[发明专利]基于xAuth协议的授权方法、装置和系统

权利要求书

1.一种基于xAuth协议的授权方法，其特征在于，用于服务提供方所对应的授权服务器中，所述方法包括：

接收第三方应用客户端发送的授权请求，所述授权请求携带有终端用户在所述服务提供方中注册的账号和密码；

检测所述账号和密码是否满足预定条件，所述预定条件包括所述账号的请求频率低于第一阈值、所述第三方应用的请求频率低于第二阈值、所述第三方应用客户端的IP地址的请求频率低于第三阈值、所述账号不存在异常中的至少一种；

若检测结果为所述账号和密码满足所述预定条件，则生成访问令牌；

向所述第三方应用客户端发送携带有所述访问令牌的授权响应。

2.根据权利要求1所述的方法，其特征在于，所述检测所述账号和密码是否满足预定条件之后，还包括：

若检测结果为所述账号和密码不满足所述预定条件，则：

当所述账号的请求频率高于所述第一阈值时，对所述账号进行第一预设时长的封号处理；

当所述第三方应用的请求频率高于所述第二阈值时，对所述第三方应用进行第二预设时长的封杀处理；

当所述第三方应用客户端的IP地址的请求频率高于所述第三阈值时，对所述第三方应用客户端的IP地址进行第三预设时长的封杀处理；

当所述账号存在异常时，对所述账号进行安全保护。

3.根据权利要求1或2所述的方法，其特征在于，所述接收第三方应用客户端发送的授权请求之后，还包括：

当所述授权请求还包括签名数据时，从所述授权请求中提取所述签名数据，所述签名数据是在所述第三方应用客户端以所述第三方应用对应的应用标识为密钥，对经URL编码后的请求串进行加密签名后得到的，所述请求串包括所述账号和密码；

通过所述签名数据验证所述第三方应用的身份是否合格；

若验证所述第三方应用的身份合格，则执行所述检测所述账号和密码是否满足预定条件的步骤。

4.一种基于xAuth协议的授权方法，其特征在于，用于第三方应用客户端中，所述方法包括：

向服务提供方所对应的授权服务器发送授权请求，所述授权请求携带有终端用户在所述服务提供方中注册的账号和密码；

接收所述授权服务器发送的携带有访问令牌的授权响应，所述访问令牌是在所述授权服务器检测所述账号和密码是否满足预定条件，且检测结果为所述账号和密码满足所述预定条件之后生成的；

其中，所述预定条件包括所述账号的请求频率低于第一阈值、所述第三方应用的请求频率低于第二阈值、所述第三方应用客户端的IP地址的请求频率低于第三阈值、所述账号不存在异常中的至少一种。

5.根据权利要求4所述的方法，其特征在于，所述向服务提供方所对应的授权服务器发送授权请求之前，还包括：

生成请求串，所述请求串包括所述账号和密码；

将所述请求串与记录有用于获取所述访问令牌的服务地址的统一资源定位符URL进行连接，并对所述请求串进行URL编码；

以所述第三方应用对应的应用标识为密钥，对经URL编码后的请求串进行加密签名得到签名数据；

生成所述授权请求，所述授权请求包括所述请求串和所述签名数据。

6.根据权利要求4或5所述的方法，其特征在于，所述接收所述授权服务器发送的携带有访问令牌的授权响应之后，还包括：

从所述授权响应中提取所述访问令牌；

通过所述访问令牌访问所述终端用户存放于所述服务提供方处的资源。