服务器发送事务标识有效性验证请求,请求对第一接收单元收到的事务标识进行验证;
第二接收单元,用于从事务控制服务器接收验证结果;
业务提供单元,用于在第二接收单元收到的验证结果为事务标识有效时,为终端提供业务。
本发明的实施方式还提供了一种业务提供系统,包括:
事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服务器返回验证结果;
第一服务器,用于在收到终端的业务请求,且该终端所请求的业务需要至少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;在从事务控制服务器收到事务标识时,将事务标识发给终端,指示终端重定向到配合完成业务的第二服务器,并在重定向请求中包含事务标识;
第二服务器,用于从终端接收包含事务标识的重定向请求,并向事务控制服务器发送事务标识有效性验证请求;在从事务控制服务器接收验证结果,且该验证结果为事务标识有效时,为终端提供业务。
本发明的实施方式还提供了一种服务器,包括:
鉴权请求单元,用于在收到第一终端发送的为至少一个其它终端提供业务的请求时,向事务控制服务器发送终端鉴权请求,请求事务控制服务器对其它终端进行鉴权;
标识接收单元,用于在鉴权通过后,从事务控制服务器接收事务标识;
标识发送单元,用于将事务标识发给其它终端,指示其它终端向提供业务的服务器发起携带所述事务标识的业务请求,该事务标识用于供提供业务的服务器进行有效性验证。
本发明的实施方式还提供了一种业务提供系统,包括:
事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对请求的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服务器返回验证结果;
第一服务器,用于在收到第一终端发送的为至少一个其它终端提供业务的请求时,向事务控制服务器发送终端鉴权请求,请求事务控制服务器对其它终端进行鉴权;在从事务控制服务器收到表示鉴权通过的事务标识时,将该事务标识发给其它终端,指示其它终端向第二服务器发起业务请求,并在该业务请求中包含事务标识;
第二服务器,用于从其它终端接收包含事务标识的业务请求,并向事务控制服务器发送事务标识有效性验证请求;在从事务控制服务器接收验证结果,且收到的验证结果为事务标识有效时,为终端提供所请求的业务。
通过先接收来自服务器的终端鉴权请求,对该请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该服务器;再接收来自服务器的事务标识有效性验证请求,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该服务器返回验证结果。从而使得服务器为终端提供业务过程中的安全性能够得到保障,且无需终端多次进行鉴权登陆,改善了用户的业务体验效果。
附图说明
图1是根据本发明第一实施方式的业务提供方法流程图;
图2是根据本发明第二实施方式的业务提供方法流程图;
图3是根据本发明第三实施方式的业务提供方法流程图;
图4是根据本发明第五实施方式的业务提供方法流程图;
图5是根据本发明第六实施方式的业务提供方法流程图;
图6是根据本发明第八实施方式的事务控制服务器结构图;
图7是根据本发明第九实施方式的服务器结构图;
图8是根据本发明第十实施方式的服务器结构图;
图9是根据本发明第十一实施方式的业务提供系统结构图;
图10是根据本发明第十三实施方式的服务器结构图;
图11是根据本发明第十四实施方式的业务提供系统结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。
本发明第一实施方式涉及一种业务提供方法。本实施方式中,由事务控制服务器接收来自服务器A的终端鉴权请求,对请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识(事务ID)并将该事务标识返回给服务器A;由事务控制服务器接收来自服务器B的事务标识有效性验证请求,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该服务器B返回验证结果,服务器B在验证通过后为该终端提供业务。
具体流程如图1所示,在步骤101中,终端向服务器A发起业务请求,终端所请求的业务需要服务器A与服务器B配合完成。
在步骤102中,服务器A收到终端的业务请求后,对终端请求的业务类型进行判别,确定该业务需要服务器A与服务器B配合完成,向事务控制服务器发起用户的登录鉴权请求。
在步骤103中,事务控制服务器对终端进行登陆鉴权,如果鉴权通过,则返回一个标识用户操作的事务ID,表示该用户通过鉴权,有权限使用该业务。
在步骤104中,服务器A根据用户请求业务类型的操作流程,在需要服务器B进行后续业务处理时,将服务器B的地址和事务控制服务器分配的事务ID发送给终端,指示终端重定向到服务器B。
在步骤105中,终端根据服务器A提供的地址,重定向到服务器B,向服务器B发起继续业务流程的服务请求,并在请求中携带该事务ID。
在步骤106中,服务器B向事务控制服务器发送校验请求,请求校验终端的事务ID的有效性。
在步骤107中,事务控制服务器对该事务ID进行校验后,将校验结果发送给服务器B。服务器B在校验结果为事务ID有效时,确定该终端已通过鉴权,该终端的业务请求是有效的,为该终端提供后续服务。
通过上述方式,使得在一个业务需要多个服务器配合完成的情况下,业务提供过程中的安全性能够得到保障,且无需终端多次进行鉴权登陆,改善了用户的业务体验效果。
本发明第二实施方式同样涉及一种业务提供方法,与第一实施方式相类似,本实施方式以实际的业务为例进行说明。在本实施方式中,服务器A为下载服务器,为用户提供下载功能,服务器B为流媒体服务器,为用户提供流媒体的播放功能。对于在线播放流媒体的业务,需要下载服务器和流媒体服务器配合完成。可以由下载服务器在提供媒体类业务的下载的同时,提供用户选择在线观看的入口或提供片花的播放功能,由流媒体服务器为用户提供播放该流媒体业务或片花的功能。该流程如图2所示。
在步骤201中,终端访问下载服务器,在发现媒体类业务时,选择在线播放该媒体类业务的功能,或选择在线播放该媒体类业务的片花的功能(可以根据片花再决定是否下载完整的内容),向下载服务器发送在线播放业务请求。
在步骤202中,下载服务器接收到在线播放业务请求时,根据业务类型确定该业务需要流媒体服务器配合完成。为了确保终端在下载服务器和流媒体服务器之间的会话的完整性和安全性,下载服务器向事务控制服务器发起鉴权请求,申请一个事务ID,在请求中可以包括终端的信息、以及该终端所请求的业务信息。
在步骤203中,事务控制服务器根据下载服务器提供的用户信息对该终端进行鉴权,如果鉴权通过,则根据业务信息为该终端创建一个事务,表示该终端有权限下载和流媒体播放,并将事务ID返回给下载服务器。
在步骤204中,下载服务器在收到来自事务控制服务器的事务ID后,将该事务ID和媒体类内容的播放地址发送给终端,指示终端重定向到流媒体服务器进行在线播放。
在步骤205中,终端根据媒体类内容的播放地址,重定向到流媒体服务器,向流媒体服务器请求在线播放,并在请求中携带该事务ID。
在步骤206中,流媒体服务器在收到终端的在线播放请求后,从该请求中获取事务ID和用户信息,并向事务控制服务器发起事务ID有效性校验请求,在该请求中携带该事务ID和用户信息。
在步骤207中,事务控制服务器会根据流媒体服务器提供的用户信息和事务ID,对该事务ID的有效性进行校验,并向流媒体服务器返回校验结果。流媒体服务器收到来自事物控制服务器的校验结果后,如果该结果是该终端的事务ID有效,则表明该终端的请求有效,在步骤208中,为该终端提供所请求业务的在线播放功能;否则,拒绝为该终端提供所请求业务的在线播放功能。该事务ID在播放结束后失效。
步骤208之后进入步骤209中,流媒体服务器在完成播放操作后,可以选择将媒体内容的播放结果通知事务控制服务器,以便事务控制服务器对事务的状态进行管理。
通过上述方式,使得在一个业务需要多个服务器配合完成的情况下,业务提供过程中的安全性能够得到保障,且无需终端多次进行鉴权登陆,改善了用户的业务体验效果。
本发明第三实施方式同样涉及一种业务提供方法,与第一实施方式大致相同,其区别在于,在第一实施方式中,包括一个独立的事务控制服务器,服务器A通过事务控制服务器对终端进行鉴权,并分配事务ID,服务器B通过事务控制服务器对终端事务ID的有效性进行确认;而在本实施方式中,该事务控制服务器包含在服务器A中,即由收到业务请求的服务器A对终端进行鉴权,并分配事务ID,服务器B通过服务器A对终端事务ID的有效性进行确认。
本发明第四实施方式同样涉及一种业务提供方法,与第三实施方式相类似,本实施方式以实际的业务为例进行说明。在本实施方式中,服务器A为下载服务器,为用户提供下载功能,服务器B为流媒体服务器,为用户提供流媒体的播放功能。通过下载服务器和流媒体服务器的配合,用户可以在流媒体服务器播放完流媒体后,选择将有价值的内容收藏到本地,即由下载服务器配合流媒体服务器为用户提供媒体内容的下载。其流程如图3所示。
在步骤301中,终端通过流媒体服务器播放完一个流媒体业务后,选择对感兴趣的或者比较经典的内容进行本地收藏,向流媒体服务器发送对内容进行下载保存的请求。
在步骤302中,流媒体服务器在接收到用户对内容进行下载保存的请求时,确定需要下载服务器配合完成媒体内容的下载,为了确保终端在下载服务器和流媒体服务器之间的会话完整和安全,流媒体服务器对该终端进行鉴权,如果鉴权通过,则根据业务信息为该终端创建一个事务,分配事务ID,表示该终端有权限进行下载和流媒体播放。
