CN111327582A - 一种基于OAuth协议的授权方法、装置及系统 - Google Patents
一种基于OAuth协议的授权方法、装置及系统 Download PDFInfo
- Publication number
- CN111327582A CN111327582A CN201910769892.4A CN201910769892A CN111327582A CN 111327582 A CN111327582 A CN 111327582A CN 201910769892 A CN201910769892 A CN 201910769892A CN 111327582 A CN111327582 A CN 111327582A
- Authority
- CN
- China
- Prior art keywords
- authorization
- user
- party application
- identifier
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 825
- 238000000034 method Methods 0.000 title claims abstract description 168
- 230000008569 process Effects 0.000 claims abstract description 83
- 238000012795 verification Methods 0.000 claims abstract description 44
- 230000004044 response Effects 0.000 claims description 67
- 230000000977 initiatory effect Effects 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 description 93
- 238000010586 diagram Methods 0.000 description 16
- 230000007246 mechanism Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000010295 mobile communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000013478 data encryption standard Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000013523 data management Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于OAuth协议的授权方法、装置及系统。所述方法包括:用户终端基于第一安全参数向授权服务器发起授权请求,所述第一安全参数是用户终端基于用户识别模块SIM与授权服务器在认证与密钥协商过程中生成的;授权服务器根据所述认证与密钥协商过程中建立的关联关系验证所述认证信息;若验证成功,则向用户终端反馈授权码;以及授权服务器若验证所述第三方应用发送的包括所述授权码的访问令牌请求有效时,则向所述第三方应用反馈访问令牌。采用本方法,可以有效地将认证与密钥协商过程中生成的安全参数作为认证信息应用到OAuth协议中,不需要用户提供账号和密码,可有效提高OAuth授权过程的流畅性和增强用户体验。
Description
技术领域
本发明涉及通信技术领域和互联网技术领域,尤其涉及一种基于OAuth协议的授权方法、装置及系统。
背景技术
OAuth协议为用户资源的授权(包括API访问授权)提供了一个安全、开放且简单的标准,允许用户让第三方应用访问该用户在开放平台上受保护的资源(如用户基本信息、照片等),而无需将用户名和密码提供给第三方应用。它是大多数互联网运营商用来解决用户、第三方应用和开放平台之间认证和授权问题的开放协议。
当前OAuth协议的版本为2.0,具体协议内容可以参考RFC6749的文档。在OAuth2.0协议中定义了四种角色:授权服务器(authorization server)、资源所有者(resourceowner,相当于用户)、客户端(client,相当于第三方应用)和资源服务器(resourceserver)。OAuth2.0协议定义了四种授权类型,通过上述角色不同的交互方式以完成资源所有者对客户端访问用户受保护资源的授权,其中,授权码类型得到最为广泛的应用。具体地,授权码类型的流程如下:
1.客户端通过将资源所有者的用户代理(user agent)指示向授权服务器以启动授权过程。客户端的指示信息包括客户端标识(client_id)、重定向URI(redirect_uri)、作用域(scope)和本地状态(state)。
2.授权服务器通过用户代理验证资源所有者,并确定资源所有者是否授予或拒绝客户端的访问请求。
3.假设资源所有者授予访问,那么授权服务器使用之前提供的重定向URI(在请求中或在客户端注册时提供的)将用户代理重定向回客户端。在重定向URI中包括授权码和客户端前面提供的本地状态。
4.客户端使用上一步接收到的授权码从授权服务器请求获取访问令牌。客户端的请求还包括获取授权码时的重定向URI。
5.授权服务器对客户端进行身份认证,验证授权码,并验证这个重定向URI和第3步中的重定向URI是否相匹配。如果验证通过,则向客户端颁发访问令牌,可选的,还向客户端颁发刷新令牌。
在客户端接收到授权服务器颁发的访问令牌之后,客户端可以根据该访问令牌向资源服务器访问用户受保护的资源。
由上述授权过程可以看出,用户在不需要将认证信息提供给客户端的情况下,就可以让客户端在通过用户授权之后访问用户在开放平台上的资源,保证了用户认证信息的安全性和用户受保护资源的获取。但是,由于每一次授权过程,用户都需要向授权服务器提供账号和密码,即用户都需要在授权服务器显示的授权认证页面中输入账号和密码,严重影响授权过程的便捷和影响用户使用体验。
同时,在发明人申请的“客户端注册方法、装置及系统”(申请号:2019107740372、2019107771277和2019107750798)的专利申请文件中,提供了多种基于认证与密钥协商机制协商生成安全参数,再根据该安全参数进行安全认证从而向用户提供注册信息的方法、装置和系统。
有鉴于此,基于OAuth2.0协议的授权码类型和认证与密钥协商机制的实施方式,本发明的目的在于提出一种基于OAuth协议的授权方法、装置及系统,基于OAuth协议将用户识别模块SIM应用于互联网业务的认证和授权过程中。
发明内容
本发明的主要目的在于提供一种基于OAuth协议的授权方法、装置及系统,包括以下技术方案:
第一方面,提供了一种基于OAuth协议的授权方法,应用于用户终端中,所述方法包括:
根据第三方应用的指示信息启动授权请求过程,所述指示信息包括第三方应用标识;
基于第一安全参数生成认证信息,所述第一安全参数是基于用户识别模块SIM与授权服务器基于用户数据系统在认证与密钥协商过程中生成的;
向所述授权服务器发起授权请求,所述授权请求包括所述认证信息和所述第三方应用标识;
接收所述授权服务器反馈的授权码,所述授权码是在所述授权服务器验证所述认证信息成功之后生成的;
将所述授权码传递给所述第三方应用。
优选的,所述根据第三方应用的指示信息启动授权请求过程包括:
获取所述第三方应用显示界面上的指示信息启动授权请求过程;或/和,
根据运行在所述用户终端中的第三方应用客户端向所述用户终端发送的指示信息启动授权请求过程,所述第三方应用客户端为所述第三方应用的客户端;或/和,
检测所述第三方应用的指示信息中的声明以启动授权请求过程。
优选的,所述基于第一安全参数生成认证信息包括:
所述第一安全参数包括安全令牌,则以所述安全令牌作为所述认证信息;或者,
所述第一安全参数包括第一根密钥,则根据所述第一根密钥生成第一加密值,以所述用户识别模块SIM的移动用户标识和所述第一加密值作为所述认证信息;或者,
所述第一安全参数包括第一根密钥,并且获取到所述授权服务器传递的临时用户标识,则根据所述第一根密钥生成第一加密值,以所述临时用户标识和所述第一加密值作为所述认证信息。
优选的,所述将所述授权码传递给所述第三方应用包括:
根据与所述第三方应用保持的连接状态或会话状态,将所述授权码传递给所述第三方应用;或者,
根据所述授权服务器反馈的重定向URI,将所述授权码传递给所述第三方应用。
优选的,在所述向所述授权服务器发起授权请求之后,以及在所述接收所述授权服务器反馈的授权码之前,还包括:
向所述授权服务器提供用户同意授权的授权信息。
优选的,所述向所述授权服务器提供用户同意授权的授权信息包括:
接收所述授权服务器发送的授权确认请求,所述授权确认请求是在所述授权服务器验证所述认证信息成功之后发送的;
显示授权确认界面;
接收用户在授权确认界面中输入的授权信息;
若所述授权信息是表示同意授权的授权信息,则向所述授权服务器反馈表示同意授权的授权确认应答。
第二方面,提供了一种基于OAuth协议的授权方法,应用于授权服务器中,所述方法包括:
接收用户终端发起的授权请求,所述授权请求中包括认证信息和第三方应用标识,所述认证信息是所述用户终端基于第一安全参数生成的,所述第一安全参数是所述用户终端基于用户识别模块SIM与所述授权服务器基于用户数据系统在认证与密钥协商过程中生成的;
根据关联关系验证所述认证信息,并且根据所述认证信息确定用户身份标识,所述关联关系是在所述认证与密钥协商过程中建立的;
若验证所述认证信息成功,则生成授权码,并且将所述授权码与所述第三方应用标识和所述用户身份标识相关联,以使得根据所述授权码能获取到所述第三方应用标识和所述用户身份标识;
向所述用户终端反馈所述授权码。
优选的,所述根据关联关系验证所述认证信息包括:
若所述认证信息为安全令牌,所述关联关系包括安全令牌与用户身份标识的关联关系,则验证所述安全令牌是否有效,若验证所述安全令牌有效并且获取到所述安全令牌关联的用户身份标识,则确定验证所述认证信息成功,并确定所述关联的用户身份标识为所述用户身份标识;或者,
若所述认证信息为所述移动用户标识和第一加密值,所述关联关系包括移动用户标识与第二根密钥的关联关系,则获取所述移动用户标识,根据所述移动用户标识在所述关联关系中获取关联的第二根密钥,并且根据所述第二根密钥验证所述第一加密值,若验证所述第一加密值有效,则确定验证所述认证信息成功,以及根据所述移动用户标识确定所述用户身份标识;或者,
若所述认证信息为临时用户标识和第一加密值,所述关联关系包括临时用户标识与第二根密钥的关联关系,则获取所述临时用户标识,根据所述临时用户标识在所述关联关系中获取关联的第二根密钥,并且根据所述第二根密钥验证所述第一加密值,若验证所述第一加密值有效,则确定验证所述认证信息成功,以及根据所述临时用户标识确定所述用户身份标识。
优选的,在所述若验证所述认证信息成功之后,以及在所述生成授权码之前,还包括:
获取所述用户终端提供的用户同意授权的授权信息,若获取到所述用户终端提供的用户同意授权的授权信息,则执行所述生成授权码及其后续的步骤。
优选的,所述获取所述用户终端提供的用户同意授权的授权信息包括:
向所述用户终端发送授权确认请求;
接收所述用户终端反馈的授权确认应答;
若所述授权确认应答是表示同意授权的授权确认应答,则执行所述生成授权码及其后续的步骤。
优选的,所述授权确认请求包括:
第三方应用名称,所述第三方应用名称是所述第三方应用标识所对应的第三方应用名称;或/和,
第三方应用图标,所述第三方应用图标是所述第三方应用标识所对应的第三方应用图标;或/和,
第三方应用详情,所述第三方应用详情是所述第三方应用标识所对应的第三方应用详情;或/和,
第三方应用作用域,所述第三方应用作用域是所述第三方应用标识所对应的第三方应用作用域;或/和,
移动用户名称,所述移动用户名称是所述用户身份标识所对应的移动用户名称。
优选的,所述授权确认请求还包括:
包括所述第三方应用名称、所述第三方应用图标和所述第三方应用详情中的至少一个。
优选的,所述向所述用户终端反馈所述授权码还包括:
根据所述第三方应用标识获取重定向URI,向所述用户终端反馈所述重定向URI,以使得所述用户终端根据所述重定向URI将所述授权码传递给所述第三方应用。
优选的,在所述向所述用户终端反馈所述授权码之后还包括:
在接收到第三方应用发送的包括所述授权码的访问令牌请求时,验证所述授权码是否有效;
若验证所述授权码有效,则根据所述授权码获取关联的所述用户身份标识,根据所述用户身份标识确定用户资源标识,生成访问令牌,并且将所述访问令牌与所述用户资源标识相关联;
向所述第三方应用反馈表示请求成功的访问令牌应答,所述表示请求成功的访问令牌应答包括所述访问令牌。
优选的,所述验证所述授权码是否有效包括:
检测是否存在与所述授权码相同的授权码;若存在,则确定所述授权码有效;或/和
根据所述授权码获取关联的所述第三方应用标识,根据所述第三方应用的身份信息确定所述第三方应用的第三方应用标识,比较两者是否一致;若一致,则确定所述授权码有效;或/和,
在所述生成授权码时,生成授权码过期时间,并且将所述授权码与所述授权码过期时间相关联,则在验证所述授权码是否有效时,获取当前系统时间,根据所述授权码获取关联的所述授权码过期时间,比较所述当前系统时间是否超出所述授权码过期时间;若未超出所述授权码过期时间,则确定所述授权码有效。
优选的,根据所述第三方应用的身份信息确定所述第三方应用的第三方应用标识包括:
若以第三方应用进行身份认证的应用账号作为第三方应用标识,则获取所述第三方应用的应用账号作为所述第三方应用的第三方应用标识;或/和,
若以第三方应用的域名作为第三方应用标识,则获取所述第三方应用的域名作为所述第三方应用的第三方应用标识;或/和,
预先保存有第三方应用的身份信息与第三方应用标识的对应关系,获取所述第三方应用的身份信息,并根据所述身份信息在所述对应关系中获取所述第三方应用的第三方应用标识。
优选的,所述根据所述用户身份标识确定用户资源标识包括:
将所述用户身份标识作为所述用户资源标识;或/和,
所述资源服务器建立有所述用户身份标识与所述用户资源标识的对应关系,根据所述用户身份标识从所述资源服务器获取所述用户资源标识。
优选的,所述将所述访问令牌与所述用户资源标识相关联包括:
生成的所述访问令牌为随机生成的字符串型访问令牌,则建立所述字符串型访问令牌与所述用户资源标识的关联关系;或/和,
生成的所述访问令牌为加密生成的自编码型访问令牌,则使用密钥对包括所述用户资源标识的信息进行加密以生成所述自编码型访问令牌。
优选的,所述生成访问令牌还包括:
根据所述授权码获取关联的所述第三方应用标识,将所述访问令牌与所述第三方应用标识相关联。
优选的,所述根据所述授权码获取关联的所述用户身份标识之后还包括:
根据所述用户身份标识确定相应的用户标识信息;
将所述用户标识信息传递给所述第三方应用。
优选的,所述根据所述用户身份标识确定相应的用户标识信息包括:
将所述用户身份标识作为所述用户标识信息;或/和,
获取所述用户身份标识和所述第三方应用标识对应的第一OpenID,确定所述第一OpenID为所述用户标识信息;或/和,
基于所述用户身份标识和所述第三方应用标识加密生成第二OpenID,确定所述第二OpenID为所述用户标识信息。
优选的,所述获取所述用户身份标识和所述第三方应用标识对应的第一OpenID包括:
根据所述用户身份标识和所述第三方应用标识获取对应的第一OpenID;
若获取到对应的第一OpenID,则确定所述对应的第一OpenID为所述第一OpenID;
若未获取到对应的第一OpenID,则生成一个唯一的OpenID,确定所述唯一的OpenID为所述第一OpenID,并且建立所用户身份标识和所述第三方应用标识与所述唯一的OpenID的对应关系。
第三方面,提供了一种基于OAuth协议的终端装置,应用于用户终端中,所述装置包括:
参数协商模块:用于基于用户识别模块SIM与授权服务器基于用户数据系统进行认证与密钥协商以生成第一安全参数,所述第一安全参数包括安全令牌或/和第一根密钥;
授权启动模块:用于根据第三方应用的指示信息启动授权请求过程,所述指示信息包括第三方应用标识;
请求生成模块:用于基于所述第一安全参数生成认证信息,以及生成授权请求,所述授权请求包括所述认证信息和所述第三方应用标识;
请求发送模块:用于向所述授权服务器发送所述授权请求;
授权码接收模块:用于接收所述授权服务器反馈的授权码,所述授权码是在所述授权服务器验证所述认证信息成功之后生成的;
授权码转发模块:用于将所述授权码传递给所述第三方应用。
优选的,所述授权启动模块包括:
第一启动单元:用于获取所述第三方应用显示界面上的指示信息启动授权请求过程;或/和,
第二启动单元:用于根据运行在所述用户终端中的第三方应用客户端向所述用户终端发送的指示信息启动授权请求过程,所述第三方应用客户端为所述第三方应用的客户端;或/和,
第三启动单元:用于检测所述第三方应用的指示信息中的声明以启动授权请求过程。
优选的,所述请求生成模块包括:
第一请求生成单元:用于若所述第一安全参数包括安全令牌,则以所述安全令牌作为所述认证信息;或者,
第二请求生成单元:用于若所述第一安全参数包括第一根密钥,则根据所述第一根密钥生成第一加密值,以所述用户识别模块SIM的移动用户标识和所述第一加密值作为所述认证信息;或者,
第三请求生成单元:用于若所述第一安全参数包括第一根密钥,并且获取到所述授权服务器传递的临时用户标识,则根据所述第一根密钥生成第一加密值,以所述临时用户标识和所述第一加密值作为所述认证信息。
优选的,所述装置还包括:
授权确认模块:用于向所述授权服务器提供用户同意授权的授权信息。
优选的,所述授权确认模块包括:
确认接收单元:用于接收所述授权服务器发送的授权确认请求,所述授权确认请求是在所述授权服务器验证所述认证信息成功之后发送的;
界面显示单元:用于显示授权确认界面;
输入接收单元:用于接收用户在授权确认界面中输入的授权信息;
确认反馈单元:用于当所述授权信息是表示同意授权的授权信息时,向所述授权服务器反馈表示同意授权的授权确认应答。
优选的,所述授权码转发模块包括:
第一转发单元:用于根据与所述第三方应用保持的连接状态或会话状态,将所述授权码传递给所述第三方应用;或者,
第二转发单元:用于根据所述授权服务器反馈的重定向URI,将所述授权码传递给所述第三方应用。
第四方面,提供了一种基于OAuth协议的服务装置,应用于授权服务器中,所述装置包括:
参数协商模块:用于基于用户数据系统与用户终端基于用户识别模块SIM进行认证与密钥协商以生成第二安全参数,并且建立与所述第二安全参数相应的关联关系,所述第二安全参数包括安全令牌或/和第二根密钥;
请求接收模块:用于接收用户终端发起的授权请求,所述授权请求中传递有认证信息和第三方应用标识,所述认证信息是所述用户终端基于第一安全参数生成的,所述第一安全参数是所述用户终端在所述认证与密钥协商过程中生成的;
请求验证模块:用于根据所述关联关系验证所述认证信息,并且根据所述认证信息确定用户身份标识,所述关联关系是在所述认证与密钥协商过程中建立的;若验证所述认证信息成功,则执行授权码生成模块;
授权码生成模块:用于生成授权码,并且将所述授权码与所述第三方应用标识和所述用户身份标识相关联,以使得根据所述授权码能获取到所述第三方应用标识和所述用户身份标识;
授权码反馈模块:用于向所述用户终端反馈所述授权码。
优选的,所述请求验证模块包括:
第一请求验证单元:用于若所述认证信息为安全令牌,所述关联关系包括安全令牌与用户身份标识的关联关系,则验证所述安全令牌是否有效,若验证所述安全令牌有效并且获取到所述安全令牌关联的用户身份标识,则确定验证所述认证信息成功,并确定所述关联的用户身份标识为所述用户身份标识;或者,
第二请求验证单元:用于若所述认证信息为所述移动用户标识和第一加密值,所述关联关系包括移动用户标识与第二根密钥的关联关系,则获取所述移动用户标识,根据所述移动用户标识在所述关联关系中获取关联的第二根密钥,并且根据所述第二根密钥验证所述第一加密值,若验证所述第一加密值有效,则确定验证所述认证信息成功,以及根据所述移动用户标识确定所述用户身份标识;或者,
第三请求验证单元:用于若所述认证信息为临时用户标识和第一加密值,所述关联关系包括临时用户标识与第二根密钥的关联关系,则获取所述临时用户标识,根据所述临时用户标识在所述关联关系中获取关联的第二根密钥,并且根据所述第二根密钥验证所述第一加密值,若验证所述第一加密值有效,则确定验证所述认证信息成功,以及根据所述临时用户标识确定所述用户身份标识。
优选的,所述装置还包括:
当所述请求验证模块验证所述认证信息成功时,则执行授权确认模块;
所述授权确认模块:用于获取所述用户终端提供的用户同意授权的授权信息;若获取到所述用户终端提供的用户同意授权的授权信息,则执行所述授权码生成模块。
优选的,所述授权确认模块包括:
确认请求单元:用于向所述用户终端发送授权确认请求;
确认接收单元:用于接收所述用户终端反馈的授权确认应答;
授权执行单元:用于当所述授权确认应答是表示同意授权的授权确认应答时,执行所述授权码生成模块。
优选的,所述装置还包括:
授权码接收模块:用于接收第三方应用发送的包括所述授权码的访问令牌请求;
授权码验证模块:用于验证所述授权码是否有效;若验证所述授权码有效,则执行令牌生成模块;
令牌生成模块:用于根据所述授权码获取关联的所述用户身份标识,根据所述用户身份标识确定用户资源标识,生成访问令牌,并且将所述访问令牌与所述用户资源标识相关联;
令牌应答模块:用于向所述第三方应用反馈表示请求成功的访问令牌应答,所述表示请求成功的访问令牌应答包括所述访问令牌。
优选的,所述授权码验证模块包括:
第一验证单元:用于检测是否存在与所述授权码相同的授权码;若存在,则确定所述授权码有效;或/和,
第二验证单元:用于根据所述授权码获取关联的所述第三方应用标识,根据所述第三方应用的身份信息确定所述第三方应用的第三方应用标识,比较两者是否一致;若一致,则确定所述授权码有效;或/和,
第三验证单元:若所述授权码生成模块在所述生成授权码时,生成授权码过期时间,并且将所述授权码与所述授权码过期时间相关联,则所述第三验证单元用于获取当前系统时间,根据所述授权码获取所述授权码过期时间,比较所述当前系统时间是否超出所述授权码过期时间;若未超出所述授权码过期时间,则确定所述授权码有效。
优选的,所述令牌生成模块包括:
用户标识获取单元:用于根据所述授权码获取关联的所述用户身份标识;
资源标识确定单元:用于根据所述用户身份标识确定用户资源标识;
访问令牌生成单元:用于生成访问令牌,并且将所述访问令牌与所述用户资源标识相关联。
优选的,所述资源标识确定单元包括:
第一资源标识确定子单元:用于将所述用户身份标识作为所述用户资源标识;或/和,
第二资源标识确定子单元:用于根据所述用户身份标识从所述资源服务器获取所述用户资源标识,所述资源服务器建立有所述用户身份标识与所述用户资源标识的对应关系。
优选的,所述装置还包括:
用户标识确定模块:用于根据所述用户身份标识确定相应的用户标识信息,将所述用户标识信息传递给所述令牌应答模块,以使得所述令牌应答模块在所述表示请求成功的访问令牌应答中还包括所述用户标识信息,从而传递给所述用户终端。
优选的,所述用户标识确定模块包括:
第一用户标识确定单元:用于将所述用户身份标识作为所述用户标识信息;或/和,
第二用户标识确定单元:用于获取所述用户身份标识和所述第三方应用标识对应的第一OpenID,将所述第一OpenID作为所述用户标识信息;或/和,
第三用户标识确定单元:用于将所述用户身份标识和所述第三方应用标识加密生成第二OpenID,将所述第二OpenID作为所述用户标识信息。
第五方面,提供一种基于OAuth协议的授权系统,所述授权系统包括:用户终端以及授权服务器;所述用户终端包括上述第三方面任一项所述的终端装置;所述授权服务器包括上述第四方面任一项所述的服务装置。
提供一种用户终端,所述用户终端包括:存储器、处理器,所述处理器用于运行所述存储器所存储的程序,所述程序运行时实现上述第一方面应用于用户终端中的一种基于OAuth协议的授权方法的步骤。
提供一种授权服务器,所述授权服务器包括:存储器、处理器,所述处理器用于运行所述存储器所存储的程序,所述程序运行时实现上述第二方面应用于授权服务器中的一种基于OAuth协议的授权方法的步骤。
提供一种存储介质,其特征在于,所述存储介质中存储有程序,所述程序用于实现包括上述第一方面应用于用户终端中的一种基于OAuth协议的授权方法。
提供一种存储介质,其特征在于,所述存储介质中存储有程序,所述程序用于实现包括上述第二方面应用于授权服务器中的一种基于OAuth协议的授权方法。
综上所述,本发明实现了基于认证与密钥协商过程中生成的安全参数作为认证信息应用于OAuth协议中,并且还可以基于移动用户标识确定用户资源标识和用户标识信息,不仅解决了现有OAuth协议中授权过程对用户的身份认证需要提供账号和密码而影响授权过程的流畅性和用户使用体验的技术问题,而且为通信运营商基于OAuth协议在互联网上安全地开放用户资源和开放服务能力提供了一种实现可能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明各实施例所涉及的一种实施环境结构示意图;
图2是一种基于OAuth协议的授权方法实施例一的流程示意图;
图3是一种基于OAuth协议的授权方法实施例二的流程示意图;
图4是一种基于OAuth协议的授权方法实施例三的流程示意图;
图5是一种基于OAuth协议的授权方法实施例四的流程示意图;
图6是一种基于OAuth协议的终端装置实施例一的结构示意图;
图7是一种基于OAuth协议的终端装置实施例二的结构示意图;
图8是一种基于OAuth协议的服务装置实施例一的结构示意图;
图9是一种基于OAuth协议的服务装置实施例二的结构示意图;
图10是一种基于OAuth协议的服务装置实施例三的结构示意图;
图11是一种基于OAuth协议的服务装置实施例四的结构示意图;
图12是一种基于OAuth协议的授权系统实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
一、相关名词术语
为了便于理解,对本文中涉及的一些名词作介绍和说明。
移动用户标识:用于唯一地识别用户识别模块SIM的标识,移动用户标识包括国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI),或者IP多媒体私有标识(IP Multimedia Private Identity,IMPI),或者用户永久标识(5GSubscription Permanent Identifier,SUPI),或者对用户永久标识SUPI加密后的结果即用户隐藏标识(Subscription Concealed Identifier,SUCI)。
MSISDN:移动用户ISDN号码(Mobile Subscriber ISDN Number),为呼叫一个移动用户所需拨打的号码,以及为向一个移动用户发送短信消息的接收号码,也就是通常所说的移动电话号码。
临时用户标识:用于临时标识用户身份的标识。
用户身份标识:用于长期标识用户身份的标识,包括移动用户标识、MSISDN或其他可以用于长期标识用户身份的标识。
第三方应用标识:用于唯一地识别第三方应用的标识。在本发明各实施例中,第三方应用标识相当于OAuth协议中的客户端标识(client_id)。
OpenID:在第三方应用中用于识别用户身份的唯一标识,是授权服务器为了不把用户身份标识(如移动用户标识、MSISDN等)直接提供给第三方应用,而根据第三方应用标识和用户标识生成的、用于在第三方应用中代替用户身份标识的标识。换言之,用户的身份在第三方应用中使用OpenID来标识。
认证与密钥协商机制:英文简称为AKA(Authentication and Key Agreement,AKA),基于挑战应答机制,完成用户与移动通信网络之间的身份认证,同时基于身份认证对通信加密密钥进行协商。
用户识别模块SIM:用于为用户存储包括移动用户标识、移动用户密钥(K)、归属网络、AKA相关算法等的应用,用户基于用户识别模块SIM实现向移动通信网络的身份认证,具体包括全球用户识别模块(Universal Subscriber Identity Module,USIM)和IP多媒体服务识别模块(IP Multimedia Services Identity Module,ISIM)。
访问令牌:用于访问受保护资源的凭据。一个访问令牌是一个字符串,代表颁发给第三方应用的授权。
刷新令牌:用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给第三方应用,用于在当前访问令牌已经失效或者过期的时候获取新的访问令牌。
安全令牌:在认证与密钥协商过程中生成的用于安全认证的凭据。
签名加密算法:指用于加密地核实信息真实性的加密算法,只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明,例如消息认证码(诸如基于哈希的消息认证码HMAC、密码分组链接消息认证码CBC-MAC、伽罗瓦消息认证码GMAC等)、含密钥加密的哈希函数、基于RSA的数字方案(诸如RSA-PSS)、数字签名算法(DSA)和椭圆曲线数字签名算法等。
对称加密算法:指加密和解密使用相同密钥的加密算法,例如三重数据加密标准(Triple Data Encryption Standard,DES)、高级加密标准(Advanced EncryptionStandard,AES)等。
二、实施环境结构示意图
请参考图1,其示出了本发明各个实施例所涉及的一种实施环境的结构示意图。该实施环境包括用户、用户终端、第三方应用、授权服务器和用户数据系统。
用户:用于授权第三方应用访问受保护资源的用户。在本发明各实施例中,用户相当于OAuth协议中资源所有者(resource owner)的角色。
用户终端:用户终端通过WLAN、WiFi、移动数据(包括3G/4G/5G/6G移动数据)、LAN、固定宽带等有线或无线方式接入网络,该网络包括因特网、移动互联网等;与授权服务器通过网络相连接,与第三方应用相连接。用户终端是可插入、内嵌或者外部连接有用户识别模块SIM并且支持对用户识别模块SIM读取的智能终端设备,通常是智能手机,也可以是智能电视、机顶盒、平板电脑、便携计算机、台式计算机、智能手表等。在本发明各实施例中,用户终端相当于OAuth协议中用户代理(user agent)的角色。
第三方应用:由第三方应用服务商提供,与用户终端相连接,以获得用户的授权;与授权服务器通过网络相连接,以用于向授权服务器请求获取访问令牌。第三方应用与用户终端的连接方式可以包括多种方式,例如第三方应用与用户终端通过网络相连接;又例如,第三方应用包括第三方应用服务器和第三方应用客户端,第三方应用客户端运行在用户终端的操作系统中,第三方应用客户端与第三方应用服务器通过网络相连接,第三方应用服务器与授权服务器通过网络相连接。在本发明各实施例中,第三方应用相当于OAuth协议中客户端(client)的角色。
授权服务器:与用户终端通过网络相连接,用于接收并执行用户终端的认证与密钥协商请求,以及用于接收并执行用户终端的授权请求;与用户数据系统通过网络相连接,以用于基于用户数据系统与用户终端进行认证与密钥协商;与第三方应用通过网络相连接,用于接收第三方应用的访问令牌请求,并向第三方应用颁发访问令牌。授权服务器通常由通信运营服务商提供。
用户数据系统:在移动通信网络中用于存储移动用户标识、移动用户密钥(K)、AKA相关算法并对用户进行身份认证等的系统,也被称为用户签约服务器,具体包括归属用户服务器(home subscriber server,HSS)或/和统一数据管理(unified data management,UDM)。
在实际应用环境中,还应当部署有资源服务器,在资源服务器中存储有用户受保护的资源,与第三方应用通过网络相连接,并向第三方应用提供用户受保护的资源。
本领域技术人员可以理解,图1中示出的实施环境结构并不构成对实施环境的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
三、实施前提
在执行本发明所涉及的授权方法实施例各步骤之前,用户终端基于用户识别模块SIM与授权服务器基于用户数据系统通过认证与密钥协商机制进行认证与密钥协商,其中,若认证与密钥协商成功,则分别协商出相应的安全参数,用户终端和授权服务器可以基于该协商出的安全参数进行安全认证。在用户终端上协商出第一安全参数,该第一安全参数包括安全令牌或第一根密钥;在授权服务器上协商出第二安全参数,该第二安全参数包括该安全令牌或第二根密钥。
用户终端与授权服务器基于认证与密钥协商机制协商出相应的安全参数可以包括多种实施方式,具体可以包括:
授权服务器根据移动用户标识确定用户身份标识,生成与该用户身份标识相关联的安全令牌,并且将该安全令牌传递给用户终端;用户终端获取授权服务器传递的该安全令牌;或者,
授权服务器生成第二根密钥,建立移动用户标识与该第二根密钥的关联关系,该移动用户标识为用户终端上用户识别模块SIM的移动用户标识;用户终端生成第一根密钥,该第一根密钥的生成方式与授权服务器生成第二根密钥的生成方式一致,以使得第一根密钥与第二根密钥的值相同;或者,
授权服务器生成临时用户标识和生成第二根密钥,以及将该临时用户标识传递给用户终端,并且建立该临时用户标识与该第二根密钥的关联关系;用户终端获得该临时用户标识和生成第一根密钥,并且该第一根密钥的生成方式与授权服务器生成第二根密钥的生成方式一致,以使得第一根密钥与第二根密钥的值相同。
具体的实施过程,可以分别参考“客户端注册方法、装置及系统”(申请号:2019107740372、2019107771277和2019107750798)的专利申请文件中“认证与密钥协商过程实施例”的实施方式,并且将授权服务器作为该实施例中的注册服务器来实施。
四、一种基于OAuth协议的授权方法实施例一
请参考图2,其示出了本发明提供的一种基于OAuth协议的授权方法实施例一的流程图。本实施例以该方法应用于图1所示实施环境中的用户终端来举例说明,该方法可以包括:
步骤201.根据第三方应用的指示信息启动授权请求过程,所述指示信息包括第三方应用标识。
步骤202.基于第一安全参数生成认证信息,所述第一安全参数是基于用户识别模块SIM与授权服务器基于用户数据系统在认证与密钥协商过程中生成的。
步骤203.向所述授权服务器发起授权请求,所述授权请求包括所述认证信息和所述第三方应用标识。
基于协商出的第一安全参数生成认证信息,并且根据该认证信息和指示信息生成相应的授权请求,具体实施方式包括:
第一种实施方式,若第一安全参数包括安全令牌,则以该安全令牌作为认证信息,在授权请求中包括该安全令牌和第三方应用标识。
第二种实施方式,若第一安全参数包括第一根密钥,则根据该第一根密钥生成第一加密值,以用户识别模块SIM的移动用户标识和该第一加密值作为认证信息,在授权请求中包括该移动用户标识、该第一加密值和第三方应用标识。
第三种实施方式,若第一安全参数包括第一根密钥,并且获取到授权服务器传递的临时用户标识,则根据该第一根密钥生成第一加密值,以该临时用户标识和该第一加密值作为认证信息,在授权请求中包括该临时用户标识、该第一加密值和第三方应用标识。
步骤204.可选的,在授权服务器验证所述认证信息成功之后,向所述授权服务器提供用户同意授权的授权信息。
在将授权请求发送给授权服务器之后,授权服务器进行验证,若授权服务器验证所述认证信息成功,则接收到授权服务器发送的授权确认请求,向授权服务器提供经用户反馈表示同意授权的授权信息,具体包括如下过程:
接收授权服务器发送的授权确认请求,所述授权确认请求是在所述授权服务器验证所述认证信息成功之后发送的;显示授权确认界面;接收用户在授权确认界面中输入的授权信息;若该授权信息是表示同意授权的授权信息,则向授权服务器反馈表示同意授权的授权确认应答。
步骤205.接收授权服务器反馈的授权码。
如果实施了步骤204,则在向授权服务器反馈表示同意授权的授权确认应答之后,接收授权服务器反馈的授权码。
如果没有实施步骤204,则在授权服务器验证认证信息成功之后,接收授权服务器反馈的授权码。
此外,若授权服务器验证认证信息失败,则接收的是授权服务器反馈的表示授权失败的授权应答,不执行步骤206。
步骤206.将授权码传递给第三方应用。
本实施例提供的方法,基于OAuth协议,用户终端根据与授权服务器之间在认证与密钥协商过程中生成的第一安全参数,向授权服务器进行认证和实现对第三方应用的授权,并且将从授权服务器获取的授权码传递给第三方应用,以使得第三方应用能根据该授权码获取访问令牌。由此,本实施例不需要用户提供账号和密码,提高了整个授权过程的安全性,提高了授权过程的流畅性和便捷度,增强了用户使用体验。
五、一种基于OAuth协议的授权方法实施例二
请参考图3,其示出了本发明提供的一种基于OAuth协议的授权方法实施例二的流程图。本实施例以该方法应用于图1所示实施环境中的授权服务器来举例说明,该方法可以包括:
步骤301.接收用户终端发起的授权请求,所述授权请求中包括有认证信息和第三方应用标识,所述认证信息是用户终端基于第一安全参数生成的,所述第一安全参数是用户终端基于用户识别模块SIM与授权服务器基于用户数据系统在认证与密钥协商过程中生成的。
步骤302.根据关联关系验证所述认证信息,并且根据所述认证信息确定用户身份标识,所述关联关系是在所述认证与密钥协商过程中建立的;若验证所述认证信息成功,则执行下述步骤303或304及其后继步骤。
授权服务器基于用户数据系统与用户终端基于用户识别模块SIM进行认证与密钥协商,并且建立了相应的关联关系,该第二安全参数包括安全令牌或第二根密钥。
与用户终端根据第一安全参数生成认证信息相对应的,授权服务器根据关联关系验证认证信息,具体实施方式包括:
第一种实施方式,若认证信息为安全令牌,关联关系包括安全令牌与用户身份标识的关联关系,则验证该安全令牌是否有效,若验证该安全令牌有效并且获取到该安全令牌关联的用户身份标识,则确定验证认证信息成功,并获取该关联的用户身份标识;或者,
第二种实施方式,若认证信息为移动用户标识和第一加密值,关联关系包括移动用户标识与第二根密钥的关联关系,则获取该移动用户标识,根据该移动用户标识在该关联关系中获取关联的第二根密钥,并且根据该第二根密钥验证该第一加密值,若验证该第一加密值有效,则确定验证认证信息成功,以及根据该移动用户标识确定用户身份标识;或者,
第三种实施方式,若认证信息为临时用户标识和第一加密值,关联关系包括临时用户标识与第二根密钥的关联关系,则获取该临时用户标识,根据该临时用户标识在该关联关系中获取关联的第二根密钥,并且根据该第二根密钥验证该第一加密值,若验证该第一加密值有效,则确定验证认证信息成功,以及根据该临时用户标识确定用户身份标识。
若验证认证信息成功,则执行下述步骤303或304及其后继步骤;若验证失败,则向用户终端反馈表示授权失败的授权应答,不执行下述步骤。
步骤303.可选的,获取用户终端提供的用户同意授权的授权信息。
获取用户终端提供的经用户反馈表示同意授权的授权信息。具体地,获取用户终端的用户授权确认包括如下过程:
向用户终端发送授权确认请求;接收用户终端反馈的授权确认应答;若授权确认应答是表示同意授权的授权确认应答,则执行步骤304及其后续的步骤;若授权确认应答是表示拒绝授权的授权确认应答,则不执行后续步骤。
步骤304.生成授权码,并且将所述授权码与所述第三方应用标识和所述用户身份标识相关联。
生成授权码,并且将所述授权码与所述第三方应用标识和所述用户身份标识相关联,以使得根据所述授权码能获取到所述第三方应用标识和所述用户身份标识。
步骤305.向用户终端反馈授权码。
向用户终端反馈授权码,以使得用户终端将授权码传递给第三方应用,该第三方应用为第三方应用标识所对应的第三方应用。
综上所述,本实施例提供的方法,基于OAuth协议,授权服务器根据与用户终端在认证与密钥协商过程中生成的第二安全参数和建立的相应的关联关系,完成对用户终端的认证和对第三方应用的授权。由此,本实施例验证用户的认证信息时,不需要用户提供账号和密码,提高了整个授权过程的安全性,提高了授权过程的流畅性和便捷度,增强了用户使用体验。
六、一种基于OAuth协议的授权方法实施例三
请参考图4,其示出了本发明提供的一种基于OAuth协议的授权方法实施例三的流程示意图。本实施例是结合了上述一种基于OAuth协议的授权方法实施例一和实施例二所形成的实施例。本实施例以该方法应用于图1所示的实施环境来举例说明,该方法可以包括:
步骤401.用户终端根据第三方应用的指示信息启动授权请求过程,该第三方应用的指示信息包括第三方应用标识。
用户通过用户终端访问第三方应用,第三方应用为了得到用户的授权,指示用户终端启动授权请求过程,在第三方应用向用户终端提供的指示信息中包括该第三方应用的第三方应用标识,相应地,用户终端获取该第三方应用的指示信息。
例如,用户访问第三方应用,在第三方应用的显示界面上指示用户选择授权方式,当用户选择本发明实施例的OAuth授权方式之后,用户终端获取该显示界面上提供的与该OAuth授权方式相应的指示信息(如该OAuth授权方式的链接),并且启动授权请求过程。
又例如,用户运行安装在用户终端中第三方应用的第三方应用客户端,第三方应用客户端检测该用户终端是否支持OAuth授权方式,若检测结果为支持,则第三方应用客户端向用户终端内的操作系统发送启动授权的指示信息。相应地,用户终端内的操作系统接收该启动授权的指示信息,并且启动授权请求过程。
还例如,第三方应用的指示信息中声明对OAuth授权方式的支持(例如在第三方应用客户端的代码或配置文件中提供相应的指示信息),用户终端访问第三方应用时,用户终端检测该第三方应用的指示信息是否声明了对OAuth授权方式的支持,若检测结果为声明支持,则用户终端获取相应的指示信息,并且启动授权请求过程。
根据OAuth协议,在第三方应用的指示信息中还可以包括重定向URI(redirect_uri)、作用域(scope)或状态(state)等参数信息。
步骤402.用户终端基于第一安全参数和第三方应用的指示信息向授权服务器发起授权请求;其中,基于第一安全参数生成认证信息,并且向授权服务器传递认证信息和第三方应用标识。
用户终端基于与授权服务器在认证与密钥协商过程中协商出的第一安全参数以及基于获取的第三方应用的指示信息,向授权服务器发起授权请求。其中,基于第一安全参数生成用于向授权服务器认证的认证信息,并且在向授权服务器发起的授权请求中传递认证信息和第三方应用标识。
具体地,根据认证与密钥协商过程中协商出的第一安全参数的不同,用户终端向授权服务器发起授权请求可以包括多种实施方式:
第一种实施方式,若第一安全参数包括安全令牌,则以该安全令牌作为认证信息,在授权请求中包括该安全令牌和第三方应用标识。
具体的,若在认证与密钥协商过程中协商出的第一安全参数包括安全令牌,则以该安全令牌作为认证信息,用户终端在生成的授权请求中包括该安全令牌和第三方应用标识,第三方应用标识是第三方应用的指示信息中所包括的第三方应用标识。
第二种实施方式,若第一安全参数包括第一根密钥,则根据该第一根密钥生成第一加密值,以用户识别模块SIM的移动用户标识和该第一加密值作为认证信息,在授权请求中包括该移动用户标识、该第一加密值和第三方应用标识。
具体地,实施过程可以包括:用户终端基于第一根密钥生成第一认证密钥;用户终端生成第一验证信息;用户终端基于第一认证密钥对第一验证信息加密生成第一加密值,以用户识别模块SIM的移动用户标识和该第一加密值作为认证信息;用户终端生成授权请求,该授权请求包括该移动用户标识、该第一加密值和第三方应用标识。该移动用户标识是用户终端连接的用户识别模块SIM的标识,也是用户终端在与授权服务器进行认证与密钥协商过程中所使用的移动用户标识。
第三种实施方式,若第一安全参数包括第一根密钥,并且获取到授权服务器传递的临时用户标识,则根据该第一根密钥生成第一加密值,以该临时用户标识和该第一加密值作为认证信息,在授权请求中包括该临时用户标识、该第一加密值和第三方应用标识。
具体地,实施过程可以包括:用户终端基于第一根密钥生成第一认证密钥;用户终端生成第一验证信息;用户终端基于第一认证密钥对第一验证信息加密生成第一加密值,以临时用户标识和该第一加密值作为认证信息,该临时用户标识是在认证与密钥协商过程中授权服务器传递的;用户终端生成授权请求,该授权请求包括该临时用户标识、该第一加密值和第三方应用标识。
由上述步骤401可知,第三方应用的指示信息还可以包括重定向URI、作用域或状态等参数信息。因此,在用户终端生成的授权请求中还可以包括该重定向URI(redirect_uri)、该作用域(scope)或该状态(state)等参数信息。
在用户终端生成授权请求之后,用户终端向授权服务器发起该授权请求。
相应地,授权服务器接收用户终端发起的授权请求,并且获取其中传递的认证信息和第三方应用标识。
步骤403.授权服务器根据认证与密钥协商过程中建立的关联关系对认证信息进行验证;若验证认证信息成功,则执行下述步骤404或步骤405及其后续步骤;若验证失败,则不执行下述步骤。
授权服务器在接收到用户终端发起的授权请求之后,根据认证与密钥协商过程中协商出的第二安全参数的不同,以及根据建立的关联关系,与用户终端生成授权请求的实施方式相对应的,授权服务器对认证信息的验证可以包括多种实施方式:
第一种实施方式,若认证信息为安全令牌,关联关系包括安全令牌与用户身份标识的关联关系,则若验证该安全令牌有效,并且若获取到该安全令牌关联的用户身份标识,则确定验证认证信息成功,并确定该关联的用户身份标识为后续步骤中所使用的用户身份标识。
具体过程可以包括:授权服务器获取授权请求中作为认证信息的安全令牌;授权服务器验证该安全令牌是否有效,并且在安全令牌与用户身份标识的关联关系中,根据该安全令牌获取关联的用户身份标识,若获取到关联的用户身份标识,则确定验证认证信息成功,并确定该获取的用户身份标识为后续步骤中所使用的用户身份标识;否则,则确定验证认证信息失败。
该实施方式,还可以参考“客户端注册方法、装置及系统”(申请号:2019107740372)的专利申请文件中“客户端安全认证过程实施例”的实施方式,并且将授权服务器作为该实施例中的注册服务器来实施。
第二种实施方式,若认证信息为移动用户标识和第一加密值,关联关系包括移动用户标识与第二根密钥的关联关系,则获取认证信息中的该移动用户标识,根据移动用户标识在该关联关系中获取关联的第二根密钥,并且根据该第二根密钥验证该第一加密值,若验证第一加密值有效,则确定验证认证信息成功,并确定该获取的用户身份标识为后续步骤中所使用的用户身份标识。
具体过程可以包括:授权服务器获取授权请求中作为认证信息的移动用户标识和第一加密值;在移动用户标识与第二根密钥的关联关系中,根据认证信息中的移动用户标识获取关联的第二根密钥;基于该关联的第二根密钥生成第二认证密钥;生成第二验证信息,并且使得该第二验证信息与用户终端生成的第一验证信息的值相同;基于第二认证密钥和第二验证信息验证第一加密值;若第一加密值验证成功,则确定验证认证信息成功,并且根据认证信息中的移动用户标识确定用户身份标识;若第一加密值验证失败,则确定验证认证信息失败。
根据认证信息中的移动用户标识确定用户身份标识包括:将该移动用户标识确定为用户身份标识;或者,根据该移动用户标识获取对应的MSISDN,将该对应的MSISDN确定为用户身份标识;或者,预先建立有移动用户标识与用户身份标识的关联关系,根据该移动用户标识在该移动用户标识与用户身份标识的关联关系中获取用户身份标识。
该实施方式,还可以参考“客户端注册方法、装置及系统”(申请号:2019107771277)的专利申请文件中“客户端安全认证过程实施例”的实施方式,并且将授权服务器作为该实施例中的注册服务器来实施。
第三种实施方式,若认证信息为临时用户标识和第一加密值,关联关系包括临时用户标识与第二根密钥的关联关系,则获取认证信息中的该临时用户标识,根据该临时用户标识在该关联关系中获取关联的第二根密钥,并且根据该第二根密钥验证该第一加密值,若验证该第一加密值有效,则确定验证认证信息成功,以及根据该临时用户标识确定用户身份标识。
具体过程可以包括:授权服务器获取授权请求中作为认证信息的临时用户标识和第一加密值;在临时用户标识与第二根密钥的关联关系中,根据该临时用户标识获取关联的第二根密钥;基于该关联的第二根密钥生成第二认证密钥;生成第二验证信息,并且使得该第二验证信息与用户终端生成的第一验证信息的值相同;基于第二认证密钥和第二验证信息验证第一加密值;若第一加密值验证成功,则确定验证认证信息成功,并且根据该临时用户标识确定用户身份标识;若第一加密值验证失败,则确定验证认证信息失败。
根据该临时用户标识确定用户身份标识包括:根据该临时用户标识在临时用户标识与移动用户标识的关联关系中获取移动用户标识,将该移动用户标识确定为用户身份标识,临时用户标识与移动用户标识的关联关系是在认证与密钥协商过程中生成该临时用户标识时建立的;或者,根据该临时用户标识在临时用户标识与移动用户标识的关联关系中获取移动用户标识,根据该移动用户标识获取对应的MSISDN,将该对应的MSISDN确定为用户身份标识;或者,预先建立有临时用户标识与用户身份标识的关联关系,根据该临时用户标识在该临时用户标识与用户身份标识的关联关系中获取用户身份标识,该临时用户标识与用户身份标识的关联关系是在认证与密钥协商过程中生成临时用户标识时建立的。
该实施方式,还可以参考“客户端注册方法、装置及系统”(申请号:2019107750798)的专利申请文件中“客户端安全认证过程实施例”的实施方式,并且将授权服务器作为该实施例中的注册服务器来实施。
在确定验证认证信息成功之后,则执行下述步骤404或步骤405及其后续步骤;否则,若确定验证认证信息失败,则向用户终端反馈表示授权失败的授权应答,相应地,用户终端接收授权服务器反馈的表示授权失败的授权应答,然后不执行下述步骤。
此外,授权服务器还可以验证该授权请求中相应参数的合法性,例如,检验第三方应用标识是否是已注册的合法应用,验证重定向URI是否是该第三方应用已注册的重定向URI等。
步骤404.可选的,授权服务器向用户终端获取用户同意授权的授权信息,若获取到用户同意授权的授权信息,则执行下述步骤405及其后续步骤;若未获取到用户同意授权的授权信息,则不执行下述步骤。
可选的,授权服务器可以进一步获取用户同意授权的授权信息,即只有获得用户反馈表示同意授权的授权信息之后,才继续执行下述步骤405及其后续步骤,否则,则不执行下述步骤405及其后续步骤。具体地,可以包括如下子步骤:
子步骤404a.授权服务器向用户终端发送授权确认请求。
授权服务器向用户终端发送授权确认请求,该授权确认请求可以包括:
或/和第三方应用名称:第三方应用名称是第三方应用在授权服务器上注册的名称,在授权服务器上存储有第三方应用标识与第三方应用名称的对应关系,授权服务器根据第三方应用标识在该对应关系中查找和获取对应的第三方应用名称。
或/和第三方应用图标:第三方应用图标是第三方应用在授权服务器上注册的图标,在授权服务器上存储有第三方应用标识与第三方应用图标的对应关系,授权服务器根据第三方应用标识在该对应关系中查找和获取对应的第三方应用图标。
或/和第三方应用详情:第三方应用详情是第三方应用在授权服务器上注册的对该第三方应用的详细描述,在授权服务器上存储有第三方应用标识与第三方应用详情的对应关系,授权服务器根据第三方应用标识在该对应关系中查找和获取对应的第三方应用详情。
或/和第三方应用作用域:第三方应用作用域是第三方应用在授权服务器上注册的作用域(scope),在授权服务器上存储有第三方应用标识与第三方应用作用域的对应关系,授权服务器根据第三方应用标识在该对应关系中查找和获取对应的第三方应用作用域。
或/和移动用户名称:移动用户名称是用于识别移动用户的名称,在授权服务器上预先存储有用户身份标识与移动用户名称的对应关系,授权服务器根据用户身份标识在该对应关系中查找和获取对应的移动用户名称。
优选的,在授权确认请求中至少包括第三方应用名称、第三方应用图标和第三方应用详情中的一个。
相应地,用户终端接收授权服务器发送的授权确认请求。
子步骤404b.用户终端显示授权确认界面。
用户终端根据接收到的授权确认请求,调用并显示授权确认界面,在显示的授权确认界面上,可以显示授权确认请求中所包括的第三方应用名称或/和第三方应用图标或/和第三方应用详情或/和第三方应用作用域范围或/和移动用户名称,以及还可以显示包括同意授权和拒绝授权的按钮,以询问用户是否同意向该第三方应用授权。
子步骤404c.用户终端接收用户在授权确认界面中输入的授权信息。
用户根据显示的授权确认界面,在该界面中输入(包括触发)表示同意授权或拒绝授权的授权信息。例如,如果用户同意授权,则点击同意授权的按钮;如果用户拒绝授权,则点击拒绝授权的按纽。
当用户在授权确认界面中输入了表示同意授权或拒绝授权的授权信息之后,相应地,则用户终端接收用户在授权确认界面中输入的授权信息。
子步骤404d.用户终端根据接收的授权信息,向授权服务器反馈相应的授权确认应答。
用户终端根据接收到的用户在授权确认界面中输入的授权信息,向授权服务器反馈相应的授权确认应答。例如,如果接收的是表示同意授权的授权信息,则向授权服务器反馈表示同意授权的授权确认应答;如果接收的是表示拒绝授权的授权信息,则向授权服务器反馈表示拒绝授权的授权确认应答。
相应地,授权服务器接收用户终端反馈的授权确认应答。
子步骤404e.授权服务器根据接收的授权确认应答执行相应的操作。
授权服务器根据接收到的用户终端反馈的授权确认应答,执行相应的操作步骤,包括:
如果该授权确认应答是表示同意授权的授权确认应答,则执行下述步骤405及其后续步骤。
如果该授权确认应答是表示拒绝授权的授权确认应答,则结束流程,不执行下述步骤。
进一步地,授权服务器还可以设定一个预设时间(例如120秒),如果自子步骤404a发送授权确认请求之后,在该预设时间内没有接收到用户终端反馈的授权确认应答,则确定为用户拒绝授权,从而结束流程,不执行下述步骤。
步骤405.授权服务器生成授权码,以及将该授权码与第三方应用标识和用户身份标识相关联。
授权服务器生成授权码,以使得第三方应用可以根据该授权码换取访问令牌。
授权服务器将该授权码与第三方应用标识相关联,即建立授权码与第三方应用标识的关联关系,以使得授权服务器在接收到该授权码时,能根据该授权码在该关联关系中获取第三方应用标识。
授权服务器将该授权码与用户身份标识相关联,即建立授权码与用户身份标识的关联关系,以使得授权服务器在接收到该授权码时,能根据该授权码在该关联关系中获取用户身份标识。
进一步的,授权服务器还可以将授权码与授权码过期时间相关联,例如,授权服务器获取当前系统时间作为授权码生成时间,根据授权码生成时间生成授权码过期时间,建立该授权码与该授权码过期时间的关联关系。
步骤406.授权服务器向用户终端反馈授权码。
授权服务器对用户终端的授权请求进行反馈,反馈表示授权成功的授权应答,在该表示授权成功的授权应答中包括授权码。
相应地,用户终端接收授权服务器反馈的授权码。
步骤407.用户终端将授权码传递给第三方应用。
用户终端在接收到授权码之后,向第三方应用传递该授权码。
例如,用户终端在步骤401接收第三方应用的指示信息时,已经保持了与该第三方应用的连接状态或会话状态,在接收到授权码之后,用户终端根据该连接状态或会话状态向第三方应用传递授权码。
又例如,在授权服务器对用户终端授权请求的反馈中,还包括重定向URI,用户终端根据该重定向URI向第三方应用传递授权码。该重定向URI是在步骤402用户终端发送的授权请求中所包括的;或者是第三方应用在授权服务器上注册时提供的,在授权服务器上建立有第三方应用标识与重定向URI的对应关系,授权服务器根据第三方应用标识在该对应关系中获取重定向URI。
相应地,第三方应用接收用户终端传递的授权码。至此,第三方应用在接收到授权码之后,可以根据该授权码从授权服务器换取访问令牌,再根据该访问令牌向资源服务器请求访问用户受保护的资源。
综上所述,本实施例提供的方法,基于OAuth协议,在用户终端与授权服务器之间,根据认证与密钥协商过程中生成的安全参数,完成了对用户的认证和对第三方应用的授权。本实施例有效地将用户终端与授权服务器之间在认证与密钥协商过程中生成的安全参数作为认证信息应用到了OAuth协议中,不需要用户提供账号和密码,提高了整个授权过程的安全性,提高了授权过程的流畅性和便捷度,增强了用户使用体验。
七、一种基于OAuth协议的授权方法实施例四
请参考图5,其示出了本发明提供的一种基于OAuth协议的授权方法实施例四的流程示意图。本实施例应用在上述一种基于OAuth协议的授权方法实施例三之后。本实施例以该方法应用于图1所示的实施环境来举例说明,该方法可以包括:
步骤501.授权服务器在接收到第三方应用发送的包括授权码的访问令牌请求时,根据授权码获取关联的第三方应用标识和用户身份标识。
在第三方应用接收到用户终端传递的授权码之后,第三方应用向授权服务器发送访问令牌请求,该访问令牌请求包括该授权码。相应地,授权服务器接收第三方应用发送的访问令牌请求,并且获取其中的授权码。
由于授权服务器在生成授权码时,将授权码与第三方应用标识和用户身份标识相关联,则授权服务器可以根据授权码获取关联的第三方应用标识和用户身份标识。
步骤502.授权服务器验证授权码是否有效;若验证授权码有效,则执行下述步骤503及其后续步骤。
授权服务器验证授权码是否有效;若验证授权码有效,则执行下述步骤503及其后续步骤;若验证该授权码无效,则向第三方应用反馈表示请求失败的访问令牌应答,并结束本次流程,不执行下述步骤。
授权服务器验证授权码是否有效,可以包括多个验证项,例如:
检测该授权码是否为之前向用户终端发送的授权码(即检测是否存储有相同的授权码);或/和,
获取第三方应用(即发送访问令牌的请求方)的第三方应用标识,然后比较上述步骤501获取的第三方应用标识与该访问令牌请求方的第三方应用标识是否一致;若不一致,则确定授权码无效;若一致,则确定授权码有效,或者继续进行其他项的验证;或/和,
获取该授权码关联的授权码过期时间,以及获取当前系统时间,然后判断当前系统时间是否在该关联的授权码过期时间内;若超出过期时间,则确定授权码无效;若没有超出过期时间,则确定授权码有效,或者继续进行其他项的验证;或/和,
检测该授权码的状态标记是有效还是无效。
上述获取第三方应用的第三方应用标识的实施方式,为了确保获取的第三方应用标识确实是该第三方应用的第三方应用标识,则根据第三方应用的身份信息确定第三方应用的第三方应用标识。具体可以包括多种实施方式,至少可以包括:
例如,若以第三方应用向授权服务器进行身份认证的应用账号作为第三方应用标识,则授权服务器在该第三方应用的身份认证通过之后获取的应用账号,即为该第三方应用的第三方应用标识。例如,在上述步骤501第三方应用向授权服务器发送的访问令牌请求中,携带有第三方应用的身份认证信息,例如应用账号和密码、应用账号和经过密钥加密的加密值、令牌或会话状态等身份认证信息,授权服务器根据身份认证信息对第三方应用进行认证,在身份认证信息认证通过之后,获取该身份认证信息中的应用账号,或者获取令牌或会话状态关联的应用账号,该获取的应用账号即为该第三方应用的第三方应用标识。
又例如,如果以域名作为第三方应用标识,则授权服务器根据该访问令牌请求方的IP地址进行域名反向解析获得域名,然后以该获得的域名即为该第三方应用的第三方应用标识。
还例如,在授权服务器上预先保存有第三方应用的身份信息与第三方应用标识的对应关系,授权服务器获取第三方应用的身份信息(如获取该访问令牌请求方的应用账号、IP或域名等身份信息),然后根据获取的身份信息在该对应关系中查找和获取该第三方应用的第三方应用标识。
步骤503.授权服务器根据用户身份标识确定用户资源标识。
用户资源标识用于在资源服务器中标识用户资源,在资源服务器中,建立有每个用户资源标识与其标识的用户资源之间的关联关系,即根据用户资源标识可以在资源服务器中获取用户相应的资源。
授权服务器根据步骤501中获取的用户身份标识,以该用户身份标识确定用户资源标识,具体可以包括多种实施方式,至少可以包括:
第一种实施方式,将该用户身份标识作为用户资源标识。
如果资源服务器使用用户身份标识作为用户资源标识,则授权服务器使用该用户身份标识作为用户资源标识。
第二种实施方式,根据用户身份标识从资源服务器获取对应的用户资源标识。
例如,在资源服务器上,建立有用户身份标识与用户资源标识的对应关系,根据用户身份标识可以获取相对应的用户资源标识。授权服务器以该用户身份标识从资源服务器或存储有该对应关系的数据库中查询和获取对应的用户资源标识。
又例如,在资源服务器上注册用户资源时,建立用户身份标识与用户资源标识的对应关系,资源服务器同时将该对应关系同步给授权服有务器,授权服务器存储该对应关系。授权服务器以该用户身份标识在该对应关系中查询和获取对应的用户资源标识。
实际应用中,上述二种实施方式可以同时应用,也可以任选其中的一种实施方式应用。
步骤504.授权服务器生成访问令牌,并且将访问令牌与用户资源标识相关联。
授权服务器生成访问令牌,并且将该访问令牌与该用户资源标识相关联,以使得资源服务器在接收到第三方应用发送的包括该访问令牌的资源请求时,能根据该访问令牌获取到该用户资源标识,从而可以根据该用户资源标识向第三方应用提供用户受保护的资源。
进一步的,授权服务器还可以将该访问令牌与第三方应用标识或/和访问令牌过期时间相关联,以使得资源服务器在接收到第三方应用发送的包括该访问令牌的资源请求时,能根据该访问令牌获取到第三方应用标识或/和访问令牌过期时间,从而可以根据该第三方应用标识验证发送资源请求的第三方应用的身份,以及根据访问令牌过期时间验证访问令牌是否过期等。
具体地,生成访问令牌可以包括多种实施方式,至少可以包括:
实施方式一,随机生成字符串型访问令牌。
授权服务器随机生成一个字符串型访问令牌,即,将随机生成的字符串作为访问令牌,该字符串要足够随机和有足够的长度,使得难以被猜测破解。
授权服务器将该字符串型访问令牌与用户资源标识相关联。例如,在数据库中建立该字符串型访问令牌与用户资源标识的关联关系,以使得根据该字符串型访问令牌能获取到该用户资源标识。由此,在资源服务器接收到包括访问令牌的资源请求时,则可以向授权服务器或存储有访问令牌及其关联信息的数据库查询并判断访问令牌是否有效,还可以获取访问令牌关联的用户资源标识。
进一步的,授权服务器将该字符串型访问令牌与第三方应用标识相关联。例如,授权服务器在数据库中建立该字符串型访问令牌与第三方应用标识的关联关系,以使得根据该字符串型访问令牌能获取到第三方应用标识。
进一步的,授权服务器还可以将该字符串型访问令牌与访问令牌过期时间相关联。例如,授权服务器给访问令牌设置一个访问令牌过期时间,建立访问令牌与该访问令牌过期时间的关联关系。
实施方式二,加密生成自编码型访问令牌。
例如,使用对称密钥基于对称加密算法对关联信息进行对称加密,将该加密后的加密值作为访问令牌,关联信息包括用户资源标识,进一步的,关联信息还可以包括第三方应用标识或/和访问令牌过期时间。
相对应的,在资源服务器上预置相同的对称密钥,在资源服务器接收到包括访问令牌的资源请求时,资源服务器使用该相同的对称密钥对访问令牌进行解密,并根据解密后的关联信息判断访问令牌是否有效,以及从解密后的关联信息中获取用户资源标识以及第三方应用标识或/和访问令牌过期时间。
又例如,使用签名密钥基于签名加密算法对关联信息进行签名加密,将该加密后的加密值以及关联信息组合后作为访问令牌。关联信息包括用户资源标识,进一步的,关联信息还可以包括第三方应用标识或/和访问令牌过期时间。
相对应的,在资源服务器上预置相同的签名密钥,在资源服务器接收到包括访问令牌的资源请求时,资源服务器使用该相同的签名密钥对访问令牌进行签名验证,以及获取访问令牌中的关联信息,即获取用户资源标识以及第三方应用标识或/和访问令牌过期时间。
步骤505.可选的,授权服务器根据用户身份标识确定用户标识信息。
授权服务器根据用户身份标识确定相应的用户标识信息,可以包括多种实施方式,具体可以包括:
实施方式一,将该用户身份标识作为用户标识信息。
实施方式二,获取该用户身份标识和第三方应用标识对应的第一OpenID,将该第一OpenID作为用户标识信息。
具体地,在授权服务器上存储有用户身份标识和第三方应用标识与第一OpenID的对应关系,即根据该用户身份标识和第三方应用标识在该对应关系中能够查找到对应的第一OpenID。
授权服务器根据该用户身份标识和第三方应用标识在该对应关系中查找对应的第一OpenID。
如果查找到对应的第一OpenID,则说明授权服务器已经为该用户创建了在该第三方应用中对应用户身份的唯一标识,即为该用户身份标识创建了用于该第三方应用标识的第一OpenID,则授权服务器获取该对应的第一OpenID。
如果没有查找到对应的第一OpenID,则说明授权服务器没有为该用户创建在该第三方应用中对应用户身份的唯一标识,即没有为该用户身份标识创建用于该第三方应用标识的第一OpenID,则授权服务器生成一个唯一的OpenID,即生成一个唯一的字符串作为第一OpenID,并且建立该用户身份标识和第三方应用标识与该第一OpenID的对应关系,以使得根据该用户身份标识和第三方应用标识在该对应关系中能获取到该第一OpenID。
实施方式三,基于该用户身份标识和第三方应用标识加密生成第二OpenID,将该第二OpenID作为用户标识信息。
授权服务器基于该用户身份标识和第三方应用标识加密后生成的加密值作为第二OpenID,例如将该用户身份标识和第三方应用标识组合之后,使用哈希算法加密生成哈希值,将该哈希值作为第二OpenID。当下次将该用户身份标识和第三方应用标识使用相同的组合方式组合之后,再使用相同的哈希算法加密,生成的还是相同值的第二OpenID。
步骤506.授权服务器向第三方应用反馈表示请求成功的访问令牌应答,该表示请求成功的访问令牌应答包括生成的访问令牌。
授权服务器向第三方应用反馈表示请求成功的访问令牌应答,该表示请求成功的访问令牌应答包括步骤504中生成的访问令牌。
相应地,第三方应用接收授权服务器反馈的表示请求成功的访问令牌应答,并从该表示请求成功的访问令牌应答中获取访问令牌。
可选的,若实施了上述步骤505,即若根据用户身份标识确定了用户标识信息,则在该表示请求成功的访问令牌应答中还包括该用户标识信息,第三方应用从该表示请求成功的访问令牌应答中获取该用户标识信息。
至此,第三方应用可以根据获取到的访问令牌向资源服务器请求获取资源,而且第三方应用还可以将获取到的用户标识信息用于辨识用户身份,例如进行存储以用于用户下次授权时辨识其身份,或者将该用户标识信息与用户在第三方应用中的原有账号进行绑定等。
综上所述,本实施例提供的方法,在上述一种基于OAuth协议的授权方法实施例三之后,授权服务器根据第三方应用提供的授权码,向第三方应用颁发访问令牌,并且根据用户身份标识确定用户资源标识,将访问令牌与用户资源标识相关联,以使得第三方应用可以根据该访问令牌向资源服务器请求获取用户受保护的资源;同时授权服务器还可以给第三方应用反馈用于唯一确定用户身份的用户标识信息。本实施例带来的技术效果至少包括:第一方面,本实施例由用户身份标识确定用户资源标识,而用户身份标识是由移动用户标识所确定的,由于移动通信网络中的用户资源通常与移动用户标识相关联,从而使得通信运营商可以基于OAuth协议面向互联网业务安全地开放用户资源和开放服务能力;第二方面,向第三方应用提供用户标识信息,使得第三方应用可以辨识用户身份,从而为用户提供持续的应用服务。
八、一种基于OAuth协议的终端装置实施例一
请参考图6,其示出了本发明提供的一种基于OAuth协议的终端装置实施例一的结构示意图。该终端装置可以通过软件、硬件或者两者的结合方式实现成为用户终端的部分或者全部。该终端装置包括:
参数协商模块:用于基于用户识别模块SIM与授权服务器基于用户数据系统进行认证与密钥协商以生成第一安全参数,所述第一安全参数包括安全令牌或/和第一根密钥。
授权启动模块:用于根据第三方应用的指示信息启动授权请求过程,所述指示信息包括第三方应用标识。
授权请求模块:用于基于所述第一安全参数生成认证信息,以及生成授权请求,和所述指示信息向所述授权服务器发起授权请求。
授权码接收模块:用于接收所述授权服务器反馈的授权码,所述授权码是在所述授权服务器验证所述认证信息成功之后生成的。
授权码转发模块:用于将所述授权码传递给所述第三方应用。
优选的,所述授权启动模块包括:
第一启动单元:用于获取所述第三方应用显示界面上的指示信息启动授权请求过程;或/和,
第二启动单元:用于接收运行在所述用户终端中所述第三方应用的第三方应用客户端发送的指示信息启动授权请求过程;或/和,
第三启动单元:用于检测所述第三方应用的指示信息中的声明以启动授权请求过程。
优选的,所述请求生成模块包括:
第一请求生成单元:用于若所述第一安全参数包括安全令牌,则以所述安全令牌作为所述认证信息;或者,
第二请求生成单元:用于若所述第一安全参数包括第一根密钥,则根据所述第一根密钥生成第一加密值,以所述用户识别模块SIM的移动用户标识和所述第一加密值作为所述认证信息;或者,
第三请求生成单元:用于若所述第一安全参数包括第一根密钥,并且获取到所述授权服务器传递的临时用户标识,则根据所述第一根密钥生成第一加密值,以所述临时用户标识和所述第一加密值作为所述认证信息。
优选的,所述授权码转发模块包括:
第一转发单元:用于根据与所述第三方应用保持的连接状态或会话状态,将所述授权码传递给所述第三方应用;或者,
第二转发单元:用于根据所述授权服务器反馈的重定向URI,将所述授权码传递给所述第三方应用。
九、一种基于OAuth协议的终端装置实施例二
请参考图7,其示出了本发明提供的一种基于OAuth协议的终端装置实施例二的结构示意图。该终端装置在上述一种基于OAuth协议的终端装置实施例一提供的终端装置上,还包括授权确认模块,所述授权确认模块用于向所述授权服务器提供用户同意授权的授权信息。
优选的,所述授权确认模块还可以包括确认接收单元、界面显示单元、输入接收单元和确认反馈单元,具体包括:
确认接收单元:用于接收所述授权服务器发送的授权确认请求,所述授权确认请求是在所述授权服务器验证所述认证信息成功之后发送的。
界面显示单元:用于显示授权确认界面。
输入接收单元:用于接收用户在授权确认界面中输入的授权信息。
确认反馈单元:用于当所述授权信息是表示同意授权的授权信息时,向所述授权服务器反馈表示同意授权的授权确认应答。
上述一种基于OAuth协议的终端装置实施例一和实施例二提供的终端装置与上述一种基于OAuth协议的授权方法实施例一和实施三中应用于用户终端上的实施方法属于同一构思,其具体实现原理和效果可详见方法实施例,在此不再赘述。
十、一种基于OAuth协议的服务装置实施例一
请参考图8,其示出了本发明提供的一种基于OAuth协议的服务装置实施例一的结构示意图。该服务装置可以通过软件、硬件或者两者的结合方式实现成为授权服务器的部分或者全部。该服务装置包括:
参数协商模块:用于基于用户数据系统与用户终端基于用户识别模块SIM进行认证与密钥协商以生成第二安全参数,并且建立与所述第二安全参数相应的关联关系,所述第二安全参数包括安全令牌或/和第二根密钥。
请求接收模块:用于接收用户终端发起的授权请求,所述授权请求中传递有认证信息和第三方应用标识,所述认证信息是所述用户终端基于第一安全参数生成的,所述第一安全参数是所述用户终端在所述认证与密钥协商过程中生成的。
请求验证模块:用于根据所述关联关系验证所述认证信息,并且根据所述认证信息确定用户身份标识,所述关联关系是在所述认证与密钥协商过程中建立的;若验证所述认证信息成功,则执行授权码生成模块;
授权码生成模块:用于生成授权码,并且将所述授权码与所述第三方应用标识和所述用户身份标识相关联,以使得根据所述授权码能获取到所述第三方应用标识和所述用户身份标识。
授权码反馈模块:用于向所述用户终端反馈所述授权码,以使得所述用户终端将所述授权码传递给所述第三方应用。
优选的,所述请求验证模块包括:
第一请求验证单元:用于若所述认证信息为安全令牌,所述关联关系包括安全令牌与用户身份标识的关联关系,则验证所述安全令牌是否有效,若验证所述安全令牌有效并且获取到所述安全令牌关联的用户身份标识,则确定验证所述认证信息成功,并确定所述关联的用户身份标识为所述用户身份标识;或者,
第二请求验证单元:用于若所述认证信息为所述移动用户标识和第一加密值,所述关联关系包括移动用户标识与第二根密钥的关联关系,则获取所述移动用户标识,根据所述移动用户标识在所述关联关系中获取关联的第二根密钥,并且根据所述第二根密钥验证所述第一加密值,若验证所述第一加密值有效,则确定验证所述认证信息成功,以及根据所述移动用户标识确定所述用户身份标识;或者,
第三请求验证单元:用于若所述认证信息为临时用户标识和第一加密值,所述关联关系包括临时用户标识与第二根密钥的关联关系,则获取所述临时用户标识,根据所述临时用户标识在所述关联关系中获取关联的第二根密钥,并且根据所述第二根密钥验证所述第一加密值,若验证所述第一加密值有效,则确定验证所述认证信息成功,以及根据所述临时用户标识确定所述用户身份标识。
十一、一种基于OAuth协议的服务装置实施例二
请参考图9,其示出了本发明提供的一种基于OAuth协议的服务装置实施例二的结构示意图。作为一种可选的实施例,该服务装置在上述一种基于OAuth协议的服务装置实施例一提供的服务装置上,还包括如下模块:
授权码接收模块:用于接收第三方应用发送的包括所述授权码的访问令牌请求;
授权码验证模块:用于验证所述授权码是否有效;若验证所述授权码有效,则执行令牌生成模块;
令牌生成模块:用于根据所述授权码获取关联的所述用户身份标识,根据所述用户身份标识确定用户资源标识,生成访问令牌,并且将所述访问令牌与所述用户资源标识相关联;
令牌应答模块:用于向所述第三方应用反馈表示请求成功的访问令牌应答,所述表示请求成功的访问令牌应答包括所述访问令牌。
优选的,所述授权码验证模块包括:
第一验证单元:用于检测是否存在与所述授权码相同的授权码;若存在,则确定所述授权码有效;或/和,
第二验证单元:用于根据所述授权码获取关联的所述第三方应用标识,根据所述第三方应用的身份信息确定所述第三方应用的第三方应用标识,比较两者是否一致;若一致,则确定所述授权码有效;或/和,
第三验证单元:若所述授权码生成模块在所述生成授权码时,生成授权码过期时间,并且将所述授权码与所述授权码过期时间相关联,则所述第三验证单元用于获取当前系统时间,根据所述授权码获取所述授权码过期时间,比较所述当前系统时间是否超出所述授权码过期时间;若未超出所述授权码过期时间,则确定所述授权码有效。
优选的,所述令牌生成模块包括:
用户标识获取单元:用于根据所述授权码获取关联的所述用户身份标识;
资源标识确定单元:用于根据所述用户身份标识确定用户资源标识;
访问令牌生成单元:用于生成访问令牌,并且将所述访问令牌与所述用户资源标识相关联。
优选的,所述资源标识确定单元包括:
第一资源标识确定子单元:用于将所述用户身份标识作为所述用户资源标识;或/和,
第二资源标识确定子单元:用于根据所述用户身份标识从所述资源服务器获取所述用户资源标识,所述资源服务器建立有所述用户身份标识与所述用户资源标识的对应关系。
十二、一种基于OAuth协议的服务装置实施例三
请参考图10,其示出了本发明提供的一种基于OAuth协议的服务装置实施例三的结构示意图。作为一种可选的实施例,该服务装置在上述一种基于OAuth协议的服务装置实施例二提供的服务装置上,还包括:
用户标识确定模块:用于根据所述用户身份标识确定相应的用户标识信息,并且将所述用户标识信息传递给所述令牌应答模块,以使得所述令牌应答模块在所述表示请求成功的访问令牌应答中还包括所述用户标识信息,从而传递给所述用户终端。
优选的,所述用户标识确定模块包括:
第一用户标识确定单元:用于将所述用户身份标识作为所述用户标识信息;或/和,
第二用户标识确定单元:用于获取所述用户身份标识和所述第三方应用标识对应的第一OpenID,将所述第一OpenID作为所述用户标识信息;或/和,
第三用户标识确定单元:用于将所述用户身份标识和所述第三方应用标识加密生成第二OpenID,将所述第二OpenID作为所述用户标识信息。
十三、一种基于OAuth协议的服务装置实施例四
请参考图11,其示出了本发明提供的一种基于OAuth协议的服务装置实施例四的结构示意图。作为一种可选的实施例,该服务装置在上述一种基于OAuth协议的服务装置实施例一提供的服务装置上,还包括授权确认模块。
当所述请求验证模块验证所述认证信息成功时,则执行所述授权确认模块。所述授权确认模块用于获取所述用户终端提供的用户同意授权的授权信息;若获取到所述用户终端提供的用户同意授权的授权信息,则执行所述授权码生成模块。
优选的,所述授权确认模块还可以包括确认请求单元、确认接收单元和授权执行单元,具体包括:
确认请求单元:用于向所述用户终端发送授权确认请求。
确认接收单元:用于接收所述用户终端反馈的授权确认应答。
授权执行单元:用于当所述授权确认应答是表示同意授权的授权确认应答时,执行所述授权码生成模块。
本实施例还可以在上述一种基于OAuth协议的服务装置实施例二或实施例三提供的服务装置上组成可选的实施例,即采用与本实施例相同或相似的实施方式,将所述授权确认模块与上述一种基于OAuth协议的服务装置实施例二或实施例三中的请求验证模块、授权码生成模块相连接后组成服务装置:当所述请求验证模块验证所述认证信息成功时,则执行所述授权确认模块;若获取到所述用户终端提供的用户同意授权的授权信息,则执行所述授权码生成模块。具体实施方式不再赘述。
上述一种基于OAuth协议的服务装置实施例一至实施例四提供的服务装置与上述一种基于OAuth协议的授权方法实施例二、实施三和实施例四中应用于授权服务器上的实施方法属于同一构思,其具体实现原理和效果可详见方法实施例,在此不再赘述。
十四、一种基于OAuth协议的授权系统实施例
请参考图12,其示出了本发明提供的一种基于OAuth协议的授权系统实施例的结构示意图。该授权系统包括用户终端和授权服务器,所述用户终端和所述授权服务器通过无线网络或者有线网络相连接。
用户终端包括如图6至图7任一实施例提供的终端装置。
授权服务器包括如图8至图11任一实施例提供的服务装置。
需要说明的是,在本文中,术语“包括”、“包含”、“传递”、“发送”或者任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者系统不仅包括那些要素,而且还可以包括没有明确列出的其他要素,或者是还可以包括为这种过程、方法、产品或者系统所固有的要素。
术语“第一”、“第二”、“第三”等(如果存在)仅用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解,这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
可以以许多方式来实现本发明的方法、装置和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法、装置和系统。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于OAuth协议的授权方法,其特征在于,应用于用户终端中,所述方法包括:
根据第三方应用的指示信息启动授权请求过程,所述指示信息包括第三方应用标识;
基于第一安全参数生成认证信息,所述第一安全参数是基于用户识别模块SIM与授权服务器基于用户数据系统在认证与密钥协商过程中生成的;
向所述授权服务器发起授权请求,所述授权请求包括所述认证信息和所述第三方应用标识;
接收所述授权服务器反馈的授权码,所述授权码是在所述授权服务器验证所述认证信息成功之后生成的;
将所述授权码传递给所述第三方应用。
2.根据权利要求1所述的方法,其特征在于,所述基于第一安全参数生成认证信息包括:
所述第一安全参数包括安全令牌,则以所述安全令牌作为所述认证信息;或者,
所述第一安全参数包括第一根密钥,则根据所述第一根密钥生成第一加密值,以所述用户识别模块SIM的移动用户标识和所述第一加密值作为所述认证信息;或者,
所述第一安全参数包括第一根密钥,并且获取到所述授权服务器传递的临时用户标识,则根据所述第一根密钥生成第一加密值,以所述临时用户标识和所述第一加密值作为所述认证信息。
3.一种基于OAuth协议的授权方法,其特征在于,应用于授权服务器中,所述方法包括:
接收用户终端发起的授权请求,所述授权请求中包括认证信息和第三方应用标识,所述认证信息是所述用户终端基于第一安全参数生成的,所述第一安全参数是所述用户终端基于用户识别模块SIM与所述授权服务器基于用户数据系统在认证与密钥协商过程中生成的;
根据关联关系验证所述认证信息,并且根据所述认证信息确定用户身份标识,所述关联关系是在所述认证与密钥协商过程中建立的;
若验证所述认证信息成功,则生成授权码,并且将所述授权码与所述第三方应用标识和所述用户身份标识相关联,以使得根据所述授权码能获取到所述第三方应用标识和所述用户身份标识;
向所述用户终端反馈所述授权码。
4.根据权利要求3所述的方法,其特征在于,在所述向所述用户终端反馈所述授权码之后还包括:
在接收到第三方应用发送的包括所述授权码的访问令牌请求时,验证所述授权码是否有效;
若验证所述授权码有效,则根据所述授权码获取关联的所述用户身份标识,根据所述用户身份标识确定用户资源标识,生成访问令牌,并且将所述访问令牌与所述用户资源标识相关联;
向所述第三方应用反馈表示请求成功的访问令牌应答,所述表示请求成功的访问令牌应答包括所述访问令牌。
5.一种基于OAuth协议的终端装置,其特征在于,应用于用户终端中,所述装置包括:
参数协商模块:用于基于用户识别模块SIM与授权服务器基于用户数据系统进行认证与密钥协商以生成第一安全参数,所述第一安全参数包括安全令牌或/和第一根密钥;
授权启动模块:用于根据第三方应用的指示信息启动授权请求过程,所述指示信息包括第三方应用标识;
请求生成模块:用于基于所述第一安全参数生成认证信息,以及生成授权请求,所述授权请求包括所述认证信息和所述第三方应用标识;
请求发送模块:用于向所述授权服务器发送所述授权请求;
授权码接收模块:用于接收所述授权服务器反馈的授权码,所述授权码是在所述授权服务器验证所述认证信息成功之后生成的;
授权码转发模块:用于将所述授权码传递给所述第三方应用。
6.一种基于OAuth协议的服务装置,其特征在于,应用于授权服务器中,所述装置包括:
参数协商模块:用于基于用户数据系统与用户终端基于用户识别模块SIM进行认证与密钥协商以生成第二安全参数,并且建立与所述第二安全参数相应的关联关系,所述第二安全参数包括安全令牌或/和第二根密钥;
请求接收模块:用于接收用户终端发起的授权请求,所述授权请求中传递有认证信息和第三方应用标识,所述认证信息是所述用户终端基于第一安全参数生成的,所述第一安全参数是所述用户终端在所述认证与密钥协商过程中生成的;
请求验证模块:用于根据所述关联关系验证所述认证信息,并且根据所述认证信息确定用户身份标识,所述关联关系是在所述认证与密钥协商过程中建立的;若验证所述认证信息成功,则执行授权码生成模块;
授权码生成模块:用于生成授权码,并且将所述授权码与所述第三方应用标识和所述用户身份标识相关联,以使得根据所述授权码能获取到所述第三方应用标识和所述用户身份标识;
授权码反馈模块:用于向所述用户终端反馈所述授权码。
7.根据权利要求29所述的装置,其特征在于,所述装置还包括:
授权码接收模块:用于接收第三方应用发送的包括所述授权码的访问令牌请求;
授权码验证模块:用于验证所述授权码是否有效;若验证所述授权码有效,则执行令牌生成模块;
令牌生成模块:用于根据所述授权码获取关联的所述用户身份标识,根据所述用户身份标识确定用户资源标识,生成访问令牌,并且将所述访问令牌与所述用户资源标识相关联;
令牌应答模块:用于向所述第三方应用反馈表示请求成功的访问令牌应答,所述表示请求成功的访问令牌应答包括所述访问令牌。
8.一种基于OAuth协议的授权系统,其特征在于,所述授权系统包括:用户终端以及授权服务器;
所述用户终端包括如权利要求5至5任一项所述的终端装置;
所述授权服务器包括如权利要求6至7任一项所述的服务装置。
9.一种用户终端,其特征在于,所述用户终端包括:存储器、处理器,所述处理器用于运行所述存储器所存储的程序,所述程序运行时执行包括权利要求1至2中任一项所述的方法;或/和,一种授权服务器,其特征在于,所述授权服务器包括:存储器、处理器,所述处理器用于运行所述存储器所存储的程序,所述程序运行时执行包括权利要求3至4中任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质中存储有程序,所述程序用于实现包括权利要求1至2中任一项所述的方法;或/和,一种存储介质,其特征在于,所述存储介质中存储有程序,所述程序用于实现包括权利要求3至4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910769892.4A CN111327582B (zh) | 2019-08-22 | 2019-08-22 | 一种基于OAuth协议的授权方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910769892.4A CN111327582B (zh) | 2019-08-22 | 2019-08-22 | 一种基于OAuth协议的授权方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327582A true CN111327582A (zh) | 2020-06-23 |
| CN111327582B CN111327582B (zh) | 2022-12-20 |
Family
ID=71170854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910769892.4A Active CN111327582B (zh) | 2019-08-22 | 2019-08-22 | 一种基于OAuth协议的授权方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327582B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468450A (zh) * | 2020-11-06 | 2021-03-09 | 通联支付网络服务股份有限公司 | 一种api开放平台针对服务商间整合api接口的方法 |
| CN112733107A (zh) * | 2021-04-02 | 2021-04-30 | 腾讯科技(深圳)有限公司 | 一种信息验证的方法、相关装置、设备以及存储介质 |
| CN112953892A (zh) * | 2021-01-26 | 2021-06-11 | 山东浪潮通软信息科技有限公司 | 第三方系统的访问认证方法和装置 |
| CN113079175A (zh) * | 2021-04-14 | 2021-07-06 | 上海浦东发展银行股份有限公司 | 一种基于oauth2协议增强的授权系统及其方法 |
| CN113645247A (zh) * | 2021-08-17 | 2021-11-12 | 武汉众邦银行股份有限公司 | 一种基于http协议的权限认证控制方法及存储介质 |
| CN113672898A (zh) * | 2021-08-20 | 2021-11-19 | 济南浪潮数据技术有限公司 | 服务授权方法、授权设备、系统、电子设备及存储介质 |
| CN113821783A (zh) * | 2021-09-29 | 2021-12-21 | 北京云歌科技有限责任公司 | 一种多功能的安全授权API Key实现系统及方法 |
| CN113938505A (zh) * | 2021-12-13 | 2022-01-14 | 四川虹美智能科技有限公司 | 一种语音控制物联网设备的系统及方法 |
| CN114079645A (zh) * | 2020-08-13 | 2022-02-22 | 华为技术有限公司 | 注册服务的方法及设备 |
| CN114301634A (zh) * | 2021-12-09 | 2022-04-08 | 江苏网进科技股份有限公司 | 一种基于Oauth协议的门户系统用户共享方法 |
| CN114297618A (zh) * | 2021-12-28 | 2022-04-08 | 北京深思数盾科技股份有限公司 | 授权码生成方法、身份认证方法、终端、服务器及介质 |
| CN114417425A (zh) * | 2022-03-28 | 2022-04-29 | 成都智达万应科技有限公司 | 一种基于OAuth的文档安全预览及溯源方法 |
| CN114500089A (zh) * | 2022-02-24 | 2022-05-13 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
| CN114513299A (zh) * | 2020-10-28 | 2022-05-17 | 华为技术有限公司 | 基于开放式授权的数据传输方法及电子设备 |
| CN114900300A (zh) * | 2022-06-20 | 2022-08-12 | 中国联合网络通信集团有限公司 | 云服务临时登录密钥认证方法、装置、设备及存储介质 |
| WO2023087704A1 (zh) * | 2021-11-16 | 2023-05-25 | 深圳前海微众银行股份有限公司 | 一种可回溯的图片授权方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103259795A (zh) * | 2013-05-14 | 2013-08-21 | 百度在线网络技术(北京)有限公司 | 执行自动注册登录的方法、移动终端以及服务器 |
| KR20140046674A (ko) * | 2012-10-10 | 2014-04-21 | 박규영 | 클라우드 공인인증 시스템 및 그 제공방법 |
| CN106534175A (zh) * | 2016-12-07 | 2017-03-22 | 西安电子科技大学 | 基于OAuth协议的开放平台授权认证系统及方法 |
| CN106856476A (zh) * | 2015-12-08 | 2017-06-16 | 佳能株式会社 | 授权服务器和认证协作系统 |
| CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
| CN109041205A (zh) * | 2018-08-23 | 2018-12-18 | 刘高峰 | 客户端注册方法、装置及系统 |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
-
2019
- 2019-08-22 CN CN201910769892.4A patent/CN111327582B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140046674A (ko) * | 2012-10-10 | 2014-04-21 | 박규영 | 클라우드 공인인증 시스템 및 그 제공방법 |
| CN103259795A (zh) * | 2013-05-14 | 2013-08-21 | 百度在线网络技术(北京)有限公司 | 执行自动注册登录的方法、移动终端以及服务器 |
| CN106856476A (zh) * | 2015-12-08 | 2017-06-16 | 佳能株式会社 | 授权服务器和认证协作系统 |
| CN106534175A (zh) * | 2016-12-07 | 2017-03-22 | 西安电子科技大学 | 基于OAuth协议的开放平台授权认证系统及方法 |
| CN108650239A (zh) * | 2018-04-17 | 2018-10-12 | 新大陆(福建)公共服务有限公司 | 一种OAuth协议的认证方法 |
| CN109041205A (zh) * | 2018-08-23 | 2018-12-18 | 刘高峰 | 客户端注册方法、装置及系统 |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| 严建援,李勇建: "基于安全SIM卡的移动应用安全", 《第三届中美电子商务高级论坛论文集》, 31 May 2006 (2006-05-31), pages 254 * |
| 韦伯,帕拉斯泰迪斯,鲁滨逊: "OAuth协议", 《REST实战 中文版》, 30 September 2011 (2011-09-30), pages 301 * |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114079645A (zh) * | 2020-08-13 | 2022-02-22 | 华为技术有限公司 | 注册服务的方法及设备 |
| CN114079645B (zh) * | 2020-08-13 | 2022-12-30 | 花瓣云科技有限公司 | 注册服务的方法及设备 |
| CN114513299B (zh) * | 2020-10-28 | 2024-01-30 | 华为技术有限公司 | 基于开放式授权的数据传输方法及电子设备 |
| CN114513299A (zh) * | 2020-10-28 | 2022-05-17 | 华为技术有限公司 | 基于开放式授权的数据传输方法及电子设备 |
| CN112468450B (zh) * | 2020-11-06 | 2023-05-23 | 通联支付网络服务股份有限公司 | 一种api开放平台针对服务商间整合api接口的方法 |
| CN112468450A (zh) * | 2020-11-06 | 2021-03-09 | 通联支付网络服务股份有限公司 | 一种api开放平台针对服务商间整合api接口的方法 |
| CN112953892B (zh) * | 2021-01-26 | 2022-04-19 | 浪潮通用软件有限公司 | 第三方系统的访问认证方法和装置 |
| CN112953892A (zh) * | 2021-01-26 | 2021-06-11 | 山东浪潮通软信息科技有限公司 | 第三方系统的访问认证方法和装置 |
| CN112733107B (zh) * | 2021-04-02 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种信息验证的方法、相关装置、设备以及存储介质 |
| CN112733107A (zh) * | 2021-04-02 | 2021-04-30 | 腾讯科技(深圳)有限公司 | 一种信息验证的方法、相关装置、设备以及存储介质 |
| CN113079175A (zh) * | 2021-04-14 | 2021-07-06 | 上海浦东发展银行股份有限公司 | 一种基于oauth2协议增强的授权系统及其方法 |
| CN113645247A (zh) * | 2021-08-17 | 2021-11-12 | 武汉众邦银行股份有限公司 | 一种基于http协议的权限认证控制方法及存储介质 |
| CN113672898A (zh) * | 2021-08-20 | 2021-11-19 | 济南浪潮数据技术有限公司 | 服务授权方法、授权设备、系统、电子设备及存储介质 |
| CN113672898B (zh) * | 2021-08-20 | 2023-12-22 | 济南浪潮数据技术有限公司 | 服务授权方法、授权设备、系统、电子设备及存储介质 |
| CN113821783A (zh) * | 2021-09-29 | 2021-12-21 | 北京云歌科技有限责任公司 | 一种多功能的安全授权API Key实现系统及方法 |
| WO2023087704A1 (zh) * | 2021-11-16 | 2023-05-25 | 深圳前海微众银行股份有限公司 | 一种可回溯的图片授权方法及装置 |
| CN114301634A (zh) * | 2021-12-09 | 2022-04-08 | 江苏网进科技股份有限公司 | 一种基于Oauth协议的门户系统用户共享方法 |
| CN113938505A (zh) * | 2021-12-13 | 2022-01-14 | 四川虹美智能科技有限公司 | 一种语音控制物联网设备的系统及方法 |
| CN114297618A (zh) * | 2021-12-28 | 2022-04-08 | 北京深思数盾科技股份有限公司 | 授权码生成方法、身份认证方法、终端、服务器及介质 |
| CN114500089A (zh) * | 2022-02-24 | 2022-05-13 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
| CN114500089B (zh) * | 2022-02-24 | 2024-02-09 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
| CN114417425B (zh) * | 2022-03-28 | 2022-06-17 | 成都智达万应科技有限公司 | 一种基于OAuth的文档安全预览及溯源方法 |
| CN114417425A (zh) * | 2022-03-28 | 2022-04-29 | 成都智达万应科技有限公司 | 一种基于OAuth的文档安全预览及溯源方法 |
| CN114900300A (zh) * | 2022-06-20 | 2022-08-12 | 中国联合网络通信集团有限公司 | 云服务临时登录密钥认证方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327582B (zh) | 2022-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111327582B (zh) | 一种基于OAuth协议的授权方法、装置及系统 | |
| CN111050314B (zh) | 客户端注册方法、装置及系统 | |
| US10284555B2 (en) | User equipment credential system | |
| EP2005702B1 (en) | Authenticating an application | |
| US8543814B2 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
| US8122250B2 (en) | Authentication in data communication | |
| WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
| CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
| CN111050322B (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
| US9015819B2 (en) | Method and system for single sign-on | |
| WO2016078419A1 (zh) | 一种开放授权方法、装置及开放平台 | |
| CN111327416A (zh) | 一种物联网设备接入方法、装置和物联网平台 | |
| EP1639782B1 (en) | Method for distributing passwords | |
| CN112995090B (zh) | 终端应用的认证方法、装置、系统和计算机可读存储介质 | |
| CN107426724B (zh) | 智能家电接入无线网络的方法及系统及终端及认证服务器 | |
| WO2020037958A1 (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
| WO2020037957A1 (zh) | 客户端注册方法、装置及系统 | |
| CN117915322A (zh) | 一种基于密钥完整性检测的切片二次认证方法及系统 | |
| CN103095649A (zh) | 一种ims单点登录的组合鉴权方法及系统 | |
| WO2000069115A1 (en) | A method and apparatus for accessing a computer using a browser |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |