CN103685139B - 认证授权处理方法及装置 - Google Patents
认证授权处理方法及装置 Download PDFInfo
- Publication number
- CN103685139B CN103685139B CN201210315517.0A CN201210315517A CN103685139B CN 103685139 B CN103685139 B CN 103685139B CN 201210315517 A CN201210315517 A CN 201210315517A CN 103685139 B CN103685139 B CN 103685139B
- Authority
- CN
- China
- Prior art keywords
- certificate authority
- party application
- application server
- data
- authority data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/53—Network services using third party service providers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种认证授权处理方法及装置,该方法包括:第三方应用服务器或授权服务器向用户代理传送授权信息,其中,用户代理根据用户信息及上述授权信息生成第一认证授权数据,该第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限;第三方应用服务器接收来自用户代理的第一认证授权数据。通过本发明,解决了现有技术中存在认证授权流程复杂,从而导致认证授权处理效率不高的问题,进而达到了不仅认证授权过程简洁,而且提高认证授权处理效率的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种认证授权处理方法及装置。
背景技术
随着互联网的发展,越来越多的应用依赖于多个网站提供服务,例如,用户可能需要一个提供打印服务的网站去打印他存放在另一个网站的照片;用户可能希望一个社交网站使用自己在另一个网站的通讯录寻找朋友;或者一个第三方应用利用其它多个网站提供的API接口,例如Mashup(混搭)。
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密资源(例如,照片,视频,联系人列表等),而无需将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如,仅仅是某一相册中的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在其他服务提供者上的特定信息,而不必泄露用户的认证凭据,如口令,也不必泄露过多的数据给第三方网站。
OAuth有两个版本,OAuth1.0和OAuth2.0。2010年4月,OAuth1.0协议发表为RFC5849。OAuth2.0(draft-ietf-oauth)是OAuth协议的下一版本,但不向后兼容OAuth1.0。
OAuth1.0涉及三个角色:服务提供方(Service Provider)、用户(即资源主Resource Owner)、第三方应用服务器(即网站客户Client)。其中,服务提供方存储资源主受保护的资源,例如,照片,视频,联系人列表;用户是存放在服务提供方的受保护的资源的拥有者。第三方应用服务器是要访问用户保存在服务提供方的资源的第三方应用,例如,提供照片打印服务的网站。
下面对OAuth1.0进行认证和授权的过程进行说明:
(1)用户访问第三方应用服务器,想操作用户存放在服务提供方的资源;
(2)第三方应用服务器向服务提供方请求一个请求令牌(Request Token);
(3)服务提供方验证第三方应用服务器的身份后,授予一个请求令牌;
(4)第三方应用服务器获得请求令牌后,将用户的浏览器重定向到服务提供方的授权页面请求用户授权;
(5)用户在服务提供方的网页上输入用户名和密码,然后授权该第三方应用服务器访问所请求的资源,授权成功后,服务提供方将用户的浏览器重定向到第三方应用服务器;
(6)第三方应用服务器根据请求令牌从服务提供方那里请求访问令牌(AccessToken);
(7)服务提供方根据请求令牌和授权情况授予第三方应用服务器访问令牌;
(8)第三方应用服务器使用获取的访问令牌访问存放在服务提供方的受保护的资源。
图1是相关技术中OAuth2.0抽象授权流程图,如图1所示,在该OAuth2.0的流程中包含四个角色:用户101(即资源主resource owner)、资源服务器105(resource server)、第三方应用服务器103(client)、授权服务器104(authorization server)。其中,资源服务器105和授权服务器104对应OAuth1.0中的服务提供方,授权服务器104为第三方应用服务器103发放访问令牌等授权凭据,资源服务器105仅验证访问令牌、决定是否允许第三方应用服务器103访问资源。第三方应用服务器103和授权服务器104通过终端设备102和用户102交互。
OAuth2.0的认证和授权流程包括四种模式:授权码流程(Authorization Codeflow)、隐示授权流程(Implicit Grant flow)、口令凭据流程(Password Credentialflow)、客户凭据流程(Client Credential flow)。图2是相关技术中OAuth2.0的认证和授权中授权码流程图,如图2所示,该流程包括如下步骤:
201.第三方应用服务器103把用户101所用的用户代理106重定向到授权服务器104的认证授权入口,重定向包含第三方应用服务器103的标识、回调地址、授权模式类型等信息;
202.授权服务器104通过用户代理106认证用户,用户101决定是否授权给第三方应用服务器103;
203.如果用户101授权了第三方应用服务器103,授权服务器104把用户101的用户代理106重定向到第三方应用服务器103提供的回调地址,重定向包含授权码;
204.第三方应用服务器103把授权码发送给授权服务器104,请求获得访问令牌,请求中还包含回调地址;
205.授权服务器104认证第三方应用服务器103、验证授权码、验证步骤204中的回调地址是否和步骤203的回调地址相同,如果上述认证和验证均成功,授权服务器104发送访问令牌给第三方应用服务器103;
206.第三方应用服务器将接收到的上述访问令牌发送给上述资源服务器;
207.资源服务器根据接收到的上述访问令牌返回资源。
虽然OAuth提供了一种安全的授权方法,但是OAuth获取授权码的过程需要多个消息来回,比较繁琐。在相关技术中也存在对OAuth1.0优化的方案,例如,由资源主用户直接向第三方应用服务器发送授权令牌,但是该方案并不适用于OAuth2.0的架构。
因此,在相关技术中存在认证授权流程复杂,从而导致认证授权处理效率不高的问题。
发明内容
本发明提供了一种认证授权处理方法及装置,以至少解决现有技术中存在认证授权流程复杂,从而导致认证授权处理效率不高的问题。
根据本发明的一个方面,提供了一种认证授权处理方法,包括:第三方应用服务器向用户代理传送授权信息,其中,所述用户代理根据用户信息及所述授权信息生成第一认证授权数据,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据。
优选地,在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,还包括:所述第三方应用服务器向授权服务器发送所述第一认证授权数据;所述第三方应用服务器接收到所述授权服务器根据所述第一认证授权数据返回的资源访问许可数据,所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。
优选地,在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,还包括:所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;所述第三方应用服务器将生成的所述第二认证授权数据发送给授权服务器;所述第三方应用服务器接收到所述授权服务器根据所述第二认证授权数据返回的资源访问许可数据,所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。
优选地,在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,还包括:所述第三方应用服务器将所述第一认证授权数据和/或第二认证授权数据发送给所述其它服务提供者的资源服务器,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;所述第三方应用服务器接收到所述资源服务器根据所述第一认证授权数据和/或第二认证授权数据返回的数据资源。
优选地,所述授权信息包括以下至少之一:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
优选地,所述用户信息包括以下至少之一:口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
根据本发明的另一方面,提供了一种认证授权处理方法,包括:授权服务器向用户代理传送授权信息,其中,所述用户代理将根据用户信息及所述授权信息生成的第一认证授权数据发送给第三方应用服务器,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;所述授权服务器接收到来自所述第三方应用服务器发送的所述第一认证授权数据和/或第二认证授权数据,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;所述授权服务器根据所述第一认证授权数据和/或所述第二认证授权数据向所述第三方应用服务器发送资源访问许可数据。
优选地,所述授权信息包括以下至少之一:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
优选地,所述用户信息包括以下至少之一:口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
根据本发明的再一方面,提供了一种认证授权处理方法,包括:用户代理接收来自授权服务器和/或第三方应用服务器的授权信息;所述用户代理根据用户信息及所述授权信息生成第一认证授权数据,其中,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;所述用户代理将生成的所述第一认证授权数据发送给所述第三方应用服务器。
优选地,所述授权信息包括以下至少之一:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
优选地,所述用户信息包括以下至少之一:口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
根据本发明的又一方面,提供了一种认证授权处理装置,位于第三方应用服务器中,包括:第一传送模块,用于向用户代理传送授权信息,其中,所述用户代理根据用户信息及所述授权信息生成第一认证授权数据,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;第一接收模块,用于接收来自所述用户代理的所述第一认证授权数据。
优选地,还包括:第一发送模块,用于向授权服务器发送所述第一认证授权数据;第二接收模块,用于接收到所述授权服务器根据所述第一认证授权数据返回的资源访问许可数据,所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。
优选地,还包括:第一生成模块,用于根据所述第一认证授权数据生成所述第二认证授权数据;第二发送模块,用于将生成的所述第二认证授权数据发送给授权服务器;第三接收模块,用于接收到所述授权服务器根据所述第二认证授权数据返回的资源访问许可数据,所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。
优选地,还包括:第三发送模块,用于将所述第一认证授权数据和/或第二认证授权数据发送给所述其它服务提供者的资源服务器,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;第四接收模块,用于接收到所述资源服务器根据所述第一认证授权数据和/或第二认证授权数据返回的数据资源。
根据本发明的还一方面,提供了一种认证授权处理装置,位于授权服务器中,包括:第二传送模块,用于向用户代理传送授权信息,其中,所述用户代理将根据用户信息及所述授权信息生成的第一认证授权数据发送给第三方应用服务器,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;第五接收模块,用于接收到来自所述第三方应用服务器发送的所述第一认证授权数据和/或第二认证授权数据,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;第四发送模块,用于根据所述第一认证授权数据和/或第二认证授权数据向所述第三方应用服务器发送资源访问许可数据。
根据本发明的还又一方面,提供了一种认证授权处理装置,位于用户代理中,包括:第六接收模块,用于接收来自授权服务器和/或第三方应用服务器的授权信息;第二生成模块,用于根据用户信息及所述授权信息生成第一认证授权数据,其中,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;第五发送模块,用于将生成的所述第一认证授权数据发送给所述第三方应用服务器。
通过本发明,采用第三方应用服务器或授权服务器向用户代理传送授权信息,其中,所述用户代理根据用户信息及所述授权信息生成第一认证授权数据,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据,解决了现有技术中存在认证授权流程复杂,从而导致认证授权处理效率不高的问题,进而达到了不仅认证授权过程简洁,而且提高认证授权处理效率的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中OAuth2.0抽象授权流程图;
图2是相关技术中OAuth2.0的认证和授权中授权码流程图;
图3是根据本发明实施例的认证授权处理方法的流程图一;
图4是根据本发明实施例认证授权处理方法的流程图二;
图5是根据本发明实施例的认证授权处理方法的流程图三;
图6是根据本发明实施例的认证授权处理装置的结构框图一;
图7是根据本发明实施例的认证授权处理装置的结构框图二;
图8是根据本发明实施例的认证授权处理装置的结构框图三;
图9是根据本发明实施例的认证授权处理装置的结构框图四;
图10是根据本发明实施例的认证授权处理装置的结构框图五;
图11是根据本发明实施例的认证授权处理装置的结构框图六;
图12是根据本发明优选实施例的认证授权方法的示意图一;
图13是根据本发明优选实施例的认证授权方法的示意图二;
图14是根据本发明优选实施例的认证授权装置的结构框图;
图15是根据本发明优选实施例的实现认证授权的用户代理装置的结构框图;
图16是根据本发明优选实施例的实现认证授权的第三方应用服务装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种认证授权处理方法,图3是根据本发明实施例的认证授权处理方法的流程图一,如图3所示,该流程包括如下步骤:
步骤S302,第三方应用服务器向用户代理传送授权信息,其中,用户代理根据用户信息及上述授权信息生成第一认证授权数据,该第一认证授权数据用于授予第三方应用服务器访问存放在除上述第三方应用服务器外的其它服务提供者的数据资源的权限;
步骤S304,第三方应用服务器接收来自用户代理的第一认证授权数据。
通过上述步骤,第三方应用服务器可以直接接收到用于认证授权的第一认证授权数据,相对于相关技术中需要多个消息来回,以及通过繁琐的流程才能实现认证授权,上述步骤较为简洁,交互流程较少,不仅解决了相关技术中认证授权流程复杂的问题,并且,通过生成的方式获取该第一认证授权数据,在一定程度上也提高了认证授权的处理效率。
在第三方应用服务器接收来自用户代理的第一认证授权数据之后,依据该第一认证授权处理的方式可以多种,例如,在第三方应用服务器直接依据该第一认证授权数据来执行认证处理流程,可以采用以下方式:第三方应用服务器向授权服务器发送第一认证授权数据;授权认证服务器对第三方应用服务器发送的该第一认证授权数据进行认证,而后向第三方应用服务器进行反馈,第三方应用服务器接收到授权服务器根据上述第一认证授权数据返回的资源访问许可数据,其中,该资源访问许可数据用于判断第三方应用服务器是否能够访问存放在除第三方应用服务器外的其它服务提供者的数据资源。又例如,该第三方应用服务器还可以间接地使用该第一认证授权数据来执行认证授权处理流程,处理时可以采用以下方式:第三方应用服务器根据第一认证授权数据生成第二认证授权数据;第三方应用服务器将生成的第二认证授权数据发送给授权服务器;授权服务器对接收到的上述第二认证授权数据进行认证,而后向第三方应用服务器进行反馈,第三方应用服务器接收到授权服务器根据第二认证授权数据返回的资源访问许可数据,其中,该资源访问许可数据用于判断第三方应用服务器是否能够访问存放在除第三方应用服务器外的其它服务提供者的数据资源。对于上述直接采用第一认证授权数据还是间接地采用认证授权数据的处理方式,可以根据具体需要灵活选择。
上述直接采用第一认证授权数据还是间接采用认证授权数据的处理方式,均是通过授权服务器来认证授权的,而通过资源服务器也可以实现对第三方应用服务器是否能够访问数据资源进行认证,例如,在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,第三方应用服务器将第一认证授权数据和/或第二认证授权数据发送给上述其它服务提供者的资源服务器,其中,第三方应用服务器根据第一认证授权数据生成第二认证授权数据;上述资源服务器直接根据上述第一认证授权数据和/或第二认证授权数据对第三方应用服务器进行认证,而后向第三方应用服务器进行反馈,第三方应用服务器接收到资源服务器根据第一认证授权数据和/或第二认证授权数据返回的数据资源。采用这样的处理方式,相对于采用授权服务器的认证授权处理流程更为简洁,认证授权处理效率更高。
需要说明的是,上述授权信息可以包括以下至少之一:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。上述用户信息可以包括以下至少之一:口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
在本实施例中还提供了一种认证授权处理方法,图4是根据本发明实施例认证授权处理方法的流程图二,如图4所示,该流程包括如下步骤:
步骤S402,授权服务器向用户代理传送授权信息,其中,用户代理将根据用户信息及授权信息生成的第一认证授权数据发送给第三方应用服务器,该第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限;
步骤S404,授权服务器接收到来自第三方应用服务器发送的第一认证授权数据和/或第二认证授权数据,其中,第三方应用服务器根据第一认证授权数据生成第二认证授权数据;
步骤S406,授权服务器根据第一认证授权数据和/或第二认证授权数据向第三方应用服务器发送资源访问许可数据。
通过上述步骤,授权服务器直接根据用户代理生成的第一认证授权数据对第三方应用服务器进行认证,相对于相关技术中需要进行多次信息交互,上述步骤较为简洁,交互流程较少,不仅解决了相关技术中认证授权流程复杂的问题,并且,通过生成的方式获取该第一认证授权数据,在一定程度上也提高了认证授权的处理效率。
授权服务器接收到上述第一认证授权数据之后,也可以通过不同的认证授权处理方式向第三方应用服务器发送资源访问许可数据:授权服务器接收到来自第三方应用服务器发送的第一认证授权数据和/或第二认证授权数据,其中,第三方应用服务器根据第一认证授权数据生成第二认证授权数据;授权服务器根据第一认证授权数据和/或第二认证授权数据向第三方应用服务器发送资源访问许可数据,上述授权服务器采用第一认证授权数据进行认证的情况下,属于直接的认证授权处理方式,而采用第二认证授权数据进行认证的情况下,属于间接的认证授权处理方式,处理时可以根据具体条件进行灵活选择。
需要说明的是,上述授权信息也可以包括以下至少之一:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。上述用户信息也可以包括以下至少之一:口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
在本实施例中还提供了一种认证授权处理方法,图5是根据本发明实施例的认证授权处理方法的流程图三,如图5所示,该流程包括如下步骤:
步骤S502,用户代理接收来自授权服务器和/或第三方应用服务器的授权信息;
步骤S504,用户代理根据用户信息及授权信息生成第一认证授权数据,其中,该第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限;
步骤S506,用户代理将生成的上述第一认证授权数据发送给第三方应用服务器。
通过上述步骤,用户代理直接根据用户信息以及传送的授权信息生成第一认证授权数据,而后将直接生成的第一认证授权数据发送给第三方应用服务器,为后续第三方应用服务器的快速认证授权流程提供了可能。
需要说明的是,上述授权信息可以包括以下至少之一:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。上述用户信息包括以下至少之一:口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
在本实施例中还提供了一种认证授权处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是根据本发明实施例的认证授权处理装置的结构框图一,如图6所示,该装置位于第三方应用服务器中,包括:第一传送模块62和第一接收模块64,下面对该装置进行说明。第一传送模块62,用于向用户代理传送授权信息,其中,用户代理根据用户信息及授权信息生成第一认证授权数据,上述第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限;第一接收模块64,连接至上述第一传送模块62,用于接收来自用户代理的第一认证授权数据。
图7是根据本发明实施例的认证授权处理装置的结构框图二,如图7所示,该装置除包括图6所示的所有模块外,还包括第一发送模块72和第二接收模块74。下面对该装置进行说明。
第一发送模块72,连接至上述第一接收模块64,用于向授权服务器发送第一认证授权数据;第二接收模块74,连接至上述第一发送模块72,用于接收到授权服务器根据第一认证授权数据返回的资源访问许可数据,该资源访问许可数据用于判断第三方应用服务器是否能够访问存放在除第三方应用服务器外的其它服务提供者的数据资源。
图8是根据本发明实施例的认证授权处理装置的结构框图三,如图8所示,该装置除包括图6所示的所有模块外,还包括第一生成模块82、第二发送模块84和第三接收模块86,下面对该装置进行说明。
第一生成模块82,连接至上述第一接收模块64,用于根据第一认证授权数据生成第二认证授权数据;第二发送模块84,连接至上述第一生成模块82,用于将生成的第二认证授权数据发送给授权服务器;第三接收模块86,连接至上述第二发送模块84,用于接收到授权服务器根据第二认证授权数据返回的资源访问许可数据,该资源访问许可数据用于判断第三方应用服务器是否能够访问存放在除第三方应用服务器外的其它服务提供者的数据资源。
图9是根据本发明实施例的认证授权处理装置的结构框图四,如图9所示,该装置除包括图6所示的所有模块外,还包括第三发送模块92和第四发送模块94,下面对该装置进行说明。
第三发送模块92,连接至上述第一接收模块64,用于将第一认证授权数据和/或第二认证授权数据发送给其它服务提供者的资源服务器,其中,第三方应用服务器根据第一认证授权数据生成第二认证授权数据;第四接收模块94,连接至上述第三发送模块92,用于接收到资源服务器根据第一认证授权数据和/或第二认证授权数据返回的数据资源。
图10是根据本发明实施例的认证授权处理装置的结构框图五,如图10所示,该装置位于授权服务器中,包括第二传送模块1002、第五接收模块1004和第四发送模块1006,下面对该装置进行说明。
第二传送模块1002,用于向用户代理传送授权信息,其中,用户代理将根据用户信息及授权信息生成的第一认证授权数据发送给第三方应用服务器,该第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限;第五接收模块1004,连接至上述第二传送模块1002,用于接收到来自第三方应用服务器发送的第一认证授权数据和/或第二认证授权数据,其中,第三方应用服务器根据第一认证授权数据生成第二认证授权数据;第四发送模块1006,连接至上述第五接收模块1004,用于根据第一认证授权数据和/或第二认证授权数据向第三方应用服务器发送资源访问许可数据。
图11是根据本发明实施例的认证授权处理装置的结构框图六,如图11所示,该装置位于用户代理中,包括第六接收模块1102、第二生成模块1104和第五发送模块1106,下面对该装置进行说明。
第六接收模块1102,用于接收来自授权服务器和/或第三方应用服务器的授权信息;第二生成模块1104,连接至上述第六接收模块1102,用于根据用户信息及授权信息生成第一认证授权数据,其中,第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限;第五发送模块1106,连接至上述第二生成模块1104,用于将生成的第一认证授权数据发送给第三方应用服务器。
上述实施例及优选实施方式所提供的认证授权处理方法,适用于包括用户代理、授权服务器、第三方应用服务器的系统中,下面结合适用的系统,对上述方法进行较为详细的说明。上述认证授权处理方法包括:授权服务器和/或第三方应用服务器下传授权信息给用户代理,其中,该授权信息被用户代理用于生成第一认证授权数据;用户代理将上述第一认证授权数据发送给第三方应用服务器。
较优地,在第三方应用服务器接收到上述认证授权数据时,该第三方应用服务器发送第一认证授权数据给授权服务器,或者根据第一认证授权数据生成第二认证授权数据并发送给授权服务器;授权服务器根据接收到的第一认证授权数据和/或第二认证授权数据,向第三方应用服务器返回资源访问许可数据。
需要说明的是,上述授权信息可以包含以下至少之一:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
较优地,在用户代理把第一认证授权数据发送给第三方应用服务器前,用户代理还可以获取用户信息,根据获取到的用户信息和授权信息生成第一认证授权数据。其中,上述用户信息可以包括以下至少之一:口令、密码、和用户公钥相匹配的私钥、用户的生物特征。
通过上述实施例及优选实施方式,由资源主用户通过授权服务器提供的代码,直接为第三方应用生成授权码,解决了相关技术中OAuth 2.0获取授权码的过程繁琐的问题,上述实施例及优选实施方式所提供的认证授权过程较为简洁,较大地提高了认证授权效率。
下面将结合附图对本发明实施方式做进一步说明。
图12是根据本发明优选实施例的认证授权方法的示意图一,如图12所示,在该认证授权方法的流程中包含的角色有:用户代理310、授权服务器104和第三方应用服务器103,在进行认证授权之前,可以先完成以下处理:用户101通过用户代理310访问第三方应用服务器103,用户代理310可以是在用户终端设备102上运行的浏览器程序。当需要第三方应用服务器103访问资源服务器时,用户代理310会被第三方应用服务器103重定向到授权服务器104,重定向链接可以包含第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识。在结束上述处理之后,认证授权的过程包括如下步骤:
301.用户代理310跳转到授权服务器104后,用户被要求从授权服务器104下载授权信息,授权信息可以是可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识中的任一组合;
302.用户代理310从用户或终端设备获得用户信息,并根据该用户信息和上述授权信息生成第一认证授权数据,其中上述用户信息可以包括以下任一组合:口令、密码、和用户公钥相匹配的私钥、用户的生物特征;
303.用户代理把第一认证授权数据发送给第三方应用服务器103;
304.第三方应用服务器103把第一认证授权数据或者根据第一认证授权数据生成的第二认证授权数据发送给授权服务器;
305.授权服务器104接收第一认证授权数据或第二认证授权数据,并向第三方应用服务器103返回资源访问许可数据。
图13是根据本发明优选实施例的认证授权方法的示意图二,如图13所示,在该认证授权方法的流程中包含的角色有:用户代理310、授权服务器104、第三方应用服务器103。在进行认证授权之前,可以先完成以下处理:用户101通过用户代理310访问第三方应用服务器103,第三方应用服务器103要求从用户101和授权服务器104获得对某个资源的资源访问许可数据,如访问令牌,完成上述处理之后,进行如下步骤:
401.用户代理310被要求从第三方应用服务器103下载授权信息,授权信息可以是可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识中的任一组合;
402.用户代理310从用户或终端设备获得用户信息,并根据该用户信息和上述授权信息生成第一认证授权数据,其中,上述用户信息包括以下任一组合:口令、密码、和用户公钥相匹配的私钥、用户的生物特征;
403.用户代理310把第一认证授权数据发送给第三方应用服务器103;
404.第三方应用服务器103把第一认证授权数据或者根据第一认证授权数据生成的第二认证授权数据发送给授权服务器;
405.授权服务器104接收第一认证授权数据或第二认证授权数据,并向第三方应用服务器103返回资源访问许可数据。
在上述实施例或优选实施方式中,授权信息可以包括一段Javascript代码,代码中可包含从重定向链接获取的第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息。Javascript代码下载完成后在用户代理310内执行,可提示用户101提供用户信息,也可根据事先的设置自动载入用户信息。
上述用户信息指的是用户的认证凭据,可以是口令、密码、和用户公钥对应的私钥、用户的生物特征等,或者上述认证凭据中的任一组合,以及任何其他可以认证用户的数据。
用户信息的提供方式也可以多种,可以是用户101从键盘输入(口令、密码)、也可以是从和终端设备相连的存储设备中读取(和公钥相对应的私钥、密码文件)、也可以是从和终端设备相连的生物特征采集器获取(用户的生物特征),或者上述三种方式中的任一组合。
在获得用户信息后,Javascript代码生成第一认证授权数据,发送给第三方应用服务器103。
第一认证授权数据也可以具有多种类型,例如,第一认证授权数据可以是根据用户的口令、密码和第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息计算出的消息认证码(Message Authentication Code)。又例如,第一认证授权数据也可以是根据和用户公钥匹配的私钥、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息计算出的数字签名(Digital Signature)。还例如,第一认证授权数据还可以是根据和用户公钥匹配的私钥、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息和代理数字签名算法(Proxy Signature)生成的代理私钥。
用户代理310把上述第一认证授权数据发送给第三方应用服务器103;
第三方应用服务器103发送资源访问许可请求给授权服务器104,请求获得资源访问许可数据,资源访问许可请求中包含第一认证授权数据或者根据第一认证授权数据生成的第二认证授权数据。例如,第二认证授权数据可以是第三方应用服务器根据第一认证授权数据中的代理私钥生成的代理数字签名(Proxy Signature)。
上述第一认证授权数据、第二认证授权数据可包含第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息。
授权服务器104接收资源访问许可请求,解析出第一认证授权数据或第二认证授权数据,通过相应的算法验证认证授权数据的合法性。比如,如果认证授权数据是消息认证码,就根据用户的口令、密码和第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息重新计算消息认证码,如果计算出的结果和收到的消息认证码相同,则认为该认证授权数据合法。如果认证授权数据包含数字签名(包括普通的数字签名和代理数字签名),就根据用户的公钥验证签名的合法性。
如果认证授权数据验证合法,授权服务器104就生成资源访问许可数据,并向第三方应用服务器返回资源访问许可数据。该资源访问许可数据可以是OAuth1.0或2.0中的访问令牌。
第三方应用服务器103获得资源访问许可数据后,发送给资源服务器,资源服务器验证资源访问许可数据,如果资源访问许可数据验证合法,返回请求的资源内容。
在另一个优选实施例中,用户代理310跳转到授权服务器104后,用户被要求从授权服务器104下载授权信息,授权信息包括一段Javascript代码,一个ActiveX控件或一个Plugin插件。这里的ActiveX控件或Plugin插件还可以从授权服务器或其他第三方可信服务器以在线或者离线的方式获得。如果ActiveX控件或Plugin插件被检测未安装,则提示用户下载安装,如果被检测已经安装,则不提示用户下载。Javascript代码中可包含从重定向链接获取的第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息。Javascript代码下载完成后在用户代理310内执行,调用ActiveX控件或Plugin插件,把第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息输入到ActiveX控件或Plugin插件。ActiveX控件或Plugin插件提示用户101提供用户信息。用户信息如上述实施例所述,在此不再赘述。
在另一个优选实施例中,用户101通过用户代理310访问第三方应用服务器103,当需要第三方应用服务器103访问资源服务器时,第三方应用服务器103给用户代理310显示授权请求页面,其中包含一段Javascript代码,该代码检测用户代理310是否已经安装所需要的Plugin插件或ActiveX控件,如果ActiveX控件或Plugin插件被检测未安装,则提示用户下载安装,如果被检测已经安装,则不提示用户下载。这里的ActiveX控件或Plugin插件可以从授权服务器或该第三方应用服务器或其他第三方可信服务器以在线或者离线的方式获得。
Javascript代码中可包含第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息。Javascript代码在用户代理310内执行调用ActiveX控件或Plugin插件,把第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息输入到ActiveX控件或Plugin插件。ActiveX控件或Plugin插件提示用户101提供用户信息。用户信息如上述实施例所述,在此不再赘述。
在另一个优选实施例中,用户代理310下载执行授权信息后,授权信息中的代码并不提示用户提供用户信息,而只是提示用户是否同意生成第一认证授权数据。用户信息可以事先存储在下载安装后的控件或插件中。
在本实施例中还提供了一种实现认证授权的认证授权装置,图14是根据本发明优选实施例的认证授权装置的结构框图,如图14所示,该认证授权装置320包括传送模块501(与上述第二传送模块1002功能相当)、接收模块502(与上述第五接收模块1004功能相当)、递交模块503(与上述第四发送模块1006功能相当)和处理模块504,下面对该认证授权装置进行说明。
传送模块501,用于传送授权信息给用户代理,其中,该授权信息被用户代理用于生成第一认证授权数据;接收模块502,用于接收由用户代理生成的第一认证授权数据,或由第三方应用服务器生成的第二认证授权数据;递交模块503,用于向第三方应用服务器递交资源访问许可数据。
上述认证授权装置320中,还可以包含处理模块504,用于根据接收到的第一认证授权数据或第二认证授权数据认证用户。
上述认证授权装置320中,所涉及的授权信息可以包含以下任一组合:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
在本实施例中还提供了一种实现认证授权的用户代理装置,图15是根据本发明优选实施例的实现认证授权的用户代理装置的结构框图,如图15所示,该用户代理装置310包括下载模块601(与上述第六接收模块1102功能相当)、生成模块603(与上述第二生成模块1104功能相当)和发送模块604(与上述第五发送模块1106功能相当),下面对该用户代理装置310进行说明。
下载模块601,用于从授权服务器和/或第三方应用服务器下载授权信息;生成模块603,用于根据用户信息和授权信息生成第一认证授权数据;发送模块604,用于把第一认证授权数据发送给第三方应用服务器。
上述用户代理装置310还可包含获取模块602,用于获取用户信息,其中,该用户信息包括以下任一组合:口令、密码、和用户公钥相匹配的私钥、用户的生物特征。
上述用户代理装置310中,上述授权信息可以包含以下任一组合:可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
在本实施例中还提供了一种实现认证授权的第三方应用服务器装置,图16是根据本发明优选实施例的实现认证授权的第三方应用服务装置的结构框图,如图16所示,该第三方应用服务装置330包括传送模块701(与上述第一传送模块62功能相当)和接收模块702(与上述第一接收模块64功能相当),下面对该第三方应用服务装置进行说明。
传送模块701,用于传送授权信息给用户代理,其中,上述授权信息被用户代理用于生成第一认证授权数据;接收模块702,用于接收由用户代理生成的第一认证授权数据。
较优地,上述第三方应用服务装置,还可包括转交模块704(与上述第一发送模块72功能相当),用于发送第一认证授权数据给授权服务器;
上述第三方应用服务装置,还可包括生成模块703(与上述第一生成模块82功能相当)和发送模块704(与上述第二发送模块84功能相当);其中,生成模块703,用于根据第一认证授权数据生成第二认证授权数据;发送模块704,用于发送第二认证授权数据给授权服务器。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种认证授权处理方法,其特征在于,包括:
第三方应用服务器向用户代理传送授权信息,其中,所述用户代理根据用户信息及所述授权信息生成第一认证授权数据,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;
所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据;
在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,还包括:
所述第三方应用服务器将所述第一认证授权数据和/或第二认证授权数据发送给所述其它服务提供者的资源服务器,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;
所述第三方应用服务器接收到所述资源服务器根据所述第一认证授权数据和/或第二认证授权数据返回的数据资源。
2.根据权利要求1所述的方法,其特征在于,在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,还包括:
所述第三方应用服务器向授权服务器发送所述第一认证授权数据;
所述第三方应用服务器接收到所述授权服务器根据所述第一认证授权数据返回的资源访问许可数据,所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。
3.根据权利要求1所述的方法,其特征在于,在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,还包括:
所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;
所述第三方应用服务器将生成的所述第二认证授权数据发送给授权服务器;
所述第三方应用服务器接收到所述授权服务器根据所述第二认证授权数据返回的资源访问许可数据,所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述授权信息包括以下至少之一:
可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
5.根据权利要求1至3中任一项所述的方法,其特征在于,所述用户信息包括以下至少之一:
口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
6.一种认证授权处理方法,其特征在于,包括:
授权服务器向用户代理传送授权信息,其中,所述用户代理将根据用户信息及所述授权信息生成的第一认证授权数据发送给第三方应用服务器,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;
所述授权服务器接收到来自所述第三方应用服务器发送的所述第一认证授权数据和/或第二认证授权数据,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;
所述授权服务器根据所述第一认证授权数据和/或所述第二认证授权数据向所述第三方应用服务器发送资源访问许可数据。
7.根据权利要求6所述的方法,其特征在于,所述授权信息包括以下至少之一:
可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
8.根据权利要求6或7所述的方法,其特征在于,所述用户信息包括以下至少之一:
口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
9.一种认证授权处理方法,其特征在于,包括:
用户代理接收来自授权服务器和/或第三方应用服务器的授权信息;
所述用户代理根据用户信息及所述授权信息生成第一认证授权数据,其中,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;
所述用户代理将生成的所述第一认证授权数据发送给所述第三方应用服务器;
其中,在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,还包括:
所述第三方应用服务器将所述第一认证授权数据和/或第二认证授权数据发送给所述其它服务提供者的资源服务器,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;
所述第三方应用服务器接收到所述资源服务器根据所述第一认证授权数据和/或第二认证授权数据返回的数据资源。
10.根据权利要求9所述的方法,其特征在于,所述授权信息包括以下至少之一:
可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。
11.根据权利要求9或10所述的方法,其特征在于,所述用户信息包括以下至少之一:
口令、密码、与用户公钥相匹配的私钥、用户的生物特征。
12.一种认证授权处理装置,其特征在于,位于第三方应用服务器中,包括:
第一传送模块,用于向用户代理传送授权信息,其中,所述用户代理根据用户信息及所述授权信息生成第一认证授权数据,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;
第一接收模块,用于接收来自所述用户代理的所述第一认证授权数据;
其中,所述装置还包括:
第三发送模块,用于将所述第一认证授权数据和/或第二认证授权数据发送给所述其它服务提供者的资源服务器,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;
第四接收模块,用于接收到所述资源服务器根据所述第一认证授权数据和/或第二认证授权数据返回的数据资源。
13.根据权利要求12所述的装置,其特征在于,还包括:
第一发送模块,用于向授权服务器发送所述第一认证授权数据;
第二接收模块,用于接收到所述授权服务器根据所述第一认证授权数据返回的资源访问许可数据,所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。
14.根据权利要求12所述的装置,其特征在于,还包括:
第一生成模块,用于根据所述第一认证授权数据生成所述第二认证授权数据;
第二发送模块,用于将生成的所述第二认证授权数据发送给授权服务器;
第三接收模块,用于接收到所述授权服务器根据所述第二认证授权数据返回的资源访问许可数据,所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。
15.一种认证授权处理装置,其特征在于,位于授权服务器中,包括:
第二传送模块,用于向用户代理传送授权信息,其中,所述用户代理将根据用户信息及所述授权信息生成的第一认证授权数据发送给第三方应用服务器,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;
第五接收模块,用于接收到来自所述第三方应用服务器发送的所述第一认证授权数据和/或第二认证授权数据,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;
第四发送模块,用于根据所述第一认证授权数据和/或第二认证授权数据向所述第三方应用服务器发送资源访问许可数据。
16.一种认证授权处理装置,其特征在于,位于用户代理中,包括:
第六接收模块,用于接收来自授权服务器和/或第三方应用服务器的授权信息;
第二生成模块,用于根据用户信息及所述授权信息生成第一认证授权数据,其中,所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限;
第五发送模块,用于将生成的所述第一认证授权数据发送给所述第三方应用服务器;
其中,在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后,还包括:
所述第三方应用服务器将所述第一认证授权数据和/或第二认证授权数据发送给所述其它服务提供者的资源服务器,其中,所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据;
所述第三方应用服务器接收到所述资源服务器根据所述第一认证授权数据和/或第二认证授权数据返回的数据资源。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210315517.0A CN103685139B (zh) | 2012-08-30 | 2012-08-30 | 认证授权处理方法及装置 |
| PCT/CN2013/082105 WO2014032543A1 (zh) | 2012-08-30 | 2013-08-22 | 认证授权处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210315517.0A CN103685139B (zh) | 2012-08-30 | 2012-08-30 | 认证授权处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103685139A CN103685139A (zh) | 2014-03-26 |
| CN103685139B true CN103685139B (zh) | 2018-07-13 |
Family
ID=50182490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210315517.0A Expired - Fee Related CN103685139B (zh) | 2012-08-30 | 2012-08-30 | 认证授权处理方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103685139B (zh) |
| WO (1) | WO2014032543A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI823202B (zh) * | 2021-12-03 | 2023-11-21 | 中華電信股份有限公司 | 代理授權系統和代理授權方法 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105207974B (zh) * | 2014-06-18 | 2018-09-11 | 中国电信股份有限公司 | 一种实现用户资源差异化开放的方法、平台、应用和系统 |
| CN104219251B (zh) * | 2014-09-26 | 2018-02-23 | 北京国双科技有限公司 | 获取网站数据的方法和装置 |
| CN105763514B (zh) | 2014-12-17 | 2019-11-29 | 华为技术有限公司 | 一种处理授权的方法、设备和系统 |
| JP2017004301A (ja) * | 2015-06-11 | 2017-01-05 | キヤノン株式会社 | 認証サーバーシステム、方法、プログラムおよび記憶媒体 |
| CN105429978B (zh) * | 2015-11-13 | 2018-10-30 | 中国建设银行股份有限公司 | 数据访问方法、设备及系统 |
| CN107231335B (zh) * | 2016-03-24 | 2021-05-25 | 创新先进技术有限公司 | 一种业务处理方法及装置 |
| CN106453414B (zh) * | 2016-11-29 | 2019-11-19 | 迈普通信技术股份有限公司 | 第三方登录认证方法、代理服务器、客户端及系统 |
| CN106453422B (zh) * | 2016-12-08 | 2020-09-04 | 上海众人网络安全技术有限公司 | 一种基于移动终端动态认证方法及系统 |
| US20190244203A1 (en) * | 2018-02-05 | 2019-08-08 | Capital One Services, Llc | Real-time processing of requests related to facilitating use of an account |
| CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
| CN108932165A (zh) * | 2018-07-19 | 2018-12-04 | 中山大学 | 一种计算机集群资源分配与调度系统 |
| US11431698B2 (en) * | 2018-10-31 | 2022-08-30 | NBA Properties, Inc. | Partner integration network |
| CN111865888B (zh) * | 2019-04-29 | 2022-08-19 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
| EP3851984B1 (en) * | 2020-01-15 | 2023-12-20 | IDENTOS Inc. | Computer-implemented systems for distributed authorization and federated privacy exchange |
| CN111949959B (zh) * | 2020-08-14 | 2023-09-15 | 中国工商银行股份有限公司 | Oauth协议中的授权认证方法及装置 |
| CN111949958B (zh) * | 2020-08-14 | 2023-08-18 | 中国工商银行股份有限公司 | Oauth协议中的授权认证方法及装置 |
| CN113572827B (zh) * | 2021-07-13 | 2024-01-16 | 支付宝(中国)网络技术有限公司 | 注册处理方法及装置 |
| CN113965352B (zh) * | 2021-09-18 | 2023-12-01 | 网宿科技股份有限公司 | 第三方网站登录方法、装置、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238007A (zh) * | 2010-04-20 | 2011-11-09 | 阿里巴巴集团控股有限公司 | 第三方应用获得用户的会话令牌的方法、装置及系统 |
| CN102449976A (zh) * | 2009-05-29 | 2012-05-09 | 阿尔卡特朗讯公司 | 用于访问私人数字内容的系统和方法 |
| CN102624739A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种适用于客户端平台的认证授权方法和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8544068B2 (en) * | 2010-11-10 | 2013-09-24 | International Business Machines Corporation | Business pre-permissioning in delegated third party authorization |
| CN102611709B (zh) * | 2012-03-31 | 2014-11-12 | 北京奇虎科技有限公司 | 一种对第三方资源的访问控制方法及系统 |
-
2012
- 2012-08-30 CN CN201210315517.0A patent/CN103685139B/zh not_active Expired - Fee Related
-
2013
- 2013-08-22 WO PCT/CN2013/082105 patent/WO2014032543A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102449976A (zh) * | 2009-05-29 | 2012-05-09 | 阿尔卡特朗讯公司 | 用于访问私人数字内容的系统和方法 |
| CN102238007A (zh) * | 2010-04-20 | 2011-11-09 | 阿里巴巴集团控股有限公司 | 第三方应用获得用户的会话令牌的方法、装置及系统 |
| CN102624739A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种适用于客户端平台的认证授权方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| "Formal Verification of OAuth 2.0 using Alloy Framework";Suhas Pai等;《Communication Systems and Network Technologies (CSNT),2011 International Conference on》;20110605;参见第655页摘要-第658页第8部分,图1 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI823202B (zh) * | 2021-12-03 | 2023-11-21 | 中華電信股份有限公司 | 代理授權系統和代理授權方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103685139A (zh) | 2014-03-26 |
| WO2014032543A1 (zh) | 2014-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103685139B (zh) | 认证授权处理方法及装置 | |
| AU2020419017B2 (en) | Secure online access control to prevent identification information misuse | |
| JP5184627B2 (ja) | コミュニケーション装置、認証システム及び方法、並びにキャリア媒体 | |
| US7496751B2 (en) | Privacy and identification in a data communications network | |
| JP5719871B2 (ja) | フィッシング攻撃を防ぐ方法および装置 | |
| CN101562621B (zh) | 一种用户授权的方法、系统和装置 | |
| US10367797B2 (en) | Methods, systems, and media for authenticating users using multiple services | |
| US7275260B2 (en) | Enhanced privacy protection in identification in a data communications network | |
| US8495720B2 (en) | Method and system for providing multifactor authentication | |
| US7085840B2 (en) | Enhanced quality of identification in a data communications network | |
| CN102624720B (zh) | 一种身份认证的方法、装置和系统 | |
| CN104954330B (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
| CN103139181B (zh) | 一种开放式认证的授权方法、装置和系统 | |
| CN106973041A (zh) | 一种颁发身份认证凭据的方法、系统及认证服务器 | |
| RU2008141288A (ru) | Аутентификация для коммерческой транзакции с помощью мобильного модуля | |
| GB2510002A (en) | Authenticating a user using a pair of user devices by transferring a token between them. | |
| CN107040513A (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| RU2007138849A (ru) | Сетевые коммерческие транзакции | |
| CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
| WO2010051860A1 (en) | Methods, apparatuses, system and related computer program product for privacy-enhanced identity management | |
| US20210385225A1 (en) | Computerized device and method for authenticating a user | |
| CN109784024A (zh) | 一种基于多认证器多因子的快速在线身份认证fido方法和系统 | |
| US9553863B2 (en) | Computer implemented method and system for an anonymous communication and computer program thereof | |
| US20090025066A1 (en) | Systems and methods for first and second party authentication | |
| CN108234136B (zh) | 一种安全访问方法、终端设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180713 Termination date: 20200830 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |