本發(fā)明公開了用戶授權(quán)協(xié)議改造及單點登錄實現(xiàn)范疇技術(shù)領(lǐng)域的一種安全的OAuth代理與可信域混合的授權(quán)方法，包括代理授權(quán)方法和可信域驗證方法，安全的代理授權(quán)模式：基于代理授權(quán)服務(wù)對接第三方OAuth授權(quán)系統(tǒng)，業(yè)務(wù)系統(tǒng)再對接代理授權(quán)服務(wù)的模式，完成第三方資源服務(wù)訪問令牌的獲取，并采用非對稱加密的方式對訪問令牌進(jìn)行加密，最后將加密后信息回傳至業(yè)務(wù)系統(tǒng)中；可信域驗證：基于業(yè)務(wù)系統(tǒng)注冊時記錄的URI，比對HTTP協(xié)議請求攜帶的參數(shù)，進(jìn)行判斷，驗證通過則返回相應(yīng)安全級別下的用戶信息；混合驗證實現(xiàn)單點登錄：通過OAuth的代理授權(quán)以及可信域驗證，從而實現(xiàn)用戶的單點登錄。

技術(shù)領(lǐng)域

本發(fā)明涉及用戶授權(quán)協(xié)議改造及單點登錄實現(xiàn)范疇技術(shù)領(lǐng)域，具體為一種安全的OAuth代理與可信域混合的授權(quán)方法。

背景技術(shù)

OAuth是標(biāo)準(zhǔn)的授權(quán)協(xié)議【RFC 6749】，協(xié)議規(guī)定了基于令牌進(jìn)行授權(quán)，在無需暴露用戶密碼的情況下，使客戶端能夠?qū)τ脩魯?shù)據(jù)進(jìn)行有效訪問。

OAuth定義了資源擁有者、資源服務(wù)器、客戶端、授權(quán)服務(wù)器四種角色。充分解耦認(rèn)證和授權(quán)，將權(quán)限的授予交給資源擁有者，由資源擁有者決定是否授權(quán)客戶端訪問權(quán)限。

OAuth明確定義了四種權(quán)限授予模式，分別為：授權(quán)碼模式、簡化模式、密碼模式、客戶端模式，以及用于其它類型的擴(kuò)展機(jī)制。

OAuth是標(biāo)準(zhǔn)的安全架構(gòu)，也是目前互聯(lián)網(wǎng)應(yīng)用很廣泛的授權(quán)協(xié)議。OAuth四種明確定義的授權(quán)模式中，使用最多的便是授權(quán)碼模式，該模式能夠較為安全的將用戶信息開放共享。

簡化模式是為在瀏覽器中使用諸如JavaScript之類的腳本語言而優(yōu)化的一種簡化授權(quán)碼流程。在簡化模式中，直接將訪問令牌而不是授權(quán)碼（code）頒發(fā)給客戶端（通過資源擁有者的授權(quán)）。授權(quán)類型是簡化的，因此沒有中間環(huán)節(jié)（比如用來獲取訪問令牌的授權(quán)碼-code）。

密碼模式是指資源擁有者的密碼憑據(jù)（比如用戶名、密碼），可以直接用來當(dāng)作獲取訪問令牌的權(quán)限授予方式。該模式僅應(yīng)在客戶端與資源擁有者存在高度信任（比如客戶端是設(shè)備操作系統(tǒng)或高權(quán)限應(yīng)用程序的一部分），并且其它授權(quán)模式不可用時使用。

客戶端模式是指客戶端以自己的名義，而不是資源擁有者（終端用戶）的名義，向授權(quán)服務(wù)器進(jìn)行認(rèn)證。該模式要求授權(quán)服務(wù)器與客戶端高度信任，在這個過程中并不需要用戶的參與。

存在的不足：

（1）假如需要對接多個不同類型且支持OAuth授權(quán)的資源服務(wù)商，如果仍使用傳統(tǒng)的對接方式，那么客戶端就必須按照上面的流程對接多次。尤其當(dāng)多個不同客戶端進(jìn)行整合時，對接程序要復(fù)制多次，同時還必須在每一個資源服務(wù)商的授權(quán)系統(tǒng)中進(jìn)行客戶端的注冊。這樣付出的成本與代價無疑是巨大的。

（2）對于網(wǎng)站等在瀏覽器中使用JavaScript之類腳本語言的客戶端，OAuth提供了簡化模式用于用戶的授權(quán)。如果用戶初次登錄，這樣進(jìn)行授權(quán)沒有任何問題，但是如果用戶已經(jīng)登錄授權(quán)過，用戶的狀態(tài)又該如何獲取呢。

基于此，本發(fā)明設(shè)計了一種安全的OAuth代理與可信域混合的授權(quán)方法，以解決上述提到的問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種安全的OAuth代理與可信域混合的授權(quán)方法，以解決上述背景技術(shù)中提出的問題。

為實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：一種安全的OAuth代理與可信域混合的授權(quán)方法，包括代理授權(quán)方法和可信域驗證方法，

所述代理授權(quán)方法流程如下：

S01：業(yè)務(wù)系統(tǒng)傳遞自身標(biāo)識、授權(quán)請求標(biāo)識等信息通過用戶代理將用戶重定向至代理授權(quán)系統(tǒng)；