本发明专利技术公开了一种基于OAuth的HTTP协议的通讯方法,针对HTTP协议,填写字段HTTP访问私人密码,向安全令牌服务器请求安全令牌;客户端访问授权模块,显示授权页面给用户请求授权,用户同意授权后,发送访问许可。本发明专利技术的优点是针对OAuth2.0协议,使用安全令牌技术加上客户端参数加密签名的方法,有效提高了资源请求的响应速度,降低了服务器的性能消耗,并且改善了用户体验。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了,针对HTTP协议,填写字段HTTP访问私人密码,向安全令牌服务器请求安全令牌;客户端访问授权模块,显示授权页面给用户请求授权,用户同意授权后,发送访问许可。本专利技术的优点是针对OAuth2.0协议,使用安全令牌技术加上客户端参数加密签名的方法,有效提高了资源请求的响应速度,降低了服务器的性能消耗,并且改善了用户体验。【专利说明】—种基于OAuth的HTTP协议的通讯方法
本专利技术涉及一种网络通讯方法,特别是。
技术介绍
OAuth (开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片、视频、联系人列表),而无需将用户名和密码提供给第三方应用。目前OAuth的版本为2.0,是OAuth协议的下一版本,但不向后兼容OAuth 1.0。OAuth2.0关注客户端开发者的简易性,同时为Web应用、桌面应用和手机、起居室设备提供专门的认证流程。继Facebook在新的Graph API中支持OAuth 2.0后,Google在2011年3月亦宣布Google API对OAuth 2.0的支援,Windows Live亦支援OAuth 2.0。另外,国内新浪、腾讯、人人、百度等开放平台都提供了 OAuth的服务。 在OAuth 2.0协议框架中,在认证和授权的过程中涉及的四方包括:资源拥有者(Resource Owner),有能力授权访问受保护资源的实体,一般指终端用户;资源服务器(Resource Server),存放受保护的资源的服务方,可以接收和响应带访问令牌的资源访问请求;客户端(Client),要访问服务提供方资源的第三方应用,可以使站内应用网站,如提供照片打印服务的网站,在认证过程之前,客户端要向服务提供者申请客户端标识;授权服务器(Authorizat1n Server),资源经资源拥有者授权后,授权服务器向认证后的客户端发放访问令牌用以访问受保护的资源。 OAuth 2.0定义了四种认证流程,以下流程抽象的描述了认证涉及的四个角色之间的关系:A.客户端从资源拥有者那里请求授权。授权请求能够直接发送给资源拥有者,或者间接地通过授权服务器这样的中介,而后者更为可取;B.客户端收到一个访问许可,它代表由资源服务器提供的授权;C.客户端使用它自己的私有证书到授权服务器上验证,并出示访问许可,来请求一个访问令牌;D.授权服务器验证客户端私有证书和访问许可的有效性,如果验证通过则分发一个访问令牌;E.客户端通过出示访问令牌向资源服务器请求受保护资源;F.资源服务器验证访问令牌的有效性,如果验证通过则响应这个资源请求。 OAuth 2.0协议对授权服务器定义了两个端口,分别为授权端口(Authorizat1nEndpoint)和访问令牌端口(Token Endpoint)。授权端口主要用于接收用户的授权请求,发放授权。访问令牌端口用于发放访问令牌,客户端使用访问令牌获取用户资源。在OAuth 2.0的规范中,客户端使用访问令牌访问资源服务器是通过HTTPS协议发送和响应。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。然而,加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一。如果一个客户端应用同时发送多个资源访问请求,服务器端的响应时间较长。
技术实现思路
专利技术目的:针对上述问题,本专利技术的目的是提供,在考虑数据传输安全的基础上,缩短客户端应用对资源访问的响应时间。 技术方案:,包括以下步骤:(1)针对HTTP协议,填写字段HTTP访问私人密码,向安全令牌服务器请求安全令牌;(2)客户端访问授权模块,显示授权页面给用户请求授权,用户同意授权后,发送访问许可。 步骤(I)中,所述密码在服务器端在服务器端经过MD5编码后保存至数据库。 步骤(2)中,客户端应用使用所述访问许可以及步骤(I)中取到的客户端ID和客户端密码发送授权请求。 有益效果:与现有技术相比,本专利技术的优点是针对OAuth 2.0协议,使用安全令牌技术加上客户端参数加密签名的方法,有效提高了资源请求的响应速度,降低了服务器的性能消耗,并且改善了用户体验。 【具体实施方式】 下面结合具体实施例,进一步阐明本专利技术,应理解这些实施例仅用于说明本专利技术而不用于限制本专利技术的范围,在阅读了本专利技术之后,本领域技术人员对本专利技术的各种等价形式的修改均落于本申请所附权利要求所限定的范围。 ,包括以下步骤:(I)针对HTTP协议,填写字段HTTP访问私人密码,向安全令牌服务器请求安全令牌。此密码在服务器端在服务器端经过MD5编码后保存至数据库。应用注册需要经过审核,审核通过则返回数据至客户端应用,数据包括:客户端ID (clientld)、客户端密码(clientSecret)0此数据用于客户端应用在请求用户授权的过程中对客户端应用进行验证。 (2)客户端访问授权模块,显示授权页面给用户请求授权,用户同意授权后,发送访问许可。客户端应用使用访问许可以及上一过程取到的客户端ID和客户端密码,发送请求至授权服务器的访问令牌发放模块,授权服务器通过验证后发放访问令牌(accessToken)、刷新令牌(refreshToken)、会话密钥(sess1nKey)、会话密码(sess1nSecret)。其中访问令牌用于HTTPS的资源访问请求,会话密钥和会话密码再加上客户端应用每次会话得到的安全令牌用于HTTP的资源访问请求。 客户端应用发送请求给安全令牌服务器,请求参数为客户端ID和客户端密码以及应用注册时填写的HTTP访问私人密码(accessPrivateKey)。安全令牌服务器生成安全令牌,具体算法为:(I)生成原始字符串:当前客户端ID+当前客户端密码+8位随机数字字符串+服务器端安全密钥(此密钥为开放平台专有密码,由66位数字、字母以及特殊字符组成,此密钥客户端不可见);(2)对原始字符串使用HMAC-SHA1进行签名获得二进制数据;(3)将二进制数据转换成字符串,以UTF-8格式进行转换;(4)将上一步的字符串进行16进制字符转换获得安全令牌;(5 )返回安全令牌给客户端应用。【权利要求】1.,其特征在于包括以下步骤: (1)针对HTTP协议,填写字段HTTP访问私人密码,向安全令牌服务器请求安全令牌; (2)客户端访问授权模块,显示授权页面给用户请求授权,用户同意授权后,发送访问许可。2.根据权利要求1所述的,其特征在于:步骤(1)中,所述密码在服务器端在服务器端经过MD5编码后保存至数据库。3.根据权利要求1所述的,其特征在于:步骤(2)中,客户端应用使用所述访问许可以及步骤(I)中取到的客户端ID和客户端密码发送授权请求。【文档编号】H04L29/06GK104243435SQ201310249738【公开日】2014年12月24日 申请日期:2013年6月21日 优先权日:2013年6月21日 【专利技术者本文档来自技高网...
【技术保护点】
一种基于OAuth的HTTP协议的通讯方法,其特征在于包括以下步骤:(1)针对HTTP协议,填写字段HTTP访问私人密码,向安全令牌服务器请求安全令牌;(2)客户端访问授权模块,显示授权页面给用户请求授权,用户同意授权后,发送访问许可。
【技术特征摘要】
【专利技术属性】
技术研发人员:吴叶霖,
申请(专利权)人:镇江新晔网络科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。