本公开涉及针对移动应用的本机单点登录(SSO)。提供了用于增强型SSO的系统和方法,其可以避免用于访问委权的已知协议和标准中的故障。例如,增强型SSO可以使用共享安全机制(例如,密钥链或密钥库)来在移动应用上共享供应商身份,而不会出现使用cookie的一些缺陷。并且,连接器代码可以将移动应用彼此绑定,使得用户仅需要增强型SSO即能登录到移动应用并且保持登录到一个或多个移动设备上的应用。
Native single sign on (SSO) for mobile applications
【技术实现步骤摘要】
针对移动应用的本机单点登录(SSO)本申请包括受版权保护的材料。版权所有者不反对任何人对专利公开按照其出现在专利和商标局的文件或记录中那样进行传真复制,但在其他方面保留所有版权。相关申请的交叉引用本申请要求于2018年6月22日提交的序列号为62/689,031的美国临时专利申请的优先权,该美国临时专利申请通过引用以其整体合并与此。
本公开一般地涉及针对移动应用的单点登录(SSO)。
技术介绍
通常,单点登录(SSO)用于多个软件系统的访问控制。通常软件系统是相关的。使用SSO,传统地用户使用用户名和密码登录以访问一个或多个软件系统,而无需使用不同的用户名或密码。SSO的一些示例已知是使用轻量级目录访问协议(LDAP)、安全性断言标记语言(SAML)、和OpenID连接来实现的。此外,一些版本的SSO可以使用cookie通过IP网络来实现。在应用共享公共DNS父域时,可以使用cookie。不同的移动应用支持不同的认证机制。SSO可以适应于存储用于初始认证的凭证,并且将这些初始凭证转换为用于不同认证方法的多种凭证。用于访问委权的一些已知协议和标准允许通过使用会话cookie在移动应用之间进行SSO。然而,这些已知技术具有诸如用户从托管应用的系统清除cookie之类的风险。此外,在一些系统浏览器使用无痕浏览时,有时会完全避免cookie。
技术实现思路
本文描述的是使用共享安全机制、连接器代码、和令牌交换配置文件来改进针对移动应用的SSO的令牌交换机制。令牌交换机制允许移动应用在移动应用之间共享公共身份(identity)(例如,供应商身份),使得第一移动应用可以与第二移动应用共享身份和/或认证。因此,这种共享增强了针对移动应用的SSO。在一些实施例中,令牌交换机制允许移动应用在应用是由共同供应商产生的并且使用相同供应商证书进行签名时在它们之间共享身份和/或认证。这允许用户一次登录到由相同供应商分发的移动应用,因此实现了改进的SSO。在本公开的一些部分中,改进的SSO被描述为本机(native)SSO。实现本机SSO的令牌交换机制可以避免用于访问委权的已知协议和标准(例如,使用cookie在移动应用上共享供应商身份的那些协议和标准)中的故障。改进的令牌交换可以使用共享安全机制在移动应用上共享供应商身份,而不会出现使用cookie的一些缺陷。在一些示例实施例中,共享安全机制可以包括密钥链或密钥库。此外,连接器代码可以将移动应用彼此绑定,以便用户只需要进行本机SSO即可登录到移动应用并且保持登录到移动设备上的应用。此外,可以通过本文描述的本机SSO配置文件来增强本机SSO。根据一个或多个实施例,本公开提供了用于针对移动应用的本机SSO的计算机化方法以及用于执行本机SSO的技术步骤的非暂态计算机可读存储介质。非暂态计算机可读存储介质在其上有形地存储有、或在其上有形地编码有计算机可读指令,该计算机可读指令在由设备(例如,授权服务器、客户端设备、移动设备等)执行时,使得至少一个处理器执行用于使用共享安全机制、连接器代码、和令牌交换配置文件(profile)(例如,本机SSO配置文件)的新颖和改进的SSO的方法。根据一个或多个实施例,提供了一种系统,包括一个或多个计算设备,该一个或多个计算设备被配置为根据使用共享安全机制、连接器代码、和令牌交换配置文件的新颖和改进的SSO的一个或多个实施例来提供功能。根据一个或多个实施例,功能体现在由至少一个计算设备执行的方法的步骤中。根据一个或多个实施例,由计算设备的(一个或多个)处理器执行以实现根据本文描述的一个或多个实施例的功能的程序代码(或程序逻辑)体现在非暂态计算机可读介质中、由非暂态计算机可读介质体现、和/或在非暂态计算机可读介质上体现。附图说明根据如附图中所示的实施例的以下描述,本公开的前述内容和其他目的、特征和优点将是明显的,其中,附图标记在各个视图中指代相同的部分。附图不一定按比例绘制,而是将重点放在示出本公开的原理:图1是示出根据本公开的一些实施例的在其中可以实现本文讨论的系统和方法的网络的示例的示意图;图2描绘了示出根据本公开的一些实施例的客户端设备的示例的示意图;图3是示出了根据本公开的一些实施例的示例性系统的组件的示意性框图;图4是示出根据本公开的一些实施例的可以由至少移动应用、系统浏览器、和授权服务器执行的操作的流程图;图5是示出根据本公开的一些实施例的可以由至少移动应用或系统浏览器执行的操作的流程图;并且图6是示出根据本公开的一些实施例的可以由至少授权服务器或类似设备执行的操作的流程图。具体实施方式现在将在下文中参考附图更全面地描述本公开,附图形成本公开的一部分,并且通过图示的方式示出了某些示例实施例。然而,主题可以以各种不同的形式体现,因此,所涵盖或要求保护的主题旨在被解释为不限于本文所述的任何示例实施例;提供示例实施例仅用于说明。同样,所要求保护或涵盖的主题的范围旨在相当广泛。例如,主题可以被体现为方法、设备、组件或系统,等等。因此,实施例可以例如采用硬件、软件、固件或其任何组合的形式(除软件本身之外)。因此,以下详细描述不应被视为限制意义。在整个说明书和权利要求书中,术语可以具有超出所明确说明的含义的在上下文中建议或暗示的细微差别的含义。同样地,如本文使用的短语“在一个实施例中”不一定指代同一实施例,并且如本文使用的短语“在另一实施例中”不一定指代不同的实施例。例如,所要求保护的主题旨在包括整个或部分示例实施例的组合。通常,术语可以至少部分地从上下文中的使用来理解。例如,如本文所使用的诸如“和”、“或”或“和/或”之类的术语可包括多种含义,这些含义可以至少部分地取决于使用这些术语的上下文。通常,“或”如果用于关联列表(例如A、B或C),则意指A、B和C(此处以包含性意义使用)以及A、B或C(此处以排他性含义使用)。此外,至少部分地取决于上下文,如本文所使用的术语“一个或多个”可以用于以单数意义描述任何特征、结构或特征,或者可以以复数含义描述特征、结构或特征的组合。类似地,至少部分地取决于上下文,诸如“一”、“一个”或“该”之类的术语也可以被理解为传达单数用法或传达复数用法。此外,至少部分地取决于上下文,术语“基于”可以被理解为不一定旨在传达因素的排他性组合,并且替代地,可以允许存在不一定被明确描述的其他因素。下面参考方法和设备的框图和操作说明来描述本公开。应当理解,框图或操作说明的每个框以及框图或操作说明中的框的组合可以借助于模拟或数字硬件和计算机程序指令来实现。这些计算机程序指令可以被提供给通用计算机(以改变其如本文详述的功能)、专用计算机、ASIC或其他可编程数据处理装置的处理器,使得通过计算机或其他可编程数据处理装置的处理器执行的指令实现框图或一个或多个操作框中指定的功能/动作。在一些替代实现方式中,框中提到的功能/动作可以不按照操作说明中所指出的顺序发生。例如,连续示出的本文档来自技高网...
【技术保护点】
1.一种用于针对移动应用的增强单点登录的方法,所述方法包括:/n由第一移动应用请求授权服务器返回连接器代码;/n由所述第一移动应用从远程服务器接收所述连接器代码以及至少一个令牌;/n由所述第一移动应用在共享安全机制中存储所述至少一个令牌;/n由第二移动应用在所述共享安全机制中搜索所述至少一个令牌;以及/n由所述第二移动应用使用配置文件来基于所述至少一个令牌和所述连接器代码获得针对所述第二移动应用的令牌。/n
【技术特征摘要】
20180622 US 62/689,031;20180906 US 16/123,0601.一种用于针对移动应用的增强单点登录的方法,所述方法包括:
由第一移动应用请求授权服务器返回连接器代码;
由所述第一移动应用从远程服务器接收所述连接器代码以及至少一个令牌;
由所述第一移动应用在共享安全机制中存储所述至少一个令牌;
由第二移动应用在所述共享安全机制中搜索所述至少一个令牌;以及
由所述第二移动应用使用配置文件来基于所述至少一个令牌和所述连接器代码获得针对所述第二移动应用的令牌。
2.根据权利要求1所述的方法,其中,所述远程服务器是所述授权服务器。
3.根据权利要求1所述的方法,其中,所述远程服务器是第二服务器。
4.根据权利要求1所述的方法,其中,所述第一移动应用和第二移动应用由相同供应商发布。
5.根据权利要求1所述的方法,其中,所述共享安全机制包括密钥链。
6.根据权利要求1所述的方法,其中,所述共享安全机制包括密钥库。
7.根据权利要求1所述的方法,其中,所述连接器代码对于特定移动设备是唯一的。
8.根据权利要求1所述的方法,其中,所述至少一个令牌标识登录到所述第一移动应用的用户。
9.根据权利要求8所述的方法,还包括由所述第二移动应用询问所述用户以确定所述用户是否接受将所述至少一个令牌与所述第二移动应用一起使用,并且在所述用户不接受将所述至少一个令牌与所述第二移动应用一起使用的情况下不使用配置文件来获得针对所述第二移动应用的令牌。
10.根据权利要求1所述的方法,还包括由所述第一移动应用在所述共享安全机制中存储所述连接器代码。
11.根据权利要求1所述的方法,还包括由所述第二移动应用在所述共享安全机制中搜索所述连接器代码。
12.根据权利要求1所述的方法,其中,所述配置文件是所述第二移动应用与所述授权服务器之间的令牌交换的配置文件。
13.根据权利要求12所述的方法,其中,所述第一移动应用和所述第二移动应用由相同供应商发布,并且其中...
【专利技术属性】
技术研发人员:乔治·弗莱彻,弗朗西斯·哈苏,
申请(专利权)人:奥誓公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。