本發明公開了一種基于xAuth協議的授權方法、裝置和系統，屬于計算機技術領域。所述方法包括：接收第三方應用客戶端發送的授權請求，所述授權請求攜帶有終端用戶在所述服務提供方中注冊的賬號和密碼；檢測所述賬號和密碼是否安全；若檢測結果為所述賬號和密碼安全，則生成訪問令牌；向所述第三方應用客戶端發送攜帶有所述訪問令牌的授權響應。本發明解決了背景技術中涉及的基于xAuth協議的授權過程存在安全隱患，終端用戶的賬號和密碼很容易發生泄漏或者被非法盜取的問題；本發明實施例在確保賬號和密碼的安全性之后才向第三方應用反饋訪問令牌，排除了賬號和密碼的安全性威脅，使得整個授權過程更加安全、可靠。

技術領域

本發明實施例涉及計算機技術領域，特別涉及一種基于xAuth協議的授權方法、裝置和系統。

背景技術

oAuth1.0協議是一個開放授權協議，允許第三方應用訪問服務提供方中注冊的終端用戶的某些資源，且不會把終端用戶的賬號和密碼提供給第三方應用。基于oAuth1.0協議的授權方法可分為三步：第一，第三方應用從服務提供方處獲取未授權的請求令牌；第二，在服務提供方的引導下，第三方應用由未授權的請求令牌換取經終端用戶授權的請求令牌；第三，第三方應用使用經終端用戶授權的請求令牌從服務提供方處換取訪問令牌，之后第三方應用便可通過訪問令牌訪問終端用戶存放于服務提供方處的某些資源。可以看出，整個授權過程第三方應用并未接觸到終端用戶在服務提供方中注冊的賬號和密碼，因此可以認為是一個安全的授權過程。

為了簡化授權過程，在oAuth1.0協議的基礎上出現了xAuth協議。基于xAuth協議的授權過程省去了第三方應用從服務提供方處獲取未授權的請求令牌以及在服務提供方的引導下，第三方應用由未授權的請求令牌換取經終端用戶授權的請求令牌的步驟，第三方應用直接通過終端用戶在服務提供方中注冊的賬號和密碼從服務提供方處換取訪問令牌，之后第三方應用便可通過訪問令牌訪問終端用戶存放于服務提供方處的某些資源。在一個具體的例子中，假設第三方應用能夠提供打印服務，終端用戶使用第三方應用打印存放于服務提供方中的圖片、文檔之類的資源，則第三方應用引導用戶輸入在服務提供方中注冊的賬號和密碼，終端用戶輸入賬號和密碼之后，第三方應用即可通過用戶輸入的賬號和密碼從服務提供方處換取訪問令牌，然后通過訪問令牌訪問終端用戶存放于服務提供方處的圖片、文檔等資源，進而實現下載和打印。

在實現本發明實施例的過程中，發明人發現背景技術至少存在以下問題：雖然xAuth協議簡化了整個授權過程，但第三方應用可以直接接觸到終端用戶在服務提供方中注冊的賬號和密碼，如果第三方應用存在安全漏洞或者第三方應用本身即為非法惡意軟件，那么終端用戶的賬號和密碼很容易發生泄漏或者被非法盜取，存在安全隱患。

發明內容

為了解決背景技術中涉及的基于xAuth協議的授權過程存在安全隱患，終端用戶的賬號和密碼很容易發生泄漏或者被非法盜取的問題，本發明實施例提供了一種基于xAuth協議的授權方法、裝置和系統。所述技術方案如下：

第一方面，提供了一種基于xAuth協議的授權方法，用于服務提供方所對應的授權服務器中，所述方法包括：

接收第三方應用客戶端發送的授權請求，所述授權請求攜帶有終端用戶在所述服務提供方中注冊的賬號和密碼；

檢測所述賬號和密碼是否安全；

若檢測結果為所述賬號和密碼安全，則生成訪問令牌；

向所述第三方應用客戶端發送攜帶有所述訪問令牌的授權響應。

第二方面，提供了一種基于xAuth協議的授權方法，用于第三方應用客戶端中，所述方法包括：

向服務提供方所對應的授權服務器發送授權請求，所述授權請求攜帶有終端用戶在所述服務提供方中注冊的賬號和密碼；