[发明专利]授权令牌的生成方法、生成装置、认证方法和认证系统

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种授权令牌的生成方法、生成装置、认证方法和认证系统。

背景技术

随着开放平台和云计算技术的不断发展，越来越多的互联网服务提供商（如Facebook、谷歌Google、百度、腾讯、淘宝、新浪微博等）提供自己的开放平台，并通过开放平台对外提供Open API（Open Application Programming Interface，开放的应用编程接口），通过Open API可向第三方应用开放服务或数据。

为了保证对外Open API的安全性，防止平台的服务或数据被未授权的第三方应用所使用，以及防止第三方应用使用尚未经过平台或用户授权的服务或数据，大多数互联网服务提供商提供的平台都要求第三方应用必须先通过与平台的授权服务进行交互，以获取平台或用户对某类服务或数据的访问权限的授权，以及与之对应的授权令牌，然后在访问任何Open API时出示该授权令牌，以便Open API的服务端获取当前调用者的应用身份（即是哪个第三方应用想要调用当前的Open API）和可能的用户身份（即当前第三方应用希望访问哪个用户的数据），以及第三方应用是否已经拥有相应的服务或数据访问权限等信息。

其中，授权令牌如何生成、如何认证以及如何保存是Open API安全保障机制中的重要一环。目前，授权令牌的生成和认证方法主要有两种：一种是通过随机算法生成一个全局唯一的标识串作为授权令牌，并将授权令牌与授权令牌相关信息一一对应地存入数据库，每次认证时进行查询验证；另一种是通过对称加密算法对授权令牌相关信息进行加密，并将得到的加密串作为授权令牌，认证时通过解密获得授权令牌相关信息并进行校验。

在实现本发明过程中，发明人发现现有技术至少存在以下问题：由随机算法生成的授权令牌没有加密功能，容易被仿造或篡改；每次认证都至少有一次网络查询的时间开销，易出现安全漏洞，安全性低；且授权令牌本身占用数据库大量的存储空间，不利于管理，维护成本高。由对称加密算法生成的授权令牌由于加密而不具备任何可读性，不利于服务调试、问题定位、统计等工作，且其认证过程必须先进行解密，而加密、解密过程所必须使用的预设算法和密钥都是固定的，容易被泄露，存在极大的安全隐患。

发明内容

本发明旨在至少解决上述技术问题之一。

为此，本发明第一个目的在于提出一种授权令牌的生成方法，该方法生成的授权令牌安全性高，可扩展性强，认证方便，并能有效降低系统的维护成本，用户体验好。

本发明第二个目的在于提出一种授权令牌的生成装置。

本发明第三个目的在于提出一种授权令牌的认证方法。

本发明第四个目的在于提出一种授权令牌的认证系统。

为实现上述目的，根据本发明第一方面的实施例的授权令牌的生成方法包括以下步骤：将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串；根据授权令牌相关信息串生成签名密钥；根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息；以及根据授权令牌相关信息串和签名信息生成授权令牌字符串。

根据本发明实施例的授权令牌的生成方法，通过授权令牌相关信息串中的一项或几项数据生成签名密钥，再根据签名密钥和预设签名算法生成授权令牌的签名信息，按照签名信息与授权令牌相关信息串生成授权令牌。使用该方法生成的授权令牌即生成即用，安全性高，不需存储空间，并能有效降低系统的维护成本，且授权令牌字符串为明文，可扩展性强，用户体验好。

为实现上述目的，根据本发明第二方面的实施例的授权令牌的生成装置包括：授权令牌相关信息串生成模块，用于将第三方应用的身份标识、令牌生成时间和令牌存活时间进行拼接以生成授权令牌相关信息串；签名密钥生成模块，用于根据授权令牌相关信息串生成签名密钥；签名信息生成模块，用于根据签名密钥和预设签名算法生成授权令牌相关信息串对应的签名信息；以及授权令牌字符串生成模块，用于根据授权令牌相关信息串和签名信息生成授权令牌字符串。

根据本发明实施例的授权令牌的生成装置，通过以授权令牌相关信息串中的一项或几项数据组成签名密钥，再根据预设签名算法生成授权令牌对应的签名信息，然后按照预设的方式与授权令牌相关信息串拼接在一起，生成授权令牌。使用该方法生成的授权令牌安全性高，不占用系统存储空间，可扩展性强，并能有效降低系统的维护成本，用户体验好。