CN105763514A - 一种处理授权的方法、设备和系统 - Google Patents

一种处理授权的方法、设备和系统 Download PDF

Info

Publication number
CN105763514A
CN105763514A CN201410789963.4A CN201410789963A CN105763514A CN 105763514 A CN105763514 A CN 105763514A CN 201410789963 A CN201410789963 A CN 201410789963A CN 105763514 A CN105763514 A CN 105763514A
Authority
CN
China
Prior art keywords
authority
scope
authorization
authorized certificate
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410789963.4A
Other languages
English (en)
Other versions
CN105763514B (zh
Inventor
张尧烨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201410789963.4A priority Critical patent/CN105763514B/zh
Priority to EP15869051.1A priority patent/EP3226506B1/en
Priority to PCT/CN2015/086788 priority patent/WO2016095540A1/zh
Publication of CN105763514A publication Critical patent/CN105763514A/zh
Priority to US15/626,668 priority patent/US11201778B2/en
Application granted granted Critical
Publication of CN105763514B publication Critical patent/CN105763514B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种处理授权的方法、设备和系统。该处理授权的方法,包括接收公共客户端发送的第一授权请求,第一授权请求包括公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;根据客户端标识,获取公共客户端的授权信息;获取授权信息中保存的用户的授权凭证对应的授权范围;确定第一请求授权范围超出用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取资源的拥有者的授权通知信息;根据第一请求授权范围及授权通知信息,生成授权范围与第一请求授权范围相应的第一访问令牌;根据请求重定向URI,将第一访问令牌发送给公共客户端。本发明提供的方法有效的解决了公共客户端授权过程中的安全隐患问题。

Description

一种处理授权的方法、设备和系统
技术领域
本发明涉及通信技术领域,尤其涉及一种处理授权的方法、设备和系统。
背景技术
随着分布式网络服务和云计算的使用越来越多,第三方客户端需要能访问到一些服务器的托管资源。这些资源通常都是受保护的,并且要求使用资源的拥有者的私有证书(典型的证书是用户名和密码)进行身份验证。
在OAuth协议中,第三方客户端并不是直接使用资源的拥有者的私有证书来访问受保护资源,而是得到一个访问令牌——一个代表某一特定作用域(授权范围)、持续时间和其它属性的字符串。访问令牌由授权设备在资源的拥有者的授意下分发给第三方客户端。第三方客户端使用访问令牌来访问由资源服务器托管的受保护资源,但是该访问令牌有效期通常较短,过期后则无法继续访问受保护的资源。如果需要继续访问受保护的资源,则需要重新申请访问令牌。
现有的第三方客户端根据其安全能力差异,一般可以分为私密客户端(Confidentialclient)和公共客户端(Publicclient)。现有技术对不同类型的客户端定义了不同授权流程,其中隐式许可(ImplicitGrant)方式是面向公共客户端定义的。
在隐式许可流程中,公共客户端在重新申请访问令牌时,授权设备在根据重定向通用资源标识符(UniformResourceIdentifier,URI)验证第三方客户端身份合法,并且根据客户端标识确定授权设备之前已经为该公共客户端生成过访问令牌后,则根据公共方客户端的授权请求中的请求授权范围生成新的访问令牌,并返回给所述公共客户端。因此,一个恶意的公共方客户端可能在首次授权请求时诱使资源的拥有者许可一个低等级授权范围,而在后续授权请求时申请高等级授权范围,从而轻易地实现权限提升。例如,用户A在首次授权时许可了某公共客户端访问其QQ消息记录,在后续授权请求时该公共客户端又请求使用QQ发送消息的权限。此时授权设备能根据重定向URI验证该公共客户端的合法性,并且也能查询到用户A已经对该公共客户端有过授权,所以该公共客户端将获得使用QQ发送消息权限的访问令牌,这样该公共客户端就在未得到用户许可的情况下提升了其获取的授权范围。这也使现有技术在公共客户端实现授权时存在较大的安全隐患。
发明内容
本发明提供了一种针对公共客户端的处理授权的方法、设备和系统,以解决在对公共客户端进行授权时存在安全隐患的技术问题。
第一方面,本发明提供一种处理授权的方法,包括:接收所述公共客户端发送的第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;
根据所述客户端标识,获取所述公共客户端的授权信息;
获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;
确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;
根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;
根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
结合第一方面,在第一方面的第一种可能的实现方式中,所述获取所述资源的拥有者的授权通知信息,具体为:向所述资源的拥有者发送认证请求,所述认证请求包括所述第一请求授权范围;接收所述资源的拥有者返回的认证响应消息,所述认证响应消息包括所述资源的拥有者的授权通知信息,所述授权通知信息指示所述资源的拥有者同意以所述第一请求授权范围对所述用户使用所述公共客户端访问所述资源进行授权。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,在所述获取所述资源的拥有者的授权通知信息之后,所述方法还包括:生成授权范围与所述第一请求授权范围相应的授权凭证;使用所述生成的授权凭证更新所述用户的授权凭证。
结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,在所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围之前,所述方法还包括:根据所述客户端标识,获取所述公共客户端的注册重定向URI;确定所述请求重定向URI和所述注册重定向URI相同。
结合第一方面的第二种可能的实现方式,在第一方面的第四种可能的实现方式中,所述第一授权请求还包括所述用户的用户标识,所述授权信息还包括用户标识,所述授权信息中的用户标识与所述授权信息中的授权凭证存在对应关系;所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围,具体为:根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;解析所述用户标识对应的的授权凭证,获得所述用户的授权凭证对应的授权范围;所述使用所述生成的授权凭证更新所述用户的授权凭证,具体为:根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;使用所述生成的授权凭证更新所述用户的用户标识对应的授权凭证。
结合第一方面的第二种可能的实现方式,在第一方面的第五种可能的实现方式中,接收所述公共客户端发送的第二授权请求,所述第二授权请求包括所述客户端标识、所述请求重定向URI和第二请求授权范围;根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;确定所述第二请求授权范围不超出所述用户的授权凭证对应的授权范围,则生成授权范围与所述第二请求授权范围或者所述第二原始授权范围相应的第二访问令牌;根据所述请求重定向URI,将所述第二访问令牌发送给所述公共客户端。
结合第一方面以及第一方面的第一种至第五种可能的实现方式中的任一种实现方式,在第一方面的第六种可能的实现方式中,在所述接收所述公共客户端发送的第一授权请求之前,所述方法还包括:接收所述公共客户端发送的第三授权请求,所述第三授权请求包括所述客户端标识、所述请求重定向URI和第三请求授权范围;根据所述客户端标识,获取所述公共客户端的授权信息;确定所述授权信息中不存在所述用户的授权凭证;根据所述第三请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第三请求授权范围及所述授权通知信息,生成授权范围与所述第三授权范围相应的第三访问令牌和第三授权凭证;将所述第三授权凭证作为所述用户的授权凭证保存到所述授权信息中;根据所述请求重定向URI,将所述第三访问令牌发送给所述公共客户端。
第二方面,提供了一种授权设备,用于对用户通过公共客户端访问资源进行授权,包括:接收模块,接收所述公共客户端发送的第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;获取模块,用于根据所述客户端标识,获取所述公共客户端的授权信息;所述获取模块,还用于获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;所述获取模块,还用于确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;执行模块,用于根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;发送模块,根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
结合第二方面,在第二方面的第一种可能的实现方式中,所述获取所述资源的拥有者的授权通知信息,具体为:向所述资源的拥有者发送认证请求,所述认证请求包括所述第一请求授权范围;接收所述资源的拥有者返回的认证响应消息,所述认证响应消息包括所述资源的拥有者的授权通知信息,所述授权通知信息指示所述资源的拥有者同意以所述第一请求授权范围对所述用户使用所述公共客户端访问所述资源进行授权。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述执行模块,还用于根据所述第一请求授权范围,生成授权范围与所述第一请求授权范围相应的授权凭证;使用所述生成的授权凭证更新所述用户的授权凭证。
结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述获取模块,还用于在所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围之前,根据所述客户端标识,获取所述公共客户端的注册重定向URI;所述执行模块,还用于确定所述请求重定向URI和所述注册重定向URI相同。
结合第二方面的第二种可能的实现方式,在第二方面的第四种可能的实现方式中,所述第一授权请求还包括所述用户的用户标识,所述授权信息还包括用户标识,所述授权信息中的用户标识与所述授权信息中的授权凭证存在对应关系;所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围,具体为:根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;解析所述用户标识对应的的授权凭证,获得所述用户的授权凭证对应的授权范围;所述使用所述生成的授权凭证更新所述用户的授权凭证,具体为:根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;使用所述生成的授权凭证更新所述用户的用户标识对应的授权凭证。
结合第二方面的第二种可能的实现方式,在第二方面的第五种可能的实现方式中,所述接收模块,还用于接收所述公共客户端发送的第二授权请求,所述第二授权请求包括所述客户端标识、所述请求重定向URI和第二请求授权范围;所述获取模块,还用于根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;所述执行模块,还用于确定所述第二请求授权范围不超出所述用户的授权凭证对应的授权范围,则生成授权范围与所述第二请求授权范围或者所述第二原始授权范围相应的第二访问令牌;所述发送模块,还用于根据所述请求重定向URI,将所述第二访问令牌发送给所述公共客户端。
结合第二方面以及第二方面的第一种至第第四种可能的实现方式中的任一种可能的实现方式,在第二方面的第五种实现方式中,所述接收模块,还用于接收所述公共客户端发送的第三授权请求,所述第三授权请求包括所述客户端标识、所述请求重定向URI和第三请求授权范围;所述获取模块,还用于根据所述客户端标识,获取所述公共客户端的授权信息;所述执行模块,还用于确定所述授权信息中不存在所述用户的授权凭证;根据所述第三请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第三请求授权范围,生成授权范围与所述第三授权范围相应的第三访问令牌和第三授权凭证;将所述第三授权凭证作为所述用户的授权凭证保存到所述授权信息中;所述发送模块,还用于根据所述请求重定向URI,将所述第三访问令牌发送给所述公共客户端。
第三方面,还提供了一种处理授权的系统,用于对用户通过公共客户端访问资源进行授权,包括:公共客户端,用于向授权设备发送第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;接收所述授权设备发送的第一访问令牌;授权设备,用于接收所述公共客户端发送的第一授权请求;根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
根据本发明提供的技术方案,授权设备将用户的授权凭证保存在所述授权设备上,当接收到公共客户端的授权请求时,比较保存的所述用户的授权凭证对应的授权范围和所述授权请求中的请求授权范围,当授权请求中的请求授权范围超出保存的用户的授权凭证对应的授权范围时,需要先获取资源的拥有者的授权通知信息,再生成访问令牌,有效的解决了公共客户端授权过程中的安全隐患问题。
附图说明
图1为本发明一实施例所提供的一种处理授权的方法流程图;
图2为本发明一实施例所提供的一种处理授权的方法示范性信令图;
图3为本发明一实施例所提供的一种处理授权的方法示范性信令图;
图4为本发明一实施例所提供的一种授权设备结构示意图;
图5为本发明一实施例所提供的一种授权设备得另一种结构示意图;
图6为本发明一实施例所提供的一种处理授权的系统结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
图1是依据本发明一实施例所提供的处理授权的方法流程图。在具体实现过程中,该处理授权的方法可由授权设备来执行。所述授权设备用于接收公共客户端注册,管理资源的拥有者的身份认证,并且在资源的拥有者授权的情况下,为公共客户端发放访问令牌。公共客户端通过向资源服务器出示所述访问令牌来访问受保护的资源。当授权设备接收到公共客户端发送的授权请求后,如果无法获取用户的授权凭证,或者虽然可以获取用户的授权凭证,但是授权设备接收到的授权请求中的请求授权范围超出了用户的授权凭证对应的授权范围,则此时授权设备需要先获得资源的拥有者的认证许可,才能对用户通过公共客户端发送的授权请求进行授权。当授权设备接收到的授权请求中的请求授权范围不超出用户的授权凭证对应的授权范围时,授权设备可以直接根据用户的授权凭证对用户通过公共客户端发送的授权请求进行授权。具体的,所述方法包括:
步骤102:接收所述公共客户端发送的第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;
具体的,所述公共客户端可以是第三方开发的应用软件或者浏览器插件,该类客户端不能长期安全地保存授权凭证。授权凭证包含用户通过公共客户端对资源已经获得的授权范围等信息,所述授权范围包括对资源的访问范围和/或访问权限。所述客户端标识为所述公共客户端在所述授权设备上注册时,由所述授权设备生成并分配给所述公共客户端。所述公共客户端在与授权设备交互时,所述客户端标识用于标识所述公共客户端。所述第一请求授权范围指示用户希望通过所述公共客户端获取的对所述受保护的资源的访问范围和/或访问权限。所述请求重定向通用资源标识符(UniformResourceIdentifier,URI)用于指示所述授权设备返回响应消息的地址,授权设备生成访问令牌后,通过所述请求重定向URI,将生成的访问令牌返回给公共客户端。
步骤104:根据所述客户端标识,获取所述公共客户端的授权信息;
具体的,所述授权信息包含了用户通过所述公共客户端获得的针对所述受保护的资源的授权凭证。所述授权设备保存并维护所述授权信息,并且所述客户端标识与所述授权信息建立有对应关系。根据所述客户端标识,可以获取所述授权信息。
步骤106:获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;
具体的,授权凭证包含用户通过公共客户端对资源已经获得的授权范围等信息。授权设备通过解析所述授权凭证,可以获得所述授权凭证对应的授权范围。授权设备根据所述授权凭证可以生成相应的访问令牌,且该访问令牌的授权范围不超出所述授权凭证的授权范围。
步骤108:确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;
具体的,当授权设备确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围时,表明使用所述公共客户端的用户希望对所述受保护的资源获得更大的授权范围。此时为了安全起见,对使用所述公共客户端的用户进行授权,需要得到所述受保护的资源的拥有者的认证。
其中,所述获取所述资源的拥有者的授权通知信息,具体为:向所述资源的拥有者发送认证请求,所述认证请求包括所述第一请求授权范围;接收所述资源的拥有者返回的认证响应消息,所述认证响应消息包括所述资源的拥有者的授权通知信息,所述授权通知信息指示所述资源的拥有者同意以所述第一请求授权范围对所述用户使用所述公共客户端访问所述资源进行授权。可选的,当所述认证响应消息包含指示所述资源的拥有者不同意以所述第一请求授权范围对使用所述公共客户端的用户进行授权信息或者所述授权通知信息中的身份认证信息错误时,所述授权设备拒绝接收到的第一授权请求,授权流程结束。
步骤110:根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;
可选的,所述授权通知信息包括所述资源的拥有者的身份认证信息和允许授权的授权许可信息。所述资源的拥有者的身份认证信息可以是账号密码、生物特征认证或者其他可以证明资源的拥有者身份的信息。本发明实施例对资源的拥有者的身份认证信息以及授权许可信息的具体形式不做限定。
具体的,授权设备通过所述授权通知信息确定所述资源的拥有者同意对使用所述公共客户端的用户就所述第一授权范围进行授权后,根据所述第一授权范围生成第一访问令牌。
可选的,所述授权设备还根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的授权凭证,使用所述生成的授权凭证更新所述用户的授权凭证。
步骤112:根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
具体的,授权设备将生成的第一访问令牌通过所述授权请求中的请求重定向URI发送给所述公共客户端,以便于用户通过所述公共客户端使用该第一访问令牌访问资源服务器上的受保护的资源。
用户通过公共客户端使用所述第一访问令牌可以以所述第一请求授权范围的权限来访问所述受保护的资源,但是所述第一访问令牌的有效期较短。访问令牌过期后,公共客户端需要重新申请新的访问令牌来访问所述受保护的资源。
可选的,为了确保防止恶意软件冒充所述公共客户端申请访问令牌,从而导致访问令牌泄露的风险,在步骤106获取所述授权信息中保存的所述用户的授权凭证对应的授权范围之前,所述授权设备还根据所述客户端标识,获取所述公共客户端的注册重定向URI;确定所述请求重定向URI和所述注册重定向URI相同。其中,所述注册重定向URI是所述公共客户端在所述授权设备上进行注册时,由所述公共客户端提供。如果所述第一授权请求中的请求重定向URI和所述注册重定向URI不相同时,授权设备则拒绝所述第一授权请求,授权流程结束。
当所述公共客户端有多个不同用户使用时,为了区分不同用户,所述第一授权请求还包括所述用户的用户标识。所述授权信息中还包括用户标识,且所述授权信息中的用户标识和所述授权信息中的授权凭证存在对应关系。当根据所述客户端标识获得所述授权信息后,步骤106所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围,具体为:根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;解析所述用户的用户标识对应的的授权凭证,获得所述用户的授权凭证对应的授权范围;所述使用所述生成的授权凭证更新所述用户的授权凭证,具体为:根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;使用所述生成的授权凭证更新所述用户的用户标识对应的授权凭证。
进一步的,当所述授权设备接收到的授权请求中的请求授权范围不超出授权设备保存的所述用户的授权凭证对应的授权范围时,授权设备可以根据所述用户的授权凭证,直接生成访问令牌并返回给所述公共客户端,而不需要申请资源的拥有者的认证。具体的,所述授权设备接收所述公共客户端发送的第二授权请求,所述第二授权请求包括所述客户端标识、所述请求重定向URI和第二请求授权范围;根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;确定所述第二请求授权范围不超出所述用户的授权凭证对应的授权范围,则生成授权范围与所述第二请求授权范围或者所述第二原始授权范围相应的第二访问令牌;根据所述请求重定向URI,将所述第二访问令牌发送给所述公共客户端。
进一步的,当用户通过所述公共客户端首次向授权设备发送对所述资源的授权请求或者其他情况导致无法获取用户的授权凭证的时候,授权需要得到所述资源的拥有者的认证。具体的,授权设备接收所述公共客户端发送的第三授权请求,所述第三授权请求包括所述客户端标识、所述请求重定向URI和第三请求授权范围;根据所述客户端标识,获取所述公共客户端的授权信息;确定所述授权信息中不存在所述用户的授权凭证;根据所述第三请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第三请求授权范围及根据所述第三请求授权范围获得的授权通知信息,生成授权范围与所述第三授权范围相应的第三访问令牌和第三授权凭证;将所述第三授权凭证作为所述用户的授权凭证保存到所述授权信息中;根据所述请求重定向URI,将所述第三访问令牌发送给所述公共客户端。
可选的,所述授权设备保存有所述公共客户端的注册信息,所述注册信息包括所述公共客户端的授权信息和所述注册重定向URI。所述公共客户端在所述授权设备上注册时,所述授权设备生成客户端标识和所述注册信息,保存所述注册信息并将所述客户端标识发送给所述公共客户端。其中,保存的所述注册信息和所述客户端标识具有对应关系,因此,授权设备根据所述客户端标识,可以获得所述公共客户端的注册信息,进而获取所述授权信息和所述注册重定向URI。具体的,授权设备接收公共客户端的注册流程为:接收所述公共客户端发送的注册请求,所述注册请求包括所述注册重定向URI;生成注册信息,所述注册信息包括所述注册重定向URI和所述公共客户端的授权信息;根据所述注册请求,生成所述客户端标识;向所述公共客户端发送所述客户端标识;保存所述客户端标识,并与所述注册信息形成对应关系。可选的,所述注册请求还包括所述公共客户端的授权信息,且所述授权信息中的内容为空。当所述注册请求不包括所述公共客户端的授权信息时,内容为空的授权信息由授权设备生成并保存在所述客户端的注册信息中。进一步的,所述注册请求中还包括所述公共客户端的描述信息,由于与本发明无关,本发明对所述描述信息不做限定。
可选的,为了与现有技术的授权处理流程进行区分,所述第一授权请求进一步还包括授权响应类型,在获取所述授权信息中用户的授权凭证之前,所述方法还包括:所述授权设备确定所述授权响应类型取值为第一值,所述第一值指示所述授权设备按照上述方法来处理所述第一授权请求。
公共客户端使用访问令牌可以访问资源服务器上的受保护资源,但是访问令牌的有效期一般较短。可选的,当访问令牌过期后,所述公共客户端使用该过期的访问令牌访问资源服务器时,资源服务器解析该访问令牌发现令牌失效,所述资源服务器向所述公共客户端返回令牌失效的响应消息。此时所述公共客户端可向所述授权设备重新发起授权请求,重新进入上述处理流程。需要说明的是,在本发明实施例中,授权凭证的有效期大于访问令牌的有效期。
本发明实施例中授权设备将用户的授权凭证保存在所述授权设备上,当接收到公共客户端的授权请求时,比较保存的所述用户的授权凭证对应的授权范围和所述授权请求中的请求授权范围,当授权请求中的请求授权范围超出保存的用户的授权凭证对应的授权范围时,需要先获取资源的拥有者的授权通知信息,再生成访问令牌,有效的解决了公共客户端授权过程中的安全隐患问题。
图2是本发明一实施例所提供的一种处理授权的方法示范性信令图。图2所示的公共客户端可以是第三方开发的应用软件或者浏览器插件,用户希望通过所述公共客户端从授权设备获得访问令牌以便于访问资源服务器上的受保护的资源。
步骤202:所述公共客户端向所述授权设备发送授权请求,所述授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI、请求授权范围;
具体的,所述授权请求包含客户端标识ClientID、请求重定向URIredirect_uri和请求授权范围scope。
步骤204:所述授权设备验证所述公共客户端的为合法时,如果成功获取所述用户的授权凭证,且通过权限检验,则进入步骤206;如果没有获取到所述用户的授权凭证或者权限检查未通过,则进入步骤210;
具体的,所述授权设备保存并维护所述公共客户端的注册信息,所述注册信息包括注册重定向URI和授权信息auth_tokens,其中所述授权信息用于记录所述用户的授权凭证。所述注册信息与所述客户端标识具有对应关系,根据所述客户端标识,可以获得所述公共客户端的注册信息。
具体的,所述授权设备通过比较所述授权请求中的请求重定向URI和所述注册信息中的注册重定向URI,来确定公共客户端的身份是否合法。当所述请求重定向URI和注册重定向URI相同时,表明所述公共客户端身份合法。
用户的授权凭证包含用户通过公共客户端对资源已经获得的授权范围等信息。授权设备通过解析所述用户的授权凭证,可以获得所述用户的授权凭证对应的授权范围。授权设备根据所述用户的授权凭证可以生成相应的访问令牌,且该访问令牌的授权范围不超出所述用户的授权凭证对应的授权范围。所述授权信息由所述授权设备进行维护,当所述授权设备还没有为使用所述公共客户端的用户进行过授权的时候,所述授权信息中的内容为空。
由于授权设备可能会设置一定的策略对用户的授权凭证进行轮换和过期作废等处理,因此可能导致授权一定时间后授权设备撤销该用户的授权凭证并导致查找不到用户的授权凭证的情况发生。另外,所述公共客户端首次申请授权的时候,auth_tokens字段中的内容为空,此时也无法获取所述授权凭证。
当根据所述客户端标识无法在所述公共客户端的注册信息中获得用户的授权凭证时,则授权需要得到资源的拥有者的认证。当根据所述客户端标识成功获得用户的授权凭证,则根据所述用户的授权凭证获取该用户的授权凭证对应的授权范围,并将所述授权请求中的请求授权范围与该用户的授权凭证对应的授权范围进行比较,来确认权限检查是否通过。具体的,如果所述请求授权范围不超出该用户的授权凭证对应的授权范围,则表明权限检查通过;如果所述请求授权范围超出该用户的授权凭证对应的授权范围,则表明权限检查未通过。当权限检查未通过时,授权也需要得到资源的拥有者认证。
步骤206:根据所述用户的授权凭证对应的授权范围,生成更新的访问令牌;
具体的,所述更新的访问令牌与所述用户的授权凭证具有相同的授权范围。
步骤208:授权设备向所述公共客户端发送所述更新的访问权限,授权流程结束。
具体的,所述公共客户端使用该更新的访问令牌访问资源服务器上的受保护的资源。当所述更新的访问令牌过期后,所述公共客户端为了访问受保护的资源,需要进一步的授权申请。
步骤210:所述授权设备向资源的拥有者发送认证请求,所述认证请求包括所述请求授权范围;所述资源的拥有者返回认证响应消息,所述认证响应消息包括所述资源的拥有者的身份认证信息和授权许可信息;
具体的,所述资源的拥有者的身份认证信息可以是账号密码、生物特征认证或者其他可以证明资源的拥有者身份的信息。本发明实施例对资源的拥有者的身份认证信息以及授权许可信息的具体形式不做限定。具体的,本发明实施例中资源的拥有者可以通过浏览器等应用程序来接收授权设备的认证请求,浏览器等应用程序向资源的拥有者显示认证页面,所述页面显示所述请求授权范围,资源的拥有者在认证页面上输入身份认证信息,且选择允许或者拒绝授权,然后浏览器等应用程序将认证页面上的身份认证信息和授权许可发送给授权设备。需要说明的是,本发明实施例对资源的拥有者使用什么方式来接收认证请求以及什么方式返回授权通知信息不做限定。
步骤212:所述授权设备根据所述身份认证信息确定所述资源的拥有者的身份合法,且所述授权许可信息为允许授权,根据所述请求授权范围,生成更新的访问令牌和更新的授权凭证;使用所述更新的授权凭证更新所述授权信息中所述用户的授权凭证;
具体的,所述更新的访问令牌和所述更新的授权凭证具有相同的授权范围,在本发明实施例中,两者的授权范围都是所述授权请求中的请求授权范围,但是所述更新的授权凭证有效期大于所述更新的访问令牌有效期。在所述更新的授权凭证有效期内,授权设备可以根据所述更新的授权凭证生成与其授权范围一致的访问令牌。
根据所述客户端标识,授权设备获取所述公共客户端的注册信息,进而获得所述公共客户端的授权信息,使用所述更新的授权凭证更新auth_tokens中所述用户的授权凭证。
步骤214:所述授权设备向所述公共客户端发送所述更新的访问令牌,授权流程结束。
具体的,所述公共客户端使用该更新的访问令牌访问资源服务器上的受保护的资源。当所述更新的访问令牌过期后,所述公共客户端为了访问受保护的资源,需要进一步的授权申请。
可选的,在步骤202授权设备接收公共客户端发送的授权请求之前,还包括:接收所述公共客户端发送的注册请求,所述注册请求包括所述注册重定向URI;所述授权设备生成注册信息,所述注册信息包括所述注册重定向URI和所述公共客户的授权信息,其中所述授权信息中的内容为空;根据所述注册请求,生成所述客户端标识;向所述公共客户端发送所述客户端标识;保存所述客户端标识,并与所述注册信息形成对应关系。可选的,所述注册请求还包括所述公共客户端的授权信息,且所述授权信息中的内容为空。当所述注册请求不包括所述公共客户端的授权信息时,内容为空的授权信息由授权设备生成并保存在所述客户端的注册信息中。
可选的,所述用户的授权凭证可以是刷新令牌Refreshtoken。需要说明的是,当所述用户的授权凭证是刷新令牌时,根据所述用户的刷新令牌,生成的访问令牌的授权范围与所述用户的授权凭证对应的授权范围相同。
本发明实施例中授权设备将用户的授权凭证保存在所述授权设备上,当接收到公共客户端的授权请求时,比较保存的所述用户的授权凭证对应的授权范围和所述授权请求中的请求授权范围,当授权请求中的请求授权范围超出保存的用户的授权凭证对应的授权范围时,需要先获取资源的拥有者的授权通知信息,再生成访问令牌,有效的解决了公共客户端授权过程中的安全隐患问题。
图3是本发明一实施例所提供的一种处理授权的方法示范性信令图。在本实施例中,多个用户使用同一个公共客户端在同一个授权设备上分别进行了授权许可。公共客户端可以通过账号密码、生物特征认证或其它身份认证方式中的至少一个,对每个用户的身份进行认证。公共客户端维护每个用户的身份认证信息,并且为每个用户分配一个公共客户端侧唯一的用户标识。由于授权设备保存的公共客户端的授权信息与公共客户端对应,而不是与使用该公共客户端的用户对应,因此授权设备在处理每一个使用该公共客户端的用户的授权请求时所使用的都是同样的授权信息,从而无法区分不同用户的授权凭证。为在公共客户端的授权信息中区分使用该公共客户端授权的不同用户的授权凭证,在授权信息中还包括用户标识,所述授权信息中的用户标识与所述授权信息中的授权凭证存在对应关系。本实施例中,公共客户端的授权信息和注册重定向URI保存在公共客户端的注册信息中,可选的增加user_num字段用于指示使用所述公共客户端获得了授权的用户数量,并将授权信息auth_tokens字段扩展为用户授权凭证集合,所述用户授权凭证集合的每一项元素记录了一个用户的授权凭证,具体的用户授权凭证集合的每一项元素除了记录一个授权凭证之外,还记录了一个用户标识。优选的,所述用户授权凭证集合可以是字符串动态数组。所述方法包括:
步骤302:用户A使用公共客户端向所述授权设备发送授权请求,所述授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI、请求授权范围和所述用户A的用户标识;
具体的,所述授权请求包含ClientID、redirect_uri、scope和state,其中,ClientID参数包含所述客户端标识,redirect_uri参数包含所述请求重定向URI,scope参数包含所述请求授权范围,state参数包含当前用户A的用户标识UserID。
步骤304:所述授权设备验证所述公共客户端为合法时,如果成功获取所述用户A的授权凭证,且通过权限检验,则进入步骤306;如果没有获取到所述用户A的授权凭证或者权限检查未通过,则进入步骤310;
具体的,所述授权设备保存并维护所述公共客户端的注册信息,所述注册信息包括注册重定向URI、授权信息auth_tokens和可选的用户数量user_num,其中auth_tokens为用户授权凭证集合,所述用户授权凭证集合的每一项元素记录了一个用户的授权凭证,具体的用户授权凭证集合的每一项元素除了记录一个授权凭证之外,还记录了一个用户标识。
具体的,所述授权设备通过比较所述授权请求中的请求重定向URI和所述注册信息中的注册重定向URI,来确定公共客户端的身份是否合法。当所述请求重定向URI和注册重定向URI相同时,表明所述公共客户端身份合法。授权设备根据所述授权请求中的用户标识,查询所述注册信息中的auth_tokens用户授权凭证集合的所有元素,获取用户A的授权凭证。
由于授权设备可能会设置一定的策略对授权信息中的授权凭证进行轮换和过期作废等处理,因此可能导致授权一定时间后授权设备撤销授权信息中的凭证并导致查找不到授权凭证的情况发生。另外,用户A使用客户端首次申请授权的时候,auth_tokens字段中不存在用户A对应的授权凭证,此时也无法获取用户A的授权凭证。
当根据所述用户A的用户标识无法在所述公共客户端的授权信息中获得用户A的授权凭证时,则授权需要得到资源的拥有者认证。当根据所述用户A的用户标识成功获得用户A的授权凭证,则根据所述用户A的授权凭证获取该用户A的授权凭证对应的授权范围,并将所述授权请求中的请求授权范围与该用户A的授权凭证对应的授权范围进行比较,来确认权限检查是否通过。具体的,如果所述请求授权范围不超出该用户A的授权凭证对应的授权范围,则表明权限检查通过;如果所述请求授权范围超出该用户A的授权凭证对应的授权范围,则表明权限检查未通过。当权限检查未通过时,授权也需要得到资源的拥有者认证。
步骤306:根据所述用户A的授权凭证对应的授权范围,生成更新的访问令牌;
具体的,生成的更新的访问令牌与所述用户A的授权凭证具有相同的授权范围。
步骤308:授权设备向所述公共客户端发送所述更新的访问令牌,授权流程结束。
步骤310:所述授权设备向资源的拥有者发送认证请求,所述认证请求包括所述请求授权范围;所述资源的拥有者返回认证响应消息,所述认证响应消息包括资源的拥有者的身份认证信息和授权许可信息;
步骤312:所述授权设备根据所述身份认证信息确定所述资源的拥有者的身份合法,且所述授权许可信息为允许授权,根据所述请求授权范围,生成更新的访问令牌和更新的授权凭证;使用所述更新的授权凭证更新所述授权信息中所述用户A的授权凭证;
具体的,所述更新的访问令牌和所述更新的授权凭证具有相同的授权范围。使用所述更新的授权凭证更新所述授权信息中所述用户A的授权凭证,具体为:当在所述注册信息的auth_tokens字段中无法找到用户A的授权凭证时,授权设备使用所述用户A的标识和所述更新的授权凭证在auth_tokens中添加一个元素;当在所述注册信息的auth_tokens字段中可以找到用户A的授权凭证时,授权设备使用所述用户A的标识,查询auth_tokens字段中所有的元素,确定记录所述用户A的授权凭证的元素,将所述记录所述用户A的授权凭证的元素中的授权凭证替换为所述更新的授权凭证。
步骤314:所述授权设备向所述公共客户端发送所述更新的访问令牌,授权流程结束。
可选的,本发明实施例中所述auth_tokens字段可以是字符串动态数组。所述字符串动态数组每一个数组元素为一个用户的授权凭证,具体的,一个数组元素的构造形式如下:
User ID “&” auth_cred
其中,UserID字段为用户标识,auth_cred字段为该用户的授权凭证。当所述授权设备接收到授权请求时,根据授权请求中的客户端标识获取所述公共客户端的注册信息,进而获取公共客户端的授权信息。根据所述授权请求中的用户标识查询所述字符串动态数组,如果无法获取用户标识对应的授权凭证,则所述授权设备生成更新的授权凭证后,构造字符串UserA+“&”+rt,将该字符串作为用户A的授权凭证添加到auth_tokens数组中,其中UserA为用户A的用户标识,rt为生成的更新的授权凭证。可选的,当所述注册信息包括user_num字段时,将user_num加1,表明授权信息中又多了一个用户的授权凭证。
根据所述授权请求中的用户标识查询所述字符串动态数组,如果可以获取用户标识对应的授权凭证,则确定所述授权请求为用户使用所述公共客户端进行的重复授权请求。所述授权设备生成更新的授权凭证后,使用所述更新的授权凭证替换原来的授权凭证。可选的,当所述注册信息包括user_num字段时,user_num保持不变。
本发明实施例中授权设备将用户的授权凭证保存在所述授权设备上,当接收到公共客户端的授权请求时,比较保存的所述用户的授权凭证对应的授权范围和所述授权请求中的请求授权范围,当授权请求中的请求授权范围超出保存的用户的授权凭证对应的授权范围时,需要先获取资源的拥有者的授权通知信息,再生成访问令牌,有效的解决了公共客户端授权过程中的安全隐患问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
如下再介绍本发明实施例提供的设备和系统。
图4是本发明一实施例所提供的一种授权设备的结构示意图。授权设备用于接收公共客户端注册,管理资源的拥有者的身份认证,并且在资源的拥有者授权的情况下,为公共客户端发放访问令牌,如图4所示,授权设备包括接收模块402、获取模块404、执行模块406和发送模块408。
接收模块402,用于接收所述公共客户端发送的第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围。
获取模块404,用于根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息。
其中,获取所述资源的拥有者的授权通知信息,具体为:向所述资源的拥有者发送认证请求,所述认证请求包括所述第一请求授权范围;接收所述资源的拥有者返回的认证响应消息,所述认证响应消息包括所述资源的拥有者的授权通知信息,所述授权通知信息指示所述资源的拥有者同意以所述第一请求授权范围对所述用户使用所述公共客户端访问所述资源进行授权。
在实现过程中,获取模块404具体用于实现图1所述实施例步骤104-步骤108所述的方法,相关内容可参照图1所述实施例相关描述,此处不再赘述。
执行模块406,用于根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌。
在具体实现过程中,执行模块406具体用于,通过所述授权通知信息确定所述资源的拥有者同意对使用所述公共客户端的用户就所述第一授权范围进行授权后,根据所述第一授权范围生成第一访问令牌。
可选的,所述执行模块406还用于根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的授权凭证,使用所述生成的授权凭证更新所述用户的授权凭证。
发送模块408,用于根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
在具体实现过程中,为了确保防止恶意软件冒充所述公共客户端申请访问令牌,从而导致访问令牌泄露的风险。所述获取模块404还用于根据所述客户端标识,获取所述公共客户端的注册重定向URI;所述执行模块406,还用于确定所述请求重定向URI和所述注册重定向URI相同。其中,所述注册重定向URI是所述公共客户端在所述授权设备上进行注册时,由所述公共客户端提供。如果所述第一授权请求中的请求重定向URI和所述注册重定向URI不相同时,授权设备则拒绝所述第一授权请求,授权流程结束。
当所述公共客户端有多个不同用户使用时,为了区分不同用户,所述第一授权请求还包括所述用户的用户标识。所述授权信息中还包括用户标识,且所述授权信息中的用户标识和所述授权信息中的授权凭证存在对应关系。所述获取模块406用于获取所述授权信息中保存的所述用户的授权凭证对应的授权范围,具体为:根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;解析所述用户的用户标识对应的的授权凭证,获得所述用户的授权凭证对应的授权范围。所述执行模块406用于使用所述生成的授权凭证更新所述用户的授权凭证,具体为:根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;使用所述生成的授权凭证更新所述用户的用户标识对应的授权凭证。
进一步的,当所述接收模块402接收到的授权请求中的请求授权范围不超出授权设备保存的所述用户的授权凭证对应的授权范围时,执行模块406可以根据所述用户的授权凭证,直接生成访问令牌并返回给所述公共客户端,而不需要申请资源的拥有者的认证。具体的,所述接收模块402,还用于接收所述公共客户端发送的第二授权请求,所述第二授权请求包括所述客户端标识、所述请求重定向URI和第二请求授权范围;所述获取模块404,还用于根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;所述执行模块406,还用于确定所述第二请求授权范围不超出所述用户的授权凭证对应的授权范围,则生成授权范围与所述第二请求授权范围或者所述第二原始授权范围相应的第二访问令牌;所述发送模块408,还用于根据所述请求重定向URI,将所述第二访问令牌发送给所述公共客户端。
进一步的,当因为用户通过所述公共客户端首次向授权设备发送对所述资源的授权请求或者其他情况导致无法获取用户的授权凭证的时候,所以授权需要得到所述资源的拥有者的认证。具体的,所述接收模块402,还用于接收所述公共客户端发送的第三授权请求,所述第三授权请求包括所述客户端标识、所述请求重定向URI和第三请求授权范围;所述获取模块404,还用于根据所述客户端标识,获取所述公共客户端的授权信息;所述执行模块406,还用于确定所述授权信息中不存在所述用户的授权凭证;根据所述第三请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第三请求授权范围及所述授权通知信息,生成授权范围与所述第三授权范围相应的第三访问令牌和第三授权凭证;将所述第三授权凭证作为所述用户的授权凭证保存到所述授权信息中;所述发送模块408,还用于根据所述请求重定向URI,将所述第三访问令牌发送给所述公共客户端。
图5所示的是本发明一实施例提供的一种处理授权的授权设备的另一种结构示意图,采用通用计算机系统结构,执行本发明方案的程序代码保存在存储器中,并由处理器来控制执行。处理授权的设备包括总线,处理器(502),存储器(504),通信接口(506)。
总线可包括一通路,在计算机各个部件之间传送信息。
处理器502可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路application-specificintegratedcircuit(ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。计算机系统中包括的一个或多个存储器,可以是只读存储器read-onlymemory(ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器randomaccessmemory(RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是磁盘存储器。这些存储器通过总线与处理器相连接。
通信接口506,可以使用任何收发器一类的装置,以便与其他设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(WLAN)等.
存储器504,如RAM,保存有操作系统和执行本发明方案的程序。操作系统是用于控制其他程序运行,管理系统资源的程序。执行本发明方案的程序代码保存在存储器中,并由处理器来控制执行。
存储器504中存储的程序用于指令处理器执行一种处理授权的方法,包括:接收所述公共客户端发送的第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。可选的,还包括:生成授权范围与所述第一请求授权范围相应的授权凭证;使用所述生成的授权凭证更新所述用户的授权凭证。
可以理解的是,本实施例的一种处理授权的设备可用于实现图1所述方法实施例中的所有功能,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
图6是本发明一实施例所提供的一种处理授权的系统结构示意图。如图6所示,该系统包括公共客户端602和授权设备604。
公共客户端602,用于向授权设备发送第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;接收所述授权设备发送的第一访问令牌;
授权设备604,用于接收所述公共客户端发送的第一授权请求;根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
有关授权设备604的更为详细的描述,请参考在图4中展示的授权服务的描述,相关内容在此不再赘述。
上述设备和系统内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,上述的存储介质可为磁碟、光盘、只读存储记忆体(ROM:Read-OnlyMemory)或随机存储记忆体(RAM:RandomAccessMemory)等。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (15)

1.一种处理授权的方法,用于对用户通过公共客户端访问资源进行授权,其特征在于,包括:
接收所述公共客户端发送的第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;
根据所述客户端标识,获取所述公共客户端的授权信息;
获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;
确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;
根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;
根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
2.如权利要求1所述的方法,其特征在于,所述根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息,具体为:
向所述资源的拥有者发送认证请求,所述认证请求包括所述第一请求授权范围;
接收所述资源的拥有者返回的认证响应消息,所述认证响应消息包括所述资源的拥有者的授权通知信息,所述授权通知信息指示所述资源的拥有者同意以所述第一请求授权范围对所述用户使用所述公共客户端访问所述资源进行授权。
3.如权利要求1或2所述的方法,其特征在于,在所述获取所述资源的拥有者的授权通知信息之后,所述方法还包括:
生成授权范围与所述第一请求授权范围相应的授权凭证;
使用所述生成的授权凭证更新所述用户的授权凭证。
4.如权利要求1-3任一所述的方法,其特征在于,在所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围之前,所述方法还包括:
根据所述客户端标识,获取所述公共客户端的注册重定向URI;
确定所述请求重定向URI和所述注册重定向URI相同。
5.如权利要求3所述的方法,其特征在于,
所述第一授权请求还包括所述用户的用户标识,所述授权信息还包括用户标识,所述授权信息中的用户标识与所述授权信息中的授权凭证存在对应关系;
所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围,具体为:
根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;
解析所述用户的用户标识对应的的授权凭证,获得所述用户的授权凭证对应的授权范围;
所述使用所述生成的授权凭证更新所述用户的授权凭证,具体为:
根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;使用所述生成的授权凭证更新所述用户的用户标识对应的授权凭证。
6.如权利要求3所述的方法,其特征在于,所述方法还包括:
接收所述公共客户端发送的第二授权请求,所述第二授权请求包括所述客户端标识、所述请求重定向URI和第二请求授权范围;
根据所述客户端标识,获取所述公共客户端的授权信息;
获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;
确定所述第二请求授权范围不超出所述用户的授权凭证对应的授权范围,则生成授权范围与所述第二请求授权范围或者所述第二原始授权范围相应的第二访问令牌;
根据所述请求重定向URI,将所述第二访问令牌发送给所述公共客户端。
7.如权利要求1-6任一所述的方法,其特征在于,所述方法还包括:
接收所述公共客户端发送的第三授权请求,所述第三授权请求包括所述客户端标识、所述请求重定向URI和第三请求授权范围;
根据所述客户端标识,获取所述公共客户端的授权信息;
确定所述授权信息中不存在所述用户的授权凭证;
根据所述第三请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第三请求授权范围及根据所述第三请求授权范围获取的授权通知信息,生成授权范围与所述第三授权范围相应的第三访问令牌和第三授权凭证;
将所述第三授权凭证作为所述用户的授权凭证保存到所述授权信息中;
根据所述请求重定向URI,将所述第三访问令牌发送给所述公共客户端。
8.一种授权设备,用于对用户通过公共客户端访问资源进行授权,其特征在于,包括:
接收模块,接收所述公共客户端发送的第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;
获取模块,用于根据所述客户端标识,获取所述公共客户端的授权信息;
所述获取模块,还用于获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;
所述获取模块,还用于确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;
执行模块,用于根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;
发送模块,根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
9.如权利要求8所述的设备,其特征在于,所述获取所述资源的拥有者的授权通知信息,具体为:
向所述资源的拥有者发送认证请求,所述认证请求包括所述第一请求授权范围;
接收所述资源的拥有者返回的认证响应消息,所述认证响应消息包括所述资源的拥有者的授权通知信息,所述授权通知信息指示所述资源的拥有者同意以所述第一请求授权范围对所述用户使用所述公共客户端访问所述资源进行授权。
10.如权利要求8或9所述的设备,其特征在于,所述设备还包括:
所述执行模块,还用于根据所述第一请求授权范围,生成授权范围与所述第一请求授权范围相应的授权凭证;
使用所述生成的授权凭证更新所述用户的授权凭证。
11.如权利要求8-10任一所述的设备,其特征在于,所述设备还包括:
所述获取模块,还用于在所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围之前,根据所述客户端标识,获取所述公共客户端的注册重定向URI;
所述执行模块,还用于确定所述请求重定向URI和所述注册重定向URI相同。
12.如权利要求10所述的设备,其特征在于,所述第一授权请求还包括所述用户的用户标识,所述授权信息还包括用户标识,所述授权信息中的用户标识与所述授权信息中的授权凭证存在对应关系;
所述获取所述授权信息中保存的所述用户的授权凭证对应的授权范围,具体为:
根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;
解析所述用户的用户标识对应的的授权凭证,获得所述用户的授权凭证对应的授权范围;
所述使用所述生成的授权凭证更新所述用户的授权凭证,具体为:
根据所述第一授权请求中的所述用户的用户标识,查询所述授权信息,获取与所述用户的用户标识对应的授权凭证;使用所述生成的授权凭证更新所述用户的用户标识对应的授权凭证。
13.如权利要求10所述的设备,其特征在于,所述设备还包括:
所述接收模块,还用于接收所述公共客户端发送的第二授权请求,所述第二授权请求包括所述客户端标识、所述请求重定向URI和第二请求授权范围;
所述获取模块,还用于根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;
所述执行模块,还用于确定所述第二请求授权范围不超出所述用户的授权凭证对应的授权范围,则生成授权范围与所述第二请求授权范围或者所述第二原始授权范围相应的第二访问令牌;
所述发送模块,还用于根据所述请求重定向URI,将所述第二访问令牌发送给所述公共客户端。
14.如权利要求8-13任一所述的设备,其特征在于,所述设备还包括:
所述接收模块,还用于接收所述公共客户端发送的第三授权请求,所述第三授权请求包括所述客户端标识、所述请求重定向URI和第三请求授权范围;
所述获取模块,还用于根据所述客户端标识,获取所述公共客户端的授权信息;
所述执行模块,还用于确定所述授权信息中不存在所述用户的授权凭证;根据所述第三请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第三请求授权范围,生成授权范围与所述第三授权范围相应的第三访问令牌和第三授权凭证;将所述第三授权凭证作为所述用户的授权凭证保存到所述授权信息中;
所述发送模块,还用于根据所述请求重定向URI,将所述第三访问令牌发送给所述公共客户端。
15.一种处理授权的系统,用于对用户通过公共客户端访问资源进行授权,其特征在于,包括:
公共客户端,用于向授权设备发送第一授权请求,所述第一授权请求包括所述公共客户端的客户端标识、请求重定向通用资源标识符URI和第一请求授权范围;接收所述授权设备发送的第一访问令牌;
授权设备,用于接收所述公共客户端发送的第一授权请求;根据所述客户端标识,获取所述公共客户端的授权信息;获取所述授权信息中保存的所述用户的授权凭证对应的授权范围;确定所述第一请求授权范围超出所述用户的授权凭证对应的授权范围,则根据所述第一请求授权范围,获取所述资源的拥有者的授权通知信息;根据所述第一请求授权范围及所述授权通知信息,生成授权范围与所述第一请求授权范围相应的第一访问令牌;根据所述请求重定向URI,将所述第一访问令牌发送给所述公共客户端。
CN201410789963.4A 2014-12-17 2014-12-17 一种处理授权的方法、设备和系统 Active CN105763514B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201410789963.4A CN105763514B (zh) 2014-12-17 2014-12-17 一种处理授权的方法、设备和系统
EP15869051.1A EP3226506B1 (en) 2014-12-17 2015-08-12 Sophisitcated preparation of an authorization token
PCT/CN2015/086788 WO2016095540A1 (zh) 2014-12-17 2015-08-12 一种处理授权的方法、设备和系统
US15/626,668 US11201778B2 (en) 2014-12-17 2017-06-19 Authorization processing method, device, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410789963.4A CN105763514B (zh) 2014-12-17 2014-12-17 一种处理授权的方法、设备和系统

Publications (2)

Publication Number Publication Date
CN105763514A true CN105763514A (zh) 2016-07-13
CN105763514B CN105763514B (zh) 2019-11-29

Family

ID=56125834

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410789963.4A Active CN105763514B (zh) 2014-12-17 2014-12-17 一种处理授权的方法、设备和系统

Country Status (4)

Country Link
US (1) US11201778B2 (zh)
EP (1) EP3226506B1 (zh)
CN (1) CN105763514B (zh)
WO (1) WO2016095540A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108366132A (zh) * 2018-03-13 2018-08-03 平安普惠企业管理有限公司 服务器间的服务管理方法、装置、计算机设备和存储介质
WO2019137164A1 (zh) * 2018-01-15 2019-07-18 华为技术有限公司 一种授权撤回的方法及装置
CN110636043A (zh) * 2019-08-16 2019-12-31 中国人民银行数字货币研究所 一种基于区块链的文件授权访问方法、装置及系统
CN111625495A (zh) * 2020-04-30 2020-09-04 广东艾诗凯奇智能科技有限公司 存档数据的调用方法、电子设备及可读存储介质
CN113642012A (zh) * 2020-05-11 2021-11-12 乌本产权有限公司 提供访问风能设施的电子密钥的方法和访问控制系统

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10341862B2 (en) * 2016-02-05 2019-07-02 Verizon Patent And Licensing Inc. Authenticating mobile devices
US10592864B2 (en) 2016-04-28 2020-03-17 Microsoft Technology Licensing, Llc Share token issuance for declarative document authoring
US10402808B1 (en) * 2016-12-02 2019-09-03 Worldpay, Llc Systems and methods for linking high-value tokens using a low-value token
US10404703B1 (en) 2016-12-02 2019-09-03 Worldpay, Llc Systems and methods for third-party interoperability in secure network transactions using tokenized data
CN112383663B (zh) * 2019-05-08 2022-03-04 华为技术有限公司 一种显示的方法及设备
US11469894B2 (en) * 2019-05-20 2022-10-11 Citrix Systems, Inc. Computing system and methods providing session access based upon authentication token with different authentication credentials
JP7301668B2 (ja) * 2019-08-07 2023-07-03 キヤノン株式会社 システム、制御方法、プログラム
CN111259356B (zh) * 2020-02-17 2022-09-02 北京百度网讯科技有限公司 授权方法、辅助授权组件、管理服务器和计算机可读介质
CN114844686B (zh) * 2022-04-14 2023-05-26 重庆长安汽车股份有限公司 一种基于局域网服务总线的授权系统和授权方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710640A (zh) * 2012-05-31 2012-10-03 中国联合网络通信集团有限公司 请求授权的方法、装置和系统
CN102902900A (zh) * 2012-09-19 2013-01-30 无锡华御信息技术有限公司 对外发文件的操作权限进行变更的方法及系统
US20130086645A1 (en) * 2011-09-29 2013-04-04 Oracle International Corporation Oauth framework
CN103685139A (zh) * 2012-08-30 2014-03-26 中兴通讯股份有限公司 认证授权处理方法及装置
WO2014130141A1 (en) * 2013-02-22 2014-08-28 Ping Identity Corporation Methods and apparatus for selecting an authentication mode at time of issuance of an access token

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6308273B1 (en) * 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
US6996620B2 (en) * 2002-01-09 2006-02-07 International Business Machines Corporation System and method for concurrent security connections
JP4449931B2 (ja) * 2006-03-30 2010-04-14 ブラザー工業株式会社 管理装置、および管理システム
JP2008083859A (ja) * 2006-09-26 2008-04-10 Toshiba Corp 仲介サーバ、通信仲介方法、通信仲介プログラム、および通信システム
US8776204B2 (en) 2010-03-12 2014-07-08 Alcatel Lucent Secure dynamic authority delegation
US9009810B2 (en) * 2010-05-28 2015-04-14 Nokia Corporation Method and apparatus for providing reactive authorization
US9455946B1 (en) * 2010-07-16 2016-09-27 Shoretel, Inc. Server for providing unified communications
US8474018B2 (en) * 2010-09-03 2013-06-25 Ebay Inc. Role-based attribute based access control (RABAC)
US9165134B2 (en) 2011-03-08 2015-10-20 Telefonica, S.A. Method for providing authorized access to a service application in order to use a protected resource of an end user
CN103139181B (zh) * 2011-12-01 2016-03-30 华为技术有限公司 一种开放式认证的授权方法、装置和系统
CN103188244B (zh) * 2011-12-31 2016-04-06 卓望数码技术(深圳)有限公司 基于开放授权协议实现授权管理的系统及方法
US9342667B2 (en) * 2012-11-21 2016-05-17 Verizon Patent And Licensing Inc. Extended OAuth architecture
US9038142B2 (en) * 2013-02-05 2015-05-19 Google Inc. Authorization flow initiation using short-term wireless communication
US8812857B1 (en) * 2013-02-21 2014-08-19 Dell Products, Lp Smart card renewal
US9130944B2 (en) * 2013-03-13 2015-09-08 Futurewei Technologies, Inc. Mechanism and protocol to authorize bilateral sessions between websites based on open authorization
US10362010B2 (en) * 2014-05-29 2019-07-23 Apple Inc. Management of credentials on an electronic device using an online resource
US9419962B2 (en) * 2014-06-16 2016-08-16 Adobe Systems Incorporated Method and apparatus for sharing server resources using a local group
US20150370272A1 (en) * 2014-06-23 2015-12-24 Google Inc. Intelligent configuration of a smart environment based on arrival time

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130086645A1 (en) * 2011-09-29 2013-04-04 Oracle International Corporation Oauth framework
CN102710640A (zh) * 2012-05-31 2012-10-03 中国联合网络通信集团有限公司 请求授权的方法、装置和系统
CN103685139A (zh) * 2012-08-30 2014-03-26 中兴通讯股份有限公司 认证授权处理方法及装置
CN102902900A (zh) * 2012-09-19 2013-01-30 无锡华御信息技术有限公司 对外发文件的操作权限进行变更的方法及系统
WO2014130141A1 (en) * 2013-02-22 2014-08-28 Ping Identity Corporation Methods and apparatus for selecting an authentication mode at time of issuance of an access token

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019137164A1 (zh) * 2018-01-15 2019-07-18 华为技术有限公司 一种授权撤回的方法及装置
US11275634B2 (en) 2018-01-15 2022-03-15 Huawei Technologies Co., Ltd. Authorization revocation method, and apparatus
US11734090B2 (en) 2018-01-15 2023-08-22 Huawei Technologies Co., Ltd. Authorization revocation method, and apparatus
CN108366132A (zh) * 2018-03-13 2018-08-03 平安普惠企业管理有限公司 服务器间的服务管理方法、装置、计算机设备和存储介质
CN110636043A (zh) * 2019-08-16 2019-12-31 中国人民银行数字货币研究所 一种基于区块链的文件授权访问方法、装置及系统
CN111625495A (zh) * 2020-04-30 2020-09-04 广东艾诗凯奇智能科技有限公司 存档数据的调用方法、电子设备及可读存储介质
CN111625495B (zh) * 2020-04-30 2023-12-29 未来穿戴技术有限公司 存档数据的调用方法、电子设备及可读存储介质
CN113642012A (zh) * 2020-05-11 2021-11-12 乌本产权有限公司 提供访问风能设施的电子密钥的方法和访问控制系统

Also Published As

Publication number Publication date
EP3226506B1 (en) 2019-10-23
US11201778B2 (en) 2021-12-14
WO2016095540A1 (zh) 2016-06-23
US20170288937A1 (en) 2017-10-05
EP3226506A4 (en) 2017-12-06
EP3226506A1 (en) 2017-10-04
CN105763514B (zh) 2019-11-29

Similar Documents

Publication Publication Date Title
CN105763514A (zh) 一种处理授权的方法、设备和系统
TWI706263B (zh) 信任登錄方法、伺服器及系統
US11625460B1 (en) Security platform
US9553858B2 (en) Hardware-based credential distribution
US11962593B2 (en) Identity management connecting principal identities to alias identities having authorization scopes
US8943571B2 (en) Method and apparatus for protecting a single sign-on domain from credential leakage
JP6574168B2 (ja) 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置
CN112597472B (zh) 单点登录方法、装置及存储介质
EP2463800B1 (en) System and method for associating a universal user identification and a domain specific user identification
US9268922B2 (en) Registration of devices in a digital rights management environment
CN103428179B (zh) 一种登录多域名网站的方法、系统以及装置
CN104954330A (zh) 一种对数据资源进行访问的方法、装置和系统
CN106330813A (zh) 一种处理授权的方法、设备和系统
US20150089632A1 (en) Application authentication checking system
EP3008876B1 (en) Roaming internet-accessible application state across trusted and untrusted platforms
CN103069742A (zh) 用于将密钥绑定到名称空间的的方法和装置
EP4264880A1 (en) Integration of legacy authentication with cloud-based authentication
CN110489957B (zh) 访问请求的管理方法和计算机存储介质
US11075922B2 (en) Decentralized method of tracking user login status
KR101803535B1 (ko) 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법
KR101839049B1 (ko) 서버단 세션 관리 방식 및 쿠키 정보 공유 방식을 병행 지원하는 싱글 사인온 인증 방법
KR20150117045A (ko) 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법
KR102062851B1 (ko) 토큰 관리 데몬을 이용한 싱글 사인 온 서비스 인증 방법 및 시스템
WO2020219641A1 (en) User authentication system
CN106936794B (zh) 一种用于更改秘钥的方法、装置及设置秘钥的方法、装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant