CN113328971A - 访问资源认证方法、装置及电子设备 - Google Patents
访问资源认证方法、装置及电子设备 Download PDFInfo
- Publication number
- CN113328971A CN113328971A CN202010127242.2A CN202010127242A CN113328971A CN 113328971 A CN113328971 A CN 113328971A CN 202010127242 A CN202010127242 A CN 202010127242A CN 113328971 A CN113328971 A CN 113328971A
- Authority
- CN
- China
- Prior art keywords
- resource
- application
- authentication
- access
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开一种访问资源认证方法、装置及电子设备,涉及信息安全技术领域。其中,基于预设的资源分级认证服务实现对不同隐私等级的访问资源的分级管理,使得认证服务器在接收到第三方应用发送的访问认证请求时,可根据预配置的资源分级认证服务获取与所述身份认证信息对应的身份认证等级,进而基于身份认证等级生成应用授权码,并反馈应用授权码给应用标识对应的第三方应用,最后使得第三方应用能够基于应用授权码向资源服务器申请访问资源。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,涉及一种访问资源认证方法方法、装置及电子设备。
背景技术
OAuth认证(开放授权)是目前流行的一种认证方式,其中,认证、授权是oAuth的核心概念,例如,现有OAuth规范完整描述了第三方应用如何通过资源所有者的许可,从资源服务器获取相关资源的流程,以在不泄露用户密码的情况下,让第三方应用在授权的范围内自由获取资源。例如,可通过资源所有者所在的认证服务器进行认证,避免了第三方应用直接接触用户的密码,通过把认证获得的令牌传递到第三方应用服务器,又可以实现用户对第三方应用的授权。
但在实际应用中,需要被授权的资源往往有着不同的隐私等级(例如话单和用户的订购信息显然具有不同的隐私等级),而在当前OAuth方式中,是无法区分资源的隐私等级属性,也无法实现对不同隐私等级的控制,例如,要不就是所有资源都只能通过一种认证方式进行授权,造成资源泄露的风险;要不就是具有较高隐私等级的资源都不允许被第三方应用访问,造成用户使用的不便。
发明内容
对于上述问题,本申请实施例提供了一种访问资源认证方法、装置及电子设备,具体如下。
第一方面,本申请实施例提供一种访问资源认证方法,应用于资源访问认证系统,所述资源访问认证系统包括第三方应用、认证服务器和资源服务器,所述方法包括:
所述第三方应用在接收到用户发起的访问操作时,发送访问认证请求给所述认证服务器,所述访问认证请求中携带有身份认证信息以及应用标识;
所述认证服务器在接收到访问认证请求时,根据预配置的资源分级认证服务获取与所述身份认证信息对应的身份认证等级,其中,所述资源分级认证服务中配置有不同级别的身份认证信息与不同的身份认证等级之间的对应关系;
所述认证服务器基于所述身份认证等级生成应用授权码,以及反馈所述应用授权码给所述应用标识对应的第三方应用;
所述第三方应用基于所述应用授权码向所述资源服务器申请访问资源。
作为一种可选地实现方式,所述认证服务器基于所述身份认证等级生成应用授权码的步骤之后,所述方法还包括:
所述认证服务器对所述应用授权码和所述身份认证等级进行关联保存;
所述第三方应用基于所述应用授权码向所述资源服务器申请访问资源的步骤,包括:
所述第三方应用在接收到所述应用授权码后,发送携带有所述应用授权码和应用标识的令牌获取请求给所述认证服务器;
在所述认证服务器基于关联保存的应用授权码和所述身份认证等级验证得到所述令牌获取请求中携带的应用授权码合法时,所述认证服务器继续基于所述应用授权码以及所述身份认证等级生成应用访问令牌,以及将所述应用访问令牌发送给所述第三方应用;
所述第三方应用基于所述应用访问令牌向所述资源服务器申请访问资源。
作为一种可选地实现方式,所述第三方应用基于所述应用访问令牌向所述资源服务器申请访问资源的步骤,包括:
所述第三方应用发送携带有应用访问令牌的资源访问请求给所述资源服务器;
所述资源服务器验证所述应用访问令牌对应的身份认证等级与所述应用访问令牌对应的待访问资源的隐私等级是否匹配,若匹配,返回与所述资源访问请求对应的资源给所述第三方应用。
作为一种可选地实现方式,所述资源分级认证服务中还配置有资源隐私等级与身份认证等级之间的对应关系,所述基于所述应用授权码以及所述身份认证等级生成应用访问令牌的步骤之后,所述方法还包括:
所述认证服务器对所述应用访问令牌和所述身份认证等级进行关联保存;
所述第三方应用基于所述应用访问令牌向所述资源服务器申请访问资源的步骤,还包括:
所述资源服务器发送携带有所述应用访问令牌的令牌验证请求给所述认证服务器;
所述认证服务器基于关联保存的所述应用访问令牌和所述身份认证等级验证所述应用访问令牌是否合法,并反馈验证结果给所述资源服务器;
在所述验证结果为所述应用访问令牌合法时,执行所述返回与所述资源访问请求对应的资源给所述第三方应用的步骤。
作为一种可选地实现方式,所述第三方应用在接收到用户发起的访问操作时,发送访问认证请求给所述认证服务器的步骤之前,所述方法还包括:
所述第三方应用在接收到用户登录请求时,返回重定向地址给用户终端;
所述认证服务器在接收到所述用户终端发送的携带有所述重定向地址的授权页面获取请求时,基于所述重定向地址生成授权页面,并将所述授权页面反馈给所述用户终端,以使得用户基于所述授权页面实现所述身份认证信息的输入。
作为一种可选地实现方式,所述身份认证信息至少包括密码、身份证号、随机码、预留问题的答案中的至少一种。
第二方面,本申请实施例提供一种访问资源认证方法,应用于认证服务器,所述访问资源认证方法包括:
接收第三方应用发送的访问认证请求,所述访问认证请求是所述第三方应用在接收到用户发起的访问操作时发送的,所述访问认证请求中携带有身份认证信息以及应用标识;
根据预配置的资源分级认证服务获取与所述身份认证信息对应的身份认证等级,其中,所述资源分级认证服务中配置有不同级别的身份认证信息与不同级别的身份认证等级之间的对应关系;
根据所述身份认证等级生成应用授权码,并对所述应用授权码和所述身份认证等级进行关联保存;
反馈所述应用授权码给所述应用标识的第三方应用,以使所述第三方应用基于所述应用授权码向资源服务器申请访问资源。
第三方面,本申请实施例提供一种访问资源认证方法,应用于资源服务器,所述访问资源认证方法包括:
在接收到携带有应用访问令牌的资源访问请求时,验证所述应用访问令牌对应的身份验证等级是否与待访问资源的资源隐私等级匹配;
在所述应用访问令牌对应的身份验证等级与待访问资源的资源隐私等级匹配时,发送携带有应用访问令牌的令牌验证请求给认证服务器进行令牌合法性的验证;
如果接收到的所述认证服务器反馈的验证结果为令牌合法时,反馈与所述资源访问请求对应的资源给所述资源访问请求对应的第三方应用。
第四方面,本申请实施例提供一种访问资源认证装置,应用于认证服务器,包括:
认证请求接收模块,用于接收第三方应用发送的访问认证请求,所述访问认证请求是所述第三方应用在接收到用户发起的访问操作时发送的,所述访问认证请求中携带有身份认证信息以及应用标识;
认证等级获取模块,用于根据预配置的资源分级认证服务获取与所述身份认证信息对应的身份认证等级,其中,所述资源分级认证服务中配置有不同级别的身份认证信息与不同级别的身份认证等级之间的对应关系;
授权码生成模块,用于根据所述身份认证等级生成应用授权码,并对所述应用授权码和所述身份认证等级进行关联保存;
授权码反馈模块,用于反馈所述应用授权码给所述应用标识的第三方应用,以使所述第三方应用基于所述应用授权码向资源服务器申请访问资源。
第五方面,本申请实施例提供一种电子设备,包括:
至少一个处理器;
与所述处理器连接的至少一个存储器;
其中,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述的方法。
第六方面,本申请实施例提供一种计算机可读存储介质,所述存储介质存储有计算机指令,所述计算机指令使所述计算机执行如上所述的方法。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
基于预设的资源分级认证服务,实现对不同隐私等级的访问资源的分级管理,有效确保访问资源的安全性,同时还能够提高用户访问资源的便捷性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例一提供的访问资源认证方法的流程示意图。
图2为本申请实施例一提供的访问资源认证方法的另一流程示意图。
图3为本申请实施例一提供的访问资源认证方法的交互流程示意图。
图4为本申请实施例二提供的访问资源认证方法的流程示意图。
图5为本申请实施例三提供的访问资源认证方法的流程示意图。
图6为本申请实施例四提供的访问资源认证装置的框图。
图7为本申请实施例五提供的电子设备的框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
实施例一
如图1所示,为本申请实施例提供的访问资源认证方法的流程示意图,该访问资源认证方法可以由,但不限于资源访问认证系统中的第三方应用、认证服务器和资源服务器等交互执行,具体可由各部件中的硬件或/和软件执行,例如,该访问资源认证方法可由安装于认证服务器等中的OAuth系统执行。请再次参照图1,本申请给出的访问资源认证方法可以包括如下步骤。
S11,第三方应用在接收到用户发起的访问操作时,发送访问认证请求给认证服务器,访问认证请求中携带有身份认证信息以及应用标识。
可选地,身份认证信息至少可以包括密码、身份证号、随机码、预留问题的答案中的至少一种。实际实施时,身份认证信息是根据预设的授权认证类型确定的,如授权类型(grant type)可以是"pass","pass+ic","pass+answer","pass+random"等,其中,"pass、ic、、answer"、random分别表示密码、身份证、预留问题的答案、随机码。换言之,身份认证信息可以为密码、密码+身份证、密码+预留问题的答案、密码+随机码等。需理解的是,不同身份认证信息对应不同的认证等级,不同的认证等级代表了资源服务器对资源所有者身份的确信程度,等级越高,信任度越强。
另外,S11中所述的应用标识用于对第三方应用进行唯一标识,
进一步,在一些实现方式中,在S11实现之前,访问资源认证方法还可包括S01和S10,内容如下。
S01,第三方应用在接收到用户登录请求时,返回重定向地址给用户终端。
S10,认证服务器在接收到用户终端发送的携带有重定向地址的授权页面获取请求时,基于重定向地址生成授权页面,并将授权页面反馈给用户终端,以使得用户基于授权页面实现身份认证信息的输入。
其中,在前述S01和S10的可能实现方式中,认证服务器返回初始授权页面给用户终端进行展示,使得用户能够根据需要授权的资源,在初始授权页面输入身份认证信息,用户终端将包含身份认证信息的HTTP请求(访问认证请求)给认证服务器。
另外,在一些实现方式中,HTTP请求还可包括第三方应用的应用标识(appid)、授权后重定向的回调链接地址(redirect uri)等。
示例性地,假设身份认证信息为密码+身份证号,那么,HTTP请求的伪代码实现形式可以为:
https://open.mobile.xxx.com/connect/oauth2/authorize?appid=10600201&redire ct_uri=http://xxx.xxx.com/oauth2.php&grant_type=pass+ic&reservation=&ic=350203198604014033X&random
S13,认证服务器在接收到访问认证请求时,根据预配置的资源分级认证服务获取与身份认证信息对应的身份认证等级,其中,资源分级认证服务中配置有不同级别的身份认证信息与不同的身份认证等级之间的对应关系。
需要注意的是,在实现本申请之前,可基于认证方式-认证等级-隐私等级-资源”这一资源认证分级模型在认证服务器中预先配置如表1所示的“认证方式-认证等级”资源分级认证服务。也就是,用户在进行资源访问时,需要通过基于资源认证服务实现的身份认证获得授权、认证,才能进一步实现资源访问。应注意的是,表1可预设在认证服务器中,且表1中所示的信息仅为示意,并不对本申请给出的技术方案造成限制。
表1
| 用户标识 | 认证等级 | 认证方式 | 时间、地点…. |
| user1 | 1 | 密码 | |
| user1 | 2 | 密码+身份证号 | |
| user1 | 3 | 密码+预留问题 | |
| user1 | 4 | 密码+预留问题+短信随机码 | |
| user2 | 1 | 密码+身份证号 | |
| …….. | …….. | ……….. |
表1中所示信息表示当前用户想要获得某一认证等级需要采用的认证方式,且获取的最高权限不超过当前用户的最高权限。需要说明的是,表1所示内容可根据实际需要进行扩展,如用户(如运营商等)所关心的时间、地点等要素。
S15,认证服务器基于身份认证等级生成应用授权码,以及反馈应用授权码给应用标识对应的第三方应用。
其中,本申请在获取授权码过程中,还可增加认证方式的记录(如认证服务器可对应用授权码和身份认证等级进行关联保存),并保存授权码和认证方式之间的关联关系,以用于后续访问资源的认证。
S17,第三方应用基于应用授权码向资源服务器申请访问资源。
实际实施时,S17的实现方式可以有多种,例如,作为一种可选地实现方式,S17可通过图2所示的S171至S175实现,内容如下。
S171,第三方应用在接收到应用授权码后,发送携带有应用授权码和应用标识的令牌获取请求给认证服务器。
实际实施时,第三方应用在接收到应用授权码后,还可反馈应用界面给用户终端,使得用户终端从当前界面跳转至第三方应用的应用界面。
S173,在认证服务器基于关联保存的应用授权码和身份认证等级验证得到令牌获取请求中携带的应用授权码合法时,认证服务器继续基于应用授权码以及身份认证等级生成应用访问令牌,以及将应用访问令牌发送给第三方应用。
同时,由于应用访问令牌是作为第三方应用访问资源服务器的凭证,因此,在本申请中,认证服务器还可对生成的访问令牌与对应的身份认证等级进行关联保存,以用于后续的鉴权、校验,实现资源访问。
S175,第三方应用基于应用访问令牌向资源服务器申请访问资源。
其中,作为一种可能的实现方式,S175可通过S1751至S1753实现,内容如下。
S1751,第三方应用发送携带有应用访问令牌的资源访问请求给资源服务器;
其中,令牌获取请求中可至少携带有第三方应用的应用标识、应用授权码等参数。示例性地,令牌获取请求的伪代码实现形式可以包括:https://open.mobile.xxx.com/oauth2/access_token?appid=10600201code=00b788e3b42043c8459a57a8d8ab5d9f
S1753,资源服务器验证应用访问令牌对应的身份认证等级与应用访问令牌对应的待访问资源的隐私等级是否匹配,若匹配,返回与资源访问请求对应的资源给第三方应用,若不匹配,则返回“错误提示信息”或“访问失败信息”给第三方应用。
需要说明的是,在执行S1751和S1753之前,本申请还可基于认证方式-认证等级-隐私等级-资源”这一资源认证分级模型在认证服务器中预先配置如表2所示的“隐私等级-认证等级-资源”资源分级认证服务,用户在进行资源访问时,需要通过基于资源认证服务实现的身份认证获得授权,才能对相应等级的资源进行访问。
其中,表2所示为在资源服务器接收到第三方应用发送的携带有应用访问令牌的资源访问请求时,对该资源访问请求对应的访问资源等级与访问资源的实际等级进行匹配校验。应注意,表2可预设在资源服务器中,且表2中所示的信息仅为示意,并不对本申请给出的技术方案造成限制。
另外,示例性地,前述的资源访问请求可通过下述伪代码实现:
https://open.mobile.xxx.com/userinfo?access_token=OezXcEiiBSKSxW0eoylIeAsR0GmYd1awCffdHgb4fhS_KKf2CotGj2cBNUKQQvj-G0ZWEE5-uBjBz941EOP qDQy5sS_GCs2z40dnvU99Y5AI1bw2uqN--2jXoBLIM5d6L9RImvm8Vg8cBAiLp WA8Vw&&msisdn=13960772090
表2
| 资源 | 资源路径/服务 | 隐私等级 | 最低认证等级 | 读写权限 |
| 普通的资料 | /common/file | 1级 | 1级 | w |
| 好友清单 | /friend/list | 2级 | 2级 | r |
| 消费记录 | /consume/record | 3级 | 3级 | r |
| 好友聊天记录 | /friend/chat | 4级 | 4级 | wr |
| … | … | … | … | … |
进一步,作为另一种实现方式中,S175的实现过程还可包括S1755至S1757实现,内容如下。
S1755,认证服务器基于关联保存的应用访问令牌和身份认证等级验证应用访问令牌是否合法,并反馈验证结果给资源服务器。
S1757,在验证结果为应用访问令牌合法时,执行返回与资源访问请求对应的资源给第三方应用的步骤。
示例性地,在S1755和S1757中,资源服务器验证应用访问令牌对应的资源等级是否高于即将访问的资源等级,若应用访问令牌合法,或者应用访问令牌对应的资源等级高于即将访问的资源等级,则判定具备访问对应资源的资格,并发送令牌验证请求给认证服务器。
应注意,如果应用访问令牌不合法,或者待访问的资源的隐私等级与应用访问令牌对应的身份验证等级不匹配时,反馈认证失败等提示信息给用户终端,以提示用户需要进行更高等级的认证和授权。
进一步,基于前述配置的资源分级认证服务,下面结合附图4对本申请给出的访问资源认证流程进行简单介绍。
1、重定向流程
(1)在用户通过用户终端登录第三方应用时,第三方应用返回授权重定向地址,用户终端在接收到的授权重定向地址时,基于该重定向地址发送授权页面请求给认证服务器。
(2)认证服务器生成并返回初始授权页面给用户终端进行展示,使得用户根据需要授权的内容,在初始授权页面输入身份认证信息。
2、身份认证流程
(3)用户终端将包含身份认证信息的HTTP请求(访问认证请求)发送给认证服务器,认证服务器在接收到HTTP请求后,根据该HTTP请求中携带的身份认证信息判断,该身份认证信息是否与预设身份信息匹配,在二者匹配时,基于预设的资源分级认证服务获取与身份认证信息对应的身份认证等级(参照表1),并基于获取的身份认证等级生成应用授权码;反馈该应用授权码发送HTTP请求的用户终端。同时,认证服务器还对生成的应用授权码以及对应的身份认证等级进行关联保存,以用于后续认证。
此外,如果身份认证信息与预设身份信息不匹配,反馈认证失败等提示信息给用户终端。
3、令牌获取流程
(4)在第三方应用接收到应用授权码后,反馈应用界面给用户终端,使得用户终端从当前界面跳转至第三方应用的应用界面。同时,第三方应用基于接收到的应用授权码向认证服务器申请应用访问令牌,换言之,第三方应用向认证服务器发送令牌获取请求申请应用访问令牌。
(5)认证服务器在接收到令牌获取请求后,首先对其携带的应用授权码的合法性进行验证,并在该应用授权码合法时,基于关联保存的应用授权码与身份认证等级,生成包括用户认证信息和授权信息的应用访问令牌,反馈给第三方应用。
4、资源访问流程
(6)第三方应用在收到认证服务器反馈的应用访问令牌且响应阿道用户发起的资源访问操作时,基于应用访问令牌向资源服务器发送资源访问请求以请求访问资源,该资源访问请求中至少可携带有应用访问令牌。
(7)资源服务器在接收到资源访问请求后,验证资源访问请求中携带的应用访问令牌是否合法(分级令牌鉴权),在合法时,发送令牌验证请求给认证服务器。
(8)认证服务器在接收到令牌验证请求后,验证该令牌验证请求中携带的应用访问令牌是否合法,在应用访问令牌合法时,返回验证结果给资源服务器。
(9)资源服务器在接收到验证结果后,如果验证结果为应用访问令牌合法时,资源服务器返回与资源访问请求对应的资源给第三方应用,供用户查看。
由前述给出的访问资源认证方法可以看出,本申请至少具有以下技术效果:
本申请通过将用于用户访问的资源按照资源的隐私程度划分为多个等级,进而基于该不同等级的资源引入多层级的访问认证方式,从而实现对不同隐私等级的资源只能通过对应等级认证方式进行资源访问时的身份认证、授权以及资源访问,有效确保了访问资源的安全性,同时还能够提高用户访问资源的便捷性。
另外,以OAuth系统为例,本申请改进了OAuth协议对认证和资源的处理方式,引入了认证和资源的分级机制,同时建立了认证和资源的匹配机制,保证了不同等级的资源必须被相应等级的认证方式所对应,完善了不同隐私等级资源的保护机制。
在资源访问的过程中,认证获得的授权和资源需要等级匹配,在鉴权过程中除了进行常规的令牌校验外,增加令牌对应的认证等级和资源私密等级之间的校验,保证只有高于私密等级的认证等级可以进行相关资源的操作,从而保证不同等级资源的隐私保护,克服了现有的OAuth服务无法有效对资源认证分级访问的缺陷。
实施例二
如图4所示,为本申请实施例提供的访问资源认证方法的流程示意图,该访问资源认证方法可以由,但不限于认证服务器执行,具体可由认证服务器中的硬件或/和软件执行,例如,该访问资源认证方法可由安装于认证服务器中的OAuth系统执行。可选地,认证服务器可以为,但不限于智能手机、电脑、服务器等终端。参照图4,本申请给出的访问资源认证方法可以包括如下步骤。
S21,接收第三方应用发送的访问认证请求,访问认证请求是第三方应用在接收到用户发起的访问操作时发送的,访问认证请求中携带有身份认证信息以及应用标识;
S23,根据预配置的资源分级认证服务获取与身份认证信息对应的身份认证等级,其中,资源分级认证服务中配置有不同级别的身份认证信息与不同级别的身份认证等级之间的对应关系;
S25,根据身份认证等级生成应用授权码,并对应用授权码和身份认证等级进行关联保存;
S27,反馈应用授权码给应用标识的第三方应用,以使第三方应用基于应用授权码向资源服务器申请访问资源。
需要说明的是,由于前述由认证服务器执行的S21至S27中给出的访问资源认证方法与实施例一中所述的由访问资源认证系统执行的访问资源认证方法具有相同或相应的技术特征,因此,关于本实施例二中的访问资源认证方法的详细描述可参照前述实施例一中的访问资源认证方法的详细描述,本实施例在此不做赘述。
实施例三
如图5所示,为本申请实施例提供的访问资源认证方法的流程示意图,该访问资源认证方法可以由,但不限于资源服务器执行,具体可由资源服务器中的硬件或/和软件执行,例如,该访问资源认证方法可由安装于认证服务器中的OAuth系统执行。可选地,资源服务器可以为,但不限于智能手机、电脑、服务器等终端。参照图5,本申请给出的访问资源认证方法可以包括如下步骤。
S31,在接收到携带有应用访问令牌的资源访问请求时,验证应用访问令牌对应的身份验证等级是否与待访问资源的资源隐私等级匹配;
S33,在应用访问令牌对应的身份验证等级与待访问资源的资源隐私等级匹配时,发送携带有应用访问令牌的令牌验证请求给认证服务器进行令牌合法性的验证;
S35,如果接收到的认证服务器反馈的验证结果为令牌合法时,反馈与资源访问请求对应的资源给资源访问请求对应的第三方应用。
需要说明的是,由于前述由资源服务器执行的S31至S35中给出的访问资源认证方法与实施例一中所述的由访问资源认证系统执行的访问资源认证方法具有相同或相应的技术特征,因此,关于本实施例三中的访问资源认证方法的详细描述可参照前述实施例一中的访问资源认证方法的详细描述,本实施例在此不做赘述。
实施例四
图6是根据一示例性实施例示出的一种访问资源认证装置100的框图,该访问资源认证装置100可应用于第一客户端。参照图5,访问资源认证装置100包括认证请求接收模块110、认证等级获取模块120、授权码生成模块130和授权码反馈模块140。
认证请求接收模块110,用于接收第三方应用发送的访问认证请求,访问认证请求是第三方应用在接收到用户发起的访问操作时发送的,访问认证请求中携带有身份认证信息以及应用标识;
认证等级获取模块120,用于根据预配置的资源分级认证服务获取与身份认证信息对应的身份认证等级,其中,资源分级认证服务中配置有不同级别的身份认证信息与不同级别的身份认证等级之间的对应关系;
授权码生成模块130,用于根据身份认证等级生成应用授权码,并对应用授权码和身份认证等级进行关联保存;
授权码反馈模块140,用于反馈应用授权码给应用标识的第三方应用,以使第三方应用基于应用授权码向资源服务器申请访问资源。
关于本实施例中的装置100,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。例如,关于认证请求接收模块110的详细描述可参照前述实施例一中对S21的描述等。
实施例五
请参阅图7,为根据一实施例性实施例提供的一种电子设备10的框图,该电子设备10可至少包括处理器11,用于存储处理器11可执行指令的存储器12。其中,处理器11被配置为执行指令,以实现如上述实施例中的访问资源认证方法的全部步骤或部分步骤。
处理器11、存储器12之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,处理器11用于读/写存储器中存储的数据或程序,并执行相应地功能。
存储器12用于存储程序或者数据,如存储处理器110可执行指令。该存储器12可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read OnlyMemory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
进一步,作为一种可能的实现方式,电子设备10还可包括电源组件、多媒体组件、音频组件、输入/输出(I/O)接口、传感器组件以及通信组件等。
电源组件为电子设备10的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源、以及其他与为电子设备10生成、管理和分配电力相关联的组件。
多媒体组件包括在电子设备10和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件包括一个前置摄像头和/或后置摄像头。当电子设备10处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件被配置为输出和/或输入音频信号。例如,音频组件包括一个麦克风(MIC),当电子设备10处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器12或经由通信组件发送。在一些实施例中,音频组件还包括一个扬声器,用于输出音频信号。
I/O接口为处理组件和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件包括一个或多个传感器,用于为电子设备10提供各个方面的状态评估。例如,传感器组件可以检测到电子设备10的打开/关闭状态,组件的相对定位,例如组件为电子设备10的显示器和小键盘,传感器组件还可以检测电子设备10或电子设备10一个组件的位置改变,用户与电子设备10接触的存在或不存在电子设备10方位或加速/减速和电子设备10的温度变化。传感器组件可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件被配置为便于电子设备10和其他设备之间有线或无线方式的通信。电子设备10可以接入基于通信标准的无线网络,如WiFi,运营商网络(如2G、3G、4G或5G),或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,电子设备10可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
应当理解的是,图7所示的结构仅为电子设备10的结构示意图,该电子设备10还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。图7中所示的各组件可以采用硬件、软件或其组合实现。
实施例六
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器12,上述指令可由电子设备10的处理器11执行以完成上述访问资源认证方法。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种访问资源认证方法,其特征在于,应用于资源访问认证系统,所述资源访问认证系统包括第三方应用、认证服务器和资源服务器,所述方法包括:
所述第三方应用在接收到用户发起的访问操作时,发送访问认证请求给所述认证服务器,所述访问认证请求中携带有身份认证信息以及应用标识;
所述认证服务器在接收到访问认证请求时,根据预配置的资源分级认证服务获取与所述身份认证信息对应的身份认证等级,其中,所述资源分级认证服务中配置有不同级别的身份认证信息与不同的身份认证等级之间的对应关系;
所述认证服务器基于所述身份认证等级生成应用授权码,以及反馈所述应用授权码给所述应用标识对应的第三方应用;
所述第三方应用基于所述应用授权码向所述资源服务器申请访问资源。
2.根据权利要求1所述的访问资源认证方法,其特征在于,所述认证服务器基于所述身份认证等级生成应用授权码的步骤之后,所述方法还包括:
所述认证服务器对所述应用授权码和所述身份认证等级进行关联保存;
所述第三方应用基于所述应用授权码向所述资源服务器申请访问资源的步骤,包括:
所述第三方应用在接收到所述应用授权码后,发送携带有所述应用授权码和应用标识的令牌获取请求给所述认证服务器;
在所述认证服务器基于关联保存的应用授权码和所述身份认证等级验证得到所述令牌获取请求中携带的应用授权码合法时,所述认证服务器继续基于所述应用授权码以及所述身份认证等级生成应用访问令牌,以及将所述应用访问令牌发送给所述第三方应用;
所述第三方应用基于所述应用访问令牌向所述资源服务器申请访问资源。
3.根据权利要求2所述的访问资源认证方法,其特征在于,所述第三方应用基于所述应用访问令牌向所述资源服务器申请访问资源的步骤,包括:
所述第三方应用发送携带有应用访问令牌的资源访问请求给所述资源服务器;
所述资源服务器验证所述应用访问令牌对应的身份认证等级与所述应用访问令牌对应的待访问资源的隐私等级是否匹配,若匹配,返回与所述资源访问请求对应的资源给所述第三方应用。
4.根据权利要求3所述的访问资源认证方法,其特征在于,所述资源分级认证服务中还配置有资源隐私等级与身份认证等级之间的对应关系,所述基于所述应用授权码以及所述身份认证等级生成应用访问令牌的步骤之后,所述方法还包括:
所述认证服务器对所述应用访问令牌和所述身份认证等级进行关联保存;
所述第三方应用基于所述应用访问令牌向所述资源服务器申请访问资源的步骤,还包括:
所述资源服务器发送携带有所述应用访问令牌的令牌验证请求给所述认证服务器;
所述认证服务器基于关联保存的所述应用访问令牌和所述身份认证等级验证所述应用访问令牌是否合法,并反馈验证结果给所述资源服务器;
在所述验证结果为所述应用访问令牌合法时,执行所述返回与所述资源访问请求对应的资源给所述第三方应用的步骤。
5.根据权利要求1-4中任一项所述的访问资源认证方法,其特征在于,所述身份认证信息至少包括密码、身份证号、随机码、预留问题的答案中的至少一种。
6.一种访问资源认证方法,其特征在于,应用于认证服务器,所述访问资源认证方法包括:
接收第三方应用发送的访问认证请求,所述访问认证请求是所述第三方应用在接收到用户发起的访问操作时发送的,所述访问认证请求中携带有身份认证信息以及应用标识;
根据预配置的资源分级认证服务获取与所述身份认证信息对应的身份认证等级,其中,所述资源分级认证服务中配置有不同级别的身份认证信息与不同级别的身份认证等级之间的对应关系;
根据所述身份认证等级生成应用授权码,并对所述应用授权码和所述身份认证等级进行关联保存;
反馈所述应用授权码给所述应用标识的第三方应用,以使所述第三方应用基于所述应用授权码向资源服务器申请访问资源。
7.一种访问资源认证方法,其特征在于,应用于资源服务器,所述访问资源认证方法包括:
在接收到携带有应用访问令牌的资源访问请求时,验证所述应用访问令牌对应的身份验证等级是否与待访问资源的资源隐私等级匹配;
在所述应用访问令牌对应的身份验证等级与待访问资源的资源隐私等级匹配时,发送携带有应用访问令牌的令牌验证请求给认证服务器进行令牌合法性的验证;
如果接收到的所述认证服务器反馈的验证结果为令牌合法时,反馈与所述资源访问请求对应的资源给所述资源访问请求对应的第三方应用。
8.一种访问资源认证装置,其特征在于,应用于认证服务器,包括:
认证请求接收模块,用于接收第三方应用发送的访问认证请求,所述访问认证请求是所述第三方应用在接收到用户发起的访问操作时发送的,所述访问认证请求中携带有身份认证信息以及应用标识;
认证等级获取模块,用于根据预配置的资源分级认证服务获取与所述身份认证信息对应的身份认证等级,其中,所述资源分级认证服务中配置有不同级别的身份认证信息与不同级别的身份认证等级之间的对应关系;
授权码生成模块,用于根据所述身份认证等级生成应用授权码,并对所述应用授权码和所述身份认证等级进行关联保存;
授权码反馈模块,用于反馈所述应用授权码给所述应用标识的第三方应用,以使所述第三方应用基于所述应用授权码向资源服务器申请访问资源。
9.一种电子设备,其特征在于,包括:
至少一个处理器;
与所述处理器连接的至少一个存储器;
其中,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令使所述计算机执行如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010127242.2A CN113328971B (zh) | 2020-02-28 | 2020-02-28 | 访问资源认证方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010127242.2A CN113328971B (zh) | 2020-02-28 | 2020-02-28 | 访问资源认证方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113328971A true CN113328971A (zh) | 2021-08-31 |
| CN113328971B CN113328971B (zh) | 2023-07-11 |
Family
ID=77412535
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010127242.2A Active CN113328971B (zh) | 2020-02-28 | 2020-02-28 | 访问资源认证方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113328971B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113987560A (zh) * | 2021-12-29 | 2022-01-28 | 北京交研智慧科技有限公司 | 一种数据的零信任认证方法、装置及电子设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631116A (zh) * | 2009-08-10 | 2010-01-20 | 中国科学院地理科学与资源研究所 | 一种分布式双重授权及访问控制方法和系统 |
| US20100235286A1 (en) * | 2009-03-13 | 2010-09-16 | Gidah, Inc. | Method and system for generating tokens in a transaction handling system |
| CN102457377A (zh) * | 2011-08-08 | 2012-05-16 | 中标软件有限公司 | 基于角色的Web远程认证与授权方法及系统 |
| US20130117860A1 (en) * | 2009-12-14 | 2013-05-09 | International Business Machines Corporation | Controlling Access Within a Protected Data Environment |
| US20160210621A1 (en) * | 2014-12-03 | 2016-07-21 | Sal Khan | Verifiable credentials and methods thereof |
| US20180234464A1 (en) * | 2017-02-15 | 2018-08-16 | Microsoft Technology Licensing, Llc | Brokered authentication with risk sharing |
| CN108512784A (zh) * | 2018-06-21 | 2018-09-07 | 珠海宏桥高科技有限公司 | 基于网关路由转发的鉴权认证方法 |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| CN109756446A (zh) * | 2017-11-01 | 2019-05-14 | 中车株洲电力机车研究所有限公司 | 一种车载设备的访问方法和系统 |
| CN110245472A (zh) * | 2019-01-16 | 2019-09-17 | 腾讯科技(深圳)有限公司 | 身份认证方法、个人安全内核节点、和介质 |
-
2020
- 2020-02-28 CN CN202010127242.2A patent/CN113328971B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100235286A1 (en) * | 2009-03-13 | 2010-09-16 | Gidah, Inc. | Method and system for generating tokens in a transaction handling system |
| CN101631116A (zh) * | 2009-08-10 | 2010-01-20 | 中国科学院地理科学与资源研究所 | 一种分布式双重授权及访问控制方法和系统 |
| US20130117860A1 (en) * | 2009-12-14 | 2013-05-09 | International Business Machines Corporation | Controlling Access Within a Protected Data Environment |
| CN102457377A (zh) * | 2011-08-08 | 2012-05-16 | 中标软件有限公司 | 基于角色的Web远程认证与授权方法及系统 |
| US20160210621A1 (en) * | 2014-12-03 | 2016-07-21 | Sal Khan | Verifiable credentials and methods thereof |
| US20180234464A1 (en) * | 2017-02-15 | 2018-08-16 | Microsoft Technology Licensing, Llc | Brokered authentication with risk sharing |
| CN109756446A (zh) * | 2017-11-01 | 2019-05-14 | 中车株洲电力机车研究所有限公司 | 一种车载设备的访问方法和系统 |
| CN108512784A (zh) * | 2018-06-21 | 2018-09-07 | 珠海宏桥高科技有限公司 | 基于网关路由转发的鉴权认证方法 |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| CN110245472A (zh) * | 2019-01-16 | 2019-09-17 | 腾讯科技(深圳)有限公司 | 身份认证方法、个人安全内核节点、和介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113987560A (zh) * | 2021-12-29 | 2022-01-28 | 北京交研智慧科技有限公司 | 一种数据的零信任认证方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113328971B (zh) | 2023-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104202306B (zh) | 访问认证方法、装置及系统 | |
| KR101839744B1 (ko) | 단문 메시지 서비스 판독 방법 및 장치 | |
| KR102377724B1 (ko) | 기기의 네트워크 구성 방법, 장치 및 매체 | |
| CN106211159B (zh) | 基于蓝牙的身份识别方法及装置 | |
| US11658963B2 (en) | Cooperative communication validation | |
| US11489831B2 (en) | Communication system and computer readable storage medium | |
| US10313870B2 (en) | Identity verification method and apparatus, and storage medium | |
| CN110049062B (zh) | 验证码校验方法、装置、系统、服务器、电子设备及存储介质 | |
| CN107959757B (zh) | 用户信息处理方法、装置、app服务器和终端设备 | |
| CN113204759A (zh) | 一种身份认证方法及装置、电子设备和存储介质 | |
| US9667784B2 (en) | Methods and devices for providing information in voice service | |
| CN105282162A (zh) | 账号管理业务的处理方法及装置 | |
| CN114218510A (zh) | 业务页面显示方法、装置和设备 | |
| CN105303120B (zh) | 短信读取方法及装置 | |
| CN113328971B (zh) | 访问资源认证方法、装置及电子设备 | |
| CN108712384B (zh) | 终端认证方法、装置、终端及服务器 | |
| CN114124462B (zh) | 验证码传输方法、装置、电子设备及存储介质 | |
| CN106408304B (zh) | 账户安全管理方法和装置 | |
| CN110430202B (zh) | 认证方法及装置 | |
| CN113901496A (zh) | 基于多业务系统的业务处理方法、装置和设备 | |
| CN112468834B (zh) | 属性值更新方法、装置、电子设备、服务器及存储介质 | |
| CN114221788B (zh) | 登录方法、装置、电子设备及存储介质 | |
| CN110139230B (zh) | 转发短信的方法、装置及智能设备 | |
| CN106411869A (zh) | 通信方法及装置 | |
| CN117882411A (zh) | 北向应用程序接口api调用方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |