CN111949958A - Oauth协议中的授权认证方法及装置 - Google Patents
Oauth协议中的授权认证方法及装置 Download PDFInfo
- Publication number
- CN111949958A CN111949958A CN202010817479.3A CN202010817479A CN111949958A CN 111949958 A CN111949958 A CN 111949958A CN 202010817479 A CN202010817479 A CN 202010817479A CN 111949958 A CN111949958 A CN 111949958A
- Authority
- CN
- China
- Prior art keywords
- authorization
- oauth
- verification
- login state
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明提供了一种Oauth协议中的授权认证方法及装置,方法包括:接收包括登录状态参数的授权验证请求;对包括登录状态参数的授权验证请求进行授权校验;授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码本申请公开的Oauth协议中的授权认证方法和装置可用于信息安全领域,也可用于金融领域中的信息安全技术,本发明协议中的授权码进行签名,有针对性地提高了授权码的安全性,极大地提高了授权认证过程的可靠性,也可以识别被篡改的报文,有效地防止了用户信息泄露的情况。
Description
技术领域
本发明涉及信息安全技术领域,具体的讲是一种Oauth协议中的授权认证方法及装置。
背景技术
统一通行证拥有庞大的用户体系、广泛的接入渠道,非常适合作为连接第三方应用和银行总行用户体系的认证平台。另一方面,银行的API开放平台建设十分成熟,已经和很多机构、商户进行了合作,因此,统一通行证按照OAuth2.0协议标准,利用API开放平台实现和第三方应用的对接和沟通,建立银行面向第三方应用的OAuth授权认证平台。
目前业界对于授权登录通用的参考协议是Oauth2.0协议。银行目前也在此协议基础上设计了适用于银行的授权登录系统。对于第三方APP来说,银行的API开放平台可以作为OAuth协议中的授权和数据访问的统一接入点,而统一通行证提供用户登录和认证的具体流程和机制,并向第三方应用提供受保护的用户信息。
现有技术中,缺少一种由银行用户发起的,面向第三方服务器、应用(包括银行的分行、集团子公司等)授权认证的系统。
发明内容
为解决现有技术中Oauth2.0协议中授权登录中存在的安全问题,提升授权认证过程中的安全性,本发明提供了一种Oauth协议中的授权认证方法,包括:
接收包括登录状态参数的授权验证请求;
对包括登录状态参数的授权验证请求进行授权校验;
授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码。
本发明实施例中,所述的对包括登录状态参数的授权验证请求进行授权校验包括:
对授权验证请求中的用户信息进行信息校验;
信息校验通过后,获取用户的登录状态;
根据获取的用户的登录状态与所述登录状态参数进行授权校验。
本发明实施例中,所述的授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码包括:
授权校验通过后,将所述登录状态参数和授权验证请求中的用户信息发送至API开放平台;
接收API开放平台利用所述登录状态参数对Oauth授权码进行签名处理生成的具有状态字段签名的Oauth授权码。
本发明实施例中,所述的方法还包括:
将具有状态字段签名的Oauth授权码返回至用户登录的客户端,以根据所述状态字段签名进行签名验证。
同时,本发明还提供一种Oauth协议中的授权认证装置,包括:
请求接收模块,用于接收包括登录状态参数的授权验证请求;
校验模块,用于对包括登录状态参数的授权验证请求进行授权校验;
授权码生成模块,用于授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码。
本发明实施例中,所述的校验模块包括:
用户信息校验单元,用于对授权验证请求中的用户信息进行信息校验;
登录状态获取单元,用于信息校验通过后,获取用户的登录状态;
登录状态参数校验单元,用于根据获取的用户的登录状态与所述登录状态参数进行授权校验。
本发明实施例中,所述的授权码生成模块包括:
发送单元,用于授权校验通过后,将所述登录状态参数和授权验证请求中的用户信息发送至API开放平台;
接收单元,用于接收API开放平台利用所述登录状态参数对Oauth授权码进行签名处理生成的具有状态字段签名的Oauth授权码。
本发明实施例中,所述的装置还包括:
客户端状态字段验证单元,将具有状态字段签名的Oauth授权码返回至用户登录的客户端,以根据所述状态字段签名进行验证。
同时,本发明还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述方法。
