描述了用于基于动态域的隔离的技术。一种装置可包括可用于接收对统一资源定位符的域名请求的域名组件、可用于接收对该统一资源定位符处的web应用的请求的接收组件、以及可用于在该统一资源定位符的基础上确定多个所主存的web应用中的哪一所主存的web应用对应于所请求的web应用的应用标识组件,其中该域名组件可用于根据域名表中的通配符条目来解析该域名请求105,该统一资源定位符是动态地分配给该web应用的。对其他实施例也予以描述并要求保护。
【技术实现步骤摘要】
用于基于动态域的隔离的技术
本专利技术涉及基于动态域的隔离。
技术介绍
万维网(WWW)已从其中所有用户接收相同的静态内容的平台继续转变成其中每一用户都有机会定制他们对网站的体验以创建他们专用的页面的平台。对于web门户,如社交网络站点,这一转变中的大部分是由以下能力来授权的:使用户能通过将第三方web应用嵌入该较大门户页面内来定制他们对该门户的视图。然而,允许嵌入第三方web应用可导致以下安全风险:该web应用会干扰该门户、用户、或另一第三方web应用的操作或访问该门户、用户、或另一第三方web应用的数据。尽管存在着用于解决这些安全问题的一些受限技术,但对web应用开发者而言,它们通常是麻烦的,从而限制了第三方web应用的流水线化的创建和使用。本专利技术的改进正是针对这些和其他考虑事项而需要的。
技术实现思路
下面提供了简化的
技术实现思路
,以便提供对此处所描述的一些新颖实施例的基本理解。本
技术实现思路
不是广泛的概览,并且它不旨在标识关键/重要元素或描绘本专利技术的范围。其唯一目的是以简化形式呈现一些概念,作为稍后呈现的更具体实施例的序言。各实施例一般涉及用于基于动态域的隔离的技术。具体而言,一些实施例涉及用于嵌入在网页中的web应用的自动的和基于动态域的隔离的技术。基于域的隔离可降低或消除与web应用相关联的安全问题。在一个实施例中,例如,一种装置可包括隔离应用,该隔离应用具有接收对处于以统一资源定位符处的web应用的请求的接收组件,该统一资源定位符是被动态地分配给该web应用的。该隔离应用还可包括用于在统一资源定位符的基础上确定多个所主存的web应用中的哪一所主存的web应用与所请求的web应用相对应的应用标识组件。对其他实施例也予以描述并要求保护。为了实现上述及相关目的,本文结合下面的描述和附图来描述某些说明性方面。这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。结合附图阅读下面的详细描述,其他优点和新颖特征将变得显而易见。附图说明图1A示出用于基于动态域的隔离的系统的实施例。图1B示出用于基于动态域的隔离的操作环境的实施例。图2A示出用于基于动态域的隔离的逻辑流程的实施例。图2B示出用于基于动态域的隔离的逻辑流程的实施例。图3示出用于基于动态域的隔离的集中式系统的实施例。图4示出用于基于动态域的隔离的分布式系统的实施例。图5示出适用于基于动态域的隔离的计算架构的实施例。图6示出适用于基于动态域的隔离的通信架构的实施例。具体实施方式各实施例一般涉及用于基于动态域的隔离的技术。具体而言,一些实施例涉及为由网站所主存的各web应用自动创建域以将该web应用与该网站所主存的其他web应用或私有数据相隔离的技术。这减轻了web应用开发者创建域来主存web应用的负担。如此,减轻了用于开发并安装web应用(尤其是第三方应用)的成本和复杂度。此外,通过消除由第三方来创建主存域的需求,对web应用的主存可完全由主存网页的实体来执行。这将主存负担集中到处于扩展主存系统的高级位置的实体。结果,各实施例可改进web应用开发的可承受性和可伸缩性,同时增强网站的模块性和可扩展性。现在将参考附图,全部附图中相同的附图标记用于指代相同的元素。在下面的描述中,为了进行说明,阐述了很多具体细节以便提供对本专利技术的全面理解。然而,显而易见,可以没有这些具体细节的情况下实施各新颖实施例。在其他情况下,以框图形式示出了各个公知的结构和设备以便于描述本专利技术。本专利技术将涵盖落入所要求保护的主题的精神和范围内的所有修改、等效方案和替换方案。图1A示出隔离系统100的框图。在一个实施例中,隔离系统100可包括具有一个或多个软件应用和/或组件的计算机实现的系统。尽管图1A中示出的隔离系统100具有按照某种拓扑结构的有限数量的元素,但可以理解,隔离系统100可以视给定实现的需要而包括按照替代拓扑结构的更多或更少元素。隔离系统100可以实现用于基于动态域的隔离的各种技术。更具体地,隔离系统100可以隔离一个或多个web应用104-a,其中a表示任何正整数。例如,隔离系统100可以通过为由一网站实现的web应用104-1和由同一网站实现的web应用104-2自动生成分开的域来将web应用104-1、104-2相隔离。基于域的隔离减少或阻止web应用104-1、104-2彼此访问或破坏。基于域的隔离还减少或阻止web应用104-1或web应用104-2访问或破坏同一网站所主存的其他数据,如私有或公共用户数据、web部分(webpart)、帧数据、或其他所主存的内容。web应用104-a一般可包括使用web浏览器来访问和呈现的应用。一些web应用104-a可以是经由浏览器访问的标准的或大部分标准的软件应用程序,如Java应用或Java小应用程序。这些类型的web应用104-a,由于是仅仅主存在浏览器内的具有完全特征的应用,可主要根据用于适用于标准计算机应用的数据访问的安全模型来操作。然而,一些web应用104-a是使用脚本语言或脚本语言与标记语言的组合来实现的,如结合超文本标记语言(HTML)来使用JavaScript。这些脚本应用程序可被呈现在较大网页的帧内,如超文本标记语言(HTML)或可扩展标记语言(XML)的iframe,使得它们显得是与除该web应用104-a所提供的内容之外的其他内容一起嵌入在该网页内。web应用104-a的这后一类的脚本版本,由于是用web浏览器所直接支持的语言(例如,客户机侧脚本语言)来编写的,可造成安全问题。对嵌入在网页内的web应用104-a的脚本版本的安全许可进行的管理直接落在主存该web应用104-a和呈现该web应用104-a的web浏览器的服务器系统上。利用几个常用web浏览器中存在的安全特征的安全解决方案尤其有价值,这些常用web浏览器诸如Internet以及具体而言,将WWW用于先前由个人计算机本机的应用来处理的任务的使用日益增长增加了用户对访问更多种多样的web应用104-a的需求和对这些web应用104-a严格符合安全约束的需求。可通过允许第三方web应用嵌入到网站并通过减轻开发第三方web应用的人员的负担来满足增加的用户需求。第三方web应用可以是由与负责主存网页的主存实体不同的实体所开发的应用。从另一观点来看,第三方web应用是负责主存网页的主存实体不想要延伸足够信任的、不需要安全预防措施的一种类型的web应用104-a。在一些情况下,由主存实体开发的web应用104-a可被当作第三方web应用,以增加对不正常工作或不正确编码的应用可造成多少损害的约束。在其他情况下,主存实体所开发的web应用104-a可被当作第三方web应用来为各web应用开发者创建平等市场,其中内部web应用104-a以与第三方web应用104-a相同的方式来实现。在第三方web应用是商务市场(如web应用104-a的付费市场)的一部分时,这尤其合乎需要。然而,web应用104-a可对包含各用户希望保护的用户数据的网站(如,社交网络门户)引起安全风险。例如,用户在访问社交网络门户时可能希望查看股票报价,并且可能希望允许第三方股票报价应用访问由该门户所维护的持有股票的列表,但还可能希望本文档来自技高网...
【技术保护点】
一种装置,包括:逻辑设备(504);接收组件(120),用于在所述逻辑设备上操作以接收对统一资源定位符处的web应用(104?a)的请求(125)的,所述统一资源定位符是动态地分配给所述web应用的;以及应用标识组件(130),用于基于所述统一资源定位符确定多个所主存的web应用中的哪一所主存的web应用与所请求的web应用相对应。
【技术特征摘要】
2011.11.02 US 13/287,1721.一种用于web应用的装置,包括:逻辑设备(504);接收组件(120),用于在所述逻辑设备上操作以在web服务器处从客户机接收对统一资源定位符处的由所述web服务器主存的web应用(104-a)的请求(125),所述统一资源定位符包括与所述web服务器的域分开的域且是由所述web服务器的主存实体动态地分配给所述web应用的,从而减少或阻止web应用彼此访问或破坏且还减少或阻止web应用访问或破坏所述web服务器处所主存的其他数据;以及应用标识组件(130),用于基于所述统一资源定位符确定多个所主存的web应用中的哪一所主存的web应用与所请求的web应用相对应。2.如权利要求1所述的装置,其特征在于,包括在所述逻辑设备上操作的域生成器组件(104),用于在所述web应用的安装期间生成所述统一资源定位符并向所述web应用动态地分配所述统一资源定位符。3.如权利要求1所述的装置,其特征在于,所述统一资源定位符包括具有用户专用标识符和应用标识符的域名,所述应用标识符是在安装期间为所述web应用生成的。4.如权利要求1所述的装置,其特征在于,包括在所述逻辑设备上操作来为所述web应用确定一组安全许可的安全组件(140),所述安全组件能用于将所述安全许可应用于接收到的请求。5.如权利要求1所述的装置,其特征在于,包括在所述逻辑设备上操作的应用主存组件(150),用于使用所述web应用返回对所述请求的响应(135)。6.一种用于web应用的方法,包括:在web服务器处从客户机接收对统一资源定位符处的由所述web服务器主存的web应用的请求,所述统一资源定位符包括与所述web服务器的域分开的...
【专利技术属性】
技术研发人员:Y·阿雷纳斯,B·C·M·叶,M·卢基亚诺夫,S·阿德高恩卡,D·瑞克托,D·贾斯特斯,J·拉斯,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。