計(jì)算設(shè)備用戶可以使用本地和在線賬戶以訪問各種計(jì)算資源。用戶可以從不同設(shè)備尋求對(duì)其賬戶的訪問并且還可以共享設(shè)備以訪問相應(yīng)賬戶。對(duì)用戶進(jìn)行驗(yàn)證以證實(shí)用戶“為他們自稱的那個(gè)人”，在用戶之間進(jìn)行區(qū)分，以及提供對(duì)計(jì)算資源的選擇性訪問，是服務(wù)提供商所面臨的持久性挑戰(zhàn)。傳統(tǒng)上，驗(yàn)證技術(shù)可以依賴于共享秘密，諸如密碼和/或數(shù)字令牌（例如，票據(jù)授予票據(jù)TGT、加密團(tuán)塊、信息記錄程序（cookies）或者其它登錄憑證）。然而，共享秘密和數(shù)字令牌可能被盜或者受損。此外，傳統(tǒng)令牌可以包括身份和特權(quán)數(shù)據(jù)二者，使得有效數(shù)字令牌（即便被盜）的占有足以通過將令牌提供給服務(wù)提供商而獲得向?qū)?yīng)資源的訪問。因而，盡管基于共享秘密的驗(yàn)證技術(shù)可能是有效的，但是存在與現(xiàn)有技術(shù)相關(guān)聯(lián)的一些缺點(diǎn)。

技術(shù)實(shí)現(xiàn)要素：

描述了分支驗(yàn)證令牌技術(shù)。在一個(gè)或多個(gè)實(shí)現(xiàn)中，驗(yàn)證服務(wù)配置為針對(duì)支持分支驗(yàn)證令牌技術(shù)的資源而從對(duì)應(yīng)特權(quán)數(shù)據(jù)分離登錄憑證。為了完成這一點(diǎn)，驗(yàn)證服務(wù)可以與客戶端的驗(yàn)證結(jié)合地就服務(wù)提供商是否配置為支持分支驗(yàn)證令牌技術(shù)而做出確定。如果支持技術(shù)，則將輕量令牌發(fā)布給客戶端并且將對(duì)應(yīng)特權(quán)數(shù)據(jù)存儲(chǔ)在集中式驗(yàn)證數(shù)據(jù)庫(kù)中，服務(wù)提供商可以從該集中式驗(yàn)證數(shù)據(jù)庫(kù)查找特權(quán)數(shù)據(jù)。另一方面，如果服務(wù)提供商不支持分支驗(yàn)證令牌技術(shù)，則向客戶端發(fā)布針對(duì)客戶端、包括特權(quán)數(shù)據(jù)的傳統(tǒng)組合式驗(yàn)證令牌。

用于分支驗(yàn)證令牌技術(shù)的輕量令牌可以配置為包含身份信息以及向特權(quán)數(shù)據(jù)的鏈接/引用，但是不包含實(shí)際特權(quán)數(shù)據(jù)。因此，輕量信息記錄程序令牌單獨(dú)地不足以獲取向?qū)?yīng)資源的訪問。此外，與輕量令牌相關(guān)聯(lián)的特權(quán)可以通過改變集中式驗(yàn)證數(shù)據(jù)庫(kù)中的特權(quán)數(shù)據(jù)而撤銷或更改，而不必改變輕量令牌本身或者使其無效。

提供本發(fā)明內(nèi)容來以簡(jiǎn)化形式引入以下在具體實(shí)施例中進(jìn)一步描述的概念的選擇。本發(fā)明內(nèi)容不意圖標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或必要特征，也不意圖用于限制所要求保護(hù)的主題的范圍。

附圖說明

圖1圖示了其中可以采用分支驗(yàn)證令牌技術(shù)的示例操作環(huán)境。

圖2是示出了依照一個(gè)或多個(gè)實(shí)現(xiàn)的發(fā)布令牌的示例交互場(chǎng)景的圖示。

圖3是示出了依照一個(gè)或多個(gè)實(shí)現(xiàn)的其中采用令牌以控制對(duì)資源的訪問的示例交互場(chǎng)景的圖示。

圖4是描述了其中驗(yàn)證服務(wù)選擇性地發(fā)布驗(yàn)證令牌以用于對(duì)資源進(jìn)行訪問的示例進(jìn)程的細(xì)節(jié)的流程圖。

圖5是描述了其中服務(wù)提供商基于輕量令牌控制對(duì)資源的訪問的示例進(jìn)程的細(xì)節(jié)的流程圖。

圖6是描述了其中與輕量令牌相關(guān)聯(lián)的特權(quán)被修改的示例進(jìn)程的細(xì)節(jié)的流程圖。

圖7是示出了依照一個(gè)或多個(gè)實(shí)現(xiàn)的示例設(shè)備和組件的細(xì)節(jié)的系統(tǒng)的框圖。

具體實(shí)施方式

概述

傳統(tǒng)上，驗(yàn)證技術(shù)可以依賴于共享秘密，諸如密碼和/或數(shù)字令牌（例如，票據(jù)授予票據(jù)TGT、加密團(tuán)塊、信息記錄程序或者其它登錄憑證）。然而，共享秘密和數(shù)字令牌可能被盜或者受損。此外，傳統(tǒng)令牌可以包括身份和特權(quán)數(shù)據(jù)二者，使得有效數(shù)字令牌（即便被盜）的占有足以通過將令牌提供給服務(wù)提供商而獲得向?qū)?yīng)資源的訪問。

描述了分支驗(yàn)證令牌技術(shù)。在一個(gè)或多個(gè)實(shí)現(xiàn)中，驗(yàn)證服務(wù)配置為針對(duì)支持分支驗(yàn)證令牌技術(shù)的資源和服務(wù)提供商而從對(duì)應(yīng)特權(quán)數(shù)據(jù)分離登錄憑證。為了完成這一點(diǎn)，驗(yàn)證服務(wù)可以與客戶端的驗(yàn)證結(jié)合地就與客戶端嘗試訪問的資源相關(guān)聯(lián)的服務(wù)提供商是否配置為支持分支驗(yàn)證令牌技術(shù)做出確定。如果支持分支驗(yàn)證令牌技術(shù)，則向客戶端發(fā)布輕量令牌（例如，信息記錄程序）并且將對(duì)應(yīng)特權(quán)數(shù)據(jù)存儲(chǔ)在集中式驗(yàn)證數(shù)據(jù)庫(kù)中，服務(wù)提供商可以從集中式驗(yàn)證數(shù)據(jù)庫(kù)查找特權(quán)數(shù)據(jù)。另一方面，如果服務(wù)提供商不支持分支驗(yàn)證令牌技術(shù)，則向客戶端發(fā)布包括特權(quán)數(shù)據(jù)的傳統(tǒng)、組合驗(yàn)證令牌。

用于分支驗(yàn)證令牌技術(shù)的輕量令牌可以配置為包含身份信息以及向特權(quán)數(shù)據(jù)的鏈接/引用，但是不包含實(shí)際特權(quán)數(shù)據(jù)。因此，輕量令牌單獨(dú)地不足以獲得向?qū)?yīng)資源的訪問。因?yàn)檩p量令牌不包含特權(quán)數(shù)據(jù)，所以輕量令牌可以具有比傳統(tǒng)、組合令牌明顯更小的尺寸。此外，與輕量令牌相關(guān)聯(lián)的特權(quán)可以通過改變集中式驗(yàn)證數(shù)據(jù)庫(kù)中的特權(quán)數(shù)據(jù)而撤銷或更改，并且不必改變輕量令牌本身或者使其失效。

在接下來的討論中，提供了標(biāo)題為“操作環(huán)境”的章節(jié)并且其描述了其中可以采用一個(gè)或多個(gè)實(shí)施例的一個(gè)環(huán)境。在此之后，標(biāo)題為“分支驗(yàn)證令牌示例”的章節(jié)描述了依照一個(gè)或多個(gè)實(shí)現(xiàn)的示例技術(shù)和細(xì)節(jié)。最后，標(biāo)題為“示例系統(tǒng)”的章節(jié)描述了可以在一個(gè)或多個(gè)實(shí)現(xiàn)中利用的示例計(jì)算系統(tǒng)和設(shè)備。

操作環(huán)境

圖1一般地在100處圖示了依照一個(gè)或多個(gè)實(shí)施例的操作環(huán)境。環(huán)境100包括通過網(wǎng)絡(luò)104通信耦合到服務(wù)提供商106的計(jì)算設(shè)備102。計(jì)算設(shè)備可以以各種方式配置為訪問由服務(wù)提供商通過網(wǎng)絡(luò)104而可用的各種資源107（例如，內(nèi)容和服務(wù)）并且與其交互。資源107可以包括典型地由一個(gè)或多個(gè)服務(wù)提供商通過網(wǎng)絡(luò)而可用的內(nèi)容和/或服務(wù)的任何適當(dāng)組合。例如，內(nèi)容可以包括文本、視頻、廣告、音頻、多媒體流、動(dòng)畫、圖像、網(wǎng)頁(yè)等的各種組合。服務(wù)的一些示例包括但不限于，在線計(jì)算服務(wù)（例如，“云計(jì)算”）、驗(yàn)證服務(wù)、基于網(wǎng)絡(luò)的服務(wù)、文件存儲(chǔ)和協(xié)作服務(wù)、搜索服務(wù)、諸如電子郵件和/或即時(shí)消息之類的消息服務(wù)，以及社交聯(lián)網(wǎng)服務(wù)。

計(jì)算設(shè)備還被描繪為包括操作系統(tǒng)108和一個(gè)或多個(gè)應(yīng)用110，其可以駐留在計(jì)算機(jī)可讀介質(zhì)上并且由計(jì)算設(shè)備的處理系統(tǒng)可執(zhí)行。處理系統(tǒng)可以以各種方式配置為檢索并且執(zhí)行來自應(yīng)用110的計(jì)算機(jī)程序指令以向計(jì)算設(shè)備102提供各種各樣的功能性，包括但不限于，訪問從操作系統(tǒng)108可用的本地資源、游戲、辦公效率、電子郵件、媒體管理、打印、聯(lián)網(wǎng)、瀏覽網(wǎng)絡(luò)以訪問資源107等等。也可以包括涉及應(yīng)用110的各種數(shù)據(jù)和程序文件，其示例包括游戲文件、辦公文檔、多媒體文件、電子郵件、數(shù)據(jù)文件、網(wǎng)頁(yè)、用戶簡(jiǎn)檔和/或偏好數(shù)據(jù)等。

計(jì)算設(shè)備102可以體現(xiàn)為任何適當(dāng)?shù)挠?jì)算系統(tǒng)和/或設(shè)備，諸如作為示例而非限制，游戲系統(tǒng)、桌上型計(jì)算機(jī)、便攜式計(jì)算機(jī)、平板或板類計(jì)算機(jī)、諸如個(gè)人數(shù)字助理（PDA）之類的便攜式計(jì)算機(jī)、手機(jī)、機(jī)頂盒等。例如，計(jì)算設(shè)備102可以實(shí)現(xiàn)為電視客戶端設(shè)備、計(jì)算機(jī)和/或游戲設(shè)備，其連接到顯示設(shè)備以顯示媒體內(nèi)容?？商鎿Q地，計(jì)算設(shè)備可以是任何類型的便攜式計(jì)算機(jī)、移動(dòng)電話、便攜式設(shè)備、平板或板類設(shè)備，和/或可以包括集成顯示器。任何計(jì)算設(shè)備可以以各種組件而實(shí)現(xiàn)，諸如一個(gè)或多個(gè)處理器和存儲(chǔ)器設(shè)備，以及以不同組件的任何組合而實(shí)現(xiàn)。可以表示各種系統(tǒng)和/或設(shè)備（包括計(jì)算設(shè)備102）的計(jì)算系統(tǒng)的一個(gè)示例在下面圖7中示出并且描述。

計(jì)算機(jī)可讀介質(zhì)可以包括（作為示例而非限制）所有形式的易失性和非易失性存儲(chǔ)器和/或存儲(chǔ)介質(zhì)，其典型地與計(jì)算設(shè)備相關(guān)聯(lián)。這樣的介質(zhì)可以包括ROM、RAM、閃速存儲(chǔ)器、硬盤、可移除介質(zhì)等。計(jì)算機(jī)可讀介質(zhì)可以包括“計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)”和“通信介質(zhì)”二者，其示例可以在圖7的示例計(jì)算系統(tǒng)的討論中找到。

本文描述的分支驗(yàn)證令牌技術(shù)可以用于控制對(duì)本地賬戶和基于網(wǎng)絡(luò)的賬戶中的任一個(gè)或二者的客戶端訪問。計(jì)算設(shè)備例如可以由用戶采用以嘗試通過宣稱憑證112而訪問用戶賬戶，該憑證112可以作為驗(yàn)證序列的部分而經(jīng)由驗(yàn)證服務(wù)114來核驗(yàn)。相應(yīng)地，驗(yàn)證服務(wù)114表示可操作成解決用戶的身份以控制對(duì)資源107的訪問的功能性。作為獨(dú)立服務(wù)（如所圖示的）或者以其它方式，驗(yàn)證服務(wù)114可以由服務(wù)提供商106提供，從服務(wù)提供商106尋求資源107。驗(yàn)證服務(wù)114可以使用各種協(xié)議實(shí)現(xiàn)驗(yàn)證序列，以確定試圖訪問資源的用戶是他們自稱那個(gè)人和/或經(jīng)授權(quán)以訪問資源?？梢岳玫氖纠?yàn)證協(xié)議包括但不限于Kerberos、活動(dòng)目錄聯(lián)合服務(wù)（ADFS）和主機(jī)身份協(xié)議（HIP），其僅僅是幾個(gè)示例。

驗(yàn)證服務(wù)114可以對(duì)照作為用戶賬戶數(shù)據(jù)的部分而與賬戶相關(guān)聯(lián)的維持的憑證（例如，用戶ID、密碼、密鑰、共享秘密等）來核驗(yàn)所宣稱的憑證112。當(dāng)驗(yàn)證成功（例如，客戶端“是他們自稱的那個(gè)人”）時(shí)，驗(yàn)證服務(wù)可以發(fā)布（多個(gè)）令牌（例如，TGT、加密團(tuán)塊、信息記錄程序和/或其它適當(dāng)?shù)牡卿洃{證）以使得能夠訪問對(duì)應(yīng)資源。在實(shí)現(xiàn)中，驗(yàn)證服務(wù)114可以配置為支持傳統(tǒng)、組合令牌技術(shù)以及分支驗(yàn)證令牌技術(shù)，其中特權(quán)數(shù)據(jù)從對(duì)應(yīng)令牌分離，例如輕量令牌。單個(gè)驗(yàn)證可以對(duì)應(yīng)于一個(gè)或多個(gè)資源107，使得通過“單點(diǎn)登錄”對(duì)單個(gè)賬戶的驗(yàn)證可以提供對(duì)各個(gè)資源、來自多個(gè)服務(wù)提供商106的資源和/或從服務(wù)提供商106可用的整個(gè)資源套件的訪問。因而，在成功核驗(yàn)憑證112之后，計(jì)算設(shè)備可以登錄到用戶賬戶并且因此可以給予其對(duì)針對(duì)賬戶所授權(quán)的資源107的訪問。如果驗(yàn)證服務(wù)不能夠核驗(yàn)憑證，則拒絕對(duì)資源107的訪問，可以輸出提示重試驗(yàn)證等。

已經(jīng)描述了示例操作環(huán)境，現(xiàn)在考慮依照一個(gè)或多個(gè)實(shí)施例的關(guān)于基于輸入挑戰(zhàn)的驗(yàn)證的示例細(xì)節(jié)。

分支驗(yàn)證令牌示例

在以下章節(jié)中，討論了用于分支驗(yàn)證令牌技術(shù)的實(shí)現(xiàn)細(xì)節(jié)和示例技術(shù)。討論包括可以與任何適當(dāng)?shù)挠布④浖?、固件或其組合結(jié)合實(shí)現(xiàn)的一些（多個(gè)）示例進(jìn)程。在至少一些實(shí)施例中，進(jìn)程可以通過適當(dāng)配置的計(jì)算設(shè)備的方式實(shí)現(xiàn)，該計(jì)算設(shè)備包括或以其它方式利用驗(yàn)證服務(wù)114。進(jìn)程的方面還可以通過計(jì)算設(shè)備102和/或通過分布在服務(wù)提供商106和計(jì)算設(shè)備102之間的功能性而實(shí)現(xiàn)。

示例交互場(chǎng)景

圖2一般地在200處描繪了其中向客戶端發(fā)布驗(yàn)證令牌的示例交互場(chǎng)景。特別地，示例交互場(chǎng)景表示可以由使用字母“A”到“E”標(biāo)記的圖1的示例操作環(huán)境100的一個(gè)或多個(gè)組件執(zhí)行的操作。例如，在“A”處，客戶端/用戶201可以操作計(jì)算設(shè)備102以形成訪問請(qǐng)求202來從服務(wù)提供商106獲取資源107。例如，可以將瀏覽器導(dǎo)航到由服務(wù)提供商106通過網(wǎng)絡(luò)104而可用的特定網(wǎng)站和/或網(wǎng)絡(luò)服務(wù)。響應(yīng)于訪問請(qǐng)求202，服務(wù)提供商106在“B”處可以發(fā)布用于用戶驗(yàn)證的挑戰(zhàn)204，其發(fā)起驗(yàn)證序列。在一些實(shí)現(xiàn)中，服務(wù)提供商106可以并入驗(yàn)證服務(wù)114以代表其自己執(zhí)行客戶端/用戶201的驗(yàn)證。此外或者可替換地，服務(wù)提供商106可以配置挑戰(zhàn)204以使計(jì)算設(shè)備再定向到外部和/或第三方驗(yàn)證服務(wù)114，其可操作成代表一個(gè)或多個(gè)服務(wù)提供商106執(zhí)行驗(yàn)證以用于訪問對(duì)應(yīng)資源。

作為驗(yàn)證序列的部分，可以為客戶端/用戶201呈現(xiàn)登錄頁(yè)面或者與驗(yàn)證服務(wù)114相關(guān)聯(lián)的其它適當(dāng)接口，其提供提示以輸入用于驗(yàn)證的憑證112。在“C”處，計(jì)算設(shè)備102可以響應(yīng)于針對(duì)核驗(yàn)對(duì)驗(yàn)證服務(wù)114的提示而傳達(dá)由客戶端/用戶供應(yīng)的憑證112。憑證112可以例如為用戶ID和密碼組合。還設(shè)想到其它類型的驗(yàn)證方案以及對(duì)應(yīng)類型的憑證，諸如使用基于圖片的挑戰(zhàn)、所建立的輸入模式、觸摸手勢(shì)組合、生物測(cè)量驗(yàn)證、代碼等。如所指出的，驗(yàn)證服務(wù)114可以通過對(duì)照作為用戶賬戶數(shù)據(jù)的部分而與賬戶相關(guān)聯(lián)維持的已知憑證檢查它們來核驗(yàn)所宣稱的憑證112。另外，驗(yàn)證服務(wù)114可以配置為支持傳統(tǒng)、組合令牌技術(shù)以及分支驗(yàn)證令牌技術(shù)，其中特權(quán)數(shù)據(jù)與對(duì)應(yīng)令牌（例如，輕量令牌）分離。

因而，在通過驗(yàn)證服務(wù)114而成功驗(yàn)證憑證112之后，驗(yàn)證服務(wù)114在“D”處可以發(fā)布至少一個(gè)驗(yàn)證令牌206并且將（多個(gè)）驗(yàn)證令牌206傳達(dá)回到計(jì)算設(shè)備102以用于訪問對(duì)應(yīng)資源。驗(yàn)證令牌206可以配置為各種類型的令牌，諸如票據(jù)授予票據(jù)TGT、加密團(tuán)塊、信息記錄程序或者與各種驗(yàn)證協(xié)議結(jié)合使用的其它適當(dāng)?shù)卿洃{證。如在上文和下文詳細(xì)討論的，驗(yàn)證服務(wù)114可以進(jìn)一步可操作為逐資源地和/或逐提供商地就是發(fā)布例如輕量令牌（例如，當(dāng)支持分支驗(yàn)證令牌技術(shù)時(shí)）還是傳統(tǒng)類型組合令牌（例如，針對(duì)不支持分支驗(yàn)證令牌的提供商和資源）而做出確定。為了標(biāo)識(shí)和區(qū)分支持分支驗(yàn)證令牌的服務(wù)商/資源與不支持其的服務(wù)商/資源，驗(yàn)證服務(wù)114可以參照適當(dāng)數(shù)據(jù)，諸如表格、數(shù)據(jù)庫(kù)、文件、列表或者其它數(shù)據(jù)結(jié)構(gòu)，其具有指示特定提供商/資源是否支持分支驗(yàn)證的性質(zhì)、字段和/或元數(shù)據(jù)。驗(yàn)證服務(wù)114然后可以基于支持的確定而選擇性地以不同格式提供驗(yàn)證令牌。

相應(yīng)地，由驗(yàn)證服務(wù)114發(fā)布的驗(yàn)證令牌206可以或者可以不配置為包含對(duì)應(yīng)特權(quán)數(shù)據(jù)208。特權(quán)數(shù)據(jù)208配置為指示通過對(duì)應(yīng)賬戶而針對(duì)客戶端/用戶所授予的訪問特權(quán)。換言之，特權(quán)數(shù)據(jù)208提供準(zhǔn)許客戶端/用戶與其交互的資源和/或服務(wù)提供商的指示。特權(quán)數(shù)據(jù)208還可以包括針對(duì)其令牌有效的指定有效性時(shí)間段的指示，其可以是幾小時(shí)、幾天或幾周。特權(quán)數(shù)據(jù)208可以進(jìn)一步涵蓋各種其它元數(shù)據(jù)，諸如偏好、群組成員資格、上下文指示、位置指示、語(yǔ)言選擇、身份宣稱、服務(wù)等級(jí)、設(shè)備能力等。

在傳統(tǒng)令牌中，特權(quán)數(shù)據(jù)208可以與所授予的令牌內(nèi)的身份信息組合。例如，特權(quán)數(shù)據(jù)208可以作為特權(quán)屬性證書（PAC）和/或以用于不同驗(yàn)證協(xié)議的其它適當(dāng)方式而加密在基于Kerberos的令牌內(nèi)。服務(wù)提供商因此可以利用直接包含特權(quán)數(shù)據(jù)208的令牌以標(biāo)識(shí)用戶并且提取對(duì)應(yīng)訪問特權(quán)來控制對(duì)資源107的訪問。該方案不涉及必須從資源而不是所呈現(xiàn)的令牌來查找特權(quán)。然而，該方案的一個(gè)缺點(diǎn)在于，在有效性時(shí)間段期間，令牌（即便受損或被盜）足以通過將令牌呈現(xiàn)給服務(wù)提供商而獲取向?qū)?yīng)資源的訪問。由于組合令牌基本上是自包含式的，所以其還可能難以撤銷或改變相關(guān)聯(lián)的特權(quán)。附加地，將特權(quán)數(shù)據(jù)208嵌入令牌內(nèi)增大了令牌的尺寸并且在一些情況下可能導(dǎo)致超出置于頭文件、令牌尺寸和/或網(wǎng)絡(luò)業(yè)務(wù)量上的帶寬或尺寸限制。

因而，依照分支驗(yàn)證令牌技術(shù)，驗(yàn)證服務(wù)114可以配置為將特權(quán)數(shù)據(jù)208與所發(fā)布的令牌分離并且將特權(quán)數(shù)據(jù)存儲(chǔ)在網(wǎng)絡(luò)可訪問的存儲(chǔ)位置處，諸如在如圖2中所表示的集中式驗(yàn)證數(shù)據(jù)庫(kù)210中。集中式驗(yàn)證數(shù)據(jù)庫(kù)210可以代表用于包括特權(quán)數(shù)據(jù)208的客戶端/用戶賬戶數(shù)據(jù)的集中式和/或經(jīng)復(fù)制的儲(chǔ)存庫(kù)。集中式驗(yàn)證數(shù)據(jù)庫(kù)210可以配置為驗(yàn)證服務(wù)114的集成組件，或者可替換地可以提供為由相同或不同的（多個(gè)）服務(wù)器和/或（多個(gè)）提供商實(shí)現(xiàn)的單獨(dú)服務(wù)（例如，外部服務(wù)）。

例如，在“E”處，將與所發(fā)布的令牌相關(guān)聯(lián)的特權(quán)數(shù)據(jù)208表示為經(jīng)傳達(dá)以用于存儲(chǔ)在集中式驗(yàn)證數(shù)據(jù)庫(kù)210處。在該示例中，在“D”處發(fā)布的驗(yàn)證令牌206可以配置為不包含特權(quán)數(shù)據(jù)208的輕量令牌。相反，輕量令牌可以配置為包含向網(wǎng)絡(luò)可訪問的存儲(chǔ)位置的鏈接、URL、地址或其它引用，服務(wù)提供商可以從網(wǎng)絡(luò)可訪問的存儲(chǔ)位置獲得對(duì)應(yīng)特權(quán)數(shù)據(jù)208。在一種方案中，輕量令牌可以配置為相對(duì)小的信息記錄程序，其包括向網(wǎng)絡(luò)可訪問存儲(chǔ)裝置的引用。引用由服務(wù)提供商可使用以從集中式驗(yàn)證數(shù)據(jù)庫(kù)210（或其它存儲(chǔ)位置）查找與客戶端相關(guān)聯(lián)的特權(quán)數(shù)據(jù)。但是，輕量令牌不包含足以使得服務(wù)提供商能夠確定授權(quán)客戶端使用的資源而沒有從集中式驗(yàn)證數(shù)據(jù)庫(kù)進(jìn)行查找的特權(quán)數(shù)據(jù)。因而，一般而言，組合驗(yàn)證令牌包含而輕量令牌不包含足以使得能夠通過服務(wù)提供商進(jìn)行關(guān)于客戶端的訪問特權(quán)的確定而沒有依賴于外部信息的信息。

與所發(fā)布的輕量令牌相關(guān)聯(lián)的特權(quán)可以通過修改維持在集中式驗(yàn)證數(shù)據(jù)庫(kù)210處的特權(quán)數(shù)據(jù)208而撤銷或改變。這種對(duì)特權(quán)的修改可以在不更改輕量令牌或者影響輕量令牌的有效性的情況下發(fā)生。換言之，特權(quán)可以改變而同時(shí)令牌保持有效并且令牌隨后可用于依照經(jīng)修改的特權(quán)來訪問資源。當(dāng)呈現(xiàn)令牌時(shí)，在修改特權(quán)與訪問特權(quán)的推行之間存在很少延遲或者不存在延遲。此外，特權(quán)改變?cè)诓槐叵蛴脩?客戶端重新驗(yàn)證或發(fā)布新的驗(yàn)證令牌的情況下生效。

圖3一般地在300處描繪了依照一個(gè)或多個(gè)實(shí)現(xiàn)的其中采用令牌以控制對(duì)資源的訪問的示例交互場(chǎng)景。特別地，示例交互場(chǎng)景表示可以由使用字母“F”到“I”標(biāo)記的圖1的示例操作環(huán)境100的一個(gè)或多個(gè)組件執(zhí)行的操作。在以剛剛關(guān)于圖2所述的方式獲得驗(yàn)證令牌206之后，客戶端/用戶201可以進(jìn)行導(dǎo)航以訪問從服務(wù)提供商106可用的各種資源。例如，計(jì)算設(shè)備102可以操作為形成訪問請(qǐng)求。在“F”處，驗(yàn)證令牌206可以作為訪問請(qǐng)求的部分和/或響應(yīng)于來自提供商的供應(yīng)驗(yàn)證令牌206的提示而傳達(dá)。出于本示例的目的，假設(shè)驗(yàn)證令牌206是如本文描述的不包括特權(quán)數(shù)據(jù)208的輕量令牌。

相應(yīng)地，在該示例中，服務(wù)提供商106可以是“有分支驗(yàn)證令牌意識(shí)的提供商”，其配置為除傳統(tǒng)組合令牌之外或者代替于傳統(tǒng)組合令牌而識(shí)別并且處置輕量令牌。作為示例，服務(wù)提供商106可以基于標(biāo)識(shí)令牌所包括的數(shù)據(jù)而檢測(cè)令牌是輕量令牌，所述數(shù)據(jù)諸如頭文件字段、代碼、令牌格式、向令牌內(nèi)的特權(quán)數(shù)據(jù)的引用或鏈接、令牌內(nèi)的特權(quán)數(shù)據(jù)的缺失等。響應(yīng)于檢測(cè)到輕量令牌，服務(wù)提供商106配置為執(zhí)行操作以取得對(duì)應(yīng)于令牌的完整特權(quán)數(shù)據(jù)208。

特別地，服務(wù)提供商106可以解析令牌以提取向集中式驗(yàn)證數(shù)據(jù)庫(kù)210（或其它指定存儲(chǔ)位置）的鏈接或其它引用。在“G”處，服務(wù)提供商利用所提取的鏈接/引用以形成查詢302并且然后將查詢302傳達(dá)給集中式驗(yàn)證數(shù)據(jù)庫(kù)210以便查找對(duì)應(yīng)特權(quán)數(shù)據(jù)208。響應(yīng)于查詢302，服務(wù)提供商在“H”處獲得特權(quán)數(shù)據(jù)208，其可以用于控制對(duì)如由特權(quán)數(shù)據(jù)208所指定的資源107的訪問。在準(zhǔn)許客戶端/用戶根據(jù)特權(quán)數(shù)據(jù)208訪問所請(qǐng)求的資源的核驗(yàn)之后，服務(wù)提供商106在“I”處使得能夠訪問資源107并且計(jì)算設(shè)備102能夠與資源107交互。關(guān)于接下來的示例進(jìn)程而討論與分支驗(yàn)證令牌技術(shù)的這些和其它方面有關(guān)的附加細(xì)節(jié)。

示例進(jìn)程

圖4描繪了其中驗(yàn)證服務(wù)選擇性地發(fā)布驗(yàn)證令牌以用于訪問資源的示例進(jìn)程400。從客戶端獲取憑證以用于驗(yàn)證對(duì)來自服務(wù)提供商的資源的訪問（塊402）。例如，計(jì)算設(shè)備102可以操作為與嘗試從服務(wù)提供商106訪問資源結(jié)合地供應(yīng)與客戶端/用戶相關(guān)聯(lián)的憑證112（例如，用戶ID和密碼或其它驗(yàn)證憑證）。驗(yàn)證服務(wù)114配置為使用所供應(yīng)的憑證來驗(yàn)證客戶端以訪問來自服務(wù)提供商的資源。為了完成此，在所獲得的憑證與和客戶端相關(guān)聯(lián)地維持的對(duì)應(yīng)憑證之間做出比較（塊404）?；谠摫容^，關(guān)于客戶端是否得到驗(yàn)證以獲取對(duì)資源的訪問做出確定（塊406）。如果客戶端沒有得到驗(yàn)證，則拒絕對(duì)資源的訪問（塊408）。另一方面，當(dāng)驗(yàn)證成功時(shí)，對(duì)從中尋求資源的服務(wù)提供商是否為有分支驗(yàn)證令牌意識(shí)的提供商做出確定（塊410）。在服務(wù)提供商無意識(shí)的情況下，向客戶端發(fā)布組合驗(yàn)證令牌（塊412）。組合驗(yàn)證令牌配置為包括特權(quán)數(shù)據(jù)208。例如，特權(quán)數(shù)據(jù)可以加密在針對(duì)沒有配置為支持分支令牌技術(shù)的服務(wù)提供商106和資源107所發(fā)布的組合驗(yàn)證令牌206內(nèi)。作為示例，特權(quán)數(shù)據(jù)208可以使用加密PAC、數(shù)據(jù)團(tuán)塊或者其它適當(dāng)機(jī)制而嵌入令牌內(nèi)以使令牌包括特權(quán)數(shù)據(jù)。如之前所指出的，特權(quán)數(shù)據(jù)配置為提供來自在成功驗(yàn)證后授權(quán)客戶端使用的一個(gè)或多個(gè)服務(wù)提供商的資源的指示，以及客戶端標(biāo)識(shí)信息和其它元數(shù)據(jù)。因?yàn)榻M合令牌包括客戶端標(biāo)識(shí)信息和特權(quán)數(shù)據(jù)二者，所以組合驗(yàn)證令牌使得能夠通過授權(quán)客戶端使用的資源的服務(wù)提供商進(jìn)行直接確定。

但是，當(dāng)服務(wù)提供商有意識(shí)時(shí)，采用分支驗(yàn)證令牌技術(shù)（塊414）。此處，向客戶端發(fā)布輕量令牌（塊416）并且將對(duì)應(yīng)特權(quán)數(shù)據(jù)傳達(dá)給集中式驗(yàn)證數(shù)據(jù)庫(kù)（塊418）以用于與輕量令牌分離地存儲(chǔ)。輕量令牌不包含足以使得服務(wù)提供商能夠確定授權(quán)客戶端使用的資源而沒有從集中式驗(yàn)證數(shù)據(jù)庫(kù)進(jìn)行查找的特權(quán)數(shù)據(jù)。相反，輕量令牌配置為包括引用，其由服務(wù)提供商可使用以從集中式驗(yàn)證數(shù)據(jù)庫(kù)查找與客戶端相關(guān)聯(lián)的特權(quán)數(shù)據(jù)。特權(quán)數(shù)據(jù)可以取決于客戶端的訪問權(quán)限、所訪問的資源的類型和/或由資源傳遞給集中式驗(yàn)證數(shù)據(jù)庫(kù)的輕量令牌中的附加上下文信息中的一個(gè)或多個(gè)而變化。例如，引用可以是用于集中式驗(yàn)證數(shù)據(jù)庫(kù)中的特權(quán)數(shù)據(jù)的存儲(chǔ)位置的地址、鏈接或URL。基于存儲(chǔ)在集中式驗(yàn)證數(shù)據(jù)庫(kù)中的特權(quán)數(shù)據(jù)來控制與輕量令牌相關(guān)聯(lián)的訪問特權(quán)。因而，輕量信息記錄程序令牌的占有單獨(dú)地不足以獲取對(duì)資源的訪問。附加地，與輕量令牌相關(guān)聯(lián)的訪問特權(quán)中的改變可以通過修改存儲(chǔ)在集中式驗(yàn)證數(shù)據(jù)庫(kù)中的對(duì)應(yīng)特權(quán)數(shù)據(jù)來達(dá)成，而不必撤銷或改變輕量令牌本身。關(guān)于修改與輕量令牌相關(guān)聯(lián)的特權(quán)的技術(shù)的進(jìn)一步細(xì)節(jié)在下文與圖6的示例進(jìn)程結(jié)合地討論。

因?yàn)檩p量令牌不包括完整特權(quán)數(shù)據(jù)，所以包括在輕量令牌中的信息量顯著少于包括在組合驗(yàn)證令牌中的信息（例如，完全的特權(quán)數(shù)據(jù)）。因此，輕量令牌具有可以比對(duì)應(yīng)組合驗(yàn)證令牌的尺寸顯著更小的尺寸。因此，輕量令牌可以更容易處置和輸運(yùn)，以及更有可能滿足任何帶寬或令牌尺寸約束。附加地，輕量令牌的相對(duì)小的尺寸可以使得能夠在一些情況下以未經(jīng)壓縮的格式傳達(dá)輕量信息記錄程序，其一般地對(duì)于承載完整特權(quán)數(shù)據(jù)的較大組合令牌是不大可能的。

圖5描繪了其中服務(wù)提供商基于輕量令牌而控制對(duì)資源的訪問的示例進(jìn)程500。獲取由客戶端供應(yīng)的輕量令牌以用于訪問來自服務(wù)提供商的資源（塊502）?？蛻舳?用戶可以依照?qǐng)D4的前述進(jìn)程400以及圖2的示例交互場(chǎng)景而獲得輕量令牌。例如，可以通過驗(yàn)證服務(wù)114向客戶端發(fā)布輕量令牌，驗(yàn)證服務(wù)114配置為確定服務(wù)提供商106是否支持分支驗(yàn)證令牌技術(shù)?；谶@樣的確定，驗(yàn)證服務(wù)114操作成：（1）發(fā)布不包括特權(quán)數(shù)據(jù)208的輕量令牌以用于訪問來自支持分支驗(yàn)證令牌技術(shù)的服務(wù)提供商106的資源107，以及（2）發(fā)布包括特權(quán)數(shù)據(jù)208的組合驗(yàn)證令牌以用于訪問來自不支持分支驗(yàn)證令牌技術(shù)的服務(wù)提供106的資源107。

在針對(duì)輕量令牌所建立的有效性時(shí)間段期間，可以與嘗試訪問來自服務(wù)提供商的資源結(jié)合地由客戶端/用戶呈現(xiàn)輕量令牌。服務(wù)提供商配置為將所呈現(xiàn)的令牌識(shí)別為輕量令牌并且解析令牌以提取向?qū)?yīng)特權(quán)數(shù)據(jù)在其處可用的位置的引用。例如，服務(wù)提供商可以基于如之前描述的令牌所包括的各種標(biāo)識(shí)數(shù)據(jù)來將令牌識(shí)別為輕量令牌。

一旦服務(wù)提供商將令牌識(shí)別為輕量令牌，服務(wù)提供商就配置為執(zhí)行操作以獲得對(duì)應(yīng)特權(quán)數(shù)據(jù)208，其依照本文描述的分支驗(yàn)證令牌技術(shù)而保持與輕量令牌本身分離。代替于使令牌包括特權(quán)數(shù)據(jù)，輕量令牌經(jīng)由對(duì)用于特權(quán)數(shù)據(jù)的存儲(chǔ)位置的引用而鏈接到與客戶端相關(guān)聯(lián)的特權(quán)數(shù)據(jù)，諸如在如本文描述的集中式驗(yàn)證數(shù)據(jù)庫(kù)中。服務(wù)提供商使用該引用來從輕量令牌所指定的位置查找用于客戶端的特權(quán)數(shù)據(jù)（塊504）。例如，輕量信息記錄程序令牌單獨(dú)地不足以使得服務(wù)提供商能夠確定授權(quán)客戶端使用的資源而沒有從由輕量信息記錄程序令牌指定的位置查找特權(quán)數(shù)據(jù)。相應(yīng)地，由服務(wù)提供商基于服務(wù)提供商所查找的特權(quán)數(shù)據(jù)來選擇性地控制對(duì)資源的訪問。

特別地，服務(wù)提供商依照維持在輕量令牌中所指示的位置處的特權(quán)數(shù)據(jù)來確認(rèn)客戶端是否具有訪問資源的特權(quán)（塊506）。例如，服務(wù)提供商可以與集中式驗(yàn)證數(shù)據(jù)庫(kù)交互以查找群組成員資格、資源授權(quán)、服務(wù)等級(jí)和/或關(guān)于特權(quán)數(shù)據(jù)208所反映的資源的其它客戶端特權(quán)。當(dāng)客戶端具有針對(duì)特定資源的特權(quán)時(shí)，啟用對(duì)那些單獨(dú)資源的訪問（塊508）。另一方面，當(dāng)客戶端不具有針對(duì)一些資源的特權(quán)時(shí)，拒絕對(duì)這些資源的訪問（塊510）。

要指出，還可以采用分支驗(yàn)證令牌技術(shù)以用于不同域或域的片段之間的推舉（referral）。在用于使用相同驗(yàn)證數(shù)據(jù)庫(kù)的域的集合（例如，域森林）的信任邊界內(nèi)，可以將輕量令牌發(fā)布或轉(zhuǎn)移到推舉域（只要資源支持分支方案）以使得能夠訪問特權(quán)數(shù)據(jù)。附加地，分支驗(yàn)證令牌技術(shù)可以跨信任邊界而應(yīng)用于資源和域，其可以具有分離的驗(yàn)證數(shù)據(jù)庫(kù)和特權(quán)數(shù)據(jù)，諸如在活動(dòng)目錄域森林的情況下。在這樣的越邊界的推舉情況下，輕量令牌可能不在域森林之間工作，如果特權(quán)數(shù)據(jù)跨信任邊界而改變的話。為了應(yīng)對(duì)這些情況，可以跨信任邊界而發(fā)布包含完整特權(quán)數(shù)據(jù)的組合驗(yàn)證令牌。但是，在分離的域內(nèi)，輕量令牌和分支技術(shù)可以用于信任邊界內(nèi)的資源以及用于一直通往一個(gè)森林的根域的推舉，并且在越過森林信任邊界之后，以本文描述的方式向下直至推舉域中的資源。

圖6描繪了其中與輕量令牌相關(guān)聯(lián)的特權(quán)被修改的示例進(jìn)程600。標(biāo)識(shí)與發(fā)布給客戶端的輕量令牌相關(guān)聯(lián)的特權(quán)中的改變（塊602）。特權(quán)中的改變可以以各種方式發(fā)起。例如，用戶或管理員可以更改具有不同特權(quán)的各種群組中的對(duì)應(yīng)賬戶的成員資格。另外，用戶可以針對(duì)不同服務(wù)等級(jí)進(jìn)行簽約和/或現(xiàn)有服務(wù)授權(quán)可能過期。這些和其它動(dòng)作可以引起用于客戶端/用戶的特權(quán)中的對(duì)應(yīng)改變。驗(yàn)證服務(wù)114和/或服務(wù)提供商可以配置為檢測(cè)和/或獲得特權(quán)中的改變的通知。

響應(yīng)于改變的標(biāo)識(shí)，通過與集中式驗(yàn)證數(shù)據(jù)庫(kù)的交互來修改特權(quán)以改變維持在其中的對(duì)應(yīng)特權(quán)數(shù)據(jù)而沒有使輕量令牌失效（塊604）。然后，響應(yīng)于使用輕量令牌訪問資源的隨后請(qǐng)求，依照經(jīng)修改的特權(quán)選擇性地提供訪問（塊606）。例如，依照本文討論的技術(shù)，可以經(jīng)由保持與輕量令牌分離的特權(quán)數(shù)據(jù)208來修改特權(quán)而沒有更改已經(jīng)針對(duì)賬戶所發(fā)布的輕量令牌的有效性或數(shù)據(jù)。相應(yīng)地，客戶端/用戶可以繼續(xù)使用輕量令牌，只要它們有效，并且相關(guān)聯(lián)的訪問權(quán)限將在向與輕量令牌分離的對(duì)應(yīng)特權(quán)數(shù)據(jù)208做出改變時(shí)基本上“實(shí)時(shí)地”改變。此外，權(quán)限可以通過改變特權(quán)數(shù)據(jù)而快速地并且容易地撤銷。例如，與令牌相關(guān)聯(lián)的特權(quán)可以從集中式驗(yàn)證數(shù)據(jù)庫(kù)210擦除，從而使得令牌無用，甚至是在令牌仍舊有效的情況下（例如，有效性時(shí)間段尚未過期）。因而，可以簡(jiǎn)單地通過更新集中式驗(yàn)證數(shù)據(jù)庫(kù)210處的特權(quán)數(shù)據(jù)來撤銷受損令牌。

已經(jīng)考慮了關(guān)于輸入分支驗(yàn)證令牌技術(shù)的示例細(xì)節(jié)和技術(shù)，考慮依照一個(gè)或多個(gè)示例的示例系統(tǒng)的討論。

示例系統(tǒng)

圖7圖示了示例系統(tǒng)700，其包括代表可以實(shí)現(xiàn)本文描述的各種技術(shù)的一個(gè)或多個(gè)計(jì)算系統(tǒng)和/或設(shè)備的示例計(jì)算設(shè)備702。計(jì)算設(shè)備702可以是例如服務(wù)提供商的服務(wù)器、與客戶端相關(guān)聯(lián)的設(shè)備（例如，客戶端設(shè)備）、片上系統(tǒng)和/或任何其它適當(dāng)?shù)挠?jì)算設(shè)備或計(jì)算系統(tǒng)。

如所圖示的示例計(jì)算設(shè)備702包括處理系統(tǒng)704、一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)706和一個(gè)或多個(gè)I/O接口708，其相互通信耦合。盡管沒有示出，但是計(jì)算設(shè)備702可以進(jìn)一步包括系統(tǒng)總線或其它數(shù)據(jù)和命令傳遞系統(tǒng)，其使各種組件彼此耦合。系統(tǒng)總線可以包括不同總線結(jié)構(gòu)中的任何一個(gè)或組合，諸如存儲(chǔ)器總線或存儲(chǔ)器控制器、外圍總線、通用串行總線和/或處理器或本地總線，其利用任何各種總線架構(gòu)。還設(shè)想到各種其它示例，諸如控制和數(shù)據(jù)線。

處理系統(tǒng)704代表使用硬件執(zhí)行一個(gè)或多個(gè)操作的功能性。相應(yīng)地，處理系統(tǒng)704被圖示為包括硬件元件710，其可以配置為處理器、功能塊等。這可以包括作為專用集成電路或使用一個(gè)或多個(gè)半導(dǎo)體所形成的其它邏輯器件的硬件中的實(shí)現(xiàn)。硬件元件710可以不受形成它們的材料或者其中所采用的處理機(jī)制的限制。例如，處理器可以包括（多個(gè)）半導(dǎo)體和/或晶體管（例如，電子集成電路（IC））。在這樣的上下文中，處理器可執(zhí)行指令可以是電子可執(zhí)行指令。

計(jì)算機(jī)可讀介質(zhì)706被圖示為包括存儲(chǔ)器/存儲(chǔ)裝置712。存儲(chǔ)器/存儲(chǔ)裝置712表示與一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)相關(guān)聯(lián)的存儲(chǔ)器/存儲(chǔ)容量。存儲(chǔ)器/存儲(chǔ)裝置712可以包括易失性介質(zhì)（諸如隨機(jī)存取存儲(chǔ)器（RAM））和/或非易失性介質(zhì)（諸如只讀存儲(chǔ)器（ROM）、閃速存儲(chǔ)器、光盤、磁盤等）。存儲(chǔ)器/存儲(chǔ)裝置712可以包括固定介質(zhì)（例如，RAM、ROM、固定硬驅(qū)動(dòng)等）以及可移除介質(zhì)（例如，閃速存儲(chǔ)器、可移除硬驅(qū)動(dòng)、光盤等）。計(jì)算機(jī)可讀介質(zhì)706可以以各種其它方式進(jìn)行配置，如下文進(jìn)一步所述。

（多個(gè)）輸入/輸出接口708代表允許用戶向計(jì)算設(shè)備702錄入命令和信息并且還允許使用各種輸入/輸出設(shè)備向用戶和/或其它組件或設(shè)備呈現(xiàn)信息的功能性。輸入設(shè)備的示例包括鍵盤、光標(biāo)控制設(shè)備（例如，鼠標(biāo)）、用于語(yǔ)音操作的麥克風(fēng)、掃描儀、觸摸功能性（例如，配置為檢測(cè)物理觸摸的電容或其它傳感器）、相機(jī)（例如，其可以采用可見或非可見波長(zhǎng)，諸如紅外頻率，以檢測(cè)不涉及如手勢(shì)的觸摸的移動(dòng)）等。輸出設(shè)備的示例包括顯示設(shè)備（例如，監(jiān)控器或投影儀）、揚(yáng)聲器、打印機(jī)、網(wǎng)絡(luò)卡、觸覺響應(yīng)設(shè)備等。因而，計(jì)算設(shè)備702可以以各種方式進(jìn)行配置，如下文進(jìn)一步所述，以支持用戶交互。

本文在軟件、硬件元件或程序模塊的一般上下文中描述各種技術(shù)。一般地，這樣的模塊包括例程、程序、對(duì)象、元件、組件、數(shù)據(jù)結(jié)構(gòu)等，其執(zhí)行特定任務(wù)或者實(shí)現(xiàn)特定抽象數(shù)據(jù)類型。如本文中使用的術(shù)語(yǔ)“模塊”、“功能性”和“組件”一般表示軟件、固件、硬件或其組合。本文描述的技術(shù)的特征是獨(dú)立于平臺(tái)的，這意味著技術(shù)可以在具有各種處理器的各種商用計(jì)算平臺(tái)上實(shí)現(xiàn)。

所述模塊和技術(shù)的實(shí)現(xiàn)可以存儲(chǔ)在某種形式的計(jì)算機(jī)可讀介質(zhì)上或者跨某種形式的計(jì)算機(jī)可讀介質(zhì)傳送。計(jì)算機(jī)可讀介質(zhì)可以包括可以由計(jì)算設(shè)備702訪問的各種介質(zhì)。作為示例而非限制，計(jì)算機(jī)可讀介質(zhì)可以包括“計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)”和“通信介質(zhì)”。

“計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)”是指相比于單純信號(hào)傳送、載波或信號(hào)本身而言使得能夠存儲(chǔ)信息的介質(zhì)和/或設(shè)備。因而，計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)不包括信號(hào)承載介質(zhì)、傳輸信號(hào)或信號(hào)本身。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括硬件，諸如易失性和非易失性、可移除和不可移除介質(zhì)和/或存儲(chǔ)設(shè)備，其以適用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊、邏輯元件/電路或其它數(shù)據(jù)之類的信息的方法或技術(shù)實(shí)現(xiàn)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的示例可以包括但不限于，RAM、ROM、EEPROM、閃存或其它存儲(chǔ)器技術(shù)、CD-ROM、數(shù)字多用盤（DVD）或其它光學(xué)存儲(chǔ)裝置、硬盤、盒式磁帶、磁帶、磁盤存儲(chǔ)裝置或其它磁性存儲(chǔ)設(shè)備、或其它存儲(chǔ)設(shè)備、有形介質(zhì)或制品，其適用于存儲(chǔ)期望的信息并且可以由計(jì)算機(jī)訪問。

“通信介質(zhì)”可以是指信號(hào)承載介質(zhì)，其配置為諸如經(jīng)由網(wǎng)絡(luò)向計(jì)算設(shè)備702的硬件傳送指令。通信介質(zhì)典型地可以體現(xiàn)計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或者調(diào)制數(shù)據(jù)信號(hào)中的其它數(shù)據(jù)，諸如載波、數(shù)據(jù)信號(hào)或其它輸運(yùn)機(jī)制。通信介質(zhì)還包括任何信息遞送介質(zhì)。術(shù)語(yǔ)“調(diào)制數(shù)據(jù)信號(hào)”意指使其一個(gè)或多個(gè)特性以便于將信息編碼于信號(hào)中的這種方式進(jìn)行設(shè)定或改變的信號(hào)。作為示例而非限制，通信介質(zhì)包括諸如有線網(wǎng)絡(luò)或直接有線連接之類的有線介質(zhì)，以及諸如聲學(xué)、RF、紅外和其它無線介質(zhì)之類的無線介質(zhì)。

如之前所述，硬件元件710和計(jì)算機(jī)可讀介質(zhì)706代表以硬件形式實(shí)現(xiàn)的指令、模塊、可編程器件邏輯和/或固定器件邏輯，其可以在一些實(shí)施例中用于實(shí)現(xiàn)本文描述的技術(shù)的至少一些方面。硬件元件可以包括集成電路或片上系統(tǒng)的組件、專用集成電路（ASIC）、現(xiàn)場(chǎng)可編程門陣列（FPGA）、復(fù)雜可編程邏輯器件（CPLD）、以及硅或其它硬件設(shè)備中的其它實(shí)現(xiàn)。在該上下文中，硬件元件可以操作為執(zhí)行由指令限定的程序任務(wù)、模塊和/或由硬件元件體現(xiàn)的邏輯的處理設(shè)備和/或用于存儲(chǔ)指令以供執(zhí)行的硬件設(shè)備，例如之前描述的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

還可以采用前述內(nèi)容的組合以實(shí)現(xiàn)本文描述的各種技術(shù)和模塊。相應(yīng)地，包括操作系統(tǒng)108、應(yīng)用110、驗(yàn)證服務(wù)114和其它程序模塊的軟件、硬件或程序模塊可以實(shí)現(xiàn)為一個(gè)或多個(gè)指令和/或邏輯，其體現(xiàn)在某種形式的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上和/或由一個(gè)或多個(gè)硬件元件710所體現(xiàn)。計(jì)算設(shè)備702可以配置為實(shí)現(xiàn)對(duì)應(yīng)于軟件和/或硬件模塊的特定指令和/或功能。相應(yīng)地，如由計(jì)算設(shè)備702可執(zhí)行的模塊這樣的模塊作為軟件的實(shí)現(xiàn)可以至少部分地實(shí)現(xiàn)在硬件中，例如通過使用處理系統(tǒng)的硬件元件710和/或計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。指令和/或功能可以由一個(gè)或多個(gè)制品（例如，一個(gè)或多個(gè)計(jì)算設(shè)備702和/或處理系統(tǒng)704）可執(zhí)行/可操作以實(shí)現(xiàn)本文描述的技術(shù)、模塊和示例。

如圖7中進(jìn)一步圖示的，示例系統(tǒng)700使得能夠?qū)崿F(xiàn)普遍存在的環(huán)境以用于在個(gè)人計(jì)算機(jī)（PC）、電視設(shè)備和/或移動(dòng)設(shè)備上運(yùn)行應(yīng)用時(shí)的無縫用戶體驗(yàn)。服務(wù)和應(yīng)用在所有三個(gè)環(huán)境中基本上類似地運(yùn)行以用于在從一個(gè)設(shè)備過渡到下一個(gè)而同時(shí)利用應(yīng)用、播放視頻游戲、觀看視頻等時(shí)的共同用戶體驗(yàn)。

在示例系統(tǒng)700中，多個(gè)設(shè)備通過中央計(jì)算設(shè)備互連。中央計(jì)算設(shè)備可以在多個(gè)設(shè)備本地或者可以與多個(gè)設(shè)備遠(yuǎn)程定位。在一個(gè)實(shí)施例中，中央計(jì)算設(shè)備可以是通過網(wǎng)絡(luò)、互聯(lián)網(wǎng)或其它數(shù)據(jù)通信鏈接而連接到多個(gè)設(shè)備的一個(gè)或多個(gè)服務(wù)器計(jì)算機(jī)的云。

在一個(gè)實(shí)施例中，這種互連架構(gòu)使得能夠跨多個(gè)設(shè)備而遞送功能性以向多個(gè)設(shè)備的用戶提供共同且無縫的體驗(yàn)。多個(gè)設(shè)備中的每一個(gè)可以具有不同物理要求和能力，并且中央計(jì)算設(shè)備使用平臺(tái)以使得能夠向設(shè)備遞送既針對(duì)設(shè)備定制又對(duì)于所有設(shè)備共同的體驗(yàn)。在一個(gè)實(shí)施例中，創(chuàng)建目標(biāo)設(shè)備分類，并且針對(duì)一般設(shè)備分類對(duì)體驗(yàn)進(jìn)行定制。設(shè)備分類可以通過設(shè)備的物理特征、使用類型或者其它共同特性來限定。

在各種實(shí)現(xiàn)中，計(jì)算設(shè)備702可以采取各種不同配置，諸如以用于計(jì)算機(jī)714、移動(dòng)裝置716和電視718用途。這些配置中的每一個(gè)包括可以具有一般不同構(gòu)造和能力的設(shè)備，并且因而計(jì)算設(shè)備702可以根據(jù)不同設(shè)備分類中的一個(gè)或多個(gè)進(jìn)行配置。例如，計(jì)算設(shè)備702可以實(shí)現(xiàn)為設(shè)備的計(jì)算機(jī)714分類，其包括個(gè)人計(jì)算機(jī)、桌上型計(jì)算機(jī)、多屏計(jì)算機(jī)、膝上型計(jì)算機(jī)、上網(wǎng)本等。

計(jì)算設(shè)備702還可以實(shí)現(xiàn)為設(shè)備的移動(dòng)裝置716分類，其包括移動(dòng)設(shè)備，諸如移動(dòng)電話、便攜式音樂播放器、便攜式游戲設(shè)備、平板計(jì)算機(jī)、多屏計(jì)算機(jī)等。計(jì)算設(shè)備702還可以實(shí)現(xiàn)為設(shè)備的電視718分類，其包括在非正式觀看環(huán)境中具有或者連接到一般更大的屏幕的設(shè)備。這些設(shè)備包括電視、機(jī)頂盒、游戲控制臺(tái)等。

本文描述的技術(shù)可以由計(jì)算設(shè)備702的這些各種配置所支持并且不限于本文描述的技術(shù)的具體示例。這通過在計(jì)算設(shè)備702上包括驗(yàn)證服務(wù)114而說明。由驗(yàn)證服務(wù)114和其它模塊/應(yīng)用表示的功能性還可以通過使用分布式系統(tǒng)而全部或部分實(shí)現(xiàn)，諸如經(jīng)由如下文所述的平臺(tái)722而通過“云”720。

云720包括和/或代表用于資源724的平臺(tái)722。平臺(tái)722對(duì)云720的硬件（例如，服務(wù)器）和軟件資源的底層功能性進(jìn)行抽象。資源724可以包括應(yīng)用和/或數(shù)據(jù)，其可以在遠(yuǎn)離計(jì)算設(shè)備702的服務(wù)器上執(zhí)行計(jì)算機(jī)處理時(shí)利用。資源724還可以包括通過互聯(lián)網(wǎng)和/或通過訂戶網(wǎng)絡(luò)所提供的服務(wù)，諸如蜂窩或Wi-Fi網(wǎng)絡(luò)。

平臺(tái)722可以對(duì)資源和功能性進(jìn)行抽象以使計(jì)算設(shè)備702與其它計(jì)算設(shè)備連接。平臺(tái)722還可以服務(wù)于對(duì)資源伸縮進(jìn)行抽象以針對(duì)經(jīng)由平臺(tái)722所實(shí)現(xiàn)的資源724的所遭遇的需求而提供對(duì)應(yīng)伸縮等級(jí)。因而，在互連設(shè)備環(huán)境中，本文描述的功能性的實(shí)現(xiàn)可以遍及系統(tǒng)700分布。例如，功能性可以部分地實(shí)現(xiàn)在計(jì)算設(shè)備702上，以及經(jīng)由對(duì)云720的功能性進(jìn)行抽象的平臺(tái)722而實(shí)現(xiàn)。

結(jié)論

盡管已經(jīng)以具體到結(jié)構(gòu)特征和/或方法動(dòng)作的語(yǔ)言描述了主題，但是要理解到，在隨附權(quán)利要求中限定的主題未必限于以上描述的具體特征或動(dòng)作。相反，以上描述的具體特征和動(dòng)作被公開為實(shí)現(xiàn)權(quán)利要求的示例形式。