本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及的是一種授權(quán)方法以及服務(wù)器。

背景技術(shù)：

終端設(shè)備在訪問資源時，需要資源擁有者的授權(quán)，終端設(shè)備在資源擁有者的授權(quán)下，即可進(jìn)行資源的訪問。

現(xiàn)有技術(shù)所提供的授權(quán)方式包括如下步驟：

步驟101、所述終端設(shè)備向資源所有者(英文全稱：resourceowner，英文簡稱：ro)發(fā)送請求信息；

所述終端設(shè)備作為資源的請求方，通過所述請求信息請求資源，所述請求信息包括要訪問的資源路徑，操作類型，終端設(shè)備的用戶身份等信息。

步驟102、所述資源所有者將授權(quán)碼authorizationcodegrant發(fā)送給終端設(shè)備。

其中，所述資源所有者將所述授權(quán)碼authorizationcodegrant作為授權(quán)憑證發(fā)送給所述終端設(shè)備。

步驟103、所述終端設(shè)備向授權(quán)服務(wù)器(英文全稱：authorizationserver，英文簡稱：as)發(fā)送訪問令牌請求信息。

其中，所述訪問令牌請求信息包括所述授權(quán)碼以及終端設(shè)備的用戶的身份憑證。

步驟104、所述授權(quán)服務(wù)器將訪問令牌發(fā)送給所述終端設(shè)備。

步驟105、所述終端設(shè)備將所述訪問令牌發(fā)送給資源服務(wù)器(英文全稱：resourceserver，英文簡稱：rs)。

步驟106、所述資源服務(wù)器根據(jù)所述訪問令牌將資源發(fā)送給所述終端設(shè)備。

現(xiàn)有技術(shù)所示的授權(quán)方式，所述資源所有者對所述終端設(shè)備的授權(quán)過程為實時授權(quán)，無法對終端設(shè)備定義精細(xì)化的權(quán)限需求，一般是把權(quán)限分成粗粒度的些類別，這種方式是無法滿足云服務(wù)的精細(xì)化權(quán)限管理需求，而且以訪問令牌來作為授權(quán)后訪問資源的憑證，安全性較低。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供了一種授權(quán)方法以及相關(guān)設(shè)備。

本發(fā)明實施例第一方面提供了一種授權(quán)方法，包括：

云服務(wù)提供商側(cè)服務(wù)器接收終端設(shè)備發(fā)送的第一臨時證書，所述第一臨時證書用于請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源；

所述云服務(wù)提供商側(cè)服務(wù)器根據(jù)所述第一臨時證書確定目標(biāo)權(quán)限，所述目標(biāo)權(quán)限用于指示具有訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源的權(quán)限；

所述云服務(wù)提供商側(cè)服務(wù)器將第二臨時證書發(fā)送給所述終端設(shè)備，所述第二臨時證書用于指示所述目標(biāo)權(quán)限，以使所述終端設(shè)備通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的所述目標(biāo)資源。

本發(fā)明實施例第二方面提供了一種授權(quán)方法，包括：

終端設(shè)備將第一臨時證書發(fā)送給云服務(wù)提供商側(cè)服務(wù)器，所述第一臨時證書用于請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源，所述云服務(wù)提供商側(cè)服務(wù)器為云服務(wù)提供商側(cè)的服務(wù)器，所述終端設(shè)備為第三方服務(wù)商側(cè)的服務(wù)器；

所述終端設(shè)備接收所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的第二臨時證書，所述第二臨時證書用于指示具有目標(biāo)權(quán)限，所述目標(biāo)權(quán)限用于指示具有訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源的權(quán)限；

所述終端設(shè)備通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的所述目標(biāo)資源。

本發(fā)明實施例第三方面提供了一種云服務(wù)提供商側(cè)服務(wù)器，包括：

接收單元，用于接收終端設(shè)備發(fā)送的第一臨時證書，所述第一臨時證書用于請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源；

確定單元，用于根據(jù)所述第一臨時證書確定目標(biāo)權(quán)限，所述目標(biāo)權(quán)限用于指示具有訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源的權(quán)限；

發(fā)送單元，用于將第二臨時證書發(fā)送給所述終端設(shè)備，所述第二臨時證書用于指示所述目標(biāo)權(quán)限，以使所述終端設(shè)備通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的所述目標(biāo)資源。

本發(fā)明實施例第四方面提供了一種終端設(shè)備，包括：

發(fā)送單元，用于將第一臨時證書發(fā)送給云服務(wù)提供商側(cè)服務(wù)器，所述第一臨時證書用于請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源；

接收單元，用于接收所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的第二臨時證書，所述第二臨時證書用于指示目標(biāo)權(quán)限，所述目標(biāo)權(quán)限用于指示具有訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源的權(quán)限；

訪問單元，用于通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的所述目標(biāo)資源。

本發(fā)明實施例第五方面提供了一種云服務(wù)提供商側(cè)服務(wù)器，包括：

一個或多個中央處理器、存儲器、總線系統(tǒng)、以及一個或多個程序，所述中央處理器和所述存儲器通過所述總線系統(tǒng)相連；

其中所述一個或多個程序被存儲在所述存儲器中，所述一個或多個程序包括指令，所述指令當(dāng)被所述云服務(wù)提供商側(cè)服務(wù)器執(zhí)行時使所述云服務(wù)提供商側(cè)服務(wù)器執(zhí)行如本發(fā)明實施例第一方面所提供的所述的方法。

本發(fā)明實施例第六方面提供了一種終端設(shè)備，包括：

一個或多個處理器單元、存儲單元、總線系統(tǒng)、以及一個或多個程序，所述處理器單元和所述存儲單元通過所述總線系統(tǒng)相連；

其中所述一個或多個程序被存儲在所述存儲單元中，所述一個或多個程序包括指令，所述指令當(dāng)被所述終端設(shè)備執(zhí)行時使所述終端設(shè)備執(zhí)行如本發(fā)明第二方面所示的所述的方法。

從以上技術(shù)方案可以看出，本發(fā)明實施例具有以下優(yōu)點(diǎn)：

所述云服務(wù)提供商側(cè)服務(wù)器可通過所述第二臨時證書實現(xiàn)對所述終端設(shè)備進(jìn)行精細(xì)化的權(quán)限管理，即使得所述終端設(shè)備對所述云服務(wù)提供商側(cè)服務(wù)器僅具有目標(biāo)權(quán)項的訪問，同時保證了終端設(shè)備訪問所述云服務(wù)提供商側(cè)服務(wù)器的目標(biāo)資源的安全性和靈活性。

附圖說明

圖1為現(xiàn)有技術(shù)所提供的授權(quán)方法的步驟流程示意圖；

圖2為本發(fā)明所提供的云服務(wù)系統(tǒng)的結(jié)構(gòu)的一種實施例結(jié)構(gòu)示意圖；

圖3為本發(fā)明所提供的云服務(wù)提供商側(cè)服務(wù)器的一種實施例結(jié)構(gòu)示意圖；

圖4為本發(fā)明所提供的終端設(shè)備的一種實施例結(jié)構(gòu)示意圖；

圖5為本發(fā)明所提供的授權(quán)方法的一種實施例步驟流程圖；

圖6為本發(fā)明所提供的授權(quán)方法的另一種實施例步驟流程圖；

圖7為本發(fā)明所提供的授權(quán)方法的另一種實施例步驟流程圖；

圖8為本發(fā)明所提供的預(yù)選權(quán)限的創(chuàng)建示意圖；

圖9為本發(fā)明所提供的云服務(wù)提供商側(cè)服務(wù)器另一種實施例結(jié)構(gòu)示意圖；

圖10為本發(fā)明所提供的終端設(shè)備的另一種實施例結(jié)構(gòu)示意圖；

圖11為本發(fā)明所提供的應(yīng)用場景的一種示例圖。

具體實施方式

本發(fā)明實施例提供了一種授權(quán)方法，本實施例所示的授權(quán)方法基于云服務(wù)系統(tǒng)，本實施例所示的云服務(wù)系統(tǒng)的結(jié)構(gòu)可參見圖2所示，其中，所述云服務(wù)系統(tǒng)包括云服務(wù)提供商側(cè)服務(wù)器。且本實施例所示的云服務(wù)提供商側(cè)服務(wù)器為云服務(wù)提供商的服務(wù)平臺側(cè)的服務(wù)器。

本實施例所示的所述云服務(wù)系統(tǒng)還包括至少一個終端設(shè)備202，本實施例以所述終端設(shè)備202的數(shù)目為一個為例進(jìn)行示例性說明。

本實施例所示的終端設(shè)備202為第三方服務(wù)商側(cè)的設(shè)備。

其中，所述第三方服務(wù)商為入駐云服務(wù)提供商建立的以云計算產(chǎn)品為基礎(chǔ)的服務(wù)平臺，提供給云服務(wù)開發(fā)商的軟件、服務(wù)、建站、企業(yè)應(yīng)用服務(wù)，以幫助用戶更好的使用云計算產(chǎn)品和服務(wù)。

本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器可為資源所有者resourceowner，或所述云服務(wù)提供商側(cè)服務(wù)器可為資源服務(wù)器resourceserver，或所述云服務(wù)提供商側(cè)服務(wù)器可為授權(quán)服務(wù)器authorizationserver。

本實施例中，所述終端設(shè)備202即可通過oauth協(xié)議向所述云服務(wù)提供商側(cè)服務(wù)器請求授權(quán)。

以下結(jié)合圖3所示對所述云服務(wù)提供商側(cè)服務(wù)器的結(jié)構(gòu)進(jìn)行可選的說明，具體的，本實施例對所述云服務(wù)提供商側(cè)服務(wù)器結(jié)構(gòu)的說明為可選的示例，不做限定，只要所述云服務(wù)提供商側(cè)服務(wù)器能夠?qū)崿F(xiàn)對所述終端設(shè)備202的授權(quán)，以使所述終端設(shè)備202能夠根據(jù)授權(quán)訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源即可。

所述云服務(wù)提供商側(cè)服務(wù)器可因配置或性能不同而產(chǎn)生比較大的差異，可以包括一個或一個以上中央處理器(centralprocessingunits，cpu)301(例如，一個或一個以上處理器)和存儲器302，一個或一個以上存儲應(yīng)用程序303或數(shù)據(jù)304的存儲介質(zhì)305(例如一個或一個以上海量存儲設(shè)備)。其中，存儲器302和存儲介質(zhì)305可以是短暫存儲或持久存儲。存儲在存儲介質(zhì)305的程序可以包括一個或一個以上模塊(圖示沒標(biāo)出)，每個模塊可以包括對服務(wù)器中的一系列指令操作。更進(jìn)一步地，中央處理器301可以設(shè)置為與存儲介質(zhì)305通信，在云服務(wù)提供商側(cè)服務(wù)器上執(zhí)行存儲介質(zhì)305中的一系列指令操作。

云服務(wù)提供商側(cè)服務(wù)器還可以包括一個或一個以上電源306，一個或一個以上有線或無線網(wǎng)絡(luò)接口307，一個或一個以上輸入輸出接口308，和/或，一個或一個以上操作系統(tǒng)309，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm等等。

以下結(jié)合圖4所示對本實施例所示的終端設(shè)備202的具體結(jié)構(gòu)進(jìn)行示例性說明。

所述終端設(shè)備包括輸入單元405、處理器單元403、輸出單元401、通信單元407、存儲單元404、射頻電路408等組件。

這些組件通過一條或多條總線進(jìn)行通信。本領(lǐng)域技術(shù)人員可以理解，圖4中示出的終端設(shè)備的結(jié)構(gòu)并不構(gòu)成對本發(fā)明的限定，它既可以是總線形結(jié)構(gòu)，也可以是星型結(jié)構(gòu)，還可以包括比圖示更多或更少的部件，或者組合某些部件，或者不同的部件布置。

在本發(fā)明實施方式中，所述終端設(shè)備可以是任何移動或便攜式電子設(shè)備，包括但不限于智能手機(jī)、移動電腦、平板電腦、個人數(shù)字助理(personaldigitalassistant,pda)、媒體播放器、智能電視等。

所述終端設(shè)備包括：

輸出單元401，用于輸出待顯示的圖像。

具體的，所述輸出單元401包括但不限于影像輸出單元4011和聲音輸出單元4012。

所述影像輸出單元4011用于輸出文字、圖片和/或視頻。所述影像輸出單元4011可包括顯示面板，例如采用液晶顯示器(英文全稱：liquidcrystaldisplay，英文簡稱：lcd)、有機(jī)發(fā)光二極管(英文全稱：organiclight-emittingdiode，英文簡稱：oled)、場發(fā)射顯示器(英文全稱：fieldemissiondisplay，英文簡稱fed)等形式來配置的顯示面板?；蛘咚鲇跋褫敵鰡卧?011可以包括反射式顯示器，例如電泳式(electrophoretic)顯示器，或利用光干涉調(diào)變技術(shù)(英文全稱：interferometricmodulationoflight)的顯示器。

所述影像輸出單元4011可以包括單個顯示器或不同尺寸的多個顯示器。在本發(fā)明的具體實施方式中，觸摸屏亦可同時作為輸出單元401的顯示面板。

例如，當(dāng)觸摸屏檢測到在其上的觸摸或接近的手勢操作后，傳送給處理器單元403以確定觸摸事件的類型，隨后處理器單元403根據(jù)觸摸事件的類型在顯示面板上提供相應(yīng)的視覺輸出。雖然在圖4中，輸入單元405與輸出單元401是作為兩個獨(dú)立的部件來實現(xiàn)終端設(shè)備的輸入和輸出功能，但是在某些實施例中，可以將觸摸屏與顯示面板集成一體而實現(xiàn)終端設(shè)備的輸入和輸出功能。例如，所述影像輸出單元4011可以顯示各種圖形化用戶接口(英文全稱：graphicaluserinterface，英文簡稱gui)以作為虛擬控制組件，包括但不限于窗口、卷動軸、圖標(biāo)及剪貼簿，以供用戶通過觸控方式進(jìn)行操作。

在本發(fā)明具體實施方式中，所述影像輸出單元4011包括濾波器及放大器，用來將處理器單元403所輸出的視頻濾波及放大。聲音輸出單元4012包括數(shù)字模擬轉(zhuǎn)換器，用來將處理器單元403所輸出的音頻信號從數(shù)字格式轉(zhuǎn)換為模擬格式。

處理器單元403，用于運(yùn)行相應(yīng)的代碼，對接收信息進(jìn)行處理，以生成并輸出相應(yīng)的界面。

具體的，所述處理器單元403為終端設(shè)備的控制中心，利用各種接口和線路連接整個終端設(shè)備的各個部分，通過運(yùn)行或執(zhí)行存儲在存儲單元內(nèi)的軟件程序和/或模塊，以及調(diào)用存儲在存儲單元內(nèi)的數(shù)據(jù)，以執(zhí)行終端設(shè)備的各種功能和/或處理數(shù)據(jù)。所述處理器單元403可以由集成電路(英文全稱：integratedcircuit，英文簡稱：ic)組成，例如可以由單顆封裝的ic所組成，也可以由連接多顆相同功能或不同功能的封裝ic而組成。

舉例來說，所述處理器單元403可以僅包括中央處理器(英文全稱：centralprocessingunit，英文簡稱：cpu)，也可以是圖形處理器(英文全稱：graphicsprocessingunit，英文簡稱：gpu)，數(shù)字信號處理器(英文全稱：digitalsignalprocessor，英文簡稱：dsp)、及通信單元中的控制芯片(例如基帶芯片)的組合。在本發(fā)明實施方式中，cpu可以是單運(yùn)算核心，也可以包括多運(yùn)算核心。

存儲單元404，用于存儲代碼和數(shù)據(jù)，代碼供處理器單元403運(yùn)行。

具體的，存儲單元404可用于存儲軟件程序以及模塊，處理器單元403通過運(yùn)行存儲在存儲單元404的軟件程序以及模塊，從而執(zhí)行終端設(shè)備的各種功能應(yīng)用以及實現(xiàn)數(shù)據(jù)處理。存儲單元404主要包括程序存儲區(qū)和數(shù)據(jù)存儲區(qū)，其中，程序存儲區(qū)可存儲操作系統(tǒng)、至少一個功能所需的應(yīng)用程序，比如聲音播放程序、圖像播放程序等等；數(shù)據(jù)存儲區(qū)可存儲根據(jù)終端設(shè)備的使用所創(chuàng)建的數(shù)據(jù)(比如音頻數(shù)據(jù)、電話本等)等。

在本發(fā)明具體實施方式中，存儲單元404可以包括易失性存儲器，例如非揮發(fā)性動態(tài)隨機(jī)存取內(nèi)存(英文全稱：nonvolatilerandomaccessmemory，英文簡稱nvram)、相變化隨機(jī)存取內(nèi)存(英文全稱：phasechangeram，英文簡稱pram)、磁阻式隨機(jī)存取內(nèi)存(英文全稱：magetoresistiveram，英文簡稱mram)等，還可以包括非易失性存儲器，例如至少一個磁盤存儲器件、電子可擦除可編程只讀存儲器(英文全稱：electricallyerasableprogrammableread-onlymemory，英文簡稱eeprom)、閃存器件，例如反或閃存(英文全稱：norflashmemory)或是反及閃存(英文全稱：nandflashmemory)。

非易失存儲器儲存處理器單元403所執(zhí)行的操作系統(tǒng)及應(yīng)用程序。所述處理器單元403從所述非易失存儲器加載運(yùn)行程序與數(shù)據(jù)到內(nèi)存并將數(shù)字內(nèi)容儲存于大量儲存裝置中。所述操作系統(tǒng)包括用于控制和管理常規(guī)系統(tǒng)任務(wù)，例如內(nèi)存管理、存儲設(shè)備控制、電源管理等，以及有助于各種軟硬件之間通信的各種組件和/或驅(qū)動器。

在本發(fā)明實施方式中，所述操作系統(tǒng)可以是google公司的android系統(tǒng)、apple公司開發(fā)的ios系統(tǒng)或microsoft公司開發(fā)的windows操作系統(tǒng)等，或者是vxworks這類的嵌入式操作系統(tǒng)。

所述應(yīng)用程序包括安裝在終端設(shè)備上的任何應(yīng)用，包括但不限于瀏覽器、電子郵件、即時消息服務(wù)、文字處理、鍵盤虛擬、窗口小部件(widget)、加密、數(shù)字版權(quán)管理、語音識別、語音復(fù)制、定位(例如由全球定位系統(tǒng)提供的功能)、音樂播放等等。

輸入單元405，用于實現(xiàn)用戶與終端設(shè)備的交互和/或信息輸入到終端設(shè)備中。

例如，所述輸入單元405可以接收用戶輸入的數(shù)字或字符信息，以產(chǎn)生與用戶設(shè)置或功能控制有關(guān)的信號輸入。在本發(fā)明具體實施方式中，輸入單元405可以是觸摸屏，也可以是其他人機(jī)交互界面，例如實體輸入鍵、麥克風(fēng)等，還可是其他外部信息擷取裝置，例如攝像頭等。

本發(fā)明實施例所示的觸摸屏，可收集用戶在其上觸摸或接近的操作動作。比如用戶使用手指、觸筆等任何適合的物體或附件在觸摸屏上或接近觸摸屏的位置的操作動作，并根據(jù)預(yù)先設(shè)定的程式驅(qū)動相應(yīng)的連接裝置?？蛇x的，觸摸屏可包括觸摸檢測裝置和觸摸控制器兩個部分。其中，觸摸檢測裝置檢測用戶的觸摸操作，并將檢測到的觸摸操作轉(zhuǎn)換為電信號，以及將所述電信號傳送給觸摸控制器；觸摸控制器從觸摸檢測裝置上接收所述電信號，并將它轉(zhuǎn)換成觸點(diǎn)坐標(biāo)，再送給所述處理器單元403。

所述觸摸控制器還可以接收處理器單元403發(fā)來的命令并執(zhí)行。此外，所述觸摸屏可以采用電阻式、電容式、紅外線以及表面聲波等多種類型實現(xiàn)觸摸屏。

在本發(fā)明的其他實施方式中，所述輸入單元405所采用的實體輸入鍵可以包括但不限于物理鍵盤、功能鍵(比如音量控制按鍵、開關(guān)按鍵等)、軌跡球、鼠標(biāo)、操作桿等中的一種或多種。麥克風(fēng)形式的輸入單元405可以收集用戶或環(huán)境輸入的語音并將其轉(zhuǎn)換成電信號形式的、處理器單元403可執(zhí)行的命令。

在本發(fā)明的其他一些實施方式中，所述輸入單元405還可以是各類傳感器件，例如霍爾器件，用于偵測終端設(shè)備的物理量，例如力、力矩、壓力、應(yīng)力、位置、位移、速度、加速度、角度、角速度、轉(zhuǎn)數(shù)、轉(zhuǎn)速以及工作狀態(tài)發(fā)生變化的時間等，轉(zhuǎn)變成電量來進(jìn)行檢測和控制。其他的一些傳感器件還可以包括重力感應(yīng)計、三軸加速計、陀螺儀、電子羅盤、環(huán)境光傳感器、接近傳感器、溫度傳感器、濕度傳感器、壓力傳感器、心率傳感器、指紋識別器等。

通信單元407，用于建立通信信道，使終端設(shè)備通過所述通信信道以連接至遠(yuǎn)程服務(wù)器，并從所述遠(yuǎn)程服務(wù)器下媒體數(shù)據(jù)。所述通信單元407可以包括無線局域網(wǎng)(英文全稱：wirelesslocalareanetwork，英文簡稱：wirelesslan)模塊、藍(lán)牙模塊、基帶模塊等通信模塊，以及所述通信模塊對應(yīng)的射頻(英文全稱：radiofrequency，英文簡稱：rf)電路，用于進(jìn)行無線局域網(wǎng)絡(luò)通信、藍(lán)牙通信、紅外線通信及/或蜂窩式通信系統(tǒng)通信，例如寬帶碼分多重接入(英文全稱：widebandcodedivisionmultipleaccess，英文簡稱：w-cdma)及/或高速下行封包存取(英文全稱：highspeeddownlinkpacketaccess，英文簡稱hsdpa)。所述通信模塊用于控制終端設(shè)備中的各組件的通信，并且可以支持直接內(nèi)存存取。

在本發(fā)明的不同實施方式中，所述通信單元407中的各種通信模塊一般以集成電路芯片(英文全稱：integratedcircuitchip)的形式出現(xiàn)，并可進(jìn)行選擇性組合，而不必包括所有通信模塊及對應(yīng)的天線組。例如，所述通信單元407可以僅包括基帶芯片、射頻芯片以及相應(yīng)的天線以在一個蜂窩通信系統(tǒng)中提供通信功能。經(jīng)由所述通信單元407建立的無線通信連接，例如無線局域網(wǎng)接入或wcdma接入，所述終端設(shè)備可以連接至蜂窩網(wǎng)(英文全稱：cellularnetwork)或因特網(wǎng)。在本發(fā)明的一些可選實施方式中，所述通信單元407中的通信模塊，例如基帶模塊可以集成到處理器單元403中，典型的如高通(qualcomm)公司提供的apq+mdm系列平臺。

射頻電路408，用于信息收發(fā)或通話過程中接收和發(fā)送信號。例如，將基站的下行信息接收后，給處理器單元403處理；另外，將設(shè)計上行的數(shù)據(jù)發(fā)送給基站。通常，所述射頻電路408包括用于執(zhí)行這些功能的公知電路，包括但不限于天線系統(tǒng)、射頻收發(fā)機(jī)、一個或多個放大器、調(diào)諧器、一個或多個振蕩器、數(shù)字信號處理器、編解碼(codec)芯片組、用戶身份模塊(sim)卡、存儲器等等。此外，射頻電路408還可以通過無線通信與網(wǎng)絡(luò)和其他設(shè)備通信。

所述無線通信可以使用任一通信標(biāo)準(zhǔn)或協(xié)議，包括但不限于全球移動通訊系統(tǒng)(英文全稱：globalsystemofmobilecommunication，英文簡稱：gsm)、通用分組無線服務(wù)(英文全稱：generalpacketradioservice，英文簡稱：gprs)、碼分多址(英文全稱：codedivisionmultipleaccess，英文簡稱：cdma)、寬帶碼分多址(英文全稱：widebandcodedivisionmultipleaccess,英文簡稱：wcdma)、高速上行行鏈路分組接入技術(shù)(英文全稱：highspeeduplinkpacketaccess，英文簡稱：hsupa)、長期演進(jìn)(英文全稱：longtermevolution,英文簡稱：lte)、電子郵件、短消息服務(wù)(英文全稱：shortmessagingservice，英文簡稱：sms)等。

電源409，用于給終端設(shè)備的不同部件進(jìn)行供電以維持其運(yùn)行。作為一般性理解，所述電源409可以是內(nèi)置的電池，例如常見的鋰離子電池、鎳氫電池等，也包括直接向終端設(shè)備供電的外接電源，例如ac適配器等。在本發(fā)明的一些實施方式中，所述電源409還可以作更為廣泛的定義，例如還可以包括電源管理系統(tǒng)、充電系統(tǒng)、電源故障檢測電路、電源轉(zhuǎn)換器或逆變器、電源狀態(tài)指示器(如發(fā)光二極管)，以及與終端設(shè)備的電能生成、管理及分布相關(guān)聯(lián)的其他任何組件。

基于圖1至圖4所示，以下結(jié)合圖5所示以云服務(wù)提供商側(cè)服務(wù)器為執(zhí)行主體對本發(fā)明實施例所提供的授權(quán)方法進(jìn)行詳細(xì)說明：

步驟501、云服務(wù)提供商側(cè)服務(wù)器接收終端設(shè)備發(fā)送的第一臨時證書。

所述第一臨時證書用于請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源；

具體的，在所述終端設(shè)備需要向所述云服務(wù)提供商側(cè)服務(wù)器請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源的情況下，用戶即可登錄所述終端設(shè)備的目標(biāo)網(wǎng)站，所述目標(biāo)網(wǎng)站為用于獲取所述云服務(wù)提供商側(cè)服務(wù)器授權(quán)的網(wǎng)站，通過登錄所述網(wǎng)站以使所述終端設(shè)備能夠?qū)⑺龅谝慌R時證書發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器。

在終端設(shè)備需要獲取所述云服務(wù)提供商側(cè)服務(wù)器授權(quán)的情況下，所述終端設(shè)備即可向所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送所述第一臨時證書。

步驟502、所述云服務(wù)提供商側(cè)服務(wù)器根據(jù)所述第一臨時證書確定目標(biāo)權(quán)限。

其中，所述目標(biāo)權(quán)限用于指示具有訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源的權(quán)限。

步驟503、所述云服務(wù)提供商側(cè)服務(wù)器將第二臨時證書發(fā)送給所述終端設(shè)備。

本實施例所示的所述第二臨時證書是短期憑證?？蓪⑺龅诙R時證書的有效時間配置幾分鐘到幾小時。一旦第二臨時證書的憑證到期，則云服務(wù)提供商側(cè)服務(wù)器將不再識別所述第二臨時證書，從而使得所述終端設(shè)備無法再通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源。

本實施例所示的云服務(wù)提供商側(cè)服務(wù)器執(zhí)行授權(quán)方法的具體執(zhí)行過程，請詳見圖7所示的實施例。

基于圖1至圖4所示，以下結(jié)合圖6所示以終端設(shè)備為執(zhí)行主體對本發(fā)明實施例所提供的授權(quán)方法進(jìn)行詳細(xì)說明：

步驟601、終端設(shè)備將第一臨時證書發(fā)送給云服務(wù)提供商側(cè)服務(wù)器。

所述第一臨時證書的說明可參見圖5所示的實施例，具體在本實施例中不做贅述。

步驟602、所述終端設(shè)備接收所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的第二臨時證書。

所述第二臨時證書的說明可參見圖5所示的實施例，具體在本實施例中不做贅述。

步驟603、所述終端設(shè)備通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的所述目標(biāo)資源。

本實施例所示的終端設(shè)備執(zhí)行授權(quán)方法的具體執(zhí)行過程，請詳見圖7所示的實施例。

以下結(jié)合圖7所示對圖5和圖6所示的授權(quán)方法的執(zhí)行流程進(jìn)行具體的詳細(xì)說明：

如圖7所示，所述授權(quán)方法包括：

步驟701、所述終端設(shè)備將請求信息發(fā)送給云服務(wù)提供商側(cè)服務(wù)器。

本實施例所示的所述終端設(shè)備的具體說明，請詳見上述實施例所示，具體在本實施例中不做贅述。

具體的，本實施例所示的所述請求信息包括所述終端設(shè)備已存儲的第一令牌信息token。

其中，所述第一令牌信息token用于所述終端設(shè)備向所述云服務(wù)提供商側(cè)服務(wù)器進(jìn)行認(rèn)證。

本實施例對所述第一令牌信息token的類型可為多種，本實施例對所述第一令牌信息token的類型不做限定。

本實施例所示的終端設(shè)備通過所述第一令牌信息token向所述云服務(wù)提供商側(cè)服務(wù)器請求認(rèn)證，從而使得所述云服務(wù)提供商側(cè)服務(wù)器能夠基于所述第一令牌信息token判斷出所述終端設(shè)備是否偽造，是否越權(quán)，是否過期等。

更具體的，本實施例所示的所述終端設(shè)備可存儲有云服務(wù)提供商側(cè)服務(wù)器的統(tǒng)一資源定位符url地址，則本實施例所示的所述終端設(shè)備即可根據(jù)所述統(tǒng)一資源定位符url地址向所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送所述請求信息。

更具體的，本實施例所示的終端設(shè)備可根據(jù)所述url地址將所述請求信息發(fā)送至所述云服務(wù)提供商側(cè)服務(wù)器上用于對終端設(shè)備進(jìn)行認(rèn)證的網(wǎng)站。

步驟702、所述云服務(wù)提供商側(cè)服務(wù)器接收所述終端設(shè)備發(fā)送的請求信息。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器的具體說明請詳見上述實施例所示，具體在本實施例中不做贅述。

步驟703、所述云服務(wù)提供商側(cè)服務(wù)器生成第四簽名信息。

具體的，本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器在接收到所述請求信息后，即可對第一密鑰標(biāo)識、所述第一令牌信息以及所述云服務(wù)提供商側(cè)服務(wù)器所生成的隨機(jī)回復(fù)信息echoinfo進(jìn)行加密計算以生成第四簽名信息。

具體的，本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器根據(jù)已存儲的長期密鑰對第一密鑰標(biāo)識、所述第一令牌信息以及所述云服務(wù)提供商側(cè)服務(wù)器所生成的隨機(jī)回復(fù)信息echoinfo進(jìn)行加密計算以生成第四簽名信息。

步驟704、所述云服務(wù)提供商側(cè)服務(wù)器將所述第四簽名信息發(fā)送給所述終端設(shè)備。

步驟705、所述終端設(shè)備判斷所述第四簽名信息是否滿足第一條件，若是，則執(zhí)行步驟706。

本實施例中，在終端設(shè)備接收到所述第四簽名信息后，即可對所述第四簽名信息進(jìn)行解密計算以獲取所述第四簽名信息所包含的第一密鑰標(biāo)識、所述第一令牌信息以及所述云服務(wù)提供商側(cè)服務(wù)器所生成的隨機(jī)回復(fù)信息echoinfo。

本實施例所示的所述第一條件為：所述第四簽名信息所包括的所述第一令牌信息與所述終端設(shè)備已存儲的所述第一令牌信息相同。

本實施例中，若所述終端設(shè)備判斷出所述第四簽名信息所包括的所述第一令牌信息與所述終端設(shè)備已存儲的所述第一令牌信息相同的情況下，即所述終端設(shè)備確定出所述第四簽名信息滿足所述第一條件的情況下，則可繼續(xù)執(zhí)行步驟706。

步驟706、所述終端設(shè)備將第五簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器。

具體的，本實施例所示的終端設(shè)備將所述第四簽名信息所包括的所述隨機(jī)回復(fù)信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器。

具體發(fā)送方式為，所述終端設(shè)備對所接收到的所述隨機(jī)回復(fù)信息進(jìn)行加密計算以生成所述第五簽名信息，即所述終端設(shè)備所生成的所述第五簽名信息包括有所述隨機(jī)回復(fù)信息。

本實施例所示的所述終端設(shè)備即可通過所述第五簽名信息將所述隨機(jī)回復(fù)信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器。

本實施例中，所述終端設(shè)備可調(diào)用所述云服務(wù)提供商側(cè)服務(wù)器的目標(biāo)接口以實現(xiàn)所述終端設(shè)備與所述云服務(wù)提供商側(cè)服務(wù)器之間的數(shù)據(jù)交互。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器的目標(biāo)接口可為所述云服務(wù)提供商側(cè)服務(wù)器的接口apiopenserviceauhorization。

本實施例所示的終端設(shè)備通過所述第五簽名信息調(diào)用所述云服務(wù)提供商側(cè)服務(wù)器的目標(biāo)接口。

步驟707、所述云服務(wù)提供商側(cè)服務(wù)器獲取第五簽名信息所包括的所述隨機(jī)回復(fù)信息。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器對所述第五簽名信息進(jìn)行解密計算以獲取所述第五簽名信息所包括的所述隨機(jī)回復(fù)信息。

步驟708、所述云服務(wù)提供商側(cè)服務(wù)器判斷所述第五簽名信息是否滿足第二條件，若是，則執(zhí)行步驟709。

本實施例中，所述云服務(wù)提供商側(cè)服務(wù)器在獲取到所述第五簽名信息所包括的所述隨機(jī)回復(fù)信息后，即可判斷所述第五簽名信息是否滿足第二條件。

其中，所述第二條件為：所述第五簽名信息所包括的所述隨機(jī)回復(fù)信息與所述云服務(wù)提供商側(cè)服務(wù)器所生成的所述隨機(jī)回復(fù)信息相同。

在所述云服務(wù)提供商側(cè)服務(wù)器判斷出所述第五簽名信息所包括的所述隨機(jī)回復(fù)信息與所述云服務(wù)提供商側(cè)服務(wù)器所生成的所述隨機(jī)回復(fù)信息相同，即所述第五簽名信息滿足所述第二條件的情況下，則所述云服務(wù)提供商側(cè)服務(wù)器與所述終端設(shè)備之間完成url確認(rèn)，則完成url確認(rèn)的所述云服務(wù)提供商側(cè)服務(wù)器與所述終端設(shè)備之間即可進(jìn)行數(shù)據(jù)交互。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器與所述終端設(shè)備之間完成url確認(rèn)后，所述云服務(wù)提供商側(cè)服務(wù)器的所述目標(biāo)接口apiopenserviceauhorization被所述終端設(shè)備成功調(diào)用。

步驟709、所述云服務(wù)提供商側(cè)服務(wù)器生成第一簽名信息。

具體的，本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器對加密票據(jù)進(jìn)行加密計算以生成第一簽名信息，其中，所述加密票據(jù)用于對所述終端設(shè)備進(jìn)行認(rèn)證。

步驟710、所述云服務(wù)提供商側(cè)服務(wù)器將所述第一簽名信息發(fā)送給所述終端設(shè)備。

本實施例中，在所述云服務(wù)提供商側(cè)服務(wù)器生成所述第一簽名信息后，即可將已生成的所述第一簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器。

步驟711、所述終端設(shè)備將第二簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器。

具體的，本實施例所示的所述終端設(shè)備在接收到所述第一簽名信息后，即可對所述第一簽名信息進(jìn)行解密計算以獲取所述第一簽名信息所包括的所述加密票據(jù)。

更具體的，所述終端設(shè)備對所述加密票據(jù)進(jìn)行加密計算以生成所述第二簽名信息，可見，所述終端設(shè)備所生成的所述第二簽名信息中包括所述加密票據(jù)。

步驟712、所述云服務(wù)提供商側(cè)服務(wù)器獲取所述第二簽名信息所包括的所述加密票據(jù)。

具體的，本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器可接收所述終端設(shè)備所發(fā)送的所述第二簽名信息，并對所述第二簽名信息進(jìn)行解密計算以獲取所述第二簽名信息所包括的所述加密票據(jù)。

步驟713、所述云服務(wù)提供商側(cè)服務(wù)器獲取第三簽名信息。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器在獲取到所述第二簽名信息所包括的所述加密票據(jù)后，即可對所述第二簽名信息所包括的所述加密票據(jù)進(jìn)行加密計算以生成所述第三簽名信息。

步驟714、所述云服務(wù)提供商側(cè)服務(wù)器在確定滿足第三條件的情況下，將第一臨時證書發(fā)送給所述終端設(shè)備。

具體的，本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器判斷所述第二簽名信息和所述第三簽名信息是否相同，若所述第二簽名信息和所述第三簽名信息相同，則所述云服務(wù)提供商側(cè)服務(wù)器即可確定出滿足所述第三條件，即本實施例所示的所述第三條件為：所述第三簽名信息與所述第二簽名信息相同。

可選的，所述終端設(shè)備可通過所述終端設(shè)備的長期密鑰對所述加密票據(jù)進(jìn)行加密計算，并通過加密計算后的加密票據(jù)向所述云服務(wù)提供商側(cè)服務(wù)器請求所述第一臨時證書，在所述終端設(shè)備獲取到所述第一臨時證書后，所述終端設(shè)備即可通過所述第一臨時證書完成與所述云服務(wù)提供商側(cè)服務(wù)器之間的認(rèn)證環(huán)節(jié)，相互認(rèn)證后的所述終端設(shè)備和所述云服務(wù)提供商側(cè)服務(wù)器即可進(jìn)行實時授權(quán)流程，其中，本實施例所示的所述實時授權(quán)流程的基礎(chǔ)是oauth2.0協(xié)議實時授權(quán)流程請詳見下述實施例所示。

步驟715、所述終端設(shè)備向所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的第一臨時證書。

其中，所述第一臨時證書用于請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源。

本實施例所示的所述第一臨時證書向所述終端設(shè)備已調(diào)用的目標(biāo)接口apiopenserviceauhorization請求獲取預(yù)授權(quán)碼precode。

通過本實施例所示的所述預(yù)授權(quán)碼precode能夠有效的防止惡意或假冒的終端設(shè)備向所述云服務(wù)提供商側(cè)服務(wù)器獲取授權(quán)，從而有效的提升了實時授權(quán)過程的安全。

步驟716、所述云服務(wù)提供商側(cè)服務(wù)器將預(yù)授權(quán)碼發(fā)送給所述終端設(shè)備。

具體的，本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器在獲取到所述第一臨時證書后，即可判斷所述云服務(wù)提供商側(cè)服務(wù)器所存儲的第一臨時證書和當(dāng)前所接收到的所述第一臨時證書是否相同，若是，則所述云服務(wù)提供商側(cè)服務(wù)器即可將所述預(yù)授權(quán)碼發(fā)送給所述終端設(shè)備。

步驟717、所述終端設(shè)備獲取用戶提交的認(rèn)證信息。

具體的，本實施例所示的所述終端設(shè)備在接收到所述預(yù)授權(quán)碼后，即可將所述目標(biāo)網(wǎng)站進(jìn)行跳轉(zhuǎn)，從而使得所述目標(biāo)網(wǎng)站跳轉(zhuǎn)到包含有所述預(yù)授權(quán)碼的所述云服務(wù)提供商側(cè)服務(wù)器的登錄頁面中。

具體的，本實施例所示的所述登錄頁面中還包括有密鑰標(biāo)識。

本實施例所示的所述登錄頁面即可接收用戶輸入的用于進(jìn)行登錄的用戶名和密碼以進(jìn)行身份認(rèn)證。

具體的，本實施例以所述認(rèn)證信息包括所述用戶的用戶名和密碼為例進(jìn)行示例性的說明，在具體應(yīng)用中，所述認(rèn)證信息還可包括用于認(rèn)證的其他信息，具體在本實施例中不做限定。

本實施例中，所述云服務(wù)提供商側(cè)服務(wù)器可預(yù)先存儲有多個用戶名以及與各所述用戶名對應(yīng)的密碼，所述用戶可通過所述終端設(shè)備向所述云服務(wù)提供商側(cè)服務(wù)器的登錄頁面輸入所述認(rèn)證信息，若所述云服務(wù)提供商側(cè)服務(wù)器確定出所述用戶當(dāng)前所輸入的所述認(rèn)證信息已存儲在所述云服務(wù)提供商側(cè)服務(wù)器上，則確定所述用戶經(jīng)過了認(rèn)證。

步驟718、所述云服務(wù)提供商側(cè)服務(wù)器獲取已選定權(quán)限。

本實施例中，在所述云服務(wù)提供商側(cè)服務(wù)器根據(jù)所述用戶所提交的所述認(rèn)證信息確定出所述用戶已經(jīng)過認(rèn)證，則所述云服務(wù)提供商側(cè)服務(wù)器即可向用戶提供權(quán)限列表。

具體的，所述權(quán)限列表包括多個待選定權(quán)限。

所述用戶通過所述權(quán)限列表即可在所述多個待選定權(quán)限中選定需要的權(quán)限。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器通過所述權(quán)限列表接收用戶輸入的選定操作。

所述云服務(wù)提供商側(cè)服務(wù)器確定已選定權(quán)限，所述已選定權(quán)限為所述選定操作在所述權(quán)限列表中所選定的所述多個待選定權(quán)限中的至少一個權(quán)限。

例如，在所述權(quán)限列表中有一個待選定權(quán)限為通過qq登錄微博，若用戶在所述權(quán)限列表中選定了通過qq登錄微博的權(quán)限，則所述云服務(wù)提供商側(cè)服務(wù)器即可確定通過qq登錄微博的權(quán)限為已選定權(quán)限。

具體的，在所述云服務(wù)提供商側(cè)服務(wù)器獲取到所述已選定權(quán)限后，即可將已選定權(quán)限與用戶的認(rèn)證信息進(jìn)行綁定，則在后續(xù)用戶通過該認(rèn)證信息進(jìn)行登錄時，可獲取到與認(rèn)證信息綁定的所述已選定權(quán)限，從而避免了用戶的重復(fù)選定。

步驟719、所述云服務(wù)提供商側(cè)服務(wù)器確定預(yù)選權(quán)限。

所述預(yù)選權(quán)限為所述終端設(shè)備在所述云服務(wù)提供商側(cè)服務(wù)器上已選定的權(quán)限。

具體的，本實施例所示的預(yù)選權(quán)限為用戶實現(xiàn)定義好策略，所述策略為所述終端設(shè)備在所述云服務(wù)提供商側(cè)服務(wù)器上所能夠訪問的資源。

如圖8所示，所述策略為包括權(quán)限和授權(quán)對象，權(quán)限包括效力、資源、授權(quán)接口、授權(quán)條件等，授權(quán)對象為權(quán)限所對應(yīng)的用戶，即本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器在確定所述預(yù)選權(quán)限的過程中，所述云服務(wù)提供商側(cè)服務(wù)器可通過權(quán)限和授權(quán)對象實現(xiàn)對預(yù)選權(quán)限的配置。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器可根據(jù)終端設(shè)備所注冊的行業(yè)領(lǐng)域或服務(wù)領(lǐng)域?qū)λ霾呗赃M(jìn)行創(chuàng)建。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器創(chuàng)建好策略之后，所述終端設(shè)備就默認(rèn)可以執(zhí)行預(yù)授權(quán)策略里描述的資源了。

步驟720、所述云服務(wù)提供商側(cè)服務(wù)器確定目標(biāo)權(quán)限。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器確定所述已選定權(quán)限和所述預(yù)選權(quán)限的交集為所述目標(biāo)權(quán)限。

在實施例中，若本實施例中所述終端設(shè)備沒有經(jīng)由所述權(quán)限列表獲取已選定權(quán)限，則本實施例所示的所述目標(biāo)權(quán)限為所述預(yù)選權(quán)限。

具體的，所述終端設(shè)備在注冊后，會根據(jù)所注冊的行業(yè)領(lǐng)域或服務(wù)領(lǐng)域，給與云服務(wù)提供商側(cè)服務(wù)器的默認(rèn)授權(quán)策略。這樣用戶進(jìn)入終端設(shè)備的站點(diǎn)后，在不選擇其他策略的情況下，將默認(rèn)允許終端使用默認(rèn)的預(yù)選權(quán)限約束所述終端設(shè)備訪問所述云服務(wù)提供商側(cè)服務(wù)器的資源。

在實施例中，若所述終端設(shè)備經(jīng)由所述權(quán)限列表獲取已選定權(quán)限，則本實施例所示的所述目標(biāo)權(quán)限為所述已選定權(quán)限和所述預(yù)選權(quán)限的交集。

即所述目標(biāo)權(quán)限同時包括在所述已選定權(quán)限和所述預(yù)選權(quán)限中。

通過本實施例所示的實時授權(quán)流程，能夠使得使用所述終端設(shè)備的用戶被所述云服務(wù)提供商側(cè)服務(wù)器授予所述目標(biāo)權(quán)限，從而使得所述云服務(wù)提供商側(cè)服務(wù)器控制所述終端設(shè)備對所述云服務(wù)提供商側(cè)服務(wù)器訪問，使得所述終端設(shè)備只能夠訪問所述云服務(wù)提供商側(cè)服務(wù)器上的所述目標(biāo)資源，且所述云服務(wù)提供商側(cè)服務(wù)器還能夠控制用戶訪問所述目標(biāo)資源的訪問方式以及時機(jī)等，具體在本實施例中不做限定。

以下結(jié)合圖11所示結(jié)合具體應(yīng)用場景對目標(biāo)權(quán)限進(jìn)行說明：

如圖11所示，本實施例所示的預(yù)選權(quán)限為“云主機(jī)管理權(quán)限(云主機(jī)重啟、申請、查看等)”，即本實施例所示的所述預(yù)選權(quán)限為云服務(wù)提供商側(cè)服務(wù)器默認(rèn)委托給所述終端設(shè)備的權(quán)限。

圖11所示的已選定權(quán)限為“開發(fā)商自定義第三方角色”，云服務(wù)提供商側(cè)服務(wù)器通過所述已選定權(quán)限對所述終端設(shè)備進(jìn)行精細(xì)化的權(quán)限管理。

采用如圖11所示的應(yīng)用場景，所述終端設(shè)備能夠在用戶的操作下，通過微信登錄大眾點(diǎn)評網(wǎng)，而且所述云服務(wù)提供商側(cè)服務(wù)器能夠通過目標(biāo)權(quán)限對通過微信登錄大眾點(diǎn)評網(wǎng)的權(quán)限進(jìn)行限定，例如，可限定通過微信登錄所述大眾點(diǎn)評網(wǎng)的時間，次數(shù)等，具體在本實施例中不做限定。

步驟721、所述云服務(wù)提供商側(cè)服務(wù)器將授權(quán)碼發(fā)送給所述終端設(shè)備。

具體的，本實施例中，在所述云服務(wù)提供商側(cè)服務(wù)器確定出所述目標(biāo)權(quán)限的情況下，所述云服務(wù)提供商側(cè)服務(wù)器將所述云服務(wù)提供商側(cè)服務(wù)器已存儲的授權(quán)碼發(fā)送給所述終端設(shè)備。

步驟722、所述終端設(shè)備將第六簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器。

其中，所述終端設(shè)備接收到所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的所述授權(quán)碼后，即可對所述授權(quán)碼和所述第一臨時證書進(jìn)行加密計算以生成的第六簽名信息。

步驟723、所述云服務(wù)提供商側(cè)服務(wù)器判斷所述第六簽名信息是否滿足第四條件，若是，則將目標(biāo)訪問參數(shù)發(fā)送給所述終端設(shè)備。

具體的，所述云服務(wù)提供商側(cè)服務(wù)器在接收到所述第六簽名信息的情況下，所述云服務(wù)提供商側(cè)服務(wù)器即可對所述第六簽名信息進(jìn)行解密計算以獲取所述第六簽名信息所包括的所述授權(quán)碼和所述第一臨時證書。

所述第四條件為：所述第六簽名信息所包括的所述授權(quán)碼和所述云服務(wù)提供商側(cè)服務(wù)器已存儲的所述授權(quán)碼相同。

所述第四條件還可為，所述第六簽名信息所包括的所述第一臨時證書和所述云服務(wù)提供商側(cè)服務(wù)器已存儲的所述第一臨時證書相同。

在所述云服務(wù)提供商側(cè)服務(wù)器判斷出所述第六簽名信息滿足所述第四條件的情況下，所述云服務(wù)提供商側(cè)服務(wù)器即可將用于訪問所述目標(biāo)資源的目標(biāo)訪問參數(shù)發(fā)送給所述終端設(shè)備。

其中，所述目標(biāo)權(quán)限用于指示具有訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源的權(quán)限。

所述目標(biāo)訪問參數(shù)包括第二令牌信息、第二密鑰標(biāo)識以及第二臨時證書。

本實施例所示的所述第二臨時證書是短期憑證?？蓪⑺龅诙R時證書的有效時間配置幾分鐘到幾小時。一旦第二臨時證書的憑證到期，則云服務(wù)提供商側(cè)服務(wù)器將不再識別所述第二臨時證書，從而使得所述終端設(shè)備無法再通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源。

步驟724、所述云服務(wù)提供商側(cè)服務(wù)器將所述目標(biāo)訪問參數(shù)發(fā)送給所述終端設(shè)備。

本實施例中，所述終端設(shè)備即可通過已接收到的所述目標(biāo)訪問參數(shù)對所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源進(jìn)行訪問，具體的訪問過程如下：

步驟725、所述終端設(shè)備將第七簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器。

其中，所述終端設(shè)備在接收到所述目標(biāo)訪問參數(shù)的情況下，所述終端設(shè)備即可對所述目標(biāo)訪問參數(shù)進(jìn)行加密計算以生成的第七簽名信息。

步驟726、所述云服務(wù)提供商側(cè)服務(wù)器生成第八簽名信息。

其中，所述云服務(wù)提供商側(cè)服務(wù)器對所述云服務(wù)提供商側(cè)服務(wù)器所生成的所述目標(biāo)訪問參數(shù)進(jìn)行加密計算以生成第八簽名信息。

步驟727、所述云服務(wù)提供商側(cè)服務(wù)器確定所述終端設(shè)備具有訪問所述目標(biāo)資源的所述目標(biāo)權(quán)限。

具體的，若所述云服務(wù)提供商側(cè)服務(wù)器確定出所述第七簽名信息與所述第八簽名信息相同，則所述云服務(wù)提供商側(cè)服務(wù)器確定所述終端設(shè)備具有訪問所述目標(biāo)資源的所述目標(biāo)權(quán)限。

所述目標(biāo)權(quán)限的所述終端設(shè)備即可訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源。

可見，采用本實施例所示的授權(quán)方法，則所述云服務(wù)提供商側(cè)服務(wù)器可對所述終端設(shè)備進(jìn)行精細(xì)化的權(quán)限管理，從而使得所述云服務(wù)提供商側(cè)服務(wù)器即可向所述終端設(shè)備開放接入的能力，同時保證了終端設(shè)備訪問所述云服務(wù)提供商側(cè)服務(wù)器的目標(biāo)資源的安全性和靈活性，而且所述云服務(wù)提供商側(cè)服務(wù)器與所述終端設(shè)備之間通過簽名信息進(jìn)行數(shù)據(jù)交互，從而提升了數(shù)據(jù)交互過程中的安全。

以下結(jié)合圖9所示對本發(fā)明實施例所提供的云服務(wù)提供商側(cè)服務(wù)器的具體結(jié)構(gòu)進(jìn)行詳細(xì)說明：

本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器用于執(zhí)行圖9所示的授權(quán)方法，具體執(zhí)行過程請詳見圖9所示，具體在本實施例中不做贅述。

本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器包括：

第一處理單元901，用于對加密票據(jù)進(jìn)行加密計算以生成第一簽名信息，將所述第一簽名信息發(fā)送給所述終端設(shè)備，接收所述終端設(shè)備發(fā)送的第二簽名信息，所述第二簽名信息包括所述終端設(shè)備對所述第一簽名信息進(jìn)行解密計算以獲取到的所述加密票據(jù)，對所述第二簽名信息進(jìn)行解密計算以獲取所述第二簽名信息所包括的所述加密票據(jù)，對所述加密票據(jù)進(jìn)行加密計算以生成第三簽名信息，若確定出所述第三簽名信息與所述第二簽名信息相同，則將所述第一臨時證書發(fā)送給所述終端設(shè)備。

所述第一處理單元901將所述第一簽名信息發(fā)送給所述終端設(shè)備之前，所述第一處理單元具體用于，接收所述終端設(shè)備發(fā)送的請求信息，所述請求信息包括所述終端設(shè)備已存儲的第一令牌信息，對第一密鑰標(biāo)識、所述第一令牌信息以及所述云服務(wù)提供商側(cè)服務(wù)器所生成的隨機(jī)回復(fù)信息進(jìn)行加密計算以生成第四簽名信息，將所述第四簽名信息發(fā)送給所述終端設(shè)備，以使在所述終端設(shè)備確定出所述第四簽名信息所包括的所述第一令牌信息與所述終端設(shè)備已存儲的所述第一令牌信息相同的情況下，所述終端設(shè)備將第五簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器，所述第五簽名信息包括所述隨機(jī)回復(fù)信息，對所述第五簽名信息進(jìn)行解密計算以獲取所述第五簽名信息所包括的所述隨機(jī)回復(fù)信息，確定出所述第五簽名信息所包括的所述隨機(jī)回復(fù)信息與所述云服務(wù)提供商側(cè)服務(wù)器所生成的所述隨機(jī)回復(fù)信息相同的情況下，則觸發(fā)執(zhí)行將所述第一簽名信息發(fā)送給所述終端設(shè)備步驟。

接收單元902，用于接收終端設(shè)備發(fā)送的第一臨時證書，所述第一臨時證書用于請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源；

確定單元903，用于根據(jù)所述第一臨時證書確定目標(biāo)權(quán)限，所述目標(biāo)權(quán)限用于指示具有訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源的權(quán)限；

其中，所述確定單元903用于根據(jù)所述第一臨時證書生成權(quán)限列表，所述權(quán)限列表包括多個待選定權(quán)限，通過所述權(quán)限列表接收用戶輸入的選定操作，確定已選定權(quán)限，所述已選定權(quán)限為所述選定操作在所述權(quán)限列表中所選定的所述多個待選定權(quán)限中的至少一個權(quán)限，確定預(yù)選權(quán)限，所述預(yù)選權(quán)限為所述終端設(shè)備在所述云服務(wù)提供商側(cè)服務(wù)器上已選定的權(quán)限，確定所述已選定權(quán)限和所述預(yù)選權(quán)限的交集為所述目標(biāo)權(quán)限。

發(fā)送單元904，用于將第二臨時證書發(fā)送給所述終端設(shè)備，所述第二臨時證書用于指示所述目標(biāo)權(quán)限，以使所述終端設(shè)備通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的所述目標(biāo)資源。

其中，所述發(fā)送單元904用于將所述云服務(wù)提供商側(cè)服務(wù)器已存儲的授權(quán)碼發(fā)送給所述終端設(shè)備，接收所述終端設(shè)備發(fā)送第六簽名信息，所述第六簽名信息為所述終端設(shè)備對所述授權(quán)碼和所述第一臨時證書進(jìn)行加密計算以生成的簽名信息，若判斷所述第六簽名信息所包括的所述授權(quán)碼和所述云服務(wù)提供商側(cè)服務(wù)器已存儲的所述授權(quán)碼相同，則將用于訪問所述目標(biāo)資源的目標(biāo)訪問參數(shù)發(fā)送給所述終端設(shè)備，所述目標(biāo)訪問參數(shù)包括第二令牌信息、第二密鑰標(biāo)識以及所述第二臨時證書。

第二處理單元905，用于接收所述終端設(shè)備發(fā)送的用于訪問所述目標(biāo)資源的第七簽名信息，所述第七簽名信息為所述終端設(shè)備對所述目標(biāo)訪問參數(shù)進(jìn)行加密計算以生成的簽名信息，對所述云服務(wù)提供商側(cè)服務(wù)器所生成的所述目標(biāo)訪問參數(shù)進(jìn)行加密計算以生成第八簽名信息，若確定出所述第七簽名信息與所述第八簽名信息相同，則確定所述終端設(shè)備具有訪問所述目標(biāo)資源的所述目標(biāo)權(quán)限。

以下結(jié)合圖10所示對本發(fā)明實施例所提供的終端設(shè)備的具體結(jié)構(gòu)進(jìn)行詳細(xì)說明：

本實施例所示的所述云服務(wù)提供商側(cè)服務(wù)器用于執(zhí)行圖5所示的授權(quán)方法，具體執(zhí)行過程請詳見圖5所示，具體在本實施例中不做贅述。

本實施例所示的所述終端設(shè)備包括：

第一處理單元1001，用于接收所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的第一簽名信息，所述第一簽名信息為所述云服務(wù)提供商側(cè)服務(wù)器對加密票據(jù)進(jìn)行加密計算以生成的簽名信息，對所述第一簽名信息進(jìn)行解密計算以獲取所述加密票據(jù)，對所述加密票據(jù)進(jìn)行加密計算以獲取第二簽名信息，將所述第二簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器，以使所述云服務(wù)提供商側(cè)服務(wù)器在確定出第三簽名信息和第二簽名信息相同的情況下，所述云服務(wù)提供商側(cè)服務(wù)器將所述第一臨時證書發(fā)送給所述終端設(shè)備，所述第三簽名信息包括所述加密票據(jù)，接收所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的所述第一臨時證書。

所述第一處理單元1001在接收所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的第一簽名信息的過程中，具體用于向所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送請求信息，所述請求信息包括所述終端設(shè)備已存儲的第一令牌信息，以使所述云服務(wù)提供商側(cè)服務(wù)器向所述終端設(shè)備發(fā)送第四簽名信息，其中，所述第四簽名信息包括第一密鑰標(biāo)識、所述第一令牌信息以及所述云服務(wù)提供商側(cè)服務(wù)器所生成的隨機(jī)回復(fù)信息，接收所述第四簽名信息，若確定出所述第四簽名信息所包括的所述第一令牌信息與所述終端設(shè)備已存儲的所述第一令牌信息相同的情況下，則對所述隨機(jī)回復(fù)信息進(jìn)行加密計算以生成第五簽名信息，將所述第五簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器，以使在所述云服務(wù)提供商側(cè)服務(wù)器確定出所述第五簽名信息所包括的所述隨機(jī)回復(fù)信息與所述云服務(wù)提供商側(cè)服務(wù)器所生成的所述隨機(jī)回復(fù)信息相同的情況下，將所述第一簽名信息發(fā)送給所述終端設(shè)備。

發(fā)送單元1002，用于將第一臨時證書發(fā)送給云服務(wù)提供商側(cè)服務(wù)器，所述第一臨時證書用于請求訪問所述云服務(wù)提供商側(cè)服務(wù)器上的資源；

其中，所述發(fā)送單元1002用于，接收所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的所述云服務(wù)提供商側(cè)服務(wù)器已存儲的授權(quán)碼，對所述授權(quán)碼和所述第一臨時證書進(jìn)行加密計算以生成的第六簽名信息，將所述第六簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器，以使若所述云服務(wù)提供商側(cè)服務(wù)器判斷出所述第六簽名信息所包括的所述授權(quán)碼和所述云服務(wù)提供商側(cè)服務(wù)器已存儲的所述授權(quán)碼相同，則將用于訪問所述目標(biāo)資源的目標(biāo)訪問參數(shù)發(fā)送給所述終端設(shè)備，所述目標(biāo)訪問參數(shù)包括第二令牌信息、第二密鑰標(biāo)識以及所述第二臨時證書，接收所述目標(biāo)訪問參數(shù)。

接收單元1003，用于接收所述云服務(wù)提供商側(cè)服務(wù)器發(fā)送的第二臨時證書，所述第二臨時證書用于指示目標(biāo)權(quán)限，所述目標(biāo)權(quán)限用于指示具有訪問所述云服務(wù)提供商側(cè)服務(wù)器上的目標(biāo)資源的權(quán)限；

訪問單元1004，用于通過所述第二臨時證書訪問所述云服務(wù)提供商側(cè)服務(wù)器上的所述目標(biāo)資源。

第二處理單元1005，用于對所述目標(biāo)訪問參數(shù)進(jìn)行加密計算以生成第七簽名信息，將所述第七簽名信息發(fā)送給所述云服務(wù)提供商側(cè)服務(wù)器，以使若所述云服務(wù)提供商側(cè)服務(wù)器確定出所述第七簽名信息與第八簽名信息相同，則確定所述終端設(shè)備具有訪問所述目標(biāo)資源的所述目標(biāo)權(quán)限，所述第八簽名信息為所述云服務(wù)提供商側(cè)服務(wù)器對所述云服務(wù)提供商側(cè)服務(wù)器所生成的所述目標(biāo)訪問參數(shù)進(jìn)行加密計算以生成的簽名信息。

基于圖3所示的云服務(wù)提供商側(cè)服務(wù)器可知，所述云服務(wù)提供商側(cè)服務(wù)器包括：

一個或多個所述中央處理器301、存儲器302、總線系統(tǒng)、以及一個或多個程序，所述中央處理器301和所述存儲器302通過所述總線系統(tǒng)相連。

其中所述一個或多個程序被存儲在所述存儲器302中，所述一個或多個程序包括指令，所述指令當(dāng)被所述云服務(wù)提供商側(cè)服務(wù)器執(zhí)行時使所述云服務(wù)提供商側(cè)服務(wù)器執(zhí)行如圖5、圖6或圖7所示的方法，具體執(zhí)行流程在本實施例中不做贅述。

基于圖4所示的終端設(shè)備可知，所述終端設(shè)備包括一個或多個處理器單元403、存儲單元404、總線系統(tǒng)、以及一個或多個程序，所述處理器單元403和所述存儲單元404通過所述總線系統(tǒng)相連；

其中所述一個或多個程序被存儲在所述存儲單元404中，所述一個或多個程序包括指令，所述指令當(dāng)被所述終端設(shè)備執(zhí)行時使所述終端設(shè)備執(zhí)行如圖5所示的方法，具體執(zhí)行過程在本實施例中不做贅述。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應(yīng)過程，在此不再贅述。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的系統(tǒng)，裝置和方法，可以通過其它的方式實現(xiàn)。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上。可以根據(jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨(dú)物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時，可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、移動硬盤、只讀存儲器(rom，read-onlymemory)、隨機(jī)存取存儲器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述，以上實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改，或者對其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。