CN115918033A - 账户验证升级的***和方法 - Google Patents
账户验证升级的***和方法 Download PDFInfo
- Publication number
- CN115918033A CN115918033A CN202180040314.2A CN202180040314A CN115918033A CN 115918033 A CN115918033 A CN 115918033A CN 202180040314 A CN202180040314 A CN 202180040314A CN 115918033 A CN115918033 A CN 115918033A
- Authority
- CN
- China
- Prior art keywords
- user
- account
- credentials
- application
- single sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明描述了一种将与应用程序相关联的账户转换为使用单点登录服务的设备的方法和装置。在示例性实施方案中,该设备接收对与该账户相关联的弱密码的指示。该设备进一步发送用于验证与该设备相关联的用户的账户凭据的请求。另外,该设备接收对账户凭据的验证。该设备另外请求该账户的单点登录凭据并接收该单点登录凭据。此外,该设备将该应用程序注册单点登录服务的消息发送到与针对该应用程序的服务相关联的服务器。
Description
本申请要求于2020年6月19日提交的美国临时申请第63/041,671号和2020年6月1日提交的美国临时申请第63/033,070号以及2021年5月26日提交的美国非临时申请第17/303,291号的权益,所有这些均通过引用并入本文。
技术领域
本发明总体上涉及应用程序登录,并且更具体地涉及将应用程序登录转换为应用程序单点登录。
背景技术
单点登录服务是允许用户使用单组凭据跨一个或多个授权域登录到多个服务的服务。例如,用户可使用单个用户名和密码组合(或另一组用户凭据)来登录来自一个公司的媒体流传输服务和来自另一个公司的社交媒体帐号,即使这两个公司位于不同的授权域中。在该示例中,针对多个授权域上的多个服务提供单点登录服务允许用户仅记住用于来自多个来源的多种服务的单组凭据。通常,当用户希望登录到第一服务时(例如,第一次启动应用程序,重新登录到应用程序,通过网络接口访问服务,通过数字媒体播放器访问服务,和/或向用户呈现用于针对该服务进行认证的界面的另一种场景),向用户呈现用户界面,该用户界面显示针对该应用程序的本地登录用户界面和单点登录用户界面(例如,“与XYZ连接”)。
发明内容
描述了一种将与应用程序相关联的账户转换为使用单点登录服务的设备的方法和装置。在示例性实施方案中,该设备接收对与该账户相关联的弱密码的指示。该设备进一步发送用于验证与该设备相关联的用户的账户凭据的请求。另外,该设备接收对账户凭据的验证。该设备另外请求账户的单点登录凭据并接收该单点登录凭据。此外,该设备将该应用程序注册单点登录服务的消息发送到与针对该应用程序的服务相关联的服务器。
在另一个实施方案中,描述了一种非暂态机器可读介质,该非暂态机器可读介质具有可执行指令,该可执行指令用于使得一个或多个处理单元执行将与应用程序相关联的账户转换为使用单点登录服务的方法。在一个实施方案中,该机器可读介质方法接收对与该账户相关联的弱密码的指示。该机器可读介质方法可以进一步发送用于验证与设备相关联的用户的账户凭据的请求,并且接收对账户凭据的验证。另外,该机器可读介质方法可以请求账户的单点登录凭据并接收该单点登录凭据。此外,该机器可读介质方法可将该应用程序注册单点登录服务的消息发送到与针对该应用程序的服务相关联的服务器。
在另外的实施方案中,机器可读介质方法可以使用一组用户凭据在设备上执行本地授权,其中该组用户凭据选自包括生物特征用户凭据或用户名和密码的组。机器可读介质方法可以进一步与识别服务器协商授权令牌。另外,机器可读介质方法可以将授权令牌转发到与服务相关联的服务器。此外,机器可读介质方法可以将账户转换为使用单点登录服务。
在另一实施方案中,机器可读介质方法可以呈现第三方授权用户界面并从用户接收第三方凭据。机器可读介质方法可以进一步发送第三方凭据,其中第三方凭据得到验证。另外,机器可读介质方法可以检测使用第三方授权机制的指示。此外,单点登录服务是允许用户使用单组凭据跨一个或多个授权域登录到多个服务的服务。
在另一实施方案中,描述了一种将与应用程序相关联的账户转换为使用单点登录服务的方法。在一个实施方案中,该方法接收对与所述账户相关联的弱密码的指示。该方法可以进一步发送用于验证与设备相关联的用户的账户凭据的请求,并且接收对账户凭据的验证。另外,该方法可以请求账户的单点登录凭据并接收该单点登录凭据。此外,该方法可将该应用程序注册单点登录服务的消息发送到与针对该应用程序的服务相关联的服务器。
在另外的实施方案中,该方法可以使用一组用户凭据在设备上执行本地授权,其中该组用户凭据选自包括生物特征用户凭据或用户名和密码的组。该方法可以进一步与识别服务器协商授权令牌。另外,该方法可以将授权令牌转发到与服务相关联的服务器。此外,该方法可以将账户转换为使用单点登录服务。
在另一实施方案中,该方法可以呈现第三方授权用户界面并从用户接收第三方凭据。该方法可以进一步发送第三方凭据,其中第三方凭据得到验证。另外,该方法可以检测对使用第三方授权机制的指示。此外,单点登录服务是允许用户使用单组凭据跨一个或多个授权域登录到多个服务的服务。
还描述了其他方法和装置。
附图说明
本发明以举例的方式进行说明,并且不仅限于各个附图的图形,在附图中类似的标号指示类似的元件。
图1是将应用程序登录转换为单点登录的***的一个实施方案的图示。
图2是升级应用程序登录的过程的一个实施方案的图示。
图3是使用本地用户界面将应用程序登录转换为单点登录的流程的一个实施方案的图示。
图4是使用本地用户界面将应用程序登录转换为单点登录的过程的一个实施方案的图示。
图5是使用第三方用户界面将应用程序登录转换为单点登录的流程的一个实施方案的图示。
图6是使用第三方用户界面将应用程序登录转换为单点登录的过程的一个实施方案的图示。
图7示出了可与本文所述的实施方案一起使用的典型计算机***的一个示例。
图8示出了可与本发明的一个实施方案一起使用的数据处理***的示例。
具体实施方式
描述了一种将与应用程序相关联的账户转换为使用单点登录服务的设备的方法和装置。在以下说明中,阐述了许多具体细节,以提供对本发明的实施方案的彻底解释。然而,对于本领域的技术人员显而易见的是,本发明的实施方案可在不具有这些具体细节的情况下被实施。在其他情况下,尚未详细示出熟知的组件、结构和技术,以免模糊对本说明的理解。
在本说明书中提及“一个实施方案”或“实施方案”是指结合该实施方案描述的特定特征、结构或特性可被包括在本发明的至少一个实施方案中。在本说明书中的各个位置出现短语“在一个实施方案中”不一定都是指同一个实施方案。
在以下描述和权利要求中,可以使用术语“耦接”和“连接”及其派生词。应当理解,这些术语并非意在彼此同义。“耦接”被用于表示可能或可能不彼此直接物理或电接触的两个或更多个元件彼此合作或交互。“连接”被用于表示彼此耦接的两个或更多元件之间通信的建立。
以下附图中所示的过程由处理逻辑执行,该处理逻辑包括硬件(例如,电路、专用逻辑等)、软件(诸如在通用计算机***或专用机器上运行的软件)或两者的组合。虽然下文按照某些顺序操作来描述这些过程,但应当理解,所述的某些操作可以不同的顺序来执行。此外,某些操作也可并行执行而非按顺序执行。
术语“服务器”、“客户端”和“设备”旨在一般性地指代数据处理***,而不是具体地指代服务器、客户端和/或设备的特定形状要素。
描述了一种将与应用程序相关联的账户转换为使用单点登录服务的设备的方法和装置。在一个实施方案中,单点登录服务是允许用户使用单组凭据跨一个或多个授权域登录到多个服务的服务。例如,用户可使用单个用户名和密码组合(或另一组用户凭据)来登录来自一个公司的媒体流传输服务和来自另一个公司的社交媒体帐号,即使这两个公司位于不同的授权域中。在该实施方案中,针对多个授权域上的多个服务提供单点登录服务允许用户仅记住用于来自多个来源的多种服务的单组凭据。通常,当用户希望登录到第一服务时(例如,第一次启动应用程序,重新登录到应用程序,通过web接口访问服务,通过数字媒体播放器访问服务,和/或向用户呈现用于针对该服务进行认证的界面的另一种场景),向用户呈现用户界面,该用户界面显示针对该应用程序的本地登录用户界面和单点登录用户界面(例如,“与XYZ连接”)。
在一个实施方案中,单点登录服务允许用户使用单组凭据跨不同授权域登录不同服务,而无需共享隐私信息,除非用户明确地授权该隐私信息共享。在该实施方案中,对于单点登录服务,用户与用户标识符相关联,该用户标识符可用于认证用户并授权用户和/或用户的设备跨多个授权域使用一个或多个服务。此外,用户可控制与这些服务提供方共享哪些信息。在一个实施方案中,用户的设备组(例如,智能电话、平板计算机、膝上型计算机、数字媒体播放器和/或另一设备)中的每个设备都是可信设备。在另一个实施方案中,用户设备是可信的,因为每个设备都已使用高信任机制(诸如双因素认证)登录。例如,在一个实施方案中,可信设备是授权域知道是用户的用户设备并且可用于验证用户身份的设备。
在一个实施方案中,授权域是一个或多个服务和/或授权机构的集合,该一个或多个服务和/或授权机构允许使用该授权域的授权机构来针对由授权域提供的一个或多个服务对用户进行授权。此外,可使用这些授权机构来针对一个或多个授权服务对与用户相关联的一个或多个用户设备进行授权。在一个实施方案中,每个用户与可跨授权域使用的唯一标识符(例如,用户标识符)相关联。例如,在一个实施方案中,授权域可由用户和/或用户的设备使用以购买应用程序、购买和/或流式传输媒体、将内容存储在云存储中、访问社交媒体和/或其他类型的服务。
在一个实施方案中,单点登录服务为由用户设备上的本地应用程序提供的或跨多个授权域通过web浏览器提供的多个服务提供单点登录。这允许用户使用该用户的标识符登录不同应用程序和/或服务,而不将用户标识符(和/或其他隐私信息)暴露于不同应用程序和/或服务的开发者或提供方。
另外,并且在一个实施方案中,应用程序可以将登录过程从使用一组定制的凭据集(例如,特定的用户名和密码)的一个登录过程转换为使用单点登录的登录过程。在此实施方案中,使用单点登录过程的转换涉及将应用程序和支持应用程序的应用程序后端转换为使用单点登录过程。在一个实施方案中,应用程序和应用程序后端为具有针对服务的账户的用户提供该服务。用户要使用针对该服务的账户,用户将提供一组凭据(例如,用户名和密码,或其他某组凭据),其针对该服务识别用户并识别可用于用户的服务的特征级别。通过将该服务转换为使用单点登录,应用程序和应用程序后端可以利用单点登录授权用户该服务。
图1是将应用程序登录转换为单点登录的***的一个实施方案的图示。在图1中,***100包括耦接到应用程序后端110和身份提供商112的设备102。在一个实施方案中,设备102包括应用程序104、应用程序扩展106、密码管理器108和授权过程114。在该实施方案中,设备102可以是可执行应用程序104的任何类型的设备(例如,智能电话、膝上型计算机、个人计算机、服务器、平板计算机、可穿戴设备、车辆部件和/或可处理应用程序指令的任何类型的设备)。此外,并且在一个实施方案中,应用程序104可以是文字处理应用程序、电子表格、联系人、邮件、电话、web浏览器、媒体播放器、评论应用程序、分类广告应用程序、社交媒体和/或网络、效率、实用程序、游戏、房地产、照片、视频、电子商务、店面、优惠券、操作***和/或可以在设备上运行的任何其他类型的应用程序。另外,应用程序104可以经由针对服务的账户支持该服务,该服务可需要用户针对该应用程序104的某种凭据以启用对用户的服务。在一个实施方案中,凭据可以是服务提供商用于授权用户访问服务的用户名和密码组合或一些其他类型的凭据。在该实施方案中,通过用户使用针对该服务的凭据,应用程序104被启用以向用户提供服务。
在一个实施方案中,应用程序扩展106是经由设备102的操作***提供对应用程序104功能的访问的过程。例如,在一个实施方案中,应用程序扩展106可以向设备102上的其他应用程序或操作***特征提供功能(例如,作为桌面小程序、提供图像或媒体操纵功能、数据共享、音频处理、自定义动作和/或应用程序可以提供的任何其他类型的功能)。例如,在一个实施方案中,应用程序扩展106可以用于与应用程序后端114通信,并且将来自针对对应于应用程序的服务定制的账户用户名和密码的应用程序登录转换为通用单点登录。该单点登录服务的一个示例在于2020年5月29日提交的名称为“SYSTEMS AND METHODS OFAPPLICATION SINGLE SIGN ON”的美国专利申请第16/888,479号中示出,该专利申请以引用方式并入本文。
在一个实施方案中,应用程序扩展106可用于将来自定制的用户名和密码(或特定于针对该服务的账户的一些其他形式的凭据)的对服务的登录过程转换为跨授权域针对多个应用程序共用的单点登录机制。
在一个实施方案中,应用程序与特定身份提供商(诸如身份提供商112)相关联。例如,在一个实施方案中,如果应用程序(和对应账户)用于流媒体服务,则对应的身份提供商可以是支持该流媒体服务的身份提供商。身份提供商可以是验证各种各样的服务和/或应用程序(例如,大媒体公司、技术提供商等)的身份的身份提供商,或者验证一小部分应用程序和/或服务(例如,公司、政府、教育组织等)的身份的专业身份提供商。作为响应,应用程序扩展106可向密码管理器108请求以在设备102上呈现授权用户界面。在一个实施方案中,授权用户界面由授权过程106处理。
在一个实施方案中,授权用户界面请求用户登录以将账户转换为单点登录。响应于呈现授权用户界面,用户选择单点登录并输入用户凭据。在接收到用户凭据的情况下,授权过程114可使用作为授权过程114的一部分的认证部件和安全硬件(未示出)来执行本地认证。例如,在一个实施方案中,授权过程114传感器捕获生物特征数据并且使用安全硬件中的传感器数据来执行本地认证。例如,在一个实施方案中,生物特征传感器用于面部识别以采集数据,用于与安全硬件中的模板进行比较。在一个实施方案中,授权过程114通过执行本地认证来确定与授权过程114交互的用户是设备102已知的。在一个实施方案中,授权请求设备102不需要双因素认证,因为授权请求设备102是具有有效访问延续参数的可信设备。
如果授权过程114成功进行本地认证,则授权过程114向身份提供商112发送服务器授权请求。在一个实施方案中,服务器授权用于认证用户并授权设备102将账户转换为使用单点登录。在该实施方案中,授权过程114向具有访问延续参数的身份提供商112发送安全远程协议(SRP)请求。在一个实施方案中,基于设备的双因素认证,授权请求设备114是可信的。由于双因素认证,设备102接收访问延续参数,该访问延续参数可用于发送到身份提供商112的服务器授权请求中。在一个实施方案中,访问延续参数允许设备102访问与用户相关联的账户,而无需设备102提供用户的一组凭据。在一个实施方案中,访问延续参数在于2015年9月30日提交的名称为“Account Access Recovery System,Method andApparatus”的美国专利公布第2016/0359863号中有所描述,该专利公布以引用方式并入。响应于接收到SRP请求,身份提供商112使用所接收的凭据认证用户,并且接收包括授权代码和令牌的授权响应。在一些实施方案中,身份提供商112可提供证据证明设备102是来自特定制造商的设备102,其中可提供给应用程序的设备(例如,安全硬件、生物特征认证硬件/传感器)上存在特定安全硬件。
在另一个实施方案中,授权过程114将授权响应返回至密码管理器108。密码管理器108向应用程序扩展106发送具有单点登录凭据的登录,该应用程序扩展将单点登录凭据转发到应用程序后端110。在一个实施方案中,应用程序后端110是通过向应用程序104提供远程服务来支持应用程序的设备(或一组设备)。例如,在一个实施方案中,应用程序后端110可以为服务提供授权服务(例如,验证账户的凭据),从而启用设备102上的服务(例如,提供对社交媒体或网络的访问,提供对媒体、银行、医疗服务、政府服务和/或通过网络递送的另一类型的服务的访问)。在一个实施方案中,利用单点登录凭据,应用程序后端110可以将应用程序后端110所使用的授权过程从使用一组账户凭据转换为使用单点登录凭据。图3和图4中进一步描述了账户从一组定制凭据到单点登录凭据的转换。在另外的实施方案中,设备可以呈现第三方用户界面,该第三方用户界面用于授权将账户转换为使用单点登录凭据。图5和图6中进一步描述了使用第三方用户界面的账户从一组定制凭据到单点登录凭据的转换。
在一个实施方案中,并且除了上文图1中描述的应用程序登录过程之外,设备可以为与应用程序相关联的账户的用户名提供密码。在该实施方案中,设备可以从用户接收用户想要用设备建议的密码来更新密码的指示。在一个实施方案中,设备可以分析保存的密码以确定该密码是否为弱密码(例如,包括全字、其他账户共用的密码、具有能够易于检测的模式(例如,递增的数字或字母、遵循键盘图案的字母或数字等)的密码、具有用户或用户的亲戚或朋友的已知姓名的密码、源自用户的特性(例如,自己的生日、配偶或孩子的生日等)的密码、采用自或者源自已知受损服务(例如,黑客攻击的后果)的密码和/或其他类型的弱密码。在一个实施方案中,设备可以检测设备的密码储存库中的账户的弱保存密码,并且建议用户将密码升级到该账户的更强的设备生成的密码,或者可以将账户转换为使用单点登录机制。
图2是升级应用程序单点登录的过程200的一个实施方案的图示。在图2中,过程200通过在框202处检测到账户的弱密码或检测到用户已经针对该账户请求密码升级来开始。在一个实施方案中,弱密码可以是如上所述的弱密码。替代地,用户可以通过用户界面请求对该账户的密码升级。在框204处,过程200接收用户密码升级请求。过程200确定密码升级请求是否为针对该账户使用单点登录服务的请求。如果密码升级请求是针对该账户使用单点登录服务的请求,则执行进行到下面的框210。如果该请求不是针对该账户使用单点登录服务并且是要升级密码,则过程200在框212处生成并向用户呈现新密码。在一个实施方案中,过程200生成强密码,其中强密码是被设计成对人或程序来说很难发现的强密码。因为密码的目的是确保仅授权用户可以访问资源,所以易于猜测的密码是安全风险。强密码的基本组成部分可以包括足够的长度和字符类型的混合。如果过程200检测到在框214处用户已经接受了呈现的密码,则过程200将新密码存储在设备上的密码储存库中。如果过程200检测到用户未接受新密码,则过程200在框216处不升级当前密码。
如上所述,如果用户指示密码升级是该账户转换到单点登录,则在框210处,过程200将账户转换为单点登录。在下面的图3-图6中进一步描述了转换到单点登录。
如上文所描述,设备可以将账户从使用绑定到账户的特定组用户凭据转换到单点登录过程。图3是流程300的一个实施方案的图示,其使用本地用户界面将应用程序登录转换为单点登录。在图3中,流程300由密码管理器308检测用户交互(314A)开始。在一个实施方案中,用户可能已经触发密码自动填充,其可以向用户提议针对与应用程序相关联的账户生成强密码,或者可以向用户提议升级账户以使用单点登录机制。替代地,用户可以访问密码管理器308的用户界面并查看账户的当前凭据,其中密码管理器提示用户升级凭据。密码管理器可以进一步检查以确定凭据是否包括弱密码,并且有具有可以支持单点登录过程的应用程序扩展的域的账户是否。如果这些检查中的任一个是真(或在另一实施方案中,两个检查都是真),则密码管理器308呈现提议将账户升级为单点登录(314B)的用户界面。用户306可以选择将账户升级(314C)到用于该账户的进行单点登录的凭据。密码管理器308接收对单点登录转换的指示。
响应于密码管理器308接收到对单点登录转换的指示,密码管理器308向应用程序扩展310发送请求以将现有账户凭据升级(314D)到单点登录机制。应用程序扩展310向应用程序后端312发送请求以验证账户的现有凭据。在一个实施方案中,应用程序扩展312向应用程序后端312提供凭据。在另一实施方案中,应用程序后端312检索用应用程序后端312存储的该账户的凭据。应用程序后端312验证账户凭据并将响应(314F)发送到应用程序扩展310。如果应用程序后端312可以验证当前账户凭据,则应用程序扩展310向密码管理器308发送请求以从密码管理器308获得单点登录授权(314G)。如果应用程序后端312不能验证当前账户凭据,则流程300结束。
如果应用程序后端312验证当前账户凭据,则流程300通过密码管理器308向授权过程304发送一组标识符(314H)来继续。在一个实施方案中,该组标识符包括应用程序标识符和开发者标识符。开发者104可具有用于一个或多个应用程序的不同捆绑包的一个开发者标识符或多个开发者标识符(例如,具有大量软件工程师的实体)。授权过程向用户306请求授权同意(314I)。在一个实施方案中,授权过程304通过在设备上呈现授权用户界面来请求授权同意。作为响应,授权过程306通过用户306经由授权用户界面输入用户凭据而接收用户同意(314J),其中该用户凭据可以是面部标识符、触摸标识符、用户个人识别码和/或另一类型的用户凭据。在一个实施方案中,如上文图1所述,授权过程306呈现授权用户界面并接收用户同意。在该实施方案中,通过请求用户同意并接收用户同意,授权过程306正在执行本地认证以将用户认证为账户凭据升级过程的授权的一部分。在一个实施方案中,授权用户界面通用用户界面或至少基于可以用于多个不同应用程序的通用用户界面模板。
在另一个实施方案中,在授权过程306执行本地认证的情况下,授权过程306向身份提供商302发送单点登录请求(314K)。在一个实施方案中,服务器授权请求包括访问延续参数和应用程序的名称。在该实施方案中,服务器授权请求用于检查访问延续参数仍然有效,以生成应用程序用于授权的令牌,并且检查第三方网站被允许用于该操作(例如,与该网站的有效注册开发者相关联)。如果授权成功,则身份提供商302将针对授权的单点登录升级(314L)的授权响应返回到授权过程304。在一个实施方案中,授权响应包括访问延续参数和身份令牌。
在一个实施方案中,通过授权单点登录升级的授权响应,授权过程304将具有单点登录凭据的登录发送(314M)到密码管理器308。密码管理器308进而向应用程序扩展310发送(314N)具有单点登录凭据的登录。应用程序扩展310将单点登录凭据发送(314O)到应用程序后端312,以便将账户转换为使用单点登录凭据。如果该转换成功,则应用程序后端312将指示转换成功的响应(314P)发送到应用程序扩展。应用程序扩展310向密码管理器发送指示完成单点登录升级(314Q)的消息。密码管理器308删除账户的任何保存的凭据,因为不再需要此凭据。
图4是使用本地用户界面将应用程序登录转换为单点登录的过程400的一个实施方案的图示。在一个实施方案中,与用户交互的设备执行过程400,诸如如上面图1中的设备102。在图4中,过程400通过在框402处验证账户凭据开始。在一个实施方案中,账户凭据是应用程序可以在转换为单点登录之前使用的账户的凭据。在该实施方案中,过程400发送请求应用程序后端以验证账户凭据,并且应用程序后端发送关于账户凭据验证是否成功的响应。如果账户验证失败,则执行进行到框406,其中过程400采取替代动作。如果账户验证成功,则在框408处,过程400获得单点登录授权。在一个实施方案中,过程400向密码管理器发送对单点登录授权的请求。
过程400在框410处执行本地认证。在一个实施方案中,过程400通过向用户呈现授权用户界面来执行本地认证。在一个实施方案中,过程400使用授权用户界面向用户呈现用户单点登录授权请求并且向用户提示用户的凭据。过程400接收用户凭据,其中用户凭据可以是面部标识符、触摸标识符、用户个人识别码和/或另一类型的用户凭据。在接收到用户凭据的情况下,过程400执行本地认证。在一个实施方案中,如上文图1所述,过程400使用作为授权过程的一部分的认证部件和设备的安全硬件来执行本地认证。如果本地认证成功,则过程400在框412处与身份提供商协商授权令牌。在一个实施方案中,服务器授权请求包括访问延续参数和应用程序标识符。在该实施方案中,服务器授权请求用于检查访问延续参数仍然有效,以生成应用程序用于授权的令牌,并且检查应用程序被允许用于该操作(例如,与该应用程序的有效注册开发者相关联)。在一个实施方案中,过程400向身份提供商发送SRP请求,其中该请求用于识别用户和向身份提供商发送服务器请求的设备,并授权用户使用应用程序。例如,在一个实施方案中,如上文图1所述,过程发送服务器授权请求。此外,过程400从身份提供商接收授权令牌。过程400在框414处进一步将授权令牌转发到该请求的应用程序扩展。在一个实施方案中,应用程序使用授权令牌来授权针对该账户和/或应用程序使用单点登录。在一个实施方案中,该序列可建立与网站或与应用程序相关联的域一起使用的匿名用户标识符。对于后续请求,匿名身份令牌和授权代码存储在授权请求设备上的应用程序授权高速缓存中,并且在用户退出应用程序之前,不需要单点登录(或应用程序的另一种类型的登录)。
在框416处,过程400将账户转换为使用单点登录。在一个实施方案中,过程400通过向进行账户转换的应用程序后端发送消息来将该账户转换为使用单点登录。应用程序后端将消息发送回过程400以指示账户转换是否成功。如果账户转换成功,则过程400在框418处完成账户转换。在一个实施方案中,过程400通过删除此账户的任何保存的凭据来完成账户转换。
图5是使用第三方用户界面将应用程序登录转换为单点登录的流程500的一个实施方案的图示。在图5中,流程500由密码管理器508检测用户交互(514A)开始。在一个实施方案中,用户可能已经触发密码自动填充,其可以向用户提议针对与应用程序相关联的账户生成强密码,或者可以向用户提议升级账户以使用单点登录机制。替代地,用户可以访问密码管理器508的用户界面并查看账户的当前凭据,并且密码管理器提示用户升级凭据。密码管理器可以进一步检查以确定凭据是否包括弱密码,并且有具有可以支持单点登录过程的应用程序扩展的域的账户是否。如果这些检查中的任一个是真(或在另一实施方案中,两个检查都是真),则密码管理器508呈现提议将账户升级为单点登录(514B)的用户界面。用户506可以选择将账户升级到用于该账户的进行单点登录的凭据(514C)。密码管理器508接收对单点登录转换的指示。
响应于密码管理器508接收到对单点登录转换的指示,密码管理器508向应用程序扩展510发送请求以将现有账户凭据升级(514D)到单点登录机制。应用程序扩展510向应用程序后端512发送请求以验证账户的现有凭据。在一个实施方案中,应用程序扩展512向应用程序后端512提供凭据。在另一实施方案中,应用程序后端512检索用应用程序后端512存储的该账户的凭据。应用程序后端512验证账户凭据并将响应(514F)发送到应用程序扩展510。在一个实施方案中,响应可以包括使用用于本地认证的定制用户界面的指示。
在一个实施方案中,并且不同于图3中的流程300,流程500可以呈现用于本地认证的定制用户界面。在一个实施方案中,应用程序扩展510取消到密码管理器508的用户界面错误(514G),以便向密码管理器发信号通知需要进行进一步授权。密码管理器508看到错误后从应用程序扩展510请求第三方用户授权界面(514H)。应用程序扩展510向用户呈现第三方用户授权界面(514I)。用户进行响应,指示批准进行单点登录转换(514J),其中批准(和账户的用户凭据)返回到应用程序扩展510。应用程序扩展将账户凭据转发到应用程序后端512(514K),其中应用程序后端512验证账户凭据,并且向应用程序扩展510返回响应(514L)。
如果应用程序后端512可以验证当前账户凭据,则应用程序扩展510向密码管理器508发送请求以从密码管理器508获得单点登录授权(514M)。如果应用程序后端512不能验证当前账户凭据,则流程500结束。
如果应用程序后端512验证当前账户凭据,则流程500通过密码管理器508向授权过程504发送一组标识符(514N)来继续。在一个实施方案中,该组标识符包括应用程序标识符和开发者标识符。授权过程向用户506请求授权同意(514O)。在一个实施方案中,授权过程504通过在设备上呈现授权用户界面来请求授权同意。作为响应,授权过程506通过用户506经由授权用户界面输入用户凭据而接收用户同意(514P),其中该用户凭据可以是面部标识符、触摸标识符、用户个人识别码和/或另一类型的用户凭据。在一个实施方案中,如上文图1所述,授权过程506呈现授权用户界面并接收用户同意。在该实施方案中,通过请求用户同意并接收用户同意,授权过程506正在执行本地认证以将用户认证为账户凭据升级过程的授权的一部分。在一个实施方案中,授权用户界面通用用户界面或至少基于可以用于多个不同应用程序的通用用户界面模板。
在另一个实施方案中,在授权过程506执行本地认证的情况下,授权过程506向身份提供商502发送单点登录请求(514Q)。在一个实施方案中,服务器授权请求包括访问延续参数和应用程序的名称。在该实施方案中,服务器授权请求用于检查访问延续参数仍然有效,以生成应用程序用于授权的令牌,并且检查第三方网站被允许用于该操作(例如,与该网站的有效注册开发者相关联)。如果授权成功,则身份提供商502将针对授权的单点登录升级(514R)的授权响应返回到授权过程504。在一个实施方案中,授权响应包括访问延续参数和身份令牌。
在一个实施方案中,通过授权单点登录升级的授权响应,授权过程504将具有单点登录凭据的登录发送(514S)到密码管理器508。密码管理器508进而向应用程序扩展510发送(514T)具有单点登录凭据的登录。应用程序扩展510将单点登录凭据发送(514U)到应用程序后端512,以便将账户转换为使用单点登录凭据。如果该转换成功,则应用程序后端512将指示转换成功的响应(514V)发送到应用程序扩展。应用程序扩展510向密码管理器发送指示完成单点登录升级(514W)的消息。密码管理器508删除账户的任何保存的凭据,因为不再需要此凭据。
图6是使用第三方用户界面将应用程序登录转换600为单点登录的过程的一个实施方案的图示。在一个实施方案中,与用户交互的设备执行过程600,诸如如上面图1中的设备102。在图6中,过程600通过在框602处验证账户凭据开始。在一个实施方案中,账户凭据是应用程序可以在转换为单点登录之前使用的账户的凭据。在该实施方案中,过程600发送请求应用程序后端以验证账户凭据,并且应用程序后端发送关于账户凭据验证是否成功的响应。如果账户验证失败,则执行进行到框606,其中过程600采取替代动作。如果账户验证成功,则执行进行到下面的框610。如果账户验证失败,则执行进行到下面的框608。
在框608处,过程600执行第三方授权。在一个实施方案中,过程600执行第三方授权,因为账户凭据无效、过期或需要刷新。在一个实施方案中,过程600从应用程序扩展请求第三方用户界面并向用户呈现该第三方用户界面。用户输入适当的信息,诸如账户凭据。在一个实施方案中,第三方用户界面可以请求现有的用户凭据或附加的凭据(例如,双因素认证码或一些其他秘密信息以进一步对账户进行认证)。过程600将这些账户凭据发送到应用程序后端,其中应用程序后端验证账户凭据。如果账户凭据由应用程序后端验证,则应用程序后端向过程600发送响应。利用经验证的账户凭据,在框608处,过程600获得单点登录授权。在一个实施方案中,过程600向密码管理器发送对单点登录授权的请求。
过程600在框612处执行本地认证。在一个实施方案中,过程600通过向用户呈现授权用户界面来执行本地认证。在一个实施方案中,过程600使用授权用户界面向用户呈现用户单点登录授权请求并且向用户提示用户的凭据。过程600接收用户凭据,其中用户凭据可以是面部标识符、触摸标识符、用户个人识别码和/或另一类型的用户凭据。在接收到用户凭据的情况下,过程600执行本地认证。在一个实施方案中,如上文图1所述,过程600使用作为授权过程的一部分的认证部件和设备的安全硬件来执行本地认证。如果本地认证成功,则过程600在框614处与身份提供商协商授权令牌。在一个实施方案中,服务器授权请求包括访问延续参数和应用程序标识符。在该实施方案中,服务器授权请求用于检查访问延续参数仍然有效,以生成应用程序用于授权的令牌,并且检查应用程序被允许用于该操作(例如,与该应用程序的有效注册开发者相关联)。在一个实施方案中,过程600向身份提供商发送SRP请求,其中该请求用于识别用户和向身份提供商发送服务器请求的设备,并授权用户使用应用程序。例如,在一个实施方案中,如上文图1所述,过程发送服务器授权请求。此外,过程600从身份提供商接收授权令牌。
过程600在框616处进一步将授权令牌转发到该请求的应用程序扩展。在一个实施方案中,应用程序使用授权令牌来授权针对该账户和/或应用程序使用单点登录。在一个实施方案中,该序列可建立与网站或与应用程序相关联的域一起使用的匿名用户标识符。对于后续请求,匿名身份令牌和授权代码存储在授权请求设备上的应用程序授权高速缓存中,并且在用户退出应用程序之前,不需要单点登录(或应用程序的另一种类型的登录)。
在框618处,过程600将账户转换为使用单点登录。在一个实施方案中,过程600通过向进行账户转换的应用程序后端发送消息来将该账户转换为使用单点登录。应用程序后端将消息发送回过程600以指示账户转换是否成功。如果账户转换成功,则过程600在框620处完成账户转换。在一个实施方案中,过程600通过删除此账户的任何保存的凭据来完成账户转换。
图7示出了数据处理***700的一个示例,该数据处理***可与本发明的一个实施方案一起使用。例如,***700可被实现为包括如上面的图1所示的设备102的***。需注意,虽然图7示出了计算机***的各种部件,但是其并不旨在表示使这些部件互连的任何特定架构或方式,因为此类细节与本发明并无密切关系。还应理解,具有较少部件或可能具有较多部件的网络计算机和其他数据处理***或其他消费电子设备也可用于本发明。
如图7所示,数据处理***形式的计算机***700包括耦接到微处理器705和ROM(只读存储器)707以及易失性RAM 709和非易失性存储器711的总线703。微处理器705可包括一个或多个CPU、GPU、专用处理器和/或它们的组合。微处理器705可从存储器707、709、711检索指令并执行该指令以执行上述操作。总线703与这些各种部件互连在一起,并且还将这些部件705、707、709和711互连至显示控制器和显示设备719,以及互连至***设备诸如输入/输出(I/O)设备,该输入/输出(I/O)设备可以是鼠标、键盘、调制解调器、网络接口、打印机和本领域熟知的其他设备。通常,输入/输出设备715通过输入/输出控制器713耦接到***。易失性RAM(随机存取存储器)709通常被实现为动态RAM(DRAM),其需要连续供电以刷新或保持存储器中的数据。
海量存储装置711通常为即使在***断电后也能保持数据(例如,大量数据)的磁性硬盘驱动器或磁性光驱或光驱或DVD RAM或闪存存储器或其他类型的存储器***。通常,该海量存储装置711也将是随机存取存储器,虽然这并非是必需的。虽然图7显示海量存储装置711为直接耦接至数据处理***中的其余部件的本地设备,但应当理解,本发明可利用远离***的非易失性存储器,诸如通过网络接口(诸如调制解调器、以太网接口或无线网络)耦接至数据处理***的网络存储设备。该总线703可包括通过本领域熟知的各种桥接器、控制器和/或适配器相互连接的一个或多个总线。
图8示出了可与本发明的一个实施方案一起使用的另一个数据处理***800的示例。例如,***800可被实现为如上面图1所示的设备102。图8所示的数据处理***800包括处理***811,该处理***可以是一个或多个微处理器,或者可以是片上***集成电路,并且该***还包括用于存储数据和供处理***执行的程序的存储器801。***800还包括音频输入/输出子***805,其可包括用于例如通过扬声器和麦克风播放音乐或提供电话功能的麦克风和扬声器。
显示控制器和显示设备809为用户提供可视用户界面;这种数字界面可包括图形用户界面,当运行OS X操作***软件时,该图形用户界面与在麦金塔计算机上显示的用户界面类似,当运行iOS操作***时,该图形用户界面与在苹果iPhone上显示的用户界面类似。***800还包括用于与另一个数据处理***(诸如图13的***800)通信的一个或多个无线收发器803。无线收发器可为WLAN收发器、红外收发器、蓝牙收发器和/或无线蜂窝电话收发器。应当理解,在某些实施方案中,附加部件(未示出)也可以是***800的一部分,并且在某些实施方案中,数据处理***还可使用比图10中示出的部件更少的部件。***800还包括用于与另一个数据处理***(诸如图15的***1500)进行通信的一个或多个通信端口817。通信端口可为USB端口、火线端口、蓝牙接口等。
数据处理***800还包括一个或多个输入设备813,该输入设备被提供以允许用户向***提供输入。这些输入设备可为小键盘或键盘或触摸面板或多点触摸面板。数据处理***800还包括任选的输入/输出设备815,其可以是用于接口的连接器。应当理解,如本领域所熟知的,可使用一个或多个总线(未示出)互连各种部件。图13所示的数据处理***可以是手持式计算机或个人数字助理(PDA),或具有PDA类似功能的蜂窝电话,或包括蜂窝电话的手持式计算机,或媒体播放器(诸如iPod),或结合了这些设备的方面或功能的设备,诸如在一台设备中结合了PDA和蜂窝电话的媒体播放器或嵌入式设备或其他消费电子设备。在其他实施方案中,数据处理***800可以是网络计算机或另一个设备中的嵌入式处理设备,或具有比图13中示出的部件更少的部件或可能更多的部件的其他类型的数据处理***。
本发明的至少某些实施方案可以是数字媒体播放器的一部分,例如便携式音乐和/或视频媒体播放器,数字媒体播放器可包括呈现媒体的媒体处理***、存储媒体的存储设备,并且可以进一步包括与天线***和媒体处理***耦接的射频(RF)收发器(例如,用于蜂窝电话的RF收发器)。在某些实施方案中,存储在远程存储设备上的媒体可通过RF收发器发送到媒体播放器。例如,媒体可以是音乐或其他音频、静态图片或运动图片中的一个或多个。
便携式媒体播放器可包括媒体选择设备,例如得自Apple Inc.(Cupertino,CA)的
或iPod
媒体播放器上的点击轮(click wheel)输入设备、触摸屏输入设备、按钮设备、可移动指示输入设备或其他输入设备。可以使用媒体选择设备来选择存储在存储设备和/或远程存储设备上的媒体。在至少某些实施方案中,便携式媒体播放器可包括显示设备,该显示设备耦接到媒体处理***以显示通过输入设备选择的并且通过扬声器或耳机或者在显示设备上、或者在显示设备上且在扬声器或耳机上呈现的媒体的标题或其他指示符。在美国公布专利号7,345,671和美国公布专利号2004/0224638中描述了便携式媒体播放器的示例,所述两个专利以引用方式并入本文。
上文所述内容的部分可以利用诸如专用逻辑电路之类的逻辑电路或者利用微控制器或者其他形式的执行程序代码指令的处理核来实现。从而,可利用程序代码诸如机器可执行指令来执行上述讨论所教导的过程,该机器可执行指令使得机器执行这些指令以执行某些函数。在该上下文中,“机器”可为将中间形式(或“抽象”)指令转换为特定于处理器的指令(例如,抽象执行环境诸如“虚拟机”(例如,Java虚拟机)、解译器、公共语言运行时、高级语言虚拟机等)的机器,和/或被设置在半导体芯片(例如,利用晶体管实现的“逻辑电路”)上的电子电路,该电子电路被设计用于执行指令,该处理器诸如通用处理器和/或专用处理器。上述讨论所教导的过程也可通过(作为机器的替代或与机器结合)电子电路来执行,该电子电路被设计用于执行过程(或其一部分)而不执行程序代码。
本发明还涉及一种用于执行本文所述的操作的装置。该装置可专门构造用于所需的目的,或者可包括由存储在计算机中的计算机程序选择性地激活或重新配置的通用计算机。此类计算机程序可被存储在计算机可读存储介质中,例如但不限于任何类型的盘,包括软盘、光盘、CD-ROM和磁光盘,只读存储器(ROM)、RAM、EPROM、EEPROM、磁卡或光卡、或适用于存储电子指令的任何类型的介质,并且每一者均耦接到计算机***总线。
机器可读介质包括以机器(例如,计算机)可读形式存储或传输信息的任何机构。例如,机器可读介质包括只读存储器(“ROM”);随机存取存储器(“RAM”);磁盘存储介质;光学存储介质;闪存设备;等。
制品可用于存储程序代码。存储程序代码的制品可被实施为但不限于一个或多个存储器(例如,一个或多个闪存存储器、随机存取存储器(静态、动态或其他))、光盘、CD-ROM、DVD ROM、EPROM、EEPROM、磁卡或光卡、或适用于存储电子指令的其他类型的机器可读介质。也可借助被包含在传播介质(例如,经由通信链路(例如网络连接))中的数据信号来将程序代码从远程计算机(例如,服务器)下载到请求计算机(例如,客户端)。
已按照对计算机存储器内的数据位进行操作的算法和符号表示来呈现前面的详细描述。这些算法描述和表示是数据处理领域的技术人员所使用的工具,而这些工具也能最有效地将其工作实质传达给该领域的其他技术人员。算法在这里并通常是指导致所希望的结果的操作的自相一致的序列。这些操作是需要对物理量进行物理操纵的那些操作。通常但非必要地,这些量采用的形式为能够被存储、传递、组合、比较以及以其他方式操纵的电或磁信号。已被证明其在主要出于通用原因而将这些信号指代为位、数值、元素、符号、字符、术语、数字等时是方便的。
然而,应当牢记的是,所有这些以及类似的术语都与适当的物理量相关联,并且其只是应用于这些量的方便标签。除非另外特别说明,否则从上述讨论中显而易见的是,可以理解,在整个说明书中,使用术语诸如“检测”、“确定”、“呈现”、“重定向”、“通信”、“请求”、“发送”、“接收”、“加载”、“协商”、“返回”、“选择”等的讨论是指对计算机***或类似的电子计算设备的动作和处理,这些设备可对计算机***的寄存器和存储器内表示为物理(电子)量的数据进行操纵,并将其转换成在计算机***存储器或寄存器或其他此类信息存储、传输或显示设备中相似地表示为物理量的其他数据。
本文中所呈现的过程和显示并不固有地与任何特定计算机或其他装置相关。根据本文的教导内容,各种通用***可与程序一起使用,或者可证明其便于构造用于执行所述操作的更专用的装置。根据下文的描述,用于各种这些***的所需结构将是显而易见的。此外,本发明未参照任何特定的编程语言进行描述。应当理解,多种编程语言可用于实现如本文所述的本发明的教导内容。
前面的讨论仅描述了本发明的一些示例性实施方案。本领域的技术人员将易于从这些讨论、附图和权利要求书中认识到,可在不脱离本发明的实质和范围的情况下进行各种修改。
Claims (20)
1.一种非暂态机器可读介质,所述非暂态机器可读介质具有可执行指令,所述可执行指令用于使得一个或多个处理单元执行将与应用程序相关联的账户转换为使用单点登录服务的方法,所述方法包括:
在设备上接收对与所述账户相关联的弱密码的指示;
发送用于验证与所述设备相关联的用户的账户凭据的请求;
接收对所述账户凭据的所述验证;
请求所述账户的单点登录凭据;
接收所述单点登录凭据;以及
将所述应用程序注册所述单点登录服务的消息发送到与针对所述应用程序的服务相关联的服务器。
2.根据权利要求1所述的非暂态机器可读介质,其中对所述单点登录凭据的所述请求包括:
使用一组用户凭据在所述设备上执行本地授权。
3.根据权利要求2所述的非暂态机器可读介质,其中所述一组用户凭据选自包括生物特征用户凭据或用户名和密码的组。
4.根据权利要求1所述的非暂态机器可读介质,还包括:
与识别服务器协商授权令牌。
5.根据权利要求4所述的非暂态机器可读介质,还包括:
将所述授权令牌转发到与所述服务相关联的所述服务器。
6.根据权利要求1所述的非暂态机器可读介质,还包括:
将所述账户转换为使用所述单点登录服务。
7.根据权利要求1所述的非暂态机器可读介质,其中发送用于验证所述账户凭据的请求包括:
呈现第三方授权用户界面;
从所述用户接收第三方凭据。
8.根据权利要求7所述的非暂态机器可读介质,还包括:
发送所述第三方凭据,其中所述第三方凭据得到验证。
9.根据权利要求7所述的非暂态机器可读介质,还包括:
检测使用第三方授权机制的指示。
10.根据权利要求1所述的非暂态机器可读介质,其中单点登录服务是允许用户使用单组凭据跨一个或多个授权域登录到多个服务的服务。
11.一种将与应用程序相关联的账户转换为使用单点登录服务的方法,所述方法包括:
在设备上接收对与所述账户相关联的弱密码的指示;
发送用于验证与所述设备相关联的用户的账户凭据的请求;
接收对所述账户凭据的所述验证;
请求所述账户的单点登录凭据;
接收所述单点登录凭据;以及
将所述应用程序注册所述单点登录服务的消息发送到与针对所述应用程序的服务相关联的服务器。
12.根据权利要求11所述的方法,其中对所述单点登录凭据的所述请求包括:
使用一组用户凭据在所述设备上执行本地授权。
13.根据权利要求12所述的方法,其中所述一组用户凭据选自包括生物特征用户凭据或用户名和密码的组。
14.根据权利要求11所述的方法,还包括:
与识别服务器协商授权令牌。
15.根据权利要求14所述的方法,还包括:
将所述授权令牌转发到与所述服务相关联的所述服务器。
16.根据权利要求11所述的方法,还包括:
将所述账户转换为使用所述单点登录服务。
17.根据权利要求11所述的方法,其中发送用于验证所述账户凭据的请求包括:
呈现第三方授权用户界面;
从所述用户接收第三方凭据。
18.根据权利要求17所述的方法,还包括:
发送所述第三方凭据,其中所述第三方凭据得到验证。
19.根据权利要求17所述的方法,还包括:
检测使用第三方授权机制的指示。
20.根据权利要求11所述的方法,其中单点登录服务是允许用户使用单组凭据跨一个或多个授权域登录到多个服务的服务。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063033070P | 2020-06-01 | 2020-06-01 | |
| US63/033,070 | 2020-06-01 | ||
| US202063041671P | 2020-06-19 | 2020-06-19 | |
| US63/041,671 | 2020-06-19 | ||
| US17/303,291 | 2021-05-26 | ||
| US17/303,291 US11783022B2 (en) | 2020-06-01 | 2021-05-26 | Systems and methods of account verification upgrade |
| PCT/US2021/034463 WO2021247356A1 (en) | 2020-06-01 | 2021-05-27 | Systems and methods of account verification upgrade |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115918033A true CN115918033A (zh) | 2023-04-04 |
Family
ID=78704661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180040314.2A Pending CN115918033A (zh) | 2020-06-01 | 2021-05-27 | 账户验证升级的***和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11783022B2 (zh) |
| EP (1) | EP4158871A1 (zh) |
| KR (1) | KR20230008786A (zh) |
| CN (1) | CN115918033A (zh) |
| WO (1) | WO2021247356A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11582229B2 (en) * | 2019-06-01 | 2023-02-14 | Apple Inc. | Systems and methods of application single sign on |
| US20230082633A1 (en) * | 2021-09-13 | 2023-03-16 | Cloud Linux Software Inc. | Systems and methods for rapid password compromise evalution |
| US20230078849A1 (en) * | 2021-09-13 | 2023-03-16 | Cloud Linux Software Inc. | Systems and methods for detecting malicious entities using weak passwords for unauthorized access |
| CN115150154B (zh) * | 2022-06-30 | 2023-05-26 | 深圳希施玛数据科技有限公司 | 用户登录认证方法及相关装置 |
| US20240048992A1 (en) * | 2022-08-04 | 2024-02-08 | Capital One Services, Llc | Computer-based systems configured for adding a secondary electronic profile to a primary electronic profile and methods of use thereof |
| US11893464B1 (en) * | 2023-03-16 | 2024-02-06 | edYou | Apparatus and methods for training an educational machine-learning model |
Family Cites Families (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6668322B1 (en) | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| US7359507B2 (en) * | 2000-03-10 | 2008-04-15 | Rsa Security Inc. | Server-assisted regeneration of a strong secret from a weak secret |
| US6826609B1 (en) | 2000-03-31 | 2004-11-30 | Tumbleweed Communications Corp. | Policy enforcement in a secure data file delivery system |
| JP2002281089A (ja) | 2001-03-22 | 2002-09-27 | Sanyo Electric Co Ltd | サービス情報提供システム |
| US7345671B2 (en) | 2001-10-22 | 2008-03-18 | Apple Inc. | Method and apparatus for use of rotational user inputs |
| EP1508236B1 (en) | 2002-05-24 | 2007-07-11 | Telefonaktiebolaget LM Ericsson (publ) | Method for authenticating a user to a service of a service provider |
| US7426642B2 (en) * | 2002-11-14 | 2008-09-16 | International Business Machines Corporation | Integrating legacy application/data access with single sign-on in a distributed computing environment |
| US7660880B2 (en) * | 2003-03-21 | 2010-02-09 | Imprivata, Inc. | System and method for automated login |
| US7627343B2 (en) | 2003-04-25 | 2009-12-01 | Apple Inc. | Media player system |
| EP1675327B1 (en) | 2003-10-17 | 2013-01-02 | Nippon Telegraph And Telephone Corporation | Mail distribution system, mail distribution method, and mail distribution program |
| US20050198173A1 (en) | 2004-01-02 | 2005-09-08 | Evans Alexander W. | System and method for controlling receipt of electronic messages |
| US7581245B2 (en) | 2004-03-05 | 2009-08-25 | Sap Ag | Technique for evaluating computer system passwords |
| US7784092B2 (en) | 2005-03-25 | 2010-08-24 | AT&T Intellectual I, L.P. | System and method of locating identity providers in a data network |
| US20060218025A1 (en) | 2005-03-28 | 2006-09-28 | Miller John M | Variable pricing module |
| US9582802B2 (en) | 2005-10-07 | 2017-02-28 | Kemesa, Inc. | Identity theft and fraud protection system and method |
| US8996857B1 (en) * | 2006-06-05 | 2015-03-31 | Thomson Financial Llc | Single sign-on method in multi-application framework |
| US20070299920A1 (en) | 2006-06-27 | 2007-12-27 | Crespo Arturo E | Anonymous Email Address Management |
| US8014756B1 (en) | 2007-02-28 | 2011-09-06 | Intuit Inc. | Mobile authorization service |
| US8689001B1 (en) * | 2007-06-29 | 2014-04-01 | Symantec Corporation | Method and system for protecting user identification information |
| US20140046792A1 (en) | 2007-12-21 | 2014-02-13 | Venkat Ganesan | Method for coordinating messaging between motivated buyers and listed sellers |
| EP2107757A1 (en) | 2008-03-31 | 2009-10-07 | British Telecommunications Public Limited Company | Identity management |
| US20100043065A1 (en) * | 2008-08-12 | 2010-02-18 | International Business Machines Corporation | Single sign-on for web applications |
| US8763102B2 (en) * | 2008-09-19 | 2014-06-24 | Hewlett-Packard Development Company, L.P. | Single sign on infrastructure |
| US8505084B2 (en) | 2009-04-06 | 2013-08-06 | Microsoft Corporation | Data access programming model for occasionally connected applications |
| US20110010425A1 (en) | 2009-07-13 | 2011-01-13 | VOXopolis Inc. | Techniques for enabling anonymous interactive communication |
| US20120102326A1 (en) | 2010-05-13 | 2012-04-26 | Nikhil Sanjay Palekar | Facilitating Secure Communications |
| US9323915B2 (en) | 2010-12-08 | 2016-04-26 | Verizon Patent And Licensing Inc. | Extended security for wireless device handset authentication |
| US9237142B2 (en) | 2011-01-07 | 2016-01-12 | Interdigital Patent Holdings, Inc. | Client and server group SSO with local openID |
| US9183361B2 (en) | 2011-09-12 | 2015-11-10 | Microsoft Technology Licensing, Llc | Resource access authorization |
| EP2575315A1 (en) | 2011-09-30 | 2013-04-03 | British Telecommunications Public Limited Company | Controlled access |
| US8806196B2 (en) | 2011-11-04 | 2014-08-12 | Motorola Solutions, Inc. | Method and apparatus for authenticating a digital certificate status and authorization credentials |
| US8819795B2 (en) * | 2012-02-01 | 2014-08-26 | Amazon Technologies, Inc. | Presenting managed security credentials to network sites |
| GB2503704A (en) | 2012-07-05 | 2014-01-08 | Ibm | Adaptive communication anonymization |
| US9203829B1 (en) * | 2012-07-18 | 2015-12-01 | Google Inc. | Unified user login |
| US9268933B2 (en) | 2012-08-22 | 2016-02-23 | Mcafee, Inc. | Privacy broker |
| US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| US20140189839A1 (en) | 2012-12-31 | 2014-07-03 | Michal Jezek | Single sign-on methods and apparatus therefor |
| US9438598B2 (en) | 2013-02-15 | 2016-09-06 | Verizon Patent And Licensing Inc. | Securely updating information identifying services accessible via keys |
| WO2014130726A1 (en) | 2013-02-20 | 2014-08-28 | Star Appz Inc. | Subscription service of apps in the mobile market |
| WO2015039117A1 (en) | 2013-09-16 | 2015-03-19 | Sonavation, Inc. | System for verifying an identity of a card holder |
| US10243945B1 (en) * | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
| US9792426B1 (en) | 2014-01-30 | 2017-10-17 | Dell Software Inc. | System and method for providing anonymous access to shared resources |
| US9756000B1 (en) | 2014-05-16 | 2017-09-05 | Groupon, Inc. | Obfuscation of email addresses |
| JP6418802B2 (ja) | 2014-06-17 | 2018-11-07 | 秀年 原 | 送信元の電子メールアドレスを匿名化して受信することができ、受信した電子メールに、秘匿したプライベートな電子メールアドレスから返信することを可能としたメール中継システム |
| US9935788B2 (en) | 2015-02-11 | 2018-04-03 | Dell Products L.P. | Pluggable authentication and authorization |
| KR102426417B1 (ko) | 2015-02-17 | 2022-08-01 | 삼성전자주식회사 | 인증 처리 방법 및 이를 지원하는 전자 장치 |
| US10701067B1 (en) | 2015-04-24 | 2020-06-30 | Microstrategy Incorporated | Credential management using wearable devices |
| US10498738B2 (en) | 2015-06-07 | 2019-12-03 | Apple Inc. | Account access recovery system, method and apparatus |
| US11057364B2 (en) * | 2015-06-15 | 2021-07-06 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10171447B2 (en) * | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
| US10171448B2 (en) | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
| US9769103B2 (en) | 2015-06-26 | 2017-09-19 | Facebook, Inc. | Enabling an online system user to access a third party application without installing the third party application |
| DK179186B1 (en) | 2016-05-19 | 2018-01-15 | Apple Inc | REMOTE AUTHORIZATION TO CONTINUE WITH AN ACTION |
| US20180091490A1 (en) | 2016-09-23 | 2018-03-29 | Apple Inc. | Authentication framework for a client of a remote database |
| US10218691B2 (en) | 2016-11-30 | 2019-02-26 | Airwatch Llc | Single sign-on framework for browser-based applications and native applications |
| JP6971597B2 (ja) | 2017-03-10 | 2021-11-24 | キヤノン株式会社 | 情報処理装置、表示制御方法、及びプログラム |
| US10523652B2 (en) | 2017-03-29 | 2019-12-31 | Ca, Inc. | Secure identity sharing using a wearable device |
| US11616771B2 (en) | 2017-08-18 | 2023-03-28 | Transform Sr Brands Llc | Application user single sign-on |
| JP6643373B2 (ja) | 2018-02-09 | 2020-02-12 | キヤノン株式会社 | 情報処理システムと、その制御方法とプログラム |
| US20190297089A1 (en) | 2018-03-26 | 2019-09-26 | Steven Mark Bryant | On Premises Peer to Peer Credential Validation System and Method of Operation |
| US11057366B2 (en) | 2018-08-21 | 2021-07-06 | HYPR Corp. | Federated identity management with decentralized computing platforms |
| US20220086158A1 (en) | 2018-08-21 | 2022-03-17 | Viruthagiri Thirumavalavan | Domain-based isolated mailboxes |
| US11399021B2 (en) * | 2018-10-31 | 2022-07-26 | SpyCloud, Inc. | Filtering passwords based on a plurality of criteria |
| US10992665B2 (en) | 2018-10-31 | 2021-04-27 | Rsa Security Llc | User authentication using biometric representation of one-time passcodes |
| US20200153814A1 (en) | 2018-11-08 | 2020-05-14 | International Business Machines Corporation | Method for authentication with identity providers |
| US11582229B2 (en) | 2019-06-01 | 2023-02-14 | Apple Inc. | Systems and methods of application single sign on |
| US11290464B2 (en) | 2019-12-18 | 2022-03-29 | Voya Services Company | Systems and methods for adaptive step-up authentication |
| US11601419B2 (en) * | 2020-06-21 | 2023-03-07 | Apple Inc. | User interfaces for accessing an account |
-
2021
- 2021-05-26 US US17/303,291 patent/US11783022B2/en active Active
- 2021-05-27 CN CN202180040314.2A patent/CN115918033A/zh active Pending
- 2021-05-27 WO PCT/US2021/034463 patent/WO2021247356A1/en unknown
- 2021-05-27 EP EP21733339.2A patent/EP4158871A1/en active Pending
- 2021-05-27 KR KR1020227042592A patent/KR20230008786A/ko not_active Application Discontinuation
-
2023
- 2023-09-05 US US18/461,322 patent/US20240028689A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20240028689A1 (en) | 2024-01-25 |
| KR20230008786A (ko) | 2023-01-16 |
| US20210374226A1 (en) | 2021-12-02 |
| WO2021247356A1 (en) | 2021-12-09 |
| US11783022B2 (en) | 2023-10-10 |
| EP4158871A1 (en) | 2023-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11783022B2 (en) | Systems and methods of account verification upgrade | |
| US9602492B2 (en) | Privacy enhanced key management for a web service provider using a converged security engine | |
| US7085840B2 (en) | Enhanced quality of identification in a data communications network | |
| US7275260B2 (en) | Enhanced privacy protection in identification in a data communications network | |
| US7496751B2 (en) | Privacy and identification in a data communications network | |
| JP5049127B2 (ja) | アクセス有効化用の携帯装置 | |
| JP4733167B2 (ja) | 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム | |
| US20160127352A1 (en) | Step-up authentication for single sign-on | |
| US12041174B2 (en) | Method and system for authenticating a secure credential transfer to a device | |
| US20200382455A1 (en) | Systems and methods of an anonymous email relay | |
| KR20040049272A (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| KR20120126084A (ko) | 개인 휴대형 보안 네트워크 액세스 시스템 | |
| US11895111B2 (en) | Systems and methods of application single sign on | |
| US20070056024A1 (en) | Method for remote server login | |
| US20200380108A1 (en) | Systems and methods for proximity single sign-on | |
| US11689923B2 (en) | Method and system for generating a secure one-time passcode using strong authentication | |
| JP5078675B2 (ja) | 会員認証システム及び携帯端末装置 | |
| US12047777B2 (en) | Method and system for generating a secure one-time passcode using strong authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |