CN106230838A - 一种第三方应用访问资源的方法和装置 - Google Patents
一种第三方应用访问资源的方法和装置 Download PDFInfo
- Publication number
- CN106230838A CN106230838A CN201610632837.7A CN201610632837A CN106230838A CN 106230838 A CN106230838 A CN 106230838A CN 201610632837 A CN201610632837 A CN 201610632837A CN 106230838 A CN106230838 A CN 106230838A
- Authority
- CN
- China
- Prior art keywords
- token
- party application
- resource
- access request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Abstract
本发明实施例涉及通信领域,尤其涉及一种第三方应用访问资源的方法和装置,用于提高资源访问的安全性。本发明实施例中,第三方应用接收服务器发送的授权令牌;第三方应用确定资源访问请求对应的随机序列;第三方应用使用授权令牌对随机序列进行加密,得到访问令牌;第三方应用向服务器发送资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;访问令牌用于使服务器在使用授权令牌对访问令牌解密成功之后,向第三方应用发送待访问资源;第三方应用接收服务器发送的待访问资源。由于第三方应用使用授权令牌对随机序列进行加密,得到访问令牌,因此可防止第三方应用在向服务器发送资源访问请求时访问令牌被泄露。
Description
技术领域
本发明实施例涉及通信领域,尤其涉及一种第三方应用访问资源的方法和装置。
背景技术
在现有技术中,用户登录某一网站时,通常需要在该网站上注册登录账号并设置相应的登录密码;若用户需要登录多个网站,则需要注册多个相应的账号,使用户需要管理多个账号,给用户造成不便。
目前,OAuth是一个开放标准,允许用户提供一个授权令牌让第三方应用访问该用户在存放在服务器的资源,而无需将用户名和密码提供给第三方应用。每一个授权令牌只能访问一个服务器内的特定资源。具体的实施方式:
第三方应用向服务器申请授权令牌,经用户同意授权,服务器向第三方应用发送授权令牌,服务器发送的授权令牌是明文令牌。
第三方应用接收到授权令牌请求之后,将资源访问请求发送给服务器,服务器收到授权令牌和资源访问请求之后,验证授权令牌成功后,向第三方应用反馈结果。
由于在现有技术中授权令牌是明文令牌,安全性完全建立在通道安全的基础上,只要有一次调用过程中授权令牌泄露了,那么攻击者就可以使用令牌进行非法调用。
综上,亟需一种安全的第三方应用申请访问资源的方案,用于提高资源访问的安全性。
发明内容
本发明实施例提供了一种第三方应用访问资源的方法和装置,用于提高资源访问的安全性。
本发明实施例提供一种第三方应用访问资源的方法,包括:
第三方应用接收服务器发送的授权令牌;
第三方应用确定资源访问请求对应的随机序列;
第三方应用使用授权令牌对随机序列进行加密,得到访问令牌;
第三方应用向服务器发送资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;访问令牌用于使服务器在使用授权令牌对访问令牌解密成功之后,向第三方应用发送待访问资源;
第三方应用接收服务器发送的待访问资源。
可选地,第三方应用接收服务器发送的授权令牌之前,还包括:第三方应用向服务器发送密钥;
第三方应用接收服务器发送的授权令牌,包括:第三方应用接收服务器发送的申请令牌响应;其中,申请令牌响应中包括使用密钥进行加密的授权令牌;
第三方应用使用密钥对使用密钥进行加密的授权令牌进行解密,得到授权令牌。
可选地,第三方应用向服务器发送密钥,包括:第三方应用向服务器发送申请令牌请求;其中,申请令牌请求中包括密钥。
可选地,第三方应用向服务器发送密钥,包括:第三方应用向服务器发送申请认证请求;其中,申请认证请求中包括密钥;
第三方应用向服务器发送密钥之后,第三方应用接收服务器发送的授权令牌之前,还包括:第三方应用接收服务器发送的申请认证响应;其中,申请认证响应是服务器在接收到用户输入的授权指令之后生成的;授权码响应中包括授权码。
可选地,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
可选地,资源访问请求对应的随机序列包括:第三方应用标识和资源访问请求对应的流水号;
资源访问请求中还包括第三方应用标识和资源访问请求对应的流水号;
资源访问请求用于:使服务器在使用授权令牌对访问令牌解密成功之后,将对访问令牌解密所得到的第三方应用标识和资源访问请求对应的流水号与资源访问请求中包括的第三方应用标识和资源访问请求对应的流水号匹配成功之后,向第三方应用发送待访问资源。
可选地,申请令牌响应中还包括使用密钥进行加密的更新令牌;
第三方应用向服务器发送资源访问请求之后,还包括:第三方应用在确定访问令牌失效时,第三方应用使用更新令牌对随机序列进行加密,得到更新后的访问令牌;
第三方应用向服务器发送更新后的资源访问请求;其中,更新后的资源访问请求中包括更新后的访问令牌和待访问资源的标识;更新后的访问令牌用于使服务器在使用更新令牌对更新后的访问令牌解密成功之后,向第三方应用发送待访问资源。
本发明实施例提供一种第三方应用访问资源的方法,包括:
服务器向第三方应用发送授权令牌;
服务器接收第三方应用发送的资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;其中,访问令牌是第三方应用确定资源访问请求对应的随机序列;并使用授权令牌对随机序列进行加密之后得到的;
服务器在使用授权令牌对访问令牌解密成功之后,向第三方应用发送待访问资源。
可选地,服务器向第三方应用发送授权令牌之前,还包括:服务器接收第三方应用发送的密钥;
服务器向第三方应用发送授权令牌,包括:服务器使用密钥对授权令牌进行加密;服务器向第三方应用发送申请令牌响应;其中,申请令牌响应包括使用密钥进行加密的授权令牌;访问令牌用于使第三方应用使用密钥对使用密钥进行加密的授权令牌进行解密得的。
可选地,服务器接收第三方应用发送的密钥,包括:服务器接收第三方应用发送的申请令牌请求,其中,申请令牌请求中包括密钥。
可选地,服务器接收第三方应用发送的密钥,包括:服务器接收第三方应用发送的申请认证请求;其中,申请认证请求中包括密钥;
服务器接收第三方应用发送的密钥之后,服务器向第三方应用发送授权令牌之前,还包括:服务器根据申请认证请求,在接收到用户输入的授权指令之后生成申请认证响应;授权码响应中包括授权码;
服务器向第三方应用发送申请认证响应。
可选地,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
可选地,资源访问请求对应的随机序列包括:第三方应用标识和资源访问请求对应的流水号;
资源访问请求中还包括第三方应用标识和资源访问请求对应的流水号;
服务器在使用授权令牌对访问令牌解密成功之后,向第三方应用发送待访问资源,包括:服务器在使用授权令牌对访问令牌解密成功之后,得到第三方应用标识和资源访问请求对应的流水号;
服务器将对访问令牌解密所得到的第三方应用标识和资源访问请求对应的流水号,与资源访问请求中包括的第三方应用标识和资源访问请求对应的流水号进行匹配;
服务器在匹配成功之后,向第三方应用发送待访问资源。
可选地,申请令牌响应中还包括使用密钥进行加密的更新令牌;
服务器接收第三方应用发送的资源访问请求之后,还包括:
服务器接收第三方应用发送的更新后的访问令牌;其中,更新后的访问令牌是第三方应用在确定访问令牌失效时,使用更新令牌对随机序列进行加密得到的;
服务器接收第三方应用发送的更新后的资源访问请求;其中,更新后的资源访问请求中包括更新后的访问令牌和待访问资源的标识;
服务器在使用更新令牌对更新后的访问令牌解密成功之后,向第三方应用发送待访问资源。
本发明实施例提供一种第三方应用,包括:
接收单元,用于接收服务器发送的授权令牌;接收服务器发送的待访问资源;
处理单元,用于确定资源访问请求对应的随机序列;使用授权令牌对随机序列进行加密,得到访问令牌;
发送单元,用于向服务器发送资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;访问令牌用于使服务器在使用授权令牌对访问令牌解密成功之后,向第三方应用发送待访问资源。
可选地发送单元,还用于:向服务器发送密钥;
接收单元,用于:接收服务器发送的申请令牌响应;其中,申请令牌响应中包括使用密钥进行加密的授权令牌;
处理单元,还用于:使用密钥对使用密钥进行加密的授权令牌进行解密,得到授权令牌。
可选地,发送单元,用于:发送申请令牌请求;其中,申请令牌请求中包括密钥。
可选地,发送单元,用于:向服务器发送申请认证请求;其中,申请认证请求中包括密钥;
接收单元,还用于:接收服务器发送的申请认证响应;其中,申请认证响应是服务器在接收到用户输入的授权指令之后生成的;授权码响应中包括授权码。
可选地,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
可选地,资源访问请求对应的随机序列包括:第三方应用标识和资源访问请求对应的流水号;
资源访问请求中还包括第三方应用标识和资源访问请求对应的流水号;
资源访问请求用于:使服务器在使用授权令牌对访问令牌解密成功之后,将对访问令牌解密所得到的第三方应用标识和资源访问请求对应的流水号与资源访问请求中包括的第三方应用标识和资源访问请求对应的流水号匹配成功之后,向接收单元发送待访问资源。
可选地,申请令牌响应中还包括使用密钥进行加密的更新令牌;
处理单元,还用于:在确定访问令牌失效时,使用更新令牌对随机序列进行加密,得到更新后的访问令牌;
发送单元,用于:向服务器发送更新后的资源访问请求;其中,更新后的资源访问请求中包括更新后的访问令牌和待访问资源的标识;更新后的访问令牌用于使服务器在使用更新令牌对更新后的访问令牌解密成功之后,向接收单元发送待访问资源。
本发明实施例提供一种服务器,包括:
发送单元,用于向第三方应用发送授权令牌;发送待访问资源;
接收单元,用于接收第三方应用发送的资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;其中,访问令牌是第三方应用确定资源访问请求对应的随机序列;并使用授权令牌对随机序列进行加密之后得到的;
处理单元,用于在使用授权令牌对访问令牌解密成功之后,通过发送单元向第三方应用发送待访问资源。
可选地,接收单元,还用于:接收第三方应用发送的密钥;
处理单元,用于:使用密钥对授权令牌进行加密;
发送单元,用于:向第三方应用发送申请令牌响应;其中,申请令牌响应包括使用密钥进行加密的授权令牌;访问令牌用于使第三方应用使用密钥对使用密钥进行加密的授权令牌进行解密得的。
可选地,接收单元,用于:接收第三方应用发送的申请令牌请求,其中,申请令牌请求中包括密钥。
可选地,接收单元,用于:接收第三方应用发送的申请认证请求;其中,申请认证请求中包括密钥;还用于:根据申请认证请求,在接收到用户输入的授权指令之后生成申请认证响应;授权码响应中包括授权码;
发送单元,还用于:向第三方应用发送申请认证响应。
可选地,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
可选地,资源访问请求对应的随机序列包括:第三方应用标识和资源访问请求对应的流水号;
资源访问请求中还包括第三方应用标识和资源访问请求对应的流水号;
处理单元,用于:在使用授权令牌对访问令牌解密成功之后,得到第三方应用标识和资源访问请求对应的流水号;
处理单元,用于:将对访问令牌解密所得到的第三方应用标识和资源访问请求对应的流水号,与资源访问请求中包括的第三方应用标识和资源访问请求对应的流水号进行匹配;
在匹配成功之后,通过发送单元向第三方应用发送待访问资源。
可选地,申请令牌响应中还包括使用密钥进行加密的更新令牌;
接收单元,还用于:接收第三方应用发送的更新后的访问令牌;其中,更新后的访问令牌是第三方应用在确定访问令牌失效时,使用更新令牌对随机序列进行加密得到的;
接收第三方应用发送的更新后的资源访问请求;其中,更新后的资源访问请求中包括更新后的访问令牌和待访问资源的标识;
处理单元,还用于:在使用更新令牌对更新后的访问令牌解密成功之后,通过发送单元向第三方应用发送待访问资源。
本发明实施例中,第三方应用接收服务器发送的授权令牌;第三方应用确定资源访问请求对应的随机序列;第三方应用使用授权令牌对随机序列进行加密,得到访问令牌;第三方应用向服务器发送资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;访问令牌用于使服务器在使用授权令牌对访问令牌解密成功之后,向第三方应用发送待访问资源;第三方应用接收服务器发送的待访问资源。由于本发明实施例中第三方应用使用授权令牌对随机序列进行加密,得到访问令牌;当第三方应用向服务器发送资源访问请求时,资源访问请求中包括的访问令牌是使用授权令牌对随机序列加密后的令牌密文,防止第三方应用在向服务器发送资源访问请求时访问令牌被泄露;而且,由于访问令牌是令牌密文,即使令牌被窃取,也无法获得真实的令牌,无法进行窃取或者破坏。
附图说明
图1为本发明实施例提供的一种通信系统的架构示意图;
图2为本发明实施例提供的一种第三方应用访问资源的方法流程示意图;
图2a为本发明实施例提供的另一种第三方应用访问资源的方法流程示意图;
图3为本发明实施例提供的一种第三方应用的结构示意图;
图4为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示出了应用本发明实施例的一种通信系统的架构示意图。如图1所示,该系统架构可以包括服务器101、终端102以及第三方应用103。第三方应用可安装于终端上。终端与服务器之间,或者第三方应用与服务器之间可通过无线或有线的方式进行连接。
服务器101存储有第三方应用需要访问的资源。服务器101可以是用于与终端设备进行通信的网络设备。第三方应用可以是应用程序(Accelerated Parallel Processing,简称APP)等等。第三方应用可以安装于终端上。
终端102可以经无线接入网(Radio Access Network,简称RAN)与一个或多个核心网进行通信,终端设备可以指用户设备(User Equipment,简称UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol,简称SIP)电话、无线本地环路(Wireless Local Loop,简称WLL)站、个人数字处理(Personal Digital Assistant,简称PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的终端设备等。
基于图1所示的系统架构,图2示例性示出了本发明实施例提供的一种第三方应用访问资源的方法流程示意图,如图2所示,该第三方应用访问资源的方法包括以下步骤:
步骤2001,服务器向第三方应用发送授权令牌;
步骤2002,第三方应用接收服务器发送的授权令牌;
步骤2003,第三方应用确定资源访问请求对应的随机序列;使用授权令牌对随机序列进行加密,得到访问令牌;
步骤2004,第三方应用向服务器发送资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;访问令牌用于使服务器在使用授权令牌对访问令牌解密成功之后,向第三方应用发送待访问资源;
步骤2005,服务器接收第三方应用发送的资源访问请求;其中,访问令牌是第三方应用确定资源访问请求对应的随机序列;并使用授权令牌对随机序列进行加密之后得到的;
步骤2006,服务器在使用授权令牌对访问令牌解密成功;
步骤2007,服务器向第三方应用发送待访问资源;
步骤2008,第三方应用接收服务器发送的待访问资源。
由于本发明实施例中第三方应用使用授权令牌对随机序列进行加密,得到访问令牌;当第三方应用向服务器发送资源访问请求时,资源访问请求中包括的访问令牌是使用授权令牌对随机序列加密后的令牌密文,防止第三方应用在向服务器发送资源访问请求时访问令牌被泄露;而且,由于访问令牌是令牌密文,即使令牌被窃取,也无法获得真实的令牌,无法进行窃取或者破坏。
进一步,由于本发明实施例中随机序列是不断变化的,因此使用授权令牌对多个随机序列进行加密,生成的多个访问令牌也是不同的,即访问令牌从现有技术的固定令牌明文变成了一次性使用的令牌密文,从而防止访问令牌被窃取、重放,极大的提升了安全性。
可选地,本发明实施例中,为了进一步提高授权令牌的安全性,以避免授权令牌在传输过程中被截获,可选地,服务器向第三方应用发送的授权令牌也是使用密钥加密的,如此,一旦其它人截获了服务器向第三方应用发送的授权令牌,由于没有密钥,因而也无法正确对授权令牌进行解密,从而无法使用。具体实施中,第三方应用和服务器之间传输的授权令牌进行加密的方案有很多种,比如第三方应用与服务器约定一个密钥;或者第三方应用和服务器约定一个密钥生成规则,根据当前情况分别生成密钥;或者服务器通过两条命令分别发送给第三方应用密钥和使用密钥加密的授权令牌等等。
本发明实施例提供一种可选地实施方案,第三方应用接收服务器发送的授权令牌之前,第三方应用向服务器发送密钥;第三方应用接收服务器发送的申请令牌响应;其中,申请令牌响应中包括使用密钥进行加密的授权令牌;第三方应用使用密钥对使用密钥进行加密的授权令牌进行解密,得到授权令牌。
相应地,可选地,服务器向第三方应用发送授权令牌之前,服务器接收第三方应用发送的密钥;服务器使用密钥对授权令牌进行加密;服务器向第三方应用发送申请令牌响应;其中,申请令牌响应包括使用密钥进行加密的授权令牌;访问令牌用于使第三方应用使用密钥对使用密钥进行加密的授权令牌进行解密得的。
通过上述方案,本发明实施例中第三方应用先向服务器发送一个密钥,之后服务器使用该密钥对授权令牌进行加密,并向第三方应用发送加密后的授权令牌。第三方应用使用密钥对接收到的加密后的授权令牌进行解密,从而得到授权令牌。可见,在该过程中,授权令牌的传输也是加密传输,从而进一步提高了资源访问请求的安全性。由于第三方应用仅仅以明文传输了一次密钥,后续密钥明文都不出现。提升了第三方应用访问资源的安全性。
上述方案中,第三方应用可以通过一条新的命令将密钥发送给服务器,也可为了更好的与现有的标准兼容,将密钥放在授权令牌之前的某一个命令中进行传输。本发明实施例提供以下实现方式一和实现方式二两种可选地实现方式。
实现方式一
第三方应用向服务器发送密钥,第三方应用向服务器发送申请令牌请求;其中,申请令牌请求中包括密钥。相应地,服务器接收第三方应用发送的申请令牌请求,其中,申请令牌请求中包括密钥。
可选地,第三方应用可以申请一次授权令牌,发送一个密钥。两次申请授权令牌的过程中所发送的两个密钥可以相同,也可不同。具体来说,第三方应用向服务器发送申请令牌请求,服务器向第三方应用返回第三方应用。服务器接收到申请令牌请求中携带的密钥,可以快速的与授权令牌进行匹配,并使用密钥对授权令牌进行加密。
实现方式二
第三方应用向服务器发送申请认证请求;其中,申请认证请求中包括密钥;第三方应用向服务器发送密钥之后,第三方应用接收服务器发送的授权令牌之前,第三方应用接收服务器发送的申请认证响应;其中,申请认证响应是服务器在接收到用户输入的授权指令之后生成的;授权码响应中包括授权码。
相应地,服务器接收第三方应用发送的申请认证请求;其中,申请认证请求中包括密钥;服务器接收第三方应用发送的密钥之后,服务器向第三方应用发送授权令牌之前,服务器根据申请认证请求,在接收到用户输入的授权指令之后生成申请认证响应;授权码响应中包括授权码;服务器向第三方应用发送申请认证响应。
具体实施中,第三方应用在发送申请令牌请求之前,第三方应用需要先向服务器发送申请认证请求,该申请认证请求用于获取授权码。第三方应用获取到授权码之后,将授权码携带于申请令牌请求中,以便于服务器接收到申请令牌请求后,在对授权码进行校核成功之后,向第三方应用发送授权令牌。该实施方式中,可选地,第三方应用可以申请一次授权令牌,发送一个密钥。两次申请授权令牌的过程中所发送的两个密钥可以相同,也可不同。为了更好的与现有标准中第三方应用与服务器之间的命令传输过程相兼容,本发明实施例中将密钥携带于申请认证请求中。
可选地,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列可以相同,也可不同。具体实施中,随机序列是动态变化的数据,比如流水号、随机号。若第三方应用使用该授权令牌去服务器申请待访问资源,在授权令牌的有效期间内,第三方应用可依据授权令牌,和多个不同的随机序列,生成多个不同的访问令牌。可见,相比现有技术中的第三方应用在授权令牌有效期间将授权令牌以明文的方式发送给服务器,本发明实施例中,在授权令牌有效期间,第三方应用可向服务器发送多次访问令牌,且任两个访问令牌均是使用授权令牌对两个不同的随机序列进行加密得到的,因此每个访问令牌均不同,进一步提高了资源访问过程的安全性。
可选地,随机序列可根据一定的规则生成,如此,第三方应用和服务器均可以对应生成一致的随机序列。该规则可以有多种,比如根据服务器的标识、第三方应用标识或者发送资源访问请求的时间信息等等。本发明实施例中提供一种可选地实施方式,可选地,资源访问请求对应的随机序列包括:第三方应用标识和资源访问请求对应的流水号。可选地,第三方应用和服务器可以依据该随机序列的生成规则,分别根据第三方应用标识和资源访问请求对应的流水号生成随机序列。具体来说,第三方应用可以对自己所发送的资源访问请求的流水号进行记录,比如对一个月内或者一天内发送的第一个资源访问请求记录流水号为001;对第二个资源访问请求记录流水号为002。服务器也可对接收到的资源访问请求进行记录,并且记录资源访问请求的流水号,比如对一个月内或者一天内发送的第一个资源访问请求记录流水号为001;对第二个资源访问请求记录流水号为002。服务器和第三方应用针对一个资源访问请求所生成的该资源访问请求对应的流水号是相同的。
另一种可选地实施方式中,资源访问请求中还包括第三方应用标识和资源访问请求对应的流水号。也就是说,第三方应用将随机序列以明文的方式发送给服务器,如此可以减少服务器所做的工作。资源访问请求用于:使服务器在使用授权令牌对访问令牌解密成功之后,将对访问令牌解密所得到的第三方应用标识和资源访问请求对应的流水号与资源访问请求中包括的第三方应用标识和资源访问请求对应的流水号匹配成功之后,向第三方应用发送待访问资源。
相应地,服务器在使用授权令牌对访问令牌解密成功之后,得到第三方应用标识和资源访问请求对应的流水号;服务器将对访问令牌解密所得到的第三方应用标识和资源访问请求对应的流水号,与资源访问请求中包括的第三方应用标识和资源访问请求对应的流水号进行匹配;服务器在匹配成功之后,向第三方应用发送待访问资源。
具体实施中,每个授权令牌都有一定的有效期,比如一个授权令牌的有效期为5分钟,5分钟后该授权令牌失效,则第三方应用再使用该授权令牌发送资源访问请求,服务器将不再向第三方应用发送待访问的资源。若第三方应用再当前的授权令牌失效之后,希望再次申请待访问的资源,则第三方应用需要重新执行上述方法流程,向服务器重新申请令牌。为了减轻网络负荷,减少信令开销,本发明实施例中,可选地,第三方应用在向服务器申请授权令牌时,服务器向第三方应用返回一个可以当前使用授权令牌,还为第三方应用返回一个可以在授权令牌失效之后可以使用的更新令牌。也就是说,更新令牌为第二个授权令牌。
可选地,申请令牌响应中还包括使用密钥进行加密的更新令牌;第三方应用向服务器发送资源访问请求之后,第三方应用在确定访问令牌失效时,第三方应用使用更新令牌对随机序列进行加密,得到更新后的访问令牌;第三方应用向服务器发送更新后的资源访问请求;其中,更新后的资源访问请求中包括更新后的访问令牌和待访问资源的标识;更新后的访问令牌用于使服务器在使用更新令牌对更新后的访问令牌解密成功之后,向第三方应用发送待访问资源。
相应地,服务器接收第三方应用发送的资源访问请求之后,服务器接收第三方应用发送的更新后的访问令牌;其中,更新后的访问令牌是第三方应用在确定访问令牌失效时,第三方应用使用更新令牌对随机序列进行加密得到的;服务器接收第三方应用发送的更新后的资源访问请求;其中,更新后的资源访问请求中包括更新后的访问令牌和待访问资源的标识;服务器在使用更新令牌对更新后的访问令牌解密成功之后,向第三方应用发送待访问资源。
为了更清楚的介绍上述方法流程,图2a示例性示出了本发明实施例提供的另一种第三方应用访问资源的方法。该实施例中服务器可为某个数据库,比如银联系统的数据库等等。
用户现在服务器上进行注册认证,之后用户在使用第三方应用时,可以通过第三方应用访问用户存储在服务器上的数据。举个例子,比如用户在银联服务器上存储有信用卡账单,用户可通过第三方应用支付宝访问自己存储在银联服务器上存储的信用卡账单,而不必使用户再使用银联服务器上所注册的登录名和密码登陆银联服务器。可见,该方案很大程度上方便了用户,改善了用户的体验。第三方应用从服务器上申请到待访问资源的过程见下述内容。
如图2a所示,该方法包括:
步骤2101,用户登录第三方应用。
具体来说,用户使用自己在第三方应用上注册的账号名和密码登陆第三方应用;可选地,用户可以以网页或者通过终端的APP登陆第三方应用。
步骤2102,第三方应用向服务器发送申请认证请求,并将用户导向服务器。
第三方应用确定用户需要通过第三方应用访问服务器上的待访问资源时,一方面,第三方应用向服务器发送申请认证请求。
其中,申请认证请求中可包括以下参数:
响应类型(response_type):用于获取授权码;
身份标识(client_id):第三方应用标识(Identification,简称ID);
重定向链接(redirect_uri):重定向链接;可为重定向统一资源定位器(UniformResource Locator,简称URL);
范围(scope):第三方应用申请权限的范围;
状态(state):当前第三方应用的状态参数;密钥;用户自定义的字符串。
另一方面,第三方应用将用户导向服务器,具体来说,第三方应用上出现一个页面,页面上出现选择项,用户可以在该页面上选择同意授权第三方应用去服务器访问待访问资源,也可选择不同意授权第三方应用去服务器访问待访问资源。
步骤2103,服务器向第三方应用发送申请认证响应。
若用户选择不同意授权第三方应用去服务器访问待访问资源,则申请认证响应包括:
错误(error):服务器返回的错误信息;
错误描述(error_description):对错误信息的描述;
错误链接(error_uri):对于错误信息的附加信息。
若用户选择同意授权第三方应用去服务器访问待访问资源,则则申请认证响应包括:
代码(code):认证中心产生的授权码,授权码的有效期为10分钟,应用拿到后只能使用一次;授权码与应用ID以及重定向URL一一对应;
状态(state):申请认证请求中状态中的除密钥之外的参数,即包括当前第三方应用的状态参数和用户自定义的字符串。
步骤2104,若第三方应用接收到的申请认证响应中包括授权码,则第三方应用向服务器发送申请令牌请求。
申请令牌请求可包括以下参数:
授权模式(grant_type):值是授权码模式(authorization_code);可选的Oauth2.0标准中有四种授权方式,分别为:授权码模式(authorization_code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(clientcredentials);本发明实施例中可选地申请令牌请求中包括授权码模式;
代码(code):申请认证响应中的授权码;
重定向链接(redirect_uri):表示重定向链接;与申请认证请求中的重定向链接一致;
身份标识(client_id):表示第三方应用标识。
步骤2105,服务器向第三方应用反馈申请令牌响应。
具体来说,服务器接收到申请令牌请求之后,首先验证应用合法性。比如验证申请令牌请求中的验证码是否与发送的申请认证响应中的验证码一致。可选地,还可验证申请令牌请求中的第三方应用标识,以保证第三方应用为合法用户等等。其次验证申请令牌请求中的重定向链接是否与接收到的申请认证请求中的重定向连接一致。服务器在对申请令牌请求验证通过后,向第三方应用反馈申请令牌响应。
其中,申请令牌响应包括:
访问令牌(access_token):使用接收到的申请认证请求中的密钥加密的授权令牌;可选地,可使用3DES加密算法;
令牌类型(token_type):授权令牌类型;
到期(expires_in):授权令牌有效时间;
更新令牌(refresh_token):使用接收到的申请认证请求中的密钥加密的更新令牌;可选地,可使用3DES加密算法;
范围(scope):第三方应用申请权限的范围。
可选地,服务器可以将自己对授权令牌进行加密时所使用的加密算法的标识发送给第三方应用,也可预先与第三方应用约定所使用的加密算法,以使第三方应用在接收到加密后的授权令牌时,可以正确使用密钥进行解密。
步骤2106,第三方应用向服务器发送资源访问请求。
具体来说,第三方应用接收到服务器发送的申请认证响应之后,使用密钥解密,得到授权令牌和更新令牌。第三方应用向服务器发送资源访问请求。
其中,资源访问请求中包括:
身份标识(client_id):第三方应用标识;
流水号(serial_no):该资源访问请求对应的流水号;
访问令牌(access_token):访问令牌;其中,访问令牌为使用授权令牌对第三方应用标识和该资源访问请求对应的流水号进行加密得到的;
数据(data):业务数据;比如,包括待访问资源的标识。
步骤2107,服务器接收到资源访问请求后向第三方应用反馈待访问资源。
服务器接收到资源访问请求之后,使用授权令牌对资源访问请求中的访问令牌进行解密,得到第三方应用标识和该资源访问请求对应的流水号,并将得到的第三方应用标识和该资源访问请求对应的流水号与资源访问请求中包括的第三方应用标识和该资源访问请求对应的流水号进行匹配,在确定匹配成功时,服务器向第三方应用返回待访问资源,也可称为包括待访问资源的业务数据。
若匹配失败,则服务器向第三方应用返回的结果可包括以下参数:
错误(error)error:服务器返回的错误信息;
错误描述error_description):对错误信息的描述;
错误链接(error_uri):对于错误信息的附加信息。
步骤2108,第三方应用向服务器发送更新后的资源访问请求。
第三方应用在确定访问令牌失效时,第三方应用使用更新令牌对随机序列进行加密,得到更新后的访问令牌。第三方应用向服务器发送更新后的资源访问请求。
其中,更新后的资源访问请求中包括:
身份标识(client_id):第三方应用标识;
流水号(serial_no):该更新后的资源访问请求对应的流水号;
访问令牌(access_token):更新后的访问令牌;其中,更新后的访问令牌为使用更新令牌对第三方应用标识和该更新后的资源访问请求对应的流水号进行加密得到的;
数据(data):业务数据;比如,包括待访问资源的标识。
步骤2109,服务器接收到资源访问请求后向第三方应用反馈更新后的待访问资源。
服务器接收到更新后的资源访问请求之后,使用更新令牌对更新后的资源访问请求中的访问令牌进行解密,得到第三方应用标识和该更新后的资源访问请求对应的流水号,并将得到的第三方应用标识和该更新后的资源访问请求对应的流水号与资源访问请求中包括的第三方应用标识和该更新后的资源访问请求对应的流水号进行匹配,在确定匹配成功时,服务器向第三方应用返回待访问资源,也可称为包括待访问资源的业务数据。
若匹配失败,则服务器向第三方应用返回的结果可包括以下参数:
错误(error):服务器返回的错误信息;
错误描述error_description):对错误信息的描述;
错误链接(error_uri):对于错误信息的附加信息。
从上述内容可以看出:本发明实施例中,由于本发明实施例中第三方应用使用授权令牌对随机序列进行加密,得到访问令牌;当第三方应用向服务器发送资源访问请求时,资源访问请求中包括的访问令牌是使用授权令牌对随机序列加密后的令牌密文,防止第三方应用在向服务器发送资源访问请求时访问令牌被泄露;而且,由于访问令牌是令牌密文,即使令牌被窃取,也无法获得真实的令牌,无法进行窃取或者破坏。图3示例性示出了本发明实施例提供的一种第三方应用的结构示意图。
基于相同构思,本发明实施例提供一种第三方应用,如图3所示,第三方应用300包括接收单元301、处理单元302和发送单元303。其中:
接收单元,用于接收服务器发送的授权令牌;接收服务器发送的待访问资源;
处理单元,用于确定资源访问请求对应的随机序列;使用授权令牌对随机序列进行加密,得到访问令牌;
发送单元,用于向服务器发送资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;访问令牌用于使服务器在使用授权令牌对访问令牌解密成功之后,向第三方应用发送待访问资源。
可选地,发送单元,还用于:向服务器发送密钥;
接收单元,用于:接收服务器发送的申请令牌响应;其中,申请令牌响应中包括使用密钥进行加密的授权令牌;
处理单元,还用于:使用密钥对使用密钥进行加密的授权令牌进行解密,得到授权令牌。
可选地,发送单元,用于:发送申请令牌请求;其中,申请令牌请求中包括密钥。
可选地,发送单元,用于:向服务器发送申请认证请求;其中,申请认证请求中包括密钥;
接收单元,还用于:接收服务器发送的申请认证响应;其中,申请认证响应是服务器在接收到用户输入的授权指令之后生成的;授权码响应中包括授权码。
可选地,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
可选地,资源访问请求对应的随机序列包括:第三方应用标识和资源访问请求对应的流水号;资源访问请求中还包括第三方应用标识和资源访问请求对应的流水号;
资源访问请求用于:使服务器在使用授权令牌对访问令牌解密成功之后,将对访问令牌解密所得到的第三方应用标识和资源访问请求对应的流水号与资源访问请求中包括的第三方应用标识和资源访问请求对应的流水号匹配成功之后,向接收单元发送待访问资源。
可选地,申请令牌响应中还包括使用密钥进行加密的更新令牌;
处理单元,还用于:在确定访问令牌失效时,使用更新令牌对随机序列进行加密,得到更新后的访问令牌;
发送单元,用于:向服务器发送更新后的资源访问请求;其中,更新后的资源访问请求中包括更新后的访问令牌和待访问资源的标识;更新后的访问令牌用于使服务器在使用更新令牌对更新后的访问令牌解密成功之后,向接收单元发送待访问资源。
从上述内容可以看出:本发明实施例中,由于本发明实施例中第三方应用使用授权令牌对随机序列进行加密,得到访问令牌;当第三方应用向服务器发送资源访问请求时,资源访问请求中包括的访问令牌是使用授权令牌对随机序列加密后的令牌密文,防止第三方应用在向服务器发送资源访问请求时访问令牌被泄露;而且,由于访问令牌是令牌密文,即使令牌被窃取,也无法获得真实的令牌,无法进行窃取或者破坏。
图4示例性示出了本发明实施例提供的一种服务器的结构示意图。
基于相同构思,本发明实施例提供一种服务器,如图4所示,服务器400包括接收单元401、处理单元402和发送单元403。其中:
发送单元,用于向第三方应用发送授权令牌;发送待访问资源;
接收单元,用于接收第三方应用发送的资源访问请求;其中,资源访问请求中包括访问令牌和待访问资源的标识;其中,访问令牌是第三方应用确定资源访问请求对应的随机序列;并使用授权令牌对随机序列进行加密之后得到的;
处理单元,用于在使用授权令牌对访问令牌解密成功之后,通过发送单元向第三方应用发送待访问资源。
可选地,接收单元,还用于:接收第三方应用发送的密钥;处理单元,用于:使用密钥对授权令牌进行加密;
发送单元,用于:向第三方应用发送申请令牌响应;其中,申请令牌响应包括使用密钥进行加密的授权令牌;访问令牌用于使第三方应用使用密钥对使用密钥进行加密的授权令牌进行解密得的。
可选地,接收单元,用于:接收第三方应用发送的申请令牌请求,其中,申请令牌请求中包括密钥。
可选地,接收单元,用于:接收第三方应用发送的申请认证请求;其中,申请认证请求中包括密钥;
接收单元,还用于:根据申请认证请求,在接收到用户输入的授权指令之后生成申请认证响应;授权码响应中包括授权码;
发送单元,还用于:向第三方应用发送申请认证响应。
可选地,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
可选地,资源访问请求对应的随机序列包括:第三方应用标识和资源访问请求对应的流水号;资源访问请求中还包括第三方应用标识和资源访问请求对应的流水号;
处理单元,用于:在使用授权令牌对访问令牌解密成功之后,得到第三方应用标识和资源访问请求对应的流水号;
处理单元,用于:将对访问令牌解密所得到的第三方应用标识和资源访问请求对应的流水号,与资源访问请求中包括的第三方应用标识和资源访问请求对应的流水号进行匹配;在匹配成功之后,通过发送单元向第三方应用发送待访问资源。
可选地,申请令牌响应中还包括使用密钥进行加密的更新令牌;
接收单元,还用于:接收第三方应用发送的更新后的访问令牌;其中,更新后的访问令牌是第三方应用在确定访问令牌失效时,使用更新令牌对随机序列进行加密得到的;接收第三方应用发送的更新后的资源访问请求;其中,更新后的资源访问请求中包括更新后的访问令牌和待访问资源的标识;
处理单元,还用于:在使用更新令牌对更新后的访问令牌解密成功之后,通过发送单元向第三方应用发送待访问资源。
从上述内容可以看出:本发明实施例中,由于本发明实施例中第三方应用使用授权令牌对随机序列进行加密,得到访问令牌;当第三方应用向服务器发送资源访问请求时,资源访问请求中包括的访问令牌是使用授权令牌对随机序列加密后的令牌密文,防止第三方应用在向服务器发送资源访问请求时访问令牌被泄露;而且,由于访问令牌是令牌密文,即使令牌被窃取,也无法获得真实的令牌,无法进行窃取或者破坏。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (28)
1.一种第三方应用访问资源的方法,其特征在于,包括:
第三方应用接收服务器发送的授权令牌;
所述第三方应用确定资源访问请求对应的随机序列;
所述第三方应用使用所述授权令牌对所述随机序列进行加密,得到访问令牌;
所述第三方应用向所述服务器发送所述资源访问请求;其中,所述资源访问请求中包括所述访问令牌和待访问资源的标识;所述访问令牌用于使所述服务器在使用所述授权令牌对所述访问令牌解密成功之后,向所述第三方应用发送所述待访问资源;
所述第三方应用接收所述服务器发送的所述待访问资源。
2.如权利要求1所述的方法,其特征在于,所述第三方应用接收服务器发送的授权令牌之前,还包括:
所述第三方应用向所述服务器发送密钥;
所述第三方应用接收服务器发送的授权令牌,包括:
所述第三方应用接收所述服务器发送的申请令牌响应;其中,所述申请令牌响应中包括使用所述密钥进行加密的授权令牌;
所述第三方应用使用所述密钥对使用所述密钥进行加密的所述授权令牌进行解密,得到所述授权令牌。
3.如权利要求2所述的方法,其特征在于,所述第三方应用向服务器发送密钥,包括:
所述第三方应用向所述服务器发送申请令牌请求;其中,所述申请令牌请求中包括所述密钥。
4.如权利要求2所述的方法,其特征在于,所述第三方应用向服务器发送密钥,包括:
所述第三方应用向所述服务器发送申请认证请求;其中,所述申请认证请求中包括所述密钥;
所述第三方应用向服务器发送密钥之后,所述第三方应用接收服务器发送的授权令牌之前,还包括:
所述第三方应用接收所述服务器发送的申请认证响应;其中,所述申请认证响应是所述服务器在接收到用户输入的授权指令之后生成的;所述授权码响应中包括授权码。
5.如权利要求1所述的方法,其特征在于,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
6.如权利要求1所述的方法,其特征在于,所述资源访问请求对应的所述随机序列包括:所述第三方应用标识和所述资源访问请求对应的流水号;
所述资源访问请求中还包括所述第三方应用标识和所述资源访问请求对应的流水号;
所述资源访问请求用于:使所述服务器在使用所述授权令牌对所述访问令牌解密成功之后,将对所述访问令牌解密所得到的所述第三方应用标识和所述资源访问请求对应的流水号与所述资源访问请求中包括的所述第三方应用标识和所述资源访问请求对应的流水号匹配成功之后,向所述第三方应用发送所述待访问资源。
7.如权利要求2所述的方法,其特征在于,所述申请令牌响应中还包括使用所述密钥进行加密的更新令牌;
所述第三方应用向所述服务器发送所述资源访问请求之后,还包括:
所述第三方应用在确定所述访问令牌失效时,所述第三方应用使用所述更新令牌对所述随机序列进行加密,得到更新后的访问令牌;
所述第三方应用向所述服务器发送更新后的资源访问请求;其中,所述更新后的资源访问请求中包括所述更新后的访问令牌和所述待访问资源的标识;所述更新后的访问令牌用于使所述服务器在使用所述更新令牌对所述更新后的访问令牌解密成功之后,向所述第三方应用发送所述待访问资源。
8.一种第三方应用访问资源的方法,其特征在于,包括:
服务器向第三方应用发送授权令牌;
所述服务器接收所述第三方应用发送的资源访问请求;其中,所述资源访问请求中包括所述访问令牌和待访问资源的标识;其中,所述访问令牌是所述第三方应用确定资源访问请求对应的随机序列;并使用所述授权令牌对所述随机序列进行加密之后得到的;
所述服务器在使用所述授权令牌对所述访问令牌解密成功之后,向所述第三方应用发送所述待访问资源。
9.如权利要求8所述的方法,其特征在于,所述服务器向所述第三方应用发送所述授权令牌之前,还包括:
所述服务器接收所述第三方应用发送的密钥;
所述服务器向所述第三方应用发送授权令牌,包括:
所述服务器使用所述密钥对所述授权令牌进行加密;
所述服务器向所述第三方应用发送申请令牌响应;其中,所述申请令牌响应包括使用所述密钥进行加密的授权令牌;所述访问令牌用于使所述第三方应用使用所述密钥对使用所述密钥进行加密的所述授权令牌进行解密得的。
10.如权利要求9所述的方法,其特征在于,所述服务器接收所述第三方应用发送的密钥,包括:
所述服务器接收所述第三方应用发送的申请令牌请求,其中,所述申请令牌请求中包括所述密钥。
11.如权利要求9所述的方法,其特征在于,所述服务器接收所述第三方应用发送的密钥,包括:
所述服务器接收所述第三方应用发送的申请认证请求;其中,所述申请认证请求中包括所述密钥;
所述服务器接收所述第三方应用发送的密钥之后,所述服务器向第三方应用发送授权令牌之前,还包括:
所述服务器根据所述申请认证请求,在接收到用户输入的授权指令之后生成所述申请认证响应;所述授权码响应中包括授权码;
所述服务器向所述第三方应用发送申请认证响应。
12.如权利要求8所述的方法,其特征在于,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
13.如权利要求8所述的方法,其特征在于,所述资源访问请求对应的随机序列包括:所述第三方应用标识和所述资源访问请求对应的流水号;
所述资源访问请求中还包括所述第三方应用标识和所述资源访问请求对应的流水号;
所述服务器在使用所述授权令牌对所述访问令牌解密成功之后,向所述第三方应用发送所述待访问资源,包括:
所述服务器在使用所述授权令牌对所述访问令牌解密成功之后,得到所述第三方应用标识和所述资源访问请求对应的流水号;
所述服务器将对所述访问令牌解密所得到的所述第三方应用标识和所述资源访问请求对应的流水号,与所述资源访问请求中包括的所述第三方应用标识和所述资源访问请求对应的流水号进行匹配;
所述服务器在匹配成功之后,向所述第三方应用发送所述待访问资源。
14.如权利要求9所述的方法,其特征在于,所述申请令牌响应中还包括使用所述密钥进行加密的更新令牌;
所述服务器接收所述第三方应用发送的所述资源访问请求之后,还包括:
所述服务器接收所述第三方应用发送的更新后的访问令牌;其中,所述更新后的访问令牌是所述第三方应用在确定所述访问令牌失效时,使用所述更新令牌对所述随机序列进行加密得到的;
所述服务器接收所述第三方应用发送的更新后的资源访问请求;其中,所述更新后的资源访问请求中包括所述更新后的访问令牌和所述待访问资源的标识;
所述服务器在使用所述更新令牌对所述更新后的访问令牌解密成功之后,向所述第三方应用发送所述待访问资源。
15.一种第三方应用,其特征在于,包括:
接收单元,用于接收服务器发送的授权令牌;接收所述服务器发送的所述待访问资源;
处理单元,用于确定资源访问请求对应的随机序列;使用所述授权令牌对所述随机序列进行加密,得到访问令牌;
发送单元,用于向所述服务器发送所述资源访问请求;其中,所述资源访问请求中包括所述访问令牌和待访问资源的标识;所述访问令牌用于使所述服务器在使用所述授权令牌对所述访问令牌解密成功之后,向所述第三方应用发送所述待访问资源。
16.如权利要求15所述的第三方应用,其特征在于,所述发送单元,还用于:
向所述服务器发送密钥;
所述接收单元,用于:
接收所述服务器发送的申请令牌响应;其中,所述申请令牌响应中包括使用所述密钥进行加密的授权令牌;
所述处理单元,还用于:
使用所述密钥对使用所述密钥进行加密的所述授权令牌进行解密,得到所述授权令牌。
17.如权利要求16所述的第三方应用,其特征在于,所述发送单元,用于:
发送申请令牌请求;其中,所述申请令牌请求中包括所述密钥。
18.如权利要求16所述的第三方应用,其特征在于,所述发送单元,用于:
向所述服务器发送申请认证请求;其中,所述申请认证请求中包括所述密钥;
所述接收单元,还用于:接收所述服务器发送的申请认证响应;其中,所述申请认证响应是所述服务器在接收到用户输入的授权指令之后生成的;所述授权码响应中包括授权码。
19.如权利要求15所述的第三方应用,其特征在于,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
20.如权利要求15所述的第三方应用,其特征在于,所述资源访问请求对应的所述随机序列包括:所述第三方应用标识和所述资源访问请求对应的流水号;
所述资源访问请求中还包括所述第三方应用标识和所述资源访问请求对应的流水号;
所述资源访问请求用于:使所述服务器在使用所述授权令牌对所述访问令牌解密成功之后,将对所述访问令牌解密所得到的所述第三方应用标识和所述资源访问请求对应的流水号与所述资源访问请求中包括的所述第三方应用标识和所述资源访问请求对应的流水号匹配成功之后,向所述接收单元发送所述待访问资源。
21.如权利要求16所述的第三方应用,其特征在于,所述申请令牌响应中还包括使用所述密钥进行加密的更新令牌;
所述处理单元,还用于:
在确定所述访问令牌失效时,使用所述更新令牌对所述随机序列进行加密,得到更新后的访问令牌;
所述发送单元,用于:
向所述服务器发送更新后的资源访问请求;其中,所述更新后的资源访问请求中包括所述更新后的访问令牌和所述待访问资源的标识;所述更新后的访问令牌用于使所述服务器在使用所述更新令牌对所述更新后的访问令牌解密成功之后,向所述接收单元发送所述待访问资源。
22.一种服务器,其特征在于,包括:
发送单元,用于向第三方应用发送授权令牌;发送待访问资源;
接收单元,用于接收所述第三方应用发送的资源访问请求;其中,所述资源访问请求中包括所述访问令牌和待访问资源的标识;其中,所述访问令牌是所述第三方应用确定资源访问请求对应的随机序列;并使用所述授权令牌对所述随机序列进行加密之后得到的;
处理单元,用于在使用所述授权令牌对所述访问令牌解密成功之后,通过所述发送单元向所述第三方应用发送所述待访问资源。
23.如权利要求22所述的服务器,其特征在于,所述接收单元,还用于:
接收所述第三方应用发送的密钥;
所述处理单元,用于:
使用所述密钥对所述授权令牌进行加密;
所述发送单元,用于:
向所述第三方应用发送申请令牌响应;其中,所述申请令牌响应包括使用所述密钥进行加密的授权令牌;所述访问令牌用于使所述第三方应用使用所述密钥对使用所述密钥进行加密的所述授权令牌进行解密得的。
24.如权利要求23所述的服务器,其特征在于,
所述接收单元,用于:
接收所述第三方应用发送的申请令牌请求,其中,所述申请令牌请求中包括所述密钥。
25.如权利要求23所述的服务器,其特征在于,
所述接收单元,用于:
接收所述第三方应用发送的申请认证请求;其中,所述申请认证请求中包括所述密钥;
所述接收单元,还用于:
根据所述申请认证请求,在接收到用户输入的授权指令之后生成所述申请认证响应;所述授权码响应中包括授权码;
所述发送单元,还用于:
向所述第三方应用发送申请认证响应。
26.如权利要求22所述的服务器,其特征在于,每个资源访问请求对应一个随机序列;任意两个资源访问请求对应的两个随机序列不同。
27.如权利要求22所述的服务器,其特征在于,所述资源访问请求对应的随机序列包括:所述第三方应用标识和所述资源访问请求对应的流水号;
所述资源访问请求中还包括所述第三方应用标识和所述资源访问请求对应的流水号;
所述处理单元,用于:
在使用所述授权令牌对所述访问令牌解密成功之后,得到所述第三方应用标识和所述资源访问请求对应的流水号;
所述处理单元,用于:
将对所述访问令牌解密所得到的所述第三方应用标识和所述资源访问请求对应的流水号,与所述资源访问请求中包括的所述第三方应用标识和所述资源访问请求对应的流水号进行匹配;
在匹配成功之后,通过所述发送单元向所述第三方应用发送所述待访问资源。
28.如权利要求23所述的服务器,其特征在于,所述申请令牌响应中还包括使用所述密钥进行加密的更新令牌;
所述接收单元,还用于:
接收所述第三方应用发送的更新后的访问令牌;其中,所述更新后的访问令牌是所述第三方应用在确定所述访问令牌失效时,使用所述更新令牌对所述随机序列进行加密得到的;
接收所述第三方应用发送的更新后的资源访问请求;其中,所述更新后的资源访问请求中包括所述更新后的访问令牌和所述待访问资源的标识;
所述处理单元,还用于:
在使用所述更新令牌对所述更新后的访问令牌解密成功之后,通过所述发送单元向所述第三方应用发送所述待访问资源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610632837.7A CN106230838A (zh) | 2016-08-04 | 2016-08-04 | 一种第三方应用访问资源的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610632837.7A CN106230838A (zh) | 2016-08-04 | 2016-08-04 | 一种第三方应用访问资源的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106230838A true CN106230838A (zh) | 2016-12-14 |
Family
ID=57547600
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610632837.7A Pending CN106230838A (zh) | 2016-08-04 | 2016-08-04 | 一种第三方应用访问资源的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106230838A (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107590662A (zh) * | 2017-11-03 | 2018-01-16 | 中国银行股份有限公司 | 一种调用网银系统的认证方法及认证服务器、系统 |
CN108076352A (zh) * | 2017-11-28 | 2018-05-25 | 成都视达科信息技术有限公司 | 一种视频防盗方法和系统 |
CN108366132A (zh) * | 2018-03-13 | 2018-08-03 | 平安普惠企业管理有限公司 | 服务器间的服务管理方法、装置、计算机设备和存储介质 |
CN108632329A (zh) * | 2017-03-24 | 2018-10-09 | 华为技术有限公司 | 一种第三方插件的访问方法和装置 |
CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
CN109902499A (zh) * | 2019-03-13 | 2019-06-18 | 广州市网星信息技术有限公司 | 一种资源授权和访问方法、装置、系统、设备和存储介质 |
CN109981665A (zh) * | 2019-04-01 | 2019-07-05 | 北京纬百科技有限公司 | 资源提供方法及装置、资源访问方法及装置和系统 |
CN111010375A (zh) * | 2019-11-28 | 2020-04-14 | 浪潮金融信息技术有限公司 | 一种允许第三方应用接入访问资源的分布式认证授权方式 |
CN111143816A (zh) * | 2018-11-05 | 2020-05-12 | 纬创资通股份有限公司 | 验证及授权的方法及验证服务器 |
CN111861611A (zh) * | 2019-05-19 | 2020-10-30 | 北京骑胜科技有限公司 | 基于区块链的资源处理方法、装置、电子设备及存储介质 |
CN112149076A (zh) * | 2020-10-10 | 2020-12-29 | 上海威固信息技术股份有限公司 | 一种安全的计算机存储系统 |
CN112823503A (zh) * | 2018-11-20 | 2021-05-18 | 深圳市欢太科技有限公司 | 一种数据访问方法、数据访问装置及移动终端 |
CN114327956A (zh) * | 2021-12-28 | 2022-04-12 | 阿波罗智联(北京)科技有限公司 | 车载应用的请求处理方法、装置、电子设备和存储介质 |
CN114640472A (zh) * | 2022-03-22 | 2022-06-17 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种受保护资源数据的获取方法、装置和统一开放平台 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103686724A (zh) * | 2012-09-25 | 2014-03-26 | 金蝶软件(中国)有限公司 | 移动应用接入认证授权方法和系统 |
CN104767719A (zh) * | 2014-01-07 | 2015-07-08 | 阿里巴巴集团控股有限公司 | 确定登录网站的终端是否是移动终端的方法及服务器 |
-
2016
- 2016-08-04 CN CN201610632837.7A patent/CN106230838A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103686724A (zh) * | 2012-09-25 | 2014-03-26 | 金蝶软件(中国)有限公司 | 移动应用接入认证授权方法和系统 |
CN104767719A (zh) * | 2014-01-07 | 2015-07-08 | 阿里巴巴集团控股有限公司 | 确定登录网站的终端是否是移动终端的方法及服务器 |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108632329A (zh) * | 2017-03-24 | 2018-10-09 | 华为技术有限公司 | 一种第三方插件的访问方法和装置 |
CN108632329B (zh) * | 2017-03-24 | 2020-07-07 | 华为技术有限公司 | 一种第三方插件的访问方法和装置 |
CN107590662B (zh) * | 2017-11-03 | 2021-01-15 | 中国银行股份有限公司 | 一种调用网银系统的认证方法及认证服务器、系统 |
CN107590662A (zh) * | 2017-11-03 | 2018-01-16 | 中国银行股份有限公司 | 一种调用网银系统的认证方法及认证服务器、系统 |
CN108076352A (zh) * | 2017-11-28 | 2018-05-25 | 成都视达科信息技术有限公司 | 一种视频防盗方法和系统 |
CN108076352B (zh) * | 2017-11-28 | 2020-11-10 | 成都视达科信息技术有限公司 | 一种视频防盗方法和系统 |
CN108366132A (zh) * | 2018-03-13 | 2018-08-03 | 平安普惠企业管理有限公司 | 服务器间的服务管理方法、装置、计算机设备和存储介质 |
CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
CN109033774B (zh) * | 2018-08-31 | 2020-08-07 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
CN111143816B (zh) * | 2018-11-05 | 2023-02-28 | 纬创资通股份有限公司 | 验证及授权的方法及验证服务器 |
CN111143816A (zh) * | 2018-11-05 | 2020-05-12 | 纬创资通股份有限公司 | 验证及授权的方法及验证服务器 |
CN112823503A (zh) * | 2018-11-20 | 2021-05-18 | 深圳市欢太科技有限公司 | 一种数据访问方法、数据访问装置及移动终端 |
CN112823503B (zh) * | 2018-11-20 | 2022-08-16 | 深圳市欢太科技有限公司 | 一种数据访问方法、数据访问装置及移动终端 |
CN109902499A (zh) * | 2019-03-13 | 2019-06-18 | 广州市网星信息技术有限公司 | 一种资源授权和访问方法、装置、系统、设备和存储介质 |
CN109981665A (zh) * | 2019-04-01 | 2019-07-05 | 北京纬百科技有限公司 | 资源提供方法及装置、资源访问方法及装置和系统 |
CN111861611A (zh) * | 2019-05-19 | 2020-10-30 | 北京骑胜科技有限公司 | 基于区块链的资源处理方法、装置、电子设备及存储介质 |
CN111010375A (zh) * | 2019-11-28 | 2020-04-14 | 浪潮金融信息技术有限公司 | 一种允许第三方应用接入访问资源的分布式认证授权方式 |
CN112149076B (zh) * | 2020-10-10 | 2021-07-06 | 上海威固信息技术股份有限公司 | 一种安全的计算机存储系统 |
CN112149076A (zh) * | 2020-10-10 | 2020-12-29 | 上海威固信息技术股份有限公司 | 一种安全的计算机存储系统 |
CN114327956A (zh) * | 2021-12-28 | 2022-04-12 | 阿波罗智联(北京)科技有限公司 | 车载应用的请求处理方法、装置、电子设备和存储介质 |
CN114640472A (zh) * | 2022-03-22 | 2022-06-17 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种受保护资源数据的获取方法、装置和统一开放平台 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106230838A (zh) | 一种第三方应用访问资源的方法和装置 | |
CN108810029B (zh) | 一种微服务架构服务间鉴权系统及优化方法 | |
CN105978917B (zh) | 一种用于可信应用安全认证的系统和方法 | |
US11252142B2 (en) | Single sign on (SSO) using continuous authentication | |
CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
CN110322940B (zh) | 一种医疗数据共享的访问授权方法及系统 | |
US20220255931A1 (en) | Domain unrestricted mobile initiated login | |
KR101315670B1 (ko) | 보안인증 디바이스에 접근하는 스마트폰 등록 방법 및 등록된 스마트폰의 접근 권한 인증방법 | |
CN111552935B (zh) | 一种区块链数据授权访问方法及装置 | |
CN106295394A (zh) | 资源授权方法及系统和授权服务器及工作方法 | |
EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
Rahman et al. | Security in wireless communication | |
CN108833507B (zh) | 一种共享产品的授权认证系统及方法 | |
GB2505211A (en) | Authenticating a communications device | |
CA2624422A1 (en) | Method and arrangement for secure autentication | |
TW201813361A (zh) | 圖形碼資訊提供、獲取方法、裝置及終端 | |
CN113065115B (zh) | 基于oauth2.0实现小程序登录安全和无网络隔离下认证鉴权方法 | |
KR20100021818A (ko) | 임시 식별정보를 이용한 사용자 인증 방법 및 시스템 | |
CN105721412A (zh) | 多系统间的身份认证方法及装置 | |
CN107026823A (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
CN109525565A (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
CN113312576A (zh) | 一种页面跳转方法、系统及装置 | |
CN104901967A (zh) | 信任设备的注册方法 | |
CN116233832A (zh) | 验证信息发送方法及装置 | |
CN109802927B (zh) | 一种安全服务提供方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161214 |