同时,本发明还提供一种计算机可读存储介质,计算机可读存储介质存储有执行上述方法的计算机程序。
本发明通过对Oauth协议中的授权码进行签名,有针对性地提高了授权码安全性,在第三方访问认证服务器的同时传递登录状态字段作为签名因子,对授权码进行签名,可以进一步保障授权码的机密性。其次,当第三方应用得到了返回的Authcode签名串后,正确对其进行验签,也可以识别被篡改的报文,有效地防止了用户信息泄露的情况。
为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种Oauth协议中的授权认证方法的流程图;
图2为本发明实施例中授权码模式的具体工作流程图;
图3为本发明实施中根据获取的用户在第三方的登录状态对用户的登录状态参数进行校验的示意图;
图4为本发明提供的一种Oauth协议中的授权认证装置的框图;
图5为本发明实施例中提供的电子设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供一种Oauth协议中的授权认证方法,包括:
步骤S101,接收包括登录状态参数的授权验证请求;
步骤S102,对包括登录状态参数的授权验证请求进行授权校验;
步骤S103,授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码。
本发明提供的Oauth协议中的授权认证方法,接收包括登录状态参数的授权验证请求,利用登录状态参数对Oauth协议中的授权码进行签名,有针对性地提高了授权码安全性,在第三方访问认证服务器的同时传递登录状态字段作为签名因子,对授权码进行签名,可以进一步保障授权码的机密性。
下面结合具体的实施例对本发明技术方案作进一步详细说明,在进行说明之前,先对涉及的名词术语解释如下:
Oauth2.0协议,第二代开放授权(Open Authorization,OAuth)协议。该协议允许用户让第三方应用访问自己在某一网站上存储的私密资源(例如照片、视频、联系人等信息),而无需将用户名和密码提供给第三方应用。
资源拥有者(resource owner):能授权访问受保护资源的一个实体,可以是一个人,称之为最终用户;
资源服务器(resource server):存储受保护资源,客户端通过授权令牌(AccessToken)请求资源,资源服务器响应受保护资源给客户端;
认证服务器(authorization server):成功验证资源拥有者并获取授权之后,认证服务器颁发授权令牌(Access Token)给客户端。
客户端(client):如新浪微博客户端、京东app等第三方应用;其本身不存储资源,而是资源拥有者授权通过后,使用授权令牌访问受保护资源,然后客户端把相应的数据展示出来或者提交到服务器。
个人通行证(epass):银行个人电子银行统一通行证(以下简称“统一通行证”)。
Authorization Code:简称Authcode(授权码),Oauth2.0协议授权码模式中的授权码参数,是授权认证过程中最关键的参数。
本发明实施例中,OAuth 2.0授权协议共有4种授权方式:
Authorization code(授权码)模式,Implicit(隐式)模式,Resource ownerpassword credentials(账号密码)模式,Client credentials(客户端)模式。其中,授权码模式是目前OAuth 2.0中功能最完善、流程最严密的模式,因而被广泛使用。本实施例中采用的授权方式也是Authorization code(授权码)模式。授权码模式的具体工作流程如图2所示,具体如下:
(A)用户访问客户端,客户端将用户导向认证服务器。
(B)用户确定给予客户端授权。
(C)认证服务器将用户导向客户端指定的重定向URL,同时附上一个授权码Authorization Code(简称Authcode)。
(D)客户端收到授权码,附上重定向URL,向认证服务器申请令牌(Access Token)。此操作在客户端的后台服务器完成,用户无感。
(E)认证服务器核对了授权码后,确认正确,向客户端发放或更新令牌,并传递用户标识。
在现有技术的OAuth2.0协议中,最重要的端对端之间的交互信息就是授权码。在授权码模式中,授权码也就是个人通行证应用服务器从API开放平台获取的Authcode。这个Authcode是和用户身份信息相关联的,具体来说Authcode是将用户的用户ID进行了加密变形后的数据,是可以识别用户身份的重要信息。现有技术的协议中并未对Authcode进行进一步的安全校验,这样容易被网络黑客和不发分子加以利用,一旦Authcode被破获或者篡改,会导致整个授权过程的失败甚至客户信息的泄露。
本实施例针对现有技术的Oauth2.0授权登录系统中的安全问题,通过在第三方发起授权请求的时候引入状态参数(state),并利用该参数对Authcode进行签名,保障当前信息传递链路的安全性,有效地拒绝黑客的篡改攻击。
经过改进之后,授权认证系统的安全性得到了提升,其中,第三方应用、统一通行证和API开放平台之间的交互关系,可以用如图3所示的甬道图展现。
用户通过第三方应用唤起认证服务器,将状态参数等字段上送授权认证服务器进行校验,认证服务器对基本信息进行校验,校验通过,则进一步对上送的状态参数进行校验,根据获取的用户在第三方的登录状态对状态参数进行校验。
具体的,图3所示的示例中,根据获取的用户在第三方的登录状态对用户的登录状态参数进行校验包括:
获取用户的登录状态;
确定用户登录状态为已登录状态,则切换至通行证授权页面,即向API开发平台获取授权码;
确定用户登录状态为未登录,则切换通行证认证页面,即对当前的通行证认证请求进行认证,认证通过则切换至通行证授权页面,即向API开发平台获取授权码。
即授权校验通过后,将登录状态参数和授权验证请求中的用户信息发送至API开放平台;
接收API开放平台利用所述登录状态参数对Oauth授权码进行签名处理生成的具有状态字段签名的Oauth授权码。
获取API开发平台返回Authcode签名串,用户确认授权,返回Authcode签名串至第三方应用,第三方应用得到Authcode签名串,利用Authcode签名串中的state字段(状态字段)验证Authcode签名串,从而进一步确保传输的Authcode签名串为未被篡改的Authcode签名串,保证Authcode的安全性,验证通过,则执行Oauth授权认证中的后续操作,执行利用Authcode向API开发平台申请令牌等后续操作。
即本发明实施例中,将具有状态字段签名的Oauth授权码返回至用户登录的客户端,以根据所述状态字段签名进行验证,进一步确保传输的Authcode签名串为未被篡改的Authcode签名串,保证Authcode的安全性。
本实施例中,在改进的OAuth授权认证平台中,在请求授权和回调过程中正确使用状态参数(state)以防止产生跨站点请求伪造的漏洞。
首先,在第三方应用唤起授权方时加入状态字段,并送到API开放平台。API开放平台利用state字段对Authcode进行了签名。
其次,第三方应用获取到Authcode签名串之后,需要利用之前上送的state字段进行验签,如果验证Authcode签名串成功,即代表从API开放平台到第三方应用之间传递的Authcode没有被人篡改,进一步保障了Authcode的安全性。
同时,如图4所示,本发明还提供一种Oauth协议中的授权认证装置,包括:
请求接收模块401,用于接收包括登录状态参数的授权验证请求;
校验模块402,用于对包括登录状态参数的授权验证请求进行授权校验;
授权码生成模块403,用于授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码。
本实施例中,所述的校验模块包括:
用户信息校验单元,用于对授权验证请求中的用户信息进行信息校验;
登录状态获取单元,用于信息校验通过后,获取用户的登录状态;
登录状态参数校验单元,用于根据获取的用户的登录状态与所述登录状态参数进行授权校验。
本实施例中,所述的授权码生成模块包括:
发送单元,用于授权校验通过后,将所述登录状态参数和授权验证请求中的用户信息发送至API开放平台;
接收单元,用于接收API开放平台利用所述登录状态参数对Oauth授权码进行签名处理生成的具有状态字段签名的Oauth授权码。
本实施例中,所述的装置还包括:
客户端状态字段验证单元,将具有状态字段签名的Oauth授权码返回至用户登录的客户端,以根据所述状态字段签名进行验证。
通过前面实施例的描述,对本领域技术人员而言,可清楚获知本申请Oauth协议中的授权认证装置的实施方式,在此不再赘述。
需要说明的是,本申请公开的Oauth协议中的授权认证方法和装置可用于信息安全领域,也可用于金融领域中的信息安全技术,也可用于除金融领域之外的任意领域,本申请公开的Oauth协议中的授权认证方法和装置的应用领域不做限定。
Oauth2.0协议中的授权码传递过程中,如果不对授权码进行签名,虽可以在用户身份验证过程中增加刷脸、验短信等机制,并可以根据授权方的不同增加特色安全验证。但对本领域技术人员而言可知,这样会增加用户操作步骤和操作难度,不益于提高用户体验。本发明及实施例通过对Oauth2.0协议中的授权码Authcode进行签名,有针对性地提高了Authcode的安全性,极大地提高了授权认证过程的可靠性。在第三方访问认证服务器的同时传递状态字段state作为签名因子,在API平台对Authcode进行签名,可以进一步保障Authcode的机密性。其次,当第三方应用得到了认证服务器返回的Authcode签名串后,正确对其进行验签,也可以识别被篡改的报文,有效地防止了用户信息泄露的情况。
本实施例还提供一种电子设备,该电子设备可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该电子设备可以参照前述方法及装置的实施例,其内容被合并于此,重复之处不再赘述。
图5为本发明实施例的电子设备600的系统构成的示意框图。如图5所示,该电子设备600可以包括中央处理器100和存储器140;存储器140耦合到中央处理器100。值得注意的是,该图是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,Oauth协议中的授权认证方法功能可以被集成到中央处理器100中。其中,中央处理器100可以被配置为进行如下控制:
接收包括登录状态参数的授权验证请求;
对包括登录状态参数的授权验证请求进行授权校验;
授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码。
其中,所述的对包括登录状态参数的授权验证请求进行授权校验包括:
对授权验证请求中的用户信息进行信息校验;
信息校验通过后,获取用户的登录状态;
根据获取的用户的登录状态与所述登录状态参数进行授权校验。
其中,所述的授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码包括:
授权校验通过后,将所述登录状态参数和授权验证请求中的用户信息发送至API开放平台;
接收API开放平台利用所述登录状态参数对Oauth授权码进行签名处理生成的具有状态字段签名的Oauth授权码。
其中,所述的方法还包括:
将具有状态字段签名的Oauth授权码返回至用户登录的客户端,以根据所述状态字段签名进行验证。
在另一个实施方式中,Oauth协议中的授权认证装置可以与中央处理器100分开配置,例如可以将Oauth协议中的授权认证装置配置为与中央处理器100连接的芯片,通过中央处理器的控制来实现Oauth协议中的授权认证功能。
如图5所示,该电子设备600还可以包括:通信模块110、输入单元120、音频处理单元130、显示器160、电源170。值得注意的是,电子设备600也并不是必须要包括图5中所示的所有部件;此外,电子设备600还可以包括图5中没有示出的部件,可以参考现有技术。
如图5所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制电子设备600的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本发明实施例还提供一种计算机可读程序,其中当在电子设备中执行所述程序时,所述程序使得计算机在所述电子设备中执行如上面实施例所述的Oauth协议中的授权认证方法。
本发明实施例还提供一种存储有计算机可读程序的存储介质,其中所述计算机可读程序使得计算机在电子设备中执行上面实施例所述的Oauth协议中的授权认证。
以上参照附图描述了本发明的优选实施方式。这些实施方式的许多特征和优点根据该详细的说明书是清楚的,因此所附权利要求旨在覆盖这些实施方式的落入其真实精神和范围内的所有这些特征和优点。此外,由于本领域的技术人员容易想到很多修改和改变,因此不是要将本发明的实施方式限于所例示和描述的精确结构和操作,而是可以涵盖落入其范围内的所有合适修改和等同物。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种Oauth协议中的授权认证方法,其特征在于,所述的方法包括:
接收包括登录状态参数的授权验证请求;
对包括登录状态参数的授权验证请求进行授权校验;
授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码。
2.如权利要求1所述的Oauth协议中的授权认证方法,其特征在于,所述的对包括登录状态参数的授权验证请求进行授权校验包括:
对授权验证请求中的用户信息进行信息校验;
信息校验通过后,获取用户的登录状态;
根据获取的用户的登录状态与所述登录状态参数进行授权校验。
3.如权利要求1所述的Oauth协议中的授权认证方法,其特征在于,所述的授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码包括:
授权校验通过后,将所述登录状态参数和授权验证请求中的用户信息发送至API开放平台;
接收API开放平台利用所述登录状态参数对Oauth授权码进行签名处理生成的具有状态字段签名的Oauth授权码。
4.如权利要求1所述的Oauth协议中的授权认证方法,其特征在于,所述的方法还包括:
将具有状态字段签名的Oauth授权码返回至用户登录的客户端,以根据所述状态字段签名进行签名验证。
5.一种Oauth协议中的授权认证装置,其特征在于,所述的装置包括:
请求接收模块,用于接收包括登录状态参数的授权验证请求;
校验模块,用于对包括登录状态参数的授权验证请求进行授权校验;
授权码生成模块,用于授权校验通过后利用所述登录状态参数对Oauth授权码进行签名,生成具有状态字段签名的Oauth授权码。
6.如权利要求5所述的Oauth协议中的授权认证装置,其特征在于,所述的校验模块包括:
用户信息校验单元,用于对授权验证请求中的用户信息进行信息校验;
登录状态获取单元,用于信息校验通过后,获取用户的登录状态;
登录状态参数校验单元,用于根据获取的用户的登录状态与所述登录状态参数进行授权校验。
7.如权利要求5所述的Oauth协议中的授权认证装置,其特征在于,所述的授权码生成模块包括:
发送单元,用于授权校验通过后,将所述登录状态参数和授权验证请求中的用户信息发送至API开放平台;
接收单元,用于接收API开放平台利用所述登录状态参数对Oauth授权码进行签名处理生成的具有状态字段签名的Oauth授权码。
8.如权利要求5所述的Oauth协议中的授权认证装置,其特征在于,所述的装置还包括:
客户端状态字段验证单元,将具有状态字段签名的Oauth授权码返回至用户登录的客户端,以根据所述状态字段签名进行签名验证。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至4任一项所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010817479.3A CN111949958B (zh) | 2020-08-14 | 2020-08-14 | Oauth协议中的授权认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010817479.3A CN111949958B (zh) | 2020-08-14 | 2020-08-14 | Oauth协议中的授权认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111949958A true CN111949958A (zh) | 2020-11-17 |
| CN111949958B CN111949958B (zh) | 2023-08-18 |
Family
ID=73343203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010817479.3A Active CN111949958B (zh) | 2020-08-14 | 2020-08-14 | Oauth协议中的授权认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111949958B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113079175A (zh) * | 2021-04-14 | 2021-07-06 | 上海浦东发展银行股份有限公司 | 一种基于oauth2协议增强的授权系统及其方法 |
| CN114339742A (zh) * | 2021-12-27 | 2022-04-12 | 深圳市国电科技通信有限公司 | 基于安全芯片的离线ssh登录认证方法、装置及终端 |
| CN114500089A (zh) * | 2022-02-24 | 2022-05-13 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685139A (zh) * | 2012-08-30 | 2014-03-26 | 中兴通讯股份有限公司 | 认证授权处理方法及装置 |
| CN104837159A (zh) * | 2015-05-11 | 2015-08-12 | 上海交通大学 | Android平台OAuth协议误用安全检测方法 |
| US20160205108A1 (en) * | 2015-01-13 | 2016-07-14 | Oracle International Corporation | Identity management and authentication system for resource access |
| CN106559384A (zh) * | 2015-09-25 | 2017-04-05 | 阿里巴巴集团控股有限公司 | 一种利用公众号实现登录的方法及装置 |
| CN108234448A (zh) * | 2016-12-12 | 2018-06-29 | Sap欧洲公司 | 一种用于浏览器内应用的授权码流 |
| CN109428891A (zh) * | 2017-08-31 | 2019-03-05 | 佳能株式会社 | 权限转移系统及其控制方法和客户端 |
| CN110661817A (zh) * | 2019-10-25 | 2020-01-07 | 新华三大数据技术有限公司 | 资源访问方法、装置及服务网关 |
-
2020
- 2020-08-14 CN CN202010817479.3A patent/CN111949958B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685139A (zh) * | 2012-08-30 | 2014-03-26 | 中兴通讯股份有限公司 | 认证授权处理方法及装置 |
| US20160205108A1 (en) * | 2015-01-13 | 2016-07-14 | Oracle International Corporation | Identity management and authentication system for resource access |
| CN104837159A (zh) * | 2015-05-11 | 2015-08-12 | 上海交通大学 | Android平台OAuth协议误用安全检测方法 |
| CN106559384A (zh) * | 2015-09-25 | 2017-04-05 | 阿里巴巴集团控股有限公司 | 一种利用公众号实现登录的方法及装置 |
| CN108234448A (zh) * | 2016-12-12 | 2018-06-29 | Sap欧洲公司 | 一种用于浏览器内应用的授权码流 |
| CN109428891A (zh) * | 2017-08-31 | 2019-03-05 | 佳能株式会社 | 权限转移系统及其控制方法和客户端 |
| CN110661817A (zh) * | 2019-10-25 | 2020-01-07 | 新华三大数据技术有限公司 | 资源访问方法、装置及服务网关 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113079175A (zh) * | 2021-04-14 | 2021-07-06 | 上海浦东发展银行股份有限公司 | 一种基于oauth2协议增强的授权系统及其方法 |
| CN114339742A (zh) * | 2021-12-27 | 2022-04-12 | 深圳市国电科技通信有限公司 | 基于安全芯片的离线ssh登录认证方法、装置及终端 |
| CN114339742B (zh) * | 2021-12-27 | 2023-10-31 | 深圳市国电科技通信有限公司 | 基于安全芯片的离线ssh登录认证方法、装置及终端 |
| CN114500089A (zh) * | 2022-02-24 | 2022-05-13 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
| CN114500089B (zh) * | 2022-02-24 | 2024-02-09 | 特赞(上海)信息科技有限公司 | 基于OAuth2.0协议的授权登录方法、系统及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111949958B (zh) | 2023-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11711219B1 (en) | PKI-based user authentication for web services using blockchain | |
| CN108965230B (zh) | 一种安全通信方法、系统及终端设备 | |
| US9722984B2 (en) | Proximity-based authentication | |
| KR101883156B1 (ko) | 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버 | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| CN110555299B (zh) | 电子合同签订和存储方法、装置、计算机设备及存储介质 | |
| CN108551437B (zh) | 用于认证信息的方法和装置 | |
| WO2019079356A1 (en) | AUTHENTICATION TOKEN WITH CUSTOMER KEY | |
| CN111949958B (zh) | Oauth协议中的授权认证方法及装置 | |
| CN110177124B (zh) | 基于区块链的身份认证方法及相关设备 | |
| US9009793B2 (en) | Dynamic pin dual factor authentication using mobile device | |
| CN104883367B (zh) | 一种辅助验证登陆的方法、系统和应用客户端 | |
| WO2018228138A1 (zh) | 委托登录方法、相关设备和计算机可读存储介质 | |
| US9270666B2 (en) | Verification of user communication addresses | |
| US11483155B2 (en) | Access control using proof-of-possession token | |
| CN111931209B (zh) | 基于零知识证明的合同信息验证方法及装置 | |
| US20200196143A1 (en) | Public key-based service authentication method and system | |
| CN111949959B (zh) | Oauth协议中的授权认证方法及装置 | |
| CN103368831B (zh) | 一种基于熟客识别的匿名即时通讯系统 | |
| CN115022047A (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| TW201328280A (zh) | 即時通訊身分認證系統與方法 | |
| US11575667B1 (en) | System and method for secure communications | |
| CN111666590A (zh) | 分布式文件安全传输方法、装置及系统 | |
| CN110113339A (zh) | 电梯信息显示终端身份证书获取方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |