一种授权方法及装置制造方法及图纸

本发明专利技术实施例提供一种授权方法及装置，涉及通信技术领域，能够解决现有技术中的授权机制不能支持用户授权其他用户通过第三方应用安全访问自己托管于授权服务器的受保护资源的问题。具体方案为：授权服务器接收第一终端发送的授权请求，授权请求用于资源请求者通过第一终端使用第三方应用时请求访问资源拥有者托管于授权服务器的资源，对资源请求者进行身份鉴权，若资源请求者身份鉴权通过，则确定资源拥有者是否给予资源请求者授权，若资源拥有者给予授权，则向第一终端发送授权指令，以使得资源请求者通过第三方应用访问资源拥有者托管于授权服务器的资源。本发明专利技术实施例用于进行授权操作。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及一种授权方法及装置。
技术介绍
随着互联网和移动互联网的发展，掌握了大量用户信息的电信运营商或者服务提供商，会将自身所持有的最终用户业务信息开放出来，以支撑更多开发者来提供更多的整合创新类应用和业务。而在开放用户信息时，往往需要涉及用户受保护资源的安全问题，因而通常需要在用户授权后才能对外的提供用户受保护资源的访问。用户信息开放业务场景主要包括两种：一种是自用场景，即开放给用户通过第三方应用访问自己托管于授权服务器的受保护资源；另一种是他用场景，即开放给其他用户通过第三方应用访问自己托管于授权服务器的受保护资源。开放授权(OpenAuthorization，OAuth)标准为用户资源的授权提供了一个安全、开放而又简易的标准。OAuth标准提供的授权方式不会使第三方应用触及到用户的敏感信息(例如用户名与密码)，第三方无需使用用户的用户名与密码就可以申请并获得授权以访问该用户托管于授权服务器的受保护资源，即OAuth标准提供的授权机制可以支持用户授权第三方应用安全访问自己托管于授权服务器的受保护资源。但OAuth标准提供的授权机制不能支持用户授权其他用户通过第三方应用安全访问自己托管于授权服务器的受保护资源。
技术实现思路
本专利技术实施例提供一种授权方法及装置，能够解决现有技术中的授权机制不能支持用户授权其他用户通过第三方应用安全访问自己托管于授权服务器的受保护资源的问题。为达到上述目的，本专利技术的实施例采用如下技术方案：第一方面，提供一种授权方法，应用于托管用户资源的授权服务器，包括：接收资源请求者通过第一终端发送的授权请求，所述授权请求用于资源请求者通过第一终端使用第三方应用时请求访问资源拥有者托管于授权服务器的资源；对所述资源请求者进行身份鉴权；若所述资源请求者身份鉴权通过，则确定所述资源拥有者是否给予所述资源请求者授权；若所述资源拥有者给予授权，则向所述第一终端发送授权指令，以使得所述资源请求者通过所述第三方应用访问所述资源拥有者托管于所述授权服务器的资源。结合第一方面，在第一方面的第一种可能的实现方式中，所述授权请求中携带的参数包括资源拥有者标识和第三方应用标识。结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述对所述资源请求者进行身份鉴权包括：获取所述资源请求者的身份鉴权参数，并根据所述身份鉴权参数对所述资源请求者进行身份鉴权。结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述资源请求者的身份鉴权参数包括账户类型，所述账户类型包括授权服务器管理的账户类型、移动手机号码类型或第三方鉴权服务器管理的账户类型。结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，获取所述身份鉴权参数包括：通过所述第一终端向所述资源请求者提供鉴权页面获取所述资源请求者输入的所述身份鉴权参数。结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，若所述资源请求者为所述授权服务器管理的用户，则所述资源请求者的身份鉴权参数中的所述账户类型为所述授权服务器管理的账户类型，所述根据所述身份鉴权参数对所述资源请求者进行身份鉴权包括：获取所述资源请求者通过所述鉴权页面输入的所述授权服务器管理的账户的用户标识和登录密码信息；若获取的所述用户标识和所述登录密码信息与所述授权服务器中保存的用户标识和登录密码信息的映射关系相匹配，则确定所述资源请求者身份鉴权通过。结合第一方面的第四种可能的实现方式，在第一方面的第六种可能的实现方式中，若所述资源请求者为移动手机号码，则所述资源请求者的身份鉴权参数中的所述账户类型为移动手机号码类型。结合第一方面的第六种可能的实现方式，在第一方面的第七种可能的实现方式中，所述身份鉴权参数还包括移动消息发送方式，所述发送方式包括短消息业务SMS、多媒体消息业务MMS、非结构化补充数据业务USSD或交互式语音应答IVR。结合第一方面的第七种可能的实现方式，在第一方面的第八种可能的实现方式中，所述根据所述身份鉴权参数对所述资源请求者进行身份鉴权包括：获取所述资源请求者通过所述鉴权页面输入的移动手机号码；通过所述SMS、所述MMS、所述USSD或所述IVR方式向所述移动手机号码发送移动消息，所述移动消息中携带鉴权码信息；获取所述资源请求者通过所述鉴权页面输入的鉴权码信息；若获取的鉴权码信息与向所述移动手机号码发送的鉴权码信息一致，则确定所述资源请求者身份鉴权通过。结合第一方面的第四种可能的实现方式，在第一方面的第九种可能的实现方式中，若所述资源请求者为第三方鉴权服务器管理的用户，且所述第三方鉴权服务器为所述授权服务器所信任，则所述资源请求者的身份鉴权参数中的所述账户类型为第三方鉴权服务器管理的账户类型，所述根据所述身份鉴权参数对所述资源请求者进行身份鉴权包括：向第三方鉴权服务器发送鉴权指令，以指示所述第三方鉴权服务器对所述资源请求者进行身份鉴权；接收所述第三方鉴权服务器的发送的鉴权结果，所述鉴权结果包括所述资源请求者的第三方鉴权服务器管理的账户的用户标识以及所述资源请求者身份合法或不合法；若所述鉴权结果中包括所述资源请求者身份合法，则确定所述资源请求者身份鉴权通过。结合第一方面至第一方面的第九种可能的实现方式中的任意一种，在第一方面的第十种可能的实现方式中，若所述资源请求者身份鉴权通过，则所述方法还包括：记录所述资源请求者标识，所述资源请求者标识包括授权服务器管理的账户的用户标识、移动手机号码或第三方鉴权服务器管理的账户的用户标识。结合第一方面至第一方面的第十种可能的实现方式中的任意一种，在第一方面的第十一种可能的实现方式中，所述确定所述资源拥有者是否给予所述资源请求者授权包括：获取所述资源拥有者的授权信息，所述授权信息包括所述资源拥有者授权或不授权；根据所述授权信息确定所述资源拥有者是否给予所述资源请求者授权。结合第一方面至第一方面的第十种可能的实现方式中的任意一种，在第一方面的第十二种可能的实现方式中，在所述方法之前还包括：设置预授权策略，所述预授权策略包括授权方、授权请求方和授权请求应用方的映射关系和预授权条件，所述预授权条件包括授权范围和/或授权门限，和/或时间限制，和/或授权次数。结合第一方面的第十二种可能的实现方式，在第一方面的第十三种可能的实现方式中，所述若所述资源请求者身份鉴权通过，则确定所述资源拥有者是否给予所述资源请求者授权包括：在所述资源请求者身份鉴权通过时，记录资源请求者标识，并确定所述资源拥有者标识、所述资源请求者标识和所述第三方应用标识的映射关系与所述授权方、所述授权请求方和所述授权请求应用方的映射关系是否匹配，且是否符合所述预授权条件；若是，则确定所述资源拥有者给予所述资源请求者授权；若否，则获取所述资源请求者的授权信息，所述授权信息包括所述资源拥有者授权或不授权；根据所述授权信息确定所述资源拥有者是否给予所述资源请求者授权。结合第一方面的第十一种可能的实现方式或第十三种可能的实现方式，在第一方面的第十四种可能的实现方式中，若所述资源请求者通过所述第一终端使用所述第三方应用，且所述第一终端为所述资源拥有者所信本文档来自技高网...

【技术保护点】
一种授权方法，应用于托管用户资源的授权服务器，其特征在于，包括：接收资源请求者通过第一终端发送的授权请求，所述授权请求用于资源请求者通过第一终端使用第三方应用时请求访问资源拥有者托管于授权服务器的资源；对所述资源请求者进行身份鉴权；若所述资源请求者身份鉴权通过，则确定所述资源拥有者是否给予所述资源请求者授权；若所述资源拥有者给予授权，则向所述第一终端发送授权指令，以使得所述资源请求者通过所述第三方应用访问所述资源拥有者托管于所述授权服务器的资源。

【技术特征摘要】
1.一种授权方法，应用于托管用户资源的授权服务器，其特征在于，包括：接收资源请求者通过第一终端发送的授权请求，所述授权请求用于资源请求者通过第一终端使用第三方应用时请求访问资源拥有者托管于授权服务器的资源；对所述资源请求者进行身份鉴权；若所述资源请求者身份鉴权通过，则确定所述资源拥有者是否给予所述资源请求者授权；若所述资源拥有者给予授权，则向所述第一终端发送授权指令，以使得所述资源请求者通过所述第三方应用访问所述资源拥有者托管于所述授权服务器的资源。2.根据权利要求1所述的方法，其特征在于，所述授权请求中携带的参数包括资源拥有者标识和第三方应用标识。3.根据权利要求2所述的方法，其特征在于，所述对所述资源请求者进行身份鉴权包括：获取所述资源请求者的身份鉴权参数，并根据所述身份鉴权参数对所述资源请求者进行身份鉴权。4.根据权利要求3所述的方法，其特征在于，所述资源请求者的身份鉴权参数包括账户类型，所述账户类型包括授权服务器管理的账户类型、移动手机号码类型或第三方鉴权服务器管理的账户类型。5.根据权利要求4所述的方法，其特征在于，获取所述身份鉴权参数包括：通过所述第一终端向所述资源请求者提供鉴权页面获取所述资源请求者输入的所述身份鉴权参数。6.根据权利要求5所述的方法，其特征在于，若所述资源请求者为所述授权服务器管理的用户，则所述资源请求者的身份鉴权参数中的所述账户类型为所述授权服务器管理的账户类型，所述根据所述身份鉴权参数对所述资源请求者进行身份鉴权包括：获取所述资源请求者通过所述鉴权页面输入的所述授权服务器管理的账户的用户标识和登录密码信息；若获取的所述用户标识和所述登录密码信息与所述授权服务器中保存的用户标识和登录密码信息的映射关系相匹配，则确定所述资源请求者身份鉴权通过。7.根据权利要求5所述的方法，其特征在于，若所述资源请求者为移动手机号码，则所述资源请求者的身份鉴权参数中的所述账户类型为移动手机号码类型。8.根据权利要求7所述的方法，其特征在于，所述身份鉴权参数还包括移动消息发送方式，所述发送方式包括短消息业务SMS、多媒体消息业务MMS、非结构化补充数据业务USSD或交互式语音应答IVR。9.根据权利要求8所述的方法，其特征在于，所述根据所述身份鉴权参数对所述资源请求者进行身份鉴权包括：获取所述资源请求者通过所述鉴权页面输入的移动手机号码；通过所述SMS、所述MMS、所述USSD或所述IVR方式向所述移动手机号码发送移动消息，所述移动消息中携带鉴权码信息；获取所述资源请求者通过所述鉴权页面输入的鉴权码信息；若获取的鉴权码信息与向所述移动手机号码发送的鉴权码信息一致，则确定所述资源请求者身份鉴权通过。10.根据权利要求5所述的方法，其特征在于，若所述资源请求者为第三方鉴权服务器管理的用户，且所述第三方鉴权服务器为所述授权服务器所信任，则所述资源请求者的身份鉴权参数中的所述账户类型为第三方鉴权服务器管理的账户类型，所述根据所述身份鉴权参数对所述资源请求者进行身份鉴权包括：向第三方鉴权服务器发送鉴权指令，以指示所述第三方鉴权服务器对所述资源请求者进行身份鉴权；接收所述第三方鉴权服务器的发送的鉴权结果，所述鉴权结果包括所述资源请求者的第三方鉴权服务器管理的账户的用户标识以及所述资源请求者身份合法或不合法；若所述鉴权结果中包括所述资源请求者身份合法，则确定所述资源请求者身份鉴权通过。11.根据权利要求所述1-10任一项所述的方法，其特征在于，若所述资源请求者身份鉴权通过，则所述方法还包括：记录所述资源请求者标识，所述资源请求者标识包括授权服务器管理的账户的用户标识、移动手机号码或第三方鉴权服务器管理的账户的用户标识。12.根据权利要求1-11任一项所述的方法，其特征在于，所述确定所述资源拥有者是否给予所述资源请求者授权包括：获取所述资源拥有者的授权信息，所述授权信息包括所述资源拥有者授权或不授权；根据所述授权信息确定所述资源拥有者是否给予所述资源请求者授权。13.根据权利要求1-11任一项所述的方法，其特征在于，在所述方法之前还包括：设置预授权策略，所述预授权策略包括授权方、授权请求方和授权请求应用方的映射关系和预授权条件，所述预授权条件包括授权范围和/或授权门限，和/或时间限制，和/或授权次数。14.根据权利要求13所述的方法，其特征在于，所述若所述资源请求者身份鉴权通过，则确定所述资源拥有者是否给予所述资源请求者授权包括：在所述资源请求者身份鉴权通过时...

【专利技术属性】
技术研发人员：马晓立，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44