在步骤303中,流媒体服务器将该事务ID、分配该ID的服务器(即流媒体服务器)的地址和媒体类内容的下载地址发送给终端,指示终端重定向到下载服务器进行内容的本地收藏。
在步骤304中,终端根据媒体类内容的下载地址重定向到下载服务器,向下载服务器请求内容的本地收藏,并在请求中携带该事务ID和分配该ID的服务器(即流媒体服务器)的地址。
在步骤305中,下载服务器在收到终端的内容本地收藏请求后,从该请求中获取事务ID和用户信息,并向流媒体服务器发起事务ID有效性校验请求,在该请求中携带该事务ID和用户信息。
在步骤306中,流媒体服务器会根据下载服务器提供的用户信息和事务ID,对该事务ID的有效性进行校验,并向下载服务器返回校验结果。
下载服务器接收事物控制服务器返回的校验结果,如果该结果是该终端的事务ID有效,表明该终端的请求有效,则在步骤307中,该终端提供所请求业务的下载功能;否则,拒绝为该终端提供所请求业务的下载功能。该事务ID在下载结束后失效。
在步骤307后进入步骤308中,下载服务器在完成下载操作后,可以选择将下载结果通知流媒体服务器,以便流媒体服务器对事务的状态进行管理。
通过上述方式,使得在一个业务需要多个服务器配合完成的情况下,业务提供过程中的安全性能够得到保障,且无需终端多次进行鉴权登陆,改善了用户的业务体验效果。
需要说明的是,本发明第三和第四实施方式是以事务控制服务器在服务器A中为例进行具体说明的,在实际应用中,事务控制服务器也可以在服务器B中,同样能够达到提高业务提供的安全性,减少鉴权登陆次数的效果。
本发明第五实施方式涉及一种业务提供方法,本实施方式中,第一服务器(服务器A)收到第一终端发送的为至少一个其它终端提供业务的请求后,向事务控制服务器发送终端鉴权请求;事务控制服务器收到来自第一服务器的终端鉴权请求后,对请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给第一服务器;第一服务器将该事务标识发送给该其它终端;该其它终端携带该事务标识向第二服务器(服务器B)发起该业务的使用请求,第二服务器通过请求事务控制服务器对该事务标识的有效性进行验证,来确定是否该其它终端提供业务。其中,该第一服务器和第二服务器可以是同一个服务器或不同服务器。其流程如图4所示。
在步骤401中,终端A向服务器A发送为终端B提供业务的请求。
在步骤402中,服务器A在收到终端A发送的请求后,向事务控制服务器发起用户的登录鉴权请求,在该请求中包括终端A和终端B的用户信息,以及该业务的信息。
在步骤403中,事务控制服务器根据用户信息对终端A和终端B进行用户登录鉴权,如果鉴权通过,则向服务器A返回一个标识用户操作的事务ID,表示终端B有权限使用该业务。
在步骤404中,服务器A根据终端请求的业务类型的操作流程,通知终端B接入服务器B,接收终端A所请求的业务,同时将事务控制服务器分配的事务ID发送给终端B。该服务器A与服务器B可以是同一个服务器,或者,是不同服务器。
在步骤405中,终端B向业务服务器B发起继续业务流程的服务请求,在该请求中携带该事务ID和用户信息(如终端B的标识)。
在步骤406中,服务器B收到该请求后,向事务控制服务器发起校验请求,请求校验该事务ID有效性。
在步骤407中,事务控制服务器对该事务ID进行校验后,将校验结果发送给服务器B。服务器B在校验结果为事务ID有效时,确定终端B的请求是有效的,为终端B提供后续服务。
可选的,在步骤408中,服务器B在完成对业务的处理后,即为终端B提供完业务后,可以选择将业务处理的结果通知事务处理服务器,以便事务控制服务器对事务进行管理。
在步骤409中,事务控制服务器可以在完整的业务流程完成后,即收到该通知后,向业务发起者终端A或其它业务参与者发送业务的处理结果。
通过上述方式,能够确保接收业务的终端是发起业务的终端所指示的终端,使得业务提供过程中的安全性和完整性得到保障。
本发明第六实施方式同样涉及一种业务提供方法,与第五实施方式相类似,本实施方式以推荐或赠送下载业务为例,进行具体说明。其流程如图5所示。
在步骤501中,终端A在业务展示服务器浏览业务,如果发现的感兴趣的下载业务,则使用服务器提供的赠送(推荐)功能将该下载业务推荐给终端B,向业务展示服务器发送赠送(推荐)请求。
在步骤502中,业务展示服务器在接收到终端A的赠送(推荐)请求后,向事务控制服务器发起用户的登录鉴权请求,在该请求中包括终端A和终端B的用户信息,以及赠送(推荐)的下载业务的信息。
在步骤503中,事务控制服务器根据业务展示服务器提供的用户信息和业务信息,对终端A和终端B进行鉴权,如果鉴权通过,则生成一个事务,表示终端B有权限使用终端A赠送(推荐)的下载业务,并将事务ID返回给业务展示服务器。
在步骤504中,业务展示服务器收到事务控制服务器的事务ID后,将该事务ID和终端A赠送(推荐)的下载业务的访问地址发送给终端B。
在步骤505中,终端B在接收到业务展示服务器发送的业务访问地址后,根据地址向下载服务器发起业务使用请求,在该请求中携带该事务ID,还可以携带一些其它必要信息,如用户信息。
在步骤506中,下载服务器接收到终端B的请求后,从请求中获取事务ID信息,和可能携带的用户信息等,向事务控制服务器发起事务ID有效性校验请求,在请求中携带该事务ID和用户信息。
在步骤507中,事务控制服务器根据下载服务器提供的事务ID和用户信息,对事务的有效性进行校验,并向下载服务器返回校验结果。
在步骤508中,下载服务器在校验结果为事务有效时,为终端B提供终端A赠送(推荐)的下载业务。
在步骤509中,下载服务器在完成对业务处理后,可以选择将业务处理的结果通知事物处理服务器,以便事务控制服务器对事务进行管理。
在步骤510中,事务控制服务器在收到下载服务器的通知后,确定该事务的生命周期终止,此时可以选择将该次业务的处理结果通知给业务流程的发起者终端A或其它参与者。
通过上述方式,能够确保接收业务的终端是发起业务的终端所指示的终端,使得业务提供过程中的安全性和完整性得到保障。
本发明第七实施方式同样涉及一种业务提供方法,与第五实施方式相类似,其区别在于,在第五实施方式中,包括一个独立的事务控制服务器,服务器A通过事务控制服务器对终端A和终端B进行鉴权,并为终端B分配事务ID,服务器B通过事务控制服务器对终端B的事务ID的有效性进行确认;而在本实施方式中,该事务控制服务器可以包含在服务器A中,即由收到业务请求的服务器A对终端A和终端B进行鉴权,并为终端B分配事务ID,服务器B通过服务器A对终端B的事务ID的有效性进行确认。同样,该事务控制服务器可以包含在服务器B中,服务器A和服务器B可以是同一个服务器或不同服务器。
本发明第八实施方式涉及一种事务控制服务器,如图6所示,包括:第一接收单元,用于接收来自服务器的终端鉴权请求;鉴权单元,用于对请求中指定的终端进行鉴权;标识生成单元,用于在鉴权单元鉴权通过后,生成事务标识;第一发送单元,用于将生成单元生成的事务标识返回给发送鉴权请求的服务器;第二接收单元,用于接收来自服务器的事务标识有效性验证请求;验证单元,用于根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,得到验证结果;第二发送单元,用于将验证结果发送给请求验证事务标识有效性的服务器。
本发明第九实施方式涉及一种服务器,如图7所示,包括:鉴权请求单元,用于在收到终端的业务请求,且该终端所请求的业务需要至少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;标识接收单元,用于在鉴权通过后,从事务控制服务器接收事务标识;标识发送单元,用于将事务标识发给终端,指示终端重定向到其它服务器,并在重定向请求中包含事务标识,该事务标识用于供其它服务器进行事务标识的有效性验证。从而使得第一服务器和其它服务器提供业务过程中的安全性得到保障,且无需终端多次进行鉴权登陆,改善了用户的业务体验效果。
本发明第十实施方式涉及一种服务器,如图8所示,包括:第一接收单元,用于从终端接收包含事务标识的业务请求,该业务请求可以是重定向请求或业务使用请求;验证请求单元,用于向分配事务标识的事务控制服务器发送事务标识有效性验证请求,请求对第一接收单元收到的事务标识进行验证;第二接收单元,用于从事务控制服务器接收验证结果;业务提供单元,用于在第二接收单元收到的验证结果为事务标识有效时,为终端提供业务。从而使得服务器提供业务过程中的安全性得到保障,且无需终端多次进行鉴权登陆,改善了用户的业务体验效果。
本发明第十一实施方式涉及一种业务提供系统,如图9所示,包括:
事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服务器返回验证结果。
第一服务器,用于在收到终端的业务请求,且该终端所请求的业务需要至少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;在从事务控制服务器收到事务标识时,将事务标识发给终端,指示终端重定向到配合完成业务的第二服务器,并在重定向请求中包含事务标识。
第二服务器,用于从终端接收包含事务标识的重定向请求,并向事务控制服务器发送事务标识有效性验证请求;在从事务控制服务器接收验证结果,且该验证结果为事务标识有效时,为终端提供业务。
从而使得服务器提供业务过程中的安全性得到保障,且无需终端多次进行鉴权登陆,改善了用户的业务体验效果。
本发明第十二实施方式同样涉及一种业务提供系统,与第十一实施方式相类似,其区别在于,本实施方式中,该事务控制服务器可以包括在第一服务器或第二服务器中。
本发明第十三实施方式涉及一种服务器,如图10所示,包括:鉴权请求单元,用于在收到第一终端发送的为至少一个其它终端提供业务的请求时,向事务控制服务器发送终端鉴权请求,请求事务控制服务器对其它终端进行鉴权;标识接收单元,用于在鉴权通过后,从事务控制服务器接收事务标识;标识发送单元,用于将事务标识发给其它终端,指示其它终端向提供业务的服务器发起业务请求,并携带事务标识,该事务标识用于供提供业务的服务器进行事务标识的有效性验证。
本发明第十四实施方式涉及一种业务提供系统,如图11所示,包括:
事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对请求的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服务器返回验证结果。
第一服务器,用于在收到第一终端发送的为至少一个其它终端提供业务的请求时,向事务控制服务器发送终端鉴权请求,请求事务控制服务器对其它终端进行鉴权;在从事务控制服务器收到表示鉴权通过的事务标识时,将该事务标识发给其它终端,指示其它终端向第二服务器发起业务请求,并在该业务请求中包含事务标识。
第二服务器,用于从其它终端接收包含事务标识的业务请求,并向事务控制服务器发送事务标识有效性验证请求;在从事务控制服务器接收验证结果,且收到的验证结果为事务标识有效时,为终端提供所请求的业务。从而能够确保接收业务的终端是发起业务的终端所指示的终端,使得业务提供过程中的安全性和完整性得到保障。
需要说明的是,该第一服务器和第二服务器可以是同一个服务器装置中的不同功能模块,也可以是不同服务器。
本发明第十五实施方式同样涉及一种业务提供系统,与第十一实施方式相类似,其区别在于,本实施方式中,该事务控制服务器可以包括在第一服务器或第二服务器中。
值得一提的是,本发明第八至第十五实施方式中所提出的单元均是逻辑单元,在实现时可以合成在一个物理模块中,或位于独立的物理模块中。
综上所述,在本发明的实施方式中,通过先接收来自服务器的终端鉴权请求,对请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该服务器;再接收来自服务器的事务标识有效性验证请求,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该服务器返回验证结果。从而使得业务提供过程中的安全性得到保障,且无需终端多次进行鉴权登陆,改善了用户的业务体验效果。
发送鉴权请求的是第一服务器,发送事务标识有效性验证请求的是第二服务器,进行鉴权和事务标识有效性鉴权的是事务控制服务器,通过第三方服务器,使得终端鉴权和事务标识有效性的验证更加安全可靠
在需要其它服务器为该终端提供业务时,第一服务器指示终端重定向到其它服务器,接收其它服务器提供的业务,从而无需用户重新登陆新的服务器,对用户而言,业务体验是连贯的。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (17)
1.一种业务提供中的鉴权方法,其特征在于,包括以下步骤:
接收来自服务器的终端鉴权请求,对所述请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该服务器;
接收来自服务器的事务标识有效性验证请求,根据所述鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该服务器返回验证结果。
2.根据权利要求1所述的业务提供中的鉴权方法,其特征在于,所述接收来自服务器的终端鉴权请求的步骤,和所述将事务标识返回给服务器的步骤中,所述服务器为第一服务器;
所述接收来自服务器的事务标识有效性验证请求的步骤,和所述向服务器返回验证结果的步骤中,所述服务器是第二服务器;
所述第一服务器和第二服务器为不同服务器;
所述接收来自第一服务器的终端鉴权请求的步骤之前,包括以下步骤:
所述第一服务器在收到终端的业务请求,且该终端请求的业务需要第一服务器和第二服务器分别提供时,发送所述终端鉴权请求。
3.根据权利要求2所述的业务提供中的鉴权方法,其特征在于,所述生成事务标识并将该事务标识发送给第一服务器的步骤之后,包括以下步骤:
所述第一服务器将所述事务标识发送给所述终端,并指示所述终端重定向到所述第二服务器,在重定向请求中包含所述事务标识;
所述第二服务器收到所述包含事务标识的重定向请求后,发送对所述事务标识进行有效性验证的请求。
4.根据权利要求1所述的业务提供中的鉴权方法,其特征在于,所述接收来自服务器的终端鉴权请求的步骤,和所述将事务标识返回给服务器的步骤中,所述服务器为第一服务器;
所述接收来自服务器的事务标识有效性验证请求的步骤,和所述向服务器返回验证结果的步骤中,所述服务器是第二服务器;
所述第一服务器和第二服务器为同一服务器或不同服务器;
所述接收来自第一服务器的终端鉴权请求的步骤之前,包括以下步骤:
所述第一服务器在收到第一终端发送的为至少一个其它终端提供业务的请求时,发送所述终端鉴权请求,请求对所述其它终端进行鉴权。
5.根据权利要求4所述的业务提供中的鉴权方法,其特征在于,所述生成事务标识并将该事务标识发送给该第一服务器的步骤之后,包括以下步骤:
所述第一服务器将所述事务标识发送给所述其它终端,指示所述其它终端向所述第二服务器请求使用所述业务,并在该业务请求中包含所述事务标识;
所述第二服务器在收到所述包含事务标识的业务请求后,发送所述事务标识有效性验证请求。
6.根据权利要求3或5所述的业务提供中的鉴权方法,其特征在于,所述向第二服务器返回验证结果的步骤之后,包括以下步骤:
所述第二服务器在收到的验证结果为所述事务标识有效时,为所述请求业务的终端提供业务。
7.根据权利要求3或5所述的业务提供中的鉴权方法,其特征在于,所述事务标识在所述业务结束后失效。
8.一种事务控制服务器,其特征在于,包括:
第一接收单元,用于接收来自服务器的终端鉴权请求;
鉴权单元,用于对所述请求中指定的终端进行鉴权;
标识生成单元,用于在所述鉴权单元鉴权通过后,生成事务标识;
第一发送单元,用于将所述生成单元生成的事务标识返回给所述发送鉴权请求的服务器;
第二接收单元,用于接收来自服务器的事务标识有效性验证请求;
验证单元,用于根据所述鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,得到验证结果;
第二发送单元,用于将所述验证结果发送给所述请求验证事务标识有效性的服务器。
9.一种服务器,其特征在于,包括:
鉴权请求单元,用于在收到终端的业务请求,且该终端所请求的业务需要至少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;
标识接收单元,用于在鉴权通过后,从所述事务控制服务器接收事务标识;
标识发送单元,用于将所述事务标识发给所述终端,指示所述终端重定向到所述其它服务器,并在重定向请求中包含所述事务标识,该事务标识用于供所述其它服务器进行事务标识的有效性验证。
10.一种服务器,其特征在于,包括:
第一接收单元,用于从终端接收包含事务标识的业务请求;
验证请求单元,用于向分配所述事务标识的事务控制服务器发送事务标识有效性验证请求,请求对所述第一接收单元收到的事务标识进行验证;
第二接收单元,用于从所述事务控制服务器接收验证结果;
业务提供单元,用于在所述第二接收单元收到的验证结果为所述事务标识有效时,为所述终端提供业务。
11.根据权利要求10所述的服务器,其特征在于,所述业务请求为重定向请求或业务使用请求。
12.一种业务提供系统,其特征在于,包括:
事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对所述请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据所述鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服务器返回验证结果;
第一服务器,用于在收到终端的业务请求,且该终端所请求的业务需要至少一个其它服务器配合完成时,向所述事务控制服务器发送所述终端鉴权请求;在从所述事务控制服务器收到所述事务标识时,将所述事务标识发给所述终端,指示所述终端重定向到配合完成所述业务的第二服务器,并在重定向请求中包含所述事务标识;
第二服务器,用于从终端接收包含事务标识的重定向请求,并向所述事务控制服务器发送事务标识有效性验证请求;在从所述事务控制服务器接收验证结果,且该验证结果为所述事务标识有效时,为所述终端提供业务。
13.根据权利要求12所述的业务提供系统,其特征在于,所述事务控制服务器可以包括在所述第一服务器或所述第二服务器中。
14.一种服务器,其特征在于,包括:
鉴权请求单元,用于在收到第一终端发送的为至少一个其它终端提供业务的请求时,向事务控制服务器发送终端鉴权请求,请求所述事务控制服务器对所述其它终端进行鉴权;
标识接收单元,用于在鉴权通过后,从所述事务控制服务器接收事务标识;
标识发送单元,用于将所述事务标识发给所述其它终端,指示所述其它终端向提供所述业务的服务器发起携带所述事务标识的业务请求,该事务标识用于供所述提供业务的服务器进行有效性验证。
15.一种业务提供系统,其特征在于,包括:
事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对所述请求的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据所述鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服务器返回验证结果;
第一服务器,用于在收到第一终端发送的为至少一个其它终端提供业务的请求时,向所述事务控制服务器发送终端鉴权请求,请求所述事务控制服务器对所述其它终端进行鉴权;在从所述事务控制服务器收到表示鉴权通过的事务标识时,将该事务标识发给所述其它终端,指示所述其它终端向所述第二服务器发起业务请求,并在该业务请求中包含所述事务标识;
第二服务器,用于从所述其它终端接收包含事务标识的业务请求,并向所述事务控制服务器发送事务标识有效性验证请求;在从所述事务控制服务器接收验证结果,且收到的验证结果为所述事务标识有效时,为所述终端提供所请求的业务。
16.根据权利要求15所述的业务提供系统,其特征在于,所述事务控制服务器可以包括在所述第一服务器或所述第二服务器中。
17.根据权利要求15所述的业务提供系统,其特征在于,所述第一服务器和所述第二服务器为同一个服务器装置中的不同功能模块,或为不同服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710077424.8A CN101252767B (zh) | 2007-11-26 | 2007-11-26 | 业务提供系统及业务提供中的鉴权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710077424.8A CN101252767B (zh) | 2007-11-26 | 2007-11-26 | 业务提供系统及业务提供中的鉴权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101252767A true CN101252767A (zh) | 2008-08-27 |
| CN101252767B CN101252767B (zh) | 2012-12-12 |
Family
ID=39955919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710077424.8A Active CN101252767B (zh) | 2007-11-26 | 2007-11-26 | 业务提供系统及业务提供中的鉴权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101252767B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841616A (zh) * | 2009-03-16 | 2010-09-22 | 佳能株式会社 | 信息处理装置及其控制方法 |
| CN102378043A (zh) * | 2011-09-29 | 2012-03-14 | 深圳市矽伟智科技有限公司 | 内容推送方法、互联网电视播放方法及对应装置、系统 |
| CN102469133A (zh) * | 2010-11-15 | 2012-05-23 | 腾讯科技(深圳)有限公司 | 终端登录方法及系统、服务器数据处理方法及系统 |
| CN101540782B (zh) * | 2009-02-23 | 2012-06-27 | 中国网通集团宽带业务应用国家工程实验室有限公司 | 业务赠送方法和系统及业务管理平台 |
| CN103051647A (zh) * | 2011-10-13 | 2013-04-17 | 阿里巴巴集团控股有限公司 | 一种会话实现的方法、设备及系统 |
| CN103067750A (zh) * | 2011-10-19 | 2013-04-24 | 华为终端有限公司 | 共享信息的方法、iptv服务器和系统 |
| CN106302324A (zh) * | 2015-05-20 | 2017-01-04 | 北京神州泰岳软件股份有限公司 | 域内设备的用户认证方法及装置 |
| CN108965923A (zh) * | 2017-05-17 | 2018-12-07 | 北京博瑞彤芸文化传播股份有限公司 | 一种视音频数据的获取方法 |
-
2007
- 2007-11-26 CN CN200710077424.8A patent/CN101252767B/zh active Active
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101540782B (zh) * | 2009-02-23 | 2012-06-27 | 中国网通集团宽带业务应用国家工程实验室有限公司 | 业务赠送方法和系统及业务管理平台 |
| CN101841616A (zh) * | 2009-03-16 | 2010-09-22 | 佳能株式会社 | 信息处理装置及其控制方法 |
| CN102469133A (zh) * | 2010-11-15 | 2012-05-23 | 腾讯科技(深圳)有限公司 | 终端登录方法及系统、服务器数据处理方法及系统 |
| CN102378043A (zh) * | 2011-09-29 | 2012-03-14 | 深圳市矽伟智科技有限公司 | 内容推送方法、互联网电视播放方法及对应装置、系统 |
| CN103051647A (zh) * | 2011-10-13 | 2013-04-17 | 阿里巴巴集团控股有限公司 | 一种会话实现的方法、设备及系统 |
| CN103051647B (zh) * | 2011-10-13 | 2016-03-30 | 阿里巴巴集团控股有限公司 | 一种会话实现的方法、设备及系统 |
| CN103067750A (zh) * | 2011-10-19 | 2013-04-24 | 华为终端有限公司 | 共享信息的方法、iptv服务器和系统 |
| CN103067750B (zh) * | 2011-10-19 | 2016-10-26 | 华为终端有限公司 | 共享信息的方法、iptv服务器和系统 |
| CN106302324A (zh) * | 2015-05-20 | 2017-01-04 | 北京神州泰岳软件股份有限公司 | 域内设备的用户认证方法及装置 |
| CN108965923A (zh) * | 2017-05-17 | 2018-12-07 | 北京博瑞彤芸文化传播股份有限公司 | 一种视音频数据的获取方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101252767B (zh) | 2012-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101252767B (zh) | 业务提供系统及业务提供中的鉴权方法 | |
| CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
| US9548975B2 (en) | Authentication method, authentication system, and service delivery server | |
| CN104022875B (zh) | 一种双向授权系统、客户端及方法 | |
| CA2563343C (en) | Authentication of untrusted gateway without disclosure of private information | |
| CN104954358A (zh) | 一种授权第三方设备访问服务提供方处的数据的方法和系统 | |
| CN107979514A (zh) | 一种对设备进行绑定的方法和设备 | |
| CN103428179B (zh) | 一种登录多域名网站的方法、系统以及装置 | |
| CN104883367B (zh) | 一种辅助验证登陆的方法、系统和应用客户端 | |
| CN106415572B (zh) | 用于授权连接的设备请求的安全加密处理器 | |
| CN110351228A (zh) | 远程登录方法、装置和系统 | |
| CN102986190A (zh) | 资源访问管理 | |
| CN104378342A (zh) | 多账号验证方法、装置及系统 | |
| CN101171782A (zh) | 对等认证和授权 | |
| CN111803923B (zh) | 基于云手机系统的游戏共享方法、电子设备、存储介质 | |
| CN103237235A (zh) | 一种面向云电视终端身份认证实现方法及系统 | |
| WO2019200966A1 (zh) | 用于分享信息、获取信息的方法和设备 | |
| CN101662496B (zh) | 一种利用点对点技术实现文件共享的系统及方法 | |
| CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
| CN1953452B (zh) | 一种流媒体的动态认证及授权方法 | |
| US20160261647A1 (en) | Method, system and apparatus for inviting users to participate in an interactive session | |
| CN109905731A (zh) | 可防通行证盗用的视频文件下载防盗链方法、系统及介质 | |
| CN107135076A (zh) | 一种无可信第三方的参与式感知激励机制实现方法 | |
| CN106790305B (zh) | 差分服务认证鉴权计费的系统和方法 | |
| CN107426589B (zh) | 一种视频请求、视频播放方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |