CN104852895A - 在多功能设备上的支持OAuth的云服务的卡认证 - Google Patents

Abstract

描述了提供可以访问外部网络服务的MFP设备的技术。根据实施例，MFP网络应用接收注册请求，以注册MFP网络应用的MFP的特定用户。该MFP外围网络应用使用至少一个外部网络服务。响应于接收注册请求，MFP网络应用执行以下至少之一：发送电子邮件到与特定用户相关联的邮箱地址，所述电子邮件包括注册码和链接到MFP网络应用的链接；或向MFP发送注册码和编码的数据，所述编码的数据包括链接到MFP网络应用的链接。当接收访问令牌和注册码后，存储映射数据，所述映射数据将特定用户的MFP设备用户标识数据映射到访问外部网络服务的访问令牌。

Description

在多功能设备上的支持OAuth的云服务的卡认证

技术领域

本申请涉及认证多功能外围设备的用户，特别的，涉及一种可靠地认证与多功能外围设备相关联的网络应用以访问外部云服务。

背景技术

本部分描述的方法是可实行的，但并不必然是以前的构思或实行的方法。因此，除非另有表示，不应因为其被包括在本部分而认为本部分描述的方法中的任何是已知的。

一些多功能外围设备(MFPs)包括先进的计算平台，其支持内嵌的应用和服务，例如打印、扫描、传真等，以及网络应用的访问和/或网络服务。为了通过MFP访问基于网络的服务，用户可能被要求通过MFP上的控制面板输入认证证书，例如用户标识符ID和密码对。这些认证证书会随着每次用户希望访问的网络服务而变化。例如，用户会在一个网络服务中使用特别的用户ID和密码，在另一个网络服务中使用不同的用户ID和/或密码。每次用户希望访问这些服务时都通过MFP输入这些证书会是麻烦和费时的处理。而且，用户可能不信任为外部云服务存储或访问认证证书的第三方MFP的安全性。OAuth是协议，该协议允许由第三方开发的应用访问服务消费者的账户。在OAuth工作流程内，消费者/用户通过从第三方应用重定向到云服务的认证终端，在那里用户通过第三方应用提供认证证书和认证访问。这些处理使得第三方应用能够访问网络服务而不必要求用户与第三方应用共享认证证书。OAuth协议对某些MFP是个挑战，该些MFP只支持连接网络服务的能力有限的浏览器或嵌入式应用。例如，这些MFP浏览器可能无法直接和外部网络服务连接，浏览万维网和/或完全支持认证协议，例如OAuth。

发明内容

本发明描述了提供可以访问一个或多个外部网络服务的MFP设备的技术。根据一些实施例，MFP网络应用从MFP接收注册请求，以注册与MFP网络应用相关的MFP的特定用户。该MFP外围网络应用使用至少一个外部网络服务。响应于接收注册请求，MFP网络应用执行以下至少之一：生成或发送电子邮件到与特定用户相关联的邮箱地址，所述电子邮件包括注册码和链接到MFP网络应用的链接；或向MFP发送注册码和编码的数据二者，所述编码数据包括到MFP网络应用的链接。MFP网络应用重定向从分离于MFP的设备接收的请求，将其定向到外部网络服务，以认证外部网络服务的特定用户。当成功地认证所述特定用户时，在MFP网络应用接收来自外部网络服务的访问令牌。该MFP网络应用从与MFP设备分离的设备接收注册码。当在MFP网络应用中接收访问令牌和注册码之后，存储映射数据，所述映射数据将特定用户的MFP设备用户标识数据映射到访问外部网络服务的访问令牌。

附图说明

通过示例而非限制来阐述本发明，在附图的图中，相同的附图标记指代相同的元件，其中：

图1是描述了根据实施例的为多功能外围设备提供访问一个或者多个外部网络服务的示例性系统结构的框图；

图2是根据实施例的注册工作流程概述的框图，其通过MFP网络应用注册MFP用户以访问外部网络服务；

图3是描述了根据实施例的从用户接收注册信息的MFP接口的示例的框图；

图4是描述了根据实施例的通过MFP网络应用注册用户的MFP接口的示例的框图；

图5是示例性的电子邮件的截屏，该电子邮件包括唯一的注册码和完成注册处理的连接到MFP网络应用的链接

图6是描述了印刷纸的框图，其包括注册码和快速响应(QR)码，该QR码是编码完成注册处理的连接到MFP网络应用的链接；

图7是根据实施例的认证用户的示例性外部网络服务访问网页的截屏；

图8是描述根据根据实施例的授权MFP网络应用访问外部网络服务的示例性授权请求的截屏

图9是描述根据实施例的通过MFP网络应用提交注册码以注册外部网络服务的接口截屏；

图10描述了根据实施例的示例性接口1000的截屏和图片，所述接口1000通过MFP网络应用显示和提交MFP用户认证数据；

图11是根据实施例的示例的数据库模式，其描述了示例的MFP用户认证数据和由MFP网络应用为注册MFP用户维持的映射数据；

图12是描述了根据实施例的指示注册处理已经完成的示例性通知的截屏；

图13是描绘根据实施例的在MFP、MFP网络服务和外部网络服务之间交换的示例性消息的消息梯状框图；

图14是描绘了根据实施例的使用MFP网络应用的MFP上的示例性用户接口的截屏；

图15是描绘了在注册处理完成后访问外部网络服务的示例性工作流程图的概览的框图；

图16是描绘了在其上可以实现本发明的实施例的计算机系统1600的框图。

具体实施方式

在下面的描述中，为了解释，阐述许多具体细节以提供对发明的彻底理解。然而，显而易见的是，本发明不以这些具体细节来实践。在其他实施例中，公知的结构和设备将通过框图呈现，以避免对本发明的不必要的模糊。本发明的各个方面将通过以下几个部分描述：

I 概述

II 系统结构

III 外部网络/云服务的注册

A 注册工作流程概述

B 示例性注册MFP用户的MFP接口

C 通过电子邮件注册

D 通过编码的链接注册

E 浏览器重定向和访问认证

F 注册码处理和访问令牌映射

G 示例性消息梯形图

IV 外部网络/云服务的安全访问

A 使用MFP网络应用的示例性MFP接口

B RFID和其他智能卡的集成

V 实施机制

I概述

描述了提供可以访问一个或多个外部网络服务的MFP设备的技术。根据一些实施例所述，MFP网络应用从MFP接收了注册请求，以注册与MFP网络应用相关的MFP的特定用户。该MFP外围网络应用使用至少一个外部网络服务。为了响应接收注册请求，WFP网络应用至少进行以下一个操作：生成或发送电子邮件到与该特定用户相关联的邮箱地址，所述电子邮件包括注册码和到MFP网络应用的链接；或向MFP发送注册码和编码的数据二者，所述编码的数据包括MFP网络应用链接。MFP网络应用重定向从分离于MFP的设备接收的请求，将其定向到外部网络服务，以认证外部网络服务的特定用户。当成功地认证所述特定用户时，在MFP网络应用接收来自外部网络服务的访问令牌。该MFP网络应用从与MFP设备分离的设备接收注册码。当在MFP网络应用中接收访问令牌和注册码之后，存储映射数据，所述映射数据将特定用户的MFP设备用户标识数据映射到访问外部网络服务的访问令牌。

II系统结构

图1是描绘了根据实施例的为多功能外围设备提供访问一个或者多个外部网络服务的示例性系统结构的框图。MFP设备访问一个或多个外部网络服务的系统结构框图。系统100包括通过一个或多个数据通信网络可通信地连接的MFP110、MFP网络服务120和外部网络服务130，。示例的数据通信网络在无限制的情况下包括一个或多个本地局域网(LANs)、广域网(WANs)和因特网的其他的计算机网络。

MFP110是执行一系列专用功能的设备，所述功能无限制地包括一个或多个打印、复印、收发传真、扫描等的组合。MFP 100包括用户接口(UI)，其接收来自MFP 110的用户输入并且生成MFP 110的用户的输出。UI无限制地包括：控制面板、显示面板、触摸屏、一个或多个物理按钮等。该UI的至少部分由MFP 110从MFP网络服务120接收。例如，在无限制的情况下，MFP 110可以接收图形UI(GUI)数据，显示给终端用户。而且或可选的，UI包括读卡器，例如射频标识符(RFID)读卡器或其他智能卡读卡器，以接收卡标识符，MFP认证证书和/或来自MFP用户的其他MFP用户的标识数据。MFP 110可以包括与MFP网络服务120交互的浏览器。MFP用户可以使用UI访问浏览器，以导航和连接MFP网络服务120以及外部网络服务130。MFP 110上的浏览器可以是能力有限的浏览器，其符合一个或多个网络标准。例如，该浏览器可能不能完全支持一个或多个认证协议标准(例如OAuth协议)，和/或不能够完全浏览万维网。

MFP网络服务120和MFP 110上的浏览器交互，为MFP 110提供一系列的一个或多个功能。MFP网络服务120可以设置在云平台上，其结构可以根据不同实施例而变化。例如，MFP网络服务120可以通过一个或多个打印服务器和/或一个或多个执行在一个或多个网络设备上的网络服务器而实施。MFP网络服务120通常包括文档处理逻辑122，网络应用服务器124和应用管理平台126。

文档处理逻辑122执行相关于从MFP 110或其他网络设备收到的文档数据的一系列的一个或多个处理功能。示例性的功能可以无限制地包括为MFP110生成的扫描图像数据执行光学字符标识(OCR)、生成用于MFP110的打印数据(例如，网页描述语言数据(PDL)，打印机管理语言数据(PML)等)和格式化和/或其他操纵文档数据。这里使用的文档数据是指代表电子文档的任何部分的数据。数据的格式随着不同实施方式而不同，依据文档格式而变化。例如，文档数据无限制地包括，图像文件数据、文字处理文件数据、电子文件表格数据、便携文档格式(PDF)文件数据等。

网络应用服务器124提供了MFP 110访问外部网络服务130的接口。网络应用服务器124可以包括一个或多个MFP网络应用，其和MFP 110上的浏览器通信，和根据本文进一步将要描述的技术的外部网络服务130连接。每个MFP网络应用具有特定的功能或一系列功能，并且与一个或多个外部网络服务对应。由MFP网络应用执行的示例的功能无限制地包括：向相应的外部网络服务发送从MFP110接收的文档数据，向相应的外部网络服务存储从MFP110接收的文档数据，使用文档处理逻辑122为外部网络服务和/或MFP110执行文档处理功能，向MFP110发送从外部网络服务接收的文档或打印数据等等。根据具体的实施例，MFP网络应用和外部网络服务之间可以是一到一映射，或一到多映射。例如，会有不同的MFP网络应用，用于访问电子邮件服务、云储存服务、开销报告服务等。而且/可选的，单独的MFP网络应用可以用来访问上述服务的任何组合。如本文将要进一步详细描述的，由于MFP110可以通过执行在124上的MFP网络应用连接到外部网络服务130，因此在这里的MFP网络应用也可以指连接应用，其和连接。

应用管理平台126维护用于和外部网络服务130交互的管理数据。在示例性实施例中，应用管理平台126可以维护由MFP网络服务120托管的外部网络服务列表，并且其由网络应用服务器124经配置来访问。在另一个实施例中，应用管理平台126可以为由MFP网络服务120托管的每一个MFP网络应用和/或外部网络服务维护UI数据，例如图标或其他GUI数据。UI数据可以被发送到MFP 110，以允许MFP用户导航和访问MFP网络应用和/或外部网络服务130。例如，图标数据可以为由MFP网络服务120托管的每一个外部网络服务发送。MFP 110然后在与MFP 110相连接的触摸屏或其他显示面板上显示图标。为了访问外部网络服务，MFP 110的用户可以使用UI数据(例如，使用触摸屏接口触摸与外部网络服务相应的图标)来选择相应的网络服务。

外部网络服务130是一系列的一个或多个网络/云服务，其由与MFP网络服务120提供商不同的一个或多个提供商提供。外部网络服务130还包括一个或多个在云平台上实现的处理。云平台的结构可以根据服务的不同而变化也可以根据提供商的不同而变化。外部网络服务130可以无限制地相应于多种不同的服务，包括：诸如Gmail和Yahoo！Mail的电子邮件服务、例如google docs和Dropbox的云存储服务、例如Concur和Shoeboxed的开销报告服务、例如Amazon s3和Oracle Cloud的数据库云服务、和其他软件服务、平台服务和基础设施服务报价。

III外部网络/云服务的注册

根据这里描述的实施例，MFP用户以MFP网络应用注册，以安全地访问由MFP网络应用使用的提供服务给MFP用户的一个或多个相应的外部网络服务。注册处理允许MFP用户从MFP 110访问外部网络服务，不会向MFP110或相应的MFP网络应用泄露用户的认证证书，该认证证书对应相应的外部网络服务。这里给出的注册处理实施例见图2-11。

A注册工作流程概述

图2是根据实施例的注册工作流程概述的框图，其通过MFP网络应用注册MFP用户以访问外部网络服务。注册处理从MFP 110开始。通过使用MFP110的UI，MFP用户请求访问使用了外部网络服务230的MFP网络应用220。为了响应请求，MFP 110生成和发送访问请求给MFP网络应用220。MFP网络应用220决定是否MFP用户已经注册了MFP网络应用220。如果没有注册MFP用户，那么MFP网络应用220将执行下列至少一个：生成和发送用于完成注册处理的电子邮件；以及生成物理打印输出，或者显示用于完成注册处理的编码的数据。如果MFP用户已经注册了，那么MFP网络应用220可以访问到外部网络服务230，其将在下一个部分进行详细描述。

在发送电子邮件和/或编码的数据后，MFP用户可以使用主设备210之一完成注册处理。主设备210是网络主机，其通过一个或多个数据通信网络与MFP网络应用220和一个或多个外部网络服务(例如，外部网络服务230)可通信地连接。示例主设备210还可以无限制地包括：桌面计算机，便携式笔记本，诸如智能手机和平板电脑的移动设备和其他的可以实施至少互联网协议(IP)簇下的通信协议的子协议的计算设备。主设备210可以包括比MFP110的浏览器健壮性更好的浏览器。例如，主设备210可以包括网络浏览器，其支持MFP110上的能力有限的浏览器所不支持的认证标准。示例的认证标准可以无限制地包括：OAuth、OpenID和安全断言标记语言(SecurityAssertion Markup Language，SAML)。在注册处理中，主设备210可以使用至少一种认证标准，以认证MFP网络应用220访问一个或多个外部网络服务(例如，外部网络服务230)，而不用提供或另外泄露给MFP网络应用220认证证书，该证书用于访问一个或多个外部服务。注册处理的示例的步骤将在下面参照如图3-11进行详细描述。

B注册MFP用户的示例性MFP接口

为了开始注册处理，MFP用户选择其最想访问的MFP网络应用。例如，MFP用户可以利用MFP110的UI触摸或选择与MFP网络应用相匹配的图标。如果MFP用户之前没有注册使用MFP网络应用，MFP110会提示用户录入注册信息。示例的用户会访问的注册信息无限制地包括：电子邮箱地址、MFP用户标识符，卡标识符，和/或其他用来唯一标识特定的MFP用户的标识数据。

图3是描绘了根据实施例的从用户接收注册信息的MFP接口的示例的框图。在实施例中，接口300由通过MFP网络应用220发送给MFP110的UI数据生成。为了响应从未标识的MFP用户或从未通过MFP网络应用220注册的MFP用户接收到请求，可选的，可以通过MFP110生成和显示接口300而不和MFP网络应用220通信。接口300可以在MFP110的触摸屏或其他显示面板上被显示。接口300包括输入域302、用户列表按钮304和注册按钮306。在注册处理中，MFP用户可以在输入域302中输入电子邮件地址向MFP网络应用220注册。如果MFP用户之前已经提供了电子邮件地址，MFP用户可以选择用户列表按钮304或在MFP110的读卡器上扫描/刷RFID或其他智能卡(这里指的是“MFP卡”)。MFP网络应用220然后可以使用卡标识符和/或其他标识数据来查找相应的MFP用户的电子邮件地址。由此，MFP用户在注册MFP网络应用时不用每次都输入电子邮件地址。

图4是描绘了根据实施例的通过MFP网络应用注册用户的MFP接口的示例的框图。一旦用户已经在输入域302中输入了电子邮件地址并且按下了注册按钮306，MFP110向MFP网络应用220发送包括电子邮件地址的注册请求。为了响应接收请求，MFP网络应用220可以生成和发送电子邮件消息和/或编码的数据，其将在下面进行详细描述。MFP网络应用220还可以发送(例如在接口400描绘的)消息，指示MFP用户检查电子邮件地址中的电子邮件，该电子邮件地址由MFP用户和/或扫描由MFP110打印的纸张上的快速响应码提供。

C通过电子邮件注册

在一些实施例中，当MFP网络应用220收到了来自MFP110的注册请求，MFP网络应用220生成并且给与注册请求相关的电子邮件地址发送电子邮件。该电子邮件地址可以被包括在由MFP110发送的注册请求中。可选的，电子邮件地址可以基于包括在注册请求的其他MFP用户标识数据被标识。例如，注册请求可以包括MFP用户ID或卡ID。MFP网络应用220可以使用MFP用户标识数据来搜索数据库，以确定所生成的电子邮件应该被发送到的注册MFP用户的电子邮件地址。

在一些实施例中，MFP110可以提示用户与MFP用户将会访问的外部网络服务相关联的电子邮件地址。例如，MFP用户可以先前已经使用特定的电子邮件地址创建外部网络服务的账户。MFP 110可以在注册连接到外部网络服务的MFP网络应用时请求MFP用户提供相同的电子邮件地址。相关的电子邮件地址可以被附加安全措施，以在认证外部网络服务的MFP用户。在其他实施例中，MFP用户可以提供与外部网络服务不相关联的电子邮件地址。MFP用户可以因此向MFP110提供MFP用户具有访问权的任何电子邮件地址。

在电子邮件被发送后，MFP用户可以使用主计算机，诸如，主设备210之一，来访问电子邮件并进行注册处理。图5是示例性的电子邮件的截屏，该电子邮件包括唯一的注册码和完成注册处理的连接到MFP网络应用的链接。电子邮件500包括注册码502、指令504和链接506。注册码502可以是任何由一个或多个字母和/或一个或多个数字组成的字符串，其唯一标识了发出请求的MFP用户。使用注册码完成注册处理的细节将在下面进行详细阐述。指令504指定了用户应该如何完成注册处理。例如，指令504可以指引用户按照链接506，选择链接或将其粘贴到运行在主设备上的浏览器中。链接506是开始认证处理的URL，例如符合OAuth协议的处理，以认证MFP网络应用220访问外部网络服务230。

D通过编码的链接的注册

在一些实施例中，当MFP网络应用220接收到来自MFP110的注册请求后，MFP网络应用220生成并发送编码的数据，其编码了开始认证处理的链接，例如符合OAuth协议的处理，以认证MFP网络应用220访问到外部网络服务230。被生成和发送的示例的编码数据可以无限制地包括快速响应编码，Microsoft Tagz，EZ tags和其他矩阵编码。

在一些实施例中，MFP网络应用220使得MFP 110打印编码的数据。例如，MFP网络应用220可以发送打印数据或其他打印请求给MFP 110以在打印纸张上中打印编码的数据。为了响应接收打印数据，MFP 110可以使用打印子系统为MFP用户打印编码的数据。附加地或可选地，MFP 110可以在与MFP 110连接的显示面板上显示编码的数据。MFP用户可以从打印纸张或显示面板扫描编码的数据，以按照编码的链接并进行注册处理。在示例性实施例中，MFP用户可以使用与一个主设备210之一相连接的照相机扫描编码的数据。该主设备可以使用应用程序，例如QR编码或其他矩阵编码阅读器，以解码和按照链接。

图6是描绘了印刷纸的框图，其包括注册码和QR码，该QR码是编码完成注册处理的连接到MFP网络应用的链接。打印纸张600包括注册码602，指令604和QR编码606。注册码602可以是任何由一个或多个字母和/或一个或多个数字组成的字符串，其唯一地标识了发出请求的MFP用户。依据具体实施例，如果已经发送了电子邮件，注册码602可以与电子邮件中包括的注册码相同或不同。指令604说明了用户应该如何进行注册处理。例如，指令604可以指示用户扫描QR码606进行注册。QR码606编码向MFP网络应用220的URL链接。当MFP用户扫描和解码QR码以按照链接时，MFP网络应用220开始认证处理，例如符合OAuth协议的处理，以认证访问外部网络服务230的MFP网络应用220。

E浏览器重定向和访问认证

通过按照上面描述的包含在电子邮件或编码数据中的链接，访问到外部网络服务230的MFP网络应用220的认证处理开始了。在一些实施例中，链接可以是重定向URL，其将浏览器或其他客户端应用从与MFP网络应用220相关的站点/网站重定向到与外部网络服务230相关的站点/网站。例如，当用户选择链接时，在主设备210上执行的浏览器应用，发送访问由重定向URL标识的MFP网络应用220的资源的请求。为了响应请求，MFP网络应用220可以重定向浏览器应用到认证终端，例如账户登录到相应的外部网络服务。

图7是认证用户的示例性外部网络服务访问网页的截屏。用户可以通过例如接口700的接口，提交认证证书给外部网络服务。认证证书可以无限制地包括用户ID和密码。用户ID可以是电子邮件地址或其他能唯一标识用户的账户/服务的标识符，其由外部网络服务230提供。被通过接口700提交的认证证书通过接口700提供给外部网络服务230。然而，认证证书没有被提供给MFP网络应用220。因此，MFP用户可以在不向MFP网络应用220泄漏认证证书的情况下授权MFP网络应用访问外部网络服务。

图8描绘授权MFP网络应用访问外部网络服务的示例性授权请求的截屏。接口800标识MFP网络应用220正在请求访问的资源。为了响应选择接受，外部网络服务230向MFP网络应用220提供对用户账户的访问。例如，为了响应用户选择接受，外部网络服务可以返回认证码给MFP网络应用220。MFP网络应用220可以使用该认证码根据OAuth2.0协议的认证码流从外部网络服务230获得访问令牌。在可选的实施例中，MFP网络应用220可以从外部网络服务230中获得访问令牌，而不需要根据OAuth2.0协议的隐含流的认证码。在其他实施例中，MFP网络应用220可以使用其他认证协议以获得一个访问令牌。示例无限制地包含OpenID和SAML。

访问令牌为MFP网络应用220提供对外部网络服务230内部的被保护的资源的访问。在示例实施例中，访问令牌可以允许MFP网络应用220读、写和/或修改与用户账户相关的数据。访问令牌还可以定义允许访问的保护的资源的范围。因此，访问令牌还可以允许MFP网络应用220读，但不允许其写或修改用户账户数据。作为另一个示例，访问令牌还可以允许MFP网络应用220写，但不允许其读或修改用户账户数据。作为另一个示例，访问令牌可以批准对特定类型的资源的访问，例如联系人、电子邮件和/或照片，但是拒绝对其他类型的资源的访问。

F注册码处理和访问令牌映射

在MFP用户已经认证外部网络服务230授予MFP网络应用220访问特权后，控制被定向返回给MFP网络应用220。用户然后被提示通过电子邮件和/或编码数据输入注册码。

图9是描绘通过MFP网络应用提交注册码以注册外部网络服务的接口截屏。接口900包括注册码输入域902、清除按钮904和下一步按钮906。接口900可以通过主设备210(例如，用来按照在电子邮件或编码数据中的链接的相同的主设备)上的浏览器或其他客户端应用被显示。一旦用户在注册码输入域902中输入了注册码，用户可以选择下一步按钮906来进行注册处理。如果用户在输入注册码时出错了，用户可以选择清除按钮904以从输入域902完全删除注册码所有的字符。

MFP网络应用220使用注册码来检索注册MFP网络应用220的MFP用户的MFP用户标识数据。MFP用户标识数据通常包括可以唯一标识使用了MFP 110的一个或者多个MFP用户中的特定MFP用户的任何数据。示例的MFP用户标识数据可以无限制地包含用户ID，卡ID，用户的电子邮件地址和组织ID。

在MFP用户提交了注册码之后，MFP网络应用220可以检索和/或向MFP用户提示MFP用户标识数据映射到访问令牌。图10描绘了示例性接口1000的截屏和图片，所述接口1000通过MFP网络应用显示和提交MFP用户认证数据。参见图10，电子邮件地址1002是依据注册码输入域902提供的注册码自动被检索和被显示。接口1000也包括一下输入域：用户ID(输入域1004)，名(输入域1006)，姓(输入域1008)，和/或卡ID(输入域1010)。在实施例中，如果用户之前提供了这些信息，MFP网络应用220可以使用注册码自动检索和显示在一个或多个这些域中的信息。在可选的实施例中，如果MFP用户在读卡器上扫描或刷他们的MFP卡，该读卡器与用来按照电子邮件或编码数据中的链接的主机箱连接，那么MFP网络应用220只能检索这些信息。如果MFP用户没有使用他们的MFP卡和/或如果MFP网络应用220不能访问MFP用户标识数据，则MFP用户可以在输入域1004-1010中手动输入这些信息。

一旦MFP网络应用220具有MFP用户标识数据，MFP网络应用220生成和存储映射数据，其将MFP用户标识数据映射到访问令牌。图11是示例的数据库模式，其描绘了示例的MFP用户认证数据和由MFP网络应用为注册MFP用户维持的映射数据。数据库模式1100通常包括组织数据1102，注册码数据1104和用户数据1106。组织数据1102存储了那些与一个或多个MFP用户和/或MFP设备相关的标识了组织的数据。例如，组织数据1102可以无限制地包括姓名和拥有MFP110的组织的地址。注册码数据1104存储了那些能从特定的MFP用户唯一标识特定的注册请求的数据。注册码数据1104可以无限制地包括：分配给注册请求的注册码、向提交了注册请求的MFP用户数据1106的链接、注册码的创建时间和注册码有效期。用户数据1106存储了那些能从一个或多个MFP用户中唯一标识MFP用户的数据。用户数据1106可以无限制地包括：用户标识符、名、姓、电子邮件地址、联系人信息、到MFP用户所属的组织的组织数据1102的链接和一系列的一个或多个从相应的一个或多个外部网络服务接收的访问令牌。因此，用户数据1106将特定用户的MFP用户标识数据映射到一系列一个或多个访问令牌。当MFP用户根据这里描述的注册进行注册了多个MFP网络应用时，用户数据1106可以将MFP用户标识数据映射到MFP用户注册的每个MFP网络应用的访问令牌。

图12是描绘了指示注册处理已经完成的示例性通知的截屏。在MFP网络应用220已经生成了映射数据后，屏幕1200可以在主设备210中的一个上的浏览器或其他客户端应用被显示。该映射数据将MFP用户标识数据映射到由外部网络服务230返回的访问令牌。

根据一些实施例，如果没有在预定的时间段前处理注册码，注册码可能过期。例如，如果MFP网络应用220接收了注册码，并且基于注册码数据1104确定该码已经过期，MFP网络应用220可以通知MFP用户该注册码不再有效。MFP用户然后可以向MFP网络应用220重新开始注册处理。

G示例性消息梯状框图

图13是描绘根据实施例的在MFP、MFP网络服务和外部网络服务之间交换的示例性消息的消息梯状框图。在步骤1302，MFP110接收来自MFP用户的注册MFP网络应用的请求。在步骤1304，MFP110向MFP网络应用220发送注册请求。注册请求可以包括电子邮件地址和/或其他标识了提交请求的MFP用户的注册信息。

在步骤1306，MFP网络应用220向MFP110发送注册码和编码到MFP网络应用220的链接的编码数据，MFP网络应用220开始认证MFP网络应用220访问到外部网络服务230的认证处理。附加于步骤1306或与步骤1306可选地，MFP网络应用220可以向注册请求标识的电子邮件地址生成和发送电子邮件，其包含链接和注册码。

在步骤1308，MFP用户按照在步骤1306中发送的电子邮件里或发送的编码数据里的链接。例如，MFP用户可以在链接上单击或将链接复制到主设备210上正在运行的浏览器应用。在步骤1310，主设备210发送并且MFP网络应用220接收访问请求，其包括访问重定向URL。

在步骤1312，MFP网络应用220将主设备210重定向到和外部网络服务230相关的认证终端。在这个步骤中，MFP网络应用220可以向主设备210发送应用标识，其能唯一标识与外部网服务230对应的MFP网络应用220。MFP网络应用220还发送访问请求范围和重定向URL，一旦访问被授予(或拒绝)，外部网络服务230会向所述重定向URL返回主设备210。

在步骤1314，外部网络服务230从主设备210接收客户标识符，重定向URL和认证证书。客户标识符和重定向URL都是在步骤1312提供给主设备210的。然而，认证证书由主设备210发送，并且不泄露给MFP网络应用220。

在步骤1316，外部网络服务230验证认证证书是否正确以认证正在注册MFP用户。例如，外部网络服务230可以确定是否收到了有效的用户ID和密码对。

当用户成功认证时，在步骤1318，外部网络服务230返回访问令牌给MFP网络应用220。访问令牌的返回方式随着实施例的不同而不同。例如，外部网络服务230可以根据OAuth2.0的认证码流在此步骤中先返回认证码给主设备210之一。主设备210然后返回该认证码给MFP网络应用220，所述MFP网络应用220发送认证码给外部网络服务230以获取访问令牌。在可选的实施例中，外部网络服务230可以通过主设备210之一返回该访问令牌给MFP网络应用220，并且不用根据OAuth2.0的隐含授权流返回认证码。在这个步骤中，外部网络服务230还使用在步骤1312提供的重定向URL重定向主设备210返回到MFP网络应用220。

在步骤1320，MFP网络应用220接收来自主设备210的注册码。响应于接收注册码，MFP网络应用220检索MFP用户信息，以注册MFP用户或请求MFP用户通过主设备210提供信息。

在步骤1322，MFP网络应用220生成和存储映射数据，其将MFP用户标识数据映射到在步骤1316接收的访问令牌。例如，MFP网络应用220可以在注册数据库中存储访问令牌，如附图11所示。

IV使用MFP网络应用的外部网络/云服务的安全访问

一旦MFP用户已经完成了注册处理，MFP用户可以通过MFP 110开始使用MFP网络应用220以访问外部网络服务230。用户使用MFP网络应用220的方式以及MFP网络应用220访问外部网络服务230的方式根据实施例的不同而不同。

在一个示例实施例中，MFP网络应用220可以是云应用扫描，由外部网络服务230授予的访问令牌可以授予MFP网络应用220写数据到云存储的访问。一旦注册后，MFP用户可以使用MFP 110生成扫描的图像数据。MFP110然后发送扫描的图像数据给MFP网络应用220，其可以使用文档处理逻辑122以OCR该扫描的数据，使其变成可搜索的文档格式。MFP网络应用220随后可以使用访问令牌以在外部网络服务230里存储文档数据。一旦存储在云端，MFP用户可以通过使用其他网络设备(例如，主设备210之一)登录到外部网络服务来访问文档数据。

在另一实施例中，MFP网络应用220可以是来自云应用的打印，并且由外部网络服务230授权的访问令牌可以授予MFP网络应用220从外部网络服务230读取数据的访问。一旦注册，MFP用户可以通过导航到MFP网络应用220来浏览存储在外部网络服务230上的文档、电子邮件、或其他数据。然后，MFP用户可以用选择由MFP 110打印的特定的文件。作为响应，MFP网络应用220使用访问令牌从外部网络服务230读取文件，使用文档处理逻辑单元122生成文件的打印数据，并将上述打印数据发送至MFP打印。

A.使用MFP网络应用的示例性MFP接口

MFP 110可以为一个或多个MFP用户集提供UI，用来访问各个注册用户注册的一个或者多个MFP网络应用。呈现给一MFP用户的UI在不同实施例之间是不同的，并且根据MFP用户正在访问的MFP网络应用而不同。

图14是描绘了根据实施例的使用MFP网络应用的MFP上的示例性用户接口的截屏。如果MFP用户已经注册使用MFP网络应用220，则可以响应于MFP用户扫描或者刷MFP卡，在MFP110的显示面板上显示接口1400，。在可选的实施例中，在不使用MFP卡时，接口1400可以通过选择对应于MFP用户的用户ID按钮1402中的一个被显示，。用户ID按钮1402显示于显示区域1404，并且可以对应于注册过MFP网络应用220的MFP用户。分类按钮1406可用于通过其被注册使用MFPWeb应用程序220的MFP用户的列表来进行分类。例如，这些按钮用于按照字母限定哪些用户ID按钮1402显示于显示区域1404。如果有相当多数量的MFP用户注册MFP网络应用220，上述限定是有用的。如果MFP用户未注册MFP网络应用220，所述MFP用户可以选择注册新用户按钮1408来开始前述注册处理。电子邮件地址显示区域1410，显示当前使用MFP网络应用220的MFP用户的电子邮件地址。设置按钮1412可以用来改变全体或每个MFP用户的与MFP网络应用220关联的设置。扫描按钮1414可以用来通过MFP网络应用220向当前MFP用户的云服务扫描文档数据。在其他实施例中，不同的按钮、显示区域和/或其他UI元素可以基于MFP用户正访问的特定MFP网络应用，呈现给MFP用户。例如，允许MFP用户浏览和打印电子邮件的MFP网络应用可以包括，浏览电子邮件的显示区域和打印所选电子邮件的打印按钮。因此，这里描述的示例接口仅仅地通过图解而非限定的方式给出。

B RFID和其他智能卡集成

RFID和其他智能卡(“MFP卡”)可以集成于系统100中，增强易用性。例如，来自MFP用户组中的每个用户可以发布不同的MFP卡。每个不同的MFP卡可以与不同的卡标识符相关联。当MFP用户想使用MFP网络应用时，MFP用户可以在与MFP110连接的读卡器刷或扫描他们的MFP卡。

图15是描绘了在注册处理完成后访问外部网络服务的示例性工作流程图的概览的框图。在步骤1502中，MFP用户在与MFP 110连接的读卡器刷或扫描他们的MFP卡。作为响应，运行于MFP 110上的浏览应用从读卡器中获取卡ID。在步骤1504中，MFP 110将卡ID发送至MFP网络应用220。在步骤1506中，MFP网络应用220使用接收到的卡ID，从注册表格中查找和获取相应的用户ID和与其关联的访问令牌。在步骤1508中，MFP网络应用220，通过使用在步骤1506中检索到的一个或多个访问令牌，向外部网络服务230执行一个或多个API调用。

根据一些实施例，MFP用户可以使用单独的MFP卡访问不同的MFP网络应用和外部网络服务。例如，MFP用户的单独的MFP卡可映射到MFP用户注册过的每个MFP网络应用的访问令牌。于是，MFP用户可以在MFP110刷MFP卡。作为响应，MFP 110检索到卡ID并将其发送至第一MFP网络应用(例如，MFP网络应用220)。第一MFP网络应用检索到访问令牌，第一MFP网络应用为所述MFP用户使用所述访问令牌来访问相应的第一外部网络服务。然后，所述MFP用户可导航第二MFP网络应用以访问不同的外部网络服务。所述MFP用户可重新扫描他们的MFP卡，或者，根据特定的实施例，MFP110可以允许MFP用户在不重新扫描MFP卡的情况下，在MFP网络应用之间切换。接着，同样的卡ID被发送至第二MFP网络应用，第二MFP应用可以使用此卡ID查找MFP用户的标识信息，并且检索访问第二外部网络服务的第二访问令牌。第一访问令牌与第二访问令牌是不同的，这是因为，第一外部网络服务发布第一访问令牌，第二外部网络服务发布第二访问令牌。第一访问令牌允许访问第一外部网络服务，但不用来访问第二外部网络服务；然而，第二访问令牌允许访问第二外部网络服务，但不用来访问第一外部网络服务。对于MFP用户注册的其他MFP网络应用，这个处理可以被重复。

卡集成允许MFP网络应用认证和/或区分MFP用户，而不需要MFP用户手动输入鉴定证书。例如，如果MFP网络应用220在步骤1506中检索得到第一卡ID，MFP网络应用220可以使用第一卡ID来标识第一MFP用户的标识数据并检索第一访问令牌。随后，MFP网络应用220接收与第二MFP用户的MFP卡相关联的第二卡ID。然后，MFP网络应用220使用第二卡ID来标识第二MFP用户的标识数据并检索第二访问令牌。第一访问令牌允许MFP网络应用220访问第一用户的外部网络服务230账户，第二访问令牌允许MFP网络应用220访问第二用户的外部网络服务230账户。为防止第二用户访问第一用户的云服务和防止第一用户访问第二用户的云服务，MFP网络应用220可以将对第一访问令牌的访问限制在刷具有第一卡ID的卡的MFP用户，并且将对第二访问令牌的访问限制在刷具有第二卡ID的卡的MFP用户。如果MFP用户没有可用的MFP卡，MFP网络服务120在允许使用MFP网络应用和其相应的访问令牌前，可选地要求MFP用户进行认证。这样，将MFP用户限制于对他们的相应的外部网络服务130账户访问/使用访问令牌。此外，卡ID和/或MFP身份认证证书到访问令牌和外部网络服务之间的关系，可以是一对多的。例如，单个MFP卡和/或MFP认证证书可以映射到多个访问令牌，并且，由此，被用来访问多个不同的外部网络服务。一旦MFP用户注册了MFP网络应用220，MFP用户可以访问外部网络服务230，不需要在每次MFP用户想通过MFP110访问他们账户时向外部网络服务230重复提交身份认证证书，也不会向MFP110或MFP网络服务120泄漏用于外部网络服务230的身份认证证书。上述处理可以在多个MFP网络应用和外部网络服务中重复的，且单个MFP卡可用来访问上述每个服务。

v实现机制

根据一个实施例，这里讨论的技术可通过一个或多个特定用途的计算设备实现。所述特定用途的计算设备可以通过电路来实现该技术，或者包含数字电子设备例如一个或多个特定用途集成电路(ASICs)或现场可编程门阵列(FPGAs)，其均可编程来实现上述技术，或者包含一个或多个普通用途的硬件处理器，依据固件，存储器，其他存储设备或集合设备中的程序指令集编程实现上述技术。这样特定用途的计算设备，还可以结合定制的逻辑电路，ASICs，或定制编程的FPGAs来实现本发明。所述特定用途的计算设备可以是桌面台式计算机系统，便携式计算机系统，手持设备，网络设备或任何电路和/或程序逻辑组合起来实现本发明的其他设备。

例如，图16是描绘了在其上可以实现本发明的实施例的计算机系统1600的框图。计算机系统1600包含总线1602或其他通信结构用来传递信息，和与总线1602相连接的硬件处理器1604用来处理信息。硬件处理器1604(例如，)可以是一般用途的微处理器。

计算机系统1600还包含主存储器1606，如随机存取存储器(RAM)或其他物理存储设备，连接到总线1602用来存储信息和处理器1604执行的指令集。主存储器1606还可用来存储，处理器1604执行指令处理中的中间变量或其他中间信息。这样的指令，存储于非临时的存储介质中，可进入处理器1604中，使计算机系统1600成为特定用途设备，定制地执行指令集中规定的操作。

计算机系统1600还包含只读存储器(ROM)1608或其他静态存储设备，连接到总线1602用来存储静态信息和处理器1604的指令集。可提供存储设备1610，如磁盘，光盘，或固态设备，连接到总线1602，用来存储信息和指令。

计算机系统1600可通过总线1602连接到显示器1612，如阴极射线管显示器(CRT)，来向用户显示信息。包含字母数字和其他键的输入设备1614，连接到向处理器1604传递信息和指令选择的总线1602。另一种类型的用户输入设备是光标控制1616，如鼠标，轨迹球，或光标方向键，用来通信方向信息，控制处理器1604，和控制显示器1612上光标的移动。此输入设备一般在两个轴上具有两个自由度，第一轴(如x轴)，第二轴(如y轴)，这样允许设备在平面内指定位置。

计算机系统1600通过以下方式实现本发明，使用定制的硬件连接逻辑，一个或多个ASICs或FPGAs，固件和/或程序逻辑，与计算机系统结合使得或对计算机系统进行编程使其成为特殊用途的设备。根据一个实施例，本发明的技术通过计算机系统1600实现，响应于处理器1604执行存储于主存储器1606一个或多个指令集。所述指令集可以从另一存储介质(如存储设备1610)读入主存储器1606。执行存储于主存储器1606中的指令集使得处理器1604执行前述处理步骤。在可选的实施例中，硬件连接电路可用来替代软件指令或与软件指令结合。

本发明中提到的“存储介质”，是指存储数据和/或设备以特定方式执行的指令的任何非暂时性的介质。这样的存储介质可以包含非易失性介质和/或易失性介质。非易失性介质包括，例如，光盘、磁盘或固态驱动器，如存储设备1610。易失性介质包括物理存储器，如主存储器1606。存储介质的一般类型包含，例如，软盘，易折磁盘，硬盘，固态驱动器，磁带，或任何其他磁性数据存储介质，CD只读存储器，任何其他光学数据存储介质，任何带孔图案的物理介质，随机存取存储器，可编程只读存储器，电可编程只读存储器，快擦编程只读存储器，非易失随机存取存储器，任何其他芯片或软片存储器。

存储介质，区别于传输介质，但可与传输介质结合使用。传输介质参与存储介质之间的信息传输。例如，传输介质包括同轴电缆，铜线和光纤光缆，包含总线1602的金属线。传输介质也可以是声波或光波的形式，如在无线电波和红外数据通信中生成。

不同形式的介质可传输一个或多个指令集到处理器1604进行执行。例如，指令最初由磁盘或远程计算机的固态驱动器传输。远程计算机可加载指令到其动态存储器且通过电话线使用调制解调器发送指令。计算机系统1600的本地调制解调器通过电话线接收数据，使用红外发射器将数据转换为红外信号。红外探测器可接收红外信号中的数据，且适当的电路可将数据置于总线1602。总线1602将从处理器1604得到和执行指令的数据传输至主存储器1606。主存储器1606接收到的指令，在处理器1604执行之前或之后，可选地存储于存储设备1610。

计算机系统1600还包含，连接到总线1602的通信接口1618。通信接口1618提供两个方式的数据通信，到网络链接1620，其连接到本地网络1622。例如，通信接口1618可以是综合业务数据网(ISDN)卡，电缆调制解调器，卫星调制解调器，或者通过相应类型电话线提供数据通信连接的调制解调器。另一个例子中，通信接口1618可以是局域网(LAN)卡，提供数据通信连接到兼容的LAN。也可应用无线连接。在任何这样的实施中，通信接口1618发送和接收带有代表不同信息类型的数字数据的电子，电磁，或光学信号。

网络链接1620通过一个或多个网络连接，提供数据通信到其他数据设备。例如，网络链接1620可以提供通过本地网络1622到计算机主机1624的连接或者到因特网服务提供商(ISP)1626操作的数据设备。ISP1626通过世界范围内数据包通信网络，现一般称为因特网1628来依次提供数据通信。本地网络1622和因特网1628，都使用电子，电磁或光信号来运载数字数据流。通过不同网络的信号和网络链接1620中和通过通信接口1618的的信号，其运载数字数据从计算机系统1600并到计算机系统1600，都是传输介质的具体例子。计算机系统1600可以通过网络，网络链接1620和通信接口1618，发送消息和接收数据，包括程序代码。在因特网例子中，服务器1630可以通过因特网1628，ISP1626，本地网络1622和通信接口1618，为应用程序发送请求代码。

接收到的代码，在接收后可由处理器1604执行，和/或存储于存储设备1610，或其他非易失性的存储器中，以便以后执行。

在前述的说明中，参照许多具体细节描述的本发明的实施例可以根据不同实施例变化。说明书以及附图，相应地应被认为是说明性的而不是限制性的意义。本发明的范围的唯一和排他的指示以及申请人意图的本发明的范围是本发明的权利要求组的字面和等效范围，并且以这些权利要求的具体形式，包括任何后续的修正。

本申请基于并要求于2013年12月15日提交的美国专利申请第14/081,818号的优先权。

Claims (15)

1.一个或多个非易失性计算机可读介质，用于存储指令，所述指令用来为多功能外围设备提供对一个或多个外部网站服务的访问，其中，由一个或多个处理器处理指令，使得：

在多功能外围网络应用接收来自多功能外围设备的注册请求，以注册具有多功能外围网络应用的多功能外围设备的特定用户，其中，所述多功能外围网络应用至少使用外部网络服务；

响应于接收所述注册请求，执行以下至少一个操作：

生成并发送包括注册码和链接到多功能外围网络应用的链接的电子邮件到与所述特定用户相关联的邮箱地址，或者

向所述多功能外围设备发送所述注册码和包括链接到所述多功能外围网络应用的链接的编码的数据；

重定向请求到外部网络服务来认证所述外部网络服务的特定用户，所述请求从分离于所述多功能外围设备的设备接收；

当成功认证所述特定用户时，在所述多功能外围网络应用接收来自所述外部网络服务的访问令牌，所述访问令牌用于访问所述外部网络服务；

在所述多功能外围网络应用接收来自与所述多功能外围设备分离的设备的所述注册码；以及

当在所述多功能外围网络应用接收所述访问令牌和所述注册码后，在所述多功能外围网络应用上存储映射数据，所述映射数据将所述特定用户的多功能外围设备用户标识数据映射到访问所述外部网络服务的访问令牌。

2.如权利要求1所述的一个或多个非易失性计算机可读介质，其中所述指令使得，响应于接收注册请求，生成并向与所述特定用户相关联的邮箱地址发送包括所述注册码和链接到所述多功能外围网络应用的链接的电子邮件。

3.如权利要求1所述的一个或多个非易失性计算机可读介质，其中，所述指令使得，响应于接收注册请求，向所述多功能外围设备发送所述注册码和包括链接到所述多功能外围网络应用的链接的编码的数据。

4.如权利要求3所述的一个或多个非易失性计算机可读介质，其中，用于向所述多功能外围设备发送所述注册码和包括链接到所述多功能外围网络应用的链接的编码的数据的所述指令，使得所述多功能外围设备生成所述注册码和编码链接到所述多功能外围网络应用的链接的快速响应(QR)码的物理打印输出。

5.如权利要求1所述的一个或多个非易失性计算机可读介质，其中，所述多功能外围设备用户身份标识数据包括卡标识数据，所述卡标识数据标识与所述特定用户相关联并可被所述多功能外围设备上的读卡器读取的特定卡，其中，所述一个或多个非易失性计算机可读介质进一步存储指令使得：

在多功能外围网络应用接收来自多功能外围设备的卡标识数据，所述卡标识数据标识与所述特定用户相关联并可被所述多功能外围设备上的读卡器读取的特定卡；

响应于在所述多功能外围网络应用接收来自所述多功能外围设备的卡标识数据，检索访问所述外部网络服务的访问令牌，所述卡标识数据标识与所述特定用户相关并可被所述多功能外围设备的读卡器读取的特定卡。

6.如权利要求5所述的一个或多个非易失性计算机可读介质，其中，所述外部网络服务是所述多功能外围设备的特定用户可访问的多个外部网络服务中的第一外部网络服务，所述一个或多个非易失性计算机可读介质进一步存储指令使得：

响应于在所述多功能外围网络应用接收来自所述多功能外围设备的用来标识与所述特定用户相关联并被所述多功能外围设备的读卡器读取的特定卡的卡标识数据，检索访问多个外部网络服务中的第二外部网络服务的第二访问令牌；

其中，所述第二访问令牌不同于所述第一访问令牌；

其中，所述第二外部网络服务是与所述第一外部网络服务分离的服务。

7.如权利要求5所述的一个或多个非易失性计算机可读介质，其中，所述特定用户是所述多功能外围设备的多个用户中的第一用户；其中，所述一个或多个非易失性计算机可读介质进一步存储指令使得：

在多功能外围网络应用接收来自多功能外围设备的第二卡标识数据，所述第二卡标识数据标识与多个用户中的第二特定用户相关联并可被所述多功能外围设备的读卡器读取的第二特定卡；

响应于在多功能外围网络应用接收来自多功能外围设备的用来标识与所述第二特定用户相关联并可被所述多功能外围设备的读卡器读取的第二特定卡的第二卡标识数据，检索访问所述外部网络服务的第二访问令牌。

其中，所述多功能外围网络应用将对用于访问所述外部网络服务的第一访问令牌的访问限定于所述第一用户，将对用于访问所述外部网络服务的第二访问令牌的访问限定于所述第二用户。

8.为多功能外围设备提供访问一个或多个外部网络服务的系统(1600)，所述系统包括：

一个或多个处理器(1604)；

一个或多个存储指令的非易失性计算机可读介质(1606)，其中，通过一个或多个处理器来处理这些指令，使得：

在多功能外围网络应用接收来自所述多功能外围设备的注册请求，以注册具有多功能外围网络应用的多功能设备的特定用户，其中，所述多功能外围网络应用至少使用外部网络服务；

响应于接收注册请求，执行以下至少一个操作：

生成并发送包括注册码和链接到多功能外围网络应用的链接的电子邮件到与所述特定用户相关联的邮箱地址，或者

向所述多功能外围设备发送注册码和包括链接到多功能外围网络应用的链接的编码的数据；

重定向请求到外部网络服务来认证所述外部网络服务的特定用户，所述请求从分离于所述多功能外围设备的设备接收；

当成功认证所述特定用户时，在多功能外围网络应用接收来自所述外部网络服务的访问令牌，所述访问令牌用于访问所述外部网络服务；

在多功能外围网络应用接收来自与所述多功能外围设备分离的设备的所述注册码；以及

当在所述多功能外围网络应用接收所述访问令牌和注册码后，在所述多功能外围网络应用上存储映射数据，所述映射数据用来将所述特定用户的多功能外围设备用户身份标识数据映射到访问外部网络服务的访问令牌。

9.如权利要求8所述的系统，其中，所述指令使得，响应于接收注册请求，生成并发送包括注册码和链接到所述多功能外围网络应用的链接的电子邮件到与所述特定用户相关联的邮箱地址。

10.如权利要求8所述的系统，其中，所述指令使得，响应于接收注册请求，发送所述注册码和包括链接到所述多功能外围网络应用的链接的编码的数据到所述多功能外围设备。

11.如权利要求10所述的系统，其中，发送注册码和包括链接到所述多功能外围网络应用的链接的编码的数据到所述多功能外围设备的指令，使得所述多功能外围设备生成注册码和编码链接到所述多功能外围网络应用的链接的快速响应(QR)码的物理打印输出。

12.如权利要求8所述的系统，其中，所述多功能外围设备用户标识数据包括卡标识数据，所述卡标识数据标识与所述特定用户相关联并可被所述多功能外围设备的读卡器读取的特定卡，其中，所述一个或多个非易失性计算机可读介质进一步存储指令使得：

在多功能外围网络应用接收来自多功能外围设备的卡标识数据，所述卡标识数据标识与所述特定用户相关联并可被所述多功能外围设备上的读卡器读取的特定卡；

响应于在多功能外围网络应用接收来自多功能外围设备的卡标识数据，检索访问所述外部网络服务的访问令牌，所述卡标识数据标识与所述特定用户相关并可被所述多功能外围设备的读卡器读取的特定卡。

13.如权利要求12所述的系统，其中，所述外部网络服务是所述多功能外围设备的特定用户可访问的多个外部网络服务中的第一外部网络服务，所述一个或多个非易失性计算机可读介质进一步存储指令使得：

响应于在多功能外围网络应用接收来自所述多功能外围设备的用来标识与所述特定用户相关联并可被所述多功能外围设备的读卡器读取的特定卡的卡标识数据，检索访问多个外部网络服务的第二外部网络服务的第二访问令牌；

其中，所述第二访问令牌不同于所述第一访问令牌；

其中，所述第二外部网络服务是与所述第一外部网络服务分离的独立服务。

14.如权利要求12所述的系统，其中，所述特定用户是所述多功能外围设备的多个用户中的第一用户；其中，所述一个或多个非易失性计算机可读介质进一步存储指令使得：

在多功能外围网络应用接收来自多功能外围设备的第二卡标识数据，所述第二卡标识数据标识与多个用户中的第二特定用户相关联并可被多功能外围设备的读卡器读取的第二特定卡；

响应在多功能外围网络应用接收来自所述多功能外围设备的用来标识与所述第二特定用户相关并可被所述多功能外围设备的读卡器读取的第二特定卡的第二卡标识数据，检索访问所述外部网络服务的第二访问令牌。

其中，所述多功能外围网络应用将对用于访问所述外部网络服务的第一访问令牌的访问限定于所述第一用户，将对用于访问所述外部网络服务的第二访问令牌的访问限定于所述第二用户。

15.为多功能外围设备提供对一个或多个外部网络服务的访问的方法，所述方法包括：

在多功能外围网络应用接收来自多功能外围设备的注册请求，以注册具有多功能外围网络应用的多功能外围设备的特定用户，其中，所述多功能外围网络应用至少使用外部网络服务；

响应于接收所述注册请求，执行以下至少一个操作：

生成并发送包括注册码和链接到多功能外围网络应用的链接的电子邮件到与所述特定用户相关联的邮箱地址，或者

向所述多功能外围设备发送所述注册码和包括链接到所述多功能外围网络应用的链接的编码的数据；

重定向请求到外部网络服务来认证所述外部网络服务的特定用户，所述请求从分离于所述多功能外围设备的设备接收；

当成功认证所述特定用户时，在所述多功能外围网络应用接收来自所述外部网络服务的访问令牌，所述访问令牌用于访问所述外部网络服务；

在多功能外围网络应用接收来自与所述多功能外围设备分离的设备的所述注册码；以及

当在所述多功能外围网络应用接收所述访问令牌和所述注册码后，在所述多功能外围网络应用上存储映射数据，所述映射数据将所述特定用户的多功能外围设备用户标识数据映射到访问所述外部网络服务的访问令牌。