CN109428891A - 权限转移系统及其控制方法和客户端 - Google Patents

权限转移系统及其控制方法和客户端 Download PDF

Info

Publication number
CN109428891A
CN109428891A CN201811012993.9A CN201811012993A CN109428891A CN 109428891 A CN109428891 A CN 109428891A CN 201811012993 A CN201811012993 A CN 201811012993A CN 109428891 A CN109428891 A CN 109428891A
Authority
CN
China
Prior art keywords
client
authorization
authorization code
user
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811012993.9A
Other languages
English (en)
Other versions
CN109428891B (zh
Inventor
山中嶋和成
松个下勇人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Publication of CN109428891A publication Critical patent/CN109428891A/zh
Application granted granted Critical
Publication of CN109428891B publication Critical patent/CN109428891B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种权限转移系统及其控制方法和客户端。向客户端发送授权码响应,并且客户端使用在授权码响应中包括的参数和发送单元发送的授权码响应中包括的参数来验证授权码响应是否与授权码请求相对应。

Description

权限转移系统及其控制方法和客户端
技术领域
本发明涉及验证对Web服务的访问权限的权限转移系统及其控制方法和客户端。
背景技术
个体Web服务器提供用于提供Web服务的开放应用程序编程接口(API),并且Web服务可以通过开放API彼此协作。在这种情况下,从安全性的观点来看,可能需要如下措施:在不需要移交由一个Web服务管理的用户的认证信息的情况下,授权另一Web服务来访问该一个Web服务。
为了实现这种措施,已采用标准协议(OAuth 2.0)来实现Web服务之间的协作。OAuth 2.0是用于在用户批准的情况下在Web服务之间安全地移交(或转移)用户的认证信息的机制,其细节将在下面描述。
根据OAuth 2.0,当用户进行授权操作时,Web服务B接收授权码。授权码是用于证明用户授权对Web服务A的访问的代码。通过使用所接收到的授权码和证明Web服务B的信息,Web服务B向Web服务A发送用以发出授权令牌的请求。授权令牌是用于授权Web服务B访问Web服务A所提供的开放API 的令牌。Web服务B接收到授权令牌,因此Web服务B被授权访问Web服务A 的API。用于证明Web服务B的信息可以是唯一标识Web服务B的ID、作为机密信息的密钥、或利用数字证书的数字签名。
这里,术语“权限转移”是指通过用户进行的授权操作来授权Web服务 B对Web服务A的API的访问。在OAuth 2.0中,被配置为响应于用户进行的授权操作而发出授权码并根据授权码发出授权令牌的服务器被称为授权服务器。被配置为提供开放API的服务器被称为资源服务器,并且访问开放API 的实体被称为客户端。在上面的示例中,提供Web服务A的服务器对应于授权服务器和资源服务器,并且提供Web服务B的服务器对应于客户端。
参考图1,将描述作为根据OAuth 2.0的处理流程的授权码授予 (AuthorizationCode Grant)。首先,作为用于实现OAuth 2.0的在先操作,将登记请求发送到授权服务器,以使得将客户端登记为OAuth 2.0客户端(S0.0)。更具体地,在客户端启动时或者在后述的S1.1的授权流程开始时未登记客户端的情况下,向授权服务器的登记端点(图1中的“EP”)发送客户端登记请求。例如,可以通过客户端主动与授权服务器通信或者通过用户经由Web浏览器访问授权服务器并登记客户端来进行登记请求的发送。
S0.0中的登记请求包括显示在下面描述的授权确认画面上的客户端名称、描述、图标图像和作为必需参数的重定向统一资源标识符(URI)。重定向URI是用于指定授权服务器将授权码响应发送至的响应目的地的响应目的地信息(地址),以使得客户端从授权服务器接收到授权码响应。将在下面描述授权码响应。已经接收到客户端登记请求的授权服务器发出用于标识客户端的客户端ID和作为用于认证客户端的机密信息的客户端密钥,并将客户端 ID和客户端密钥作为客户端登记响应返回给客户端(S0.1)。授权服务器将在 S0.1中接收到的客户端ID和客户端密钥以及在S0.0中接收到的信息和重定向 URI彼此相关联地保持。客户端保持在S0.1中接收到的客户端ID和客户端密钥。至此为止,已经描述了作为用于实现OAuth 2.0的在先操作的客户端登记流程。
接着,将参考图1来描述用于在授权服务器中认证用户的流程。用户可以登录客户端(S1.0)。客户端生成并保持作为用于标识登录用户的信息的登录上下文。用于标识登录用户的信息(例如本地用户ID等)可以从生成的登录上下文中获得。用户可以经由Web浏览器来访问用于开始授权的URI(以下称为授权开始URI),并且可以开始根据OAuth 2.0的授权流程(S1.1)。响应于访问用于开始授权流程的授权开始URI,客户端将授权码请求发送到授权服务器的授权端点(S1.2)。授权码请求包括客户端ID、重定向URI和状态参数。
状态参数是用于唯一地将授权码请求与授权码响应相关联的信息,并且可用于防止CSRF(跨站请求伪造)攻击和令牌替换(以下称为“授权码替换”) 攻击。为此,状态参数是不可预测且不重叠的值。对客户端在后述的授权码响应中接收到的状态参数与客户端在S1.2中的授权码请求中发送的状态参数之间的一致性进行验证。此外,为了标识已经执行了授权码请求的用户,通过客户端将客户端发出的状态参数与重定向URI和登录上下文相关联地进行管理。
如果用户尚未登录授权服务器,则在S1.2中接收到授权码请求的授权服务器以用于在Web浏览器上认证用户的登录画面进行响应(S1.3)。用户可以通过Web浏览器输入用户ID和密码,并向授权服务器执行认证请求(S1.4)。已经接收到认证请求的授权服务器验证在S1.4中接收到的用户ID和密码的组合与预先登记的组合之间的一致性。如果在S1.4中接收到的用户ID和密码的组合与预先登记的组合一致,则授权服务器发出授权令牌。发出的授权令牌响应于Web浏览器的Cookie。
授权服务器以用户在Web浏览器上批准客户端的授权的授权确认画面进行响应(S1.5)。如果在S1.2中接收到的客户端ID和重定向URI的组合与在授权服务器中预先登记的客户端ID和重定向URI的组合不一致,则授权服务器在Web浏览器上以错误画面进行响应。这可以防止重定向(传送)到无效的 URI。在登录用户已经通过使用相同的客户端ID执行了授权操作的情况下,可以省略S1.5中的处理。在下文中,授权用户ID和客户端ID的组合将被称为批准信息。
在S1.6中用户进行授权操作之后,授权服务器发出授权码并且将授权码和状态参数作为授权码响应发送给客户端(S1.7)。更具体地,授权码和状态参数作为查询参数被添加到重定向URI,然后将其发送到Web浏览器,使得授权码和状态参数被重定向到通过重定向URI所指定的响应目的地。S1.7中发出的授权码与客户端ID、用户ID和重定向URI相关联地保存在授权服务器中。授权服务器还保存批准信息。
已经接收到针对重定向URI的授权码响应的客户端验证授权码响应中包括的状态参数是否与客户端管理的状态参数一致。如果作为验证的结果、状态参数一致,则客户端将令牌请求发送到授权服务器的令牌端点(S2.0)。令牌请求包括客户端ID、客户端密钥、在S1.7中获得的授权码以及在S1.2中接收到的重定向URI。
已经在S2.0中接收到令牌请求的授权服务器验证客户端ID和客户端密钥的组合是否与预先登记的组合一致。如果作为验证结果判断为它们一致,则客户端被授权。授权服务器验证其是否保持了在S2.0中接收到的授权码,并且如果是,则验证授权码是否未到期以及与授权令牌相关联的客户端ID和重定向URI是否与在S2.0中的令牌请求中接收到的客户端ID和重定向URI一致。通过该验证,授权服务器可以验证在S1.2中发送了授权码请求的客户端是否与在S2.0中发送了令牌请求的客户端一致。
如果验证成功,则授权服务器向客户端发出授权令牌,并将其作为对客户端的令牌响应进行响应(S2.1)。这里,授权服务器可以向客户端发出用于再次获得授权令牌的刷新令牌,并以其作为令牌响应进行响应。客户端可以使用S2.1中接收到的授权令牌来访问资源服务器提供的开放API。在发出授权令牌之后,可以丢弃由授权服务器管理的授权码以防止重放攻击。
如果刷新令牌包括在S2.1中的令牌响应中,则将登录上下文和刷新令牌在客户端中彼此相关联地进行管理。因此,可以在无需进行授权操作(S1.2 至S1.7)的情况下再次获得授权令牌,以在下一次和随后的场合访问该API。更具体地,响应于S1.1中的授权的开始,客户端确认用户的登录上下文和刷新令牌是否彼此相关联。如果不是,则进行根据OAuth2.0的流程(S1.2和后续步骤中的处理)。如果用户的登录上下文和刷新令牌彼此相关联,则向授权服务器的令牌端点发送刷新请求(S2.2)。刷新请求包括客户端ID、客户端密钥和刷新令牌。
已经接收到刷新请求的授权服务器验证客户端ID和客户端密钥的组合是否与在S0.1中预先登记的组合一致。如果确认为一致并且客户端已授权,则授权服务器验证所接收到的刷新令牌是否保持在授权服务器中,并且如果是,则验证刷新令牌是否未过期以及与刷新令牌相关联的客户端ID是否与刷新请求中的客户端ID一致。如果这些验证全部都成功,则授权服务器发出授权令牌并将授权令牌作为令牌响应发送给客户端。这里,可以重新发出新的刷新令牌以再次获得授权令牌,并且新的刷新令牌可以与令牌响应同时发送到客户端。在授权服务器中发出新的刷新令牌之后,授权服务器丢弃已经管理的刷新令牌,以防止重放攻击。已经描述了根据OAuth 2.0的授权码授予的处理流程。根据OAuth 2.0的处理流程使得授权服务器能够发出授权令牌,并且客户端通过使用发出的授权令牌来访问资源服务器提供的开放API,而不是将授权服务器所管理的用户认证信息发送到客户端。日本特开2016-6624 公开了一种通过使用根据OAuth 2.0的处理流程来与多个外部服务系统协作的信息处理系统。
存在降低用于在权限转移系统中管理参数的成本的需求。例如,在基于图1所示的OAuth 2.0的处理流程中,设置用于在S1.2中将授权码请求发送到授权服务器的授权端点的状态参数。针对状态参数要设置的值应该是不可预测且不重叠的,并且可用于在客户端中将从客户端向授权服务器发送的授权码请求与客户端所接收到的授权码响应相关联。然而,每次执行授权码请求时都要发出状态参数的值,此外,在客户端中保持状态参数的值直到其被删除为止,这可能会对客户端上的管理成本产生负担。
发明内容
本发明公开了以下结构。一种权限转移系统,包括:至少处理器和至少存储器,至少所述存储器与至少所述处理器连接并且存储有指令,在至少所述处理器执行所述指令时,至少所述存储器和至少所述处理器进行协作以用作:发送部件,用于在用户许可客户端对资源服务器进行访问的情况下,从所述客户端向授权服务器发送用于利用所述授权服务器发出授权码的授权码请求;接收部件,用于从所述授权服务器向所述客户端接收作为对所述授权码请求的响应的授权码响应;以及生成部件,用于在用户登录所述客户端的情况下生成登录上下文,其中,所述发送部件所发送的所述授权码请求包括签名信息和用于将所述授权码请求与所述授权码响应相关联的参数,所述参数具有被设置为所述参数的值的所述登录上下文,其中,在所述授权服务器中验证所述签名信息之后,向所述客户端发送与所述授权码请求相对应的所述授权码响应,以及其中,所述客户端使用所述接收部件所接收到的所述授权码响应中所包括的参数和所述发送部件所发送的所述授权码请求中所包括的参数,来验证所述授权码响应是否与所述授权码请求相对应。
一种权限转移系统的控制方法,所述控制方法包括:发送步骤,用于在用户许可客户端对资源服务器进行访问的情况下,从所述客户端向授权服务器发送用于利用所述授权服务器发出授权码的授权码请求;接收步骤,用于从所述授权服务器向所述客户端接收作为对所述授权码请求的响应的授权码响应;以及生成步骤,用于在用户登录所述客户端的情况下生成登录上下文,其中,所述发送步骤所发送的所述授权码请求包括签名信息和用于将所述授权码请求与所述授权码响应相关联的参数,所述参数具有被设置为所述参数的值的所述登录上下文,其中,在所述授权服务器中验证所述签名信息之后,向所述客户端发送与所述授权码请求相对应的所述授权码响应,以及其中,所述客户端使用所述接收步骤所接收到的所述授权码响应中所包括的参数和所述发送步骤所发送的所述授权码请求中所包括的参数,来验证所述授权码响应是否与所述授权码请求相对应。
一种客户端,包括:发送部件,用于在用户许可所述客户端对资源服务器进行访问的情况下,从所述客户端向授权服务器发送用于利用所述授权服务器发出授权码的授权码请求;以及接收部件,用于接收作为对所述授权码请求的响应的授权码响应,其中,所述发送部件所发送的所述授权码请求包括签名信息和用于将所述授权码请求与所述授权码响应相关联的参数,所述参数具有被设置为所述参数的值的登录上下文,其中,在所述授权服务器中验证所述签名信息之后,所述客户端从所述授权服务器接收与所述授权码请求相对应的所述授权码响应,以及其中,所述客户端使用所述接收部件所接收到的所述授权码响应中所包括的参数和所述发送部件所发送的授权码请求中所包括的参数,来验证所述授权码响应是否与所述授权码请求相对应。
通过以下参考附图对典型实施例的说明,本发明的其它特征将变得明显。
附图说明
图1是基于OAuth 2.0的授权码授予的处理流程。
图2是示出根据实施例1的权限转移系统的结构图。
图3示出权限转移系统中包括的装置的硬件结构。
图4A至4D示出权限转移系统中包括的装置的软件模块结构。
图5A和5B示出用于要由Web浏览器显示的客户端的用户认证画面和授权确认画面的示例。
图6示出根据实施例1的基于OAuth 2.0的授权码授予的处理流程。
图7示出根据实施例1的包括授权码请求的JWT的示例。
图8示出根据实施例1的包括授权令牌的JWT的示例。
图9示出根据实施例1的用于在客户端中确定重定向URI的处理流程。
图10示出根据实施例2的基于OAuth 2.0的授权码授予的处理流程。
图11示出根据实施例2的包括授权码请求的JWT的示例。
图12示出用于判断授权服务器中的批准信息的流程。
图13示出根据实施例4的基于OAuth 2.0的授权码授予的处理流程。
具体实施方式
本发明可以维持诸如用于将授权码请求与授权码响应相关联的状态参数等的参数的角色,并且同时可以降低在客户端中发出和管理参数的成本。
参考附图,下面将描述用于实施本发明的最佳模式。
首先,将参考图2来描述根据本发明的实施例的权限转移系统。广域网 (WAN)100由万维网(WWW)系统构成。WAN 100和装置200至500通过局域网 (LAN)101连接。
授权服务器200是用于实现OAuth 2.0的服务器,并且被配置为进行诸如接收认证请求并发出和管理授权码等的处理。资源服务器300具有用于提供 Web服务的开放API。尽管授权服务器200和资源服务器300通过图2中的LAN 101连接,但是它们可以通过WAN 100连接。授权服务器200还可以通过LAN 101连接到未示出的数据库服务器,使得被授权服务器200用来实现其功能的数据可以存储在数据库服务器中。尽管授权服务器200和资源服务器300在图 2中作为单独的服务器提供,但是服务器的功能可以在一个服务器中实现。
客户端400对应于基于OAuth 2.0的客户端,并且例如可以是打印机、多功能打印机/外围设备(MFP)、个人计算机(PC)或智能电话。终端500对应于基于OAuth 2.0的用户代理。用户可以经由终端500使用装置的功能,诸如对授权服务器200的用户认证请求以及要在客户端400上进行的登录操作等。例如,终端500具体可以是PC或智能电话。
客户端400和终端500分别包括Web浏览器410和Web浏览器510。用户可以运行Web浏览器410或Web浏览器510来执行后述的授权操作。客户端400 和终端500通过LAN 101连接。在下文中,如果可以由Web浏览器410和Web 浏览器510中的任何一个进行操作,则Web浏览器410和Web浏览器510将简称为“Web浏览器”而无需附图标记。
接着,参考图3,将描述授权服务器200、资源服务器300、客户端400和终端500的硬件结构。图3是示出一般信息处理设备的框图,根据本实施例的装置可以应用一般信息处理设备的硬件结构或作为基础结构即服务(IaaS)提供的信息处理设备的虚拟硬件结构。将参考图3来描述客户端400作为示例,但是资源服务器300、授权服务器200和终端500具有相同的硬件结构。
中央处理单元(CPU)2001被配置为从随机存取存储器(RAM)2002、只读存储器(ROM)2003或外部存储器2011等中读出程序并在客户端400上执行用于控制的程序的指令。下面将描述的序列可以通过这种程序的执行指令来实现。CPU 2001还被配置为控制连接到系统总线2004的块。
RAM 2002是CPU 2001可用于执行指令的工作存储器。可以将诸如操作系统(OS)或保存在ROM 2003或外部存储器2011中的应用程序等的程序加载到RAM 2002,并且CPU 2001可以顺次读出并执行程序的指令。ROM 2003 是被配置为存储嵌入程序以及包括应用程序和OS的数据的存储装置。ROM 2003可以是闪速存储器或可擦除ROM。RAM 2002或ROM 2003可以是连接到CPU 2001并且在其上存储指令的存储器,其中当该指令由CPU 2001执行时,协作以用作各种单元或者进行后述的操作。
键盘控制器(KBC)2005被配置为控制来自键盘(KB)2009和未示出的指点装置的输入。阴极射线管控制器(CRTC)2006被配置为控制由CRT显示器 2010呈现的显示。盘控制器(DKC)2007被配置为控制对外部存储器2011的数据访问。网络控制器(NC)2008被配置为执行用于控制与通过WAN 100或 LAN 101连接到装置的其它装置的通信的处理。如果装置是作为IaaS提供的虚拟信息处理设备,则该装置可以不具有KBC 2005和CRTC 2006,但是可以通过在经由NC 2008连接到装置的终端中包括的键盘或CRT显示器来操作。
在以下描述中,除非另有说明,否则装置的功能可主要由CPU 2001以硬件或主要由安装在RAM 2002、ROM 2003或外部存储器2011等中的程序以软件来执行。
接着,参考图4A至4D,将描述授权服务器200、资源服务器300、客户端400和终端500的功能。授权服务器200具有授权服务器单元210和HTTP服务器单元220。HTTP服务器单元220通过WAN 100连接到客户端400和终端 500,并且是被配置为与将在下面描述的Web浏览器或客户端应用程序420进行HTTP通信的功能。HTTP服务器单元220可以基于SSL/TLS来进行通信,并且具有未示出的证书存储器。
授权服务器单元210是被配置为经由HTTP服务器单元220从Web浏览器 510接收请求并且以对所接收的请求的结果进行响应的功能。更具体地,HTTP服务器单元220被配置为从Web浏览器510接收用户认证请求,生成与关于已经成功认证的用户的用户信息相关联的授权令牌,并且将授权令牌通知给Web浏览器510。这里的授权令牌可以是表示用户正在登录授权服务器 200的令牌或用于验证用户是否已经由授权服务器200认证的令牌。使用授权令牌使得授权服务器200能够识别用户。另一方面,授权码是表示许可客户端400代表用户来访问资源服务器300的API的令牌,其中通过由认证用户进行的授权操作将权限转移至该客户端400。授权服务器单元210还可以被配置为保持用于对授权令牌添加签名信息的私钥。在这种情况下,私钥可以用于对授权令牌添加签名信息,并且可以向客户端400发出具有签名信息的授权令牌。
资源服务器300具有资源服务器单元310。资源服务器单元310是被配置为提供用于提供Web服务的开放API的功能。资源服务器单元310可以具有 HTTP服务器单元,并且可以被配置为经由HTTP服务器单元(如授权服务器 200)进行相对于外部装置的发送和接收。
客户端400具有Web浏览器410、客户端应用程序420和认证单元430。Web 浏览器410是通过用户代理实现的用于使用WWW的功能,其中Web浏览器 410与包括在终端500中的Web浏览器510的功能相同。Web浏览器410被配置为响应于用户操作与授权服务器200和客户端应用程序420通信。客户端应用程序420被配置为执行由资源服务器300提供的开放API,以向用户提供与客户端应用程序420提供的功能相结合的Web服务。根据本实施例,客户端应用程序420对应于基于OAuth 2.0的客户端。
认证单元430是用于认证用户的功能。用户可以通过客户端400呈现的输入画面(未示出)输入本地用户ID和本地用户密码,以使用客户端400的功能。响应于输入的客户端400通过在认证单元430中预先登记的信息(本地用户ID 和本地用户密码)与输入信息之间进行比较来对用户进行认证处理,并生成登录上下文。可以以诸如利用IC卡的认证或基于指纹的生物认证等的任何其它形式来进行认证处理。
登录上下文是用于标识客户端400中的本地用户的信息,并且例如可以包括本地用户ID。登录上下文由客户端应用程序420和认证单元430共享。根据本实施例,已经描述了用户通过直接操作客户端400来执行用于登录客户端400的处理,然而用户可以经由Web浏览器510来远程登录客户端400。在这种情况下,认证单元430以未示出的登录画面对Web浏览器510进行响应。基于用户通过登录画面输入的本地用户ID和本地用户密码来对用户进行认证。在这种情况下,在认证单元430中生成登录上下文,并且由客户端应用程序420和认证单元430共享登录该上下文。
实施例1
根据实施例1,可以在不损害执行处理的安全性的情况下解决由于客户端的URI的改变而导致的基于OAuth 2.0的处理的复杂性。相同的标号指代与图1和本实施例中描述的处理流程相同的处理流程,并且将省略其重复的细节描述。
首先,参考图5A和5B,描述用于由授权服务器200认证用户的登录画面和用于向用户询问关于客户端400的授权的批准的授权确认画面。
图5A示出在Web浏览器上显示并且可以被用户用来登录授权服务器200 的登录画面的示例。在用户经由Web浏览器向授权服务器200的授权端点发送授权码请求并且用户尚未登录授权服务器200的情况下,登录画面将显示在Web浏览器上。登录画面5000包括用户ID输入栏5001、密码输入栏5002和可用于执行登录操作的登录按钮5003。下面将描述在按下登录按钮5003之后要执行的处理。
图5B示出授权服务器200向Web浏览器响应作为用户认证的结果的授权确认画面的示例。授权确认画面5100具有用于向用户询问批准的内容,包括要授权的客户端400的客户端名称5101、与客户端400有关的描述5102以及图标图像5103。授权确认画面5100还包括分别可以被用户用来许可和拒绝客户端400的授权的许可按钮5104和拒绝按钮5105。下面将描述当按下许可按钮 5104时以及当按下拒绝按钮5105时要执行的处理。
接着,将参考图6来描述具有本发明的特征的基于OAuth 2.0的授权码授予的处理流程。相同的标号指代图1和图6中的相同部分,并且将省略任何重复的细节描述。图1中的S0.0、S0.1、S1.2、S2.0和S2.2中的处理可以由后述的S3.0、S3.1、S4.0、S5.0和S5.1中的处理替换,以执行根据本实施例的基于 OAuth 2.0的处理流程。
首先,将参考图6来描述作为用于执行OAuth 2.0的在先操作而要进行的用于登记客户端400的流程。根据本实施例,例如,客户端400主动与授权服务器200通信以执行对客户端400的登记请求。然而,用户可以经由Web浏览器访问授权服务器200以执行客户端400的登记请求。用于登记客户端400的流程在客户端400启动时开始,或者在S1.1中的授权流程开始时尚未登记客户端400的情况下开始。
客户端400将客户端400的登记请求发送到授权服务器200(S3.0)。已经接收到登记请求的授权服务器200生成用于标识客户端400的客户端ID以及用于认证客户端400的加密密钥和解密密钥(或公钥和私钥)的密钥对。根据本实施例,下面将示例性地描述私钥和加密密钥。授权服务器200将生成的客户端ID和私钥作为登记响应返回给客户端400(S3.1)。客户端ID和私钥彼此相关联地保存在客户端400中,同时客户端ID和公钥彼此关联地保存在授权服务器200中。将通过假设客户端ID为“client_01”来描述本实施例。表1中示出客户端400中保持的关联信息的示例,以及表2中示出授权服务器200中保持的关联信息的示例。
表1
客户端ID 私钥
client_01 私钥A
表2
客户端ID 公钥
client_01 公钥A
要作为登记响应发送到客户端400的信息不限于如上所述的形式。例如,可以嵌入客户端ID作为私钥的主体信息,并且可以仅将私钥作为登记响应发送到客户端400。可选地,授权服务器200可以预先生成私钥,并且私钥可以在客户端400制造时预先安装在客户端400中,而无需针对客户端400执行登记流程(S3.0至S3.1)。至此为止,已经描述了客户端400的登记流程。
在现有技术中,在客户端400的在先登记期间将重定向URI和与客户端 400有关的信息发送到授权服务器200(S0.0),并且在授权服务器200中管理所发送的信息。相反,根据本发明的在先登记(S3.0)不发送该信息,并且不对授权服务器200中所发送的信息进行管理。
接着,参考图6,将描述从用户登录客户端400的步骤起、直到客户端400 向授权服务器200发送授权码请求的步骤为止的处理流程。用户登录客户端 400(S1.0)。假设这里的本地用户ID是“local_user_01”。客户端400生成并保持可以标识本地用户ID的登录上下文。可以被配置为使得登录上下文可以响应于用户进行的登出操作或者在针对上下文预设的到期日期之后变为无效。
接着,用户经由Web浏览器访问用于开始客户端400的授权的URI(S1.1)。在这里的用户代理是Web浏览器410的情况下,用户可以启动Web浏览器410 或者可以使用用于Web浏览器410的书签来访问URI。可选地,可以运行客户端应用程序420的用户界面(未示出)以启动Web浏览器410,从而开始授权处理。在用户代理是Web浏览器510的情况下,Web浏览器410可以接收由Web 浏览器510进行的远程访问,并且可以输入用于在Web浏览器510中进行访问的授权开始的URI,或者与其相对应的书签可用于进行访问。可选地,客户端应用程序420针对通过Web浏览器510的远程访问利用画面(未示出)来进行响应,并且用户可以按下针对画面中嵌入的授权开始的URI的链接来进行访问。
如果客户端400在S1.1中接收到对授权开始URI的访问,则客户端400将授权码请求发送到授权服务器200的授权端点(S4.0)。更具体地,将对授权服务器200的授权端点的重定向指示发送到Web浏览器。在S4.0中发送的授权码请求包括用于指定授权码作为授权码响应的响应类型的信息以及用于唯一地将授权码请求与授权码响应相关联的状态参数。
在S4.0中发送的授权码请求还包括JSON Web令牌(JWT)。更具体地,在OAuth2.0JWT配置文件中声明client_assertion_type:jwt-bearer,并且JWT被设置为client_assertion的参数。图7示出当JWT被设置为参数时授权码请求的示例。JWT包括头部分(从“Header”开始)、有效载荷部分(从“Payload”开始)和数字签名部分(从“Encoded”开始),所有这些都根据由Base 64表示的编码方法来进行编码。
在有效载荷部分中,在“iss”(表示发出者)和“sub”(表示主体)下,设置客户端ID“client_01”。在“aud”(表示用户)下,设置授权服务器200的授权端点的URI,并且在“exp”(表示到期日期)和“iat”(表示发出日期和时间) 下,设置信息。在“client_name”下设置客户端名称,并且在“description”下设置客户端400的描述。参考图7,“装置XX”被设置为客户端400的客户端名称,并且“位于YY中的\r\n装置XX”被设置为客户端400的描述。在“redirect_uri”下设置重定向URI,并且例如这里设置“https://192.168.1.1/redirect”。根据需要,在“icon_image”下设置与图标图像有关的信息以及图标图像的图像格式。如果图标图像存在,则与图标图像有关的信息可以被设置为URI,或者如果图像保持在授权服务器200中,则与图标图像有关的信息可以是用于标识图像的信息。
在设置这些信息之后,根据Base 64对头部分和有效载荷部分中的字符串进行编码,并且通过使用保持在客户端400中的私钥针对字符串提供数字签名。已经在S4.0中获得JWT的授权服务器200基于客户端ID来识别公钥,并且通过使用公钥来验证包括在JWT中的数字签名以认证客户端400并验证JWT中的字符串没有被更改。结果,验证了在S4.0中授权码请求的JWT中包括的重定向URI由客户端400设置并且没有被更改。
至此为止,已经描述了从用户登录客户端400的步骤起、直到客户端400 将授权码请求发送到授权服务器200的步骤为止的流程。基于JWT,可以信任授权码请求中包括的重定向URI。因此,授权服务器200可以不将其与重定向URI进行比较,并且可以不预先向授权服务器200登记重定向URI。结果,即使在客户端400的URI被改变并且因此改变了重定向URI的情况下,也可以使用客户端400的改变后的URI来将授权码请求发送到授权服务器200。
可以基于存储在客户端400中的与本地用户使用的语言有关的语言信息、或者在Web浏览器上的Accept-Language头中设置的语言信息(包括在来自 Web浏览器的请求中的语言信息),来确定用于编写要在授权确认画面上显示的与客户端400有关的信息(诸如客户端名称、描述和图标图像等)的语言。这意味着可以基于语言信息来编写S4.0中的授权码请求中包括的与客户端400 有关的信息。因此,授权服务器200可以接收与客户端400有关的信息,以将适用于登录客户端400的本地用户的授权确认画面呈现给用户。
接着,参考图6,将描述从经由Web浏览器向用户呈现登录画面起、直到向客户端400发出授权码为止的处理。如果用户尚未登录授权服务器200,则已经接收到授权码请求的授权服务器200向授权端点呈现登录画面(S1.3)。图5A示出登录画面的示例。用户可以在登录画面5000上输入用户ID和密码,并按下登录按钮5003以向授权服务器200发送认证请求(S1.4)。已经接收到认证请求的授权服务器200将用户ID和密码的组合与预先在授权服务器200中登记的信息进行比较,并且如果它们一致,则发出授权令牌。将发出的授权令牌作为响应返回到Web浏览器的Cookie。这里,授权令牌可以是随机且不可预测的字符串,或者可以是包括登录用户的标识信息以及登录日期和时间的加密字符串。在前一种情况下,授权令牌与登录用户的标识信息(或本实施例中的用户ID)相组合地保持在授权服务器200中。这里将本实施例中的用户ID假定为“user_01”。
授权服务器200利用授权确认画面来响应于Web浏览器(S1.5)。图5B示出授权确认画面的示例。然而,在利用公钥来验证在S4.0中的授权码请求中接收到的JWT中的数字签名并且判断为无效的情况下,返回错误画面(未示出),并且处理结束。数字签名验证的处理可以防止重定向到无效的URI。下面将描述JWT中的数字签名有效的情况。
基于在S4.0中的授权码请求中接收到的JWT中包括的值(客户端名称 5101、描述5102和图标图像5103),在Web浏览器上显示授权确认画面5100。这里,如果用户按下拒绝按钮5105并且如果客户端ID和重定向URI的组合与预先登记的对应组合一致,则授权服务器200将表示用户拒绝客户端400的授权的信息添加到重定向URI中的查询参数。然后,授权服务器200利用用以将信息重定向到在重定向URI中指定的响应目的地的指示来向Web浏览器进行响应。
如上所述,使用这样的JWT使得能够拒绝无效的授权码请求,并且可以向Web浏览器提供表示授权码请求已被拒绝的显示画面。即使S4.0中的请求未被拒绝,用户也可以通过授权确认画面来拒绝授权,并将表示授权已被拒绝的信息发送到Web浏览器。
另一方面,如果用户按下许可按钮5104,则执行授权操作(S1.6),并且授权服务器200发出授权码。将在S1.6中发出的授权码和在S4.0中的授权码请求中接收到的状态参数作为查询参数添加到重定向URI,并且将用以将授权码和状态参数重定向到在重定向URI中所指定的响应目的地的指示返回到 Web浏览器(S1.7)。将所发出的授权码与客户端ID、用户ID和重定向URI相关联地保存在授权服务器200中。保存在授权服务器200中的授权码可以用于响应于后述的令牌请求而进行的对客户端400的验证。这里,例如,将授权码与客户端ID“client_01”、用户ID“user_01”和重定向URI “https://192.168.1.1/redirect”相关联地保存。授权码是不可预测的随机字符串,并且可以具有到期日期。授权服务器200确定为授权被用户批准,并将批准信息(用户ID和客户端ID)登记为与登录用户有关的信息。
已经在S1.7中接收到授权码响应的客户端400将令牌请求发送到授权服务器200的令牌端点(S5.0)。令牌请求包括JWT(JSON Web令牌),JWT包括表示授权流程基于授权码授予的定义“grant_type=authorization_code”以及获得的授权码和客户端认证信息。更具体地,JWT在这里被设置为在OAuth 2.0 JWT配置文件中声明的client_assertion_type:jwt-bearer中的client_assert中的参数。图8示出由JWT表示的令牌请求的示例。将省略与图7中的授权码请求重叠的部分的任何重复细节描述。
已经在S5.0中接收到令牌请求的授权服务器200通过使用从客户端ID识别的公钥来验证JWT中的签名。如果验证成功并且客户端400被认证,则授权服务器200发出授权令牌并将令牌响应发送到客户端400(S2.1)。客户端400 将刷新请求发送到授权服务器200的令牌端点(S5.1)。在S2.2中,刷新请求中的客户端400的认证方法基于客户端ID和密钥的组合来进行比较以认证客户端400。另一方面,在S5.1中,通过使用私钥来验证添加到客户端ID的数字签名以验证客户端400。该处理在Web浏览器上呈现登录画面,然后向客户端400发出授权码。
接着,将参考图9来描述用于确定要在授权码请求中设置的重定向URI 的处理。图9中的处理是用于确定客户端400中的重定向URI的处理流程。当客户端400接收到授权流程的开始请求时(S1.1),开始该处理(S9.1)。客户端 400在授权流程的发起请求中获得主机头(Host header)(S9.2)。客户端400判断所获得的主机头的域部分是否是“localhost”(S9.3)。域部分“localhost”与表示要执行程序的装置的主机名相对应,并且在这种情况下,域部分“localhost”表示授权流程的发起请求被发送至的Web浏览器。根据S9.3中的判断结果,可以识别出授权流程的发起请求被发送至的Web浏览器。这里假设Web浏览器410将授权流程的发起请求发送到客户端400。如果主机头是“localhost”,则确定为重定向URI的域部分是“localhost”(S9.8)。例如,重定向URI可以是“https://localhost/redirect”。
如果在S9.3中主机头的域部分不是“localhost”,则客户端400判断主机头的域部分是否是IP地址(S9.4)。如果不是,则使用在S9.2中获得的主机头来向未示出的DNS服务器进行查询,以获得IP地址(S9.5)。例如,在主机头是“www.canon.jp:443”的情况下,端口号“443”被添加到作为域的“www.canon.jp”(全限定域名:FQDN)。在这种情况下,提取作为主机头的一部分的域部分,并且对具有域部分的DNS服务器进行查询。在获得IP地址之后,执行后述的S9.6中的处理。
如果在S9.4中主机头的域部分是IP地址,则在客户端400中将客户端400 中预设的IP地址和获得的IP地址进行比较(S9.6)。在客户端400中判断IP地址是否一致(S9.7)。如果IP地址不一致,则判断为在S9.1中接收到的访问无效,并且处理以错误终止(S9.9)。如果IP地址一致,则判断为在S9.1中接收到的访问有效,并且生成具有在S9.2中获得的主机头的域部分的URI。生成的URI 被确定为重定向URI(S9.8)。至此为止,已经描述了用于确定客户端400中的重定向URI的方法。根据该方法,即使当IP地址或主机名改变时,也可以响应于基于OAuth 2.0的处理流程中的授权流程的发起请求来确定重定向URI。
本实施例可以在基于OAuth 2.0的授权码授予的处理流程中不会损害安全性的情况下,消除重定向URI和与在授权确认画面上要呈现的客户端有关的信息的在先登记和管理的必要性,并且可以容易地解决动态变化。
实施例2
在参考图1和6描述的基于OAuth 2.0的处理流程中,设置状态参数,以在 S1.2(或图6中的S4.0)中将授权码请求发送到授权服务器的授权端点。状态参数具有用于唯一地将授权码请求与授权码响应相关联的不可预测且不重叠的值。然而,每当执行授权码请求时都要发出状态参数的值,并且状态参数的值要保持在客户端400中,直到状态参数的值被删除为止,从而会对客户端400的管理成本产生负担。将描述根据实施例2的用于降低在客户端400中发出和管理状态参数的值的成本的处理。尽管将参考与传统技术(图1)的组合来描述实施例2,但是实施例2可以与实施例1(图6)组合。
参考图10,将描述根据实施例2的基于OAuth 2.0的授权码授予的处理流程。相同的标号指代图1和图10中的相同部分,并且将省略任何重复的细节描述。根据实施例2的客户端400的在先登记以基于传统技术的模式(S0.0至 S0.1)进行,但是可以以根据实施例1的模式(S3.0至S3.1)进行,因此将省略对其的任何重复描述。由于从用户登录客户端400的时间(S1.0)起、直到授权发起请求被发送到客户端400的时间(S1.1)为止的处理以与传统技术或者实施例1相同的方式进行,因此将省略任何重复的描述。
当在S1.1中客户端400接收到对用于授权开始的URI的访问时,客户端 400将授权码请求发送到授权服务器200的授权端点(S7.0)。更具体地,经由 Web浏览器进行到授权端点的重定向。S7.0中的授权码请求包括用于指定授权码作为响应类型的信息、用于唯一标识客户端400的客户端ID、作为用于唯一地将授权码请求与授权码响应相关联的信息的状态参数、以及重定向 URI。然而,登录上下文被设置为状态参数的值。登录上下文是保持与登录客户端400的用户有关的信息的数据对象,并且包括用于标识本地用户的本地用户信息,诸如本地用户ID或本地用户的电子邮件地址等。JWT包括要在授权码请求中发送的客户端ID以及被设置为状态参数的登录上下文。下面将参考图11来描述JWT中的参数设置。
已经在S7.0中接收到授权码请求的授权服务器200通过进行S1.3至S1.6 中的处理,来针对登录授权服务器200的用户请求客户端400的授权。用户可以授权客户端400执行授权操作。如果在S1.6中执行了授权操作,则授权服务器200发出授权码。将发出的授权码与客户端ID、用户ID和重定向URI相关联地保存。在这种情况下,将授权码与客户端ID“client_01”、用户ID “user_01”和重定向URI“https://192.168.1.1/redirect”相关联地保存。
将用以将授权码和S7.0中被设置为状态参数的值的登录上下文重定向到重定向URI的指示作为响应发送到Web浏览器(S7.1)。这里,授权服务器200 通过使用公钥来对授权码和状态参数添加数字签名。已经在重定向URI处接收到授权码响应的客户端400通过使用保持在客户端400中的私钥来验证数字签名值,并验证在S7.1中接收到的授权码响应的内容是否未被更改。更具体地,客户端400可以验证在客户端400中保存的登录上下文和在S7.1中接收到的登录上下文一致并确定为授权码请求和授权码响应彼此相关联。
由于在验证了S7.1中接收到的授权码响应的内容未被更改之后用于从授权服务器200向客户端400发出授权令牌的处理(S2.0至S2.2)可以以根据实施例1的模式(S5.0至S5.1、S2.1)进行,因此将省略任何重复描述。到此为止,已经描述了根据实施例2的基于OAuth 2.0的授权码授予的处理流程。
接着,参考图11,将描述在S7.0中在从客户端400向授权服务器200的授权码请求中发送的JWT的示例。将省略JWT中包括的与图8中相同的字符串的任何重复细节描述。在有效载荷部分中,设置状态以及iss(发出者)和sub (主体)。在这种情况下,在aud(用户)下设置授权服务器200的授权端点的“https://xxx.com/authrization”。此外,在state下,设置“user://local_user_01, mail:local_user_01@abc.com”作为登录上下文。根据Base 64来对头部分和有效载荷部分中的字符串进行编码,并且针对这些字符串,通过使用保持在客户端400中的私钥来提供数字签名。至此为止,已经描述了要在S7.0中的授权码请求中从客户端400向授权服务器200发送的JWT的示例。
尽管图11示出以JSON(JavaScript(注册商标)对象表示法)格式的文本数据编写的登录上下文,但是登录上下文不限于具有该格式。当客户端400在 S7.1中接收到授权码响应时,客户端400使用登录上下文来标识本地用户,并且登录上下文可以例如是通过对登录上下文执行可逆或不可逆加密而获得的任何值。
根据实施例2,由客户端400保持的现有登录上下文被设置为状态参数的值,使得可以在客户端400中消除针对状态参数设置新值的必要性,从而可以降低客户端400中的生成和管理的成本。
登录上下文是可以唯一标识本地用户而不与其它用户重叠的信息。当本地用户登录客户端400时,登录上下文可以由客户端400中的OS(未示出)生成,并且在本地用户登出时变为无效。响应于由本地用户进行的登录操作而生成登录上下文使得网页在Web浏览器上开放,其中登录本地用户具有对该网页的访问权限。登录上下文响应于本地用户进行的登出操作而变为无效,使得可以防止本地用户具有访问权限的网页向其它用户开放,并且可以确保安全性。
另一方面,状态参数具有用于唯一地将授权码请求与授权码响应相关联的不可预测且不重叠的值。换句话说,根据本实施例,状态参数的值被登录上下文替换,使得可以维持状态参数的特性(不与其它信息重叠的信息),并且可以降低用于在客户端400中生成和管理状态参数的值的成本。
在授权码请求和授权码响应中使用JWT使得能够在不会损害基于OAuth 2.0的处理的执行中的安全性的情况下,在授权服务器200和客户端400之间安全地交换包括用户信息的状态参数。
实施例3
在一些情况下,一个用户ID可以与多个本地用户ID相关联,而不是将唯一地与客户端400的本地用户ID相关联的用户ID保存在授权服务器200中。更具体地,在一些情况下,在客户端400中,可以针对各个用户登记本地用户 ID,而在授权服务器200中,可以针对多个本地用户ID使用共同用户ID,而不是针对各个用户发出用户ID。例如,由于生成多个账户(用户ID)的复杂性,因此可以针对一个部门内的业务生成共同账户,并且该共同账户可以由该部门的多个成员共享。
结果,批准信息(包括客户端ID和用户ID)由客户端400的多个用户共享。然后,出现如下问题:尽管一个用户正在执行授权操作,但是共享批准信息中包括的用户ID的另一用户执行了授权操作。
为了防止用户ID被共享,可以将用户ID单独存储在授权服务器200中,然而这需要针对各个用户发出用户ID并且需要用于生成和管理用户ID的成本。根据实施例3,在授权服务器200中不生成和管理新用户ID的情况下,用户ID没有被多个用户共享。
首先,将描述要在授权服务器200中管理的批准信息。表3是存储在授权服务器200中的批准信息的示例。
表3
在表3中,“client_id”表示客户端ID,“user_id”表示向授权服务器200 登记的用户的用户ID,“login_context”表示由授权服务器200响应于S7.0中的授权码请求而发送的登录上下文。登录上下文包括与登录客户端400的本地用户有关的本地用户信息。在“login_context”下不存在设置值意味着没有登录上下文被视为批准信息,并且在“login_context”下存在设置值意味着登录上下文被视为批准信息。标志“consent”(同意)表示用户在S1.5中的授权确认画面上是否批准授权。具有“1”的标志“consent”表示客户端400 的授权被批准,而具有“0”的标志“consent”表示授权被拒绝。表3中的批准信息表中没有记录表示用户尚未授权。作为批准信息表的替代形式,可以不设置“consent”。根据该形式,如果用户拒绝客户端400的授权,则从批准信息表中删除记录。
当授权服务器200接收到用户进行的授权操作时,生成表3中的批准信息(S1.6)。在S1.6中,在授权服务器200中管理包括客户端ID和用户ID的批准信息。根据本实施例,除了客户端ID和用户ID之外,还管理在S7.0(图10)中接收到的登录上下文作为如表3中的批准信息。
用于判断登录上下文是否包括在批准信息中的标准取决于在客户端400 中是否预设了该登录上下文。授权服务器200可以主要基于以下两种形式来判断登录上下文是否存在于客户端400中。一种形式向授权服务器200通知当在S0.0中登记了与客户端400有关的信息时,客户端400是具有登录上下文的多用户装置。
根据第二种形式,当Web浏览器向授权服务器200发送授权请求时,另外发送状态参数和用于通知状态参数的值是登录上下文的另一参数。这里假设,根据本实施例,授权服务器200基于这两种形式之一判断为登录上下文存在于客户端400中,并且登录上下文包括在与用户有关的批准信息中。
参考图12,将描述用于判断是否要在Web浏览器上显示授权确认画面的流程。图12中的流程在授权服务器200在S12.1中接收到授权码请求之后、在 S12.2中判断是否要显示登录画面时执行。图5A示出登录画面的示例。当通过Web浏览器上的登录画面输入用户ID和密码时,授权服务器200从Web浏览器接收认证请求(S12.3)。由于S12.1、S12.2和S12.3中的处理与图10中的S7.0、 S1.3和S1.4中的处理相同,因此将省略任何重复的细节描述。
授权服务器200判断在S12.3中接收到的用户ID以及在S7.0中接收到的登录上下文和客户端ID与作为批准信息而预先保存在授权服务器200中的用户 ID、客户端ID和登录上下文是否一致(S12.4)。
如果在S12.4中判断为预先登记的批准信息与S12.3中的用户ID以及S7.0 中的登录上下文和客户端ID一致,则处理移至S12.5。这里,与向授权服务器200登记为批准信息的用户ID、客户端ID和登录上下文一致的用户ID、客户端ID和登录上下文表示由用户ID和登录上下文识别出的用户已经通过使用由客户端ID识别出的客户端400执行了授权操作。。
另一方面,如果在S12.4中未判断为预先登记的批准信息与S12.3中的用户ID以及S7.0中的登录上下文和客户端ID一致,则判断为用户尚未执行授权操作。然后,基于S12.3中的用户ID以及S7.0中的登录上下文和客户端ID来生成新的批准信息(S12.9)。新生成的批准信息作为记录添加到表3所示的示例的批准信息中。
在S12.4中判断为一致的批准信息之后,判断预先登记的批准信息是否是用户批准授权的信息(S12.5)。更具体地,确认表3中的consent的值。如果 consent具有“1”,则执行对客户端400的授权码响应,而不执行授权确认画面(S1.5)和授权操作(S1.6)。然后处理流程结束。
另一方面,如果consent具有“0”或者如果在S12.9中生成新的批准信息,则将作为用于查询授权批准的画面的授权确认画面返回到Web浏览器 (S12.6)。基于用户的操作来接收批准结果(S12.7),并且将批准结果保存在授权服务器200中(S12.8)。表3示出要保存的批准信息的示例。由于S12.6和S12.7 中的处理与图10中的S1.5和S1.6中的处理相同,因此将省略任何重复的细节描述。已经描述了用于判断是否要在Web浏览器上显示授权确认画面的流程。
根据实施例3,将登录上下文添加到此时的批准信息(包括用户ID和客户端ID)。每当与用户ID和登录上下文不一致时,都可以显示授权批准画面,并且可以防止批准信息被多个用户共享,而无需新生成和管理用户信息。
实施例4
根据实施例4,授权码不用于发出用于降低授权服务器200中的授权码的生成和管理的负荷的授权令牌。
参考图13,将描述根据实施例4的基于OAuth 2.0的授权码授予的处理。相同的标号指代前述实施例和本实施例中的相同部分,并且将省略任何重复的细节描述。尽管将参考与传统技术(图1)的组合来描述实施例4,但是实施例4不限于此,可以与实施例1(图6)、实施例2(图10)或实施例3组合。
首先,在S1.1中向客户端400发送授权流程的发起请求之后,客户端400 向授权服务器200发送授权码请求(S7.2)。尽管要在S7.2中发送的信息与S1.2 中的相同,但是“id_token”而不是“code”被指定为授权码请求的响应类型。将“id_token”指定为授权码请求的响应类型使得授权服务器200能够在对客户端400的授权码响应中发送用户ID而不是授权码。
在用户在S1.3至S1.6中批准客户端400的授权之后,授权服务器200向客户端400发送授权码响应(S7.3)。在这种情况下,授权服务器200利用用于将用户ID(user_id)和状态参数重定向到重定向URI的指示来响应于Web浏览器。更具体地,授权服务器200通过使用客户端400的公钥来对用户ID和状态参数添加数字签名。
已经在S7.3中接收到授权码响应的客户端400通过使用客户端400保持的私钥来验证数字签名,并验证了授权码响应的内容未被更改。客户端400 还验证了在授权码请求中发送的状态参数与在授权码响应中接收到的状态参数一致,以确定授权码请求和授权码响应彼此相关联。
在确定为授权码请求和授权码响应彼此相关联之后,客户端400将令牌请求发送到授权服务器200的令牌端点(S7.4)。令牌请求包括“grant_type= authorization_code”,这表示授权流程是授权码授予。尽管在“OAuth 2.0”的规则下“grant_type”的值是“authorization_code”,但是根据本实施例,将使用用户ID而不是授权码来发出授权令牌。
令牌请求还包括客户端密钥、客户端ID和作为在S7.3中获得的用户ID 的JWT(JSON Web令牌)。更具体地,JWT在这里被设置为在OAuth 2.0JWT 配置文件中声明的client_assertion_type:jwt-bearer的client_assertion中的参数。这里假设客户端ID是“client_01”并且用户ID是“user_01”。客户端400 通过使用客户端400所保持的私钥将数字签名添加到客户端ID和用户ID。
已经在S7.4中接收到令牌请求的授权服务器200通过使用从客户端ID识别的公钥来验证添加到令牌请求的数字签名,以认证客户端400。所接收的客户端ID和用户ID用于获得批准信息以判断用户是否批准客户端400的授权。如果判断为用户批准授权,则授权服务器200发出授权令牌并将所发出的授权令牌作为令牌响应发送到客户端400(S7.5)。这里,不发出用于再次获得授权令牌的刷新令牌。这是因为,参考图1描述的授权码授予流程通过使用授权码发出授权令牌,并且当授权令牌被发出时使授权码无效。因此,发出刷新令牌以省略用于再次执行授权码授予的处理流程的处理,并且授权服务器200和客户端400存储刷新令牌。然而,根据本实施例,基于批准信息(包括客户端ID和用户ID)发出授权令牌。因此,为了再次获得授权令牌,可以通过使用在授权服务器200中管理的批准信息来执行令牌请求。
到此为止,已经描述了不使用授权码来发出授权令牌的处理。根据实施例4,授权服务器200可以省略用于发出和存储授权码和刷新令牌的处理,这可以降低用于管理授权服务器200中的授权码和刷新令牌的成本。省略客户端400中的刷新令牌存储处理可以进一步降低客户端400中的管理成本。
实施例4和实施例3的组合(其包括批准信息中的登录上下文)在S7.4中在令牌请求中发送客户端ID、用户ID和登录上下文。
其它实施例
在包括在JWT中包括重定向URI和与客户端400有关的信息的实施例(实施例1)、登录上下文被设置为状态参数的实施例(实施例2))、以及在不发出授权码的情况下发出授权令牌的实施例(实施例4)的上述实施例之间,可以进行任何组合。
可以在授权码请求中指定表示授权范围的范围参数。例如,可以与授权码、授权令牌和刷新令牌相关联地管理在授权码请求中指定的范围参数。该范围参数表示的授权范围可以显示在所显示的授权确认画面5100中。
本发明的实施例还可以通过如下的方法来实现,即,通过网络或者各种存储介质将执行上述实施例的功能的软件(程序)提供给系统或装置,该系统或装置的计算机或是中央处理单元(CPU)、微处理单元(MPU)读出并执行程序的方法。
尽管已经参考典型实施例说明了本发明,但是应该理解,本发明不局限于所公开的典型实施例。所附权利要求书的范围符合最宽的解释,以包含所有这类修改、等同结构和功能。

Claims (13)

1.一种权限转移系统,包括:
至少处理器和至少存储器,至少所述存储器与至少所述处理器连接并且存储有指令,在至少所述处理器执行所述指令时,至少所述存储器和至少所述处理器进行协作以用作:
发送部件,用于在用户许可客户端对资源服务器进行访问的情况下,从所述客户端向授权服务器发送用于利用所述授权服务器发出授权码的授权码请求;
接收部件,用于从所述授权服务器向所述客户端接收作为对所述授权码请求的响应的授权码响应;以及
生成部件,用于在用户登录所述客户端的情况下生成登录上下文,
其中,所述发送部件所发送的所述授权码请求包括签名信息和用于将所述授权码请求与所述授权码响应相关联的参数,所述参数具有被设置为所述参数的值的所述登录上下文,
其中,在所述授权服务器中验证所述签名信息之后,向所述客户端发送与所述授权码请求相对应的所述授权码响应,以及
其中,所述客户端使用所述接收部件所接收到的所述授权码响应中所包括的参数和所述发送部件所发送的所述授权码请求中所包括的参数,来验证所述授权码响应是否与所述授权码请求相对应。
2.根据权利要求1所述的权限转移系统,其中,
通过使用所述客户端所保持的加密密钥来向所述授权码请求添加所述签名信息,以及
所述授权服务器通过使用所述授权服务器所保持的解密密钥来验证添加至所述授权码请求的所述签名信息。
3.根据权利要求1所述的权限转移系统,其中,
所述发送部件经由用户代理从所述客户端向所述授权服务器发送用于利用所述授权服务器许可所述客户端对所述资源服务器进行访问的授权码请求,
所述参数是状态参数,以及
所述登录上下文是包括本地用户的本地用户ID和电子邮件地址其中至少之一并且用于唯一地标识所述本地用户的信息。
4.根据权利要求1所述的权限转移系统,其中,
所述授权服务器接收到的参数中所设置的所述登录上下文包括在用于许可所述客户端对所述资源服务器进行访问的批准信息中。
5.根据权利要求4所述的权限转移系统,其中,
所述批准信息至少包括用于标识所述客户端的客户端ID和用于标识登录所述授权服务器的用户的用户ID。
6.根据权利要求5所述的权限转移系统,其中,
所述客户端向所述授权服务器发送签名信息和令牌请求,所述令牌请求包括所述客户端ID和所述用户ID并且能够用于利用所述客户端获得授权令牌,以及
所述权限转移系统还包括发出部件,所述发出部件用于:
在接收到所述令牌请求的所述授权服务器通过使用加密密钥来验证与所述令牌请求一起接收到的所述签名信息之后,并且在所述发出部件判断为所述令牌请求中所包括的所述用户ID所标识的用户授权了由所述令牌请求中所包括的所述客户端ID所标识的所述客户端对所述资源服务器的访问之后,从所述授权服务器向所述客户端发出所述授权令牌。
7.根据权利要求6所述的权限转移系统,其中,
所述授权令牌是表示所述客户端被授权访问所述资源服务器的令牌。
8.根据权利要求6所述的权限转移系统,其中,
在所述发出部件判断为表示所述用户已经授权所述客户端对所述资源服务器的访问的标志被添加到所述令牌请求中所包括的所述客户端ID和所述用户ID所标识的批准信息之后,所述发出部件发出所述授权令牌。
9.根据权利要求1所述的权限转移系统,其中,
所述发送部件要发送的所述授权码请求包括签名信息和用于指定被所述授权服务器用来返回所述授权码响应的响应目的地的响应目的地信息,以及
所述权限转移系统还包括如下部件,该部件用于在所述授权服务器中验证所述签名信息之后,基于所述授权码请求中所包括的所述响应目的地信息,通过所述授权服务器来发送对所述发送部件所发送的授权码请求的授权码响应。
10.根据权利要求1所述的权限转移系统,其中,
在根据所述用户的许可而开始用于授权所述客户端使用所述资源服务器所提供的开放Web服务的处理的授权流程之前,在所述用户登录所述客户端的情况下,所述生成部件生成所述登录上下文。
11.一种权限转移系统的控制方法,所述控制方法包括:
发送步骤,用于在用户许可客户端对资源服务器进行访问的情况下,从所述客户端向授权服务器发送用于利用所述授权服务器发出授权码的授权码请求;
接收步骤,用于从所述授权服务器向所述客户端接收作为对所述授权码请求的响应的授权码响应;以及
生成步骤,用于在用户登录所述客户端的情况下生成登录上下文,
其中,所述发送步骤所发送的所述授权码请求包括签名信息和用于将所述授权码请求与所述授权码响应相关联的参数,所述参数具有被设置为所述参数的值的所述登录上下文,
其中,在所述授权服务器中验证所述签名信息之后,向所述客户端发送与所述授权码请求相对应的所述授权码响应,以及
其中,所述客户端使用所述接收步骤所接收到的所述授权码响应中所包括的参数和所述发送步骤所发送的所述授权码请求中所包括的参数,来验证所述授权码响应是否与所述授权码请求相对应。
12.一种客户端,包括:
发送部件,用于在用户许可所述客户端对资源服务器进行访问的情况下,从所述客户端向授权服务器发送用于利用所述授权服务器发出授权码的授权码请求;以及
接收部件,用于接收作为对所述授权码请求的响应的授权码响应,
其中,所述发送部件所发送的所述授权码请求包括签名信息和用于将所述授权码请求与所述授权码响应相关联的参数,所述参数具有被设置为所述参数的值的登录上下文,
其中,在所述授权服务器中验证所述签名信息之后,所述客户端从所述授权服务器接收与所述授权码请求相对应的所述授权码响应,以及
其中,所述客户端使用所述接收部件所接收到的所述授权码响应中所包括的参数和所述发送部件所发送的授权码请求中所包括的参数,来验证所述授权码响应是否与所述授权码请求相对应。
13.根据权利要求12所述的客户端,其中,
所述发送部件经由用户代理从所述客户端向所述授权服务器发送用于利用所述授权服务器许可所述客户端对所述资源服务器进行访问的授权码请求,
所述参数是状态参数,以及
所述登录上下文是包括本地用户的本地用户ID和电子邮件地址其中至少之一并且用于唯一地标识所述本地用户的信息。
CN201811012993.9A 2017-08-31 2018-08-31 权限转移系统及其控制方法和客户端 Active CN109428891B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017-167284 2017-08-31
JP2017167284A JP2019046059A (ja) 2017-08-31 2017-08-31 権限委譲システム、制御方法、およびプログラム

Publications (2)

Publication Number Publication Date
CN109428891A true CN109428891A (zh) 2019-03-05
CN109428891B CN109428891B (zh) 2022-05-10

Family

ID=65514830

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811012993.9A Active CN109428891B (zh) 2017-08-31 2018-08-31 权限转移系统及其控制方法和客户端

Country Status (4)

Country Link
US (1) US10785204B2 (zh)
JP (1) JP2019046059A (zh)
KR (1) KR102313859B1 (zh)
CN (1) CN109428891B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111949958A (zh) * 2020-08-14 2020-11-17 中国工商银行股份有限公司 Oauth协议中的授权认证方法及装置
CN113612744A (zh) * 2021-07-23 2021-11-05 天津中新智冠信息技术有限公司 远程授权系统和方法
CN117331964A (zh) * 2023-12-01 2024-01-02 成都明途科技有限公司 数据查询方法、装置、设备及存储介质

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11108762B2 (en) * 2018-06-05 2021-08-31 The Toronto-Dominion Bank Methods and systems for controlling access to a protected resource
JP7170550B2 (ja) * 2019-01-28 2022-11-14 キヤノン株式会社 管理装置およびその制御方法
CN110225045A (zh) * 2019-06-18 2019-09-10 平安科技(深圳)有限公司 全链路数据鉴权方法、装置、设备及存储介质
JP7218679B2 (ja) * 2019-06-21 2023-02-07 富士通株式会社 情報処理装置、情報処理方法、および情報処理プログラム
US20220271935A1 (en) * 2019-07-05 2022-08-25 Visa International Service Association System, method, and computer program product for third-party authorization
CN110798447B (zh) * 2019-09-18 2021-10-08 广州朗国电子科技有限公司 一种基于网络通信的智能终端本地授权方法、装置及系统
CN113015974A (zh) 2019-10-21 2021-06-22 谷歌有限责任公司 针对隐私保护的可验证同意
CN110852724B (zh) * 2019-11-19 2023-03-14 深圳前海环融联易信息科技服务有限公司 一种流程转授权的方法、装置、计算机设备及存储介质
US11463258B2 (en) 2020-03-13 2022-10-04 Ebay Inc. Secure token refresh
CN112564916A (zh) * 2020-12-01 2021-03-26 上海艾融软件股份有限公司 应用于微服务架构的访问客户端认证系统
CN113569204B (zh) * 2021-09-27 2022-06-10 北京华安天成智能技术有限公司 远程生产授权管理系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103825874A (zh) * 2012-09-27 2014-05-28 佳能株式会社 图像形成装置及图像形成装置的控制方法
WO2016011170A1 (en) * 2014-07-15 2016-01-21 Square, Inc. Two-factor authentication with push notification for a security code
CN105897757A (zh) * 2016-06-12 2016-08-24 上海携程商务有限公司 授权认证系统及授权认证方法
CN105978947A (zh) * 2016-04-27 2016-09-28 努比亚技术有限公司 对同一账号登录设备数量控制的方法及移动终端
US20160366151A1 (en) * 2015-06-11 2016-12-15 Canon Kabushiki Kaisha Authentication server system, method, and storage medium
CN106534143A (zh) * 2016-11-28 2017-03-22 上海斐讯数据通信技术有限公司 一种跨应用认证授权的方法和系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8615794B1 (en) * 2013-01-09 2013-12-24 Ping Identity Corporation Methods and apparatus for increased security in issuing tokens
JP6439370B2 (ja) 2014-05-28 2018-12-19 株式会社リコー 情報処理システム、情報処理方法、情報処理装置及びプログラム
CN106714075B (zh) * 2015-08-10 2020-06-26 华为技术有限公司 一种处理授权的方法和设备
US9800580B2 (en) * 2015-11-16 2017-10-24 Mastercard International Incorporated Systems and methods for authenticating an online user using a secure authorization server

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103825874A (zh) * 2012-09-27 2014-05-28 佳能株式会社 图像形成装置及图像形成装置的控制方法
WO2016011170A1 (en) * 2014-07-15 2016-01-21 Square, Inc. Two-factor authentication with push notification for a security code
US20160366151A1 (en) * 2015-06-11 2016-12-15 Canon Kabushiki Kaisha Authentication server system, method, and storage medium
CN105978947A (zh) * 2016-04-27 2016-09-28 努比亚技术有限公司 对同一账号登录设备数量控制的方法及移动终端
CN105897757A (zh) * 2016-06-12 2016-08-24 上海携程商务有限公司 授权认证系统及授权认证方法
CN106534143A (zh) * 2016-11-28 2017-03-22 上海斐讯数据通信技术有限公司 一种跨应用认证授权的方法和系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
D.HARDT等: "The Oauth Authorization Framework", 《HTTPS://TOOLS.IETF.ORG/PDF/RFC6749.PDF》 *
新浪博客: "小议oauth2.0的state参数", 《HTTP://BLOG.SINA.COM.CN/S/BLOG_56B798F801018JYB.HTML》 *
魏成坤等: "基于OAuth2.0的认证授权技术研究", 《信息网络安全》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111949958A (zh) * 2020-08-14 2020-11-17 中国工商银行股份有限公司 Oauth协议中的授权认证方法及装置
CN111949958B (zh) * 2020-08-14 2023-08-18 中国工商银行股份有限公司 Oauth协议中的授权认证方法及装置
CN113612744A (zh) * 2021-07-23 2021-11-05 天津中新智冠信息技术有限公司 远程授权系统和方法
CN113612744B (zh) * 2021-07-23 2023-09-22 天津中新智冠信息技术有限公司 远程授权系统和方法
CN117331964A (zh) * 2023-12-01 2024-01-02 成都明途科技有限公司 数据查询方法、装置、设备及存储介质
CN117331964B (zh) * 2023-12-01 2024-02-27 成都明途科技有限公司 数据查询方法、装置、设备及存储介质

Also Published As

Publication number Publication date
JP2019046059A (ja) 2019-03-22
CN109428891B (zh) 2022-05-10
US10785204B2 (en) 2020-09-22
KR20190024817A (ko) 2019-03-08
US20190081943A1 (en) 2019-03-14
KR102313859B1 (ko) 2021-10-18

Similar Documents

Publication Publication Date Title
CN109428891A (zh) 权限转移系统及其控制方法和客户端
CN109428947B (zh) 权限转移系统及其控制方法和存储介质
US11082225B2 (en) Information processing system and control method therefor
JP4782986B2 (ja) パブリックキー暗号法を用いたインターネット上でのシングルサインオン
US7793095B2 (en) Distributed hierarchical identity management
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
JP2017507562A (ja) 識別および/または認証のシステムおよび方法
JP4817870B2 (ja) アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
EP1520217A2 (en) Distributed hierarchical identity management
JP4573559B2 (ja) 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム
JP7043480B2 (ja) 情報処理システムと、その制御方法とプログラム
CA2458257A1 (en) Distributed hierarchical identity management
WO2020121942A1 (ja) 情報通信方法、情報通信システムおよび方法
JP5863398B2 (ja) サーバ装置及びサーバ装置の制御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant