亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

單點登錄方法及裝置、相關設備和應用的處理方法及裝置與流程

文檔序號:11959991閱讀:270來源:國知局
單點登錄方法及裝置、相關設備和應用的處理方法及裝置與流程

本申請涉及計算機通信領域,具體涉及一種單點登錄的方法及裝置,相關設備和應用的處理方法及裝置。



背景技術:

單點登錄(Single Sign On),簡稱為SSO,是目前比較流行的企業(yè)業(yè)務整合的解決方案之一。SSO的定義是在多個應用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng),也就是說,將登錄映射到其他應用中用于同一個用戶的登錄的機制。

在單點登錄模式中通常存在以下三個要素::Gatekeeper(入口檢查單元)、Authenticator(身份認證單元)和Credential Store(用戶憑證存儲單元),其中,Gatekeeper:對用戶的請求進行驗證和重定向;Authenticatior:對用戶進行認證;Credential Srore:憑證庫存放認證的憑證或票據(jù);一個單點登錄的過程通常包括以下四個階段:

用戶向資源擁有者發(fā)起請求,請求經過Gatekeeper,Gatekeeper會驗證用戶是否已經建立與資源擁有者的會話,若沒有則驗證是否具備單點登錄會話。

當Gatekeeper發(fā)現(xiàn)未建立單點登錄會話時,用戶被重定向至認證者頁面,提示用戶輸入賬戶信息,認證者對賬戶信息進行校驗,若成功則為用戶建立Login session。

認證者對login session進行校驗,驗證成功后Gatekeeper建立Login session。

認證者實現(xiàn)Token重定向實現(xiàn)認證者和Gatekeeper的通信。

目前主流的SSO協(xié)議有OPENID、SAML(Security Assertion Markup Language)、CAS(Central Authentication Service)和Oauth(Open Authorization)等;下面就上述SAML和Oauth協(xié)議進行介紹:

一、SAML

SAML是一種基于XML的安全描述語言,利用XML對認證和授權信息進行編碼實現(xiàn)在異構安全系統(tǒng)間信息的交換和處理。互聯(lián)網(wǎng)發(fā)展至今天,各種網(wǎng)絡應用層出不窮,用戶為了保護自己的個人信息,需要通過口令的方式作為個 人信息的安全保障,然而,若每個站點都需要各自的一套口龍,用戶將有難以控制的大量口令。所以SSO單點登錄理念開始流行,通過SSO,某個Web站點可以與其他站點共享用戶身份信息,SAML就是這種通信協(xié)議。

SAML實現(xiàn)用戶通過認證提供方(IDP)授權獲取認證,將IDP頒發(fā)的口令作為憑證去登入目標站點,目標站點可以通過口令確認用戶的信息。

SAML標準主要由聲明和請求/響應協(xié)議兩部分構成。聲明是SAML的基本數(shù)據(jù)對象,是對主體(用戶、計算機)的安全信息(身份、權限等)的XML描述形式。SAML聲明能夠傳遞三種信息:主體完成認證行為的信息、主體的屬性信息以及關于主體是否允許訪問特定資源的授權決議信息。因此,對應的SAML聲明包括三種形式:認證聲明、屬性聲明和授權決議聲明。其中認證聲明描述與認證成功事件相關的信息(如認證的機構、方式和有效期等);授權決議聲明描述許可權查詢和檢查的結果,決定是否接受主體對資源的訪問請求;屬性聲明描述與主體的認證和授權決議相關的信息(如主體的標志、所屬用戶組、角色、可訪問的資源及權限等)

如圖1所示,圖1是SAML的工作流程圖,其實現(xiàn)步驟如下:

1)Subject向IDP請求憑證(方法是提交用戶名、密碼);

2)IDP通過驗證Subject提供的信息,來確定是否提供憑證以及將服務請求同時提交給SP;

3)假如Subject的驗證信息正確,他將獲取IDP的憑證以及將服務請求同時提交給SP;

4)SP接受到Subject的憑證,它是提供服務之前必須驗證此憑證,于是,它產生了一個SAML請求,要求IDP對憑證斷言;

5)憑證是IDP產生的,它當然知道憑證的內容,于是它回應一個SAML斷言給SP;

6)SP信任IDP的SAML斷言,它會根據(jù)斷言結果確定是否為Subject提供服務。

二、Oauth協(xié)議

Oauth是一種開放的協(xié)議,為桌面程序或者基于B/S的web應用提供了一種簡單的,標準的方式去訪問需要用戶授權的API服務。Oauth認證協(xié)議具備簡單、安全、開放的特點。

Oauth認證協(xié)議包含三個帶有認證信息的URL,分別是:

a.User Authorization URL:授權Request Token訪問地址;

b.Request Token URL:未授權Request Token訪問地址;

c.Access Token URL:Access Token訪問地址。

如圖2所示,圖2為Oauth工作流程如下:

1)用戶點擊第三方應用,第三方應用向認證服務器發(fā)起請求request_token。

2)認證服務器創(chuàng)建token及密鑰并發(fā)送給第三方應用。

3)第三方應用將用戶重定向。

4)認證服務器向用戶發(fā)起申請,請求授權。

5)用戶進行授權。

6)認證服務器將用戶重定向至第三方應用服務器。

7)第三方應用服務器向認證服務器申請access_token。

8)認證服務器創(chuàng)建Access_token并發(fā)放給第三方服務器。

9)第三方服務器利用access_token申請認證服務器上的用戶資源。

上述的兩種協(xié)議均存在各自的缺點,例如:通過Oauth協(xié)議進行登錄,由于不存在多個第三方應用可以復用令牌機制,這就造成當更換第三方應用程序進行登錄時需要再次彈出登錄對話框,從而使得用戶體驗很不好,尤其在一些對操作簡易型要求較高的應用場景中,若采用這種認證授權協(xié)議,可能會造成其他的對用戶使用的影響;且在進行用戶授權過程中,需要第三方應用服務器對用戶登錄請求進行重定向至認證服務器,授權完成后重定向用戶操作至第三方應用,兩次重定向會對用戶的使用產生影響,且存在重定向過程中數(shù)據(jù)截獲的可能性。而SAML協(xié)議,能夠實現(xiàn)單次登錄多次授權,但由于基于XML的設計,授權服務器中的授權模塊僅可完成在開發(fā)階段進行授權內容的更改,且SAML協(xié)議在作為單點登錄限制使用時,其作用為通過斷言對用戶在認證服務器已經注冊過的權限內容進行驗證。在這種機制下,通過SAML協(xié)議無法實現(xiàn)用戶對第三方應用的權限管理,用戶體驗不好。

如何提供一種單點登錄的方法,能夠解決多應用授權重復申請及用戶無法再次選擇向第三方應用授權內容的不足,提高現(xiàn)有單點登錄認證協(xié)議的破解難度并改善用戶體驗。



技術實現(xiàn)要素:

本申請?zhí)峁┮环N基于登錄狀態(tài)的單點登錄方法及裝置,終端側發(fā)送登錄請求的方法及裝置,資源服務器授權認證方法及裝置,第三方應用訪問權限請求 方法及裝置,以解決現(xiàn)有上述技術問題。

本申請?zhí)峁┮环N基于登錄狀態(tài)的單點登錄方法,包括:

終端側第三方應用接收用戶應用請求,獲取登錄令牌,并經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息;

資源服務器接收并解析所述登錄狀態(tài)驗證請求,并判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用服務器發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌;

所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,所述資源服務器驗證所述請求令牌中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配,若匹配,則向所述第三方應用服務器發(fā)送訪問令牌。

優(yōu)選的,所述獲取登錄令牌,包括:

所述終端側將用戶的登錄請求發(fā)送至所述資源服務器;并接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌;所述登錄請求包括:所述終端側標識信息和用戶賬戶信息;所述登錄令牌包括:終端側標識、終端側臨時ID和登錄狀態(tài)值。

優(yōu)選的,所述終端側接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌,包括:所述終端側接收所述資源服務器發(fā)送的所述登錄令牌的失效時間選擇請求。

優(yōu)選的,所述終端側向所述第三方應用服務器發(fā)送的登錄令牌,和向所述資源服務器發(fā)送的登錄請求,采用對稱加密方式對所述登錄令牌和登錄請求中的數(shù)據(jù)加密傳輸。

優(yōu)選的,向所述第三方應用服務器發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌,還包括:所述資源服務器向所述終端側發(fā)送授權服務選擇請求;所述資源服務器接收所述終端側用戶根據(jù)所述授權服務選擇請求所選擇的授權服務內容。

優(yōu)選的,包括:封裝所述經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送的登錄狀態(tài)驗證請求;封裝所述第三方應用服務器接收的攜帶登錄令牌和第三方應用標識信息的請求令牌;封裝所述第三應用服 務器接收的訪問令牌。

優(yōu)選的,所述第三方應用服務器向所述資源服務器發(fā)送登錄狀態(tài)驗證請求,和所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,采用非對稱加密的方式,對所述登錄狀態(tài)驗證請求和申請訪問權限中的數(shù)據(jù)加密及傳輸。

優(yōu)選的,所述終端標識信息通過所述用戶的MAC地址與SIM卡中的身份信息串聯(lián)哈希獲得。

優(yōu)選的,所述登錄令牌是所述資源服務器根據(jù)所述應用請求中的數(shù)據(jù)信息以及登錄狀態(tài)數(shù)據(jù)哈希獲得。

優(yōu)選的,所述請求令牌是所述資源服務器根據(jù)所述登錄令牌和所述第三方應用標識哈希獲得。

優(yōu)選的,所述訪問令牌是所述資源服務器根據(jù)所述請求令牌和所述第三方應用標識哈希獲得。

優(yōu)選的,向所述第三方應用服務器發(fā)送訪問令牌,包括:所述資源服務器存儲所述訪問令牌,并刪除所述登錄令牌和請求令牌。

本申請還提供一種基于登錄狀態(tài)的單點登錄裝置,包括:

終端管理單元,用于終端側第三方應用接收用戶應用請求,獲取登錄令牌,并經由第三方應用管理單元向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的授權認證登錄管理單元發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息;

授權認證管理單元,用于接收并解析所述登錄狀態(tài)驗證請求,并判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述授權認證登錄管理單元中存儲的數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用管理單元發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌;

第三方應用管理單元,用于根據(jù)所述請求令牌向授權認證登錄管理單元申請訪問權限,所述授權認證登錄管理單元驗證所述請求令牌中的數(shù)據(jù)信息與所述授權認證登錄管理單元存儲的數(shù)據(jù)信息是否匹配,若匹配,則向所述第三方應用管理單元發(fā)送訪問令牌。

優(yōu)選的,所述終端管理單元包括:登錄令牌獲取單元,用于終端側將用戶的登錄請求發(fā)送至所述資源服務器,并接收所述資源服務器返回的根據(jù)所述登 錄請求生成的登錄令牌;所述登錄請求包括:所述終端側標識信息和用戶賬戶信息;所述登錄令牌包括:終端側標識、終端側臨時ID和登錄狀態(tài)值。

優(yōu)選的,所述登錄令牌獲取單元包括:失效時間選擇單元,用于接收所述資源服務器發(fā)送的所述登錄令牌的失效時間選擇請求。

優(yōu)選的,所述終端管理單元包括:第一數(shù)據(jù)加密傳輸單元,用于所述終端側向所述第三方應用服務器發(fā)送的登錄令牌,和向所述資源服務器發(fā)送的登錄請求,采用對稱加密方式對所述登錄令牌和登錄請求中的數(shù)據(jù)加密傳輸。

優(yōu)選的,所述授權認證管理單元包括:授權服務選擇請求發(fā)送單元,用于所述資源服務器向終端側發(fā)送授權服務選擇請求;授權服務選擇接收單元,用于所述終端側獲取所述用戶根據(jù)所述授權服務選擇請求所選擇的授權服務內容,并發(fā)送至所述資源服務器。

優(yōu)選的,所述第三方應用管理單元包括:封裝單元,用于封裝所述經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送的登錄狀態(tài)驗證請求;所述第三方應用服務器接收的攜帶登錄令牌和第三方應用標識信息的請求令牌;和所述第三應用服務器接收的訪問令牌。

優(yōu)選的,所述第三方應用管理單元包括:第二數(shù)據(jù)加密傳輸單元,用于所述第三方應用服務器向所述資源服務器發(fā)送登錄狀態(tài)驗證請求,和所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,采用非對稱加密的方式,對所述登錄狀態(tài)驗證請求和申請訪問權限中的數(shù)據(jù)加密及傳輸。

本申請還提供一種基于登錄狀態(tài)的終端側發(fā)送登錄請求的方法,包括:

終端側第三方應用接收應用請求獲取登錄令牌;

并經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息。

優(yōu)選的,所述獲取登錄令牌包括:所述終端側將用戶的登錄請求發(fā)送至所述資源服務器;并接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌;所述登錄請求包括:所述終端側標識信息和用戶賬戶信息;所述登錄令牌包括:終端側標識、終端側臨時ID和登錄狀態(tài)值。

優(yōu)選的,所述終端側接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌,包括:所述終端側接收所述資源服務器發(fā)送的所述登錄令牌的失效 時間選擇請求。

優(yōu)選的,所述終端側向所述第三方應用服務器發(fā)送的登錄令牌,和向所述資源服務器發(fā)送的登錄請求,采用對稱加密方式對所述登錄令牌和登錄請求中的數(shù)據(jù)加密傳輸。

本申請還提供一種基于登錄狀態(tài)的終端側發(fā)送登錄請求的裝置,包括:終端管理單元,用于終端側第三方應用接收用戶應用請求,獲取登錄令牌,并經由第三方應用管理單元向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的授權認證登錄管理單元發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息。

優(yōu)選的,所述終端管理單元包括:登錄令牌獲取單元,用于終端側將用戶的登錄請求發(fā)送至所述資源服務器,并接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌;所述登錄請求包括:所述終端側標識信息和用戶賬戶信息;所述登錄令牌包括:終端側標識、終端側臨時ID和登錄狀態(tài)值。

優(yōu)選的,所述登錄令牌獲取單元包括:失效時間選擇單元,用于接收所述資源服務器發(fā)送的所述登錄令牌的失效時間選擇請求。

優(yōu)選的,第一數(shù)據(jù)加密傳輸單元,用于所述終端側向所述第三方應用服務器發(fā)送的登錄令牌,和向所述資源服務器發(fā)送的登錄請求,采用對稱加密方式對所述登錄令牌和登錄請求中的數(shù)據(jù)加密傳輸。

本申請還提供一種基于登錄狀態(tài)的資源服務器授權認證方法,包括:

資源服務器接收并解析自來第三方應用服務器發(fā)送的登錄狀態(tài)驗證請求;

判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用服務器發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌。

優(yōu)選的,向所述第三方應用服務器發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌,還包括:

所述資源服務器向所述終端側發(fā)送授權服務選擇請求;

所述終端側獲取所述用戶根據(jù)所述授權服務選擇請求所選擇的授權服務內容,并發(fā)送至所述資源服務器。

本申請還提供一種基于登錄狀態(tài)的資源服務器授權認證裝置,包括:

授權認證管理單元,用于接收并解析所述登錄狀態(tài)驗證請求,并判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述授權認證登錄管理單元中存儲的數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用管理單元發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌。

優(yōu)選的,所述授權認證登錄管理單元包括:

授權服務選擇請求發(fā)送單元,用于所述資源服務器向終端側發(fā)送授權服務選擇請求;

授權服務選擇接收單元,用于所述終端側獲取所述用戶根據(jù)所述授權服務選擇請求所選擇的授權服務內容,并發(fā)送至所述資源服務器。

本申請還提供一種基于登錄狀態(tài)的第三方應用訪問權限請求方法,包括:

第三方應用服務器接收來自資源服務器發(fā)送的攜帶登錄令牌和第三方應用標識信息的請求令牌;

所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,所述資源服務器驗證所述請求令牌中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配,若匹配,則所述第三方應用服務器接收所述資源服務器發(fā)送的訪問令牌。

優(yōu)選的,包括:封裝所述經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送的登錄狀態(tài)驗證請求;

封裝所述第三方應用服務器接收的攜帶登錄令牌和第三方應用標識信息的請求令牌;

封裝所述第三應用服務器接收的訪問令牌。

優(yōu)選的,所述第三方應用服務器向所述資源服務器發(fā)送登錄狀態(tài)驗證請求,和所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,采用非對稱加密的方式,對所述登錄狀態(tài)驗證請求和申請訪問權限中的數(shù)據(jù)加密及傳輸。

本申請還提供一種基于登錄狀態(tài)的第三方應用訪問權限請求的裝置,包括:第三方應用管理單元,用于根據(jù)所述請求令牌向授權認證登錄管理單元申請訪問權限,所述授權認證登錄管理單元驗證所述請求令牌中的數(shù)據(jù)信息與所述授權認證登錄管理單元存儲的數(shù)據(jù)信息是否匹配,若匹配,則向所述第三方應用管理單元發(fā)送訪問令牌。

優(yōu)選的,所述第三方應用管理單元包括:封裝單元,用于封裝所述第三方應用管理單元中所述登錄令牌、所述請求令牌以及所述訪問令牌的數(shù)據(jù)信息。

優(yōu)選的,所述第三方應用管理單元包括:第二數(shù)據(jù)加密傳輸單元,用于所述第三方應用服務器向所述資源服務器發(fā)送登錄狀態(tài)驗證請求,和所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,采用非對稱加密的方式,對所述登錄狀態(tài)驗證請求和申請訪問權限中的數(shù)據(jù)加密及傳輸。

與現(xiàn)有技術相比,本申請?zhí)峁┑囊环N基于登錄狀態(tài)的單點登錄方法,通過引入登錄狀態(tài),在資源服務器與第三方應用服務器之間驗證具有登錄狀態(tài)的令牌信息是否相同,從而一方面,消除第三方應用將用戶登錄過程重定向及授權結束后再次重定向至第三方應用的過程,在增強對第三方應用安全驗證的同時,避免多個第三方應用登錄時彈出登錄框,增加用戶使用的便利性。另一方面,實現(xiàn)經過安全認證授權后才可以訪問第三方應用,并在不在本地終端保存證書的情況下實現(xiàn)對第三方應用的動態(tài)授權操作,減輕了終端上的代碼開發(fā)量,并提高了授權過程的安全性。

附圖說明

為了更清楚地說明本申請實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請中記載的一些實施例,對于本領域普通技術人員來講,還可以根據(jù)這些附圖獲得其他的附圖。

圖1是現(xiàn)有技術中采用SAML協(xié)議實現(xiàn)單點登錄的工作流程圖;

圖2是現(xiàn)有技術中采用Oauth協(xié)議實現(xiàn)單點登錄的工作流程圖;

圖3是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的單點登錄方法實施例的流程圖;

圖4是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的單點登錄裝置實施例的結構示意圖;

圖5是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的終端側發(fā)送登錄請求方法的流程圖;

圖6是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的終端側發(fā)送登錄請求裝置的結構示意圖;

圖7是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的資源服務器授權認證方法的流程圖;

圖8是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的資源服務器授權認證裝置的結構示意圖;

圖9是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的第三方應用訪問權限請求方法的流程圖;

圖10是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的第三方應用訪問權限請求裝置的結構示意圖。

具體實施方式

在下面的描述中闡述了很多具體細節(jié)以便于充分理解本申請。但是本申請能夠以很多不同于在此描述的其它方式來實施,本領域技術人員可以在不違背本申請內涵的情況下做類似推廣,因此本申請不受下面公開的具體實施的限制。

請參考圖3所示,圖3是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的單點登錄方法第一實施例的流程圖。該方法包括以下步驟:

步驟S101:終端側第三方應用接收用戶應用請求,獲取登錄令牌,并經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息。

步驟S102:資源服務器接收并解析所述登錄狀態(tài)驗證請求,并判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用服務器發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌。

步驟S103:所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,所述資源服務器驗證所述請求令牌中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配,若匹配,則向所述第三方應用服務器發(fā)送訪問令牌。

下面以終端側為移動設備,資源服務器為淘寶服務器,第三方應用服務器為微博服務器,詳細說明本申請各個步驟的實現(xiàn)過程,具體如下:

步驟S101:終端側第三方應用接收用戶應用請求,獲取登錄令牌,并經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息。

該步驟中,移動終端上的微博應用接收用戶的應用請求,并獲取移動終端 的登錄令牌,獲取的登錄令牌后經微博服務器向存儲有用戶登錄狀態(tài)數(shù)據(jù)的淘寶服務器發(fā)送登錄狀態(tài)驗證請求。在該步驟中,所述獲取登錄令牌可以采用如下方式獲得:

用戶向移動終端發(fā)起登錄請求,此處的登錄請求是用戶進入所述移動終端時的登錄請求。移動終端將登錄請求重定向至淘寶服務器;并接收所述淘寶服務器返回的根據(jù)所述登錄請求生成的登錄令牌;所述登錄請求中包括:賬戶信息和終端標識信息等信息;淘寶服務器根據(jù)登錄請求生成登錄令牌(login_token),也就是說,可以根據(jù)所述臨時ID,終端標識信息和登錄狀態(tài)等哈希獲得,因此,所述登錄令牌包括:終端側標識、終端側臨時ID和登錄狀態(tài)值。

在移動終端獲得登錄令牌后,將登錄令牌和微博應用標識信息作為登錄狀態(tài)驗證請求發(fā)送至淘寶服務器,請求淘寶服務器驗證登錄令牌與淘寶服務器中存儲的登錄狀態(tài)數(shù)據(jù)信息是否相同。

其中,所述移動終端能夠接收由淘寶服務器發(fā)送的臨時ID,并存入SIM卡的SE模塊劃定的安全域中并維護該臨時ID,用以查找與該臨時ID相對應的用戶登錄令牌等相關信息。

所述移動終端的標識信息可以通過MAC地址與SIM卡中的身份信息串聯(lián)哈希獲得。

為便于提高數(shù)據(jù)的安全性,在本實施中對所述移動終端向所述淘寶服務器發(fā)送的登錄令牌等數(shù)據(jù)信息,以及向所述微博服務器發(fā)送的登錄請求等數(shù)據(jù)信息,進行加密后傳輸。為提高數(shù)據(jù)的安全性,移動終端不保存任何私鑰證書,也就是說,移動終端的密鑰一次一密,使用一次后自動失效,因此,對于移動終端向所述淘寶服務器(資源服務器)或向微博服務器(第三方應用服務器)發(fā)送的數(shù)據(jù)信息可以采用對稱加密的方式。此處所述的數(shù)據(jù)信息包括:所述登錄令牌和第三方應用標識信息進行對稱加密處理。

所述對稱加密可以采用3DES加密算法,即:將所述臨時ID、終端側標識、登錄狀態(tài)和APPkey拼接的數(shù)據(jù)平均分成三段,構成登錄令牌與第三方應用標識的三個密鑰,進而申請密文;實現(xiàn)對登錄令牌與第三方應用標識的加密。

可以理解的是,所述對稱加密還可以選用其他加密算法,例如:DES算法,TDEA算法,Blowfish算法,RC5算法或IDEA算法等。

在上述步驟中,對于用戶的登錄狀態(tài)可以通過設置移動終端登錄狀態(tài)的失效時間實現(xiàn)對登錄狀態(tài)的控制,例如:可以通過在移動終端設置cookie來實現(xiàn),可以理解的是,也可以在淘寶服務器端通過設置session實現(xiàn)登錄令牌的失效時間;也可以設定為當用戶退出終端側第三方應用,則代表登錄狀態(tài)失效;從而更好的保護數(shù)據(jù)安全。

在該步驟中,所述移動終端向所述淘寶服務器發(fā)送的數(shù)據(jù)信息可以通過專線URL發(fā)送,也就是說,用戶信息、密碼登錄以及登錄狀態(tài)驗證請求等相關數(shù)據(jù)信息都可以通過專線URL發(fā)送至淘寶服務器。

步驟S102:資源服務器接收并解析所述登錄狀態(tài)驗證請求,并判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用服務器發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌。

在該步驟中,當所述淘寶服務器接收到登錄狀態(tài)驗證請求時,會向所述微博應用服務器申請微博應用標識(APPkey),將其與所述存儲的登錄令牌作為登錄狀態(tài)驗證請求比對的對象,如果比對結果相同,則淘寶服務器向所述微博應用服務器發(fā)送攜帶登錄令牌和微博應用標識信息的請求令牌。比較方式可以是將上述通過3DES加密的數(shù)據(jù)解密后獲得臨時ID、登錄狀態(tài)、移動終端標識和微博應用標識信息(APPkey),與存儲在淘寶服務器中的登錄令牌和微博應用標識信息比對,獲得驗證結果。

在比較結果相同,所述淘寶服務器向所述微博方應用服務器發(fā)送攜帶登錄令牌和微博應用標識信息的請求令牌之前,還可以根據(jù)微博應用功能設計,由移動終端的用戶選擇微博應用的不同授權內容,移動終端的用戶可以根據(jù)移動終端顯示的界面進行選擇并發(fā)送淘寶服務器,淘寶服務器接收所述移動終端用戶根據(jù)所述授權服務選擇請求所選擇的授權服務內容;之后根據(jù)所述授權服務內容與所述登錄令牌、微博應用標識信息向所述微博應用服務器發(fā)送請求令牌,以獲取訪問的權限。

通過授權服務選擇實現(xiàn)用戶對授權內容的選擇而非僅能通過后臺對用戶訪問資源服務器權限的驗證,增加系統(tǒng)的可用性。

需要說明的是,當微博服務器獲取到訪問令牌后,所述淘寶服務器會將發(fā)送至微博服務器的訪問令牌存儲到淘寶服務器劃定的安全域中,在微博服務器 通過訪問令牌完成相應的操作后,淘寶服務器清除請求令牌;或者淘寶服務器在發(fā)送完訪問令牌后清除清除令牌。

其中,當移動終端登錄成功后,會在淘寶服務器中維護移動終端的登錄狀態(tài),所述登錄狀態(tài)可以根據(jù)設定的登錄狀態(tài)的失效時間改變登錄狀態(tài)。另外,淘寶服務器對不同用戶登錄移動終端并在登錄成功后還會生成一個對應該用戶的隨機的臨時ID,發(fā)送至移動終端,由移動終端維護該臨時ID。

在該步驟中,由淘寶服務器根據(jù)所述移動終端發(fā)送的數(shù)據(jù)信息生成的登錄令牌(login_token),是通過臨時ID、用戶上傳的標識信息(賬戶信息)和終端標識信息哈希得到;所述請求令牌(request_token)是根據(jù)登錄令牌(login_token)與微博應用標識信息哈希生成;訪問令牌(access_token)是根據(jù)請求令牌(request_token)與微博應用標識信息哈希生成。

步驟S103:所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,所述資源服務器驗證所述請求令牌中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配,若匹配,則向所述第三方應用服務器發(fā)送訪問令牌。

在該步驟中,微博應用服務器根據(jù)獲得的請求令牌向淘寶服務器申請訪問的權限,淘寶服務器將請求令牌中的數(shù)據(jù)信息與其存儲的登錄狀態(tài)數(shù)據(jù)比對,比對結果相同,則向所述微博服務器發(fā)送訪問令牌。此時,微博服務器可以通過訪問令牌獲取到淘寶賬號信息,也就是說,在進入微博應用時,可以通過淘寶服務器中相關的淘寶賬戶信息登錄微博應用,進而避免繁瑣的注冊等步驟。同時,本申請的驗證過程是在微博服務器與淘寶服務器之間進行,不存在移動終端的驗證,因此,不會在登錄請求驗證過程中重定向至移動終端,而導致用戶多次輸入,降低使用的便捷性。

在該步驟中,所述微博應用服務器向所述淘寶服務器發(fā)送的數(shù)據(jù)信息可以通過SDK(軟件開發(fā)工具包:Software Development Kit)封裝后發(fā)送。

根據(jù)上述可以獲知,所述微博應用服務器向所述淘寶服務器和所述移動終端所要獲取的數(shù)據(jù)信息包括:

1.接收登錄令牌向淘寶服務器發(fā)送登錄狀態(tài)驗證請求。

2.接收攜帶登錄令牌和微博應用標識信息的請求令牌。

3.接收來自淘寶服務器發(fā)送的訪問令牌。

上述登錄令牌(Login_token)、請求令牌(request_token)以及訪問令牌 (access_token),所述三個令牌的數(shù)據(jù)信息可以在微博應用服務器的SDK中,通過三條專用的封裝線實現(xiàn)封裝,即:登錄令牌(Login_token)通過登錄令牌封裝線URL封裝;所述請求令牌(request_token)通過請求令牌封裝線URL將登錄令牌與第三方應用標識信息封裝(Login_token+Appkey);所述訪問令牌(access_token)通過訪問令牌封裝線URL將請求令牌與第三方應用標識信息封裝(access_token+Appkey)。

通過微博應用服務器SDK的封裝,能夠實現(xiàn)對移動終端登錄令牌的調用,防止非授權的其他應用調用登錄令牌。

為提高微博應用服務與所述淘寶服務器之間數(shù)據(jù)傳輸?shù)陌踩裕鑫⒉梅掌鲗ζ浒l(fā)送至淘寶服務器的數(shù)據(jù)進行加密,雖然微博應用服務器和淘寶服務器都可以存儲密鑰,但由于微博應用服務器向淘寶服務器傳輸數(shù)據(jù)的鏈路安全性較低,因此,在微博應用服務器向淘寶服務器傳輸數(shù)據(jù)時采用的數(shù)據(jù)傳輸加密方式為非對稱加密方式,所述非對稱加密可以選擇RSA、Elgamal、背包算法、Rabin、D-H或ECC(橢圓曲線加密算法)等算法實現(xiàn)??梢岳斫獾氖牵鑫⒉梅掌飨蛱詫毞掌鱾鬏敂?shù)據(jù)時采用的數(shù)據(jù)傳輸加密方式也可以為對稱加密方式。

在步驟S103中,當淘寶服務器驗證的所述請求令牌中的數(shù)據(jù)信息與所述淘寶服務器存儲的數(shù)據(jù)信息相匹配時,便向所述微博應用服務器發(fā)送訪問令牌,所述微博應用服務器在接收到訪問令牌后,將訪問令牌保存至微博應用服務器所劃分的安全域中,并清除請求令牌的數(shù)據(jù)信息??梢岳斫獾氖牵绻ヅ涫?,請求令牌的相關數(shù)據(jù)信息也將被清除。

本申請?zhí)峁┑囊环N基于登錄狀態(tài)的單點登錄方法,通過引入登錄狀態(tài),一方面,消除第三方應用將用戶登錄過程重定向及授權結束后再次重定向至第三方應用的過程,在增強對第三方應用安全驗證的同時,避免多個第三方應用登錄時彈出登錄框,增加用戶使用的便利性。另一方面,實現(xiàn)經過安全認證授權后才可以訪問第三方應用,并在不在本地終端保存證書的情況下實現(xiàn)對第三方應用的動態(tài)授權操作,減輕了終端上的代碼開發(fā)量,并提高了授權過程的安全性。

以上是對本申請?zhí)峁┮环N基于登錄狀態(tài)的單點登錄方法實施例的說明,與前述基于登錄狀態(tài)的單點登錄方法實施例相對應,本申請還公開了一種基于登錄狀態(tài)的單點登錄裝置,請參看圖4,其為本申請?zhí)峁┑囊环N基于登錄狀態(tài)的單 點登錄裝置實施例的結構示意圖。由于裝置實施例基本相似于方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。

如圖4所示,本申請?zhí)峁┮环N基于登錄狀態(tài)的單點登錄裝置,包括:終端管理單元201,授權認證管理單元202和第三方應用管理單元203。

所述終端管理單元201,用于終端側第三方應用接收用戶應用請求,獲取登錄令牌,并經由第三方應用管理單元203向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的授權認證登錄管理單元202發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息。

所述終端管理單元201包括:登錄令牌獲取單元2011和第一數(shù)據(jù)加密傳輸單元2012;其中,所述登錄令牌獲取單元2011,用于終端側將用戶的登錄請求發(fā)送至所述資源服務器,并接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌;終端側向所述資源服務器發(fā)送的登錄請求的相關數(shù)據(jù)信息可以通過專線URL傳輸。所述登錄請求包括:所述終端側標識信息和用戶賬戶信息;所述登錄令牌包括:終端側標識、終端側臨時ID和登錄狀態(tài)值。所述第一數(shù)據(jù)加密傳輸單元2012,用于在所述終端側獲取登錄令牌,并經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送登錄狀態(tài)驗證請求中,采用非對稱的方式對所述登錄令牌和第三方應用標識的數(shù)據(jù)加密并傳輸。

為提高用戶數(shù)據(jù)的安全性,所述登錄令牌獲取單元2011進一步包括:失效時間選擇單元,用于接收所述資源服務器發(fā)送的所述登錄令牌的失效時間選擇請求。

可以理解的是,所述終端管理單元201還可以包括:標識信息管理單元2013和臨時ID管理單元2014。其中,所述標識信息管理單元2013,用于管理終端側標識信息,所述終端側標識可以通過終端側的MAC地址與SIM卡中的身份信息串聯(lián)哈希得到。所述臨時ID管理單元2014,用于存放由授權認證管理單元202發(fā)送的臨時ID,所述臨時ID管理單元2014可以為SIM卡的SE模塊劃定的安全域。

所述授權認證管理單元202,用于接收并解析所述登錄狀態(tài)驗證請求,并判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述授權認證登錄管理單元中存儲的 數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用管理單元203發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌。

為提高系統(tǒng)的可用性,所述授權認證管理單元202包括:授權服務選擇請求發(fā)送單元和授權服務器選擇結接收單元;其中,所述授權服務選擇請求發(fā)送單元用于所述資源服務器向終端側發(fā)送授權服務選擇請求。所述授權服務器選擇結接收單元授權服務選擇接收單元,用于所述終端側獲取所述用戶根據(jù)所述授權服務選擇請求所選擇的授權服務內容,并發(fā)送至所述資源服務器。

可以理解的是,所述授權認證管理單元202還可以包括:臨時ID生成單元2021、身份認證單元2022以及登錄狀態(tài)管理單元2023,其中,所述臨時ID生成單元2021,用于根據(jù)終端側的登錄請求生成與終端側對應的隨機的臨時ID,該隨機的臨時ID會在終端管理單元201中的臨時ID管理單元2014中維護。所述身份認證單元2022,用于驗證終端管理單元201發(fā)送的賬戶信息,認證用戶的身份信息。所述登錄狀態(tài)管理單元2023,用于在用戶向終端側管理單元發(fā)送登錄請求,終端側管理單元將登錄請求重定向至授權認證管理單元并在登錄成功后,可以在授權認證管理單元中的登錄狀態(tài)管理單元2023中維護該用戶在終端側的登錄狀態(tài)。

所述授權認證管理單元202還包括:令牌生成單元2024,用于根據(jù)所述臨時ID終端標識哈希生成登錄令牌(login_token);根據(jù)所述登錄令牌和第三方應用標識哈希生成請求令牌(request_token);根據(jù)所述請求令牌和第三方應用標識哈希生成訪問令牌(access_token)。

第三方應用管理單元203,用于根據(jù)所述請求令牌向授權認證登錄管理單元申請訪問權限,所述授權認證登錄管理單元驗證所述請求令牌中的數(shù)據(jù)信息與所述授權認證登錄管理單元存儲的數(shù)據(jù)信息是否匹配,若匹配,則向所述第三方應用管理單元203發(fā)送訪問令牌。

為提高安全性,所述第三方應用管理單元203還包括:封裝單元2031,用于封裝所述第三方應用管理單元203中所述登錄令牌、所述請求令牌以及所述訪問令牌的數(shù)據(jù)信息。所述封裝單元2031可以封裝三條專線URL,分別是登錄令牌(Login_token)通過登錄令牌封裝線URL封裝;所述請求令牌(request_token)通過請求令牌封裝線URL將登錄令牌與第三方應用標識信息封裝(Login_token+Appkey);所述訪問令牌(access_token)通過訪問令牌封裝線URL將請求令牌與第三方應用標識信息封裝(access_token+Appkey)。

可以理解的是,在所述第三方應用管理單元203向所述授權認證管理單元202傳輸數(shù)據(jù)時,可以通過對數(shù)據(jù)進行加密,提高數(shù)據(jù)的安全性。因此,第三方應用管理單元203還包括:第二數(shù)據(jù)加密傳輸單元2032,用于采用非對稱加密的方式,對所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息加密及傳輸。

可以理解的是,所述第二數(shù)據(jù)加密傳輸單元2032也可以采用對稱加密的方式。

第三方應用標識管理單元2033,用于生成第三方應用的唯一識別碼,即:Appkey;提供認證授權管理單元202進行識別。

令牌管理單元2034,用于在收到訪問令牌后,將訪問令牌保存在第三方應用管理單元中劃定搞得安全域中,并清除請求令牌的相關數(shù)據(jù)信息。

以上是對本申請?zhí)峁┑囊环N基于登錄狀態(tài)的單點登錄方法及裝置進行的說明,下面針對基于登錄狀態(tài)的終端側發(fā)送登錄請求方法和裝置進行說明。

由上述基于登錄狀態(tài)的單點登錄方法及裝置可以看出,由于基于登錄狀態(tài)的終端側發(fā)送登錄請求方法和裝置的實施例基本相似于上述基于登錄狀態(tài)的單點登錄方法和裝置的實施例,所以描述得比較簡單,相關之處參見基于登錄狀態(tài)的單點登錄方法實施例的部分說明即可。下述針對基于登錄狀態(tài)的終端側發(fā)送登錄請求方法和裝置的描述僅僅是示意性的。

請參考圖5所示,圖5是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的終端側發(fā)送登錄請求方法的流程圖。

本申請?zhí)峁┮环N基于登錄狀態(tài)的終端側發(fā)送登錄請求的方法,包括:

步驟S501:終端側第三方應用接收應用請求獲取登錄令牌;

步驟S502:并經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息。

所述獲取登錄令牌包括:所述終端側將用戶的登錄請求發(fā)送至所述資源服務器;并接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌;所述登錄請求包括:所述終端側標識信息和用戶賬戶信息;所述登錄令牌包括:終端側標識、終端側臨時ID和登錄狀態(tài)值。

所述終端側接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌,包括:所述終端側接收所述資源服務器發(fā)送的所述登錄令牌的失效時間選 擇請求。

采用對稱加密方式對所述登錄令牌和第三方應用標識的數(shù)據(jù)加密?;蛘哒f,由所述終端側發(fā)送的數(shù)據(jù)通過對稱加密的方式加密,提高數(shù)據(jù)的安全性。

請參考圖6所示,圖6是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的終端側發(fā)送登錄請求裝置的結構示意圖。

本申請?zhí)峁┮环N基于登錄狀態(tài)的終端側發(fā)送登錄請求的裝置,包括:終端管理單元201,用于終端側第三方應用接收用戶應用請求,獲取登錄令牌,并經由第三方應用管理單元203向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的授權認證登錄管理單元發(fā)送登錄狀態(tài)驗證請求;所述登錄令牌包含有終端側用戶登錄狀態(tài)數(shù)據(jù),所述登錄狀態(tài)驗證請求攜帶所述登錄令牌和所述第三方應用標識信息。

所述終端管理單元201包括:登錄令牌獲取單元2011,用于終端側將用戶的登錄請求發(fā)送至所述資源服務器,并接收所述資源服務器返回的根據(jù)所述登錄請求生成的登錄令牌;所述登錄請求包括:所述終端側標識信息和用戶賬戶信息;所述登錄令牌包括:終端側標識、終端側臨時ID和登錄狀態(tài)值。

為提高用戶數(shù)據(jù)的安全性,所述登錄令牌獲取單元2011進一步包括:失效時間選擇單元,用于接收所述資源服務器發(fā)送的所述登錄令牌的失效時間選擇請求。

可以理解的是,所述終端管理單元201還可以包括:第一數(shù)據(jù)加密傳輸單元2012,標識信息管理單元2013和臨時ID管理單元2014。

所述第一數(shù)據(jù)加密傳輸單元2012,用于在所述終端側獲取登錄令牌,并經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務器發(fā)送登錄狀態(tài)驗證請求中,采用非對稱的方式對所述登錄令牌和第三方應用標識的數(shù)據(jù)加密并傳輸。

所述標識信息管理單元2013,用于管理終端側標識信息,所述終端側標識可以通過終端側的MAC地址與SIM卡中的身份信息串聯(lián)哈希得到。

所述臨時ID管理單元2014,用于存放由授權認證管理單元202發(fā)送的臨時ID,所述臨時ID管理單元2014可以為SIM卡的SE模塊劃定的安全域。

以上部分內容是對本申請?zhí)峁┑囊环N基于登錄狀態(tài)的終端側發(fā)送登錄請求方法和裝置的說明。根據(jù)上述內容,可以理解的是,本申請還提供一種基于登錄狀態(tài)的資源服務器授權認證方法和裝置,由于基于登錄狀態(tài)的資源服務器授 權認證方法和裝置的實施例基本相似于上述基于登錄狀態(tài)的單點登錄方法和裝置的實施例,所以描述得比較簡單,相關之處參見基于登錄狀態(tài)的單點登錄方法和裝置實施例的部分說明即可。下述針對基于登錄狀態(tài)的資源服務器授權認證方法和裝置的描述僅僅是示意性的。

請參考圖7所示,圖7是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的資源服務器授權認證方法的流程圖。

本申請?zhí)峁┮环N基于登錄狀態(tài)的資源服務器授權認證方法,包括:

步驟S701:資源服務器接收并解析自來第三方應用服務器發(fā)送的登錄狀態(tài)驗證請求;

步驟S702:判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用服務器發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌。

在步驟S702中,向所述第三方應用服務器發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌,還包括:

所述資源服務器向所述終端側發(fā)送授權服務選擇請求;

所述終端側獲取所述用戶根據(jù)所述授權服務選擇請求所選擇的授權服務內容,并發(fā)送至所述資源服務器。

請參考圖8所示,圖8是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的資源服務器授權認證裝置的結構示意圖。

本申請?zhí)峁┮环N基于登錄狀態(tài)的資源服務器授權認證裝置,包括:

授權認證管理單元202,用于接收并解析所述登錄狀態(tài)驗證請求,并判斷所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息與所述授權認證登錄管理單元中存儲的數(shù)據(jù)信息是否匹配;若匹配,則向所述第三方應用管理單元203發(fā)送攜帶登錄令牌和第三方應用標識信息的請求令牌。

所述授權認證登錄管理單元202包括:

授權服務選擇請求發(fā)送單元,用于所述資源服務器向終端側發(fā)送授權服務選擇請求;

授權服務選擇接收單元,用于所述終端側獲取所述用戶根據(jù)所述授權服務選擇請求所選擇的授權服務內容,并發(fā)送至所述資源服務器。

可以理解的是,所述授權認證管理單元202還可以包括:臨時ID生成單元2021、身份認證單元2022以及登錄狀態(tài)管理單元2023,其中,所述臨時ID生成單元2021,用于根據(jù)終端側的登錄請求生成與終端側對應的隨機的臨時ID,該隨機的臨時ID會在終端管理單元201中的臨時ID管理單元2014中維護。所述身份認證單元2022,用于驗證終端管理單元201發(fā)送的賬戶信息,認證用戶的身份信息。所述登錄狀態(tài)管理單元2023,用于在用戶向終端側管理單元發(fā)送登錄請求,終端側管理單元將登錄請求重定向至授權認證管理單元并在登錄成功后,可以在授權認證管理單元中的登錄狀態(tài)管理單元2023中維護該用戶在終端側的登錄狀態(tài)。

所述授權認證管理單元202還包括:令牌生成單元2024,用于根據(jù)所述臨時ID終端標識哈希生成登錄令牌(login_token);根據(jù)所述登錄令牌和第三方應用標識哈希生成請求令牌(request_token);根據(jù)所述請求令牌和第三方應用標識哈希生成訪問令牌(access_token)。

以上部分內容是對本申請?zhí)峁┑囊环N基于登錄狀態(tài)的資源服務器授權認證方法和裝置的說明。根據(jù)上述內容,可以理解的是,本申請還提供一種基于登錄狀態(tài)的第三方應用訪問權限請求方法和裝置,由于基于登錄狀態(tài)的第三方應用訪問權限請求方法和裝置的實施例基本相似于上述基于登錄狀態(tài)的單點登錄方法和裝置的實施例,所以描述得比較簡單,相關之處參見基于登錄狀態(tài)的單點登錄方法和裝置實施例的部分說明即可。下述針對基于登錄狀態(tài)的第三方應用訪問權限請求方法和裝置的描述僅僅是示意性的。

請參考圖9所示,圖9是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的第三方應用訪問權限請求方法的流程圖。

本申請還提供一種基于登錄狀態(tài)的第三方應用訪問權限請求方法,包括:

步驟S901:第三方應用服務器接收來自資源服務器發(fā)送的攜帶登錄令牌和第三方應用標識信息的請求令牌;

步驟S902:所述第三方應用服務器根據(jù)所述請求令牌向資源服務器申請訪問權限,所述資源服務器驗證所述請求令牌中的數(shù)據(jù)信息與所述資源服務器存儲的數(shù)據(jù)信息是否匹配,若匹配,則所述第三方應用服務器接收所述資源服務器發(fā)送的訪問令牌。

所述經由第三方應用服務器向存儲有終端側用戶登錄狀態(tài)數(shù)據(jù)的資源服務 器發(fā)送登錄狀態(tài)驗證請求,采用SDK封裝后發(fā)送。

采用非對稱加密的方式,對所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息加密及傳輸。

請參考圖10所示,圖10是本申請?zhí)峁┑囊环N基于登錄狀態(tài)的第三方應用訪問權限請求裝置的結構示意圖。

本申請還提供一種基于登錄狀態(tài)的第三方應用訪問權限請求的裝置,包括:

第三方應用管理單元203,用于根據(jù)所述請求令牌向授權認證登錄管理單元申請訪問權限,所述授權認證登錄管理單元驗證所述請求令牌中的數(shù)據(jù)信息與所述授權認證登錄管理單元存儲的數(shù)據(jù)信息是否匹配,若匹配,則向所述第三方應用管理單元203發(fā)送訪問令牌。

所述第三方應用管理單元203包括:封裝單元2031,用于封裝所述第三方應用管理單元203中所述登錄令牌、所述請求令牌以及所述訪問令牌的數(shù)據(jù)信息。所述封裝單元2031可以封裝三條專線URL,分別是登錄令牌(Login_token)通過登錄令牌封裝線URL封裝;所述請求令牌(request_token)通過請求令牌封裝線URL將登錄令牌與第三方應用標識信息封裝(Login_token+Appkey);所述訪問令牌(access_token)通過訪問令牌封裝線URL將請求令牌與第三方應用標識信息封裝(access_token+Appkey)。

所述第三方應用管理單元203包括:第二數(shù)據(jù)加密傳輸單元2032,用于采用非對稱加密的方式,對所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息加密及傳輸。

可以理解的是,在所述第三方應用管理單元203向所述授權認證管理單元202傳輸數(shù)據(jù)時,可以通過對數(shù)據(jù)進行加密,提高數(shù)據(jù)的安全性。因此,第三方應用管理單元203還包括:第二數(shù)據(jù)加密傳輸單元2032,用于采用非對稱加密的方式,對所述登錄狀態(tài)驗證請求中的數(shù)據(jù)信息加密及傳輸。

第三方應用標識管理單元2033,用于接收并存儲由授權認證管理單元202發(fā)送的針對第三方應用的唯一識別碼,即:Appkey。

令牌管理單元2034,用于在收到訪問令牌后,將訪問令牌保存在第三方應用管理單元中劃定搞得安全域中,并清除請求令牌的相關數(shù)據(jù)信息。

此部分內容是對本申請?zhí)峁┑囊环N基于登錄狀態(tài)的第三方應用訪問權限請求方法和裝置的說明。由于基于登錄狀態(tài)的第三方應用訪問權限請求方法和裝置的實施例基本相似于上述基于登錄狀態(tài)的單點登錄方法和裝置的實施例,所 以描述得比較簡單,相關之處參見基于登錄狀態(tài)的單點登錄方法和裝置實施例的部分說明即可。

在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出接口、網(wǎng)絡接口和內存。

內存可能包括計算機可讀介質中的非永久性存儲器,隨機存取存儲器(RAM)和/或非易失性內存等形式,如只讀存儲器(ROM)或閃存(flash RAM)。內存是計算機可讀介質的示例。

1、計算機可讀介質包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結構、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質的例子包括,但不限于相變內存(PRAM)、靜態(tài)隨機存取存儲器(SRAM)、動態(tài)隨機存取存儲器(DRAM)、其他類型的隨機存取存儲器(RAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他內存技術、只讀光盤只讀存儲器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學存儲、磁盒式磁帶,磁帶磁磁盤存儲或其他磁性存儲設備或任何其他非傳輸介質,可用于存儲可以被計算設備訪問的信息。按照本文中的界定,計算機可讀介質不包括非暫存電腦可讀媒體(transitory media),如調制的數(shù)據(jù)信號和載波。

2、本領域技術人員應明白,本申請的實施例可提供為方法、系統(tǒng)或計算機程序產品。因此,本申請可采用完全硬件實施例、完全軟件實施例或結合軟件和硬件方面的實施例的形式。而且,本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產品的形式。

本申請雖然以較佳實施例公開如上,但其并不是用來限定本申請,任何本領域技術人員在不脫離本申請的精神和范圍內,都可以做出可能的變動和修改,因此本申請的保護范圍應當以本申請權利要求所界定的范圍為準。

當前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1