CN106856475B - 授权服务器以及认证协作系统 - Google Patents
授权服务器以及认证协作系统 Download PDFInfo
- Publication number
- CN106856475B CN106856475B CN201611101404.5A CN201611101404A CN106856475B CN 106856475 B CN106856475 B CN 106856475B CN 201611101404 A CN201611101404 A CN 201611101404A CN 106856475 B CN106856475 B CN 106856475B
- Authority
- CN
- China
- Prior art keywords
- server
- information
- authorization token
- client
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种授权服务器以及认证协作系统。从已经从客户端接收到与授权令牌一起的处理请求的应用服务器,接收包括授权令牌的授权令牌验证请求,并且,在基于接收到的授权令牌和授权令牌信息成功验证授权令牌的情况下,向应用服务器发送授权令牌信息中包括的本地用户信息。
Description
技术领域
本发明涉及例如云服务的服务与本地服务之间的授权服务器以及认证协作系统。
背景技术
近年来,使服务器向互联网开放以向客户端提供服务的云计算服务(或云服务)已经受到关注。基本上,云计算服务可以通过使用许多计算资源来分布并执行数据转换和数据处理,并且通过进行分布并行处理来并行地处理来自许多客户端的请求。目前,存在如此多的销售商,各个销售商在云计算服务环境上实施Web服务以实现如上所述的云计算服务,导致Web上提供的各种各样的服务。在开发云服务时,提供商已经在web上提供的许多服务可以被有效地用来提供新功能,使得能够在开发速度和开发成本上获得优势。另一方面,在过去,例如,运营商可以拥有自己的服务器等并且可以操作许多内部部署(ON-premise)系统。将所有内部系统一起传送到云服务可能是困难的。因此,可以以逐步的方式将部分内部部署系统传送到云服务。结果,增加的用户数量可以彼此协作地利用内部部署服务和云服务二者。参见PCT日文特表2015-518198号公报。
发明内容
当使用协作的内部部署服务和云服务时,因为如传统的内部部署系统中的本地认证(例如LDAP)和云认证不同,所以单点登录(Single Sign On,在下文中也被称为SSO)是极其合适的。根据传统技术,内部部署系统的本地认证可以与云服务中构建的本地认证服务同步,使得对云服务和内部部署系统二者的登录服务的登录能够开始用户ID配置。例如,这可以开始包括关于用户账户(例如用户ID)的信息的生成和维护的管理。之后,当用户使用VPN以登录用于云服务的本地认证服务时,用户能够利用与用户相关联的凭证信息来登录云服务。
然而,一个缺点涉及了对于所有用户的用户ID配置所需的本地认证与云服务认证之间的协作。因为每当用户数量增加或减少时需要维护用户ID配置,这会增加用于用户管理的操作成本。
鉴于如上所述的传统示例做出了本发明的各方面。本发明的各方面提供了能够消除对本地认证与云服务认证之间的用户ID配置的必需性的授权服务器、认证协作系统和程序。
因为本地认证与云服务认证之间的ID配置不是必需的,所以本发明的一方面还能够降低操作负荷。
示例性实施例具有以下构造。
本发明的一方面提供一种授权服务器,所述授权服务器包括:用于在响应于授权令牌生成请求而基于客户端信息成功认证客户端的情况下,向客户端发送授权令牌,并且通过将与授权令牌生成请求一起接收到的本地用户信息与授权令牌相关联生成并存储授权令牌信息的单元,其中,所述本地用户信息是:作为云服务的客户端的应用服务器请求云服务所响应于的请求的请求用户的识别信息,以及应答单元,其用于从已经从客户端接收到与授权令牌一起的处理请求的作为云服务的客户端的应用服务器,接收包括授权令牌的授权令牌验证请求,并且,在基于接收到的授权令牌和授权令牌信息成功验证授权令牌的情况下,向应用服务器发送授权令牌信息中包括的本地用户信息。
本发明的另一方面提供一种应用服务器,所述应用服务器包括:用于存储针对各个租户的本地认证协作模式的单元,
用于当从客户端接收到与授权令牌一起的处理请求时,向授权服务器发送授权令牌验证请求,并且作为授权令牌验证请求成功的结果的应答,接收包括与授权令牌相关联的本地用户信息的授权令牌信息的单元,以及
处理单元,其用于处理针对本地用户信息中描述的用户或针对客户端的处理请求。
本发明的另一方面提供一种认证协作系统,其包括:
授权服务器,所述授权服务器包括
用于在响应于授权令牌生成请求而基于客户端信息成功认证客户端的情况下,向客户端发送授权令牌,并且通过将与授权令牌生成请求一起接收到的本地用户信息与授权令牌相关联生成并存储授权令牌信息的单元,以及
应答单元,其用于从已经从客户端接收到与授权令牌一起的处理请求的应用服务器,接收包括授权令牌的授权令牌验证请求,并且,在基于接收到的授权令牌和授权令牌信息成功验证授权令牌的情况下,向应用服务器发送授权令牌信息中包括的本地用户信息。
应用服务器,所述应用服务器在向所述认证服务器发送认证令牌验证请求之前不存储用户信息,所述应用服务器包括
用于当从客户端接收到与授权令牌一起的处理请求时,向授权服务器发送授权令牌验证请求,并且作为授权令牌验证请求成功的结果的应答,接收包括与授权令牌相关联的本地用户信息的授权令牌信息的单元,以及
处理单元,其用于处理针对本地用户信息中描述的用户或针对客户端的处理请求。
通过以下参照附图对示例性实施例的描述,本发明的其他特征将变得清楚。
附图说明
图1例示了系统构造图。
图2A和图2B例示了装置的硬件构造图。
图3例示了在本地认证服务器中管理的表结构。
图4A和图4B例示了在业务服务器中管理的表结构。
图5A和图5B例示了在授权服务器中管理的表结构。
图6A至图6C例示了在表单服务器中管理的表结构。
图7A至图7C例示了在数据转换服务器中管理的表结构。
图8例示了在存储服务器中管理的表结构。
图9A至图9C例示了移动终端的画面示例。
图10例示了用于生成业务表单SVG的流程。
图11例示了用于发布授权令牌的流程。
图12例示了用于使用授权令牌的流程。
图13是装置的软件构造图。
图14是以时间序列例示用于生成业务表单SVG的流程的序列图。
图15是以时间序列例示用于生成业务表单SVG的流程的序列图。
具体实施方式
下面,将参照附图描述本发明的示例性实施例。
第一示例性实施例
系统构造
图1例示了包括根据本发明的示例性实施例的认证协作系统的移动打印系统的整体构造。参照图1,一个或多个移动终端102连接到本地网络101。移动终端102能够通过本地网络101接入互联网100以访问服务器104至109。移动终端102通过有线LAN或无线LAN连接到网络。该示例性实施例假设移动终端102通过无线LAN接入点103连接到网络,但是还包括移动终端102通过由移动数据通信运营商提供的无线网络连接的情况。无线LAN接入点103是具有一般网络路由器功能的无线LAN基本单元,并且家庭式地或在办公室内提供无线LAN。移动终端有时可以被称为客户端终端、客户端或终端。
安全域110至112中的各个表示用户可访问的、认证和授权的范围,并且不允许超越这样的安全域使用认证和授权的用户或授权令牌。换言之,安全域可以是指认证或授权的有效范围。本地认证安全域110表示由本地认证服务器104认证的用户可访问范围,并且业务服务器105属于本地认证安全域110。业务表单服务安全域111表示通过使用由授权服务器106发布的授权令牌可访问的范围,并且表单服务器107和数据转换服务器108属于业务表单服务安全域111。存储服务安全域112表示通过使用由存储服务安全域授权服务器(未例示)发布的授权令牌可访问的范围,并且存储服务器109属于存储服务安全域112。参照图1,本地认证安全域110对应于内部部署系统,而业务表单服务安全域111和存储服务安全域112对应于云系统。
本地认证服务器104是用于执行用于对业务服务器105的访问的用户认证的服务器。如果用户被本地认证服务器104认证,则允许她/他访问业务服务器105。作为本地认证方法,通常可以使用LDAP,但是根据该示例性实施例,可以使用仅包括确认用户名、密码和域的匹配的简单认证方法。然而,这仅仅是为了说明的目的而给出的。根据本示例性实施例的发明还可应用于通过使用用户的唯一认证信息来进行用户认证的其他认证方法。
业务服务器105是被构造为管理用户工作信息的服务器。该示例性实施例假设如下的使用情况:在业务服务器105中逐个客户端地管理用于销售的产品,使得业务服务器105中的信息可以由销售人员用于销售工作。业务服务器105响应于来自移动终端102的请求,提供用于对用户工作信息进行显示和编辑的画面。授权服务器106是用于实现OAuth的服务器,并且被构造为管理客户端信息并且发布和管理授权令牌。表单服务器107是被构造为从业务服务器105接收用户工作信息并且对通过将用户工作信息反映到表单模板而生成的业务表单PDF进行管理的服务器。表单服务器107请求数据转换服务器108将所生成的业务表单PDF转换为业务表单SVG(可伸缩矢量图形,Scalable Vector Graphics)。数据转换服务器108是被构造为从表单服务器107接收对业务表单SVG转换的请求并且将业务表单PDF数据转换为业务表单SVG并进行管理的服务器。存储服务器109是被构造为进行文件管理并且从移动终端102、表单服务器107和数据转换服务器108接收文件上载/下载的服务器。Oauth是用于在用户同意作为前提下安全地接收和发送(或传送)用户授权的机制,授权服务器106是实现该机制的服务器。根据OAuth,例如,由第一服务器授权的用户权限的全部或一部分被传送到第二服务器,使得第二服务器能够在所传送的用户权限的范围或作用域内接收由第一服务器提供的服务。根据OAuth,用户不需要向第二服务器通知自身的用于登录第一服务器的认证信息。
包括服务器106至109的服务器对互联网开放,作为那些与多个服务器冗余的提供云服务的服务器,但是为了简化该示例性实施例的说明,在这里将这些服务器中的各个例示为一个服务器。本地认证服务器104和业务服务器105与多个服务器是冗余的,但是为了简化该示例性实施例的说明,将它们中的各个例示为一个服务器。在提供云服务的服务器当中,除了授权服务器106和存储服务器109以外,向客户端提供应用的服务器有时可被统称为应用服务器。
移动终端102的硬件构造
图2A是移动终端102的硬件构造图。所例示的硬件组件连接到系统总线202。ROM204存储操作系统(OS)和用于控制由CPU 203执行的电话呼叫和数据通信的应用。例如,用于控制数据通信的这种应用可以是电子邮件软件或Web浏览器。RAM 205是用于在其中执行程序的工作存储器区域。RAM 205还用作用于临时存储用于访问网页数据的认证信息或者由Web浏览器从Web服务器获取的Web服务的存储器。存储设备210是非易失性存储设备,并且被构造为存储在重新启动移动终端之后需要保持的操作模式设置和操作日志。网络控制器206被构造为在无线LAN通信单元212上和在用于加入由蜂窝电话服务运营商提供的网络的蜂窝电话数据通信单元213上进行通信控制。一般而言,当允许加入无线LAN网络时,网络控制器206对无线LAN连接给予优先权。当移动终端离开无线LAN网络区域时,移动终端加入由蜂窝电话服务运营商提供的无线通信网络。主要在用户通过启动电话呼叫应用来进行呼叫的同时可以使用音频控制单元207。麦克风/扬声器214用来输入/输出音频数据,并且音频控制单元207为此与控制程序进行中介。显示控制单元208被构造为控制由移动终端的显示器215输出的信息。输入控制单元209被构造为控制由用户通过使用移动终端的按钮或触摸面板216指定的信息。可以使用这些音频控制单元207、显示控制单元208和输入控制单元209,使得移动终端上的应用能够向用户提供网络通信信息和关于移动终端的各种信息。位置检测控制单元211从GPS传感器217获取关于移动终端的位置信息,并且将其提供给OS。这些单元由在CPU 203上运行的OS来控制。
服务器的硬件构造
图2B例示了服务器104至109中的各个的示例硬件构造。除非另有说明,否则如果该示例性实施例的本发明的功能是可执行的,则根据该示例性实施例的本发明可应用于单个装置或包括多个装置的系统。除非另有说明,否则如果该示例性实施例的本发明的功能是可执行的,则本发明的各方面还可应用于包括在诸如LAN或WAN等的网络上连接的用于进行处理的装置的系统。将通过假设这些组件通过系统总线219连接来描述该示例性实施例。
CPU 220是用于图像处理装置的控制设备,并且被构造为执行存储在存储设备226中的应用程序、打印驱动器程序、操作系统以及根据本发明的移动打印系统程序。CPU 220进行控制以将例如程序执行所需的信息和文件临时存储在RAM 222中。CPU 220可以响应于通过使用例如未例示的鼠标光标在显示器227上给出的命令来打开各种登记窗口,并且执行各种数据处理。ROM 221是被构造为存储固定信息的ROM,并且内部存储诸如基本I/O程序等的程序以及可用于文档处理的字体数据、模板数据和其他各种数据。RAM 222是被构造为临时存储信息的RAM,并且用作CPU 220的主存储器和工作区域。显示控制单元224被构造为控制在显示器227上输出的信息。输入控制单元225被构造为控制通过键盘228输入的信息,并且图像处理装置能够通过输入控制单元225与外部装置交换数据。存储设备226是外部存储器之一,用作大容量存储器,并且存储应用程序、打印驱动器程序、OS等。键盘228是用户可用来向服务器输入指令的指令输入单元。显示器227是被构造为显示例如通过键盘228输入的命令的显示单元。
移动终端102的软件构造
将参照图13描述移动终端102和服务器的软件构造。浏览器应用(也称为Web浏览器)1021被安装在移动终端102中。移动终端102中安装的浏览器应用1021被存储在图2A中所示的存储设备210中并且被加载到RAM 205并由CPU 203执行。用户可以通过使用浏览器应用1021操作移动终端102的显示器215上显示的画面,来请求服务器105至109。浏览器应用1021能够对示出来自业务服务器105、表单服务器107和存储服务器109的HTML数据和SVG数据的画面进行分析和显示。下面将要描述的图9A至图9C例示了要由浏览器应用1021显示在移动终端102的显示器215上的示例画面。除了这种浏览器应用以外的各种应用可以安装在移动终端102中。根据该示例性实施例,仅使用浏览器应用1021。为此,浏览器应用1021也将被作为移动终端102来处理。
本地认证服务器104的软件构造
本地认证服务器104具有认证接口(I/F)1041、认证信息管理单元1042以及存储本地认证信息300的存储器。软件模块被存储在图2B中所示的存储设备226中,并且被加载到RAM 222并由如上所述的CPU 220执行。认证I/F 1041向本地认证服务器104提供接口,并且对接收到的信息的有效性进行验证。认证信息管理单元1042管理图3中所示的本地认证信息300,并且响应于由认证I/F 1041接收到的请求来应答用户认证的失败或成功。
业务服务器105的软件构造
业务服务器105具有Web服务器1051、工作信息管理单元1052以及存储客户端信息400和模板信息410的存储器。软件模块被存储在图2B中所示的存储设备226中,被加载到RAM 222,并且被如上所述的CPU 220执行。Web服务器1051提供用于业务服务器105的接口,并且对接收到的信息的有效性进行验证,然后由本地认证服务器104进行认证。工作信息管理单元1052管理图4A和图4B中所示的客户端信息400和模板信息410。工作信息管理单元1052还可以对由Web服务器1051接收到的请求应答下面将要描述的图9A和图9B中所示的工作画面,接收用于生成业务表单的请求,并且请求表单服务器107生成预览画面。
授权服务器106的软件构造
授权服务器106具有Web服务器1061、授权信息管理单元1062以及存储客户端信息500和授权令牌信息510的存储器。软件模块被存储在图2B中所示的存储设备226中,并且被加载到RAM 222并由CPU 220执行。Web服务器1061提供用于授权服务器106的接口,并且对接收到的信息的有效性进行验证。授权信息管理单元1062管理图5A和图5B中所示的客户端信息500和授权令牌信息510,并且可以响应于由Web服务器1061接收到的请求发布授权令牌并检查作用域和有效期限。
表单服务器107的软件构造
表单服务器107具有Web服务器1071、业务表单生成单元1072、表单信息管理单元1073以及存储模板信息600、预览信息610和租户设置信息620的存储器。软件模块被存储在图2B中所示的存储设备226中,并且被加载到RAM 222并由CPU 220执行。Web服务器1071提供用于授权服务器107的接口,并且对接收到的信息的有效性进行验证。Web服务器1071可以向授权服务器106请求授权令牌验证或授权令牌信息获取。业务表单生成单元1072被构造为通过将从业务服务器105接收到的工作信息反映到模板来生成业务表单PDF。业务表单生成单元1072将生成的业务表单PDF上载到存储服务器109。表单信息管理单元1073管理图6A至图6C中所示的模板信息600、预览信息610和租户设置信息620,并且业务表单生成单元1072响应于由Web服务器1071接收到的预览生成请求生成业务表单PDF,并请求数据转换服务器108生成业务表单SVG。存储器存储表单服务器107中保持的如图6A至图6C中所示的信息。租户是服务资源被提供到的目的地的划分单位,并且用户能够基于该划分单位来使用和管理云服务。客户端是云服务的用户并且作为特定租户的客户端进行操作。基于一个租户,多个客户端能够使用多个服务。因此,根据该示例性实施例,在本地认证安全域110中不进行租户管理,而在业务表单服务(即云服务)安全域111中进行租户管理。
数据转换服务器108的软件构造
数据转换服务器108具有Web服务器1081、数据转换单元1082、数据转换信息管理单元1083以及存储文档信息700、数据转换信息710和租户设置信息720的存储器。软件模块被存储在图2B中所示的存储设备226中,并且被加载到RAM 222并由CPU 220执行。Web服务器1081提供用于数据转换服务器108的接口,并且对接收到的信息的有效性进行验证。Web服务器1081可以向授权服务器106请求授权令牌验证或授权令牌信息获取。数据转换单元1082接收从表单服务器107上载到存储服务器109的业务表单PDF,并且将业务表单PDF转换为业务表单SVG。数据转换单元1082将生成的业务表单SVG上载到存储服务器109。数据转换信息管理单元1083管理图7A至图7C中所示的文档信息700、数据转换信息710和租户设置信息720,并且数据转换单元1082响应于从Web服务器1081接收到的业务表单SVG生成请求,生成业务表单SVG。存储器存储图7A至图7C中所示的数据转换服务器108中保持的信息。
存储服务器109的软件构造
存储服务器109具有Web服务器1091、存储管理单元1092和存储文件属性信息800的存储器。软件模块被存储在图2B中所示的存储设备226中,并且被加载到RAM 222并由CPU220执行。Web服务器1071提供用于存储服务器109的接口,并且对接收到的信息的有效性进行验证。未例示的存储授权服务器请求授权令牌验证。存储管理单元1092管理图8中所示的文件属性信息800,并且输入/输出请求上载的文件。存储器存储图8中所示的存储服务器109中保持的信息以及由存储服务器109接收到的文件。
由本地认证服务器104管理的数据
图3例示了由本地认证服务器104存储在存储器中的数据表。这种数据表可以被存储在通信地连接到互联网100或本地网络101的其他服务器中,而不是本地认证服务器104中的存储器中。本地认证服务器104中保持的数据表包括本地认证信息300。图3中的本地认证信息300包括域名(域识别信息)301、用户名(用户识别信息)302和密码303,作为使得用户能够访问业务服务器105的用户信息。如果由用户输入以经受本地认证的用户认证信息与登记为本地认证信息300的用户认证信息匹配,则本地认证服务器104认证用户。本地认证信息300能够在本地认证安全域110内,本地地使用认证信息。
由业务服务器105管理的数据
图4A和图4B是由业务服务器105存储在存储设备中的数据表。这种数据表可以被存储在通信地连接到互联网100或本地网络101的其他服务器中,而不是业务服务器105中的存储设备中。业务服务器105中保持的数据表包括客户端信息400和模板信息410。图4A中的客户端信息400是要由业务服务器105用于访问表单服务器107的信息,并且由授权服务器106发布。客户端ID 401是能够据以唯一地识别客户端的识别信息。秘钥402是与客户端ID 401对应的密码。作用域403是描述客户端的访问权限的作用域的字符串。参照图4A中所示的示例,字符串“SVG_Preview”可以表示在访问权限的作用域内包括用于SVG文档数据的预览请求。图4B中的模板信息410包括当业务服务器105向表单服务器107发布预览生成请求时所指定的模板ID 411。利用表单服务器107中的模板信息600登记的模板ID 411被保持在业务服务器105中。
授权服务器106中的数据
图5A和图5B例示了由授权服务器106存储在存储器中的数据表。这种数据表可以被存储在通信地连接到互联网100或本地网络101的其他服务器中,而不是授权服务器106中的存储器中。授权服务器106中保持的数据表可以包括客户端信息500和授权令牌信息510。
图5A所示的客户端信息500包括关于使得客户端能够访问服务器106至108的信息。根据该示例性实施例,利用客户端信息500,关于业务服务器105的信息被登记为客户端。客户端ID 501是能够据以唯一地识别客户端的标识符。根据该示例性实施例,登记了作为业务服务器105的客户端ID的“客户端0001”。秘钥502是可用于确定客户端的有效性的密码。在从客户端接收到的一对客户端ID和秘钥与客户端信息500中的一对客户端ID 501和秘钥502匹配的情况下,则授权服务器106识别该客户端。作用域503是OAuth作用域,并且表示可利用由授权服务器106发布的授权令牌访问的范围。根据该示例性实施例的作用域503的类型被定义为SVG_Preview。SVG_Preview作用域是由业务服务器10访问表单服务器107的接口所需的作用域。租户ID 504是能够据以唯一地识别客户端租户的标识符。
当授权服务器106接收到获取授权令牌的请求时,生成图5B中的授权令牌信息510。响应于一个请求生成一个记录。授权令牌511是能够据以唯一地识别授权令牌的标识符。有效期限512是授权令牌的有效期限,并且登记了从接收到授权令牌获取请求时的时间起经过预定时间段之后的值。在有效期限512之后的授权令牌511是无效的。作用域513是能够使用授权令牌511的作用域,并且用其登记了与授权令牌获取请求一起传递到授权服务器106的作用域。利用客户端ID 514来登记与授权令牌获取请求一起传递到授权服务器106的客户端ID。应用ID 515是在客户端使用多个应用的情况下能够识别应用的标识符。当应用ID与授权令牌获取请求一起被传递到授权服务器106时,登记应用ID 515。如果应用ID没有与授权令牌获取请求一起被传递到授权服务器106,则不登记应用ID。根据该示例性实施例,在从业务服务器105到授权服务器106的授权令牌获取请求中为应用ID指定本地用户信息(用户名302@域名301),并且将本地用户信息登记为应用ID 515。从图3中所示的本地认证信息除去密码以外的、包括用户名和域名的信息将在下文中被称为本地用户信息。
由表单服务器107管理的数据
图6A、图6B和图6C例示了由表单服务器107存储在外部存储器中的数据表。这些数据表可以被存储在通信地连接到互联网100或本地网络101的其他服务器中,而不是表单服务器107的外部存储器中。由表单服务器107保持的数据表包括模板信息600和预览信息610。
图6A中的模板信息600是用于管理由表单服务器107保持的模板的信息。模板ID601是能够据以唯一地识别模板的标识符,并且当利用表单服务器107登记模板时发布模板ID 601。租户ID 602是登记模板的租户的租户ID。表单服务器107针对各个租户ID 602控制对模板的访问。模板URL路径603是存储服务器109存储模板的URL路径。表单服务器107在存储服务器109中生成由包括模板ID 601的URL路径表示的文件夹(和文件),并在其中存储模板。
图6B中的预览信息610是表单服务器107管理预览处理所基于的信息。当表单服务器107接收到预览生成请求时,发布并登记预览ID 611。租户ID 612是作为预览生成请求的请求者的租户的租户ID。用户ID 613是作为预览生成请求的请求者的用户的标识符。根据该实施例,利用用户ID 613登记了结合租户ID和本地用户信息(用户名302@域名301)的识别信息。本地用户信息对应于授权令牌信息510中包括的应用ID515。数据转换ID 614是由表单服务器107对于向数据转换服务器108的业务表单SVG生成请求应答而接收的、能够识别数据转换处理的标识符。业务表单PDF URL路径615是存储服务器109存储业务表单PDF的URL路径。表单服务器107在存储服务器109中生成由包括预览ID 611的URL路径表示的文件夹(和文件),并且在其中存储业务表单PDF。
图6C中的租户设置信息620是针对表单服务器107中的各个租户的设置信息。作为针对租户ID 621的设置,保持本地认证协作模式622。本地认证协作模式622展示“真”或“假”以分别表示与本地认证安全域110的协作是否有效。例如,“真”表示协作有效,而“假”表示协作无效。可以针对各个服务器设置租户设置信息,但是可以由多个服务器共享在特定服务器中设置的租户共享信息。因此,例如,当在某个服务器中更新租户设置信息时,可以将其分布到其他服务器。
由数据转换服务器108管理的数据
图7A、图7B和图7C例示了由数据转换服务器108存储在外部存储器中的数据表。由数据转换服务器108保持的数据表包括文档信息700、数据转换信息710和租户设置信息720。
当数据转换服务器108接收到业务表单SVG生成请求时生成图7A中的文档信息700。响应一个请求生成一个记录。文档ID 701是当数据转换服务器108接收到业务表单SVG生成请求时发布的并且能够据以唯一地识别文档的标识符。租户ID702是发布业务表单SVG生成请求的请求者的租户的租户ID。用户ID 703是作为发布业务表单SVG生成请求的请求者的用户的标识符。利用用户ID 703,登记客户端ID和本地用户信息(用户名302@域名301)的组合。文档URL 704是存储服务器109存储业务表单PDF的URL路径。文档URL 704作为来自表单服务器107的业务表单SVG生成请求的参数被传递到数据转换服务器108。
当数据转换服务器108接收到业务表单SVG生成请求时生成图7B中的数据转换信息710。响应于一个请求生成一个记录。数据转换ID 711是当数据转换服务器108接收到业务表单SVG生成请求时发布的并且能够据以唯一地识别数据转换处理的标识符。在当数据转换服务器108接收到数据转换请求时生成的文档信息700中,租户ID 712、用户ID 713和文档ID 714分别展示与租户ID 702、用户ID 703和文档ID 701的值相同的值。索引URL 715是存储服务器109存储作为由数据转换服务器108生成的业务表单SVG的URL列表的索引文件的URL。在生成具有多个页面的业务表单SVG的情况下,在索引文件中描述存储服务器109上的业务表单SVG的多个URL。通过在URL路径中包括数据转换ID 711来生成和存储索引URL715,使得当数据转换服务器108完成业务表单SVG的生成时,索引URL 715在存储服务器109中能够是唯一的。状态716表示数据转换服务器108的数据转换状态,并且由数据转换服务器108根据数据转换状态来更新。状态716可以展示“待转换”和“已转换”。
图7C中的租户设置信息720是数据转换服务器108中的针对各个租户的设置信息。租户设置信息720是与用于表单服务器107的租户设置信息620相同种类的信息。
存储服务器109中的数据
图8例示了由存储服务器109存储在外部存储器中的数据表。数据表可以被存储在可通信地连接到互联网100或本地网络101的其他服务器中,而不是存储服务器109的外部存储器中。存储服务器109保持的数据表包括文件属性信息800。图8中的文件属性信息800是关于存储服务器109中存储的文件的信息。数据URL 801是能够据以唯一地识别存储服务器109中存储的文件的URL。文件路径802是存储器上的文件路径,并且表示文件的存储位置。可以向数据URL 801发布请求以操纵存储器中的对应的文件。例如,当向数据URL 801请求HTTP GET方法时,能够下载对应的文件。当向数据URL 801请求附加有文件的HTTP PUT方法时,能够上载并存储该文件。当向数据URL 801请求HTTP DELETE方法时,能够删除对应的文件。
移动终端102上的画面
图9A、图9B和图9C例示了由浏览器应用呈现以在移动终端102上显示的并且通过图2A中的显示控制单元208显示在显示器215上的示例画面。图9A中的登录画面900是从移动终端102第一次访问业务服务器105时由业务服务器105应答的、用于登录本地认证服务器104的画面。当输入用户名901、密码902和域903并且按下登录按钮904时,向业务服务器105发送本地认证请求。将与本地认证请求一起发送的用户名901、密码902和域903与利用本地认证服务器104登记的本地认证信息300进行比较,以进行认证。图9B中的交易画面910是显示关于通过登录画面900正登录的用户的工作信息的画面。当业务服务器105接收到本地认证请求并且如果本地认证服务器104对其进行认证时,应答包括关于认证用户的工作信息的交易画面910。如果按下交易画面910上的业务表单生成按钮911,则向业务服务器105发送业务表单生成请求。图9C中的预览画面920是用于显示业务表单SVG的画面,并且由表单服务器107生成的业务表单SVG被显示在移动终端102上的画面上。
业务表单SVG预览流程
图10是从按下登录画面900上的登录按钮904至显示预览画面920的处理流程。图14和图15是以时间序列方式例示处理流程的序列图。在下面的描述中使用术语“发送”和“接收”。然而,它们不必须将发送和接收限制到某些服务器的构造中的电通信,而通信可以包括处理之间的通信。图10例示了各自表示请求的箭头,但是没有例示对请求的应答,以避免复杂化。然而,如下面将描述的,对请求会返回某个应答。
在S10.1中,如果按下登录画面900上的登录按钮904,则从移动终端102向业务服务器105发送具有用户名、密码和域作为参数的本地认证请求。
在S10.2中,从移动终端102接收本地认证请求的业务服务器105向本地认证服务器104发送本地认证请求。在S10.1和S10.2中,在本地认证请求中发送参数。接收到本地认证请求的本地认证服务器104将用户名、密码和域的请求参数与本地认证信息300中的域名301、用户名302和密码303进行比较,以进行认证。向业务服务器105应答认证结果。如果由业务服务器105从本地认证服务器104接收到的认证结果是“成功”,则通过使用关于认证用户的工作信息生成交易画面910,并且将交易画面910返回到移动终端102作为S10.1中的应答。如果认证结果是“失败”,则从本地认证服务器104通过业务服务器105向移动终端102应答示出该事实的画面。
在S10.3中,如果按下交易画面910上的业务表单生成按钮911,则从移动终端向业务服务器105发送业务表单生成请求。在S10.3中,接收到表单生成请求的业务服务器105进行将在下面描述的S10.4、S10.5及S10.7中的处理,并且在S10.9中与授权令牌和预览ID一起向移动终端102应答预览画面的URL。
在S10.4中,业务服务器105向授权服务器106发送授权令牌生成请求。业务服务器105发送包括客户端ID 401、秘钥402和作用域403的客户端信息,以及作为应用ID的在S10.2中认证的用户的本地用户信息(用户名302@域名301),作为授权令牌生成请求的参数。客户端信息有时可以被称为凭证信息。可以说,本地用户信息是,作为云服务的客户端的业务服务器105请求云服务所响应于的请求(S10.3中的业务表单生成请求)的请求用户的识别信息。在S10.4中接收到授权令牌生成请求的授权服务器106确定在客户端信息500中是否存在客户端ID、秘钥和参数的作用域。如果客户端ID 501、秘钥502和作用域503与其匹配,则发布授权令牌511,并且将与所发布的授权令牌相对应的记录添加到授权令牌信息510。此时,授权服务器106利用添加到授权令牌信息510的记录,对在S10.4中的授权令牌生成请求中的参数中接收到的作用域、客户端ID、应用ID进行登记。授权服务器106向业务服务器105返回作为对S10.4中的授权令牌生成请求的应答而发布的授权令牌511。
在S10.5中,接收到授权令牌511的业务服务器105向表单服务器107发送预览生成请求。业务服务器105发送作为对S10.4中的授权令牌生成请求的应答而接收的授权令牌、模板ID 411以及用于在S10.2中生成交易画面910的作业信息,作为S10.5中的预览生成请求的参数。
在S10.6中,表单服务器107通过使用响应于S10.5中的预览生成请求而接收的授权令牌以及作用域作为参数,向授权服务器106发送授权令牌验证请求。这里要指定的作用域可以是例如与预览生成请求相对应的SVG_Preview。在S10.6中接收到授权令牌验证请求的授权服务器106验证在授权令牌信息510中是否存在与作为参数而接收的授权令牌和作用域匹配的任何记录。如果存在匹配的记录,则应答记录信息(在下文中被称为授权令牌信息)。在这种情况下,要应答的授权令牌信息还包括与授权令牌信息中包括的客户端ID 514相对应的租户ID。整个客户端信息500可以包括在其中,但是在该示例性实施例中包括租户ID即可。如果没有记录与接收到的授权令牌和作用域匹配,则应答“错误”。当表单服务器107响应于授权令牌验证请求而接收到授权令牌信息时,发布预览ID 611,并且利用预览信息610登记该记录。接收到的授权令牌信息的租户ID被记录为该记录的租户ID 612,并且授权令牌信息的应用ID被记录为用户ID 613。表单服务器107响应于S10.5中的预览生成请求,向业务服务器105返回所发布的预览ID 611。
在S10.6-1中,表单服务器107从模板信息600中利用与作为S10.5中的预览生成请求的参数而接收的模板ID匹配的模板ID 601来识别模板。从所识别的模板的模板URL路径603获取模板文件。表单服务器107通过将工作信息反映到模板文件生成业务表单PDF。业务表单PDF是以PDF格式的表单数据。表单服务器107由在S10.6中生成的预览ID生成在存储服务器109上的URL路径,并且利用预览信息610中的与预览ID611相对应的业务表单PDF URL路径615登记所生成的URL路径。生成的业务表单PDF被上载到业务表单PDF URL路径615。
在S10.6-2中,表单服务器107向数据转换服务器108发送业务表单SVG生成请求。表单服务器107指定与S10.5中的预览生成请求一起接收的授权令牌以及在S10.6-1中生成的业务表单PDF URL路径615,作为业务表单SVG生成请求的参数。
在S10.6-3中,数据转换服务器108通过使用与S10.6-2中的业务表单SVG生成请求一起接收的授权令牌以及作用域作为其参数,向授权服务器106发送授权令牌验证请求。这里指定的作用域是例如与业务表单SVG生成请求相对应的SVG_Preview。以与S10.6中相同的方式处理授权令牌验证请求。
当数据转换服务器108响应于S10.6-3中的授权令牌验证请求而接收到授权令牌信息时,数据转换服务器108发布文档ID 701和数据改变ID711,并且利用文档信息700和数据转换信息710分别登记它们作为新记录。这里利用租户ID 702和712,登记在S10.6-3中接收到的授权令牌信息中的租户ID。利用用户ID 703和713,登记在S10.6-3中接收到的授权令牌信息中的应用ID。利用文档URL路径704,登记作为在S10.6-2中接收到的业务表单SVG生成请求的参数的业务表单PDF URL路径。利用文档ID 714,登记与文档信息700中的文档ID 701相同的文档ID。数据转换服务器108响应于S10.6-2中的业务表单SVG生成请求,向表单服务器107返回发布的数据转换ID 711。响应于S10.6-2中的业务表单SVG生成请求而接收到数据转换ID的表单服务器107,利用预览信息610中的数据转换ID 614登记接收到的数据转换ID。
在S10.6-4中,数据转换服务器108从业务表单PDF URL路径704获取业务表单PDF,并且将业务表单PDF转换为业务表单SVG。业务表单SVG是以SVG格式的表单数据。
在S10.6-5中,数据转换服务器108生成存储服务器109上的业务表单SVG URL路径和索引URL路径,并且将在S10.6-4中转换的业务表单SVG上载到业务表单SVG URL路径。数据转换服务器108将作为业务表单SVG URL路径的列表的索引文件上载到索引URL路径。数据转换服务器108利用数据转换信息710登记索引URL路径715。
在S10.7中,业务服务器105向表单服务器107发送预览URL获取请求。业务服务器105指定响应于S10.4中的授权令牌生成请求而接收的授权令牌以及响应于S10.5中的预览生成请求而接收的预览ID,作为S10.7中的预览URL获取请求的参数。在紧接接收到对S10.5中的预览生成请求的应答之后,业务服务器105与如上所述的S10.6-1至S10.6-5中的处理非同步地发送S10.7中的预览URL获取请求。因此,图14中的S10.6-1至S10.6-5中的处理以及图15中的S10.7及其随后中的处理彼此异步地进行。因此,当在S10.14中请求索引和业务表单SVG时,如果S10.6-5中的索引和业务表单SVG的存储未完成,则无法向移动终端102应答业务表单SVG。在该情况下,移动终端102重复S10.14中的尝试,直到尝试结果为成功。
在S10.8中,接收到预览URL获取请求的表单服务器107指定参数的授权令牌以及作用域作为参数,并且向授权服务器106发送授权令牌验证请求。要指定的作用域可以是例如与预览URL获取请求相对应的SVG_Preview。以与如上所述的S10.6中相同的方式处理授权令牌验证请求。
当表单服务器107响应于S10.8中的授权令牌验证请求而接收到授权令牌信息时,表单服务器107从预览信息610中识别与作为S10.7中的预览URL获取请求的参数而接收的预览ID匹配的记录。表单服务器107响应于S10.7中的预览URL获取请求返回表单服务器107的预览URL。对于由表单服务器107返回的预览画面URL,指定在S10.7中接收到的预览ID和授权令牌作为URL参数。
在S10.9中,业务服务器105响应于S10.3中的业务表单生成请求,向移动终端102返回在S10.7中接收到的表单服务器107的预览画面URL。与预览画面URL一起,将响应于S10.7中的预览URL获取请求而接收的预览ID和授权令牌发送到移动终端102。
在S10.10中,移动终端102将预览画面获取请求发送到在S10.9中接收到的预览画面URL。利用预览画面URL指定的服务器(这里是表单服务器107)向移动终端102应答作为指定URL的内容的、用于执行S10.10-2中的处理的脚本。
在S10.10-2中,移动终端102执行接收到的脚本,并且向表单服务器107发送索引URL获取请求。在这种情况下,作为索引URL获取请求的参数,在S10.9中接收到的预览ID和授权令牌也被发送。
在S10.11中,表单服务器107响应于索引URL获取请求,指定利用URL参数指定的授权令牌以及作用域作为参数,并且向授权服务器106发送授权令牌验证请求。这里指定的作用域可以是例如与索引URL获取请求相对应的SVG_Preview。以与如上所述的S10.6中相同的方式处理授权令牌验证请求。
当表单服务器107响应于S10.11中的授权令牌验证请求而接收到授权令牌信息时,表单服务器107从预览信息610中识别与在索引URL获取请求中的URL参数中指定的授权令牌预览ID匹配的记录。如果没有利用所识别的预览信息610登记数据转换ID 614,则由于尚未生成业务表单PDF,所以表单服务器107在S10.10中应答“错误”。
在S10.12中,如果利用所识别的预览信息610登记了数据转换ID614,则表单服务器107通过在其中定义数据转换ID 614和在S10.7中接收到的授权令牌作为参数,向数据转换服务器108发送索引URL获取请求。
在S10.13中,数据转换服务器108指定作为索引URL获取请求中的参数的授权令牌以及作用域作为参数,并且向授权服务器106发送授权令牌验证请求。以与S10.6中相同的方式处理授权令牌验证请求。这里指定的作用域可以是例如与索引URL获取请求相对应的SVG_Preview。
如果数据转换服务器108响应于S10.13中的授权令牌验证请求而接收到授权令牌信息,则数据转换服务器108从数据转换信息710中识别与作为S10.12中的索引URL获取请求中的参数而接收的数据转换ID匹配的记录。如果所识别的数据转换信息710具有“已转换”的状态716,则将索引URL路径715返回到表单服务器107作为对S10.12中的索引URL获取请求的应答。表单服务器107将接收到的索引URL路径返回到移动终端102,作为对S10.10-2中的索引URL获取请求的应答。这里,如果所识别的数据转换信息710具有除“已转换”以外的状态716,则由于尚未生成业务表单SVG,所以数据转换服务器108向表单服务器107返回“错误”作为S10.12中的应答。表单服务器107对S10.10-2中的索引URL获取请求应答“错误”。移动终端102进行重试作为对S10.10-2中的处理的应答,直到能够生成业务表单SVG并且能够接收其索引URL路径为止。
在S10.14中,移动终端102从作为对S10.10-2中的索引URL获取请求的应答而获取的索引URL路径中获取索引。然后,从索引中描述的业务表单SVG URL获取业务表单SVG,并且在预览画面920上显示业务表单SVG。换言之,在索引获取之后,发送对业务表单SVG的请求,并且应答业务表单SVG。在图10和图15中以简化的方式例示了这些处理。
由授权服务器106发布授权令牌的流程
图11例示了当授权服务器106接收到授权令牌请求(S10.4)时发布授权令牌的处理的流程的详情。
在S11.1中,授权服务器106接收授权令牌请求。授权服务器106接收客户端ID、秘钥、作用域以及应用ID,作为授权令牌请求中的参数。
在S11.2中,授权服务器106从客户端信息500中识别与在S11.1中接收到的客户端ID匹配的记录。
在S11.3中,授权服务器106确定在S11.2中识别的客户端信息500中的客户端ID501和秘钥502是否与在S11.1中接收到的客户端ID和秘钥匹配。如果它们不匹配,则返回“错误”(S11.5)。
在S11.4中,授权服务器106确定在S11.2中识别的客户端信息500中的作用域503是否与在S11.1中接收到的作用域匹配。如果它们不匹配,则返回“错误”(S11.5)。
在S11.5中,授权服务器106发布授权令牌ID 511,利用授权令牌信息510将在S11.1中接收到的客户端ID、作用域和应用ID登记为记录。在S10.4的处理中,在应用ID中指定本地用户信息(用户名302@域名301)。然而,来自不参与本地认证协作的客户端的请求在应用ID中具有空值或不同的值。
通过如上所述的过程,将据以识别本地用户的本地用户信息与授权令牌相关联地进行登记,作为授权令牌信息510。如果授权令牌被授权服务器106成功验证,则将授权令牌信息500返回到验证的请求者。因此,如果请求的请求者是本地用户,则请求对与请求一起接收的授权令牌进行验证的服务器能够获取本地用户信息。
由表单服务器107和数据转换服务器108对授权令牌的验证的流程
图12例示了当表单服务器107或数据转换服务器108接收到请求(S10.5、S10.6-1、S10.7、S10.10、S10.11及S10.12)时的授权令牌验证的处理的流程的详情。
在S12.1中,表单服务器107或数据转换服务器108接收请求。接收授权令牌作为请求的参数。
在S12.2中,表单服务器107或数据转换服务器108向授权服务器106发送授权令牌验证请求。如果作为授权令牌验证请求的结果没有获取授权令牌信息,则返回“错误”(S12.6)。如果授权令牌验证结果为“成功”,则返回授权令牌信息作为应答。返回的信息包括租户ID。
在S12.3中,表单服务器107或数据转换服务器108从租户设置信息620或720中识别与授权令牌信息中的租户ID匹配的记录。然后,确定租户的本地认证协作模式622或722是否有效。
在S12.4中,在租户的本地认证协作模式有效的情况下,表单服务器107或数据转换服务器108通过将利用授权令牌信息中的租户ID和应用ID登记的本地用户信息(用户名302@域名301)处理为唯一用户,来处理请求。
在S12.5中,在确定租户的本地认证协作模式无效的情况下,表单服务器107或数据转换服务器108通过将授权令牌信息中的客户端ID处理为唯一用户,来处理请求。
在发布授权令牌时,将本地认证信息与本地用户信息中的授权令牌相关联,使得当通过使用授权令牌来验证用户时,能够从授权令牌信息中获取本地用户信息。使用本地用户信息使得在表单服务器107和数据转换服务器108中能够唯一识别作为本地认证服务器104的用户的用户。与授权令牌相关联的本地用户信息可以被处理为例如在表单服务器107或数据转换服务器108中的收费处理和总计处理中描述唯一用户的识别信息,使得其能够与本地认证服务器104协作地使用。这能够消除对本地认证安全域110与业务表单服务安全域111之间的ID配置的必需性,这能够降低操作负荷。业务服务器105使用一个客户端来发布授权令牌,但是所发布的授权令牌的使用受到本地认证信息的限制。因此,不能通过使用授权令牌来访问关于其他用户的信息。因此,能够安全地实现认证协作。
可以定义本地认证协作模式的有效/无效作为针对各个租户的设置,仅使得多租户模式下的特定租户能够使本地认证协作有效,并且使得能够在认证和授权处理时灵活地满足客户端的需求。
本地认证信息能够与授权令牌相关联,而不是与本地用户信息相关联。根据该示例性实施例,作为处理请求示例性地给出了业务表单生成请求。然而,根据该示例性实施例的本发明也可应用于其他处理请求。
其他实施例
还可以通过读出并执行记录在存储介质(例如“非暂时性计算机可读存储介质”)上的计算机可执行指令以执行本发明的上述实施例中的一个或更多个的功能的系统或装置的计算机,来实现本发明的实施例,并且,可以利用通过由系统或装置的计算机例如读出并执行来自存储介质的计算机可执行指令以执行上述实施例中的一个或更多个的功能而执行的方法,来实现本发明的实施例。计算机可以包括一个或更多个中央处理单元(CPU)、微处理单元(MPU)或其他电路,并且可以包括分开的计算机或分开的计算机处理器的网络。计算机可执行指令可以例如从网络或存储介质被提供给计算机。存储介质可以包括例如硬盘、随机存取存储器(RAM)、只读存储器(ROM)、分布式计算系统的存储器、光盘(诸如压缩光盘(CD)、数字通用光盘(DVD)或蓝光光盘(BD)TM)、闪存装置以及存储卡等中的一个或更多个。
本发明的实施例还可以通过如下的方法来实现,即,通过网络或者各种存储介质将执行上述实施例的功能的软件(程序)提供给系统或装置,该系统或装置的计算机或是中央处理单元(CPU)、微处理单元(MPU)读出并执行程序的方法。
虽然参照示例性实施例对本发明进行了描述,但是应当理解,本发明不限于所公开的示例性实施例。应当对所附权利要求的范围给予最宽的解释,以便涵盖所有这些变型例以及等同的结构和功能。
Claims (9)
1.一种授权服务器,所述授权服务器包括:
用于在响应于授权令牌生成请求而基于客户端信息成功认证客户端的情况下,向客户端发送授权令牌,并且通过将与授权令牌生成请求一起接收到的本地用户信息、与授权令牌相关联,来生成并存储授权令牌信息的单元,其中,所述本地用户信息是:作为云服务的客户端的应用服务器请求云服务所响应于的请求的请求用户的识别信息;以及
应答单元,其用于从已经从客户端接收到与授权令牌一起的处理请求的作为云服务的客户端的应用服务器,接收包括授权令牌的授权令牌验证请求,并且,在基于接收到的授权令牌和授权令牌信息成功验证授权令牌的情况下,向应用服务器发送授权令牌信息中包括的本地用户信息。
2.根据权利要求1所述的授权服务器,
其中,所述客户端信息包括客户端的识别信息和客户端的租户的识别信息;并且
其中,所述应答单元发送请求生成被成功验证的授权令牌的客户端的租户的识别信息,作为所述授权令牌信息的一部分。
3.根据权利要求1或2所述的授权服务器,其中,所述本地用户信息包括描述由本地认证服务器认证的用户可访问的域的信息以及所述域中的用户识别信息。
4.根据权利要求3所述的授权服务器,
其中,所述授权令牌验证请求,与所述授权令牌一起由从所述客户端接收了处理请求的应用服务器所接收;并且
其中,所述本地用户信息由所述应用服务器用于识别作为所述处理请求的请求者的用户。
5.一种认证协作系统,其包括:
授权服务器,所述授权服务器包括:
用于在响应于授权令牌生成请求而基于客户端信息成功认证客户端的情况下,向客户端发送授权令牌,并且通过将与授权令牌生成请求一起接收到的本地用户信息、与授权令牌相关联,来生成并存储授权令牌信息的单元;以及
应答单元,其用于从已经从客户端接收到与授权令牌一起的处理请求的应用服务器,接收包括授权令牌的授权令牌验证请求,并且,在基于接收到的授权令牌和授权令牌信息成功验证授权令牌的情况下,向应用服务器发送授权令牌信息中包括的本地用户信息;以及
应用服务器,所述应用服务器在向所述授权服务器发送认证令牌验证请求之前不存储用户信息,所述应用服务器包括:
用于当从客户端接收到与授权令牌一起的处理请求时,向授权服务器发送授权令牌验证请求,并且作为授权令牌验证请求成功的结果的应答,接收包括与授权令牌相关联的本地用户信息的授权令牌信息的单元;以及
处理单元,其用于处理针对本地用户信息中描述的用户或针对客户端的处理请求。
6.根据权利要求5所述的认证协作系统,
其中,所述客户端信息包括客户端的识别信息和客户端的租户的识别信息;并且
其中,所述应答单元发送请求生成被成功验证的授权令牌的客户端的租户的识别信息,作为所述授权令牌信息的一部分。
7.根据权利要求5或6所述的认证协作系统,其中,所述本地用户信息包括描述由本地认证服务器认证的用户可访问的域的信息以及所述域中的用户识别信息。
8.根据权利要求7所述的认证协作系统,
其中,所述授权令牌验证请求,与所述授权令牌一起由从所述客户端接收了处理请求的应用服务器所接收;并且
其中,所述本地用户信息由所述应用服务器用于识别作为所述处理请求的请求者的用户。
9.根据权利要求5所述的认证协作系统,
其中,所述应用服务器还具有用于存储针对各个租户的本地认证协作模式的单元;
其中,所述授权令牌信息还包括客户端的租户的识别信息;并且
其中,所述处理单元在所述租户的识别信息中描述的租户的本地认证协作模式有效的情况下,处理针对所述本地用户信息中描述的用户的处理请求,而在所述本地认证协作模式无效的情况下,处理针对发送了所述处理请求的客户端的处理请求。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015239749A JP6677496B2 (ja) | 2015-12-08 | 2015-12-08 | 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム |
| JPJP2015-239749 | 2015-12-08 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106856475A CN106856475A (zh) | 2017-06-16 |
| CN106856475B true CN106856475B (zh) | 2020-11-10 |
Family
ID=58722494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611101404.5A Active CN106856475B (zh) | 2015-12-08 | 2016-12-02 | 授权服务器以及认证协作系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9853963B2 (zh) |
| JP (1) | JP6677496B2 (zh) |
| CN (1) | CN106856475B (zh) |
| DE (1) | DE102016123651B4 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330988B (zh) * | 2015-06-16 | 2020-01-03 | 阿里巴巴集团控股有限公司 | 一种超文本传输请求的补发方法、装置及客户端 |
| US10621272B1 (en) * | 2017-07-21 | 2020-04-14 | Slack Technologies, Inc. | Displaying a defined preview of a resource in a group-based communication interface |
| GB2578999B (en) * | 2017-08-14 | 2022-06-01 | Zumigo Inc | Mobile number verification for mobile network-based authentication |
| US10355864B2 (en) | 2017-08-29 | 2019-07-16 | Citrix Systems, Inc. | Policy based authentication |
| JP6473879B1 (ja) | 2017-10-12 | 2019-02-27 | 宜浩 川村 | クライアントサーバシステム |
| JP2019106629A (ja) * | 2017-12-12 | 2019-06-27 | キヤノン株式会社 | 情報処理システム、制御方法及びそのプログラム |
| CN108616502B (zh) * | 2018-03-12 | 2020-11-06 | 广东睿江云计算股份有限公司 | 一种web安全存储的方法 |
| CN109379336B (zh) * | 2018-09-18 | 2021-07-09 | 中汇信息技术(上海)有限公司 | 一种统一认证方法、分布式系统和计算机可读存储介质 |
| CN109286627A (zh) * | 2018-10-10 | 2019-01-29 | 四川长虹电器股份有限公司 | 基于双因子认证的身份认证方法 |
| US11245682B2 (en) * | 2018-10-18 | 2022-02-08 | Oracle International Corporation | Adaptive authorization using access token |
| CN110336776B (zh) * | 2019-04-28 | 2021-09-28 | 杭州电子科技大学 | 一种基于用户图像智能采集的多点协同认证系统及方法 |
| CN110134531A (zh) * | 2019-05-06 | 2019-08-16 | 广州华多网络科技有限公司 | 虚拟资产流转数据的处理方法、装置和计算机设备 |
| US11182086B2 (en) * | 2019-07-19 | 2021-11-23 | Cignet Technology, Inc. | Method and system for application-based management of user data storage rights |
| CN115396114A (zh) * | 2019-10-11 | 2022-11-25 | 支付宝(杭州)信息技术有限公司 | 基于可验证声明的授权方法、装置、设备及系统 |
| CN110990796B (zh) * | 2019-11-26 | 2022-02-11 | 广州至真信息科技有限公司 | 一种应用处理方法、装置、应用服务器和存储介质 |
| CN111343262B (zh) * | 2020-02-20 | 2022-04-29 | 中国建设银行股份有限公司 | 分布式集群登录方法、装置、设备和存储介质 |
| CN111597365B (zh) * | 2020-04-27 | 2023-03-28 | 国网内蒙古东部电力有限公司 | 基于图元特征属性的变电站svg图形和模型关联校验方法 |
| CN114040398A (zh) * | 2020-07-21 | 2022-02-11 | 中国电信股份有限公司 | 服务质量保障提供方法、系统、网络设备和存储介质 |
| CN113810426B (zh) * | 2021-09-30 | 2023-04-07 | 完美世界(北京)软件科技发展有限公司 | 即时通讯服务的接入系统及方法、装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414907A (zh) * | 2008-11-27 | 2009-04-22 | 北京邮电大学 | 一种基于用户身份授权访问网络的方法和系统 |
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN102638473A (zh) * | 2012-05-04 | 2012-08-15 | 盛趣信息技术(上海)有限公司 | 一种用户数据授权方法、装置及系统 |
| CN104639562A (zh) * | 2015-02-27 | 2015-05-20 | 飞天诚信科技股份有限公司 | 一种推送认证的系统和设备的工作方法 |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7324972B1 (en) * | 1997-03-07 | 2008-01-29 | Clickshare Service Corporation | Managing transactions on a network: four or more parties |
| US6510236B1 (en) | 1998-12-11 | 2003-01-21 | International Business Machines Corporation | Authentication framework for managing authentication requests from multiple authentication devices |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US7685206B1 (en) | 2004-02-12 | 2010-03-23 | Microsoft Corporation | Authorization and access control service for distributed network resources |
| US7519596B2 (en) | 2004-03-30 | 2009-04-14 | Microsoft Corporation | Globally trusted credentials leveraged for server access control |
| US8010783B1 (en) * | 2004-04-15 | 2011-08-30 | Aol Inc. | Service provider invocation |
| US10140596B2 (en) * | 2004-07-16 | 2018-11-27 | Bryan S. M. Chua | Third party authentication of an electronic transaction |
| US8151116B2 (en) * | 2006-06-09 | 2012-04-03 | Brigham Young University | Multi-channel user authentication apparatus system and method |
| US8239927B2 (en) * | 2008-02-29 | 2012-08-07 | Microsoft Corporation | Authentication ticket validation |
| US20090271847A1 (en) * | 2008-04-25 | 2009-10-29 | Nokia Corporation | Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On |
| US20100125894A1 (en) * | 2008-11-19 | 2010-05-20 | At&T Intellectual Property I, L.P. | Systems, methods and computer program products that facilitate remote access of devices in a subscriber network |
| US20100235882A1 (en) * | 2009-03-13 | 2010-09-16 | Gidah, Inc. | Method and system for using tokens in a transaction handling system |
| US8707404B2 (en) * | 2009-08-28 | 2014-04-22 | Adobe Systems Incorporated | System and method for transparently authenticating a user to a digital rights management entity |
| US8584221B2 (en) * | 2009-10-23 | 2013-11-12 | Microsoft Corporation | Authenticating using cloud authentication |
| US8739260B1 (en) * | 2011-02-10 | 2014-05-27 | Secsign Technologies Inc. | Systems and methods for authentication via mobile communication device |
| US9648006B2 (en) * | 2011-05-23 | 2017-05-09 | Twilio, Inc. | System and method for communicating with a client application |
| US20140044123A1 (en) * | 2011-05-23 | 2014-02-13 | Twilio, Inc. | System and method for real time communicating with a client application |
| JP5820188B2 (ja) * | 2011-08-19 | 2015-11-24 | キヤノン株式会社 | サーバおよびその制御方法、並びにプログラム |
| US10176335B2 (en) | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
| US11424930B2 (en) * | 2012-05-22 | 2022-08-23 | Barclays Bank Delaware | Systems and methods for providing account information |
| JP6006533B2 (ja) * | 2012-05-25 | 2016-10-12 | キヤノン株式会社 | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 |
| CN103533006B (zh) * | 2012-07-06 | 2019-09-24 | 中兴通讯股份有限公司 | 一种联合云盘客户端、服务器、系统和联合云盘服务方法 |
| JP6066647B2 (ja) | 2012-09-27 | 2017-01-25 | キヤノン株式会社 | デバイス装置、その制御方法、およびそのプログラム |
| GB2509895A (en) * | 2012-11-22 | 2014-07-23 | Visa Europe Ltd | Activation and Use of a Digital Wallet via Online Banking |
| US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| US20140245411A1 (en) * | 2013-02-22 | 2014-08-28 | Nokia Corporation | Method and apparatus for providing account-less access via an account connector platform |
| JP6177020B2 (ja) | 2013-06-18 | 2017-08-09 | キヤノン株式会社 | 認証システム、その制御方法、サービス提供装置およびコンピュータプログラム |
| CN105580038A (zh) * | 2013-07-24 | 2016-05-11 | 维萨国际服务协会 | 用于可互操作的网络令牌处理的系统和方法 |
| US10496986B2 (en) * | 2013-08-08 | 2019-12-03 | Visa International Service Association | Multi-network tokenization processing |
| US9106642B1 (en) * | 2013-09-11 | 2015-08-11 | Amazon Technologies, Inc. | Synchronizing authentication sessions between applications |
| US20150281225A1 (en) * | 2014-03-27 | 2015-10-01 | Microsoft Corporation | Techniques to operate a service with machine generated authentication tokens |
| EP3143573A4 (en) | 2014-05-13 | 2018-01-24 | Visa International Service Association | Master applet for secure remote payment processing |
| US20150339663A1 (en) | 2014-05-21 | 2015-11-26 | Mastercard International Incorporated | Methods of payment token lifecycle management on a mobile device |
| US9419962B2 (en) * | 2014-06-16 | 2016-08-16 | Adobe Systems Incorporated | Method and apparatus for sharing server resources using a local group |
| US20160065552A1 (en) * | 2014-08-28 | 2016-03-03 | Drfirst.Com, Inc. | Method and system for interoperable identity and interoperable credentials |
| US9420463B2 (en) | 2014-09-30 | 2016-08-16 | Sap Se | Authorization based on access token |
| US9871821B2 (en) | 2014-11-11 | 2018-01-16 | Oracle International Corporation | Securely operating a process using user-specific and device-specific security constraints |
| US9794329B2 (en) | 2014-11-28 | 2017-10-17 | Sap Se | Cloud application with secure local access |
| JP6425738B2 (ja) | 2014-12-09 | 2018-11-21 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| US10148522B2 (en) | 2015-03-09 | 2018-12-04 | Avaya Inc. | Extension of authorization framework |
| US10104084B2 (en) | 2015-07-30 | 2018-10-16 | Cisco Technology, Inc. | Token scope reduction |
-
2015
- 2015-12-08 JP JP2015239749A patent/JP6677496B2/ja active Active
-
2016
- 2016-11-30 US US15/364,824 patent/US9853963B2/en active Active
- 2016-12-02 CN CN201611101404.5A patent/CN106856475B/zh active Active
- 2016-12-07 DE DE102016123651.9A patent/DE102016123651B4/de active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414907A (zh) * | 2008-11-27 | 2009-04-22 | 北京邮电大学 | 一种基于用户身份授权访问网络的方法和系统 |
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN102638473A (zh) * | 2012-05-04 | 2012-08-15 | 盛趣信息技术(上海)有限公司 | 一种用户数据授权方法、装置及系统 |
| CN104639562A (zh) * | 2015-02-27 | 2015-05-20 | 飞天诚信科技股份有限公司 | 一种推送认证的系统和设备的工作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106856475A (zh) | 2017-06-16 |
| US20170163635A1 (en) | 2017-06-08 |
| US9853963B2 (en) | 2017-12-26 |
| DE102016123651A1 (de) | 2017-06-08 |
| JP6677496B2 (ja) | 2020-04-08 |
| JP2017107342A (ja) | 2017-06-15 |
| DE102016123651B4 (de) | 2023-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106856475B (zh) | 授权服务器以及认证协作系统 | |
| US9985962B2 (en) | Authorization server, authentication cooperation system, and storage medium storing program | |
| JP6056384B2 (ja) | システム及びサービス提供装置 | |
| JP6318940B2 (ja) | サービス提供システム、データ提供方法及びプログラム | |
| US9455970B2 (en) | Information processing system, information processing apparatus, and authentication method | |
| US9230078B2 (en) | Authentication system, control method thereof, service provision device, and storage medium | |
| US20220345461A1 (en) | Proxy authorization of a network device | |
| JP6323994B2 (ja) | コンテンツ管理装置、コンテンツ管理方法及びプログラム | |
| US9916308B2 (en) | Information processing system, document managing server, document managing method, and storage medium | |
| US10496342B2 (en) | Printing system, method, and program for implementing service coordination among a plurality of security domains | |
| JP2019086937A (ja) | 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法 | |
| JP2015028704A (ja) | サービス提供システム、サービス提供方法及びプログラム | |
| JP6303312B2 (ja) | サービス提供システム及び画像提供方法 | |
| JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
| JP6447766B2 (ja) | サービス提供システム、データ提供方法及びプログラム | |
| JP6299101B2 (ja) | サービス提供システム、サービス提供方法及びプログラム | |
| US20230388311A1 (en) | Network system and control method thereof | |
| Edge et al. | Identity and Device Trust | |
| JP2015146147A (ja) | サービス提供システム、情報処理装置、画像提供方法及びプログラム | |
| JP2015028740A (ja) | サービス提供システム、サービス提供方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |