專利名稱:一種資源訪問授權(quán)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)�,尤其涉及三網(wǎng)融合(電信網(wǎng)、計(jì)算機(jī)網(wǎng)和有線電視網(wǎng))領(lǐng)域跨終端(電腦�、電視/機(jī)頂盒,手機(jī)�,移動(dòng)終端等)的一種資源訪問授權(quán)的方法。
背景技術(shù):
隨著電信網(wǎng)�����、廣播電視網(wǎng)和計(jì)算機(jī)通信網(wǎng)的相互滲透�、互相融合�、并逐步整合成為全世界統(tǒng)一的信息通信網(wǎng)絡(luò)(即“三網(wǎng)融合”)���。“三網(wǎng)融合”是實(shí)現(xiàn)了網(wǎng)絡(luò)資源的在各種終端平臺(tái)(電腦��、電視/機(jī)頂盒�����,手機(jī)��,平板電腦以及移動(dòng)終端等)的共享���。網(wǎng)絡(luò)資源的共享必然需要對(duì)資源的保護(hù)和授權(quán)訪問�����。0Auth(開放授權(quán)協(xié)議)是一個(gè)開放的資源授權(quán)標(biāo)準(zhǔn)���,允許用戶讓第三方應(yīng)用訪問該用戶在某一網(wǎng)站上存儲(chǔ)的私密的資源(如文檔,郵件�����,照片,音樂�,視頻,聯(lián)系人列表等)��, 而無需將用戶名和密碼提供給第三方應(yīng)用����。由于OAuth是一個(gè)比較新的協(xié)議,在有些方面���, 特別是實(shí)現(xiàn)上還不是很容易��,穩(wěn)定性也不是很好���,接入形式也不是很廣泛。一般情況下�,應(yīng)用對(duì)資源的訪問授權(quán)通過三步操作應(yīng)用認(rèn)證,用戶認(rèn)證以及資源授權(quán)最終獲得“資源訪問令牌”��,訪問授權(quán)資源�。基本的資源訪問授權(quán)流程請(qǐng)參閱圖1資源訪問授權(quán)流程圖(基本形式)�。“資源訪問授權(quán)流程(基本形式)”的消息流程描述如下1�����、用戶終端(User Agent)訪問應(yīng)用(Application)�;2、應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA),獲取“應(yīng)用Token” �;3、認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查請(qǐng)求消息的數(shù)字簽名�����,確認(rèn)應(yīng)用身份�����,檢查無誤后生成“應(yīng)用Token”返回給應(yīng)用�;否則直接返回失敗(失敗原因)�;4、應(yīng)用攜帶“應(yīng)用Token”發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器(UMS)�����,請(qǐng)求獲取 “用戶認(rèn)證Token”;5����、用戶管理服務(wù)器(UMQ直接推送登陸認(rèn)證頁面(不經(jīng)過當(dāng)前應(yīng)用)給用戶終端 (或者終端代理);6�����、用戶輸入用戶名或者其它身份信息����,密碼,驗(yàn)證碼等認(rèn)證參數(shù)并確認(rèn)提交�����;用戶管理服務(wù)器(UMQ驗(yàn)證用戶的認(rèn)證信息�,如果驗(yàn)證失敗,會(huì)提示用戶重試��,三次失敗后����,驗(yàn)證失敗���,并返回用戶認(rèn)證失敗給應(yīng)用;7����、用戶認(rèn)證成功,用戶管理服務(wù)器(UMS)告知認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)用戶認(rèn)證成功��,請(qǐng)求頒發(fā)“用戶認(rèn)證Token”給應(yīng)用���;8�、認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)確認(rèn)用戶認(rèn)證成功后,返回“用戶認(rèn)證Token”給用戶管理服務(wù)器(UMS)�;9、用戶管理服務(wù)器(UMS)轉(zhuǎn)發(fā)“用戶認(rèn)證Token”給應(yīng)用����;10���、應(yīng)用攜帶“用戶認(rèn)證Token”,需要訪問的資源信息以及其它相關(guān)信息向認(rèn)證�����、 授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)發(fā)起“資源訪問令牌”請(qǐng)求�;11、認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查請(qǐng)求消息的數(shù)字簽名����,校驗(yàn)“用戶認(rèn)證 Token”的有效性�����,檢查用戶�����,應(yīng)用以及應(yīng)用要訪問的資源信息�,確認(rèn)應(yīng)用可以訪問資源后,生成最終的“資源訪問令牌”�。認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)可以把頒發(fā)的“資源訪問令牌”同步給資源所在的資源服務(wù)器����;12、認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)返回最終的“資源訪問令牌”給應(yīng)用�;13應(yīng)用攜帶“資源訪問令牌”及其它相關(guān)信息發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求�����;14��、資源服務(wù)器校驗(yàn)應(yīng)用攜帶的“資源訪問令牌”的有效性(如果認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)把頒發(fā)的“資源訪問令牌”同步到資源服務(wù)器,則資源服務(wù)器本地校驗(yàn)����,否則資源服務(wù)器發(fā)起到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)的“資源訪問令牌”校驗(yàn))��;校驗(yàn)通過后�����,資源服務(wù)器允許應(yīng)用訪問請(qǐng)求的資源;15�����、應(yīng)用呈現(xiàn)資源給終端用戶����。
發(fā)明內(nèi)容
本發(fā)明在OAuth的基礎(chǔ)上,提出一種改進(jìn)的容易實(shí)施的適合三網(wǎng)融合跨終端的資源訪問授權(quán)方法��,這種方法還考慮到資源分布的分布式網(wǎng)絡(luò)����。本發(fā)明解決其技術(shù)問題采用的技術(shù)方案這種資源訪問授權(quán)的方法,該方法的具體步驟為用戶訪問或者使用具體應(yīng)用時(shí)的流程如下①用戶訪問終端中的Widget應(yīng)用或者其它應(yīng)用��;②應(yīng)用從應(yīng)用容器獲取經(jīng)過用戶認(rèn)證的“用戶認(rèn)證令牌”��,然后向認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求�����;③認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶�,應(yīng)用,應(yīng)用容器以及應(yīng)用要訪問的資源信息�,確認(rèn)可以訪問后,生成最終的“資源訪問令牌”���;④認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用�����;⑤應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求;⑥資源服務(wù)器檢查應(yīng)用的“資源訪問令牌”���;檢查通過后����,返回應(yīng)用請(qǐng)求的資源����;⑦應(yīng)用呈現(xiàn)資源給終端用戶���。更進(jìn)一步地,所述應(yīng)用容器獲取經(jīng)過用戶認(rèn)證的“用戶認(rèn)證令牌”的具體步驟為1.應(yīng)用容器發(fā)起認(rèn)證請(qǐng)求到認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器�����,獲取“容器應(yīng)用令牌”���;2.認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器檢查請(qǐng)求消息的數(shù)字簽名�����,確認(rèn)應(yīng)用容器的身份���,確認(rèn)無誤后生成“容器應(yīng)用令牌”返回給應(yīng)用容器,否則直接返回失?。?.應(yīng)用容器攜帶“容器應(yīng)用令牌”發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器;4.用戶管理服務(wù)器直接推送登陸頁面給用戶終端�;5.用戶管理服務(wù)器驗(yàn)證用戶終端的認(rèn)證消息,如果驗(yàn)證失敗�����,會(huì)提示用戶重試���,三次失敗后��,驗(yàn)證失敗�����,并返回用戶終端認(rèn)證失敗給應(yīng)用容器�;6.用戶管理服務(wù)器認(rèn)證成功后�����,告知認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器用戶認(rèn)證成功��,請(qǐng)求頒發(fā)“用戶認(rèn)證令牌”;7.認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后,生成“用戶認(rèn)證令牌”返回給用
戶管理服務(wù)器��;8.用戶管理服務(wù)器轉(zhuǎn)發(fā)“用戶認(rèn)證令牌”給應(yīng)用容器�;應(yīng)用容器保存“用戶認(rèn)證令牌”,提供接口給應(yīng)用獲取“用戶認(rèn)證令牌”����。
3、根據(jù)權(quán)利要求1或2所述的資源訪問授權(quán)的方法��,其特征是根據(jù)不同的終端的不同特征����,用戶終端的認(rèn)證采用用戶名、密碼認(rèn)證方式����,游客用戶方式和 終端方式。更進(jìn)一步地��,需要用戶登錄認(rèn)證以及授權(quán)的資源訪問授權(quán)流程步驟如下首先��,用戶訪問應(yīng)用��;應(yīng)用獲取“應(yīng)用令牌”1. 1應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器�,獲取“應(yīng)用令牌”;1. 2認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查請(qǐng)求消息的數(shù)字簽名,確認(rèn)應(yīng)用身份��,確認(rèn)無誤后生成“應(yīng)用令牌”返回給應(yīng)用����;否則直接返回失敗�;然后,應(yīng)用獲取“用戶認(rèn)證令牌”2. 1應(yīng)用攜帶“應(yīng)用令牌”發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器;2. 2認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器告知應(yīng)用直接發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器;2. 3應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器���;2. 4用戶管理服務(wù)器直接推送登陸頁面給用戶終端��;2. 5用戶輸入用戶名��,密碼,驗(yàn)證碼認(rèn)證參數(shù)并確認(rèn)提交;用戶管理服務(wù)器驗(yàn)證用戶的認(rèn)證消息����,如果驗(yàn)證失敗,會(huì)提示用戶重試�,三次失敗后,驗(yàn)證失敗���,并返回用戶認(rèn)證失敗給應(yīng)用�;2. 6用戶管理服務(wù)器告知認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器用戶認(rèn)證成功,請(qǐng)求頒發(fā)“用戶認(rèn)證令牌”��;2. 7認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后��,返回“用戶令牌”給用戶管理服務(wù)器����;2. 8用戶管理服務(wù)器轉(zhuǎn)發(fā)“用戶認(rèn)證令牌”給應(yīng)用;接著�,應(yīng)用獲取“資源訪問令牌”3. 1應(yīng)用向認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求;3. 2認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶��,應(yīng)用以及應(yīng)用要訪問的資源信息���,確認(rèn)可以訪問后����,生成最終的“資源訪問令牌”���;3. 3認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用��;最后����,應(yīng)用訪問資源服務(wù)器���,獲取資源,然后呈現(xiàn)資源給用戶4. 1應(yīng)用攜帶“資源訪問令牌”發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求���;4. 2資源服務(wù)器向認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求��;4. 3認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器返回“資源訪問令牌”的檢查結(jié)果�����;4. 4資源服務(wù)器確認(rèn)“資源訪問令牌”有效后�����,返回應(yīng)用請(qǐng)求的資源�����。更進(jìn)一步地���,在用戶認(rèn)證流程中采用如下方法實(shí)現(xiàn)�����,訪問本應(yīng)用的用戶歸屬當(dāng)前認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器的用戶管理服務(wù)器,應(yīng)用直接配置用戶管理服務(wù)器的認(rèn)證地址���;認(rèn)證時(shí)應(yīng)用直接發(fā)送認(rèn)證請(qǐng)求到用戶管理服務(wù)器���。更進(jìn)一步地,在用戶認(rèn)證流程中采用如下方法實(shí)現(xiàn)�,認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器在應(yīng)用獲取“應(yīng)用令牌”的返回消息時(shí)�����,攜帶用戶管理服務(wù)器的認(rèn)證地址�����,應(yīng)用根據(jù)返回地址直接發(fā)送認(rèn)證請(qǐng)求到用戶管理服務(wù)器���。更進(jìn)一步地����,所述游客用戶認(rèn)證方式的步驟如下
首先,用戶訪問應(yīng)用��;應(yīng)用獲取“應(yīng)用令牌”1. 1應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器�,獲取“應(yīng)用令牌”���;1. 2認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器檢查請(qǐng)求消息的數(shù)字簽名��,確認(rèn)應(yīng)用身份��,確認(rèn)無誤后生成“應(yīng)用令牌”返回給應(yīng)用�;然后����,應(yīng)用獲取“用戶認(rèn)證令牌”2. 1應(yīng)用發(fā)起游客用戶的“用戶認(rèn)證令牌”請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器���;2. 2認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)游客用戶后���,返回游客“用戶認(rèn)證令牌”給應(yīng)用;接著��,應(yīng)用獲取“資源訪問令牌”3. 1應(yīng)用向認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起資源訪問令牌請(qǐng)求�����;3. 2認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶,應(yīng)用以及應(yīng)用要訪問的資源信息��,確認(rèn)可以訪問后����,生成最終的“資源訪問令牌”;3. 3認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用;最后����,應(yīng)用訪問資源服務(wù)器��,獲取資源���,然后呈現(xiàn)資源給用戶4. 1應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求;4. 2資源服務(wù)器發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求到認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器;4. 3認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器返回“資源訪問令牌”檢查確認(rèn)結(jié)果;4. 4資源服務(wù)器確認(rèn)“資源訪問令牌”有效后����,返回應(yīng)用請(qǐng)求的資源�。更進(jìn)一步地,所述啞終端用戶認(rèn)證方式的步驟如下首先�,用戶訪問應(yīng)用,應(yīng)用獲取“應(yīng)用令牌”����;1. 1應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器���,獲取“應(yīng)用令牌”��;1. 2AAA檢查請(qǐng)求消息的數(shù)字簽名��,確認(rèn)應(yīng)用身份���,確認(rèn)無誤后生成“應(yīng)用令牌”返回給應(yīng)用��;否則直接返回失??;然后,應(yīng)用獲取“用戶認(rèn)證令牌”2. 1應(yīng)用從終端獲取用戶名��,密碼���,或者其它用戶身份信息認(rèn)證參數(shù)提交給用戶管理服務(wù)器����,用戶管理服務(wù)器驗(yàn)證用戶的認(rèn)證消息���,如果驗(yàn)證失敗��,返回用戶認(rèn)證失敗給應(yīng)用�;2. 2用戶管理服務(wù)器成功認(rèn)證用戶后告知認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器用戶認(rèn)證成功�, 請(qǐng)求頒發(fā)“用戶認(rèn)證令牌”;2. 3認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后,返回“用戶認(rèn)證令牌”給用戶管理服務(wù)器���;2. 4用戶管理服務(wù)器轉(zhuǎn)發(fā)“用戶認(rèn)證令牌”給應(yīng)用�����;接著���,應(yīng)用獲取“資源訪問令牌”3. 1應(yīng)用向認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求����;3. 2認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶,應(yīng)用以及應(yīng)用要訪問的資源信息�����,確認(rèn)可以訪問后,生成最終的“資源訪問令牌”��;3. 3認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用��;最后��,應(yīng)用訪問資源服務(wù)器����,獲取資源,然后呈現(xiàn)資源給用戶4. 1應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求�����;
4. 2資源服務(wù)器發(fā)起應(yīng)用的“資源訪問令牌”請(qǐng)求到認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器�;4. 3認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器檢查“資源訪問令牌”的有效性�����,返回確認(rèn)結(jié)果;4. 4資源服務(wù)器確認(rèn)“資源訪問令牌”有效后��,返回應(yīng)用請(qǐng)求的資源����。更進(jìn)一步地,應(yīng)用獲得“資源訪問令牌”后訪問資源服務(wù)器�,獲取受保護(hù)的資源呈現(xiàn)給最終用戶,訪問資源的“資源訪問令牌”包括類型有有一次性的令牌�����、一定時(shí)間內(nèi)有效的令牌�、可以延長(zhǎng)有效期使用的令牌。更進(jìn)一步地�����,所述可以延長(zhǎng)有效期使用的令牌流程步驟如下首先�����,用戶訪問應(yīng)用�,應(yīng)用獲取“應(yīng)用令牌”;1. 1應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器,獲取“應(yīng)用令牌”�����;1. 2認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器檢查請(qǐng)求消息的數(shù)字簽名,確認(rèn)應(yīng)用身份�,確認(rèn)無誤后生成令牌返回給應(yīng)用,否則直接返回失?����?���;然后,應(yīng)用獲取“用戶認(rèn)證令牌”2. 1應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器或用戶管理服務(wù)器�����;2. 2認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后,返回“用戶認(rèn)證令牌”給應(yīng)用���;接著���,應(yīng)用獲取“資源訪問令牌”3. 1應(yīng)用向認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求���;3. 2認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶����,應(yīng)用以及應(yīng)用要訪問的資源信息���,確認(rèn)可以訪問后����,生成最終的“資源訪問令牌”����;3. 3認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用���;最后�����,應(yīng)用訪問資源服務(wù)器���,獲取資源,然后呈現(xiàn)資源給用戶4. 1應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求��;4.2資源服務(wù)器發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求�����;4. 3認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查“資源訪問令牌”的有效性��,返回檢查結(jié)果��;4. 4資源服務(wù)器確認(rèn)“資源訪問令牌”有效后���,返回應(yīng)用請(qǐng)求的資源��。本發(fā)明有益的效果是這種方法適合互聯(lián)網(wǎng)����,三網(wǎng)融合(電信網(wǎng)、計(jì)算機(jī)網(wǎng)和有線電視網(wǎng))領(lǐng)域的多種終端(電腦�、電視/機(jī)頂盒,手機(jī)�,移動(dòng)終端等)資源訪問控制及授權(quán)。
圖1現(xiàn)有技術(shù)中資源訪問授權(quán)流程圖(基本形式)���;圖2本發(fā)明資源訪問授權(quán)流程圖(容器形式)���;圖3需要用戶登錄認(rèn)證以及授權(quán)的資源訪問授權(quán)流程圖;圖4游客用戶資源訪問授權(quán)流程圖���;圖5現(xiàn)終端用戶資源訪問授權(quán)流程圖��;圖6可持續(xù)資源訪問令牌的延時(shí)更新流程圖����。
具體實(shí)施例方式為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白����,下面結(jié)合舉例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明����。應(yīng)當(dāng)理解�,此處所描述的舉例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明�。
隨著Widget的興起,以及移動(dòng)終端和終端機(jī)頂盒的發(fā)展�����,在終端上運(yùn)行Widget應(yīng)用就成為潮流�����。而Widget客戶端��,移動(dòng)終端和機(jī)頂盒終端都有應(yīng)用容器的概念��,如果按照 “資源訪問授權(quán)流程(基本形式)”就會(huì)有重復(fù)認(rèn)證的問題���。為了避免重復(fù)認(rèn)證的情況���,就需要對(duì)“資源訪問授權(quán)流程(基本形式)”做進(jìn)一步的改進(jìn)以適應(yīng)新的需求����。也就是具有 “單次用戶認(rèn)證���,多次使用�����,共享用戶認(rèn)證Token”����。改進(jìn)后的流程為“資源訪問授權(quán)流程(容器形式)”�。“資源訪問授權(quán)流程(容器形式)�,,的流程圖請(qǐng)參考圖2- “資源訪問授權(quán)流程圖(容器形式)”�。“容器模式”和“基本模式”的主要區(qū)別是“基本模式”流程中的2.. 9步是由容器作為一個(gè)特殊應(yīng)用獲取“用戶認(rèn)證Token”��,容器中的所有具體應(yīng)用可以共享一個(gè) “用戶認(rèn)證Token”�。用戶訪問容器中任意應(yīng)用時(shí)��,應(yīng)用只需要從容器獲得經(jīng)過用戶認(rèn)證的 “用戶認(rèn)證Token”�����,然后只要直接發(fā)起“資源訪問令牌”即可���;改進(jìn)后的“資源訪問授權(quán)流程圖(容器形式)”具體描述如下1、應(yīng)用容器(客戶端代理)發(fā)起認(rèn)證請(qǐng)求到認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)�����,獲取 “容器應(yīng)用Token” ��;2����、認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查請(qǐng)求消息的數(shù)字簽名��,確認(rèn)應(yīng)用(應(yīng)用容器)身份����,確認(rèn)無誤后生成“容器應(yīng)用Token”返回給應(yīng)用容器(也可能附帶用戶管理服務(wù)器(UMS)的地址)��;否則直接返回失敗(失敗原因)�����;3�、應(yīng)用容器攜帶“容器應(yīng)用Token”發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器(UMS);4�、用戶管理服務(wù)器(UMS)直接推送登陸頁面給用戶終端;5��、用戶輸入用戶名�,密碼,驗(yàn)證碼等認(rèn)證參數(shù)并確認(rèn)提交�;用戶管理服務(wù)器(UMS) 驗(yàn)證用戶的認(rèn)證消息,如果驗(yàn)證失敗�����,會(huì)提示用戶重試��,三次失敗后,驗(yàn)證失敗�����,并返回用戶認(rèn)證失敗給應(yīng)用容器�;6、用戶管理服務(wù)器(UMS)認(rèn)證成功后���,告知認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器用戶認(rèn)證成功�����,請(qǐng)求頒發(fā)“用戶認(rèn)證Token” ;7�、認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后�,生成“用戶認(rèn)證Token”返回給用戶管理服務(wù)器(UMS);8���、用戶管理服務(wù)器(UMS)轉(zhuǎn)發(fā)“用戶認(rèn)證Token”給應(yīng)用容器��;應(yīng)用容器保存“用戶認(rèn)證Token ”���,提供接口給應(yīng)用獲取“用戶認(rèn)證Token ”���。上面的過程在系統(tǒng)啟動(dòng)或者“用戶認(rèn)證Token”失效后,由容器自動(dòng)發(fā)起獲取“用戶認(rèn)證Token”����。用戶訪問或者使用具體應(yīng)用時(shí)的流程如下1、用戶訪問終端中的任意應(yīng)用(Widget應(yīng)用或者其它應(yīng)用)���;2�����、應(yīng)用從應(yīng)用容器獲取經(jīng)過用戶認(rèn)證的“用戶認(rèn)證Token”�����,然后向認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求�����;3�、認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查用戶��,應(yīng)用�,應(yīng)用容器以及應(yīng)用要訪問的資源信息,確認(rèn)可以訪問后���,生成最終的“資源訪問令牌”�����;4�、認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)頒發(fā)最終的“資源訪問令牌”給應(yīng)用;5�����、應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求��;6、資源服務(wù)器檢查應(yīng)用的“資源訪問令牌”��;檢查通過后���,返回應(yīng)用請(qǐng)求的資源����;7���、應(yīng)用呈現(xiàn)資源給終端用戶����。三網(wǎng)融合情況下����,有各種各樣的終端,如電視/機(jī)頂盒�,手機(jī),平板電腦����,以及各種移動(dòng)終端等,考慮到不同的終端的不同特征,就需要用戶認(rèn)證部分能適應(yīng)各種類型的終端�����, 因此終端用戶的認(rèn)證就需要具有多種方式(1)���、用戶名���,密碼認(rèn)證方式;O)��、游客用戶方式(免認(rèn)證方式���,匿名訪問)�����;(3)��、啞終端方式(身份信息固化在終端)����;下面對(duì)于三種認(rèn)證方式的分別做詳細(xì)說明����。一 “用戶名,密碼認(rèn)證方式”是最基本的認(rèn)證方式���。應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求后��,用戶管理服務(wù)器(UMS)直接推送用戶登陸認(rèn)證頁面��?!坝脩裘?��,密碼認(rèn)證方式”以及資源授權(quán)的詳細(xì)消息流程請(qǐng)參閱圖3- “需要用戶登錄認(rèn)證以及授權(quán)的資源訪問授權(quán)流程圖”����?�!靶枰脩舻卿浾J(rèn)證以及授權(quán)的資源訪問授權(quán)流程”和“資源訪問授權(quán)流程圖(基本形式)�,,的認(rèn)證流程很相似的流程�����?�!靶枰脩舻卿浾J(rèn)證以及授權(quán)的資源訪問授權(quán)流程圖”詳細(xì)流程描述如下首先,用戶訪問應(yīng)用���;應(yīng)用獲取“應(yīng)用Token”1. 3應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA),獲取“應(yīng)用Token”����;1. 4認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查請(qǐng)求消息的數(shù)字簽名��,確認(rèn)應(yīng)用身份�����,確認(rèn)無誤后生成“應(yīng)用Token”返回給應(yīng)用(也可能附帶(用戶管理服務(wù)器UMS)的地址)�;否則直接返回失敗(失敗原因)。然后����,應(yīng)用獲取“用戶認(rèn)證Token”2. 9應(yīng)用攜帶“應(yīng)用Token”發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)��;2. 10認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)告知應(yīng)用(重定向到)直接發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器(UMS)���;2. 11應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器(UMS);2. 12戶管理服務(wù)器(UMS)直接推送登陸頁面給用戶終端�����;2. 13用戶輸入用戶名�����,密碼��,驗(yàn)證碼等認(rèn)證參數(shù)并確認(rèn)提交��;戶管理服務(wù)器(UMS) 驗(yàn)證用戶的認(rèn)證消息�,如果驗(yàn)證失敗,會(huì)提示用戶重試���,三次失敗后��,驗(yàn)證失敗�����,并返回用戶認(rèn)證失敗給應(yīng)用��;2. 14用戶管理服務(wù)器(UMS)告知認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)用戶認(rèn)證成功����,請(qǐng)求頒發(fā)“用戶認(rèn)證Token”;2. 15認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)確認(rèn)用戶認(rèn)證成功后����,返回“用戶Token”給用戶管理服務(wù)器(UMS)�����;2. 16用戶管理服務(wù)器((UMS))轉(zhuǎn)發(fā)“用戶認(rèn)證Token”給應(yīng)用��;注2. 1-2. 4是最基本完整的用戶認(rèn)證流程���,對(duì)于某些情況還可以用兩種更簡(jiǎn)單的方式實(shí)現(xiàn)①訪問本應(yīng)用的用戶歸屬當(dāng)前認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)的用戶管理服務(wù)器 (UMS)�����,應(yīng)用直接配置用戶管理服務(wù)器(UMS)的認(rèn)證地址�����;認(rèn)證時(shí)應(yīng)用直接發(fā)送認(rèn)證請(qǐng)求到用戶管理服務(wù)器(UMS);②認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)在應(yīng)用獲取“應(yīng)用Token”的返回消息時(shí)���,攜帶用戶管理服務(wù)器(UMS)的認(rèn)證地址,應(yīng)用根據(jù)返回地址直接發(fā)送認(rèn)證請(qǐng)求到用戶管理服務(wù)器 (UMS)����;
接著,應(yīng)用獲取“資源訪問令牌”�����;3. 4應(yīng)用向認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)發(fā)起“資源訪問令牌”請(qǐng)求;3. 5認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查用戶,應(yīng)用以及應(yīng)用要訪問的資源信息�, 確認(rèn)可以訪問后,生成最終的“資源訪問令牌”�;3. 6認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)頒發(fā)最終的“資源訪問令牌”給應(yīng)用�����;最后���,應(yīng)用訪問資源服務(wù)器�,獲取資源���,然后呈現(xiàn)資源給用戶4. 5應(yīng)用攜帶“資源訪問令牌”發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求���;4. 6資源服務(wù)器向認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求�����;4. 7認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)返回“資源訪問令牌”的檢查結(jié)果���;4. 8資源服務(wù)器確認(rèn)“資源訪問令牌”有效后�,返回應(yīng)用請(qǐng)求的資源�����;二“游客用戶認(rèn)證方式”����?�!坝慰陀脩粽J(rèn)證方式”允許用戶不經(jīng)過認(rèn)證��,匿名訪問某些資源����。“游客用戶認(rèn)證方式”和“用戶名����,密碼認(rèn)證方式”的最基本的區(qū)別就是用戶認(rèn)證不經(jīng)過用戶管理服務(wù)器(UMS),直接從認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)獲得“用戶認(rèn)證Token”。 “游客用戶認(rèn)證方式”流程請(qǐng)參閱圖4- “游客用戶資源訪問授權(quán)流程圖”首先��,用戶訪問應(yīng)用��;應(yīng)用獲取“應(yīng)用Token”1. 3應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)����,獲取“應(yīng)用Token” ;1. 4認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查請(qǐng)求消息的數(shù)字簽名�,確認(rèn)應(yīng)用身份,確認(rèn)無誤后生成“應(yīng)用Token”返回給應(yīng)用��;然后�,應(yīng)用獲取“用戶認(rèn)證Token”2. 3應(yīng)用發(fā)起游客用戶的“用戶認(rèn)證Token”請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器 (AAA)����;2. 4認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)確認(rèn)游客用戶后,返回游客“用戶認(rèn)證Token”
給應(yīng)用�;接著,應(yīng)用獲取“資源訪問令牌”3. 4應(yīng)用向認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)發(fā)起資源訪問令牌請(qǐng)求;3. 5認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查用戶���,應(yīng)用以及應(yīng)用要訪問的資源信息�, 確認(rèn)可以訪問后���,生成最終的“資源訪問令牌”;3. 6認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)頒發(fā)最終的“資源訪問令牌”給應(yīng)用�;最后����,應(yīng)用訪問資源服務(wù)器,獲取資源,然后呈現(xiàn)資源給用戶4. 5應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求�;4. 6資源服務(wù)器發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器 (AAA)��;4. 7認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)返回“資源訪問令牌”檢查確認(rèn)結(jié)果�����;4. 8資源服務(wù)器確認(rèn)“資源訪問令牌(資源訪問Token) ”有效后����,返回應(yīng)用請(qǐng)求的資源;三“啞終端用戶認(rèn)證方式”�����?�!皢〗K端用戶認(rèn)證方式”是為了方便那些用戶不方便登陸�����,或者用戶身份信息固化在終端里面的情況����,比如機(jī)頂盒等����?�!?終端用戶認(rèn)證方式”和 “用戶名���,密碼認(rèn)證方式”最大區(qū)別是用戶的身份信息不需要專門的頁面輸入�����,直接從固化終端獲取��,然后攜帶上去�����?!?終端用戶認(rèn)證方式”的消息流程請(qǐng)參閱圖5- “ 終端用戶資源訪問授權(quán)流程圖”首先��,用戶訪問應(yīng)用���;應(yīng)用獲取“應(yīng)用Token”1. 3應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA),獲取“應(yīng)用Token” ����;1. 4認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查請(qǐng)求消息的數(shù)字簽名��,確認(rèn)應(yīng)用身份�,確認(rèn)無誤后生成“應(yīng)用Token”返回給應(yīng)用;否則直接返回失敗(失敗原因)����。然后,應(yīng)用獲取“用戶認(rèn)證Token”2. 5應(yīng)用從終端等駐留設(shè)備獲取用戶名�,密碼,或者其它用戶身份信息等認(rèn)證參數(shù)提交給用戶管理服務(wù)器(UMS)��,用戶管理服務(wù)器(UMS)驗(yàn)證用戶的認(rèn)證消息���,如果驗(yàn)證失敗��,返回用戶認(rèn)證失敗給應(yīng)用����;2. 6用戶管理服務(wù)器(UMS)成功認(rèn)證用戶后告知認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)用戶認(rèn)證成功,請(qǐng)求頒發(fā)“用戶認(rèn)證Token” ����;2. 7認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)確認(rèn)用戶認(rèn)證成功后�����,返回“用戶認(rèn)證Token” 給用戶管理服務(wù)器(UMS)�;2. 8用戶管理服務(wù)器(UMS)轉(zhuǎn)發(fā)“用戶認(rèn)證Token”給應(yīng)用;接著�����,應(yīng)用獲取“資源訪問令牌”3. 4應(yīng)用向認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)發(fā)起“資源訪問令牌”請(qǐng)求�����;3. 5認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查用戶���,應(yīng)用以及應(yīng)用要訪問的資源信息, 確認(rèn)可以訪問后��,生成最終的“資源訪問令牌”�����;3. 6認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)頒發(fā)最終的“資源訪問令牌”給應(yīng)用���;最后�����,應(yīng)用訪問資源服務(wù)器���,獲取資源,然后呈現(xiàn)資源給用戶4. 5應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求���;4. 6資源服務(wù)器發(fā)起應(yīng)用的“資源訪問令牌”請(qǐng)求到認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器 (AAA)��;4. 7認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查“資源訪問令牌”的有效性,返回確認(rèn)結(jié)果����;4. 8資源服務(wù)器確認(rèn)“資源訪問令牌”有效后,返回應(yīng)用請(qǐng)求的資源���;應(yīng)用獲得“資源訪問令牌����,��,后���,就可以訪問資源服務(wù)器���,獲取受保護(hù)的資源呈現(xiàn)給最終用戶。訪問資源的“資源訪問令牌”有幾種類型①有一次性的Token (有效期內(nèi)的一次使用有效)②一定時(shí)間內(nèi)有效的Token(有效期內(nèi)的多次使用)③可以延長(zhǎng)有效期使用的Token (有效期內(nèi)的多次使用��,并且可以延長(zhǎng)有效期)對(duì)于第三種類型“可以延長(zhǎng)有效期使用的Token”。即在Token的有效期過期前�����, 應(yīng)用需要發(fā)起新流程來延長(zhǎng)Token的有效期���,這樣在原有的有效期到期后,Token才能繼續(xù)使用���。詳細(xì)的延長(zhǎng)“資源訪問令牌”有效期的消息流程圖�,請(qǐng)參閱圖6- “可持續(xù)資源訪問令牌的延時(shí)更新流程圖”首先��,用戶訪問應(yīng)用�;應(yīng)用獲取“應(yīng)用Token”1. 3應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)���,獲取“應(yīng)用Token” ����;
1. 4認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查請(qǐng)求消息的數(shù)字簽名���,確認(rèn)應(yīng)用身份��,確認(rèn)無誤后生成Token返回給應(yīng)用��;否則直接返回失敗(失敗原因)��。然后���,應(yīng)用獲取“用戶認(rèn)證Token”2. 3應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)/用戶管理服務(wù)器 (UMS);2. 4認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)確認(rèn)用戶認(rèn)證成功后,返回“用戶認(rèn)證Token”
給應(yīng)用����;接著,應(yīng)用獲取“資源訪問令牌”3. 4應(yīng)用向認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)發(fā)起“資源訪問令牌”請(qǐng)求;3. 5認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查用戶��,應(yīng)用以及應(yīng)用要訪問的資源信息����, 確認(rèn)可以訪問后,生成最終的“資源訪問令牌”��;3. 6認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)頒發(fā)最終的“資源訪問令牌”給應(yīng)用�;最后,應(yīng)用訪問資源服務(wù)器����,獲取資源,然后呈現(xiàn)資源給用戶4. 5應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求�����;4. 6資源服務(wù)器發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求�;4. 7認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器(AAA)檢查“資源訪問令牌”的有效性�,返回檢查結(jié)果;4. 8資源服務(wù)器確認(rèn)“資源訪問令牌”有效后,返回應(yīng)用請(qǐng)求的資源���;應(yīng)用獲得“訪問資源Token”后�����,在有效期快要到期前�,如果還需要繼續(xù)訪問資源�����, 就需要發(fā)起延長(zhǎng)當(dāng)前“資源訪問令牌”的有效期����,才能繼續(xù)呈現(xiàn)資源給用戶。本發(fā)明說明書中使用到的英語詞語�,縮寫語及其中文含義如下UUser Agent 用戶終端(終端用戶代理,例如手機(jī)或者移動(dòng)終端/電視/電腦/ 其它終端)2, Application 應(yīng)用(Widget應(yīng)用/Web應(yīng)用/桌面應(yīng)用/其它應(yīng)用)3����、Resources 資源服務(wù)器(文件服務(wù)器,郵件服務(wù)器��,照片服務(wù)器�����,音樂服務(wù)器, 視頻服務(wù)器等存放資源的服務(wù)器)4���、AAA Authentication, Authorization, Accounting 認(rèn)證�,授權(quán)禾口計(jì)費(fèi)月艮務(wù)器5��、UMS =User Management krver用戶管理服務(wù)器(管理用戶資料)���,是AAA的一部分6����、iToken:令牌7���、應(yīng)用Token =AAA頒發(fā)的應(yīng)用身份成功認(rèn)證后的Token ;8�����、用戶認(rèn)證Token =AAA頒發(fā)的用戶身份成功認(rèn)證后的Token ��;9�、資源訪問令牌:AAA頒發(fā)的應(yīng)用被授權(quán)訪問受保護(hù)資源的Token ��;10���、OAuth 開放授權(quán)協(xié)議?��?梢岳斫獾氖?���,對(duì)本領(lǐng)域技術(shù)人員來說�����,對(duì)本發(fā)明的技術(shù)方案及發(fā)明構(gòu)思加以等同替換或改變都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�。
權(quán)利要求
1.一種資源訪問授權(quán)的方法,其特征是該方法的具體步驟為用戶訪問或者使用具體應(yīng)用時(shí)的流程如下①用戶訪問終端中的Widget應(yīng)用或者其它應(yīng)用�����;②應(yīng)用從應(yīng)用容器獲取經(jīng)過用戶認(rèn)證的“用戶認(rèn)證令牌”�����,然后向認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求�����;③認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶,應(yīng)用����,應(yīng)用容器以及應(yīng)用要訪問的資源信息,確認(rèn)可以訪問后���,生成最終的“資源訪問令牌”�;④認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用�;⑤應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求���;⑥資源服務(wù)器檢查應(yīng)用的“資源訪問令牌”����;檢查通過后,返回應(yīng)用請(qǐng)求的資源���;⑦應(yīng)用呈現(xiàn)資源給終端用戶�����。
2.根據(jù)權(quán)利要求1所述的資源訪問授權(quán)的方法�����,其特征是所述應(yīng)用容器獲取經(jīng)過用戶認(rèn)證的“用戶認(rèn)證令牌”的具體步驟為(1)應(yīng)用容器發(fā)起認(rèn)證請(qǐng)求到認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器�����,獲取“容器應(yīng)用令牌”�����;(2)認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器檢查請(qǐng)求消息的數(shù)字簽名�,確認(rèn)應(yīng)用容器的身份���,確認(rèn)無誤后生成“容器應(yīng)用令牌”返回給應(yīng)用容器,否則直接返回失?��?�;(3)應(yīng)用容器攜帶“容器應(yīng)用令牌”發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器��;(4)用戶管理服務(wù)器直接推送登陸頁面給用戶終端��;(5)用戶管理服務(wù)器驗(yàn)證用戶終端的認(rèn)證消息��,如果驗(yàn)證失敗���,會(huì)提示用戶重試,三次失敗后�����,驗(yàn)證失敗��,并返回用戶終端認(rèn)證失敗給應(yīng)用容器�;(6)用戶管理服務(wù)器認(rèn)證成功后��,告知認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器用戶認(rèn)證成功�����,請(qǐng)求頒發(fā)“用戶認(rèn)證令牌”���;(7)認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后�����,生成“用戶認(rèn)證令牌”返回給用戶管理服務(wù)器���;(8)用戶管理服務(wù)器轉(zhuǎn)發(fā)“用戶認(rèn)證令牌”給應(yīng)用容器;應(yīng)用容器保存“用戶認(rèn)證令牌”�,提供接口給應(yīng)用獲取“用戶認(rèn)證令牌”。
3.根據(jù)權(quán)利要求1或2所述的資源訪問授權(quán)的方法�,其特征是根據(jù)不同的終端的不同特征,用戶終端的認(rèn)證采用用戶名��、密碼認(rèn)證方式,游客用戶方式和tt終端方式�。
4.根據(jù)權(quán)利要求3所述的資源訪問授權(quán)的方法,其特征是需要用戶登錄認(rèn)證以及授權(quán)的資源訪問授權(quán)流程步驟如下首先����,用戶訪問應(yīng)用;應(yīng)用獲取“應(yīng)用令牌”·1. 1應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器���,獲取“應(yīng)用令牌”���;·1.2認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器檢查請(qǐng)求消息的數(shù)字簽名��,確認(rèn)應(yīng)用身份��,確認(rèn)無誤后生成“應(yīng)用令牌”返回給應(yīng)用���;否則直接返回失?����?�;然后��,應(yīng)用獲取“用戶認(rèn)證令牌”·2.1應(yīng)用攜帶“應(yīng)用令牌”發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器;·2. 2認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器告知應(yīng)用直接發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器;·2. 3應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到用戶管理服務(wù)器��;·2. 4用戶管理服務(wù)器直接推送登陸頁面給用戶終端����;·2. 5用戶輸入用戶名,密碼�,驗(yàn)證碼認(rèn)證參數(shù)并確認(rèn)提交;用戶管理服務(wù)器驗(yàn)證用戶的認(rèn)證消息����,如果驗(yàn)證失敗,會(huì)提示用戶重試����,三次失敗后�����,驗(yàn)證失敗�,并返回用戶認(rèn)證失敗給應(yīng)用����;·2. 6用戶管理服務(wù)器告知認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器用戶認(rèn)證成功���,請(qǐng)求頒發(fā)“用戶認(rèn)證令牌”��;·2. 7認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后,返回“用戶令牌”給用戶管理服務(wù)器����;·2.8用戶管理服務(wù)器轉(zhuǎn)發(fā)“用戶認(rèn)證令牌”給應(yīng)用; 接著����,應(yīng)用獲取“資源訪問令牌”·3.1應(yīng)用向認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求��;·3. 2認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶����,應(yīng)用以及應(yīng)用要訪問的資源信息,確認(rèn)可以訪問后��,生成最終的“資源訪問令牌”����;·3.3認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用�; 最后,應(yīng)用訪問資源服務(wù)器�,獲取資源,然后呈現(xiàn)資源給用戶·4.1應(yīng)用攜帶“資源訪問令牌”發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求�;·4. 2資源服務(wù)器向認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求���; 4. 3認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器返回“資源訪問令牌”的檢查結(jié)果���;·4.4資源服務(wù)器確認(rèn)“資源訪問令牌”有效后�,返回應(yīng)用請(qǐng)求的資源����。
5.根據(jù)權(quán)利要求4所述的資源訪問授權(quán)的方法,其特征是在用戶認(rèn)證流程中采用如下方法實(shí)現(xiàn)�����,訪問本應(yīng)用的用戶歸屬當(dāng)前認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器的用戶管理服務(wù)器�����,應(yīng)用直接配置用戶管理服務(wù)器的認(rèn)證地址�����;認(rèn)證時(shí)應(yīng)用直接發(fā)送認(rèn)證請(qǐng)求到用戶管理服務(wù)器���。
6.根據(jù)權(quán)利要求4所述的資源訪問授權(quán)的方法��,其特征是在用戶認(rèn)證流程中采用如下方法實(shí)現(xiàn)����,認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器在應(yīng)用獲取“應(yīng)用令牌”的返回消息時(shí)���,攜帶用戶管理服務(wù)器的認(rèn)證地址,應(yīng)用根據(jù)返回地址直接發(fā)送認(rèn)證請(qǐng)求到用戶管理服務(wù)器�。
7.根據(jù)權(quán)利要求3所述的資源訪問授權(quán)的方法,其特征是所述游客游客用戶認(rèn)證方式的步驟如下首先���,用戶訪問應(yīng)用�����;應(yīng)用獲取“應(yīng)用令牌”·1. 1應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器,獲取“應(yīng)用令牌”���;·1.2認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查請(qǐng)求消息的數(shù)字簽名,確認(rèn)應(yīng)用身份�,確認(rèn)無誤后生成“應(yīng)用令牌”返回給應(yīng)用;然后��,應(yīng)用獲取“用戶認(rèn)證令牌”·2.1應(yīng)用發(fā)起游客用戶的“用戶認(rèn)證令牌”請(qǐng)求到認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器��;·2.2認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)游客用戶后�����,返回游客“用戶認(rèn)證令牌”給應(yīng)用�����; 接著�,應(yīng)用獲取“資源訪問令牌”·3.1應(yīng)用向認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起資源訪問令牌請(qǐng)求;·3. 2認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶��,應(yīng)用以及應(yīng)用要訪問的資源信息���,確認(rèn)可以訪問后�����,生成最終的“資源訪問令牌”�����;·3. 3認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用; 最后���,應(yīng)用訪問資源服務(wù)器����,獲取資源�����,然后呈現(xiàn)資源給用戶.4. 1應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求;.4. 2資源服務(wù)器發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求到認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器; 4. 3認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器返回“資源訪問令牌”檢查確認(rèn)結(jié)果�; .4. 4資源服務(wù)器確認(rèn)“資源訪問令牌”有效后,返回應(yīng)用請(qǐng)求的資源����。
8.根據(jù)權(quán)利要求3所述的資源訪問授權(quán)的方法,其特征是所述 終端用戶認(rèn)證方式的步驟如下首先��,用戶訪問應(yīng)用�����,應(yīng)用獲取“應(yīng)用令牌”�����;1. 1應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器�,獲取“應(yīng)用令牌”�����;1.2AAA檢查請(qǐng)求消息的數(shù)字簽名�����,確認(rèn)應(yīng)用身份�����,確認(rèn)無誤后生成“應(yīng)用令牌”返回給應(yīng)用�;否則直接返回失敗��;然后�,應(yīng)用獲取“用戶認(rèn)證令牌”2.1應(yīng)用從終端獲取用戶名���,密碼�����,或者其它用戶身份信息認(rèn)證參數(shù)提交給用戶管理服務(wù)器���,用戶管理服務(wù)器驗(yàn)證用戶的認(rèn)證消息��,如果驗(yàn)證失敗�,返回用戶認(rèn)證失敗給應(yīng)用����;2. 2用戶管理服務(wù)器成功認(rèn)證用戶后告知認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器用戶認(rèn)證成功��,請(qǐng)求頒發(fā)“用戶認(rèn)證令牌”�����;2. 3認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后����,返回“用戶認(rèn)證令牌”給用戶管理服務(wù)器;2.4用戶管理服務(wù)器轉(zhuǎn)發(fā)“用戶認(rèn)證令牌”給應(yīng)用���; 接著����,應(yīng)用獲取“資源訪問令牌”3.1應(yīng)用向認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求��;3. 2認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶�,應(yīng)用以及應(yīng)用要訪問的資源信息,確認(rèn)可以訪問后�����,生成最終的“資源訪問令牌”���;3.3認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用���; 最后�����,應(yīng)用訪問資源服務(wù)器�,獲取資源���,然后呈現(xiàn)資源給用戶4.1應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求���;4. 2資源服務(wù)器發(fā)起應(yīng)用的“資源訪問令牌”請(qǐng)求到認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器�����; 4. 3認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查“資源訪問令牌”的有效性,返回確認(rèn)結(jié)果��; 4. 4資源服務(wù)器確認(rèn)“資源訪問令牌”有效后����,返回應(yīng)用請(qǐng)求的資源。
9.根據(jù)權(quán)利要求2所述的資源訪問授權(quán)的方法����,其特征是應(yīng)用獲得“資源訪問令牌” 后訪問資源服務(wù)器����,獲取受保護(hù)的資源呈現(xiàn)給最終用戶���,訪問資源的“資源訪問令牌”包括類型有有一次性的令牌��、一定時(shí)間內(nèi)有效的令牌���、可以延長(zhǎng)有效期使用的令牌。
10.根據(jù)權(quán)利要求9所述的資源訪問授權(quán)的方法�,其特征是所述可以延長(zhǎng)有效期使用的令牌流程步驟如下首先,用戶訪問應(yīng)用���,應(yīng)用獲取“應(yīng)用令牌”��;.1.1應(yīng)用發(fā)起認(rèn)證請(qǐng)求到認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器�����,獲取“應(yīng)用令牌”�����;.1.2認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器檢查請(qǐng)求消息的數(shù)字簽名�����,確認(rèn)應(yīng)用身份��,確認(rèn)無誤后生成令牌返回給應(yīng)用�����,否則直接返回失??��;然后��,應(yīng)用獲取“用戶認(rèn)證令牌”.2.1應(yīng)用發(fā)起用戶認(rèn)證請(qǐng)求到認(rèn)證����、授權(quán)和計(jì)費(fèi)服務(wù)器或用戶管理服務(wù)器����;、2.2認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器確認(rèn)用戶認(rèn)證成功后��,返回“用戶認(rèn)證令牌”給應(yīng)用���; 接著����,應(yīng)用獲取“資源訪問令牌”���、3.1應(yīng)用向認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求�����;�����、3. 2認(rèn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶����,應(yīng)用以及應(yīng)用要訪問的資源信息,確認(rèn)可以訪問后�,生成最終的“資源訪問令牌”���;���、3.3認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用�����; 最后����,應(yīng)用訪問資源服務(wù)器,獲取資源��,然后呈現(xiàn)資源給用戶��、4.1應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求���;��、4. 2資源服務(wù)器發(fā)起檢查應(yīng)用的“資源訪問令牌”請(qǐng)求��;���、4. 3認(rèn)證��、授權(quán)和計(jì)費(fèi)服務(wù)器檢查“資源訪問令牌”的有效性��,返回檢查結(jié)果�����;�、4. 4資源服務(wù)器確認(rèn)“資源訪問令牌”有效后�,返回應(yīng)用請(qǐng)求的資源。
全文摘要
本發(fā)明涉及一種資源訪問授權(quán)的方法�,該方法的具體步驟為用戶訪問或者使用具體應(yīng)用時(shí)的流程如下用戶訪問終端中的Widget應(yīng)用或者其它應(yīng)用;應(yīng)用從應(yīng)用容器獲取經(jīng)過用戶認(rèn)證的“用戶認(rèn)證令牌”�,然后向認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器發(fā)起“資源訪問令牌”請(qǐng)求����;認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器檢查用戶,應(yīng)用�,應(yīng)用容器以及應(yīng)用要訪問的資源信息,確認(rèn)可以訪問后��,生成最終的“資源訪問令牌”�;認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器頒發(fā)最終的“資源訪問令牌”給應(yīng)用�����;應(yīng)用發(fā)起到資源服務(wù)器的資源訪問請(qǐng)求�;資源服務(wù)器檢查應(yīng)用的“資源訪問令牌”��;檢查通過后�,返回應(yīng)用請(qǐng)求的資源;應(yīng)用呈現(xiàn)資源給終端用戶���。本發(fā)明優(yōu)點(diǎn)是這種方法適合互聯(lián)網(wǎng)�,三網(wǎng)融合(電信網(wǎng)����、計(jì)算機(jī)網(wǎng)和有線電視網(wǎng))領(lǐng)域的多種終端(電腦����、電視/機(jī)頂盒���,手機(jī)���,移動(dòng)終端等)資源訪問控制及授權(quán)。
文檔編號(hào)H04L9/32GK102546648SQ20121001525
公開日2012年7月4日 申請(qǐng)日期2012年1月18日 優(yōu)先權(quán)日2012年1月18日
發(fā)明者楊亞鵬, 黃宇殊 申請(qǐng)人:Ut斯達(dá)康通訊有限公司