WO2014032543A1

WO2014032543A1 - 认证授权处理方法及装置

Info

Publication number: WO2014032543A1
Application number: PCT/CN2013/082105
Authority: WO
Inventors: 周苏静; 张瑞山; 谢振华; 梁亮
Original assignee: 中兴通讯股份有限公司
Priority date: 2012-08-30
Filing date: 2013-08-22
Publication date: 2014-03-06
Also published as: CN103685139A; CN103685139B

Abstract

本发明提供了一种认证授权处理方法及装置，该方法包括：第三方应用服务器或授权服务器向用户代理传送授权信息，其中，用户代理根据用户信息及上述授权信息生成第一认证授权数据，该第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限；第三方应用服务器接收来自用户代理的第一认证授权数据。通过本发明，解决了现有技术中存在认证授权流程复杂，从而导致认证授权处理效率不高的问题，进而达到了不仅认证授权过程简洁，而且提高认证授权处理效率的效果。

Description

认证授权处理方法及装置技术领域本发明涉及通信领域，具体而言，涉及一种认证授权处理方法及装置。背景技术随着互联网的发展，越来越多的应用依赖于多个网站提供服务，例如，用户可能需要一个提供打印服务的网站去打印他存放在另一个网站的照片；用户可能希望一个社交网站使用自己在另一个网站的通讯录寻找朋友；或者一个第三方应用利用其它多个网站提供的 API接口，例如 Mashup (混搭）。

OAuth (开放授权）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密资源（例如，照片，视频，联系人列表等），而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站（例如，视频编辑网站）在特定的时段（例如，接下来的 2小时内）内访问特定的资源（例如，仅仅是某一相册中的视频）。这样， OAuth允许用户授权第三方网站访问他们存储在其他服务提供者上的特定信息，而不必泄露用户的认证凭据，如口令，也不必泄露过多的数据给第三方网站。

OAuth有两个版本， OAuth 1.0禾 B OAuth 2.0。 2010年 4月， OAuth 1.0协议发表为 RFC 5849。 OAuth 2.0 (draft-ietf-oauth) 是 OAuth协议的下一版本，但不向后兼容 OAuth 1.0。 OAuth 1.0涉及三个角色：服务提供方（Service Provider ) 用户（即资源主 Resource

Owner), 第三方应用服务器（即网站客户 Client)。其中，服务提供方存储资源主受保护的资源，例如，照片，视频，联系人列表；用户是存放在服务提供方的受保护的资源的拥有者。第三方应用服务器是要访问用户保存在服务提供方的资源的第三方应用，例如，提供照片打印服务的网站。下面对 OAuth 1.0 进行认证和授权的过程进行说明：

( 1 ) 用户访问第三方应用服务器，想操作用户存放在服务提供方的资源；

(2) 第三方应用服务器向服务提供方请求一个请求令牌（Request Token); (3 ) 服务提供方验证第三方应用服务器的身份后，授予一个请求令牌；

(4)第三方应用服务器获得请求令牌后，将用户的浏览器重定向到服务提供方的授权页面请求用户授权；

(5 )用户在服务提供方的网页上输入用户名和密码，然后授权该第三方应用服务器访问所请求的资源，授权成功后，服务提供方将用户的浏览器重定向到第三方应用服务器；

( 6) 第三方应用服务器根据请求令牌从服务提供方那里请求访问令牌（Access Token);

(7) 服务提供方根据请求令牌和授权情况授予第三方应用服务器访问令牌； ( 8)第三方应用服务器使用获取的访问令牌访问存放在服务提供方的受保护的资源。图 1是相关技术中 OAuth 2.0抽象授权流程图，如图 1所示，在该 OAuth 2.0的流程中包含四个角色：用户 101 (即资源主 resource owner ) 资源服务器 105 (resource server ) 第三方应用服务器 103 ( client ) 授权服务器 104 (authorization server)„ 其中，资源服务器 105和授权服务器 104对应 OAuth 1.0 中的服务提供方，授权服务器 104为第三方应用服务器 103发放访问令牌等授权凭据，资源服务器 105仅验证访问令牌、决定是否允许第三方应用服务器 103访问资源。第三方应用服务器 103和授权服务器 104通过终端设备 102和用户 102交互。

OAuth 2.0 的认证和授权流程包括四种模式：授权码流程（Authorization Code flow)、隐示授权流程（ Implicit Grant flow)、口令凭据流程（ Password Credential flow)、客户凭据流程（Client Credential flow)。图 2是相关技术中 OAuth 2.0的认证和授权中授权码流程图，如图 2所示，该流程包括如下步骤：

201. 第三方应用服务器 103 把用户 101所用的用户代理 106重定向到授权服务器 104的认证授权入口，重定向包含第三方应用服务器 103的标识、回调地址、授权模式类型等信息；

202. 授权服务器 104通过用户代理 106认证用户，用户 101决定是否授权给第三方应用服务器 103; 203. 如果用户 101授权了第三方应用服务器 103，授权服务器 104把用户 101的用户代理 106重定向到第三方应用服务器 103提供的回调地址，重定向包含授权码；

204.第三方应用服务器 103把授权码发送给授权服务器 104，请求获得访问令牌，请求中还包含回调地址； 205. 授权服务器 104认证第三方应用服务器 103、验证授权码、验证步骤 204中的回调地址是否和步骤 203的回调地址相同，如果上述认证和验证均成功，授权服务器 104发送访问令牌给第三方应用服务器 103;

206. 第三方应用服务器将接收到的上述访问令牌发送给上述资源服务器；

207. 资源服务器根据接收到的上述访问令牌返回资源。虽然 OAuth提供了一种安全的授权方法，但是 OAuth获取授权码的过程需要多个消息来回，比较繁琐。在相关技术中也存在对 OAuth 1.0 优化的方案，例如，由资源主用户直接向第三方应用服务器发送授权令牌，但是该方案并不适用于 OAuth 2.0的架构。因此，在相关技术中存在认证授权流程复杂，从而导致认证授权处理效率不高的问题。发明内容本发明提供了一种认证授权处理方法及装置，以至少解决相关技术中存在认证授权流程复杂，从而导致认证授权处理效率不高的问题。根据本发明的一个方面，提供了一种认证授权处理方法，包括：第三方应用服务器向用户代理传送授权信息，其中，所述用户代理根据用户信息及所述授权信息生成第一认证授权数据，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据。优选地，在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后，还包括：所述第三方应用服务器向授权服务器发送所述第一认证授权数据；所述第三方应用服务器接收到所述授权服务器根据所述第一认证授权数据返回的资源访问许可数据，所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。优选地，在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后，还包括：所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；所述第三方应用服务器将生成的所述第二认证授权数据发送给授权服务器；所述第三方应用服务器接收到所述授权服务器根据所述第二认证授权数据返回的资源访问许可数据，所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。优选地，在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后，还包括：所述第三方应用服务器将所述第一认证授权数据和 /或第二认证授权数据发送给所述其它服务提供者的资源服务器，其中，所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；所述第三方应用服务器接收到所述资源服务器根据所述第一认证授权数据和 /或第二认证授权数据返回的数据资源。优选地，所述授权信息包括以下至少之一：可执行程序、 1本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。优选地，所述用户信息包括以下至少之- 口令、密码、与用户公钥相匹配的私钥、用户的生物特征。根据本发明的另一方面，提供了一种认证授权处理方法，包括：授权服务器向用户代理传送授权信息，其中，所述用户代理将根据用户信息及所述授权信息生成的第一认证授权数据发送给第三方应用服务器，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；所述授权服务器接收到来自所述第三方应用服务器发送的所述第一认证授权数据和 /或第二认证授权数据，其中，所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；所述授权服务器根据所述第一认证授权数据和 /或所述第二认证授权数据向所述第三方应用服务器发送资源访问许可数据。优选地，所述授权信息包括以下至少之一：可执行程序、 1本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。优选地，所述用户信息包括以下至少之一：口令、密码、与用户公钥相匹配的私钥、用户的生物特征。根据本发明的再一方面，提供了一种认证授权处理方法，包括：用户代理接收来自授权服务器和 /或第三方应用服务器的授权信息；所述用户代理根据用户信息及所述授权信息生成第一认证授权数据，其中，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；所述用户代理将生成的所述第一认证授权数据发送给所述第三方应用服务器。优选地，所述授权信息包括以下至少之一：可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。优选地，所述用户信息包括以下至少之一：口令、密码、与用户公钥相匹配的私钥、用户的生物特征。根据本发明的又一方面，提供了一种认证授权处理装置，位于第三方应用服务器中，包括：第一传送模块，设置为向用户代理传送授权信息，其中，所述用户代理根据用户信息及所述授权信息生成第一认证授权数据，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；第一接收模块，设置为接收来自所述用户代理的所述第一认证授权数据。优选地，还包括：第一发送模块，设置为向授权服务器发送所述第一认证授权数据；第二接收模块，设置为接收到所述授权服务器根据所述第一认证授权数据返回的资源访问许可数据，所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。优选地，还包括：第一生成模块，设置为根据所述第一认证授权数据生成所述第二认证授权数据；第二发送模块，设置为将生成的所述第二认证授权数据发送给授权服务器；第三接收模块，设置为接收到所述授权服务器根据所述第二认证授权数据返回的资源访问许可数据，所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。优选地，还包括：第三发送模块，设置为将所述第一认证授权数据和 /或第二认证授权数据发送给所述其它服务提供者的资源服务器，其中，所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；第四接收模块，设置为接收到所述资源服务器根据所述第一认证授权数据和 /或第二认证授权数据返回的数据资源。根据本发明的还一方面，提供了一种认证授权处理装置，位于授权服务器中，包括：第二传送模块，设置为向用户代理传送授权信息，其中，所述用户代理将根据用户信息及所述授权信息生成的第一认证授权数据发送给第三方应用服务器，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；第五接收模块，设置为接收到来自所述第三方应用服务器发送的所述第一认证授权数据和 /或第二认证授权数据，其中，所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；第四发送模块，设置为根据所述第一认证授权数据和 /或第二认证授权数据向所述第三方应用服务器发送资源访问许可数据。根据本发明的还又一方面，提供了一种认证授权处理装置，位于用户代理中，包括：第六接收模块，设置为接收来自授权服务器和 /或第三方应用服务器的授权信息；第二生成模块，设置为根据用户信息及所述授权信息生成第一认证授权数据，其中，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；第五发送模块，设置为将生成的所述第一认证授权数据发送给所述第三方应用服务器。通过本发明，采用第三方应用服务器或授权服务器向用户代理传送授权信息，其中，所述用户代理根据用户信息及所述授权信息生成第一认证授权数据，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据，解决了现有技术中存在认证授权流程复杂，从而导致认证授权处理效率不高的问题，进而达到了不仅认证授权过程简洁，而且提高认证授权处理效率的效果。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中- 图 1是相关技术中 OAuth 2.0抽象授权流程图；图 2是相关技术中 OAuth 2.0的认证和授权中授权码流程图；图 3是根据本发明实施例的认证授权处理方法的流程图一；图 4是根据本发明实施例认证授权处理方法的流程图二；图 5是根据本发明实施例的认证授权处理方法的流程图三；图 6是根据本发明实施例的认证授权处理装置的结构框图一；图 7是根据本发明实施例的认证授权处理装置的结构框图二；图 8是根据本发明实施例的认证授权处理装置的结构框图三；图 9是根据本发明实施例的认证授权处理装置的结构框图四；图 10是根据本发明实施例的认证授权处理装置的结构框图五；图 11是根据本发明实施例的认证授权处理装置的结构框图六；图 12是根据本发明优选实施例的认证授权方法的示意图一；图 13是根据本发明优选实施例的认证授权方法的示意图二；图 14是根据本发明优选实施例的认证授权装置的结构框图；图 15是根据本发明优选实施例的实现认证授权的用户代理装置的结构框图；图 16 是根据本发明优选实施例的实现认证授权的第三方应用服务装置的结构框图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。在本实施例中提供了一种认证授权处理方法，图 3是根据本发明实施例的认证授权处理方法的流程图一，如图 3所示，该流程包括如下步骤：步骤 S302，第三方应用服务器向用户代理传送授权信息，其中，用户代理根据用户信息及上述授权信息生成第一认证授权数据，该第一认证授权数据用于授予第三方应用服务器访问存放在除上述第三方应用服务器外的其它服务提供者的数据资源的权限；步骤 S304，第三方应用服务器接收来自用户代理的第一认证授权数据。通过上述步骤，第三方应用服务器可以直接接收到用于认证授权的第一认证授权数据，相对于相关技术中需要多个消息来回，以及通过繁琐的流程才能实现认证授权，上述步骤较为简洁，交互流程较少，不仅解决了相关技术中认证授权流程复杂的问题，并且，通过生成的方式获取该第一认证授权数据，在一定程度上也提高了认证授权的处理效率。在第三方应用服务器接收来自用户代理的第一认证授权数据之后，依据该第一认证授权处理的方式可以多种，例如，在第三方应用服务器直接依据该第一认证授权数据来执行认证处理流程，可以采用以下方式：第三方应用服务器向授权服务器发送第一认证授权数据；授权认证服务器对第三方应用服务器发送的该第一认证授权数据进行认证，而后向第三方应用服务器进行反馈，第三方应用服务器接收到授权服务器根据上述第一认证授权数据返回的资源访问许可数据，其中，该资源访问许可数据用于判断第三方应用服务器是否能够访问存放在除第三方应用服务器外的其它服务提供者的数据资源。又例如，该第三方应用服务器还可以间接地使用该第一认证授权数据来执行认证授权处理流程，处理时可以采用以下方式：第三方应用服务器根据第一认证授权数据生成第二认证授权数据；第三方应用服务器将生成的第二认证授权数据发送给授权服务器；授权服务器对接收到的上述第二认证授权数据进行认证，而后向第三方应用服务器进行反馈，第三方应用服务器接收到授权服务器根据第二认证授权数据返回的资源访问许可数据，其中，该资源访问许可数据用于判断第三方应用服务器是否能够访问存放在除第三方应用服务器外的其它服务提供者的数据资源。对于上述直接采用第一认证授权数据还是间接地采用认证授权数据的处理方式，可以根据具体需要灵活选择。上述直接采用第一认证授权数据还是间接采用认证授权数据的处理方式，均是通过授权服务器来认证授权的，而通过资源服务器也可以实现对第三方应用服务器是否能够访问数据资源进行认证，例如，在第三方应用服务器接收来自用户代理的第一认证授权数据之后，第三方应用服务器将第一认证授权数据和 /或第二认证授权数据发送给上述其它服务提供者的资源服务器，其中，第三方应用服务器根据第一认证授权数据生成第二认证授权数据；上述资源服务器直接根据上述第一认证授权数据和 /或第二认证授权数据对第三方应用服务器进行认证，而后向第三方应用服务器进行反馈，第三方应用服务器接收到资源服务器根据第一认证授权数据和 /或第二认证授权数据返回的数据资源。采用这样的处理方式，相对于采用授权服务器的认证授权处理流程更为简洁，认证授权处理效率更高。需要说明的是，上述授权信息可以包括以下至少之一：可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。上述用户信息可以包括以下至少之一：口令、密码、与用户公钥相匹配的私钥、用户的生物特征。在本实施例中还提供了一种认证授权处理方法，图 4是根据本发明实施例认证授权处理方法的流程图二，如图 4所示，该流程包括如下步骤：步骤 S402，授权服务器向用户代理传送授权信息，其中，用户代理将根据用户信息及授权信息生成的第一认证授权数据发送给第三方应用服务器，该第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限；步骤 S404，授权服务器接收到来自第三方应用服务器发送的第一认证授权数据和 /或第二认证授权数据，其中，第三方应用服务器根据第一认证授权数据生成第二认证授权数据；步骤 S406，授权服务器根据第一认证授权数据和 /或第二认证授权数据向第三方应用服务器发送资源访问许可数据。通过上述步骤，授权服务器直接根据用户代理生成的第一认证授权数据对第三方应用服务器进行认证，相对于相关技术中需要进行多次信息交互，上述步骤较为简洁，交互流程较少，不仅解决了相关技术中认证授权流程复杂的问题，并且，通过生成的方式获取该第一认证授权数据，在一定程度上也提高了认证授权的处理效率。授权服务器接收到上述第一认证授权数据之后，也可以通过不同的认证授权处理方式向第三方应用服务器发送资源访问许可数据：授权服务器接收到来自第三方应用服务器发送的第一认证授权数据和 /或第二认证授权数据，其中，第三方应用服务器根据第一认证授权数据生成第二认证授权数据；授权服务器根据第一认证授权数据和 / 或第二认证授权数据向第三方应用服务器发送资源访问许可数据，上述授权服务器采用第一认证授权数据进行认证的情况下，属于直接的认证授权处理方式，而采用第二认证授权数据进行认证的情况下，属于间接的认证授权处理方式，处理时可以根据具体条件进行灵活选择。需要说明的是，上述授权信息也可以包括以下至少之一：可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。上述用户信息也可以包括以下至少之一：口令、密码、与用户公钥相匹配的私钥、用户的生物特征。在本实施例中还提供了一种认证授权处理方法，图 5是根据本发明实施例的认证授权处理方法的流程图三，如图 5所示，该流程包括如下步骤：步骤 S502，用户代理接收来自授权服务器和 /或第三方应用服务器的授权信息；步骤 S504，用户代理根据用户信息及授权信息生成第一认证授权数据，其中，该第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限；步骤 S506，用户代理将生成的上述第一认证授权数据发送给第三方应用服务器。通过上述步骤，用户代理直接根据用户信息以及传送的授权信息生成第一认证授权数据，而后将直接生成的第一认证授权数据发送给第三方应用服务器，为后续第三方应用服务器的快速认证授权流程提供了可能。需要说明的是，上述授权信息可以包括以下至少之一：可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。上述用户信息包括以下至少之一：口令、密码、与用户公钥相匹配的私钥、用户的生物特征。在本实施例中还提供了一种认证授权处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语 "模块"可以实现预定功能的软件和 /或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。图 6是根据本发明实施例的认证授权处理装置的结构框图一，如图 6所示，该装置位于第三方应用服务器中，包括：第一传送模块 62和第一接收模块 64，下面对该装置进行说明。第一传送模块 62，设置为向用户代理传送授权信息，其中，用户代理根据用户信息及授权信息生成第一认证授权数据，上述第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限；第一接收模块 64，连接至上述第一传送模块 62，设置为接收来自用户代理的第一认证授权数据。图 7是根据本发明实施例的认证授权处理装置的结构框图二，如图 7所示，该装置除包括图 6所示的所有模块外，还包括第一发送模块 72和第二接收模块 74。下面对该装置进行说明。第一发送模块 72，连接至上述第一接收模块 64，设置为向授权服务器发送第一认证授权数据；第二接收模块 74，连接至上述第一发送模块 72，设置为接收到授权服务器根据第一认证授权数据返回的资源访问许可数据，该资源访问许可数据用于判断第三方应用服务器是否能够访问存放在除第三方应用服务器外的其它服务提供者的数据资源。图 8是根据本发明实施例的认证授权处理装置的结构框图三，如图 8所示，该装置除包括图 6所示的所有模块外，还包括第一生成模块 82、第二发送模块 84和第三接收模块 86，下面对该装置进行说明。第一生成模块 82，连接至上述第一接收模块 64，设置为根据第一认证授权数据生成第二认证授权数据；第二发送模块 84，连接至上述第一生成模块 82，设置为将生成的第二认证授权数据发送给授权服务器；第三接收模块 86，连接至上述第二发送模块 84，设置为接收到授权服务器根据第二认证授权数据返回的资源访问许可数据，该资源访问许可数据用于判断第三方应用服务器是否能够访问存放在除第三方应用服务器外的其它服务提供者的数据资源。图 9是根据本发明实施例的认证授权处理装置的结构框图四，如图 9所示，该装置除包括图 6所示的所有模块外，还包括第三发送模块 92和第四发送模块 94，下面对该装置进行说明。第三发送模块 92，连接至上述第一接收模块 64，设置为将第一认证授权数据和 / 或第二认证授权数据发送给其它服务提供者的资源服务器，其中，第三方应用服务器根据第一认证授权数据生成第二认证授权数据；第四接收模块 94，连接至上述第三发送模块 92，设置为接收到资源服务器根据第一认证授权数据和 /或第二认证授权数据返回的数据资源。图 10是根据本发明实施例的认证授权处理装置的结构框图五，如图 10所示，该装置位于授权服务器中，包括第二传送模块 1002、第五接收模块 1004和第四发送模块 1006，下面对该装置进行说明。第二传送模块 1002，设置为向用户代理传送授权信息，其中，用户代理将根据用户信息及授权信息生成的第一认证授权数据发送给第三方应用服务器，该第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限；第五接收模块 1004，连接至上述第二传送模块 1002，设置为接收到来自第三方应用服务器发送的第一认证授权数据和 /或第二认证授权数据，其中，第三方应用服务器根据第一认证授权数据生成第二认证授权数据；第四发送模块 1006，连接至上述第五接收模块 1004，设置为根据第一认证授权数据和 /或第二认证授权数据向第三方应用服务器发送资源访问许可数据。图 11是根据本发明实施例的认证授权处理装置的结构框图六，如图 11所示，该装置位于用户代理中，包括第六接收模块 1102、第二生成模块 1104和第五发送模块 1106, 下面对该装置进行说明。第六接收模块 1102，设置为接收来自授权服务器和 /或第三方应用服务器的授权信息；第二生成模块 1104，连接至上述第六接收模块 1102，设置为根据用户信息及授权信息生成第一认证授权数据，其中，第一认证授权数据用于授予第三方应用服务器访问存放在除第三方应用服务器外的其它服务提供者的数据资源的权限；第五发送模块 1106，连接至上述第二生成模块 1104，设置为将生成的第一认证授权数据发送给第三方应用服务器。上述实施例及优选实施方式所提供的认证授权处理方法，适用于包括用户代理、授权服务器、第三方应用服务器的系统中，下面结合适用的系统，对上述方法进行较为详细的说明。上述认证授权处理方法包括：授权服务器和 /或第三方应用服务器下传授权信息给用户代理，其中，该授权信息被用户代理用于生成第一认证授权数据；用户代理将上述第一认证授权数据发送给第三方应用服务器。较优地，在第三方应用服务器接收到上述认证授权数据时，该第三方应用服务器发送第一认证授权数据给授权服务器，或者根据第一认证授权数据生成第二认证授权数据并发送给授权服务器；授权服务器根据接收到的第一认证授权数据和 /或第二认证授权数据，向第三方应用服务器返回资源访问许可数据。需要说明的是，上述授权信息可以包含以下至少之一：可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。较优地，在用户代理把第一认证授权数据发送给第三方应用服务器前，用户代理还可以获取用户信息，根据获取到的用户信息和授权信息生成第一认证授权数据。其中，上述用户信息可以包括以下至少之一：口令、密码、和用户公钥相匹配的私钥、用户的生物特征。通过上述实施例及优选实施方式，由资源主用户通过授权服务器提供的代码，直接为第三方应用生成授权码，解决了相关技术中 OAuth 2.0获取授权码的过程繁琐的问题，上述实施例及优选实施方式所提供的认证授权过程较为简洁，较大地提高了认证授权效率。下面将结合附图对本发明实施方式做进一步说明。图 12是根据本发明优选实施例的认证授权方法的示意图一，如图 12所示，在该认证授权方法的流程中包含的角色有：用户代理 310、授权服务器 104和第三方应用服务器 103，在进行认证授权之前，可以先完成以下处理：用户 101通过用户代理 310 访问第三方应用服务器 103，用户代理 310可以是在用户终端设备 102上运行的浏览器程序。当需要第三方应用服务器 103访问资源服务器时，用户代理 310会被第三方应用服务器 103重定向到授权服务器 104，重定向链接可以包含第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识。在结束上述处理之后，认证授权的过程包括如下步骤： 301 . 用户代理 310跳转到授权服务器 104后，用户被要求从授权服务器 104下载授权信息，授权信息可以是可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识中的任一组合；

302. 用户代理 310从用户或终端设备获得用户信息，并根据该用户信息和上述授权信息生成第一认证授权数据，其中上述用户信息可以包括以下任一组合：口令、密码、和用户公钥相匹配的私钥、用户的生物特征；

303. 用户代理把第一认证授权数据发送给第三方应用服务器 103 ;

304.第三方应用服务器 103把第一认证授权数据或者根据第一认证授权数据生成的第二认证授权数据发送给授权服务器；

305. 授权服务器 104接收第一认证授权数据或第二认证授权数据，并向第三方应用服务器 103返回资源访问许可数据。图 13是根据本发明优选实施例的认证授权方法的示意图二，如图 13所示，在该认证授权方法的流程中包含的角色有：用户代理 310、授权服务器 104、第三方应用服务器 103。在进行认证授权之前，可以先完成以下处理：用户 101通过用户代理 310 访问第三方应用服务器 103，第三方应用服务器 103要求从用户 101和授权服务器 104 获得对某个资源的资源访问许可数据，如访问令牌，完成上述处理之后，进行如下步骤：

401 . 用户代理 310被要求从第三方应用服务器 103下载授权信息，授权信息可以是可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识中的任一组合； 402. 用户代理 310从用户或终端设备获得用户信息，并根据该用户信息和上述授权信息生成第一认证授权数据，其中，上述用户信息包括以下任一组合：口令、密码、和用户公钥相匹配的私钥、用户的生物特征；

403. 用户代理 310把第一认证授权数据发送给第三方应用服务器 103 ; 404.第三方应用服务器 103把第一认证授权数据或者根据第一认证授权数据生成的第二认证授权数据发送给授权服务器；

405. 授权服务器 104接收第一认证授权数据或第二认证授权数据，并向第三方应用服务器 103返回资源访问许可数据。在上述实施例或优选实施方式中，授权信息可以包括一段 Javascript代码，代码中可包含从重定向链接获取的第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息。 Javascript代码下载完成后在用户代理 310内执行，可提示用户 101提供用户信息，也可根据事先的设置自动载入用户信息。上述用户信息指的是用户的认证凭据，可以是口令、密码、和用户公钥对应的私钥、用户的生物特征等，或者上述认证凭据中的任一组合，以及任何其他可以认证用户的数据。用户信息的提供方式也可以多种，可以是用户 101从键盘输入（口令、密码）、也可以是从和终端设备相连的存储设备中读取（和公钥相对应的私钥、密码文件）、也可以是从和终端设备相连的生物特征采集器获取（用户的生物特征），或者上述三种方式中的任一组合。在获得用户信息后， Javascript代码生成第一认证授权数据，发送给第三方应用服务器 103。第一认证授权数据也可以具有多种类型，例如，第一认证授权数据可以是根据用户的口令、密码和第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息计算出的消息认证码（Message Authentication Code )。又例如，第一认证授权数据也可以是根据和用户公钥匹配的私钥、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息计算出的数字签名（Digital Signature) ,, 还例如，第一认证授权数据还可以是根据和用户公钥匹配的私钥、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息和代理数字签名算法（Proxy Signature) 生成的代理私钥。用户代理 310把上述第一认证授权数据发送给第三方应用服务器 103 ; 第三方应用服务器 103发送资源访问许可请求给授权服务器 104，请求获得资源访问许可数据，资源访问许可请求中包含第一认证授权数据或者根据第一认证授权数据生成的第二认证授权数据。例如，第二认证授权数据可以是第三方应用服务器根据第一认证授权数据中的代理私钥生成的代理数字签名（Proxy Signature ) o 上述第一认证授权数据、第二认证授权数据可包含第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息。授权服务器 104接收资源访问许可请求，解析出第一认证授权数据或第二认证授权数据，通过相应的算法验证认证授权数据的合法性。比如，如果认证授权数据是消息认证码，就根据用户的口令、密码和第三方应用服务器的标识、第三方应用服务器要访问的资源的标识、授权有效期限等信息重新计算消息认证码，如果计算出的结果和收到的消息认证码相同，则认为该认证授权数据合法。如果认证授权数据包含数字签名（包括普通的数字签名和代理数字签名），就根据用户的公钥验证签名的合法性。如果认证授权数据验证合法，授权服务器 104就生成资源访问许可数据，并向第三方应用服务器返回资源访问许可数据。该资源访问许可数据可以是 OAuth 1.0或 2.0 中的访问令牌。第三方应用服务器 103获得资源访问许可数据后，发送给资源服务器，资源服务器验证资源访问许可数据，如果资源访问许可数据验证合法，返回请求的资源内容。在另一个优选实施例中，用户代理 310跳转到授权服务器 104后，用户被要求从授权服务器 104下载授权信息，授权信息包括一段 Javascript代码，一个 ActiveX控件或一个 Plugin插件。这里的 ActiveX控件或 Plugin插件还可以从授权服务器或其他第三方可信服务器以在线或者离线的方式获得。如果 ActiveX控件或 Plugin插件被检测未安装，则提示用户下载安装，如果被检测已经安装，则不提示用户下载。 Javascript 代码中可包含从重定向链接获取的第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息。 Javascript代码下载完成后在用户代理 310 内执行，调用 ActiveX控件或 Plugin插件，把第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息输入到 ActiveX控件或 Plugin插件。 ActiveX控件或 Plugin插件提示用户 101提供用户信息。用户信息如上述实施例所示，在此不再赘述。在另一个优选实施例中，用户 101通过用户代理 310访问第三方应用服务器 103，当需要第三方应用服务器 103访问资源服务器时，第三方应用服务器 103给用户代理

310显示授权请求页面，其中包含一段 Javascript代码，该代码检测用户代理 310是否已经安装所需要的 Plugin插件或 ActiveX控件，如果 ActiveX控件或 Plugin插件被检测未安装，则提示用户下载安装，如果被检测已经安装，则不提示用户下载。这里的 ActiveX控件或 Plugin插件可以从授权服务器或该第三方应用服务器或其他第三方可信服务器以在线或者离线的方式获得。

Javascript代码中可包含第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息。 Javascript代码在用户代理 310内执行调用 ActiveX 控件或 Plugin插件，把第三方应用服务器的标识、第三方应用服务器要访问的在资源服务器上的资源标识等信息输入到 ActiveX控件或 Plugin插件。 ActiveX控件或 Plugin 插件提示用户 101提供用户信息。用户信息如上述实施例所示，在此不再赘述。在另一个优选实施例中，用户代理 310下载执行授权信息后，授权信息中的代码并不提示用户提供用户信息，而只是提示用户是否同意生成第一认证授权数据。用户信息可以事先存储在下载安装后的控件或插件中。在本实施例中还提供了一种实现认证授权的认证授权装置，图 14是根据本发明优选实施例的认证授权装置的结构框图，如图 14所示，该认证授权装置 320包括传送模块 501 (与上述第二传送模块 1002功能相当）、接收模块 502 (与上述第五接收模块 1004功能相当）、递交模块 503 (与上述第四发送模块 1006功能相当）和处理模块 504，下面对该认证授权装置进行说明。传送模块 501，设置为传送授权信息给用户代理，其中，该授权信息被用户代理用于生成第一认证授权数据；接收模块 502，设置为接收由用户代理生成的第一认证授权数据，或由第三方应用服务器生成的第二认证授权数据；递交模块 503，设置为向第三方应用服务器递交资源访问许可数据。上述认证授权装置 320中，还可以包含处理模块 504，设置为根据接收到的第一认证授权数据或第二认证授权数据认证用户。上述认证授权装置 320中，所涉及的授权信息可以包含以下任一组合：可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。在本实施例中还提供了一种实现认证授权的用户代理装置，图 15是根据本发明优选实施例的实现认证授权的用户代理装置的结构框图，如图 15所示，该用户代理装置 310包括下载模块 601 (与上述第六接收模块 1102功能相当）、生成模块 603 (与上述第二生成模块 1104功能相当）和发送模块 604 (与上述第五发送模块 1106功能相当），下面对该用户代理装置 310进行说明。下载模块 601，设置为从授权服务器和 /或第三方应用服务器下载授权信息；生成模块 603，设置为根据用户信息和授权信息生成第一认证授权数据；发送模块 604，设置为把第一认证授权数据发送给第三方应用服务器。上述用户代理装置 310还可包含获取模块 602，设置为获取用户信息，其中，该用户信息包括以下任一组合：口令、密码、和用户公钥相匹配的私钥、用户的生物特征。上述用户代理装置 310中，上述授权信息可以包含以下任一组合：可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。在本实施例中还提供了一种实现认证授权的第三方应用服务器装置，图 16是根据本发明优选实施例的实现认证授权的第三方应用服务装置的结构框图，如图 16所示，该第三方应用服务装置 330包括传送模块 701 (与上述第一传送模块 62功能相当）和接收模块 702 (与上述第一接收模块 64功能相当），下面对该第三方应用服务装置进行说明。传送模块 701，设置为传送授权信息给用户代理，其中，上述授权信息被用户代理用于生成第一认证授权数据；接收模块 702，设置为接收由用户代理生成的第一认证授权数据。较优地，上述第三方应用服务装置，还可包括转交模块 704 (与上述第一发送模块 72功能相当），设置为发送第一认证授权数据给授权服务器；上述第三方应用服务装置，还可包括生成模块 703 (与上述第一生成模块 82功能相当）和发送模块 704 (与上述第二发送模块 84功能相当）；其中，生成模块 703，设置为根据第一认证授权数据生成第二认证授权数据；发送模块 704，设置为发送第二认证授权数据给授权服务器。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种认证授权处理方法，包括：

第三方应用服务器向用户代理传送授权信息，其中，所述用户代理根据用户信息及所述授权信息生成第一认证授权数据，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；

所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据。

2. 根据权利要求 1所述的方法，其中，在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后，还包括：

所述第三方应用服务器向授权服务器发送所述第一认证授权数据；所述第三方应用服务器接收到所述授权服务器根据所述第一认证授权数据返回的资源访问许可数据，所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。

3. 根据权利要求 1所述的方法，其中，在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后，还包括：

所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；

所述第三方应用服务器将生成的所述第二认证授权数据发送给授权服务器；

所述第三方应用服务器接收到所述授权服务器根据所述第二认证授权数据返回的资源访问许可数据，所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。

4. 根据权利要求 1所述的方法，其中，在所述第三方应用服务器接收来自所述用户代理的所述第一认证授权数据之后，还包括：所述第三方应用服务器将所述第一认证授权数据和 /或第二认证授权数据发送给所述其它服务提供者的资源服务器，其中，所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；

所述第三方应用服务器接收到所述资源服务器根据所述第一认证授权数据和 /或第二认证授权数据返回的数据资源。根据权利要求 1至 4中任一项所述的方法，其中，所述授权信息包括以下至少之一：

可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。根据权利要求 1至 4中任一项所述的方法，其中，所述用户信息包括以下至少之一：

口令、密码、与用户公钥相匹配的私钥、用户的生物特征。一种认证授权处理方法，包括：

授权服务器向用户代理传送授权信息，其中，所述用户代理将根据用户信息及所述授权信息生成的第一认证授权数据发送给第三方应用服务器，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；

所述授权服务器接收到来自所述第三方应用服务器发送的所述第一认证授权数据和 /或第二认证授权数据，其中，所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；

所述授权服务器根据所述第一认证授权数据和 /或所述第二认证授权数据向所述第三方应用服务器发送资源访问许可数据。根据权利要求 7所述的方法，其中，所述授权信息包括以下至少之一：

可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。根据权利要求 7或 8所述的方法，其中，所述用户信息包括以下至少之一：口令、密码、与用户公钥相匹配的私钥、用户的生物特征。一种认证授权处理方法，包括：用户代理接收来自授权服务器和 /或第三方应用服务器的授权信息；所述用户代理根据用户信息及所述授权信息生成第一认证授权数据，其中，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；

所述用户代理将生成的所述第一认证授权数据发送给所述第三方应用服务器。

11. 根据权利要求 10所述的方法，其中，所述授权信息包括以下至少之一：

可执行程序、脚本、第三方应用服务器的标识、第三方应用服务器要访问的资源的标识。

12. 根据权利要求 10或 11所述的方法，其中，所述用户信息包括以下至少之一：口令、密码、与用户公钥相匹配的私钥、用户的生物特征。

13. 一种认证授权处理装置，其中，位于第三方应用服务器中，包括：

第一传送模块，设置为向用户代理传送授权信息，其中，所述用户代理根据用户信息及所述授权信息生成第一认证授权数据，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；

第一接收模块，设置为接收来自所述用户代理的所述第一认证授权数据。

14. 根据权利要求 13所述的装置，其中，还包括：

第一发送模块，设置为向授权服务器发送所述第一认证授权数据；第二接收模块，设置为接收到所述授权服务器根据所述第一认证授权数据返回的资源访问许可数据，所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。

15. 根据权利要求 13所述的装置，其中，还包括：

第一生成模块，设置为根据所述第一认证授权数据生成所述第二认证授权数据；

第二发送模块，设置为将生成的所述第二认证授权数据发送给授权服务器; 第三接收模块，设置为接收到所述授权服务器根据所述第二认证授权数据返回的资源访问许可数据，所述资源访问许可数据用于判断所述第三方应用服务器是否能够访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源。

16. 根据权利要求 13所述的装置，其中，还包括：

第三发送模块，设置为将所述第一认证授权数据和 /或第二认证授权数据发送给所述其它服务提供者的资源服务器，其中，所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；

第四接收模块，设置为接收到所述资源服务器根据所述第一认证授权数据和 /或第二认证授权数据返回的数据资源。

17. 一种认证授权处理装置，位于授权服务器中，包括：

第二传送模块，设置为向用户代理传送授权信息，其中，所述用户代理将根据用户信息及所述授权信息生成的第一认证授权数据发送给第三方应用服务器，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；

第五接收模块，设置为接收到来自所述第三方应用服务器发送的所述第一认证授权数据和 /或第二认证授权数据，其中，所述第三方应用服务器根据所述第一认证授权数据生成所述第二认证授权数据；

第四发送模块，设置为根据所述第一认证授权数据和 /或第二认证授权数据向所述第三方应用服务器发送资源访问许可数据。

18. 一种认证授权处理装置，位于用户代理中，包括：

第六接收模块，设置为接收来自授权服务器和 /或第三方应用服务器的授权信息；

第二生成模块，设置为根据用户信息及所述授权信息生成第一认证授权数据，其中，所述第一认证授权数据用于授予所述第三方应用服务器访问存放在除所述第三方应用服务器外的其它服务提供者的数据资源的权限；

第五发送模块，设置为将生成的所述第一认证授权数据发送给所述第三方应用服务器。