技術領域

本發明涉及互聯網應用中信息處理領域，尤其涉及一種授權方法、系統及第三方應用系統。

背景技術

Oauth稱為開放授權，是一個為用戶資源的授權提供安全的、開放而簡易的標準，允許任何第三方應用調用開放平臺或網站的應用入侵防護系統(AIP，Application Intrusion Prevention)接口，任何第三方應用都可以使用Oauth認證服務，任何服務提供商都可以實現自身的Oauth認證服務，因而Oauth是開放的。不管是Oauth服務提供者還是應用開發者，都很容易于理解與使用，沒有涉及到用戶密鑰等信息，更安全、更靈活，任何服務提供商都可以實現Oauth，任何開發商都可以使用Oauth。

Oauth的授權過程分為以下三個步驟：獲取未授權的請求令牌(Request Token)，獲取用戶授權Request Token，使用授權后的Request Token換取接入令牌(Access Token)；具體包括：

第1步，第三方應用向Oauth開放平臺請求未授權的Request Token；

第2步，Oauth開放平臺同意第三方應用的請求，并向第三方應用頒發未授權的oauth_token與對應的oauth_token_secret；

第3步，第三方應用向Oauth開放平臺請求用戶授權的Request Token；

這里，用戶授權的Request Token與未授權的Request Token的值相同，只是狀態不同；

第4步，Oauth開放平臺將引導用戶進行授權；

第5步，Request Token授權后，第三方應用將向Access Token URL發起請求，將上一步驟中授權的Request Token換取成Access Token；

第6步，Oauth開放平臺同意第三方應用的請求，并向第三方應用頒發Access Token與對應的密鑰，并返回給第三方應用。

第三方應用以后就可以使用返回的Access Token訪問用戶授權的資源。

上述過程中，在授權過程的第4步中，Oauth開放平臺產生驗證碼，用戶進行驗證碼的驗證，因此，在瀏覽器網頁中用戶可以自動獲取驗證碼并進行驗證，但是第三方應用無法自動獲取驗證碼，必須用戶手動輸入驗證碼后，第三方應用才能完成授權，驗證和授權過程比較繁瑣，給用戶帶來不良的用戶體驗。

發明內容

有鑒于此，本發明的主要目的在于提供一種授權方法、系統及第三方應用系統，使第三方應用能夠自動獲取驗證碼，并利用驗證碼自動完成驗證過程。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明提供一種授權方法，包括：

第三方應用獲取狀態為未授權的請求令牌后，向開放平臺發送授權請求；

開放平臺生成驗證碼，并將狀態更新為授權的所述請求令牌和所述驗證碼返回給瀏覽器網頁；

第三方應用利用所述請求令牌從開放平臺獲取驗證碼，并利用所述驗證碼和所述請求令牌從開放平臺換取接入令牌。

上述方法中，所述第三方應用獲取狀態為未授權的請求令牌為：

第三方應用向開放平臺發送請求消息，請求從開放平臺獲取請求令牌；

開放平臺記錄請求令牌的當前狀態為未授權，并返回狀態為未授權的請求令牌給第三方應用。

上述方法中，所述開放平臺生成驗證碼，并將狀態更新為授權的請求令牌和所述驗證碼返回給瀏覽器網頁為：

開放平臺將之前記錄的請求令牌的狀態由未授權更新為授權，并隨機生成驗證碼，在內存中記錄所述驗證碼的有效期、以及請求令牌與驗證碼的對應關系；

開放平臺將狀態更新為授權的請求令牌和驗證碼返回給瀏覽器網頁；

開放平臺在內存中記錄所述驗證碼的當前狀態為查詢有效。

上述方法中，所述第三方應用利用所述請求令牌從開放平臺獲取驗證碼為：

第三方應用利用請求令牌向開放平臺查詢驗證碼；

開放平臺確認當前驗證碼狀態為查詢有效時，返回驗證碼給第三方應用。

上述方法中，所述第三方應用利用所述請求令牌向開放平臺查詢驗證碼為：

第三方應用向開放平臺發送查詢請求消息，請求利用狀態更新為授權的請求令牌向開放平臺查詢驗證碼；

所述查詢請求消息中攜帶狀態更新為授權的請求令牌。

上述方法中，所述開放平臺確認當前驗證碼狀態為查詢有效時，返回驗證碼給第三方應用為：