WO2023093500A1

WO2023093500A1 - 一种访问验证方法及装置

Info

Publication number: WO2023093500A1
Application number: PCT/CN2022/129954
Authority: WO
Inventors: 陈晓峰; 邱毅; 汪亚男
Original assignee: 深圳前海微众银行股份有限公司
Priority date: 2021-11-26
Filing date: 2022-11-04
Publication date: 2023-06-01
Also published as: CN114117551B; CN114117551A

Abstract

本申请实施例提供一种访问验证方法及装置，该方法包括：鉴权服务端接收访问用户针对开放服务端发送的资源获取请求，以从资源获取请求中提取出包含的访问令牌和访问用户的用户信息；其中，访问令牌包括令牌校验值和令牌标识；令牌校验值是根据令牌凭证生成的；鉴权服务端根据令牌标识中的令牌失效时间确定所述访问令牌有效后，从盐值记录中获取令牌标识中的盐值编号对应的盐值；盐值记录存储在鉴权服务端内存中；鉴权服务端根据所述用户信息、盐值、盐值编号和令牌失效时间生成比较校验值；鉴权服务端在确定令牌校验值与比较校验值相符后，生成资源授权响应返回至开放服务端。上述方法用于提高鉴权系统运行可靠性。

Description

一种访问验证方法及装置

相关申请的交叉引用

本申请要求在2021年11月26日提交中国专利局、申请号为202111419243.5、申请名称为“一种访问验证方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络技术领域，尤其涉及一种访问验证方法及装置。

背景技术

近年来，随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技(Fintech)转变，但由于金融行业的安全性、实时性要求，也对技术提出更高的要求。如，OAuth(Open Authorization，开放授权)协议是一个开放标准，允许第三方应用依据用户凭证(token，访问令牌)访问该用户在某一网站上存储的私密的资源(例如，照片、视频、联系人列表等)的一种授权协议。OAuth协议的基本原理：用户授权一个第三方应用后，待访问资源所在网站对应的鉴权服务端会颁发一个token(访问令牌)，鉴权服务端将该token存储在数据库，并交给第三方应用保存。授权完成后，第三方应用使用该token来获取该待访问资源。如此，通过将token存储在数据库中，使得鉴权服务端可以对资源获取请求进行校验，保证了资源访问流程的安全性。

但也因此，现有技术中鉴权服务端需要将token存储在数据库，以便后续接收第三方应用发送的资源获取请求时，鉴权服务端可以从数据库中获取存储的token，以对第三方应用返回的token进行验证，以确定第三方应用的合法性。而该方法中，若存储数据库发生故障，则会导致鉴权服务端无法从数据库中获取token进行鉴权，鉴权系统稳定性差。

因此，现在亟需一种访问验证方法及装置，用于提高鉴权系统运行可靠性。

发明内容

本申请实施例提供一种访问验证方法及装置，用于提高鉴权系统运行可靠性。

第一方面，本申请实施例提供一种访问验证方法，该方法包括：

鉴权服务端接收访问用户针对开放服务端发送的资源获取请求，以从所述资源获取请求中提取出包含的访问令牌和访问用户的用户信息；其中，所述访问令牌包括令牌校验值和令牌标识；所述令牌校验值是根据令牌凭证生成的；

所述鉴权服务端根据所述令牌标识中的令牌失效时间确定所述访问令牌有效后，从盐值记录中获取所述令牌标识中的盐值编号对应的盐值；所述盐值记录存储在所述鉴权服务端内存中；

所述鉴权服务端根据所述用户信息、所述盐值、所述盐值编号和所述令牌失效时间生成比较校验值；

所述鉴权服务端在确定所述令牌校验值与所述比较校验值相符后，生成资源授权响应返回至所述开放服务端。

上述方法中，访问令牌由令牌标识和令牌校验值组成，令牌校验值是根据令牌凭证生成的。如此，传输中的访问令牌中的令牌凭证以令牌校验值的形式传输，使得令牌凭证在传输过程中不是明文，即使被获取，也不能得到该令牌凭证的任何信息，提高信息传输的安全性。资源获取请求中包含访问令牌和访问用户的用户信息，则鉴权服务端在接收资源获取请求时，可以根据资源获取请求中的令牌标识获取盐值编号(令牌凭证中的盐值的盐值编号)和令牌失效时间。根据令牌标识中的令牌失效时间确定访问令牌未失效后，进一步，根据该用户信息和令牌标识的盐值编号从盐值记录中获取盐值生成比较校验值，以对资源获取请求中的令牌校验值进行验证。如此，鉴权服务端无需将令牌校验值存储在数据库即可实现鉴权，即，即使数据库故障，鉴权服务端获取不到令牌校验值，也可以根据资源获取请求中的信息生成比较校验值对令牌校验值进行校验。相比于现有技术中必须将令牌存储在数据库中来说，本申请解决了数据库出现故障时，所导致的鉴权服务端无法从数据库中获取令牌校验值而导致的无法鉴权的问题，提高了鉴权系统运行可靠性。

可选的，鉴权服务端接收访问用户针对开放服务端发送的资源获取请求之前，还包括：

所述鉴权服务端接收所述开放服务端发送的令牌获取请求，所述令牌获取请求中包含访问用户的用户信息；

所述鉴权服务端为所述令牌获取请求确定令牌标识；所述令牌标识包括令牌失效时间、从所述盐值记录中确定的盐值编号；

所述鉴权服务端基于所述用户信息、所述盐值编号对应的盐值及所述令牌标识生成令牌凭证；

所述鉴权服务端将携带有访问令牌的令牌生成响应发送至所述开放服务端；所述访问令牌包括所述令牌标识及所述令牌凭证。

上述方法中，鉴权服务端接收开放服务端发送的包含访问用户的用户信息的令牌获取请求后，为该令牌获取请求确定包含令牌失效时间、盐值编号和盐值等信息的令牌标识和令牌凭证，进一步，根据令牌凭证获取令牌校验值，将包含令牌校验值和令牌标识的令牌生成响应返回至开放服务端。如此，即使数据库发生故障，鉴权服务端无法从数据库获取令牌校验值，也可以根据资源获取请求中的信息和内存中的盐值记录获取比较校验值，根据比较校验值对资源获取请求的令牌校验值进行校验。

可选的，所述令牌标识中还包括扩展字段；所述鉴权服务端基于所述用户信息、所述盐值编号对应的盐值及所述令牌标识生成令牌凭证，包括：

所述鉴权服务端基于所述用户信息、所述盐值编号对应的盐值、所述扩展字段中的字段值及所述令牌标识生成令牌凭证；

所述鉴权服务端根据所述用户信息、所述盐值、所述盐值编号和所述令牌失效时间生成比较校验值，包括：

所述鉴权服务端根据所述用户信息、所述盐值、所述盐值编号、所述令牌失效时间和所述扩展字段中的字段值生成比较校验值。

上述方法中，令牌标识和令牌凭证中还可以包含扩展字段。如此，可以在扩展字段中设置更多的信息，则可以根据扩展字段中的相应信息进行相应的校验。如，在扩展字段中设置生成访问令牌的鉴权服务端的标识和访问令牌类型等信息，则在鉴权服务端接收令牌标识后，可以根据令牌标识扩展字段中的鉴权服务端标识校验该访问令牌是否是该鉴权服务端生成的，可以根据扩展字段中访问令牌类型信息，校验鉴权服务端是否用于鉴权这类访问令牌等，这里对扩展字段中的信息具体不做限制，可以根据需要的信息设置。

可选的，所述令牌校验值是根据令牌凭证生成的，包括：

所述令牌校验值是所述令牌凭证；或所述令牌校验值是通过对所述令牌凭证和各请求参数进行签名得到的；其中，所述资源获取请求中还包含各请求参数。

上述方法中，根据令牌凭证和资源获取请求的请求参数进行签名得到令牌校验值。如此，可以使得传输中的令牌凭证不是“暴露”状态，提高令牌凭证中信息的安全性，保证资源获取的安全性。

可选的，生成令牌凭证之后，还包括：

所述鉴权服务端将所述访问令牌存储至令牌数据库；

从盐值记录中获取所述令牌标识中的盐值编号对应的盐值之前，还包括：

所述鉴权服务端未能从所述令牌数据库获取所述令牌标识对应的访问令牌。

上述方法中，鉴权服务端从数据库获取访问令牌失败，则根据比较校验值对资源获取请求中的令牌校验值进行校验，确定资源获取请求的合法性。如此，可以将鉴权服务端根据资源获取请求中的信息生成比较校验值的方案作为从数据库访问令牌中获取令牌校验值方案的降级方案。则即使数据库故障，也可以正常进行鉴权，保证鉴权系统的可靠性。

可选的，还包括：

所述鉴权服务端从所述令牌数据库获取所述令牌标识对应的访问令牌；

所述鉴权服务端确定所述资源获取请求中的访问令牌与从所述令牌数据库获取的访问令牌是否相符，从而确定是否生成资源授权响应返回至所述开放服务端。

上述方法中，鉴权服务端从数据库获取访问令牌失败，则根据比较校验值对资源获取请求中的令牌校验值进行校验，确定资源获取请求的合法性。但若从数据库中获取访问令牌(访问令牌中包含在接收令牌获取请求时生成的令牌校验值)获取成功，直接将从数据库获取的访问令牌中得到的令牌校验值与资源获取请求中的令牌校验值进行验证，还可以从数据库的访问令牌中确定该资源获取请求中的令牌校验值是否是一次性的，以及是否使用过，若使用过，则不对资源获取请求处理，若未使用过且校验通过，则将请求的资源返回至访问用户终端。如此，可以将鉴权服务端根据资源获取请求中的信息生成比较校验值的方案作为从数据库访问令牌中获取令牌校验值方案的降级方案，在保证鉴权系统的可靠性的前提下，在数据库正常运行时，还可以保证准确获取令牌校验值的使用信息，进一步保证令牌使用的准确性。

可选的，还包括：

所述鉴权服务端采用灰度发布机制配置所述盐值记录，所述灰度发布机制用于在任一鉴权服务端未配置完所述盐值记录时，将所述盐值记录中的盐值设置为用于令牌验证阶段，在各鉴权服务端均配置完所述盐值记录时，将所述盐值记录中的盐值设置为用于令牌生成阶段和令牌验证阶段。

上述方法中，盐值记录的灰度发布，灰度发布机制在任一鉴权服务端未配置完所述盐值记录时，将盐值记录中的盐值设置为用于令牌验证阶段。如此，防止发生未配置完的鉴权服务端将该新配置的盐值记录用于令牌验证，导致不能获取新的盐值，无法完成验证的情况。灰度发布机制在各鉴权服务端均配置完盐值记录时，将盐值记录中的盐值设置为用于令牌生成阶段和令牌验证阶段。如此，在各鉴权服务端均配置完盐值记录后，则完成盐值记录的配置和更新，任一鉴权服务端都可以根据新的盐值记录进行令牌生成和令牌验证。如此，根据需要更新盐值，保证访问令牌的安全有效性。

可选的，还包括：

所述鉴权服务端接收令牌有效时间变更配置；所述令牌有效时间变更配置中指示的令牌有效时间的优先级高于访问令牌中的令牌失效时间。

所述鉴权服务端基于所述令牌有效时间变更配置，将令牌标识中失效状态的令牌失效时间确定为有效，或基于所述令牌有效时间变更配置，将令牌标识中有效状态的令牌失效时间确定为失效。

上述方法中，访问令牌中的令牌有效时间可以通过令牌有效时间变更配置进行变更。提高令牌失效时间和有效时间变更的灵活性，如此，即使将令牌失效时间信息写在访问令牌中，仍然可以根据令牌有效时间变更配置灵活改变访问令牌的有效时间和失效时间等信息。

第二方面，本申请实施例提供一种访问验证装置，该装置包括：

收发模块，用于接收访问用户针对开放服务端发送的资源获取请求，以从所述资源获取请求中提取出包含的访问令牌和访问用户的用户信息；其中，所述访问令牌包括令牌校验值和令牌标识；所述令牌校验值是根据令牌凭证生成的；

处理模块，用于根据所述令牌标识中的令牌失效时间确定所述访问令牌有效后，从盐值记录中获取所述令牌标识中的盐值编号对应的盐值；所述盐值记录存储在所述鉴权服务端内存中；

所述处理模块还用于，根据所述用户信息、所述盐值、所述盐值编号和所述令牌失效时间生成比较校验值；

所述处理模块还用于，在确定所述令牌校验值与所述比较校验值相符后，生成资源授权响应通过所述收发模块返回至所述开放服务端。

第三方面，本申请实施例还提供一种计算设备，包括：存储器，用于存储程序；处理器，用于调用所述存储器中存储的程序，按照获得的程序执行如第一方面的各种可能的设计中所述的方法。

第四方面，本申请实施例还提供一种计算机可读非易失性存储介质，包括计算机可读程序，当计算机读取并执行所述计算机可读程序时，使得计算机执行如第一方面的各种可能的设计中所述的方法。

本申请的这些实现方式或其他实现方式在以下实施例的描述中会更加简明易懂。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种访问验证的架构示意图；

图2为本申请实施例提供的一种访问验证方法的流程示意图；

图3为本申请实施例提供的一种访问验证方法的流程示意图；

图4为本申请实施例提供的一种访问验证方法的流程示意图；

图5为本申请实施例提供的一种访问验证方法的流程示意图；

图6为本申请实施例提供的一种访问验证装置示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

图1为本申请实施例提供的一种访问验证的系统架构示意图，其中，资源请求方可以是访问用户终端，也可以是第三方平台等任何可以发起资源获取的请求方，这里具体不做限定。另外，若资源请求方是访问用户终端，则下面所述的用户信息可以是用户账号和用户密码等信息，若资源请求方是第三方平台、应用软件等，用户信息也可以是第三方平台、应用软件的标识等信息，这里具体不做限制。以下示例中以资源请求方是访问用户终端，用户信息为用户账号和用户密码等信息为例：

资源请求方生成授权地址请求发送至业务系统。业务系统通过开放服务接收该授权地址请求后，返回授权地址至资源请求方。资源请求方接收授权地址后，根据用户输入用户信息(为注册过的用户账号和密码等包含访问用户的授权信息的用户信息)生成令牌获取请求并发送至业务系统。业务系统中的开放服务接收该令牌获取请求，将访问用户的用户信息发送至用户中心。用户中心接收该访问用户的用户信息，根据记录的该访问用户的用户信息对令牌获取请求中的用户信息进行验证，验证通过后，将验证通过结果发送至开放服务。开放服务确定该令牌获取请求的访问用户合法后，开放服务生成确定令牌通知发送至鉴权中心，令鉴权中心为该令牌获取请求生成访问令牌，该确定令牌通知中包含令牌获取请求中的用户信息。鉴权中心接收该确定令牌通知后，为令牌获取请求生成包含令牌失效时间、从盐值记录中确定出的盐值对应的盐值编号等信息的令牌标识，根据用户信息、盐值编号、盐值编号对应的盐值及令牌标识生成令牌凭证，得到包含令牌标识和令牌凭证的访问令牌，将携带该访问令牌的令牌生成响应发送至所述开放服务。开放服务接收该令牌生成响应后，将该令牌生成响应返回至资源请求方。资源请求方接收到令牌生成响应后，获取令牌生成响应中的访问令牌，根据该访问令牌生成资源获取请求，这里生成的资源获取请求可以由两种：

一种为：资源获取请求中包含用户信息、令牌凭证、令牌标识等相关信息；

另一种为：资源获取请求中包含用户信息、签名(令牌凭证和各请求参数进行签名得到的)、令牌标识和各请求参数等信息。

则对应的，若业务系统中的开放服务接收包含用户信息、令牌校验值(令牌凭证)、令牌标识等相关信息的资源获取请求时，通过鉴权中心对该资源获取请求的合法性进行验证。鉴权中心根据该资源获取请求中的令牌标识中的令牌失效时间，确定该访问令牌有效后(若确定该访问令牌无效，则开放服务不对该资源获取请求进行响应)，根据用户信息和/或令牌标识从数据库中获取令牌校验值，若获取成功，则比较资源获取请求中的令牌校验值和从数据库中获取的令牌校验值，若验证通过(若验证不通过，则开放服务不对该资源获取请求进行响应)，则鉴权中心将验证通过通知发送至开放服务。开放服务根据验证通过通知将资源返回至资源请求方。若根据用户信息和/或令牌标识从数据库中获取令牌校验值失败，则鉴权中心根据令牌标识中的盐值编号从盐值记录中确定盐值编号对应的盐值，进一步，根据盐值编号、盐值编号对应的盐值、用户信息和令牌失效时间等信息生成令牌凭证，根据令牌凭证得到比较检验值。鉴权中心将资源获取请求中的令牌校验值和比较校验值进行比较，若验证通过(若验证不通过，则开放服务不对该资源获取请求进行响应)，则鉴权中心将验证通过通知发送至开放服务。开放服务根据验证通过通知将资源返回至资源请求方。

若业务系统中的开放服务接收包含用户信息、签名-令牌校验值(令牌凭证和各请求参数进行签名得到的)、令牌标识和各请求参数等信息的资源获取请求时，通过鉴权中心对该资源获取请求的合法性进行验证。鉴权中心根据该资源获取请求中令牌标识中的令牌失效时间，确定该访问令牌有效后(若确定该访问令牌无效，则开放服务不对该资源获取请求进行响应)，根据用户信息和/或令牌标识从数据库中获取令牌校验值，若获取成功，则比较资源获取请求中的令牌校验值和从数据库中获取的令牌校验值，若验证通过(若验证不通过，则开放服务不对该资源获取请求进行响应)，则鉴权中心将验证通过通知发送至开放服务。开放服务根据验证通过通知将资源返回至资源请求方。若根据用户信息和/或令牌标识从数据库中获取令牌校验值失败，则鉴权中心根据令牌标识中的盐值编号从盐值记录中确定盐值编号对应的盐值，进一步，根据盐值编号、盐值编号对应的盐值、用户信息和令牌失效时间等信息生成令牌凭证，再进一步将令牌凭证和资源获取请求中的各请求参数进行签名，获取比较检验值。鉴权中心将资源获取请求中的签名-令牌校验值和比较校验值进行比较，若验证通过(若验证不通过，则开放服务不对该资源获取请求进行响应)，则鉴权中心将验证通过通知发送至开放服务。开放服务根据验证通过通知将资源返回至资源请求方。如此，将现有技术中的令牌设置为包含盐值、盐值编号、用户信息、令牌失效时间等相关信息的访问令牌，即使数据库发生故障，鉴权中心也可以根据资源获取请求中的相关信息对资源获取请求中的访问令牌进行鉴权，保证了鉴权系统的稳定性和可靠性。

基于此，本申请实施例提供了一种访问验证方法的流程，如图2所示，包括：

步骤201、鉴权服务端接收访问用户针对开放服务端发送的资源获取请求，以从所述资源获取请求中提取出包含的访问令牌和访问用户的用户信息；其中，所述访问令牌包括令牌校验值和令牌标识；所述令牌校验值是根据令牌凭证生成的；

此处，用户信息可以是用户账号和用户密码等信息，也可以是第三方平台的标识等信息，这里具体不做限制。

步骤202、所述鉴权服务端根据所述令牌标识中的令牌失效时间确定所述访问令牌有效后，从盐值记录中获取所述令牌标识中的盐值编号对应的盐值；所述盐值记录存储在所述鉴权服务端内存中；

步骤203、所述鉴权服务端根据所述用户信息、所述盐值、所述盐值编号和所述令牌失效时间生成比较校验值；

步骤204、所述鉴权服务端在确定所述令牌校验值与所述比较校验值相符后，生成资源授权响应返回至所述开放服务端。

上述方法中，访问令牌由令牌标识和令牌校验值组成，令牌校验值是根据令牌凭证生成的。如此，传输中的访问令牌中的令牌凭证以令牌校验值的形式传输，使得令牌凭证在传输过程中不是明文，即使被获取，也不能得到该令牌凭证的任何信息，提高信息传输的安全性。资源获取请求中包含访问令牌和访问用户的用户信息，则鉴权服务端在接收资源获取请求时，可以根据资源获取请求中的令牌标识获取盐值编号(令牌凭证中的盐值的盐值编号)和令牌失效时间。根据令牌标识中的令牌失效时间确定访问令牌未失效后，进一步根据该用户信息和令牌标识的盐值编号从盐值记录中获取盐值生成比较校验值对资源获取请求中的令牌校验值进行验证。如此，鉴权服务端无需将令牌校验值存储在数据库即可实现鉴权，即，即使数据库故障，鉴权服务端获取不到令牌校验值，也可以根据资源获取请求中的信息生成比较校验值对令牌校验值进行校验。相比于现有技术中必须将令牌存储在数据库中来说，本申请解决了数据库出现故障时，所导致的鉴权服务端无法从数据库中获取令牌校验值进而导致的无法鉴权的问题，提高了鉴权系统运行可靠性。

本申请实施例提供了一种访问令牌生成方法，鉴权服务端接收访问用户针对开放服务端发送的资源获取请求之前，还包括：所述鉴权服务端接收所述开放服务端发送的令牌获取请求，所述令牌获取请求中包含访问用户的用户信息；所述鉴权服务端为所述令牌获取请求确定令牌标识；所述令牌标识包括令牌失效时间、从所述盐值记录中确定的盐值编号；所述鉴权服务端基于所述用户信息、所述盐值编号对应的盐值及所述令牌标识生成令牌凭证；所述鉴权服务端将携带有访问令牌的令牌生成响应发送至所述开放服务端；所述访问令牌包括所述令牌标识及所述令牌凭证。

也就是说，当资源请求方将令牌获取请求发送至开放服务端后，开放服务端将令牌获取请求发送至鉴权服务端，鉴权服务端根据令牌获取请求中的用户信息、令牌有效时间(可以根据请求资源的类型或令牌类型等确定)和从盐值记录中确定的盐值和盐值编号等信息生成令牌凭证，根据盐值编号、令牌失效时间确定令牌标识。进一步生成包含令牌标识和令牌凭证的访问令牌。

本申请实施例提供了又一种访问令牌，所述令牌标识中还包括扩展字段；所述鉴权服务端基于所述用户信息、所述盐值编号对应的盐值及所述令牌标识生成令牌凭证，包括：所述鉴权服务端基于所述用户信息、所述盐值编号对应的盐值、所述扩展字段中的字段值及所述令牌标识生成令牌凭证；所述鉴权服务端根据所述用户信息、所述盐值、所述盐值编号和所述令牌失效时间生成比较校验值，包括：所述鉴权服务端根据所述用户信息、所述盐值、所述盐值编号、所述令牌失效时间和所述扩展字段中的字段值生成比较校验值。也就是说，令牌标识和令牌凭证中还可以包括扩展字段。即，令牌标识中则包含盐值编号、令牌失效时间和扩展字段，令牌凭证中包含盐值编号、令牌失效时间和扩展字段，以及盐值编号对应的盐值和用户信息。相应的，鉴权服务端在生成比较校验值时，也需要生成对应的包含盐值编号、令牌失效时间和扩展字段，以及盐值编号对应的盐值和用户信息的比较校验值。其中，扩展字段中的字段值可以包含鉴权服务端的标识、令牌类型等相关信息。如此，增加访问令牌中的有意义的信息，便于鉴权服务端获取更多的相关信息，如，进行资源访问等流程中的问题排查，提高访问令牌的应用性。

在一种示例中，令牌凭证大小可以为32个字节：其中的令牌失效时间可以占用8个字节、盐值的编号可以占用2个字节、扩展字段中的各字段值可以占用6个字节、用户信息和盐值编号可以占用16个字节。令牌标识大小可以为16个字节：其中的令牌失效时间可以占用8个字节、盐值的编号可以占用2个字节、扩展字段中的各字段值可以占用6个字节。另外，令牌失效时间可以是由鉴权服务端根据访问令牌的有效期加上当前时间生成，如，从1900-01-01 00:00:00至今秒数，转换成16进制(8字节)。盐值记录中的盐值编号：按16进制，2字节的编码可以容纳256个编码。

本申请实施例提供了一种令牌校验值的生成方法，所述令牌校验值是根据令牌凭证生成的，包括：所述令牌校验值是所述令牌凭证；或所述令牌校验值是通过对所述令牌凭证和各请求参数进行签名得到的；其中，所述资源获取请求中还包含各请求参数。也就是说，令牌校验值可以是令牌凭证，还可以是根据令牌凭证和资源获取请求中的各请求参数进行签名获取的。这里提供一种令牌校验值可以是通过哈希算法对盐值编号对应的盐值、用户信息、盐值编号、令牌失效时间进行计算得到的。也可以是通过哈希算法对盐值编号对应的盐值、用户信息、盐值编号、令牌失效时间、扩展字段进行计算得到的。也可以是通过哈希算法对盐值编号对应的盐值、用户信息、盐值编号、令牌失效时间，或盐值编号对应的盐值、用户信息、盐值编号、令牌失效时间、扩展字段进行计算后，和资源获取请求中各请求参数进行签名得到的。

本申请实施例提供了一种访问验证方法，生成令牌凭证之后，还包括：

所述鉴权服务端将所述访问令牌存储至令牌数据库；

所述鉴权服务端未能从所述令牌数据库获取所述令牌标识对应的访问令牌。也就是说，鉴权服务端生成访问令牌后，还可以将该访问令牌存储在数据库，并在鉴权过程中，先从数据库中获取令牌标识对应的访问令牌，若获取不到，则生成比较校验值。

本申请实施例提供了一种访问验证方法，还包括：

所述鉴权服务端确定所述资源获取请求中的访问令牌与从所述令牌数据库获取的访问令牌是否相符，从而确定是否生成资源授权响应返回至所述开放服务端。也就是说，若鉴权过程中，从数据库中可以获取访问令牌，则无需鉴权服务端生成比较校验值，可以根据从数据库获取的访问令牌和资源获取请求中的访问令牌进行验证。

本申请实施例提供了一种盐值记录灰度发布方法，还包括：所述鉴权服务端采用灰度发布机制配置所述盐值记录，所述灰度发布机制用于在任一鉴权服务端未配置完所述盐值记录时，将所述盐值记录中的盐值设置为用于令牌验证阶段，在各鉴权服务端均配置完所述盐值记录时，将所述盐值记录中的盐值设置为用于令牌生成阶段和令牌验证阶段。也就是说，鉴权服务端中的盐值记录均相同，在对鉴权服务端逐个进行盐值记录配置更新时，存在任一鉴权服务端未配置完盐值记录，则该新的盐值记录不可以用于令牌验证阶段。全量配置完成后，则将更新的盐值记录用于令牌生成阶段和验证阶段。如此，有效防止鉴权服务端以旧的盐值记录验证令牌所导致的令牌验证错误，不能可靠准确的完成鉴权流程。盐值记录中可以包含多个盐值，保证访问令牌的多样性，提高访问流程的安全性，预留其它盐值可供替换。这里在访问令牌生成的实现过程中，可按需求自定义选择对应盐值。

本申请实施例提供了一种令牌有效时间变更方法，还包括：

所述鉴权服务端接收令牌有效时间变更配置；所述令牌有效时间变更配置中指示的令牌有效时间的优先级高于访问令牌中的令牌失效时间。所述鉴权服务端基于所述令牌有效时间变更配置，将令牌标识中失效状态的令牌失效时间确定为有效，或基于所述令牌有效时间变更配置，将令牌标识中有效状态的令牌失效时间确定为失效。也就是说，访问令牌中的令牌失效时间不受临时变更控制，则可以在鉴权服务端中设置令牌有效时间变更配置，令其中的令牌有效时间的优先级高于访问令牌中的令牌失效时间，则可以实现变更访问令牌中的令牌有效时间。如，可以针对某些盐值/用户信息置令牌有效时间大于令牌失效时间2时，或者针对某些盐值/用户信息设置令牌有效时间小于令牌失效时间2时等等，还可以针对所有访问令牌的令牌失效时间进行全局变更配置。这里对令牌有效时间变更配置的具体设置不做限制，可以根据需要确定。

基于上述方法流程，本申请实施例提供了一种访问验证方法流程，如图3所示，包括：

步骤301、资源请求终端/服务端生成授权地址请求发送至开放服务端。

步骤302、开放服务端接收到授权地址请求后将授权地址返回至资源请求终端/服务端。

步骤303、资源请求终端/服务端根据用户输入的用户账号和密码生成第一令牌获取请求，并发送至开放服务端。

步骤304、开放服务端接收第一令牌获取请求，将第一令牌获取请求中的用户信息发送至用户中心服务端。

步骤305、用户中心服务端根据记录的用户信息对该第一令牌获取请求中的用户信息进行验证，若验证失败，则通知开放服务端不对该第一令牌获取请求做出相应，若验证通过则返回验证通过消息至开放服务端。

步骤306、开放服务端根据接收的验证通过消息将第一令牌获取请求中的相关信息发送至鉴权服务端。

此处，第一令牌获取请求中的相关信息包括用户信息。

步骤307、鉴权服务端根据第一令牌获取请求中的相关信息生成临时访问令牌，并将临时访问令牌返回至开放服务端(临时访问令牌可以包含在临时令牌生成响应中返回至开放服务端)。

此处，临时访问令牌的结构可以为包含临时令牌标识和临时令牌凭证，临时令牌凭证大小可以为32个字节：其中的令牌失效时间可以占用8个字节、盐值的编号可以占用2个字节、扩展字段中的各字段值可以占用6个字节、用户信息和盐值编号可以占用16个字节。临时令牌标识大小可以为16个字节：其中的令牌失效时间可以占用8个字节、盐值的编号可以占用2个字节、扩展字段中的各字段值可以占用6个字节。其中，32个字节的令牌凭证为哈希计算过的。

步骤308、开放服务端将该临时访问令牌发送至资源请求终端/服务端。

步骤309、资源请求终端/服务端根据该临时访问令牌生成第二令牌获取请求。资源请求终端/服务端将第二令牌获取请求发送至开放服务端。

此处，一种第二令牌获取请求中包括：该临时访问令牌(临时令牌凭证+临时令牌标识)(用于验证身份的)、申请资源访问令牌(用于获取资源的)的信息、用户信息和各请求参数等信息。临时令牌凭证的令牌校验值。

另一种第二令牌获取请求中包括：临时令牌标识、签名(根据令牌凭证+各请求参数生成的)(用于验证身份的)、申请资源访问令牌(用于获取资源的)的信息、用户信息和各请求参数等信息。签名为令牌校验值。

步骤310、开放服务端将第二令牌获取请求的相关信息发送至鉴权服务端。

步骤311、鉴权服务端根据第二令牌获取请求中的相关信息生成临时比较校验值，并根据临时比较校验值对临时访问令牌进行验证，若验证通过，则生成资源访问令牌，将资源访问令牌返回至开放服务端。

此处，生成临时比较校验值的方法可以为：针对上述一种第二令牌获取请求，根据临时访问令牌中的临时令牌标识中的令牌失效时间确定临时访问令牌仍然有效后，根据临时令牌标识中的盐值编号从盐值记录中确定盐值编号对应的盐值，进一步，根据盐值、盐值编号、第二令牌获取请求中的用户信息、令牌有效时间生成临时比较校验值。

针对上述另一种第二令牌获取请求，根据临时令牌标识中的令牌失效时间确定临时访问令牌仍然有效后，根据临时令牌标识中的盐值编号从盐值记录中确定盐值编号对应的盐值，进一步，根据盐值、盐值编号、第二令牌获取请求中的用户信息、令牌有效时间生成临时令牌凭证，将临时令牌凭证和第二令牌获取请求中的各请求参数进行签名得到临时比较校验值。

资源访问令牌的结构可以为包含资源令牌标识和资源令牌凭证，资源令牌凭证大小可以为32个字节：其中的令牌失效时间可以占用8个字节、盐值的编号可以占用2个字节、扩展字段中的各字段值可以占用6个字节、用户信息和盐值编号可以占用16个字节。资源令牌标识大小可以为16个字节：其中的令牌失效时间可以占用8个字节、盐值的编号可以占用2个字节、扩展字段中的各字段值可以占用6个字节。其中，32个字节的令牌凭证为哈希计算过的。

步骤312、开放服务端将资源访问令牌发送至资源请求终端/服务端。

步骤313、资源请求终端/服务端根据资源访问令牌生成资源获取请求，并发送至开放服务端。

此处，一种资源获取请求中包括：该资源访问令牌(资源令牌凭证+资源令牌标识)(用于验证身份的)、申请资源(用于获取资源的)的信息、用户信息和各请求参数等信息。资源令牌凭证的令牌校验值。

另一种资源获取请求中包括：资源令牌标识、签名(根据令牌凭证+各请求参数生成的)(用于验证身份的)、申请资源(用于获取资源的)的信息、用户信息和各请求参数等信息。签名为令牌校验值。

步骤314、开放服务端将资源获取请求的相关信息发送至鉴权服务端。

步骤315、鉴权服务端根据资源获取请求的相关信息生成资源比较校验值。并根据资源比较校验值对资源访问令牌进行验证，若验证通过，则生成资源授权响应，将资源授权响应返回至开放服务端。

此处，生成资源比较校验值的方法可以为：针对上述一种资源获取请求，根据资源访问令牌中的资源令牌标识中的令牌失效时间确定资源访问令牌仍然有效后，根据资源令牌标识中的盐值编号从盐值记录中确定盐值编号对应的盐值，进一步，根据盐值、盐值编号、资源获取请求中的用户信息、令牌有效时间生成资源比较校验值。

针对上述另一种资源获取请求，根据资源令牌标识中的令牌失效时间确定资源访问令牌仍然有效后，根据资源令牌标识中的盐值编号从盐值记录中确定盐值编号对应的盐值，进一步，根据盐值、盐值编号、资源获取请求中的用户信息、令牌有效时间生成资源令牌凭证，将资源令牌凭证和资源获取请求中的各请求参数进行签名得到资源比较校验值。

步骤316、开放服务端接收资源授权响应，将资源获取请求对应的资源返回至资源请求终端/服务端。

步骤317、资源请求终端/服务端接收该资源。

需要说明的是，上述流程步骤并不唯一，如步骤306至步骤309，以及步骤311中需要对临时访问令牌验证的流程为获取临时访问令牌的流程，可以不用执行，即，可以不获取临时访问令牌。

基于上述方法流程，本申请实施例提供了一种访问验证方法流程，如图4所示，包括：

步骤401、资源请求终端/服务端生成授权地址请求发送至开放服务端。

步骤402、开放服务端接收到授权地址请求后将授权地址返回至资源请求终端/服务端。

步骤403、资源请求终端/服务端根据用户输入的用户账号和密码生成第一令牌获取请求，并发送至开放服务端。

步骤404、开放服务端接收第一令牌获取请求，将第一令牌获取请求中的用户信息发送至用户中心服务端。

步骤405、用户中心服务端根据记录的用户信息对该第一令牌获取请求中的用户信息进行验证，若验证失败，则通知开放服务端不对该第一令牌获取请求做出相应，若验证通过则返回验证通过消息至开放服务端。

步骤406、开放服务端根据接收的验证通过消息将第一令牌获取请求中的相关信息发送至鉴权服务端。

步骤407、鉴权服务端根据第一令牌获取请求中的相关信息生成临时访问令牌，并将临时访问令牌返回至开放服务端，并将所述临时访问令牌发送至数据库。

步骤408、开放服务端将该临时访问令牌发送至资源请求终端/服务端。

步骤409、资源请求终端/服务端根据该临时访问令牌生成第二令牌获取请求。资源请求终端/服务端将第二令牌获取请求发送至开放服务端。

步骤410、开放服务端将第二令牌获取请求的相关信息发送至鉴权服务端。

步骤411、鉴权服务端从数据库中获取临时访问令牌失败，根据第二令牌获取请求中的相关信息生成临时比较校验值，并根据临时比较校验值对临时访问令牌进行验证，若验证通过，则生成资源访问令牌，将资源访问令牌返回至开放服务端。

步骤412、开放服务端将资源访问令牌发送至资源请求终端/服务端。

步骤413、资源请求终端/服务端根据资源访问令牌生成资源获取请求，并发送至开放服务端。

步骤414、开放服务端将资源获取请求的相关信息发送至鉴权服务端。

步骤415、鉴权服务端根据资源获取请求的相关信息生成资源比较校验值，并根据资源比较校验值对资源访问令牌进行验证，若验证通过，则生成资源授权响应，将资源授权响应返回至开放服务端。

步骤416、开放服务端接收资源授权响应，将资源获取请求对应的资源返回至资源请求终端/服务端。

步骤417、资源请求终端/服务端接收该资源。

需要说明的是，上述流程步骤并不唯一，如步骤406至步骤409，以及步骤411中需要对临时访问令牌验证的流程为获取临时访问令牌的流程，可以不用执行，即，可以不获取临时访问令牌。此流程中包含将访问令牌存储到数据库中的流程，若从数据库中无法获取访问令牌(数据库发生故障)，则鉴权服务端生成比较校验值，与请求中的令牌校验值进行校验。也就是说，生成比较校验值进行访问验证的方案为访问验证的降级方案。

基于此上述方法流程，本申请实施例还提供了另一种访问验证方法流程，该访问验证方法流程对应鉴权服务端从数据库中可以获取到访问令牌时的方法流程，如图5所示，包括：

步骤501、资源请求终端/服务端生成授权地址请求发送至开放服务端。

步骤502、开放服务端接收到授权地址请求后将授权地址返回至资源请求终端/服务端。

步骤503、资源请求终端/服务端根据用户输入的用户账号和密码生成第一令牌获取请求，并发送至开放服务端。

步骤504、开放服务端接收第一令牌获取请求，将第一令牌获取请求中的用户信息发送至用户中心服务端。

步骤505、用户中心服务端根据记录的用户信息对该第一令牌获取请求中的用户信息进行验证，若验证失败，则通知开放服务端不对该第一令牌获取请求做出相应。若验证通过则返回验证通过消息至开放服务端。

步骤506、开放服务端根据接收的验证通过消息将第一令牌获取请求中的相关信息发送至鉴权服务端。

步骤507、鉴权服务端根据第一令牌获取请求中的相关信息生成临时访问令牌，将临时访问令牌返回至开放服务端并存储到数据库中。

步骤508、开放服务端将该临时访问令牌发送至资源请求终端/服务端。

步骤509、资源请求终端/服务端根据该临时访问令牌生成第二令牌获取请求。资源请求终端/服务端将第二令牌获取请求发送至开放服务端。

步骤510、开放服务端将第二令牌获取请求的相关信息发送至鉴权服务端。

步骤511、鉴权服务端从数据库中获取临时访问令牌成功，将第二令牌获取请求中令牌校验值与从数据库中获取的临时访问令牌对应的令牌校验值进行验证，通过后，生成资源访问令牌并存入数据库，将资源访问令牌返回至开放服务端。

步骤512、开放服务端将资源访问令牌发送至资源请求终端/服务端。

步骤513、资源请求终端/服务端根据资源访问令牌生成资源获取请求，并发送至开放服务端。

步骤514、开放服务端将资源获取请求的相关信息发送至鉴权服务端。

步骤515、鉴权服务端从数据库中获取资源访问令牌成功，将资源获取请求中令牌校验值与从数据库中获取的资源访问令牌对应的令牌校验值进行验证，若验证通过，则生成资源授权响应，将资源授权响应返回至开放服务端。

步骤516、开放服务端接收资源授权响应，将资源获取请求对应的资源返回至资源请求终端/服务端。

步骤517、资源请求终端/服务端接收该资源。

需要说明的是，上述流程步骤并不唯一，如步骤506至步骤509，以及步骤511中需要对临时访问令牌验证的流程为获取临时访问令牌的流程，可以不用执行，即，可以不获取临时访问令牌。

基于同样的构思，本申请实施例提供一种访问验证装置，图6为本申请实施例提供的一种访问验证装置示意图，如图6示，包括：

收发模块601，用于接收访问用户针对开放服务端发送的资源获取请求，以从所述资源获取请求中提取出包含的访问令牌和访问用户的用户信息；其中，所述访问令牌包括令牌校验值和令牌标识；所述令牌校验值是根据令牌凭证生成的；

处理模块602，用于根据所述令牌标识中的令牌失效时间确定所述访问令牌有效后，从盐值记录中获取所述令牌标识中的盐值编号对应的盐值；所述盐值记录存储在所述鉴权服务端内存中；

所述处理模块602还用于，根据所述用户信息、所述盐值、所述盐值编号和所述令牌失效时间生成比较校验值；

所述处理模块602还用于，在确定所述令牌校验值与所述比较校验值相符后，生成资源授权响应通过所述收发模块601返回至所述开放服务端。

可选的，所述收发模块601还用于，接收所述开放服务端发送的令牌获取请求，所述令牌获取请求中包含访问用户的用户信息；所述处理模块602还用于，为所述令牌获取请求确定令牌标识；所述令牌标识包括令牌失效时间、从所述盐值记录中确定的盐值编号；所述处理模块602还用于，基于所述用户信息、所述盐值编号对应的盐值及所述令牌标识生成令牌凭证；所述收发模块601还用于，将携带有访问令牌的令牌生成响应发送至所述开放服务端；所述访问令牌包括所述令牌标识及所述令牌凭证。

可选的，所述处理模块602具体用于，基于所述用户信息、所述盐值编号对应的盐值、所述扩展字段中的字段值及所述令牌标识生成令牌凭证；所述处理模块602具体用于，根据所述用户信息、所述盐值、所述盐值编号、所述令牌失效时间和所述扩展字段中的字段值生成比较校验值。

可选的，所述令牌校验值是根据令牌凭证生成的，包括：

可选的，所述处理模块602还用于，将所述访问令牌存储至令牌数据库；所述处理模块602还用于，未能从所述令牌数据库获取所述令牌标识对应的访问令牌。

可选的，所述处理模块602还用于，从所述令牌数据库获取所述令牌标识对应的访问令牌；确定所述资源获取请求中的访问令牌与从所述令牌数据库获取的访问令牌是否相符，从而确定是否生成资源授权响应返回至所述开放服务端。

可选的，所述处理模块602还用于，采用灰度发布机制配置所述盐值记录，所述灰度发布机制用于在任一鉴权服务端未配置完所述盐值记录时，将所述盐值记录中的盐值设置为用于令牌验证阶段，在各鉴权服务端均配置完所述盐值记录时，将所述盐值记录中的盐值设置为用于令牌生成阶段和令牌验证阶段。

可选的，所述收发模块601还用于，接收令牌有效时间变更配置；所述令牌有效时间变更配置中指示的令牌有效时间的优先级高于访问令牌中的令牌失效时间。所述处理模块602还用于，基于所述令牌有效时间变更配置，将令牌标识中失效状态的令牌失效时间确定为有效，或基于所述令牌有效时间变更配置，将令牌标识中有效状态的令牌失效时间确定为失效。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种访问验证方法，其特征在于，所述的方法包括：

鉴权服务端接收开放服务端发送的令牌获取请求，所述令牌获取请求中包含访问用户的第一用户信息；

所述鉴权服务端为所述令牌获取请求确定第一令牌标识；所述第一令牌标识包括第一令牌失效时间、从盐值记录中确定的第一盐值编号；

所述鉴权服务端基于所述第一用户信息、所述第一盐值编号对应的第一盐值及所述第一令牌标识生成第一令牌凭证；

所述鉴权服务端将携带有第一访问令牌的令牌生成响应通过所述开发服务端发送至资源请求终端或资源请求服务端；所述第一访问令牌包括所述第一令牌标识及所述第一令牌凭证；

所述鉴权服务端接收所述访问用户针对所述开放服务端发送的资源获取请求，以从所述资源获取请求中提取出包含的第二访问令牌和访问用户的第二用户信息；其中，所述第二访问令牌包括令牌校验值和第二令牌标识；所述令牌校验值是根据第二令牌凭证生成的；

所述鉴权服务端根据所述第二令牌标识中的第二令牌失效时间确定所述第二访问令牌有效后，从所述盐值记录中获取所述第二令牌标识中的第二盐值编号对应的第二盐值；所述盐值记录存储在所述鉴权服务端内存中；

所述鉴权服务端根据所述第二用户信息、所述第二盐值、所述第二盐值编号和所述第二令牌失效时间生成比较校验值；

所述鉴权服务端在确定所述令牌校验值与所述比较校验值相符后，生成资源授权响应返回至所述开放服务端。
如权利要求1中所述的方法，其特征在于，所述第一令牌标识中还包括第一扩展字段，所述第二令牌标识中还包括第二扩展字段；所述鉴权服务端基于所述第一用户信息、所述第一盐值编号对应的第一盐值及所述第一令牌标识生成第一令牌凭证，包括：

所述鉴权服务端基于所述第一用户信息、所述第一盐值编号对应的第一盐值、所述第一扩展字段中的字段值及所述第一令牌标识生成所述第一令牌凭证；

所述鉴权服务端根据所述第二用户信息、所述第二盐值、所述第二盐值编号和所述第二令牌失效时间生成比较校验值，包括：

所述鉴权服务端根据所述第二用户信息、所述第二盐值、所述第二盐值编号、所述第二令牌失效时间和所述第二扩展字段中的字段值生成所述比较校验值。
如权利要求1中所述的方法，其特征在于，所述令牌校验值是根据第二令牌凭证生成的，包括：

所述令牌校验值是所述第二令牌凭证；或

所述令牌校验值是通过对所述第二令牌凭证和各请求参数进行签名得到的；其中，所述资源获取请求中还包含各请求参数。
如权利要求1中所述的方法，其特征在于，生成第一令牌凭证之后，还包括：

所述鉴权服务端将所述第一访问令牌存储至令牌数据库；

从盐值记录中获取所述第二令牌标识中的第二盐值编号对应的第二盐值之前，还包括：

所述鉴权服务端未能从所述令牌数据库获取所述第二令牌标识对应的第三访问令牌。
如权利要求4中所述的方法，其特征在于，还包括：

所述鉴权服务端从所述令牌数据库获取所述第二令牌标识对应的第三访问令牌；

所述鉴权服务端确定所述资源获取请求中的所述第二访问令牌与从所述令牌数据库获取的所述第三访问令牌是否相符，从而确定是否生成资源授权响应返回至所述开放服务端。
如权利要求1-5中任一所述的方法，其特征在于，还包括：

所述鉴权服务端采用灰度发布机制配置所述盐值记录，所述灰度发布机制用于在任一鉴权服务端未配置完所述盐值记录时，将所述盐值记录中的盐值设置为用于令牌验证阶段，在各鉴权服务端均配置完所述盐值记录时，将所述盐值记录中的盐值设置为用于令牌生成阶段和令牌验证阶段。
如权利要求1-5中任一项所述的方法，其特征在于，还包括：

所述鉴权服务端接收令牌有效时间变更配置；所述令牌有效时间变更配置中指示的令牌有效时间的优先级高于访问令牌中的令牌失效时间的优先级；

所述鉴权服务端基于所述令牌有效时间变更配置，将令牌标识中失效状态的令牌失效时间确定为有效，或基于所述令牌有效时间变更配置，将令牌标识中有效状态的令牌失效时间确定为失效。
一种访问验证装置，其特征在于，所述的装置包括：

收发模块，用于接收开放服务端发送的令牌获取请求，所述令牌获取请求中包含访问用户的第一用户信息；

处理模块，用于为所述令牌获取请求确定第一令牌标识；所述第一令牌标识包括第一令牌失效时间、从盐值记录中确定的第一盐值编号；

所述处理模块还用于，基于所述第一用户信息、所述第一盐值编号对应的第一盐值及所述第一令牌标识生成第一令牌凭证；

所述收发模块还用于，将携带有第一访问令牌的令牌生成响应通过所述开发服务端发送至资源请求终端或资源请求服务端；所述第一访问令牌包括所述第一令牌标识及所述第一令牌凭证；

所述收发模块还用于，接收所述访问用户针对所述开放服务端发送的资源获取请求，以从所述资源获取请求中提取出包含的第二访问令牌和访问用户的第二用户信息；其中，所述第二访问令牌包括令牌校验值和第二令牌标识；所述令牌校验值是根据第二令牌凭证生成的；

所述处理模块还用于，根据所述第二令牌标识中的第二令牌失效时间确定所述第二访问令牌有效后，从所述盐值记录中获取所述第二令牌标识中的第二盐值编号对应的第二盐值；所述盐值记录存储在鉴权服务端内存中；

所述处理模块还用于，根据所述第二用户信息、所述第二盐值、所述第二盐值编号和所述第二令牌失效时间生成比较校验值；

所述处理模块还用于，在确定所述令牌校验值与所述比较校验值相符后，生成资源授权响应通过所述收发模块返回至所述开放服务端。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有程序，当所述程序在计算机上运行时，使得计算机实现执行权利要求1至7中任一项所述的方法。
一种计算机设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于调用所述存储器中存储的计算机程序，按照获得的程序执行如权利要求1至7任一权利要求所述的方法。