WO2011113314A1 - 服务开放方法及系统、服务开放服务器 - Google Patents

Description

服务开放方法及系统、 服务开放服务器 本申请要求于 2010 年 03 月 17 日提交中国专利局、 申请号为 201010136980.X, 发明名称为"服务开放方法及系统、 服务开放服务器，，的中 国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明实施例涉及网络技术领域， 尤其涉及一种服务开放方法及系统、 服务开放服务器。 背景技术

随着电信及互联网的蓬勃发展， 信息资源的极大丰富， 各种业务的开放 性成为研究热点， 各个互联网厂商都将有价值的业务资源开放出来， 电信运 营商也通过多种方式将电信业务开放出去， 从而繁荣网络生态链达到共赢的 目的。 当然， 应用编程接口 （ Application Programming Interface , 简称： API ) 并不能将所有的业务都非常方便的开放给第三方应用， 并且现有环境 下很多业务资源需要客户端侧的最终用户对资源进行授权或者对使用者进行 身份验证再开放出去才合理， 例如： 涉及用户私有信息的开放， API需要对 运营商开放的业务直接在终端侧进行计费， 实现对涉及用户私有信息进行验 证与 4受权。

现有技术中， 电信运营商通过综合业务接入网关 （ Integrated Service Access Gateway, 简称： ISAG )将电信业务（例如： 短信、 WAP PUSH、 彩 信等） 开放给第三方应用， ISAG应用提供符合国际标准的 Parlay X2.0接 口， 并对该接口作了适当增强， 提供了更为丰富的业务资源； ISAG屏蔽了 底层网络的复杂性， 实现了对移动数据、 移动语音、 无线市话 （PHS )等业 务的高度抽象， 封装成开放、 统一、 标准应用开发接口提供给内容提供商 /服 务提供商 （ Content Provider/Service Provider, 简称： CP/SP ) , 支持电信自 营增值业务、 第三方 CP/SP增值业务及企业应用的接入； 为 CP/SP提供统一 的增值应用集成开发和测试环境； 协同结合综合业务管理平台 （Integrated Services Management Platform, 简称： ISMP ) 完成业务应用过程中认证、 鉴 权、 计费和管理等功能。

上述基于 ISAG应用虽然能够解决业务开发者（即能力 API使用者） 与 运营商之间的鉴权问题， 但并不能够解决最终用户对被请求的服务进行鉴权 的问题。 发明内容

本发明实施例的目的在于提供一种服务开放方法及系统、 服务开放服务 器， 最大程度地保证最终用户对需要授权的服务的控制处理能力， 确保最终 用户的利益。

本发明实施例提供一种服务开放方法， 包括：

接收来自第三方应用的服务请求， 所述服务请求携带有被请求的服务的 类型信息和被请求的服务的参数信息；

根据所述服务的类型信息查询业务目录， 获取所述被请求的服务的访问 地址与鉴权类别信息；

当根据所述鉴权类别信息确定需要最终用户授权才能调用所述服务时， 则：

根据所述服务的类型信息和所述服务的参数信息获取所述最终用户的授 权通知消息； 根据所述访问地址将所述服务请求转发给能力服务器， 并将所 述能力服务器返回的服务响应消息转发给所述第三方应用。

本发明实施例提供一种服务开放服务器， 包括：

接收模块， 用于接收来自第三方应用的服务请求， 所述服务请求携带有 被请求的服务的类型信息和被请求的服务的参数信息； 第一获取模块， 用于根据所述服务的类型信息查询业务目录， 获取所述 服务的访问地址与鉴权类别信息；

第二获取模块， 用于当根据所述鉴权类别信息确定需要最终用户授权才 能调用所述服务时， 则根据所述服务的类型信息和所述服务的参数信息获取 所述最终用户的授权通知消息；

转发模块， 用于根据所述访问地址将所述服务请求转发给能力服务器， 并将所述能力服务器返回的服务响应消息转发给所述第三方应用。

本发明实施例提供一种服务开放系统， 包括： 第一服务器、 设置有第三 方应用的第二服务器， 其中所述第一服务器为上述技术方案所述的服务开放 服务器；

所述第一服务器接收来自设置在所述第二服务器上的第三方应用的服务 请求， 所述服务请求携带有被请求的服务的类型信息和被请求的服务的参数 信息； 所述第一服务器根据所述服务器的类型信息查询业务目录， 获取到所 述服务的访问地址与鉴权类别信息； 根据所述鉴权类别信息确定需要最终用 户授权才能调用所述服务时， 则所述第一服务器根据所述服务的类型信息和 所述服务的参数信息获取所述最终用户的授权通知消息； 所述第一服务器根 据所述访问地址将所述服务请求转发给能力服务器， 并将所述能力服务器返 回的服务响应消息转发给所述第三方应用。

