客戶端通過應用編程接口(API)向服務器發送用戶標識符和密碼。客戶端與服務器建立經認證的會話，其中客戶端具有用于與API相關聯的操作的第一組許可。響應于服務器對用戶標識符和密碼的驗證，客戶端接收登錄響應和共享秘密。客戶端基于共享秘密生成一次性密碼(OTP)。客戶端通過API將OTP發送到服務器。響應于服務器對照共享秘密驗證OTP，服務器授予與API相關聯的操作的第二組許可。

技術領域

本發明一般涉及用于兩步認證的方法、系統和計算機程序產品。更具體地說，本發明涉及用于經由應用編程接口從一步認證自動升級到兩步認證的方法、系統和計算機程序產品。

背景技術

需要為應用提供適當的安全認證。當前，網絡應用安全性正在從用戶提供用戶標識符(ID)和密碼以便向網絡服務或應用進行認證的標準過程增強到進一步要求兩步認證過程。除了要求用戶提供第一認證因素，諸如用戶ID和密碼之外，兩步認證還要求用戶提供第二認證因素以便完成認證過程。通常，第二認證因素是用戶已知的、不太可能被未授權用戶知道的信息，諸如用戶已知的秘密或安全令牌。

因此，在本領域中需要解決上述問題。

發明內容

從第一方面來看，本發明提供了一種用于兩步認證的方法，該方法包括：由客戶端經由應用編程接口(API)向服務器發送用戶標識符和密碼；與所述服務器建立經認證的會話，所述客戶端具有與所述API相關聯的操作的第一組許可；響應于所述服務器對所述用戶標識符和密碼的驗證，接收登錄響應和共享秘密；由所述客戶端基于所述共享秘密生成一次性密碼(OTP)；經由所述 API將所述OTP發送到所述服務器；以及響應于服務器對照共享秘密驗證 OTP，授予與API相關聯的操作的第二組許可。

從另一方面來看，本發明提供了一種用于兩步認證的計算機程序產品，該計算機程序產品包括計算機可讀存儲介質，該計算機可讀存儲介質可由處理電路讀取并且存儲用于由處理電路執行以執行用于執行本發明的步驟的方法的指令。

從另一方面來看，本發明提供了一種存儲在計算機可讀介質上并且可加載到數字計算機的內部存儲器中的計算機程序，包括軟件代碼部分，當所述程序在計算機上運行時，用于執行本發明的步驟。

從另一方面來看，本發明提供了一種計算機系統，其包括一個或多個處理器、一個或多個計算機可讀存儲器、一個或多個計算機可讀存儲設備、以及存儲在所述一個或多個存儲設備中的至少一個上的程序指令，所述程序指令用于由所述一個或多個處理器中的至少一個經由所述一個或多個存儲器中的至少一個來執行，所存儲的程序指令包括：用于由客戶端經由應用編程接口(API)向服務器發送用戶標識符和密碼的程序指令；用于與所述服務器建立經認證的會話的程序指令，所述客戶端具有用于與所述API相關聯的操作的第一組許可；用于響應于所述服務器對所述用戶標識符和密碼的驗證，接收登錄響應和共享秘密的程序指令；用于由所述客戶端基于所述共享秘密生成一次性密碼(OTP)的程序指令；用于經由所述API將所述OTP發送到所述服務器的程序指令；以及用于響應于服務器對照共享秘密驗證OTP而授予與 API相關聯的操作的第二組許可的程序指令。

說明性實施例提供了一種方法、系統和計算機程序產品。一種方法的實施例包括由客戶端經由應用編程接口(API)向服務器發送用戶標識符和密碼。該實施例還包括與服務器建立經認證的會話，其中客戶端具有用于與API相關聯的操作的第一組許可。該實施例還包括響應于服務器對用戶標識符和密碼的驗證，接收登錄響應和共享秘密。該實施例還包括由客戶端基于共享秘密生成一次性密碼(OTP)。該實施例還包括經由API將OTP發送到服務器。該實施例還進一步包括響應于服務器對照共享秘密驗證OTP，授予與API相關聯的操作的第二組許可。

實施例還包括由客戶端設備從用戶接收用戶標識符和密碼。在實施例中，登錄響應和共享秘密的接收響應于確定與用戶標識符相關聯的用戶被指定用于從一個因素認證升級到兩個因素認證。