授权服务器和客户端设备、服务器协作系统和令牌管理方法技术方案

提供一种生成将对协作系统的访问权限转让至协作请求系统所需的令牌的方法。在该方法中，在令牌的有效期到期之后，发出刷新令牌以在无需进行对用户的确认的情况下更新令牌。在更新令牌所需的信息泄漏的情况下，不期望的系统更新令牌、并且协作系统被非法地使用。由于该原因，需要用于使已泄漏的刷新令牌无效的单元。在使用刷新令牌来发出一系列令牌的情况下，访问管理服务与重新发出的令牌相关联地存储在最初的授权处理时所发出的刷新令牌。然后，在指定了最初发出的刷新令牌的情况下，使与最初发出的刷新令牌相关联的所有刷新令牌均无效。

【技术实现步骤摘要】
【国外来华专利技术】授权服务器和客户端设备、服务器协作系统和令牌管理方法
本专利技术涉及在例如通过混聚多个在线服务系统所实现的在线系统中对多个在线服务系统之间的访问进行控制所需的授权服务器和客户端设备、服务器协作系统和令牌管理方法。
技术介绍
近年来，经由因特网提供软件功能的被称为云服务的系统已受到许多关注。最近，在越来越多的情况中，多个云服务协作以提供新系统。在使云服务协作时，作为用于安全且容易地实现提供服务的系统之间的访问控制的机制，可利用被称为“OAuth”的技术(参考“TheOAuth2.0AuthorizationProtocoldraft-ietf-oauth-v2-25”，E.Hammer,October9,2012,<URLhttp://tools.ietf.org/html/draft-ietf-oauth-v2-25>)。OAuth是在限于协作系统的用户的访问权限的情况下、将该访问权限转让至协作请求系统的技术。利用该技术，协作请求系统可以使用该用户的权限访问协作系统，并且可以使用协作系统所提供的服务向用户提供服务。在协作系统的认证机制包括基于OAuth的系统的访问权限转让结构的情况下，可以在无需将诸如协作系统的用户ID和密码等的与安全相关联的认证信息存储在协作请求系统中的情况下，安全地实现系统之间的协作。OAuth对许可来自协作请求系统的访问所需的授权信息设置有效期，并且还设置用于在授权信息的有效期到期之后重新发出授权信息的机制和用于使授权信息和授权信息的重新发出无效的机制。另一方面，作为不同于OAuth的另一授权技术，对使用许可设置有效期的方法是已知的。在该方法中，传统上已知用于在各系统中延长使用许可的有效期的方法以及即使有效期到期之后在给定时间段内也无需验证而再次许可使用的方法(参见日本特开2011-519087)。然而，用于在授权信息的有效期到期之后重新发出授权信息的现有OAuth结构在安全方面存在问题。更具体地，在更新授权信息和客户端的认证信息泄漏的情况下，恶意用户可能非法地重新发出授权信息。在要改变服务器系统中所管理的客户端的认证信息从而应对更新授权信息和客户端的认证信息的泄漏的情况下，这种改变会严重影响服务器系统的运行。
技术实现思路
本专利技术提供可以解决上述问题的授权系统。更具体地，本专利技术提供提高了安全性的授权服务器和客户端、服务器协作系统和令牌管理方法。本专利技术包括以下结构。即，提供一种授权服务器，用于基于与从客户端设备对资源服务器的访问请求相关联地从所述客户端设备所接收到的有效授权信息，来对所述访问请求进行授权，所述授权服务器包括：发出部件，用于根据与认证信息一起从所述客户端设备所接收到的发出请求，来发出访问所述资源服务器所使用的授权信息以及在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息；重新发出部件，用于根据与更新授权信息一起接收到的刷新处理请求来重新发出新的更新授权信息和新的授权信息，并且将为了重新发出新的更新授权信息和授权信息而由所述发出部件发出的更新授权信息作为初始更新授权信息与重新发出的授权信息和更新授权信息相关联地进行存储；以及无效部件，用于根据与更新授权信息一起接收到的无效请求，来使所接收到的更新授权信息作为初始更新授权信息而相关联的更新授权信息无效。根据另一方面，本专利技术包括以下结构。即，提供一种客户端设备，用于将访问请求与由授权服务器发出的授权信息一起发送至资源服务器以请求所述资源服务器的服务，所述客户端设备包括：用于将所述授权服务器所发出的授权信息、在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息、以及为了重新发出授权信息而由所述授权服务器最初发出的初始更新授权信息以彼此相关联的方式进行存储的部件；以及无效请求部件，用于将无效请求与所存储的初始更新授权信息一起发送至所述授权服务器，以请求所述授权服务器使与该初始更新授权信息相关联的更新授权信息无效。根据又一方面，本专利技术包括以下结构。即，提供一种服务器协作系统，其包括：授权服务器，用于基于与从客户端设备对资源服务器的访问请求相关联地从所述客户端设备所接收到的有效授权信息，来对所述访问请求进行授权；客户端设备，用于将访问请求与由所述授权服务器发出的授权信息一起发送至资源服务器以请求所述资源服务器的服务；以及所述资源服务器，用于向所述客户端设备提供服务，其中，所述授权服务器包括：发出部件，用于根据与认证信息一起从所述客户端设备所接收到的发出请求，来发出访问所述资源服务器所使用的授权信息以及在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息；重新发出部件，用于根据与更新授权信息一起接收到的刷新处理请求来重新发出新的更新授权信息和新的授权信息，并且将为了重新发出新的更新授权信息和授权信息而由所述发出部件发出的更新授权信息作为初始更新授权信息与重新发出的授权信息和更新授权信息相关联地进行存储；以及无效部件，用于根据与更新授权信息一起接收到的无效请求，来使所接收到的更新授权信息作为初始更新授权信息而相关联的更新授权信息无效，以及所述客户端设备包括：用于将所述授权服务器所发出的授权信息、在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息、以及为了重新发出授权信息而由所述授权服务器最初发出的初始更新授权信息以彼此相关联的方式进行存储的部件；以及无效请求部件，用于将无效请求与所存储的初始更新授权信息一起发送至所述授权服务器，以请求所述授权服务器使与该初始更新授权信息相关联的更新授权信息无效。根据还一方面，本专利技术包括以下配置。即，提供一种服务器协作系统中的令牌管理方法，所述服务器协作系统包括：授权服务器，用于基于与从客户端设备对资源服务器的访问请求相关联地从所述客户端设备所接收到的有效授权信息，来对所述访问请求进行授权；客户端设备，用于将访问请求与由所述授权服务器发出的授权信息一起发送至资源服务器以请求所述资源服务器的服务；以及所述资源服务器，用于向所述客户端设备提供服务，所述令牌管理方法包括以下步骤：发出步骤，用于利用所述授权服务器，根据与认证信息一起从所述客户端设备所接收到的发出请求，来发出访问所述资源服务器所使用的授权信息以及在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息；存储步骤，用于利用所述客户端设备，将所述授权服务器所发出的授权信息、在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息、以及为了重新发出授权信息而由所述授权服务器最初发出的初始更新授权信息以彼此相关联的方式进行存储；以及发送步骤，用于利用所述客户端设备，在响应于所述访问请求而接收到表示所述授权信息无效的应答的情况下，将刷新处理请求和与对应于表示所述授权信息无效的应答的授权信息相关联的更新授权信息一起发送至所述授权服务器；重新发出步骤，用于利用所述授权服务器，根据与更新授权信息一起接收到的刷新处理请求来重新发出新的更新授权信息和新的授权信息，并且将为了重新发出新的更新授权信息和授权信息而在所述发出步骤发出的更新授权信息作为初始更新授权信息与重新发出的授权信息和更新授权信息相关联地进行存储；无效请求步骤，用于利用所述客户端设备本文档来自技高网...

【技术保护点】
一种授权服务器，用于基于与从客户端设备对资源服务器的访问请求相关联地从所述客户端设备所接收到的有效授权信息，来对所述访问请求进行授权，所述授权服务器包括：发出部件，用于根据与认证信息一起从所述客户端设备所接收到的发出请求，来发出访问所述资源服务器所使用的授权信息以及在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息；重新发出部件，用于根据与更新授权信息一起接收到的刷新处理请求来重新发出新的更新授权信息和新的授权信息，并且将为了重新发出新的更新授权信息和授权信息而由所述发出部件发出的更新授权信息作为初始更新授权信息与重新发出的授权信息和更新授权信息相关联地进行存储；以及无效部件，用于根据与更新授权信息一起接收到的无效请求，来使所接收到的更新授权信息作为初始更新授权信息而相关联的更新授权信息无效。

【技术特征摘要】
【国外来华专利技术】2012.05.25 JP 2012-1201401.一种授权服务器，用于基于与从客户端设备对资源服务器的访问请求相关联地从所述客户端设备所接收到的有效授权信息，来对所述访问请求进行授权，所述授权服务器的特征在于包括：发出部件，用于根据与认证信息一起从所述客户端设备所接收到的发出请求，来发出访问所述资源服务器所使用的授权信息以及在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息；重新发出部件，用于根据与更新授权信息一起接收到的刷新处理请求来重新发出新的更新授权信息和新的授权信息，并且将为了重新发出新的更新授权信息和授权信息而由所述发出部件发出的更新授权信息作为初始更新授权信息与重新发出的授权信息和更新授权信息相关联地进行存储；以及无效部件，用于根据与更新授权信息一起接收到的无效请求，来使所接收到的更新授权信息作为初始更新授权信息而相关联的更新授权信息无效。2.根据权利要求1所述的授权服务器，其中，所述无效部件还使所接收到的更新授权信息无效。3.根据权利要求1所述的授权服务器，其中，所述无效部件除使所接收到的更新授权信息作为初始更新授权信息而相关联的更新授权信息无效外，还使所接收到的更新授权信息作为初始更新授权信息而相关联的授权信息无效。4.根据权利要求1所述的授权服务器，其中，在所述重新发出部件重新发出新的授权信息的情况下，所述重新发出部件使与刷新处理请求一起接收到的更新授权信息无效。5.一种客户端设备，用于将访问请求与由授权服务器发出的授权信息一起发送至资源服务器以请求所述资源服务器的服务，所述客户端设备的特征在于包括：用于将所述授权服务器所发出的授权信息、在无需任何认证信息的情况下重新发出新的授权信息所使用的更新授权信息、以及为了重新发出授权信息而由所述授权服务器最初发出的初始更新授权信息以彼此相关联的方式进行存储的部件；以及无效请求部件，用于将无效请求与所存储的初始更新授权信息一起发送至所述授权服务器，以请求所述授权服务器使与该初始更新授权信息相关联的更新授权信息无效。6.根据权利要求5所述的客户端设备，其中，还包括用于在响应于所述访问请求而接收到表示所述授权信息无效的应答的情况下、将刷新处理请求和与对应于表示所述授权信息无效的应答的授权信息相关联的更新授权信息一起发送至所述授权服务器的部件，其中，在响应于所述刷新处理请求而接收到表示所述更新授权信息无效的应答的情况下，所述无效请求部件请求使更新授权信息无效。7.一种服务器协作系统，其包括：授权服务器，用于基于与从客户端设备对资源服务器的访问请求相关联地从所述客户端设备所接收到的有效授权信息，来对所述访问请求进行授权；客户端设备，用于将访问请求与由所述授权服务器发出的授权信息一起发送至资源服务器以请求所述资源服务器的服务；以及所述资源服务器，用于向所述客户端设备提供服务，其特征在于，所述授权服务器包括：发出部件，用于根据与认证信息一起从所述客户端设备所接收到...

【专利技术属性】
技术研发人员：茂垣俊介，
申请(专利权)人：佳能株式会社，
类型：发明
国别省市：日本;JP