CN117544378A - 一种授权管理方法、装置、设备及存储介质 - Google Patents
一种授权管理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117544378A CN117544378A CN202311563580.0A CN202311563580A CN117544378A CN 117544378 A CN117544378 A CN 117544378A CN 202311563580 A CN202311563580 A CN 202311563580A CN 117544378 A CN117544378 A CN 117544378A
- Authority
- CN
- China
- Prior art keywords
- authorization
- client
- access
- resource
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 172
- 238000007726 management method Methods 0.000 title claims abstract description 39
- 238000012795 verification Methods 0.000 claims abstract description 34
- 238000000034 method Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 20
- 230000004044 response Effects 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 10
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种授权管理方法、装置、设备及存储介质,接收客户端通过第三方应用发出的授权访问请求,授权访问请求包括授权范围和授权码,对授权范围和授权码进行验证,在验证通过时,向客户端发送访问令牌,响应于客户端通过第三方应用发出的携带有访问令牌的资源访问请求,将资源访问请求导向资源服务器中授权范围内的资源。本发明实施例在对客户端发放访问令牌之前,对客户端的访问范围进行验证,在客户端的请求访问范围超出预设的访问范围时,拒绝向客户端发送访问令牌,客户端无法通过第三方应用访问资源服务器。在验证通过后,客户端可以获取访问范围内的资源,提高资源的安全性,避免资源被滥用。
Description
技术领域
本发明涉及通信技术,尤其涉及一种授权管理方法、装置、设备及存储介质。
背景技术
随着互联网的发展,越来越多的资源平台开放其应用程序接口(ApplicationProgramming Interface,API)供第三方应用(application,APP)调用。为了保证API被合法的APP调用,通常会有认证服务器向API调用者提供对应的APP标识(Identity,简称ID)和令牌(Token)。在API调用者向资源平台发送访问请求时,API调用者验证令牌通过后,即可允许第三方应用访问资源平台的资源。
但是,现有的授权管理方式无法控制第三方应用的权限范围,可能导致敏感信息泄露等安全问题。
发明内容
本发明提供一种授权管理方法、装置、设备及存储介质,以实现对客户端的访问范围进行验证,提高资源的安全性,避免资源被滥用。
第一方面,本发明提供了一种授权管理方法,应用于授权服务器,包括:
接收客户端通过第三方应用发出的授权访问请求,所述授权访问请求包括授权范围和授权码;
对所述授权范围和所述授权码进行验证;
在验证通过时,向所述客户端发送访问令牌;
响应于所述客户端通过所述第三方应用发出的携带有所述访问令牌的资源访问请求,将所述资源访问请求导向资源服务器中所述授权范围内的资源。
可选的,在接收客户端通过第三方应用发出的授权访问请求之前,还包括:
响应于客户端通过第三方应用发出的访问请求,向资源拥有者发送授权引导;
接收所述资源拥有者响应于所述授权引导发出的授权范围和授权码,并将所述授权范围和所述授权码转发给所述客户端。
可选的,所述授权访问请求还包括所述客户端的身份标识,在对所述授权范围和所述授权码进行验证时,还包括:
对所述客户端的身份标识进行验证。
可选的,所述授权访问请求还包括访问账号和访问密码,在对所述授权范围和所述授权码进行验证时,还包括:
对所述访问账号和所述访问密码进行验证。
可选的,向所述客户端发送访问令牌之后,还包括:
向所述客户端发送刷新令牌;
在所述访问令牌有效期到期前,响应于所述客户端发送的携带有所述刷新令牌的刷新请求,刷新所述访问令牌,并发送给所述客户端。
可选的,在验证通过时,向所述客户端发送访问令牌时,还包括:
采用非对称加密算法生成公钥和私钥,并将所述私钥发送给所述客户端。
可选的,所述访问令牌携带有采用所述私钥加密的数字签名,响应于所述客户端通过所述第三方应用发出的携带有所述访问令牌的资源访问请求,将所述资源访问请求导向资源服务器中所述授权范围内的资源,包括:
在所述资源服务器缺少所述授权服务器的配置信息时,响应于所述资源服务器发出的配置信息获取请求,向所述资源服务器发送配置信息,所述资源服务器从所述配置信息读取公钥,并利用所述公钥对所述数字签名进行验证,在验证通过后,允许所述客户端访问所述授权范围内的资源。
第二方面,本发明还提供了一种授权管理装置,应用于授权服务器,包括:
授权访问请求接收模块,用于接收客户端通过第三方应用发出的授权访问请求,所述授权访问请求包括授权范围和授权码;
验证模块,用于对所述授权范围和所述授权码进行验证;
令牌颁发模块,用于在验证通过时,向所述客户端发送访问令牌;
资源导向模块,用于响应于所述客户端通过所述第三方应用发出的携带有所述访问令牌的资源访问请求,将所述资源访问请求导向资源服务器中所述授权范围内的资源。
第三方面,本发明还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明第一方面提供的所述的授权管理方法。
第四方面,本发明还还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明第一方面提供的所述的授权管理方法。
本发明实施例提供的授权管理方法,应用于授权服务器,方法包括:接收客户端通过第三方应用发出的授权访问请求,授权访问请求包括授权范围和授权码,对授权范围和授权码进行验证,在验证通过时,向客户端发送访问令牌,响应于客户端通过第三方应用发出的携带有访问令牌的资源访问请求,将资源访问请求导向资源服务器中授权范围内的资源。本发明实施例在对客户端发放访问令牌之前,对客户端的访问范围进行验证,在客户端的请求访问范围超出预设的访问范围时,拒绝向客户端发送访问令牌,客户端无法通过第三方应用访问资源服务器。在验证通过后,客户端可以获取访问范围内的资源,提高资源的安全性,避免资源被滥用。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种授权管理方法的流程图;
图2为本发明实施例提供的一种授权关系***的结构示意图;
图3为本发明实施例提供的一种授权管理装置的结构示意图;
图4为本发明实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1为本发明实施例提供的一种授权管理方法的流程图,本实施例可适用于对第三方应用的访问进行授权管理的情况,该方法可以由本发明实施例提供的授权管理装置来执行,该装置可以由软件和/或硬件的方式实现,通常配置于电子设备中,如图1所示,授权管理方法具体包括如下步骤:
S101、接收客户端通过第三方应用发出的授权访问请求,授权访问请求包括授权范围和授权码。
图2为本发明实施例提供的一种授权关系***的结构示意图,如图2所示,在本发明实施例中,客户端通过第三方应用向授权服务器发送授权访问请求,授权访问请求包括授权范围和授权码。其中,授权范围和授权码为资源拥有者预先授予给客户端的。授权范围限定了客户端能够访问资源服务器中的资源范围,授权码对客户端的访问进行授权,允许客户端访问资源服务器。第三方应用是针对某种软件或应用在功能上的不足,而由非软件编制方的其他组织或个人开发的相关软件。在本发明实施例中,第三方应用为非资源拥有者提供的应用。客户端可以是用户使用的智能终端,例如,移动终端、个人计算机等,本发明实施例在此不做限定。授权服务器即资源拥有者专门用来处理认证授权的服务器,授权服务器可以Open Authorization协议,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。资源服务器即服务提供商存放用户生成的资源的服务器。它与授权服务器,可以是同一台服务器,也可以是不同的服务器,本发明实施例在此不做限定。
示例性的,在本发明的一些实施例中,在接收客户端通过第三方应用发出的授权访问请求之前,客户端通过第三方应用向授权服务器发出访问请求,授权服务器响应于客户端通过第三方应用发出的访问请求,向资源拥有者发送授权引导,引导资源拥有者对客户端进行授权,确定授权范围,并生成授权码,并将授权范围和授权码返回给授权服务器。授权服务器接收资源拥有者响应于授权引导发出的授权范围和授权码,并将授权范围和授权码转发给客户端。
S102、对授权范围和授权码进行验证。
示例性的,在本发明的一些实施例中,授权服务器在接收到授权访问请求之后,对授权范围和授权码进行验证。
示例性的,在本发明的一些实施例中,授权访问请求还包括客户端的唯一身份标识(例如,客户端的物理地址),在对授权范围和授权码进行验证时,还包括:对客户端的身份标识进行验证,确保客户端是被允许访问的设备。
示例性的,在本发明的一些实施例中,授权访问请求还包括访问账号和访问密码,用户在客户端输入访问账号和访问密码进行登录。在对授权范围和授权码进行验证时,还包括:对访问账号和访问密码进行验证,确保当前访问的用户具备资源访问权限。
S103、在验证通过时,向客户端发送访问令牌。
在授权范围和授权码验证通过时,向客户端发送访问令牌(Token)。在授权范围或授权码验证不通过时,拒绝向客户端发送访问令牌,客户端无法通过第三方应用访问资源服务器。授权范围或授权码验证不通过可以是客户端的请求授权范围超出了客户端预设的访问范围,或授权码错误。
示例性的,在本发明的一些实施例中,在授权范围和授权码验证通过,且客户端的身份标识验证通过时,向客户端发送访问令牌(Token)。
示例性的,在本发明的一些实施例中,在授权范围和授权码验证通过,且访问账号和访问密码校验通过时,向客户端发送访问令牌(Token)。
示例性的,在本发明的一些实施例中,在授权范围和授权码验证通过,且客户端的身份标识验证通过,访问账号和访问密码校验通过时,向客户端发送访问令牌(Token)。
示例性的,在本发明的一些实施例中,在验证通过时,向客户端发送访问令牌时,可以采用非对称加密方式对访问令牌进行数字签名。示例性的,授权服务器采用非对称加密算法计算生成一对秘钥,即公钥和私钥,并将私钥发送给客户端。客户端在接收到访问令牌后,可以利用私钥对访问令牌进行数字签名。
本发明实施例通过对客户端发出的授权访问请求进行多重验证,提高了安全性。
S104、响应于客户端通过第三方应用发出的携带有访问令牌的资源访问请求,将资源访问请求导向资源服务器中授权范围内的资源。
示例性的,在本发明实施例中,客户端在获取到访问令牌后,向授权服务器发送携带有访问令牌的资源访问请求,其中,资源访问请求包括客户端待访问的资源的统一资源标识符(Uniform Resource Identifier,URI),统一资源标识符用于标识某一互联网资源名称的字符串。授权服务器响应于客户端通过第三方应用发出的携带有访问令牌的资源访问请求,对访问令牌进行验证,在验证通过后,将资源访问请求导向资源服务器中授权范围内的资源,示例性的,将资源访问请求导向统一资源标识符指向的资源,实现对该资源的访问。
示例性的,在本发明的一些实施例中,在对访问令牌进行验证过程中,资源服务器会根据访问令牌的令牌ID(Key ID)从本地缓存中检查是否存在授权服务器的配置信息,其中,配置信息包括授权服务器生成的公钥。若资源服务器的本地缓存中已经存在授权服务器的配置信息,则资源服务器从配置信息读取公钥,并利用公钥对数字签名进行验证,放置访问令牌被篡改,在验证通过后,允许客户端访问授权范围内的资源,示例性的,将资源访问请求导向统一资源标识符指向的资源,实现对该资源的访问;若资源服务器的本地缓存中不存在授权服务器的配置信息,则资源服务器向授权服务器发送配置信息获取请求,授权服务器响应于资源服务器发出的配置信息获取请求,向资源服务器发送配置信息,资源服务器将配置信息存储到本地,并从配置信息读取公钥,并利用公钥对数字签名进行验证,在验证通过后,允许客户端访问授权范围内的资源,示例性的,将资源访问请求导向统一资源标识符指向的资源,实现对该资源的访问。
在本发明的一些实施例中,为了保证访问令牌不被篡改,提高资源的安全性,可以设定访问令牌的有效期,例如,访问令牌的有效期为一个月,有效期过后,访问令牌则失效,客户端需要重新申请一个新的访问令牌。为了避免用户频繁申请访问令牌导致的体验差的问题,授权服务器在颁发访问令牌的同时,还想客户端发送一个用户获取新的访问令牌的刷新令牌。在访问令牌的有效期快到期前,用户可以通过客户端向授权服务器发送携带有刷新令牌的刷新请求,授权服务器响应于该刷新请求,刷新访问令牌,并发送给客户端,如此,可以无需重新申请访问令牌。在本发明的其他实施例中,在刷新访问令牌时,若客户端正在访问资源服务器,则将更新后的访问令牌发送给客户端,避免访问中断。当然,在本发明的其他实施例中,在刷新访问令牌时,若客户端正在访问资源服务器,可以默认当前访问所使用的访问令牌仍然有效,在客户退出登录或访问中断时,当前访问所使用的访问令牌失效,下次访问时,需要重新申请新的访问令牌。在刷新访问令牌时,若客户端与资源服务器断开连接,则客户端下次访问资源服务器时,重新执行接收客户端通过第三方应用发出的授权访问请求的步骤,重新申请新的访问令牌。
本发明实施例提供的授权管理方法,应用于授权服务器,方法包括:接收客户端通过第三方应用发出的授权访问请求,授权访问请求包括授权范围和授权码,对授权范围和授权码进行验证,在验证通过时,向客户端发送访问令牌,响应于客户端通过第三方应用发出的携带有访问令牌的资源访问请求,将资源访问请求导向资源服务器中授权范围内的资源。本发明实施例在对客户端发放访问令牌之前,对客户端的访问范围进行验证,在客户端的请求访问范围超出预设的访问范围时,拒绝向客户端发送访问令牌,客户端无法通过第三方应用访问资源服务器。在验证通过后,客户端可以获取访问范围内的资源,提高资源的安全性,避免资源被滥用。
图3为本发明实施例提供的一种授权管理装置的结构示意图,应用于授权服务器,如图3所示,授权管理装置包括:
授权访问请求接收模块201,用于接收客户端通过第三方应用发出的授权访问请求,所述授权访问请求包括授权范围和授权码;
验证模块202,用于对所述授权范围和所述授权码进行验证;
令牌颁发模块203,用于在验证通过时,向所述客户端发送访问令牌;
资源导向模块204,用于响应于所述客户端通过所述第三方应用发出的携带有所述访问令牌的资源访问请求,将所述资源访问请求导向资源服务器中所述授权范围内的资源。
在本发明的一些实施例中,授权管理装置还包括:授权引导模块,用于在接收客户端通过第三方应用发出的授权访问请求之前,响应于客户端通过第三方应用发出的访问请求,向资源拥有者发送授权引导;
转达模块,用于接收所述资源拥有者响应于所述授权引导发出的授权范围和授权码,并将所述授权范围和所述授权码转发给所述客户端。
在本发明的一些实施例中,验证模块202还包括:
客户端验证子模块,用于对所述客户端的身份标识进行验证。
在本发明的一些实施例中,验证模块202还包括:
账密验证子模块,用于对所述访问账号和所述访问密码进行验证。
在本发明的一些实施例中,授权管理装置还包括:
刷新令牌发送模块,用于在向所述客户端发送访问令牌之后,向所述客户端发送刷新令牌;
令牌刷新模块,用于在所述访问令牌有效期到期前,响应于所述客户端发送的携带有所述刷新令牌的刷新请求,刷新所述访问令牌,并发送给所述客户端。
在本发明的一些实施例中,令牌颁发模块203还包括:
秘钥生成子模块,用于采用非对称加密算法生成公钥和私钥,并将所述私钥发送给所述客户端。
在本发明的一些实施例中,所述访问令牌携带有采用所述私钥加密的数字签名,资源导向模块204包括:
配置信息发送子模块,用于在所述资源服务器缺少所述授权服务器的配置信息时,响应于所述资源服务器发出的配置信息获取请求,向所述资源服务器发送配置信息,所述资源服务器从所述配置信息读取公钥,并利用所述公钥对所述数字签名进行验证,在验证通过后,允许所述客户端访问所述授权范围内的资源。
上述授权管理装置可执行本发明前述实施例所提供的授权管理方法,具备执行授权管理方法相应的功能模块和有益效果。
图4为本发明实施例提供的一种电子设备的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图4所示,电子设备包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如授权管理方法。
在一些实施例中,授权管理方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的授权管理方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行授权管理方法。
本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的***和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
本发明实施例还提供了一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现如本申请任意实施例所提供的授权管理方法。
计算机程序产品在实现的过程中,可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种授权管理方法,其特征在于,应用于授权服务器,包括:
接收客户端通过第三方应用发出的授权访问请求,所述授权访问请求包括授权范围和授权码;
对所述授权范围和所述授权码进行验证;
在验证通过时,向所述客户端发送访问令牌;
响应于所述客户端通过所述第三方应用发出的携带有所述访问令牌的资源访问请求,将所述资源访问请求导向资源服务器中所述授权范围内的资源。
2.根据权利要求1所述的授权管理方法,其特征在于,在接收客户端通过第三方应用发出的授权访问请求之前,还包括:
响应于客户端通过第三方应用发出的访问请求,向资源拥有者发送授权引导;
接收所述资源拥有者响应于所述授权引导发出的授权范围和授权码,并将所述授权范围和所述授权码转发给所述客户端。
3.根据权利要求1所述的授权管理方法,其特征在于,所述授权访问请求还包括所述客户端的身份标识,在对所述授权范围和所述授权码进行验证时,还包括:
对所述客户端的身份标识进行验证。
4.根据权利要求1所述的授权管理方法,其特征在于,所述授权访问请求还包括访问账号和访问密码,在对所述授权范围和所述授权码进行验证时,还包括:
对所述访问账号和所述访问密码进行验证。
5.根据权利要求1-4任一所述的授权管理方法,其特征在于,向所述客户端发送访问令牌之后,还包括:
向所述客户端发送刷新令牌;
在所述访问令牌有效期到期前,响应于所述客户端发送的携带有所述刷新令牌的刷新请求,刷新所述访问令牌,并发送给所述客户端。
6.根据权利要求1-4任一所述的授权管理方法,其特征在于,在验证通过时,向所述客户端发送访问令牌时,还包括:
采用非对称加密算法生成公钥和私钥,并将所述私钥发送给所述客户端。
7.根据权利要求6所述的授权管理方法,其特征在于,所述访问令牌携带有采用所述私钥加密的数字签名,响应于所述客户端通过所述第三方应用发出的携带有所述访问令牌的资源访问请求,将所述资源访问请求导向资源服务器中所述授权范围内的资源,包括:
在所述资源服务器缺少所述授权服务器的配置信息时,响应于所述资源服务器发出的配置信息获取请求,向所述资源服务器发送配置信息,所述资源服务器从所述配置信息读取公钥,并利用所述公钥对所述数字签名进行验证,在验证通过后,允许所述客户端访问所述授权范围内的资源。
8.一种授权管理装置,其特征在于,应用于授权服务器,包括:
授权访问请求接收模块,用于接收客户端通过第三方应用发出的授权访问请求,所述授权访问请求包括授权范围和授权码;
验证模块,用于对所述授权范围和所述授权码进行验证;
令牌颁发模块,用于在验证通过时,向所述客户端发送访问令牌;
资源导向模块,用于响应于所述客户端通过所述第三方应用发出的携带有所述访问令牌的资源访问请求,将所述资源访问请求导向资源服务器中所述授权范围内的资源。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7任一所述的授权管理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7任一所述的授权管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311563580.0A CN117544378A (zh) | 2023-11-21 | 2023-11-21 | 一种授权管理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311563580.0A CN117544378A (zh) | 2023-11-21 | 2023-11-21 | 一种授权管理方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117544378A true CN117544378A (zh) | 2024-02-09 |
Family
ID=89793427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311563580.0A Pending CN117544378A (zh) | 2023-11-21 | 2023-11-21 | 一种授权管理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117544378A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664933A (zh) * | 2012-04-06 | 2012-09-12 | 中国联合网络通信集团有限公司 | 用户授权方法、应用终端、开放平台和*** |
| CN106973041A (zh) * | 2017-03-02 | 2017-07-21 | 飞天诚信科技股份有限公司 | 一种颁发身份认证凭据的方法、***及认证服务器 |
| CN111131242A (zh) * | 2019-12-24 | 2020-05-08 | 北京格林威尔科技发展有限公司 | 一种权限控制方法、装置和*** |
| CN113645247A (zh) * | 2021-08-17 | 2021-11-12 | 武汉众邦银行股份有限公司 | 一种基于http协议的权限认证控制方法及存储介质 |
| CN116980163A (zh) * | 2022-11-25 | 2023-10-31 | 腾讯科技(深圳)有限公司 | 基于可信执行环境的数据处理方法、装置、设备及介质 |
-
2023
- 2023-11-21 CN CN202311563580.0A patent/CN117544378A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664933A (zh) * | 2012-04-06 | 2012-09-12 | 中国联合网络通信集团有限公司 | 用户授权方法、应用终端、开放平台和*** |
| CN106973041A (zh) * | 2017-03-02 | 2017-07-21 | 飞天诚信科技股份有限公司 | 一种颁发身份认证凭据的方法、***及认证服务器 |
| CN111131242A (zh) * | 2019-12-24 | 2020-05-08 | 北京格林威尔科技发展有限公司 | 一种权限控制方法、装置和*** |
| CN113645247A (zh) * | 2021-08-17 | 2021-11-12 | 武汉众邦银行股份有限公司 | 一种基于http协议的权限认证控制方法及存储介质 |
| CN116980163A (zh) * | 2022-11-25 | 2023-10-31 | 腾讯科技(深圳)有限公司 | 基于可信执行环境的数据处理方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108804906B (zh) | 一种用于应用登陆的***和方法 | |
| US8635662B2 (en) | Dynamic trust model for authenticating a user | |
| US9578004B2 (en) | Authentication of API-based endpoints | |
| US20230245120A1 (en) | Secure in-line payments | |
| US10110578B1 (en) | Source-inclusive credential verification | |
| CN108234509A (zh) | 基于tee和pki证书的fido认证器、认证***及方法 | |
| CN114513350B (zh) | 身份校验方法、***和存储介质 | |
| CN101221641A (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| CN102571874B (zh) | 一种分布式***中的在线审计方法及装置 | |
| CN114491436A (zh) | 一种合约签订方法、装置、电子设备及存储介质 | |
| TW201544983A (zh) | 資料通訊方法和系統及客戶端和伺服器 | |
| CN115033923A (zh) | 一种交易隐私数据的保护方法、装置、设备及存储介质 | |
| CN114363088A (zh) | 用于请求数据的方法和装置 | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| CN114978934B (zh) | 信息脱敏方法和装置、电子设备及计算机可读存储介质 | |
| CN114866247B (zh) | 一种通信方法、装置、***、终端及服务器 | |
| US20140215592A1 (en) | Method, apparatus and system for user authentication | |
| CN115396206A (zh) | 一种报文加密方法、报文解密方法、装置和程序产品 | |
| CN117544378A (zh) | 一种授权管理方法、装置、设备及存储介质 | |
| US11870801B2 (en) | Protecting computer system end-points using activators | |
| WO2014117563A1 (en) | Method, apparatus and system for user authentication | |
| US8955070B2 (en) | Controlled password modification method and apparatus | |
| KR20150104667A (ko) | 인증 방법 | |
| CN113704723B (zh) | 基于区块链的数字身份核验方法、装置及存储介质 | |
| CN115776402A (zh) | 一种***登录退出方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |