[发明专利]集成同意系统

说明书

一种用于向身份提供者创建账户的系统。该系统接收用以向身份提供者创建用于在登录到第三方系统中使用的身份提供者账户的请求。该系统生成用于提供集成同意用户体验的一个或多个显示页面。集成同意用户体验包括用于收集新账户信息和同意范围信息两者的显示页面，借此用户同意与第三方系统共享信息。在用户提供了包括针对身份提供者账户的用户证书和用以与第三方系统共享身份提供者账户的账户信息的同意的新账户信息之后，该系统针对用户创建身份提供者账户。当用户随后使用针对身份提供者账户的用户证书登录到第三方系统时，第三方系统基于同意范围信息来访问身份提供者账户的账户信息。

背景技术

许多web服务允许或要求用户向它们创建账户。例如，银行的客户被要求向银行创建在线账户以经由它们的网站或它们的应用(“app”)访问他们的银行账户信息。作为另一示例，新闻服务可以允许用户访问它的新闻网站或app而无需创建账户。然而，如果用户想要向新闻网站或app定制体验，则用户可以被允许向该新闻服务创建账户。当账户针对服务提供商而被创建时，用户证书被建立以用于访问该账户。用户证书通常包括用户名和口令。服务提供商可以将用户证书与新账户相关联地存储在账户存储库中。为了访问(例如，登录到)账户，用户随后向网站或应用提供用户证书。服务提供商使用被称为认证的过程来检查账户存储库以确保用户证书与账户相关联。如果是，则用户得到认证并且被允许访问账户。

服务提供商对用户证书的管理可以对服务提供商造成相当大的负担。服务提供商将需要获取(例如，开发或购买)软件系统来管理它的用户证书。软件系统的初始获取成本和持续维护两者都可能是昂贵的。另外，服务提供商将需要采用复杂的安全技术来确保用户证书的安全，这也可能是昂贵的。如果用户的用户证书被偷窃，则偷窃者不仅能够访问用户与服务提供商自己的网站或应用的账户，而且可以能够访问用户与其他服务的账户。访问与其他服务的账户的能力大部分归因于用户倾向于针对不同网站和应用使用相同用户名和口令，因此他们仅需要记住一组证书。

为了帮助减轻对web服务管理用户证书的负担，被称为身份提供者的一些web服务代表被称为第三方系统的其他web服务管理用户证书。为了创建第三方账户，用户将需要利用相关联的用户证书来具有与身份提供者的身份提供者账户。当用户试图创建第三方账户时，第三方系统将用户引导到身份提供者。身份提供者从用户收集用户证书并且检查用户证书是否与身份提供者账户相关联。如果它们是，则身份提供者向第三方系统提供用户已经得到认证的证据(例如，由身份提供者的私钥签发的证书或令牌)。第三方系统然后创建第三方账户并将其与例如被用于访问身份提供者账户的用户名相关联。当用户想要访问他们的第三方账户时，第三方系统将用户引导到身份提供者以用于基于用户证书来对用户认证。当用户得到认证时，身份提供者向第三方系统提供用户已经得到认证的证据。第三方系统然后允许用户访问他们的第三方账户。因为第三方系统不需要存储完整的用户证书，所以第三方系统可以避免管理用户证书的支出和风险。此外，由于身份提供者提供专门化服务，所以其可以能够花费相当大的资源(即，比针对单个服务提供商将可行的多得多)来确保用户证书的安全。

各种在线服务提供商(诸如社交网络和电子邮件提供商)还向其他web服务提供身份服务。例如，电子邮件提供商还可以操作为针对各种电子商务网站的身份提供者。这样的身份提供者可以维持关于他们的用户并且代表他们的用户的相当大量的信息。这一信息可以包括人口统计信息、用户通信、用户提供的数据(例如，照片和文档)、交互历史等等。用户与第三方系统的体验可以在第三方系统具有对身份提供者维持的用户的信息的访问的情况下得到改进。例如，通过访问人口统计信息，新闻服务可以能够呈现可能与用户更相关的新闻故事。作为示例，用户的年龄的知识可以在决定如何将关于退休的文章定位在显示页面(例如，网页)中有用。