[发明专利]可扩展和/或分布式授权系统和/或提供类似的方法

权利要求书

1.一种在处理系统中提供分布式授权的计算机实现方法，所述处理系统包括至少一个处理器和一个执行复数个软件应用的存储器，所述方法包括：

为在所述处理系统中可执行的第一应用的客户端创建一个安全上下文；

在所述第一应用中：

接收从所述客户端到所述第一应用的连接；

将所述客户端认证到所述第一应用；

接收来自所述客户端的请求，以访问在所述处理系统中可执行的所述第一应用的至少一个资源；

响应所述请求，与第二应用通信以确定所述认证的客户端是否被授权访问所述至少一个资源；

在所述第二应用中：

通过所述处理系统的至少一个处理器执行基于来自所述第一应用和所述创建的安全上下文的通信的授权流程；以及

对于所述授权流程内的至少一个步骤，与非所述第二应用的另一个应用通信，以便确定所述客户端是否被允许访问所述至少一个资源，

其中，基于在所述第二应用中执行的所述授权流程的结果，所述第一应用允许对所述至少一个资源的访问。

2.如权利要求1所述的方法，其特征在于，所述另一个应用是所述第一应用。

3.如权利要求1所述的方法，其特征在于，所述另一个应用是不同于所述第一应用的第三应用。

4.如权利要求3所述的方法，其特征在于，所述第一应用不与所述另一个应用直接链接，并且不与所述另一个应用直接通信。

5.如权利要求4所述的方法，其特征在于，所述另一个应用只与所述第二应用直接链接，并且只与所述第二应用直接通信。

6.如权利要求5所述的方法，其特征在于，所述第二应用被编程以接收对来自多个不同软件应用的所述处理系统内的资源的多个授权请求。

7.一种用于授权对计算应用的资源进行访问的授权系统，所述系统包括：

配置为存储与所述资源相关的三部分权限结构的存储媒介，所述三部分权限结构包括：

包括所述资源的域或类型的第一部分，

定义在所述资源上完成的至少一个动作的第二部分，以及

包括根据评价产生包含所述资源的指令的输出的正则表达式的第三部分，

包括至少一个处理器的处理系统，所述处理系统被配置为基于所述第三部分权限结构评价对所述资源的授权请求。

8.如权利要求7所述的系统，其特征在于，所述第三部分包括另一个第二资源的标识符。

9.如权利要求7所述的系统，其特征在于，所述三部分权限结构的所述第一、第二和/或第三部分包括允许与包含所述标识符的各自的部分任意匹配的标识符。

10.如权利要求7所述的系统，其特征在于，所述三部分权限结构的所述第三部分包括表明没有资源标识符被允许的标识符。

11.一种评价处理系统上的授权应用中的授权请求的计算机实现方法，所述处理系统包括至少一个处理器和一个存储器，其中所述授权请求由第一计算应用产生，所述方法包括：

接收来自所述第一计算应用的所述授权请求；

基于所述授权请求创建安全上下文，所述安全上下文包括请求客户端、与所述请求关联的资源和与所述资源关联的至少一个权限上的信息；

检索至少一个规则，所述规则与调用在第二计算应用中定义的认证流程的回调函数关联；

基于所述安全上下文和所述至少一个规则建立抽象语法树；

评价所述抽象语法树；

在所述抽象语法树的评价过程中，执行对定义在所述第二计算应用的所述认证流程的回调；

基于所述抽象语法树的所述评价，将所述授权请求的结果返回到所述第一计算应用。

12.如权利要求11所述的方法，其特征在于，所述第二计算应用和所述第一计算应用都是相同的应用。

13.如权利要求11所述的方法，其特征在于，所述第二计算应用不同于所述第一计算应用。

14.如权利要求13所述的方法，其特征在于，所述第一计算应用不与所述第二计算应用直接链接，并且不与所述第二计算应用直接通信。

15.如权利要求14所述的方法，其特征在于，所述第二计算应用只与所述授权应用直接链接，并且只与所述授权应用直接通信。