專利名稱:一種開放式認(rèn)證的授權(quán)方法、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)業(yè)務(wù)領(lǐng)域���,尤其涉及一種開放式認(rèn)證的授權(quán)方法���、裝置和系統(tǒng)。
背景技術(shù):
在當(dāng)今的互聯(lián)網(wǎng)業(yè)務(wù)中��,用戶的Identity(ID)成為互聯(lián)網(wǎng)ID提供商們互相爭奪的寶貴資源�����。掌握了用戶ID��,就掌握了向用戶提供各種服務(wù)的條件��。所以目前許多服務(wù)/資源提供商在保留自身的用戶ID管理系統(tǒng)之外��,還積極和ID提供商合作����,有著擴(kuò)大自身的用戶群組,增強(qiáng)影響力����,連鎖廣告效應(yīng)等好處����。ID提供商Identity Provider(IDP)通過向多個(gè)合作方提供ID資源來實(shí)現(xiàn)對(duì)用戶的統(tǒng)一 ID的業(yè)務(wù)體驗(yàn)�����,極大的方便了用戶���。而對(duì)于商家來說����,IDP業(yè)務(wù)能夠?yàn)槠鋷眍~外的用戶����,用戶能帶來流量以及通過流量帶來的信息流�����,這樣就可以形成良性循環(huán)�。ID提供商通過IDP認(rèn)證中心/服務(wù)器平臺(tái)為用戶提供服務(wù)。然而IDP之間關(guān)聯(lián)較少��,更多的是競(jìng)爭�����。為了協(xié)調(diào)這種競(jìng)爭造成的資源浪費(fèi)和對(duì)用戶的不良影響,由政府推動(dòng)的協(xié)調(diào)性信任框架組織成立�����。從現(xiàn)階段ID領(lǐng)域的發(fā)展來看�����,IDP首先都是有自身的業(yè)務(wù)作為其吸引和保留用戶的基礎(chǔ)�����。通過自身的業(yè)務(wù)能夠?qū)τ脩艚⑵鹨粋€(gè)檔案�。IDP為其他商家提供ID管理和ID相關(guān)的數(shù)據(jù)資源,作為交換其他商家返回用戶相關(guān)的業(yè)務(wù)數(shù)據(jù)�,從而能夠被用來完善用戶的檔案。用戶檔案是IDP所具備的一個(gè)基本的因素之一����。因?yàn)檫@個(gè)檔案的內(nèi)容包含的有用戶的自身特有的內(nèi)容,例如用戶自身的隱私信息�,用戶生成內(nèi)容,用戶購買的內(nèi)容等。如果用戶需要將自己的數(shù)據(jù)���,資源��,或者內(nèi)容開放給其他的用戶或者應(yīng)用去使用���,就會(huì)涉及到授權(quán)問題。目前授權(quán)只能在單一平臺(tái)上實(shí)現(xiàn)�����,即單一平臺(tái)上需要集成了IDP認(rèn)證中心/服務(wù)器平臺(tái)���,授權(quán)服務(wù)器���,資源服務(wù)器才能夠?qū)崿F(xiàn)用戶授權(quán)。用戶只能通過授權(quán)平臺(tái)上的第三方應(yīng)用服務(wù)器去訪問資源服務(wù)器上自身的數(shù)據(jù)��?���;ヂ?lián)網(wǎng)上典型的授權(quán)協(xié)議有OAuthl.0,以及正在開發(fā)的0auth2.0,同時(shí)還有OpenlD+Oauth Hybrid��。其中Oauthl.0已經(jīng)廣泛的被IDP平臺(tái)所運(yùn)用提供和ID相關(guān)的授權(quán)服務(wù)。隨著ID領(lǐng)域的發(fā)展�����,技術(shù)的完善以及相關(guān)業(yè)務(wù)的普及���,未來的ID領(lǐng)域不可能是一家IDP獨(dú)大����,而更有可能是不同領(lǐng)域的多家IDP互相競(jìng)爭共存的形態(tài)�。在這樣的環(huán)境下,開放式ID管理�,應(yīng)用,和交換將成為主流���。因此在這樣的環(huán)境下的授權(quán)也將同樣的成為開放式的松耦合架構(gòu)����。而這種架構(gòu)�,用戶向任意不同域的其他應(yīng)用或其他用戶授權(quán)訪問自己的數(shù)據(jù)將是互聯(lián)網(wǎng)的主要發(fā)展的趨勢(shì)之一。圖1為現(xiàn)有技術(shù)方法一中提供的一種授權(quán)方通過Auth服務(wù)器向被授權(quán)方授權(quán)的方法流程圖���。該授權(quán)方授權(quán)的方法流程包括如下步驟:SlOl:客戶首先要初始化流程��,將資源所有者的用戶代理定向到授權(quán)服務(wù)器上的授權(quán)端點(diǎn)���?����?蛻魝魅胱约旱纳矸輼?biāo)識(shí)�����、請(qǐng)求范圍(作用域)����、本地狀態(tài)��、以及一個(gè)重定向URI (在訪問許可或被拒絕后授權(quán)服務(wù)器會(huì)重新將用戶代理定向到這個(gè)URI)����。S102:授權(quán)服務(wù)器驗(yàn)證資源所有者(通過用戶代理),并確認(rèn)資源所有者是否允許或者拒絕客戶的訪問請(qǐng)求����。S103:假設(shè)資源所有者授予訪問許可,授權(quán)服務(wù)器將用戶代理用客戶事先提供的URI重新定向到客戶���,并傳回授權(quán)碼��。S104:用戶向授權(quán)服務(wù)器提出訪問令牌請(qǐng)求����。用戶用其信任憑證和獲得的授權(quán)碼在授權(quán)服務(wù)器上進(jìn)行認(rèn)證鑒定�。S105:授權(quán)服務(wù)器對(duì)用戶的信用憑證和授權(quán)碼進(jìn)行鑒定。如果有效��,則返回一個(gè)訪問令牌�。S106:客戶向資源服務(wù)器發(fā)送訪問令牌和其自身的簽名請(qǐng)求受保護(hù)內(nèi)容。S107:資源服務(wù)器驗(yàn)證訪問令牌和簽名的有效性����,若驗(yàn)證通過則返回受保護(hù)的內(nèi)容。由于該方法中需要驗(yàn)證客戶身份的有效性�����,客戶需要與Auth服務(wù)器進(jìn)行重復(fù)的交互����。當(dāng)客戶需要在多個(gè)資源服務(wù)器上申請(qǐng)授權(quán)服務(wù)時(shí),這種重復(fù)式的交互就會(huì)變得低效�,冗余�����,而且上述方法不支持開放式認(rèn)證和授權(quán)����。認(rèn)證作為授權(quán)的一部分和授權(quán)一對(duì)一綁定���,因此只能對(duì)同一域的資源進(jìn)行授權(quán)�。圖2為現(xiàn)有技術(shù)方法二中實(shí)現(xiàn)用戶在多個(gè)域上授權(quán)數(shù)據(jù)的方法流程圖�����,該方法通過建立一個(gè)第三方應(yīng)用平臺(tái)來集成用戶數(shù)據(jù)以實(shí)現(xiàn)用戶多個(gè)域授權(quán)����,該方法包括以下步驟:S201:用戶(授權(quán)方)在客戶平臺(tái)上建立個(gè)人賬戶S202:用戶在平臺(tái)上的個(gè)人賬戶中設(shè)置其在其他域中的賬戶的用戶名和密碼S203:平臺(tái)根據(jù)用戶所提供的賬戶信息依次向?qū)?yīng)域的IDP服務(wù)器進(jìn)行身份認(rèn)證,S204:當(dāng)用戶的認(rèn)證通過后向OAuth服務(wù)器請(qǐng)求用戶數(shù)據(jù)的授權(quán)S205 =OAuth服務(wù)器通過授權(quán)的審核�����,發(fā)放給客戶訪問令牌��,客戶能夠訪問用戶在多個(gè)域中的數(shù)據(jù)����,并有權(quán)做出更改�����。方法二中實(shí)現(xiàn)用戶在多個(gè)域上授權(quán)實(shí)現(xiàn)依賴于用戶需要在每個(gè)SNS網(wǎng)絡(luò)中都有賬戶,而且不能夠?qū)崿F(xiàn)跨域授權(quán)��,其跨域的信息共享是在這個(gè)第三方平臺(tái)上通過多次執(zhí)行多個(gè)針對(duì)不同單個(gè)域的授權(quán)流程來實(shí)現(xiàn)��,并且不支持開放式登錄功能�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種開放式認(rèn)證的授權(quán)方法����、裝置和系統(tǒng),通過將IDP服務(wù)器和授權(quán)服務(wù)器分離的開放式認(rèn)證方式進(jìn)行授權(quán)�,實(shí)現(xiàn)認(rèn)證和授權(quán)相分離,實(shí)現(xiàn)跨域授權(quán)和跨域批量授權(quán)�����。本發(fā)明實(shí)施例提供一種開放式認(rèn)證的授權(quán)方法�����,包括步驟:授權(quán)服務(wù)器接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求,所述授權(quán)請(qǐng)求包括:授權(quán)方ID�、被授權(quán)方ID、以及授權(quán)內(nèi)容的URI ���;授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證����,接收被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果��;授權(quán)服務(wù)器生成返回地址列表�����,并生成授權(quán)信息��;授權(quán)服務(wù)器將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間���,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器�,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI ;授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給資源服務(wù)器���。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)方法還包括步驟:被授權(quán)方根據(jù)授權(quán)信息向資源服務(wù)器獲取授權(quán)內(nèi)容�����。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)方法還包括步驟:還包括步驟:授權(quán)服務(wù)器根據(jù)被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果���,生成待確認(rèn)授權(quán)列表向授權(quán)方請(qǐng)求授權(quán)確認(rèn)���,并接收授權(quán)方返回的確認(rèn)后的授權(quán)列表�����,根據(jù)確認(rèn)后的授權(quán)列表生成返回地址列表�����。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)方法還包括步驟:還包括步驟:授權(quán)服務(wù)器根據(jù)接收到的授權(quán)請(qǐng)求中的授權(quán)方ID向授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求對(duì)授權(quán)方進(jìn)行有效性認(rèn)證�����,IDP服務(wù)器對(duì)授權(quán)方對(duì)授權(quán)內(nèi)容的有效性進(jìn)行身份認(rèn)證����,并向授權(quán)服務(wù)器返回認(rèn)證結(jié)果。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)方法還包括步驟:所述授權(quán)請(qǐng)求方為被授權(quán)方�,則該方法還包括步驟:授權(quán)服務(wù)器根據(jù)解析的資源內(nèi)容URI信息向資源內(nèi)容所在的資源服務(wù)�;器請(qǐng)求建立加密通道����,以及授權(quán)內(nèi)容的標(biāo)題和摘要;資源服務(wù)器與授權(quán)服務(wù)器成功建立加密通道�,并返回授權(quán)內(nèi)容的標(biāo)題和摘要。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)方法還包括步驟:所述虛擬認(rèn)證為根據(jù)授權(quán)方ID/被授權(quán)方ID和其對(duì)應(yīng)IDP服務(wù)器之間的信任關(guān)系��,IDP服務(wù)器對(duì)授權(quán)方ID/被授權(quán)方ID進(jìn)行認(rèn)證�,對(duì)于不屬于所述IDP服務(wù)器認(rèn)證域的ID進(jìn)行標(biāo)注為未知并返回給授權(quán)服務(wù)器。
`
本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)方法中����,上述接收被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果具體為:IDP服務(wù)器根據(jù)接收到授權(quán)服務(wù)器的請(qǐng)求將封裝在請(qǐng)求中的客戶ID中的<ID>值取出,并和本地存儲(chǔ)的所有ID進(jìn)行匹配�,若有相同匹配,IDP服務(wù)器在該ID中的〈未知 > 參數(shù)(〈unknown〉)賦值為“no”�,否則賦值為“yes”,將認(rèn)證結(jié)果返回給授權(quán)服務(wù)器�����。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)方法中��,所述被授權(quán)方ID包括:域參數(shù) Authority 和未知參數(shù)(〈unknown〉),則在請(qǐng)求進(jìn)行虛擬認(rèn)證之前還包括步驟:授權(quán)服務(wù)器解析初始化的被授權(quán)方ID,倘若所述被授權(quán)方ID可以被解析,并且〈Authority〉的值可以被識(shí)別�����,〈unknown〉一項(xiàng)的值為空,否則會(huì)被賦值為“yes”�����。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)方法還包括步驟:授權(quán)服務(wù)器將所有的〈unknown〉值為空的被授權(quán)方ID根據(jù)相同〈Authority〉值進(jìn)行分類,將分好類的被授權(quán)方ID群組進(jìn)行結(jié)構(gòu)化處理后,通過https協(xié)議與〈Authority〉里描述的IDP服務(wù)器建立連接���,發(fā)送請(qǐng)求至所述IDP服務(wù)器虛擬認(rèn)證接口進(jìn)行虛擬認(rèn)證��。本發(fā)明實(shí)施例還提供一種開放式認(rèn)證的授權(quán)裝置,包括交互單元1101和處理器1102,其中:所述交互單元1101用于接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求,所述授權(quán)請(qǐng)求包括:授權(quán)方ID��、被授權(quán)方ID����、以及授權(quán)內(nèi)容的URI ;所述交互單元1101還用于根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證,并接收被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果�����;所述處理器1102用于對(duì)授權(quán)方ID�、被授權(quán)方ID以及授權(quán)內(nèi)容的URI進(jìn)行解析,根據(jù)虛擬認(rèn)證結(jié)果生成返回地址列表,并生成授權(quán)信息���;所述交互單元1101還用于將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間����,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器��,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI���,所述交互單元1101還用于根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給資源服務(wù)器����。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)裝置中����,所述處理器1102還用于根據(jù)接收到的授權(quán)請(qǐng)求中的授權(quán)方ID向授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求對(duì)授權(quán)方進(jìn)行有效性認(rèn)證,接收IDP服務(wù)器返回對(duì)授權(quán)方對(duì)授權(quán)內(nèi)容的有效性進(jìn)行身份認(rèn)證的認(rèn)證結(jié)果�,根據(jù)所述交互單元1101接收的被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果,生成待確認(rèn)授權(quán)列表向授權(quán)方請(qǐng)求授權(quán)確認(rèn)�����,并根據(jù)授權(quán)方返回的確認(rèn)結(jié)果生成返回地址列表�����。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)裝置中,所述被授權(quán)方ID包括:域參數(shù) Authority 和未知參數(shù)(〈unknown〉)����,所述處理器1102還用于解析初始化的被授權(quán)方ID,倘若所述被授權(quán)方ID可以被解析,并且〈Authority〉的值可以被識(shí)別,〈unknown〉一項(xiàng)的值為空����,否則會(huì)被賦值為“yes”。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)裝置中�����,所述處理器1102還用于將所有的〈unknown〉值為空的被授權(quán)方ID根據(jù)相同〈Authority〉值進(jìn)行分類,將分好類的被授權(quán)方ID群組進(jìn)行結(jié)構(gòu)化處理后,通過https協(xié)議與〈Authority〉里描述的IDP服務(wù)器建立連接��,發(fā)送請(qǐng)求至所述IDP服務(wù)器虛擬認(rèn)證接口進(jìn)行虛擬認(rèn)證����。本發(fā)明實(shí)施例還提供一種開放式認(rèn)證的授權(quán)系統(tǒng)�,包括:授權(quán)服務(wù)器、IDP服務(wù)器����、資源服務(wù)器���,其中:所述授權(quán)服務(wù)器接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求,所述授權(quán)請(qǐng)求包括:授權(quán)方ID���、被授權(quán)方ID����、以及授權(quán)內(nèi)容的URI ;所述授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證�����,接收被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果���;被授權(quán)方ID所屬的IDP服務(wù)器對(duì)被授權(quán)方ID進(jìn)行虛擬認(rèn)證�����,向授權(quán)服務(wù)器返回虛擬認(rèn)證結(jié)果�;所述授權(quán)服務(wù)器還用于生成返回地址列表��,并生成授權(quán)信息�����,將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所 屬的IDP服務(wù)器��,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI��,授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給所述資源服務(wù)器���。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)系統(tǒng)中��,所述被授權(quán)方ID包括:域參數(shù) Authority 和未知參數(shù)(〈unknown〉)�,授權(quán)服務(wù)器還用于解析初始化的被授權(quán)方ID,倘若所述被授權(quán)方ID可以被解析,并且〈Authority〉的值可以被識(shí)別��,〈unknown〉一項(xiàng)的值為空���,否則會(huì)被賦值為“yes”�����。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)系統(tǒng)中�����,授權(quán)服務(wù)器還用于將所有的〈unknown〉值為空的被授權(quán)方ID根據(jù)相同〈Authority〉值進(jìn)行分類,將分好類的被授權(quán)方ID群組進(jìn)行結(jié)構(gòu)化處理后,通過https協(xié)議與〈Authority〉里描述的IDP服務(wù)器建立連接,發(fā)送請(qǐng)求至所述IDP服務(wù)器虛擬認(rèn)證接口進(jìn)行虛擬認(rèn)證��。本發(fā)明另一實(shí)施例開放式認(rèn)證的授權(quán)系統(tǒng)中,IDP服務(wù)器還用于根據(jù)接收到授權(quán)服務(wù)器的請(qǐng)求將封裝在請(qǐng)求中的客戶ID中的<ID>值取出���,并和本地存儲(chǔ)的所有ID進(jìn)行匹配����,若有相同匹配����,IDP服務(wù)器在該ID中的〈unknown〉賦值為“no”,否則賦值為“yes”�����,將認(rèn)證結(jié)果返回給授權(quán)服務(wù)器�。通過本發(fā)明實(shí)施例提供的技術(shù)方案可以實(shí)現(xiàn)開放式認(rèn)證的跨域授權(quán),實(shí)現(xiàn)向多個(gè)被授權(quán)方進(jìn)行統(tǒng)一批量授權(quán)����,有效的解決了向多個(gè)客戶進(jìn)行授權(quán)時(shí)效率低下,反應(yīng)速度慢����,流程冗余度高,而且維護(hù)成本也高的技術(shù)問題�����。通過本發(fā)明實(shí)施例提供的技術(shù)方案,使用戶可以向任意不同域的其他應(yīng)用或其他用戶授權(quán)訪問自己的數(shù)據(jù)���。
圖1是現(xiàn)有技術(shù)提供的一種授權(quán)方通過Auth服務(wù)器向被授權(quán)方授權(quán)的方法流程圖����;圖2是現(xiàn)有技術(shù)實(shí)現(xiàn)用戶在多個(gè)域上授權(quán)數(shù)據(jù)的方法流程圖�����;圖3是本發(fā)明實(shí)施例提供的一種開放式認(rèn)證的授權(quán)系統(tǒng)示意圖�;圖4是本發(fā)明實(shí)施例一實(shí)現(xiàn)開放式認(rèn)證的授權(quán)方法流程示意圖;圖5是本發(fā)明實(shí)施例另一實(shí)現(xiàn)開放式認(rèn)證的授權(quán)方法流程示意圖�����;圖6本發(fā)明實(shí)施例一授權(quán)方發(fā)起授權(quán)請(qǐng)求的實(shí)現(xiàn)開放式認(rèn)證的授權(quán)方法流程示意圖�����;圖7是本發(fā)明實(shí)施例另一授權(quán)方發(fā)起授權(quán)請(qǐng)求的實(shí)現(xiàn)開放式認(rèn)證的授權(quán)方法流程不意圖�;圖8是本發(fā)明實(shí)施例一被授權(quán)方發(fā)起授權(quán)請(qǐng)求的實(shí)現(xiàn)開放式認(rèn)證的授權(quán)方法流程不意圖;圖9是本發(fā)明實(shí)施例另一被授權(quán)方發(fā)起授權(quán)請(qǐng)求的實(shí)現(xiàn)開放式認(rèn)證的授權(quán)方法流程示意圖;圖10是本發(fā)明實(shí)施例另一被授權(quán)方發(fā)起授權(quán)請(qǐng)求的實(shí)現(xiàn)開放式認(rèn)證的授權(quán)方法流程示意圖���;圖11是本發(fā)明實(shí)施例實(shí)現(xiàn)開放式認(rèn)證的授權(quán)裝置結(jié)構(gòu)示意 圖12是本發(fā)明實(shí)施例中用戶確認(rèn)授權(quán)界面示意圖。
具體實(shí)施例方式為了便于本領(lǐng)域一般技術(shù)人員理解和實(shí)現(xiàn)本發(fā)明��,現(xiàn)結(jié)合附圖描述本發(fā)明的實(shí)施例�����。本發(fā)明提供一種開放式認(rèn)證的授權(quán)系統(tǒng)���,如圖3所示的一種開放式認(rèn)證的授權(quán)系統(tǒng)示意圖���,在該開放式認(rèn)證的授權(quán)系統(tǒng)中,包括授權(quán)服務(wù)器���、至少兩個(gè)IDP服務(wù)器(IDP服務(wù)器I η)�、資源服務(wù)器�,所述開放式認(rèn)證的授權(quán)系統(tǒng)接收請(qǐng)求授權(quán)方發(fā)起的授權(quán)請(qǐng)求,對(duì)授權(quán)方ID���、被授權(quán)方ID進(jìn)行開放式認(rèn)證���,實(shí)現(xiàn)授權(quán)��。在本發(fā)明實(shí)施例的開放式認(rèn)證的授權(quán)系統(tǒng)中可以包括多個(gè)獨(dú)立的授權(quán)服務(wù)器�。授權(quán)服務(wù)器和資源服務(wù)器連接以對(duì)相關(guān)資源進(jìn)行授權(quán)�����,與IDP服務(wù)器連接支持開放式跨域授權(quán)���。授權(quán)服務(wù)器和授權(quán)方/被授權(quán)方連接接收�、處理授權(quán)請(qǐng)求并返回授權(quán)信息���。在本發(fā)明實(shí)施例中�����,開放式認(rèn)證的授權(quán)系統(tǒng)可以包括多個(gè)IDP服務(wù)器�,由于開放式IDP服務(wù)器是多個(gè)存在的���,因此為了讓授權(quán)服務(wù)器對(duì)不同域的ID進(jìn)行授權(quán)����,授權(quán)服務(wù)器和這些IDP服務(wù)器相連。資源服務(wù)器提供在網(wǎng)絡(luò)上存儲(chǔ)用戶/客戶或者應(yīng)用相關(guān)的數(shù)據(jù)的網(wǎng)絡(luò)空間���。在具體實(shí)施例當(dāng)中����,資源服務(wù)器��,IDP以及授權(quán)服務(wù)器可以互相綁定�����。在本發(fā)明實(shí)施例中出現(xiàn)的用戶指的授權(quán)方���,客戶指的是被授權(quán)方。用戶和客戶既可以是人�,也可以是一項(xiàng)應(yīng)用或者服務(wù)。若用戶和客戶是人����,則授權(quán)服務(wù)器和其打交道的是他們使用的代理,例如移動(dòng)終端����,或者個(gè)人電腦等。授權(quán)方可以為客戶端或者服務(wù)器,被授權(quán)方也可以為客戶端或者服務(wù)器�����。在本發(fā)明實(shí)施例中��,如圖3中所示�����,請(qǐng)求授權(quán)方可以為的個(gè)人終端(如手機(jī))�����、普通終端(如計(jì)算機(jī))���、服務(wù)�����、應(yīng)用等���。本發(fā)明實(shí)施例中的請(qǐng)求授權(quán)方可以為授權(quán)方或者被授權(quán)方。在本發(fā)明實(shí)施例中���,授權(quán)方可以是一個(gè)���,也可以是多個(gè)��,或者為授權(quán)方組����。被授權(quán)方可以是一個(gè)�����,也可以是多個(gè)���,或者為被授權(quán)客戶組。本發(fā)明實(shí)施例中開放式認(rèn)證授權(quán)系統(tǒng)實(shí)現(xiàn)授權(quán)的過程如下:授權(quán)服務(wù)器接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求���。所述授權(quán)請(qǐng)求包括:授權(quán)方ID�����、被授權(quán)方ID��、以及授權(quán)內(nèi)容的URI����。所述授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證,接收被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果�。被授權(quán)方ID所屬的IDP服務(wù)器對(duì)被授權(quán)方ID進(jìn)行虛擬認(rèn)證,向授權(quán)服務(wù)器返回虛擬認(rèn)證結(jié)果��。所述授權(quán)服務(wù)器還用于生成返回地址列表���,并生成授權(quán)信息���,將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器�,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI。授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給所述資源服務(wù)器���。本發(fā)明實(shí)施例中的開放式認(rèn)證的授權(quán)系統(tǒng)至少兩個(gè)IDP服務(wù)器可以包括:IDP服務(wù)器I和IDP服務(wù)器2�,其中IDP服務(wù)器I為授權(quán)方所屬域的服務(wù)器��,IDP服務(wù)器2為被授權(quán)方所屬域的服務(wù)器��。通過該開放式認(rèn)證的授權(quán)系統(tǒng)�����,請(qǐng)求授權(quán)方向授權(quán)服務(wù)發(fā)起授權(quán)請(qǐng)求,授權(quán)請(qǐng)求中包括:授權(quán)方ID�����、被授權(quán)方ID�、以及需要授權(quán)資源的URI。授權(quán)服務(wù)器根據(jù)接收到的授權(quán)請(qǐng)求中的授權(quán)方ID向IDP服務(wù)器I請(qǐng)求對(duì)授權(quán)方進(jìn)行有效性認(rèn)證���,認(rèn)證通過后��,授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向IDP服務(wù)器2請(qǐng)求進(jìn)行虛擬認(rèn)證���。授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI與相應(yīng)的資源服務(wù)器建立加密通道�����。授權(quán)服務(wù)器根據(jù)IDP服務(wù)器2返回的認(rèn)證結(jié)果向授權(quán)方請(qǐng)求授權(quán)確認(rèn)�����,生成授權(quán)碼和授權(quán)密匙�����,授權(quán)服務(wù)器分別將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方和資源服務(wù)器。被授權(quán)方根據(jù)授權(quán)碼和授權(quán)密匙向資源服務(wù)器獲取授權(quán)內(nèi)容�。本發(fā)明實(shí)施例中的虛擬認(rèn)證為根據(jù)授權(quán)方ID/被授權(quán)方ID和其對(duì)應(yīng)IDP服務(wù)器之間的信任關(guān)系,IDP服務(wù)器對(duì)授權(quán)方ID/被授權(quán)方ID進(jìn)行認(rèn)證��,對(duì)于不屬于所述IDP服務(wù)器認(rèn)證域的ID進(jìn)行標(biāo)注為未知并返回給授權(quán)服務(wù)器���。在本發(fā)明實(shí)施例的開放式認(rèn)證的授權(quán)系統(tǒng)中���,授權(quán)服務(wù)器可以根據(jù)IDP服務(wù)器2返回的認(rèn)證結(jié)果直接向被授權(quán)方進(jìn)行授權(quán),當(dāng)IDP服務(wù)器2返回的認(rèn)證結(jié)果為標(biāo)注所述被授權(quán)方ID為已知��,授權(quán)服務(wù)器向被授權(quán)方用戶進(jìn)行授權(quán)����,生成授權(quán)碼和授權(quán)密匙,授權(quán)服務(wù)器分別將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方和資源服務(wù)器����。當(dāng)IDP服務(wù)器2返回的認(rèn)證結(jié)果為標(biāo)注所述被授權(quán)方ID為未知,授權(quán)服務(wù)器不向被授權(quán)用戶進(jìn)行授權(quán)�,結(jié)束流程。在本發(fā)明實(shí)施例的開放式認(rèn)證的授權(quán)系統(tǒng)中���,授權(quán)服務(wù)器根據(jù)IDP服務(wù)器2返回的認(rèn)證結(jié)果向授權(quán)方請(qǐng)求授權(quán)確認(rèn)具體可以為:如果IDP服務(wù)器2返回的認(rèn)證結(jié)果為標(biāo)注所述被授權(quán)方ID為已知�����,則授權(quán)服務(wù)器向授權(quán)方發(fā)送待授權(quán)確認(rèn)列表�,所述待授權(quán)確認(rèn)列表中包括已標(biāo)注為已知的被授權(quán)方ID。如果IDP服務(wù)器2返回的認(rèn)證結(jié)果為標(biāo)注所述被授權(quán)方ID為未知��,則授權(quán)服務(wù)器授權(quán)方發(fā)送待授權(quán)確認(rèn)列表�,所述待授權(quán)確認(rèn)列表中包括已標(biāo)注為未知的被授權(quán)方ID。授權(quán)方根據(jù)接收的待授權(quán)確認(rèn)列表向授權(quán)服務(wù)器返回授權(quán)確認(rèn)�。在本發(fā)明另一實(shí)施例中,如果是授權(quán)請(qǐng)求方為被授權(quán)方��,授權(quán)服務(wù)器在向授權(quán)方發(fā)送待授權(quán)確認(rèn)列表之前��,通過與資源服務(wù)器建立的加密通道獲取授權(quán)內(nèi)容的標(biāo)題title和摘要abstract,將授權(quán)內(nèi)容的標(biāo)題和摘要以及待授權(quán)確認(rèn)列表發(fā)送給授權(quán)方進(jìn)行授權(quán)確認(rèn)�����。在本發(fā)明實(shí)施例的開放式認(rèn)證的授權(quán)系統(tǒng)中�,授權(quán)服務(wù)器將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方具體可以為:授權(quán)服務(wù)器將授權(quán)碼和授權(quán)密匙發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間��。被授權(quán)方根據(jù)其ID和密碼登錄其所屬的IDP服務(wù)器�,進(jìn)入其IDP服務(wù)器的私有空間獲取授權(quán)碼和授權(quán)密匙以及授授權(quán)內(nèi)容的URI。在本發(fā)明實(shí)施例的開放式認(rèn)證的授權(quán)過程中����,被授權(quán)方可以是多個(gè)���。當(dāng)被授權(quán)方為多個(gè)時(shí),授權(quán)服務(wù)器根據(jù)被授權(quán)方ID請(qǐng)求各個(gè)被授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器進(jìn)行虛擬認(rèn)證�,并根據(jù)各個(gè)被授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器返回的認(rèn)證結(jié)果生成待確認(rèn)授權(quán)列表,該待確認(rèn)授權(quán)列表中包括標(biāo)注為已知的被授權(quán)方ID和未知的被授權(quán)方ID��。授權(quán)方對(duì)待確認(rèn)授權(quán)列表進(jìn)行授權(quán)確認(rèn)��。通過本發(fā)明實(shí)施例�,當(dāng)授權(quán)方和被授權(quán)方歸屬不同的IDP服務(wù)器時(shí),可以實(shí)現(xiàn)跨域授權(quán)��,靈活的實(shí)現(xiàn)資源共享���。本發(fā)明實(shí)施例提供一種開放式認(rèn)證的授權(quán)方法����,如圖4所示的開放式認(rèn)證的授權(quán)方法流程圖����,該開放式認(rèn)證的授權(quán)方法包括以下步驟:S401:授權(quán)服務(wù)器接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求。所述授權(quán)請(qǐng)求包括:授權(quán)方ID、被授權(quán)方ID��、以及授權(quán)內(nèi)容的URI��。S403:授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證��,接收被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果��。S405:授權(quán)服務(wù)器生成返回地址列表�����,并生成授權(quán)信息���,授權(quán)服務(wù)器將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間�����,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器����,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI���,授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給資源服務(wù)器。從而實(shí)現(xiàn)了 IDP服務(wù)器首先基于信任關(guān)系對(duì)被授權(quán)方進(jìn)行虛擬認(rèn)證,然后通過將授權(quán)信息發(fā)送給被授權(quán)方所屬的IDP服務(wù)器����,當(dāng)被授權(quán)方需要獲取授權(quán)信息時(shí),則被授權(quán)方需要提供ID和密碼通過IDP服務(wù)器的認(rèn)證�。通過虛擬認(rèn)證,將實(shí)際的身份認(rèn)證流程交給每一個(gè)被授權(quán)方以及其對(duì)應(yīng)的IDP服務(wù)器�,減少了授權(quán)服務(wù)器的負(fù)荷。因而避免了授權(quán)服務(wù)器由于被授權(quán)方身份有效性驗(yàn)證問題而產(chǎn)生阻礙授權(quán)流程的情況���,從而提高了開放式認(rèn)證和授權(quán)的效率��,并且可以方便快捷的實(shí)現(xiàn)授權(quán)���。在本發(fā)明實(shí)施例中,授權(quán)信息可以為授權(quán)碼和授權(quán)密匙��,或者為授權(quán)碼以及根據(jù)被授權(quán)方ID和授權(quán)密匙生成的簽名��。授權(quán)服務(wù)器將授權(quán)信息發(fā)送給被授權(quán)方具體可以為:�����。本發(fā)明實(shí)施例通過授權(quán)服務(wù)器分別向被授權(quán)方和資源服務(wù)器發(fā)送授權(quán)信息��,完成了開放式認(rèn)證的授權(quán)過程。本發(fā)明實(shí)施例提供的授權(quán)方法還可以包括步驟S407:被授權(quán)方根據(jù)授權(quán)信息向資源服務(wù)器獲取授權(quán)內(nèi)容���。在本發(fā)明上述方法實(shí)施例中�����,所述開放式認(rèn)證的授權(quán)方法還可以包括步驟S402:授權(quán)服務(wù)器根據(jù)接收到的授權(quán)請(qǐng)求中的授權(quán)方ID向授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求對(duì)授權(quán)方進(jìn)行有效性認(rèn)證�����,IDP服務(wù)器對(duì)授權(quán)方對(duì)授權(quán)內(nèi)容的有效性進(jìn)行身份認(rèn)證���,并向授權(quán)服務(wù)器返回認(rèn)證結(jié)果。步驟S402可以在步驟S403之前執(zhí)行����,當(dāng)授權(quán)請(qǐng)求方為授權(quán)方,即授權(quán)請(qǐng)求為授權(quán)方發(fā)起����,則可以在虛擬認(rèn)證之前進(jìn)行授權(quán)方的身份認(rèn)證。當(dāng)授權(quán)請(qǐng)求方為被授權(quán)方�����,即授權(quán)請(qǐng)求為被授權(quán)方發(fā)起,也可以在虛擬認(rèn)證之前請(qǐng)求進(jìn)行授權(quán)方對(duì)授權(quán)資源的有效性認(rèn)證�����。在本發(fā)明上述方法實(shí)施例中���,還可以包括步驟S404:授權(quán)服務(wù)器根據(jù)被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果,生成待確認(rèn)授權(quán)列表向授權(quán)方請(qǐng)求授權(quán)確認(rèn)���。在本發(fā)明另一方法實(shí)施例中�,步驟S402也可以和步驟S404合并執(zhí)行����,當(dāng)授權(quán)請(qǐng)求方為被授權(quán)方,即授權(quán)請(qǐng)求為被授權(quán)方發(fā)起����,則可以在授權(quán)服務(wù)器生成返回地址列表之前,IDP服務(wù)器完成對(duì)被授權(quán)ID的虛擬認(rèn)證之后���,授權(quán)服務(wù)器根據(jù)虛擬認(rèn)證的結(jié)果向授權(quán)方請(qǐng)求進(jìn)行待確認(rèn)授權(quán)列表的確認(rèn)的同時(shí)請(qǐng)求進(jìn)行授權(quán)方對(duì)授權(quán)資源的有效性認(rèn)證�。這樣可以簡化認(rèn)證流程���,更加方便快捷的實(shí)現(xiàn)開放式認(rèn)證的授權(quán)���。本發(fā)明提供一種開放式認(rèn)證的授權(quán)方法��,如圖5所示的流程圖��,該開放式認(rèn)證的授權(quán)方法包括以下步驟:S501:授權(quán)服務(wù)器接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求��,所述授權(quán)請(qǐng)求包括:授權(quán)方ID���、被授權(quán)方ID、以及授權(quán)內(nèi)容的URI�����。S502:授權(quán)服務(wù)器根據(jù)接收到的授權(quán)請(qǐng)求中的授權(quán)方ID向授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求對(duì)授權(quán)方進(jìn)行有效性身份認(rèn)證�。S503:認(rèn)證通過后,授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證�,接收被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果。S504:當(dāng)被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果標(biāo)識(shí)被授權(quán)方ID為已知����,授權(quán)服務(wù)器生成授權(quán)碼和授權(quán)密匙。S505:授權(quán)服務(wù)器將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方對(duì)應(yīng)的地址���,授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI將授權(quán)碼和授權(quán)密匙發(fā)送給資源服務(wù)器���。S506:被授權(quán)方根據(jù)授權(quán)碼和授權(quán)密匙向資源服務(wù)器獲取授權(quán)內(nèi)容�。在該實(shí)施例中����,步驟S504中�����,授權(quán)服務(wù)器生成授權(quán)碼和授權(quán)密匙之前還包括步驟S5031:授權(quán)服務(wù)器將被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果向授權(quán)方請(qǐng)求授權(quán)確認(rèn)�,授權(quán)服務(wù)器根據(jù)認(rèn)證結(jié)果生成待確認(rèn)授權(quán)列表,待確認(rèn)授權(quán)列表包括標(biāo)識(shí)為已知的被授權(quán)方ID以及未知的被授權(quán)方ID�。授權(quán)方對(duì)待確認(rèn)授權(quán)列表進(jìn)行授權(quán)確認(rèn)。本發(fā)明實(shí)施例還提供的一種開放式認(rèn)證的授權(quán)方法����,如圖6所示的流程圖為授權(quán)方主動(dòng)發(fā)起的授權(quán)請(qǐng)求的開放式認(rèn)證的授權(quán)方法實(shí)施例。如圖6所示��,提供開放式認(rèn)證的授權(quán)方法的系統(tǒng)包括授權(quán)服務(wù)器�����,至少兩個(gè)IDP服務(wù)器以及資源服務(wù)器。在該實(shí)施例中���,授權(quán)方可以為A用戶���,客戶終端I η為被授權(quán)方或者被授權(quán)方用戶的客戶端,例如可以分別為被授權(quán)方B����,C,D����,E。在本發(fā)明的實(shí)施例中���,授權(quán)方可以是一個(gè)����,也可以是多個(gè)�,或者為授權(quán)方組。被授權(quán)方可以是一個(gè)��,也可以是多個(gè)���,或者為被授權(quán)客戶組�。圖6所示的由授權(quán)方發(fā)起的授權(quán)請(qǐng)求的方法包括以下步驟:S601:授權(quán)方向授權(quán)服務(wù)器發(fā)送授權(quán)請(qǐng)求,請(qǐng)求消息中包括授權(quán)方的ID����,被授權(quán)方的ID,以及授權(quán)內(nèi)容的URI���。
S602:授權(quán)服務(wù)器在接收到授權(quán)請(qǐng)求后����,解析授權(quán)方的ID��。S603-S064:授權(quán)服務(wù)器并根據(jù)解析的授權(quán)方ID請(qǐng)求授權(quán)方跳轉(zhuǎn)到授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器進(jìn)行身份認(rèn)證�。例如圖6所示的IDP服務(wù)器I n���,當(dāng)解析授權(quán)方ID得到對(duì)應(yīng)的IDP服務(wù)器為IDP服務(wù)器I時(shí)���,則將授權(quán)方ID發(fā)送給IDP服務(wù)器I進(jìn)行身份認(rèn)證,如果解析授權(quán)方ID得到對(duì)應(yīng)的IDP服務(wù)器為IDP服務(wù)器η時(shí)�����,則將授權(quán)方ID發(fā)送給IDP服務(wù)器η進(jìn)行身份認(rèn)證。本發(fā)明其他實(shí)施例以及其他圖示中����,IDP服務(wù)器對(duì)授權(quán)方ID的身份認(rèn)證同上述認(rèn)證方式。S605-S606:授權(quán)方對(duì)應(yīng)的IDP服務(wù)器對(duì)授權(quán)方對(duì)授權(quán)資源有效性核實(shí)的身份認(rèn)證后���,向授權(quán)服務(wù)器返回認(rèn)證結(jié)果��。在本發(fā)明實(shí)施例中����,若認(rèn)證失敗��,則可重復(fù)向授權(quán)方用戶請(qǐng)求授權(quán)用戶認(rèn)證的流程��,此處請(qǐng)求重復(fù)認(rèn)證為可選流程�。認(rèn)證失敗后也可以直接終止流程。S607:授權(quán)服務(wù)器對(duì)被授權(quán)方ID以及授權(quán)內(nèi)容的URI進(jìn)行解析��。S608:授權(quán)服務(wù)器將解析出的被授權(quán)方ID發(fā)送給被授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器進(jìn)行虛擬認(rèn)證����。本發(fā)明實(shí)施例中,以圖6所示的被授權(quán)客戶終端1-η和IDP服務(wù)器1_η為例,當(dāng)解析被授權(quán)方ID得到對(duì)應(yīng)的IDP服務(wù)器為IDP服務(wù)器I時(shí)�����,則將被授權(quán)方ID發(fā)送給IDP服務(wù)器I進(jìn)行虛擬認(rèn)證��,如果解析被授權(quán)方ID得到對(duì)應(yīng)的IDP服務(wù)器為IDP服務(wù)器η時(shí)���,則將被授權(quán)方ID發(fā)送給IDP服務(wù)器η進(jìn)行虛擬認(rèn)證����。本發(fā)明實(shí)施例以及其他圖示中IDP服務(wù)器對(duì)被授權(quán)方ID進(jìn)行虛擬認(rèn)證同上述認(rèn)證方式���。S609 =IDP服務(wù)器對(duì)被授權(quán)方ID進(jìn)行虛擬認(rèn)證�,并向授權(quán)服務(wù)器返回虛擬認(rèn)證結(jié)
果OS610:授權(quán)服務(wù)器根據(jù)IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果建立待確認(rèn)授權(quán)列表��,并在待確認(rèn)授權(quán)列表中標(biāo)注未知ID�。S611:授權(quán)服務(wù)器根據(jù)解析的資源內(nèi)容URI信息向資源內(nèi)容所在的資源服務(wù)器請(qǐng)求建立加密通道�。S612:資源服務(wù)器與授權(quán)服務(wù)器建立加密通道。S613:授權(quán)服務(wù)器向授權(quán)方發(fā)送確認(rèn)請(qǐng)求�,將待確認(rèn)授權(quán)列表發(fā)送給授權(quán)方進(jìn)行確認(rèn)。S614-S615:授權(quán)方對(duì)待確認(rèn)授權(quán)列表進(jìn)行確認(rèn)后向授權(quán)服務(wù)器返回確認(rèn)后授權(quán)列表�。S616:授權(quán)服務(wù)器根據(jù)確認(rèn)后授權(quán)列表建立授權(quán)返回地址列表。S617:授權(quán)服務(wù)器生成授權(quán)碼和授權(quán)密匙。S618:授權(quán)服務(wù)器根據(jù)授權(quán)返回地址列表將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方ID對(duì)應(yīng)的地址�。本發(fā)明所有實(shí)施例中,授權(quán)服務(wù)器根據(jù)授權(quán)返回地址列表將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方ID對(duì)應(yīng)的地址具體為:授權(quán)服務(wù)器將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間�。則被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)碼和授權(quán)密匙以及授授權(quán)內(nèi)容的URI��。從而實(shí)現(xiàn)IDP服務(wù)器對(duì)被授權(quán)方ID進(jìn)行虛擬認(rèn)證���。
在本發(fā)明的實(shí)施例中�,授權(quán)方可以是一個(gè)��,也可以是多個(gè)�,或者為授權(quán)方組。被授權(quán)方可以是一個(gè)����,也可以是多個(gè),或者為被授權(quán)客戶組���。S619:授權(quán)服務(wù)器將授權(quán)返回地址列表�����,授權(quán)碼和授權(quán)密匙發(fā)送給資源服務(wù)器�。S620:被授權(quán)方通過向資源服務(wù)器發(fā)送授權(quán)碼以及根據(jù)被授權(quán)方的ID和授權(quán)密匙生成的簽名請(qǐng)求授權(quán)內(nèi)容。S621:資源服務(wù)器對(duì)被授權(quán)方發(fā)出的請(qǐng)求核對(duì)授權(quán)碼和簽名��。本發(fā)明實(shí)施例中的授權(quán)碼和根據(jù)被授權(quán)方ID以及授權(quán)密鑰生成的簽名為授權(quán)信息���,在本發(fā)明實(shí)施例中����,授權(quán)信息也可以為授權(quán)碼和授權(quán)密鑰���。S622:核對(duì)授權(quán)信息成功后��,資源服務(wù)器向被授權(quán)方客戶返回授權(quán)內(nèi)容���。本發(fā)明提供的一種開放式認(rèn)證的授權(quán)方法,如圖7所示的流程圖為授權(quán)方主動(dòng)發(fā)起的授權(quán)請(qǐng)求的開放式認(rèn)證的授權(quán)方法實(shí)施例���。在該實(shí)施例中����,授權(quán)方可以為A用戶����,客戶終端I η為被授權(quán)方或者被授權(quán)方用戶的客戶端,例如可以分別為被授權(quán)方B����,C,D�,E。由授權(quán)方發(fā)起的授權(quán)請(qǐng)求的該方法實(shí)施例包括以下步驟:S701:授權(quán)方向授權(quán)服務(wù)器發(fā)出授權(quán)請(qǐng)求�,請(qǐng)求消息中包括授權(quán)方的ID,被授權(quán)方的ID���,以及授權(quán)內(nèi)容的URI�����。S702-S704:授權(quán)服務(wù)器在接收到授權(quán)請(qǐng)求后��,解析授權(quán)方的ID���,并請(qǐng)求授權(quán)方跳轉(zhuǎn)到其對(duì)應(yīng)的IDP服務(wù)器進(jìn)行身份認(rèn)證。S705-S706:授權(quán)方對(duì)應(yīng)的IDP服務(wù)器對(duì)授權(quán)方對(duì)授權(quán)資源有效性核實(shí)的身份認(rèn)證后�,向授權(quán)服務(wù)器返回認(rèn)證結(jié)果。若認(rèn)證失敗���,則可重復(fù)向授權(quán)方請(qǐng)求授權(quán)用戶認(rèn)證的流程��,該流程可選���,或者直接終止流程����。S707:授權(quán)服務(wù)器對(duì)被授權(quán)方的ID信息進(jìn)行解析�,以及對(duì)授權(quán)內(nèi)容的URI進(jìn)行解析。S708:授權(quán)服務(wù)器將解析出的被授權(quán)方的ID發(fā)送給被授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器進(jìn)行虛擬認(rèn)證���。S709:1DP服務(wù)器進(jìn)行虛擬認(rèn)證�,并向授權(quán)服務(wù)器返回虛擬認(rèn)證結(jié)果����。S710:授權(quán)服務(wù)器根據(jù)解析的資源內(nèi)容URI信息向資源內(nèi)容所在的資源服務(wù)器請(qǐng)求建立加密通道。S711:資源服務(wù)器與授權(quán)服務(wù)器建立加密通道�����。S712:授權(quán)服務(wù)器根據(jù)虛擬認(rèn)證的結(jié)果建立授權(quán)返回地址列表����。S713:授權(quán)服務(wù)器生成授權(quán)碼和授權(quán)密匙。S714:授權(quán)服務(wù)器根據(jù)授權(quán)返回地址列表將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方ID對(duì)應(yīng)的地址���。S715:授權(quán)服務(wù)器將授權(quán)返回地址列表�����,授權(quán)碼和授權(quán)密匙發(fā)送給資源服務(wù)器����。S716:被授權(quán)方通過向資源服務(wù)器發(fā)送授權(quán)碼以及被授權(quán)方ID和授權(quán)密匙生成的簽名請(qǐng)求授權(quán)內(nèi)容���。S717-S718:資源服務(wù)器根據(jù)被授權(quán)方發(fā)出的請(qǐng)求對(duì)授權(quán)碼以及授權(quán)方ID和授權(quán)密匙生成的簽名進(jìn)行核實(shí)通過后�����,向被授權(quán)方返回授權(quán)內(nèi)容�。在該實(shí)施例中��,授權(quán)服務(wù)器根據(jù)虛擬認(rèn)證的結(jié)果直接建立授權(quán)返回地址列表��,不需要向授權(quán)方發(fā)送待確認(rèn)授權(quán)列表�����,由于授權(quán)請(qǐng)求是授權(quán)方發(fā)起的����,該實(shí)施例中授權(quán)方不需要確認(rèn)待確認(rèn)授權(quán)列表的流程����,這樣可以簡化開放式認(rèn)證的流程�,方便用戶實(shí)現(xiàn)開放式認(rèn)證。本發(fā)明實(shí)施例提供的一種開放式認(rèn)證的授權(quán)方法����,如圖8所示的流程圖為被授權(quán)方主動(dòng)發(fā)起的授權(quán)請(qǐng)求的開放式認(rèn)證的授權(quán)方法實(shí)施例。在該實(shí)施例中�����,授權(quán)方可以為A用戶����,客戶終端I η為被授權(quán)方或者被授權(quán)方用戶的客戶端,例如可以分別為被授權(quán)方B�����,C����,D�����,Ε。由被授權(quán)方發(fā)起的授權(quán)請(qǐng)求的該方法實(shí)施例包括以下步驟:S801:被授權(quán)方向授權(quán)服務(wù)器發(fā)出授權(quán)請(qǐng)求�����,授權(quán)請(qǐng)求消息中包括授權(quán)方的ID����,被授權(quán)方的ID,以及授權(quán)內(nèi)容的URI����。S802-S804:授權(quán)服務(wù)器在接收到授權(quán)請(qǐng)求后,解析授權(quán)方的ID�����,并請(qǐng)求授權(quán)方認(rèn)證���,則流程跳轉(zhuǎn)到授權(quán)方對(duì)應(yīng)的IDP服務(wù)器進(jìn)行身份認(rèn)證�����。S805-S806:授權(quán)方對(duì)應(yīng)的IDP服務(wù)器對(duì)授權(quán)方對(duì)授權(quán)資源有效性核實(shí)的身份認(rèn)證后�����,向授權(quán)服務(wù)器返回認(rèn)證結(jié)果���。在該步驟中�,若認(rèn)證失敗���,則可(選擇)重復(fù)向授權(quán)方用戶請(qǐng)求授權(quán)用戶認(rèn)證的流程�����,或者直接終止流程����。S807:確認(rèn)授權(quán)方ID對(duì)授權(quán)資源有效性后��,授權(quán)服務(wù)器對(duì)被授權(quán)方的ID進(jìn)行解析��,并對(duì)授權(quán)內(nèi)容的URI進(jìn)行解析�����。S808:授權(quán)服務(wù)器將解析出的被授權(quán)方的ID發(fā)送給被授權(quán)方對(duì)應(yīng)的IDP服務(wù)器進(jìn)行虛擬認(rèn)證。如圖8所示的IDP服務(wù)器1-η分別相應(yīng)為被授權(quán)方客戶終端1_Ν對(duì)應(yīng)的IDP服務(wù)器��,并且分別對(duì)相應(yīng)的被授權(quán)方ID進(jìn)行虛擬認(rèn)證����。S809 =IDP服務(wù)器向授權(quán)服務(wù)器返回虛擬認(rèn)證結(jié)果。S810:授權(quán)服務(wù)器根據(jù)IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果建立待確認(rèn)授權(quán)列表��,并在待確認(rèn)授權(quán)列表中標(biāo)注未知ID�����。未知ID包括授權(quán)服務(wù)器不能解析的ID以及IDP服務(wù)器虛擬認(rèn)證過程中認(rèn)證未通過的ID���。S811:授權(quán)服務(wù)器根據(jù)解析的資源內(nèi)容URI信息向資源內(nèi)容所在的資源服務(wù)器請(qǐng)求建立加密通道,以及授權(quán)內(nèi)容的標(biāo)題title和摘要abstract����。S812:資源服務(wù)器與授權(quán)服務(wù)器成功建立加密通道,并返回授權(quán)內(nèi)容的title和abstract οS813:授權(quán)服務(wù)器將待確認(rèn)授權(quán)列表發(fā)送給授權(quán)方進(jìn)行確認(rèn)����。S814-S815:授權(quán)方對(duì)待確認(rèn)授權(quán)列表進(jìn)行確認(rèn),向授權(quán)服務(wù)器返回確認(rèn)后授權(quán)列表。S816:授權(quán)服務(wù)器根據(jù)接收的確認(rèn)后授權(quán)列表建立授權(quán)返回地址列表�����。S817:授權(quán)服務(wù)器生成授權(quán)碼和授權(quán)密匙�。S818:授權(quán)服務(wù)器根據(jù)授權(quán)返回地址列表中的被授權(quán)方ID將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方ID對(duì)應(yīng)的地址。S819:授權(quán)服務(wù)器將授權(quán)返回地址列表�����,授權(quán)碼和授權(quán)密匙發(fā)送給資源服務(wù)器���。S820:被授權(quán)方向資源服務(wù)器發(fā)送授權(quán)碼以及根據(jù)被授權(quán)方ID和授權(quán)密匙生成的簽名以請(qǐng)求授權(quán)內(nèi)容����。
S821-S822:資源服務(wù)器根據(jù)被授權(quán)方發(fā)出的請(qǐng)求對(duì)被授權(quán)方ID和授權(quán)密匙生成的簽名進(jìn)行核實(shí)通過后�,向被授權(quán)方返回授權(quán)內(nèi)容。在該實(shí)施例中����,由被授權(quán)方發(fā)起授權(quán)請(qǐng)求,授權(quán)服務(wù)器根據(jù)虛擬認(rèn)證的結(jié)果建立待確認(rèn)授權(quán)列表�����,向授權(quán)方發(fā)送待確認(rèn)授權(quán)列表,請(qǐng)求授權(quán)方進(jìn)行授權(quán)確認(rèn)����,根據(jù)授權(quán)方返回的確認(rèn)后授權(quán)列表建立授權(quán)返回地址列表,實(shí)現(xiàn)開放式認(rèn)證����。通過該實(shí)施例的技術(shù)方案,可以保證了開放式認(rèn)證的授權(quán)安全性和有效性���。如圖9所示提供一種開放式認(rèn)證的授權(quán)方法實(shí)施例為被授權(quán)方主動(dòng)發(fā)起的授權(quán)請(qǐng)求的開放式認(rèn)證的授權(quán)方法����。在該實(shí)施例中����,授權(quán)方可以為A用戶��,客戶終端I η為被授權(quán)方或者被授權(quán)方用戶的客戶端���,例如可以分別為被授權(quán)方B�����,C����,D,E0由被授權(quán)方發(fā)起的授權(quán)請(qǐng)求的該方法實(shí)施例包括以下步驟:S901:被授權(quán)方向授權(quán)服務(wù)器發(fā)出授權(quán)請(qǐng)求�,請(qǐng)求消息中包括授權(quán)方ID,被授權(quán)方ID����,以及授權(quán)內(nèi)容的URI。S902:授權(quán)服務(wù)器解析被授權(quán)方ID和授權(quán)內(nèi)容URI���,以及授權(quán)方ID�。S903:授權(quán)服務(wù)器根據(jù)授權(quán)內(nèi)容URI����,向資源服務(wù)器請(qǐng)求建立加密通道以及授權(quán)內(nèi)容的標(biāo)題title和摘要abstract。S904:授權(quán)服務(wù)器將解析出的被授權(quán)方ID發(fā)送給對(duì)應(yīng)的IDP服務(wù)器進(jìn)行虛擬認(rèn)證���。S905:1DP服務(wù)器對(duì)被授權(quán)方ID進(jìn)行虛擬認(rèn)證���,向授權(quán)服務(wù)器返回虛擬認(rèn)證結(jié)果。S906:資源服務(wù)器與授權(quán)服務(wù)器成功建立加密通道�����,資源服務(wù)器向授權(quán)服務(wù)器返回授權(quán)內(nèi)容的標(biāo)題title和摘要abstract。S907:授權(quán)服務(wù)器根據(jù)IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果建立待確認(rèn)授權(quán)列表�����,標(biāo)注未知ID����。S908:授權(quán)服務(wù)器根據(jù)已解析授權(quán)方ID,將待確認(rèn)授權(quán)列表發(fā)送給授權(quán)方進(jìn)行授權(quán)確認(rèn)�����,并請(qǐng)求進(jìn)行授權(quán)方身份認(rèn)證���。S909-S912:授權(quán)方確認(rèn)授權(quán)列表,并跳轉(zhuǎn)到其對(duì)應(yīng)的IDP服務(wù)器進(jìn)行授權(quán)方對(duì)授權(quán)資源有效性核實(shí)的身份認(rèn)證��,授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器向授權(quán)服務(wù)器返回身份認(rèn)證結(jié)
果O該步驟中����,若身份認(rèn)證失敗,則可以重復(fù)向授權(quán)方請(qǐng)求身份認(rèn)證的流程��,或者也可以直接終止流程。S913:同時(shí),授權(quán)方返回給授權(quán)服務(wù)器確認(rèn)后授權(quán)列表��。S914:授權(quán)服務(wù)器根據(jù)確認(rèn)后授權(quán)列表建立授權(quán)返回地址列表�。S915:授權(quán)服務(wù)器生成授權(quán)碼和授權(quán)密匙。S916:授權(quán)服務(wù)器根據(jù)授權(quán)返回地址列表將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方ID對(duì)應(yīng)的地址����。S917:授權(quán)服務(wù)器將授權(quán)返回地址列表,授權(quán)碼和授權(quán)密匙發(fā)送給資源服務(wù)器�����。S918:被授權(quán)方通過向資源服務(wù)器發(fā)送授權(quán)碼以及根據(jù)被授權(quán)方ID和授權(quán)密匙生成的簽名請(qǐng)求授權(quán)內(nèi)容����。S919-S920:資源服務(wù)器根據(jù)被授權(quán)方發(fā)出的請(qǐng)求對(duì)授權(quán)碼和簽名進(jìn)行核實(shí)通過后,向被授權(quán)方返回授權(quán)內(nèi)容��。
在該實(shí)施例中��,由被授權(quán)方發(fā)起授權(quán)請(qǐng)求�,授權(quán)服務(wù)器根據(jù)虛擬認(rèn)證的結(jié)果建立待確認(rèn)授權(quán)列表,向授權(quán)方發(fā)送待確認(rèn)授權(quán)列表����,請(qǐng)求授權(quán)方進(jìn)行授權(quán)確認(rèn)�����,同時(shí)請(qǐng)求進(jìn)行授權(quán)方身份認(rèn)證��,根據(jù)授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器返回的身份認(rèn)證結(jié)果和授權(quán)方返回的確認(rèn)后授權(quán)列表建立授權(quán)返回地址列表��,實(shí)現(xiàn)開放式認(rèn)證����。這種開放式認(rèn)證方法簡化開放式認(rèn)證的流程�����,減少了授權(quán)服務(wù)器和授權(quán)方之間的交互��,通過該實(shí)施例的技術(shù)方案���,不需要事先進(jìn)行授權(quán)方的身份認(rèn)證�,而在虛擬認(rèn)證完成后����,將身份認(rèn)證和授權(quán)確認(rèn)相結(jié)合����,從而不僅可以保證了開放式認(rèn)證的授權(quán)安全性和有效性����,并且使得開放式認(rèn)證流程更為簡潔����。如圖10所示提供一種開放式認(rèn)證的授權(quán)方法實(shí)施例為被授權(quán)方主動(dòng)發(fā)起的授權(quán)請(qǐng)求的開放式認(rèn)證的授權(quán)方法。在本發(fā)明的實(shí)施例中����,授權(quán)方可以是一個(gè),也可以是多個(gè)���,或者為授權(quán)方組��。被授權(quán)方可以是一個(gè)�����,也可以是多個(gè)��,或者為被授權(quán)客戶組�����。在該實(shí)施例中�����,授權(quán)方可以為A用戶��,客戶終端I η為被授權(quán)方或者被授權(quán)方用戶的客戶端�,例如可以分別為被授權(quán)方B,C����,D,Ε�����。由被授權(quán)方發(fā)起的授權(quán)請(qǐng)求的該方法實(shí)施例包括以下步驟:S1001:被授權(quán)方客戶向授權(quán)服務(wù)器發(fā)出授權(quán)請(qǐng)求���,請(qǐng)求消息中包括授權(quán)方的ID���,被授權(quán)方ID,以及授權(quán)內(nèi)容的URI�。S1002:授權(quán)服務(wù)器解析授權(quán)內(nèi)容URI以及授權(quán)方ID。S1003:授權(quán)服務(wù)器根據(jù)授權(quán)內(nèi)容URI,向資源服務(wù)器請(qǐng)求建立加密通道����,并請(qǐng)求返回授權(quán)內(nèi)容的標(biāo)題title和摘要abstract��。S1004:資源服務(wù)器與授權(quán)服務(wù)器成功建立加密通道�,資源服務(wù)器向授權(quán)服務(wù)器返回授權(quán)內(nèi)容的標(biāo)題title和摘要abstract。S1005:授權(quán)服務(wù)器根據(jù)已解析授權(quán)方ID,將授權(quán)內(nèi)容的title和abstract發(fā)送給授權(quán)方��,并請(qǐng)求進(jìn)行授權(quán)對(duì)該授權(quán)資源的身份認(rèn)證����。S1006-S1008:授權(quán)方跳轉(zhuǎn)到授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器進(jìn)行身份認(rèn)證,IDP服務(wù)器進(jìn)行授權(quán)方對(duì)授權(quán)資源有效性身份認(rèn)證后�,向授權(quán)服務(wù)器返回認(rèn)證結(jié)果。在該步驟中���,若身份認(rèn)證失敗����,則可以重復(fù)向授權(quán)方請(qǐng)求授權(quán)方身份認(rèn)證的流程��,或者也可以直接終止流程���。S1009-S1011:授權(quán)服務(wù)器解析被授權(quán)方ID�,將解析出的被授權(quán)方ID發(fā)送給其對(duì)應(yīng)的IDP服務(wù)器進(jìn)行虛擬認(rèn)證。IDP服務(wù)器進(jìn)行虛擬認(rèn)證后�����,向授權(quán)服務(wù)器返回虛擬認(rèn)證結(jié)
果OS1012:授權(quán)服務(wù)器根據(jù)IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果建立待確認(rèn)授權(quán)列表����,并標(biāo)注未知ID。S1013:授權(quán)服務(wù)向授權(quán)方發(fā)送待確認(rèn)授權(quán)列表請(qǐng)求進(jìn)行授權(quán)確認(rèn)���。S1014-S1015:授權(quán)方確認(rèn)授權(quán)列表后���,向授權(quán)服務(wù)器返回確認(rèn)后授權(quán)列表。S1016:授權(quán)服務(wù)器根據(jù)確認(rèn)后授權(quán)列表建立授權(quán)返回地址列表�。S1017:授權(quán)服務(wù)器生成授權(quán)碼和授權(quán)密匙。S1018:授權(quán)服務(wù)器根據(jù)授權(quán)返回地址列表將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)方ID對(duì)應(yīng)的地址����。S1019:授權(quán)服務(wù)器將授權(quán)返回地址列表,授權(quán)碼和授權(quán)密匙發(fā)送給資源服務(wù)器�。S1020:被授權(quán)方通過向資源服務(wù)器發(fā)送授權(quán)碼以及根據(jù)被授權(quán)方ID和授權(quán)密匙生成的簽名請(qǐng)求授權(quán)內(nèi)容。
S1021:資源服務(wù)器根據(jù)被授權(quán)方發(fā)出的請(qǐng)求核對(duì)授權(quán)碼以及簽名通過后�,向被授權(quán)方返回授權(quán)內(nèi)容��。在該實(shí)施例中�,上述步驟S1012-1015為可選步驟��,也就是說授權(quán)服務(wù)器可以直接根據(jù)IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果直接建立授權(quán)返回地址列表�����,不需要向授權(quán)方請(qǐng)求進(jìn)行授權(quán)確認(rèn)����。這樣可以簡化開放式認(rèn)證的流程����。在本發(fā)明實(shí)施例中,由被授權(quán)方發(fā)起授權(quán)請(qǐng)求�����,授權(quán)服務(wù)器向授權(quán)方請(qǐng)求進(jìn)行授權(quán)方身份認(rèn)證的同時(shí)����,請(qǐng)求授權(quán)方對(duì)授權(quán)內(nèi)容的標(biāo)題和摘要進(jìn)行確認(rèn),保證了授權(quán)方對(duì)授權(quán)內(nèi)容監(jiān)控的安全性����。這種開放式認(rèn)證方法同時(shí)還簡化開放式認(rèn)證的流程����,本發(fā)明實(shí)施例還提供一種實(shí)現(xiàn)開放式認(rèn)證的授權(quán)裝置�����。所述實(shí)現(xiàn)開放式認(rèn)證授權(quán)的裝置具體可以為授權(quán)服務(wù)器���。如圖11所示�����,所述實(shí)現(xiàn)開放式認(rèn)證授權(quán)的裝置包括:交互單元1101和處理器1102�。所述交互單元1101用于接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求�����。所述授權(quán)請(qǐng)求包括:授權(quán)方ID��、被授權(quán)方ID��、以及授權(quán)內(nèi)容的URI����。所述交互單元1101還用于根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證�����,并接收被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果�����。所述處理器1102用于根據(jù)虛擬認(rèn)證結(jié)果生成返回地址列表�,并生成授權(quán)信息�����。所述交互單元1101還用于將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間����,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器�,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI。所述交互單元1101還用于根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給資源服務(wù)器�。本發(fā)明實(shí)施例中的所述處理器1102還用于對(duì)授權(quán)方ID、被授權(quán)方ID以及授權(quán)內(nèi)容的URI進(jìn)行解析�����。所述處理器1102還用于對(duì)被授權(quán)方ID進(jìn)行處理。首先將被授權(quán)方ID初始化��。初始化的被授權(quán)方ID中包括參數(shù):域參數(shù)(〈Authority〉)表示這個(gè)ID的提供商既IDP服務(wù)器����;以及未知參數(shù)(〈unknown〉)表示該客戶client ID的地址是否能夠被所述處理器1102解析出來,以及是否能夠被其對(duì)應(yīng)的IDP服務(wù)器識(shí)別���。所述處理器1102解析初始化的被授權(quán)方ID�����,倘若該ID可以被解析�,并且〈Authority〉的值可以被識(shí)別�����,則該ID中〈unknown〉一項(xiàng)的值為空���,否則會(huì)被賦值為“yes”�。所述處理器1102會(huì)將所有的〈unknown〉值為空的被授權(quán)方ID根據(jù)相同〈Authority〉值進(jìn)行分類���。并將分好類的被授權(quán)方ID群組進(jìn)行結(jié)構(gòu)化處理后�����,通過https協(xié)議與〈Authority〉里描述的IDP服務(wù)器建立連接���,并由交互單元1101發(fā)送請(qǐng)求至所述IDP服務(wù)器虛擬認(rèn)證接口進(jìn)行虛擬認(rèn)證��。本發(fā)明實(shí)現(xiàn)開放式認(rèn)證的授權(quán)裝置另一實(shí)施例中����,所述處理器1102還用于根據(jù)所述交互單元1101接收的被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果�,生成待確認(rèn)授權(quán)列表向授權(quán)方請(qǐng)求授權(quán)確認(rèn),并根據(jù)授權(quán)方返回的確認(rèn)結(jié)果生成返回地址列表��。所述處理器1102生成待確認(rèn)授權(quán)列表的同時(shí)�����,還可以標(biāo)注未識(shí)別的未知ID�����。本發(fā)明實(shí)現(xiàn)開放式認(rèn)證的授權(quán)裝置另一實(shí)施例中����,所述交互單元1101還用于根據(jù)接收到的授權(quán)請(qǐng)求中的授權(quán)方ID向授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求對(duì)授權(quán)方進(jìn)行有效性認(rèn)證,接收IDP服務(wù)器返回對(duì)授權(quán)方對(duì)授權(quán)內(nèi)容的有效性進(jìn)行身份認(rèn)證的認(rèn)證結(jié)果��。本發(fā)明實(shí)現(xiàn)開放式認(rèn)證的授權(quán)裝置另一實(shí)施例中��,所述交互單元1101還用于根據(jù)解析的資源內(nèi)容URI信息向資源內(nèi)容所在的資源服務(wù)器請(qǐng)求建立加密通道���,并完成與資源服務(wù)器建立加密通道�。本發(fā)明實(shí)施例中��,所述交互單元1101還可以用于向請(qǐng)求授權(quán)內(nèi)容的標(biāo)題title和摘要abstract����,并接收資源服務(wù)器返回的授權(quán)內(nèi)容的標(biāo)題和摘要。本發(fā)明實(shí)現(xiàn)開放式認(rèn)證的授權(quán)裝置另一實(shí)施例中��,所述交互單元1101還用于向發(fā)送授權(quán)內(nèi)容的標(biāo)題title和摘要abstract�。通過本發(fā)明實(shí)施例的開放式認(rèn)證的授權(quán)裝置可以靈活地實(shí)現(xiàn)開放式認(rèn)證授權(quán)。通過本發(fā)明的實(shí)施例可以通過開放式認(rèn)證的授權(quán)裝置根據(jù)虛擬認(rèn)證的結(jié)果直接建立授權(quán)返回地址列表�,不需要向授權(quán)方發(fā)送待確認(rèn)授權(quán)列表,這樣可以簡化開放式認(rèn)證的流程��,方便用戶實(shí)現(xiàn)開放式認(rèn)證���。通過本發(fā)明的實(shí)施例�,也可以通過開放式認(rèn)證的授權(quán)裝置根據(jù)虛擬認(rèn)證的結(jié)果建立待確認(rèn)授權(quán)列表,向授權(quán)方發(fā)送待確認(rèn)授權(quán)列表����,請(qǐng)求授權(quán)方進(jìn)行授權(quán)確認(rèn),同時(shí)請(qǐng)求進(jìn)行授權(quán)方身份認(rèn)證�����,根據(jù)授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器返回的身份認(rèn)證結(jié)果和授權(quán)方返回的確認(rèn)后授權(quán)列表建立授權(quán)返回地址列表���,實(shí)現(xiàn)開放式認(rèn)證���。這種開放式認(rèn)證方法簡化開放式認(rèn)證的流程,減少了開放式認(rèn)證的授權(quán)裝置和授權(quán)方之間的交互����,通過該實(shí)施例的技術(shù)方案�,不需要事先進(jìn)行授權(quán)方的身份認(rèn)證,而在虛擬認(rèn)證完成后�����,將身份認(rèn)證和授權(quán)確認(rèn)相結(jié)合,從而不僅可以保證了開放式認(rèn)證的授權(quán)安全性和有效性����,并且使得開放式認(rèn)證流程更為簡潔。本發(fā)明實(shí)施例為了實(shí)現(xiàn)跨域授權(quán)或者批量授權(quán)��,授權(quán)服務(wù)器需要對(duì)被授權(quán)方的身份有效性進(jìn)行統(tǒng)一的驗(yàn)證�。本發(fā)明實(shí)施例中采用虛擬認(rèn)證方式實(shí)現(xiàn)認(rèn)證,還可以通過授權(quán)方確認(rèn)的方式來保證被授權(quán)方身份有效性�。通過本發(fā)明實(shí)施例的技術(shù)方案,避免授權(quán)流程中由于等待所有被授權(quán)方身份驗(yàn)證時(shí)所造成的時(shí)延����,提高了認(rèn)證授權(quán)的效率。本發(fā)明實(shí)施例中采取的虛擬認(rèn)證方式��,是指利用授權(quán)方/被授權(quán)方和其IDP服務(wù)器之間的信任關(guān)系���,IDP服務(wù)器對(duì)不屬于本認(rèn)證域的ID進(jìn)行標(biāo)注并返回���。例如,在本發(fā)明實(shí)施例中���,Iro服務(wù)器可以將不屬于本認(rèn)證域的ID標(biāo)注為未知unknown���。虛擬認(rèn)證是對(duì)授權(quán)服務(wù)器提供了一個(gè)對(duì)所有相關(guān)被授權(quán)方的虛擬認(rèn)證��,利用各個(gè)IDP服務(wù)器為其涵蓋的ID提供臨時(shí)性的擔(dān)保����,無需在此階段與授權(quán)方/被授權(quán)方進(jìn)行交互��。通過虛擬認(rèn)證����,將實(shí)際的身份認(rèn)證流程交給每一個(gè)被授權(quán)方以及其對(duì)應(yīng)的IDP服務(wù)器,減少了授權(quán)服務(wù)器的負(fù)荷�。因而避免了授權(quán)服務(wù)器由于被授權(quán)方身份有效性驗(yàn)證問題而產(chǎn)生阻礙授權(quán)流程的情況。本發(fā)明實(shí)施例中的客戶ID即為被授權(quán)方ID����。在本發(fā)明實(shí)施例的虛擬認(rèn)證過程中,授權(quán)服務(wù)器可以首先將客戶ID初始化���。初始化的客戶ID包含參數(shù):域參數(shù)〈Authority〉表示這個(gè)ID的提供商既IDP服務(wù)器�����,以及未知參數(shù)〈unknown〉表示該客戶client ID的地址是否能夠被授權(quán)服務(wù)器解析出來,以及是否能夠被其對(duì)應(yīng)的IDP服務(wù)器識(shí)別。授權(quán)服務(wù)器解析初始化的客戶ID,倘若該ID可以被解析,并且〈Authority〉的值可以被識(shí)別�,則該ID中〈unknown〉一項(xiàng)的值為空,否則會(huì)被賦值為“yes”����。授權(quán)服務(wù)器將所有的〈unknown〉值為空的客戶ID根據(jù)相同〈Authority〉值進(jìn)行分類。并將分好類的客戶ID群組進(jìn)行結(jié)構(gòu)化處理后�,通過https協(xié)議與〈Authority〉里描述的IDP服務(wù)器建立連接,并發(fā)送請(qǐng)求至其虛擬認(rèn)證接口進(jìn)行驗(yàn)證����。IDP服務(wù)器在接收到來自授權(quán)服務(wù)器的請(qǐng)求后,將封裝在請(qǐng)求中的客戶ID中的<ID>值取出����,并和本地存儲(chǔ)的所有ID進(jìn)行匹配。若有相同匹配��,則證明該客戶在該IDP服務(wù)器中為有效用戶��。IDP服務(wù)器在該ID中的〈unknown〉賦值為“no”���,否則賦值為“yes”����。IDP服務(wù)器完成對(duì)請(qǐng)求中每一個(gè)客戶ID進(jìn)行驗(yàn)證后,將結(jié)果發(fā)送回授權(quán)服務(wù)器��。授權(quán)服務(wù)器根據(jù)收到的認(rèn)證結(jié)果���,將所有的客戶ID匯總后建立一個(gè)授權(quán)確認(rèn)列表���。本發(fā)明實(shí)施例完成虛擬認(rèn)證后,還可以通過授權(quán)方進(jìn)行授權(quán)確認(rèn)保證該技術(shù)方案的安全性�����。因?yàn)閮H僅通過虛擬認(rèn)證是不足以能夠確認(rèn)被授權(quán)方身份的有效性的�,因?yàn)榭蛻舨]有提供其私有的信用憑證來證明其身份的有效性。因此��,為了補(bǔ)充證明客戶的身份����,需要授權(quán)方對(duì)被授權(quán)客戶的ID進(jìn)行再一次的確認(rèn)。這樣的好處有可以防止被授權(quán)客戶的返回地址被篡改�,或者是由于授權(quán)請(qǐng)求方的輸入錯(cuò)位而導(dǎo)致的對(duì)錯(cuò)誤ID的授權(quán)。由于對(duì)開放式ID管理的支持����,授權(quán)確認(rèn)可以針對(duì)非授權(quán)服務(wù)器支持的信任框架內(nèi)的ID進(jìn)行授權(quán)�����。從而更好的支持跨域的授權(quán)。在虛擬認(rèn)證之后��,授權(quán)服務(wù)器需要對(duì)被授權(quán)客戶ID的有效性通過授權(quán)方確認(rèn)���。倘若授權(quán)請(qǐng)求不是由授權(quán)用戶發(fā)出而是由被授權(quán)客戶發(fā)出�����,則授權(quán)服務(wù)器需要通過授權(quán)資源URI向其對(duì)應(yīng)的資源服務(wù)器去獲取該授權(quán)資源的標(biāo)題和摘要�。授權(quán)確認(rèn)請(qǐng)求包含以下關(guān)鍵參數(shù):資源參數(shù)(〈resource〉)為授權(quán)內(nèi)容的URI����,可以是一個(gè)URI,也可以是一個(gè)URI的列表����。其中,每一個(gè)〈resource〉包含三個(gè)子參數(shù):資源URI〈resourceURI>包含該resource的URI地址���,標(biāo)題參數(shù)〈title〉描述該resource的題目��,摘要參數(shù)〈abstract〉表示該resource的摘要���。授權(quán)方在收到由授權(quán)服務(wù)器發(fā)送過來的授權(quán)確認(rèn)請(qǐng)求后�����,根據(jù)授權(quán)列表中附帶的〈resource〉信息����,授權(quán)方可以得知授權(quán)內(nèi)容的具體信息包括標(biāo)題和摘要�。在對(duì)屬于自身數(shù)據(jù)的授權(quán)內(nèi)容了解的情況下,授權(quán)方可以依據(jù)client ID中的ID屬性����,來決定是否對(duì)該ID進(jìn)行授權(quán)。若同意授權(quán)�����,則該ID描述中的〈AuthorizationStatus〉被賦值為“yes”,否則為“no”���。當(dāng)授權(quán)方完成針對(duì)該授權(quán)資源的所有被授權(quán)客戶ID的授權(quán)確認(rèn)之后�,返回修改后的授權(quán)確認(rèn)列表給授權(quán)服務(wù)器����。授權(quán)服務(wù)器發(fā)送授權(quán)確認(rèn)請(qǐng)求給授權(quán)用戶����,授權(quán)用戶的代理在接收到授權(quán)確認(rèn)請(qǐng)求后���,將收到的請(qǐng)求消息轉(zhuǎn)化為可視的用戶友好的界面呈現(xiàn)給用戶,例如下圖���。用戶在界面上可以獲取授權(quán)內(nèi)容的信息從而得知自己的哪些數(shù)據(jù)將會(huì)被授權(quán)�。用戶還可以看到一個(gè)關(guān)于被授權(quán)客戶列表�,被授權(quán)客戶列表包括該客戶的域authority, ID以及該ID的狀態(tài),即是否為未知ID。授權(quán)用戶根據(jù)以上信息��,決定是否為被授權(quán)客戶列表中的客戶進(jìn)行授權(quán)�����,如果確認(rèn)授權(quán)����,則針對(duì)該客戶進(jìn)行授權(quán)確認(rèn),例如打鉤�。若客戶沒有被用戶授權(quán)確認(rèn)�,則該客戶不會(huì)被授權(quán)����。當(dāng)用戶完成授權(quán)確認(rèn)時(shí),用戶代理將授權(quán)確認(rèn)信息發(fā)送回授權(quán)服務(wù)器����,如圖12用戶確認(rèn)授權(quán)界面所示。圖12為本發(fā)明實(shí)施例中授權(quán)用戶確認(rèn)的具體展現(xiàn)界面�。該授權(quán)確認(rèn)列表包含了兩部分。第一部分是關(guān)于授權(quán)資源的具體信息�����,是由授權(quán)服務(wù)器預(yù)先和授權(quán)資源所在的資源服務(wù)器交互所獲得的該授權(quán)資源的標(biāo)題和摘要�����。由此可知�,該授權(quán)請(qǐng)求是有被授權(quán)客戶發(fā)出的而不是由授權(quán)用戶發(fā)出。授權(quán)用戶根據(jù)此信息可以得知自己什么數(shù)據(jù)將會(huì)被授權(quán)���。若授權(quán)用戶在得知標(biāo)題和摘要的情況下還不清楚授權(quán)內(nèi)容�,則可以通過點(diǎn)擊地址,登錄相應(yīng)的資源服務(wù)器去查看授權(quán)資源的具體內(nèi)容��。授權(quán)確認(rèn)列表的第二部分包含所有被授權(quán)客戶的ID��。授權(quán)用戶可以根據(jù)ID名����,該ID所屬的IDP域名即其authority,以及其status描述該ID是否能被解析,這些信息來判定是否對(duì)該ID進(jìn)行授權(quán)��。在該實(shí)施例中���,若確認(rèn)授權(quán)則會(huì)對(duì)該ID打鉤。在本發(fā)明實(shí)施例中�,授權(quán)方可以確定是否授權(quán)給未知客戶,例如����,第二個(gè)ID cdeihotmail.com的status為unknown,意味著該ID不能被授權(quán)服務(wù)器和IDP所解析。如果授權(quán)用戶熟知ID cde@hotmail.com,則可以強(qiáng)制對(duì)該ID進(jìn)行授權(quán)確認(rèn)�。也就是說,該ID是屬于授權(quán)服務(wù)器信任框架之外的IDP的ID范疇�。本發(fā)明另一實(shí)施例中,例如第四個(gè)ID xyziyaho0.com.cn,其status是unknown,意味著該ID不能被授權(quán)服務(wù)器和IDP所解析���,如果授權(quán)用戶不信任該ID�����,則該ID將不會(huì)得到授權(quán)用戶確認(rèn)��。授權(quán)服務(wù)器在收到授權(quán)用戶返回的授權(quán)確認(rèn)信息之后���,將用戶授權(quán)確認(rèn)了的用戶進(jìn)行整合����。授權(quán)服務(wù)器生成授權(quán)碼和授權(quán)密匙���。首先�,授權(quán)服務(wù)器將整理后的被授權(quán)客戶列表�����,授權(quán)碼和授權(quán)密匙通過之前建立的加密通道發(fā)送給資源服務(wù)器�。然后,授權(quán)服務(wù)器將授權(quán)碼和授權(quán)密匙發(fā)送給被授權(quán)客戶列表中的每一個(gè)客戶�。具體地可以發(fā)送到所述客戶ID所屬IDP服務(wù)器所對(duì)應(yīng)的私有空間。當(dāng)授權(quán)服務(wù)器完成了以上兩個(gè)步驟���,整個(gè)跨域批量統(tǒng)一授權(quán)的流程結(jié)束�����。被授權(quán)客戶登錄其ID所屬IDP服務(wù)器��,進(jìn)入其私有空間獲取授權(quán)服務(wù)器發(fā)送的授權(quán)碼和授權(quán)密匙����。被授權(quán)客戶通過獲取的授權(quán)碼和授權(quán)密匙和資源服務(wù)器進(jìn)行https交互,客戶輸入授權(quán)碼和授權(quán)密匙以及授權(quán)內(nèi)容URI����。資源服務(wù)器根據(jù)授權(quán)內(nèi)容URI檢查客戶的授權(quán)碼和授權(quán)密匙,同時(shí)還需要檢查附帶的有效期屬性和單次值屬性��,以防止重放攻擊�����。如果驗(yàn)證通過�,則資源服務(wù)器返回用授權(quán)碼加密后的授權(quán)資源內(nèi)容給客戶���。通過本發(fā)明上述實(shí)施例提供的技術(shù)方案在該實(shí)施例中����,可以通過授權(quán)服務(wù)器根據(jù)虛擬認(rèn)證的結(jié)果直接建立授權(quán)返回地址列表,不需要向授權(quán)方發(fā)送待確認(rèn)授權(quán)列表���,這樣可以簡化開放式認(rèn)證的流程�,方便用戶實(shí)現(xiàn)開放式認(rèn)證���。還可以通過授權(quán)服務(wù)器根據(jù)虛擬認(rèn)證的結(jié)果建立待確認(rèn)授權(quán)列表�,向授權(quán)方發(fā)送待確認(rèn)授權(quán)列表��,請(qǐng)求授權(quán)方進(jìn)行授權(quán)確認(rèn)�,同時(shí)請(qǐng)求進(jìn)行授權(quán)方 身份認(rèn)證,根據(jù)授權(quán)方ID對(duì)應(yīng)的IDP服務(wù)器返回的身份認(rèn)證結(jié)果和授權(quán)方返回的確認(rèn)后授權(quán)列表建立授權(quán)返回地址列表����,實(shí)現(xiàn)開放式認(rèn)證。這種開放式認(rèn)證方法簡化開放式認(rèn)證的流程���,減少了授權(quán)服務(wù)器和授權(quán)方之間的交互���,通過該實(shí)施例的技術(shù)方案,不需要事先進(jìn)行授權(quán)方的身份認(rèn)證���,而在虛擬認(rèn)證完成后����,將身份認(rèn)證和授權(quán)確認(rèn)相結(jié)合,從而不僅可以保證了開放式認(rèn)證的授權(quán)安全性和有效性����,并且使得開放式認(rèn)證流程更為簡潔。本領(lǐng)域普通技術(shù)人員可知���,上述方法中的全部或部分步驟可以通過程序指令相關(guān)的硬件完成��,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中���,該計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)如ROM、RAM和光盤等����。綜上所述,以上僅為本發(fā)明的較佳實(shí)施例而已�����,并非用于限定本發(fā)明的保護(hù)范圍���。凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1.一種開放式認(rèn)證的授權(quán)方法,其特征在于����,包括步驟: 授權(quán)服務(wù)器接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求,所述授權(quán)請(qǐng)求包括:授權(quán)方ID�����、被授權(quán)方ID����、以及授權(quán)內(nèi)容的URI ; 授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證�,接收被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果; 授權(quán)服務(wù)器生成返回地址列表�,并生成授權(quán)信息��; 授權(quán)服務(wù)器將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間�,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器���,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI �����; 授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給資源服務(wù)器����。
2.如權(quán)利要求1所述的方法����,其特征在于,包括步驟:被授權(quán)方根據(jù)授權(quán)信息向資源服務(wù)器獲取授權(quán)內(nèi)容�����。
3.如權(quán)利 要求1所述的方法�,其特征在于,還包括步驟:授權(quán)服務(wù)器根據(jù)被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果�,生成待確認(rèn)授權(quán)列表向授權(quán)方請(qǐng)求授權(quán)確認(rèn),并接收授權(quán)方返回的確認(rèn)后的授權(quán)列表,根據(jù)確認(rèn)后的授權(quán)列表生成返回地址列表�����。
4.如權(quán)利要求1所述的方法��,其特征在于���,還包括步驟:授權(quán)服務(wù)器根據(jù)接收到的授權(quán)請(qǐng)求中的授權(quán)方ID向授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求對(duì)授權(quán)方進(jìn)行有效性認(rèn)證,IDP服務(wù)器對(duì)授權(quán)方對(duì)授權(quán)內(nèi)容的有效性進(jìn)行身份認(rèn)證��,并向授權(quán)服務(wù)器返回認(rèn)證結(jié)果����。
5.如權(quán)利要求3所述的方法,其特征在于����,所述授權(quán)請(qǐng)求方為被授權(quán)方,則該方法還包括步驟: 授權(quán)服務(wù)器根據(jù)解析的資源內(nèi)容URI信息向資源內(nèi)容所在的資源服務(wù)器請(qǐng)求建立加密通道����,以及授權(quán)內(nèi)容的標(biāo)題和摘要; 資源服務(wù)器與授權(quán)服務(wù)器成功建立加密通道���,并返回授權(quán)內(nèi)容的標(biāo)題和摘要�。
6.如權(quán)利要求1-5所述任一方法,其特征在于��,所述虛擬認(rèn)證為根據(jù)授權(quán)方ID/被授權(quán)方ID和其對(duì)應(yīng)IDP服務(wù)器之間的信任關(guān)系�,IDP服務(wù)器對(duì)授權(quán)方ID/被授權(quán)方ID進(jìn)行認(rèn)證,對(duì)于不屬于所述IDP服務(wù)器認(rèn)證域的ID進(jìn)行標(biāo)注為未知并返回給授權(quán)服務(wù)器���。
7.如權(quán)利要求1-5所述任一方法����,其特征在于���,所述接收被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果具體為:IDP服務(wù)器根據(jù)接收到授權(quán)服務(wù)器的請(qǐng)求將封裝在請(qǐng)求中的客戶ID中的ID值取出�,并和本地存儲(chǔ)的所有ID進(jìn)行匹配�����,若有相同匹配����,IDP服務(wù)器在該ID中的未知參數(shù)(〈unknown〉)賦值為“no”,否則賦值為“yes”����,將認(rèn)證結(jié)果返回給授權(quán)服務(wù)器���。
8.如權(quán)利要求7所述的方法,其特征在于�,所述被授權(quán)方ID包括域參數(shù) Authority 和未知參數(shù)(〈unknown〉)�,則在請(qǐng)求進(jìn)行虛擬認(rèn)證之前還包括步驟:授權(quán)服務(wù)器解析初始化的被授權(quán)方ID,倘若所述被授權(quán)方ID可以被解析,并且〈Authority〉的值可以被識(shí)別,未知〈unknown〉一項(xiàng)的值為空,否則會(huì)被賦值為“yes”�����。
9.如權(quán)利要求8所述的方法���,其特征在于���,還包括步驟:授權(quán)服務(wù)器將所有的〈unknown〉值為空的被授權(quán)方ID根據(jù)相同〈Authority〉值進(jìn)行分類,將分好類的被授權(quán)方ID群組進(jìn)行結(jié)構(gòu)化處理后,通過https協(xié)議與〈Authority〉里描述的IDP服務(wù)器建立連接,發(fā)送請(qǐng)求至所述IDP服務(wù)器虛擬認(rèn)證接口進(jìn)行虛擬認(rèn)證��。
10.一種開放式認(rèn)證的授權(quán)裝置�,其特征在于,包括交互單元1101和處理器1102�,其中: 所述交互單元1101用于接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求,所述授權(quán)請(qǐng)求包括:授權(quán)方ID、被授權(quán)方ID�����、以及授權(quán)內(nèi)容的URI ; 所述交互單元1101還用于根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證���,并接收被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果���; 所述處理器1102用于對(duì)授權(quán)方ID、被授權(quán)方ID以及授權(quán)內(nèi)容的URI進(jìn)行解析�,根據(jù)虛擬認(rèn)證結(jié)果生成返回地址列表,并生成授權(quán)信息����; 所述交互單元1101還用于將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器�,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI ; 所述交互單元1101還用于根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給資源服務(wù)器����。
11.如權(quán)利要求10所述的裝置,其特征在于��,還包括處理器1102還用于根據(jù)接收到的授權(quán)請(qǐng)求中的授權(quán)方ID向授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求對(duì)授權(quán)方進(jìn)行有效性認(rèn)證���,接收IDP服務(wù)器返回對(duì)授權(quán)方對(duì)授權(quán)內(nèi)容的有效性進(jìn)行身份認(rèn)證的認(rèn)證結(jié)果���,根據(jù)所述交互單元1101接收的被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果��,生成待確認(rèn)授權(quán)列表向授權(quán)方請(qǐng)求授權(quán)確認(rèn)���,并根據(jù)授權(quán)方返回的確認(rèn)結(jié)果生成返回地址列表。
12.如權(quán)利要求10或11所述的裝置����,其特征在于�����,所述被授權(quán)方ID包括:域參數(shù) Authority 和未知參數(shù)(〈unknown〉)�,所述處理器1102還用于解析初始化的被授權(quán)方ID,倘若所述被授權(quán)方ID可以被解析,并且〈Authority〉的值可以被識(shí)別,〈unknown〉一項(xiàng)的值為空���,否則會(huì)被賦值為“yes”�����。
13.如權(quán)利要求12所述裝置���,其特征在于����,所述處理器1102還用于將所有的〈unknown〉值為空的被授權(quán)方ID根據(jù)相同〈Authority〉值進(jìn)行分類,將分好類的被授權(quán)方ID群組進(jìn)行結(jié)構(gòu)化處理后,通過https協(xié)議與〈Authority〉里描述的IDP服務(wù)器建立連接�����,發(fā)送請(qǐng)求至所述IDP服務(wù)器虛擬認(rèn)證接口進(jìn)行虛擬認(rèn)證�。
14.一種實(shí)現(xiàn)開放式認(rèn)證的授權(quán)系統(tǒng),其特征在于�����,包括:授權(quán)服務(wù)器����、IDP服務(wù)器、資源服務(wù)器�,其中: 所述授權(quán)服務(wù)器接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求,所述授權(quán)請(qǐng)求包括:授權(quán)方ID����、被授權(quán)方ID、以及授權(quán)內(nèi)容的URI �; 所述授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證,接收被授權(quán)方ID所屬的IDP服務(wù)器返回的認(rèn)證結(jié)果���; 被授權(quán)方ID所屬的IDP服務(wù)器對(duì)被授權(quán)方ID進(jìn)行虛擬認(rèn)證����,向授權(quán)服務(wù)器返回虛擬認(rèn)證結(jié)果; 所述授權(quán)服務(wù)器還用于生成返回地址列表���,并生成授權(quán)信息�����,將授權(quán)信息發(fā)送到被授權(quán)方所屬的IDP服務(wù)器的私有空間�����,使得被授權(quán)方根據(jù)被授權(quán)方ID和密碼登錄被授權(quán)方所屬的IDP服務(wù)器,進(jìn)入被授權(quán)方所屬的IDP服務(wù)器的私有空間獲取授權(quán)信息以及授授權(quán)內(nèi)容的URI�����,授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給所述資源服務(wù)器�����。
15.如權(quán)利要求14所述的系統(tǒng)����,其特征在于��,所述被授權(quán)方ID包括:域參數(shù) Authority 和未知參數(shù)(〈unknown〉)�����,授權(quán)服務(wù)器還用于解析初始化的被授權(quán)方ID,倘若所述被授權(quán)方ID可以被解析,并且〈Authority〉的值可以被識(shí)別�,〈unknown〉一項(xiàng)的值為空��,否則會(huì)被賦值為“yes”����。
16.如權(quán)利要求14或15所述的系統(tǒng),其特征在于�,授權(quán)服務(wù)器還用于將所有的〈unknown〉值為空的被授權(quán)方ID根據(jù)相同〈Authority〉值進(jìn)行分類,將分好類的被授權(quán)方ID群組進(jìn)行結(jié)構(gòu)化處理后,通過https協(xié)議與〈Authority〉里描述的IDP服務(wù)器建立連接,發(fā)送請(qǐng)求至所述IDP服務(wù)器虛擬認(rèn)證接口進(jìn)行虛擬認(rèn)證����。
17.如權(quán)利要求16所述的系統(tǒng),其特征在于�����,IDP服務(wù)器還用于根據(jù)接收到授權(quán)服務(wù)器的請(qǐng)求將封裝在請(qǐng)求中的客戶ID中的<ID>值取出�����,并和本地存儲(chǔ)的所有ID進(jìn)行匹配,若有相同匹配��,IDP服務(wù)器在該ID中的〈unknown〉賦值為“no”���,否則賦值為“yes”���,將認(rèn)證結(jié)果返回給授 權(quán)服務(wù)器。
全文摘要
本發(fā)明實(shí)施例提供一種開放式認(rèn)證的授權(quán)方法��、裝置和系統(tǒng)�。該開放式認(rèn)證的授權(quán)方法包括步驟授權(quán)服務(wù)器接收授權(quán)請(qǐng)求方發(fā)送的授權(quán)請(qǐng)求,所述授權(quán)請(qǐng)求包括授權(quán)方ID�����、被授權(quán)方ID���、以及授權(quán)內(nèi)容的URI;授權(quán)服務(wù)器根據(jù)授權(quán)請(qǐng)求中的被授權(quán)方ID向被授權(quán)方ID所屬的IDP服務(wù)器請(qǐng)求進(jìn)行虛擬認(rèn)證����,接收被授權(quán)方ID所屬的IDP服務(wù)器返回的虛擬認(rèn)證結(jié)果��;授權(quán)服務(wù)器生成返回地址列表���,并生成授權(quán)信息,將授權(quán)信息發(fā)送給被授權(quán)方ID對(duì)應(yīng)地址����,授權(quán)服務(wù)器根據(jù)授權(quán)資源的URI將授權(quán)信息發(fā)送給資源服務(wù)器。通過本發(fā)明實(shí)施例����,實(shí)現(xiàn)認(rèn)證和授權(quán)相分離,實(shí)現(xiàn)跨域授權(quán)和跨域批量授權(quán)���。
文檔編號(hào)H04L29/06GK103139181SQ20111039348
公開日2013年6月5日 申請(qǐng)日期2011年12月1日 優(yōu)先權(quán)日2011年12月1日
發(fā)明者梁麟, 汪芳山 申請(qǐng)人:華為技術(shù)有限公司