CN111143816A - 验证及授权的方法及验证服务器 - Google Patents
验证及授权的方法及验证服务器 Download PDFInfo
- Publication number
- CN111143816A CN111143816A CN201811415463.9A CN201811415463A CN111143816A CN 111143816 A CN111143816 A CN 111143816A CN 201811415463 A CN201811415463 A CN 201811415463A CN 111143816 A CN111143816 A CN 111143816A
- Authority
- CN
- China
- Prior art keywords
- application
- user
- key
- application program
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000013475 authorization Methods 0.000 title claims abstract description 12
- 238000012795 verification Methods 0.000 title abstract description 19
- 230000004044 response Effects 0.000 claims abstract description 33
- 230000006399 behavior Effects 0.000 claims description 17
- 238000012508 change request Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 239000008186 active pharmaceutical agent Substances 0.000 description 18
- 230000007246 mechanism Effects 0.000 description 18
- 230000006870 function Effects 0.000 description 16
- 238000012360 testing method Methods 0.000 description 11
- 238000001514 detection method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
Abstract
本发明提供一种验证及授权的方法及验证服务器。所述方法包括:从应用程序接收登录信息;响应于验证登录信息为合法,产生用户令牌,并将用户令牌回传至应用程序;接收应用程序调用应用程序接口的请求,其中请求包括用户令牌、应用程序的身份及应用程序的密钥;以及响应于验证用户令牌、身份及密钥为合法,产生关联于应用程序的应用程序令牌,并将应用程序令牌回传至应用程序,以授权应用程序调用应用程序接口。
Description
技术领域
本发明是有关于一种验证及授权的方法及验证服务器,且特别是有关于一种可验证用户及应用程序为合法之后,授权应用程序调用应用程序接口的验证及授权的方法及验证服务器。
背景技术
对于现代人而言,操作智能型装置上的应用程序已然成为生活中的一部分。然而,某些应用程序会要求用户在使用前先行注册,而此机制对于用户来说可能会造成使用上的负担。
具体而言,随着此类需要注册的应用程序的数量增加,用户可能需记忆多组登录信息(例如用户名称及密码)。在此情况下,除了可能增加用户在记忆上的负担之外,各个应用程序的开发者也需设置相应的用户管理数据库来管理与用户相关的信息。并且,上述机制还可能增加用户数据被黑客偷取的风险。
因此,对于本领域技术人员而言,设计一种更佳的用户管理机制实为一项重要的议题。
发明内容
有鉴于此,本发明提出一种验证及授权的方法及其验证服务器,其可用以解决上述技术问题。
本发明提供一种验证及授权的方法,适于验证服务器。所述方法包括:从第一应用程序接收登录信息;响应于验证登录信息为合法,产生用户令牌,并将用户令牌回传至第一应用程序;接收第一应用程序调用第一应用程序接口的第一请求,其中第一请求包括用户令牌、第一应用程序的第一身份及第一应用程序的第一密钥;响应于验证用户令牌、第一身份及第一密钥为合法,产生关联于第一应用程序的第一应用程序令牌;以及将第一应用程序令牌回传至第一应用程序,以授权第一应用程序调用第一应用程序接口。
本发明提供一种验证服务器,其包括存储电路及处理器。存储电路存储多个模块。处理器耦接存储电路,存取前述模块以执行下列步骤:从第一应用程序接收登录信息;响应于验证登录信息为合法,产生用户令牌,并将用户令牌回传至第一应用程序;接收第一应用程序调用第一应用程序接口的第一请求,其中第一请求包括用户令牌、第一应用程序的第一身份及第一应用程序的第一密钥;响应于验证用户令牌、第一身份及第一密钥为合法,产生关联于第一应用程序的第一应用程序令牌;以及将第一应用程序令牌回传至第一应用程序,以授权第一应用程序调用第一应用程序接口。
基于上述,本发明提出的验证及授权方法及其验证服务器可协助应用程序验证用户是否合法,并在判定用户合法后相应地将用户令牌回传至应用程序。接着,当应用程序欲调用应用程序接口时,应用程序可将其自身的身份、密钥及用户令牌发送至验证服务器,以供验证服务器确认应用程序是否为合法。若是,则验证服务器可授权应用程序调用所需的应用程序接口。藉此,可让应用程序不需拥有自己的用户管理机制,进而提升用户数据的安全性。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合附图作详细说明如下。
附图说明
图1是依据本发明的实施例示出的验证系统示意图。
图2是依据本发明的实施例示出的验证及授权方法的流程图。
具体实施方式
请参照图1,其是依据本发明的实施例示出的验证系统示意图。如图1所示,验证系统100包括验证服务器110、智能型装置120及应用程序接口池(application programminginterface pool,API pool)130。在本实施例中,验证服务器110例如可协助多个应用程序集中地管理用户信息,藉以让用户可利用单一组登录信息(例如,用户名称及密码)登录多个应用程序,亦可管理多个应用程序的权限。在此情况下,可减少用户在记忆登录信息上的负担,并同时提升用户数据的安全性。
在图1中,验证服务器110可包括存储电路112及处理器114。存储电路112例如是任意类型的固定式或可移动式随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、闪存(Flash memory)、硬盘或其他类似装置或这些装置的组合,而可用以记录多个程序代码或模块。
处理器114耦接于存储电路112,并可为一般用途处理器、特殊用途处理器、传统的处理器、数字信号处理器、多个微处理器(microprocessor)、一个或多个结合数字信号处理器核心的微处理器、控制器、微控制器、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现场可编程门阵列电路(Field Programmable Gate Array,FPGA)、任何其他种类的集成电路、状态机、基于进阶精简指令集机器(Advanced RISC Machine,ARM)的处理器以及类似品。
智能型装置120例如是可由用户199操作的手机、智能型手机、个人电脑(personalcomputer,PC)、笔记本电脑(notebook PC)、网本型电脑(netbook PC)、平板电脑(tabletPC)等,但可不限于此。智能型装置120上可安装有应用程序121、122、…12N。应用程序121~12N可藉由验证服务器110协助管理用户199的数据,藉以让用户199可通过同一组登录信息登录应用程序121~12N。
另外,为实现上述功能,用户199可先通过验证服务器110提供的相关管理页面(例如网页)注册于验证服务器110上,而验证服务器110可将用户199在注册过程中输入的用户账号信息(例如生日、用户名称、密码、地址、电话等)记录于数据库中,藉以作为日后判定用户199是否合法的依据。
API池130中可存储有多个API 131、132、…、13M。在本发明的实施例中,API 131~13M可由应用程序121~12N依功能/需求/权限而从中调用所需的一个或多个来实现指定的功能。举例而言,应用程序121可经授权而调用API 131,而应用程序122可经授权而调用API131及132。换言之,应用程序接口池130中的API 131~13M可由应用程序121~12N共享,而非专属于某一个应用程序,验证服务器110进一步管理多个应用程序调用API的权限。此外,在不同的实施例中,应用程序接口池130可存储于云端网络中的某个网络装置中,或是整合于验证服务器110中。为便于说明,以下将假设应用程序接口池130存储于独立于验证服务器110的另一装置中,但其并非用以限定本发明可能的实施方式。
在本发明的实施例中,处理器114可加载存储电路112中所记录的程序代码或模块以执行本发明提出的验证及授权方法,以下将作进一步说明。
请参照图2,其是依据本发明的实施例示出的验证及授权方法的流程图。图2的方法可由图1的验证服务器110执行,以下即搭配图1的元件来说明图2各步骤的细节。在以下说明中,将暂假设用户199欲登录应用程序121以使用应用程序121所提供的功能,但其并非用以限定本发明可能的实施方式。
首先,在步骤S210中,处理器114可从应用程序121接收登录信息LI。在本实施例中,登录信息LI可由用户199对应用程序121输入,并可包括用户199先前于验证服务器110上注册时所使用的用户名称及密码,而应用程序121可在接收登录信息LI后将其转传至验证服务器110。
相应地,处理器114可在上述数据库中查找是否存在匹配于登录信息LI的用户数据。若是,则处理器104可判定登录信息LI为合法。若上述数据库中未存在匹配于登录信息LI的用户数据,则处理器104可判定登录信息LI为不合法。
接着,在步骤S220中,响应于验证登录信息LI为合法,处理器104可产生用户令牌(user token)UT,并将用户令牌UT传送至应用程序121。在本实施例中,用户令牌UT可具有时效性,其可让用户199在一段时间内能够控制应用程序121发出调用API的请求,但本发明可不限于此。此外,用户令牌UT亦可被传送至应用程序122~12N,藉以让应用程序122~12N在用户令牌UT的时效内发出调用API的请求。换言之,用户199只需在应用程序121登录一次即可取得用户令牌UT,而用户令牌UT可用以让应用程序121~12N发出调用API的请求。在此情况下,当用户199欲使用应用程序122~12N的功能时,不需在应用程序122~12N上执行重复的登录操作。藉此,本发明可藉由减少不必要的登录操作来改善用户的操作体验。
在其他实施例中,用户199仅需在应用程序121~12N的其中之一执行一次登录操作即可取得由应用程序121~12N共享的用户令牌UT。
在步骤S230中,处理器114可接收应用程序121调用API的请求RQ1,其中请求RQ1可包括用户令牌UT、应用程序121的身份ID1及应用程序121的密钥K1。
在本实施例中,应用程序121可依用户199所需的功能而调用不同的API。举例而言,假设API 131可用于执行动态检测,而API 132可用于执行人脸识别。在此情况下,当用户199藉由改变应用程序121的配置而要求应用程序121提供动态检测的功能时,应用程序121可相应地发出调用API 131的请求RQ1。另外,当用户199要求应用程序121同时提供动态检测及人脸识别的功能时,应用程序121可相应地发出调用API 131及132的请求RQ1,但本发明可不限于此。
在一实施例中,在开发者完成某应用程序的开发之后,若此开发者欲让验证服务器协助管理此应用程序的用户数据,或开发者欲让开发完成的应用程序调用应用程序接口池130中的API 131~13M其中之一,此开发者可通过验证服务器110提供的管理页面将此应用程序注册于验证服务器110上。举例而言,验证服务器110可接收开发者申请前述应用程序的开发账号的请求。在注册开发账户的过程中,验证服务器110可要求开发者输入相关的联络信息及应用程序的基本信息。前述联络信息例如是电话号码、邮件地址。前述基本信息例如是应用程序的版本(例如,完整版或试用版)、应用程序的平台(例如Android、iOS、Windows、HTML5等)、付费状态、应用程序的名称及相关说明等。
若验证服务器110判定开发者在上述注册过程中所输入的信息无误,则验证服务器110可相应地产生此应用程序的身份及密钥,并将其传送予开发者。在一实施例中,验证服务器110可将开发者输入的信息、应用程序的身份、密钥等信息亦存储于数据库中。
举例而言,若某开发者欲在验证服务器110的管理页面上注册一个婴儿监视器应用程序(其例如运作于Android平台),则此开发者可在注册的过程中勾选Android平台、是否付费等信息。之后,在验证服务器110确认开发者输入的信息无误后,验证服务器110可相应地产生婴儿监视器应用程序的身份及密钥,并将婴儿监视器应用程序的身份及密钥提供予开发者。之后,当验证服务器110接收到来自婴儿监视器应用程序调用API的请求(其包括婴儿监视器应用程序的身份及密钥)时,验证服务器110即可相应得知婴儿监视器应用程序可调用运作于Android平台下的API。并且,验证服务器110亦可依婴儿监视器应用程序的相关信息(例如付费状态)来决定其可调用的API。
此外,若此开发者欲在验证服务器110上额外注册一个居家安全应用程序(其例如运作于iOS平台),则此开发者可在注册的过程中勾选iOS平台、是否付费等信息。之后,在验证服务器110确认开发者输入的信息无误后,验证服务器110可相应地产生居家安全应用程序的身份及密钥,并将居家安全应用程序的身份及密钥提供予开发者。之后,当验证服务器110接收到来自居家安全应用程序的调用API的请求(其包括居家安全应用程序的身份及密钥)时,验证服务器110即可相应得知居家安全应用程序可调用运作于iOS平台下的API。并且,验证服务器110亦可依居家安全应用程序的相关信息(例如付费状态)来决定其可调用的API。
基于上述教导应可得知,在应用程序121的开发者将应用程序121注册于验证服务器110上时,验证服务器110已依据应用程序121的相关信息而产生对应于应用程序121的身份ID1及密钥K1,并将身份ID1及密钥K1提供予应用程序121的开发者。
为便于说明,以下假设应用程序121的请求RQ1用于调用API 131,但本发明可不限于此。在此情况下,应用程序121可以身份ID1及密钥K1作为请求RQ1的标头(header),以令处理器114据以判定应用程序121是否为已注册于验证服务器110上的合法应用程序。举例而言,处理器114可从请求RQ1的标头取出身份ID1及密钥K1之后,据以查找数据库。若数据库中存在匹配于身份ID1及密钥K1的应用程序,且此应用程序有权限调用API 131的话,则处理器114可确定身份ID1及密钥K1为合法。亦即,应用程序121为先前已注册于验证服务器110上的合法应用程序,且其具有调用API 131的权限。
此外,由于请求RQ1中亦包括用户令牌UT,因此处理器114亦可相应地验证用户令牌UT是否合法。具体而言,承先前实施例所述,用户令牌UT可具有时效性,因此处理器114可藉由判断用户令牌UT是否仍在其时效内来验证用户令牌UT是否合法。若用户令牌UT仍在其时效内,则处理器114可判断用户令牌UT为合法,反之亦反。
之后,在步骤S240中,响应于验证用户令牌UT、身份ID1及密钥K1为合法,处理器114可产生关联于应用程序121的应用程序令牌AT1。并且,在步骤S250中,处理器114可将应用程序令牌AT1传送至应用程序121,以授权应用程序121调用API 131。
在应用程序121接收应用程序令牌AT1之后,即可根据应用程序令牌AT1向API池130调用API 131,以实现所需的功能(例如动态检测)。
由上可知,验证服务器110可提供应用程序121所需的用户管理机制,因此应用程序121可不需拥有自己的用户管理机制。在此情况下,用户的账号信息存储至验证服务器110上,而不是应用程序121的服务器上。藉此,可由验证服务器110代为提供安全机制,进而提升用户数据的安全性。
此外,如先前实施例所提及的,验证服务器110除了可响应于登录信息LI而发送用户令牌UT至应用程序121之外,还可将用户令牌UT发送至应用程序122~12N。因此,当用户199欲操作应用程序122~12N的任一时,用户199可不需再次输入登录信息LI。
举例而言,假设用户199欲使用应用程序122所提供的人脸识别功能,则应用程序122可相应地向验证服务器110发送调用API 132(其具有人脸识别的功能)的请求RQ2。在此例中,请求RQ2可包括用户令牌UT、应用程序122的身份ID2及应用程序122的密钥K2。
相似于身份ID1及密钥K1,应用程序122的身份ID2及应用程序122的密钥K2亦可以是由应用程序122的开发者在将应用程序122注册于验证服务器110之后,由验证服务器110所产生,其细节可参照先前实施例的说明,于此不再赘述。
之后,应用程序122可以身份ID2及密钥K2作为请求RQ2的标头,以令处理器114据以判定应用程序122是否为已注册于验证服务器110上的合法应用程序。举例而言,处理器114可在从请求RQ2的标头取出身份ID2及密钥K2之后,据以查找数据库。若数据库中存在匹配于身份ID2及密钥K2的应用程序,且此应用程序有权限调用API 132的话,则处理器114可确定身份ID2及密钥K2为合法。亦即,应用程序122为先前已注册于验证服务器110上的合法应用程序,且其具有调用API 132的权限。
此外,由于请求RQ2中亦包括用户令牌UT,因此处理器114亦可相应地验证用户令牌UT是否合法。具体而言,承先前实施例所述,用户令牌UT可具有时效性,因此处理器114可藉由判断用户令牌UT是否仍在其时效内来验证用户令牌UT是否合法。若用户令牌UT仍在其时效内,则处理器114可判断用户令牌UT为合法,反之亦反。
之后,响应于验证用户令牌UT、身份ID2及密钥K2为合法,处理器114可产生关联于应用程序122的应用程序令牌AT2。并且,处理器114可将应用程序令牌AT2传送至应用程序122,以授权应用程序122调用API 132。
在应用程序122接收应用程序令牌AT2之后,即可根据应用程序令牌AT2向API池130调用API 132,以实现所需的功能(例如人脸识别)。
应了解的是,虽然以上仅以应用程序121及122作为说明的例子,但对于智能型装置120中的其他应用程序而言,亦可基于相同的机制运作。换言之,验证服务器110可统一地管理应用程序121~12N的用户数据,因此应用程序121~12N皆不需设置自己的用户管理机制。对于用户199而言,其仅需记忆一组登录信息LI,因此可降低记忆上的负担。并且,在用户199将登录信息LI输入应用程序121~12N的其中之一者后,若用户199欲使用应用程序121~12N的其中之另一者,用户199不需再次输入登录信息LI即可直接使用上述另一者的功能,因而可增加操作上的便利性。
在一实施例中,应用程序令牌AT1亦可具有时效性,而当应用程序令牌AT1失效(例如超过指定时间或使用次数)时,应用程序121可从API池130中调用可刷新应用程序令牌AT1的API,以取得新的应用程序令牌AT1,或是延长应用程序令牌AT1的可用时间。之后,应用程序121可基于新的应用程序令牌AT1来调用所需的API。
具体而言,若应用程序121持续使用相同的应用程序令牌AT1来调用API,将使得被黑的机率相应增加。因此,适时地刷新应用程序令牌AT1或延长应用程序令牌AT1的可用时间可确保应用程序令牌AT1持续处于被保护的状态。
此外,在一实施例中,由于智能型装置120及验证服务器110之间可能因某种原因而发生断线情况,因而可能使得用户199需在恢复联机之后再次输入登录信息LI。在此情况下,用户199可能会因重复输入登录信息LI而具有不佳的操作体验。
有鉴于此,本发明亦提出了相应的机制以解决上述技术问题。具体而言,在验证服务器110验证用户令牌UT、身份ID1及密钥K1为合法之后,处理器114还可产生第一特定密钥及第二特定密钥,其中第一特定密钥对应于第二特定密钥。并且,处理器114可发送第二特定密钥至应用程序121。在一实施例中,处理器114可基于非对称型密码技术(AsymmetricCryptosystem)产生一对密钥,即第一特定密钥及第二特定密钥。并且,应用程序121在接收第二特定密钥之后,可将第二特定密钥存储在密钥快取(key caching)中。
在一实施例中,若在智能型装置120及验证服务器110之间出现断线情况,则应用程序121可在智能型装置120重新连接至验证服务器110之后,将第二特定密钥发送至验证服务器110。
之后,处理器114可判定所接收的第二特定密钥是否匹配于第一特定密钥。若是,则处理器114可维持用户令牌UT及应用程序令牌AT1的有效性。若否,则处理器114可要求用户199再次输入登录信息LI。
换言之,若应用程序121在重新连接至验证服务器110后所发送的第二特定密钥匹配于验证服务器110所记录的第一特定密钥,则用户199可不需再次输入登录信息LI,因而可增加操作上的便利性。
在一实施例中,本发明更提出一种机制,其可在用户199首次输入登录信息LI之后,基于区块链的概念为用户199产生一组用户密钥(user key)。之后,当用户199欲再次登录应用程序121时,用户199可不需再次输入登录信息LI,而仅需利用用户密钥即可登录应用程序121。藉此,可进一步增加数据的安全性。
具体而言,处理器114可依据登录信息LI产生用户密钥,并依据用户密钥、身份ID1及密钥K1产生第一区块。之后,处理器114可将第一区块加入至区块链中,并将用户密钥传送至应用程序121,以供用户199查看。
之后,用户199即可以上述用户密钥登录应用程序121,而应用程序121可相应地将上述用户密钥、身份ID1及密钥K1发送至验证服务器110。响应于从应用程序121接收到上述用户密钥、身份ID1及密钥K1,处理器114可基于用户密钥、身份ID1及密钥K1查找第一区块以验证用户199以及用户199的使用行为是否合法。若第一区块中存储的数据匹配于来自应用程序121的用户密钥、身份ID1及密钥K1,则处理器114可判定应用程序121的使用行为以及对应使用行为的用户199为合法,并相应产生用户令牌UT,反之亦反。
响应于验证用户199为合法,处理器114还可记录用户199使用应用程序121的使用行为,例如使用时间、次数等。之后,处理器114可依据上述使用行为产生第二区块,并将第二区块加入至前述区块链中。藉此,应用程序121即可基于第二区块记录的内容来向用户199执行收费等操作。并且,由于区块链具有不可篡改的特性,因此可确保第一区块及第二区块所记录的数据的安全性。此外,用户199亦可不需再次输入登录信息LI,因而可减少登录信息LI外泄的机率。
在其他实施例中,本发明更提出了访问控制机制,其可依据应用程序的角色及/或用户的存取层级来决定应用程序调用API的权限。为便于说明,以下仍以应用程序121为例,但其并非用以限定本发明可能的实施方式。
在一实施例中,在应用程序121的开发者将应用程序121注册于验证服务器110上时,处理器114可依据应用程序121注册于验证服务器110的信息来为应用程序121指派多个存取角色中的其中之一,其中各存取角色对应于不同的API调用权限。在本实施例中,上述存取角色可包括测试存取(test access)、基本存取(basic access)及标准存取(standardaccess)。
举例而言,若开发者输入的信息显示应用程序121为试用版,则处理器114可执行政策管理(policy administration,PA)模块以相应地将应用程序121的存取角色记录为测试存取。举另一例而言,若开发者输入的信息显示应用程序121为完整版,则处理器114可执行PA模块以相应地将应用程序121的存取角色记录为标准存取,但本发明可不限于此。
在以上两例中,具有不同存取角色的应用程序121可具有不同的API调用权限。举例而言,若应用程序121的角色为测试存取,则当用户199要求应用程序121提供人脸识别功能时,应用程序121可能只能调用判断是否检测到人脸的基本API,而无法调用能够具体识别特定人脸的高阶API。然而,若应用程序121的角色为标准存取,则当用户199要求应用程序121提供人脸识别功能时,应用程序121可能有权限同时调用判断是否检测到人脸的基本API以及能够具体识别特定人脸的高阶API,但本发明可不限于此。
此外,上述API调用权限亦可以指在一时间窗口(time of window)内调用某API的次数。举例而言,若应用程序121的角色为测试存取,则应用程序121在时间窗口(例如30秒)内可能只被允许调用某些API十次。若应用程序121的角色为基本存取,则应用程序121例如可在时间窗口内被允许调用更多种类的API。若应用程序121的角色为标准存取,则应用程序121可在不受时间窗口限制的情况下,依需求而任意调用上述API,但本发明可不限于此。
在一实施例中,处理器114可将应用程序121及其存取角色记录为一特定数据结构(以下称为政策内容(policy content,PC)模块),以供查找。
之后,当验证服务器110接收到调用API 131的请求RQ1时,处理器114可依据身份ID1查找PC以得知应用程序121的存取角色。之后,处理器114可执行政策决定(policydecision,PD)模块及政策实施(policy enforcement,PE)模块以依据应用程序121的存取角色判定应用程序121是否有权限调用API 131。具体而言,在本实施例中,PD模块可用于判断应用程序121有权限调用API池130中的哪些API。PE模块可用于检查应用程序121是否有权限调用API 131,若有,则PE模块可授权应用程序121调用API 131。
响应于判定应用程序121有权限调用API 131,且用户令牌UT为有效,处理器114可相应产生应用程序令牌AT1,以让应用程序121可据以调用API131。
举例而言,假设应用程序121的存取角色为测试存取,则当用户199要求应用程序121提供基本的人脸识别功能时,应用程序121可相应发送请求RQ1。之后,PD模块及PE模块可基于应用程序121的存取角色判定应用程序121有权限调用具基本的人脸识别功能的API(例如API 131)。接着,应用程序121即可经授权而调用API 131以提供用户199所需的功能。
承上例,当用户199要求应用程序121提供识别特定人脸的功能时,应用程序121可相应发送请求RQ1。之后,PD模块及PE模块可基于应用程序121的存取角色判定应用程序121无权限调用具识别特定人脸功能的API(例如API 132)。在此情况下,应用程序121即无法提供用户199所需的功能,但本发明可不限于此。
此外,于另一实施例中,上述访问控制机制中引入了存取层级的概念,藉以实现更灵活的管理策略。
概略而言,假设前述的测试存取、基本存取及标准存取等存取角色预设为对应于存取层级1、存取层级2及存取层级3。在此情况下,当用户199所安装的应用程序121的存取角色为测试存取时,即代表应用程序121的存取层级为存取层级1。之后,当用户199通过付费等手段升级应用程序121时,验证服务器110可相应地将应用程序121的存取层级变更为存取层级2。
换言之,用户199可不需下载另一个存取角色为基本存取的应用程序(其身份及密钥皆不同于身份ID1及密钥K1)即可使用对应于存取层级2的功能。
具体而言,应用程序121可将用户199提出的层级变更请求发送至验证服务器110。相应地,处理器114可从应用程序121接收用户199的层级变更请求,并依据此层级变更请求将应用程序121的存取角色(例如,测试存取)的存取层级从存取层级1变更为存取层级2,其中存取层级2的应用程序接口调用权限不同于存取层级1的应用程序接口调用权限。之后,处理器114可通过PC模块来记录用户199、应用程序121的身份ID1、应用程序121的存取角色(例如测试存取)、应用程序121的存取层级(例如存取层级2)的对应关系。
之后,当验证服务器110收到应用程序121调用API 131及132的请求RQ1时,处理器114例如可依据身份ID1查找PC模块以取得应用程序121的存取角色(例如测试存取)及存取层级(存取层级2)。
接着,处理器114可依据应用程序121的存取角色及存取层级判定应用程序121是否有权限调用API 131及132。假设存取层级1仅被允许调用API 131,而存取层级2可被允许调用API 131及132。在此情况下,处理器114可通过PD模块判定应用程序有权限调用API131及132。
响应于判定应用程序121有权限调用API 131及132且用户令牌UT为有效,处理器114可通过PE模块产生应用程序令牌AT1,以授权应用程序121调用API 131及132。
换言之,升级之前的应用程序121因仅具有存取层级1而没有权限调用API 132。然而,在应用程序121升级之后,由于应用程序121的存取层级被提高为存取层级2,因此可在存取角色不变的情况下具有调用API 131及132的权限。
如此一来,可让验证服务器110更为灵活地通过上述访问控制机制来管理各个应用程序调用API的权限。
综上所述,本发明提出的验证及授权方法及其验证服务器可提供多个应用程序所需的用户管理机制,因此各应用程序可不需拥有自己的用户管理机制。在此情况下,用户的账号信息存储至验证服务器上,而不是各应用程序的服务器上。藉此,可由验证服务器代为提供安全机制,进而提升用户数据的安全性。
并且,对于用户而言,其仅需记忆一组登录信息,因此可降低记忆上的负担。并且,在用户将登录信息输入一应用程序后,若用户欲使用另一应用程序,用户可不需再次输入登录信息即可直接使用上述另一应用程序的功能,因而可增加操作上的便利性。
另外,本发明还提出了基于应用程序的存取角色/存取层级来实现的访问控制机制,因而可让验证服务器更为灵活地管理各个应用程序调用API的权限。
虽然本发明已以实施例揭露如上,然其并非用以限定本发明,任何所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作些许的更动与润饰,故本发明的保护范围当视后附的权利要求保护范围所界定者为准。
【符号说明】
100:验证系统
110:验证服务器
112:存储电路
114:处理器
120:智能型装置
130:API池
121~12N:应用程序
131~13M:API
199:用户
AT1、AT2:应用程序令牌
ID1、ID2:身份
K1、K2:密钥
LI:登录信息
RQ1、RQ2:请求
S210~S250:步骤
UT:用户令牌
Claims (20)
1.一种验证及授权的方法,适于验证服务器,包括:
从第一应用程序接收登录信息;
响应于验证该登录信息为合法,产生用户令牌,并将该用户令牌回传至该第一应用程序;
接收该第一应用程序调用第一应用程序接口的第一请求,其中该第一请求包括该用户令牌、该第一应用程序的第一身份及该第一应用程序的第一密钥;
响应于验证该用户令牌、该第一身份及该第一密钥为合法,产生关联于该第一应用程序的第一应用程序令牌;以及
将该第一应用程序令牌回传至该第一应用程序,以授权该第一应用程序调用该第一应用程序接口。
2.如权利要求1所述的方法,其中在产生该用户令牌之后,还包括:
将该用户令牌传送至第二应用程序,其中该第一应用程序及该第二应用程序安装于智能型装置上。
3.如权利要求2所述的方法,其中在将该用户令牌传送至该第二应用程序的步骤之后,还包括:
接收该第二应用程序调用第二应用程序接口的第二请求,其中该第二请求包括该用户令牌、该第二应用程序的第二身份及该第二应用程序的第二密钥,其中该第二身份及该第二密钥是该验证服务器响应于该第二应用程序注册于该验证服务器上而指派给该第二应用程序;以及
响应于验证该用户令牌、该第二身份及该第二密钥为合法,产生关联于该第二应用程序的第二应用程序令牌,并将该第二应用程序令牌回传至该第二应用程序,以授权该第二应用程序调用该第二应用程序接口。
4.如权利要求1所述的方法,其中该第一身份及该第一密钥是该验证服务器响应于该第一应用程序注册于该验证服务器上而指派给该第一应用程序。
5.如权利要求4所述的方法,还包括:
依据该第一应用程序注册于该验证服务器的信息为该第一应用程序指派多个存取角色中的第一存取角色,其中各该存取角色对应于不同的应用程序接口调用权限。
6.如权利要求5所述的方法,还包括:
依据该第一身份取得该第一应用程序的该第一存取角色;
依据该第一存取角色判定该第一应用程序是否有权限调用该第一应用程序接口;
响应于判定该第一应用程序有权限调用该第一应用程序接口且该用户令牌为有效,产生该第一应用程序令牌。
7.如权利要求5所述的方法,其中该第一存取角色的存取层级为第一层级,且所述方法还包括:
从该第一应用程序接收层级变更请求;
依据该层级变更请求将该第一存取角色的该存取层级变更为第二层级,其中该第二层级的应用程序接口调用权限不同于该第一层级的应用程序接口调用权限。
8.如权利要求7所述的方法,还包括:
依据该第一身份取得该第一应用程序的该第一存取角色及该存取层级;
依据该第一存取角色及该存取层级判定该第一应用程序是否有权限调用该第一应用程序接口;
响应于判定该第一应用程序有权限调用该第一应用程序接口且该用户令牌为有效,产生该第一应用程序令牌。
9.如权利要求1所述的方法,还包括:
产生第一特定密钥及第二特定密钥,其中该第一特定密钥对应于该第二特定密钥;
发送该第二特定密钥至该第一应用程序;
响应于与该第一应用程序之间发生断线情况,接收该第一应用程序在重新连接至该验证服务器后所发送的该第二特定密钥;
响应于该第一特定密钥匹配于该第二特定密钥,维持该用户令牌及该第一应用程序令牌的有效性。
10.如权利要求1所述的方法,还包括:
依据该登录信息产生用户密钥;
依据该用户密钥、该第一身份及该第一密钥产生第一区块;
将该第一区块加入至区块链中,并将该用户密钥回传至该第一应用程序;
响应于从该第一应用程序接收到该用户密钥、该第一身份及该第一密钥,基于该用户密钥、该第一身份及该第一密钥查找该第一区块以验证使用行为以及对应该使用行为的用户是否为合法;
响应于验证该使用行为以及对应该使用行为的该用户为合法,记录该用户使用该第一应用程序的该使用行为;以及
依据该使用行为产生第二区块,并将该第二区块加入至该区块链中。
11.一种验证服务器,包括:
存储电路,存储多个模块;以及
处理器,耦接该存储电路,存取该些模块以执行下列步骤:
从第一应用程序接收登录信息;
响应于验证该登录信息为合法,产生用户令牌,并将该用户令牌回传至该第一应用程序;
接收该第一应用程序调用第一应用程序接口的第一请求,其中该第一请求包括该用户令牌、该第一应用程序的第一身份及该第一应用程序的第一密钥;以及
响应于验证该用户令牌、该第一身份及该第一密钥为合法,产生关联于该第一应用程序的第一应用程序令牌,并将该第一应用程序令牌回传至该第一应用程序,以授权该第一应用程序调用该第一应用程序接口。
12.如权利要求11所述的验证服务器,其中该处理器还经配置以:
将该用户令牌传送至第二应用程序,其中该第一应用程序及该第二应用程序安装于智能型装置上。
13.如权利要求12所述的验证服务器,其中该处理器还经配置以:
接收该第二应用程序调用第二应用程序接口的第二请求,其中该第二请求包括该用户令牌、该第二应用程序的第二身份及该第二应用程序的第二密钥,其中该第二身份及该第二密钥是该验证服务器响应于该第二应用程序注册于该验证服务器上而指派给该第二应用程序;以及
响应于验证该用户令牌、该第二身份及该第二密钥为合法,产生关联于该第二应用程序的第二应用程序令牌,并将该第二应用程序令牌传送至该第二应用程序,以授权该第二应用程序调用该第二应用程序接口。
14.如权利要求11所述的验证服务器,其中该第一身份及该第一密钥是该验证服务器响应于该第一应用程序注册于该验证服务器上而指派给该第一应用程序。
15.如权利要求14所述的验证服务器,其中该处理器还经配置以:
依据该第一应用程序注册于该验证服务器的信息为该第一应用程序指派多个存取角色中的第一存取角色,其中各该存取角色对应于不同的应用程序接口调用权限。
16.如权利要求15所述的验证服务器,其中该处理器还经配置以:
依据该第一身份取得该第一应用程序的该第一存取角色;
依据该第一存取角色判定该第一应用程序是否有权限调用该第一应用程序接口;
响应于判定该第一应用程序有权限调用该第一应用程序接口且该用户令牌为有效,产生该第一应用程序令牌。
17.如权利要求15所述的验证服务器,其中该第一存取角色的存取层级为第一层级,且该处理器还经配置以:
从该第一应用程序接收该用户的层级变更请求;
依据该层级变更请求将该第一存取角色的该存取层级变更为第二层级,其中该第二层级的应用程序接口调用权限不同于该第一层级的应用程序接口调用权限。
18.如权利要求17所述的验证服务器,其中该处理器还经配置以:
依据该第一身份取得该第一应用程序的该第一存取角色及该存取层级;
依据该第一存取角色及该存取层级判定该第一应用程序是否有权限调用该第一应用程序接口;
响应于判定该第一应用程序有权限调用该第一应用程序接口且该用户令牌为有效,产生该第一应用程序令牌。
19.如权利要求11所述的验证服务器,其中该处理器还经配置以:
产生第一特定密钥及第二特定密钥,其中该第一特定密钥对应于该第二特定密钥;
发送该第二特定密钥至该第一应用程序;
响应于与该第一应用程序之间发生断线情况,接收该第一应用程序在重新连接至该验证服务器后所发送的该第二特定密钥;
响应于该第一特定密钥匹配于该第二特定密钥,维持该用户令牌及该第一应用程序令牌的有效性。
20.如权利要求11所述的验证服务器,其中该处理器还经配置以:
依据该登录信息产生用户密钥;
依据该用户密钥、该第一身份及该第一密钥产生第一区块;
将该第一区块加入至区块链中,并将该用户密钥回传至该第一应用程序;
响应于从该第一应用程序接收到该用户密钥、该第一身份及该第一密钥,基于该用户密钥、该第一身份及该第一密钥查找该第一区块以验证使用行为以及对应该使用行为的用户是否为合法;
响应于验证该使用行为以及对应该使用行为的该用户为合法,记录该用户使用该第一应用程序的该使用行为;以及
依据该使用行为产生第二区块,并将该第二区块加入至该区块链中。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107139141 | 2018-11-05 | ||
TW107139141A TWI725352B (zh) | 2018-11-05 | 2018-11-05 | 驗證及授權的方法及驗證伺服器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111143816A true CN111143816A (zh) | 2020-05-12 |
CN111143816B CN111143816B (zh) | 2023-02-28 |
Family
ID=70458808
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811415463.9A Active CN111143816B (zh) | 2018-11-05 | 2018-11-26 | 验证及授权的方法及验证服务器 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11212283B2 (zh) |
JP (2) | JP6949064B2 (zh) |
CN (1) | CN111143816B (zh) |
TW (1) | TWI725352B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022051905A1 (zh) * | 2020-09-08 | 2022-03-17 | 小白投资有限公司 | 智能装置的网络连接方法 |
CN114338148A (zh) * | 2021-12-28 | 2022-04-12 | 建信金融科技有限责任公司 | 交互方法及装置、服务器和存储介质 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3640821B1 (en) * | 2017-06-30 | 2022-04-20 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Coefficient calculation method, component calling method, device, medium, server, and terminal |
US11070548B2 (en) * | 2018-12-21 | 2021-07-20 | Paypal, Inc. | Tokenized online application sessions |
CN109976922B (zh) * | 2019-03-04 | 2021-02-02 | 上海连尚网络科技有限公司 | 小程序平台间的发现方法、设备和计算机存储介质 |
CN109933442B (zh) * | 2019-03-04 | 2022-12-30 | 上海连尚网络科技有限公司 | 小程序平台间的通讯方法、设备和计算机存储介质 |
US11050798B2 (en) * | 2019-05-31 | 2021-06-29 | Mitel Networks Corporation | Methods for establishing peer-to-peer communications using distributed call ledgers |
CN112714092B (zh) * | 2019-10-24 | 2022-03-18 | 珠海格力电器股份有限公司 | 一种注册登录方法、设备和计算机可读存储介质 |
CN112417403B (zh) * | 2020-11-29 | 2022-11-29 | 中国科学院电子学研究所苏州研究院 | 一种基于GitLab API的系统自动化认证和授权处理方法 |
Citations (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1547142A (zh) * | 2003-12-12 | 2004-11-17 | ���пƼ���ѧ | 一种动态身份认证方法和系统 |
US20080148373A1 (en) * | 2006-12-18 | 2008-06-19 | Garney David Adams | Simplified management of authentication credentials for unattended applications |
US20090249448A1 (en) * | 2008-03-28 | 2009-10-01 | Samsung Electronics Co., Ltd. | Method and apparatus for handling security level of device on network |
US7823192B1 (en) * | 2004-04-01 | 2010-10-26 | Sprint Communications Company L.P. | Application-to-application security in enterprise security services |
CN102017572A (zh) * | 2008-04-25 | 2011-04-13 | 诺基亚公司 | 用于提供单一服务签入的方法、设备和计算机程序产品 |
CN102959559A (zh) * | 2010-06-28 | 2013-03-06 | 联邦印刷有限公司 | 用于产生证书的方法 |
CN103051630A (zh) * | 2012-12-21 | 2013-04-17 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及系统 |
CN103220344A (zh) * | 2013-03-29 | 2013-07-24 | 新浪技术(中国)有限公司 | 微博授权使用方法和系统 |
CN103609090A (zh) * | 2013-06-19 | 2014-02-26 | 华为技术有限公司 | 身份登录方法及设备 |
CN104468518A (zh) * | 2014-11-10 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 业务管理方法、装置和系统 |
US20150312233A1 (en) * | 2010-04-30 | 2015-10-29 | T-Central, Inc. | System and Method to Enable PKI- and PMI- Based Distributed Locking of Content and Distributed Unlocking of Protected Content and/or Scoring of Users and/or Scoring of End-Entity Access Means - Added |
CN105989281A (zh) * | 2015-02-03 | 2016-10-05 | 纬创资通股份有限公司 | 云端数据管理方法、电子装置及云端服务器 |
CN106230838A (zh) * | 2016-08-04 | 2016-12-14 | 中国银联股份有限公司 | 一种第三方应用访问资源的方法和装置 |
CN106302346A (zh) * | 2015-05-27 | 2017-01-04 | 阿里巴巴集团控股有限公司 | Api调用的安全认证方法、装置、系统 |
CN106506494A (zh) * | 2016-10-27 | 2017-03-15 | 上海斐讯数据通信技术有限公司 | 一种开放平台的应用接入方法 |
CN106789848A (zh) * | 2015-11-23 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 一种用户密钥存储方法及服务器 |
CN106850699A (zh) * | 2017-04-10 | 2017-06-13 | 中国工商银行股份有限公司 | 一种移动终端登录认证方法及系统 |
CN107483509A (zh) * | 2017-10-09 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 一种身份验证方法、服务器及可读存储介质 |
US9847990B1 (en) * | 2014-07-18 | 2017-12-19 | Google Inc. | Determining, by a remote system, applications provided on a device based on association with a common identifier |
CN108475312A (zh) * | 2015-10-02 | 2018-08-31 | 华睿泰科技有限责任公司 | 用于装置安全外壳的单点登录方法 |
CN108701307A (zh) * | 2015-12-02 | 2018-10-23 | 万事达卡国际股份有限公司 | 用于验证令牌请求者的方法和系统 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7334254B1 (en) * | 2003-07-31 | 2008-02-19 | Sprint Communications Company L.P. | Business-to-business security integration |
CN101616136B (zh) * | 2008-06-26 | 2013-05-01 | 阿里巴巴集团控股有限公司 | 一种提供互联网服务的方法及服务集成平台系统 |
TWI470981B (zh) * | 2010-11-25 | 2015-01-21 | Inventec Corp | 企業內網路的應用程序整合登錄方法及其驗證伺服器 |
JP5728275B2 (ja) * | 2011-04-05 | 2015-06-03 | キヤノン株式会社 | 情報処理装置及びその制御方法 |
US8689310B2 (en) * | 2011-12-29 | 2014-04-01 | Ebay Inc. | Applications login using a mechanism relating sub-tokens to the quality of a master token |
CN103220259B (zh) * | 2012-01-20 | 2016-06-08 | 华为技术有限公司 | Oauth API的使用、调用方法、设备及系统 |
KR101451870B1 (ko) * | 2012-08-20 | 2014-10-16 | 네이버 주식회사 | 인증 공유에 의한 애플리케이션 로그인 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 |
EP3342122B1 (en) * | 2015-08-25 | 2020-08-19 | Inexto Sa | Multiple authorization modules for secure production and verification |
JP2017204704A (ja) * | 2016-05-10 | 2017-11-16 | 日本電信電話株式会社 | 正当性保証方法、正当性保証システム及び正当性保証プログラム |
US20180083971A1 (en) * | 2016-09-21 | 2018-03-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorization with container application issued token |
JP2018121244A (ja) * | 2017-01-26 | 2018-08-02 | キヤノン株式会社 | 画像形成装置、制御方法及びプログラム |
-
2018
- 2018-11-05 TW TW107139141A patent/TWI725352B/zh active
- 2018-11-26 CN CN201811415463.9A patent/CN111143816B/zh active Active
-
2019
- 2019-01-17 JP JP2019005757A patent/JP6949064B2/ja active Active
- 2019-02-19 US US16/279,935 patent/US11212283B2/en active Active
-
2021
- 2021-06-21 JP JP2021102784A patent/JP7241814B2/ja active Active
Patent Citations (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1547142A (zh) * | 2003-12-12 | 2004-11-17 | ���пƼ���ѧ | 一种动态身份认证方法和系统 |
US7823192B1 (en) * | 2004-04-01 | 2010-10-26 | Sprint Communications Company L.P. | Application-to-application security in enterprise security services |
US20080148373A1 (en) * | 2006-12-18 | 2008-06-19 | Garney David Adams | Simplified management of authentication credentials for unattended applications |
US20090249448A1 (en) * | 2008-03-28 | 2009-10-01 | Samsung Electronics Co., Ltd. | Method and apparatus for handling security level of device on network |
CN102017572A (zh) * | 2008-04-25 | 2011-04-13 | 诺基亚公司 | 用于提供单一服务签入的方法、设备和计算机程序产品 |
US20150312233A1 (en) * | 2010-04-30 | 2015-10-29 | T-Central, Inc. | System and Method to Enable PKI- and PMI- Based Distributed Locking of Content and Distributed Unlocking of Protected Content and/or Scoring of Users and/or Scoring of End-Entity Access Means - Added |
CN102959559A (zh) * | 2010-06-28 | 2013-03-06 | 联邦印刷有限公司 | 用于产生证书的方法 |
CN103051630A (zh) * | 2012-12-21 | 2013-04-17 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及系统 |
CN103220344A (zh) * | 2013-03-29 | 2013-07-24 | 新浪技术(中国)有限公司 | 微博授权使用方法和系统 |
CN107070945A (zh) * | 2013-06-19 | 2017-08-18 | 华为技术有限公司 | 身份登录方法及设备 |
CN103609090A (zh) * | 2013-06-19 | 2014-02-26 | 华为技术有限公司 | 身份登录方法及设备 |
US10693862B1 (en) * | 2014-07-18 | 2020-06-23 | Google Llc | Determining, by a remote system, applications provided on a device based on association with a common identifier |
US9847990B1 (en) * | 2014-07-18 | 2017-12-19 | Google Inc. | Determining, by a remote system, applications provided on a device based on association with a common identifier |
CN104468518A (zh) * | 2014-11-10 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 业务管理方法、装置和系统 |
CN105989281A (zh) * | 2015-02-03 | 2016-10-05 | 纬创资通股份有限公司 | 云端数据管理方法、电子装置及云端服务器 |
CN106302346A (zh) * | 2015-05-27 | 2017-01-04 | 阿里巴巴集团控股有限公司 | Api调用的安全认证方法、装置、系统 |
CN108475312A (zh) * | 2015-10-02 | 2018-08-31 | 华睿泰科技有限责任公司 | 用于装置安全外壳的单点登录方法 |
CN106789848A (zh) * | 2015-11-23 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 一种用户密钥存储方法及服务器 |
CN108701307A (zh) * | 2015-12-02 | 2018-10-23 | 万事达卡国际股份有限公司 | 用于验证令牌请求者的方法和系统 |
CN106230838A (zh) * | 2016-08-04 | 2016-12-14 | 中国银联股份有限公司 | 一种第三方应用访问资源的方法和装置 |
CN106506494A (zh) * | 2016-10-27 | 2017-03-15 | 上海斐讯数据通信技术有限公司 | 一种开放平台的应用接入方法 |
CN106850699A (zh) * | 2017-04-10 | 2017-06-13 | 中国工商银行股份有限公司 | 一种移动终端登录认证方法及系统 |
CN107483509A (zh) * | 2017-10-09 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 一种身份验证方法、服务器及可读存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022051905A1 (zh) * | 2020-09-08 | 2022-03-17 | 小白投资有限公司 | 智能装置的网络连接方法 |
CN114338148A (zh) * | 2021-12-28 | 2022-04-12 | 建信金融科技有限责任公司 | 交互方法及装置、服务器和存储介质 |
CN114338148B (zh) * | 2021-12-28 | 2023-05-26 | 建信金融科技有限责任公司 | 交互方法及装置、服务器和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
TWI725352B (zh) | 2021-04-21 |
US11212283B2 (en) | 2021-12-28 |
CN111143816B (zh) | 2023-02-28 |
TW202018558A (zh) | 2020-05-16 |
US20200145421A1 (en) | 2020-05-07 |
JP7241814B2 (ja) | 2023-03-17 |
JP6949064B2 (ja) | 2021-10-13 |
JP2020077353A (ja) | 2020-05-21 |
JP2021152953A (ja) | 2021-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111143816B (zh) | 验证及授权的方法及验证服务器 | |
US10671733B2 (en) | Policy enforcement via peer devices using a blockchain | |
US10878066B2 (en) | System and method for controlled access to application programming interfaces | |
US8190908B2 (en) | Secure data verification via biometric input | |
US9325683B2 (en) | Mobile application management framework | |
CN111353903B (zh) | 一种网络身份保护方法、装置及电子设备和存储介质 | |
US8490168B1 (en) | Method for authenticating a user within a multiple website environment to provide secure access | |
CN107925567A (zh) | 用于使用由证书状态检查服务提供商发布的票证来优化对称密钥高速缓存的系统、装置和方法 | |
CN110365684B (zh) | 应用集群的访问控制方法、装置和电子设备 | |
EP3777082B1 (en) | Trusted platform module-based prepaid access token for commercial iot online services | |
CN108335105B (zh) | 数据处理方法及相关设备 | |
US11356261B2 (en) | Apparatus and methods for secure access to remote content | |
CN113132404B (zh) | 身份认证方法、终端及存储介质 | |
CN112528268B (zh) | 跨渠道的小程序登录管理方法、装置及相关设备 | |
EP4252132A1 (en) | Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith | |
US11336667B2 (en) | Single point secured mechanism to disable and enable the access to all user associated entities | |
CN111355583B (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
JP5078675B2 (ja) | 会員認証システム及び携帯端末装置 | |
CN113014576A (zh) | 一种服务权限控制方法、装置、服务器及存储介质 | |
KR20140023085A (ko) | 사용자 인증 방법, 인증 서버 및 사용자 인증 시스템 | |
US11849041B2 (en) | Secure exchange of session tokens for claims-based tokens in an extensible system | |
US20230247017A1 (en) | Authentication based on chain of strings generated from secret string | |
KR101502800B1 (ko) | 권리자 식별정보가 기록된 디지털 시스템, 응용 시스템, 및 서비스 시스템 | |
CN117455489A (zh) | 交易授权方法、装置、设备及存储介质 | |
CN117676749A (zh) | 一种网络接入方法、终端、网络功能实体及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |