WO2017071208A1

WO2017071208A1 - 鉴权方法、设备、服务器、系统及存储介质

Info

Publication number: WO2017071208A1
Application number: PCT/CN2016/084205
Authority: WO
Inventors: 任杰
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2015-10-28
Filing date: 2016-05-31
Publication date: 2017-05-04
Also published as: CN105245541B; US10666440B2; CN105245541A; US20180006818A1

Abstract

本发明公开一种鉴权方法、设备、服务器、系统及存储介质；方法包括：基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息；将令牌信息在设备群的设备中以限制复制的方式进行传输，令牌信息用于供服务器对设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为第二设备分配第一账号的使用权限；确定第二设备基于第一账号的使用权限登录第一应用，从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。采用本发明，能够在多设备使用同一账号登录应用时，避免账号的密钥泄露以有效保障账号安全。

Description

鉴权方法、设备、服务器、系统及存储介质

本专利申请要求2015年10月28日提交的中国专利申请号为201510711862.X，申请人为腾讯科技(深圳)有限公司，发明名称为“鉴权方法、设备及系统”的优先权，该申请的全文以引用的方式并入本申请中。

技术领域

本发明涉及通信领域的安全控制技术，尤其涉及一种鉴权方法、设备、服务器、系统及存储介质。

背景技术

随着设备的智能化，人们除了拥有台式机、笔记本电脑等常规的设备，还拥有智能手机、平板电脑、智能眼镜、智能手表等多种形式的智能设备，这些设备都具有强大的智能性，能够运行多种不同的应用，例如，可以运行提供多种形式服务，包括线上服务(如在线多媒体播放、网上银行、社交服务如微信、微博等)，还包括线下服务(网上预定家政服务、在线购买提供送花上门服务的商品，如外卖、家政服务、电子产品、服装等)。

用户需要使用预先注册的账号和密钥登录在设备中运行的应用才能使用应用所提供的服务，目前在账号的管理上存在安全隐患。

在一个典型的场景中，用户1往往拥有多台终端设备，如智能手机、平板电脑等，并且用户往往会使用所拥有的设备来使用相同的服务，例如用户1可能在不同的时刻分别使用智能手机和平板电脑来使用微信，这就需要用户1在所持有的设备中分别设置存储微信的账号和密钥，由于用户1一般只会随身携带智能手机，而不会总是随身携带平板电脑、笔记本电脑等设备，这就给用户1的账号安全带来了隐患，导致恶意用户2可能使用用户的设备而登录应用使用服务，给用户1带来损失；

在另一个典型的场景中，用户1希望将自身的账号(例如淘宝账号)暂时让渡给用户3使用，这就需要用户1通过特定方式向用户3告知用户1的账号和密钥(如用户1通过口头方式告知用户3，或通过用户1持有的设备向用户3持有的设备发送信息的方式告知)，这对用户1的账号安全带来了巨大的安全隐患。

综上所述，相关技术对于在多设备使用同一账号时，避免账号的密钥泄露以有效保障账号安全、尚无有效解决方案。

发明内容

本发明实施例提供一种鉴权方法、设备、服务器、系统及存储介质，能够在多设备使用同一账号登录应用时，避免账号的密钥泄露以有效保障账号安全。

本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供一种鉴权方法，所述方法包括：

第一设备基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息，所述令牌信息为所述服务器基于所述第一账号生成，用于表征所述第一设备用户拥有所述第一账号的所有权；

将所述令牌信息在设备群的设备中以限制复制的方式进行传输，所述令牌信息还配置为供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。

第二方面，本发明实施例提供一种鉴权方法，所述方法包括：

服务器基于第一设备用户持有的对应第一应用的第一账号，生成对应所述第一账号的令牌信息，所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权；

将所述令牌信息发送至第一设备，所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输；

基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。

第三方面，本发明实施例提供一种第一设备，所述第一设备包括：

获取单元，配置为基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息，所述令牌信息为所述服务器基于所述第一账号生成，用于表征所述第一设备用户拥有所述第一账号的所有权；

第一传输单元，配置为将所述令牌信息在设备群的设备中以限制复制的方式进行传输，所述令牌信息还配置为供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

切换单元，配置为确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。

第四方面，本发明实施例提供一种服务器，包括：

令牌单元，配置为基于第一设备用户持有的对应第一应用的第一账号，生成对应所述第一账号的令牌信息，所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权；

第二传输单元，配置为将所述令牌信息发送至第一设备，所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输；

鉴权单元，配置为基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

触发单元，配置为确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。

第五方面，本发明实施例提供一种第一设备，所述第一设备包括：

存储介质，配置为存储计算机可执行指令；

处理器，配置为执行存储在所述存储介质上的计算机可执行指令，所述计算机可执行指令包括：

基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息，所述令牌信息为所述服务器基于所述第一账号生成，用于表征所述第一设备用户拥有所述第一账号的所有权；

第六方面，本发明实施例提供一种服务器，所述服务器包括：

存储介质，配置为存储计算机可执行指令；

基于第一设备用户持有的对应第一应用的第一账号，生成对应所述第一账号的令牌信息，所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权；

为将所述令牌信息发送至第一设备，所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输；

第七方面，本发明实施例提供一种鉴权系统，包括前述的第一设备以及服务器。

第八方面，本发明实施例提供一种存储介质，其中存储有可执行指令，所述可执行指令用于执行本发明实施例提供的鉴权方法。

本发明实施例中，第一设备基于第一应用的第一账号获取令牌信息，将令牌信息作为设备群中的设备使用第一账号登录第一应用的鉴权凭证，在第一设备用户不必告知设备群中的设备用户与第一账号相应的密钥的前提下，即可对具有令牌信息的第二设备进行鉴权认证，避免了第一账号的密钥泄露的风险；同时，在第二设备基于第一账号登录第一应用时，第一设备还暂停使用第一账号登录第一应用以避免第一账号的登录冲突问题。

附图说明

图1是本发明实施例中鉴权方法的一个可选的流程示意图一；

图2是本发明实施例中鉴权系统的一个可选的结构示意图；

图3是本发明实施例中鉴权方法的一个可选的流程示意图二；

图4是本发明实施例中鉴权方法的一个可选的流程示意图三；

图5是本发明实施例中鉴权方法的一个可选的流程示意图四；

图6是本发明实施例中鉴权方法的一个可选的流程示意图五；

图7是本发明实施例中第一设备运行的第一应用处于不可操作的一个可选的状态示意图；

图8是本发明实施例中操作第一设备回收第一账号的使用权限的一个可选的示意图；

图9是本发明实施例中第一设备的一个可选的逻辑功能结构示意图；

图10是本发明实施例中服务器的一个可选的逻辑功能结构示意图；

图11是本发明实施例中第一设备和服务器的一个可选的硬件结构示意图。

具体实施方式

以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

需要说明的是，本发明实施例涉及的术语“第一、第二”等仅用于区分不同的对象(如设备)，而不带代表对象的特定排序。可以理解的是，上述的术语所区分的对象在允许的情况下可以互换，从而本发明实施例记载的技术方案能够在对象互换的情况下实施。

此外，还需要说明的是，本发明实施例中涉及的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素，而且还包括没有明确列出的其他要素，或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元)。

例如，本发明实施例提供的鉴权方法包含了一系列的步骤，但是本发明实施例提供的鉴权方法不限于所记载的步骤，同样地，本发明实施例提供的第一设备、服务器也包括了一系列单元，但是本发明实施例提供的鉴权方法和设备不限于包括所明确记载的步骤或单元，还可以包括为获取相关信息、或基于信息进行处理时所需要执行的步骤或所需要包括的单元。

本发明实施例记载一种鉴权方法，可以应用基于第一账号登录应用(第一应用)的第一设备中，上述的第一应用并非特指第一设备中运行的某一个应用，而是指基于账号和密钥对用户进行鉴权，在鉴权通过时允许第一设备相应服务的应用，例如各种社交应用、以及提供第三方服务(包括线上的社交、购物、外卖等服务、以及线下的家政等服务)的各种应用，同理，上述的第一设备也并非特指某一个或某一类设备，而是指能够运行上述应用并具备通信能力的设备，并与设备群的其他设备进行区分。

上述的第一设备以及设备群中的设备可以是智能手机、平板电脑或穿戴式设备(如智能眼镜、智能手表等)，还可以是智能汽车、智能家电(如智能冰箱、智能电池、机顶盒等)；智能手机的操作系统可以是安卓操作系统、iOS操作系统或其他任意第三方开发的可以运行于微型计算机结构(至少包括处理器和内存)的操作系统(如移动版Linux系统、黑莓QNX操作系统等)。

第一设备及设备群中的设备可以内置各种通信模块以支持设备之间的通信，如近场通信(NFC)模块、蓝牙通信模块、红外通信模块、无线相容性认证(WiFi)通信模块和蜂窝通信模块等，其中蜂窝通信模块支持的通信制式可为码分多址(CDMA，Code Division Multiple Access))、宽带码分多址(WCDMA，Wideband Code Division Multiple Access)、时分-同步码分多址(TD-SCDMA，Time Division-Synchronous Code Division Multiple Access)及其演进制式的通信；当设备群中的第一设备需要与目标设备进行通信时，可以在近距离通信的有效范围内探测是否能够与目标设备进行近距离方式的通信(如蓝牙、WiFi，以WiFi为例，可以通过向目标设备发送回声请求消息，如果接收到目标设备返回的数据包，则表明处于近距离的有效通信范围内)；如果在近距离的有效范围内没有探测到设备，则可以基于远程通信方式(如蜂窝通信)与目标设备建立通信。

本发明实施例中还涉及服务器，服务器可以是为实施本发明实施例而专门设置的服务器(也可以采用服务器集群的方式)，当然，服务器也可以是第一应用的后台服务器，例如，当第一应用为社交应用时，相应的服务器300可以为社交应用的后台服务器。

基于上述记载的第一设备、设备群和服务器，本发明实施例提供一种鉴权方法，参见图1示出的鉴权方法的一个可选的流程示意图，包括步骤101至步骤104。

在步骤101中，第一设备基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息；令牌信息为服务器基于第一账号生成，用于表征第一设备用户拥有第一账号的所有权；在步骤102中，第一设备将令牌信息在设备群的设备中以限制复制的方式进行传输；令牌信息还用于供服务器对设备群中具有令牌信息的第二设备进行鉴权，在鉴权通过时为第二设备分配第一账号的使用权限，以支持第二设备使用第一账号登录第一应用；在步骤103中，第一设备确定第二设备基于第一账号的使用权限登录第一应用，相应地，在步骤104中，从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。

上述方案中，第一设备基于第一应用的第一账号获取令牌信息，将令牌信息作为设备群中的设备使用第一账号登录第一应用的鉴权凭证，在第一设备用户不必告知设备群中的设备用户与第一账号相应的密钥的前提下，即可对具有令牌信息的第二设备进行鉴权认证，避免了第一账号的密钥泄露的风险；同时，在第二设备基于第一账号登录第一应用时，第一设备还暂停使用第一账号登录第一应用以避免第一账号的登录冲突问题；同时，令牌信息在设备群中是不可复制的方式传递的，这就有效杜绝了多个设备持有令牌并基于第一账号登录第一应用的情况。

本发明实施例针对以下场景中的问题提出解决的技术方案，参见图2，第一设备100中运行第一应用，第一设备100用户通过第一设备100注册了使用第一应用所提供服务的账号信息，包括：第一账号以及相应的密钥信息；当第一设备100用户希望将第一账号临时给第二设备200(第二设备200用户可以与第一设备100用户为同一用户，也可以为不同的用户)使用，而又不希望泄露对应第一账号的密钥给第二设备200。

参见图3示出的鉴权方法的一个可选的流程示意图，包括以下步骤：

步骤201，第一设备100向服务器300发送令牌信息请求。

在一些实施例中，令牌信息请求携带第一设备100用户注册的对应第一应用的第一账户的信息。

步骤202，服务器300接收到第一设备100发送的令牌信息请求时，生成对应第一账户的标识，加密标识得到对应的令牌信息。

在一些实施例中，服务器300可以采用非对称加密算法(或对称加密算法)对标识进行加密，为放置令牌信息被恶意更改。在另一些实施例中，令牌信息中还可以附有数字签名或数字证书，第一设备100利用数字签名来验证令牌信息的可靠性。

步骤203，服务器300维护第一账号与标识的对应关系。

在一些实施例中，对于不同的第一设备100发送令牌信息请求时，服务器300均根据各第一设备100中的运行的第一应用的账号对应生成标识(针对不同的第一账号生成的标识不同)，并维护各第一账号与对应生成的标识的对应关系；示例性地，服务器300可以采用任意具有单一映射功能的函数对第一账号进行计算得到对应的标识，也可以不利用第一账号进行计算，而仅仅利用令牌信息表征第一设备100用户拥有第一账号的所有权。

步骤204，服务器300传递令牌信息至第一设备100。

步骤205，第一设备100将令牌信息在设备群的设备中以限制复制的方式进行传输。

在一些实施例中，第一设备100可以主动发起令牌信息在设备群的传递，或者，在另一些实施例中，在接收到设备群中的设备(设为第二设备200)使用第一账号登录第一应用的请求时，传递令牌信息至第二设备200。

在一些实施例中，当第二设备200获取到令牌信息时，可以基于令牌信息向服务器300请求使用第一账号登录第一应用的使用权限，在使用完毕时以限制复制的方式传递令牌信息至设备群中的其他设备；或者，在另一些实施例中，第二设备200也可以在获取到令牌信息时不向服务器300请求第一账号的使用权限，而是直接将令牌信息以限制复制的方式传递至设备群中的其他设备。

由于令牌信息在设备群中是以限制复制方式传递的，因此，在第二设备200传递令牌信息至设备群中的其他设备之后，第二设备200没有保留令牌信息，也就是说，一旦令牌信息在设备群中传递，在任一个时刻设备群中只有一个设备具有令牌信息。

后续以设备群中的第二设备200基于令牌信息请求基于第一账号登录第一应用的使用权限进行说明。

步骤206，设备群中的第二设备200基于令牌信息向服务器300请求登录第一应用。

在一些实施例中，第二设备200向服务器300发送的请求中携带令牌信息；本实施例中，第一设备100仅仅将令牌信息传递给第二设备200，也就是说，第二设备200不具有第一设备100用户所具有的第一应用第一账号，在第二设备200使用第一账号之前，确保了第一设备100用户的账号安全。

步骤207，服务器300对设备群中具有令牌信息的第二设备200进行鉴权，在鉴权通过时为第二设备200分配第一账号的使用权限。

在一些实施例中，服务器300接收到第二设备200的请求时，利用令牌信息的数字签名(或数字证书)验证令牌信息是否为服务器300下发并且未经修改，之后解密出令牌信息中的标识，利用服务器300所维护的标识与第一账号的对应关系，确定第二设备200所请求使用的第一账号，并为第二设备200分配第一账号的使用权限，将第二设备200中运行的第一应用的状态置为基于第一账号的登录状态，从而使第二设备200用户获得了第一账号的使用权限。

上述过程中第一设备100用于不需要将第一账号的密钥告知第二设备200，就可以实现让第二设备200基于第一账号登录第一应用的目的，避免了密钥泄露给第二十设备而可能导致的账号的风险。

步骤208，服务器300触发第一设备100从基于第一账号登录第一应用的状态，切换为中止使用第一账号登录第一应用的状态。

在一些实施例中，服务器300在为第二设备200分配第一账号的使用权限(也就是使第二设备200基于第二账号登录的第一应用)之后，将第一设备100基于第一账号的使用状态切换为中止使用的状态，第一设备100的显示界面上可以显示当前不可操作的提示，以支持第二设备200用户基于第一账号使用第一应用提供的服务。

针对上述的提出的场景，参见图1，第一设备100用户基于自身的第一账号登录第一应用后，在第一应用的图形界面发起向服务器300申请令牌信息的操作，在接收到服务器300下发的令牌信息时，将令牌信息发送到第二设备200，第二设备200基于令牌信息向服务器300请求第一账号的使用权限，服务器300基于令牌信息鉴权成功后，为第二设备200分配第一账号的使用权限，第二设备200运行的第一应用处于基于第一账号登录的状态，第一设备100中运行的第一应用处于中止基于第一账号登录的状态。

本发明实施例中前述以第二设备200在请求第一账号的使用权限时，仅具有令牌信息，而不具有第一账号的信息(如名称)，由服务器300基于维护的标识与第一账号的对应关系确定。

本发明实施例中再结合图2针对以下场景进行说明，第二设备200在请求第一账号的使用权限时，具有令牌信息以及第一账号的信息(如名称)，第二设备200基于名称和令牌信息请求第一账号的使用权限，由服务器300进行账号和令牌的双重验证，提升了鉴权的安全性。

参见图4示出的鉴权方法的一个可选的流程示意图，包括以下步骤：

步骤301，第一设备100向服务器300发送令牌信息请求。

步骤302，服务器300接收到第一设备100发送的令牌信息请求时，生成对应第一账户的标识，加密标识得到对应的令牌信息。

在一些实施例中，服务器300可以采用非对称加密算法(或对称加密算法)对标识进行加密，为放置令牌信息被恶意更改。

在另一些实施例中，令牌信息中还可以附有数字签名或数字证书，第一设备100利用数字签名来验证令牌信息的可靠性。

步骤303，服务器300维护第一账号与标识的对应关系。

步骤303可以参考前述步骤203而实施。

步骤304，服务器300传递令牌信息至第一设备100。

后续以第一设备100用户将令牌信息传递给第二设备200，以使第二设备200基于第一账号登录第一应用为例说明。

步骤305，第一设备100将令牌信息和第一账号传递给第二设备200。

在一些实施例中，为了避免数据传递被恶意拦截而导致令牌信息和第一账号泄露的问题，第一设备100可以将令牌信息和第一账号分别传递至第二设备200，由于后续服务器300是基于第一账号和令牌信息进行鉴权的，即使第一账号和令牌信息中的一个被恶意获取，也无法通过服务器300的鉴权。

步骤306，设备群中的第二设备200基于令牌信息和第一账号向服务器300请求登录第一应用。

在一些实施例中，第二设备200向服务器300发送的请求中携带令牌信息和第一账号的信息；第一设备100将令牌信息和第一应用的信息传递给第二设备200，也就是说，第二设备200具有第一应用第一账号的名称。

步骤307，服务器300对设备群中具有令牌信息的第二设备200进行鉴权，在鉴权通过时为第二设备200分配第一账号的使用权限。

在一些实施例中，服务器300接收到第二设备200的请求时，利用令牌信息的数字签名(或数字证书)验证令牌信息是否为服务器300下发并且未经修改，之后解密出令牌信息中的标识，利用服务器300所维护的标识与第一账号的对应关系，确定令牌信息中的标识所对应的第一账号与第二设备200发送的请求携带的第一账号是否一致，如果一致则为第二设备200分配第一账号的使用权限，将第二设备200中运行的第一应用的状态置为基于第一账号的登录状态，从而使第二设备200获得第一账号的使用权限。

上述过程中第一账号的密钥不需要泄露给第二设备200用户，就可以实现让第二设备200基于第一账号登录第一应用的目的，避免了密钥泄露的风险。

步骤308，服务器300触发第一设备100从基于第一账号登录第一应用的状态，切换为中止使用第一账号登录第一应用的状态。

在一些实施例中，服务器300在为第二设备200分配第一账号的使用权限(也就是使第二设备200基于第二账号登录的第一应用)之后，将第一设备100基于第一账号的使用状态切换为中止使用的状态，第一设备100的显示界面上可以显示当前不可操作的提示，以支持第二设备200基于第一账号使用第一应用提供的服务。

需要指出的是，在图4中是以第二设备200具有令牌信息为例进行说明的，第二设备200可以将令牌信息在设备群中以限制复制的方式传递，对于设备群中的第三设备400(不同于第二设备200的其他设备)具有令牌信息并向服务器300请求第一账号的使用权限时，服务器300进行的鉴权处理，可以参考前述服务器300对第二设备200的鉴权处理而实施。

另外，前述以第一设备100和设备群中的设备归属于不同的用户为例进行说明，通过向设备群中的设备传递令牌信息，可以在设备群中的设备不具有第一账号的密钥的前提下使用第一账号登录第一应用，从而不需要向其他设备用户(也就设备群中的设备用户)透露第一账号的密钥信息。

本发明实施例还结合图2，对前述第二设备200获取到第一账号的使用权限之后中止分配给第二设备200的使用权限的处理进行说明。

在一些实施例中，服务器300需要确定分配给第二设备200的使用权限何时中止；可以通过以下方式结合判断何时中止分配给第二设备200的使用权限：

1)第二设备200具有令牌信息，当第二设备200不具有令牌信息时，说明令牌信息在设备群中发生了限制复制的传递，并为设备群中的其他设备所具有，为了避免第二设备200与设备群中的其他设备同时拥有使用权限，此时应当中止第二设备200的对应第一账号的使用权限；

实际实施时，在采用方式1)进行判断的基础上，还可以结合以下方式2)进行判断何时中止第二设备200的使用权限：

2)第二设备200具有令牌信息，且令牌信息没有超出有效期限，一旦第二设备不具有令牌信息，或者第二设备200具有令牌信息但是令牌信息超出有效期限，则中止为第二设备200分配的使用权限。

在一些实施例中，服务器300向第一设备100下发的令牌信息可以没有有效期的限制，也就是说，令牌信息在设备群中以限制复制的方式传递时，传递的时间没有时间上的限制。

在另一些实施例中，基于安全考量令牌信息具有有效期限(在特定期限内有效)；令牌信息在一段时间内有效，且当令牌信息在设备群中传递而超出有效期限时，令牌信息即失效，即使设备群中的设备具有令牌也无法获得第一账号的使用权限。

结合图2，接续对前述第二设备200获取到第一账号的使用权限(也就是基于第一账号登录第一应用)之后的处理进行说明；设定在前述实施例中服务器300向第一设备100下发的令牌信息中还具有时限信息，例如当令牌信息中携带数字证书时，时限信息可以以数字证书的有效期来设定。

参见图5示出的鉴权方法的一个可选的流程示意图，包括以下步骤：

步骤401，服务器300检测第二设备200是否具有令牌信息，如果具有，则执行步骤402；否则，执行步骤403。

步骤402，服务器300检测第二设备200获取的第一账号的使用权限是否处于有效期，如果未超出，则返回步骤401；否则，执行步骤403。

步骤403，服务器300中止分配给第二设备200的对应第一账号的使用权限。

步骤404，服务器300触发第一设备100从基于第一账号登录第一应用的状态，切换为中止使用第一账号登录第一应用的状态。

对于设备群中具有令牌信息的任意设备在基于令牌信息获取到第一账号的使用权限之后，服务器300都会检测具有第一账号的使用权限的设备是否具有令牌信息以及令牌信息是否超出有效期限的操作，实现了对令牌信息在设备群中传递的监测，确保了第一账号的使用安全。

本发明实施例针对以下场景的处理进行说明：

1)第一设备100和设备群中设备属于同一用户，第二设备200获取到第一账号的使用权限之后，用户需要使用第一设备100并基于第一账号来登录第一应用(此时第二设备200往往是临时用作第一应用的登录设备)。

2)第一设备100和设备群中的设备属于不同的用户，当第一设备100用户的对应第一应用的第一账号的使用权限分配给第二设备200用户之后，第一设备100用户需要使用第一账号登录第一应用，也就是希望停止第二设备200用户在第二设备200上使用第一账号登录第一应用的行为。

在上述两个场景中，服务器300有必要回收分配给第二设备200的对应第一账号的使用权限，以使第一设备100能够基于第一账号登录第一应用。

结合图2，并参见图6示出的鉴权方法的一个可选的流程示意图，包括以下步骤：

步骤501，第一设备100向服务器300发送携带令牌信息的回收请求。

在一些实施例中，回收请求中携带第一设备100从服务器请求的令牌信息，从设备群中具有令牌信息的设备中回收第一账号的使用权限，以使用户能够在第一设备基于第一账号登录第一应用。

参见图7，第一设备100中止基于第一账号登录第一应用的状态时，第一应用的显示窗口101处于不可操作的状态，相当于对用户的输入的操作进行了屏蔽接收，并可以提供如图8所示的回收第一应用的使用权限的虚拟按钮102，当该虚拟按钮102被触发时，第一设备100对应执行上述步骤501，以触发服务器300回收所分配的第一账号的使用权限，使第一设备100中第一应用的显示窗口重新处于可以操作的状态。

步骤502，服务器300判断第一设备100是否拥有第一账号的所有权，如果使则执行步骤503；否则，停止处理。

步骤503，服务器300中止为第二设备200分配的对应第一账号的使用权限。

令牌信息中具有加密的标识，标识与第一账号对应，服务器300可以维护的标识与第一设备100的标识(如产品序列号，可以在向服务器300请求令牌信息时发送至服务器300，由服务器300将对应第一账号的标识、以及第一设备100标识加密形成令牌信息；也就是说，本实施例中。令牌信息中可以携带加密的以下标识：对应第一账号的标识；第一设备100的标识。

服务器300可以通过以下方式确定第一设备100是否具有第一账号的所有权：解密出令牌信息中的第一设备100的标识，与回收请求中携带的明文的第一设备100的标识匹配，如果匹配成功，则确定发送回收请求的设备具有第一账号的所有权。

步骤504，服务器300触发第一设备100从中止基于第一账号登录第一应用的状态，切换为使用第一账号登录第一应用的状态。

本实施例中通过令牌信息对发送回收请求的第一设备100进行验证，确定具有第一账号的所有权时，中止为第二设备200分配的对应第一账号的使用权限，并恢复第一设备100使用第一账号登录第一应用的状态，便于基于第一设备100使用第一应用。

本发明实施例还对前述第一设备的功能结构进行说明，参见图9示出的第一设备100的一个可选的功能结构示意图，包括：

获取单元110，配置为基于第一设备100用户持有的对应第一应用的第一账号从服务器300获取令牌信息，令牌信息为服务器300基于第一账号生成，用于表征第一设备100用户拥有第一账号的所有权；

第一传输单元120，配置为将令牌信息在设备群的设备中以限制复制的方式进行传输，令牌信息还用于供服务器300对设备群中具有令牌信息的第二设备200进行鉴权，在鉴权通过时为第二设备200分配第一账号的使用权限，以支持第二设备200使用第一账号登录第一应用；

切换单元130，配置为确定第二设备200基于第一账号的使用权限登录第一应用，从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。

获取单元110，还配置为通过令牌信息请求从服务器300获取令牌信息，令牌信息请求用于供服务器300生成对应第一账户的标识，加密标识得到令牌信息，并维护第一账号与标识的对应关系；

第一账号与标识的对应关系用于供服务器300从令牌信息解密出标识、并基于对应关系确定与标识对应的第一账号，分配第一账号的使用权限给第二设备200。

获取单元110，还配置为通过令牌信息请求从服务器300获取令牌信息，令牌信息请求用于供服务器300加密标识得到令牌信息；

令牌信息和第一账号的信息还用于供第二设备200发送至服务器300，使服务器300验证第一账号与令牌信息中携带的标识是否匹配，在匹配时分配第一账号的使用权限给第二设备200。

令牌信息中携带时限信息，用于供服务器300检测第二设备200获取的第一账号的使用权限是否处于有效期，并在超出有效期时中止分配给第二设备200的第一账号的使用权限。

第一设备100还包括：

回收单元140，配置为向服务器300发送针对令牌信息的回收请求，回收请求中携带令牌信息，令牌信息用于供服务器300确定第一设备100用户拥有第一账号的所有权时，中止为第二设备200分配的对应第一账号的使用权限；

切换单元130，还配置为从中止使用第一账号登录第一应用的状态切换为使用第一账号登录第一应用的状态。

令牌信息还用于供服务器300检测设备群中分配有对应第一账号的使用权限的第二设备200是否具有令牌信息，在不具有时中止为第二设备200分配的对应第一账号的使用权限。

实际实施时，第一设备100中的各单元执行的逻辑处理功能可以由第一设备100中的处理器、微处理器(MCU)、专用集成电路(ASIC)或逻辑可编程门阵列(FPGA)实现，第一设备100中与第二设备200、以及与服务器300的通信功能可由第一设备100中的WiFi通信芯片、蜂窝通信芯片以及相应的外围电路和天线实现。

本发明实施例还对前述服务器300的功能结构进行说明，参见图10示出的服务器300的一个可选的功能结构示意图，包括：

令牌单元310，配置为基于第一设备100用户持有的对应第一应用的第一账号，生成对应第一账号的令牌信息，令牌信息表征第一设备100用户拥有第一账号的所有权；

第二传输单元320，配置为将令牌信息发送至第一设备100，令牌信息用于供第一设备100在设备群的设备中以限制复制的方式进行传输；

鉴权单元330，配置为基于令牌信息对设备群中具有令牌信息的第二设备200进行鉴权，在鉴权通过时为第二设备200分配第一账号的使用权限，以支持第二设备200使用第一账号登录第一应用；

触发单元340，配置为确定第二设备200基于第一账号的使用权限登录第一应用，触发第一设备100从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。

令牌单元310，包括：接收模块，配置为接收第一设备100发送的令牌信息请求时，生成对应第一账户的标识；加密模块，配置为加密标识得到令牌信息，并维护第一账号与标识的对应关系。

鉴权单元330包括：

解密模块，配置为从第二设备200发送的令牌信息解密出标识；

分配模块，配置为基于对应关系确定与标识对应的第一账号，分配第一账号的使用权限给第二设备200；或者，

分配模块配置为基于对应关系验证第二设备200发送的第一账号与令牌信息中携带的标识是否匹配，在匹配时分配第一账号的使用权限给第二设备200。

令牌信息中携带时限信息；鉴权单元330还配置为基于时限信息检测为第二设备200获取的第一账号的使用权限是否处于有效期；超出有效期时，中止为第二设备200分配的对应第一应用的使用权限。

第二传输单元320还配置为接收第一设备100发送的针对令牌信息的回收请求，回收请求中携带令牌信息；鉴权单元330，还配置为基于令牌信息确定第一设备100用户拥有第一账号的所有权时，中止为第二设备200分配的对应第一账号的使用权限；触发单元340，还配置为触发第一设备100从中止使用第一账号登录第一应用的状态切换为使用第一账号登录第一应用的状态。

鉴权单元330还配置为检测设备群中分配有对应第一账号的使用权限的第二设备200是否具有令牌信息，在不具有令牌信息时，中止为第二设备200分配的对应第一账号的使用权限。

实际实施时，服务器300中的各单元执行的逻辑处理功能可以由服务器300中的处理器、微处理器(MCU)、专用集成电路(ASIC)或逻辑可编程门阵列(FPGA)实现，服务器300中与第二设备200、以及与第一设备100的通信功能可由服务器300的WiFi通信芯片、蜂窝通信芯片以及相应的外围电路和天线实现。

需要指出的是，对于前述的第一设备200和服务器300均可以采用图11示出的硬件结构400，包括：处理器440、输入/输出接口460(例如显示器、键盘、触摸屏、扬声器麦克风中的一个或多个)，存储介质470以及网络接口450，网络接口用于支持与外部设备的数据传输，组件可以经系统总线480连接通信。

本发明实施例还记载一种图2所示的鉴权系统，包括前述的第一设备100、以及服务器300；其中，

第一设备100，配置为基于第一设备100用户持有的对应第一应用的第一账号从服务器获取令牌信息，所述令牌信息为所述服务器基于所述第一账号生成，用于表征所述第一设备100用户拥有所述第一账号的所有权；将所述令牌信息在设备群的设备中以限制复制的方式进行传输，所述令牌信息还用于供所述服务器对所述设备群中具有所述令牌信息的第二设备200进行鉴权，在鉴权通过时为所述第二设备200分配所述第一账号的使用权限，以支持所述第二设备200使用所述第一账号登录所述第一应用；确定所述第二设备200基于所述第一账号的使用权限登录所述第一应用，从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态；

服务器200，配置为基于第一设备100用户持有的对应第一应用的第一账号，生成对应所述第一账号的令牌信息，所述令牌信息表征所述第一设备100用户拥有所述第一账号的所有权；

将所述令牌信息发送至第一设备100，所述令牌信息用于供所述第一设备100在设备群的设备中以限制复制的方式进行传输；

基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备200进行鉴权，在鉴权通过时为所述第二设备200分配所述第一账号的使用权限，以支持所述第二设备200使用所述第一账号登录所述第一应用；

确定所述第二设备200基于所述第一账号的使用权限登录所述第一应用，触发所述第一设备100从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。

可选地，第一设备100还配置为通过令牌信息请求从所述服务器获取所述令牌信息，所述令牌信息请求用于供所述服务器生成对应所述第一账户的标识；

加密所述标识得到所述令牌信息，并维护所述第一账号与所述标识的对应关系。

可选地，所述第一账号与所述标识的对应关系用于供所述服务器从所述令牌信息解密出所述标识、并基于所述对应关系确定与所述标识对应的所述第一账号，分配所述第一账号的使用权限给所述第二设备200；或者，

所述令牌信息和所述第一账号的信息用于供所述第二设备200发送至所述服务器，使所述服务器基于所述对应关系验证所述第二设备200发送的所述第一账号与所述令牌信息中携带的所述标识是否匹配，在匹配时分配所述第一账号的使用权限给所述第二设备200。

可选地，令牌信息中携带时限信息，用于供所述服务器检测所述第二设备200获取的所述第一账号的使用权限是否处于有效期，并在超出有效期时中止分配给所述第二设备200的所述第一账号的使用权限。

可选地，第一设备100还配置为向所述服务器发送针对所述令牌信息的回收请求，所述回收请求中携带的所述令牌信息用于供所述服务器确定所述第一设备100用户拥有所述第一账号的所有权时，中止为所述第二设备200分配的对应所述第一账号的使用权限；

从中止使用所述第一账号登录所述第一应用的状态切换为恢复使用所述第一账号登录所述第一应用的状态。

可选地，所述令牌信息还用于供所述服务器检测所述设备群中分配有对应所述第一账号的使用权限的所述第二设备200是否具有所述令牌信息，在不具有时中止为所述第二设备200分配的对应所述第一账号的使用权限。

可选地，服务器300还配置为接收所述第一设备100发送的令牌信息请求时，生成对应所述第一账户的标识；加密所述标识得到所述令牌信息，并维护所述第一账号与所述标识的对应关系。

可选地，服务器300还配置为从所述第二设备200发送的所述令牌信息解密出所述标识；基于所述对应关系确定与所述标识对应的所述第一账号，分配所述第一账号的使用权限给所述第二设备200；从所述第二设备200发送的所述令牌信息解密出所述标识；基于所述对应关系验证所述第二设备200发送的所述第一账号与所述第二设备200发送的所述令牌信息中携带的所述标识是否匹配，在匹配时分配所述第一账号的使用权限给所述第二设备200。

可选地，所述令牌信息中携带时限信息；基于所述时限信息检测为所述第二设备200获取的所述第一账号的使用权限是否处于有效期；超出有效期时，中止为所述第二设备200分配的对应所述第一应用的使用权限。

可选地，服务器300还配置为接收所述第一设备100发送的针对所述令牌信息的回收请求，所述回收请求中携带所述令牌信息；基于所述令牌信息确定所述第一设备100用户拥有所述第一账号的所有权时，中止为所述第二设备200分配的对应所述第一账号的使用权限；触发所述第一设备100从中止使用所述第一账号登录所述第一应用的状态切换为恢复使用所述第一账号登录所述第一应用的状态。

可选地，服务器300还配置为检测所述设备群中分配有对应所述第一账号的使用权限的所述第二设备200是否具有所述令牌信息，在不具有所述令牌信息时，中止为所述第二设备200分配的对应所述第一账号的使用权限。

本发明实施例还提供一种第一设备，所述第一设备包括：

存储介质，配置为存储计算机可执行指令；

本发明实施例提供一种服务器，所述服务器包括：

存储介质，配置为存储计算机可执行指令；

本发明实施例中，如果以软件功能模块的形式实现上述的方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。

本发明实施例还提供一种计算机可读介质，可以为ROM(例如，只读存储器、FLASH存储器、转移装置等)、磁存储介质(例如，磁带、磁盘驱动器等)、光学存储介质(例如，CD-ROM、DVD-ROM、纸卡、纸带等) 以及其他熟知类型的程序存储器；计算机可读介质中存储有计算机可执行指令(例如腾讯视频等投射应用的二进制可执行指令)，结合图2，当执行指令时，引起第一设备100至少一个处理器执行包括以下的操作：

基于第一设备用户持有的对应第一应用的第一账号从服务器300获取令牌信息，令牌信息为服务器基于第一账号生成，用于表征第一设备100用户拥有第一账号的所有权；

将令牌信息在设备群的设备中以限制复制的方式进行传输，令牌信息还配置为供服务器300对设备群中具有令牌信息的第二设备200进行鉴权，在鉴权通过时为第二设备200分配第一账号的使用权限，以支持第二设备200使用第一账号登录第一应用；

确定第二设备200基于第一账号的使用权限登录第一应用，从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。

本发明实施例记载一种计算机可读介质，可以为ROM(例如，只读存储器、FLASH存储器、转移装置等)、磁存储介质(例如，磁带、磁盘驱动器等)、光学存储介质(例如，CD-ROM、DVD-ROM、纸卡、纸带等)以及其他熟知类型的程序存储器；计算机可读介质中存储有计算机可执行指令(例如腾讯视频等投射应用的二进制可执行指令)，结合图2，当执行指令时，引起服务器300至少一个处理器执行包括以下的操作：

基于第一设备100用户持有的对应第一应用的第一账号，生成对应第一账号的令牌信息，令牌信息表征第一设备100用户拥有第一账号的所有权；

将令牌信息发送至第一设备100，令牌信息用于供第一设备100在设备群的设备中以限制复制的方式进行传输；

基于令牌信息对设备群中具有令牌信息的第二设备200进行鉴权，在鉴权通过时为第二设备200分配第一账号的使用权限，以支持第二设备200使用第一账号登录第一应用；

确定第二设备200基于第一账号的使用权限登录第一应用，触发第一设备100从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。

综上所述，第一设备基于第一应用的第一账号获取令牌信息，将令牌信息作为设备群中的设备使用第一账号登录第一应用的鉴权凭证，在第一设备用户不必告知设备群中的设备用户与第一账号相应的密钥的前提下，即可对具有令牌信息的第二设备进行鉴权认证，避免了第一账号的密钥泄露的风险；同时，在第二设备基于第一账号登录第一应用时，第一设备还暂停使用第一账号登录第一应用以避免第一账号的登录冲突问题。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、随机存取存储器(RAM，Random Access Memory)、只读存储器(ROM，Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、RAM、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

一种鉴权方法，所述方法包括：

基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息，所述令牌信息为所述服务器基于所述第一账号生成，用于表征所述第一设备用户拥有所述第一账号的所有权；

将所述令牌信息在设备群的设备中以限制复制的方式进行传输，所述令牌信息还用于供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
如权利要求1所述的方法，其中，所述基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息，包括：

通过令牌信息请求从所述服务器获取所述令牌信息，所述令牌信息请求用于供所述服务器生成对应所述第一账户的标识；

加密所述标识得到所述令牌信息，并维护所述第一账号与所述标识的对应关系。
如权利要求2所述的方法，其中，

所述第一账号与所述标识的对应关系用于供所述服务器从所述令牌信息解密出所述标识、并基于所述对应关系确定与所述标识对应的所述第一账号，分配所述第一账号的使用权限给所述第二设备；或者，

所述令牌信息和所述第一账号的信息用于供所述第二设备发送至所述服务器，使所述服务器基于所述对应关系验证所述第二设备发送的所述第一账号与所述令牌信息中携带的所述标识是否匹配，在匹配时分配所述第一账号的使用权限给所述第二设备。
如权利要求1所述的方法，其中，

所述令牌信息中携带时限信息，用于供所述服务器检测所述第二设备获取的所述第一账号的使用权限是否处于有效期，并在超出有效期时中止分配给所述第二设备的所述第一账号的使用权限。
如权利要求1所述的方法，其中，所述方法还包括：

向所述服务器发送针对所述令牌信息的回收请求，所述回收请求中携带的所述令牌信息用于供所述服务器确定所述第一设备用户拥有所述第一账号的所有权时，中止为所述第二设备分配的对应所述第一账号的使用权限；

从中止使用所述第一账号登录所述第一应用的状态切换为恢复使用所述第一账号登录所述第一应用的状态。
如权利要求1至5任一项所述的方法，其中，所述方法还包括：

所述令牌信息还用于供所述服务器检测所述设备群中分配有对应所述第一账号的使用权限的所述第二设备是否具有所述令牌信息，在不具有时中止为所述第二设备分配的对应所述第一账号的使用权限。
一种鉴权方法，所述方法包括：

基于第一设备用户持有的对应第一应用的第一账号，生成对应所述第一账号的令牌信息，所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权；

将所述令牌信息发送至第一设备，所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输；

基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
如权利要求7所述的方法，其中，

所述基于第一设备用户持有的对应第一应用的第一账号，生成对应所述第一账号的令牌信息，包括：

接收所述第一设备发送的令牌信息请求时，生成对应所述第一账户的标识；

加密所述标识得到所述令牌信息，并维护所述第一账号与所述标识的对应关系。
如权利要求7所述的方法，所述基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权，包括：

从所述第二设备发送的所述令牌信息解密出所述标识；

基于所述对应关系确定与所述标识对应的所述第一账号，分配所述第一账号的使用权限给所述第二设备；

所述基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权，包括：

从所述第二设备发送的所述令牌信息解密出所述标识；

基于所述对应关系验证所述第二设备发送的所述第一账号与所述第二设备发送的所述令牌信息中携带的所述标识是否匹配，在匹配时分配所述第一账号的使用权限给所述第二设备。
如权利要求6所述的方法，其中，所述方法还包括：

所述令牌信息中携带时限信息；

基于所述时限信息检测为所述第二设备获取的所述第一账号的使用权限是否处于有效期；

超出有效期时，中止为所述第二设备分配的对应所述第一应用的使用权限。
如权利要求6所述的方法，其中，所述方法还包括：

接收所述第一设备发送的针对所述令牌信息的回收请求，所述回收请求中携带所述令牌信息；

基于所述令牌信息确定所述第一设备用户拥有所述第一账号的所有权时，中止为所述第二设备分配的对应所述第一账号的使用权限；

触发所述第一设备从中止使用所述第一账号登录所述第一应用的状态切换为恢复使用所述第一账号登录所述第一应用的状态。
如权利要求6至11任一项所述的方法，其中，所述方法还包括：

检测所述设备群中分配有对应所述第一账号的使用权限的所述第二设备是否具有所述令牌信息，

在不具有所述令牌信息时，中止为所述第二设备分配的对应所述第一账号的使用权限。
一种第一设备，所述第一设备包括：

获取单元，配置为基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息，所述令牌信息为所述服务器基于所述第一账号生成，用于表征所述第一设备用户拥有所述第一账号的所有权；

第一传输单元，配置为将所述令牌信息在设备群的设备中以限制复制的方式进行传输，所述令牌信息还用于为供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

切换单元，配置为确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
如权利要求13所述的第一设备，其中，

所述获取单元，还配置为通过令牌信息请求从所述服务器获取所述令牌信息，所述令牌信息请求用于供所述服务器生成对应所述第一账户的标识，加密所述标识得到所述令牌信息，并维护所述第一账号与所述标识的对应关系。
如权利要求13或14任一项所述的第一设备，其中，所述第一设备还包括：

回收单元，配置为向所述服务器发送针对所述令牌信息的回收请求，所述回收请求中携带所述令牌信息，所述令牌信息用于供所述服务器确定所述第一设备用户拥有所述第一账号的所有权时，中止为所述第二设备分配的对应所述第一账号的使用权限；

所述切换单元，还配置为从中止使用所述第一账号登录所述第一应用的状态切换为使用所述第一账号登录所述第一应用的状态。
一种服务器，所述服务器包括：

令牌单元，配置为基于第一设备用户持有的对应第一应用的第一账号，生成对应所述第一账号的令牌信息，所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权；

第二传输单元，配置为将所述令牌信息发送至第一设备，所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输；

鉴权单元，配置为基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

触发单元，配置为确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
如权利要求16所述的服务器，其中，

所述令牌单元，包括：

接收模块，用于接收所述第一设备发送的令牌信息请求时，生成对应所述第一账户的标识；

加密模块，用于加密所述标识得到所述令牌信息，并维护所述第一账号与所述标识的对应关系。
如权利要求17所述的服务器，其中，

所述鉴权单元包括：

解密模块，用于从所述第二设备发送的所述令牌信息解密出所述标识；

分配模块，配置为基于所述对应关系确定与所述标识对应的所述第一账号，分配所述第一账号的使用权限给所述第二设备；或者，用于基于所述对应关系验证所述第二设备发送的所述第一账号与所述令牌信息中携带的所述标识是否匹配，在匹配时分配所述第一账号的使用权限给所述第二设备。
如权利要求16所述的服务器，其中，

所述令牌信息中携带时限信息；

所述鉴权单元还配置为基于所述时限信息检测为所述第二设备获取的所述第一账号的使用权限是否处于有效期；超出有效期时，中止为所述第二设备分配的对应所述第一应用的使用权限。
如权利要求16所述的服务器，其中，

所述传输单元还配置为接收所述第一设备发送的针对所述令牌信息的回收请求，所述回收请求中携带所述令牌信息；

所述鉴权单元，还配置为基于所述令牌信息确定所述第一设备用户拥有所述第一账号的所有权时，中止为所述第二设备分配的对应所述第一账号的使用权限；

所述切换单元，还配置为触发所述第一设备从中止使用所述第一账号登录所述第一应用的状态切换为使用所述第一账号登录所述第一应用的状态。
如权利要求16至20任一项所述的服务器，其中，

所述鉴权单元还配置为检测所述设备群中分配有对应所述第一账号的使用权限的所述第二设备是否具有所述令牌信息，在不具有所述令牌信息时，中止为所述第二设备分配的对应所述第一账号的使用权限。
一种鉴权系统，包括权利要求13至15任一项所述的第一设备、以及权利要求16至21任一项所述的服务器。
一种第一设备，所述第一设备包括：

存储介质，配置为存储计算机可执行指令；

处理器，配置为执行存储在所述存储介质上的计算机可执行指令，所述计算机可执行指令包括：

基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息，所述令牌信息为所述服务器基于所述第一账号生成，用于表征所述第一设备用户拥有所述第一账号的所有权；

将所述令牌信息在设备群的设备中以限制复制的方式进行传输，所述令牌信息还配置为供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
一种服务器，所述服务器包括：

存储介质，配置为存储计算机可执行指令；

处理器，配置为执行存储在所述存储介质上的计算机可执行指令，所述计算机可执行指令包括：

基于第一设备用户持有的对应第一应用的第一账号，生成对应所述第一账号的令牌信息，所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权；

为将所述令牌信息发送至第一设备，所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输；

基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权，在鉴权通过时为所述第二设备分配所述第一账号的使用权限，以支持所述第二设备使用所述第一账号登录所述第一应用；

确定所述第二设备基于所述第一账号的使用权限登录所述第一应用，触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
一种存储介质，所述存储介质中存储有可执行指令，所述可执行指令用于执行权利要求1至6任一项所述的鉴权方法。
一种存储介质，所述存储介质中存储有可执行指令，所述可执行指令用于执行权利要求7至12任一项所述的鉴权方法。