技術領域

本發明涉及互聯網業務領域，尤其涉及一種開放式認證的授權方法、裝置和系統。?

背景技術

在當今的互聯網業務中，用戶的Identity(ID)成為互聯網ID提供商們互相爭奪的寶貴資源。掌握了用戶ID，就掌握了向用戶提供各種服務的條件。所以目前許多服務/資源提供商在保留自身的用戶ID管理系統之外，還積極和ID提供商合作，有著擴大自身的用戶群組，增強影響力，連鎖廣告效應等好處。ID提供商Identity?Provider(IDP)通過向多個合作方提供ID資源來實現對用戶的統一ID的業務體驗，極大的方便了用戶。而對于商家來說，IDP業務能夠為其帶來額外的用戶，用戶能帶來流量以及通過流量帶來的信息流，這樣就可以形成良性循環。ID提供商通過IDP認證中心/服務器平臺為用戶提供服務。然而IDP之間關聯較少，更多的是競爭。為了協調這種競爭造成的資源浪費和對用戶的不良影響，由政府推動的協調性信任框架組織成立。?

從現階段ID領域的發展來看，IDP首先都是有自身的業務作為其吸引和保留用戶的基礎。通過自身的業務能夠對用戶建立起一個檔案。IDP為其他商家提供ID管理和ID相關的數據資源，作為交換其他商家返回用戶相關的業務數據，從而能夠被用來完善用戶的檔案。用戶檔案是IDP所具備的一個基本的因素之一。因為這個檔案的內容包含的有用戶的自身特有的內容，例如用戶自身的隱私信息，用戶生成內容，用戶購買的內容等。如果用戶需要?將自己的數據，資源，或者內容開放給其他的用戶或者應用去使用，就會涉及到授權問題。?

目前授權只能在單一平臺上實現，即單一平臺上需要集成了IDP認證中心/服務器平臺，授權服務器，資源服務器才能夠實現用戶授權。用戶只能通過授權平臺上的第三方應用服務器去訪問資源服務器上自身的數據?；ヂ摼W上典型的授權協議有OAuth1.0，以及正在開發的Oauth2.0，同時還有OpenID+Oauth?Hybrid。其中Oauth1.0已經廣泛的被IDP平臺所運用提供和ID相關的授權服務。?

隨著ID領域的發展，技術的完善以及相關業務的普及，未來的ID領域不可能是一家IDP獨大，而更有可能是不同領域的多家IDP互相競爭共存的形態。在這樣的環境下，開放式ID管理，應用，和交換將成為主流。因此在這樣的環境下的授權也將同樣的成為開放式的松耦合架構。而這種架構，用戶向任意不同域的其他應用或其他用戶授權訪問自己的數據將是互聯網的主要發展的趨勢之一。?

圖1為現有技術方法一中提供的一種授權方通過Auth服務器向被授權方授權的方法流程圖。該授權方授權的方法流程包括如下步驟：?

S101：客戶首先要初始化流程，將資源所有者的用戶代理定向到授權服務器上的授權端點。客戶傳入自己的身份標識、請求范圍(作用域)、本地狀態、以及一個重定向URI(在訪問許可或被拒絕后授權服務器會重新將用戶代理定向到這個URI)。?

S102：授權服務器驗證資源所有者(通過用戶代理)，并確認資源所有者是否允許或者拒絕客戶的訪問請求。?

S103：假設資源所有者授予訪問許可，授權服務器將用戶代理用客戶事先提供的URI重新定向到客戶，并傳回授權碼。?

S104：用戶向授權服務器提出訪問令牌請求。用戶用其信任憑證和獲得的授權碼在授權服務器上進行認證鑒定。?

S105：授權服務器對用戶的信用憑證和授權碼進行鑒定。如果有效，則返?回一個訪問令牌。?

S106：客戶向資源服務器發送訪問令牌和其自身的簽名請求受保護內容。?

S107：資源服務器驗證訪問令牌和簽名的有效性，若驗證通過則返回受保護的內容。?

由于該方法中需要驗證客戶身份的有效性，客戶需要與Auth服務器進行重復的交互。當客戶需要在多個資源服務器上申請授權服務時，這種重復式的交互就會變得低效，冗余，而且上述方法不支持開放式認證和授權。認證作為授權的一部分和授權一對一綁定，因此只能對同一域的資源進行授權。?

圖2為現有技術方法二中實現用戶在多個域上授權數據的方法流程圖，該方法通過建立一個第三方應用平臺來集成用戶數據以實現用戶多個域授權，該方法包括以下步驟：?

S201：用戶(授權方)在客戶平臺上建立個人賬戶?

S202：用戶在平臺上的個人賬戶中設置其在其他域中的賬戶的用戶名和密碼?

S203：平臺根據用戶所提供的賬戶信息依次向對應域的IDP服務器進行身份認證，?

S204：當用戶的認證通過后向OAuth服務器請求用戶數據的授權?