本申請(qǐng)涉及一種用于通過要嵌入的網(wǎng)絡(luò)應(yīng)用認(rèn)證周圍的網(wǎng)絡(luò)應(yīng)用的方法和系統(tǒng)。

背景技術(shù)：

如今，在工業(yè)化的設(shè)備中同時(shí)存在各種不同的系統(tǒng)和應(yīng)用，例如scada(supervisorycontrolanddataacquisition，監(jiān)管控制和數(shù)據(jù)獲取)系統(tǒng)、mes(manufactoringexecutionsystem，制造執(zhí)行系統(tǒng))系統(tǒng)或dcs(distributedcontrolsystem，分散式控制系統(tǒng))系統(tǒng)。在此，一些系統(tǒng)又由多個(gè)例如用于工程和運(yùn)行的單個(gè)應(yīng)用組成。同樣地，在這樣的設(shè)備中當(dāng)然表征了域不可知的應(yīng)用，例如用于通信、文檔管理/處理和導(dǎo)航。在此，操作者必須在多個(gè)工作步驟和活動(dòng)中通過各種應(yīng)用結(jié)束工作。在此，多個(gè)這樣的系統(tǒng)能作為瀏覽器中實(shí)施的網(wǎng)絡(luò)應(yīng)用使用。此外，這樣的應(yīng)用通常相互集成，以便經(jīng)由共同的用戶接口操作。

在此，應(yīng)用通常在視覺上(即在表示層)相互集成，其特別地適用于網(wǎng)絡(luò)應(yīng)用(在此也被稱為“mash-up”或“mashup”(混聚))。在此，各種應(yīng)用自身進(jìn)一步影響其用戶接口，其嵌入在上級(jí)的用戶界面(user-interface)。下列的說(shuō)明特別地針對(duì)應(yīng)用的應(yīng)用認(rèn)證，而不是自然人的認(rèn)證(用戶認(rèn)證)。

特別地在工業(yè)化的設(shè)備中，用戶/消費(fèi)者或者系統(tǒng)集成器(system-integratoren)常常想要使各種網(wǎng)絡(luò)應(yīng)用相互組合；然而存在各種將會(huì)反對(duì)不受控制的集成的原因。例如，各種應(yīng)用的集成能夠聯(lián)結(jié)一個(gè)許可，然而消費(fèi)者/集成器并不具有對(duì)于設(shè)備足夠的許可。此外，應(yīng)用能夠放棄敏感的數(shù)據(jù)，從而應(yīng)當(dāng)保障的是，僅能夠相互集成可靠的應(yīng)用。

由于該原因，迄今為止常常利用工藝上的手段基本上阻止將網(wǎng)絡(luò)應(yīng)用集成到其它的(網(wǎng)絡(luò))應(yīng)用中。最通用的變體對(duì)此原則上禁止將網(wǎng)絡(luò)應(yīng)用包含到其它的應(yīng)用中，這例如由此實(shí)現(xiàn)，即應(yīng)用識(shí)別其是否在下級(jí)的窗口、所謂的“內(nèi)聯(lián)框架”或簡(jiǎn)稱“iframe”中實(shí)施，并且是否因此拒絕實(shí)施。此外，主要限制網(wǎng)絡(luò)api(api＝applicationprogramminginterface＝應(yīng)用程序界面)的使用。然而在此，僅僅消費(fèi)者、即api所應(yīng)用的頁(yè)面，相對(duì)于api進(jìn)行認(rèn)證。在此，典型的認(rèn)證方式是api秘鑰、消費(fèi)者id、授權(quán)url或數(shù)字簽名的url。

api秘鑰單獨(dú)在api提供方對(duì)于每個(gè)應(yīng)用要求一次，并且每個(gè)詢問附加有該密鑰。缺點(diǎn)在于，秘鑰作為明文傳輸；因此該方法主要應(yīng)用于結(jié)算(“billing(開賬單)”)。作為秘鑰的替換，通常應(yīng)用所謂的消費(fèi)者id(消費(fèi)者識(shí)別號(hào))。在此的轉(zhuǎn)變和缺點(diǎn)參照api秘鑰。在所謂的“授權(quán)url”中相對(duì)于應(yīng)用的api授權(quán)整個(gè)域(例如http://example.com)。在此，在調(diào)用api時(shí)傳遞和相對(duì)校驗(yàn)調(diào)用者的地址。該方式顯著地取決于基礎(chǔ)設(shè)施的特定的安裝。該方法通常與其它的認(rèn)證方法、例如消費(fèi)者id組合。

