JP7226457B2 - トークン保護方法、認可システム、装置、及び、プログラム記録媒体 - Google Patents
トークン保護方法、認可システム、装置、及び、プログラム記録媒体 Download PDFInfo
- Publication number
- JP7226457B2 JP7226457B2 JP2020572042A JP2020572042A JP7226457B2 JP 7226457 B2 JP7226457 B2 JP 7226457B2 JP 2020572042 A JP2020572042 A JP 2020572042A JP 2020572042 A JP2020572042 A JP 2020572042A JP 7226457 B2 JP7226457 B2 JP 7226457B2
- Authority
- JP
- Japan
- Prior art keywords
- token
- hash value
- client
- refresh
- authorization server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Description
・クライアント認証が可能な認可コードフローと、
・クライアントが認証情報を安全に保持することが難しいために、クライアント認証を行わないインプリシットフローと、
に大きく分けられる。
(1-1) クライアント30が、ユーザエージェント20を介してリソースサーバ50へのアクセスを要求するリクエストを認可サーバ40に送信する(S101)。
(2-1) クライアント30は、アクセストークンの有効期限が切れたら、認可サーバ40へリフレッシュトークンとクライアント認証情報を送信する(S201)。
前記認可サーバは、前記リフレッシュトークンのハッシュ値を受信すると、前記リフレッシュトークンの更新用乱数を生成して前記クライアントに送信し、
前記クライアントは、前記更新用乱数を用いて前記リフレッシュトークンを更新するトークン保護方法が提供される。
少なくともトークンのハッシュ値を受信する処理と、
前記ハッシュ値に基づき、前記ハッシュ値に対応するトークンを検証する処理と、
検証の結果、前記ハッシュ値に対応するトークンが正しいトークンである場合、前記トークンの更新用乱数を生成し、前記トークンの更新用乱数をクライアントに送信する処理と、を実行させるプログラム、及び、該プログラムを記録したコンピュータ読み出し可能な記録媒体(半導体メモリ(例えばRAM(Random Access Memory)、ROM(Read Only Memory)、又は、EERROM(Electrically Erasable and Programmable ROM))等の半導体ストレージ、HDD(Hard Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)等の非一時的コンピュータ読み出し可能記録媒体(non-transitory computer readable recording medium))が提供される。
(3-1) クライアント30は、リフレッシュトークンのハッシュ値を生成する(S301)。
(4-1) クライアント30は、アクセストークンのハッシュ値を生成する(S401)。
RT ← RT xor r ・・・(1)
xorは、ビット毎の排他的論理和(bitwise exclusive or)である。
RT ← Trunc(H(RT||r)) ・・・(2)
ユーザの情報を保有するリソースサーバと、
前記リソースサーバにアクセスしてユーザにサービスを提供するクライアントと、
前記クライアントに対して前記リソースサーバにアクセスする際のユーザの認可情報を示すアクセストークン、及び、前記アクセストークンを再発行するためのリフレッシュトークンを発行する認可サーバと、
を備え、
前記クライアントは、前記リフレッシュトークンの使用時に、前記認可サーバに対して前記リフレッシュトークンのハッシュ値を送信し、
前記認可サーバは、前記リフレッシュトークンのハッシュ値を受信すると、前記リフレッシュトークンの更新用乱数を生成して前記クライアントに送信し、
前記クライアントは、前記更新用乱数を用いて、前記リフレッシュトークンを更新する、ことを特徴とする、認可システム。
前記クライアントは、前記アクセストークン使用時に、前記リソースサーバに対して、前記アクセストークンのハッシュ値を送信し、
前記認可サーバは、前記リソースサーバから、前記アクセストークンの前記ハッシュ値を受信すると、更新用乱数を生成して前記クライアントに送信し、
前記クライアント及び前記認可サーバは、前記更新用乱数を用いてそれぞれが保持する前記アクセストークン及び前記リフレッシュトークンを更新する、ことを特徴とする、付記1に記載の認可システム。
予め前記認可サーバと前記クライアントで共有している初期値と、前記認可サーバから送信される更新用乱数とに基づき、前記アクセストークン及び前記リフレッシュトークンを更新する、ことを特徴とする、付記1又は2に記載の認可システム。
前記認可サーバは、前記リフレッシュトークンのハッシュ値と、前記リフレッシュトークンのインデックスを前記クライアントから受信し、
前記インデックスからリフレッシュトークンを特定し、
前記特定したリフレッシュトークンのハッシュ値を生成し、
生成した前記ハッシュ値と、受信した前記ハッシュ値とを比較し、
2つのハッシュ値が互いに一致する場合、新しいアクセストークンを生成し、
前記新しいアクセストークンと、前記リフレッシュトークンの更新用乱数とを前記クライアントに送信する、ことを特徴とする、付記1乃至3のいずれか一に記載の認可システム。
前記認可サーバは、前記リフレッシュトークンのハッシュ値を前記クライアントから受信し、
受信した前記ハッシュ値を、トークンのハッシュ値を記憶したメモリを参照して検索し、
前記ハッシュ値が検索された場合、新しいアクセストークンを生成し、
前記新しいアクセストークンと、前記リフレッシュトークンの更新用乱数とを前記クライアントに送信する、ことを特徴とする、付記1乃至3のいずれか一に記載の認可システム。
前記認可サーバは、
前記クライアントから受信したアクセストークンのハッシュ値の問い合わせを前記認可サーバに行うリソースサーバから、前記アクセストークンのハッシュ値と前記アクセストークンのインデックスを受信し、
前記インデックスからアクセストークンを特定し、前記特定したアクセストークンのハッシュ値を生成し、
生成した前記ハッシュ値と、受信した前記ハッシュ値とを比較し、
2つのハッシュ値が互いに一致する場合、
認可情報を生成して前記リソースサーバに送信し、
前記更新用乱数を生成し、前記クライアントに送信する、ことを特徴とする付記2に記載の認可システム。
前記認可サーバは、
前記クライアントから受信したアクセストークンのハッシュ値の問い合わせを前記認可サーバに行うリソースサーバから、前記アクセストークンの前記ハッシュ値を受信し、
受信した前記ハッシュ値を、トークンのハッシュ値を記憶したメモリを参照して検索し、
前記ハッシュ値が検索された場合、
認可情報を生成して前記リソースサーバに送信し、
さらに前記更新用乱数を生成し、前記クライアントに送信する、ことを特徴とする付記2に記載の認可システム。
リソースサーバへのアクセスの認可がリソースオーナーから与えられたクライアントにトークンを発行する認可サーバ装置であって、
少なくともトークンのハッシュ値を受信する第1の手段と、
前記ハッシュ値に基づきトークンを検証する第2の手段と、
前記検証の結果、前記ハッシュ値に対応するトークンが正しいトークンである場合、前記トークンの更新用乱数を生成し、前記トークンの更新用乱数をクライアントに送信する第3の手段と、を備えた、ことを特徴とする、認可サーバ装置。
前記トークンはリフレッシュトークンであり、
前記第1の手段は、前記リフレッシュトークンのハッシュ値と、前記リフレッシュトークンのインデックスを前記クライアントから受信し、
前記第2の手段は、前記インデックスからリフレッシュトークンを特定し、
前記特定したリフレッシュトークンのハッシュ値を生成し、
生成した前記ハッシュ値と、受信した前記ハッシュ値とを比較し、
前記第3の手段は、2つのハッシュ値が互いに一致する場合、新しいアクセストークンを生成する手段を備え、前記新しいアクセストークンと、前記リフレッシュトークンの更新用乱数とを前記クライアントに送信する、ことを特徴とする、付記8に記載の認可サーバ装置。
前記トークンはリフレッシュトークンであり、
前記第1の手段は、前記リフレッシュトークンのハッシュ値を前記クライアントから受信し、
前記第2の手段は、トークンのハッシュ値を記憶したメモリを参照して検索し、
前記ハッシュ値が検索された場合、新しいアクセストークンを生成する第4の手段を備え、
前記第3の手段は、前記新しいアクセストークンと、前記リフレッシュトークンの更新用乱数とを前記クライアントに送信する、ことを特徴とする、付記8に記載の認可サーバ装置。
前記トークンはアクセストークンであり、
前記第1の手段は、前記クライアントからアクセストークンを受信したリソースサーバ装置が、トークンの問い合わせを、前記認可サーバ装置に行う際に、前記リソースサーバ装置から、前記アクセストークンのハッシュ値と前記アクセストークンのインデックスを受信し、
前記第2の手段は、前記インデックスからアクセストークンを特定し、前記アクセストークンが有効であれば、前記特定したアクセストークンのハッシュ値を生成し、
生成した前記ハッシュ値と、受信した前記ハッシュ値とを比較し、
2つのハッシュ値が互いに一致する場合、認可情報を生成して前記リソースサーバに送信する第4の手段を備え、
前記2つのハッシュ値が互いに一致する場合、前記第3の手段は、前記更新用乱数を生成し、前記クライアントに送信する、ことを特徴とする、付記8に記載の認可サーバ装置。
前記トークンはアクセストークンであり、
前記第1の手段は、前記クライアントからアクセストークンを受信したリソースサーバ装置が、トークンの問い合わせを、前記認可サーバ装置に行う際に、前記リソースサーバ装置から、前記アクセストークンのハッシュ値を受信し、
前記第2の手段は、トークンのハッシュ値を記憶したメモリを参照して検索し、
前記ハッシュ値が検索された場合、認可情報を生成して前記リソースサーバに送信する第4の手段を備え、
前記第3の手段は、前記更新用乱数を生成し、前記クライアントに送信する、ことを特徴とする、付記8に記載の認可サーバ装置。
リソースオーナーの許可を得てリソースオーナーの代理として保護されたリソースに対するアクセスを行うクライアント装置であって、
リソースサーバへのアクセスの認可がリソースオーナーから与えられた前記クライアントにトークンを発行する認可サーバから発行されたトークンのハッシュ値を生成する第1の手段と、
前記ハッシュ値を前記認可サーバに送信する第2の手段と、
前記認可サーバから送信されたトークンの更新用乱数を受信し、前記トークンを、前記更新用乱数を用いて更新する第3の手段と、
を備えた、ことを特徴とする、クライアント装置。
リソースオーナーの許可を得てリソースオーナーの代理としてリソースサーバの保護されたリソースに対するアクセスを行うクライアントが、リフレッシュトークンの使用時に、前記リフレッシュトークンのハッシュ値を認可サーバに送信し、
前記認可サーバは、前記リフレッシュトークンのハッシュ値を受信すると、前記リフレッシュトークンの更新用乱数を生成して前記クライアントに送信し、
前記クライアントは、前記更新用乱数を用いて前記リフレッシュトークンを更新する、ことを特徴とする、トークン保護方法。
前記クライアントは、前記アクセストークン使用時に、前記アクセストークンのハッシュ値を前記リソースサーバに送信し、
前記認可サーバは、前記リソースサーバから、前記アクセストークンの前記ハッシュ値を受信すると、更新用乱数を生成して前記クライアントに送信し、
前記クライアント及び前記認可サーバは、それぞれの前記アクセストークン及び前記リフレッシュトークンを更新する、ことを特徴とする、付記14に記載のトークン保護方法。
予め前記認可サーバと前記クライアントで共有している初期値と、前記認可サーバから送信される更新用乱数とに基づき、前記アクセストークン及び前記リフレッシュトークンを更新する、ことを特徴とする、付記14又は15に記載のトークン保護方法。
前記認可サーバは、前記リフレッシュトークンのハッシュ値と、前記リフレッシュトークンのインデックスを前記クライアントから受信し、
前記インデックスからリフレッシュトークンを特定し、
前記特定したリフレッシュトークンのハッシュ値を生成し、
生成した前記ハッシュ値と、受信した前記ハッシュ値とを比較し、
2つのハッシュ値が互いに一致する場合、新しいアクセストークンを生成し、
前記新しいアクセストークンと、前記リフレッシュトークンの更新用乱数とを前記クライアントに送信する、ことを特徴とする、付記14乃至16のいずれか一に記載のトークン保護方法。
前記認可サーバは、前記リフレッシュトークンのハッシュ値を前記クライアントから受信し、
受信した前記ハッシュ値を、トークンのハッシュ値を記憶したメモリを参照して検索し、
前記ハッシュ値が検索された場合、新しいアクセストークンを生成し、
前記新しいアクセストークンと、前記リフレッシュトークンの更新用乱数とを前記クライアントに送信する、ことを特徴とする、付記14乃至17のいずれか一に記載のトークン保護方法。
前記認可サーバは、
前記クライアントから受信したアクセストークンのハッシュ値の問い合わせを前記認可サーバに行うリソースサーバから、前記アクセストークンのハッシュ値と前記アクセストークンのインデックスを受信し、
前記インデックスからアクセストークンを特定し、前記特定したアクセストークンのハッシュ値を生成し、
生成した前記ハッシュ値と、受信した前記ハッシュ値とを比較し、
2つのハッシュ値が互いに一致する場合、
認可情報を生成して前記リソースサーバに送信し、
前記更新用乱数を生成し、前記クライアントに送信する、ことを特徴とする付記15に記載のトークン保護方法。
前記認可サーバは、
前記クライアントから受信したアクセストークンのハッシュ値の問い合わせを前記認可サーバに行うリソースサーバから、前記アクセストークンの前記ハッシュ値を受信し、
受信した前記ハッシュ値を、トークンのハッシュ値を記憶したメモリを参照して検索し、
前記ハッシュ値が検索された場合、
認可情報を生成して前記リソースサーバに送信し、
さらに前記更新用乱数を生成し、前記クライアントに送信する、ことを特徴とする付記15に記載のトークン保護方法。
保護されたリソースを保持し、クライアントからのアクセストークンを用いた前記保護されたリソースへのリクエストを受理しリスポンスを返すリソースサーバ装置であって、
前記クライアントからアクセストークンのハッシュ値を受信する第1の手段と、
前記アクセストークンのハッシュ値を認可サーバに問い合わせる第2の手段と、
前記認可サーバからの認可情報に基づいて、前記クライアントにサービスを提供する第3の手段と、
を備えた、こと特徴とする、リソースサーバ装置。
リソースサーバへのアクセスの認可がリソースオーナーから与えられたクライアントにトークンを発行する認可サーバ装置のプロセッサに、
少なくともトークンのハッシュ値を受信する処理と、
前記ハッシュ値に基づき、前記ハッシュ値に対応するトークンを検証する処理と、
前記検証の結果、前記ハッシュ値に対応するトークンが正しいトークンである場合、前記トークンの更新用乱数を生成し、前記トークンの更新用乱数をクライアントに送信する処理と、を実行させるプログラム。
リソースサーバへのアクセスの認可がリソースオーナーから与えられたクライアントにトークンを発行する認可サーバ装置のプロセッサに、
少なくともトークンのハッシュ値を受信する処理と、
前記ハッシュ値に基づき、前記ハッシュ値に対応するトークンを検証する処理と、
前記検証の結果、前記ハッシュ値に対応するトークンが正しいトークンである場合、前記トークンの更新用乱数を生成し、前記トークンの更新用乱数をクライアントに送信する処理を実行させるプログラムを記録したコンピュータ読み出し可能な非一時的(non-transitory)記録媒体。
リソースオーナーの許可を得てリソースオーナーの代理として保護されたリソースに対するアクセスを行うクライアント装置のプロセッサに、
認可サーバ装置から発行されたトークンのハッシュ値を生成する処理と、
前記ハッシュ値を前記認可サーバに送信する処理と、
前記認可サーバから送信されたトークンの更新用乱数を受信し、前記トークンを、前記更新用乱数を用いて更新する処理と、を実行させるプログラム。
リソースオーナーの許可を得てリソースオーナーの代理として保護されたリソースに対するアクセスを行うクライアントシステムのプロセッサに、
認可サーバ装置から発行されたトークンのハッシュ値を生成する処理と、
前記ハッシュ値を前記認可サーバに送信する処理と、
前記認可サーバから送信されたトークンの更新用乱数を受信し、前記トークンを、前記更新用乱数を用いて更新する処理を実行させるプログラムを記録したコンピュータ読み出し可能な非一時的(non-transitory)記録媒体。
保護されたリソースを保持し、クライアントからのアクセストークンを用いた前記保護されたリソースへのリクエストを受理しリスポンスを返すリソースサーバ装置のプロセッサに、
前記クライアントからアクセストークンのハッシュ値を受信する処理と、
前記アクセストークンのハッシュ値を認可サーバに問い合わせる処理と、
前記認可サーバからの認可情報に基づいて、前記クライアントにサービスを提供する処理、を実行させるプログラム。
保護されたリソースを保持し、クライアントからのアクセストークンを用いた前記保護されたリソースへのリクエストを受理しリスポンスを返すリソースサーバ装置のプロセッサに、
前記クライアントからアクセストークンのハッシュ値を受信する処理と、
前記アクセストークンのハッシュ値を認可サーバに問い合わせる処理と、
前記認可サーバからの認可情報に基づいて、前記クライアントにサービスを提供する処理、を実行させるプログラムを記録したコンピュータ読み出し可能な非一時的(non-transitory)記録媒体。
11 スマートフォン(移動機)
12 PC
20 ユーザエージェント
30 クライアント
40 認可サーバ
50 リソースサーバ
100 コンピュータ装置
101 プロセッサ
102 メモリ
103 NIC(ネットワークインタフェースカード、ネットワークインタフェースコントローラ)
301、401 トークン制御部
302、402 トークン管理部
303、403 ハッシュ値生成部
304、406 トークン更新部
404 ハッシュ値比較部
405 更新用乱数生成部
407 ハッシュ値検索部
Claims (10)
- ユーザの情報を保有するリソースサーバと、
前記リソースサーバにアクセスしてユーザにサービスを提供するクライアントと、
前記クライアントに対して前記リソースサーバにアクセスする際のユーザの認可情報を示すアクセストークン、及び、前記アクセストークンを再発行するためのリフレッシュトークンを発行する認可サーバと、
を備え、
前記クライアントは、前記リフレッシュトークンの使用時に、前記認可サーバに対して前記リフレッシュトークンのハッシュ値と前記リフレッシュトークンのトークンID(識別子)を送信し、
前記認可サーバは、前記トークンIDから前記リフレッシュトークンを特定し、特定した前記リフレッシュトークンが有効である場合、特定した前記リフレッシュトークンのハッシュ値と、受信した前記ハッシュ値との一致が検証されると、前記リフレッシュトークンの更新用乱数を生成して前記クライアントに送信し、
前記クライアントは、前記認可サーバからの前記更新用乱数を用いて、前記クライアントが保持する前記リフレッシュトークンを更新し、
前記認可サーバは、生成した前記更新用乱数を用いて、前記認可サーバが保持する前記トークンIDに対応する前記リフレッシュトークンを更新する、ことを特徴とする、認可システム。 - 前記クライアントは、前記アクセストークン使用時に、前記リソースサーバに対して、前記アクセストークンのハッシュ値と前記アクセストークンのトークンIDを送信し、
前記認可サーバは、前記リソースサーバから、前記アクセストークンの前記ハッシュ値と前記トークンIDを受信すると、前記トークンIDからアクセストークンを特定し、特定した前記アクセストークンが有効である場合、特定した前記アクセストークンのハッシュ値と受信した前記ハッシュ値との一致が検証されると、前記アクセストークンの更新用乱数を生成して前記クライアントに送信し、
前記クライアント及び前記認可サーバは、前記更新用乱数を用いてそれぞれが保持する前記アクセストークン及び前記リフレッシュトークンを更新する、ことを特徴とする、請求項1に記載の認可システム。 - 予め前記認可サーバと前記クライアントで共有している初期値と、前記認可サーバから送信される更新用乱数とに基づき、前記アクセストークン及び前記リフレッシュトークンを更新する、ことを特徴とする、請求項1又は2に記載の認可システム。
- リソースサーバへのアクセスの認可がリソースオーナーから与えられたクライアントにトークンを発行する認可サーバ装置であって、
少なくともトークンのハッシュ値とトークンID(識別子)を受信する第1の手段と、
前記トークンIDからトークンを特定し、前記特定したトークンのハッシュ値と受信した前記ハッシュ値とが一致するか検証する第2の手段と、
前記検証の結果、前記特定したトークンのハッシュ値と受信した前記ハッシュ値の一致が検証されると、トークン更新用乱数を生成し、前記トークン更新用乱数を前記クライアントに送信する第3の手段と、
を備えた、ことを特徴とする、認可サーバ装置。 - 前記トークンはリフレッシュトークンであり、
前記第1の手段は、
前記リフレッシュトークンのハッシュ値と、前記リフレッシュトークンのトークンIDを前記クライアントから受信し、
前記第2の手段は、
前記トークンIDからリフレッシュトークンを特定し、
前記特定したリフレッシュトークンのハッシュ値を生成し、
生成した前記ハッシュ値と、受信した前記ハッシュ値とを比較し、
2つのハッシュ値が互いに一致する場合、新しいアクセストークンを生成する第4の手段を備え、
前記第3の手段は、
前記新しいアクセストークンと、前記リフレッシュトークンの更新用乱数とを前記クライアントに送信する、ことを特徴とする、請求項4に記載の認可サーバ装置。 - 前記トークンは、アクセストークンであり、
前記第1の手段は、
前記クライアントから受信したアクセストークンのハッシュ値の問い合わせを前記認可サーバ装置に行うリソースサーバから、前記アクセストークンのハッシュ値と前記アクセストークンのトークンIDを受信し、
前記第2の手段は、
前記トークンIDからアクセストークンを特定し、前記特定したアクセストークンのハッシュ値を生成し、
生成した前記ハッシュ値と、受信した前記ハッシュ値とを比較し、
2つのハッシュ値が互いに一致する場合、認可情報を生成して前記リソースサーバに送信する第4の手段を備え、
前記2つのハッシュ値が互いに一致する場合、前記第3の手段は、
前記更新用乱数を生成し、前記クライアントに送信する、ことを特徴とする、請求項5に記載の認可サーバ装置。 - リソースオーナーの許可を得てリソースオーナーの代理として保護されたリソースに対するアクセスを行うクライアント装置であって、
認可サーバから発行されたトークンのハッシュ値を生成する第1の手段と、
前記ハッシュ値とトークンID(識別子)を前記認可サーバに送信する第2の手段と、
前記ハッシュ値と前記トークンIDを受信した前記認可サーバで前記トークンの検証を行った結果、前記認可サーバで生成された前記トークンの更新用乱数を前記認可サーバから受信し、前記クライアント装置が保持する前記トークンを、前記更新用乱数を用いて更新する第3の手段と、
を備えた、ことを特徴とする、クライアント装置。 - リソースオーナーの許可を得てリソースオーナーの代理としてリソースサーバの保護されたリソースに対するアクセスを行うクライアントが、リフレッシュトークンの使用時に、前記リフレッシュトークンのハッシュ値と前記リフレッシュトークンのトークンID(識別子)を認可サーバに送信し、
前記認可サーバは、前記トークンIDから前記リフレッシュトークンを特定し、特定した前記リフレッシュトークンが有効である場合、特定した前記リフレッシュトークンのハッシュ値と、受信した前記ハッシュ値との一致が検証されると、前記リフレッシュトークンの更新用乱数を生成して前記クライアントに送信し、
前記クライアントは、前記認可サーバからの前記更新用乱数を用いて、前記クライアントが保持する前記リフレッシュトークンを更新し、
前記認可サーバも、生成した前記更新用乱数を用いて、前記認可サーバが保持する前記トークンIDに対応する前記リフレッシュトークンを更新する、ことを特徴とする、トークン保護方法。 - 前記クライアントは、アクセストークン使用時に、前記リソースサーバに対して、前記アクセストークンのハッシュ値と前記アクセストークンのトークンIDを送信し、
前記認可サーバは、前記リソースサーバから、前記アクセストークンの前記ハッシュ値と前記トークンIDを受信すると、前記トークンIDからアクセストークンを特定し、特定した前記アクセストークンが有効である場合、特定した前記アクセストークンのハッシュ値と受信した前記ハッシュ値との一致が検証されると、前記アクセストークンの更新用乱数を生成して前記クライアントに送信し、
前記クライアント及び前記認可サーバは、それぞれの前記アクセストークン及び前記リフレッシュトークンを更新する、ことを特徴とする、請求項8に記載のトークン保護方法。 - リソースオーナーからの認可許可が成功した場合、クライアントにトークンを発行する認可サーバ装置のプロセッサに、
前記トークンのハッシュ値と前記トークンのトークンID(識別子)を受信する処理と、
前記トークンIDから前記トークンを特定し、特定した前記トークンが有効である場合、特定した前記トークンのハッシュ値と、受信した前記ハッシュ値とが一致するか検証する処理と、
特定した前記トークンのハッシュ値と、受信した前記ハッシュ値との一致が検証されると、前記トークンの更新用乱数を生成し、前記トークンの更新用乱数をクライアントに送信する処理と、
を実行させるプログラムを記録したプログラム記録媒体。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/005578 WO2020166066A1 (ja) | 2019-02-15 | 2019-02-15 | トークン保護方法、認可システム、装置、及び、プログラム記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020166066A1 JPWO2020166066A1 (ja) | 2021-12-09 |
JP7226457B2 true JP7226457B2 (ja) | 2023-02-21 |
Family
ID=72044417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020572042A Active JP7226457B2 (ja) | 2019-02-15 | 2019-02-15 | トークン保護方法、認可システム、装置、及び、プログラム記録媒体 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7226457B2 (ja) |
WO (1) | WO2020166066A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113542235B (zh) * | 2021-06-28 | 2023-04-07 | 上海浦东发展银行股份有限公司 | 一种基于令牌互信机制的安全互访方法 |
US11943370B2 (en) * | 2021-11-10 | 2024-03-26 | International Business Machines Corporation | Using device-bound credentials for enhanced security of authentication in native applications |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259343A (ja) | 2001-02-27 | 2002-09-13 | Nec Soft Ltd | クライアント認証とサービス提供の方式及び方法 |
JP2004070463A (ja) | 2002-08-02 | 2004-03-04 | Sony Corp | 情報処理システムおよび方法、情報処理装置および方法、記録媒体、並びにプログラム |
JP2004310327A (ja) | 2003-04-04 | 2004-11-04 | Bank Of Tokyo-Mitsubishi Ltd | ユーザ認証装置、端末装置及びプログラム |
US20090235349A1 (en) | 2008-03-12 | 2009-09-17 | Intuit Inc. | Method and apparatus for securely invoking a rest api |
JP2010113462A (ja) | 2008-11-05 | 2010-05-20 | Yahoo Japan Corp | 情報管理装置、情報処理システム、情報管理方法及び情報管理プログラム |
-
2019
- 2019-02-15 JP JP2020572042A patent/JP7226457B2/ja active Active
- 2019-02-15 WO PCT/JP2019/005578 patent/WO2020166066A1/ja active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259343A (ja) | 2001-02-27 | 2002-09-13 | Nec Soft Ltd | クライアント認証とサービス提供の方式及び方法 |
JP2004070463A (ja) | 2002-08-02 | 2004-03-04 | Sony Corp | 情報処理システムおよび方法、情報処理装置および方法、記録媒体、並びにプログラム |
JP2004310327A (ja) | 2003-04-04 | 2004-11-04 | Bank Of Tokyo-Mitsubishi Ltd | ユーザ認証装置、端末装置及びプログラム |
US20090235349A1 (en) | 2008-03-12 | 2009-09-17 | Intuit Inc. | Method and apparatus for securely invoking a rest api |
JP2010113462A (ja) | 2008-11-05 | 2010-05-20 | Yahoo Japan Corp | 情報管理装置、情報処理システム、情報管理方法及び情報管理プログラム |
Non-Patent Citations (2)
Title |
---|
HARDT, D.,The OAuth 2.0 Authorization Framework,Request for Comments,6749,[online],2012年10月,pp.1-76,URL:https://tools.ietf.org/html/rfc6749,[2022年6月日検索] |
LATINOV, L.,How to implement secure REST API authentication over HTTP,[online],2018年03月05日,URL:https://automationrhapsody.com/implement-secure-rest-apiauthentication- http |
Also Published As
Publication number | Publication date |
---|---|
WO2020166066A1 (ja) | 2020-08-20 |
JPWO2020166066A1 (ja) | 2021-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6643373B2 (ja) | 情報処理システムと、その制御方法とプログラム | |
US10003587B2 (en) | Authority transfer system, method, and authentication server system by determining whether endpoints are in same or in different web domain | |
US7774611B2 (en) | Enforcing file authorization access | |
EP3585032B1 (en) | Data security service | |
JP4674044B2 (ja) | クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法 | |
KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
US8532620B2 (en) | Trusted mobile device based security | |
TWI288552B (en) | Method for implementing new password and computer readable medium for performing the method | |
US9762567B2 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
WO2019239591A1 (ja) | 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム | |
US20180062863A1 (en) | Method and system for facilitating authentication | |
CN109981665B (zh) | 资源提供方法及装置、资源访问方法及装置和系统 | |
CN111901346A (zh) | 一种身份认证系统 | |
EP2414983B1 (en) | Secure Data System | |
EP3513539A1 (en) | User sign-in and authentication without passwords | |
JP7226457B2 (ja) | トークン保護方法、認可システム、装置、及び、プログラム記録媒体 | |
US20130091355A1 (en) | Techniques to Prevent Mapping of Internal Services in a Federated Environment | |
RU2698424C1 (ru) | Способ управления авторизацией | |
JP6712707B2 (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
JPH05298174A (ja) | 遠隔ファイルアクセスシステム | |
WO2019234801A1 (ja) | サービス提供システム及びサービス提供方法 | |
JP7043480B2 (ja) | 情報処理システムと、その制御方法とプログラム | |
CN114765551A (zh) | 基于区块链的sdp访问控制方法及装置 | |
KR102048534B1 (ko) | 인증 방법 및 시스템 | |
JP2002328905A (ja) | クライアント認証方法及び認証装置並びにプログラム及び記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210811 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220705 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220815 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230110 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230123 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7226457 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |