用于控制資源訪問的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明的實施例總體上涉及認證與授權(quán)的領(lǐng)域,更具體地����,涉及用于控制資源訪問的方法和裝置。
【背景技術(shù)】
[0002]針對資源訪問的第三方認證和授權(quán)是已知的��。具體而言�����,當(dāng)用戶試圖使用一個客戶端應(yīng)用訪問和使用特定的資源時��,可以允許用戶不將他/她的個人信息(例如����,口令)提供給客戶端應(yīng)用,而是由專門的第三方負責(zé)認證和授權(quán)�。特別地,認證和授權(quán)方與資源的提供方可以彼此獨立���。
[0003]作為示例�,OAuth是一種已知的支持第三方認證和授權(quán)的架構(gòu)。在OAuth架構(gòu)下�,當(dāng)用戶請求訪問特定資源時,由專門的授權(quán)服務(wù)器通過對用戶和客戶端應(yīng)用進行身份認證����,來確定是否授權(quán)對所請求資源的訪問。授權(quán)服務(wù)器獨立于提供資源的資源服務(wù)器���。如果資源訪問被授權(quán)���,則授權(quán)服務(wù)器可以向客戶端應(yīng)用提供相應(yīng)的訪問令牌(access token)??蛻舳藨?yīng)用將訪問令牌提供給資源服務(wù)器,以指示對資源的訪問請求已被授權(quán)����。資源服務(wù)器繼而向授權(quán)服務(wù)器驗證訪問令牌的有效性,并且在確認訪問令牌有效的情況下提供所請求的資源����。
[0004]然而,在現(xiàn)有的第三方認證和授權(quán)方案中�,授權(quán)服務(wù)器對于資源訪問的控制粒度不夠精細�,并且可控制的方面也是有限的����。換言之,授權(quán)服務(wù)器通常只能允許或者拒絕對特定資源的訪問�,無法對訪問過程實現(xiàn)其他控制。這可能導(dǎo)致對資源的不當(dāng)使用�、隱私泄露等各種問題�。
[0005]而且,在已知的方案中��,認證和授權(quán)方與資源的提供方之間是緊耦合的�����。換言之�,二者必須嚴格按照事先確定的協(xié)議或規(guī)則配合操作,完成對用戶身份的認證�、客戶端應(yīng)用的認證以及訪問令牌的驗證。這種緊耦合的機制導(dǎo)致認證和授權(quán)的靈活性不足���。例如�,授權(quán)服務(wù)器無法針對不同的資源和/或不同的資源所有者而執(zhí)行具有針對性的認證和授權(quán)過程�。
[0006]綜合所述�,本領(lǐng)域中需要一種更為有效地控制資源訪問的解決方案���。
【發(fā)明內(nèi)容】
[0007]為了解決上述以及其他潛在問題��,本發(fā)明提出了一種用于控制資源訪問的技術(shù)方案�。
[0008]在本發(fā)明的一個方面����,提供一種用于控制資源訪問的方法。所述方法包括:響應(yīng)于針對資源的訪問的請求����,利用第一設(shè)備確定是否授權(quán)對所述資源的所述訪問,所述資源由獨立于所述第一設(shè)備的第二設(shè)備提供�����;以及利用關(guān)于所述訪問的訪問約束來定制所述訪問令牌����,以用于控制對所述資源的所述訪問,所述訪問令牌響應(yīng)于確定授權(quán)對所述資源的所述訪問而被生成��。
[0009]在本發(fā)明的另一方面���,提供一種用于控制資源訪問的裝置��。所述裝置包括:認證單元��,被配置為響應(yīng)于針對資源的訪問的請求�,利用第一設(shè)備確定是否授權(quán)對所述資源的所述訪問,所述資源由獨立于所述第一設(shè)備的第二設(shè)備提供�����;以及令牌定制單元����,被配置為利用關(guān)于所述訪問的訪問約束來定制所述訪問令牌��,以用于控制對所述資源的所述訪問��,所述訪問令牌響應(yīng)于確定授權(quán)對所述資源的所述訪問而被生成�����。
[0010]通過下文描述將會理解���,根據(jù)本發(fā)明的實施例�,訪問令牌不僅可被用來指示允許或者拒絕資源訪問請求,而且還可以利用一個或多個訪問約束而被定制�。如下文所述,這樣的訪問約束可以基于用戶和/或資源的特性等各種因素生成����,并且可以被事先或者動態(tài)地提供給認證和授權(quán)方。以此方式��,可以借助于訪問令牌而實現(xiàn)對資源訪問的更精細粒度和更多維度的控制�����。而且����,在某些實施例中,還可以實現(xiàn)對用戶和/或客戶端應(yīng)用的定制認證����。這種自適應(yīng)的定制認證有利于進一步增強認證和授權(quán)的靈活性。本發(fā)明的其他特征和優(yōu)點將通過下文描述而變得容易理解���。
【附圖說明】
[0011]通過結(jié)合附圖對本發(fā)明示例性實施方式進行更詳細的描述�����,本發(fā)明的上述以及其它目的�、特征和優(yōu)勢將變得更加明顯其中:
[0012]圖1示出了適于用來實現(xiàn)本發(fā)明實施例的示例性計算機系統(tǒng)/服務(wù)器的示意性框圖;
[0013]圖2示出了本發(fā)明的實施例可實現(xiàn)于其中的示例性系統(tǒng)的示意性框圖;
[0014]圖3示出了根據(jù)本發(fā)明實施例的用于控制資源訪問的方法的示意性流程圖;
[0015]圖4示出了根據(jù)本發(fā)明實施例的用于供用戶指定訪問要求的用戶界面的示意圖���;
[0016]圖5示出了根據(jù)本發(fā)明實施例的用于使用訪問令牌的方法的示意性流程圖�;
[0017]圖6示出了根據(jù)本發(fā)明實施例的用于控制資源訪問的方法在OAuth架構(gòu)中的實現(xiàn)的不意圖;以及
[0018]圖7示出了根據(jù)本發(fā)明實施例的用于控制資源訪問的裝置的示意性框圖��。
[0019]在附圖中��,相同或相似的標號被用來表示相同或相似的元素����。
【具體實施方式】
[0020]下面將參照附圖更詳細地描述本公開的優(yōu)選實施方式�����。雖然附圖中顯示了本公開的優(yōu)選實施方式��,然而應(yīng)該理解�����,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施方式所限制。相反�����,提供這些實施方式是為了使本公開更加透徹和完整���,并且能夠?qū)⒈竟_的范圍完整地傳達給本領(lǐng)域的技術(shù)人員�。
[0021]圖1示出了適于用來實現(xiàn)本發(fā)明實施方式的示例性計算機系統(tǒng)/服務(wù)器12的方框圖��。圖1顯示的計算機系統(tǒng)/服務(wù)器12僅僅是一個示例��,不應(yīng)對本發(fā)明實施例的功能和使用范圍帶來任何限制�����。
[0022]如圖1所示����,計算機系統(tǒng)/服務(wù)器12以通用計算設(shè)備的形式表現(xiàn)。計算機系統(tǒng)/服務(wù)器12的組件可以包括但不限于:一個或者多個處理器或者處理單元16���,系統(tǒng)存儲器28����,連接不同系統(tǒng)組件(包括系統(tǒng)存儲器28和處理單元16)的總線18。
[0023]總線18表示幾類總線結(jié)構(gòu)中的一種或多種���,包括存儲器總線或者存儲器控制器����,外圍總線��,圖形加速端口����,處理器或者使用多種總線結(jié)構(gòu)中的任意總線結(jié)構(gòu)的局域總線。舉例來說�,這些體系結(jié)構(gòu)包括但不限于工業(yè)標準體系結(jié)構(gòu)(ISA)總線,微通道體系結(jié)構(gòu)(MAC)總線�,增強型ISA總線、視頻電子標準協(xié)會(VESA)局域總線以及外圍組件互連(PCI)總線����。
[0024]計算機系統(tǒng)/服務(wù)器12典型地包括多種計算機系統(tǒng)可讀介質(zhì)�。這些介質(zhì)可以是任何能夠被計算機系統(tǒng)/服務(wù)器12訪問的可用介質(zhì),包括易失性和非易失性介質(zhì)��,可移動的和不可移動的介質(zhì)。
[0025]系統(tǒng)存儲器28可以包括易失性存儲器形式的計算機系統(tǒng)可讀介質(zhì)�,例如隨機存取存儲器(RAM) 30和/或高速緩存存儲器32。計算機系統(tǒng)/服務(wù)器12可以進一步包括其它可移動/不可移動的�����、易失性/非易失性計算機系統(tǒng)存儲介質(zhì)�����。僅作為舉例�����,存儲系統(tǒng)34可以用于讀寫不可移動的����、非易失性磁介質(zhì)(圖1未顯示,通常稱為“硬盤驅(qū)動器”)�。盡管圖1中未示出,可以提供用于對可移動非易失性磁盤(例如“軟盤”)讀寫的磁盤驅(qū)動器����,以及對可移動非易失性光盤(例如⑶-ROM,DVD-ROM或者其它光介質(zhì))讀寫的光盤驅(qū)動器��。在這些情況下,每個驅(qū)動器可以通過一個或者多個數(shù)據(jù)介質(zhì)接口與總線18相連����。存儲器28可以包括至少一個程序產(chǎn)品,該程序產(chǎn)品具有一組(例如至少一個)程序模塊��,這些程序模塊被配置以執(zhí)行本發(fā)明各實施例的功能�。
[0026]具有一組(至少一個)程序模塊42的程序/實用工具40,可以存儲在例如存儲器28中�����,這樣的程序模塊42包括——但不限于——操作系統(tǒng)�����、一個或者多個應(yīng)用程序�、其它程序模塊以及程序數(shù)據(jù),這些示例中的每一個或某種組合中可能包括網(wǎng)絡(luò)環(huán)境的實現(xiàn)���。程序模塊42通常執(zhí)行本發(fā)明所描述的實施例中的功能和/或方法�。
[0027]計算機系統(tǒng)/服務(wù)器12也可以與一個或多個外部設(shè)備14 (例如鍵盤���、指向設(shè)備�、顯示器24等)通信��,還可與一個或者多個使得用戶能與該計算機系統(tǒng)/服務(wù)器12交互的設(shè)備通信���,和/或與使得該計算機系統(tǒng)/服務(wù)器12能與一個或多個其它計算設(shè)備進行通信的任何設(shè)備(例如網(wǎng)卡��,調(diào)制解調(diào)器等等)通信���。這種通信可以通過輸入/輸出(I/O)接口 22進行。并且�����,計算機系統(tǒng)/服務(wù)器12還可以通過網(wǎng)絡(luò)適配器20與一個或者多個網(wǎng)絡(luò)(例如局域網(wǎng)(LAN)���,廣域網(wǎng)(WAN)和/或公共網(wǎng)絡(luò)�,例如因特網(wǎng))通信����。如圖所示,網(wǎng)絡(luò)適配器20通過總線18與計算機系統(tǒng)/服務(wù)器12的其它模塊通信�。應(yīng)當(dāng)明白,盡管圖中未示出�,可以結(jié)合計算機系統(tǒng)/服務(wù)器12使用其它硬件和/或軟件模塊�����,包括但不限于:微代碼�、設(shè)備驅(qū)動器�、冗余處理單元、外部磁盤驅(qū)動陣列�����、RAID系統(tǒng)�、磁帶驅(qū)動器以及數(shù)據(jù)備份存儲系統(tǒng)等。
[0028]下面將詳細描述本