CN105323237A - 权限授予系统、方法及认证服务器系统 - Google Patents
权限授予系统、方法及认证服务器系统 Download PDFInfo
- Publication number
- CN105323237A CN105323237A CN201510280125.9A CN201510280125A CN105323237A CN 105323237 A CN105323237 A CN 105323237A CN 201510280125 A CN201510280125 A CN 201510280125A CN 105323237 A CN105323237 A CN 105323237A
- Authority
- CN
- China
- Prior art keywords
- client
- identifier
- user
- authority
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Abstract
本发明提供一种权限授予系统、方法及认证服务器系统。所述权限授予系统能够在用户的标识符与客户端的标识符相关联的情况下,发出表示向所述客户端授予所述用户的权限的权限信息,而无需接收授权向所述客户端授予所述用户对所述服务的权限的指令。
Description
技术领域
本发明涉及一种能够将用户的权限授予给客户端的权限授予系统、方法及认证服务器系统。
背景技术
随着云服务的推广,用户将多个服务相互协作地使用的机会增加。服务或Web应用是由经由诸如互联网等网络连接到终端的服务器提供的功能。通过使服务相互协作,服务提供商能够通过对普通服务增加价值,来向用户提供新的服务。另一方面,由于服务的协作出现一些问题。
换言之,存在如下风险:在服务之间交换的信息可能超出用户希望交换的信息,这可能导致诸如用户数据或个人信息的泄漏等问题。例如,虽然有多种服务存在于互联网上,并能够相互协作,但是不应当由除用户授权的服务以外的服务来操作用户数据或个人信息。此外,从服务提供商的观点来看,期望容易地实施服务协作系统。
在这种情形下,制定了被称为“OAuth”的标准协议以实现授权中的协作。根据OAuth,例如,如果一个终端中的应用访问由云服务管理的数据,则该应用需要从用户获取明确的授权。
利用用户的授权,该应用接收证明访问授权的令牌(下文中,称为“访问令牌”),因此,该应用能够通过使用之后的访问令牌,来实现访问。在下文中,用于发出访问令牌的操作被称为“授权操作”。日本特开2013-145505号公报讨论了一种通过使用OAuth来发出访问令牌的技术。
发明内容
根据本发明的一个方面,提供一种权限授予系统,该权限授予系统具有提供从第一客户端和第二客户端可访问的服务的服务器系统以及认证服务器系统,该认证服务器系统包括:认证单元,其被构造为基于由用户经由所述第一客户端上显示的认证画面输入的认证信息,来确定所述用户是否为合法用户;发出单元,其被构造为在所述认证单元确定为合法用户的所述用户经由所述第一客户端上显示的授权确认画面而提供用于依据所述用户对所述服务的权限来授权所述第一客户端的指令的情况下,发出表示所述用户的权限被授予了所述第一客户端的权限信息;授权单元,其被构造为基于当所述第一客户端请求对所述服务的访问时发送的所述权限信息,来授权所述第一客户端以所述用户的权限访问所述服务;以及管理单元,其被构造将所述认证单元确定为合法用户的所述用户的标识符和所述第二客户端的标识符彼此相关联地进行管理;其中,在所述用户的标识符与所述第二客户端的标识符相关联的情况下,所述发出单元发出表示所述用户的权限被授予了所述第二客户端的权限信息,而无接收用于针对所述服务授权所述第二客户端的指令。
通过以下参照附图对示例性实施例的描述,本发明的其他特征将变得清楚。
附图说明
图1是例示网络的结构的框图。
图2是例示根据第一示例性实施例的服务器计算机的结构的框图。
图3A、图3B以及图3C是各自例示根据第一示例性实施例的模块结构的图。
图4A和图4B是各自例示根据第一示例性实施例的客户端标识符的发出处理的流程图。
图5A和图5B是分别例示根据第一示例性实施例的客户端的开始处理和登录处理的流程图。
图6A、图6B以及图6C是分别例示根据第一示例性实施例的客户端标识符关联的确认处理、客户端标识符关联的必要性的确定处理以及客户端标识符的关联处理的流程图。
图7A和图7B是分别例示根据第一示例性实施例的用于访问资源的处理以及访问令牌的发出处理。
图8A、图8B以及图8C是各自例示根据第一示例性实施例的画面的显示示例的图。
图9是例示根据第二示例性实施例的模块结构的图。
图10A和图10B是根据第二示例性实施例的流程图。
图11是例示根据第三示例性实施例的模块结构的图。
图12是例示根据第三示例性实施例的关联确认的必要性的设置处理的流程图。
图13是例示根据第三示例性实施例的关联确认的必要性的确定处理的流程图。
图14是例示根据第三示例性实施例的画面的显示示例的图。
图15A、图15B以及图15C是各自例示根据第四示例性实施例的模块结构的图。
图16A和图16B是分别例示根据第四示例性实施例的客户端的开始处理和登录处理的流程图。
图17是例示根据第四示例性实施例的画面的显示示例的图。
具体实施方式
近年来,随着智能电话的普及,在很多情况下,一个用户可能拥有多个终端。在这里,一个用户拥有多个终端的状态被称为“一用户多设备状态(one-user-multi-devicestate)”。在这种一用户多设备状态的时代中,预计如下需求不断增长:无缝地使用终端,而未意识到正在从多个用户终端当中使用哪个终端。
假设在多个终端中的各个中安装了用于访问由云服务管理的数据的应用。为了在不使用用户的认证信息的情况下访问数据,例如,应用需要在OAuth中所谓的“访问令牌”,并且需要进行授权操作以发出访问令牌。
在采用传统的发出处理来发出访问令牌的情况下,必须在用户拥有的各终端上分别执行授权操作。因此,用户可能意识到在哪个终端中执行了或未执行授权操作,因此,无法明确地说用户能够以无缝的方式使用终端。这可能导致降低在一用户多设备状态下使用终端的便利性。
考虑到上述情形,本发明旨在提供一种能够提高在一用户多设备状态下使用终端的便利性权限授予系统。
在下文中,将参照附图来描述本发明的示例性实施例。
在具有如图1所示的结构的网络上,实现根据第一示例性实施例的权限授予系统。在本示例性实施例中,万维网(WWW)被建立作为广域网(WAN)100。局域网(LAN)101将各构成部件相互连接。移动终端连接到无线网络102。
权限授予系统包括用于执行用户认证和访问令牌的发出的认证/授权服务器151、资源服务器152、数据库服务器153以及由用户操作的移动终端191和192。访问令牌是证明如下内容的信息:客户端(例如,应用)已被用户授权访问服务,并且当用户执行授权操作以授权向应用转让用户的权限时发出该访问令牌。例如,当应用使用用于访问由云服务管理的数据的访问令牌时,应用能够在用户授权的范围内访问数据。在本示例性实施例中,描述了由一系列字母数字字符表示的访问令牌作为示例。然而,可以用各种方式表示访问令牌的信息,因此,这种信息被统称为“权限信息”。
认证/授权服务器151、资源服务器152以及数据库服务器153经由WAN100和LAN101相互连接。同样地,移动终端191和192经由WAN100和无线网络102相互连接。此外,认证/授权服务器151、资源服务器152以及数据库服务器153可以被分别建立在单独的LAN上,可以被建立在同一LAN上,或者可以被建立在同一个人计算机(PC)或者服务器计算机上。此外,替代移动终端191及192,PC(未例示)可以经由LAN101连接到WAN100。此外,在本示例性实施例中,虽然上述各服务器被描述为单个服务器,但是服务器也可以是由多个服务器构成的服务器组。因此,当服务器被称为“服务器系统”时,可以由一个服务器或多个服务器构成。例如,认证服务器系统可以是由一个或多个认证/授权服务器151构成的装置。
图2是例示根据本示例性实施例的认证/授权服务器151的服务器计算机的结构的框图。此外,同一结构也可应用于资源服务器152或数据库服务器153的服务器计算机的结构、以及移动终端191或192的结构。此外,图2的硬件框图对应于一般的信息处理装置的硬件框图,因此,一般的信息处理装置的硬件结构可应用于根据本示例性实施例的服务器计算机和移动终端。
在图2中,中央处理单元(CPU)201执行诸如操作系统(OS)和应用等程序,这些程序被存储在只读存储器(ROM)203的程序ROM或者诸如硬盘等外部存储器211中,并被加载在随机存取存储器(RAM)202上。可以通过执行所述程序来实现下述流程图中所示的处理。RAM202充当CPU201的主存储器或工作区。键盘控制器(KBC)205控制从键盘(KB)209或指点设备(未例示)接收的键输入。阴极射线管控制器(CRTC)206执行阴极射线管(CRT)显示器210的显示控制。盘控制器(DKC)207控制对用于存储各种数据的外部存储器211(例如HD或软盘(FD)(注册商标)内的数据的访问。网络计算机(NC)212连接到网络,并且执行用于与连接到网络的其他设备通信的控制处理。
在下面的描述中,除非另外指明,否则,CPU201在硬件方面起主要作用,而当CPU201通过执行外部存储器211中安装的应用程序来实现应用程序的功能时,应用程序的功能在软件方面起主要作用。
图3A、图3B以及图3C分别是例示认证/授权服务器151以及移动终端191和192的结构的图。认证/授权服务器151包括客户端标识符管理模块301、认证模块302、客户端标识符关联管理模块303以及授权模块304。另外,移动终端191和192中的各个包括客户端模块351和客户端关联请求模块352。此外,资源服务器152(图2中未例示)包括通过授予的用户的权限授权访问服务的移动终端191和/或移动终端192可访问的服务。服务执行从移动终端191和/或移动终端192请求的服务的功能。
根据本示例性实施例的权限授予的流程从客户端标识符的在先设置开始,如图4A和图4B所示。然后,当用户使用移动终端191或192或者可选的移动终端来访问资源服务器152时,图7A中所示的处理开始。然后,验证用户经由认证画面输入的认证信息是否为合法信息,如图5A和图5B所示。之后,通过图6A至图6C中所示的处理,使用户标识符和客户端标识符相互关联,并且如图7B所示,执行根据本示例性实施例的处理。通过以上的处理,能够减轻用户在第二及后续的移动终端上执行授权操作的负担。在下文中,将详细描述处理的各个流程。
图4A是例示根据本示例性实施例由移动终端191或192实施的客户端标识符的发出请求流程的流程图。当用户启动客户端模块351时,该处理流程开始。
在步骤S401中,通过接收来自用户的启动指令,客户端模块351被启动。在步骤S402中,客户端模块351将客户端标识符的发出请求发送到认证/授权服务器151。客户端标识符的发出请求包括预先分配给客户端模块351的客户端证书。在步骤S403中,客户端模块351接收由认证/授权服务器151发出的客户端标识符,并且结束处理。
图4B是例示根据本示例性实施例由认证/授权服务器151实施的客户端标识符的发出流程的流程图。当认证/授权服务器151从客户端模块351接收到客户端标识符的发出请求时,该处理流程开始。
在步骤S411中,客户端标识符管理模块301从客户端模块351接收客户端标识符的发出请求。在步骤S412中,客户端标识符管理模块301提取在接收到的客户端标识符的发出请求中包括的客户端证书。在步骤S413中,客户端标识符管理模块301确定在步骤S412中提取的客户端证书是否有效。在客户端证书被确定为有效的情况下(步骤S413:是),处理进行到步骤S414。在客户端证书被确定为无效的情况下(步骤S413:否),处理进行到步骤S450。
在步骤S414中,客户端标识符管理模块301响应于从客户端模块351接收到的客户端标识符的发出请求,发出客户端标识符。发出的客户端标识符被存储在客户端标识符管理模块301中。表1是例示存储在客户端标识符管理模块301中的发出的客户端标识符的客户端标识符表。这里,向移动终端191的客户端模块351发出客户端标识符AppAm001,向移动终端192的客户端模块351发出客户端标识符AppAm002。向移动终端191和192中的各个的客户端模块351发出不同的客户端标识符。
<表1>
| 客户端标识符 |
| AppAm001 |
| AppAm002 |
| …… |
在步骤S415中,客户端标识符管理模块301向客户端模块351返回在步骤S414中发出的客户端标识符,并且结束处理。在步骤S450中,客户端标识符管理模块301向客户端模块351返回表示客户端标识符无法被发出的通知,并且结束处理。
图5A是例示根据本示例性实施例由移动终端191或192实施的客户端的开始流程的流程图。当用户操作客户端模块351时,该处理流程开始。
在步骤S501中,客户端模块351响应于步骤S1103中的指令,确定是否从认证/授权服务器151请求了登录。如果确定请求了登录(步骤S501:是),则处理进行到步骤S502。如果确定未请求登录(步骤S501:否),则处理进行到步骤S503。
在步骤S502中,响应来自认证/授权服务器151的请求,客户端模块351显示图8A中所示的登录画面1401,并提示用户输入认证信息。此外,客户端模块351将用户输入的认证信息发送到认证/授权服务器151,并登录到认证/授权服务器151。在步骤S503中,客户端关联请求模块352确认客户端标识符的关联。下面将详细描述客户端标识符关联的确认。
图5B是例示根据本示例性实施例由认证/授权服务器151实施的登录流程的流程图。当认证/授权服务器151从客户端模块351接收到访问资源的请求时,该处理流程开始。在步骤S601中,认证模块302从客户端模块351接收访问资源服务器152中的资源的请求。在步骤S602中,认证模块302确定与步骤S601中的处理相关的用户是否已登录。如果确定用户已登录(步骤S602:是),则认证模块302结束处理。如果确定用户未登录(步骤S602:否),则处理进行到步骤S603。
在步骤S603中,认证模块302指示客户端模块351显示图8A中所示的登录画面1401。在步骤S604中,认证模块302接收输入到登录画面1401的认证信息。在步骤S605中,认证模块302确定在步骤S604中接收到的认证信息是否有效。在认证信息被确定为有效并且因此用户被确定为是合法用户的情况下(步骤S605:是),处理进行到步骤S606。在认证信息被确定为无效的情况下(步骤S605:否),处理进行到步骤S650。在步骤S606中,认证模块302授权用户的登录,并且结束处理。在步骤S650中,认证模块302拒绝用户的登录,并且结束处理。
图6A是例示根据本示例性实施例由移动终端191或192实施的客户端标识符关联的确认流程的流程图。该处理流程详细描述步骤5A中的步骤S503的处理。
在步骤S701中,客户端关联请求模块352访问认证/授权服务器151。认证/授权服务器151接收到的访问请求包括操作移动终端的用户的信息、以及在步骤S403中接收到的客户端标识符。在步骤S702中,客户端关联请求模块352进行如下确定:是否响应于在步骤S701中执行的处理请求了客户端标识符关联的确认。如果确定请求了确认(步骤S702:是),则处理进行到步骤S703。如果确定未请求确认(步骤S702:否),则客户端关联请求模块352结束处理,而不请求客户端标识符关联。
在步骤S703中,根据来自认证/授权服务器151的指令,客户端关联请求模块352显示图8B中所示的客户端关联确认画面1402,并且确认是否将客户端标识符与用户相关联。用于确认是否将客户端标识符与用户相关联的处理,被称为客户端标识符关联的确认处理。在步骤S704中,响应于在步骤S703中进行的确认,客户端关联请求模块352确定是否指示了用于将用户信息与客户端标识符相关联的指令。如果确定指示了关联(步骤S704:是),则处理进行到步骤S705。如果确定未指示关联(步骤S704:否),则客户端关联请求模块352结束处理,而不请求客户端标识符关联。
在步骤S705中,客户端关联请求模块352将客户端标识符的关联请求发送到认证/授权服务器151。此时,客户端标识符的关联请求包括操作移动终端的用户的信息、以及在步骤S403中接收到的客户端标识符。在发送客户端标识符的关联请求之后,客户端关联请求模块352结束处理。
图6B是例示根据本示例性实施例由认证/授权服务器151实施的客户端标识符关联的必要性的确定流程的流程图。当认证/授权服务器151从客户端模块351接收到访问请求时,该处理流程开始。基于从图6B中的处理中获取的结果,来执行步骤S702中的确定处理。在步骤S801中,客户端标识符关联管理模块303从客户端模块351接收访问请求。在步骤S801中接收到的访问请求包括用户信息和客户端标识符。
在步骤S802中,基于在步骤S801中接收到的访问请求中包括的用户信息和客户端标识符,客户端标识符关联管理模块303确定客户端标识符是否与用户信息相关联。如果确定客户端标识符与用户信息相关联(步骤S802:是),则处理进行到步骤S803。如果确定客户端标识符未与用户信息相关联(步骤S802:否),则处理进行到步骤S810。表2是客户端标识符关联表,其例示了存储在客户端标识符关联管理模块303中的用户信息与客户端标识符之间的关联状态。这里,客户端标识符“AppAm001”和“AppAm002”与用户信息“用户X”相关联。如果在步骤S801中接收到的用户信息和客户端标识符分别是“用户X”和“AppAm001”,则在步骤S802中,确定客户端标识符与用户信息相关联。
<表2>
| 用户 | 客户端标识符 |
| 用户X | AppAm001 |
| 用户X | AppAm002 |
| …… | …… |
在步骤S803中,客户端标识符关联管理模块303向客户端模块351返回通知,该通知表示客户端标识符已与用户信息相关联,因此客户端标识符关联的确认是不必要的,并且客户端标识符关联管理模块303结束处理。在步骤S810中,客户端标识符关联管理模块303请求客户端模块351确认客户端标识符关联,并且使客户端模块351显示客户端关联确认画面1402,如图8B所示。在请求客户端标识符关联的确认之后,客户端标识符关联管理模块303结束处理。
图6C是例示根据本示例性实施例由认证/授权服务器151实施的客户端标识符的关联流程的流程图。当认证/授权服务器151从客户端模块351接收到客户端标识符的关联请求时,该处理流程开始。响应于步骤S705的关联请求而实施该处理流程。
在步骤S901中,客户端标识符关联管理模块303从客户端模块351接收客户端标识符的关联请求。在步骤S901中接收到的客户端标识符的关联请求包括用户信息和客户端标识符。在步骤S902中,客户端标识符关联管理模块303将在步骤S901中接收到的请求中包括的客户端标识符,与用户信息相关联地存储在客户端标识符关联表中。在存储关联的客户端标识符之后,客户端标识符关联管理模块303结束处理。通过上述处理,用户首先通过使用移动终端191和192中的任何一者来访问资源服务器152。
图7A是例示根据本示例性实施例由移动终端191或192实施的访问资源服务器152中的资源的流程的流程图。当客户端模块351从用户接收到用于访问资源服务器152中的资源的指令时,该处理流程开始。
在步骤S1001中,客户端模块351从用户接收用于访问资源服务器152中的资源的指令。在步骤S1002中,客户端模块351确定访问资源服务器152所需的访问令牌是否被存储。如果确定访问令牌被存储(步骤S1002:是),则处理进行到步骤S1005。如果确定访问令牌未被存储(步骤S1002:否),则处理进行到步骤S1003。
在步骤S1003中,客户端模块351将访问令牌的发出请求发送到认证/授权服务器151。访问令牌的发出请求包括操作移动终端的用户的信息、以及在步骤S403中接收到的客户端标识符。在步骤S1004中,客户端模块351确定是否响应于步骤S1003中的发出请求而发出了访问令牌。如果确定发出了访问令牌(步骤S1004:是),则处理进行到步骤S1005。如果确定未发出访问令牌(步骤S1004:否),则处理进行到步骤S1050。
在步骤S1005中,客户端模块351存储响应于步骤S1003中的发出请求而获取到的访问令牌,通过使用该访问令牌来访问资源服务器152中的资源,并且结束处理。在步骤S1050中,客户端模块351向用户通知因为无法获取到访问令牌,所以资源服务器152不可访问,并且结束处理。
图7B是例示根据本示例性实施例的由认证/授权服务器151实施的访问令牌的发出流程的流程图。当认证/授权服务器151的授权模块304在步骤S1003中从客户端模块351接收到访问令牌的发出请求时,该处理流程开始。
在步骤S1101中,授权模块304从客户端模块351接收访问令牌的发出请求。在步骤S1101中接收到的访问令牌的发出请求包括用户信息和客户端标识符。在步骤S1102中,授权模块304确定操作客户端模块351的用户是否已登录。如果确定用户已登录(步骤S1102:是),则处理进行到步骤S1105。如果确定用户未登录(步骤S1102:否),则处理进行到步骤S1103。
在步骤S1103中,认证模块302指示客户端模块351显示如图8A所示的登录画面1401,以提示用户登录。此外,登录流程的详情与图5B中描述述的相同。在步骤S1104中,认证模块302确定用户是否已响应于步骤S1103中的处理而登录。如果确定用户已登录(步骤S1104:是),则处理进行到步骤S1105。如果确定用户未登录(步骤S1104:否),则处理进行到步骤S1150。
在步骤S1105中,客户端标识符管理模块303基于表2中所示的客户端标识符关联表进行如下确定:在步骤S1101中接收到的访问令牌的发出请求中包括的客户端标识符,是否与用户信息相关联。如果确定客户端标识符与用户信息相关联(步骤S1105:是),则处理进行到步骤S1106。如果确定客户端标识符不与用户信息相关联(步骤S1105:否),则处理进行到步骤S1110。例如,在用户信息是“用户X”而客户端标识符是“AppAm002”的情况下,因为用户信息和客户端标识符相互关联,所以处理进行到步骤S1106。
在步骤S1106中,授权模块304确定是否针对与用户信息相关联的客户端标识符发出了访问令牌。如果确定针对与用户信息相关联的客户端标识符发出了访问令牌(步骤S1106:是),则处理进行到步骤S1107。在步骤S1107中,授权模块304发出访问令牌,而不要求用户确认授权。换言之,即使用户未提供如下指令,也发出访问令牌,所述指令是授权向客户端标识符表示的客户端,授予用户对资源服务器152提供的服务的权限。
如果确定未发出访问令牌(步骤S1106:否),则处理进行到步骤S1110。表3是访问令牌表,其例示了如下状态:因为用户信息“用户X”表示的用户授权客户端标识符“AppAm001”表示的客户端的客户端模块351,所以发出了访问令牌11111111。在上述情况下,例如,如果用户信息是““用户X”并且客户端标识符是“AppAm002”,则不针对客户端标识符“AppAm002”发出访问令牌。然而,针对与“用户X”相关联的客户端标识符“AppAm001”,发出了访问令牌。因此,确定针对与用户信息相关联的客户端标识符发出了访问令牌,所以处理进行到步骤S1107。
<表3>
| 客户端标识符 | 用户 | 访问令牌 |
| AppAm001 | 用户X | 11111111 |
| …… | …… | …… |
在步骤S1107中,授权模块304发出访问令牌,并且将访问令牌与在步骤S1101中接收到的访问令牌的发出请求中包括的客户端标识符和用户信息,相关联地存储在表3的访问令牌表中。此外,授权模块304向客户端模块351返回发出的访问令牌,并且结束处理。
在步骤S1110中,授权模块304指示客户端模块351显示如图8C所示的授权确认画面1403,并且要求用户确认授权。在步骤S1111中,授权模块304确定是否响应于步骤S1110中的处理而获取到用户的授权。如果确定获取到授权(步骤S1111:是),则处理进行到步骤S1107。如果确定未获取到授权(步骤S1111:否),则处理进行到步骤S1150。如下操作被称为“授权操作”:用户在图8C中所示的画面中选择“授权”以提供用于授权向客户端授予用户对服务的权限的指令,并且当用户执行授权操作时,发出访问令牌。在步骤S1150中,授权模块304向客户端模块351通知无法发出访问令牌,并且结束处理。
图8A、图8B以及图8C是各自例示根据本示例性实施例的画面的显示示例的图。图8A例示用户操作以登录到服务器的登录画面1401的示例的图。图8B是例示用户确认将客户端模块351与用户相关联的客户端关联确认画面1402的示例的图。此外,图8C是例示用户授权客户端模块351发出访问令牌的授权确认画面1403的示例的图。
根据本示例性实施例,如果针对与用户信息相关联的客户端标识符表示的客户端,发出了访问令牌,则能够通过省略授权操作,来向访问令牌未被发出到的客户端发出访问令牌。结果,如果用户与用户拥有的第一终端相关联,并且针对第一终端发出访问令牌,则在无授权操作的情况下,发出针对第二及后续的关联终端的访问令牌,因此,能够提高用户的便利性。
特别地,当访问令牌过期使得用户必须再次执行授权操作时,上述结构是有用的。当访问令牌过期时,用户必须通过操作授权确认画面1403,来针对客户端标识符发出新的访问令牌。如果未应用根据本示例性实施例的结构,则用户必须在用户拥有的各终端执行授权操作。另一方面,根据本示例性实施例,虽然用户必须操作客户端关联确认画面1402以第一次发出访问令牌,但是当重新发出针对第二及后续的关联终端的访问令牌时,用户可以不必操作客户端关联确认画面1402,而省略授权确认画面1403的操作。结果,用户能够针对第二及后续的关联终端,省略授权确认画面1403的操作,因此,提高了用户的便利性。
接下来,将参照附图来描述本发明的第二示例性实施例。在下文中,将仅描述与根据第一示例性实施例的不同的结构,而将省略两个示例性实施例共有的结构的描述。在第一示例性实施例中,有必要进行用于将客户端标识符与用户信息相关联的操作。下面,将描述根据本示例性实施例的用于省略上述操作的方法。
图9是例示根据本示例性实施例的认证/授权服务器151的模块结构的图。认证/授权服务器151包括认证模块302和授权模块304。认证/授权服务器151还包括第二客户端标识符管理模块311和第二客户端标识符关联管理模块312。
图10A是例示根据本示例性实施例由认证/授权服务器151实施的客户端标识符的发出流程的流程图。当认证/授权服务器151从客户端模块351接收到客户端标识符的发出请求时,该处理流程开始。
在步骤S2001中,第二客户端标识符管理模块311基于在步骤S412中提取的证书,来确定客户端模块351的类型。表4是相互关联地管理证书信息和客户端类型的客户端类型表。例如,如果在步骤S412中提取的证书是“CertC”,则客户端类型被确定为是“App-A-mobile”。
<表4>
| 证书 | 客户端类型 |
| CertC | App-A-mobile |
| …… | …… |
在步骤S2002中,第二客户端标识符管理模块311发出客户端标识符,并将该客户端标识符与在步骤S2001中确定的客户端类型相关联地存储。表5是第二客户端标识符表,其例示了客户端标识符“AppAm001”和“AppAm002”两者的客户端类型均是“App-A-mobile”的状态。
<表5>
| 客户端标识符 | 客户端类型 |
| AppAm001 | App-A-mobile |
| AppAm002 | App-A-mobile |
| …… | …… |
图10B是例示根据本示例性实施例由认证/授权服务器151实施的客户端标识符关联的必要性的确定流程的流程图。当认证/授权服务器151从客户端模块351接收到访问请求时,该处理流程开始。在步骤S2101中,第二客户端标识符关联管理模块312从客户端模块351接收访问请求。访问请求包括用户信息和客户端标识符。
在步骤S2102中,第二客户端标识符关联管理模块312进行确定是否存在与在步骤S2101中接收到的用户信息相关联的一个或更多客户端标识符。如果确定存在与用户信息相关联的一个或更多客户端标识符(步骤S2102:是),则处理进行到步骤S2103。如果确定不存在与用户信息相关联的客户端标识符(步骤S2102:否),则处理进行到步骤S2120。在步骤S2120中,第二客户端标识符关联管理模块312在不确认关联的情况下,将客户端标识符与用户信息相关联。表6是第二客户端标识符关联表,其例示了存储在第二客户端标识符关联管理模块312中的用户信息和客户端标识符的关联以及相应的客户端类型。在表6中,客户端标识符“AppAm001”和“AppAm002”与用户信息“用户X”相关联。此外,客户端标识符“AppAm001”和“AppAm002”两者的客户端类型均是“App-A-mobile”。这里,如果在步骤S2101中接收到的用户信息是“用户X”,则在步骤S2102中,确定存在与用户信息相关联的一个或更多客户端标识符。
<表6>
| 用户 | 客户端标识符 | 客户端类型 |
| 用户X | AppAm001 | App-A-mobile |
| 用户X | AppAm002 | App-A-mobile |
| …… | …… | …… |
在步骤S2103中,基于在步骤S2101中接收到的访问请求中包括的用户信息和客户端标识符,第二客户端标识符关联管理模块312确定客户端标识符是否与用户信息相关联。如果确定客户端标识符与用户信息相关联(步骤S2103:是),则处理进行到步骤S2104。如果确定客户端标识符未与用户信息相关联(步骤S2103:否),则处理进行到步骤S2110。
在步骤S2104中,第二客户端标识符关联管理模块312向客户端模块351返回通知,该通知表示客户端标识符与用户信息相关联,因此客户端标识符关联的确认是不必要的,并且第二客户端标识符关联管理模块312结束处理。在步骤S2110中,第二客户端标识符关联管理模块312参照表5中所示的客户端标识符表,并且确定在步骤S2101中接收到的客户端标识符的客户端类型。例如,如果客户端标识符是“AppAm001”,则客户端类型是“App-A-mobile”。
在步骤S2111中,第二客户端标识符关联管理模块312确定与在步骤S2110中确定的客户端类型相同的类型的客户端是否与用户信息相关联。如果确定同一类型的客户端与用户信息相关联(步骤S2111:是),则处理进行到步骤S2120。在步骤S2120中,第二客户端标识符关联管理模块312在不确认关联的情况下,将客户端标识符与用户信息相关联。换言之,用户不必经由用户被要求指示是否将第二客户端标识符与用户信息相关联的客户端关联确认画面1402,来提供用于关联第二客户端标识符的指令。此外,如果确定同一类型的客户端未与用户信息相关联(步骤S2111:否),则处理进行到步骤S2112。
在步骤S2112中,第二客户端标识符关联管理模块312请求客户端模块351确认客户端标识符关联,并且使客户端模块351显示客户端关联确认画面1402,如图8B所示。在请求客户端标识符关联的确认之后,第二客户端标识符关联管理模块312结束处理。
在步骤S2120中,为了省略客户端标识符关联的确认,第二客户端标识符关联管理模块312将客户端标识符与用户信息相关联,而不向移动终端191提供图8B中所示的客户端关联确认画面1402。
根据本发明的该示例性实施例,当同一类型的客户端标识符与用户信息相关联时,用户能够省略关联确认操作。因此,能够进一步提高用户的便利性。此外,当用户第一次将客户端标识符与用户信息相关联时,用户也能够省略关联确认操作,因此,也提高了用户的便利性。
接下来,将参照附图来描述本发明的第三示例性实施例。下面,将仅描述与根据第一和第二示例性实施例的不同的结构,而将省略所有示例性实施例共有的结构的描述。下面描述的是根据本示例性实施例通过预先在认证/授权服务器151上执行特定设置来省略用于关联客户端标识符的操作的方法。
图11是例示根据本示例性实施例的认证/授权服务器151的模块结构的图。认证/授权服务器151包括认证模块302、授权模块304以及第二客户端标识符管理模块311。认证/授权服务器151还包括第三客户端标识符关联管理模块321和关联确认必要性管理模块322。
图12是例示根据本示例性实施例由认证/授权服务器151实施的客户端标识符关联确认的必要性的设置流程的流程图。当认证/授权服务器151接收到对客户端标识符关联确认必要性设置画面3401的访问请求时,该处理流程开始。
在步骤S3001中,关联确认必要性管理模块322接收对客户端标识符关联确认必要性设置画面3401的访问请求。在画面上,显示如图14中所示的客户端标识符关联确认必要性设置画面3401。
在步骤S3002中,关联确认必要性管理模块322接收客户端标识符关联确认的必要性的设置指令,将其设置存储在关联确认必要性表中,并且结束处理流程。表7是针对各用户信息来存储客户端标识符关联确认的必要性的设置的关联确认必要性表。例如,在表7中,针对用户信息“用户X”,将关联确认设置为省略。
<表7>
| 用户 | 关联确认必要性设置 |
| 用户X | 总是省略确认。 |
| …… | …… |
图13是例示根据本示例性实施例由认证/授权服务器151实施的客户端标识符关联的必要性的确定流程的流程图。当认证/授权服务器151从客户端模块351接收到访问请求时,该处理流程开始。
在步骤S3101中,关联确认必要性管理模块322从表7的关联确认必要性表中,获取用户信息的关联确认必要性设置。在步骤S3102中,第三客户端标识符关联管理模块321进行确定在步骤S3101中获取到的用户信息的关联确认必要性设置,是否被设置为“总是省略确认”。如果关联确认必要性设置被设置为“总是省略确认”(步骤S3102:是),则处理进行到步骤S2120。如果关联确认必要性设置未被设置为“总是省略确认”(步骤S3102:否),则处理进行到步骤S3103。
在步骤S3103中,第三客户端标识符关联管理模块321确定在步骤S3101中获取到的用户信息的关联确认必要性设置,是否被设置为“总是执行确认”。如果关联确认必要性设置被设置为“总是执行确认”(步骤S3103:是),则处理进行到步骤S2112。如果关联确认必要性设置未被设置为“总是执行确认”(步骤S3103:否),则处理进行到步骤S2110。图14是例示根据本示例性实施例的客户端标识符关联确认必要性设置画面3401的显示示例的图。根据本示例性实施例,通过预先在认证/授权服务器151上进行设置,用户能够省略关联确认操作,而不必考虑客户端类型,因此,能够进一步提高用户的便利性。
接下来,将参照附图来描述本发明的第四示例性实施例。此外,将仅描述与第一、第二以及第三示例性实施例不同的结构,而将省略所有示例性实施例共有的结构的描述。下面描述的是根据本示例性实施例使用户能够在操作登录画面时指定是否将客户端标识符与用户信息相关联的方法。
图15A、图15B以及图15C是分别例示根据本示例性实施例的认证/授权服务器151、移动终端191和192的模块结构的图。认证/授权服务器151包括客户端标识符管理模块301、第二认证模块331、第四客户端标识符关联管理模块332以及授权模块304。移动终端191和192中的各个包括客户端模块351和第二客户端关联请求模块361。
图16A是例示根据本示例性实施例由移动终端191或192实施的客户端的开始流程的流程图。当用户操作客户端模块351时,该处理流程开始。在步骤S4001中,响应于来自认证/授权服务器151的请求,第二客户端关联请求模块361显示如图17中所示的第二登录画面4401,并提示用户输入认证信息。此外,第二客户端关联请求模块361向认证/授权服务器151发送用户输入的认证信息以及用户指定的客户端关联确认,并且登录到认证/授权服务器151。
图16B是例示根据本示例性实施例由认证/授权服务器151实施的登录流程的流程图。当认证/授权服务器151从客户端模块351接收到访问资源的请求时,该处理流程开始。在步骤S4101中,第二认证模块331从客户端模块351接收访问资源服务器152中的资源的请求。在步骤S4102中,第二认证模块331确定与步骤S4101中的处理相关的用户是否已登录。如果确定用户已登录(步骤S4102:是),则第二认证模块331结束处理。如果确定用户未登录(步骤S4102:否),则处理进行到步骤S4103。
在步骤S4103中,第二认证模块331指示客户端模块351显示如图17所示的第二登录画面4401。第二登录画面4401能够使用户在登录操作被授权时指定是否将客户端标识符与用户信息相关联。从减少用户的操作的观点来看,可以期望在第二登录画面4401的初始状态下,指定客户端标识符与用户信息的关联。然而,在第二登录画面4401的初始状态下,也可以不必指定客户端标识符的关联。
在步骤S4104中,第二认证模块331接收被输入到第二登录画面4401的认证信息、客户端标识符、以及表示是否将客户端标识符与用户信息相关联的指令。在步骤S4105中,第二认证模块331确定在步骤S4104中接收到的认证信息是否有效。如果确定认证信息有效(步骤S4105:是),则处理进行到步骤S4106。如果确定认证信息无效(步骤S4105:否),则处理进行到步骤S4150。
在步骤S4106中,第二认证模块331授权用户的登录操作。在步骤S4107中,第四客户端标识符关联管理模块332确定在步骤S4104中是否接收到用于将客户端标识符与用户信息相关联的指令。如果确定接收到用于将客户端标识符与用户信息相关联的指令(步骤S4107:是),则处理进行到步骤S4108。如果确定未接收到用于将客户端标识符与用户信息相关联的指令(步骤S4107:否),则第四客户端标识符关联管理模块332结束处理。在步骤S4108中,第四客户端标识符关联管理模块332将在步骤S4104中接收到的客户端标识符与用户信息相关联,并且结束处理。在步骤S4150中,第二认证模块331拒绝用户的登录操作,并且结束处理。图17是例示根据本示例性实施例的第二登录画面4401的示例的图。
根据本示例性实施例,因为用户能够在登录操作时指定是否关联客户端标识符,所以用户可以不必分别执行客户端标识符关联的确认操作,因此,能够进一步提高用户的便利性。
特别地,在第二登录画面4401的初始状态下指定客户端标识符与用户信息的关联的情况下,用户能够实现客户端标识符的关联,而无需进行额外的操作(例如选中指定是否将客户端标识符与用户信息相关联的复选框,同时省略在图8B中所示的客户端关联确认画面1402上执行的操作)。因此,提高了用户的便利性。此外,在用户不希望关联客户端标识符的情况下,用户可以不选第二登录画面4401上的复选框以继续登录操作,而不将客户端标识符与用户信息相关联。
另外,可以通过读出并执行记录在存储介质(例如,非临时性计算机可读存储介质)上的计算机可执行指令、以执行本发明的上述实施例中的一个或更多的功能的系统或装置的计算机,来实现本发明的各实施例,并且,可以利用通过由所述系统或装置的所述计算机例如读出并执行来自所述存储介质的所述计算机可执行指令、以执行上述实施例中的一个或更多的功能的方法,来实现本发明的各实施例。所述计算机可以包括中央处理单元(CPU)、微处理单元(MPU)或其他电路中的一者或更多,并且可以包括分开的计算机或分开的计算机处理器的网络。所述计算机可执行指令可以例如从网络或所述存储介质被提供给计算机。所述存储介质可以包括例如硬盘、随机存取存储器(RAM)、只读存储器(ROM)、分布式计算系统的存储器、光盘(诸如压缩光盘(CD)、数字通用光盘(DVD)或蓝光光盘(BD)TM)、闪存设备以及存储卡等中的一者或更多。
本发明的实施例还可以通过如下的方法来实现,即,通过网络或者各种存储介质将执行上述实施例的功能的软件(程序)提供给系统或装置,该系统或装置的计算机或是中央处理单元(CPU)、微处理单元(MPU)读出并执行程序的方法。
虽然参照示例性实施例对本发明进行了描述,但是应当理解,本发明并不限定于所公开的示例性实施例。所附权利要求的范围应当被赋予最宽的解释,以便涵盖所有这些变型例以及所有等同的结构和功能。
Claims (13)
1.一种认证服务器系统,其能够与服务器系统通信,所述服务器系统提供从第一客户端和第二客户端可访问的服务,所述认证服务器系统包括:
认证单元,其被构造为,基于用户经由所述第一客户端上显示的认证画面输入的认证信息,来确定所述用户是否为合法用户;
发出单元,其被构造为,在被所述认证单元确定为合法用户的所述用户经由所述第一客户端上显示的授权确认画面而提供用于依据所述用户对所述服务的权限来授权所述第一客户端的指令的情况下,发出表示所述用户的权限被授予了所述第一客户端的权限信息;
授权单元,其被构造为,基于当所述第一客户端请求对所述服务的访问时发送的所述权限信息,来授权所述第一客户端以所述用户的权限访问所述服务;以及
管理单元,其被构造为,将所述认证单元确定为合法用户的所述用户的标识符和所述第二客户端的标识符,彼此相关联地进行管理;
其中,在所述用户的标识符与所述第二客户端的标识符相关联的情况下,所述发出单元发出表示所述用户的权限被授予了所述第二客户端的权限信息,而不接收用于针对所述服务授权所述第二客户端的指令。
2.根据权利要求1所述的认证服务器系统,
其中,在所述认证单元确定所述用户为合法用户之后、所述管理单元确认所述用户操作的所述第二客户端与所述用户的标识符不关联的情况下,所述管理单元提供用于询问是否将所述用户的标识符与所述第二客户端的标识符相关联的关联确认画面,以省略用来提供用于授权将所述用户对所述服务的权限授予所述第二客户端的指令的操作,并且响应于经由所述关联确认画面指示的、用于将所述用户的标识符与所述第二客户端的标识符相关联的指令,来将所述用户的标识符和所述第二客户端的标识符彼此相关联地进行管理。
3.根据权利要求2所述的认证服务器系统,
其中,所述管理单元将所述用户的标识符、所述第一客户端的标识符以及所述第一客户端的类型彼此相关联地进行管理,并且如果在要将所述用户的标识符与所述第二客户端的标识符相关联的情况下所述第二客户端的类型与所述第一客户端的类型相同,则所述管理单元将所述用户的标识符和所述第二客户端的标识符彼此相关联地进行管理,而不进行经由所述关联确认画面接收用于将所述用户的标识符与所述第二客户端的标识符相关联的指令。
4.根据权利要求3所述的认证服务器系统,
其中,如果在预先设置为当所述用户发出用于将所述用户的标识符与可选客户端的标识符相关联的指令时省略所述关联确认画面,则在要将所述用户的标识符与所述第一客户端的标识符相关联的情况下,所述管理单元将所述用户的标识符和所述第一客户端的标识符彼此相关联地进行管理,而不进行经由所述关联确认画面接收用于将所述用户的标识符与所述第一客户端的标识符相关联的指令。
5.根据权利要求1所述的认证服务器系统,
其中,在所述发出单元未发出所述权限信息的情况下,所述授权单元不授权所述第一客户端和/或所述第二客户端以所述用户的权限访问所述服务。
6.根据权利要求1所述的认证服务器系统,
其中,在所述用户的标识符与可选客户端的标识符相关联的情况下,所述发出单元进行控制,以不显示针对所述可选客户端的所述授权确认画面。
7.一种由权限授予系统执行的方法,该权限授予系统包括提供从第一客户端及第二客户端可访问的服务的服务器系统以及认证服务器系统,该方法包括:
确定步骤,认证单元基于用户经由所述第一客户端上显示的认证画面输入的认证信息,来确定所述用户是否为合法用户;
发出步骤,在所述认证单元确定为合法用户的所述用户经由所述第一客户端上显示的授权确认画面而提供用于根据所述用户对所述服务的权限来授权所述第一客户端的指令的情况下,发出单元发出表示所述用户的权限被授予了所述第一客户端的权限信息;
授权步骤,授权单元基于当所述第一客户端请求对所述服务的访问时发送的所述权限信息,来授权所述第一客户端以所述用户的权限访问所述服务;以及
管理步骤,管理单元将所述认证单元确定为合法用户的所述用户的标识符和所述第二客户端的标识符,彼此相关联地进行管理;
其中,所述发出单元还在所述用户的标识符与所述第二客户端的标识符相关联的情况下,发出表示所述用户的权限被授予所述第二客户端的权限信息,而不接收用于针对所述服务授权所述第二客户端的指令。
8.根据权利要求7所述的方法,其中,在所述认证单元确定所述用户为合法用户之后、所述管理单元确认所述用户操作的所述第二客户端与所述用户的标识符不相关联的情况下,所述管理单元提供用于询问是否将所述用户的标识符与所述第二客户端的标识符相关联的关联确认画面,以省略用来提供用于授权将所述用户对所述服务的权限授予所述第二客户端的指令的操作,并且响应于经由所述关联确认画面指示的、用于将所述用户的标识符与所述第二客户端的标识符相关联的指令,来将所述用户的标识符和所述第二客户端的标识符彼此相关联地进行管理。
9.根据权利要求8所述的方法,其中,所述管理单元将所述用户的标识符、所述第一客户端的标识符以及所述第一客户端的类型彼此相关联地进行管理,并且如果在要将所述用户的标识符与所述第二客户端的标识符相关联的情况下所述第二客户端的类型与所述第一客户端的类型相同,则所述管理单元将所述用户的标识符和所述第二客户端的标识符彼此相关联地进行管理,而无进行经由所述关联确认画面接收用于将所述用户的标识符与所述第二客户端的标识符相关联的指令。
10.根据权利要求9所述的方法,其中,如果在预先设置为当所述用户发出用于将所述用户的标识符与可选客户端的标识符相关联的指令时省略所述关联确认画面,则在要将所述用户的标识符与所述第一客户端的标识符相关联的情况下,所述管理单元将所述用户的标识符和所述第一客户端的标识符彼此相关联地进行管理,而无不进行经由所述关联确认画面接收用于将所述用户的标识符与所述第一客户端的标识符相关联的指令。
11.根据权利要求7所述的方法,其中,在所述发出单元未发出所述权限信息的情况下,所述授权单元不授权所述第一客户端和/或所述第二客户端以所述用户的权限访问所述服务。
12.根据权利要求7所述的方法,其中,在所述用户的标识符与可选客户端的标识符相关联的情况下,所述发出单元进行控制以不显示针对所述可选客户端的所述授权确认画面。
13.一种权限授予系统,所述权限授予系统包括提供从第一客户端和第二客户端可访问的服务的服务器系统、以及根据权利要求1所述的认证服务器系统。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014-112626 | 2014-05-30 | ||
| JP2014112626A JP6157411B2 (ja) | 2014-05-30 | 2014-05-30 | 権限移譲システム、方法、認証サーバーシステム、およびそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105323237A true CN105323237A (zh) | 2016-02-10 |
| CN105323237B CN105323237B (zh) | 2018-09-11 |
Family
ID=53476645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510280125.9A Active CN105323237B (zh) | 2014-05-30 | 2015-05-27 | 权限授予系统、方法及认证服务器系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9967253B2 (zh) |
| EP (1) | EP2978185B1 (zh) |
| JP (1) | JP6157411B2 (zh) |
| CN (1) | CN105323237B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107491470A (zh) * | 2016-06-09 | 2017-12-19 | 佳能株式会社 | 数据管理系统、控制方法及存储介质 |
| CN109951473A (zh) * | 2019-03-12 | 2019-06-28 | 北京三快在线科技有限公司 | 功能触发方法、系统、电子设备和计算机可读存储介质 |
| CN110138718A (zh) * | 2018-02-09 | 2019-08-16 | 佳能株式会社 | 信息处理系统及其控制方法 |
| CN110858245A (zh) * | 2018-08-24 | 2020-03-03 | 珠海格力电器股份有限公司 | 一种授权方法及数据处理设备 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
| CN106921636B (zh) * | 2015-12-28 | 2020-05-08 | 华为技术有限公司 | 身份认证方法及装置 |
| US10516654B2 (en) * | 2016-03-15 | 2019-12-24 | Intel Corporation | System, apparatus and method for key provisioning delegation |
| PL3442249T3 (pl) * | 2017-08-07 | 2019-11-29 | Skidata Ag | Sposób zapobiegania nieuprawnionym użyciom elektronicznych uprawnień dostępu, zarządzanych w mobilnych urządzeniach elektronicznych za pomocą aplikacji Wallet, które są przesyłane do mobilnych urządzeń elektronicznych z serwera każdorazowo za pomocą linku do pobierania uprawnienia dostępu |
| US11310053B2 (en) | 2018-12-28 | 2022-04-19 | Plaid Inc. | System and method of filtering internet traffic via a client fingerprint |
| US11785046B1 (en) | 2019-05-21 | 2023-10-10 | Plaid Inc. | System and method for maintaining internet anonymity via client fingerprint |
| JP7301668B2 (ja) * | 2019-08-07 | 2023-07-03 | キヤノン株式会社 | システム、制御方法、プログラム |
| JP2021064319A (ja) | 2019-10-17 | 2021-04-22 | 富士通株式会社 | 通信プログラム、認可サーバ、および、通信システム |
| CN111400684B (zh) * | 2020-02-10 | 2023-08-01 | 数字广东网络建设有限公司 | 电子证照信息获取方法、系统、装置、设备和存储介质 |
| US11468525B2 (en) | 2020-06-16 | 2022-10-11 | Bank Of America Corporation | Coordination platform for generating and managing authority tokens |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110289573A1 (en) * | 2009-02-19 | 2011-11-24 | Nokia Siemens Networks Oy | Authentication to an identity provider |
| US20120117586A1 (en) * | 2010-11-09 | 2012-05-10 | Sony Network Entertainment International Llc | Employment of multiple second displays to control iptv content |
| CN102647407A (zh) * | 2011-02-15 | 2012-08-22 | 佳能株式会社 | 信息处理系统及信息处理系统的控制方法 |
| US20140137232A1 (en) * | 2012-11-14 | 2014-05-15 | Canon Kabushiki Kaisha | Device apparatus, control method, and relating storage medium |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6983370B2 (en) * | 2001-11-27 | 2006-01-03 | Motorola, Inc. | System for providing continuity between messaging clients and method therefor |
| CN100437551C (zh) * | 2003-10-28 | 2008-11-26 | 联想(新加坡)私人有限公司 | 使多个用户设备自动登录的方法和设备 |
| JP4858945B2 (ja) * | 2005-12-28 | 2012-01-18 | 株式会社日立メディコ | システムにアクセスする方法及びネットワークシステム |
| JP5423397B2 (ja) * | 2007-12-27 | 2014-02-19 | 日本電気株式会社 | アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム |
| JP5858796B2 (ja) | 2012-01-16 | 2016-02-10 | キヤノン株式会社 | 権限委譲システム、およびその権限委譲システムにおけるサーバーシステム、および権限委譲システムを制御する制御方法 |
-
2014
- 2014-05-30 JP JP2014112626A patent/JP6157411B2/ja active Active
-
2015
- 2015-05-27 US US14/723,301 patent/US9967253B2/en active Active
- 2015-05-27 EP EP15169463.5A patent/EP2978185B1/en active Active
- 2015-05-27 CN CN201510280125.9A patent/CN105323237B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110289573A1 (en) * | 2009-02-19 | 2011-11-24 | Nokia Siemens Networks Oy | Authentication to an identity provider |
| US20120117586A1 (en) * | 2010-11-09 | 2012-05-10 | Sony Network Entertainment International Llc | Employment of multiple second displays to control iptv content |
| CN102647407A (zh) * | 2011-02-15 | 2012-08-22 | 佳能株式会社 | 信息处理系统及信息处理系统的控制方法 |
| US20140137232A1 (en) * | 2012-11-14 | 2014-05-15 | Canon Kabushiki Kaisha | Device apparatus, control method, and relating storage medium |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107491470A (zh) * | 2016-06-09 | 2017-12-19 | 佳能株式会社 | 数据管理系统、控制方法及存储介质 |
| CN107491470B (zh) * | 2016-06-09 | 2021-10-26 | 佳能株式会社 | 数据管理系统、控制方法及存储介质 |
| CN110138718A (zh) * | 2018-02-09 | 2019-08-16 | 佳能株式会社 | 信息处理系统及其控制方法 |
| US11082225B2 (en) | 2018-02-09 | 2021-08-03 | Canon Kabushiki Kaisha | Information processing system and control method therefor |
| CN110138718B (zh) * | 2018-02-09 | 2022-03-01 | 佳能株式会社 | 信息处理系统及其控制方法 |
| CN110858245A (zh) * | 2018-08-24 | 2020-03-03 | 珠海格力电器股份有限公司 | 一种授权方法及数据处理设备 |
| CN109951473A (zh) * | 2019-03-12 | 2019-06-28 | 北京三快在线科技有限公司 | 功能触发方法、系统、电子设备和计算机可读存储介质 |
| CN109951473B (zh) * | 2019-03-12 | 2021-06-04 | 北京三快在线科技有限公司 | 功能触发方法、系统、电子设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015228067A (ja) | 2015-12-17 |
| JP6157411B2 (ja) | 2017-07-05 |
| US9967253B2 (en) | 2018-05-08 |
| US20150350209A1 (en) | 2015-12-03 |
| CN105323237B (zh) | 2018-09-11 |
| EP2978185B1 (en) | 2019-11-20 |
| EP2978185A1 (en) | 2016-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105323237A (zh) | 权限授予系统、方法及认证服务器系统 | |
| CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| CN102664933B (zh) | 用户授权方法、应用终端、开放平台和系统 | |
| US20190028461A1 (en) | Privacy-aware id gateway | |
| US11716325B2 (en) | Limiting scopes in token-based authorization systems | |
| US11356458B2 (en) | Systems, methods, and computer program products for dual layer federated identity based access control | |
| CN112449343B (zh) | 用户身份标识管理的方法、设备及系统 | |
| CN106878084B (zh) | 一种权限控制方法和装置 | |
| EP2713579B1 (en) | Authorization server system, control method thereof, and program | |
| CN104346548A (zh) | 穿戴式设备的认证方法及穿戴式设备 | |
| JP2016085641A (ja) | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム | |
| CN102238547B (zh) | 控制用户会话的方法、会话服务器、aaa服务器和系统 | |
| CN102017546B (zh) | 利用待机券控制资源分配的非连续式访问管理方法、待机券的管理方法以及资源分配的控制方法 | |
| EP3850883A1 (en) | Distributed radio frequency spectrum sharing coordination system | |
| CN104065674A (zh) | 终端设备以及信息处理方法 | |
| CN103415847A (zh) | 用于访问服务的系统和方法 | |
| CN102420808A (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN103067398A (zh) | 一种用于实现第三方应用访问用户数据的方法和设备 | |
| KR20130110808A (ko) | 다수의 결제 수단을 이용한 스위칭 결제 방법 및 그 장치 | |
| CN103957210B (zh) | 智能卡及其安全控制方法、装置和系统 | |
| CN102314425A (zh) | 数据搜索方法和数据搜索系统 | |
| CN106330899A (zh) | 私有云设备账号管理方法、系统、电子设备及服务器 | |
| CN105636031A (zh) | 分组通信管理方法、装置和系统 | |
| KR102332004B1 (ko) | 블록체인 네트워크에서 계정을 관리하는 방법, 시스템 및 비일시성의 컴퓨터 판독 가능 기록 매체 | |
| CN110691099B (zh) | 一种微服务架构下实现级联授权的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |