本發明實施例涉及應用程序授權方法、終端及服務器。該方法包括：當終端上的第一應用登錄成功時，終端通過第一應用向第一應用服務器發送用于協商第一應用的令牌綁定標識的第一請求消息。終端從第一應用服務器接收包含令牌綁定標識的生成信息的第一響應消息。終端根據令牌綁定標識的生成信息生成令牌綁定標識，并向第一應用服務器發送該令牌綁定標識。當終端上的至少一個第二應用通過第一應用進行登錄時，終端向第一應用服務器發送用于獲取第一應用服務器的資源訪問權限的第二請求消息，第二請求消息包含令牌綁定標識。本實施例簡化了授權的流程，降低了第一應用服務器的負擔，且能防止終端持有者未經賬號所有人的同意利用其賬號信息登錄第三方應用。

本申請要求于2016年12月22日提交中國國家知識產權局專利局、申請號為201611200468.0、發明名稱為“一種應用程序授權方法和終端”的中國專利申請的優先權，其全部內容通過引用結合在本申請中。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種應用程序授權方法、終端及服務器。

背景技術

隨著通信技術的發展，網絡平臺的數量日益增長。人們在使用不同的網絡平臺之前，通常需要分別進行注冊。第三方應用授權登錄因無需用戶進行注冊即可利用授權平臺的賬號進行登錄并使用第三方應用網絡平臺，同時也使網絡平臺的開發者可以省去自主注冊體系的開發工作，而使用越來越廣泛。第三方授權登錄涉及到開放授權平臺向第三方應用授權的問題。

互聯網工程任務組(Internet Engineering Task Force，IETF)制定的開放標準OAuth協議，允許用戶(Resource Owner)讓第三方應用(Client)訪問該用戶在某一網站上存儲的私密的資源(如昵稱，頭像，照片，視頻，聯系人列表等)，而無需將用戶名和密碼提供給第三方應用。在OAuth協議的流程中，第三方應用向授權服務器請求獲取資源訪問令牌(Access token)，只需提交靜態的第三方應用標識(Client_id)。授權服務器檢查第三方應用標識和用戶的認證信息后即發放授權碼和資源訪問令牌，終端的應用使用資源訪問令牌時無需提交用戶的身份標識，因此，OAuth協議定義的令牌(Token)是非綁定令牌，資源服務器會許可任何持有令牌的實體訪問其資源。這導致了攻擊者截獲令牌后可以進行重放攻擊(Replay Attack)，即截獲令牌后向資源服務器提交令牌并繞過用戶的感知獲取用戶保存于資源服務器的資源。

為了降低重放攻擊的風險，IETF相關的工作組提出了給資源訪問令牌增加一個令牌標識。在使用令牌之前，第三方應用需要與資源服務器協商一個令牌綁定標識(TokenBind IDentifier)。在使用令牌時，需要同時提交令牌綁定標識，以便服務器比對這個標識，判斷提交令牌以獲取資源的實體是否是申請令牌的實體。令牌綁定標識需要在終端與服務器之間建立安全傳輸層協議(Transport Layer Security，TLS)連接時協商，需要升級雙方支持的TLS協議版本才可以實現這個功能。并且需要終端上的每個第三方應用，在與服務器建立連接獲取令牌時都需要協商令牌綁定標識，增加了服務器端的負擔，效率較低。

中國專利CN104125063B公開了一種授權認證方法、設備和系統，通過給授權令牌增加了一個第三方應用內的標識，來替代用戶的賬號。因終端和服務器都要維護這個第三方應用內的標識，同樣的服務器要給終端上每個請求授權的應用分配一個標識(IDentifier，ID)，增加了服務器的負擔，效率較低。