CN105095130B - 信息处理设备、系统和信息处理方法 - Google Patents
信息处理设备、系统和信息处理方法 Download PDFInfo
- Publication number
- CN105095130B CN105095130B CN201510009437.6A CN201510009437A CN105095130B CN 105095130 B CN105095130 B CN 105095130B CN 201510009437 A CN201510009437 A CN 201510009437A CN 105095130 B CN105095130 B CN 105095130B
- Authority
- CN
- China
- Prior art keywords
- response
- information processing
- client device
- processing equipment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/808—User-type aware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/561—Adding application-functional data or data for application control, e.g. adding metadata
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种信息处理设备,其包括:第一传送单元,在信息处理设备从客户端设备接收到用以登录到信息处理设备的登录请求的情况下将第一响应传送到客户端设备;第二传送单元,在服务器设备响应于来自客户端设备的请求对访问权限的传递授权的情况下,将第二响应传送到客户端设备,第二响应用以指示客户端设备重定向至统一资源定位符;第三传送单元,在所接收到的访问请求中包含的重定向目的地的统一资源定位符不是与信息处理设备相关联的统一资源定位符的情况下,响应于第二响应而读出包含在从客户端设备接收到的访问请求中的区域信息,并且将包含用于重定向至与所读出的区域信息相对应的统一资源定位符的指令的第三响应传送到客户端设备。
Description
技术领域
本发明涉及信息处理设备、系统和信息处理方法。
背景技术
存在当使用网络上的服务器设备时能够经由中继设备访问服务器设备的技术。例如,日本未审查专利申请公布第2012-113701号和第2012-118971号描述了允许多功能设备通过与中继设备协作地进行操作来将数据上传到服务提供设备以及从服务提供设备下载数据的技术。
发明内容
本发明的目的在于使得能够在如下系统中经由多个中继设备当中的用户期望的中继设备对服务器设备进行访问,在该系统中,具有已从客户端设备传递的访问该服务器设备的访问权限的中继设备中继对该服务器设备的访问。
根据本发明的第一方面,提供了一种信息处理设备,其包括第一传送单元、第二传送单元和第三传送单元。第一传送单元在信息处理设备从客户端设备接收到用以登录到信息处理设备的登录请求的情况下将第一响应传送到客户端设备。第一响应包含用于标识信息处理设备的信息。在服务器设备响应于来自客户端设备的请求而对访问权限的传递进行授权的情况下,第二传送单元将第二响应传送到客户端设备,所述第二响应用以指示客户端设备执行至一个或多个统一资源定位符当中的统一资源定位符的重定向,该一个或多个统一资源定位符在服务器设备中被预先登记为要向其传递访问权限的目的地。第三传送单元在所接收到的访问请求中包含的重定向目的地的统一资源定位符不是与信息处理设备相关联的统一资源定位符的情况下,响应于第二响应而读出从客户端设备接收到的访问请求中包含的区域信息,并且将包含用于重定向至与所读出的区域信息相对应的统一资源定位符的指令的第三响应传送到作为所接收到的访问请求的传送源的客户端设备。
根据本发明的第二方面,在根据第一方面的信息处理设备中,访问请求可以包含权限信息,并且信息处理设备还可以包括中继单元。在在所接收到的访问请求中包含的重定向目的地的统一资源定位符是与信息处理设备相关联的统一资源定位符的情况下,该中继单元通过使用包含在所接收到的访问请求中的权限信息来中继对服务器设备的访问。
根据本发明的第三方面,在根据第一或第二方面的信息处理设备中,第一响应可以包含用于标识信息处理设备的cookie信息,并且访问请求可以包含存储在作为访问请求的传送源的客户端设备中的cookie信息。
根据本发明的第四方面,在根据第一方面的信息处理设备中,访问请求可以包含第一权限信息和第二权限信息,第一权限信息可以表示直到所设置的第一截止日期和时间为止有效的访问服务器设备的权限,第二权限信息可以表示直到早于第一截止日期和时间的第二截止日期和时间为止有效的访问服务器设备的权限,并且信息处理设备还可以包括第一存储器、第二存储器和存储器控制器。第一存储器存储要复制到另一信息处理设备的资源的数据。第二存储器存储数据。存储器控制器控制包含在所接收到的访问请求中的第一权限信息在第一存储器中的存储以及包含在访问请求中的第二权限信息在第二存储器中的存储。
根据本发明的第五方面,提供了一种包括第一信息处理设备和第二信息处理设备的系统。该第一信息处理设备包括第一传送单元。在第一信息处理设备从客户端设备接收用以登录到第一信息处理设备的登录请求的情况下,第一传送单元将第一响应传送到客户端设备。第一响应包含用于标识第一信息处理设备的信息。第二信息处理设备包括第二传送单元和第三传送单元。在服务器设备响应于来自客户端设备的请求而对访问权限的传递进行授权的情况下,第二传送单元将第二响应传送到客户端设备,该第二响应指示客户端设备执行至一个或多个统一资源定位符当中的统一资源定位符的重定向,该一个或多个统一资源定位符在服务器设备中预先登记为要向其传递访问权限的目的地。第三传送单元在在所接收到的访问请求中包含的重定向目的地的统一资源定位符不是与第二信息处理设备相关联的统一资源定位符的情况下,响应于第二响应而读出在从客户端设备接收到的访问请求中包含的区域信息,并且将包含用于重定向至与所读出的区域信息相对应的统一资源定位符的指令的第三响应传送到作为所接收到的访问请求的传送源的客户端设备。
根据本发明的第六方面,提供了一种信息处理方法,包括:在从客户端设备接收到用以登录到信息处理设备的登录请求的情况下,将第一响应传送到客户端设备,第一响应包含用于标识信息处理设备的信息;在服务器设备响应于来自客户端设备的请求而对访问权限的传递进行授权的情况下,将第二响应传送到客户端设备,所述第二响应用以指示客户端设备执行至一个或多个统一资源定位符当中的统一资源定位符的重定向,该一个或多个统一资源定位符在服务器设备中被预先登记为要向其传递所述访问权限的目的地;在所接收到的访问请求中包含的重定向目的地的统一资源定位符不是与信息处理设备相关联的统一资源定位符的情况下,响应于第二响应而读出在从客户端设备接收到的访问请求中包含的区域信息;以及将包含用于重定向至与所读出的区域信息相对应的统一资源定位符的指令的第三响应传送到作为所接收到的访问请求的传送源的客户端设备。
本发明的第一方面、第二方面、第三方面、第五方面和第六方面使得能够在如下系统中经由多个中继设备当中的用户期望的中继设备对服务器设备进行访问,在该系统中,具有已从客户端设备传递的访问服务器设备的访问权限的中继设备中继对服务器设备的访问。
与第二权限信息未存储在第二存储器中的情况相比,本发明的第四方面提升了对第二权限信息进行读写的处理速度。
附图说明
将基于附图详细描述本发明的示例性实施例,在附图中:
图1示出了根据示例性实施例的系统的整体配置;
图2示出了该系统的功能配置;
图3示出了中继设备的硬件配置;
图4是示出了系统执行的操作的序列图;以及
图5是示出了系统执行的另一操作的序列图。
具体实施方式
1.配置
图1示出了根据示例性实施例的系统1的整体配置。系统1包括:服务提供设备10A、10B和10C;客户端设备20A、20B、20C和20D;以及中继设备30A、30B和30C。下文中,除非需要区分服务提供设备10A、10B和10C,否则将服务提供设备10A、10B和10C统称为“服务提供设备10”。此外,除非需要区分客户端设备20A、20B、20C和20D,否则将客户端设备20A、20B、20C和20D统称为“客户端设备20”。除非需要区分中继设备30A、30B和30C,否则将中继设备30A、30B和30C统称为“中继设备30”。服务提供设备10和中继设备30经由诸如互联网的通信网络2彼此连接。客户端设备20和中继设备30经由诸如互联网或局域网(LAN)的通信网络3连接到通信网络2。替选地,客户端设备20可以不经由通信网络3和中继设备30而直接连接到通信网络2。
每个服务提供设备10提供各种服务,诸如用于存储数据的服务。这些服务可以是所谓的云服务。每个客户端设备20可以是例如图像处理设备,并且当用户使用服务提供设备10提供的服务时被使用。客户端设备20可以具有多种功能,诸如扫描功能、复制功能、打印功能和传真功能。每个中继设备30具有用于中继客户端设备20与服务提供设备10之间的数据交换的功能。
在该示例中,客户端设备20所处的位置被分类成多个区域4A、4B和4C。中继设备30A中继服务提供设备10与位于区域4A中的客户端设备20A和20B之间的数据交换。中继设备30B中继服务提供设备10与位于区域4B中的客户端设备20C之间的数据交换。中继设备30C中继服务提供设备10与位于区域4C中的客户端设备20D之间的数据交换。下文中,除非需要区分区域4A、4B和4C,否则将区域4A、4B和4C统称为“区域4”。
系统1的每个用户属于区域4之一。下文中,为了便于说明,用户所属的区域4被称为用户的“本地区域(home region)”,而用户不属于的区域被称为“远离区域(awayregion)”。在该示例中,区域4A是用户U1和U2的本地区域,而区域4B和4C是用户U1和U2的远离区域。通常,每个用户通过使用位于该用户所属的区域4中的客户端设备20来执行各种操作。诸如用户的账户信息的与用户有关的信息(即,用户信息)被登记到用于各个用户所属的区域4的中继设备30中。中继设备30基于登记在其中的用户信息来执行诸如用户认证的处理。下文中,除非需要区分用户U1、U2、U3和U4,否则将用户U1、U2、U3和U4统称为“用户U”,。
图2示出了系统1的功能配置。系统1包括服务提供设备10、客户端设备20以及中继设备30-1和30-2。中继设备30-1是第一信息处理设备的示例,而中继设备30-2是第二信息处理设备的示例。中继设备30-1包括第一传送单元31、第二传送单元32、第三传送单元33、中继单元34、第一存储单元35、第二存储单元36和存储控制单元37。
在从客户端设备20接收到用以登录到中继设备30-1的登录请求时,第一传送单元31将作为对该登录请求的响应的第一响应传送到客户端设备20。第一响应将中继设备30-1的标识值包含在第一响应的报头(header)的预定区域中。
第二传送单元32从客户端设备20接收用以访问服务提供设备10的访问请求。在该示例中,表示要向其传递访问权限的目的地的一个或多个统一资源定位符(URL)被预先登记在服务提供设备10中。服务提供设备10在其对访问权限的传递进行授权的情况下,将用以指示客户端设备20执行至预先登记的URL的重定向的信息传送到中继设备30-1。中继设备30-1的第二传送单元32将该信息作为第二响应传送到客户端设备20。
在从客户端设备20接收到的访问请求中包含的重定向目的地的URL不是唯一地分配给中继设备30-1的资源的URL的情况下,第三传送单元33读出访问请求的报头的预定区域中所设置的值。第三传送单元33也将指示客户端设备20执行至与所读出的值相对应的URL的重定向的第三响应传送到作为所接收到的访问请求的传送源的客户端设备20。
在从客户端设备20接收到的访问请求中包含的重定向目的地的URL是唯一地分配给中继设备30-1的资源的URL的情况下,中继单元34通过使用包含在所接收到的访问请求中的权限信息来中继对服务提供设备10的访问。
作为第一存储器的示例的第一存储单元35是存储数据的存储单元。存储在第一存储单元35中的数据被复制到另一中继设备30的资源。作为第二存储器的示例的第二存储单元36是存储数据的存储单元。作为存储器控制器的示例的存储控制单元37控制包含在第二传送单元32接收到的访问请求中的第一权限信息在第一存储单元35中的存储以及包含在所接收到的访问请求中的第二权限信息在第二存储单元36中的存储。
中继设备30-2包括第一传送单元41、第二传送单元42、第三传送单元43、中继单元44、第一存储单元45、第二存储单元46和存储控制单元47。第一传送单元41、第二传送单元42、第三传送单元43、中继单元44、第一存储单元45、第二存储单元46和存储控制单元47具有分别与中继设备30-1的第一传送单元31、第二传送单元32、第三传送单元33、中继单元34、第一存储单元35、第二存储单元36和存储控制单元37的配置类似的配置。
图3示出了中继设备30的硬件配置。中继设备30例如是计算机设备,该计算机设备包括中央处理单元(CPU)301、只读存储器(ROM)302、随机存取存储器(RAM)303、存储装置304、通信接口(I/F)305。CPU 301是控制中继设备30的每个组件的控制装置(处理器)。ROM302是存储程序和数据的非易失性存储器装置。RAM 303是当CPU301执行程序时起到工作区域的作用的易失性主存储器装置。存储装置304是存储程序和数据的非易失性辅助存储装置。通信I/F 305是用于经由通信网络2进行通信的接口,并且在本示例中具体地为使得服务提供设备10与客户端设备20之间能够进行通信的接口。
存储装置304包括全局数据库308a和本地数据库308b。全局数据库308a是存储多个中继设备30共享的数据的数据库。本地数据库308b是存储该中继设备30参考的数据的数据库。存储在全局数据库308a中的数据以预定定时(例如,以固定的定时或者更新全局数据库308a的定时)被复制到其他中继设备30。相反,存储在本地数据库308b中的数据不被复制到其他中继设备30。全局数据库308a是第一存储单元35和第一存储单元45的示例。本地数据308b是第二存储单元36和第二存储单元46的示例。下文中,除非需要区分全局数据库308a和本地数据库308b,否则将全局数据库308a和本地数据库308b统称为“数据库308”。
在该示例中,作为CPU 301执行存储在存储装置304(或ROM 302)中的中继程序的结果,实现了图2所示的功能。执行中继程序的CPU301或CPU 301和通信I/F 305是第一传送单元31、第二传送单元32、第三传送单元33、中继单元34、第一传送单元41、第二传送单元42、第三传送单元43和中继单元44的示例。
将省略与服务提供设备10和客户端设备20的硬件配置有关的详细描述。服务提供设备10例如是包括CPU、ROM、RAM、存储装置和通信I/F的计算机设备。客户端设备20例如是包括CPU、ROM、RAM、存储装置、操作单元、显示单元、图像扫描单元和图像形成单元的图像形成设备。
2.操作
2-1.第一示例性操作
图4是示出系统1执行的操作的序列图。该示例示出了在用户U1通过使用客户端设备20A来利用服务提供设备10A提供的服务的情况下所执行的操作。在该示例中,系统1通过使用例如OAuth2协议的预定协议来传递访问权限。即,在系统1中,使用OAuth2协议,使得授予客户端设备20A的用以访问服务提供设备10A的访问权限被传递到中继设备30A并且已向其传递了访问权限的中继设备30A中继客户端设备20A对服务提供设备10A的访问。在图4所示的示例中,使用超文本传输协议(HTTP)在设备之间交换数据。
在该示例中,中继设备30A被分配了URL“us.example.com”,中继设备30B被分配了URL“eu.example.com”,以及中继设备30C被分配了URL“jp.example.com”。URL“us.example.com”是唯一地分配给中继设备30A的资源的URL。URL“eu.example.com”是唯一地分配给中继设备30B的资源的URL。URL“jp.example.com”是唯一地分配给中继设备30C的资源的URL。另外,URL“www.example.com”被用作中继设备30A、30B和30C共享的URL(即,表示中继设备30A、30B和30C的单一URL)。为了便于说明,唯一地分配给每个中继设备30的URL在下文中被称为“区域URL”,而多个中继设备30共享的URL在下文中被称为“全局URL”。
首先,用户U1通过使用客户端设备20A来登录到中继设备30A。具体地,用户U1通过操作客户端设备20A的操作单元来输入他/她的账户信息(诸如用户ID和密码)。例如,用户U1输入用户ID“user01”和密码“password01”。
在步骤S101中,客户端设备20A向中继设备30A传送包含通过用户U1进行的操作输入的账户信息的登录请求(HTTP请求)。在步骤S102中,中继设备30A的CPU 301通过使用包含在所接收到的登录请求中的账户信息来执行用户认证。全局数据库308a存储与用户有关的数据(下文中,称为“用户数据”),诸如用户账户信息。CPU 301参考全局数据库308a以执行用户认证。如果在全局数据库308a中发现包含在步骤S101中接收到的登录请求中的账户信息,则用户认证成功。相反,如果在全局数据库308a中未发现包含在所接收到的登录请求中的账户信息,则用户认证不成功。
如果在步骤S102中用户认证成功,则在步骤S103中,CPU 301将表示成功登录的HTTP响应(第一响应的示例)作为对在步骤S101中接收到的登录请求的响应传送到客户端设备20A。此时,CPU 301传送HTTP响应,该HTTP响应包含在HTTP响应的预定区域中设置的中继设备30A的标识值。在该示例中,HTTP响应包括用于将中继设备30A的标识信息存储在客户端设备20A中作为cookie信息的Set-Cookie报头。具体地,在本示例中,CPU 301生成包括Set-Cookie报头的HTTP响应,该Set-Cookie报头包含“US”作为用于标识中继设备30A所在的区域的值。
客户端设备20A基于从中继设备30A接收到的响应而在显示单元上显示信息。用户U1基于在客户端设备20A的显示单元上显示的信息来执行访问服务提供设备10A的操作。在步骤S104中,客户端设备20A基于用户U1输入的内容而向中继设备30A传送访问服务提供设备10A的访问请求(HTTP请求)。该HTTP请求包括包含存储在客户端设备20A中的cookie信息的Cookie报头。在该示例中,该HTTP请求包括包含在步骤S103中接收到的响应的Set-Cookie报头中所设置的值(即,作为表示该区域的信息的值“US”)的Cookie报头。在Cookie报头中,还将“example.com”设置为域属性。
在从客户端设备20A接收到访问请求时,在步骤S105中,中继设备30A的CPU 301确定与所接收到的访问请求相对应的用户UI的刷新令牌(第一权限信息的示例)和访问令牌(第二权限信息的示例)是否存储在数据库308中。刷新令牌是代表访问服务提供设备10A的权限的信息,并且访问权限直到设置的第一截止日期和时间为止是有效的。访问令牌是代表访问服务提供设备10A的权限的信息,并且访问权限在早于第一截止日期和时间的第二截止日期和时间为止是有效的。在该示例中,服务提供设备10A发布访问令牌和刷新令牌作为描述访问权限的数据结构。服务提供设备10A通过验证访问令牌来确定是否允许访问。在该示例中,为访问令牌和刷新令牌预设截止日期和时间。访问令牌或刷新令牌在达到其截止日期和时间之后变得无效。如果访问权限已到期,则服务提供设备10A在验证刷新令牌时重新发布访问令牌。在该示例中,访问令牌存储在本地数据库308b中,而刷新令牌存储在全局数据库308a中。下文中,除非需要区分访问令牌和刷新令牌,否则将访问令牌和刷新令牌简称为“令牌”。
图4示出了授予用户U1的令牌未存储在中继设备30A中的示例。如果在步骤S105中确定令牌未存储在中继设备30A的数据库308中,则在步骤S106中,中继设备30A的CPU 301将表示请求授权访问权限的传递的响应传送到作为访问请求的传送源的客户端设备20A。表示在该响应的Cookie报头中包含的区域的值包括“US”。该响应还包含用于输入授权信息的画面的URL(即,服务提供设备10的资源的URL并且下文中被称为“授权URL”)以及在访问权限的传递被授权的情况下所使用的重定向目的地的URL(下文中,称为“重定向URL”)。
重定向URL包含在根据由OAuth2协议定义的规则的响应中。该重定向URL是在服务提供设备10A中预先登记的URL。在该示例中,将“www.example.com”作为重定向URL登记在服务提供设备10A中。相应地,在步骤S106中由中继设备30A传送的响应也包含作为重定向URL的“www.example.com”。
在基于OAuth2的访问权限传递系统中,将表示要向其传递访问权限的目的地的URL(重定向URL)作为在用户授权该传递的情况下所使用的重定向目的地预先登记在服务器设备中。允许登记的重定向URL的数量根据云服务等的类型而改变。存在允许登记多个重定向URL的云服务,然而也存在仅允许登记一个重定向URL的云服务。根据本示例性实施例的系统1包括多个中继设备30A、30B和30C。在仅允许登记一个重定向URL的云服务的情况下,不允许将这多个中继设备30的区域URL登记到云服务(即,服务提供设备10)。因此,在本示例中,替代区域URL,将全局URL作为重定向URL登记在服务提供设备10中。
在步骤S107中,客户端设备20A的CPU访问在步骤S106中接收到的响应中包含的授权URL,并且提出获得授权画面的请求。在步骤S108中,服务提供设备10A的CPU将包含代表授权画面的数据的响应传送到客户端设备20A。基于包含在所接收到的响应中的数据,客户端设备20A的CPU在显示单元上显示用于输入授权信息的授权画面。
然后,用户U1查看在客户端设备20A的显示单元上所显示的画面,并且通过使用操作单元来输入在对访问权限的传递进行授权时所使用的授权信息。在步骤S109中,客户端设备20A的CPU将所输入的授权信息传送到服务提供设备10A。在步骤S110中,服务提供设备10A的CPU基于从客户端设备20A接收到的授权信息来确定是否对访问权限的传递进行授权。如果该传递被授权,则服务提供设备10A的CPU将表示“确定”的响应传送到作为已在步骤S106中提出对访问权限的传递进行授权的请求的请求源的中继设备30A。然后,在步骤S111中,中继设备30A将从服务提供设备10A接收到的响应传送到客户端设备20A。该响应包含授予用户U1的访问令牌和刷新令牌。该响应还包含在服务提供设备10A中预先登记为重定向URL的URL(即,‘HYPERLINK“http://www.csb.com”www.example.com’)作为重定向目的地的URL。
在步骤S112中,客户端设备20A的CPU执行用于重定向至在步骤S111中接收到的响应中包含的重定向URL(即,重定向至“www.example.com”)的处理。在步骤S112中传送的HTTP请求(访问请求)包括包含存储在作为访问请求的传送源的客户端设备20A中的cookie信息的Cookie报头。在该示例中,包含“US”作为表示该HTTP请求的Cookie报头中的区域的值。该HTTP请求还包含在步骤S111中接收到的访问令牌和刷新令牌。
在步骤S112中,客户端设备20A的CPU在传送用于重定向的HTTP请求之前向域名系统(DNS)服务器(未示出)进行关于与重定向目的地“www.example.com”相对应的IP地址的查询。在该示例中,在表示重定向目的地的URL是全局URL(即,多个中继设备30共享的URL)的情况下,在系统1中所使用的DNS服务器基于通信网络的负荷情况来选择多个中继设备30中的一个。DNS服务器将所选的中继设备30的IP地址返回到客户端设备20A。如上所述,即使表示重定向目的地的全局URL保持不变,DNS服务器选择的中继设备30也每次根据网络负荷情况而改变。例如,当客户端设备20A执行至“www.example.com”的重定向时,从DNS服务器返回的IP地址在一个时刻可以是中继设备30A的IP地址,而在另一时刻可以是中继设备30B的IP地址。
如上所述,在将全局URL用作重定向URL的情况下,被选为重定向目的地的中继设备30根据重定向时刻而改变。因而,不允许客户端设备20A选择用作重定向目的地的中继设备30。为了便于说明,在全局URL被用作重定向URL的情况下被选为重定向目的地的中继设备30在下文中被称为“中继设备30Z”。
中继设备30Z接收在步骤S112中传送的HTTP请求。如上所述,中继设备30Z是虚拟中继设备,并且实际上是该示例中的中继设备30A、30B和30C之一。
如果表示包含在所接收到的访问请求中的重定向目的地的URL是全局URL(即,如果URL不是唯一地分配给中继设备30Z的资源的URL),则中继设备30Z的CPU 301执行步骤S113至S115的处理。在步骤S113中,中继设备30Z的CPU 301读出在所接收到的HTTP请求(访问请求)的Cookie报头中设置的表示区域的信息的值。在步骤S114中,CPU 301生成其中与所读出的值相对应的本地URL被设置为重定向URL的HTTP响应。在该示例中,“US”被设置为表示所接收到的HTTP请求的Cookie报头中的区域的信息。因而,CPU 301将“us.example.com”设置为重定向URL。应注意,在“EU”被设置为Cookie报头中表示区域的信息的情况下,CPU 301将“eu.example.com”设置为重定向URL。在步骤S115中,CPU 301将在步骤S114中所生成的HTTP响应(第三响应的示例)传送到客户端设备20A。
在步骤S116中,客户端设备20A的CPU执行用于重定向至包含在步骤S115中所接收到的响应中的重定向URL(即,重定向至“us.example.com”)的处理。由于该重定向URL是本地URL,因此用作重定向目的地的中继设备30被唯一地确定。客户端设备20A的CPU向DNS服务器进行关于与该重定向URL相对应的IP地址的查询,并且从DNS服务器接收中继设备30A的IP地址。客户端设备20A的CPU执行用于重定向至中继设备30A的处理。在步骤S116中传送的HTTP请求包含在步骤S111中从服务提供设备10A接收到的访问令牌和刷新令牌。当执行该重定向处理时,因为“.example.com”被设置为Cookie报头中的域属性,所以HTTP请求从“www.example.com”重定向至使用相同域的重定向URL“us.example.com”。
中继设备30A的CPU 301从客户端设备20A接收HTTP请求(访问请求)。如果表示包含在所接收到的请求中的重定向目的地的URL是唯一地分配给中继设备30A的资源,则中继设备30A的CPU 301通过使用包含在所接收到的访问请求中的访问令牌来中继对服务提供设备10A的访问。在该示例中,包含在步骤S116中接收到的响应中的重定向URL(“us.example.com”)是唯一地分配给中继设备30A的URL。因而,中继设备30A的CPU 301中继对服务提供设备10A的访问。首先,在步骤S117中,CPU 301将包含在所接收到的HTTP请求中的访问令牌存储在本地数据库308b中。另外,在步骤S118中,CPU 301将包含在所接收到的HTTP请求中的刷新令牌存储在全局数据库308a中。在步骤S119中,CPU 301将包含访问令牌的访问请求传送到服务提供设备10A。
在步骤S120中,服务提供设备10A的CPU基于所接收到的访问请求来执行服务。在步骤S121中,服务提供设备10A的CPU向中继设备30A传送表示所请求的服务的执行结果的数据。在步骤S122中,中继设备30A的CPU 301将从服务提供设备10A接收到的数据传送到客户端设备20。
如上所述,在一些情况下,在服务提供设备10A中仅允许将一个URL登记为在基于OAuth2的系统中对访问权限至中继设备30的传递进行授权的情况下所使用的重定向URL。如果将一个全局URL“www.example.com”预先登记在服务提供设备10A中,则作为用于重定向至该全局URL的处理的结果,DNS服务器选择用作重定向目的地的中继设备。因而,所选择的中继设备每次根据各种条件(诸如网络负荷)而改变。即,虽然用户UR1已登录到中继设备30A(在图4的步骤S101中),但是在步骤S112中,在某些情况下用户U1被重定向至不同于中继设备30A的中继设备30(例如,中继设备30B)。
然而,在该示例性实施例中,在客户端设备20A执行重定向处理并且表示包含在重定向访问请求中的重定向目的地的URL是全局URL的情况下,读出在所接收到的访问请求的Cookie报头中所设置的区域信息的值,并且指示客户端设备20A重定向至与读出的值相对应的区域URL。以该方式,经由用户已登录的中继设备30A访问服务提供设备10A。
2-2.第二示例性操作
图5是示出系统1执行的另一操作的序列图。该示例示出在用户U1尝试经由中继设备30A访问服务提供设备10A时访问令牌和刷新令牌登记在中继设备30A的数据库308中但访问令牌已到期的情况下所执行的示例性操作。与图4所示的处理步骤类似的图5的处理步骤由相同的附图标记表示,并且将省略对其的描述。
在从客户端设备20A接收到访问请求时,在图5的步骤S105中,中继设备30A的CPU301确定与所接收到的访问请求相对应的、授予用户U1的访问令牌和刷新令牌是否存储在数据库308中,并且确定是否已达到截止日期和时间。图5示出了访问令牌和刷新令牌存储在数据库308中但访问令牌已到期的情况。由于访问令牌已到期,CPU 301在步骤S201中将访问令牌重新获取请求传送到服务提供设备10A。该重新获取请求包含用户U1的刷新令牌和客户端凭证。在该示例中,客户端凭证是服务提供设备10A预先发布给中继设备30A的认证信息。
在步骤S202中,服务提供设备10的CPU基于包含在所接收到的重新获取请求中的刷新令牌和客户端凭证来向用户U1重新发布访问令牌。在步骤S203中,服务提供设备10A的CPU将重新发布的访问令牌传送到中继设备30A。
在步骤S117中,中继设备30A的CPU 301将所接收到的访问令牌存储在本地数据库308b中。在步骤S119中,CPU 301使用重新发布的访问令牌来将访问请求传送到服务提供设备10A。
3.示例性变型
上述示例性实施例描述了本发明的示例。可以按以下方式对示例性实施例进行变型。另外,可结合地使用以下描述的示例性变型。
3-1.第一示例性变型。
在上述示例性实施例中,在图4的步骤S103中,中继设备30A的CPU 301在HTTP响应的Set-Cookie报头中设置中继设备30A的标识值;然而,其中设置有中继设备30A的标识值的报头不限于该特定报头。可以在HTTP响应的另一报头中设置中继设备30的标识值。另外,在上述示例性实施例中,描述了使用HTTP协议来在设备之间交换数据的示例;然而,用于在设备之间交换数据的协议不限于HTTP协议。
3-2.第二示例性变型
根据上述示例性实施例的系统1包括:服务提供设备10A、10B和10C;客户端设备20A、20B、20C和20D;以及中继设备30A、30B和30C。服务提供设备10的数量、客户端设备20的数量和中继设备30的数量不限于包括在系统1中的这些设备的数量。
3-3.第三示例性变型
在上述示例性实施例中由中继设备30的CPU 301执行的程序可以经由诸如互联网的通信网络下载。替选地,可以在将该程序存储在计算机可读记录介质(诸如,磁性记录介质(诸如磁带或磁盘)、光学记录介质(诸如光盘)、磁光记录介质或半导体存储器)上之后提供该程序。
为了说明和描述的目的而提供了本发明的示例性实施例的以上描述。其不旨在对本发明进行穷举或将本发明限于所公开的具体形式。显而易见,许多变型和改变对于本领域技术人员是明显的。选择并描述实施例是为了最好地说明本发明的原理及其实际应用,从而使得本领域技术人员根据各种实施例且通过适合于所预期的特定用途的各种变型理解本发明。本发明的范围由所附权利要求及其等同方案来限定。
Claims (6)
1.一种信息处理设备,包括:
第一传送单元,其在所述信息处理设备从客户端设备接收用以登录到所述信息处理设备的登录请求的情况下,将第一响应传送到所述客户端设备,所述第一响应包含用于标识所述信息处理设备的信息;
第二传送单元,其在服务器设备响应于来自所述客户端设备的请求而对访问权限的传递进行授权的情况下,将第二响应传送到所述客户端设备,所述第二响应用以指示所述客户端设备执行至一个或多个统一资源定位符当中的统一资源定位符的重定向,所述一个或多个统一资源定位符在所述服务器设备中被预先登记为要向其传递所述访问权限的目的地;以及
第三传送单元,其在所接收到的访问请求中包含的重定向目的地的统一资源定位符不是与所述信息处理设备相关联的统一资源定位符的情况下,响应于所述第二响应而读出从所述客户端设备接收到的访问请求中包含的区域信息,并且将第三响应传送到作为所接收到的访问请求的传送源的客户端设备,所述第三响应包含用于重定向至与所读出的区域信息相对应的统一资源定位符的指令,
其中,所述用于标识所述信息处理设备的信息和与所述信息处理设备相关联的所述统一资源定位符相关。
2.根据权利要求1所述的信息处理设备,其中,
所述访问请求包含权限信息,并且
所述信息处理设备还包括:
中继单元,其在所接收到的访问请求中包含的所述重定向目的地的统一资源定位符是与所述信息处理设备相关联的统一资源定位符的情况下,通过使用包含在所接收到的访问请求中的所述权限信息来中继对所述服务器设备的访问。
3.根据权利要求1或2所述的信息处理设备,其中,
所述第一响应包含用于标识所述信息处理设备的cookie信息,并且
所述访问请求包含存储在作为所述访问请求的传送源的客户端设备中的cookie信息。
4.根据权利要求1所述的信息处理设备,其中,
所述访问请求包含第一权限信息和第二权限信息,
所述第一权限信息表示直到所设置的第一截止日期和时间为止有效的访问所述服务器设备的权限,
所述第二权限信息表示直到早于所述第一截止日期和时间的第二截止日期和时间为止有效的访问所述服务器设备的权限,并且
所述信息处理设备还包括:
第一存储器,其存储要复制到另一信息处理设备的资源的数据;
第二存储器,其存储数据;以及
存储器控制器,其控制包含在所接收到的访问请求中的所述第一权限信息在所述第一存储器中的存储以及包含在所述访问请求中的所述第二权限信息在所述第二存储器中的存储。
5.一种信息处理系统,包括:
第一信息处理设备;以及
第二信息处理设备,
所述第一信息处理设备包括:
第一传送单元,其在所述第一信息处理设备从客户端设备接收用以登录到所述第一信息处理设备的登录请求的情况下,将第一响应传送到所述客户端设备,所述第一响应包含用于标识所述第一信息处理设备的信息,并且
所述第二信息处理设备包括:
第二传送单元,其在服务器设备响应于来自所述客户端设备的请求而对访问权限的传递进行授权的情况下,将第二响应传送到所述客户端设备,所述第二响应指示所述客户端设备执行至一个或多个统一资源定位符当中的统一资源定位符的重定向,所述一个或多个统一资源定位符在所述服务器设备中预先登记为要向其传递所述访问权限的目的地,以及
第三传送单元,其在所接收到的访问请求中包含的重定向目的地的统一资源定位符不是与所述第二信息处理设备相关联的统一资源定位符的情况下,响应于所述第二响应而读出在从所述客户端设备接收到的访问请求中包含的区域信息,并且将第三响应传送到作为所接收到的访问请求的传送源的客户端设备,所述第三响应包含用于重定向至与所读出的区域信息相对应的统一资源定位符的指令,
其中,所述用于标识所述第一信息处理设备的信息和与所述第二信息处理设备相关联的所述统一资源定位符相关。
6.一种信息处理方法,包括:
在从客户端设备接收到用以登录到信息处理设备的登录请求的情况下,将第一响应传送到所述客户端设备,所述第一响应包含用于标识所述信息处理设备的信息;
在服务器设备响应于来自所述客户端设备的请求而对访问权限的传递进行授权的情况下,将第二响应传送到所述客户端设备,所述第二响应用以指示所述客户端设备执行至一个或多个统一资源定位符当中的统一资源定位符的重定向,所述一个或多个统一资源定位符在所述服务器设备中被预先登记为要向其传递所述访问权限的目的地;
在所接收到的访问请求中包含的重定向目的地的统一资源定位符不是与所述信息处理设备相关联的统一资源定位符的情况下,响应于所述第二响应而读出在从所述客户端设备接收到的访问请求中包含的区域信息;以及
将第三响应传送到作为所接收到的访问请求的传送源的客户端设备,所述第三响应包含用于重定向至与所读出的区域信息相对应的统一资源定位符的指令,
其中,所述用于标识所述信息处理设备的信息和与所述信息处理设备相关联的所述统一资源定位符相关。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014102283A JP6323163B2 (ja) | 2014-05-16 | 2014-05-16 | 中継装置、システム及びプログラム |
| JP2014-102283 | 2014-05-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105095130A CN105095130A (zh) | 2015-11-25 |
| CN105095130B true CN105095130B (zh) | 2018-12-25 |
Family
ID=54539457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510009437.6A Active CN105095130B (zh) | 2014-05-16 | 2015-01-08 | 信息处理设备、系统和信息处理方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9756111B2 (zh) |
| JP (1) | JP6323163B2 (zh) |
| CN (1) | CN105095130B (zh) |
| AU (1) | AU2015200405B2 (zh) |
| SG (1) | SG10201501199TA (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363313B (zh) * | 2014-12-02 | 2018-09-18 | 网宿科技股份有限公司 | 使用内容分发网络的网站的资源使用率保障方法和系统 |
| US10798093B2 (en) * | 2016-09-19 | 2020-10-06 | Verisign, Inc. | GTLD domain name registries RDAP architecture |
| CN106453303A (zh) * | 2016-10-09 | 2017-02-22 | 武汉斗鱼网络科技有限公司 | 一种用于ios客户端的用户登录状态保存方法及系统 |
| US10541992B2 (en) * | 2016-12-30 | 2020-01-21 | Google Llc | Two-token based authenticated session management |
| US10462124B2 (en) | 2016-12-30 | 2019-10-29 | Google Llc | Authenticated session management across multiple electronic devices using a virtual session manager |
| JP6929181B2 (ja) * | 2017-09-27 | 2021-09-01 | キヤノン株式会社 | デバイスと、その制御方法とプログラム |
| US11924030B2 (en) * | 2022-03-03 | 2024-03-05 | WarnerMedia Direct, LLC | Client device configuration based on client context |
| US11907202B2 (en) | 2022-03-03 | 2024-02-20 | WarnerMedia Direct, LLC | Session state data distribution via client devices |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103986688A (zh) * | 2013-02-12 | 2014-08-13 | 佳能欧洲股份有限公司 | 认证外围设备的用户的方法和系统、外围设备及移动装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6912582B2 (en) * | 2001-03-30 | 2005-06-28 | Microsoft Corporation | Service routing and web integration in a distributed multi-site user authentication system |
| US7904600B2 (en) * | 2002-10-30 | 2011-03-08 | Hewlott-Packard Development Company, L.P. | Integrating user specific output options into user interface data |
| US7636941B2 (en) * | 2004-03-10 | 2009-12-22 | Microsoft Corporation | Cross-domain authentication |
| JP2007110377A (ja) * | 2005-10-13 | 2007-04-26 | Hitachi Ltd | ネットワークシステム |
| FI20065288A (fi) * | 2006-05-03 | 2007-11-04 | Emillion Oy | Autentikointi |
| US20090000979A1 (en) * | 2007-06-27 | 2009-01-01 | Ricky Ah-Man Woo | Perfumed household products and methods for preserving perfume integrity and extending fragrance life |
| US8838733B2 (en) * | 2010-10-20 | 2014-09-16 | Quova, Inc. | System and method for managing an internet domain based on the geographic location of an accessing user |
| US9674379B2 (en) | 2010-11-04 | 2017-06-06 | Brother Kogyo Kabushiki Kaisha | Relay apparatus, communication apparatus, and control methods of relay apparatus |
| JP5906677B2 (ja) | 2010-11-08 | 2016-04-20 | ブラザー工業株式会社 | 通信システム、通信装置、中継装置の制御プログラム、および中継装置の制御方法 |
-
2014
- 2014-05-16 JP JP2014102283A patent/JP6323163B2/ja active Active
- 2014-11-14 US US14/542,153 patent/US9756111B2/en active Active
-
2015
- 2015-01-08 CN CN201510009437.6A patent/CN105095130B/zh active Active
- 2015-01-28 AU AU2015200405A patent/AU2015200405B2/en active Active
- 2015-02-16 SG SG10201501199TA patent/SG10201501199TA/en unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103986688A (zh) * | 2013-02-12 | 2014-08-13 | 佳能欧洲股份有限公司 | 认证外围设备的用户的方法和系统、外围设备及移动装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2015200405A1 (en) | 2015-12-03 |
| JP2015219687A (ja) | 2015-12-07 |
| US20150334049A1 (en) | 2015-11-19 |
| CN105095130A (zh) | 2015-11-25 |
| AU2015200405B2 (en) | 2016-10-13 |
| US9756111B2 (en) | 2017-09-05 |
| JP6323163B2 (ja) | 2018-05-16 |
| SG10201501199TA (en) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105095130B (zh) | 信息处理设备、系统和信息处理方法 | |
| KR101731867B1 (ko) | 챗봇 간에 사용자의 이벤트를 공유하는 방법 및 장치 | |
| CN110138718A (zh) | 信息处理系统及其控制方法 | |
| JP4544417B2 (ja) | リスト管理サーバ、リスト管理システム、リスト管理方法およびプログラム | |
| CN107005582A (zh) | 使用存储在不同目录中的凭证来访问公共端点 | |
| CN106375321A (zh) | 朝向内容消费者迁移经过认证的内容 | |
| JP2005516533A (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
| US20110137817A1 (en) | System and method for aggregating and disseminating personal data | |
| CN107251528A (zh) | 作为服务的网络标识 | |
| CN105956143B (zh) | 数据库访问方法及数据库代理节点 | |
| WO2009101755A1 (ja) | 個人情報流通制御システムおよび個人情報流通制御方法 | |
| JP5179298B2 (ja) | アクセス認可システム、アクセス制御サーバ、およびビジネスプロセス実行システム | |
| JP6760186B2 (ja) | 情報処理装置、情報処理システム及び情報処理方法 | |
| JP5283036B2 (ja) | サービス提供システム、代理処理履歴収集方法および代理処理履歴収集プログラム | |
| JP4573559B2 (ja) | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム | |
| JP6145659B2 (ja) | 情報公開システム及び情報公開方法 | |
| JP6481550B2 (ja) | 代理認証方法、および通信装置 | |
| JP2005208880A (ja) | コンテンツ提供システム、コンテンツサーバ、ディスプレイ端末、および、コンテンツ提供方法 | |
| KR101491845B1 (ko) | 서버측에서 클라이언트와 서버의 백엔드간의 연결을 매개하는 연결 관리 방법 및 시스템 | |
| JP7119797B2 (ja) | 情報処理装置及び情報処理プログラム | |
| JP6072954B1 (ja) | 認証処理装置および認証処理方法 | |
| JP2009146154A (ja) | 属性情報流通制御システムおよび属性情報流通制御方法 | |
| JP6459785B2 (ja) | 情報処理システム | |
| JP2008242889A (ja) | コンテンツ利用システム | |
| JP2004078352A (ja) | Webページ表示画面共有システム用代理Webサーバ、Webページ表示画面共有システムおよびWebページ表示画面共有システム用代理Webサーバプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Tokyo Patentee after: Fuji film business innovation Co.,Ltd. Address before: Tokyo Patentee before: Fuji Xerox Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |