[发明专利]一种用户数据授权方法、装置及系统

权利要求书

1.一种用户数据授权方法，其特征在于，包括：

授权服务器接收第三方应用服务器发送的授权请求，所述授权请求包括服务器标识和服务器地址；

向认证网关发送身份认证请求，以使所述认证网关对客户端用户进行身份认证；

接收所述认证网关返回的身份认证响应，所述身份认证响应包括认证通过用户的用户标识；

从授权服务器内查找与所述用户标识相匹配的用户子账号，并发送至客户端，供客户端用户选择授权子账号；

接收客户端返回的授权子账号，建立并保存所述服务器标识、用户标识和授权子账号间的对应关系；

利用所述服务器地址将所述用户标识、所述授权子账号和表示访问权限的访问令牌发送至所述第三方应用服务器。

2.根据权利要求1所述的方法，其特征在于，所述认证网关对客户端用户进行身份认证，具体包括：

获取客户端用户的登录状态，如果为已成功登录，则判定用户为认证通过用户；如果未成功登录，则提示用户进行用户名和密码验证，并在用户名和密码验证通过后，判定用户为认证通过用户；

将所述认证通过用户的用户名转换为用户标识，并将所述用户标识添加到身份认证响应中发送至授权服务器。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述接收客户端返回的授权子账号之后，

将所述授权子账号包含的用户数据发送至客户端，供客户端用户选择授权用户数据；则，

所述建立并保存所述对应关系具体包括：在接收到所述客户端返回的授权用户数据之后，建立并保存所述服务器标识、用户标识、授权子账号和授权用户数据间的对应关系；

所述利用所述服务器地址向所述第三方应用服务器发送的信息具体为：用户标识、授权子账号、授权用户数据和访问令牌。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：在所述建立并保存所述服务器标识、用户标识、授权子账号和授权用户数据间的对应关系之前，

判断所述授权子账号是否包含于所述用户子账号，以及判断所述授权用户数据是否包含于所述用户数据，如果判断结果均为是，则继续执行建立并保存所述对应关系的步骤。

5.根据权利要求1所述的方法，其特征在于，所述利用所述服务器地址将所述用户标识、授权子账号和访问令牌发送至所述第三方应用服务器，具体包括：

生成授权码，并利用所述服务器地址将所述用户标识、授权子账号和授权码发送至所述第三方应用服务器；

接收所述第三方应用服务器发送的服务器标识和授权码，如果所述服务器标识与所述授权请求中的服务器标识相符，且所述授权码与所述生成的授权码相符，则将所述访问令牌发送至所述第三方应用服务器。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述方法还包括：

接收开放平台网关转发的所述第三方应用服务器发送的访问请求，所述访问请求包括服务器标识、访问令牌、用户标识、子账号四项信息，以及所述四项信息的数字签名和生成所述数字签名采用的签名方法；

对所述访问请求进行合法性鉴权，如果鉴权通过，则允许所述第三方应用服务器访问所述访问请求中的子账号包含的所有用户数据；

其中，所述合法性鉴权包括：

利用所述签名方法对所述四项信息进行数字签名，并与所述访问请求中包含的数字签名比对，如果相同，则判定所述访问请求合法；

判断所述访问请求中的服务器标识、用户标识和子账号是否满足所述授权服务器保存的所述授权服务器、用户标识和授权子账号间的对应关系，如果满足，则判定所述访问请求中的授权服务器、用户标识和子账号合法；

判断所述访问令牌是否与所述授权服务器发送给第三方应用服务器的访问令牌相符，如果相符，则判定所述访问令牌合法。