本发明实施例提供的服务开放方法及系统、 服务开放方法服务器， 若根 据鉴权类别信息确定需要最终用户授权才能调用被请求的服务， 则根据服务 的类型信息和服务的参数信息获取最终用户的授权通知消息， 从而实现了最 大程度保证最终用户对授权服务的控制力度， 并且有效防止了不可信的第三 方应用侵犯最终用户的利益， 保证了最终用户的利益。 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例所适用系统的架构示意图；

图 2为本发明服务开放方法一个实施例的流程示意图；

图 3为本发明服务开放方法又一个实施例的流程示意图；

图 4为本发明实施例所适用的一个信令流程图；

图 5为本发明实施例所适用的又一个信令流程图；

图 6为本发明服务开放服务器一个实施例的结构示意图；

图 7为本发明服务开放服务器又一个实施例的结构示意图；

图 8为本发明服务开放系统实施例的结构示意图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例 , 都属于本发明保护的范围。

由于在业务开放的场景中， 许多业务资源与客户端相对应的最终用户密 切相关， 例如： 用户的个人信息、 好友列表、 希望直接对客户端相对应的最 终用户进行计费的业务等， 上述业务资源的开放均需要对与客户端相对应的 最终用户进行鉴权及授权。

图 1为本发明实施例所适用系统的架构示意图， 如图 1所示， 该系统架 构中的功能单元主要包括： 业务目录单元 11、 能力开放管控单元 12、 标识 身份管理（Identity Management, 简称： IDM )单元 13 ; 其中， 业务目录单 元 11 用于实现服务的发布与发现、 存取服务的描述信息及访问地址， 所述 服务的描述信息包括类型信息和参数信息； 能力开放管控单元 12用于聚集 封装各种已经注册的服务， 对外提供统一的开放接口， 并为服务请求者与被 请求服务之间提供合适的路由； 标识身份管理单元 13用于完成用户的鉴权 及授权， 包含提供用户登陆鉴权的用户界面地址 （例如： URL ) ； 进一步 地， 业务目录单元 11、 能力开放管控单元 12和标识身份管理单元 13的功能 在实际应用中可以具体由服务开放服务器来实现。

此外， 在图 1 所示实施例中， 还包括： 第三方应用 14、 能力服务器 15、 客户端 （Client ) 16; 其中， 第三方应用 14用于订购本发明实施例提供 的服务， 为使用客户端 16的最终用户提供服务， 第三方应用 14具体可以为 服务提供商提供的应用； 能力服务器 15用于表示在本发明实施例所述的系 统环境中注册的能力服务器， 能力服务器 15具体可以为服务提供商的位置 服务器； 最终用户通过客户端 16使用第三方应用 14。

图 2为本发明服务开放方法一个实施例的流程示意图， 如图 2所示， 本 实施例包括如下步骤：

步骤 201、 接收来自第三方应用的服务请求， 其中， 服务请求携带有被 请求的服务的类型信息和该服务的参数信息；

步骤 202、 根据该服务的类型信息查询业务目录， 获取该服务的访问地 址与鉴权类别信息；

步骤 203、 根据鉴权类别信息确定需要最终用户授权才能请求该服务 时， 则根据该服务的类型信息和该服务的参数信息获取最终用户的授权通知 消息；

步骤 204、 根据该访问地址将该服务请求转发给能力服务器， 并将能力 服务器返回的服务响应消息转发给该第三方应用。

本发明实施例提供的服务开放方法， 当根据鉴权类别信息确定需要最终 用户授权才能调用被请求的服务时， 则根据被请求的服务的类型信息和被请 求的服务的参数信息获取最终用户的授权通知消息， 从而实现了最大程度保 证最终用户对授权服务的控制力度， 并且有效防止了不可信的第三方应用侵 犯最终用户的利益， 保证了最终用户的利益。

图 3为本发明服务开放方法又一个实施例的流程示意图， 本实施例包括 如下步骤：

步骤 301、 接收来自第三方应用的服务请求， 其中， 服务请求携带有被 请求的服务的类型信息和被请求的服务的参数信息；

其中， 第三方应用具体可以设置在服务器上， 能够订购服务提供商 ( Service Provider, 简称： SP ) 提供的服务； 该服务的类型信息具体可以 为： 通过普通字符串表示的天气、 短信和 /或股票信息查询等服务； 该服务的 参数信息中还可以包括有最终用户的身份标识 （ID ) , 通过该身份标识可以 使得与本发明实施例相关的服务器设备识别出最终用户的身份信息。

步骤 302、 根据该服务的类型信息查询业务目录单元， 获取该服务的访 问地址与鉴权类别信息；

其中， 鉴权类别信息具体可以包括： 不需要通过最终用户授权即可从 SP 调用服务、 需要通过最终用户授权才能从 SP调用服务、 以及需要 SP授权才 能调用的服务， 当然可以针对不同的服务根据最终用户认定的安全级别设置 不同的鉴权类别。

步骤 303、 当根据鉴权类别信息确定需要最终用户授权才能调用该服务 时， 则根据参数信息生成与该参数信息相对应的参数标识（ID ) ；

其中， 由于参数信息包括了访问服务的具体参数， 例如： 上传一个图 片， 则参数信息包括了该图片的图片内容； 根据参数信息生成与该参数信息 相对应的参数标识可以参考现有技术的实现方式， 该参数标识具体可以为一 个简单的字符串； 并且由于参数信息的信息量比参数标识的信息量大， 因此 在服务器设备传输的信息的过程中， 使用参数标识可以降低网络传输信息量 的负荷。 步骤 304、 将携带有该类型信息和该参数标识的鉴权地址通过第三方应 用发送给客户端；

其中 ， 该鉴权地址具体可以为用于鉴权的统一资源定位符 ( Uniform/Universal Resource Locator, 简称： URL ) , 由于该 URL由该类型 信息和该参数标识生成的， 因此该 URL 中携带有该类型信息、 参数标识 ( ID ) , 此外， 该 URL 中还可以携带摘要 （TOKEN ) 信息， 其中摘要 ( TOKEN )信息用于对 URL中除摘要（TOKEN )部分的其它信息进行摘要 加密， 防止第三方应用在传递用于鉴权的 URL的过程中对 URL进行篡改， 其中该其他信息可以为鉴权地址、 参数标识、 业务类型中的至少一个。

步骤 305、 客户端使用浏览器通过该鉴权地址访问标识身份管理单元， 标识身份管理单元确定该鉴权地址是否被修改； 若是， 表示该鉴权地址已经 被修改， 终止调用流程， 若否， 表示所述鉴权地址未被修改， 执行步骤 306。

步骤 306、 获取该最终用户通过鉴权地址对应的网页输入的用户密码信 息；

步骤 307、 若验证该密码信息成功， 则将被请求的服务的描述信息及参 数信息发送给客户端；

其中， 需要获取描述信息以及服务请求中携带的参数信息， 可以通过如 下过程获取到待请求的服务的描述信息， 例如： 根据业务类型查询业务目录 获取描述信息； 根据参数标识获取服务请求中携带的参数信息； 然后将描述 信息及参数信息发送给客户端。

步骤 308、 身份标识管理单元获取该最终用户根据描述信息及参数信息 发送的授权通知消息， 并将授权通知消息发送给能力开放管控单元；

步骤 309、 能力开放管控单元根据访问地址将该服务请求转发给能力服 务器， 并将能力服务器返回的服务响应消息转发给该第三方应用。 本发明实施例提供的服务开放方法， 若根据鉴权类别信息确定服务请求 相对应的服务需要客户端侧的最终用户授权， 则根据服务参数信息获取客户 端的授权通知消息， 从而实现了最大程度保证客户端对授权服务的控制力 度， 并且有效防止了不可信的第三方应用侵犯最终用户的利益， 保证了最终 用户的利益。

进一步地， 在上述图 2和图 3所示实施例的基础上， 若来自第三方应用 的服务请求中携带有回调地址， 则将能力服务器返回的服务响应消息转发给 第三方应用具体可以为：

将能力服务器返回的服务响应消息转发给与回调地址相对应的第三方应 用； 具体地， 若回调地址表示的是初始发送服务请求的第三方应用， 则将该 服务响应消息发送给初始发送服务请求的第三方应用； 若回调地址表示的并 非是初始发送服务请求的第三方应用， 则将该服务响应消息发送给其他的第 三方应用； 其中， 回调地址具体可以为第三方应用所在的服务器的因特网协 议（Internet Protocol, 简称： IP )地址以及 IP地址对应的端口号， 或者， 全 解析域名以及其对应的端口， 但也不限于上述列举的情形， 只要能够将能力 服务器返回的服务响应消息根据回调地址转发给与回调地址相对应第三方应 用即可。

图 4为本发明实施例所适用的一个信令流程图， 本实施例适用于第三方 应用设置在服务器上， 并且需要设置在服务器上的第三方应用提供回调地址 的场景； 此外， 本发明实施例中所述的业务目录单元、 能力开放管控单元和 标识身份管理单元可以分别设置在不同的服务器上， 当然也可以设置在同一 个服务器上， 本发明实施例对上述三个单元的设置并无限定， 只要能够实现 相应的功能即可。 如图 4所示， 本实施例包括如下步骤：