在此，所有這種方法都相對(duì)于服務(wù)器僅僅針對(duì)api調(diào)用，其中，該服務(wù)器并不相對(duì)于調(diào)用進(jìn)行認(rèn)證。

相互的認(rèn)證在https/tls中已知。然而在此，僅消費(fèi)者/服務(wù)器相對(duì)認(rèn)證；在此涉及用于傳輸通道的安全措施，其不設(shè)置產(chǎn)品或應(yīng)用層上的認(rèn)證。

同樣已知了若干認(rèn)證方法，它們此外被考慮用于用戶認(rèn)證和下游的用戶授權(quán)。然而，在各種登記方法中僅檢查的是，用戶是允許使用具體的應(yīng)用。在此并不檢查是否(允許)各種應(yīng)用相互聯(lián)合。

在因此為周圍的網(wǎng)絡(luò)應(yīng)用提供大量的措施以便對(duì)要嵌入的網(wǎng)絡(luò)應(yīng)用進(jìn)行認(rèn)證進(jìn)而允許和封鎖期間，關(guān)于關(guān)系到掌控可能性的問題存在改善需求，要嵌入的網(wǎng)絡(luò)應(yīng)用關(guān)于其周圍的網(wǎng)絡(luò)應(yīng)用具有這些可能性。

技術(shù)實(shí)現(xiàn)要素：

因此，本申請(qǐng)的目的在于，在要嵌入的網(wǎng)絡(luò)應(yīng)用方面控制其在周圍的網(wǎng)絡(luò)應(yīng)用中的實(shí)施。

該目的通過一種方法和一種系統(tǒng)實(shí)現(xiàn)。

在此提出一種用于通過或相對(duì)于要嵌入的網(wǎng)絡(luò)應(yīng)用認(rèn)證周圍的(嵌入的)網(wǎng)絡(luò)應(yīng)用的方法和系統(tǒng)，其中，周圍的第一網(wǎng)絡(luò)應(yīng)用在瀏覽器中實(shí)施，并且要嵌入的第二網(wǎng)絡(luò)應(yīng)用設(shè)置用于在周圍的第一網(wǎng)絡(luò)應(yīng)用的單獨(dú)的實(shí)施和顯示區(qū)域中進(jìn)行，其中，周圍的第一網(wǎng)絡(luò)應(yīng)用通過至少一個(gè)第一網(wǎng)絡(luò)服務(wù)器提供，并且要嵌入的第二網(wǎng)絡(luò)應(yīng)用通過至少一個(gè)第二網(wǎng)絡(luò)服務(wù)器提供。在此，周圍的第一網(wǎng)絡(luò)應(yīng)用相對(duì)于要嵌入的第二網(wǎng)絡(luò)應(yīng)用(awb)進(jìn)行認(rèn)證，其中，配屬于第一網(wǎng)絡(luò)應(yīng)用的第一秘鑰材料能由第二網(wǎng)絡(luò)服務(wù)器使用，其中，經(jīng)由瀏覽器在第一網(wǎng)絡(luò)服務(wù)器和第二網(wǎng)絡(luò)服務(wù)器之間交換認(rèn)證消息，并且其中，僅在成功的認(rèn)證或授權(quán)時(shí)激活第二網(wǎng)絡(luò)應(yīng)用。借助于該方法能夠?qū)崿F(xiàn)的是，要嵌入的網(wǎng)絡(luò)應(yīng)用識(shí)別周圍的網(wǎng)絡(luò)應(yīng)用，并且其自身進(jìn)行認(rèn)證，其中，通過存儲(chǔ)和評(píng)估相應(yīng)的網(wǎng)絡(luò)服務(wù)器中的必要秘鑰材料給予高的安全標(biāo)準(zhǔn)，因?yàn)槊罔€材料自己并不被傳輸，而是僅交換借助于密鑰材料簽名的消息。由此使用秘鑰材料并無(wú)需將其傳輸。

該目的還通過一種用于認(rèn)證周圍的(嵌入的)網(wǎng)絡(luò)應(yīng)用的系統(tǒng)實(shí)現(xiàn)，其中，為了實(shí)施周圍的第一網(wǎng)絡(luò)應(yīng)用而設(shè)置瀏覽器，其中，要嵌入的第二網(wǎng)絡(luò)應(yīng)用設(shè)置用于在周圍的第一網(wǎng)絡(luò)應(yīng)用的單獨(dú)的實(shí)施和顯示區(qū)域中進(jìn)行，并且其中，設(shè)置用于提供周圍的第一網(wǎng)絡(luò)應(yīng)用的第一網(wǎng)絡(luò)服務(wù)器，并且設(shè)置用于提供要嵌入的第二網(wǎng)絡(luò)應(yīng)用的第二網(wǎng)絡(luò)服務(wù)器。在此，該系統(tǒng)設(shè)計(jì)用于執(zhí)行前述方法。利用這樣的系統(tǒng)能夠?qū)崿F(xiàn)已經(jīng)根據(jù)該方法闡述的優(yōu)點(diǎn)。

在此描述的特征和其優(yōu)點(diǎn)類似地也適用于根據(jù)本申請(qǐng)的系統(tǒng)。所述的設(shè)計(jì)方案的特征不僅能夠單獨(dú)地實(shí)現(xiàn)，也能夠以顯而易見的組合的方式實(shí)現(xiàn)。

為了安全地封裝要嵌入的網(wǎng)絡(luò)應(yīng)用，有利地作為單獨(dú)的實(shí)施和顯示區(qū)域在周圍的第一網(wǎng)絡(luò)應(yīng)用的網(wǎng)絡(luò)窗口中應(yīng)用內(nèi)聯(lián)框架(inlineframe)(“iframe”)。在此有利地，在內(nèi)聯(lián)框架和周圍的第一網(wǎng)絡(luò)應(yīng)用之間設(shè)置用于交換消息的接口。

通過在認(rèn)證或授權(quán)過程中測(cè)定第一網(wǎng)絡(luò)應(yīng)用的域，能夠檢查認(rèn)證消息的來(lái)源，其中，僅當(dāng)測(cè)定了為此設(shè)置的域的時(shí)候才進(jìn)行激活。

當(dāng)保障了僅在認(rèn)證了周圍的網(wǎng)絡(luò)應(yīng)用之后才將要嵌入的網(wǎng)絡(luò)應(yīng)用的要保護(hù)的部分載入到瀏覽器或?qū)嵤﹨^(qū)域中時(shí)，給予更高安全性。這由此實(shí)現(xiàn)，即，要嵌入的第二網(wǎng)絡(luò)應(yīng)用具有帶有用于與第一網(wǎng)絡(luò)應(yīng)用和/或?yàn)g覽器通信并且用于與第二網(wǎng)絡(luò)服務(wù)器通信的模塊的基礎(chǔ)部分，其中，要嵌入的第二網(wǎng)絡(luò)應(yīng)用還具有應(yīng)用特定的應(yīng)用部分，其中，基礎(chǔ)部分在認(rèn)證或授權(quán)之前載入到單獨(dú)的實(shí)施和顯示區(qū)域之中并且啟動(dòng)，并且其中，為了激活而將應(yīng)用部分載入到單獨(dú)的實(shí)施和顯示區(qū)域之中并且啟動(dòng)或功能性接通。

附加地，也能夠保護(hù)周圍的網(wǎng)絡(luò)應(yīng)用防止嵌入不期望的待嵌入的網(wǎng)絡(luò)應(yīng)用，這由此實(shí)現(xiàn)，即，以模擬的方式相對(duì)于周圍的第一網(wǎng)絡(luò)應(yīng)用認(rèn)證要嵌入的第二要網(wǎng)絡(luò)應(yīng)用，其中，將配屬于要嵌入的第二網(wǎng)絡(luò)應(yīng)用的第二秘鑰材料存儲(chǔ)在第二網(wǎng)絡(luò)服務(wù)器上，并且能通過第一網(wǎng)絡(luò)服務(wù)器借助于認(rèn)證消息經(jīng)由瀏覽器的交換使用該第二密鑰材料，并且僅在第二網(wǎng)絡(luò)應(yīng)用的成功的認(rèn)證或授權(quán)時(shí)加載/激活該第二網(wǎng)絡(luò)應(yīng)用(awb)。

