CN103312515A - 授权令牌的生成方法、生成装置、认证方法和认证系统 - Google Patents
授权令牌的生成方法、生成装置、认证方法和认证系统 Download PDFInfo
- Publication number
- CN103312515A CN103312515A CN2013102505434A CN201310250543A CN103312515A CN 103312515 A CN103312515 A CN 103312515A CN 2013102505434 A CN2013102505434 A CN 2013102505434A CN 201310250543 A CN201310250543 A CN 201310250543A CN 103312515 A CN103312515 A CN 103312515A
- Authority
- CN
- China
- Prior art keywords
- authorization token
- token
- relevant information
- string
- identify label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提出一种授权令牌的生成方法、生成装置、认证方法和认证系统,其中该授权令牌的生成方法包括以下步骤:将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;根据授权令牌相关信息串生成签名密钥;根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息;以及根据授权令牌相关信息串和签名信息生成授权令牌字符串。根据本发明实施例的方法,生成的授权令牌即生成即用,安全性高,不需存储空间,并能有效降低维护成本,且授权令牌字符串为明文,可扩展性强,用户体验好。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种授权令牌的生成方法、生成装置、认证方法和认证系统。
背景技术
随着开放平台和云计算技术的不断发展,越来越多的互联网服务提供商(如Facebook、谷歌Google、百度、腾讯、淘宝、新浪微博等)提供自己的开放平台,并通过开放平台对外提供Open API(Open Application Programming Interface,开放的应用编程接口),通过Open API可向第三方应用开放服务或数据。
为了保证对外Open API的安全性,防止平台的服务或数据被未授权的第三方应用所使用,以及防止第三方应用使用尚未经过平台或用户授权的服务或数据,大多数互联网服务提供商提供的平台都要求第三方应用必须先通过与平台的授权服务进行交互,以获取平台或用户对某类服务或数据的访问权限的授权,以及与之对应的授权令牌,然后在访问任何OpenAPI时出示该授权令牌,以便Open API的服务端获取当前调用者的应用身份(即是哪个第三方应用想要调用当前的Open API)和可能的用户身份(即当前第三方应用希望访问哪个用户的数据),以及第三方应用是否已经拥有相应的服务或数据访问权限等信息。
其中,授权令牌如何生成、如何认证以及如何保存是Open API安全保障机制中的重要一环。目前,授权令牌的生成和认证方法主要有两种:一种是通过随机算法生成一个全局唯一的标识串作为授权令牌,并将授权令牌与授权令牌相关信息一一对应地存入数据库,每次认证时进行查询验证;另一种是通过对称加密算法对授权令牌相关信息进行加密,并将得到的加密串作为授权令牌,认证时通过解密获得授权令牌相关信息并进行校验。
在实现本发明过程中,发明人发现现有技术至少存在以下问题:由随机算法生成的授权令牌没有加密功能,容易被仿造或篡改;每次认证都至少有一次网络查询的时间开销,易出现安全漏洞,安全性低;且授权令牌本身占用数据库大量的存储空间,不利于管理,维护成本高。由对称加密算法生成的授权令牌由于加密而不具备任何可读性,不利于服务调试、问题定位、统计等工作,且其认证过程必须先进行解密,而加密、解密过程所必须使用的预设算法和密钥都是固定的,容易被泄露,存在极大的安全隐患。
发明内容
本发明旨在至少解决上述技术问题之一。
为此,本发明第一个目的在于提出一种授权令牌的生成方法,该方法生成的授权令牌安全性高,可扩展性强,认证方便,并能有效降低系统的维护成本,用户体验好。
本发明第二个目的在于提出一种授权令牌的生成装置。
本发明第三个目的在于提出一种授权令牌的认证方法。
本发明第四个目的在于提出一种授权令牌的认证系统。
为实现上述目的,根据本发明第一方面的实施例的授权令牌的生成方法包括以下步骤:将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;根据授权令牌相关信息串生成签名密钥;根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息;以及根据授权令牌相关信息串和签名信息生成授权令牌字符串。
根据本发明实施例的授权令牌的生成方法,通过授权令牌相关信息串中的一项或几项数据生成签名密钥,再根据签名密钥和预设签名算法生成授权令牌的签名信息,按照签名信息与授权令牌相关信息串生成授权令牌。使用该方法生成的授权令牌即生成即用,安全性高,不需存储空间,并能有效降低系统的维护成本,且授权令牌字符串为明文,可扩展性强,用户体验好。
为实现上述目的,根据本发明第二方面的实施例的授权令牌的生成装置包括:授权令牌相关信息串生成模块,用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;签名密钥生成模块,用于根据授权令牌相关信息串生成签名密钥;签名信息生成模块,用于根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息;以及授权令牌字符串生成模块,用于根据授权令牌相关信息串和签名信息生成授权令牌字符串。
根据本发明实施例的授权令牌的生成装置,通过以授权令牌相关信息串中的一项或几项数据组成签名密钥,再根据预设签名算法生成授权令牌对应的签名信息,然后按照预设的方式与授权令牌相关信息串拼接在一起,生成授权令牌。使用该方法生成的授权令牌安全性高,不占用系统存储空间,可扩展性强,并能有效降低系统的维护成本,用户体验好。
为实现上述目的,根据本发明第三方面的实施例的授权令牌的认证方法包括以下步骤:第一设备将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;第一设备根据授权令牌相关信息串生成签名密钥;第一设备根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息;第一设备根据授权令牌相关信息串和签名信息生成授权令牌字符串,并将授权令牌字符串发送至第二设备;第二设备解析授权令牌字符串以获取待验证授权令牌相关信息串;第二设备根据待验证授权令牌相关信息串生成待验证签名密钥;第二设备根据待验证签名密钥生成待验证授权令牌相关信息串对应的签名信息;第二设备判断待验证授权令牌相关信息串对应的签名信息与授权令牌字符串中的签名信息是否一致;以及如果一致,则第二设备判断授权令牌字符串通过认证。
根据本发明实施例的授权令牌的认证方法,第一设备根据授权令牌相关信息生成授权令牌字符串,第二设备接受到待验证授权令牌字符串后,分析并获取其中的签名信息和授权令牌相关信息串,再根据授权令牌相关信息串生成新的签名信息,并与待验证授权令牌中的签名信息作对比,从而验证令牌的有效性。该方法无需任何网络查询开销,可以准确鉴别无效令牌,且验证过程可观测,方便设备调试和问题定位,提升了用户体验。
为实现上述目的,根据本发明第四方面的实施例的授权令牌的认证系统包括:第一设备和第二设备,其中,第一设备,用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串,并根据授权令牌相关信息串生成签名密钥,以及根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息,和根据授权令牌相关信息串和签名信息生成授权令牌字符串;第二设备,用于解析授权令牌字符串以获取待验证授权令牌相关信息串,并根据待验证授权令牌相关信息串生成待验证签名密钥,以及根据待验证签名密钥生成待验证授权令牌相关信息串对应的签名信息,并在判断待验证授权令牌相关信息串对应的签名信息与授权令牌字符串中的签名信息一致时,判断授权令牌字符串通过认证。
根据本发明实施例的授权令牌的认证系统,第一设备根据授权令牌相关信息生成授权令牌字符串,第二设备通过分析并获取待验证授权令牌字符串中的签名信息和授权令牌相关信息串,生成新的签名信息,并与待验证授权令牌中的签名信息作对比以验证令牌的有效性,并在需要时根据授权令牌相关信息进一步判断令牌的有效性。使用该系统进行授权令牌认证无需任何网络查询开销,可以准确鉴别无效令牌,且验证过程可观测,方便设备调试和问题定位,提升了用户体验。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1是根据本发明一个实施例的授权令牌的生成方法的流程图;
图2是根据本发明一个又实施例的授权令牌的生成方法的流程图;
图3是根据本发明一个实施例的授权令牌相关信息串的示意图;
图4是根据本发明一个实施例的授权令牌字符串的示意图;
图5是根据本发明一个实施例的授权令牌的生成装置的结构框图;
图6是根据本发明一个实施例的授权令牌的认证方法的流程图;
图7是根据本发明又一个实施例的授权令牌的认证方法的流程图;
图8是根据本发明一个实施例的授权令牌的认证系统的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
下面参考附图描述根据本发明实施例的授权令牌的生成方法、生成装置、认证方法和认证系统。
目前的授权令牌生成方法主要是将通过随机算法生成全局唯一的标识串或通过对称加密算法将授权令牌相关信息加密得到的加密串作为授权令牌,但随机算法生成的授权令牌安全性低,维护成本高;对称加密算法生成的授权令牌可读性差,密钥容易被泄露。为此,本发明提出了一种授权令牌的生成方法,包括以下步骤:将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;根据授权令牌相关信息串生成签名密钥;根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息;以及根据授权令牌相关信息串和签名信息生成授权令牌字符串。
图1为根据本发明一个实施例的授权令牌的生成方法的流程图。
如图1所示,授权令牌的生成方法包括以下步骤:
S101,将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串。
其中,第三方应用的身份标识可以是第三方应用的ID等可唯一标识第三方应用身份的信息,用来识别认证请求的来源。另外,令牌存活时间也可用令牌过期时间替代,令牌生成时间和令牌过期时间差值即为令牌存活时间。
在本发明的一个实施例中,授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间和令牌存活时间之间具有连接符。授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间和令牌存活时间通过预设连接符(例如“.”“\”“·”“-”“|”等)相连,形成一个明文的授权令牌相关信息串。
S102,根据授权令牌相关信息串生成签名密钥。
在本发明的一个实施例中,根据授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间或令牌存活时间生成签名密钥。
具体地,可从授权令牌相关信息串中选择一种或多种信息生成签名密钥。例如,可以由授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间或令牌存活时间等信息中随机选取一项或多项,也可以由生成装置预设选取特定的一项或几项,这样生成的签名密钥不易被破解,也不会因为某一个密钥的泄露而导致系统安全漏洞,稳定性强,安全性高。
S103,根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息。
应当理解,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。
S104,根据授权令牌相关信息串和签名信息生成授权令牌字符串。
在本发明的一个实施例中,授权令牌相关信息串及签名信息通过预设方式连接在一起,以形成授权令牌字符串。具体地,授权令牌相关信息串及签名信息通过预设连接符(例如“.”“\”“·”“-”等)连接在一起,以形成授权令牌字符串。应当理解,该预设连接符与授权令牌相关信息串中的预设连接符可以相同,也可以不同。
其中,授权令牌字符串还包括授权令牌类型信息,以明文形式加在授权令牌字符串的某个固定位置上(一般是在最前面或最后面),便于认证系统采取不同的令牌字符串解析方式或者不同的认证策略,提升授权令牌的可扩展性。
其中,授权令牌字符串中的授权令牌相关信息串、签名信息、类型信息都是明文的。
根据本发明实施例的授权令牌的生成方法,通过授权令牌相关信息串中的一项或几项数据生成签名密钥,再根据签名密钥和预设签名算法生成授权令牌的签名信息,按照签名信息与授权令牌相关信息串生成授权令牌字符串。使用该方法生成的授权令牌即生成即用,安全性高,不需存储空间,并能有效降低维护成本,且授权令牌字符串为明文,可扩展性强,用户体验好。
图2是根据本发明又一个实施例的授权令牌的生成方法的流程图:
为了进一步提升授权令牌的安全性和可扩展性,系统将第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串,进而生成签名密钥、签名信息,然后处理生成含有授权令牌类型信息的授权令牌相关信息串。具体地,如图2所示,授权令牌的生成方法包括以下步骤。
S201,将第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串。
其中,第三方应用的身份标识可以是第三方应用的ID等可唯一标识第三方应用身份的信息,用来识别认证请求的来源。另外,令牌存活时间也可用令牌过期时间替代,令牌生成时间和令牌过期时间差值即为令牌存活时间。授权用户的身份标识可以是用户ID等用来识别授权用户身份的信息。
应当理解的是,在授权令牌相关信息串中,授权用户的身份标识是可选的。例如,对于与用户无关的服务或数据的授权令牌,其对应的授权令牌相关信息中可以没有授权用户身份标识信息。
在本发明的一个实施例中,如图3所示,授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间之间可以通过预设连接符(例如“.”“\”“·”“-”“|”等)相连,形成一个明文的授权令牌相关信息串。授权令牌相关信息串中各项信息之间可以由相同或不同的连接符相连,也可以由其他预设的方式相连。
S202,根据授权令牌相关信息串生成签名密钥。
在本发明的一个实施例中,根据授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间生成签名密钥。
具体地,可以由授权令牌相关信息串中选择一种或多种信息生成签名密钥。例如,可从授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间等信息中随机选取一项或多项,也可以由生成装置预设选取特定的一项或几项,这样生成的签名密钥不易被破解,也不会因为某一个密钥的泄露而导致系统安全漏洞,稳定性强,安全性高。
S203,根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息。
应当理解,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。
S204,根据授权令牌相关信息串和签名信息生成授权令牌字符串。
在本发明的一个实施例中,授权令牌相关信息串及签名信息通过预设方式连接在一起,以形成授权令牌字符串。如图4所示,授权令牌相关信息串及签名信息通过预设连接符(例如“.”“\”“·”“-”等)拼接在一起,以形成授权令牌字符串。该预设连接符与授权令牌相关信息串中的预设连接符可以相同,也可以不同。
其中,授权令牌字符串还包括授权令牌类型信息,以明文形式加在授权令牌字符串的某个固定位置上(一般是在最前面或最后面),便于认证系统采取不同的令牌字符串解析方式或者不同的认证策略,提升授权令牌的可扩展性。
其中,授权令牌字符串中的授权令牌相关信息串、签名信息、类型信息都是明文的。
根据本发明实施例的授权令牌的生成方法,通过授权令牌相关信息串中的一项或几项数据生成签名密钥,再根据签名密钥和预设签名算法生成授权令牌的签名信息,按照签名信息与授权令牌相关信息串生成授权令牌。使用该方法生成的授权令牌即生成即用,安全性高,不需存储空间,并能有效降低维护成本,且授权令牌字符串为明文,可扩展性强,用户体验好。
为了实现上述实施例,本发明还提出一种授权令牌的生成装置。
一种授权令牌的生成装置包括:授权令牌相关信息串生成模块,用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;签名密钥生成模块,用于根据授权令牌相关信息串生成签名密钥;签名信息生成模块,用于根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息;以及授权令牌字符串生成模块,用于根据授权令牌相关信息串和签名信息生成授权令牌字符串。
图5是根据本发明一个实施例的授权令牌的生成装置的结构框图。
如图5所示,授权令牌的生成装置包括:授权令牌相关信息串生成模块100、签名密钥生成模块200、签名信息生成模块300和授权令牌字符串生成模块400。
具体地,授权令牌相关信息串生成模块100用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串。其中,第三方应用的身份标识可以是第三方应用的ID等可唯一标识第三方应用身份的信息,用来识别认证请求的来源。另外,令牌存活时间也可用令牌过期时间替代,令牌生成时间和令牌过期时间差值即为令牌存活时间。在本发明的一个实施例中,授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间和令牌存活时间之间具有连接符。
另外,授权令牌相关信息串生成模块100还可以将授权用户的身份标识(例如用户ID等)加入到授权令牌相关信息串中,用以识别授权用户身份。应当理解的是,在授权令牌相关信息串中,授权用户的身份标识是可选的。例如,对于与用户无关的服务或数据的授权令牌,其对应的授权令牌相关信息中可以没有授权用户身份标识信息。
在本发明的一个实施例中,如图3所示,授权令牌相关信息串生成模块100将第三方应用的身份标识、授权用户的身份标识(可选)、令牌生成时间和令牌存活时间之间通过预设连接符(例如“.”“\”“·”“-”“|”等)相连,形成一个明文的授权令牌相关信息串。授权令牌相关信息串中各项信息之间可以由相同或不同的连接符相连,也可以由其他预设的方式相连。
签名密钥生成模块200用于根据授权令牌相关信息串生成签名密钥。更具体地,签名密钥生成模块200根据授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间或令牌存活时间中的一项或多项生成签名密钥。
在本发明的一个实施例中,签名密钥生成模块200可以由授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识(可选)、令牌生成时间或令牌存活时间等信息中随机选取一项或多项,也可以由该授权令牌的生成装置预设选取特定的一项或几项,如此生成的签名密钥不易被破解,也不会因为某一个密钥的泄露而导致系统安全漏洞,稳定性强,安全性高。
签名信息生成模块300用于根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息。应当理解,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。
授权令牌字符串生成模块400用于根据授权令牌相关信息串和签名信息生成授权令牌字符串。更具体地,授权令牌字符串生成模块400通过预设方式将授权令牌相关信息串与签名信息连接在一起,生成授权令牌字符串。在本发明的一个实施例中,如图4所示,授权令牌字符串生成模块400将授权令牌相关信息串及签名信息通过预设连接符(例如“.”“\”“·”“-”等)拼接在一起,以形成授权令牌字符串。该预设连接符与授权令牌相关信息串中的预设连接符可以相同,也可以不同。
更具体地,授权令牌字符串生成模块400还可以将授权令牌类型信息以明文形式增加在授权令牌字符串的某个固定位置上(一般是在最前面或最后面),便于认证系统采取不同的令牌字符串解析方式或者不同的认证策略,提升授权令牌的可扩展性。
根据本发明实施例的授权令牌的生成装置,通过签名密钥生成模块根据授权令牌相关信息串中的一项或几项数据生成签名密钥,签名信息生成模块根据签名密钥和预设签名算法生成授权令牌的签名信息,然后授权令牌字符串生成模块根据签名信息与授权令牌相关信息串生成授权令牌字符串。使用该方法生成的授权令牌即生成即用,安全性高,不需存储空间,并能有效降低维护成本,且授权令牌字符串为明文,可扩展性强,用户体验好。
为了实现上述实施例,本发明还提出一种授权令牌的认证方法。
一种授权令牌的认证方法,包括以下步骤:第一设备将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;第一设备根据授权令牌相关信息串生成签名密钥;第一设备根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息;第一设备根据授权令牌相关信息串和签名信息生成授权令牌字符串,并将授权令牌字符串发送至第二设备;第二设备解析授权令牌字符串以获取待验证授权令牌相关信息串;第二设备根据待验证授权令牌相关信息串生成待验证签名密钥;第二设备根据待验证签名密钥生成待验证授权令牌相关信息串对应的签名信息;第二设备判断待验证授权令牌相关信息串对应的签名信息与授权令牌字符串中的签名信息是否一致;以及如果一致,则第二设备判断授权令牌字符串通过认证。
图6为根据本发明一个实施例的授权令牌的认证方法的流程图。
如图6所示,授权令牌的生成方法包括以下步骤:
S301,第一设备将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串。
其中,第三方应用的身份标识可以是第三方应用的ID等可唯一标识第三方应用身份的信息,用来识别认证请求的来源。另外,令牌存活时间也可用令牌过期时间替代,令牌生成时间和令牌过期时间差值即为令牌存活时间。
在本发明的一个实施例中,授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间和令牌存活时间之间具有连接符。授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间和令牌存活时间通过预设连接符(例如“.”“\”“·”“-”“|”等)相连,形成一个明文的授权令牌相关信息串。
S302,第一设备根据授权令牌相关信息串生成签名密钥。
在本发明的一个实施例中,根据授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间或令牌存活时间生成签名密钥。
具体地,可从授权令牌相关信息串中选择一种或多种信息生成签名密钥。例如,可以由授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间或令牌存活时间等信息中随机选取一项或多项,也可以由第一设备预设选取特定的一项或几项,这样生成的签名密钥不易被破解,也不会因为某一个密钥的泄露而导致系统安全漏洞,稳定性强,安全性高。
S303,第一设备根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息。
应当理解,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。
S304,第一设备根据授权令牌相关信息串和签名信息生成授权令牌字符串,并将授权令牌字符串发送至第二设备。
在本发明的一个实施例中,第一设备将授权令牌相关信息串与签名信息通过预设方式连接在一起,以形成授权令牌字符串,并将授权令牌字符串发送至第二设备。
在本发明的一个实施例中,授权令牌相关信息串及签名信息通过预设方式连接在一起,以形成授权令牌字符串。具体地,授权令牌相关信息串及签名信息通过预设连接符(例如“.”“\”“·”“-”等)连接在一起,以形成授权令牌字符串。应当理解,该预设连接符与授权令牌相关信息串中的预设连接符可以相同,也可以不同。
其中,授权令牌字符串还包括授权令牌类型信息,以明文形式加在授权令牌字符串的某个固定位置上(一般是在最前面或最后面),便于认证系统采取不同的令牌字符串解析方式或者不同的认证策略,提升授权令牌的可扩展性。
其中,授权令牌字符串中的授权令牌相关信息串、签名信息、类型信息都是明文的。
S305,第二设备解析授权令牌字符串以获取待验证授权令牌相关信息串。
具体地,第二设备对接收到的授权令牌字符串进行字符串分割处理,解析出待验证授权令牌相关信息串和授权令牌签名信息。其中,待验证授权令牌相关信息串包含第三方应用的身份标识、令牌生成时间、令牌过期时间(或令牌存活时长)等待验证授权令牌相关信息。
S306,第二设备根据待验证授权令牌相关信息串生成待验证签名密钥。
在本发明的一个实施例中,根据待授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间或令牌存活时间生成待验证签名密钥。
具体地,可从待验证授权令牌相关信息串中选择一种或多种信息生成待验证签名密钥。例如,可以由待验证授权令牌相关信息串中的第三方应用的身份标识、令牌生成时间或令牌存活时间等信息中随机选取一项或多项,也可以由第二设备预设选取特定的一项或几项。
S307,第二设备根据待验证签名密钥生成待验证授权令牌相关信息串对应的签名信息。
具体地,第二设备根据待验证签名密钥及预设的签名算法重新计算待验证授权令牌相关信息串对应的签名信息。
其中,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。
S308,第二设备判断待验证授权令牌相关信息串对应的签名信息与授权令牌字符串中的签名信息是否一致。
如果不一致,则说明该授权令牌是伪造的或经过篡改的,直接当作无效处理即可。
S309,如果一致,则第二设备判断授权令牌字符串通过认证。
根据本发明实施例的授权令牌的认证方法,第一设备根据授权令牌相关信息生成授权令牌字符串,第二设备接收到待验证授权令牌字符串后,分析并获取其中的签名信息和授权令牌相关信息串,再根据授权令牌相关信息串生成新的签名信息,并与待验证授权令牌中的签名信息作对比,从而验证令牌的有效性。该方法无需任何网络查询开销,可以准确鉴别无效令牌,且验证过程可观测,方便设备调试和问题定位,提升了用户体验。
图7为根据本发明又一个实施例的授权令牌的认证方法的流程图。
为了更准确地判断令牌的有效性,第二设备通过对第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间进行验证,进一步判断令牌的有效性,并且当授权令牌泄漏后,通过令牌作废指令更新用户最后一次授权时间,以更新授权令牌。
如图7所示,授权令牌的认证方法包括以下步骤:
S401,第一设备将第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串。
其中,第三方应用的身份标识可以是第三方应用的ID等可唯一标识第三方应用身份的信息,用来识别认证请求的来源。另外,令牌存活时间也可用令牌过期时间替代,令牌生成时间和令牌过期时间差值即为令牌存活时间。授权用户的身份标识可以是用户ID等用来识别授权用户身份的信息。
应当理解的是,在授权令牌相关信息串中,授权用户的身份标识是可选的。例如,对于与用户无关的服务或数据的授权令牌,其对应的授权令牌相关信息中可以没有授权用户身份标识信息。
在本发明的一个实施例中,如图3所示,授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间之间可以通过预设连接符(例如“.”“\”“·”“-”“|”等)相连,形成一个明文的授权令牌相关信息串。授权令牌相关信息串中各项信息之间可以由相同或不同的连接符相连,也可以由其他预设的方式相连。
S402,第一设备根据授权令牌相关信息串生成签名密钥。
在本发明的一个实施例中,根据授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间生成签名密钥。
具体地,可以由授权令牌相关信息串中选择一种或多种信息生成签名密钥。例如,可从授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间等信息中随机选取一项或多项,也可以由第一设备预设选取特定的一项或几项。
S403,第一设备根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息。
其中,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。
S404,第一设备根据授权令牌相关信息串和签名信息生成授权令牌字符串,并将授权令牌字符串发送至第二设备。
具体地,在本发明的一个实施例中,授权令牌相关信息串及签名信息通过预设方式连接在一起,以形成授权令牌字符串。如图4所示,授权令牌相关信息串及签名信息通过预设连接符(例如“.”“\”“·”“-”等)拼接在一起,以形成授权令牌字符串。该预设连接符与授权令牌相关信息串中的预设连接符可以相同,也可以不同。
其中,授权令牌字符串还包括授权令牌类型信息,以明文形式加在授权令牌字符串的某个固定位置上(一般是在最前面或最后面),便于认证系统采取不同的令牌字符串解析方式或者不同的认证策略,提升授权令牌的可扩展性。
其中,授权令牌字符串中的授权令牌相关信息串、签名信息、类型信息都是明文的。
S405,第二设备解析授权令牌字符串以获取待验证授权令牌相关信息串。
具体地,第二设备对接收到的授权令牌字符串进行字符串分割处理,解析出待验证授权令牌相关信息串和授权令牌签名信息。其中,待验证授权令牌相关信息串包含第三方应用的身份标识、授权用户的身份标识、令牌生成时间、令牌过期时间(或令牌存活时长)等授权令牌相关信息。
S406,第二设备根据待验证授权令牌相关信息串生成待验证签名密钥。
在本发明的一个实施例中,根据待授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间生成待验证签名密钥。
具体地,可从待验证授权令牌相关信息串中选择一种或多种信息生成待验证签名密钥。例如,可以由待验证授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间等信息中随机选取一项或多项,也可以由第二设备预设选取特定的一项或几项。
S407,第二设备根据待验证签名密钥生成待验证授权令牌相关信息串对应的签名信息。
具体地,第二设备根据待验证签名密钥及预设的签名算法重新计算待验证授权令牌相关信息串对应的签名信息。
其中,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。
S408,第二设备判断待验证授权令牌相关信息串对应的签名信息与授权令牌字符串中的签名信息是否一致。
如果不一致,则说明该授权令牌是伪造的或经过篡改的,直接当作无效处理即可。
S409,如果一致,则第二设备判断授权令牌字符串通过认证。
S410,第二设备根据待验证授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间进行令牌有效性检测。
具体地,第二设备根据对待验证授权令牌字符串进行识别及分割处理所得到的授权令牌相关信息进一步判断令牌的有效性,具体包括以下步骤(图中未示出):
S4101,判断当前系统时间是否大于令牌过期时间(也可根据令牌生成时间和令牌存活时长计算得到的令牌过期时间),如果大于令牌过期时间,则第二设备判断令牌无效,如果未大于令牌过期时间,则继续执行S4102。
S4102,根据第三方应用的身份标识、授权用户的身份标识从用户授权信息库中获取用户为第三方应用所授予的权限列表及最后一次授权时间,若获取不到上述信息,则说明所述用户尚未给所述应用授权,则认为该授权令牌无效,否则继续S4103;其中,用户授权信息库中包括第三方应用所授予的权限列表及最后一次授权时间。
S4103,判断所述最后一次授权时间是否晚于令牌生成时间,若是,则认为该令牌已被作废,视为无效,否则认为令牌有效。
应当理解,若待验证授权令牌相关信息串中的所有信息都符合授权令牌的有效标准,则验证成功,接受该第三方应用的调用请求;若其中任何一项不符合授权令牌的有效标准,则验证失败,拒绝该第三方应用的调用请求。
S411,第二设备接收第三方应用的令牌作废指令。
具体地,在本发明的一个实施例中,当授权令牌泄漏后,第三方应用可以通过将任何一个有效的授权令牌作为令牌作废指令发送至第二设备,来作废用户对于该第三方应用的所有授权令牌。
S412,第二设备根据令牌作废指令更新用户最后一次授权时间。
具体地,在本发明的一个实施例中,第二设备在接收第三方应用的令牌作废指令后,根据令牌作废指令更新用户最后一次授权时间,从而识别被盗取的、伪造的或篡改的无效令牌。在第三方应用下一次发出调用请求时,使用新的授权令牌相关信息生成授权令牌进行验证,以达到更新授权令牌的目的。
应当理解,在本发明的一个实施例中,S411和S412是可选的。
根据本发明实施例的授权令牌的认证方法,第一设备根据授权令牌相关信息生成授权令牌字符串,第二设备通过分析并获取待验证授权令牌字符串中的签名信息和授权令牌相关信息串,生成新的签名信息,并与待验证授权令牌中的签名信息作对比以验证令牌的有效性,并在需要时根据授权令牌相关信息进一步判断令牌的有效性。该方法无需任何网络查询开销,可以准确鉴别无效令牌,且验证过程可观测,方便设备调试和问题定位,提升了用户体验。
为了实现上述实施例,本发明还提出一种授权令牌的认证系统。
一种授权令牌的认证系统,包括:第一设备和第二设备,其中,第一设备,用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串,并根据授权令牌相关信息串生成签名密钥,以及根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息,和根据授权令牌相关信息串和签名信息生成授权令牌字符串;第二设备,用于解析授权令牌字符串以获取待验证授权令牌相关信息串,并根据待验证授权令牌相关信息串生成待验证签名密钥,以及根据待验证签名密钥生成待验证授权令牌相关信息串对应的签名信息,并在判断待验证授权令牌相关信息串对应的签名信息与授权令牌字符串中的签名信息一致时,判断授权令牌字符串通过认证。
图8是根据本发明另一个实施例的授权令牌的认证系统的结构框图。
如图8所示,授权令牌的认证系统包括:第一设备600和第二设备700。
具体地,第一设备600用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串,并根据授权令牌相关信息串生成签名密钥,以及根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息,和根据授权令牌相关信息串和签名信息生成授权令牌字符串。
其中,第三方应用的身份标识可以是第三方应用的ID等可唯一标识第三方应用身份的信息,用来识别认证请求的来源。另外,令牌存活时间也可用令牌过期时间替代,令牌生成时间和令牌过期时间差值即为令牌存活时间。
其中,授权令牌相关信息串中还可以包括授权用户的身份标识,例如用户ID等用来识别授权用户身份的信息。应当理解的是,在授权令牌相关信息串中,授权用户的身份标识是可选的。例如,对于与用户无关的服务或数据的授权令牌,其对应的授权令牌相关信息中可以没有授权用户身份标识信息。
在本发明的一个实施例中,如图3所示,授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间之间可以通过预设连接符(例如“.”“\”“·”“-”“|”等)相连,形成一个明文的授权令牌相关信息串。授权令牌相关信息串中各项信息之间可以由相同或不同的连接符相连,也可以由其他预设的方式相连。
更具体地,第一设备600根据授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间生成签名密钥。在本发明的一个实施例中,第一设备600可以从授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间等信息中随机选取一项或多项,也可以预设选取特定的一项或几项。
更具体地,第一设备600根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息,其中,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。在本发明的一个实施例中,如图4所示,第一设备600将授权令牌相关信息串及签名信息通过预设连接符(例如“.”“\”“·”“-”等)拼接在一起,以形成授权令牌字符串。该预设连接符与授权令牌相关信息串中的预设连接符可以相同,也可以不同。
其中,授权令牌字符串还包括授权令牌类型信息,以明文形式加在授权令牌字符串的某个固定位置上(一般是在最前面或最后面),便于认证系统采取不同的令牌字符串解析方式或者不同的认证策略,提升授权令牌的可扩展性。其中,授权令牌字符串中的授权令牌相关信息串、签名信息、类型信息都是明文的。
第二设备700用于解析授权令牌字符串以获取待验证授权令牌相关信息串,并根据待验证授权令牌相关信息串生成待验证签名密钥,以及根据待验证签名密钥生成待验证授权令牌相关信息串对应的签名信息,并在判断待验证授权令牌相关信息串对应的签名信息与授权令牌字符串中的签名信息一致时,判断授权令牌字符串通过认证。
更具体地,第二设备700对接收到的授权令牌字符串进行字符串分割处理,解析出待验证授权令牌相关信息串和授权令牌签名信息。其中,待验证授权令牌相关信息串包含第三方应用的身份标识、授权用户的身份标识、令牌生成时间、令牌过期时间(或令牌存活时长)等授权令牌相关信息。
更具体地,第二设备700根据待验证授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间中的一项或多项数据生成一个签名密钥。其中,第二设备700可以随机选取一项或多项授权令牌相关信息,也可以预设选取特定的一项或几项。
第二设备700根据待验证签名密钥及预设的签名算法重新计算待验证授权令牌相关信息串对应的签名信息。其中,预设签名算法可以是现有的签名算法,例如标记算法、验证算法等,也可以是未来出现的任何签名算法,本发明实施例不对此进行限定。
然后第二设备700判断待验证授权令牌相关信息串对应的签名信息与授权令牌字符串中的签名信息是否一致。如果不一致,则说明该授权令牌是伪造的或经过篡改的,直接当作无效处理即可。如果一致,则第二设备判断授权令牌字符串通过认证。
第二设备700还用于在判断授权令牌字符串通过认证之后,根据待验证授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间进行令牌有效性检测。更具体地,第二设备700根据对待验证授权令牌字符串进行识别及分割处理所得到的授权令牌相关信息进一步判断令牌的有效性:
1)判断当前系统时间是否大于令牌过期时间(也可根据令牌生成时间和令牌存活时长计算得到的令牌过期时间),如果大于令牌过期时间,则第二设备判断令牌无效,如果未大于令牌过期时间,则继续执行2)。
2)根据第三方应用的身份标识、授权用户的身份标识从用户授权信息库中获取用户为第三方应用所授予的权限列表及最后一次授权时间,若获取不到上述信息,则说明所述用户尚未给所述应用授权,则认为该授权令牌无效,否则继续3);其中,用户授权信息库中包括第三方应用所授予的权限列表及最后一次授权时间。
3)判断所述最后一次授权时间是否晚于令牌生成时间,若是,则认为该令牌已被作废,视为无效,否则认为令牌有效。
第二设备700还用于在判断授权令牌字符串通过认证之后,接收第三方应用的令牌作废指令,并根据令牌作废指令更新用户最后一次授权时间。更具体地,在本发明的一个实施例中,当授权令牌泄漏后,第三方应用可以通过将任何一个有效的授权令牌作为令牌作废指令发送至第二设备700,来作废用户对于该第三方应用的所有授权令牌。在本发明的一个实施例中,第二设备700在接收第三方应用的令牌作废指令后,根据令牌作废指令更新用户最后一次授权时间,从而识别被盗取的、伪造的或篡改的无效令牌。在第三方应用下一次发出调用请求时,使用新的授权令牌相关信息生成授权令牌进行验证,以达到更新授权令牌的目的。
根据本发明实施例的授权令牌的认证系统,第一设备根据授权令牌相关信息生成授权令牌字符串,第二设备通过分析并获取待验证授权令牌字符串中的签名信息和授权令牌相关信息串,生成新的签名信息,并与待验证授权令牌中的签名信息作对比以验证令牌的有效性,并在需要时根据授权令牌相关信息进一步判断令牌的有效性。使用该系统进行授权令牌认证无需任何网络查询开销,可以准确鉴别无效令牌,且验证过程可观测,方便设备调试和问题定位,提升了用户体验。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
Claims (24)
1.一种授权令牌的生成方法,其特征在于,包括以下步骤:
将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;
根据所述授权令牌相关信息串生成签名密钥;
根据所述签名密钥和预设签名算法生成所述授权令牌相关信息串对应的签名信息;以及
根据所述授权令牌相关信息串和所述签名信息生成授权令牌字符串。
2.如权利要求1所述的方法,其特征在于,所述授权令牌相关信息串还包括授权用户的身份标识。
3.如权利要求2所述的方法,其特征在于,所述根据所述授权令牌相关信息串生成签名密钥进一步包括:
根据所述授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间生成签名密钥。
4.如权利要求2或3所述的方法,其特征在于,所述授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间之间具有连接符。
5.如权利要求1-4任一项所述的方法,其特征在于,所述授权令牌字符串还包括授权令牌类型信息。
6.一种授权令牌的生成装置,其特征在于,包括:
授权令牌相关信息串生成模块,用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;
签名密钥生成模块,用于根据所述授权令牌相关信息串生成签名密钥;
签名信息生成模块,用于根据所述签名密钥和预设签名算法生成所述授权令牌相关信息串对应的签名信息;以及
授权令牌字符串生成模块,用于根据所述授权令牌相关信息串和所述签名信息生成授权令牌字符串。
7.如权利要求6所述的装置,其特征在于,所述授权令牌相关信息串还包括授权用户的身份标识。
8.如权利要求7所述的装置,其特征在于,所述签名密钥生成模块根据所述授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间生成签名密钥。
9.如权利要求7所述的装置,其特征在于,所述授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间之间具有连接符。
10.如权利要求6所述的装置,其特征在于,所述授权令牌字符串还包括授权令牌类型信息。
11.一种授权令牌的认证方法,其特征在于,包括以下步骤:
第一设备将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串;
所述第一设备根据所述授权令牌相关信息串生成签名密钥;
所述第一设备根据所述签名密钥和预设签名算法生成所述授权令牌相关信息串对应的签名信息;
所述第一设备根据所述授权令牌相关信息串和所述签名信息生成授权令牌字符串,并将所述授权令牌字符串发送至第二设备;
所述第二设备解析所述授权令牌字符串以获取待验证授权令牌相关信息串;
所述第二设备根据所述待验证授权令牌相关信息串生成所述待验证签名密钥;
所述第二设备根据所述待验证签名密钥生成所述待验证授权令牌相关信息串对应的签名信息;
所述第二设备判断所述待验证授权令牌相关信息串对应的签名信息与所述授权令牌字符串中的签名信息是否一致;以及
如果一致,则所述第二设备判断所述授权令牌字符串通过认证。
12.如权利要求11所述的方法,其特征在于,所述授权令牌相关信息串还包括授权用户的身份标识。
13.如权利要求12所述的方法,其特征在于,所述第一设备根据所述授权令牌相关信息串生成签名密钥进一步包括:
所述第一设备根据所述授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间生成签名密钥。
14.如权利要求12或13所述的方法,其特征在于,所述授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间之间具有连接符。
15.如权利要求11所述的方法,其特征在于,所述授权令牌字符串还包括授权令牌类型信息。
16.如权利要求12所述的方法,其特征在于,在所述第二设备判断所述授权令牌字符串通过认证之后,还包括:
所述第二设备根据所述待验证授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间进行令牌有效性检测。
17.如权利要求12所述的方法,其特征在于,在所述第二设备判断所述授权令牌字符串通过认证之后,还包括:
所述第二设备接收第三方应用的令牌作废指令;
所述第二设备根据所述令牌作废指令更新用户最后一次授权时间。
18.一种授权令牌的认证系统,其特征在于,包括第一设备和第二设备,其中,
所述第一设备,用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串,并根据所述授权令牌相关信息串生成签名密钥,以及根据所述签名密钥和预设签名算法生成所述授权令牌相关信息串对应的签名信息,和根据所述授权令牌相关信息串和所述签名信息生成授权令牌字符串;
所述第二设备,用于解析所述授权令牌字符串以获取待验证授权令牌相关信息串,并根据所述待验证授权令牌相关信息串生成所述待验证签名密钥,以及根据所述待验证签名密钥生成所述待验证授权令牌相关信息串对应的签名信息,并在判断所述待验证授权令牌相关信息串对应的签名信息与所述授权令牌字符串中的签名信息一致时,判断所述授权令牌字符串通过认证。
19.如权利要求18所述的系统,其特征在于,所述授权令牌相关信息串还包括授权用户的身份标识。
20.如权利要求19所述的系统,其特征在于,所述第一设备根据所述授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间生成签名密钥。
21.如权利要求18或19所述的系统,其特征在于,所述授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间和令牌存活时间之间具有连接符。
22.如权利要求18所述的系统,其特征在于,所述授权令牌字符串还包括授权令牌类型信息。
23.如权利要求19所述的系统,其特征在于,所述第二设备,还有用在判断所述授权令牌字符串通过认证之后,根据所述待验证授权令牌相关信息串中的第三方应用的身份标识、授权用户的身份标识、令牌生成时间或令牌存活时间进行令牌有效性检测。
24.如权利要求18所述的系统,其特征在于,所述第二设备,还有用在判断所述授权令牌字符串通过认证之后,接收第三方应用的令牌作废指令,并根据所述令牌作废指令更新用户最后一次授权时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310250543.4A CN103312515B (zh) | 2013-06-21 | 2013-06-21 | 授权令牌的生成方法、生成装置、认证方法和认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310250543.4A CN103312515B (zh) | 2013-06-21 | 2013-06-21 | 授权令牌的生成方法、生成装置、认证方法和认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103312515A true CN103312515A (zh) | 2013-09-18 |
| CN103312515B CN103312515B (zh) | 2016-04-20 |
Family
ID=49137322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310250543.4A Active CN103312515B (zh) | 2013-06-21 | 2013-06-21 | 授权令牌的生成方法、生成装置、认证方法和认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103312515B (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104066203A (zh) * | 2014-06-20 | 2014-09-24 | 可牛网络技术(北京)有限公司 | 生成移动设备标识符的方法、系统以及远程控制移动设备的方法及通信终端 |
| CN104158802A (zh) * | 2014-07-28 | 2014-11-19 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和系统 |
| CN105491058A (zh) * | 2015-12-29 | 2016-04-13 | Tcl集团股份有限公司 | 一种api访问分布式授权方法及其系统 |
| CN105991293A (zh) * | 2016-07-26 | 2016-10-05 | 努比亚技术有限公司 | 一种校验方法与装置 |
| CN106101103A (zh) * | 2016-06-14 | 2016-11-09 | 乐视控股(北京)有限公司 | 用户账户登录方法、装置及系统 |
| CN106716343A (zh) * | 2014-09-25 | 2017-05-24 | 电子湾有限公司 | 通过增强认证的交易验证 |
| CN108243158A (zh) * | 2016-12-26 | 2018-07-03 | 中移(苏州)软件技术有限公司 | 一种安全认证的方法和装置 |
| CN108989283A (zh) * | 2018-05-31 | 2018-12-11 | 努比亚技术有限公司 | 一种数据请求、控制方法、服务器、客户终端及存储介质 |
| CN110198214A (zh) * | 2019-06-02 | 2019-09-03 | 四川虹微技术有限公司 | 身份标识生成方法、验证方法及装置 |
| CN110247905A (zh) * | 2019-06-05 | 2019-09-17 | 黄疆 | 基于Token的安全鉴权方式的数据存储备份方法和系统 |
| CN110691087A (zh) * | 2019-09-29 | 2020-01-14 | 北京搜狐新媒体信息技术有限公司 | 一种访问控制方法、装置、服务器及存储介质 |
| CN110704855A (zh) * | 2019-10-08 | 2020-01-17 | 深圳市云桥科技服务有限公司 | 请求标识生成方法、请求标识验证方法和计算机设备 |
| CN110708167A (zh) * | 2019-10-14 | 2020-01-17 | 杭州云萃流图网络科技有限公司 | 一种公钥和私钥的生成方法、装置、设备以及介质 |
| CN112016082A (zh) * | 2020-10-26 | 2020-12-01 | 成都掌控者网络科技有限公司 | 一种权限清单安全控制方法 |
| CN112567682A (zh) * | 2018-08-13 | 2021-03-26 | 维萨国际服务协会 | 用于生成密码以进行令牌交互的令牌密钥 |
| CN112865981A (zh) * | 2021-02-02 | 2021-05-28 | 中国工商银行股份有限公司 | 一种令牌获取、验证方法及装置 |
| WO2021137769A1 (en) * | 2019-12-31 | 2021-07-08 | Envision Digital International Pte. Ltd. | Method and apparatus for sending and verifying request, and device thereof |
| CN114785553A (zh) * | 2022-03-25 | 2022-07-22 | 中国建设银行股份有限公司 | 权限认证方法、装置、计算机设备和存储介质 |
| WO2023092563A1 (zh) * | 2021-11-29 | 2023-06-01 | 华为技术有限公司 | 远程控制的方法和装置 |
| CN112567682B (zh) * | 2018-08-13 | 2024-05-28 | 维萨国际服务协会 | 用于生成密码以进行令牌交互的令牌密钥 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413464A (zh) * | 2011-11-24 | 2012-04-11 | 杭州东信北邮信息技术有限公司 | 基于gba的电信能力开放平台密钥协商系统和方法 |
| CN102651743A (zh) * | 2012-05-02 | 2012-08-29 | 飞天诚信科技股份有限公司 | 一种令牌种子的生成方法 |
| CN102724647A (zh) * | 2012-06-06 | 2012-10-10 | 电子科技大学 | 一种能力访问授权方法及系统 |
| CN102761419A (zh) * | 2012-07-24 | 2012-10-31 | 天地融科技股份有限公司 | 电子签名工具及使用该装置的认证系统、方法 |
| US8347109B2 (en) * | 2008-02-28 | 2013-01-01 | Red Hat, Inc. | Secure serial number generation |
-
2013
- 2013-06-21 CN CN201310250543.4A patent/CN103312515B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8347109B2 (en) * | 2008-02-28 | 2013-01-01 | Red Hat, Inc. | Secure serial number generation |
| CN102413464A (zh) * | 2011-11-24 | 2012-04-11 | 杭州东信北邮信息技术有限公司 | 基于gba的电信能力开放平台密钥协商系统和方法 |
| CN102651743A (zh) * | 2012-05-02 | 2012-08-29 | 飞天诚信科技股份有限公司 | 一种令牌种子的生成方法 |
| CN102724647A (zh) * | 2012-06-06 | 2012-10-10 | 电子科技大学 | 一种能力访问授权方法及系统 |
| CN102761419A (zh) * | 2012-07-24 | 2012-10-31 | 天地融科技股份有限公司 | 电子签名工具及使用该装置的认证系统、方法 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104066203A (zh) * | 2014-06-20 | 2014-09-24 | 可牛网络技术(北京)有限公司 | 生成移动设备标识符的方法、系统以及远程控制移动设备的方法及通信终端 |
| CN104158802B (zh) * | 2014-07-28 | 2017-06-06 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和系统 |
| CN104158802A (zh) * | 2014-07-28 | 2014-11-19 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和系统 |
| CN106716343A (zh) * | 2014-09-25 | 2017-05-24 | 电子湾有限公司 | 通过增强认证的交易验证 |
| CN105491058A (zh) * | 2015-12-29 | 2016-04-13 | Tcl集团股份有限公司 | 一种api访问分布式授权方法及其系统 |
| CN105491058B (zh) * | 2015-12-29 | 2020-01-14 | Tcl集团股份有限公司 | 一种api访问分布式授权方法及其系统 |
| CN106101103A (zh) * | 2016-06-14 | 2016-11-09 | 乐视控股(北京)有限公司 | 用户账户登录方法、装置及系统 |
| CN105991293B (zh) * | 2016-07-26 | 2019-10-08 | 努比亚技术有限公司 | 一种校验方法与装置 |
| CN105991293A (zh) * | 2016-07-26 | 2016-10-05 | 努比亚技术有限公司 | 一种校验方法与装置 |
| CN108243158A (zh) * | 2016-12-26 | 2018-07-03 | 中移(苏州)软件技术有限公司 | 一种安全认证的方法和装置 |
| CN108989283A (zh) * | 2018-05-31 | 2018-12-11 | 努比亚技术有限公司 | 一种数据请求、控制方法、服务器、客户终端及存储介质 |
| CN112567682A (zh) * | 2018-08-13 | 2021-03-26 | 维萨国际服务协会 | 用于生成密码以进行令牌交互的令牌密钥 |
| CN112567682B (zh) * | 2018-08-13 | 2024-05-28 | 维萨国际服务协会 | 用于生成密码以进行令牌交互的令牌密钥 |
| CN110198214A (zh) * | 2019-06-02 | 2019-09-03 | 四川虹微技术有限公司 | 身份标识生成方法、验证方法及装置 |
| CN110198214B (zh) * | 2019-06-02 | 2022-02-22 | 四川虹微技术有限公司 | 身份标识生成方法、验证方法及装置 |
| CN110247905A (zh) * | 2019-06-05 | 2019-09-17 | 黄疆 | 基于Token的安全鉴权方式的数据存储备份方法和系统 |
| CN110691087A (zh) * | 2019-09-29 | 2020-01-14 | 北京搜狐新媒体信息技术有限公司 | 一种访问控制方法、装置、服务器及存储介质 |
| CN110691087B (zh) * | 2019-09-29 | 2022-03-01 | 北京搜狐新媒体信息技术有限公司 | 一种访问控制方法、装置、服务器及存储介质 |
| CN110704855B (zh) * | 2019-10-08 | 2021-07-23 | 深圳市云桥科技服务有限公司 | 请求标识生成方法、请求标识验证方法和计算机设备 |
| CN110704855A (zh) * | 2019-10-08 | 2020-01-17 | 深圳市云桥科技服务有限公司 | 请求标识生成方法、请求标识验证方法和计算机设备 |
| CN110708167A (zh) * | 2019-10-14 | 2020-01-17 | 杭州云萃流图网络科技有限公司 | 一种公钥和私钥的生成方法、装置、设备以及介质 |
| WO2021137769A1 (en) * | 2019-12-31 | 2021-07-08 | Envision Digital International Pte. Ltd. | Method and apparatus for sending and verifying request, and device thereof |
| CN112016082A (zh) * | 2020-10-26 | 2020-12-01 | 成都掌控者网络科技有限公司 | 一种权限清单安全控制方法 |
| CN112865981A (zh) * | 2021-02-02 | 2021-05-28 | 中国工商银行股份有限公司 | 一种令牌获取、验证方法及装置 |
| WO2023092563A1 (zh) * | 2021-11-29 | 2023-06-01 | 华为技术有限公司 | 远程控制的方法和装置 |
| CN114785553A (zh) * | 2022-03-25 | 2022-07-22 | 中国建设银行股份有限公司 | 权限认证方法、装置、计算机设备和存储介质 |
| CN114785553B (zh) * | 2022-03-25 | 2024-04-30 | 中国建设银行股份有限公司 | 权限认证方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103312515B (zh) | 2016-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103312515B (zh) | 授权令牌的生成方法、生成装置、认证方法和认证系统 | |
| CN108684041B (zh) | 登录认证的系统和方法 | |
| US11882442B2 (en) | Handset identifier verification | |
| US11349675B2 (en) | Tamper-resistant and scalable mutual authentication for machine-to-machine devices | |
| CN1985466B (zh) | 使用分发cd按签署组向设备传递直接证据私钥的方法 | |
| CN110519309B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
| TWI813894B (zh) | 資料的加解密方法、裝置、系統及存儲介質 | |
| CN103078742B (zh) | 数字证书的生成方法和系统 | |
| CN107733636B (zh) | 认证方法以及认证系统 | |
| CN103812871A (zh) | 一种基于移动终端应用程序安全应用的开发方法及系统 | |
| CN104639506B (zh) | 对应用程序安装进行管控的方法、系统与终端 | |
| CN109690543B (zh) | 安全认证方法、集成电路及系统 | |
| CN108650261B (zh) | 基于远程加密交互的移动终端系统软件烧录方法 | |
| US20210091950A1 (en) | Secure self-identification of a device | |
| CN113572791B (zh) | 一种视频物联网大数据加密服务方法、系统及装置 | |
| CN104992082A (zh) | 软件授权方法、装置及电子设备 | |
| CN111814132B (zh) | 安全认证方法及装置、安全认证芯片、存储介质 | |
| CN114444134A (zh) | 一种数据使用授权方法、系统及装置 | |
| CN112487450A (zh) | 一种文件服务器访问分级方法 | |
| KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
| CN105430649B (zh) | Wifi接入方法及设备 | |
| CN104486322A (zh) | 终端接入认证授权方法及终端接入认证授权系统 | |
| KR20130100032A (ko) | 코드 서명 기법을 이용한 스마트폰 어플리케이션 배포 방법 | |
| CN106971105B (zh) | 一种基于iOS的应用程序遭遇假面攻击的防御方法 | |
| CN107343276B (zh) | 一种终端的sim卡锁数据的保护方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |