技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種授權(quán)令牌的生成方法、生成裝置、認(rèn)證方法和認(rèn)證系統(tǒng)。

背景技術(shù)

隨著開放平臺和云計算技術(shù)的不斷發(fā)展，越來越多的互聯(lián)網(wǎng)服務(wù)提供商（如Facebook、谷歌Google、百度、騰訊、淘寶、新浪微博等）提供自己的開放平臺，并通過開放平臺對外提供Open?API（Open?Application?Programming?Interface，開放的應(yīng)用編程接口），通過Open?API可向第三方應(yīng)用開放服務(wù)或數(shù)據(jù)。

為了保證對外Open?API的安全性，防止平臺的服務(wù)或數(shù)據(jù)被未授權(quán)的第三方應(yīng)用所使用，以及防止第三方應(yīng)用使用尚未經(jīng)過平臺或用戶授權(quán)的服務(wù)或數(shù)據(jù)，大多數(shù)互聯(lián)網(wǎng)服務(wù)提供商提供的平臺都要求第三方應(yīng)用必須先通過與平臺的授權(quán)服務(wù)進(jìn)行交互，以獲取平臺或用戶對某類服務(wù)或數(shù)據(jù)的訪問權(quán)限的授權(quán)，以及與之對應(yīng)的授權(quán)令牌，然后在訪問任何Open?API時出示該授權(quán)令牌，以便Open?API的服務(wù)端獲取當(dāng)前調(diào)用者的應(yīng)用身份（即是哪個第三方應(yīng)用想要調(diào)用當(dāng)前的Open?API）和可能的用戶身份（即當(dāng)前第三方應(yīng)用希望訪問哪個用戶的數(shù)據(jù)），以及第三方應(yīng)用是否已經(jīng)擁有相應(yīng)的服務(wù)或數(shù)據(jù)訪問權(quán)限等信息。

其中，授權(quán)令牌如何生成、如何認(rèn)證以及如何保存是Open?API安全保障機(jī)制中的重要一環(huán)。目前，授權(quán)令牌的生成和認(rèn)證方法主要有兩種：一種是通過隨機(jī)算法生成一個全局唯一的標(biāo)識串作為授權(quán)令牌，并將授權(quán)令牌與授權(quán)令牌相關(guān)信息一一對應(yīng)地存入數(shù)據(jù)庫，每次認(rèn)證時進(jìn)行查詢驗證；另一種是通過對稱加密算法對授權(quán)令牌相關(guān)信息進(jìn)行加密，并將得到的加密串作為授權(quán)令牌，認(rèn)證時通過解密獲得授權(quán)令牌相關(guān)信息并進(jìn)行校驗。

在實現(xiàn)本發(fā)明過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題：由隨機(jī)算法生成的授權(quán)令牌沒有加密功能，容易被仿造或篡改；每次認(rèn)證都至少有一次網(wǎng)絡(luò)查詢的時間開銷，易出現(xiàn)安全漏洞，安全性低；且授權(quán)令牌本身占用數(shù)據(jù)庫大量的存儲空間，不利于管理，維護(hù)成本高。由對稱加密算法生成的授權(quán)令牌由于加密而不具備任何可讀性，不利于服務(wù)調(diào)試、問題定位、統(tǒng)計等工作，且其認(rèn)證過程必須先進(jìn)行解密，而加密、解密過程所必須使用的預(yù)設(shè)算法和密鑰都是固定的，容易被泄露，存在極大的安全隱患。

發(fā)明內(nèi)容

本發(fā)明旨在至少解決上述技術(shù)問題之一。

為此，本發(fā)明第一個目的在于提出一種授權(quán)令牌的生成方法，該方法生成的授權(quán)令牌安全性高，可擴(kuò)展性強(qiáng)，認(rèn)證方便，并能有效降低系統(tǒng)的維護(hù)成本，用戶體驗好。

本發(fā)明第二個目的在于提出一種授權(quán)令牌的生成裝置。

本發(fā)明第三個目的在于提出一種授權(quán)令牌的認(rèn)證方法。

本發(fā)明第四個目的在于提出一種授權(quán)令牌的認(rèn)證系統(tǒng)。

為實現(xiàn)上述目的，根據(jù)本發(fā)明第一方面的實施例的授權(quán)令牌的生成方法包括以下步驟：將第三方應(yīng)用的身份標(biāo)識、令牌生成時間和令牌存活時間進(jìn)行拼接以生成授權(quán)令牌相關(guān)信息串；根據(jù)授權(quán)令牌相關(guān)信息串生成簽名密鑰；根據(jù)簽名密鑰和預(yù)設(shè)簽名算法生成授權(quán)令牌相關(guān)信息串對應(yīng)的簽名信息；以及根據(jù)授權(quán)令牌相關(guān)信息串和簽名信息生成授權(quán)令牌字符串。

根據(jù)本發(fā)明實施例的授權(quán)令牌的生成方法，通過授權(quán)令牌相關(guān)信息串中的一項或幾項數(shù)據(jù)生成簽名密鑰，再根據(jù)簽名密鑰和預(yù)設(shè)簽名算法生成授權(quán)令牌的簽名信息，按照簽名信息與授權(quán)令牌相關(guān)信息串生成授權(quán)令牌。使用該方法生成的授權(quán)令牌即生成即用，安全性高，不需存儲空間，并能有效降低系統(tǒng)的維護(hù)成本，且授權(quán)令牌字符串為明文，可擴(kuò)展性強(qiáng)，用戶體驗好。

為實現(xiàn)上述目的，根據(jù)本發(fā)明第二方面的實施例的授權(quán)令牌的生成裝置包括：授權(quán)令牌相關(guān)信息串生成模塊，用于將第三方應(yīng)用的身份標(biāo)識、令牌生成時間和令牌存活時間進(jìn)行拼接以生成授權(quán)令牌相關(guān)信息串；簽名密鑰生成模塊，用于根據(jù)授權(quán)令牌相關(guān)信息串生成簽名密鑰；簽名信息生成模塊，用于根據(jù)簽名密鑰和預(yù)設(shè)簽名算法生成授權(quán)令牌相關(guān)信息串對應(yīng)的簽名信息；以及授權(quán)令牌字符串生成模塊，用于根據(jù)授權(quán)令牌相關(guān)信息串和簽名信息生成授權(quán)令牌字符串。

根據(jù)本發(fā)明實施例的授權(quán)令牌的生成裝置，通過以授權(quán)令牌相關(guān)信息串中的一項或幾項數(shù)據(jù)組成簽名密鑰，再根據(jù)預(yù)設(shè)簽名算法生成授權(quán)令牌對應(yīng)的簽名信息，然后按照預(yù)設(shè)的方式與授權(quán)令牌相關(guān)信息串拼接在一起，生成授權(quán)令牌。使用該方法生成的授權(quán)令牌安全性高，不占用系統(tǒng)存儲空間，可擴(kuò)展性強(qiáng)，并能有效降低系統(tǒng)的維護(hù)成本，用戶體驗好。