CN106295394A - 资源授权方法及系统和授权服务器及工作方法 - Google Patents
资源授权方法及系统和授权服务器及工作方法 Download PDFInfo
- Publication number
- CN106295394A CN106295394A CN201610585856.9A CN201610585856A CN106295394A CN 106295394 A CN106295394 A CN 106295394A CN 201610585856 A CN201610585856 A CN 201610585856A CN 106295394 A CN106295394 A CN 106295394A
- Authority
- CN
- China
- Prior art keywords
- token
- authorization
- module
- access
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 533
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000003860 storage Methods 0.000 claims abstract description 45
- 230000005540 biological transmission Effects 0.000 claims abstract description 9
- 238000004321 preservation Methods 0.000 claims description 7
- 239000000203 mixture Substances 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 4
- 238000007689 inspection Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1014—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to tokens
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开资源授权方法及系统和授权服务器及工作方法,授权服务器的工作方法包括:当授权服务器接收到第三方应用发送的获取授权码请求时以预存的访问权限列表为参数定向到授权页面,当接收到允许授权信息时生成授权码,将授权码与访问权限列表对应存储,并根据预存的重定向URL向第三方应用回传授权码;当授权服务器收到到第三方应用发送的包含授权码、应用标识符、应用密码的获取令牌请求时,根据获取令牌请求判断授权码是否有效,并根据应用标识符和应用密码判断所述第三方应用是否合法,若判断均为是则生成访问令牌,并将访问令牌发送给所述第三方应用。本发明用户可以设置第三方应用的访问权限和有效期,有效的防止资源泄露。
Description
技术领域
本发明涉及通信领域,特别涉及资源授权方法及系统和授权服务器及工作方法。
背景技术
目前资源授权是通过第三方应用获取到提供资源的应用的用户名和密码从而得到所有资源的访问权限,但是这种资源授权方式存在以下问题:第三方应用为了后续的服务会保存用户的密码,这样很不安全;第三方应用可以访问所有的资源,用户没有办法设置访问范围和有效期;用户只有修改提供资源的应用的密码才能收回第三方应用的访问权限;如果有一个第三方应用程序被破解,就会导致用户密码泄露,以及所有被密码保护的资源泄露。
发明内容
本发明的目的是避免用户资源被滥用,提供资源授权方法及系统和资源授权服务器及工作方法。
本发明方法是通过下述技术方案实现的:
一种资源授权的方法,包括:
步骤A1、第三方应用向授权服务器发送包含应用标识符的获取授权码请求;
步骤A2、授权服务器根据应用标识符获取预存的重定向URL,以预存的访问权限列表为参数定向到授权页面,若接收到允许授权信息则生成授权码,将授权码、应用标识符和预存的访问权限列表对应存储;根据重定向URL向第三方应用回传授权码;
步骤A3、第三方应用向授权服务器发送包含授权码、应用标识符和应用密码的获取令牌请求;
步骤A4、授权服务器判断授权码是否有效,并根据应用标识符和应用密码判断第三方应用是否合法,若判断均为是则生成访问令牌,根据应用标识符获取预存的访问权限列表,将访问令牌和预存的权限列表对应存储,将访问令牌发送给第三方应用,否则结束。
一种资源授权系统,包括第三方应用、授权服务器;
第三方应用包括:
第一发送模块,用于向授权服务器发送包含应用标识符的获取授权码请求;
第一接收模块,用于接收授权服务器回传的授权码;
第二发送模块,用于向授权服务器发送包含授权码、应用标识符和应用密码的获取令牌请求;
第二接收模块,用于接收授权服务器发送的访问令牌;
授权服务器包括:
第三接收模块,用于接收获授权码请求;
第一获取模块,用于根据第三接收模块接收到的获取授权码请求中的应用标识符获取预存的重定向URL;
定向模块,用于以预存的访问权限列表为参数定向到授权页面,并接收允许授权信息;
授权码生成模块,若定向模块接收到允许授权信息后生成授权码;
第一保存模块,用于将授权码生成模块生成的授权码、应用标识符和预存的访问权限列表对应存储;
第三发送模块,用于根据第一获取模块获取到的重定向URL向第三方应用回传授权码生成模块生成的授权码;
第四接收模块,用于接收第三方应用发送的获取令牌请求;
第一判断模块,用于判断第四接收模块接收到的获取令牌请求中的授权码是否有效,并根据第四接收模块接收到的获取令牌请求中的应用标识符和应用密码判断第三方应用是否合法;
访问令牌生成模块,用于若第一判断模块判断均为是时生成访问令牌;
第二保存模块,用于根据第四接收模块接收到的获取令牌请求中的应用标识符获取预存的访问权限列表,将访问令牌生成模块生成的访问令牌和预存的权限列表对应存储;
第四发送模块,用于将访问令牌生成模块生成的访问令牌发送给第三方应用。
一种授权服务器的工作方法,包括:
步骤B1、当授权服务器接收到第三方应用发送的包含应用标识符的获取授权码请求时,根据应用标识符获取预存的重定向URL,以预存的访问权限列表为参数定向到授权页面,若接收到允许授权信息则生成授权码,将授权码、应用标识符和预存的访问权限列表对应存储;根据重定向URL向第三方应用回传授权码;
步骤B2、当授权服务器接收到第三方应用发送的包含授权码、应用标识符和应用密码的获取令牌请求时,判断授权码是否有效,并根据应用标识符和应用密码判断第三方应用是否合法,若判断均为是则生成访问令牌,根据应用标识符获取预存的访问权限列表,将访问令牌和预存的权限列表对应存储,将访问令牌发送给第三方应用,否则结束。
一种授权服务器,包括
第三接收模块,用于接收获授权码请求;
第一获取模块,用于根据第三接收模块接收到的获取授权码请求中的应用标识符获取预存的重定向URL;
定向模块,用于以预存的访问权限列表为参数定向到授权页面,并接收允许授权信息;
授权码生成模块,用于若定向模块接收到允许授权信息后生成授权码;
第一保存模块,用于将授权码生成模块生成的授权码、应用标识符和预存的访问权限列表对应存储;
第三发送模块,用于根据第一获取模块获取到的重定向URL向第三方应用回传授权码生成模块生成的授权码;
第四接收模块,用于接收第三方应用发送的获取令牌请求;
第一判断模块,用于判断第四接收模块接收到的获取令牌请求中的授权码是否有效,并根据第四接收模块接收到的获取令牌请求中的应用标识符和应用密码判断第三方应用是否合法;
访问令牌生成模块,用于若第一判断模块判断均为是时生成访问令牌;
第二保存模块,用于根据第四接收模块接收到的获取令牌请求中的应用标识符获取预存的访问权限列表,将访问令牌生成模块生成的访问令牌和预存的权限列表对应存储;
第四发送模块,用于将访问令牌生成模块生成的访问令牌发送给第三方应用。
本发明方法的有益效果在于:可以控制第三方应用的访问权限和有效期,有效的防止资源泄露。
附图说明
为了更清楚的说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例2提供的一种资源授权的方法的整体流程图;
图2为本发明实施例2提供的一种资源授权的方法的整体流程图;
图3为本发明实施例3提供的一种授权服务器的工作方法的流程图;
图4为本发明实施例3提供的一种授权服务器的工作方法的流程图;
图5为本发明实施例4提供的一种资源授权的系统的方框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例提供一种资源授权的方法,包括:
第三方应用预先在授权服务器中注册应用标识符、应用密码和重定向URL。
步骤A1、第三方应用向授权服务器发送包含应用标识符的获取授权码请求;
步骤A2、授权服务器根据应用标识符获取预存的重定向URL,以预存的访问权限列表为参数定向到授权页面,若接收到允许授权信息则生成授权码,将授权码、应用标识符和预存的访问权限列表对应存储;根据重定向URL向第三方应用回传授权码;
具体的,访问权限列表具体为由资源标识形成的列表;
优选的,步骤A1之后,在步骤A2之前还包括:授权服务器根据应用标识符判断第三方应用是否已注册,是则执行步骤A2,否则向授权服务器发送应用标识无效信息,结束。
优选的,若获取授权码请求中还包括第一重定向URL时:
步骤A2中,根据应用标识符获取预存的重定向URL之后,以预存的访问权限列表为参数定向到授权页面之前还包括:授权服务判断第一重定向URL与预存的重定向URL是否相同,是则以预存的访问权限列表为参数定向到授权页面,否则向第三方应用返回第一重定向URL无效信息,结束。
步骤A3、第三方应用向授权服务器发送包含授权码、应用标识符和应用密码的获取令牌请求;
步骤A4、授权服务器判断授权码是否有效,并根据应用标识符和应用密码判断第三方应用是否合法,若判断均为是则生成访问令牌,根据应用标识符获取预存的访问权限列表,将访问令牌和预存的权限列表对应存储,将访问令牌发送给第三方应用,否则结束。
优选的,步骤A3具体可以为:第三方应用将应用标识符与应用密码进行加密生成应用密文信息,发送包含应用密文信息和授权码的获取令牌请求;
相应的,步骤A4中根据应用标识符和应用密码判断第三方应用是否合法具体包括,授权服务器从获取访问令牌请求中获取应用密文信息,将应用密文信息解密获取应用标识符和应用密码,根据应用标识符和应用密码判断第三方应用是否合法。
优选的,若获取授权码请求中还包括第一访问权限列表;
步骤A1与步骤A2之间还包括:授权服务器判断预存的访问权限列表是否包含第一访问权限列表,是则授权服务器以第一访问权限列表为参数定向到预存的授权页面,若接收到允许授权信息则生成授权码,将授权码、应用标识符和第一访问权限列表对应存储;根据重定向URL向第三方应用回传授权码;执行步骤A3;否则执行步骤A2;
步骤A4中,生成访问令牌之后,将访问令牌发送给第三方应用之前还包括:授权服务器根据应用标识符获取第一访问权限列表,将访问令牌和第一访问权限列表对应存储。
优选的,若允许授权信息中具体包括用户允许访问的资源的资源标识组成的第二访问权限列表;
将授权码和应用标识符对应存储具体为:授权服务器将授权码、应用标识符和第二访问权限列表对应存储;
生成访问令牌之后,将访问令牌发送给第三方应用之前还包括:授权服务器根据应用标识符获取第二访问权限列表,将访问令牌和第二访问权限列表对应存储。
更进一步的,步骤A4之后还包括:
步骤C1、第三方应用向资源服务器发送包含访问令牌和资源标识的获取资源请求;
步骤C2、资源服务器将访问令牌和资源标识发送给授权服务器;
步骤C3、授权服务器判断访问令牌是有效,判断与访问令牌访问对应保存的权限列表中是否包含资源标识,若判断均为是则向资源服务器发送包含资源标识的允许访问信息,执行步骤C4,否则结束;
步骤C4、资源服务器将与资源标识相对应的资源发送给第三方应用。
优选的,步骤A4还包括:授权服务器获取服务器的当前时间,根据当前时间生成访问令牌过期时间,并将访问令牌和访问令牌过期时间对应保存;
相应的,步骤C2与步骤C3之间还包括:授权服务器根据访问令牌获取访问令牌过期时间,判断访问令牌是否过期,是则结束,否则执行步骤C3。
优选的,步骤A4还包括:授权服务器生成刷新令牌,并将访问令牌、访问令牌过期时间和刷新令牌对应保存,将访问令牌和刷新令牌发送给第三方应用;
若授权服务器判定访问令牌过期之后还包括:
步骤D1、授权服务器向第三方应用发送访问令牌过期信息;
步骤D2、第三方应用向授权服务器发送包含应用标识符、应用密码和刷新令牌的更新令牌请求;
步骤D3、授权服务器判断刷新令牌是否有效,并根据应用标识符和应用密码判断第三方应用是否合法,若判断均为是则更新访问令牌,并生成新的访问令牌过期时间,返回步骤A4。
实施例2
本实施例提供一种资源授权方法,第三方应用在授权服务器中进行注册;授权服务器中运存有第三方应用的应用标识符、应用密码和重定向URL。本实施例以第三方应用请求用户信息为例进行说明,如图1和图2所示。
步骤101、第三方应用向授权服务器发送包含应用标识符、第一重定向URL和第一访问权限列表的获取授权码请求。
第一访问权限列表具体为第三方应用申请访问的资源标识列表,本实施例中,第一访问权限列表中包括:username和userAvatar,即用户名标识和用户头像标识;
具体的,获取授权码请求具体为:
GET/authorize?response_type=code&client_id=s6BhdRkqt3&redirect_uri=https://client.example.com/cb&scope=username&userAvatarHTTP/1.1
Host:server.example.com
其中,response_type=code表示授权请求类型是请求授权码;
client_id=s6BhdRkqt3表示应用标识符为s6BhdRkqt3;
redirect_uri=https://client.example.com/cb表示第一重定向URL为
https://client.example.com/cb;scope=username&userAvatar表示资源名称列表为userinfo、userinfo即用户信息标识,userAvatar即用户头像标识。
若获取授权码请求中没有第一访问权限列表scope参数则表明第三方应用请求访问的资源为授权服务器中自定义的访问权限列表。授权请求中还包括:状态值state;
步骤102、授权服务器根据获取授权码请求中的应用标识符判断第三方应用是否注册,是则执行步骤103,否则向第三方应用发送应用标识符无效信息,结束。
优选的,步骤102还包括:授权服务器对获取授权码请求进行自定义的限制检查,若限制检查通过则执行步骤103,若限制检查未通过则执行错误提醒。自定义的限制检查可以包括:授权服务器判断获取授权码请求中是否缺少必需参数,本实施例中,必需参数为应用标识符和响应类型;授权服务器判断获取授权码请求中中是否存在不支持的参数;授权服务器判断获取授权码请求的格式是否正确。
步骤103、授权服务器根据应用标识符获取预存的重定向URL,判断预存的重定向URL与第一重定向URL是否相同,是则执行步骤104,否则向第三方应用发送第一重定向URL无效信息,结束;
优选的,授权服务器根据应用标识符获取授权服务器中预存的重定向URL,判断预存的重定向URL与第一重定向URL是否相同,是则执行步骤104,否则向第三方应用发送第一重定向URL无效信息,并提供如何执行匹配操作的建议,结束;
步骤104、授权服务器定向到身份认证页面,并接收用户身份信息。
步骤105、授权服务器判断用户身份信息是否合法,是则执行步骤106,否则向第三方应用发送身份认证失败信息,结束;
授权服务器判断是否能查找到与用户身份信息相匹配的信息,是则用户身份信息合法,否则用户身份信息不合法。本实施例中,用户身份信息具体为用户名和密码的组合。
若资源服务器中预存有用户信息则步骤105还可以为:
步骤105-1、授权服务器将用户身份信息发送给资源服务器;
步骤105-2、资源服务器判断用户身份信息是否合法,是则执行步骤106,否则向授权服务器发送身份认证失败信息,结束;
步骤106、授权服务器根据应用标识符获取预存的访问权限列表,判断预存的访问权限列表是否包含第一访问权限列表,是则以第一访问权限列表为参数定向到授权页面,执行步骤107,否则以预存的访问权限列表为参数定向到的授权页面,执行步骤107;
步骤107、授权服务器判断是否接收到允许授权信息,是则执行步骤108,否则向第三方应用发送授权失败信息,结束。
授权页面中罗列访问权限列表中的所有资源标识。
步骤108、授权服务器接收第二访问权限列表,并生成授权码和授权码过期时间;将应用标识符、授权码和第二访问权限列表对应存储;
本实施例中,若用户同意第三方应用访问用户名和用户头像,则第二访问权限列表具体包括username和userAvatar;
授权码可以为授权服务器分配的随机字符串,本实施例中的code授权码为SplxlOBeZQQYbYS6WxSbIA。
步骤109、授权服务器根据预存的重定向URL向第三方应用回传授权码。
具体的,授权服务器将预存的重定向URL与授权码顺序拼接生成第二重定向URL。授权服务器重定向到第二重定向URL。
具体为:
HTTP/1.1 302 Found
Location:https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
其中,code授权码为SplxlOBeZQQYbYS6WxSbIA。
步骤110、第三方应用将应用标识符和应用密码通过预设加密运算进行加密生成应用密文信息;
本实施例中,第三方应用通过Basic Authentication机制将应用标识符和应用密码生成应用密文信息。
步骤111、第三方应用根据应用密文信息、第一重定向URL和授权码生成获取访问令牌请求,并向授权服务器发送获取访问令牌请求。
获取授权令牌请求是通过JSON格式发送,具体为:
POST/token HTTP/1.1
Host:server.example.com
Authorization:Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type:application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=ht tps://client.example.com/cb
其中,Authorization授权参数为Basic czZCaGRSa3F0MzpnWD
FmQmF0M2JW,其中,Basic为[RFC2617]定义的HTTP Basic验证机制;
czZCaGRSa3F0MzpnWD FmQmF0M2JW为通过Basic Authentication机制根据应用标识符和应用密码生成密文应用信息。grant_type授权类型为authorization_code,即授权码模式,code授权码为SplxlOBeZQQYbYS6WxSbIA,redirect_uri重定向URL为https://client.example.com/cb;
步骤112、授权服务器从获取访问令牌请求中获取应用密文信息,对应用密文信息进行解密得到应用标识符和应用密码;
步骤113、授权服务器根据应用标识符和应用密码判断第三方应用是否合法,是则执行步骤114,否则向第三方应用发送认证失败信息,结束;
步骤114、授权服务器判断是否可以查询到与第一重定向URL和授权码匹配的信息,是则执行步骤115,否则向第三方应用发送认证失败信息,结束;
步骤115、授权服务器根据授权码获取授权码过期时间,判断授权码是否过期,是则执行步骤116;否则向第三方应用返回授权码过期信息,结束;
具体的,本实施例中,授权服务器获取服务器的当前时间,判断授权码过期时间是否大于服务器当前时间,是则授权服务器判定授权码没有过期,执行步骤116,否则授权服务器判定授权码过期,向第三方应用返回授权码过期信息,结束。
步骤116、授权服务器生成访问令牌、刷新令牌和访问令牌过期时间,根据授权码获取第二访问权限列表,将访问令牌、第二访问权限列表和访问令牌过期时间对应存储;
步骤117、授权服务器根据访问令牌、访问令牌过期时间和刷新令牌生成获取访问令牌响应,并将获取访问令牌响应发送至第三方应用;
访问令牌可以为授权服务器分配的随机字符串,本实施例中的访问令牌具体为tGzv3JOkF0XG5Qx2TlKWIA;
本实施例中的访问令牌、令牌类型、过期时间和刷新令牌等信息是通过JSON格式发送的;获取访问令牌响应具体为:
HTTP/1.1 200 OK
Content-Type:application/json;charset=UTF-8
Cache-Control:no-store
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
}
授权服务器生成的访问令牌access_token具体为2YotnFZ FEjr1zCsicMWpAA;令牌类型token_type为example;过去时间expires_in为3600,表明访问令牌自授权服务器产生的时刻起,将在3600s之后过期;刷新令牌refresh_token为tGzv3JOkF0XG5Qx2TlK WIA。
步骤118、第三方应用向资源服务器发送包含访问令牌和资源标识的获取资源请求。
本实施例中,第三方应用请求的资源标识为username,即用户名标识,获取资源请求具体如下:
POST/resourcesAPI/username/HTTP/1.1
Host:localhostExample:8000
Authorization:2YotnFZFEjr1zCsicMWpAA
Username为用户名标识,2YotnFZFEjr1zCsicMWpAA为访问令牌;
步骤119、资源服务器将访问令牌和资源标识发送给授权服务器;
步骤120、授权服务器判断访问令牌是有效,是则执行步骤121,否则向第三方应用发送访问令牌无效信息,结束。
具体的,授权服务器判断是否可以查找到与访问令牌匹配的信息,是则执行步骤121,否则向第三方应用发送访问令牌无效信息,结束;
步骤121、授权服务器根据访问令牌获取第二访问权限列表,判断第二访问权限列表中是否包含资源标识,是则执行步骤122,否则向第三方应用发送请求超范围信息,结束。
步骤122、授权服务器获取当前时间并根据访问令牌获取访问令牌过期时间判断访问令牌是否过期,是则向第三方应用发送访问令牌过期信息,执行步骤123;否则向资源服务器发送包含资源标识的允许访问信息,执行步骤123;
步骤123、资源服务器向第三方应用发送与资源标识对应的资源,结束。
具体的,资源服务器中的每种资源都对应一个资源标识,本实施例中,资源服务器根据username获取对应的资源,即用户名,并将用户名发送给第三方应用。
步骤124、第三方应用将应用标识符和应用密码通过预设加密运算进行加密生成应用密文信息,根据应用密文信息和刷新令牌生成更新令牌请求,并将更新令牌请求发送给授权服务器;
具体的,更新令牌请求是通过JSON格式发送的,具体为:
POST/token HTTP/1.1
Host:server.example.com
Authorization:Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type:application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
