CN111010375A - 一种允许第三方应用接入访问资源的分布式认证授权方式 - Google Patents
一种允许第三方应用接入访问资源的分布式认证授权方式 Download PDFInfo
- Publication number
- CN111010375A CN111010375A CN201911188304.4A CN201911188304A CN111010375A CN 111010375 A CN111010375 A CN 111010375A CN 201911188304 A CN201911188304 A CN 201911188304A CN 111010375 A CN111010375 A CN 111010375A
- Authority
- CN
- China
- Prior art keywords
- authorization
- party application
- resource
- token
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种允许第三方应用接入访问资源的分布式认证授权方式,包括客户端模式、密码模式、授权码模式和简化模式,本发明支持跨平台、认证方式多元化、安全性高;支持跨平台:不同语言的应用使用统一规范,即可接入访问资源,例如移动端应用等;认证方式多元化:本方案不仅支持账户密码模式,还支持客户端模式、授权码模式、简化模式,第三方应用可以根据自身情况,选择合适的认证方式,实现了认证方式的多元化;安全性高:通过认证服务授权,资源服务验证,访问令牌有效期的控制,提升了接入与访问的安全性。
Description
技术领域
本发明涉及一种允许第三方应用接入访问资源的分布式认证授权方式,属于信息科技技术领域。
背景技术
在当前的单位或公司中,有可能会存在多个不同的应用,比如学校会有选课系统、图书借阅系统等等,如果每个系统都用独立的账号认证体系,会给学生带来很大的困扰,也给管理者带来了极大的不便;再比如,一个公司开发的应用功能提供给第三方合作公司使用,该公司又不想将自己的用户体系暴漏给合作公司,这个时候就会让合作公司的接入变的困难重重。
SSO(单点登录)一般用于同一单位或公司的多个应用的登陆状态保持,现有技术的缺点包括以下几个方面:1、不支持跨平台:SSO的认证过程赖于session和cookie,比如对于移动端设备应用,无法接入;并且在前后端分离的开发模式下,这种认证方式不友善;2、认证方式单一:SSO只能通过账户密码模式认证,局限性大;3、安全性差:对于不受信任的应用接入,暴露用户信息,影响整个系统的安全性,加大了不可控风险。
发明内容
针对上述存在的技术问题,本发明的目的是:提出了一种允许第三方应用接入访问资源的分布式认证授权方式,支持跨平台、认证方式多元化、安全性高。
本发明的技术解决方案是这样实现的:一种允许第三方应用接入访问资源的分布式认证授权方式,包括客户端模式、密码模式、授权码模式和简化模式;
客户端模式包括如下流程,
流程a、第三方应用访问授权服务器,进行身份认证;
流程b、授权服务器认证通过后,将访问令牌返给第三方应用;
流程c、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程d、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
密码模式包括如下流程,
流程a、第三方应用获取用户提供的账号与密码;
流程b、第三方应用访问授权服务器,直接附带上用户账号密码进行身份认证;
流程c、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程d、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
授权码模式包括如下流程,
流程a、第三方应用访问授权服务器,请求授权;
流程b、授权服务器跳转页面给用户,询问是否授权;
流程c、用户输入账号密码确认授权;
流程d、授权服务器跳转到返回地址,附带上授权码参数;
流程e、第三方应用访问授权服务器,根据授权码获取令牌;
流程f、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程g、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
简化模式包括如下流程,
步骤A、第三方应用访问授权服务器,请求授权,通过用户代理,将用户ID和用户返会地址信息发送至授权服务器;
步骤B、授权服务器接到请求后跳转页面发送给用户,询问是否授权;
步骤C、(1)用户同意授权,用户输入账号密码确认授权;
(2)用户不同意授权,授权服务器接到不同意命令后反馈给第三方应用,并结束整个授权请求;
步骤D、确认授权后,第三方应用访问授权服务器,获取访问令牌;
步骤E、取得访问令牌后,第三方应用携带访问令牌访问资源服务器,并验证访问令牌有效性;
步骤F、访问令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可获取资源信息。
优选的,在简化模式步骤C中,当用户不同意授权后,授权服务器会再次发送授权请求,进一步确认是否授权。
优选的,在简化模式步骤E中,当验证访问令牌不通过时,资源服务器发送重新认证提示。
由于上述技术方案的运用,本发明与现有技术相比具有下列优点:
本发明的一种允许第三方应用接入访问资源的分布式认证授权方式,支持跨平台、认证方式多元化、安全性高;支持跨平台:不同语言的应用使用统一规范,即可接入访问资源,例如移动端应用等;认证方式多元化:本方案不仅支持账户密码模式,还支持客户端模式、授权码模式、简化模式,第三方应用可以根据自身情况,选择合适的认证方式,实现了认证方式的多元化;安全性高:通过认证服务授权,资源服务验证,访问令牌有效期的控制,提升了接入与访问的安全性。
附图说明
下面结合附图对本发明技术方案作进一步说明:
附图1为本发明的一种允许第三方应用接入访问资源的分布式认证授权方式中客户端模式示意图;
附图2为本发明的一种允许第三方应用接入访问资源的分布式认证授权方式中密码模式;
附图3为本发明的一种允许第三方应用接入访问资源的分布式认证授权方式中授权码模式;
附图4为本发明的一种允许第三方应用接入访问资源的分布式认证授权方式中简化模式。
具体实施方式
下面结合附图来说明本发明。
如附图1-4所示为本发明所述的一种允许第三方应用接入访问资源的分布式认证授权方式,包括客户端模式、密码模式、授权码模式和简化模式;
客户端模式包括如下流程,
流程a、第三方应用访问授权服务器,进行身份认证;
流程b、授权服务器认证通过后,将访问令牌返给第三方应用;
流程c、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程d、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
密码模式包括如下流程,
流程a、第三方应用获取用户提供的账号与密码;
流程b、第三方应用访问授权服务器,直接附带上用户账号密码进行身份认证;
流程c、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程d、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
授权码模式包括如下流程,
流程a、第三方应用访问授权服务器,请求授权;
流程b、授权服务器跳转页面给用户,询问是否授权;
流程c、用户输入账号密码确认授权;
流程d、授权服务器跳转到返回地址,附带上授权码参数;
流程e、第三方应用访问授权服务器,根据授权码获取令牌;
流程f、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程g、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
简化模式包括如下流程,
步骤A、第三方应用访问授权服务器,请求授权,通过用户代理,将用户ID和用户返会地址信息发送至授权服务器;
步骤B、授权服务器接到请求后跳转页面发送给用户,询问是否授权;
步骤C、(1)用户同意授权,用户输入账号密码确认授权;
(2)用户不同意授权,授权服务器接到不同意命令后反馈给第三方应用,并结束整个授权请求;
步骤D、确认授权后,第三方应用访问授权服务器,获取访问令牌;
步骤E、取得访问令牌后,第三方应用携带访问令牌访问资源服务器,并验证访问令牌有效性;
步骤F、访问令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可获取资源信息。
优选的,在简化模式步骤C中,当用户不同意授权后,授权服务器会再次发送授权请求,进一步确认是否授权。
优选的,在简化模式步骤E中,当验证访问令牌不通过时,资源服务器发送重新认证提示。
本发明的一种允许第三方应用接入访问资源的分布式认证授权方式,允许第三方应用接入,通过认证服务获取访问令牌,资源服务验证令牌的有效性,最终允许第三方应用访问资源;支持跨平台、认证方式多元化、安全性高;支持跨平台:不同语言的应用使用统一规范,即可接入访问资源,例如移动端应用等;认证方式多元化:本方案不仅支持账户密码模式,还支持客户端模式、授权码模式、简化模式,第三方应用可以根据自身情况,选择合适的认证方式,实现了认证方式的多元化;安全性高:通过认证服务授权,资源服务验证,访问令牌有效期的控制,提升了接入与访问的安全性。
上述实施例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人士能够了解本发明的内容并加以实施,并不能以此限制本发明的保护范围,凡根据本发明精神实质所作的等效变化或修饰,都应涵盖在本发明的保护范围内。
Claims (3)
1.一种允许第三方应用接入访问资源的分布式认证授权方式,其特征在于:包括客户端模式、密码模式、授权码模式和简化模式;
客户端模式包括如下流程,
流程a、第三方应用访问授权服务器,进行身份认证;
流程b、授权服务器认证通过后,将访问令牌返给第三方应用;
流程c、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程d、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
密码模式包括如下流程,
流程a、第三方应用获取用户提供的账号与密码;
流程b、第三方应用访问授权服务器,直接附带上用户账号密码进行身份认证;
流程c、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程d、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
授权码模式包括如下流程,
流程a、第三方应用访问授权服务器,请求授权;
流程b、授权服务器跳转页面给用户,询问是否授权;
流程c、用户输入账号密码确认授权;
流程d、授权服务器跳转到返回地址,附带上授权码参数;
流程e、第三方应用访问授权服务器,根据授权码获取令牌;
流程f、第三方应用携带令牌访问资源服务器,验证令牌有限性;
流程g、令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可以获取资源信息;
简化模式包括如下流程,
步骤A、第三方应用访问授权服务器,请求授权,通过用户代理,将用户ID和用户返会地址信息发送至授权服务器;
步骤B、授权服务器接到请求后跳转页面发送给用户,询问是否授权;
步骤C、(1)用户同意授权,用户输入账号密码确认授权;
(2)用户不同意授权,授权服务器接到不同意命令后反馈给第三方应用,并结束整个授权请求;
步骤D、确认授权后,第三方应用访问授权服务器,获取访问令牌;步骤E、取得访问令牌后,第三方应用携带访问令牌访问资源服务器,并验证访问令牌有效性;
步骤F、访问令牌验证通过后,资源服务器将请求路由到被保护资源,第三方应用可获取资源信息。
2.如权利要求1所述的一种允许第三方应用接入访问资源的分布式认证授权方式,其特征在于:在简化模式步骤C中,当用户不同意授权后,授权服务器会再次发送授权请求,进一步确认是否授权。
3.如权利要求1所述的一种允许第三方应用接入访问资源的分布式认证授权方式,其特征在于:在简化模式步骤E中,当验证访问令牌不通过时,资源服务器发送重新认证提示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911188304.4A CN111010375A (zh) | 2019-11-28 | 2019-11-28 | 一种允许第三方应用接入访问资源的分布式认证授权方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911188304.4A CN111010375A (zh) | 2019-11-28 | 2019-11-28 | 一种允许第三方应用接入访问资源的分布式认证授权方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111010375A true CN111010375A (zh) | 2020-04-14 |
Family
ID=70112977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911188304.4A Pending CN111010375A (zh) | 2019-11-28 | 2019-11-28 | 一种允许第三方应用接入访问资源的分布式认证授权方式 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111010375A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111639319A (zh) * | 2020-06-02 | 2020-09-08 | 北京字节跳动网络技术有限公司 | 用户资源授权方法、装置及计算机可读存储介质 |
| CN112380526A (zh) * | 2020-11-04 | 2021-02-19 | 广州市玄武无线科技股份有限公司 | 一种基于领域模型的授权认证集成系统及方法 |
| CN114745124A (zh) * | 2022-03-03 | 2022-07-12 | 浪潮云信息技术股份公司 | 一种基于ci引擎构建获取三方资源认证的方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN102664933A (zh) * | 2012-04-06 | 2012-09-12 | 中国联合网络通信集团有限公司 | 用户授权方法、应用终端、开放平台和系统 |
| CN104869102A (zh) * | 2014-02-24 | 2015-08-26 | 腾讯科技(北京)有限公司 | 基于xAuth协议的授权方法、装置和系统 |
| CN106230838A (zh) * | 2016-08-04 | 2016-12-14 | 中国银联股份有限公司 | 一种第三方应用访问资源的方法和装置 |
| US20190190912A1 (en) * | 2017-12-19 | 2019-06-20 | Sap Se | Service identity propagation between applications and reusable services |
-
2019
- 2019-11-28 CN CN201911188304.4A patent/CN111010375A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN102664933A (zh) * | 2012-04-06 | 2012-09-12 | 中国联合网络通信集团有限公司 | 用户授权方法、应用终端、开放平台和系统 |
| CN104869102A (zh) * | 2014-02-24 | 2015-08-26 | 腾讯科技(北京)有限公司 | 基于xAuth协议的授权方法、装置和系统 |
| CN106230838A (zh) * | 2016-08-04 | 2016-12-14 | 中国银联股份有限公司 | 一种第三方应用访问资源的方法和装置 |
| US20190190912A1 (en) * | 2017-12-19 | 2019-06-20 | Sap Se | Service identity propagation between applications and reusable services |
Non-Patent Citations (1)
| Title |
|---|
| 不羁之路: "OAuth2四种认证模式概念理解", 《CSDN博客HTTPS://BLOG.CSDN.NET/WQY248/ARTICLE/DETAILS/95061282》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111639319A (zh) * | 2020-06-02 | 2020-09-08 | 北京字节跳动网络技术有限公司 | 用户资源授权方法、装置及计算机可读存储介质 |
| CN111639319B (zh) * | 2020-06-02 | 2023-04-25 | 抖音视界有限公司 | 用户资源授权方法、装置及计算机可读存储介质 |
| CN112380526A (zh) * | 2020-11-04 | 2021-02-19 | 广州市玄武无线科技股份有限公司 | 一种基于领域模型的授权认证集成系统及方法 |
| CN114745124A (zh) * | 2022-03-03 | 2022-07-12 | 浪潮云信息技术股份公司 | 一种基于ci引擎构建获取三方资源认证的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323441B2 (en) | System and method for proxying federated authentication protocols | |
| CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
| US20080168539A1 (en) | Methods and systems for federated identity management | |
| CN108600203A (zh) | 基于Cookie的安全单点登录方法及其统一认证服务系统 | |
| CN111628971A (zh) | 一种信任登录方法 | |
| CN110138718A (zh) | 信息处理系统及其控制方法 | |
| CN111010375A (zh) | 一种允许第三方应用接入访问资源的分布式认证授权方式 | |
| CN102710640A (zh) | 请求授权的方法、装置和系统 | |
| CN109561065A (zh) | 信息处理装置及其控制方法和存储介质 | |
| CN105959267A (zh) | 单点登录技术中的主令牌获取方法、单点登录方法及系统 | |
| CN103532982A (zh) | 基于可穿戴设备授权的方法、装置和系统 | |
| CN113132402B (zh) | 单点登录方法和系统 | |
| CN109388937B (zh) | 一种多因子身份认证的单点登录方法及登录系统 | |
| CN109962892A (zh) | 一种登录应用的认证方法及客户端、服务器 | |
| CN111062023A (zh) | 多应用系统实现单点登录的方法及装置 | |
| CN110069909A (zh) | 一种免密登录第三方系统的方法及装置 | |
| CN110351265A (zh) | 一种基于jwt的认证鉴权方法、计算机可读介质及系统 | |
| CN112583834A (zh) | 一种通过网关单点登录的方法和装置 | |
| KR20000030413A (ko) | 인터넷상에서 하나의 계정으로 여러 사이트에 자유롭게로그온 및 자동 회원 가입하는 사용자 인증방법 및인증사이트 | |
| CN113765655A (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN110944021A (zh) | 校园统一认证和单点登录的方法和系统 | |
| CN114745156A (zh) | 分布式单点登录实现方法、装置、电子设备及存储介质 | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| CN105656856A (zh) | 资源管理方法和装置 | |
| CN112217816A (zh) | K8s容器云平台支持企业账户身份认证的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB03 | Change of inventor or designer information |
Inventor after: Hu Yan Inventor after: Xu Rui Inventor after: Fu Xianrui Inventor before: Hu Yan Inventor before: Xu Rui Inventor before: Fu Xianrui |
|
| CB03 | Change of inventor or designer information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200414 |
|
| RJ01 | Rejection of invention patent application after publication |