[发明专利]用于控制资源访问的方法和装置

说明书

技术领域

本发明的实施例总体上涉及认证与授权的领域，更具体地，涉及用于控制资源访问的方法和装置。

背景技术

针对资源访问的第三方认证和授权是已知的。具体而言，当用户试图使用一个客户端应用访问和使用特定的资源时，可以允许用户不将他/她的个人信息(例如，口令)提供给客户端应用，而是由专门的第三方负责认证和授权。特别地，认证和授权方与资源的提供方可以彼此独立。

作为示例，OAuth是一种已知的支持第三方认证和授权的架构。在OAuth架构下，当用户请求访问特定资源时，由专门的授权服务器通过对用户和客户端应用进行身份认证，来确定是否授权对所请求资源的访问。授权服务器独立于提供资源的资源服务器。如果资源访问被授权，则授权服务器可以向客户端应用提供相应的访问令牌(accesstoken)。客户端应用将访问令牌提供给资源服务器，以指示对资源的访问请求已被授权。资源服务器继而向授权服务器验证访问令牌的有效性，并且在确认访问令牌有效的情况下提供所请求的资源。

然而，在现有的第三方认证和授权方案中，授权服务器对于资源访问的控制粒度不够精细，并且可控制的方面也是有限的。换言之，授权服务器通常只能允许或者拒绝对特定资源的访问，无法对访问过程实现其他控制。这可能导致对资源的不当使用、隐私泄露等各种问题。

而且，在已知的方案中，认证和授权方与资源的提供方之间是紧耦合的。换言之，二者必须严格按照事先确定的协议或规则配合操作，完成对用户身份的认证、客户端应用的认证以及访问令牌的验证。这种紧耦合的机制导致认证和授权的灵活性不足。例如，授权服务器无法针对不同的资源和/或不同的资源所有者而执行具有针对性的认证和授权过程。

综合所述，本领域中需要一种更为有效地控制资源访问的解决方案。

发明内容

为了解决上述以及其他潜在问题，本发明提出了一种用于控制资源访问的技术方案。

在本发明的一个方面，提供一种用于控制资源访问的方法。所述方法包括：响应于针对资源的访问的请求，利用第一设备确定是否授权对所述资源的所述访问，所述资源由独立于所述第一设备的第二设备提供；以及利用关于所述访问的访问约束来定制所述访问令牌，以用于控制对所述资源的所述访问，所述访问令牌响应于确定授权对所述资源的所述访问而被生成。

在本发明的另一方面，提供一种用于控制资源访问的装置。所述装置包括：认证单元，被配置为响应于针对资源的访问的请求，利用第一设备确定是否授权对所述资源的所述访问，所述资源由独立于所述第一设备的第二设备提供；以及令牌定制单元，被配置为利用关于所述访问的访问约束来定制所述访问令牌，以用于控制对所述资源的所述访问，所述访问令牌响应于确定授权对所述资源的所述访问而被生成。

通过下文描述将会理解，根据本发明的实施例，访问令牌不仅可被用来指示允许或者拒绝资源访问请求，而且还可以利用一个或多个访问约束而被定制。如下文所述，这样的访问约束可以基于用户和/或资源的特性等各种因素生成，并且可以被事先或者动态地提供给认证和授权方。以此方式，可以借助于访问令牌而实现对资源访问的更精细粒度和更多维度的控制。而且，在某些实施例中，还可以实现对用户和/或客户端应用的定制认证。这种自适应的定制认证有利于进一步增强认证和授权的灵活性。本发明的其他特征和优点将通过下文描述而变得容易理解。

附图说明

通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显其中：

图1示出了适于用来实现本发明实施例的示例性计算机系统/服务器的示意性框图；

图2示出了本发明的实施例可实现于其中的示例性系统的示意性框图；

图3示出了根据本发明实施例的用于控制资源访问的方法的示意性流程图；

图4示出了根据本发明实施例的用于供用户指定访问要求的用户界面的示意图；

图5示出了根据本发明实施例的用于使用访问令牌的方法的示意性流程图；

图6示出了根据本发明实施例的用于控制资源访问的方法在OAuth架构中的实现的示意图；以及

图7示出了根据本发明实施例的用于控制资源访问的装置的示意性框图。

在附图中，相同或相似的标号被用来表示相同或相似的元素。

具体实施方式