WO2016074514A1

WO2016074514A1 - 资源管理方法和装置

Info

Publication number: WO2016074514A1
Application number: PCT/CN2015/086887
Authority: WO
Inventors: 王渡华; 桂祖宏; 黄小燕
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-11-14
Filing date: 2015-08-13
Publication date: 2016-05-19
Also published as: CN105656856A

Abstract

一种资源管理方法和装置。涉及通信领域；解决了现有资源请求流程中安全性差的问题。该方法包括：接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源；验证所述第三方服务器是否获得授权；在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。本发明提供的技术方案适用于开放平台网络环境，实现了对资源的管理控制。

Description

资源管理方法和装置

技术领域

本发明实施例涉及通信领域，尤其涉及一种资源管理方法和装置。

背景技术

随着互联网的发展，开放几乎成为了最热的词汇，各种基于开放平台的应用和社会化登录也随之出现。将自身的产品和服务与大网站平台对接，不仅能省去注册等繁琐工作，不用为储存和传输大量的用户账号信息而烦恼，还可以迅速的带来流量、用户资源，并得到更好的推广。而对于平台来说通过支持协议可以得到很多的应用接入，为用户提供更多更好的服务。这对开发者和平台提供商来说是双赢的局面。

开放授权(OAuth，Open Authorization)为用户资源的授权提供了一个安全的、开放而又简易的标准。作为目前最流行的用户认证和授权协议，被各大平台广泛使用。

在最新的OAuth2.0协议中，定义了四种授权方式，即：授权码授权(Authorization Code Grant)、隐式授权(Implicit Grant)、资源拥有者密码凭证授权(Resource Owner Password Credentials Grant)、客户端自认证(Client Credentials Grant)。而最安全的授权方式为授权码授权，图1为相关技术中用户资源授权和资源请求的流程示意图，如图1所示。包含如下步骤：

步骤101、第三方服务器导向(UA，User Agent，一般称为浏览器)发起授权流程；

步骤102、UA访问认证服务器，请求授权，携带有客户端(Client)凭证、授权后重定向URI等信息；

步骤103、认证服务器将UA重定向到输入凭证页面，要求用户输入凭证；

步骤104、用户输入凭证；

步骤105、认证服务器认证成功后，将UA重定向到授权页面，询问用户是否同意授权；

步骤106、用户选择同意授权；

步骤107、认证服务器将UA重定向到预设URI，并在URI参数中携带有授权码；

步骤108、UA访问URI，将授权码给第三方服务器；

步骤109、第三方服务器通过授权码向认证服务器请求访问令牌；

步骤110、认证服务器返回访问令牌；

步骤111、第三方服务器通过访问令牌向资源服务器请求资源；

步骤112、资源服务器返回所请求资源。

上述相关技术的用户资源授权和资源请求的流程中，向第三方服务器下发其所请求资源的过程不可控，存在安全性的问题。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

为了解决上述技术问题，本发明实施例本发明提供了一种资源管理方法和装置，能够提高资源请求流程中的安全性。

本发明实施例提供了一种资源管理方法，包括：

接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源；

验证所述第三方服务器是否获得授权；

在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。

可选的，验证所述第三方服务器是否获得授权包括：

请求获取验证密码；

将获得的验证密码与预置的授权信息进行比对；

在所述验证密码与所述授权信息匹配时，确定所述第三方服务器已获得授权。

可选的，在所述验证信息与所述授权凭证不匹配时，该方法还包括：确定所述第三方服务器未获得授权。

可选的，该方法之前，还包括：所述认证服务器在对所述第三方服务器进行授权时，获取用户设置的授权凭证。

本发明实施例还提供了一种资源管理方法，包括：

第三方服务器自认证服务器获取访问令牌；

所述第三方服务器向资源服务器发送获得的访问令牌，所述访问令牌表示该第三方服务器所请求的资源。

可选的，该方法之前，还包括：

所述认证服务器获取用户设备的授权凭证，将所述授权凭证发送至所述第三方服务器。

可选的，所述第三方服务器自认证服务器获取访问令牌包括：

所述第三方服务器向所述认证服务器发送所述授权凭证；

所述第三方服务器接收所述认证服务器返回的与所述授权凭证相对应的访问令牌。

本发明实施例还提供了一种资源管理装置，包括：

请求接收模块，设置为接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源；

验证模块，设置为验证所述第三方服务器是否获得授权；

资源下发模块，设置为在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。

可选的，所述验证模块包括：

验证信息获取单元，设置为请求获取验证信息；

比对单元，设置为将获取的验证信息与预置的授权凭证进行比对；

判定单元，设置为在所述验证信息与所述授权凭证一致时，确定所述第三方服务器已获得授权。

本发明实施例还提供了一种资源管理装置，包括：

访问令牌获取模块，设置为自认证服务器获取访问令牌；

请求发送模块，设置为向资源服务器发送访问令牌，所述访问令牌表示该第三方服务器所请求的资源。

可选的，所述访问令牌获取模块包括：

令牌请求单元，设置为向所述认证服务器发送所述授权凭证；

令牌接收单元，可选地接收所述认证服务器返回的与所述授权凭证相对应的访问令牌。

本发明实施例提供了一种资源管理方法和装置，资源服务器接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源，然后验证所述第三方服务器是否获得授权，并在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。实现了对资源的管理控制，提高了用户资源授权和资源请求流程中的安全性。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为相关技术中用户资源授权和资源请求的流程示意图；

图2为本发明的实施例提供的一种资源管理方法的流程图；

图3为本发明的实施例提供的一种资源管理装置的结构示意图；

图4为本发明的实施例提供的又一种资源管理装置的结构示意图。

本发明的较佳实施方式

为使本发明实施例的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

以下结合附图对本发明进行详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

对于相关的用户资源授权和资源请求流程，有如下缺陷：

1、认证服务器返回的访问令牌，具体一定的有效期，在有效期内，第三方服务器可以无限次的向资源服务器请求资源。对于某些敏感信息，如果不想第三方服务器在用户不知情的情况下随意获取，无法控制。

2、目前很多网站或软件都有自动登录的功能，当别人使用你的电脑或手机，打开已授权网站或软件，可以向资源服务器任意请求资源，造成信息泄露。

为了解决上述问题，本发明的实施例提供了一种资源管理方法和装置。下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

针对相关技术存在的缺陷，本发明的实施例提出一种用户安全的资源管理方法，限制访问令牌被随意使用，当客户端向认证服务器请求授权时，认证服务器要求资源拥有者设置授权凭证(如：授权密码、声纹等)，授权成功后认证服务器向客户端颁发访问令牌，之后当客户端通过访问令牌向资源服务器请求资源时，资源服务器要求资源有用者输入之前设置的授权凭证，验证通过后，再响应所请求资源。

本发明实施例提供了一种资源管理系统，至少包括：

客户端：设置为获取授权和发送受保护资源请求的应用。

资源服务器：设置为接受和响应受保护资源请求的服务器。

认证服务器：设置为接受和响应授权请求的服务器。

资源拥有者：设置为对受保护资源进行访问许可控制的实体，一般来说是用户。

本发明实施例中，访问令牌由认证服务器发放，被客户端用来代表资源拥有者发送验证请求的令牌。

本发明实施例提供的资源管理方法的执行步骤如下：

1、客户端向认证服务器发起授权请求。

2、认证服务器对资源拥有者进行认证，并要求资源拥有者设置授权凭证(具体可为如授权码)。

3、资源拥护者设置授权凭证，并同意授权。

4、认证服务器向客户端发放访问令牌。

5、客户端通过访问令牌，向资源服务器请求资源。

6、资源服务器要求资源拥有者出示授权凭证(如，输入验证信息)。

7、资源拥有者出示授权凭证，资源服务器验证通过(在输入的验证信息与预置的授权凭证匹配时判定验证通过)。

8、资源服务器响应客户端的资源。

通过步骤3中资源拥有者设置的授权凭证，步骤7中资源拥有者向资源服务器出示凭证，确保了客户端即使在访问令牌有效期内，也不能随意请求资源。当然，资源服务器未必随时都要求资源拥有者出示授权凭证，可选择地对某些敏感资源或权限要求资源拥有者出示，达到了对普通资源正常响应，对敏感资源进一步保护的目的。同样也保证了任何人使用电脑或手机时，无资源拥有者出示授权凭证，也无法访问敏感信息，提高了资源的安全性。

