CN109951432A - 授权认证方法、用户终端、装置、服务器及存储介质 - Google Patents
授权认证方法、用户终端、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN109951432A CN109951432A CN201810049473.9A CN201810049473A CN109951432A CN 109951432 A CN109951432 A CN 109951432A CN 201810049473 A CN201810049473 A CN 201810049473A CN 109951432 A CN109951432 A CN 109951432A
- Authority
- CN
- China
- Prior art keywords
- party
- server
- authorization
- user data
- temporary key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 206
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000004891 communication Methods 0.000 claims description 27
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 11
- 230000007547 defect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种授权认证方法、用户终端、装置、服务器及存储介质,该方法通过在接收到第三方的第一请求时,为第三方生成授权码和临时密钥;第一请求为第三方用于获取存储在服务器中的目标用户数据的请求;并从服务器中获取该目标用户数据,通过该临时密钥对该目标用户数据加密以得到加密目标用户数据;将加密目标用户数据、授权码以及临时密钥发送给服务器;或者将加密目标用户数据与授权码发送给服务器,并将授权码与临时密钥发送给第三方;不需要将用户密钥直接发送给第三方,而是用临时密钥替代,避免了用户密钥泄露的问题。
Description
技术领域
本发明涉及网络认证技术领域,更具体地说,涉及一种授权认证方法、用户终端、装置、服务器及存储介质。
背景技术
随着网络技术的发展,极大方便了用户使用,尤其是对于海量用户数据的存储,人们都可以不用相应的存储介质,只需上传到相关服务器上即可实现免费存储,在用户需要使用的时候,通过输入用户名和密码等信息便可以查看使用,用户不需要花费金钱来购买相应的存储介质,也不需要用户携带相应的存储介质,用户可以方便地在不同终端设备上登录使用。尽管给用户带来了便利,但是往往在实际使用中,由于授权认证方案的缺陷,导致不知不觉便泄露了用户个人数据信息(例如用户的照片,短信、聊天消息、网购记录、保存的录音、视频等),而这些信息都属于用户隐私,个人数据信息的泄露无疑给用户带来了伤害,极大影响用户的使用。
具体的,目前的授权认证方案在授权过程中都存在泄露用户密钥给第三方的问题,以网盘技术为例,通常是在收到第三方获取用户数据的请求时,用户终端直接生成一个下载链接,并将该下载链接以及自身密钥直接发送给第三方,第三方直接通过该下载链接访问网盘服务器,然后通过密钥获取到用户的存储在该服务器中的所有用户数据信息。这种授权认证方式显然不利于保护用户隐私,一是用户无法控制第三方对存储在服务器上的用户个人数据的操作,用户个人数据完全曝露于第三方;二是泄露了用户密钥,不仅第三方保存有该用户密钥,可能还存在第三方将用户密钥发送给其他无关方的问题,导致进一步泄露了隐私,扩大了数据泄露的范围,给用户带来更严重的损失。
发明内容
本发明要解决的技术问题在于:现有授权认证方案中需要将用户密钥发送给第三方以获取相应用户数据,不利于保护用户隐私。针对该技术问题,提供一种授权认证方法、用户终端、装置、服务器及存储介质。
为解决上述技术问题,本发明提供一种授权认证方法,所述授权认证方法应用于用户终端,包括:
在接收到第三方的第一请求时,为所述第三方生成授权码和临时密钥;所述第一请求为所述第三方用于获取存储在服务器中的目标用户数据的请求;
从所述服务器中获取所述目标用户数据,通过所述临时密钥对所述目标用户数据加密以得到加密目标用户数据;
将所述加密目标用户数据、所述授权码以及所述临时密钥发送给所述服务器;或者将所述加密目标用户数据与所述授权码发送给所述服务器,并将所述授权码与所述临时密钥发送给所述第三方。
可选的,所述从所述服务器中获取所述目标用户数据包括:
从所述服务器中获取用户全部数据,并根据与所述用户加密密钥对应的用户解密密钥对所述用户全部数据进行解密,得到所述目标用户数据;所述用户解密密钥仅由本地生成并保存。
可选的,所述将所述临时密钥发送给所述服务器包括:
获取所述第三方的公钥,通过所述公钥对所述临时密钥进行加密以得到加密临时密钥,将所述加密临时密钥发送给所述服务器;
