[发明专利]一种基于OAuth2协议的统一认证授权方法

权利要求书

1.一种基于OAuth2协议的统一认证授权方法，其特征在于，包括以下步骤：

S1：基于Spring安全开源框架集成OAuth2协议，生成授权服务器；

S2：在授权服务器中创建扩展授权模型，并创建各个扩展授权模型对应的资源访问权限标记；然后定义各个扩展授权模型的权限认证服务，并将权限认证服务配置在OAuth2协议的授权配置中；最后创建各个扩展授权模型对应的扩展访问过滤器；

S3：在授权服务器中创建基于角色访问控制的模型；

S4：用户访问系统资源时，授权服务器通过扩展访问过滤器过滤得到对应的扩展授权模型，并根据对应的扩展授权模型进行授权认证；若未过滤得到相应的扩展授权模型，则通过基于角色访问控制的模型进行授权认证；

S5：授权认证通过后，授权服务器允许用户访问对应的系统资源；

扩展授权模型包括开放权限模型、登录即访问模型和客户端授权访问模型，对应的资源访问权限标记包括开放权限标记、登录即访问标记和客户端授权访问标记；在定义向外提供系统资源访问的能力时，通过添加资源访问权限标记的方式定义系统资源的访问权限；

对于开放权限模型：默认通过授权认证；

对于登录即访问模型：存在对应的用户登录信息，即通过授权认证；

对于客户端授权访问模型：1）客户端信息是由资源拥有者分配，且当前访问的系统资源未限定访问范围，则通过授权认证；2）客户端信息合法，且客户端信息中的访问范围和当前访问的系统资源限定的一致，则通过授权认证；3）客户端信息非资源拥有者分配，则授权认证失败；4）当前客户端信息未包含访问的系统资源限定的访问范围，则授权认证失败；5）客户端信息已失效或被资源拥有者禁用或锁定，则授权认证失败。

2.如权利要求1所述的基于OAuth2协议的统一认证授权方法，其特征在于：步骤S1中，生成的授权服务器支持授权码模式、密码模式和客户端模式。

3.如权利要求1所述的基于OAuth2协议的统一认证授权方法，其特征在于：步骤S3中，创建基于角色访问控制的模型时，首先创建角色，并给角色授予系统资源的访问权限；然后给用户分配对应的角色，以使得用户拥有这些角色的访问权限。

4.如权利要求3所述的基于OAuth2协议的统一认证授权方法，其特征在于：步骤S3中，授予角色的系统资源访问权限是指对应的访问地址。

5.如权利要求3所述的基于OAuth2协议的统一认证授权方法，其特征在于：步骤S3中，在授权服务器中，还能够单独给用户授予访问权限；在单独给用户授予访问权限时，指定对应系统资源对于该用户是禁用的，以将对应系统资源的访问权限从该用户拥有的角色中排除，使得对应系统资源针对该用户不可访问。

6.如权利要求3所述的基于OAuth2协议的统一认证授权方法，其特征在于，对于基于角色访问控制的模型：首先满足当前访问为非匿名访问；然后获取用户的授权用户信息，检查用户是否为特殊角色：若为特殊角色，则通过授权认证，否则，执行后续步骤；获取用户通过角色所授权的访问资源列表；最后检索当前访问的系统资源是否在授权的访问资源列表中，若存在，则通过授权认证；否则，授权认证失败。

7.如权利要求1所述的基于OAuth2协议的统一认证授权方法，其特征在于：步骤S4中，进行授权认证之前，授权服务器首先从用户的请求参数或请求授权头中获取用户的令牌信息；然后对令牌信息的进行合法性认证；合法性认证通过后，再对令牌信息的进行有效期认证；有效期认证通过后，将令牌信息转换为授权信息持有到用户的当前访问中，供后续授权认证使用。