[发明专利]一种更新权限的方法及装置

说明书

本发明实施例中，提出一种更新权限的方法和装置：业务服务器更新登录终端的标识ID的权限令牌，登录所述终端的任意两个不同的ID对应的权限令牌不同；所述业务服务器将更新后的权限令牌发送至认证服务器，在该方案中，业务服务器更新权限令牌，发送至认证服务器，终端能否访问业务服务器的权限是由业务服务器自己来控制的，不是认证服务器来控制的，避免终端根据一个权限令牌可以访问多个业务服务器的缺陷，因此，提高了安全性。

技术领域

本发明涉及安全技术领域，尤其涉及一种更新权限的方法及装置。

背景技术

权限认证是系统安全中最重要的问题，只有在进行安全可靠的权限认证的基础上，各种安全产品才能最有效地发挥安全防护作用；也只有完成了权限认证，网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。

目前，权限认证主要采用单点登录的方式来实现，例如，当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；认证系统根据用户提供的登录信息进行身份校验，如果身份校验成功，返回给用户一个认证的凭据－ticket；用户再访问其他应用系统的时候，就会将这个ticket带上，作为自己认证的凭据，其他应用系统接收到请求之后会把ticket发送到认证系统进行身份校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问其他应用系统了。

上述方法可以实现权限的认证，但是，由于用户获得认证系统的ticket后，可以访问所有应用系统，安全性较低。

发明内容

鉴于上述问题，提出了本发明，以便提供一种克服上述问题或者至少部分地解决上述问题的一种更新权限的方法和装置。

依据本发明的第一方面，提供了一种更新权限的方法，包括：

业务服务器更新登录终端的标识ID的权限令牌，登录所述终端的任意两个不同的ID对应的权限令牌不同；

所述业务服务器将更新后的权限令牌发送至认证服务器。

在一个实施方式中，根据本发明的上述实施方式所述的方法，所述业务服务器更新登录终端的标识ID的权限令牌之前，所述方法还包括：

所述业务服务器接收所述认证服务器发送的验证请求；

所述业务服务器根据所述验证请求查询所述ID与所述业务服务器对应的权限；

所述业务服务器根据查询到的权限结果生成所述权限令牌；

所述业务服务器将所述权限令牌发送至所述认证服务器。

依据本发明的第二方面，提供了一种更新权限的方法，包括：

认证服务器接收业务服务器发送的更新后的登录终端的标识ID的权限令牌，登录所述终端的任意两个不同的ID对应的权限令牌不同；

所述认证服务器向轻量目录访问协议LDAP服务器发送查询请求，所述查询请求用于查询所述ID是否为有效ID；

所述认证服务器接收到所述LDAP服务器发送的确定所述ID为有效ID的查询响应消息时，将接收到的更新后的权限令牌发送至所述终端。

在一个实施方式中，根据本发明的上述实施方式所述的方法，所述认证服务器接收业务服务器发送的更新后的登录终端的标识ID的权限令牌之前，所述方法还包括：

所述认证服务器向所述业务服务器发送验证请求，所述验证请求用于验证采用所述ID登录的终端是否具有访问所述业务服务器的应用的权限；

所述认证服务器接收所述业务服务器根据所述验证请求返回的所述权限令牌。

在一些实施方式中，根据本发明的上述任一实施方式所述的方法，所述认证服务器向所述业务服务器发送验证请求之前，所述方法还包括：