為了保護(hù)通信，特別是為了交換認(rèn)證和授權(quán)消息，在第一和/或第二網(wǎng)絡(luò)應(yīng)用的認(rèn)證或授權(quán)之前，分別在第一網(wǎng)絡(luò)服務(wù)器和第一網(wǎng)絡(luò)應(yīng)用之間以及在第二網(wǎng)絡(luò)應(yīng)用和第二網(wǎng)絡(luò)服務(wù)器之間設(shè)立安全的通信關(guān)系，優(yōu)選地在https協(xié)議的基礎(chǔ)上。

附圖說(shuō)明

接下來(lái)根據(jù)附圖闡述根據(jù)本申請(qǐng)的方法的實(shí)施例；該實(shí)例同時(shí)用于根據(jù)本申請(qǐng)的系統(tǒng)的闡述。

在此，唯一的附圖示出由具有周圍和要嵌入的網(wǎng)絡(luò)應(yīng)用的瀏覽器組成的布置的示意圖，其中，網(wǎng)絡(luò)應(yīng)用與各個(gè)網(wǎng)絡(luò)服務(wù)器有通信關(guān)系。

具體實(shí)施方式

該附圖示出了在計(jì)算機(jī)(未示出)上運(yùn)行的網(wǎng)絡(luò)瀏覽器(簡(jiǎn)稱：瀏覽器)b，其經(jīng)由同樣未示出的網(wǎng)絡(luò)通信地連接網(wǎng)絡(luò)服務(wù)器wsa，wsb。在瀏覽器中運(yùn)行第一網(wǎng)絡(luò)應(yīng)用awa，其接下來(lái)也應(yīng)當(dāng)稱為“周圍的網(wǎng)絡(luò)應(yīng)用”并且至少部分地由第一網(wǎng)絡(luò)服務(wù)器wsa支持(“gehostet(作主機(jī))”)；對(duì)此類似地，接下來(lái)也應(yīng)當(dāng)稱為“要嵌入的網(wǎng)絡(luò)應(yīng)用”的第二網(wǎng)絡(luò)應(yīng)用awb至少部分地由第二網(wǎng)絡(luò)服務(wù)器wsb支持(“gehostet(作主機(jī))”)。要嵌入的第二網(wǎng)絡(luò)應(yīng)用awb設(shè)置用于在第一網(wǎng)絡(luò)應(yīng)用awa中在設(shè)計(jì)為“inlineframe(內(nèi)聯(lián)框架)”或“iframe”的單獨(dú)的實(shí)施和顯示區(qū)域if中進(jìn)行。在單獨(dú)的實(shí)施和顯示區(qū)域if和第一網(wǎng)絡(luò)應(yīng)用awa之間布置用于交換消息或信息的集成接口is。此外，通信信道kka，kkb設(shè)立在網(wǎng)絡(luò)應(yīng)用awa，awb以及其分別配屬的網(wǎng)絡(luò)服務(wù)器wsa，wsb之間。在第一網(wǎng)絡(luò)服務(wù)器wsa中存儲(chǔ)第一秘鑰材料sma，其設(shè)置用于認(rèn)證和/或授權(quán)第一網(wǎng)絡(luò)應(yīng)用awa；可選地在第二網(wǎng)絡(luò)服務(wù)器wsb中存儲(chǔ)第二秘鑰材料smb，其設(shè)置用于認(rèn)證和/或授權(quán)第二網(wǎng)絡(luò)應(yīng)用awb。替代在相應(yīng)的網(wǎng)絡(luò)服務(wù)器wsa，wsb中存儲(chǔ)相應(yīng)的秘鑰材料sma，smb，秘鑰材料sma，smb也能夠存儲(chǔ)在另外的部件中，并且僅根據(jù)需求由網(wǎng)絡(luò)服務(wù)器wsa，wsb調(diào)用和/或使用。

在此提出的認(rèn)證始終在周圍的和要嵌入的網(wǎng)絡(luò)應(yīng)用awa，awb之間進(jìn)行。如果應(yīng)將多個(gè)要嵌入的網(wǎng)絡(luò)應(yīng)用相互認(rèn)證或集成，那么應(yīng)用認(rèn)證還是始終間接經(jīng)由所有的共同的(周圍的)網(wǎng)絡(luò)應(yīng)用實(shí)現(xiàn)，然而不直接相互實(shí)現(xiàn)。此外，不設(shè)置在各種的要嵌入的網(wǎng)絡(luò)應(yīng)用之間經(jīng)由所述的用于使用集成接口的方式的直接通信。在當(dāng)前的實(shí)例中，應(yīng)當(dāng)出于簡(jiǎn)明的原因僅考慮要嵌入的第二網(wǎng)絡(luò)應(yīng)用awb。

網(wǎng)絡(luò)應(yīng)用awb具有：各一個(gè)瀏覽器側(cè)的部分，其在操作者的、也實(shí)施瀏覽器b的機(jī)器上實(shí)施；以及服務(wù)器側(cè)的部分(其中在此能夠涉及網(wǎng)絡(luò)服務(wù)器或另外涉及復(fù)雜的具有位于后臺(tái)(dahinterliegendem)的應(yīng)用服務(wù)器或類似物的結(jié)構(gòu))，由其出發(fā)的是，其能夠足夠地被保護(hù)防止外部訪問。

瀏覽器側(cè)的部分由服務(wù)器部分提供，例如實(shí)施javascript代碼，并且在運(yùn)行時(shí)間中經(jīng)由網(wǎng)絡(luò)接口與網(wǎng)絡(luò)服務(wù)器wsb連接。

此外，網(wǎng)絡(luò)應(yīng)用awa影響明確規(guī)定的通信接口、集成接口is，其用于集成第二要嵌入的網(wǎng)絡(luò)應(yīng)用。在此，要嵌入的網(wǎng)絡(luò)應(yīng)用awb首先是基礎(chǔ)部分，其對(duì)于所有的協(xié)作的網(wǎng)絡(luò)應(yīng)用awb是共同的，并且因此能夠是標(biāo)準(zhǔn)軟件；該構(gòu)件提供用于集成的基礎(chǔ)設(shè)施并且允許例如與周圍的網(wǎng)絡(luò)應(yīng)用awa的通信。此外，網(wǎng)絡(luò)應(yīng)用awb具有所謂的應(yīng)用部分，其是應(yīng)用特定的并且用于控制實(shí)際使用應(yīng)用(例如經(jīng)由所謂的“apicalls(api調(diào)用)”)，由應(yīng)用告知結(jié)果(經(jīng)由所謂的“event-subscriptions(事件訂閱)”)并且交換數(shù)據(jù)。特別地，網(wǎng)絡(luò)應(yīng)用的該應(yīng)用部分能夠在認(rèn)證過程中進(jìn)行保護(hù)。

與此相反，在周圍的網(wǎng)絡(luò)應(yīng)用awa中通常僅存在基礎(chǔ)接口，其用于嵌入網(wǎng)絡(luò)應(yīng)用awb。這不僅包括視覺的集成也包括通常的通信，其是用于要嵌入的網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)接口的對(duì)應(yīng)。在通信信道的成功的視覺嵌入和建立之后，網(wǎng)絡(luò)應(yīng)用awb能夠經(jīng)由其特定的接口(api)使用。

對(duì)于提出的應(yīng)用認(rèn)證來(lái)說(shuō)有利的是，周圍的和要嵌入的網(wǎng)絡(luò)應(yīng)用awa，awb例如通過所謂的iframe相互隔絕。兩個(gè)應(yīng)用能夠因此僅交換消息(例如借助于“postmessage”方式)并且對(duì)此做出反應(yīng)。直接調(diào)用各另一個(gè)網(wǎng)絡(luò)應(yīng)用awa，awb的代碼可靠地由瀏覽器b禁止。因此，消息如“postmessage”示出的原理為，在其基礎(chǔ)上基礎(chǔ)接口影響較高的抽象水平。

在此，認(rèn)證同樣經(jīng)由在周圍的和要嵌入的網(wǎng)絡(luò)應(yīng)用awa，awb之間的基礎(chǔ)接口實(shí)現(xiàn)。在兩個(gè)方面都能夠經(jīng)由普遍的“sendauthenticationmessage(發(fā)送認(rèn)證消息)”方式發(fā)送和接收(“handleauthenticationmessage(處理認(rèn)證消息)”)認(rèn)證消息。經(jīng)由該簡(jiǎn)單的接收能夠通過消息交換(“handshake(握手)”)實(shí)現(xiàn)任意的認(rèn)證方法，然而在兩個(gè)方面都必須能夠處理相應(yīng)的消息。如果接收了無(wú)效的或者未知的消息，那么就將認(rèn)證做為“未認(rèn)證的”結(jié)束；同樣地，當(dāng)在認(rèn)證過程中結(jié)果為無(wú)效的認(rèn)證的時(shí)候也這樣。

在成功的認(rèn)證之后能夠在需要的情況中在此基礎(chǔ)上建設(shè)性地進(jìn)行授權(quán)，例如與在認(rèn)證結(jié)果中包含的許可信息或類似物的匹配。

為了禁止例如入侵者不正當(dāng)?shù)貜?fù)制或轉(zhuǎn)發(fā)認(rèn)證消息，能夠?qū)⒄J(rèn)證分別與域聯(lián)結(jié)。因此成功的認(rèn)證必須能夠?qū)崿F(xiàn)的是，向?qū)Ψ絺鬏攽?yīng)用的域、例如作為證書的組件或類似物。在所述的iframe隔絕的情況下能夠分別檢查對(duì)方的域。在要嵌入的網(wǎng)絡(luò)應(yīng)用awb的情況中，其例如通過讀取瀏覽器b的瀏覽器屬性“document.referrer”進(jìn)行。該所謂的“property(屬性)”由瀏覽器b管理，在應(yīng)用角度中進(jìn)行寫入保護(hù)(“property(只讀)”)，并且在iframes的情況中總是描述周圍的網(wǎng)頁(yè)、即網(wǎng)絡(luò)應(yīng)用awa的url。因此，其應(yīng)當(dāng)表現(xiàn)周圍的網(wǎng)絡(luò)應(yīng)用的url，另一方面能夠從其之中提取其域。

在周圍的網(wǎng)絡(luò)應(yīng)用awa中，能夠在來(lái)自于消息結(jié)果的每個(gè)postmessage通信中檢查來(lái)源(“origin”)。在此涉及位于iframe中的網(wǎng)頁(yè)、即要嵌入的網(wǎng)絡(luò)應(yīng)用awb或其基礎(chǔ)部分的url，能夠從其中由此提取其域。

然而在此，認(rèn)證始終在相應(yīng)的網(wǎng)絡(luò)應(yīng)用awa，awb的服務(wù)器側(cè)實(shí)施，同樣地，在那里存在有秘鑰材料sma，smb或類似物。通過瀏覽器b僅對(duì)此使必要的消息通過。因此，消息的詢問或隨讀(mitlesen)不能夠由入侵者利用，特別是通過使用受保護(hù)的通信協(xié)議如https，并且由此，通常不必使秘鑰材料sma，smb通信，而是僅局域地在網(wǎng)絡(luò)服務(wù)器wsa，wsb中應(yīng)用。

域自身的匹配應(yīng)當(dāng)在相應(yīng)的服務(wù)器部分中作為所謂的“握手”的子步驟進(jìn)行。

如果網(wǎng)絡(luò)應(yīng)用awa要么進(jìn)行認(rèn)證要么進(jìn)行授權(quán)，那么就不影響網(wǎng)絡(luò)應(yīng)用awb的應(yīng)用特定的接口，或者網(wǎng)絡(luò)應(yīng)用awb相對(duì)于其忽略相應(yīng)的調(diào)用。同樣地，網(wǎng)絡(luò)應(yīng)用awb能夠在其視覺區(qū)域中顯示或在其它方面表現(xiàn)相應(yīng)的信息，即在當(dāng)時(shí)不能夠?qū)崿F(xiàn)應(yīng)用。相反，周圍的網(wǎng)絡(luò)應(yīng)用awa不能夠在可能的情況下從其用戶界面(ui)中完全地去除認(rèn)證/授權(quán)的網(wǎng)絡(luò)應(yīng)用awb。

如果兩個(gè)網(wǎng)絡(luò)應(yīng)用awa，awb之中的一個(gè)要求各另一個(gè)網(wǎng)絡(luò)應(yīng)用awa，awb的認(rèn)證，那么其就發(fā)送相應(yīng)的消息，由此開始認(rèn)證過程。這應(yīng)當(dāng)甚至通常直接在視覺的嵌入后在網(wǎng)絡(luò)應(yīng)用的應(yīng)用開始過程中發(fā)生，然而原則上在任意之后的時(shí)間點(diǎn)也是可能的。根據(jù)下層的認(rèn)證或授權(quán)方法，該過程能夠在交換一個(gè)或多個(gè)消息之后正面或負(fù)面地結(jié)束，緊接著能提供或保留、或者不提供或保留認(rèn)證或授權(quán)要求的網(wǎng)絡(luò)應(yīng)用awa，awb、所謂的api的應(yīng)用接口。

對(duì)于認(rèn)證來(lái)說(shuō)，相關(guān)的數(shù)據(jù)(例如私人的秘鑰材料sma，smb)來(lái)說(shuō)始終在所屬的網(wǎng)絡(luò)服務(wù)器wsa，wsb(或下層的另外的服務(wù)器)中存在，并且在那里特別地保護(hù)不進(jìn)行訪問。

在認(rèn)證過程中能夠安全地測(cè)定對(duì)方的域，例如通過將其包含在所謂的“無(wú)法偽造的聲明”中來(lái)實(shí)現(xiàn)。應(yīng)用能夠如上所述測(cè)定對(duì)方的實(shí)際上的域，從而能夠保障的是，認(rèn)證實(shí)際上利用直接在接口上存在的應(yīng)用進(jìn)行。

所述方法能夠擴(kuò)展成兩段式方式。在此，在第一階段中例如在https的基礎(chǔ)上保障協(xié)作的應(yīng)用的值得信賴的通信。要嵌入的網(wǎng)絡(luò)應(yīng)用awb經(jīng)由iframeif的集成在不值得信賴的源(即沒有有效的證書的源)的情況下自動(dòng)地禁止其進(jìn)一步的結(jié)合。對(duì)此必須的置信位置由消費(fèi)者在基礎(chǔ)設(shè)施側(cè)進(jìn)行并且最初用于其安全。在完成第一階段之后根據(jù)上述方式在第二階段中將要相互集成的網(wǎng)絡(luò)應(yīng)用awa，awb、即要嵌入的網(wǎng)絡(luò)應(yīng)用awb相對(duì)于周圍的第一網(wǎng)絡(luò)應(yīng)用awa認(rèn)證，和/或相反地進(jìn)行。

所提出的方式針對(duì)許可的、網(wǎng)絡(luò)應(yīng)用相互的置信位置的以及用于完整保護(hù)的開頭提出的目的。此外該方式允許的是，經(jīng)由普通的接口采用多個(gè)(也是所擁有的)方法并且在可能的情況下相互組合，例如將許可檢查等與一般的應(yīng)用認(rèn)證組合。秘鑰材料保留在相應(yīng)的網(wǎng)絡(luò)服務(wù)器上，并且因此不能由操作者讀取。在此，經(jīng)由瀏覽器b僅使認(rèn)證消息通過，而不在那里放棄敏感的數(shù)據(jù)。

相對(duì)于已知的解決方案能夠?qū)崿F(xiàn)的是，應(yīng)用要集成的網(wǎng)絡(luò)應(yīng)用awb的接口，而不初始化服務(wù)器部分的每個(gè)調(diào)用或者公開相關(guān)的秘鑰材料或類似物。相反于所謂的“serviceaccounts(服務(wù)賬號(hào))”，網(wǎng)絡(luò)應(yīng)用awa，awb彼此認(rèn)證，而不需要所謂的“identityproviders(身份提供者)”形式的中心的基礎(chǔ)設(shè)施。通常不需要干涉基礎(chǔ)設(shè)置，或必須對(duì)其進(jìn)行管理。盡管如此能夠?qū)崿F(xiàn)的是，一起接受基礎(chǔ)設(shè)施特定的觀點(diǎn)(例如許可)。