下面结合附图，对本发明的实施例二进行说明。

本发明实施例提供了一种资源管理方法，如图2所示，包含如下步骤：

步骤201、第三方服务器导向UA(浏览器)发起授权流程。

步骤202、UA访问认证服务器，请求授权，携带有Client凭证、授权后重定向URI等信息。

本发明实施例中，认证服务器在对所述第三方服务器进行授权时，获取用户设置的授权凭证，具体如步骤203至步骤206所述。

步骤203、认证服务器将UA重定向输入凭证页面，要求用户输入凭证。

步骤204、用户输入凭证。

步骤205、认证服务器认证成功后，将UA重定向到授权页面，询问用户是否同意授权，并要求用户设置授权凭证。

步骤206、用户设置授权凭证，并选择同意授权。

步骤207、认证服务器将UA重定向到预设URI，并在URI参数中携带了授权凭证。

步骤208、UA访问URI，将授权凭证给第三方服务器；

本步骤中，认证服务器获取用户设备的授权凭证，将所述授权凭证发送至所述第三方服务器。

第三方服务器在需要访问资源时，自认证服务器获取访问令牌，具体如步骤209至210所述。

步骤209、第三方服务器通过授权凭证向认证服务器请求访问令牌；

本步骤中，第三方服务器向所述认证服务器发送所述授权凭证。

步骤210、认证服务器返回访问令牌；

本步骤中，第三方服务器接收所述认证服务器返回的与所述授权凭证相对应的访问令牌。

步骤211、第三方服务器通过访问令牌向资源服务器请求资源；

本步骤中，第三方服务器向资源服务器发送访问令牌，所述访问令牌表示该第三方服务器所请求的资源，资源服务器接收第三方服务器发送的访问令牌。

在接收到第三方服务器发送的访问令牌后，资源服务器需要验证所述第三方服务器是否获得授权，具体如下。

步骤212、资源服务器将UA重定向到要求用户输入授权凭证页面；

本步骤中，资源服务器请求获取验证信息。

步骤213、用户输入验证信息；

本步骤中，以用户所输入的内容作为验证信息。

步骤214、资源服务器验证通过，资源服务器返回所请求资源；

本步骤中，将获取的验证信息与预置的授权凭证进行比对；在确定所述第三方服务器获得授权后，资源服务器向该第三方服务器返回其所请求的资源。

在所述验证信息与所述授权凭证不匹配时，确定所述第三方服务器未获得授权。

本发明的实施例中所涉及的授权凭证和验证信息可为简单的密码，也可为更复杂的信息；授权凭证和验证信息相匹配，可以是授权凭证与验证信息完全相同，也可以是授权凭证经过处理后可得到该验证信息，或验证信息经过处理后得到该授权凭证。本发明的实施例对授权凭证和验证信息的具体形式、授权信息与验证信息的匹配方式不作具体限定，实际的用户资源授权系统可以采用更多的方式设置以及验证授权凭证，达到资源拥有者对敏感信息访问控制的目的。

下面结合附图，对本发明的实施例三进行说明。

本发明实施例提供了一种资源管理装置，该装置的结构如图3所示，包括：

请求接收模块301，设置为接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源；

验证模块302，设置为验证所述第三方服务器是否获得授权；

资源下发模块303，设置为在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。

可选的，所述验证模块302具体包括：

验证信息获取单元3021，设置为请求获取验证信息；

比对单元3022，设置为将获取的验证信息与预置的授权凭证进行比对；

判定单元3023，设置为在所述验证信息与所述授权凭证匹配时，确定所述第三方服务器已获得授权。

如图3所示的资源管理装置可集成于资源服务器中，由资源服务器完成相应功能。

本发明实施例还提供了一种资源管理装置，其结构如图4所示，包括：

访问令牌获取模块401，设置为自认证服务器获取访问令牌；

请求发送模块402，设置为向资源服务器发送访问令牌，所述访问令牌表示该第三方服务器所请求的资源。

可选的，所述访问令牌获取模块401包括：

令牌请求单元4011，设置为向所述认证服务器发送所述授权凭证；

令牌接收单元4012，设置为接收所述认证服务器返回的与所述授权凭证相对应的访问令牌。

如图4所示的资源管理装置可集成于第三方服务器中，由第三方服务器完成相应功能。

本发明的实施例提供了一种资源管理方法和装置，资源服务器接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源，然后验证所述第三方服务器是否获得授权，并在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。实现了对资源的管理控制，提高了用户资源授权和资源请求流程中的安全性。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求所述的保护范围为准。

工业实用性

本发明实施例提出的资源管理方法和装置，包括：接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源；验证所述第三方服务器是否获得授权；在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。本发明实施例提供的技术方案适用于开放平台网络环境，实现了对资源的管理控制，提高了用户资源授权和资源请求流程中的安全性。

Claims

一种资源管理方法，其特征在于，包括：

接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源；

验证所述第三方服务器是否获得授权；

在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。
根据权利要求1所述的资源管理方法，其特征在于，验证所述第三方服务器是否获得授权包括：请求获取验证密码；

将获得的验证密码与预置的授权信息进行比对；

在所述验证密码与所述授权信息匹配时，确定所述第三方服务器已获得授权。
根据权利要求2所述的资源管理方法，其特征在于，在所述验证信息与所述授权凭证不匹配时，该方法还包括：

确定所述第三方服务器未获得授权。
根据权利要求2所述的资源管理方法，其特征在于，该方法之前还包括：所述认证服务器在对所述第三方服务器进行授权时，获取用户设置的授权凭证。
一种资源管理方法，其特征在于，包括：

第三方服务器自认证服务器获取访问令牌；

所述第三方服务器向资源服务器发送获得的访问令牌，所述访问令牌表示该第三方服务器所请求的资源。
根据权利要求5所述的资源管理方法，其特征在于，该方法之前还包括：所述认证服务器获取用户设备的授权凭证，将所述授权凭证发送至所述第三方服务器。
根据权利要求6所述的资源管理方法，其特征在于，所述第三方服务器自认证服务器获取访问令牌包括：

所述第三方服务器向所述认证服务器发送所述授权凭证；

所述第三方服务器接收所述认证服务器返回的与所述授权凭证相对应的访问令牌。
一种资源管理装置，其特征在于，包括：

请求接收模块，设置为接收第三方服务器发送的访问令牌，所述访问令牌表示该第三方服务器所请求的资源；

验证模块，设置为验证所述第三方服务器是否获得授权；

资源下发模块，设置为在确定所述第三方服务器获得授权后，向该第三方服务器返回其所请求的资源。
根据权利要求8所述的资源管理装置，其特征在于，所述验证模块包括：

验证信息获取单元，设置为请求获取验证信息；

比对单元，设置为将获取的验证信息与预置的授权凭证进行比对；

判定单元，设置为在所述验证信息与所述授权凭证一致时，确定所述第三方服务器已获得授权。
一种资源管理装置，其特征在于，包括：

访问令牌获取模块，设置为自认证服务器获取访问令牌；

请求发送模块，设置为向资源服务器发送访问令牌，所述访问令牌表示该第三方服务器所请求的资源。
根据权利要求10所述的资源管理装置，其特征在于，所述访问令牌获取模块包括：

令牌请求单元，设置为向所述认证服务器发送所述授权凭证；

令牌接收单元，设置为接收所述认证服务器返回的与所述授权凭证相对应的访问令牌。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1-4任一项和/或权利要求5-7任一项的方法。