[发明专利]从现有浏览器会话中认证富客户端的方法、系统及装置

说明书

技术领域

本公开一般地涉及应用安全，尤其涉及一种使得能够从现有web浏览器会话中传递或获取用于“富客户端”的凭证的方法。

背景技术

在现有技术中，用所谓的“富”客户端来集成基于Web或基于云的应用是公知的，其中“富”客户端是（客户端-服务器应用的）支持其自身界面（而不是仅从web应用本身导出web界面）的客户端。“富”客户端通常不是基于浏览器的，并且其有时被称为“厚”（相较于基于浏览器的或者“瘦”）客户端。说明性的富客户端为Lotus其提供电子邮件、日历、联系人管理和即时通讯。富客户端可以被用来代表用户访问和自动地执行动作。

许多该类型的非基于浏览器的（富）客户端应用也具有基于浏览器的（瘦客户端）应用的对应部分或特征。瘦客户端可以是简单的web浏览器和登录页面。当终端用户想要从单个工作站同时使用这些多个客户端时，他或她必须向认证服务器分别地认证。应对该需求的普遍方法是使用口令，其在多个界面中被输入，例如，每个客户端一个界面。该方法不是用户友好的，因为用户需要多次输入他或她的口令。而且，在用户以本地方式（在每个客户端中）存储口令的情况下，考虑到多个副本被存储，其增加了损害的风险。进一步地，当用户修改口令时，同样地，其必须在多个地方被改变。当然，当用户被迫多次输入口令时，更有可能的是用户将选择较弱的口令。如果基于Web或基于云的应用使用不支持基于口令的认证（基于口令的认证对于瘦客户端方式是典型的）的单点登录协议（诸如SAML或OpenID），则出现了另一个问题。在这种情况下，用户被迫针对每个厚客户端和瘦客户端使用不同类型的认证凭证和技术，这导致了进一步的低效率和安全风险。

希望能够提供一种技术，通过该技术用户只需要在与基于Web或基于云的应用的会话期间认证一次，但是其中该认证可以被传播到相关联的可以由该用户发现的富客户端或以其他方式对这样的富客户端可用。

发明内容

根据本公开，用户从瘦（基于浏览器的）客户端向基于Web或基于云的应用认证。所述客户端具有相关联的富客户端。在会话从所述基于浏览器的客户端被发起（以及凭证被获得）之后，用户可以发现所述富客户端可用并且使其获得所述凭证（或新的凭证）以用于（使用富客户端）自动地向所述应用来认证所述用户，即不需要额外的用户输入。应用界面为用户提供了显示，通过该显示，用户可以配置富客户端认证操作，诸如规定如果富客户端被检测为正在运行则其是否应当自动地被认证，由富客户端对应用的访问是否以及在什么程度上要被限制，由富客户端对应用的访问是否以及何时要被取消，等等。

在一个实施例中，为了便于所描述的操作，在浏览器与富客户端之间建立了控制信道，富客户端被修改为包括HTTP服务器。通过向到HTTP服务器的本地主机连接上的端口发送HTTP请求，浏览器可以确定富客户端是否正在执行，并接着传递基于浏览器的凭证。

在另选的实施例中，控制信道使用标准操作系统机制来实现。特别地，富客户端在操作系统中注册内容类型，并将自身建立为用于该类型的处理程序（handler）。当需要发起富客户端认证时，浏览器向所述应用发出HTTP请求，以请求新的凭证。HTTP响应包括具有与所注册的内容类型相匹配的mime类型的凭证。新的凭证接着通过操作系统被传递给富客户端，富客户端接着使用其来向所述应用认证。

上述认证方法可以在装置中执行。该装置包括处理器和计算机存储器，该存储器存储计算机程序指令，当该指令被执行时，执行该方法。

在另一个另选的实施例中，该认证方法由在数据处理系统中使用的计算机可读介质中的计算机程序产品来执行。该计算机程序产品包括计算机程序指令，当该指令由数据处理系统执行时，执行该方法。

前面已经概述了本发明的一些较相关的特征。这些特征应当被理解为仅是说明性的。许多其他有益结果可以通过以不同方式应用所公开的发明或通过按照将要描述的修改本发明来实现。

附图说明

为了更完整地理解本发明及其优点，现在参考以下结合附图的描述，在附图中：

图1描绘了在其中可以实现示例性实施例的示例性方面的分布式数据处理环境的示例性框图；

图2是在其中可以实现示例性实施例的示例性方面的数据处理系统的示例性框图；

图3例示了在其中可以实现本公开的技术的客户端应用及其相关联的基于Web或基于云的服务器应用；

图4是描述本公开的基本操作场景的处理流程图；

图5是根据本公开的来自用户通过其配置访问策略的应用界面的显示页面；以及