[發明專利]對第三方應用進行鑒權的方法及系統有效
| 申請號: | 201310706124.7 | 申請日: | 2013-12-19 |
| 公開(公告)號: | CN104734849B | 公開(公告)日: | 2018-09-18 |
| 發明(設計)人: | 涂靖;王雄;顧風勝 | 申請(專利權)人: | 阿里巴巴集團控股有限公司 |
| 主分類號: | H04L9/32 | 分類號: | H04L9/32;H04L29/08;H04L29/06 |
| 代理公司: | 北京潤澤恒知識產權代理有限公司 11319 | 代理人: | 蘇培華 |
| 地址: | 英屬開曼群島大開*** | 國省代碼: | 開曼群島;KY |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 第三 應用 進行 方法 系統 | ||
1.一種對第三方應用進行鑒權的方法,所述第三方應用基于瀏覽器/服務器架構實現,其特征在于,所述第三方應用的頁面中嵌入有預置的軟件開發工具包SDK,所述方法包括:
在對第三方應用進行授權、創建會話并向第三方應用頒發訪問令牌之后,將所述訪問令牌置為在線狀態,并配置在線狀態的有效時間;
在所述有效時間內監聽該第三方應用所在瀏覽器發送的心跳包,如果監聽到所述心跳包,則根據所述心跳包中攜帶的cookie信息以及心跳包的編號,對該心跳包的合法性進行判斷,如果所述心跳包合法,則將所述在線狀態的有效時間進行一次延長;其中,所述心跳包為在所述第三方應用獲得用戶授權,且第三方應用的頁面被打開的狀態下,由所述SDK驅動瀏覽器每隔預置時間發送的,所述心跳包中攜帶有預置域名下的cookie信息;
接收到第三方應用發送的攜帶有訪問令牌的應用程序編程接口API調用請求時,通過判斷所述訪問令牌當前是否處于在線狀態,確定用戶是否正在使用所述第三方應用,并根據判斷結果響應所述API調用請求。
2.根據權利要求1所述的方法,其特征在于,在對第三方應用進行授權、創建會話并向第三方應用提供了訪問令牌之后,還包括:
向所述第三方應用頁面所在瀏覽器發送會話標識,所述會話標識中攜帶有用戶標識信息以及瀏覽器標識信息,以便所述瀏覽器生成cookie信息。
3.根據權利要求1所述的方法,其特征在于,所述根據所述心跳包中攜帶的cookie信息對該心跳包的合法性進行判斷,包括:
根據所述心跳包攜帶的cookie信息,判斷當前第三方應用對應會話的心跳狀態是否存在起點,以及該會話對應的各個心跳包是否連續,如果是,則判定該心跳包合法。
4.根據權利要求3所述的方法,其特征在于,瀏覽器發送的各個心跳包根據發送的先后進行順序編號,所述根據所述心跳包攜帶的cookie信息,判斷當前第三方應用對應會話的心跳狀態是否存在起點,以及該會話對應的各個心跳包是否連續,包括:
根據所述心跳包攜帶的cookie信息,確定已經接收到的關于當前會話的各個心跳包;
根據已經接收到的各個心跳包的編號,判斷是否存在心跳狀態的起點,并根據當前接收到的心跳包的編號以及已經接收到的各個心跳包的編號,判斷當前接收到的心跳包與已經接收到各個心跳包是否連續。
5.根據權利要求1所述的方法,其特征在于,還包括:
為訪問令牌配置的有效時間的長度以及每次延長的有效時間長度,與心跳包的發送間隔時間長度相等,或者略大于心跳包的發送間隔時間長度。
6.根據權利要求1至5任一項所述的方法,其特征在于,還包括:
在判斷出心跳包合法后,重新向第三方應用提供信息的訪問令牌,以便第三方應用的服務器在下一心跳周期內利用新的訪問令牌發送API調用請求。
7.根據權利要求1至5任一項所述的方法,其特征在于,還包括:
如果在有效時間內未監測到心跳包,或者判斷出監測到心跳包不合法,則將所述訪問令牌置為離線狀態。
8.根據權利要求7所述的方法,其特征在于,還包括:
接收到第三方應用的服務器發送的API調用請求后,如果所述API調用請求中攜帶的訪問令牌處于離線狀態,且所述API調用請求為訪問令牌處于在線狀態時才能響應,則返回出錯提示信息。
9.根據權利要求1至5任一項所述的方法,其特征在于,所述SDK還用于接收到第三方應用的發送心跳包的請求時,則驅動瀏覽器發送心跳包。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于阿里巴巴集團控股有限公司,未經阿里巴巴集團控股有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310706124.7/1.html,轉載請聲明來源鉆瓜專利網。
