一种授权方法、请求授权的方法及装置
技术领域
本申请涉及计算机技术领域,尤其涉及一种授权方法、请求授权的方法及装置。
背景技术
传统的基于互联网实现的业务授权(如远程支付授权)过程一般包含下述步骤:
用户端设备获得用户输入的账号和密码,并提交给服务端设备进行校验;
服务端设备对用户端设备提交的账号和密码校验通过后,对用户端设备进行授权;
用户端设备在获得授权后,向服务端设备发起与用户端设备被授予的权限相匹配的业务申请,进而获得业务数据。
上述过程的缺陷在于,每次进行业务授权时都需要用户往用户端设备中手动输入账号和密码,导致授权过程的效率较低。
发明内容
本申请实施例提供一种授权方法,用以提高授权过程的效率。
本申请实施例还提供一种授权装置,用以提高授权过程的效率。
本申请实施例还提供一种请求授权的方法和装置。
本申请实施例采用下述技术方案:
一种授权方法,包括:服务端设备接收保存在与用户端设备相关的身份认证辅助设备中的用户身份认证信息;根据所述用户身份认证信息,判断所述用户端设备是否满足授权条件。
一种请求授权的方法,包括:身份认证辅助设备获得来自与身份认证辅助设备相关的用户端设备的辅助认证请求;从身份认证辅助设备本地获取用户身份认证信息;将用户身份认证信息发送给服务端设备,以使得服务端设备根据所述用户身份认证信息,判断所述用户端设备是否满足授权条件。
一种请求授权的方法,包括:用户端设备向与用户端设备相关的身份认证辅助设备提供辅助认证请求,以触发身份认证辅助设备将保存在身份认证辅助设备本地的用户身份认证信息发送给服务端设备。
一种请求授权的方法,包括:用户端设备获得与用户端设备相关的身份认证辅助设备提供的用户身份认证信息;将用户身份认证信息发送给服务端设备,以使得服务端设备根据所述用户身份认证信息,判断所述用户端设备是否满足授权条件。
一种授权装置,包括:信息接收单元,用于接收保存在与用户端设备相关的身份认证辅助设备中的用户身份认证信息;判断单元,用于根据信息接收单元接收的所述用户身份认证信息,判断所述用户端设备是否满足授权条件。
一种请求授权的装置,包括:请求获得单元,用于获得来自与所述请求授权的装置相关的用户端设备的辅助认证请求;信息获取单元,用于在请求获得单元获得所述辅助认证请求后,从所述请求授权的装置本地获取用户身份认证信息;发送单元,用于将信息获取单元获取的用户身份认证信息发送给服务端设备,以使得服务端设备根据所述用户身份认证信息,判断所述用户端设备是否满足授权条件。
一种请求授权的装置,包括:请求提供单元,用于向与所述请求授权的装置相关的身份认证辅助设备提供辅助认证请求,以触发身份认证辅助设备将保存在身份认证辅助设备本地的用户身份认证信息发送给服务端设备。
一种请求授权的装置,包括:信息获得单元,用于获得与请求授权的装置相关的身份认证辅助设备提供的用户身份认证信息;发送单元,用于将信息获得单元获得的用户身份认证信息发送给服务端设备,以使得服务端设备根据所述用户身份认证信息,判断所述请求授权的装置是否满足授权条件。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
由于可以利用身份认证辅助设备保存用户身份认证信息,因此无论是用户端设备还是身份认证辅助设备向服务端设备发送用户身份认证信息,都可以从身份认证辅助设备处获取该信息,不需要用户手动将该信息输入到用户端设备,从而使得授权过程的效率提高。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为实施例1提供的一种授权方法的具体流程示意图;
图2为实施例2提供的一种请求授权的方法的具体流程示意图;
图3为实施例3提供的一种请求授权的方法的具体流程示意图;
图4为实施例4和实施例5的实施场景示意图;
图5为实施例4提供的对于用户端设备的授权机制的实现流程示意图;
图6为实施例5提供的对于用户端设备的授权机制的实现流程示意图;
图7为实施例6提供的一种授权装置的具体结构示意图;
图8为实施例6提供的另一种授权装置的具体结构示意图;
图9为实施例7提供的一种请求授权的装置的具体结构示意图;
图10为实施例7提供的另一种请求授权的装置的具体结构示意图;
图11为实施例8提供的第二种请求授权的装置的具体结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
实施例1
实施例1提供一种授权方法,该方法的具体流程示意图如图1所示,包括下述步骤:
步骤11,服务端设备接收保存在与用户端设备相关的身份认证辅助设备中的用户身份认证信息。
实施例1中,“用户身份认证信息”可以包含用户名和密码,也可以包含其他的用于唯一表示用户的信息。
身份认证辅助设备可以为手机、台式电脑、笔记本电脑或平板电脑等设备。其对用户身份认证信息进行保存的具体实现方式可以是:用户成功注册到服务端设备后由服务端设备将该用户身份认证信息发送给该身份认证辅助设备进行保存;或者是由用户端设备直接将该用户身份认证信息发送给该身份认证辅助设备进行保存;或者是由用户直接将用户身份认证信息输入到该身份认证辅助设备中;等等。
实施例1中,用户身份认证信息可以是由身份认证辅助设备发送给服务端设备的;也可以是在用户端设备获得由身份认证辅助设备提供的用户身份认证信息后,由用户端设备发送给服务端设备的。
步骤12,根据接收到的用户身份认证信息,判断用户端设备是否满足授权条件。其中,这里所说的授权的权限可以是用户利用用户身份信息开通的业务的相关数据获取权限、对用户电子账户的下资金的操作权限或对用户保存在网络侧的联系人信息的访问权限,等等。
步骤12中,根据接收到的用户身份认证信息判断用户端设备是否满足授权条件的方式可以有多种,以下重点介绍其中两种。
第一种是基于时间因子的动态密码方式。
该方式的实现前提是用户身份认证信息包括校验信息和用户身份信息(一般为用户名和密码)。其中,校验信息是用户身份认辅助设备利用加密算法,对第一当前时刻信息和保存在用户身份认辅助设备本地的随机信息进行加密计算得到的。第一当前时刻信息为用户身份认辅助设备在获得用户端设备提供的辅助认证请求时采集到的本地系统时间信息;随机信息是服务端设备对身份认证辅助设备发送的用户身份信息验证通过后生成并发送给身份认证辅助设备的。上述辅助认证请求是用户端设备用于触发用户身份认证辅助设备向服务端设备提供用户身份认证信息的一种信息。
基于上述实现前提,服务端设备根据接收到的用户身份认证信息,判断用户端设备是否满足授权条件的过程可以包括如下子步骤:
子步骤一:服务端设备根据保存的用户身份信息和随机信息的映射关系,查找身份认证辅助设备发送的用户身份认证信息中包含的用户身份信息所映射的随机信息。
具体而言,上述映射关系可以是身份认证辅助设备请求注册到该服务端设备时,服务端设备对身份认证辅助设备发送的用户身份信息验证通过后建立的。该映射关系中的随机信息可以是服务端设备随机生成的。
比如,当身份认证辅助设备使用账户名“apple”和密码“12345”作为用户身份信息注册到服务端设备时,服务端设备可以生成一个随机信息,如生成随机字符串A,并建立A、“apple”和“12345”的映射关系。从而后续当身份认证辅助设备向该服务端设备发送包含“apple”和“12345”用户身份认证信息时,服务端设备就可以查找到与“apple”和“12345”所映射的A。
子步骤二:服务端设备利用加密算法,对第二当前时刻信息和查找到的随机信息进行加密计算,得到注册信息;其中,第二当前时刻信息为服务端设备在接收到用户身份认证信息时采集到的本地系统时间信息。
此处所说的加密算法可以是采用密码散列函数的加密算法,比如可以是安全散列算法(SecureHashAlgorithm,SHA)。一般地,此处所使用的加密算法与生成校验信息时使用的加密算法是相同的。
子步骤三:判断得到的注册信息和用户身份认证信息中包含的校验信息是否匹配;并在判断结果表示校验信息和该注册信息相匹配时,执行子步骤四;在判断结果表示校验信息和该注册信息不匹配时,执行子步骤五。
子步骤四:判定校验信息满足授权条件。
子步骤五:判定校验信息不满足授权条件。
第二种是基于非对称密钥的方式。
该方式的实现前提是用户身份认证信息包括校验信息及用户身份信息。其中,校验信息是用户身份认辅助设备利用私钥对认证标签进行签名得到的。私钥是服务端设备对身份认证辅助设备发送的用户身份信息验证通过后发送给身份认证辅助设备的;认证标签是服务端设备在接收到用户端设备发送的用户身份认证请求后发送给用户端设备,并由用户端设备提供给身份认证辅助设备的。
基于上述实现前提,服务端设备根据接收到的用户身份认证信息,判断用户端设备是否满足授权条件的过程可以包括下述子步骤:
子步骤a:查找与身份认证辅助设备发送的用户身份认证信息包含的用户身份信息对应的公钥。
子步骤b:利用查找到的公钥解密校验信息,得到待认证信息;
子步骤c:判断待认证信息与与用户身份信息对应保存的认证标签是否相同;在判断结果表示待认证信息与保存的认证标签相同时,执行子步骤d;否则,执行子步骤e;
子步骤d:判定校验信息满足授权条件;
子步骤e:判定校验信息不满足授权条件。
可选的,实施例1还可以包括步骤:服务端设备在接收用户身份认证信息之前,接收用户身份认证请求;根据用户身份认证请求生成业务流水号,与用户身份认证请求的映射关系并发送给用户端设备。其中,用户身份认证请求中包括用户端设备标识信息。
基于上述步骤,实施例1中的步骤12的一种实现方式可以包括:服务端设备根据用户身份认证信息,判断接收到的业务流水号映射的用户身份认证请求中包含的用户端设备标识信息表示的用户端设备是否满足授权条件。其中,当用户身份认证信息是由身份认证辅助设备发送给服务端设备时,接收到的该业务流水号也可以是由身份认证辅助设备发送的;而当用户身份认证信息是由用户端设备获得由身份认证辅助设备提供的用户身份认证信息后发送给服务端设备时,接收到的该业务流水号可以是由用户端设备发送的。
实施例1中,用户端设备和与用户端设备相关的身份认证辅助设备之间可以采用声波、蓝牙、无线保真(WirelessFidelity,WiFi)、近场无线通讯(NearFieldCommunication,NFC)或二维码拍码等技术进行信息传递。
采用实施例1提供的上述方法,由于可以利用身份认证辅助设备来存储用户身份认证信息,因此无论是用户端设备还是身份认证辅助设备向服务端设备发送用户身份认证信息,都可以从身份认证辅助设备处获取该信息,从而可以使得用户手动将该信息输入到用户端设备,提高了授权过程的效率。
需要说明的是,实施例1所提供方法的各步骤的执行主体均可以是同一设备,或者,该方法也由不同设备作为执行主体。比如,步骤11和步骤12的执行主体可以为设备1;又比如,步骤11的执行主体可以为设备1,步骤12的执行主体可以为设备2;等等。
实施例2
实施例2提供一种请求授权的方法,该方法的具体实现流程图如图2所示,包括如下步骤:
步骤21,身份认证辅助设备获得来自与身份认证辅助设备相关的用户端设备的辅助认证请求。
获得该辅助认证请求的方式可以有多种。比如可以是接收用户端设备广播的辅助认证请求;也可以是对用户端设备展示的二维码图像进行扫描,从而获得该二维码图像所表示的辅助认证请求;等等。
步骤22,从身份认证辅助设备本地获取用户身份认证信息。
步骤23,将用户身份认证信息发送给服务端设备,以使得服务端设备根据用户身份认证信息,判断用户端设备是否满足授权条件。
其中,将用户身份认证信息发送给服务端设备的方式可以是由身份认证辅助设备直接发送给服务端设备;也可以是由身份认证辅助设备先将该用户身份认证信息发送给用户端设备,然后再由用户端设备将该用户身份认证信息发送给服务端设备,即可以由身份认证辅助设备将该用户身份认证信息间接地发送给服务端设备。
采用实施例2提供的该方法,在来自用户端设备的辅助认证请求的触发下,可以将用户身份认证信息发送给服务端设备,以使得服务端设备根据用户身份认证信息判断是否对用户端设备进行授权,从而无需用户手动将用户身份认证信息输入到用户端设备,提高了授权过程的效率。
需要说明的是,实施例2所提供方法的各步骤的执行主体均可以是同一身份认证辅助设备,或者,该方法也由不同身份认证辅助设备作为执行主体。比如,步骤21和步骤22的执行主体可以为身份认证辅助设备X,步骤23的执行主体可以为身份认证辅助设备Y;又比如,步骤21的执行主体可以为身份认证辅助设备X,步骤22和步骤23的执行主体可以为身份认证辅助设备Y;等等。
实施例3
实施例3提供两种请求授权的方法。
第一种请求授权的方法包括步骤:用户端设备向与用户端设备相关的身份认证辅助设备提供辅助认证请求,以触发身份认证辅助设备将保存在身份认证辅助设备本地的用户身份认证信息发送给服务端设备。
其中,用户端设备可以向身份认证辅助设备提供的辅助认证请求中可以包含用户端设备所获得的、由服务端设备发送的身份认证业务流水号。
第二种请求授权的方法包括如图3所示的下述步骤:
步骤31,用户端设备获得与用户端设备相关的身份认证辅助设备提供的用户身份认证信息;
步骤32,用户端设备将用户身份认证信息发送给服务端设备,以使得服务端设备根据用户身份认证信息判断用户端设备是否满足授权条件。
实施例3中,用户端设备和与用户端设备相关的身份认证辅助设备之间可以采用声波、蓝牙、WiFi、NFC或二维码拍码等技术进行信息传递。
需要说明的是,图3所示方法的各步骤的执行主体均可以是同一设备,或者,该方法也由不同设备作为执行主体。
实施例4
实施例4是将用户指定的某台常用的智能移动通讯设备作为身份认证辅助设备,并基于时间因子的动态密码技术,实现了一套对于用户端设备的授权机制。通过该机制,用户端设备的授权过程中的身份认证可以在服务端设备和该独立身份认证工具之间完成,不需要用户向发起用户身份认证请求的用户端设备输入账号和密码,从而提高了授权过程的效率,并且避免了用户需要记忆和输入账号及密码所产生的用户体验不佳的问题,以及每次授权过程都需要传输账号和密码而存在的安全风险。
具体地,实施例4的实施场景示意图可以如图4所示。图4中,身份认证辅助设备可以是具备处理器、存储器、网络接口、信号收发器的电子设备,比如手机、平板电脑、便携式笔记本电脑或台式电脑等;安装有业务客户端的用户端设备也可以是这样的电子设备;服务端设备可以是网络侧的服务器。特别地,独立身份认证工具与用户端设备之间的信息交互可以采用声波、蓝牙、WiFi、NFC或二维码拍码等技术。考虑到成本问题,实际业务中独立身份认证工具与用户端设备之间的信息交互可以以声波作为载体。
基于如图4所示的该实施场景,以下详细说明实施例4提供的对于用户端设备的授权机制的实现流程。该实现流程示意图如图5所示,包括下述步骤:
步骤51,身份认证辅助设备申请开通辅助认证功能。
比如,身份认证辅助设备可以在用户的控制下,通过安装在身份认证辅助设备上的辅助认证客户端应用登录服务端设备,并发送辅助认证功能开通申请,该申请中可以包含用户输入到身份认证辅助设备的账号和密码。为了便于描述,下文将该账号和密码统称为账号信息。
在一个具体的应用场景中,用户可以采用作为身份认证辅助设备的手机,向用于处理账户支付业务的服务端设备发送辅助认证功能开通申请。
步骤52,服务端设备开通身份认证辅助设备的辅助认证功能,而后生成随机数种子并下发给身份认证辅助设备进行保存,并将随机数种子保存在服务端设备本地。
比如,在服务端设备对身份认证辅助设备提交的账号和密码验证通过后,服务端设备可以为该身份认证辅助设备绑定一个状态标识,该状态标识用于表示身份认证辅助设备的辅助认证功能处于开启状态。
随后,服务端设备生成一个与账号绑定的16个字节长度的全局唯一的随机数种子,并将其下发给身份认证辅助设备进行加密保存。针对服务端设备而言,它也将该随机数种子、身份认证辅助设备发来的账号信息进行加密后,对应存储在本地。
步骤52执行完毕后,服务端设备和身份认证辅助设备上都加密保存有用户的账号信息和随机数种子。
在一个具体的应用场景中,以用户采用手机作为身份认证辅助设备为例,手机在接收到服务端设备发送来的随机数种子W后,可以采用对应存储的方式,对该随机数种子W和用户输入的账号信息进行加密保存,以便于后续可以根据用户的账号信息查找到该随机数种子W。
步骤53,用户端设备申请业务授权。
用户在不同于身份认证辅助设备的其他用户终端上进行业务授权申请。区别于身份认证辅助设备,这里所说的其他用户终端可称为用户端设备。
假设用户端设备中安装有用于指引用户进行业务授权申请的客户端,且该客户端向用户提供“辅助认证”和“非辅助认证”的选项,则当用户选择了“辅助认证”的选项后,用户端设备可以生成业务授权申请并向服务端设备进行发送。而当用户选择了“非辅助认证”的选项后,用户端设备会要求用户输入用于登录服务端设备的账号信息,并将获得的账号信息向服务端设备进行发送。
实施例4中,假设用户选择的是“辅助认证”的选项。从而后续从步骤54起,描述的是用户选择了“辅助认证”的选项后的流程。
在一个具体的应用场景中,用户可以使用作为上述用户端设备的笔记本电脑,访问用于展示账户支付业务的页面,进而可以通过点击该页面上显示的“辅助认证”选项,触发笔记本电脑向服务端设备发送业务授权申请。
步骤54,服务端设备接收到用户端设备发送的业务授权申请后,向用户端设备下发认证业务流水号,并保存该业务流水号以及相应的身份认证记录。
具体地,服务端设备在接收到业务授权申请后,针对本次业务授权生成一个唯一的认证业务流水号;服务端设备在本地保存该认证业务流水号,并将该认证业务流水号发送给用户端设备。
服务端设备保存该认证业务流水号的方式可以是与相应的身份认证记录进行对应保存的。其中,该身份认证记录中至少包含发送来业务授权申请的用户端设备的标识,此外,还可以包含待授权业务的标识。一般地,用户端设备的标识和该待授权业务的标识都可以从业务授权申请中获取到。
仍然以前文所述的具体应用场景为例,作为服务端设备的笔记本电脑可以接收来自服务端设备的认证业务流水号X。
步骤55,用户端设备对接收到的认证业务流水号进行广播。
仍然以前文所述的具体应用场景为例,作为服务端设备的笔记本电脑可以采用将认证业务流水号X携带在WiFi信号中的方式,对认证业务流水号X进行广播。
步骤56,身份认证辅助设备接收用户端设备广播的认证业务流水号后,对当前系统时刻信息进行采集,并根据采集到的当前系统时刻信息和保存的随机数种子,生成身份认证令牌。
所述的身份认证令牌即为校验信息。
比如,身份认证辅助设备可以利用安全散列算法SHA-2,对通过执行步骤52而保存在客身份认证辅助设备中的随机数种子和采集到的当前系统时刻信息进行加密散列计算,生成一个加密结果字符串作为身份认证令牌。
仍然以前文所述的具体应用场景为例,作为身份认证辅助设备的手机在接收到笔记本电脑广播的认证业务流水号X后,可以采集当前系统时刻信息。比如采集到的当前系统时刻信息为T0,则手机可以利用SHA-2对该当前系统时刻信息T0和保存在手机中的随机数种子W进行加密散列计算,生成一个加密结果字符串U0作为身份认证令牌。
步骤57,身份认证辅助设备将身份认证令牌、接收到的认证业务流水号以及保存的账号信息发送到服务端设备。
仍然以前文所述的具体应用场景为例,作为身份认证辅助设备的手机可以将身份认证令牌U0、接收到的认证业务流水号X以及保存的账号信息发送到服务端设备。
步骤58,服务端设备判断身份认证辅助设备的辅助认证功能是否处于开启状态;并在判断结果表示辅助认证功能处于开启状态时,执行步骤59;否则则可以向身份认证辅助设备发送辅助认证功能未开启通知消息,并结束流程。
具体地,服务端设备可以判断发送来身份认证令牌的身份认证辅助设备是否绑定了用于表示其开通了辅助认证功能的状态标识。若判断结果表示其绑定了该状态标识,则执行步骤59,反之,则可以发送上述通知消息并结束流程。
步骤59,服务端设备根据接收到的账号信息,查找与该账号信息对应存储的随机数种子,并根据该随机数种子和服务端设备采集到的当前系统时刻信息生成校验认证令牌;进而判断校验认证令牌和身份认证辅助设备发送来的身份认证令牌是否匹配,若判断结果表示校验认证令牌和身份认证令牌相匹配,则执行步骤510;若判断结果表示校验认证令牌和身份认证令牌不匹配,则可以向身份认证辅助设备发送认证失败通知消息,并结束流程。
其中,所述的校验认证令牌即为注册信息。
与步骤56类似的,服务端设备也可以利用安全散列算法SHA-2,对查找到的随机数种子和服务端设备采集到的当前系统时刻信息进行加密散列计算,生成一个加密结果字符串作为校验认证令牌。
需要说明的是,生成身份认证令牌所依据的当前系统时刻信息(为便于描述,简称第一时刻信息)和生成校验认证令牌所依据的当前系统时刻信息(简称第二时刻信息)有可能不相同。比如,第一时刻信息可能是10点52分30秒,而第二时刻信息可能是10点52分35秒。在这样的情况下,在生成校验认证令牌时,可以根据第二时刻信息和预先统计得到的一个传输延迟时间长度,确定出多个时刻信息,然后再分别根据所述多个时刻信息生成相应的校验认证令牌。比如,若传输延迟时间长度为10秒,则可以根据第二时刻信息10点52分35秒,确定出10个时刻信息,分别为10点52分34秒、10点52分33秒、10点52分32秒、10点52分31秒、10点52分30秒....;进一步地,可以利用安全散列算法SHA-2,对上述这10个时刻信息分别进行加密散列计算,得到相应的10个校验认证令牌。进一步地,服务端设备可以对所述10个校验认证令牌和身份认证令牌进行比较,在比较结果表示所述10个校验认证令牌中至少有一个与身份认证令牌相同时,就得出校验认证令牌和身份认证辅助设备发送来的身份认证令牌相匹配的判定结果;而在比较结果表示所述10个校验认证令牌中没有一个与身份认证令牌相同时,则得出校验认证令牌和身份认证辅助设备发送来的身份认证令牌不匹配的判定结果。
仍然以前文所述的具体应用场景为例,服务端设备可以根据根据账号信息查找到的随机数种子W和采集到的当前系统时刻信息T1生成校验认证令牌U1;进而判断校验认证令牌U1和身份认证辅助设备发送来的身份认证令牌U0是否匹配,若判断结果表示U1和U0相匹配,则执行步骤510;若判断结果表示U1和U0不匹配,则可以向作为身份认证辅助设备的手机发送认证失败通知消息,并结束流程。
步骤510,服务端设备根据接收到的认证业务流水号,查找相应的身份认证记录,并在从查找到的身份认证记录中获取到用户端设备的标识后,将与身份认证辅助设备发送的用户身份认证信息相匹配的权限授予获取到的该标识所表示的用户端设备,并在授权成功后向用户端设备发送授权成功通知消息。
可选的,若身份认证记录中还包含有待授权业务的标识,则服务端设备为用户端设备授予的权限可以包括:处理该待授权业务标识所表示的业务。
仍然以前文所述的具体应用场景为例,服务端设备可以根据接收到的认证业务流水号X查找相应的身份认证记录,并获取身份认证记录中的作为笔记本电脑标识的IP地址;然后,将与所述手机发送的账号信息相匹配的权限授予具备该IP地址的笔记本电脑。
步骤511,服务端设备在接收到授权成功通知消息后,停止对步骤55中所述的认证业务流水号的广播,并对授权成功通知消息进行展示,以提示用户授权已成功。
仍然以前文所述的具体应用场景为例,作为服务端设备的笔记本电脑在接收到授权成功通知消息后,可以停止对认证业务流水号X的广播,并将授权成功通知消息展示在用于展示账户支付业务的页面上。
实施例5
实施例5的实施场景示意图也可以如图4所示。与实施例4不同之处在于,实施例5是基于非对称加密技术来实现对于用户端设备的授权机制。
基于如图4所示的实施场景,以下详细说明实施例5提供的对于用户端设备的授权机制的实现流程。该实现流程示意图如图6所示,包括下述步骤:
步骤61,身份认证辅助设备申请开通辅助认证功能。
比如,身份认证辅助设备可以在用户的控制下,通过安装在身份认证辅助设备上的辅助认证客户端应用登录服务端设备,并发送辅助认证功能开通申请,该申请中可以包含用户输入到身份认证辅助设备的账号和密码。为了便于描述,下文将该账号和密码统称为账号信息。
步骤62,服务端设备开通身份认证辅助设备的辅助认证功能,而后创建一对非对称密钥;将该对非对称密钥中的私钥下发给身份认证辅助设备进行保存,而将该对非对称密钥中的公钥保存在服务端设备本地。
步骤62执行完毕后,服务端设备中对应保存有公钥和账号信息;而身份认证辅助设备中对应保存有私钥和账号信息。
步骤63,用户端设备申请业务授权。
用户在不同于身份认证辅助设备的其他用户终端上进行业务授权申请。区别于身份认证辅助设备,这里所说的其他用户终端可称为用户端设备。
假设用户端设备中安装有用于指引用户进行业务授权申请的客户端,且该客户端向用户提供“辅助认证”和“非辅助认证”的选项,则当用户选择了“辅助认证”的选项后,用户端设备可以生成业务授权申请并向服务端设备进行发送。而当用户选择了“非辅助认证”的选项后,用户端设备会要求用户输入用于登录服务端设备的账号信息,并将获得的账号信息向服务端设备进行发送。
实施例5中,假设用户选择的是“辅助认证”的选项。从而后续从步骤64起,描述的是用户选择了“辅助认证”的选项后的流程。
步骤64,服务端设备接收到用户端设备发送的业务授权申请后,向用户端设备下发认证业务流水号和认证标签,并保存该认证业务流水号、认证标签以及相应的身份认证记录。
具体地,服务端设备在接收到业务授权申请后,针对本次业务授权生成一个唯一的认证业务流水号,同时还生成一个16个字节的随机字符串作为认证标签;服务端设备在本地保存该认证业务流水号和该认证标签,并将该认证业务流水号和该认证标签一并发送给用户端设备。
服务端设备保存该认证业务流水号和该认证标签的方式可以是与相应的身份认证记录进行对应保存的。其中,该身份认证记录中至少包含发送来业务授权申请的用户端设备的标识,此外,还可以包含待授权业务的标识。一般地,用户端设备的标识和该待授权业务的标识都可以从业务授权申请中获取到。
步骤65,用户端设备根据接收到的认证业务流水号和认证标签生成二维码图像并进行展示。
步骤66,身份认证辅助设备通过对用户端设备展示的二维码图像的扫描,获得该二维码图像所表示的认证业务流水号和认证标签。
步骤67,身份认证辅助设备利用保存的私钥,对获得的认证标签进行签名,得到签名后的认证标签,并将签名后的认证标签、接收到的认证业务流水号以及保存的账号信息发送到服务端设备。
步骤68,服务端设备判断身份认证辅助设备的辅助认证功能处于开启状态;并在判断结果表示辅助认证功能处于开启状态时,执行步骤69;否则则可以向身份认证辅助设备发送辅助认证功能未开启通知消息,并结束流程。
具体地,服务端设备可以判断发送来身份认证令牌的身份认证辅助设备是否绑定了用于表示其开通了辅助认证功能的状态标识。若判断结果表示其绑定了该状态标识,则执行步骤69,反之,则可以发送上述通知消息并结束流程。
步骤69,服务端设备根据接收到的账号信息,查找与该账号信息对应存储的公钥;并根据接收到的认证业务流水号查找与该认证业务流水号对应存储的认证标签。进一步地,服务端设备利用查找到的公钥对身份认证辅助设备发送来的签名后的认证标签进行解密,若利用查找到的公钥解密得到的待认证信息与保存的、对应于身份认证辅助设备发送的用户身份认证信息的认证标签相同,则执行步骤610,否则,则向身份认证辅助设备发送认证失败通知消息,并结束流程。
步骤610,服务端设备根据接收到的认证业务流水号,查找相应的身份认证记录,并在从查找到的身份认证记录中获取到用户端设备的标识后,将与身份认证辅助设备发送的用户身份认证信息相匹配的权限授予获取到的该标识所表示的用户端设备,并在授权成功后向用户端设备发送授权成功通知消息。
可选的,若身份认证记录中还包含有待授权业务的标识,则服务端设备为用户端设备授予的权项具体可以包括:处理该待授权业务标识所表示的业务。
步骤611,服务端设备在接收到授权成功通知消息后,停止对步骤65中所述的二维码图像的展示,并对授权成功通知消息进行展示,以提示用户授权已成功。
实施例6
实施例6首先提供一种如图7所示的授权装置,该装置主要包括下述功能单元:
信息接收单元71,用于接收保存在与用户端设备相关的身份认证辅助设备中的用户身份认证信息;
判断单元72,用于根据信息接收单元71接收的用户身份认证信息,判断用户端设备是否满足授权条件。
可选的,如图7所示的该装置还可以包括:请求接收单元和映射关系建立单元。
其中,请求单元用于在信息接收单元71接收用户身份认证信息之前,接收用户身份认证请求。该用户身份认证请求中包括用户端设备标识信息。
映射关系建立单元用于根据请求单元接收的用户身份认证请求生成业务流水号,并建立该业务流水号和请求接收单元接收的用户身份认证请求的映射关系并发送给用户端设备。
当如图7所示的该装置还包括请求接收单元和映射关系建立单元时,判断单元72具体还可以用于根据请求单元接收的用户身份认证信息,判断接收到的业务流水号映射的用户身份认证请求中包含的用户端设备标识信息表示的用户端设备是否满足授权条件。
实施例6中,用户身份认证信息可以是由身份认证辅助设备发送的;或者,也可以是由用户端设备获得由身份认证辅助设备提供的用户身份认证信息后,由用户端设备发送的。
实施例6还提供一种如图8所示的授权装置,该装置主要包括下述实体单元:
信号接收器81,用于接收保存在与用户端设备相关的身份认证辅助设备中的用户身份认证信息;
处理器82,用于根据信号接收器81接收的用户身份认证信息,判断用户端设备是否满足授权条件。
采用实施例6提供的上述任意一种装置,由于可以利用身份认证辅助设备保存用户身份认证信息,因此无论是用户端设备还是身份认证辅助设备向服务端设备发送用户身份认证信息,都可以从身份认证辅助设备处获取该信息,不需要用户手动将该信息输入到用户端设备,从而使得授权过程的效率提高。
实施例7
实施例7提供两种请求授权的装置。其中,第一种请求授权的装置的具体结构示意图如图9所示,包括下述功能单元:
请求获得单元91,用于获得来自与请求授权的装置相关的用户端设备的辅助认证请求;
信息获取单元92,用于在请求获得单元91获得辅助认证请求后,从请求授权的装置本地获取用户身份认证信息;
发送单元93,用于将信息获取单元92获取的用户身份认证信息发送给服务端设备,以使得服务端设备根据用户身份认证信息,判断用户端设备是否满足授权条件。
实施例7提供的第二种请求授权的装置的具体结构示意图如图10所示,包括下述功能实体:
存储器101,用于存储用户身份认证信息;
信息获取器102,用于获得来自与该请求授权的装置相关的用户端设备的辅助认证请求,并在获得该辅助认证请求后,从存储器101中获取用户身份认证信息;
信号发射器103,用于将信息获取器102获取的用户身份认证信息发送给服务端设备,以使得服务端设备根据该用户身份认证信息判断用户端设备是否满足授权条件。
采用实施例7提供的上述任意一种装置,由于可以从身份认证辅助设备处获取用户身份认证信息,不需要用户手动将用户身份认证信息输入到用户端设备,从而使得授权过程的效率提高。
实施例8
实施例8提供四种请求授权的装置。
其中,第一种请求授权的装置主要包括:请求提供单元。该请求提供单元用于向与该请求授权的装置相关的身份认证辅助设备提供辅助认证请求,以触发身份认证辅助设备将保存在身份认证辅助设备本地的用户身份认证信息发送给服务端设备。
第二种请求授权的装置的具体结构示意图如图11所示,包括下述功能单元:
信息获得单元111,用于获得与请求授权的装置相关的身份认证辅助设备提供的用户身份认证信息;
发送单元112,用于将信息获得单元111获得的用户身份认证信息发送给服务端设备,以使得服务端设备根据用户身份认证信息判断该请求授权的装置是否满足授权条件。
第三种请求授权的装置主要包括:信息提供器。该信息提供器用于向与该请求授权的装置相关的身份认证辅助设备提供辅助认证请求,以触发身份认证辅助设备将保存在身份认证辅助设备本地的用户身份认证信息发送给服务端设备。
第四种请求授权的装置主要包括信息获取器和信号发射器。其中,信息获取器用于获得与请求授权的装置相关的身份认证辅助设备提供的用户身份认证信息;信号发射器则用于将信息获取器获得的用户身份认证信息发送给服务端设备,以使得服务端设备根据用户身份认证信息判断该请求授权的装置是否满足授权条件。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。