[发明专利]用于撤销对API调用者的授权的方法和装置

说明书

本公开提供了一种在第一装置中的用于撤销针对API调用者的授权的方法。该方法包括：向第二装置发送用于利用API调用者ID、API开放功能(AEF)标识符和至少一个API标识符来撤销针对API调用者的应用程序接口(API)的授权的请求；以及从第二装置接收对该请求的响应；其中，由至少一个API标识符标识的API是授权给API调用者的所有API的一部分。

技术领域

本公开总体上涉及计算机和通信技术领域，尤其涉及用于撤消对应用程序接口(API)调用者的授权的方法和装置。

背景技术

在示例性计算机系统中，访问令牌包含用于登录会话的安全凭证，并识别用户、用户组、用户的权限以及在一些情况下的特定应用(参考维基，https://en.wikipedia.org/wiki/Access_token)。

在开放授权(OAuth)之前，用于向第三方应用授权对你的帐户的访问的常见模式是简单地给它你的密码并允许它充当你的角色。

这种获得用户密码的应用模式带来一些问题。由于应用将需要作为用户登录到服务，因此这些应用通常会以纯文本形式存储用户的密码，从而使他们成为获取密码的目标。一旦应用获得用户的密码，它就可以完全访问该用户的帐户，包括具有诸如更改用户密码之类的访问能力。另一个问题是，在将你的密码给予应用后，你能够撤销该访问的唯一方式是更改你的密码，而用户通常不愿这样做。

Oauth 2.0称为OAuth协议的第2版(也称为框架)。该协议允许第三方应用代表资源所有者或通过允许第三方应用代表其自身获得对超文本传输协议(HTTP)服务的有限访问。

Oauth 2.0具有如RFC 6749中提到的若干种授权方法(例如，授权码许可或隐式许可)。

例如，李先生使用“授权码许可”具有微信/微博帐户，并希望登录第三方网站。他可以授权第三方网站使用微信/微博系统授权的码(这是访问令牌)从微信/微博中获取所需的信息(例如用户的图片、联系人)。

访问令牌由客户端请求，并由授权服务器生成和许可。授权服务器还可以根据不同的授权方法来生成刷新令牌。

客户端也可以按照RFC 7009中的指定撤销访问令牌。客户端需要将先前接收的访问令牌包括在请求中，并且如果成功则授权服务器将撤消该访问令牌。

在通用API框架(CAPIF)中，CAPIF核心功能是“授权服务器”，而API调用者是“客户端”。

图1是示出了现有技术中请求访问令牌的交互过程的示意图。API调用者将访问令牌请求发送给CAPIF核心功能，而CAPIF核心功能响应于该请求而向API调用者发送访问令牌响应。

访问令牌是如IETF RFC 7519中指定的JSON Web令牌(JWT)。CAPIF核心功能返回的访问令牌包括声明，该声明被编码为指定的JSON对象，然后使用IETF RFC 7515中指定的JWS进行数字签名。

该声明包括范围字段，该范围字段包括授权的详细信息，即API开放功能(AEF)是否可以授权不同的API访问。

该范围(针对该范围授权使用access_token)包含AEF标识符及其相关联API名称的列表。

它采用如下格式：aefId1:apiName1,apiName2,…,apiNameX；aefId2:apiName1,apiName2,…,apiNameY；…aefIdN:apiName1,apiName2,…,apiNameZ。

在AEF标识符之后使用分隔符“:”，在API名称之间使用“,”，并且在上一个AEF标识符的最后一个API名称和下一个AEF标识符之间使用“；”。

这里如下提供一个示例：