[发明专利]包括与web应用一起使用的身份联合和令牌转化模块的设备及方法

说明书

用于可操作地参与web应用或互联网信息服务(IIS)的身份联合和安全令牌转化模块及方法。第一服务器包括定义该身份联合和安全令牌转化模块的计算机可执行指令，用于管理和促进用于用户请求访问web应用的自定义安全主体对象的创建。数据高速缓存将自定义安全主体对象存储在非暂时性计算机可读介质中。可以改变身份联合和安全令牌转化模块而不对web应用或IIS做出改变。

相关申请的交叉引用

本申请要求2015年7月14日提交的美国专利申请号14/798,617的优先权，其内容通过引用全部合并于此。

技术领域

本公开一般涉及可操作地参与网络(web)应用或互联网信息服务(IIS)的身份联合和安全令牌转化模块。更具体地，该模块用于管理和促进为用户请求访问web应用创建安全主体对象。

背景技术

该章节提供与本公开有关、不一定是现有技术的背景信息。

身份联合历来使用web服务代理服务器而不是直接从web应用实现。Web服务代理服务器使用多种机制来获得关于web应用的用户的详细配置文件和细粒度访问(FGA)信息。该多种机制包括具有用户标识和web服务或数据库的标头。这需要web应用开发商熟悉且适应多种供应商特定安全令牌，从而使开发商无法专注于web应用的主要用途或业务功能。图1示出示例现有技术的系统，其中处于由内容交付服务提供商提供的边缘网络中的认证代理服务器2通过通信路径4从浏览器3的用户接收访问请求。认证代理服务器2然后通过通信路径6在HTTP标头中向每个合适的应用服务器5发送用户标识或供应商特定令牌。这需要每个应用开发商对每个消费web应用提供正确的安全访问代码和程序。Web应用还需要有人保持持续了解web安全访问改变并且更新每个web应用来适应这样的改变。图1的系统还导致HTTP标头令牌太大且难以处理。

附图说明

本文描述的图仅仅是为了说明所选实施例的目的而不是所有可能实现，并且不意在限制本公开的范围。

图1是现有技术的系统的图；

图2是包括示例模块的系统的图；

图3是示例方法的一部分的逻辑流；

图4是可以添加到图3的逻辑流的可能额外逻辑流；

图5是可以添加到图3的逻辑流的另外的可能额外逻辑步骤；以及

图6是可以添加到图3的逻辑流的再另一个可能额外逻辑流。

在附图的若干视图中对应附图标记指示对应部件。

具体实施方式

现在将参考附图更充分描述示范性实施例。本文所包括的描述和特定示例只意在说明目的而不意在限制本公开的范围。

多种安全特征根据例如要部署应用所处的平台和/或环境集成到不同应用。这样的安全特征通常需要应用的开发商熟悉足以将这样的特征集成到应用内的不同的可用和/或所需安全特征。本文描述的模块在某些实施例中提供直接从web应用或IIS提供身份联合和安全令牌转化的方式。采用该方式，开发商解除了了解某些访问安全的知识的负担并且进一步在应用中包含这样的安全的负担减轻。应用进一步可以依赖于模块由于为安全而的集成，由此可以经由模块做出安全改变，而不需要对web应用或IIS的任何代码改变。

图2示出对于可操作地参与服务器12(其包含web应用13和/或互联网信息服务(IIS))的示例身份联合和安全令牌转化模块10。服务器12可以代表web应用或IIS服务器，其中模块10被插入web应用或IIS的代码。示例模块10的优势之一是它可以被插入、移除、改变、更新等，而不需要对web应用或IIS的任何改变。