其中,Authorization授权参数为Basic czZCaGRSa3F0MzpnWD FmQmF0M2JW,其中,Basic为[RFC2617]定义的HTTP Basic验证机制;czZCaGRSa3F0MzpnWD FmQmF0M2JW为应用标识符和应用密码通过Basic Authentication生成的应用密文信息,grant_type授权类型为refresh_token,即更新令牌;refresh_token更新令牌为tGzv3JOkF0XG5Qx2TlKWIA。
步骤125、授权服务器从更新令牌请求中获取应用密文信息,对应用密文信息进行解密得到应用标识符和应用密码;
步骤126、授权服务器根据应用标识符和应用密码判断第三方应用是否合法,是则执行步骤127,否则向第三方应用发送认证失败信息,结束;
步骤127、授权服务器判断刷新令牌是否有效,是则执行步骤128,否则向第三方应用发送刷新令牌无效信息,结束
具体的,授权服务器判断是否可以查询到与更新令牌请求中的刷新令牌一致的信息,是则执行步骤128,否则向第三方应用发送刷新令牌无效信息,结束;
步骤128、授权服务器更新访问令牌、刷新令牌和访问令牌过期时间,并将更新后的访问令牌、刷新令牌访问令牌过期时间和第二访问权限列表对应保存,返回步骤117。
以上所述的实施例只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
实施例3
本实施例提供一种授权服务器的工作方法,下面以第三方应用向资源服务器获取用户名为例进行说明:授权服务器中预存有第三方应用的应用标识符、应用密码和重定向URL,如图3和图4所示,包括:
步骤201、授权服务器接收到第三方应用发送的包含应用标识符、第一重定向URL和第一访问权限列表的获取授权码请求,并根据获取授权码请求中的应用标识符判断第三方应用是否注册,是则执行步骤202,否则授权服务器向第三方应用发送应用标识符无效信息,结束。
获取授权码请求具体包括:第三方应用的应用标识符、第一重定向URL和第一访问权限列表。
第一访问权限列表具体为第三方应用申请访问的资源标识列表,本实施例中,第一访问权限列表中包括:username和userAvatar,即用户名标识和用户头像标识;
具体的,获取授权码请求具体为:
GET/authorize?response_type=code&client_id=s6BhdRkqt3&redirect_uri=https://client.example.com/cb&scope=username&userAvatarHTTP/1.1
Host:server.example.com
其中,response_type=code表示授权请求类型是请求授权码;
client_id=s6BhdRkqt3表示应用标识符为s6BhdRkqt3;
redirect_uri=https://client.example.com/cb表示第一重定向URL为https://client.example.com/cb;scope=username&userAvatar表示资源名称列表为userinfo、userinfo即用户信息标识,userAvatar即用户头像标识。
若获取授权码请求中没有第一访问权限列表scope参数则表明第三方应用请求访问的资源为授权服务器中自定义的访问权限列表。授权请求中还包括:状态值state;
优选的,步骤201还包括:授权服务器对授权请求进行自定义的限制检查,若限制检查通过,执行步骤203若限制检查未通过返回错误提醒。自定义的限制检查可以包括:授权服务器判断授权请求中是否缺少必需参数,本实施例中,必需参数为应用标识符以及响应类型;授权服务器判断授权请求中是否存在不支持的参数;授权服务器判断授权请求格式是否正确。
步骤202、授权服务器根据应用标识符获取预存的重定向URL,判断预存的重定向URL与第一重定向URL是否相同,是则执行步骤203,否则授权服务器向第三方应用发送第一重定向URL无效信息,结束;
具体的,授权服务器根据应用标识符获取授权服务器中预存的重定向URL,判断授权请求码中的第一重定向URL是否与授权服务器中预存的重定向URL是否一致,是则执行步骤203,否则向第三方应用发送第一重定向URL无效信息,并提供如何执行匹配操作的建议,结束;
步骤203、授权服务器定向到身份认证页面,并接收用户身份信息;
步骤204、授权服务器判断用户身份信息是否合法,是则执行步骤205,否则授权服务器向第三方应用发送用户身份信息不合法信息,结束。
具体的,授权服务器判断是否能查找到与用户身份信息相匹配的信息,是则用户身份信息合法,否则用户身份信息不合法。本实施例中,用户身份信息具体为用户名和密码的组合。
步骤205、授权服务器根据应用标识符获取预存的访问权限列表,判断预存的访问权限列表是否包含第一访问权限列表,是则以第一访问权限列表为参数定向到授权页面,执行步骤206,否则以预存的访问权限列表为参数定向到的授权页面,执行步骤206;
步骤206、授权服务器接受第二访问权限列表,并生成授权码和授权码过期时间;将应用标识符、授权码和第二访问权限列表对应存储;
步骤207、授权服务器根据预存的重定向URL向第三方应用回传授权码。
具体的,授权服务器将预存的重定向URL与授权码顺序拼接生成第二重定向URL。授权服务器重定向到第二重定向URL。
具体为:
HTTP/1.1 302 Found
Location:https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
其中,code授权码为SplxlOBeZQQYbYS6WxSbIA。
步骤208、授权服务器接收到第三方应用发送的获取访问令牌请求,并从获取访问令牌请求中获取应用密文信息,并对应用密文信息进行解密得到应用标识符和应用密码。
获取令牌请求包括:应用密文信息、授权码和第二重定向URL。
步骤209、授权服务器根据应用标识符和应用密码判断第三方应用是否合法,是则执行步骤210,否则授权服务器向第三方应用发送认证失败信息,结束。
步骤210、授权服务器判断是否可以查询到与第二重定向URL和授权码匹配的信息,是则执行步骤211,否则授权服务器向第三方应用发送认证失败信息,结束;
步骤211、授权服务器根据授权码获取授权码过期时间,判断授权码是否过期,是则授权服务器向第三方应用返回授权码过期信息,结束,否则执行步骤212;;
具体的,本实施例中,授权码的有效期为预设值,授权服务器获取服务器的当前时间,判断授权码生成时间与预设值之和是否大于服务器当前时间,是则授权服务器判定授权码没有过期,执行步骤212,否则授权服务器判定授权码过期,向第三方应用返回授权码过期信息,结束。
步骤212、授权服务器生成访问令牌、刷新令牌和访问令牌过期时间,根据授权码获取第二访问权限列表,将访问令牌、第二访问权限列表和访问令牌过期时间对应存储;
访问令牌为授权服务器生成的随机字符串;
步骤213、授权服务器将访问令牌、访问令牌过期时间和刷新令牌发送至第三方应用;
本实施例中的访问令牌、令牌类型、过期时间和刷新令牌等信息是通过JSON格式发送的;具体为:
HTTP/1.1 200 OK
Content-Type:application/json;charset=UTF-8
Cache-Control:no-store
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
}
授权服务器生成的访问令牌access_token具体为2YotnFZ FEjr1zCsicMWpAA;令牌类型token_type为example;过去时间expires_in为3600,表明访问令牌自授权服务器产生的时刻起,将在3600s之后过期;刷新令牌refresh_token为tGzv3JOkF0XG5Qx2TlK WIA。
步骤214、授权服务器接收到资源服务器发送的资源标识和访问令牌,判断访问令牌是有效,是则执行步骤215,否则授权服务器向第三方应用发送访问令牌无效信息,结束。
具体的,授权服务器判断是否可以查找到与访问令牌相同的信息,是则执行步骤215,否则向第三方应用发送访问令牌无效信息,结束;
步骤215、授权服务器根据访问令牌获取第二访问权限列表,判断第二访问权限列表中是否包含资源标识,是则执行步骤216,否则授权服务器向第三方应用发送请求超范围信息,结束。
步骤216、授权服务器获取当前时间并根据访问令牌获取过期时间判断访问令牌是否过期,是则执行步骤217;否则向资源服务器发送包含资源标识信息的允许访问信息,结束;
步骤217、授权服务器接收到第三方应用发送的更新令牌请求,将更新令牌请求中的应用密文信息进行解密得到应用标识符和应用密码。
步骤218、授权服务器根据应用标识符和应用密码判断第三方应用是否合法,是则执行步骤219,否则授权服务器向第三方应用发送认证失败信息,结束;
步骤219、授权服务器判断更新令牌请求中的刷新令牌是否有效,是则执行步骤220,否则授权服务器向第三方应用发送刷新令牌无效信息,结束;
步骤220、授权服务器更新访问令牌、刷新令牌和访问令牌过期时间,并将更新访问令牌、刷新令牌访问令牌过期时间和第二访问权限列表对应保存,返回步骤213。
实施例4
本实施例提供一种资源授权的系统,包括第三方应用、授权服务器;
第三方应用包括:
第一发送模块11,用于向授权服务器发送包含应用标识符的获取授权码请求;
第一接收模块12,用于接收授权服务器回传的授权码;
第二发送模块13,用于向授权服务器发送包含授权码、应用标识符和应用密码的获取令牌请求;
具体的,第二发送模块13包括:
第一加密子模块,用于将应用标识符与应用密码进行加密生成应用密文信息;
第一发送子模块,用于向授权服务器发送包含应用密文信息和授权码的获取令牌请求;
第二接收模块14,用于接收授权服务器发送的访问令牌;
授权服务器包括:
第三接收模块15,用于接收获授权码请求;
第一获取模块16,用于根据第三接收模块15接收到的获取授权码请求中的应用标识符获取预存的重定向URL;
定向模块17,用于以预存的访问权限列表为参数定向到授权页面,并接收允许授权信息;
具体的,访问权限列表具体为由资源标识形成的列表。
授权码生成模块18,用于定向模块17接收到允许授权信息后生成授权码;
第一保存模块19,用于将授权码生成模块18生成的授权码、应用标识符和预存的访问权限列表对应存储;
第三发送模块20,用于根据第一获取模块16获取到的重定向URL向第三方应用回传授权码生成模块18生成的授权码;
第四接收模块21,用于接收第三方应用发送的获取令牌请求;
具体的,第四接收模块21包括:
第一接收子模块,用于接收第三方应用发送的获取令牌请求;
第一解密模块,用于从获取访问令牌请求中获取应用密文信息,将应用密文信息解密获取应用标识符和应用密码。
第一判断模块22,用于判断第四接收模块21接收到的获取令牌请求中的授权码是否有效,并根据第四接收模块21接收到的获取令牌请求中的应用标识符和应用密码判断第三方应用是否合法;
访问令牌生成模块23,用于若第一判断模块22判断均为是时生成访问令牌;
第二保存模块24,用于根据第四接收模块21接收到的获取令牌请求中的应用标识符获取预存的访问权限列表,将访问令牌生成模块23生成的访问令牌和预存的权限列表对应存储;
第四发送模块24,用于将访问令牌生成模块23生成的访问令牌发送给第三方应用。
第三保存模块,用于保存第三方应用的应用标识符、应用密码和重定向URL。
优选的,授权服务器还包括:第二判断模块,用于根据第三接收模块15接收到的获取授权码请求中的应用标识符判断第三方应用是否已注册;
相应的,第一获取模块16,具体用于若第二判断模块判定第三方应用已注册之后根据第三接收模块15接收到的获取授权码请求中的应用标识符获取预存的重定向URL。
优选的,若第三接收模块15接收到的获取授权码请求中还包括第一访问权限列表;
相应的,授权服务器还包括:
第四判断模块,用于判断预存的访问权限列表是否包含第一访问权限列表;
定向模块17,具体用于若第四判断模块判定预存的访问权限列表包含第一访问权限列表时以第一访问权限列表为参数定向到授权页面,并接收允许授权信息;第一保存模块19,用于将授权码生成模块18生成的授权码、应用标识符和第一访问权限列表对应存储;第二保存模块24,用于将访问令牌生成模块18生成的访问令牌和根据获取令牌请求中的应用标识符获取到第一访问权限列表对应存储;
定向模块17,还用于若第四判断模块判定预存的访问权限列表不包含第一访问权限列表时以预存的访问权限列表为参数定向到授权页面,并接收允许授权信息;第一保存模块19,还用于将授权码生成模块生成的授权码、应用标识符和预存的访问权限列表对应存储;第二保存模块24,还用于将所述访问令牌生成模块23生成的访问令牌和根据获取令牌请求中的应用标识符获取到的预存的访问权限列表对应存储;
进一步的,若第三接收模块15接收到的获取授权码请求中还包括第一重定向URL;
相应的,授权服务器还包括:
第三判断模块,用于判断第一重定向URL与第一获取模块16获取到的预存的重定向URL是否相同;
定向模块17,具体用于若第三判断模块判定第一重定向URL与第一获取模块16获取到的预存的重定向URL相同时根据第三接收模块15接收到的获取授权码请求中的应用标识符获取预存的重定向URL。
进一步的,若定向模块17接收到的允许访问信息中包括用户允许访问的资源的资源标识组成的第二访问权限列表;
相应的,第一保存模块19,还用于将授权码生成模块生成18的授权码、应用标识符和定向模块17接收到的允许访问信息中包含的第二访问权限列表对应存储;
第二保存模块24,还用于将访问令牌生成模块23生成的访问令牌和将定向模块17接收到的允许访问信息中包含的第二访问权限列表对应存储。
若资源授权系统还包括资源服务器;
第三方应用还包括:
第五发送模块,用于向资源服务器发送包含访问令牌和资源标识的获取资源请求;
资源服务器,包括:
第六发送模块,用于接收第三方应用发送的获取资源请求,并将获取资源请求中的访问令牌和资源标识发送给授权服务器;
第五接收模块,用于接收授权服务器发送的允许访问信息,向第三方应用发送与资源标识相对应的资源;
授权服务器还包括:
第五判断模块,用于接收资源服务器发送的访问令牌和资源标识;判断访问令牌是有效,判断与访问令牌访问对应的权限列表中是否包含资源标识;
第七发送模块,用于若第五判断模块判断均为是时向资源服务器发送包含资源标识的允许访问信息。
授权服务器还包括:访问令牌过期时间生成模块,用于获取服务器的当前时间,根据当前时间生成访问令牌过期时间;
相应的,第二保存模块24,还用于根据第四接收模块21接收到的获取令牌请求中的应用标识符获取对应保存的访问权限列表,将访问令牌生成模块23生成的访问令牌和访问令牌过期时间生成模块生成的访问令牌过期时间对应存储;
第六判断模块,用于根据访问令牌获取访问令牌过期时间,判断访问令牌是否过期;
第七判断模块,用于若第六判断模块判定访问令牌没有过期之后接收资源服务器发送的访问令牌和资源标识;判断访问令牌是有效,判断与访问令牌访问对应的权限列表中是否包含资源标识。
授权服务器还包括:刷新令牌生成模块,用于生成刷新令牌;还用于若第七判断模块判定判断刷新令牌有效且判定第三方应用合法之后生成刷新令牌;
第八发送模块,用于若第六判断模块判定访问令牌过期之后向第三方应用发送访问令牌过期信息;
相应的,第四发送模块25,还用于将访问令牌生成模块23生成的访问令牌和刷新令牌生成模块生成的刷新令牌发送给第三方应用;
访问令牌生成模块23,还用于若第七判断模块判定判断刷新令牌有效且判定第三方应用合法之后生成访问令牌;
访问令牌过期时间生成模块,还用于若第七判断模块判定判断刷新令牌有效且判定第三方应用合法之后获取服务器的当前时间,根据当前时间生成访问令牌过期时间;
第二保存模块24,还用于根据第四接收模块21接收到的获取令牌请求中的应用标识符获取对应保存的访问权限列表,将访问令牌生成模块23生成的访问令牌、访问令牌过期时间生成模块生成的访问令牌过期时间和刷新令牌生成模块生成的刷新令牌对应存储;
第六接收模块,用于接收第三方应用发送的更新令牌请求;
第六接收模块,包括:
第二接收子模块,用于接收第三方应用发送的更新令牌请求;
第二解密子模块,用于将更新令牌请求中的应用密文信息解密获取应用标识符和应用密码。
第七判断模块,用于判断刷新令牌是否有效,并根据应用标识符和应用密码判断第三方应用是否合法;
第三方应用还包括:
第八发送模块,用于向授权服务器发送包含应用标识符、应用密码和刷新令牌的更新令牌请求。
第八发送模块,包括:
第二加密子模块,用于将应用标识符和应用密码进行加密生成应用密文信息;
第二发送子模块,用于发送包含应用密文信息和刷新令牌的更新令牌请求;
授权服务器中还包括:授权码过期时间生成模块,用于获取服务器当前时间作为授权码生成时间,根据授权码生成时间生成授权码过期时间;
相应的,第一判断模块22,具体用于获取服务器当前时间和授权码过期时间,判断授权码是否过期;判断授权码是否有效,并根据应用标识符和应用密码判断第三方应用是否合法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (52)
1.一种资源授权的方法,其特征在于,包括:
步骤A1、第三方应用向授权服务器发送包含应用标识符的获取授权码请求;
步骤A2、所述授权服务器根据所述应用标识符获取预存的重定向URL,以预存的所述访问权限列表为参数定向到授权页面,若接收到允许授权信息则生成授权码,将所述授权码、所述应用标识符和所述预存的访问权限列表对应存储;根据所述重定向URL向所述第三方应用回传授权码;
步骤A3、所述第三方应用向所述授权服务器发送包含所述授权码、所述应用标识符和所述应用密码的获取令牌请求;
步骤A4、所述授权服务器判断所述授权码是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法,若判断均为是则生成访问令牌,根据应用标识符获取所述预存的访问权限列表,将所述访问令牌和所述预存的权限列表对应存储,将所述访问令牌发送给所述第三方应用,否则结束。
2.如权利要求1所述的方法,其特征在于,所述步骤A1之前还包括:第三方应用在授权服务器进行注册,授权服务器中预存有第三方应用的应用标识符、应用密码和重定向URL。
3.如权利要求2所述的方法,其特征在于,
所述步骤A3具体为:第三方应用将应用标识符与应用密码进行加密生成应用密文信息,向所述授权服务器发送包含应用密文信息和授权码的获取令牌请求;
所述根据应用标识符和应用密码判断第三方应用是否合法具体包括,授权服务器从获取访问令牌请求中获取应用密文信息,将应用密文信息解密获取应用标识符和应用密码,根据应用标识符和应用密码判断第三方应用是否合法。
4.如权利要求1所述的方法,其特征在于,所述步骤A1之后,所述步骤A2之前还包括:所述授权服务器根据所述应用标识符判断所述第三方应用是否已注册,是则执行步骤A2,否则向授权服务器发送应用标识无效信息,结束。
5.如权利要求1所述的方法,其特征在于,所述访问权限列表具体为由资源标识形成的列表。
6.如权利要求1所述的方法,其特征在于,所述获取授权码请求中还包括第一重定向URL;
所述根据所述应用标识符获取预存的重定向URL之后,所述以预存的所述访问权限列表为参数定向到授权页面之前还包括:授权服务判断所述第一重定向URL与预存的重定向URL是否相同,是则以预存的所述访问权限列表为参数定向到授权页面,否则向所述第三方应用返回第一重定向URL无效信息,结束。
7.如权利要求1所述的方法,其特征在于,若所述获取授权码请求中还包括第一访问权限列表;
所述步骤A1之后,所述步骤A2之前还包括:所述授权服务器判断预存的访问权限列表是否包含所述第一访问权限列表,是则所述授权服务器以所述第一访问权限列表为参数定向到预存的授权页面,若接收到允许授权信息则生成授权码,将所述授权码、所述应用标识符和所述第一访问权限列表对应存储;根据所述重定向URL向所述第三方应用回传授权码;执行步骤A3;否则执行步骤A2;
所述生成访问令牌之后,所述将访问令牌发送给第三方应用之前还包括:授权服务器根据应用标识符获取所述第一访问权限列表,将所述访问令牌和所述第一访问权限列表对应存储。
8.如权利要求1所述的方法,其特征在于,所述允许授权信息中具体包括用户允许访问的资源的资源标识组成的第二访问权限列表;
所述将所述授权码和所述应用标识符对应存储具体为:授权服务器将所述授权码、所述应用标识符和所述第二访问权限列表对应存储;
所述生成访问令牌之后,所述将访问令牌发送给第三方应用之前还包括:授权服务器根据应用标识符获取所述第二访问权限列表,将所述访问令牌和所述第二访问权限列表对应存储。
9.如权利要求7或8所述的方法,其特征在于,所述步骤A4之后还包括:
步骤101、第三方应用向资源服务器发送包含所述访问令牌和资源标识的获取资源请求;
步骤102、资源服务器将所述访问令牌和所述资源标识发送给授权服务器;
步骤103、授权服务器判断访问令牌是有效,判断与访问令牌对应保存的权限列表中是否包含所述资源标识,若判断均为是则向资源服务器发送包含资源标识的允许访问信息,执行步骤104,否则结束;
步骤104、资源服务器将与资源标识相对应的资源发送给第三方应用。
10.如权利要求9所述的方法,其特征在于,所述步骤A4还包括:授权服务器获取服务器的当前时间,根据当前时间生成访问令牌过期时间,并将所述访问令牌和所述访问令牌过期时间对应保存;
所述步骤102之后,所述步骤103之前还包括:所述授权服务器根据所述访问令牌获取所述访问令牌过期时间,判断所述访问令牌是否过期,是则结束,否则执行步骤103。
11.如权利要求10所述的方法,其特征在于,所述步骤A4还包括:授权服务器生成刷新令牌,并将所述访问令牌、所述访问令牌过期时间和所述刷新令牌对应保存,将所述访问令牌和所述刷新令牌发送给所述第三方应用;
若所述授权服务器判定访问令牌过期之后还包括:
步骤201、所述授权服务器向所述第三方应用发送访问令牌过期信息;
步骤202、所述第三方应用向所述授权服务器发送包含所述应用标识符、所述应用密码和所述刷新令牌的更新令牌请求;
步骤203、所述授权服务器判断所述刷新令牌是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法,若判断均为是时更新访问令牌,并生成新的访问令牌过期时间,返回步骤A4。
12.如权利要求2或11所述的方法,其特征在于,
所述步骤202具体包括:所述第三方应用将所述应用标识符和所述应用密码进行加密生成应用密文信息,发送包含所述应用密文信息和刷新令牌的更新令牌请求;
所述根据应用标识符和应用密码判断第三方应用是否合法具体包括:授权服务器将所述应用密文信息解密获取所述应用标识符和所述应用密码,并根据所述应用标识符和所述应用密码判断第三方应用是否合法。
13.如权利要求1所述的方法,其特征在于,
所述步骤A2还包括:授权服务器获取服务器当前时间作为授权码生成时间,根据授权码生成时间生成授权码过期时间;
所述步骤A4具体为:所述授权服务器获取服务器当前时间和授权码过期时间,判断授权码是否过期;判断所述授权码是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法,若判断均为是则生成访问令牌,将所述访问令牌发送给所述第三方应用,否则结束。
14.一种资源授权系统,其特征在于,包括第三方应用、授权服务器;
所述第三方应用包括:
第一发送模块,用于向授权服务器发送包含应用标识符的获取授权码请求;
第一接收模块,用于接收授权服务器回传的授权码;
第二发送模块,用于向所述授权服务器发送包含所述授权码、所述应用标识符和所述应用密码的获取令牌请求;
第二接收模块,用于接收授权服务器发送的访问令牌;
所述授权服务器包括:
第三接收模块,用于接收获授权码请求;
第一获取模块,用于根据所述第三接收模块接收到的所述获取授权码请求中的所述应用标识符获取预存的重定向URL;
定向模块,用于以预存的所述访问权限列表为参数定向到授权页面,并接收允许授权信息;
授权码生成模块,若所述定向模块接收到允许授权信息后生成授权码;
第一保存模块,用于将所述授权码生成模块生成的授权码、所述应用标识符和所述预存的访问权限列表对应存储;
第三发送模块,用于根据所述第一获取模块获取到的重定向URL向所述第三方应用回传所述授权码生成模块生成的授权码;
第四接收模块,用于接收所述第三方应用发送的获取令牌请求;
第一判断模块,用于判断所述第四接收模块接收到的获取令牌请求中的所述授权码是否有效,并根据所述第四接收模块接收到的获取令牌请求中的所述应用标识符和所述应用密码判断所述第三方应用是否合法;
访问令牌生成模块,用于若所述第一判断模块判断均为是时生成访问令牌;
第二保存模块,用于根据第四接收模块接收到的获取令牌请求中的所述应用标识符获取所述预存的访问权限列表,将所述访问令牌生成模块生成的访问令牌和所述预存的权限列表对应存储;
第四发送模块,用于将所述访问令牌生成模块生成的所述访问令牌发送给所述第三方应用。
15.如权利要求14所述的系统,其特征在于,所述授权服务器还包括:第三保存模块,用于保存第三方应用的应用标识符、应用密码和重定向URL。
16.如权利要求15所述的系统,其特征在于,
所述第二发送模块包括:
第一加密子模块,用于将应用标识符与应用密码进行加密生成应用密文信息;
第一发送子模块,用于向所述授权服务器发送包含应用密文信息和授权码的获取令牌请求;
所述第四接收模块包括:
第一接收子模块,用于接收所述第三方应用发送的获取令牌请求;
第一解密模块,用于从获取访问令牌请求中获取应用密文信息,将应用密文信息解密获取应用标识符和应用密码。
17.如权利要求14所述的系统,其特征在于,所述授权服务器还包括:
第二判断模块,用于根据所述第三接收模块接收到的获取授权码请求中的应用标识符判断所述第三方应用是否已注册;
所述第一获取模块,具体用于若所述第二判断模块判定第三方应用已注册之后根据所述第三接收模块接收到的所述获取授权码请求中的所述应用标识符获取预存的重定向URL。
18.如权利要求14所述的系统,其特征在于,所述访问权限列表具体为由资源标识形成的列表。
19.如权利要求14所述的系统,其特征在于,所述第三接收模块接收到的所述获取授权码请求中还包括第一重定向URL;
所述授权服务器还包括:
第三判断模块,用于判断所述第一重定向URL与所述第一获取模块获取到的预存的重定向URL是否相同;
所述定向模块,具体用于若所述第三判断模块判定第一重定向URL与所述第一获取模块获取到的预存的重定向URL相同时根据所述第三接收模块接收到的所述获取授权码请求中的所述应用标识符获取预存的重定向URL。
20.如权利要求14所述的系统,其特征在于,所述第三接收模块接收到的所述获取授权码请求中还包括第一访问权限列表;
所述授权服务器还包括:
第四判断模块,用于判断预存的访问权限列表是否包含所述第一访问权限列表;
所述定向模块,具体用于若所述第四判断模块判定预存的访问权限列表包含所述第一访问权限列表时以所述第一访问权限列表为参数定向到授权页面,并接收允许授权信息;所述第一保存模块,用于将所述授权码生成模块生成的授权码、所述应用标识符和所述第一访问权限列表对应存储;所述第二保存模块,用于将所述访问令牌生成模块生成的访问令牌和根据所述获取令牌请求中的所述应用标识符获取到所述第一访问权限列表对应存储;
所述定向模块,还用于若所述第四判断模块判定预存的访问权限列表不包含所述第一访问权限列表时以所述预存的访问权限列表为参数定向到授权页面,并接收允许授权信息;所述第一保存模块,还用于将所述授权码生成模块生成的授权码、所述应用标识符和所述预存的访问权限列表对应存储;所述第二保存模块,还用于将所述访问令牌生成模块生成的访问令牌和根据获取令牌请求中的所述应用标识符获取到的所述预存的访问权限列表对应存储。
21.如权利要求14所述的系统,其特征在于,所述定向模块接收到的所述允许访问信息中包括用户允许访问的资源的资源标识组成的第二访问权限列表;
所述第一保存模块,还用于将所述授权码生成模块生成的授权码、所述应用标识符和所述定向模块接收到的所述允许访问信息中包含的第二访问权限列表对应存储;
所述第二保存模块,还用于将所述访问令牌生成模块生成的访问令牌和将所述定向模块接收到的所述允许访问信息中包含的第二访问权限列表对应存储。
22.如权利要求20或21所述的系统,其特征在于,所述系统还包括资源服务器;
所述第三方应用还包括:
第五发送模块,用于向资源服务器发送包含所述访问令牌和资源标识的获取资源请求;
资源服务器,包括:
第六发送模块,用于接收所述第三方应用发送的获取资源请求,并将所述获取资源请求中的所述访问令牌和所述资源标识发送给授权服务器;
第五接收模块,用于接收所述授权服务器发送的允许访问信息,向所述第三方应用发送与所述资源标识相对应的资源;
所述授权服务器还包括:
第五判断模块,用于接收资源服务器发送的所述访问令牌和所述资源标识;判断所述访问令牌是有效,判断与所述访问令牌访问对应的权限列表中是否包含所述资源标识;
第七发送模块,用于若所述第五判断模块判断均为是时向资源服务器发送包含资源标识的允许访问信息。
23.如权利要求22所述的系统,其特征在于,所述授权服务器还包括:
访问令牌过期时间生成模块,用于获取服务器的当前时间,根据当前时间生成访问令牌过期时间;
所述第二保存模块,用于根据第四接收模块接收到的获取令牌请求中的所述应用标识符获取对应保存的访问权限列表,将所述访问令牌生成模块生成的访问令牌和所述访问令牌过期时间生成模块生成的所述访问令牌过期时间对应存储;
第六判断模块,用于根据所述访问令牌获取所述访问令牌过期时间,判断所述访问令牌是否过期;
所述第五判断模块,用于若所述第六判断模块判定所述访问令牌没有过期之后接收资源服务器发送的所述访问令牌和所述资源标识;判断所述访问令牌是有效,判断与所述访问令牌对应的权限列表中是否包含所述资源标识。
24.如权利要求23所述的系统,其特征在于,所述授权服务器还包括:
刷新令牌生成模块,用于生成刷新令牌;还用于若所述第七判断模块判定所述刷新令牌有效且判定所述第三方应用合法之后生成刷新令牌;
第八发送模块,用于若所述第六判断模块判定所述访问令牌过期之后向所述第三方应用发送访问令牌过期信息;
所述第四发送模块,用于将所述访问令牌生成模块生成的所述访问令牌和所述刷新令牌生成模块生成的刷新令牌发送给所述第三方应用;
所述访问令牌生成模块,还用于若所述第七判断模块判定所述刷新令牌有效且判定所述第三方应用合法之后生成访问令牌;
访问令牌过期时间生成模块,还用于若所述第七判断模块判定所述刷新令牌有效且判定所述第三方应用合法之后获取服务器的当前时间,根据当前时间生成访问令牌过期时间;
所述第二保存模块,用于根据第四接收模块接收到的获取令牌请求中的所述应用标识符获取对应保存的访问权限列表,将所述访问令牌生成模块生成的访问令牌、所述访问令牌过期时间生成模块生成的所述访问令牌过期时间和所述刷新令牌生成模块生成的刷新令牌对应存储;
第六接收模块,用于接收所述第三方应用发送的更新令牌请求;
第七判断模块,用于判断所述刷新令牌是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法;
所述第三方应用还包括:
第八发送模块,用于向所述授权服务器发送包含所述应用标识符、所述应用密码和所述刷新令牌的更新令牌请求。
25.如权利要求15或24所述的系统,其特征在于,
所述第八发送模块,包括:
第二加密子模块,用于将所述应用标识符和所述应用密码进行加密生成应用密文信息;
第二发送子模块,用于发送包含所述应用密文信息和刷新令牌的更新令牌请求;
所述第六接收模块,包括:
第二接收子模块,用于接收所述第三方应用发送的更新令牌请求;
第二解密子模块,用于将所述更新令牌请求中的所述应用密文信息解密获取所述应用标识符和所述应用密码。
26.如权利要求1所述的系统,其特征在于,所述授权服务器还包括:
授权码过期时间生成模块,用于获取服务器当前时间作为授权码生成时间,根据授权码生成时间生成授权码过期时间;
所述第一判断模块,具体用于获取服务器当前时间和授权码过期时间,判断授权码是否过期;判断所述授权码是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法。
27.一种授权服务器的工作方法,其特征在于,包括:
步骤B1、当授权服务器接收到第三方应用发送的包含应用标识符的获取授权码请求时,根据所述应用标识符获取预存的重定向URL,以预存的所述访问权限列表为参数定向到授权页面,若接收到允许授权信息则生成授权码,将所述授权码、所述应用标识符和所述预存的访问权限列表对应存储;根据所述重定向URL向所述第三方应用回传授权码;
步骤B2、当所述授权服务器接收到所述第三方应用发送的包含所述授权码、所述应用标识符和所述应用密码的获取令牌请求时,判断所述授权码是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法,若判断均为是则生成访问令牌,根据应用标识符获取所述预存的访问权限列表,将所述访问令牌和所述预存的权限列表对应存储,将所述访问令牌发送给所述第三方应用,否则结束。
28.如权利要求27所述的方法,其特征在于,所述步骤B1之前还包括:第三方应用在授权服务器进行注册,授权服务器中预存有第三方应用的应用标识符、应用密码和重定向URL。
29.如权利要求28所述的方法,其特征在于,所述根据应用标识符和应用密码判断第三方应用是否合法具体包括,授权服务器从获取访问令牌请求中获取应用密文信息,将应用密文信息解密获取应用标识符和应用密码,根据应用标识符和应用密码判断第三方应用是否合法。
30.如权利要求27所述的方法,其特征在于,所述授权服务器接收到第三方应用发送的包含应用标识符的获取授权码请求之后,所述根据所述应用标识符获取预存的重定向URL之前还包括:所述授权服务器根据所述应用标识符判断所述第三方应用是否已注册,是则根据所述应用标识符获取预存的重定向URL,否则向授权服务器发送应用标识无效信息,结束。
31.如权利要求27所述的方法,其特征在于,所述访问权限列表具体为由资源标识形成的列表。
32.如权利要求27所述的方法,其特征在于,所述获取授权码请求中还包括第一重定向URL;
所述根据所述应用标识符获取预存的重定向URL之后,所述以预存的所述访问权限列表为参数定向到授权页面之前还包括:授权服务判断所述第一重定向URL与预存的重定向URL是否相同,是则以预存的所述访问权限列表为参数定向到授权页面,否则向所述第三方应用返回第一重定向URL无效信息,结束。
33.如权利要求27所述的方法,其特征在于,若所述获取授权码请求中还包括第一访问权限列表;
所述授权服务器接收到第三方应用发送的包含应用标识符的获取授权码请求之后,所述根据所述应用标识符获取预存的重定向URL之前还包括:所述授权服务器判断预存的访问权限列表是否包含所述第一访问权限列表,是则所述授权服务器以所述第一访问权限列表为参数定向到预存的授权页面,若接收到允许授权信息则生成授权码,将所述授权码、所述应用标识符和所述第一访问权限列表对应存储;根据所述重定向URL向所述第三方应用回传授权码;执行步骤B2;否则根据所述应用标识符获取预存的重定向URL;
所述生成访问令牌之后,所述将访问令牌发送给第三方应用之前还包括:授权服务器根据应用标识符获取所述第一访问权限列表,将所述访问令牌和所述第一访问权限列表对应存储。
34.如权利要求27所述的方法,其特征在于,所述允许授权信息中具体包括用户允许访问的资源的资源标识组成的第二访问权限列表;
所述将所述授权码和所述应用标识符对应存储具体为:授权服务器将所述授权码、所述应用标识符和所述第二访问权限列表对应存储;
所述生成访问令牌之后,所述将访问令牌发送给第三方应用之前还包括:授权服务器根据应用标识符获取所述第二访问权限列表,将所述访问令牌和所述第二访问权限列表对应存储。
35.如权利要求33或34所述的方法,其特征在于,所述步骤B2之后还包括:
当授权服务器接收到资源服务器发送的所述访问令牌和所述资源标识之后,判断访问令牌是有效,判断与访问令牌对应保存的权限列表中是否包含所述资源标识,若判断均为是则向资源服务器发送包含资源标识的允许访问信息。
36.如权利要求35所述的方法,其特征在于,所述步骤B2还包括:授权服务器获取服务器的当前时间,根据当前时间生成访问令牌过期时间,并将所述访问令牌和所述访问令牌过期时间对应保存;
所述接收到资源服务器发送的所述访问令牌和所述资源标识之后,所述判断访问令牌是有效之前还包括:所述授权服务器根据所述访问令牌获取所述访问令牌过期时间,判断所述访问令牌是否过期,是则结束,否则判断访问令牌是有效。
37.如权利要求36所述的方法,其特征在于,所述步骤B2还包括:授权服务器生成刷新令牌,并将所述访问令牌、所述访问令牌过期时间和所述刷新令牌对应保存,将所述访问令牌和所述刷新令牌发送给所述第三方应用;
若所述授权服务器判定访问令牌过期之后还包括:
步骤301、所述授权服务器向所述第三方应用发送访问令牌过期信息;
步骤302、当所述授权服务器接收到所述第三方应用发送的包含所述应用标识符、所述应用密码和所述刷新令牌的更新令牌请求之后,判断所述刷新令牌是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法,若判断均为是则更新访问令牌,并生成新的访问令牌过期时间,返回步骤B2。
38.如权利要求28或37所述的方法,其特征在于,
所述根据应用标识符和应用密码判断第三方应用是否合法具体包括:授权服务器将所述应用密文信息解密获取所述应用标识符和所述应用密码,并根据所述应用标识符和所述应用密码判断第三方应用是否合法。
39.如权利要求27所述的方法,其特征在于,
所述步骤B1还包括:授权服务器获取服务器当前时间作为授权码生成时间,根据授权码生成时间生成授权码过期时间;
所述步骤B2具体为:所述授权服务器获取服务器当前时间和授权码过期时间,判断授权码是否过期;判断所述授权码是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法,若判断均为是则生成访问令牌,将所述访问令牌发送给所述第三方应用,否则结束。
40.一种授权服务器,其特征在于,包括
第三接收模块,用于接收获授权码请求;
第一获取模块,用于根据所述第三接收模块接收到的所述获取授权码请求中的所述应用标识符获取预存的重定向URL;
定向模块,用于以预存的所述访问权限列表为参数定向到授权页面,并接收允许授权信息;
授权码生成模块,用于若所述定向模块接收到允许授权信息后生成授权码;
第一保存模块,用于将所述授权码生成模块生成的授权码、所述应用标识符和所述预存的访问权限列表对应存储;
第三发送模块,用于根据所述第一获取模块获取到的重定向URL向所述第三方应用回传所述授权码生成模块生成的授权码;
第四接收模块,用于接收所述第三方应用发送的获取令牌请求;
第一判断模块,用于判断所述第四接收模块接收到的获取令牌请求中的所述授权码是否有效,并根据所述第四接收模块接收到的获取令牌请求中的所述应用标识符和所述应用密码判断所述第三方应用是否合法;
访问令牌生成模块,用于若所述第一判断模块判断均为是时生成访问令牌;
第二保存模块,用于根据第四接收模块接收到的获取令牌请求中的所述应用标识符获取所述预存的访问权限列表,将所述访问令牌生成模块生成的访问令牌和所述预存的权限列表对应存储;
第四发送模块,用于将所述访问令牌生成模块生成的所述访问令牌发送给所述第三方应用。
41.如权利要求40所述的服务器,其特征在于,还包括:第三保存模块,用于保存第三方应用的应用标识符、应用密码和重定向URL。
42.如权利要求41所述的服务器,其特征在于,所述第四接收模块包括:
第一接收子模块,用于接收所述第三方应用发送的获取令牌请求;
第一解密模块,用于从获取访问令牌请求中获取应用密文信息,将应用密文信息解密获取应用标识符和应用密码。
43.如权利要求40所述的服务器,其特征在于,还包括:
第二判断模块,用于根据所述第三接收模块接收到的获取授权码请求中的应用标识符判断所述第三方应用是否已注册;
所述第一获取模块,具体用于若所述第二判断模块判定第三方应用已注册之后根据所述第三接收模块接收到的所述获取授权码请求中的所述应用标识符获取预存的重定向URL。
44.如权利要求40所述的服务器,其特征在于,所述访问权限列表具体为由资源标识形成的列表。
45.如权利要求40所述的服务器,其特征在于,所述第三接收模块接收到的所述获取授权码请求中还包括第一重定向URL;
所述服务器还包括:
第三判断模块,用于判断所述第一重定向URL与所述第一获取模块获取到的预存的重定向URL是否相同;
所述定向模块,具体用于若所述第三判断模块判定第一重定向URL与所述第一获取模块获取到的预存的重定向URL相同时根据所述第三接收模块接收到的所述获取授权码请求中的所述应用标识符获取预存的重定向URL。
46.如权利要求40所述的服务器,其特征在于,所述第三接收模块接收到的所述获取授权码请求中还包括第一访问权限列表;
所述服务器还包括:
第四判断模块,用于判断预存的访问权限列表是否包含所述第一访问权限列表;
所述定向模块,具体用于若所述第四判断模块判定预存的访问权限列表包含所述第一访问权限列表时以所述第一访问权限列表为参数定向到授权页面,并接收允许授权信息;所述第一保存模块,用于将所述授权码生成模块生成的授权码、所述应用标识符和所述第一访问权限列表对应存储;所述第二保存模块,用于将所述访问令牌生成模块生成的访问令牌和根据所述获取令牌请求中的所述应用标识符获取到所述第一访问权限列表对应存储;
所述定向模块,还用于若所述第四判断模块判定预存的访问权限列表不包含所述第一访问权限列表时以所述预存的访问权限列表为参数定向到授权页面,并接收允许授权信息;所述第一保存模块,还用于将所述授权码生成模块生成的授权码、所述应用标识符和所述预存的访问权限列表对应存储;所述第二保存模块,还用于将所述访问令牌生成模块生成的访问令牌和根据获取令牌请求中的所述应用标识符获取到的所述预存的访问权限列表对应存储。
47.如权利要求40所述的服务器,其特征在于,所述定向模块接收到的所述允许访问信息中包括用户允许访问的资源的资源标识组成的第二访问权限列表;
所述第一保存模块,还用于将所述授权码生成模块生成的授权码、所述应用标识符和所述定向模块接收到的所述允许访问信息中包含的第二访问权限列表对应存储;
所述第二保存模块,还用于将所述访问令牌生成模块生成的访问令牌和所述定向模块接收到的所述允许访问信息中包含的第二访问权限列表对应存储。
48.如权利要求46或47所述的服务器,其特征在于,
第五判断模块,用于接收资源服务器发送的所述访问令牌和所述资源标识;判断所述访问令牌是有效,判断与所述访问令牌访问对应的权限列表中是否包含所述资源标识;
第七发送模块,用于若所述第五判断模块判断均为是时向资源服务器发送包含资源标识的允许访问信息。
49.如权利要求48所述的服务器,其特征在于,还包括:
访问令牌过期时间生成模块,用于获取服务器的当前时间,根据当前时间生成访问令牌过期时间;
所述第二保存模块,用于根据第四接收模块接收到的获取令牌请求中的所述应用标识符获取对应保存的访问权限列表,将所述访问令牌生成模块生成的访问令牌和所述访问令牌过期时间生成模块生成的所述访问令牌过期时间对应存储;
第六判断模块,用于根据所述访问令牌获取所述访问令牌过期时间,判断所述访问令牌是否过期;
所述第五判断模块,用于若所述第六判断模块判定所述访问令牌没有过期之后接收资源服务器发送的所述访问令牌和所述资源标识;判断所述访问令牌是有效,判断与所述访问令牌访问对应的权限列表中是否包含所述资源标识。
50.如权利要求49所述的服务器,其特征在于,还包括:
刷新令牌生成模块,用于生成刷新令牌;还用于若所述第七判断模块判定所述刷新令牌有效且判定所述第三方应用合法之后生成刷新令牌;
第八发送模块,用于若所述第六判断模块判定所述访问令牌过期之后向所述第三方应用发送访问令牌过期信息;
所述第四发送模块,用于将所述访问令牌生成模块生成的所述访问令牌和所述刷新令牌生成模块生成的刷新令牌发送给所述第三方应用;
所述访问令牌生成模块,还用于若所述第七判断模块判定所述刷新令牌有效且判定所述第三方应用合法之后生成访问令牌;
所述访问令牌过期时间生成模块,还用于若所述第七判断模块判定所述刷新令牌有效且判定所述第三方应用合法之后获取服务器的当前时间,根据当前时间生成访问令牌过期时间;
所述第二保存模块,用于根据第四接收模块接收到的获取令牌请求中的所述应用标识符获取对应保存的访问权限列表,将所述访问令牌生成模块生成的访问令牌、所述访问令牌过期时间生成模块生成的所述访问令牌过期时间和所述刷新令牌生成模块生成的刷新令牌对应存储;
第六接收模块,用于接收所述第三方应用发送的更新令牌请求;
第七判断模块,用于判断所述刷新令牌是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法;
所述第三方应用还包括:
第八发送模块,用于向所述授权服务器发送包含所述应用标识符、所述应用密码和所述刷新令牌的更新令牌请求。
51.如权利要求41或50所述的服务器,其特征在于,
所述第六接收模块,包括:
第二接收子模块,用于接收所述第三方应用发送的更新令牌请求;
第二解密子模块,用于将所述更新令牌请求中的所述应用密文信息解密获取所述应用标识符和所述应用密码。
52.如权利要求40所述的服务器,其特征在于,还包括:
授权码过期时间生成模块,用于获取服务器当前时间作为授权码生成时间,根据授权码生成时间生成授权码过期时间;
所述第一判断模块,具体用于获取服务器当前时间和授权码过期时间,判断授权码是否过期;判断所述授权码是否有效,并根据所述应用标识符和所述应用密码判断所述第三方应用是否合法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610585856.9A CN106295394B (zh) | 2016-07-22 | 2016-07-22 | 资源授权方法及系统和授权服务器及工作方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610585856.9A CN106295394B (zh) | 2016-07-22 | 2016-07-22 | 资源授权方法及系统和授权服务器及工作方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106295394A true CN106295394A (zh) | 2017-01-04 |
CN106295394B CN106295394B (zh) | 2018-11-23 |
Family
ID=57652339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610585856.9A Active CN106295394B (zh) | 2016-07-22 | 2016-07-22 | 资源授权方法及系统和授权服务器及工作方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106295394B (zh) |
Cited By (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106780191A (zh) * | 2017-02-14 | 2017-05-31 | 温州市云锁智能科技有限公司 | 安防系统的保安团队授权和用户向保安团队授权的方法 |
CN106878283A (zh) * | 2017-01-13 | 2017-06-20 | 新华三技术有限公司 | 一种认证方法及装置 |
CN107528843A (zh) * | 2017-08-24 | 2017-12-29 | 山东浪潮通软信息科技有限公司 | 一种网络请求的处理方法及处理装置 |
CN107645504A (zh) * | 2017-09-26 | 2018-01-30 | 泰康保险集团股份有限公司 | 邮箱系统的授权方法、装置和设备 |
CN107896227A (zh) * | 2017-12-14 | 2018-04-10 | 珠海格力电器股份有限公司 | 一种数据调用方法、装置及设备数据云平台 |
CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
CN108881355A (zh) * | 2017-05-16 | 2018-11-23 | 纬创资通股份有限公司 | 基于物联网架构的监控方法、雾运算终端以及物联网系统 |
CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
CN109787984A (zh) * | 2019-01-24 | 2019-05-21 | 北京亿幕信息技术有限公司 | 一种第三方授权token管理方法和系统 |
CN109922031A (zh) * | 2017-12-13 | 2019-06-21 | 金联汇通信息技术有限公司 | 一种身份认证复核的方法、装置及服务器 |
CN109951432A (zh) * | 2017-12-21 | 2019-06-28 | 国民技术股份有限公司 | 授权认证方法、用户终端、装置、服务器及存储介质 |
CN109995699A (zh) * | 2017-12-29 | 2019-07-09 | 上海智显光电科技有限公司 | 多媒体设备管理系统及管理方法 |
CN110266661A (zh) * | 2019-06-04 | 2019-09-20 | 东软集团股份有限公司 | 一种授权方法、装置及设备 |
CN110414207A (zh) * | 2019-07-31 | 2019-11-05 | 咪付(深圳)网络技术有限公司 | 一种app接口权限控制方法 |
CN110730174A (zh) * | 2019-10-16 | 2020-01-24 | 东软集团股份有限公司 | 一种网络访问控制方法、装置、设备及介质 |
CN110784457A (zh) * | 2019-10-17 | 2020-02-11 | 中诚信征信有限公司 | 一种业务访问方法及装置 |
CN110955871A (zh) * | 2018-09-26 | 2020-04-03 | 北京国双科技有限公司 | 一种数据获取方法及装置 |
CN110990796A (zh) * | 2019-11-26 | 2020-04-10 | 广州至真信息科技有限公司 | 一种应用处理方法、装置、应用服务器和存储介质 |
CN111131242A (zh) * | 2019-12-24 | 2020-05-08 | 北京格林威尔科技发展有限公司 | 一种权限控制方法、装置和系统 |
CN111143822A (zh) * | 2019-12-24 | 2020-05-12 | 浙江诺诺网络科技有限公司 | 一种应用系统访问方法及装置 |
CN111385267A (zh) * | 2018-12-29 | 2020-07-07 | 金联汇通信息技术有限公司 | 应用的授权控制方法、装置及电子设备 |
CN111585954A (zh) * | 2020-03-26 | 2020-08-25 | 中国平安财产保险股份有限公司 | 鉴权方法、装置、计算机设备及存储介质 |
CN111698264A (zh) * | 2020-06-28 | 2020-09-22 | 京东数字科技控股有限公司 | 用于保持用户认证会话的方法和装置 |
CN111753283A (zh) * | 2020-06-30 | 2020-10-09 | 重庆长安汽车股份有限公司 | 一种终端第三方应用批量授权方法 |
CN111818088A (zh) * | 2020-07-28 | 2020-10-23 | 深圳壹账通智能科技有限公司 | 授权模式管理方法、装置、计算机设备及可读存储介质 |
CN112235277A (zh) * | 2020-10-09 | 2021-01-15 | 北京达佳互联信息技术有限公司 | 资源请求方法、资源响应方法及相关设备 |
CN112565293A (zh) * | 2020-12-23 | 2021-03-26 | 平安养老保险股份有限公司 | 信息安全管理方法、装置、计算机设备及可读存储介质 |
CN112579996A (zh) * | 2019-09-29 | 2021-03-30 | 杭州海康威视数字技术股份有限公司 | 临时授权方法及装置 |
CN112650954A (zh) * | 2020-12-30 | 2021-04-13 | 杭州趣链科技有限公司 | 区块链数据分享方法、装置、设备及存储介质 |
CN112989426A (zh) * | 2021-04-30 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 授权认证方法及装置、资源访问令牌的获取方法 |
CN113553572A (zh) * | 2021-07-02 | 2021-10-26 | 深圳追一科技有限公司 | 资源信息获取方法、装置、计算机设备和存储介质 |
CN113810367A (zh) * | 2021-08-02 | 2021-12-17 | 浪潮软件股份有限公司 | 一种基于动态令牌方式的混合数据验证访问控制方法 |
CN115001755A (zh) * | 2022-05-13 | 2022-09-02 | 北京航天驭星科技有限公司 | Api授权与访问控制方法、系统、电子设备及存储介质 |
CN115174200A (zh) * | 2022-06-30 | 2022-10-11 | 青岛海信网络科技股份有限公司 | 一种第三方认证方法、装置及设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010000298A1 (en) * | 2008-06-30 | 2010-01-07 | Nokia Siemens Networks Oy | Apparatus, method and program for integrated authentication |
CN102761549A (zh) * | 2012-07-03 | 2012-10-31 | 中国联合网络通信集团有限公司 | 资源共享的处理方法和系统以及业务平台 |
US20130086645A1 (en) * | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Oauth framework |
CN103139181A (zh) * | 2011-12-01 | 2013-06-05 | 华为技术有限公司 | 一种开放式认证的授权方法、装置和系统 |
CN104954330A (zh) * | 2014-03-27 | 2015-09-30 | 华为软件技术有限公司 | 一种对数据资源进行访问的方法、装置和系统 |
CN105577691A (zh) * | 2016-02-03 | 2016-05-11 | 飞天诚信科技股份有限公司 | 一种安全访问方法和服务器 |
CN105656856A (zh) * | 2014-11-14 | 2016-06-08 | 中兴通讯股份有限公司 | 资源管理方法和装置 |
-
2016
- 2016-07-22 CN CN201610585856.9A patent/CN106295394B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010000298A1 (en) * | 2008-06-30 | 2010-01-07 | Nokia Siemens Networks Oy | Apparatus, method and program for integrated authentication |
US20130086645A1 (en) * | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Oauth framework |
CN103139181A (zh) * | 2011-12-01 | 2013-06-05 | 华为技术有限公司 | 一种开放式认证的授权方法、装置和系统 |
CN102761549A (zh) * | 2012-07-03 | 2012-10-31 | 中国联合网络通信集团有限公司 | 资源共享的处理方法和系统以及业务平台 |
CN104954330A (zh) * | 2014-03-27 | 2015-09-30 | 华为软件技术有限公司 | 一种对数据资源进行访问的方法、装置和系统 |
CN105656856A (zh) * | 2014-11-14 | 2016-06-08 | 中兴通讯股份有限公司 | 资源管理方法和装置 |
CN105577691A (zh) * | 2016-02-03 | 2016-05-11 | 飞天诚信科技股份有限公司 | 一种安全访问方法和服务器 |
Non-Patent Citations (1)
Title |
---|
刘镝等: ""基于国内开放平台的Oauth认证框架研究"", 《信息通信技术》 * |
Cited By (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106878283B (zh) * | 2017-01-13 | 2020-06-26 | 新华三技术有限公司 | 一种认证方法及装置 |
CN106878283A (zh) * | 2017-01-13 | 2017-06-20 | 新华三技术有限公司 | 一种认证方法及装置 |
CN106780191A (zh) * | 2017-02-14 | 2017-05-31 | 温州市云锁智能科技有限公司 | 安防系统的保安团队授权和用户向保安团队授权的方法 |
CN108881355B (zh) * | 2017-05-16 | 2021-02-09 | 纬创资通股份有限公司 | 基于物联网架构的监控方法、雾运算终端以及物联网系统 |
CN108881355A (zh) * | 2017-05-16 | 2018-11-23 | 纬创资通股份有限公司 | 基于物联网架构的监控方法、雾运算终端以及物联网系统 |
US11362887B2 (en) | 2017-05-16 | 2022-06-14 | Wistron Corporation | Monitoring method based on internet of things, fog computing terminal and internet of things system |
CN107528843A (zh) * | 2017-08-24 | 2017-12-29 | 山东浪潮通软信息科技有限公司 | 一种网络请求的处理方法及处理装置 |
CN107645504A (zh) * | 2017-09-26 | 2018-01-30 | 泰康保险集团股份有限公司 | 邮箱系统的授权方法、装置和设备 |
CN109922031B (zh) * | 2017-12-13 | 2021-07-27 | 金联汇通信息技术有限公司 | 一种身份认证复核的方法、装置及服务器 |
CN109922031A (zh) * | 2017-12-13 | 2019-06-21 | 金联汇通信息技术有限公司 | 一种身份认证复核的方法、装置及服务器 |
CN107896227A (zh) * | 2017-12-14 | 2018-04-10 | 珠海格力电器股份有限公司 | 一种数据调用方法、装置及设备数据云平台 |
CN109951432A (zh) * | 2017-12-21 | 2019-06-28 | 国民技术股份有限公司 | 授权认证方法、用户终端、装置、服务器及存储介质 |
CN109995699A (zh) * | 2017-12-29 | 2019-07-09 | 上海智显光电科技有限公司 | 多媒体设备管理系统及管理方法 |
CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
CN109033774B (zh) * | 2018-08-31 | 2020-08-07 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
CN110955871A (zh) * | 2018-09-26 | 2020-04-03 | 北京国双科技有限公司 | 一种数据获取方法及装置 |
CN111385267B (zh) * | 2018-12-29 | 2022-06-21 | 金联汇通信息技术有限公司 | 应用的授权控制方法、装置及电子设备 |
CN111385267A (zh) * | 2018-12-29 | 2020-07-07 | 金联汇通信息技术有限公司 | 应用的授权控制方法、装置及电子设备 |
CN109787984A (zh) * | 2019-01-24 | 2019-05-21 | 北京亿幕信息技术有限公司 | 一种第三方授权token管理方法和系统 |
CN110266661A (zh) * | 2019-06-04 | 2019-09-20 | 东软集团股份有限公司 | 一种授权方法、装置及设备 |
CN110266661B (zh) * | 2019-06-04 | 2021-09-14 | 东软集团股份有限公司 | 一种授权方法、装置及设备 |
CN110414207A (zh) * | 2019-07-31 | 2019-11-05 | 咪付(深圳)网络技术有限公司 | 一种app接口权限控制方法 |
CN112579996B (zh) * | 2019-09-29 | 2023-11-03 | 杭州海康威视数字技术股份有限公司 | 临时授权方法及装置 |
CN112579996A (zh) * | 2019-09-29 | 2021-03-30 | 杭州海康威视数字技术股份有限公司 | 临时授权方法及装置 |
CN110730174B (zh) * | 2019-10-16 | 2021-12-31 | 东软集团股份有限公司 | 一种网络访问控制方法、装置、设备及介质 |
CN110730174A (zh) * | 2019-10-16 | 2020-01-24 | 东软集团股份有限公司 | 一种网络访问控制方法、装置、设备及介质 |
CN110784457A (zh) * | 2019-10-17 | 2020-02-11 | 中诚信征信有限公司 | 一种业务访问方法及装置 |
CN110784457B (zh) * | 2019-10-17 | 2022-08-19 | 中诚信征信有限公司 | 一种业务访问方法及装置 |
CN110990796A (zh) * | 2019-11-26 | 2020-04-10 | 广州至真信息科技有限公司 | 一种应用处理方法、装置、应用服务器和存储介质 |
CN110990796B (zh) * | 2019-11-26 | 2022-02-11 | 广州至真信息科技有限公司 | 一种应用处理方法、装置、应用服务器和存储介质 |
CN111143822A (zh) * | 2019-12-24 | 2020-05-12 | 浙江诺诺网络科技有限公司 | 一种应用系统访问方法及装置 |
CN111131242A (zh) * | 2019-12-24 | 2020-05-08 | 北京格林威尔科技发展有限公司 | 一种权限控制方法、装置和系统 |
CN111131242B (zh) * | 2019-12-24 | 2023-01-03 | 北京格林威尔科技发展有限公司 | 一种权限控制方法、装置和系统 |
CN111585954A (zh) * | 2020-03-26 | 2020-08-25 | 中国平安财产保险股份有限公司 | 鉴权方法、装置、计算机设备及存储介质 |
CN111698264A (zh) * | 2020-06-28 | 2020-09-22 | 京东数字科技控股有限公司 | 用于保持用户认证会话的方法和装置 |
CN111753283A (zh) * | 2020-06-30 | 2020-10-09 | 重庆长安汽车股份有限公司 | 一种终端第三方应用批量授权方法 |
CN111818088A (zh) * | 2020-07-28 | 2020-10-23 | 深圳壹账通智能科技有限公司 | 授权模式管理方法、装置、计算机设备及可读存储介质 |
CN112235277A (zh) * | 2020-10-09 | 2021-01-15 | 北京达佳互联信息技术有限公司 | 资源请求方法、资源响应方法及相关设备 |
CN112565293A (zh) * | 2020-12-23 | 2021-03-26 | 平安养老保险股份有限公司 | 信息安全管理方法、装置、计算机设备及可读存储介质 |
CN112650954B (zh) * | 2020-12-30 | 2023-09-22 | 杭州趣链科技有限公司 | 区块链数据分享方法、装置、设备及存储介质 |
CN112650954A (zh) * | 2020-12-30 | 2021-04-13 | 杭州趣链科技有限公司 | 区块链数据分享方法、装置、设备及存储介质 |
CN112989426A (zh) * | 2021-04-30 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 授权认证方法及装置、资源访问令牌的获取方法 |
CN113553572A (zh) * | 2021-07-02 | 2021-10-26 | 深圳追一科技有限公司 | 资源信息获取方法、装置、计算机设备和存储介质 |
CN113810367A (zh) * | 2021-08-02 | 2021-12-17 | 浪潮软件股份有限公司 | 一种基于动态令牌方式的混合数据验证访问控制方法 |
CN115001755A (zh) * | 2022-05-13 | 2022-09-02 | 北京航天驭星科技有限公司 | Api授权与访问控制方法、系统、电子设备及存储介质 |
CN115001755B (zh) * | 2022-05-13 | 2023-02-03 | 北京航天驭星科技有限公司 | Api授权与访问控制方法、系统、电子设备及存储介质 |
CN115174200A (zh) * | 2022-06-30 | 2022-10-11 | 青岛海信网络科技股份有限公司 | 一种第三方认证方法、装置及设备 |
CN115174200B (zh) * | 2022-06-30 | 2024-03-08 | 青岛海信网络科技股份有限公司 | 一种第三方认证方法、装置及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN106295394B (zh) | 2018-11-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106295394B (zh) | 资源授权方法及系统和授权服务器及工作方法 | |
CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
CN106973041B (zh) | 一种颁发身份认证凭据的方法、系统及认证服务器 | |
CN107359996B (zh) | 多网站间的自动登录方法及装置 | |
CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
US8935762B2 (en) | Authentication system and method | |
US8245030B2 (en) | Method for authenticating online transactions using a browser | |
US6668322B1 (en) | Access management system and method employing secure credentials | |
US8631481B2 (en) | Access to a network for distributing digital content | |
CN106230838A (zh) | 一种第三方应用访问资源的方法和装置 | |
CN103581118B (zh) | 一种资源汇聚网关及跨平台授权方法与系统 | |
CN106209749A (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
CN107979514A (zh) | 一种对设备进行绑定的方法和设备 | |
CN105991614B (zh) | 一种开放授权、资源访问的方法及装置、服务器 | |
CN108833507B (zh) | 一种共享产品的授权认证系统及方法 | |
EP1485771A1 (en) | Single sign-on secure service access | |
CN107124433A (zh) | 物联网系统、物联网设备访问方法、访问授权方法及设备 | |
CN105554004A (zh) | 一种混合云计算环境中容器服务的认证系统和方法 | |
RU2007138849A (ru) | Сетевые коммерческие транзакции | |
CN108259431A (zh) | 多应用间共享账号信息的方法、装置及系统 | |
CN113645247A (zh) | 一种基于http协议的权限认证控制方法及存储介质 | |
CN104247485B (zh) | 在通用自举架构中的网络应用功能授权 | |
CN106850612A (zh) | 一种面向云化系统的密码管理方法及系统 | |
CN111010396A (zh) | 一种互联网身份认证管理方法 | |
CN108449364A (zh) | 一种分布式身份认证方法及云认证节点 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |