CN104954330B - 一种对数据资源进行访问的方法、装置和系统 - Google Patents
一种对数据资源进行访问的方法、装置和系统 Download PDFInfo
- Publication number
- CN104954330B CN104954330B CN201410120598.8A CN201410120598A CN104954330B CN 104954330 B CN104954330 B CN 104954330B CN 201410120598 A CN201410120598 A CN 201410120598A CN 104954330 B CN104954330 B CN 104954330B
- Authority
- CN
- China
- Prior art keywords
- account
- identification
- resource
- server
- access right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种对数据资源进行访问的方法、装置和系统,涉及互联网技术领域,所述方法包括:第一账户服务器接收终端发送的携带有第一账户标识和资源标识的第一访问权信息请求;所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求;所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息;所述第一账户服务器将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。采用本发明,可以提高互联网的数据资源访问的灵活性。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种对数据资源进行访问的方法、装置和系统。
背景技术
随着互联网技术的快速发展,互联网的功能越来越丰富、强大,互联网已经逐渐得到了普及和快速发展。在互联网中,各种类型的互联网数据资源越来越丰富,如:视频资源、音频资源、文本资源等。
在互联网的使用过程中,越来越多的业务提供商选择将各种互联网数据资源的获取或者浏览集成到自身的应用中来。例如:用户在新浪微博应用中点击某一条新闻链接时,其新闻内容是通过新浪服务器从新闻资源所在的资源服务器中获取,并通过新浪服务器和新浪微博应用间的通道传递给用户的。这种方式的优势在于,新浪服务器可以对该新闻资源进行塞选,仅向新浪微博应用发送用户所感兴趣的内容。
但是,现有技术仅对于被访问的互联网数据资源为公开的情况下才适用,而在该资源为仅在特定群组内共享时,现有技术则无法完成新浪服务器对该资源的获取。
发明内容
为了提高互联网的数据资源访问的灵活性,本发明实施例提供了一种对数据资源进行访问的方法、装置和系统。所述技术方案如下:
第一方面,提供了一种对数据资源进行访问的方法,所述方法包括:
第一账户服务器接收终端发送的携带有第一账户标识和资源标识的第一访问权信息请求;
所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,所述授权请求中携带有所述第一账户标识、第二账户标识和所述资源标识,所述第二账户标识为所述资源所有者账户的账户标识;以使第二账户服务器根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;
所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息;
所述第一账户服务器将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
第二方面,提供了一种对数据资源进行访问的方法,所述方法包括:
第二账户服务器接收第一账户服务器发送的授权请求,所述授权请求中携带有第一账户标识、第二账户标识和资源标识;其中,所述授权请求由第一账户服务器在接收到终端发送的携带有所述第一账户标识和所述资源标识的第一访问权信息请求后发送,所述第二账户标识为所述资源标识对应的资源所有者账户的账户标识,所述资源所有者账户属于所述第二账户服务器;
所述第二账户服务器根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;以使所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息,并将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
第三方面,提供了一种第一账户服务器,所述第一账户服务器包括:
接收模块,用于接收终端发送的携带有第一账户标识和资源标识的第一访问权信息请求;
请求模块,用于向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,所述授权请求中携带有所述第一账户标识、第二账户标识和所述资源标识,所述第二账户标识为所述资源所有者账户的账户标识;以使第二账户服务器根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;
获取模块,用于在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息;
发送模块,用于将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
第四方面,提供了一种第二账户服务器,所述第二账户服务器包括:
接收模块,用于接收第一账户服务器发送的授权请求,所述授权请求中携带有第一账户标识、第二账户标识和资源标识;其中,所述授权请求由第一账户服务器在接收到终端发送的携带有所述第一账户标识和所述资源标识的第一访问权信息请求后发送,所述第二账户标识为所述资源标识对应的资源所有者账户的账户标识,所述资源所有者账户属于所述第二账户服务器;
授权模块,用于根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;以使所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息,并将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
第五方面,提供了一种对数据资源进行访问的系统,所述系统包括第一账户服务器、第二账户服务器、资源服务器和终端,其中:
所述第一账户服务器,用于接收所述终端发送的携带有第一账户标识和资源标识的第一访问权信息请求;向所述资源标识对应的资源所有者账户所属的所述第二账户服务器发送授权请求,所述授权请求中携带有所述第一账户标识、第二账户标识和所述资源标识,所述第二账户标识为所述资源所有者账户的账户标识;在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的所述资源服务器获取访问权信息;将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
所述第二账户服务器,用于接收所述第一账户服务器发送的授权请求;根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息。
本发明实施例提供的技术方案的有益效果是:
通过本发明实施例对互联网的数据资源进行访问授权时,第一账户服务器和第二账户服务器可以是不同应用的账户服务器,也即,资源请求者和资源所有者的账户可以是不同业务系统的账户,通过本发明实施例,可以实现不同业务系统的账户之间进行数据资源访问授权,从而可以提高互联网的数据资源访问的灵活性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的对数据资源进行访问的方法流程图;
图2是本发明实施例提供的对数据资源进行访问的方法流程图;
图3是本发明实施例提供的对数据资源进行访问的方法流程图;
图4是本发明实施例提供的对数据资源进行访问的方法流程图;
图5是本发明实施例提供的第一账户服务器的结构示意图;
图6是本发明实施例提供的第二账户服务器的结构示意图;
图7是本发明实施例提供的对数据资源进行访问的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明实施例提供了一种对数据资源进行访问的方法,该方法可以由终端、第一账户服务器、第二账户服务器和资源服务器共同实现。如图1所示,该方法在第一账户服务器的处理流程可以包括如下的步骤:
步骤101,第一账户服务器接收终端发送的携带有第一账户标识和资源标识的第一访问权信息请求。
步骤102,第一账户服务器向资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,该授权请求中携带有第一账户标识、第二账户标识和资源标识,第二账户标识为该资源所有者账户的账户标识;以使第二账户服务器根据预设的授权机制,对授权请求进行授权,并向第一账户服务器返回授权信息。
步骤103,第一账户服务器在接收到授权信息后,根据授权信息,从资源标识对应的资源服务器获取访问权信息。
步骤104,第一账户服务器将获取的访问权信息发送给终端,以使终端根据接收的访问权信息,对资源标识对应的数据资源进行访问。
如图2所示,该方法在第二账户服务器的处理流程可以包括如下的步骤:
步骤201,第二账户服务器接收第一账户服务器发送的授权请求,该授权请求中携带有第一账户标识、第二账户标识和资源标识;其中,授权请求由第一账户服务器在接收到终端发送的携带有第一账户标识和资源标识的第一访问权信息请求后发送,第二账户标识为资源标识对应的资源所有者账户的账户标识,资源所有者账户属于第二账户服务器。
步骤202,第二账户服务器根据预设的授权机制,对授权请求进行授权,并向第一账户服务器返回授权信息;以使第一账户服务器在接收到授权信息后,根据授权信息,从资源标识对应的资源服务器获取访问权信息,并将获取的访问权信息发送给终端,以使终端根据接收的访问权信息,对资源标识对应的数据资源进行访问。
通过本发明实施例对互联网的数据资源进行访问授权时,第一账户服务器和第二账户服务器可以是不同应用的账户服务器,也即,资源请求者和资源所有者的账户可以是不同业务系统的账户,通过本发明实施例,可以实现不同业务系统的账户之间进行数据资源访问授权,从而可以提高互联网的数据资源访问的灵活性。
实施例二
本发明实施例提供了一种对数据资源进行访问的方法,该方法可以由终端、第一账户服务器、第二账户服务器和资源服务器共同实现。终端是资源请求者使用的终端,可以是任意终端。资源服务器是资源所有者存储数据资源的服务器。第一账户服务器可以是资源请求者账户的账户服务器,第二账户服务器可以是资源所有者账户的账户服务器,第一账户服务器和第二账户服务器可以是业务系统的账户服务器(如新浪账户服务器、QQ账户服务器等)。优选的,第一账户服务器和第二账户服务器也可以是IdP(Identity Provider,身份提供商)的账户服务器。IdP是通过OpenID(开放式身份)技术为互联网中不同的业务提供账户密码管理和登录管理的服务提供商,如google、yahoo等,业务提供商可以无需设置各自独立的账户系统,多个业务提供商可以使用同一IdP提供的账户密码,用户可以使用在IdP的账户服务器注册账户登录多个业务系统。
如图3所示,该方法的处理流程可以包括如下的步骤:
步骤301,第一账户服务器接收终端发送的携带有第一账户标识和资源标识的第一访问权信息请求。
资源请求者可以在终端启动第一客户端程序(应用程序或网页程序),登录第一账户标识(可以是账号,如邮箱账号)对应的第一账户(可以是在业务系统注册的账户也可以是在IdP注册的账户)。然后,资源请求者可以在第一客户端程序中点击相应的数据资源的链接,请求访问相应的数据资源,该数据资源可以是第一客户端程序所属的业务系统的资源服务器中的数据资源,也可以是其它业务系统中的数据资源。终端会根据用户点击选择的数据资源的数据资源标识和资源请求者账户的第一账户标识,生成第一访问权信息请求,并发送给第一账户标识所属的第一账户服务器。访问权信息是用于证明具有访问相应的数据资源的权限的信息。第一访问权信息请求用于终端向第一账户服务器请求访问权信息。第一访问权信息请求还可以携带有终端的回调地址,用于后续第一账户服务器向终端反馈访问权信息。
步骤302,第一账户服务器向资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,该授权请求中携带有第一账户标识、第二账户标识和资源标识,第二账户标识为该资源所有者账户的账户标识。授权请求中还可以携带有第一账户服务器的回调地址,用于后续的第二账户服务器向第一账户服务器反馈授权信息。
具体的,首先,第一账户服务器将资源标识发送给该资源标识对应的资源服务器,并接收资源服务器反馈的资源标识对应的资源所有者账户的第二账户标识。在资源服务器中存储有数据资源,而且可以存储数据资源的资源标识和数据资源所属的资源所有者账户的账户标识的对应关系。根据该对应关系可以查询出上述资源标识对应的账户标识为第二账户标识。
然后,第一账户服务器向第二账户标识所属的第二账户服务器发送授权请求。具体的,第一账户服务器可以根据预先存储的账户标识和账户服务器的从属关系,确定第二账户标识所属的第二账户服务器;第一账户服务器向第二账户服务器发送授权请求。
优选的,还可以对授权请求进行签名加密,以下给出了两种优选的加密方式,具体的,在第一账户服务器向资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求之前,可以进行以下处理:
处理一,第一账户服务器从资源服务器获取签名算法和签名密钥;第一账户服务器根据签名算法和签名密钥,对授权请求进行签名加密。
资源服务器可以预先存储有用于签名加密的签名算法和签名密钥。第一账户服务器可以根据获取的签名算法和签名密钥对授权请求进行计算得到其摘要,作为签名信息加入授权请求中,生成经过签名加密的授权请求。
处理二,第一账户服务器向资源服务器发送携带有该授权请求的签名加密请求,以使资源服务器根据存储的签名算法和签名密钥对该授权请求进行签名加密;第一账户服务器接收资源服务器发送的经过签名加密的授权请求。
资源服务器可以预先存储有用于签名加密的签名算法和签名密钥。资源服务器可以根据签名算法和签名密钥对授权请求进行计算得到其摘要,作为签名信息加入授权请求中,生成经过签名加密的授权请求。
步骤303,第二账户服务器接收第一账户服务器发送的授权请求。
步骤304,第二账户服务器根据预设的授权机制,对授权请求进行授权,并向第一账户服务器返回授权信息。
对于上述第一账户服务器对授权请求进行签名加密(即授权请求中携带有签名信息)的情况,第二账户服务器可以对授权请求进行签名验证,以下给出了两种优选的签名验证的方法,相应的步骤304的处理可以如下:
方法一,第二账户服务器从资源服务器获取签名算法和签名密钥;第二账户服务器根据签名算法和签名密钥,对授权请求进行签名验证,在验证通过后,根据预设的授权机制,对授权请求进行授权。
第二账户服务器可以根据授权请求中的资源标识确定所属的资源服务器。资源服务器可以预先存储有用于签名加密的签名算法和签名密钥。第二账户服务器可以根据获取的签名算法和签名密钥对授权请求进行计算得到其摘要(可以是计算授权请求除去签名信息的部分的摘要),然后将得到的摘要与签名信息进行比较,如果相同则验证通过,否则验证不通过。
方法二,第二账户服务器向资源服务器发送携带有该授权请求的签名验证请求,以使资源服务器根据存储的签名算法和签名密钥对所述授权请求进行签名验证,并在验证通过后向第二账户服务器发送验证成功信息;第二账户服务器在接收到资源服务器发送的验证成功信息后,根据预设的授权机制,对授权请求进行授权。
第二账户服务器可以根据授权请求中的资源标识确定所属的资源服务器。资源服务器可以预先存储有用于签名加密的签名算法和签名密钥。资源服务器可以根据签名算法和签名密钥对授权请求进行计算得到其摘要(可以是计算授权请求除去签名信息的部分的摘要),然后将得到的摘要与签名信息进行比较,如果相同则验证通过,否则验证不通过。
如果上述签名验证不通过,第二账户服务器可以向第一账户服务器返回签名验证失败的信息。
在实施中,预设的授权机制可以有很多种,可以由资源所有者通过资源所有者账户来设置,或者可以由资源服务器提供多种授权机制并由资源所有者选择。预设的授权机制可以是,对携带有预先设定的账户标识的授权请求进行授权,其它授权请求不进行授权。或者,优选的,预设的授权机制可以如下:
首先,第二账户服务器向第二账户标识对应的账户(即资源所有者账户)发送授权请求通知,授权请求通知中携带有第一账户标识和资源标识。
具体的,第二账户服务器可以通过第二账户标识对应的业务系统向第二账户标识对应的账户以系统通知的形式发送授权请求通知,或者,也可以向第二账户标识对应的账户所关联的邮箱发送授权请求通知。在授权请求通知中可以设置地址链接,资源所有者收到通知后,可以根据其中的第一账户标识和资源标识,判断是否允许第一账户标识对应的账户访问资源标识对应的数据资源,可以点击地址链接,进入授权界面中,点击“授权”或“拒绝”的选项。
然后,第二账户服务器在接收到对应授权请求通知的授权确认后,向第一账户服务器返回授权信息。可以根据第一账户服务器的回调地址向第一账户服务器返回授权信息。
上述用户点击“授权”的选项后,则向第二账户服务器发送对应上述授权请求通知的授权确认。第二账户服务器接收到授权确认后,可以获取授权信息(授权信息可以临时生成,也可以预先存储),并发送给第一账户服务器。第二账户服务器还可以将授权信息与第一账户标识、第二账户标识、资源标识对应的进行存储。授权信息可以具体为授权码。
步骤305,第一账户服务器在接收到授权信息后,根据授权信息,从资源标识对应的资源服务器获取访问权信息。具体的,该步骤可以按照如下方式执行:
首先,第一账户服务器可以在接收到授权信息后,向资源标识对应的资源服务器发送第二访问权信息请求,第二访问权信息请求中携带有第一账户标识、第二账户标识、资源标识和授权信息;以使资源服务器对授权信息进行验证,并在验证通过后,生成访问权信息,发送给第一账户服务器。
其中,第二访问权信息请求用于第一账户服务器向资源服务器请求访问权信息。
具体的,资源服务器可以将第一账户标识、第二账户标识、资源标识和授权信息发送给第二账户服务器进行验证,并在验证通过后,生成访问权信息,发送给第一账户服务器。
基于上述第二账户服务器存储的授权信息与第一账户标识、第二账户标识、资源标识的对应关系,资源服务器对授权信息验证的过程可以包括:资源服务器向第二账户服务器发送授权信息验证请求,授权信息验证请求中携带有第二访问权信息请求中携带的第一账户标识、第二账户标识、资源标识和授权信息;第二账户服务器根据其存储的授权信息与第一账户标识、第二账户标识、资源标识的对应关系对授权信息验证请求进行验证(判断存储的对应关系中是否有授权信息验证请求中携带的第一账户标识、第二账户标识、资源标识和授权信息的对应关系),如果验证通过,则向资源服务器发送成功信息,如果验证不通过,则向资源服务器发送失败信息。资源服务器在接收到成功信息后确定对授权信息验证通过。
资源服务器可以存储访问权信息与第一账户标识、第二账户标识、资源标识的对应关系,用于在资源请求者进行数据资源访问时验证其是否被授权。
然后,第一账户服务器接收资源服务器发送的访问权信息。
上述的访问权信息中可以包括访问码。其次,还可以包括更新码。另外,还可以包括访问码的有效期。
步骤306,第一账户服务器将获取的访问权信息发送给终端,以使终端根据接收的访问权信息,对资源标识对应的数据资源进行访问。
终端可以向资源服务器发送携带该访问权信息和第一账户标识、第二账户标识(也可以不携带第二账户标识)、资源标识的资源访问请求。资源服务器根据其存储的访问权信息与第一账户标识、第二账户标识、资源标识的对应关系,对资源访问请求进行权限验证,在验证通过后,则向终端发送资源标识对应的数据资源。
本发明实施例中,第一账户服务器根据授权信息从资源标识对应的资源服务器获取访问权信息之后,第一账户服务器将获取的访问权信息与第一账户标识、资源标识对应存储。基于第一账户服务器存储的访问权信息与第一账户标识、资源标识的对应关系,在步骤301之后,可以按照如下的方式处理:
情况1,如果第一账户服务器没有存储第一账户标识和资源标识对应的访问权信息,则第一账户服务器向资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,即执行步骤302-306的处理。
情况2,如果第一账户服务器存储有第一账户标识和资源标识对应的访问权信息,则第一账户服务器将其存储的第一账户标识和资源标识对应的访问权信息发送给终端,以使终端根据接收的访问权信息,对资源标识对应的数据资源进行访问。具体处理可以参见本发明实施例上面的内容。
本发明实施例中,还可以建立不同账户之间的关联关系,即存储不同账户标识之间的关联关系,建立有关联关系的账户之间可以共享访问权信息。具体的,第一账户服务器可以预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系。验证信息用于验证相关联的关系。
基于账户之间的关联关系,上述情况1的处理可以具体按如下方式处理:
首先,如果第一账户服务器没有存储第一账户标识和资源标识对应的访问权信息,且根据预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系,确定第一账户标识具有相关联的第三账户标识和对应的验证信息,则第一账户服务器向第三账户标识所属的第三账户服务器发送第三访问权信息请求,第三访问权信息请求中携带有第三账户标识、第三账户标识对应的验证信息、资源标识。
然后,第三账户服务器在根据第三访问权信息请求中携带的验证信息对第三访问权信息请求验证通过后,如果存储有第三账户标识和资源标识对应的访问权信息,则向第一账户服务器发送第三账户标识和资源标识对应的访问权信息,如果没有存储第三账户标识和资源标识对应的访问权信息,则向第一账户服务器发送请求失败信息。
第三账户服务器可以将第三访问权信息请求中携带的验证信息,与本地存储的第三账户标识对应的验证信息进行比较,如果相同则验证通过。
最后,如果第一账户服务器接收到第三账户服务器发送的请求失败信息,则第一账户服务器向资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,即执行步骤302-306的处理。
如果第一账户服务器接收到第三账户服务器发送的访问权信息,则将接收到的访问权信息发送给终端,以使终端根据接收的访问权信息,对资源标识对应的数据资源进行访问。具体处理可以参见本发明实施例上面的内容。
本发明实施例中,建立关联关系的过程可以如下:
首先,第一账户服务器接收终端发送的账户关联请求,第一账户关联请求中携带有第一账户标识和第三账户标识。其中,第一账户标识为发起账户关联请求的账户的标识,第三账户标识为请求与第一账户标识的账户进行关联的账户的标识。
然后,第一账户服务器向第三账户标识所属的第三账户服务器发送账户关联请求。第一账户服务器可以先确定第三账户标识对应的第三账户服务器,然后向第三账户服务器发送账户关联请求。
再后,第三账户服务器在对账户关联请求进行关联授权验证通过后,向第一账户服务器发送第三账户标识对应的验证信息。
这里,进行关联授权验证方法有很多种,例如,第三账户服务器可以通过第三账户标识对应的业务系统向第三账户标识对应的账户以系统通知的形式发送关联授权通知,或者,也可以向第三账户标识对应的账户所关联的邮箱发送关联授权通知。关联授权通知中携带有第一账户标识。接收到对应该关联授权通知的关联授权确认后,则确定关联授权验证通过。
第三账户服务器可以存储账户标识和验证信息的对应关系,其中包括第三账户标识与其验证信息的对应关系。
最后,第一账户服务器接收第三账户服务器发送的第三账户标识对应的验证信息,并在存储的本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系中,加入第一账户标识与第三账户标识、验证信息的对应关系。
本发明实施例中,第一账户服务器在根据授权信息从资源标识对应的资源服务器获取访问权信息之后,可以将获取的访问权信息与第一账户标识和资源标识对应的存储。优选的,访问权信息中可以包括访问码,可以为访问码设置有效期,访问权信息中还可以包括更新码,更新码用于对过期的访问码进行更新。更新的处理过程可以如下:
首先,第一账户服务器向资源服务器发送访问权更新请求,访问权更新请求中携带有第一账户标识、资源标识以及存储的与第一账户标识和资源标识对应的访问权信息中包括的更新码。
然后,资源服务器对更新码验证通过后,生成新的访问权信息,发送给第一账户服务器。
资源服务器可以将访问权更新请求中携带的更新码,与本地存储的第一账户标识和资源标识对应的访问权信息中的更新码进行比较,如果相同则验证通过。
再后,第一账户服务器接收资源服务器发送的访问权信息,用接收到的访问权信息对存储的与第一账户标识和资源标识对应的访问权信息进行替换,并将接收到的访问权信息发送给终端。
最后,终端对其存储的资源标识对应的访问权信息进行替换。
终端可以存储资源标识与访问权信息的对应关系,这里,终端可以将其存储的与上述资源标识对应的访问权信息替换为接收到的访问权信息。
通过本发明实施例对互联网的数据资源进行访问授权时,第一账户服务器和第二账户服务器可以是不同应用的账户服务器,也即,资源请求者和资源所有者的账户可以是不同业务系统的账户,通过本发明实施例,可以实现不同业务系统的账户之间进行数据资源访问授权,从而可以提高互联网的数据资源访问的灵活性。
实施例三
下面将结合具体的应用场景,对本发明实施例提供的对数据资源进行访问的方法进行详细阐述,该场景中,以新浪微博的用户访问微博中的网盘链接为例,该网盘业务系统支持QQ账号登录,即QQ账户服务器(后面简称IdP_QQ)是该网盘业务系统的IdP账户服务器。具体的处理流程可以如图4所示,包括如下的步骤:
步骤401,资源请求者在终端运行微博客户端(网页程序),并登录新浪微博的IdP提供的账号(user@sina.com.cn),点击一个网盘数据资源的链接(后面简称资源链接),这时,终端则向新浪微博的IdP账户服务器(后面简称IdP_微博)发送第一访问权信息请求。第一访问权信息请求中携带有微博账号、资源链接(即为资源标识)、终端的回调地址。
步骤402,IdP_微博确定链接对应的资源所有者账户(QQ账号,123456@qq.com),查询本地是否存储有与微博账号、QQ账号对应的访问权信息,对于没有存储的情况,IdP_微博向IdP_QQ发送授权请求。授权请求中携带有微博账号、QQ账号、资源链接、IdP_微博的回调地址。
另外,还可以对对授权请求进行签名加密,具体处理可以参照实施例二的相关内容。
步骤403,IdP_QQ向邮箱123456@qq.com发送含有授权请求通知的邮件。
对于授权请求已经过签名加密的情况,IdP_QQ可以对接收到的授权请求进行签名验证,具体处理可以参照实施例二的相关内容。
步骤404,资源所有者根据邮件内容中的授权请求通知决定是否对微博账号进行授权操作,如果成功进行授权操作,则向IdP_QQ发送授权确认。
步骤405,IdP_QQ生成授权码,将授权码与微博账号、QQ账号、资源链接对应存储,并根据IdP_微博的回调地址将授权码发送给IdP_微博。
步骤406,IdP_微博向网盘服务器发送第二访问权信息请求。第二访问权信息请求中携带有微博账号、QQ账号、资源链接和授权码。
步骤407,网盘服务器向IdP_QQ发送授权信息验证请求。授权信息验证请求中携带有微博账号、QQ账号、资源链接和授权码。
步骤408,IdP_QQ将授权信息验证请求中的授权码与本地存储的微博账号、QQ账号、资源链接对应的授权码比较,如果相同,则通知网盘服务器验证通过。
步骤409,网盘服务器生成访问权信息,并发送给IdP_微博。访问权信息可以包括访问码、有效期、更新码,格式可以如下:
{access_token:"***",expires_in:3600,refresh_token:"***"},其中,access_token为访问码,expires_in为有效期,refresh_token为更新码,"***"为生成的访问码和更新码,这里假设有效期为3600秒。
步骤410,IdP_微博将访问权信息与微博账号、QQ账号、资源链接对应的存储,并通过终端的回调地址将访问权信息发送给终端。
步骤411,终端根据访问权信息,从网盘服务器获取资源链接对应的网盘数据资源。
通过本发明实施例对互联网的数据资源进行访问授权时,第一账户服务器和第二账户服务器可以是不同应用的账户服务器,也即,资源请求者和资源所有者的账户可以是不同业务系统的账户,通过本发明实施例,可以实现不同业务系统的账户之间进行数据资源访问授权,从而可以提高互联网的数据资源访问的灵活性。
实施例四
基于相同的技术构思,本发明实施例还提供了一种第一账户服务器,如图5所示,所述第一账户服务器包括:
接收模块510,用于接收终端发送的携带有第一账户标识和资源标识的第一访问权信息请求;
请求模块520,用于向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,所述授权请求中携带有所述第一账户标识、第二账户标识和所述资源标识,所述第二账户标识为所述资源所有者账户的账户标识;以使第二账户服务器根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;
获取模块530,用于在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息;
发送模块540,用于将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
优选的,所述请求模块520,用于:如果所述第一账户服务器没有存储所述第一账户标识和所述资源标识对应的访问权信息,则所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求;
所述发送模块540,还用于:如果所述第一账户服务器存储有所述第一账户标识和所述资源标识对应的访问权信息,则将存储的所述第一账户标识和所述资源标识对应的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
还包括存储模块,用于将获取的访问权信息与所述第一账户标识和所述资源标识对应存储。
优选的,还包括关联模块,用于预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系;
所述请求模块520,用于:
如果所述第一账户服务器没有存储所述第一账户标识和所述资源标识对应的访问权信息,且根据所述预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系,确定所述第一账户标识具有相关联的第三账户标识和对应的验证信息,则向所述第三账户标识所属的第三账户服务器发送第三访问权信息请求,所述第三访问权信息请求中携带有所述第三账户标识、所述第三账户标识对应的验证信息、所述资源标识;
以使所述第三账户服务器在根据所述第三访问权信息请求中携带的验证信息对所述第三访问权信息请求验证通过后,如果存储有所述第三账户标识和所述资源标识对应的访问权信息,则向所述第一账户服务器发送所述第三账户标识和所述资源标识对应的访问权信息,如果没有存储所述第三账户标识和所述资源标识对应的访问权信息,则向所述第一账户服务器发送请求失败信息;
如果接收到所述第三账户服务器发送的请求失败信息,则向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求;如果接收到所述第三账户服务器发送的访问权信息,则将接收到的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
优选的,所述关联模块,还用于:
接收终端发送的账户关联请求,所述账户关联请求中携带有所述第一账户标识和所述第三账户标识;
向所述第三账户标识所属的所述第三账户服务器发送所述账户关联请求;以使所述第三账户服务器在对所述账户关联请求进行关联授权验证通过后,向所述第一账户服务器发送所述第三账户标识对应的验证信息;
接收所述第三账户服务器发送的所述第三账户标识对应的验证信息,并在存储的本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系中,加入所述第一账户标识与所述第三账户标识、所述验证信息的对应关系。
优选的,所述请求模块520,用于:
将所述资源标识发送给所述资源标识对应的资源服务器,并接收所述资源服务器反馈的所述资源标识对应的资源所有者账户的第二账户标识;
向所述第二账户标识所属的第二账户服务器发送所述授权请求。
优选的,所述请求模块520,用于:
根据预先存储的账户标识和账户服务器的从属关系,确定所述第二账户标识所属的第二账户服务器;
向所述第二账户服务器发送所述授权请求。
优选的,在向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求之前,所述请求模块520,还用于:
从所述资源服务器获取签名算法和签名密钥;根据所述签名算法和签名密钥,对所述授权请求进行签名加密;或者,
向所述资源服务器发送携带有所述授权请求的签名加密请求,以使所述资源服务器根据存储的签名算法和签名密钥对所述授权请求进行签名加密;接收所述资源服务器发送的经过签名加密的所述授权请求。
优选的,所述获取模块530,用于:
在接收到所述授权信息后,向所述资源标识对应的资源服务器发送第二访问权信息请求,所述第二访问权信息请求中携带有所述第一账户标识、所述第二账户标识、所述资源标识和所述授权信息;以使所述资源服务器对所述授权信息进行验证,并在验证通过后,生成所述访问权信息,发送给所述第一账户服务器;
接收所述资源服务器发送的所述访问权信息。
优选的,所述获取模块530,还用于:将获取的访问权信息与所述第一账户标识和所述资源标识对应的存储;
还包括更新模块,用于:
向所述资源服务器发送访问权更新请求,所述访问权更新请求中携带有所述第一账户标识、所述资源标识以及存储的与所述第一账户标识和所述资源标识对应的访问权信息中包括的更新码;以使所述资源服务器对所述更新码验证通过后,生成新的访问权信息,发送给所述第一账户服务器;
接收所述资源服务器发送的访问权信息,用接收到的访问权信息对存储的与所述第一账户标识和所述资源标识对应的访问权信息进行替换,并将接收到的访问权信息发送给所述终端;以使终端对其存储的所述资源标识对应的访问权信息进行替换。
基于相同的技术构思,本发明实施例还提供了一种第二账户服务器,如图6所示,所述第二账户服务器包括:
接收模块610,用于接收第一账户服务器发送的授权请求,所述授权请求中携带有第一账户标识、第二账户标识和资源标识;其中,所述授权请求由第一账户服务器在接收到终端发送的携带有所述第一账户标识和所述资源标识的第一访问权信息请求后发送,所述第二账户标识为所述资源标识对应的资源所有者账户的账户标识,所述资源所有者账户属于所述第二账户服务器;
授权模块620,用于根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;以使所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息,并将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
优选的,所述授权模块620,用于:
从所述资源服务器获取签名算法和签名密钥根据所述签名算法和签名密钥,对所述授权请求进行签名验证,在验证通过后,根据预设的授权机制,对所述授权请求进行授权;或者,
向所述资源服务器发送携带有所述授权请求的签名验证请求,以使所述资源服务器根据存储的签名算法和签名密钥对所述授权请求进行签名验证,并在验证通过后向所述第二账户服务器发送验证成功信息;在接收到所述资源服务器发送的验证成功信息后,根据预设的授权机制,对所述授权请求进行授权。
优选的,所述授权模块620,用于:
向所述第二账户标识对应的账户发送授权请求通知,所述授权请求通知中携带有所述第一账户标识和所述资源标识;
在接收到对应所述授权请求通知的授权确认后,向所述第一账户服务器返回授权信息。
通过本发明实施例对互联网的数据资源进行访问授权时,第一账户服务器和第二账户服务器可以是不同应用的账户服务器,也即,资源请求者和资源所有者的账户可以是不同业务系统的账户,通过本发明实施例,可以实现不同业务系统的账户之间进行数据资源访问授权,从而可以提高互联网的数据资源访问的灵活性。
实施例五
基于相同的技术构思,本发明实施例还提供了一种对数据资源进行访问的系统,如图7所示,所述系统包括第一账户服务器710、第二账户服务器720、资源服务器730和终端740,其中:
所述第一账户服务器710,用于接收所述终端740发送的携带有第一账户标识和资源标识的第一访问权信息请求;向所述资源标识对应的资源所有者账户所属的所述第二账户服务器720发送授权请求,所述授权请求中携带有所述第一账户标识、第二账户标识和所述资源标识,所述第二账户标识为所述资源所有者账户的账户标识;在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的所述资源服务器730获取访问权信息;将获取的访问权信息发送给所述终端740,以使所述终端740根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
所述第二账户服务器720,用于接收所述第一账户服务器发710送的授权请求;根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器710返回授权信息。
通过本发明实施例对互联网的数据资源进行访问授权时,第一账户服务器和第二账户服务器可以是不同应用的账户服务器,也即,资源请求者和资源所有者的账户可以是不同业务系统的账户,通过本发明实施例,可以实现不同业务系统的账户之间进行数据资源访问授权,从而可以提高互联网的数据资源访问的灵活性。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (23)
1.一种对数据资源进行访问的方法,其特征在于,所述方法包括:
第一账户服务器接收终端发送的携带有第一账户标识和资源标识的第一访问权信息请求;其中,所述第一账户服务器预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系;所述验证信息用于验证相关联的关系;
所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,所述授权请求中携带有所述第一账户标识、第二账户标识和所述资源标识,所述第二账户标识为所述资源所有者账户的账户标识;以使第二账户服务器根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;
所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息;
所述第一账户服务器将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
2.根据权利要求1所述的方法,其特征在于,所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,包括:如果所述第一账户服务器没有存储所述第一账户标识和所述资源标识对应的访问权信息,则所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求;
所述方法还包括:如果所述第一账户服务器存储有所述第一账户标识和所述资源标识对应的访问权信息,则所述第一账户服务器将其存储的所述第一账户标识和所述资源标识对应的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
所述第一账户服务器在接收到所述授权信息后,根据所述授权信 息,从所述资源标识对应的资源服务器获取访问权信息之后,还包括:所述第一账户服务器将获取的访问权信息与所述第一账户标识和所述资源标识对应存储。
3.根据权利要求2所述的方法,其特征在于,所述如果所述第一账户服务器没有存储所述第一账户标识和所述资源标识对应的访问权信息,则所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,包括:
如果所述第一账户服务器没有存储所述第一账户标识和所述资源标识对应的访问权信息,且根据所述预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系,确定所述第一账户标识具有相关联的第三账户标识和对应的验证信息,则所述第一账户服务器向所述第三账户标识所属的第三账户服务器发送第三访问权信息请求,所述第三访问权信息请求中携带有所述第三账户标识、所述第三账户标识对应的验证信息、所述资源标识;
以使所述第三账户服务器在根据所述第三访问权信息请求中携带的验证信息对所述第三访问权信息请求验证通过后,如果存储有所述第三账户标识和所述资源标识对应的访问权信息,则向所述第一账户服务器发送所述第三账户标识和所述资源标识对应的访问权信息,如果没有存储所述第三账户标识和所述资源标识对应的访问权信息,则向所述第一账户服务器发送请求失败信息;
如果所述第一账户服务器接收到所述第三账户服务器发送的请求失败信息,则所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求;如果接收到所述第三账户服务器发送的访问权信息,则将接收到的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
4.根据权利要求3所述的方法,其特征在于,还包括:
所述第一账户服务器接收终端发送的账户关联请求,所述账户关联请求中携带有所述第一账户标识和所述第三账户标识;
所述第一账户服务器向所述第三账户标识所属的所述第三账户 服务器发送所述账户关联请求;以使所述第三账户服务器在对所述账户关联请求进行关联授权验证通过后,向所述第一账户服务器发送所述第三账户标识对应的验证信息;
所述第一账户服务器接收所述第三账户服务器发送的所述第三账户标识对应的验证信息,并在存储的本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系中,加入所述第一账户标识与所述第三账户标识、所述验证信息的对应关系。
5.根据权利要求1所述的方法,其特征在于,所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,包括:
所述第一账户服务器将所述资源标识发送给所述资源标识对应的资源服务器,并接收所述资源服务器反馈的所述资源标识对应的资源所有者账户的第二账户标识;
所述第一账户服务器向所述第二账户标识所属的第二账户服务器发送所述授权请求。
6.根据权利要求5所述的方法,其特征在于,所述第一账户服务器向所述第二账户标识所属的第二账户服务器发送所述授权请求,包括:
所述第一账户服务器根据预先存储的账户标识和账户服务器的从属关系,确定所述第二账户标识所属的第二账户服务器;
所述第一账户服务器向所述第二账户服务器发送所述授权请求。
7.根据权利要求1所述的方法,其特征在于,所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求之前,还包括:
所述第一账户服务器从所述资源服务器获取签名算法和签名密钥;所述第一账户服务器根据所述签名算法和签名密钥,对所述授权请求进行签名加密;或者,
所述第一账户服务器向所述资源服务器发送携带有所述授权请求的签名加密请求,以使所述资源服务器根据存储的签名算法和签名密钥对所述授权请求进行签名加密;所述第一账户服务器接收所述资 源服务器发送的经过签名加密的所述授权请求。
8.根据权利要求1所述的方法,其特征在于,所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息,包括:
所述第一账户服务器在接收到所述授权信息后,向所述资源标识对应的资源服务器发送第二访问权信息请求,所述第二访问权信息请求中携带有所述第一账户标识、所述第二账户标识、所述资源标识和所述授权信息;以使所述资源服务器对所述授权信息进行验证,并在验证通过后,生成所述访问权信息,发送给所述第一账户服务器;
所述第一账户服务器接收所述资源服务器发送的所述访问权信息。
9.根据权利要求1所述的方法,其特征在于,所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息之后,还包括:所述第一账户服务器将获取的访问权信息与所述第一账户标识和所述资源标识对应的存储;
所述方法还包括:
第一账户服务器向所述资源服务器发送访问权更新请求,所述访问权更新请求中携带有所述第一账户标识、所述资源标识以及存储的与所述第一账户标识和所述资源标识对应的访问权信息中包括的更新码;以使所述资源服务器对所述更新码验证通过后,生成新的访问权信息,发送给所述第一账户服务器;
所述第一账户服务器接收所述资源服务器发送的访问权信息,用接收到的访问权信息对存储的与所述第一账户标识和所述资源标识对应的访问权信息进行替换,并将接收到的访问权信息发送给所述终端;以使终端对其存储的所述资源标识对应的访问权信息进行替换。
10.一种对数据资源进行访问的方法,其特征在于,所述方法包括:
第二账户服务器接收第一账户服务器发送的授权请求,所述授权请求中携带有第一账户标识、第二账户标识和资源标识;其中,所述 授权请求由第一账户服务器在接收到终端发送的携带有所述第一账户标识和所述资源标识的第一访问权信息请求后发送,所述第二账户标识为所述资源标识对应的资源所有者账户的账户标识,所述资源所有者账户属于所述第二账户服务器;
所述第二账户服务器根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;以使所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息,并将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
所述第二账户服务器根据预设的授权机制,对所述授权请求进行授权,包括:
所述第二账户服务器从所述资源服务器获取签名算法和签名密钥;所述第二账户服务器根据所述签名算法和签名密钥,对所述授权请求进行签名验证,在验证通过后,根据预设的授权机制,对所述授权请求进行授权;或者,
所述第二账户服务器向所述资源服务器发送携带有所述授权请求的签名验证请求,以使所述资源服务器根据存储的签名算法和签名密钥对所述授权请求进行签名验证,并在验证通过后向所述第二账户服务器发送验证成功信息;所述第二账户服务器在接收到所述资源服务器发送的验证成功信息后,根据预设的授权机制,对所述授权请求进行授权。
11.根据权利要求10所述的方法,其特征在于,所述第二账户服务器根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息,包括:
所述第二账户服务器向所述第二账户标识对应的账户发送授权请求通知,所述授权请求通知中携带有所述第一账户标识和所述资源标识;
所述第二账户服务器在接收到对应所述授权请求通知的授权确认后,向所述第一账户服务器返回授权信息。
12.一种第一账户服务器,其特征在于,所述第一账户服务器包括:
接收模块,用于接收终端发送的携带有第一账户标识和资源标识的第一访问权信息请求;
请求模块,用于向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,所述授权请求中携带有所述第一账户标识、第二账户标识和所述资源标识,所述第二账户标识为所述资源所有者账户的账户标识;以使第二账户服务器根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;
获取模块,用于在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息;
发送模块,用于将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
关联模块,用于预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系;所述验证信息用于验证相关联的关系。
13.根据权利要求12所述的第一账户服务器,其特征在于,所述请求模块,用于:如果所述第一账户服务器没有存储所述第一账户标识和所述资源标识对应的访问权信息,则所述第一账户服务器向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求;
所述发送模块,还用于:如果所述第一账户服务器存储有所述第一账户标识和所述资源标识对应的访问权信息,则将存储的所述第一账户标识和所述资源标识对应的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
还包括存储模块,用于将获取的访问权信息与所述第一账户标识和所述资源标识对应存储。
14.根据权利要求13所述的第一账户服务器,其特征在于,所 述请求模块,用于:
如果所述第一账户服务器没有存储所述第一账户标识和所述资源标识对应的访问权信息,且根据所述预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系,确定所述第一账户标识具有相关联的第三账户标识和对应的验证信息,则向所述第三账户标识所属的第三账户服务器发送第三访问权信息请求,所述第三访问权信息请求中携带有所述第三账户标识、所述第三账户标识对应的验证信息、所述资源标识;
以使所述第三账户服务器在根据所述第三访问权信息请求中携带的验证信息对所述第三访问权信息请求验证通过后,如果存储有所述第三账户标识和所述资源标识对应的访问权信息,则向所述第一账户服务器发送所述第三账户标识和所述资源标识对应的访问权信息,如果没有存储所述第三账户标识和所述资源标识对应的访问权信息,则向所述第一账户服务器发送请求失败信息;
如果接收到所述第三账户服务器发送的请求失败信息,则向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求;如果接收到所述第三账户服务器发送的访问权信息,则将接收到的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问。
15.根据权利要求14所述的第一账户服务器,其特征在于,所述关联模块,还用于:
接收终端发送的账户关联请求,所述账户关联请求中携带有所述第一账户标识和所述第三账户标识;
向所述第三账户标识所属的所述第三账户服务器发送所述账户关联请求;以使所述第三账户服务器在对所述账户关联请求进行关联授权验证通过后,向所述第一账户服务器发送所述第三账户标识对应的验证信息;
接收所述第三账户服务器发送的所述第三账户标识对应的验证信息,并在存储的本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系中,加入所述第一账户标识与所述第三账 户标识、所述验证信息的对应关系。
16.根据权利要求12所述的第一账户服务器,其特征在于,所述请求模块,用于:
将所述资源标识发送给所述资源标识对应的资源服务器,并接收所述资源服务器反馈的所述资源标识对应的资源所有者账户的第二账户标识;
向所述第二账户标识所属的第二账户服务器发送所述授权请求。
17.根据权利要求16所述的第一账户服务器,其特征在于,所述请求模块,用于:
根据预先存储的账户标识和账户服务器的从属关系,确定所述第二账户标识所属的第二账户服务器;
向所述第二账户服务器发送所述授权请求。
18.根据权利要求12所述的第一账户服务器,其特征在于,在向所述资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求之前,所述请求模块,还用于:
从所述资源服务器获取签名算法和签名密钥;根据所述签名算法和签名密钥,对所述授权请求进行签名加密;或者,
向所述资源服务器发送携带有所述授权请求的签名加密请求,以使所述资源服务器根据存储的签名算法和签名密钥对所述授权请求进行签名加密;接收所述资源服务器发送的经过签名加密的所述授权请求。
19.根据权利要求12所述的第一账户服务器,其特征在于,所述获取模块,用于:
在接收到所述授权信息后,向所述资源标识对应的资源服务器发送第二访问权信息请求,所述第二访问权信息请求中携带有所述第一账户标识、所述第二账户标识、所述资源标识和所述授权信息;以使所述资源服务器对所述授权信息进行验证,并在验证通过后,生成所述访问权信息,发送给所述第一账户服务器;
接收所述资源服务器发送的所述访问权信息。
20.根据权利要求12所述的第一账户服务器,其特征在于,所 述获取模块,还用于:将获取的访问权信息与所述第一账户标识和所述资源标识对应的存储;
还包括更新模块,用于:
向所述资源服务器发送访问权更新请求,所述访问权更新请求中携带有所述第一账户标识、所述资源标识以及存储的与所述第一账户标识和所述资源标识对应的访问权信息中包括的更新码;以使所述资源服务器对所述更新码验证通过后,生成新的访问权信息,发送给所述第一账户服务器;
接收所述资源服务器发送的访问权信息,用接收到的访问权信息对存储的与所述第一账户标识和所述资源标识对应的访问权信息进行替换,并将接收到的访问权信息发送给所述终端;以使终端对其存储的所述资源标识对应的访问权信息进行替换。
21.一种第二账户服务器,其特征在于,所述第二账户服务器包括:
接收模块,用于接收第一账户服务器发送的授权请求,所述授权请求中携带有第一账户标识、第二账户标识和资源标识;其中,所述授权请求由第一账户服务器在接收到终端发送的携带有所述第一账户标识和所述资源标识的第一访问权信息请求后发送,所述第二账户标识为所述资源标识对应的资源所有者账户的账户标识,所述资源所有者账户属于所述第二账户服务器;
授权模块,用于根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;以使所述第一账户服务器在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的资源服务器获取访问权信息,并将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
所述授权模块,用于:
从所述资源服务器获取签名算法和签名密钥根据所述签名算法和签名密钥,对所述授权请求进行签名验证,在验证通过后,根据预设的授权机制,对所述授权请求进行授权;或者,
向所述资源服务器发送携带有所述授权请求的签名验证请求,以使所述资源服务器根据存储的签名算法和签名密钥对所述授权请求进行签名验证,并在验证通过后向所述第二账户服务器发送验证成功信息;在接收到所述资源服务器发送的验证成功信息后,根据预设的授权机制,对所述授权请求进行授权。
22.根据权利要求21所述的第二账户服务器,其特征在于,所述授权模块,用于:
向所述第二账户标识对应的账户发送授权请求通知,所述授权请求通知中携带有所述第一账户标识和所述资源标识;
在接收到对应所述授权请求通知的授权确认后,向所述第一账户服务器返回授权信息。
23.一种对数据资源进行访问的系统,其特征在于,所述系统包括第一账户服务器、第二账户服务器、资源服务器和终端,其中:
所述第一账户服务器,用于接收所述终端发送的携带有第一账户标识和资源标识的第一访问权信息请求;向所述资源标识对应的资源所有者账户所属的所述第二账户服务器发送授权请求,所述授权请求中携带有所述第一账户标识、第二账户标识和所述资源标识,所述第二账户标识为所述资源所有者账户的账户标识;在接收到所述授权信息后,根据所述授权信息,从所述资源标识对应的所述资源服务器获取访问权信息;将获取的访问权信息发送给所述终端,以使所述终端根据接收的访问权信息,对所述资源标识对应的数据资源进行访问;
所述第二账户服务器,用于接收所述第一账户服务器发送的授权请求;根据预设的授权机制,对所述授权请求进行授权,并向所述第一账户服务器返回授权信息;
所述第二账户服务器根据预设的授权机制,对所述授权请求进行授权,包括:
所述第二账户服务器从所述资源服务器获取签名算法和签名密钥;所述第二账户服务器根据所述签名算法和签名密钥,对所述授权请求进行签名验证,在验证通过后,根据预设的授权机制,对所述授权请求进行授权;或者,
所述第二账户服务器向所述资源服务器发送携带有所述授权请求的签名验证请求,以使所述资源服务器根据存储的签名算法和签名密钥对所述授权请求进行签名验证,并在验证通过后向所述第二账户服务器发送验证成功信息;所述第二账户服务器在接收到所述资源服务器发送的验证成功信息后,根据预设的授权机制,对所述授权请求进行授权。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410120598.8A CN104954330B (zh) | 2014-03-27 | 2014-03-27 | 一种对数据资源进行访问的方法、装置和系统 |
| PCT/CN2014/087641 WO2015143855A1 (zh) | 2014-03-27 | 2014-09-28 | 一种对数据资源进行访问的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410120598.8A CN104954330B (zh) | 2014-03-27 | 2014-03-27 | 一种对数据资源进行访问的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104954330A CN104954330A (zh) | 2015-09-30 |
| CN104954330B true CN104954330B (zh) | 2018-03-16 |
Family
ID=54168690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410120598.8A Active CN104954330B (zh) | 2014-03-27 | 2014-03-27 | 一种对数据资源进行访问的方法、装置和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104954330B (zh) |
| WO (1) | WO2015143855A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936772A (zh) * | 2015-12-29 | 2017-07-07 | 中国移动通信集团湖南有限公司 | 一种云平台资源的访问方法、装置及系统 |
| CN106960142A (zh) | 2016-01-08 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种权限管理和资源控制的方法及装置 |
| CN107196894B (zh) * | 2016-03-15 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 获取账号授权信息的方法及装置 |
| CN107241293A (zh) * | 2016-03-28 | 2017-10-10 | 杭州萤石网络有限公司 | 一种资源访问方法、装置及系统 |
| CN106295394B (zh) * | 2016-07-22 | 2018-11-23 | 飞天诚信科技股份有限公司 | 资源授权方法及系统和授权服务器及工作方法 |
| CN109150796B (zh) * | 2017-06-15 | 2022-02-22 | 阿里巴巴(中国)有限公司 | 数据访问方法和装置 |
| CN109150815B (zh) * | 2017-06-28 | 2021-11-23 | 阿里巴巴集团控股有限公司 | 资源处理方法、装置和机器可读介质 |
| CN107911352B (zh) * | 2017-11-06 | 2020-09-08 | 湖南微算互联信息技术有限公司 | 一种云手机的授权方法 |
| WO2021035708A1 (zh) * | 2019-08-30 | 2021-03-04 | Oppo广东移动通信有限公司 | 集合资源的访问方法、装置、设备及存储介质 |
| CN112866306B (zh) * | 2019-11-12 | 2024-05-28 | 阿里巴巴集团控股有限公司 | 一种资源管理方法和云服务平台 |
| CN110995673B (zh) * | 2019-11-20 | 2022-05-31 | 腾讯科技(深圳)有限公司 | 基于区块链的案件证据管理方法、装置、终端及存储介质 |
| CN111160283B (zh) * | 2019-12-31 | 2023-09-01 | 浙江宇视科技有限公司 | 一种数据接入方法、装置、设备和介质 |
| CN111444273B (zh) * | 2020-03-24 | 2021-09-10 | 腾讯科技(深圳)有限公司 | 一种基于区块链的数据授权方法以及装置 |
| CN111680328B (zh) * | 2020-07-09 | 2023-06-23 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置、服务器及计算机可读存储介质 |
| CN114579949A (zh) * | 2020-11-30 | 2022-06-03 | 华为技术有限公司 | 一种数据访问方法、装置和电子设备 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7010691B2 (en) * | 2000-08-04 | 2006-03-07 | First Data Corporation | ABDS system utilizing security information in authenticating entity access |
| US20020083012A1 (en) * | 2000-11-16 | 2002-06-27 | Steve Bush | Method and system for account management |
| US20090063301A1 (en) * | 2007-09-04 | 2009-03-05 | Alan Ward | Digital Asset Delivery to Different Devices |
| US20130036455A1 (en) * | 2010-01-25 | 2013-02-07 | Nokia Siemens Networks Oy | Method for controlling acess to resources |
| US8955052B2 (en) * | 2010-05-27 | 2015-02-10 | International Business Machines Corporation | System and method for maintaining dual identity in a server process |
| CN102457509B (zh) * | 2010-11-02 | 2015-09-16 | 中兴通讯股份有限公司 | 云计算资源安全访问方法、装置及系统 |
| AU2012275653A1 (en) * | 2011-06-27 | 2013-05-02 | Google Inc. | Persistent key access to a resources in a collection |
| CN103067338B (zh) * | 2011-10-20 | 2017-04-19 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN103078881B (zh) * | 2011-10-26 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络资源下载信息的分享控制系统和方法 |
| US9015807B2 (en) * | 2011-12-01 | 2015-04-21 | Microsoft Technology Licensing, Llc | Authorizing application access to secure resources |
| GB2498708B (en) * | 2012-01-17 | 2020-02-12 | Secure Cloudlink Ltd | Security management for cloud services |
| CN102761549B (zh) * | 2012-07-03 | 2015-04-22 | 中国联合网络通信集团有限公司 | 资源共享的处理方法和系统以及业务平台 |
| CN102916866B (zh) * | 2012-09-21 | 2016-06-29 | 腾讯科技(深圳)有限公司 | 一种数据分享方法、终端、服务器以及系统 |
| CN102857516B (zh) * | 2012-09-27 | 2016-08-03 | 腾讯科技(深圳)有限公司 | 一种媒体资源分享方法及相关设备、系统 |
| CN103795692B (zh) * | 2012-10-31 | 2017-11-21 | 中国电信股份有限公司 | 开放授权方法、系统与认证授权服务器 |
| CN103327100B (zh) * | 2013-06-21 | 2017-04-19 | 华为技术有限公司 | 资源处理方法和站点服务器 |
| CN103413202B (zh) * | 2013-08-21 | 2017-11-07 | 成都安恒信息技术有限公司 | 一种应用于运维审计系统的自动收集授权关系的方法 |
| CN103546290B (zh) * | 2013-10-08 | 2019-06-18 | 任少华 | 具有用户组的第三方认证系统或方法 |
-
2014
- 2014-03-27 CN CN201410120598.8A patent/CN104954330B/zh active Active
- 2014-09-28 WO PCT/CN2014/087641 patent/WO2015143855A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015143855A1 (zh) | 2015-10-01 |
| CN104954330A (zh) | 2015-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104954330B (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
| CN102739708B (zh) | 一种基于云平台访问第三方应用的系统及方法 | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| US20150180857A1 (en) | Simple user management service utilizing an access token | |
| CN101873331B (zh) | 一种安全认证方法和系统 | |
| US8869258B2 (en) | Facilitating token request troubleshooting | |
| CN103327100B (zh) | 资源处理方法和站点服务器 | |
| CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
| CN110138718A (zh) | 信息处理系统及其控制方法 | |
| CN102739664B (zh) | 提高网络身份认证安全性的方法和装置 | |
| CN101771532A (zh) | 实现资源共享的方法、装置及系统 | |
| JP2005521279A (ja) | セキュア・サービス・アクセス提供システム及び方法 | |
| JP2010539618A (ja) | フィッシング攻撃を防ぐ方法および装置 | |
| US20070288634A1 (en) | Computer readable recording medium storing control program, communication system and computer data signal embedded in carrier wave | |
| CN107124433A (zh) | 物联网系统、物联网设备访问方法、访问授权方法及设备 | |
| CN103685139A (zh) | 认证授权处理方法及装置 | |
| CN108259406A (zh) | 检验ssl证书的方法和系统 | |
| CN102209046A (zh) | 网络资源整合系统及方法 | |
| CN113672897B (zh) | 数据通信方法、装置、电子设备及存储介质 | |
| CN109040069A (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
| CN109792433A (zh) | 用于将设备应用绑定到网络服务的方法和装置 | |
| CN112532599A (zh) | 一种动态鉴权方法、装置、电子设备和存储介质 | |
| CN108259457A (zh) | 一种web认证方法及装置 | |
| CN112583834A (zh) | 一种通过网关单点登录的方法和装置 | |
| CA2844888A1 (en) | System and method of extending a host website |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200201 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: 210012 Ande Gate No. 94, Yuhuatai District, Jiangsu, Nanjing Patentee before: Huawei Technologies Co.,Ltd. |