步骤 401、 最终用户通过客户端向第三方应用发送服务请求；

其中， 该第三方应用具体可以设置在服务器上， 能够订购服务提供商

( Service Provider, 简称： SP )提供的服务。 步骤 402、 第三方应用向能力开放管控单元发送服务请求， 其中， 服务 请求中携带有被请求的服务的类型信息、 该服务的参数信息及回调地址； 其中， 该服务的类型信息具体可以为： 通过普通字符串表示的天气、 短 信、 股票信息查询等服务； 该服务的参数信息中还可以包括有最终用户的身 份标识 （ID ) ; 回调地址具体可以为第三方应用所在的服务器的因特网协议 ( Internet Protocol, 简称： IP )地址以及 IP地址对应的端口号， 或者， 全解 析域名以及其对应的端口， 但也不限于上述列举的情形， 只要能够将能力服 务器返回的服务响应消息根据回调地址转发给与回调地址相对应第三方应用 即可。

步骤 403、 能力开放管控单元根据类型信息向业务目录功能单元发送查 询请求；

其中， 该查询请求具体可以为超文本传输协议 ( HyperText Transfer Protocol, 简称： HTTP )查询请求。

步骤 404、 业务目录功能单元根据该查询请求查询与该类型信息相对应 的访问地址、 以及鉴权类别信息， 并向能力开放管控单元返回该服务的访问 地址及鉴权类别信息；

其中， 鉴权类别信息具体可以包括： 不需要通过最终用户授权即可从 SP 调用服务、 需要通过最终用户授权才能从 SP调用服务、 以及需要服务提供 商授权才能从 SP调用服务； 可以对不同的服务根据最终用户认定的安全级 别设置不同的鉴权类别。

步骤 405、 能力开放管控单元根据业务目录功能单元返回的鉴权类别信 息判断该服务请求是否需要客户端侧的最终用户授权；

步骤 406、 若确定该服务请求需要最终用户的授权， 则能力开放管控单 元保存参数信息， 并生成与参数信息相对应的参数标识 （ID ) , 将由该类别 信息和该参数标识生成的鉴权地址返回给第三方应用； 其中， 根据参数信息生成与该参数信息相对应的参数标识可以参考现有 技术的实现方式， 该参数标识具体可以为一个简单的字符串； 该鉴权地址具 体可以为用于鉴权的 URL, 由于该 URL 由该类型信息和该参数标识生成 的， 因此该 URL中同时携带类型信息、 参数标识（ID ) , 此外， 该 URL中 还可以携带摘要（TOKEN )信息， 其中摘要（TOKEN )信息用于对 URL中 除摘要（TOKEN )部分的其它信息 （例如： 可以为鉴权地址、 参数标识、 业 务类型中的至少一个） 进行摘要加密， 防止第三方应用在传递用于鉴权的 URL的过程中被篡改； 具体可以釆用哈希 （hash ) 算法对上述信息进行摘要 加密。

步骤 407、 第三方应用将用于鉴权的 URL传递给客户端；

步骤 408、 最终用户通过客户端的该 URL访问标识身份管理单元； 步骤 409、 标识身份管理单元根据该 URL 中的摘要（TOKEN )信息确 定该 URL 中途未被^ ί'爹改后， 向业务目录单元查询与该类型信息相对应的描 述信息；

步骤 410、 业务目录单元向标识身份管理单元返回该描述信息； 步骤 411、 标识身份管理单元向能力开放管控单元查询与参数标识 ( ID )相对应的业务参数值 ( aram value ) ；

步骤 412、 能力开放管控单元向标识身份管理单元返回该业务参数值； 步骤 413、 标识身份管理单元将用户鉴权页面返回客户端， 使最终用户 通过客户端的用户鉴权页面登录；

步骤 414、 标识身份管理单元通过客户端获取到用户输入的密码信息 后， 标识身份管理单元向客户端展示服务的描述信息及服务参数值， 并向客 户端发送是否愿意授权本次服务的请求；

步骤 415、 若客户端接收到最终用户的同意授权的授权通知消息， 则客 户端将该同意授权的授权通知消息发送给标识身份管理单元， 标识身份管理 单元向客户端返回鉴权成功的响应页面； 步骤 416、 标识身份管理单元向能力开放管控单元发送用户鉴权成功的 消息；

步骤 417、 能力开放管控单元向标识身份管理单元返回响应消息； 通过上述步骤 401〜步骤 417的流程， 最终用户实现对待请求的服务进 行授权的过程。 在最终用户经过授权之后， 可以根据该服务请求通过下述步 骤 418〜步骤 421 的流程实现访问能力提供商提供的服务， 或者， 当第三方 应用再次发送服务请求时， 也同样可以通过下述步骤 418〜步骤 421 的流程 实现访问能力提供商提供的服务。

步骤 418、 能力开放管控单元根据服务的访问地址请求能力提供商所在 的能力服务器提供的与参数信息相对应的服务；

步骤 419、 能力开放管控单元接收能力服务器返回的服务响应消息； 步骤 420、 能力开放管控单元根据服务请求中携带的回调地址将该服务 响应消息发送给回调地址相对应的服务器；

步骤 421、 能力开放管控单元接收该回调地址相对应的服务器的服务响 应消息。

例如： 服务请求需要请求的服务为 A地区的 "天气预报（weather ) " ， 则该服务响应消息可以为本次服务请求相对应的服务， 即： A地区的天气预 报的具体内容， 例如： 前三天的天气情况。 该服务相对应的具体内容可以由 SP确定。

本发明实施例提供的服务开放方法， 若根据鉴权类别信息确定需要最终 用户授权才能调用被请求的服务， 则根据服务的类型信息和服务的参数信息 获取最终用户的授权通知消息， 从而实现了最大程度保证最终用户对授权服 务的控制力度， 并且有效防止了不可信的第三方应用侵犯最终用户的利益， 保证了最终用户的利益； 同时丰富了服务能力的开放范围， 为第三方应用提 供更为丰富的服务能力， 从而繁荣整个生态链。 图 5为本发明实施例所适用的又一个信令流程图， 本实施例不仅适用于 第三方应用设置在服务器上的情形， 还适用于第三方应用设置在终端 （终端 具体可以为智能手机、 普通手机、 个人计算机或笔记本电脑等）上的情形， 并且还可以适用于不方便提供回调地址的场景； 本实施例包括如下步骤： 步骤 501、 最终用户通过第三方应用向服务器发送服务请求；

其中， 该服务的参数信息中包括有最终用户的身份标识 （ID ) , 通过该 身份标识可以使得与本发明实施例相关的服务器设备识别出最终用户的身份 信息。

步骤 502、 第三方应用向能力开放管控单元发送服务请求， 其中， 该服 务请求携带有待请求的服务的类型信息、 待请求的服务的参数信息；

其中， 该服务的类型信息具体可以为： 通过普通字符串表示的天气、 短 信或股票信息查询等服务； 该服务的参数信息中还可以包括有最终用户的身 份标识（ID ) 。

步骤 503、 能力开放管控单元根据类型信息向业务目录功能单元发送查 询请求；

其中， 该查询请求具体可以为超文本传输协议 ( HyperText Transfer Protocol, 简称： HTTP )查询请求。

步骤 504、 业务目录功能单元根据该查询请求查询与该类型信息相对应 的访问地址及鉴权类别信息， 并向能力开放管控单元返回该服务的访问地址 及鉴权类别信息；

其中， 鉴权类别信息具体可以包括： 不需要通过最终用户授权即可从 SP 调用服务、 需要通过最终用户授权才能从 SP调用服务、 以及需要服务提供 商授权才能从 SP调用服务； 可以对不同的服务根据最终用户认定的安全级 别设置不同的鉴权类别。

步骤 505、 能力开放管控单元根据业务目录功能单元返回的鉴权类别信 息判断该服务请求是否需要使用终端的最终用户授权； 步骤 506、 若确定该服务请求需要最终用户的授权， 则能力开放管控单 元保存业务参数信息， 并生成与业务参数信息相对应的参数标识 （ID ) , 将 由该类别信息和该参数标识生成的鉴权地址返回给第三方应用；

其中， 根据参数信息生成与该参数信息相对应的参数标识可以参考现有 技术的实现方式， 该参数标识具体可以为一个简单的字符串； 该鉴权地址具 体可以为用于鉴权的 URL, 由于该 URL 由该类型信息和该参数标识生成 的， 因此该 URL中同时携带类型信息、 参数标识（ID ) 、 此外， 该 URL中 还可以携带摘要（TOKEN )信息， 其中摘要（TOKEN )信息用于对 URL中 除摘要（TOKEN )部分的其它信息 （例如： 可以为鉴权地址、 参数标识、 业 务类型中的至少一个） 进行摘要加密， 防止第三方应用在传递用于鉴权的 URL的过程中被篡改； 具体可以釆用哈希 （hash ) 算法对上述信息进行摘要 加密。

步骤 507、 第三方应用将用于鉴权的 URL传递给终端；

步骤 508、 最终用户终端的该 URL访问标识身份管理单元；

步骤 509、 标识身份管理单元根据该 URL 中的摘要（TOKEN )信息确 定该 URL 中途未被^ ί'爹改后， 向业务目录单元查询与该业务类型相对应的描 述信息；

步骤 510、 业务目录单元向标识身份管理单元返回该描述信息； 步骤 511、 标识身份管理单元向能力开放管控单元查询与业务参数标识 ( ID )相对应的业务参数值 ( aram value ) ；

步骤 512、 能力开放管控单元向标识身份管理单元返回业务参数值； 步骤 513、 标识身份管理单元将用户鉴权页面返回给终端， 使最终用户 通过终端上的用于鉴权页面登录；

步骤 514、 终端获取到用户输入的用户密码后， 标识身份管理单元向终 端会服务的服务描述及服务参数值， 并向终端发送是否愿意授权本次服务的 请求； 步骤 515、 若客户端接收到最终用户的同意授权的授权通知消息， 则客 户端将该授权通知消息发送给标识身份管理单元， 标识身份管理单元向客户 端返回鉴权成功的响应页面；

其中， 该响应页面还包括用于已被授权且能够被调用的服务的访问令牌 ( Access Token ) 。

步骤 516、 标识身份管理单元向能力开放管控单元发送用户鉴权成功的 消息及对应的访问令牌 ( Access Token ) ；

步骤 517、 能力开放管控单元向标识身份管理单元返回响应消息。

通过上述步骤 501〜步骤 517的流程， 最终用户实现对所请求的服务进 行授权的过程。 在最终用户经过授权之后， 可以根据该服务请求通过下述步 骤 418〜步骤 421 的流程实现访问能力提供商提供的服务， 或者， 当第三方 应用再次发送服务请求时， 也同样可以通过下述步骤 518〜步骤 521 的流程 实现访问能力提供商提供的服务。

步骤 518、 最终用户通过设置在终端上的第三方应用向能力开放功能单 元发起服务请求， 其中， 该服务请求中携带访问令牌 ( Access Token )

步骤 519、 若能力开放功能单元确认该访问令牌 ( Access Token )为上述 步骤 515 中的访问令牌后， 向注册的能力提供商所在的能力服务器发起服务 请求；

步骤 520、 能力开放管控单元接收能力服务器返回的服务响应消息； 步骤 521、 能力开放管控单元将服务响应消息发送给第三方应用所在的 终端。

例如： 服务请求需要请求的服务为 A地区的 "天气预报（weather ) " ， 则该服务响应消息可以为本次服务请求相对应的服务， 即： A地区的天气预 报的具体内容， 例如： 前三天的天气情况。 该服务相对应的具体内容可以由 SP确定。 本发明实施例提供的服务开放方法， 若根据鉴权类别信息确定服务请求 相对应的服务需要客户端侧的最终用户授权， 则根据服务参数信息获取客户 端的授权通知消息， 从而实现了最大程度保证客户端对授权服务的控制力， 并且有效防止了不可信的第三方应用侵犯最终用户的利益， 保证了最终用户 的利益， 同时丰富了服务能力的开放范围， 为第三方应用提供更为丰富的服 务能力， 从而繁荣整个生态链。

图 6为本发明服务开放服务器一个实施例的结构示意图， 如图 6所示， 本实施例包括： 接收模块 61、 第一获取模块 62、 第二获取模块 63、 转发模 块 64;

其中， 接收模块 61接收来自第三方应用的服务请求， 所述服务请求携 带有被请求的服务的类型信息和被请求的服务的参数信息； 第一获取模块 62 根据所述服务的类型信息查询业务目录， 获取到所述服务的访问地址与鉴权 类别信息； 当根据所述鉴权类别信息确定需要最终用户授权才能请求所述服 务时， 则第二获取模块 63根据所述服务的类型信息和所述服务的参数信息 获取所述最终用户的授权通知消息； 转发模块 64根据所述访问地址将所述 服务请求转发给能力服务器， 并将所述能力服务器返回的服务响应消息转发 给所述第三方应用。

本发明实施例提供的服务开放服务器， 当根据鉴权类别信息确定需要最 终用户授权才能调用被请求的服务时， 则第二获取模块 63根据被请求的服 务的类型信息和被请求的服务的参数信息获取最终用户的授权通知消息， 从 而实现了最大程度保证客户端对授权服务的控制力度， 并且有效防止了不可 信的第三方应用侵犯最终用户的利益， 保证了最终用户的利益。

图 7为本发明服务开放服务器又一个实施例的结构示意图， 如图 7所 示， 本实施例包括： 接收模块 71、 第一获取模块 72、 第二获取模块 73、 转 发模块 74; 其中， 接收模块 71接收来自第三方应用的服务请求， 所述服务请求携 带有被请求的服务的类型信息和被请求的服务的参数信息； 第一获取模块 72 根据所述服务的类型信息查询业务目录， 获取到所述服务的访问地址与鉴权 类别信息； 当根据所述鉴权类别信息确定需要最终用户授权才能调用所述服 务时， 则第二获取模块 73根据所述服务的类型信息和所述服务的参数信息 获取所述最终用户的授权通知消息； 转发模块 74根据所述访问地址将所述 服务请求转发给能力服务器， 并将所述能力服务器返回的服务响应消息转发 给所述第三方应用。

进一步地， 第二获取模块 73还可以包括： 标识生成单元 731、 第一发送 单元 732、 获取单元 733 ; 其中， 标识生成单元 731根据所述参数信息生成 与所述参数信息相对应的参数标识； 第一发送单元 732将由携带有所述类型 信息和所述参数标识的鉴权地址通过所述第三方应用发送给客户端； 获取单 元 733获取所述最终用户通过所述鉴权地址确认的授权通知消息。

进一步地， 获取单元 733还可以包括： 确定子单元 7331、 第一获取子单 元 7332、 发送子单元 7333、 第二获取子单元 7334; 其中， 确定子单元 7331 确定所述鉴权地址是否被修改； 若确定所述鉴权地址未被修改， 则第一获取 子单元 7332获取所述最终用户通过所述鉴权地址发送的密码信息； 若验证 所述密码信息成功， 则发送子单元 7333将所述被请求的服务的描述信息及 所述参数信息发送给所述客户端； 第二获取子单元 7334获取所述最终用户 根据所述描述信息及所述参数信息发送的授权通知消息。

进一步地， 第二获取子单元 7334还可以包括： 第一获取装置、 第二获取 装置、 发送装置； 其中， 第一获取装置根据所述类型信息查询所述业务目 录， 获取所述描述信息； 第二获取装置根据所述参数标识获取所述服务请求 中携带的所述参数信息； 发送装置将所述描述信息及所述参数信息发送给所 述客户端。 进一步地， 若所述服务请求中携带有回调地址， 转发模块 74还可以包 括： 第二发送单元， 用于将所述能力服务器返回的服务响应消息转发给与所 述回调地址相对应的第三方应用。

本发明实施例提供的服务开放服务器， 当根据鉴权类别信息确定需要最 终用户授权釆用调用被请求的服务时， 第二获取模块 63根据被请求的服务 的类型信息和被请求的服务的参数信息获取最终用户的授权通知消息， 从而 实现了最大程度保证客户端对授权服务的控制力度， 并且有效防止了不可信 的第三方应用侵犯最终用户的利益， 保证了最终用户的利益。

图 8为本发明服务开放系统一个实施例的结构示意图， 如图 8所示， 本 实施例包括： 第一服务器 81、 设置有第三方应用的第二服务器 82 , 其中， 第一服务器 81可以为上述图 6或者图 7所示实施例中的服务开放服务器； 第一服务器 81接收来自设置在第二服务器 82上的第三方应用的服务请 求， 该服务请求携带有被请求的服务的类型信息和被请求的服务的参数信 息； 第一服务器 81根据所述服务器的类型信息查询业务目录， 获取到所述 服务的访问地址与鉴权类别信息； 若根据所述鉴权类别信息确定需要最终用 户授权才能请求所述服务时， 则第一服务器 81根据所述服务的类型信息和 所述服务的参数信息获取所述最终用户的授权通知消息； 第一服务器 81根 据所述访问地址将所述服务请求转发给能力服务器， 并将所述能力服务器返 回的服务响应消息转发给第二服务器 82上的第三方应用。

本发明实施例提供的服务开放系统， 当根据鉴权类别信息确定需要最终 用户授权才能调用被请求的服务时， 第一服务器 81根据被请求的服务的参 数信息和被请求的服务的参数信息获取最终用户的授权通知消息， 从而实现 了最大程度保证客户端对授权服务的控制力度， 并且有效防止了不可信的第 三方应用侵犯最终用户的利益， 保证了最终用户的利益。

通过上述本发明实施例的技术方案， 保证并解决了需要最终用户授权的 服务开放问题， 而且本发明实施例将对授权服务资源的操作细节如业务参数 信息也展示给最终用户， 因而最大程度保证了最终用户对授权资源的控制力 度， 从技术层面防止了不可信第三方应用侵犯最终用户的利益， 保证了用户 的利益， 同时丰富了服务能力的开放范围， 为第三方应用提供更为丰富的服 务能力， 从而繁荣整个生态链。

所属领域的技术人员可以清楚地了解到， 为描述的方便和简洁， 上述描 述的系统、 设备、 模块和单元的具体工作过程， 可以参考前述方法实施例中 的对应过程， 在此不再赘述。

本领域普通技术人员可以理解： 实现上述实施例的全部或部分步骤可以 通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读取存 储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存 储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介 最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求书

1、 一种服务开放方法， 其特征在于， 包括：

接收来自第三方应用的服务请求， 所述服务请求携带有被请求的服务的 类型信息和被请求的服务的参数信息；

根据所述服务的类型信息查询业务目录， 获取所述被请求的服务的访问 地址与鉴权类别信息；

当根据所述鉴权类别信息确定需要最终用户授权才能调用所述服务时， 则：

根据所述服务的类型信息和所述服务的参数信息获取所述最终用户的授 权通知消息； 根据所述访问地址将所述服务请求转发给能力服务器， 并将所 述能力服务器返回的服务响应消息转发给所述第三方应用。

2、 根据权利要求 1 所述的方法， 其特征在于， 所述根据所述服务的类 型信息和所述服务的参数信息获取所述最终用户的授权通知消息包括：

根据所述参数信息生成与所述参数信息相对应的参数标识；

将携带有所述类型信息和所述参数标识的鉴权地址通过所述第三方应用 发送给客户端；

获取所述最终用户通过所述鉴权地址确认的授权通知消息。

3、 根据权利要求 2所述的方法， 其特征在于， 所述获取所述最终用户 通过所述鉴权地址确认的授权通知消息包括：

确定所述鉴权地址是否被修改；

若确定所述鉴权地址未被修改， 则获取所述最终用户通过所述鉴权地址 发送的密码信息；

若验证所述密码信息成功， 则将所述被请求的服务的描述信息及所述参 数信息发送给所述客户端；

获取所述最终用户根据所述描述信息及所述参数信息发送的授权通知消 息。

4、 根据权利要求 3所述的方法， 其特征在于， 所述将所述被请求的服 务的描述信息及所述参数信息发送给所述客户端包括：

根据所述类型信息查询所述业务目录， 获取所述描述信息；

根据所述参数标识获取所述服务请求中携带的所述参数信息；

将所述描述信息及所述参数信息发送给所述客户端。

5、 根据权利要求 1 ~ 4任一所述的方法， 其特征在于， 所述服务请求中 携带有回调地址， 则所述将所述能力服务器返回的服务响应消息转发给所述 第三方应用包括：

将所述能力服务器返回的服务响应消息转发给与所述回调地址相对应的 第三方应用。

6、 一种服务开放服务器， 其特征在于， 包括：

接收模块， 用于接收来自第三方应用的服务请求， 所述服务请求携带有 被请求的服务的类型信息和被请求的服务的参数信息；

第一获取模块， 用于根据所述服务的类型信息查询业务目录， 获取所述 服务的访问地址与鉴权类别信息；

第二获取模块， 用于当根据所述鉴权类别信息确定需要最终用户授权才 能调用所述服务时， 则根据所述服务的类型信息和所述服务的参数信息获取 所述最终用户的授权通知消息；

转发模块， 用于根据所述访问地址将所述服务请求转发给能力服务器， 并将所述能力服务器返回的服务响应消息转发给所述第三方应用。

7、 根据权利要求 6所述的服务器， 其特征在于， 所述第二获取模块包 括：

标识生成单元， 用于根据所述参数信息生成与所述参数信息相对应的参 数标识；

第一发送单元， 用于将携带有所述类型信息和所述参数标识的鉴权地址 通过所述第三方应用发送给客户端； 获取单元， 用于获取所述最终用户通过所述鉴权地址确认的授权通知消 息。

8、 根据权利要求 7所述的服务器， 其特征在于， 所述获取单元包括： 确定子单元， 用于确定所述鉴权地址是否被修改；

第一获取子单元， 用于若确定所述鉴权地址未被修改， 则获取所述最终 用户通过所述鉴权地址发送的密码信息；

发送子单元， 用于若验证所述密码信息成功， 则将所述被请求的服务的 描述信息及所述参数信息发送给所述客户端；

第二获取子单元， 用于获取所述最终用户根据所述描述信息及所述参数 信息发送的授权通知消息。

9、 根据权利要求 8所述的服务器， 其特征在于， 所述第二获取子单元 包括：

第一获取装置， 用于根据所述类型信息查询所述业务目录， 获取所述描 述信息；

第二获取装置， 用于根据所述参数标识获取所述服务请求中携带的所述 参数信息；

发送装置， 用于将所述描述信息及所述参数信息发送给所述客户端。

10、 根据权利要求 6 ~ 9任一所述的服务器， 其特征在于， 所述服务请 求中携带有回调地址， 所述转发模块还包括：

第二发送单元， 用于将所述能力服务器返回的服务响应消息转发给与所 述回调地址相对应的第三方应用。

11、 一种服务开放系统， 其特征在于， 包括： 第一服务器、 设置有第三 方应用的第二服务器， 所述第一服务器为权利要求 6 ~ 10任一所述的服务开 放服务器；

所述第一服务器接收来自设置在所述第二服务器上的第三方应用的服务 请求， 所述服务请求携带有被请求的服务的类型信息和被请求的服务的参数 信息； 所述第一服务器根据所述服务器的类型信息查询业务目录， 获取到所 述服务的访问地址与鉴权类别信息； 根据所述鉴权类别信息确定需要最终用 户授权才能调用所述服务时， 则所述第一服务器根据所述服务的类型信息和 所述服务的参数信息获取所述最终用户的授权通知消息； 所述第一服务器根 据所述访问地址将所述服务请求转发给能力服务器， 并将所述能力服务器返 回的服务响应消息转发给所述第三方应用。