所述将所述临时密钥发送给所述第三方包括:
获取所述第三方的公钥,通过所述公钥对所述临时密钥进行加密以得到加密临时密钥,将所述加密临时密钥发送给所述第三方。
进一步地,本发明还提供一种授权认证方法,所述授权认证方法应用于第三方,包括:
向用户终端发送第一请求,所述第一请求为用于获取所述用户终端存储在服务器中的目标用户数据的请求;
获取所述用户终端根据所述第一请求生成的授权码和临时密钥;
将所述授权码发送给所述服务器;
待所述服务器对所述授权码验证通过后,从所述服务器中获取所述目标用户数据经所述临时密钥加密得到的加密目标用户数据,根据所述临时密钥对所述加密目标用户数据进行解密得到所述目标用户数据。
可选的,所述获取所述用户终端根据所述第一请求生成的授权码和临时密钥包括:
接收所述用户终端直接发送的所述授权码和临时密钥;
或,从所述服务器中获取所述授权码和临时密钥。
可选的,所述授权认证方法还包括:
判断所述临时密钥是否处于加密状态,如是,确定所述处于加密状态的临时密钥为加密临时密钥;
根据本地的私钥对所述加密临时密钥进行解密,以得到所述临时密钥。
本发明还提供一种授权认证方法,所述授权认证方法应用于服务器,包括:
接收用户终端发送的加密目标用户数据以及第一授权码;
接收第三方发送的第二授权码;
判断所述第一授权码与所述第二授权码是否匹配,如是,则生成用于下载所述加密目标用户数据的目标下载链接,并将所述目标下载链接发送给所述第三方;如否,则拒绝所述第三方获取所述加密目标用户数据。
可选的,所述授权认证方法还包括:
在接收到所述用户终端发送的加密目标用户数据以及第一授权码的同时,还接收到所述用户终端发送的临时密钥时,将所述第一授权码与所述临时密钥发送给所述第三方。
进一步地,本发明还提供了一种用户终端,所述用户终端包括第一处理器、第一存储器及第一通信总线;
所述第一通信总线用于实现第一处理器和第一存储器之间的连接通信;
所述第一处理器用于执行第一存储器中存储的一个或者多个程序,以实现上述应用于用户终端中任一项所述的授权认证方法的步骤。
进一步地,本发明还提供了一种装置,所述装置包括第二处理器、第二存储器及第二通信总线;
所述第二通信总线用于实现第二处理器和第二存储器之间的连接通信;
所述第二处理器用于执行第二存储器中存储的一个或者多个程序,以实现上述应用于第三方中任一项所述的授权认证方法的步骤。
进一步地,本发明还提供了一种服务器,所述服务器包括第三处理器、第三存储器及第三通信总线;
所述第三通信总线用于实现第三处理器和第三存储器之间的连接通信;
所述第三处理器用于执行第三存储器中存储的一个或者多个程序,以实现应用于服务器中任一项所述的授权认证方法的步骤。
进一步地,本发明还提供了一种授权认证方法,所述授权认证方法包括:
第三方向用户终端发送第一请求,所述第一请求用于获取所述用户终端存储在服务器中的目标用户数据;
所述用户终端接收所述第一请求,为所述第三方生成授权码和临时密钥,并将所述授权码和所述临时密钥发送给所述第三方;所述用户终端从所述服务器中获取所述目标用户数据,通过所述临时密钥对所述目标用户数据加密以得到加密目标用户数据,将所述授权码和所述加密目标用户数据发送给所述服务器;
所述第三方接收所述授权码和所述临时密钥,并将所述授权码发送给所述服务器以用于获取所述加密目标用户数据;
所述服务器接收所述用户终端发送的所述授权码和所述加密目标用户数据,以及接收所述第三方发送的所述授权码,并对所述第三方发送的所述授权码进行验证并通过后,生成用于下载所述加密目标用户数据的目标下载链接,并将所述目标下载链接发送给所述第三方;
所述第三方接收所述目标下载链接,并根据所述目标下载链接从所述服务器获取所述加密目标用户数据,并使用所述临时密钥对所述加密目标用户数据进行解密得到所述目标用户数据。
进一步地,本发明还提供了一种存储介质,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一项所述的授权认证方法的各步骤。
有益效果
本发明提供一种授权认证方法、用户终端、装置、服务器及存储介质,针对现有授权认证方案中需要将用户密钥发送给第三方,不利于保护用户隐私的缺陷;通过在接收到第三方的第一请求时,为第三方生成授权码和临时密钥;第一请求为第三方用于获取存储在服务器中的目标用户数据的请求;并从服务器中获取该目标用户数据,通过该临时密钥对该目标用户数据加密以得到加密目标用户数据;将加密目标用户数据、授权码以及临时密钥发送给服务器;或者将加密目标用户数据与授权码发送给服务器,并将授权码与临时密钥发送给第三方;第三方将该授权码发送给服务器进行认证,只有通过认证才能获取到该加密目标用户数据,一是可以保证第三方的身份合法性,对于无关第三方则不能获取到该加密目标用户数据,即使获取到该加密目标用户数据,也无法进行解析,充分保证用户隐私安全性;二是不需要将用户密钥直接发送给第三方,而是用临时密钥替代,避免了用户密钥泄露的问题。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1为本发明第一实施例提供的授权认证方法流程示意图;
图2为本发明第二实施例提供的授权认证方法流程示意图;
图3为本发明第三实施例提供的授权认证方法流程示意图;
图4为本发明第四实施例提供的授权认证方法流程示意图;
图5为本发明第五实施例提供的授权认证方法流程示意图;
图6为本发明第六实施例提供的用户终端的结构示意图;
图7为本发明第七实施例提供的一种装置的结构示意图;
图8为本发明第八实施例提供的服务器的结构示意图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
第一实施例
本实施例提供一种授权认证方法,主要站在用户(也即用户终端)角度对该授权认证方法进行说明。应当理解,服务器指的是提供存储用户消息、照片、视频、联系人、文件等云服务器商户,例如百度网盘,QQ服务器等;用户指的是在服务器中存储有个人数据信息的用户;第三方指的是请求获取用户个人数据信息的个人、应用服务器等,例如用户登录应用A时,可以选择通过QQ登录,用户通过输入QQ号码以及密码进行登录,此时应用A也即是作为第三方,QQ后台服务器也即是作为该服务器。
本实施例中,用户终端可以以各种形式来实施。例如,包括诸如手机、平板电脑、笔记本电脑、掌上电脑、可穿戴设备、等移动终端,以及诸如数字TV、台式计算机等固定终端。
请参见图1,图1为本实施例提供的授权认证方法基本流程图,该方法包括如下步骤:
S101、在接收到第三方的第一请求时,为该第三方生成授权码和临时密钥;其中第一请求为该第三方用于获取存储在服务器中的目标用户数据的请求。
为第三方所生成的授权码可以理解为一个Token,具体可以包括第三方的一些信息,例如公钥、用户名等,还可以包含第三方所请求数据的结构、请求时间等,且该授权码是唯一的,以保证第三方身份的合法性,避免无关方随意获取到用户数据。
需要说明的是,为第三方所生成的临时密钥指的是用户终端在接收到第三方的第一请求时,临时为该第三方所生成的密钥,该临时密钥主要是用于对第三方所请求的目标用户数据进行加密,保证目标用户数据传输的安全性。临时密钥可以由用户终端使用随机数加当前时间点作为种子生成16位或32位等,字符具体可以包括A-Z,a-z以及数字0-9等。
本实施例中,临时密钥可以具有时效性,也即生成的临时密钥在保留预定时长后,将被视为无效,从而可以限制第三方多次使用,实现“阅后即焚”,具体的,服务器在检测到第三方获取到该目标用户数据并解密查看后,将该数据标记为失效状态,避免第三方再次获取查看。当然,本方案也并不限于此,临时密钥也可以不具有时效性,本方案同样适用。
应当理解的是,用户终端在接收到第三方的第一请求之后,在为该第三方生成授权码之前,还可以对第三方的身份进行验证,对于非法第三方则拒绝为其生成授权码和临时密钥,禁止其访问用户数据。只有在验证通过之后,再为生成授权码和临时密钥。
进一步地,对于第三方所请求获取的目标用户数据,若存在某些用户数据是本端用户不允许透露的数据,或者说用户不希望其中的某些数据被该第三方获取,那么用户终端也可以直接拒绝为生成授权码和临时密钥,禁止其获取该目标用户数据。或者,当该目标用户数据中存在用户不允许透露或者不希望透露的数据时,仅针对该目标用户数据中本端用户所允许的数据,生成相应的授权码,以使第三方通过该授权码只能获取到本地用户所允许的数据。
例如,浏览网站向用户终端请求获取用户存储在百度云盘中的图片A和视频B,也即目标用户数据为图片A和视频B,此时本端用户不希望将浏览网站获取到视频B,但用户可以允许浏览网站获取到图片A,那么用户终端一是可以直接拒绝该浏览网站的访问,也即拒绝为其生成相应的授权码和临时密钥;也可以仅针对用户所允许获取的图片A,生成相应的授权码和临时密钥,以使该第三方可以访问百度云盘中存储的图片A,但是对于百度云盘的其他任意数据(包括视频B),浏览网站都不能获取查看。从而实现对第三方所请求获取的数据内容进行准确控制,只有对于用户允许的数据,第三方才可以获取,对于其他数据,第三方都不能获取,在实现第三方获取到相应用户数据的同时,也有效保证了用户数据不被泄露。
S102、从服务器中获取目标用户数据,通过临时密钥对目标用户数据加密以得到加密目标用户数据。
在接收到第一请求时,从服务器中获取目标用户数据,具体的,可以获取存储在服务器上的用户全部数据,并通过用户解密密钥对用户全部数据进行解密,从中选择目标用户数据对应的数据。也即,用户存储在服务器中的用户全部数据都是由用户终端加密之后发送给服务器进行存储的,因此用户解码密钥仅由用户终端本地生成并保存,其他第三方以及服务器都不能获取到该用户解密密钥,充分保证了解密密钥的安全性,避免了用户终端将用户解密密钥发送给第三方进行数据获取导致用户解密密钥泄露的问题。
因此,在一些示例中,在接收到第一请求之前,还可以检测当前是否存在需要发送给服务器进行存储的待存储用户数据,如果存在,则获取用户加密密钥,并通过该用户加密密钥对待存储用户数据进行加密,以得到待存储加密用户数据,将该待存储加密用户数据发送给该服务器进行存储。也即用户数据的加解密都是通过用户终端实现,用户解密密钥也仅由用户终端生成并保存,服务器只是用于存储用户加密后的数据,服务器也不能获取到用户解密密钥,从而使服务器也随意获取到用户数据,保证用户数据不被泄露,保护用户隐私。
S103、将该加密目标用户数据、授权码以及临时密钥发送给服务器。
将通过临时加密密钥加密后的加密目标用户数据,生成的授权码和临时密钥发送给对应的服务器,服务器在接收到对应第三方发送的用于获取该加密目标用户数据的请求,并验证通过后,将该加密目标用户数据发送给该第三方。为了更好地理解,在此对服务器的处理过程进行简单说明:
服务器可以将接收到的授权码和临时密钥发送给该第三方,发送的方式可以基于授权码中信息或者现有其他方式发送给该第三方;第三方基于获取到的授权码向服务器返回该授权码,服务器将自己收到的授权码与第三方返回的授权码进行比较,以判断第三方的身份是否合法,如前所述,授权码中包含有该第三方的相应信息,以及与所请求的目标用户数据相关的信息,因此服务器可以对比进行验证匹配,只有在两者匹配时,也即是只有在确定第三方的身份合法时,服务器才允许第三方获取该加密目标用户数据,从而极大保证了用户数据的安全性。
第二实施例
本实施例提供一种授权认证方法,同样应用于用户终端,与第一实施例不同的是,两者在发送加密目标用户数据、授权码以及临时密钥的方式上存在区别,具体请参见图2,该授权认证方法包括如下步骤:
S201、在接收到第三方的第一请求时,为该第三方生成授权码和临时密钥;其中第一请求为该第三方用于获取存储在服务器中的目标用户数据的请求。
S202、从服务器中获取目标用户数据,通过临时密钥对目标用户数据加密以得到加密目标用户数据。
对于步骤S201和S202,其第一实施例中的步骤S101和S102相同,具体请参见第一实施例中步骤S101和S102的说明,在此不再赘述。
S203、将加密目标用户数据与授权码发送给服务器,并将授权码与临时密钥发送给第三方。
本实施例中,用户终端是将加密目标用户数据与授权码发送给对应的服务器,并将授权码和临时密钥发送给第三方。第三方通过该授权码向服务器请求获取该加密目标用户数据,并通过该临时密钥,对得到的加密目标用户数据进行解密,得到最终的目标用户数据。服务器根据该接收到的授权码,来验证第三方的身份信息,只有在验证通过后,服务器才将该加密目标用户数据发送给该第三方,避免被无关方轻易获取,保证用户数据安全。此时,对于服务器而言,由于并未接收到临时密钥,第三方得到的授权码和临时密钥是会直接通过用户终端发送得到的,因此其可以不必在将临时密钥发送给第三方。当然,在一些示例中,即使服务器接收到用户终端发送的授权码和临时密钥,只要用户终端已经向第三方发送该授权码和临时密钥,也不必再将接收到的授权码和临时密钥发送给第三方。
第三实施例
本实施例提供一种授权认证方法,主要以第三方对此进行详细说明,如前所述,第三方可以是指向其他用户(终端)请求获取其用户数据的个人、网站、应用、服务器等,这些都可能作为第三方。
请参见图3,图3为本发明第三实施例提供的授权认证方法流程示意图,该授权认证方法包括如下步骤:
S301、向用户终端发送第一请求,该第一请求为用于获取用户终端存储在服务器中的目标用户数据的请求。
第三方需要获取用户终端的相应用户数据时,向用户终端发起第一请求,应当理解,第三方向用户终端发起请求的方式可以采用任意方式,以达到用户终端能够获知其请求的目的即可,在此不做限制。第一请求中,可以包括第三方请求获取的目标用户数据的标识信息,以及第三方自身身份信息等,用户终端可以根据第一请求中的该标识信息,得知第三方所具体请求获取的用户数据是哪些,而第三方自身的身份信息,可以使用户终端验证该第三方身份的合法性,对于不受用户终端信任的第三方,可能会遭到用户终端对该第一请求的拒绝。应当明白的是,第一请求中还可以包括实际使用的各种相关信息,在此不再一一说明。
在一些示例中,第三方还可以首先将第一请求发送给服务器,通过服务器转发给用户终端,也即只要能够保证用户终端能够接收并处理该第三方发送的第一请求即可。
S302、获取用户终端根据第一请求生成的授权码和临时密钥。
若用户终端对第一请求验证通过后,第三方便能够获取用户终端生成的授权码和临时密钥。本实施例中,主要提供两种第三方获取该授权码和临时密钥的方式:
方式一、第三方可以接收用户终端直接发送的授权码和临时密钥。
方式二、第三方可以从服务器中获取该授权码和临时密钥,此时也即用户终端是将授权码和临时密钥发送给对应的服务器的,用户终端并未单独再将授权码和临时密钥发送给第三方,这种处理方式对用户终端而言可以减少其处理负荷,也降低了流量消耗,不需要单独将授权码和临时密钥发送给第三方,服务器可以将接收到的授权码和临时密钥发送给第三方。
S303、将授权码发送给服务器。
第三方在接收到用户终端发送的授权码和临时密钥之后,或者是接收到服务器发送的授权码和临时密钥之后,第三方都需将该接收到的授权码发送给服务器,以请求获取加密目标用户数据,服务器可以根据第三方发送的授权码,验证第三方是否满足获取该加密目标用户数据的条件。
应当理解,在实际应用中,第三方可能并不仅仅只是把授权码发送给服务器,例如可以是生成相应的请求,但该请求中至少应当包含该授权码,以使服务器能够验证第三方的身份。
S304、待服务器对授权码验证通过后,从服务器中获取目标用户数据经临时密钥加密得到的加密目标用户数据。
在服务器对第三方发送的授权码进行验证并通过后,第三方则可以从服务器中获取加密目标用户数据,这里加密目标用户数据也即是第三方所请求获取的目标用户数据经用户终端通过临时密钥加密后的数据。第三方获取该加密目标用户数据可以基于服务器为其生成的下载链接实现。
S305、根据临时密钥对加密目标用户数据进行解密得到目标用户数据。
第三方根据从用户终端或从服务器获取到的临时密钥,对该加密目标用户数据进行解密,以得到目标用户数据,从而可以对该数据进行查看处理。
在一些示例中,第三方可以对临时密钥的加密状态进行检测,若判断临时密钥处于加密状态,则确定该处于加密状态的临时密钥为加密临时密钥,并根据第三方的私钥对该加密临时密钥进行解密,从而得到该临时密钥。
也即,临时密钥是通过第三方的公钥进行加密的,因此只有第三方的私钥可以解密该加密临时密钥,得到临时密钥,只有在得到该临时密钥之后,才能对从服务器获取到的加密目标用户数据进行解密,而无关方是无法获取到第三方私钥的,因此可以杜绝无关方轻易获取到用户数据,保证了用户隐私安全性。
第四实施例
本实施例提供一种授权认证方法,主要从服务器的角度进行详细说明,请参见图4,图4为本发明第四实施例提供的授权认证方法流程示意图,该授权认证方法包括如下步骤:
S401、接收用户终端发送的加密目标用户数据以及第一授权码。
服务器可以接收用户终端发送的加密目标用户数据以及第一授权码,应当说明的是,这里所述第一授权码实际指的是用户终端在接收到第三方的第一请求时,为该第三方所生成的授权码,这里只是为了便于区分第三方向服务器发送的授权码,因此这里将用户终端发送的授权码称之为第一授权码,将第三方发送的授权码称之为第二授权码。应当理解,在第三方身份合法(以及第三方向用户终端发起第一请求,并获取到用户终端为其生成的授权码和临时密钥,而不是其他无关方)时,第三方所发送给服务器的第二授权码和用户终端发送给服务器的授权码应当匹配。
如前所述,加密目标用户数据指的是目标用户数据经临时密钥所加密后形成的数据。
在一些示例中,若服务器接收到用户终端发送的加密目标用户数据以及第一授权码的同时,还接收到用户终端发送的临时密钥时,服务器还可以将该第一授权码和临时密钥发送给第三方,当然,若服务器仅接收到用户终端发送的加密目标用户数据以及第一授权码,而并未接收到临时密钥时,服务器可以不将该第一授权码发送给第三方(当然,由于也未接收到临时密钥,因此也不会将临时密钥发送给第三方)。
S402、接收第三方发送的第二授权码。
服务器还可以接收第三方发送的第二授权码,以此可以得知第三方是请求获取经临时密钥加密后的加密目标用户数据。在一些示例中,服务器可能接收第三方发送的请求,而该请求中携带有该第二授权码,此时服务器也可以获知第三方是用户请求获取加密目标用户数据。也即是,服务器无论以何种方式接收到第三方发送的用于获取该加密目标用户数据的请求,其至少都应当包含第二授权码。
S403、判断第一授权码与第二授权码是否匹配,如是,转至步骤S404,如否,转至步骤S405。
服务器将第一授权码和第二授权码进行比较,判断两者是否匹配,如果匹配,则认为第三方身份合法,允许第三方获取该加密目标用户数据,相对,如果不匹配,则认为第三方身份非法,拒绝第三方获取该加密目标用户数据。
应当理解,第一授权码和第二授权码中可以包括第三方身份信息,服务器可以比较两者的第三方身份信息是否相同,如果存在不同,则认为该第三方身份非法;还可以包括第三方所请求的数据类型以及请求时间,如果这些内容都想相同或者匹配,则认为第三方身份合法。具体检验授权码是否匹配的方式还可以采用现有任意方式进行,在此不再赘述。
S404、生成用于下载加密目标用户数据的目标下载链接,并将该目标下载链接发送给第三方。
在第一授权码和第二授权码匹配时,则服务器为该第三方生成目标下载链接,并发送给第三方,以用于第三方根据该目标下载链接获取到该加密目标用户数据。
S405、拒绝第三方获取加密目标用户数据。
在服务器验证第一授权码和第二授权码不匹配时,则拒绝该第三方的请求,拒绝第三方获取该加密目标用户数据,拒绝为该第三方生成任何下载链接,禁止该第三方访问。
第五实施例
本发明实施例提供一种授权认证方法,主要站在系统(包括用户终端、第三方以及服务器)的角度进行详细说明,请参见图5,图5为本发明第五实施例提供的授权认证方法的流程示意图,主要包括如下步骤:
S501、第三方向用户终端发送第一请求,以请求获取用户终端存储在服务器的相关数据(目标用户数据)。
S502、用户终端收到该第一请求后,生成并返回授权码以及使用第三方公钥加密的加密临时密钥。
S503、用户终端取回存储在服务器中的用户信息,并使用自己的密钥解密出真实的信息。
S504、用户终端选择第三方需要查询的目标用户数据,将该目标用户数据使用生成的临时密钥加密(形成加密目标用户数据)发送给服务器,以及将生成的授权码发送给服务器。
S505、第三方使用授权码向服务器发送获取加密目标用户数据的请求。
S506、服务器验证第三方的授权码和用户终端发送的授权码匹配时,生成下载该加密目标用户数据的链接,并发送给第三方。
S507、服务器验证第三方的授权码和用户终端发送的授权码不匹配时,拒绝第三方访问。
S508、第三方根据下载链接获取到该加密目标用户数据,使用自己的私钥解密出用户终端为其生成的临时密钥,并根据该临时密钥解密该加密目标用户数据得到目标用户数据。
第六实施例
本实施例提供一种用户终端,参见图6所示,其包括第一处理器61、第一存储器62及第一通信总线63;
所述第一通信总线63用于实现第一处理器61和第一存储器62之间的连接通信;
所述第一处理器61用于执行第一存储器62中存储的一个或者多个程序,以实现上述第一实施例和/或第二实施例所述的授权认证方法的步骤。具体请参见第一实施例和/或第二实施例的详细描述,在此不再赘述。
第七实施例
本实施例提供一种装置,参见图7所示,其包括第二处理器71、第二存储器72及第二通信总线73;
所述第二通信总线73用于实现第二处理器71和第二存储器72之间的连接通信;
所述第二处理器71用于执行第二存储器72中存储的一个或者多个程序,以实现上述第三实施例所述的授权认证方法的步骤。具体请参见第三实施例的详细描述,在此不再赘述。
第八实施例
本实施例提供一种服务器,参见图8所示,其包括第三处理器81、第三存储器82及第三通信总线83;
所述第三通信总线83用于实现第三处理器81和第三存储器82之间的连接通信;
所述第三处理器81用于执行第三存储器82中存储的一个或者多个程序,以实现上述第四实施例所述的授权认证方法的步骤。具体请参见第四实施例的详细描述,在此不再赘述。
第九实施例
本发明实施例提供一种存储介质,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述第一实施例或第二实施例或第三实施例或第四实施例中的授权认证方法的各步骤。各步骤具体请参见上述第一至四实施例的详细描述,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (13)
1.一种授权认证方法,其特征在于,所述授权认证方法应用于用户终端,包括:
在接收到第三方的第一请求时,为所述第三方生成授权码和临时密钥;所述第一请求为所述第三方用于获取存储在服务器中的目标用户数据的请求;
从所述服务器中获取所述目标用户数据,通过所述临时密钥对所述目标用户数据加密以得到加密目标用户数据;
将所述加密目标用户数据、所述授权码以及所述临时密钥发送给所述服务器;或者将所述加密目标用户数据与所述授权码发送给所述服务器,并将所述授权码与所述临时密钥发送给所述第三方。
2.如权利要求1所述的授权认证方法,其特征在于,所述从所述服务器中获取所述目标用户数据包括:
从所述服务器中获取用户全部数据,并根据与所述用户加密密钥对应的用户解密密钥对所述用户全部数据进行解密,得到所述目标用户数据;所述用户解密密钥仅由本地生成并保存。
3.如权利要求1或2所述的授权认证方法,其特征在于,所述将所述临时密钥发送给所述服务器包括:
获取所述第三方的公钥,通过所述公钥对所述临时密钥进行加密以得到加密临时密钥,将所述加密临时密钥发送给所述服务器;
所述将所述临时密钥发送给所述第三方包括:
获取所述第三方的公钥,通过所述公钥对所述临时密钥进行加密以得到加密临时密钥,将所述加密临时密钥发送给所述第三方。
4.一种授权认证方法,其特征在于,所述授权认证方法应用于第三方,包括:
向用户终端发送第一请求,所述第一请求为用于获取所述用户终端存储在服务器中的目标用户数据的请求;
获取所述用户终端根据所述第一请求生成的授权码和临时密钥;
将所述授权码发送给所述服务器;
待所述服务器对所述授权码验证通过后,从所述服务器中获取所述目标用户数据经所述临时密钥加密得到的加密目标用户数据;
根据所述临时密钥对所述加密目标用户数据进行解密得到所述目标用户数据。
5.如权利要求4所述的授权认证方法,其特征在于,所述获取所述用户终端根据所述第一请求生成的授权码和临时密钥包括:
接收所述用户终端直接发送的所述授权码和临时密钥;
或,从所述服务器中获取所述授权码和临时密钥。
6.如权利要求4或5所述的授权认证方法,其特征在于,所述授权认证方法还包括:
判断所述临时密钥是否处于加密状态,如是,确定所述处于加密状态的临时密钥为加密临时密钥;
根据本地的私钥对所述加密临时密钥进行解密,以得到所述临时密钥。
7.一种授权认证方法,其特征在于,所述授权认证方法应用于服务器,包括:
接收用户终端发送的加密目标用户数据以及第一授权码;
接收第三方发送的第二授权码;
判断所述第一授权码与所述第二授权码是否匹配,如是,则生成用于下载所述加密目标用户数据的目标下载链接,并将所述目标下载链接发送给所述第三方;如否,则拒绝所述第三方获取所述加密目标用户数据。
8.如权利要求7所述的授权认证方法,其特征在于,所述授权认证方法还包括:
在接收到所述用户终端发送的加密目标用户数据以及第一授权码的同时,还接收到所述用户终端发送的临时密钥时,将所述第一授权码与所述临时密钥发送给所述第三方。
9.一种用户终端,其特征在于,所述用户终端包括第一处理器、第一存储器及第一通信总线;
所述第一通信总线用于实现第一处理器和第一存储器之间的连接通信;
所述第一处理器用于执行第一存储器中存储的一个或者多个程序,以实现如权利要求1-3中任一项所述的授权认证方法的步骤。
10.一种装置,其特征在于,所述装置包括第二处理器、第二存储器及第二通信总线;
所述第二通信总线用于实现第二处理器和第二存储器之间的连接通信;
所述第二处理器用于执行第二存储器中存储的一个或者多个程序,以实现如权利要求4-6中任一项所述的授权认证方法的步骤。
11.一种服务器,其特征在于,所述服务器包括第三处理器、第三存储器及第三通信总线;
所述第三通信总线用于实现第三处理器和第三存储器之间的连接通信;
所述第三处理器用于执行第三存储器中存储的一个或者多个程序,以实现如权利要求7或8所述的授权认证方法的步骤。
12.一种授权认证方法,其特征在于,所述授权认证方法包括:
第三方向用户终端发送第一请求,所述第一请求用于获取所述用户终端存储在服务器中的目标用户数据;
所述用户终端接收所述第一请求,为所述第三方生成授权码和临时密钥,并将所述授权码和所述临时密钥发送给所述第三方;所述用户终端从所述服务器中获取所述目标用户数据,通过所述临时密钥对所述目标用户数据加密以得到加密目标用户数据,将所述授权码和所述加密目标用户数据发送给所述服务器;
所述第三方接收所述授权码和所述临时密钥,并将所述授权码发送给所述服务器以用于获取所述加密目标用户数据;
所述服务器接收所述用户终端发送的所述授权码和所述加密目标用户数据,以及接收所述第三方发送的所述授权码,并对所述第三方发送的所述授权码进行验证并通过后,生成用于下载所述加密目标用户数据的目标下载链接,并将所述目标下载链接发送给所述第三方;
所述第三方接收所述目标下载链接,并根据所述目标下载链接从所述服务器获取所述加密目标用户数据,并使用所述临时密钥对所述加密目标用户数据进行解密得到所述目标用户数据。
13.一种存储介质,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述权利要求1-3任一项、或4-6任一项、或7-8任一项所述的授权认证方法的各步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2017113975319 | 2017-12-21 | ||
| CN201711397531 | 2017-12-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109951432A true CN109951432A (zh) | 2019-06-28 |
Family
ID=67006427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810049473.9A Pending CN109951432A (zh) | 2017-12-21 | 2018-01-18 | 授权认证方法、用户终端、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109951432A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113127818A (zh) * | 2019-12-31 | 2021-07-16 | 数网金融有限公司 | 一种基于区块链的数据授权方法、装置及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080040285A1 (en) * | 2004-08-18 | 2008-02-14 | John Wankmueller | Method And System For Authorizing A Transaction Using A Dynamic Authorization Code |
| CN103973736A (zh) * | 2013-01-30 | 2014-08-06 | 华为终端有限公司 | 一种数据共享的方法及装置 |
| CN104363093A (zh) * | 2014-10-26 | 2015-02-18 | 重庆智韬信息技术中心 | 通过动态授权码对文件数据加密的方法 |
| CN104618369A (zh) * | 2015-01-27 | 2015-05-13 | 广州市戴为智能科技有限公司 | 一种基于OAuth的物联网设备唯一授权方法、装置及系统 |
| CN106295394A (zh) * | 2016-07-22 | 2017-01-04 | 飞天诚信科技股份有限公司 | 资源授权方法及系统和授权服务器及工作方法 |
-
2018
- 2018-01-18 CN CN201810049473.9A patent/CN109951432A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080040285A1 (en) * | 2004-08-18 | 2008-02-14 | John Wankmueller | Method And System For Authorizing A Transaction Using A Dynamic Authorization Code |
| CN103973736A (zh) * | 2013-01-30 | 2014-08-06 | 华为终端有限公司 | 一种数据共享的方法及装置 |
| CN104363093A (zh) * | 2014-10-26 | 2015-02-18 | 重庆智韬信息技术中心 | 通过动态授权码对文件数据加密的方法 |
| CN104618369A (zh) * | 2015-01-27 | 2015-05-13 | 广州市戴为智能科技有限公司 | 一种基于OAuth的物联网设备唯一授权方法、装置及系统 |
| CN106295394A (zh) * | 2016-07-22 | 2017-01-04 | 飞天诚信科技股份有限公司 | 资源授权方法及系统和授权服务器及工作方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王昌建 主编: "《IT职业技能实训教程》", 30 September 2012, 东软电子出版社 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113127818A (zh) * | 2019-12-31 | 2021-07-16 | 数网金融有限公司 | 一种基于区块链的数据授权方法、装置及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11757641B2 (en) | Decentralized data authentication | |
| CN111949954B (zh) | 一种登录验证方法、系统和计算机存储介质 | |
| Win et al. | Personal health record systems and their security protection | |
| KR101769282B1 (ko) | 데이터 보안 서비스 | |
| CN102624739B (zh) | 一种适用于客户端平台的认证授权方法和系统 | |
| US11122047B2 (en) | Invitation links with enhanced protection | |
| US8984295B2 (en) | Secure access to electronic devices | |
| US9275257B2 (en) | Secure communication architecture | |
| CN106453361B (zh) | 一种网络信息的安全保护方法及系统 | |
| CN105681470B (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
| CN104378379B (zh) | 一种数字内容加密传输方法、设备和系统 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN103095457A (zh) | 一种应用程序的登录、验证方法 | |
| CN110519268B (zh) | 基于区块链的投票方法、装置、设备、系统及存储介质 | |
| CN115001841A (zh) | 一种身份认证方法、装置及存储介质 | |
| CN112311769A (zh) | 安全认证的方法、系统、电子设备及介质 | |
| CN111181831B (zh) | 通信数据处理方法和装置、存储介质及电子装置 | |
| CN110022207A (zh) | 密钥管理及处理数据的方法和装置 | |
| US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| CN109740319A (zh) | 数字身份验证方法及服务器 | |
| CN113792345A (zh) | 一种数据访问控制方法及装置 | |
| Fahl et al. | Trustsplit: usable confidentiality for social network messaging | |
| Kyrillidis et al. | Distributed e-voting using the smart card web server | |
| JPWO2019234801A1 (ja) | サービス提供システム及びサービス提供方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190628 |
|
| RJ01 | Rejection of invention patent application after publication |