用于第三方授权的系统、方法和计算机程序产品技术方案

提供一种用于第三方授权的方法、系统和计算机程序产品。所述方法包括：生成授权代码；用与第一系统相关联的公钥对所述授权代码进行加密，从而产生加密的授权代码；将所述加密的授权代码发送到所述第一系统；从所述第一系统接收由所述第一系统基于所述授权代码和对应于与所述第一系统相关联的所述公钥的私钥而生成的数字签名的授权代码；基于所述公钥和所述授权代码来验证所述数字签名的授权代码；以及响应于验证所述数字签名的授权代码，将访问令牌发送到所述第一系统，其中所述访问令牌被配置成授权用户使用所述第一系统。置成授权用户使用所述第一系统。置成授权用户使用所述第一系统。

【技术实现步骤摘要】
【国外来华专利技术】用于第三方授权的系统、方法和计算机程序产品
[0001]相关申请的交叉引用
[0002]本申请要求2019年7月5日提交的第62/870,834号美国临时专利申请的优先权，所述专利申请的公开内容以全文引用的方式并入本文中。


[0003]本公开大体上涉及授权用户，并且在非限制性实施例中，涉及用于第三方授权的系统、方法和计算机程序产品。

技术介绍

[0004]用于经由第三方授权系统授权用户使用系统的现有标准和协议存在若干安全漏洞。例如，使用开放授权(OAth)标准，攻击者可以拦截授权代码和/或访问令牌，以在无权限的情况下访问系统。如果此类第三方授权用于访问支付系统和/或进行支付交易，则这些安全漏洞尤其令人担忧。

技术实现思路

[0005]根据非限制性实施例或方面，提供一种计算机实施的方法，包括：用至少一个处理器生成授权代码；用至少一个处理器通过与第一系统相关联的公钥对授权代码进行加密，从而产生加密的授权代码；将加密的授权代码发送到第一系统；从第一系统接收由所述第一系统基于授权代码和对应于与所述第一系统相关联的公钥的私钥而生成的数字签名的授权代码；用至少一个处理器基于公钥和授权代码验证数字签名的授权代码；以及响应于验证数字签名的授权代码，将访问令牌发送到第一系统，其中所述访问令牌被配置成授权用户使用所述第一系统。
[0006]在非限制性实施例和方面，所述方法还包括从第二系统接收包括与用户相关联的用户标识符和至少一个许可的访问许可数据，其中响应于接收到所述访问许可数据而生成和/或加密授权代码。在非限制性实施例和方面，将加密的授权代码发送到第一系统包括将所述加密的授权代码发送到第二系统，其中第二系统将所述加密的授权代码提供到第一系统。在非限制性实施例和方面，所述方法还包括：通过与第一系统相关联的第一网站接收请求，所述请求由用户通过计算装置发起；将用户的计算装置从与第一系统相关联的第一网站重定向到与第二系统相关联的第二网站，其中所述第二网站被配置成接收与所述用户相关联的凭证；以及从第二系统接收对授权代码的请求。在非限制性实施例或方面，所述方法还包括：从第一系统接收由所述第一系统基于访问令牌和私钥而生成的数字签名的访问令牌；用至少一个处理器基于公钥和访问令牌验证数字签名的访问令牌；以及响应于验证数字签名的访问令牌，授权用户使用第二系统。
[0007]根据非限制性实施例或方面，提供一种系统，包括至少一个处理器，所述至少一个处理器被编程或配置成：生成授权代码；用与第一系统相关联的公钥对授权代码进行加密，从而产生加密的授权代码；将加密的授权代码发送到第一系统；从第一系统接收由所述第
一系统基于授权代码和对应于与所述第一系统相关联的公钥的私钥而生成的数字签名的授权代码；基于公钥和授权代码来验证数字签名的授权代码；并且响应于验证数字签名的授权代码，将访问令牌发送到第一系统，其中所述访问令牌被配置成授权用户使用所述第一系统。
[0008]在非限制性实施例或方面，至少一个处理器被进一步编程或配置成从第二系统接收包括与用户相关联的用户标识符和至少一个许可的访问许可数据，其中响应于接收到所述访问许可数据而生成和/或加密授权代码。在非限制性实施例和方面，其中将加密的授权代码发送到第一系统包括将所述加密的授权代码发送到第二系统，第二系统将所述加密的授权代码提供到第一系统。在非限制性实施例和方面，至少一个处理器被进一步编程或配置成：通过与第一系统相关联的第一网站接收请求，所述请求由用户通过计算装置发起；将用户的计算装置从与第一系统相关联的第一网站重定向到与第二系统相关联的第二网站，其中所述第二网站被配置成接收与所述用户相关联的凭证；并且从第二系统接收对授权代码的请求。在非限制性实施例或方面，至少一个处理器被进一步编程或配置成：从第一系统接收由所述第一系统基于访问令牌和私钥而生成的数字签名的访问令牌；用至少一个处理器基于公钥和访问令牌验证数字签名的访问令牌；并且响应于验证数字签名的访问令牌，授权用户使用第二系统。
[0009]根据非限制性实施例或方面，提供一种包括至少一个非瞬态计算机可读介质的计算机程序产品，所述至少一个非瞬态计算机可读介质包括程序指令，所述程序指令在由至少一个处理器执行时使所述至少一个处理器：生成授权代码；用与第一系统相关联的公钥对授权代码进行加密，从而产生加密的授权代码；将加密的授权代码发送到第一系统；从第一系统接收由所述第一系统基于授权代码和对应于与所述第一系统相关联的公钥的私钥而生成的数字签名的授权代码；基于公钥和授权代码验证数字签名的授权代码；并且响应于验证数字签名的授权代码，将访问令牌发送到第一系统，其中所述访问令牌被配置成授权用户使用所述第一系统。
[0010]根据非限制性实施例或方面，提供计算机实施的方法，包括：用第一系统的至少一个处理器从授权系统接收加密的授权代码；用至少一个处理器基于与第一系统相关联的私钥对加密的授权代码进行解密，从而产生授权代码；用至少一个处理器基于私钥对授权代码进行数字签名，从而产生数字签名的授权代码；将数字签名的授权代码发送到授权系统；以及用至少一个处理器从授权系统接收访问令牌，所述访问令牌被配置成授权用户使用第一系统。在非限制性实施例或方面，所述方法还包括：用至少一个处理器基于私钥对访问令牌进行数字签名，从而产生数字签名的访问令牌；以及将数字签名的访问令牌发送到授权系统。
[0011]在非限制性实施例或方面，所述方法还包括：通过与第一系统相关联的第一网站接收由用户发起的请求；以及将用户的计算装置从与第一系统相关联的第一网站重定向到与第二系统相关联的第二网站，其中所述第二网站被配置成接收与所述用户相关联的凭证。在非限制性实施例或方面，从授权系统接收加密的授权代码包括从第二系统接收所述加密的授权代码，其中第二系统从授权系统接收所述加密的授权代码。
[0012]根据非限制性实施例或方面，提供一种系统，包括至少一个处理器，所述至少一个处理器被编程或配置成：从授权系统接收加密的授权代码；基于与第一系统相关联的私钥
对加密的授权代码进行解密，从而产生授权代码；基于私钥对授权代码进行数字签名，从而产生数字签名的授权代码；将数字签名的授权代码发送到授权系统；并且从授权系统接收访问令牌，所述访问令牌被配置成授权用户使用第一系统。
[0013]在非限制性实施例或方面，至少一个处理器被进一步编程或配置成：基于私钥对访问令牌进行数字签名，从而产生数字签名的访问令牌；并且将数字签名的访问令牌发送到授权系统。在非限制性实施例或方面，至少一个处理器被进一步编程或配置成：通过与第一系统相关联的第一网站接收由用户发起的请求；并且将用户的计算装置从与第一系统相关联的第一网站重定向到与第二系统相关联的第二网站，其中所述第二网站被配置成接收与所述用户相关联的凭证。在非限制性实施例或方面，从授权系统接收加密的授权代码包括从第二系统接收所述加密的授权代码，其中第二系统从授权系统接收所述加密的授权代码。
[0014]根据非限制性实施例或方面，提供一种包括至本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机实施的方法，包括：用至少一个处理器生成授权代码；用至少一个处理器通过与第一系统相关联的公钥对所述授权代码进行加密，从而产生加密的授权代码；将所述加密的授权代码发送到所述第一系统；从所述第一系统接收由所述第一系统基于所述授权代码和对应于与所述第一系统相关联的所述公钥的私钥而生成的数字签名的授权代码；用至少一个处理器基于所述公钥和所述授权代码验证所述数字签名的授权代码；以及响应于验证所述数字签名的授权代码，将访问令牌发送到所述第一系统，其中所述访问令牌被配置成授权用户使用所述第一系统。2.根据权利要求1所述的计算机实施的方法，还包括从第二系统接收包括与所述用户相关联的用户标识符和至少一个许可的访问许可数据，其中响应于接收到所述访问许可数据而生成和/或加密所述授权代码。3.根据权利要求1所述的计算机实施的方法，其中将所述加密的授权代码发送到所述第一系统包括将所述加密的授权代码发送到第二系统，其中所述第二系统将所述加密的授权代码提供到所述第一系统。4.根据权利要求1所述的计算机实施的方法，还包括：通过与所述第一系统相关联的第一网站接收请求，所述请求由所述用户通过计算装置发起；将所述用户的所述计算装置从与所述第一系统相关联的所述第一网站重定向到与第二系统相关联的第二网站，其中所述第二网站被配置成接收与所述用户相关联的凭证；以及从所述第二系统接收对所述授权代码的请求。5.根据权利要求1所述的计算机实施的方法，还包括：从所述第一系统接收由所述第一系统基于所述访问令牌和所述私钥而生成的数字签名的访问令牌；用至少一个处理器基于所述公钥和所述访问令牌验证所述数字签名的访问令牌；以及响应于验证所述数字签名的访问令牌，授权所述用户使用所述第二系统。6.一种系统，包括至少一个处理器，所述至少一个处理器被编程或配置成：生成授权代码；用与第一系统相关联的公钥对所述授权代码进行加密，从而产生加密的授权代码；将所述加密的授权代码发送到所述第一系统；从所述第一系统接收由所述第一系统基于所述授权代码和对应于与所述第一系统相关联的所述公钥的私钥而生成的数字签名的授权代码；基于所述公钥和所述授权代码来验证所述数字签名的授权代码；并且响应于验证所述数字签名的授权代码，将访问令牌发送到所述第一系统，其中所述访问令牌被配置成授权用户使用所述第一系统。7.根据权利要求6所述的系统，其中所述至少一个处理器被进一步编程或配置成从第二系统接收包括与所述用户相关联的用户标识符和至少一个许可的访问许可数据，其中响
应于接收到所述访问许可数据而生成和/或加密所述授权代码。8.根据权利要求6所述的系统，其中将所述加密的授权代码发送到所述第一系统包括将所述加密的授权代码发送到第二系统，其中所述第二系统将所述加密的授权代码提供到所述第一系统。9.根据权利要求6所述的系统，其中所述至少一个处理器被进一步编程或配置成：通过与所述第一系统相关联的第一网站接收请求，所述请求由所述用户通过计算装置发起；将所述用户的所述计算装置从与所述第一系统相关联的所述第一网站重定向到与第二系统相关联的第二网站，其中所述第二网站被配置成接收与所述用户相关联的凭证；并且从所述第二系统接收对所述授权代码的请求。10.根据权利要求6所述的系统，其中所述至少一个处理器被进一步编程或配置成：从所述第一系统接收由所述第一系统基于所述访问令牌和所述私钥而生成的数字签名的访问令牌；用至少一个处理器基于所述公钥和所述访问令牌验证所述数字签名的访问令牌；并且响应于验证所述数字签名的访问令牌，授权所述用户使用所述第二系统。11.一种包括至少一个非瞬态计算机可读介质的计算机程序产品，所述至少一个非瞬态计算机可读介质包括程序指令，所述程序指令在由至少一个处理器执行时使所述至少一个处理器：生成授...

【专利技术属性】
技术研发人员：G，
申请(专利权)人：维萨国际服务协会，
类型：发明
国别省市：