资源授权方法及装置制造方法及图纸

本发明专利技术公开了一种资源授权方法及装置。该方法包括：接收第三方应用的授权访问请求，并引导用户对第三方应用进行授权，根据用户的授权结果向第三方应用发送令牌；接收第三方应用发送的携带有令牌的用户资源访问请求，对令牌进行验证，在验证通过后，根据用户资源访问请求确定第三方应用所访问的用户资源是否为属于预先规定的敏感资源；在确定第三方应用所访问的用户资源为敏感资源时，向用户发送是否授权第三方应用获取敏感资源的请求，接收用户的授权应答，根据授权应答确定是否将敏感资源返回给第三方应用。借助于本发明专利技术的技术方案，能够有效防止了第三方在后台滥用授权。

Resource authorization method and device

The invention discloses a resource authorization method and device. The method comprises: receiving third party application access request, and guide users to the third party application for authorization, according to the user's authorization to the third party application sends token; sending and receiving the third party application with token user resource access request to verify token, after verification, according to the user access to resources the third party application access requests to determine whether the user resources belong to sensitive resources prescribed in determining access; the third party application user resources for sensitive resources, sent to the user whether to authorize the third party application access to sensitive resources request, receives the user authorization response, according to the authorization response to determine whether will return to sensitive resources third party applications. By means of the technical proposal of the invention, the third party can effectively prevent the misuse of authorization in the background.

【技术实现步骤摘要】
资源授权方法及装置
本专利技术涉及移动通讯领域，特别是涉及一种资源授权方法及装置。
技术介绍
OAuth是一个关于授权(authorization)的开放网络标准，在全世界得到广泛应用，目前的版本是2.0版。OAuth在"第三方应用"与"服务提供商"之间，设置了一个授权层(authorizationlayer)。"第三方应用"不能直接登录"服务提供商"，只能登录授权层，以此将用户与第三方应用区分开来。"第三方应用"登录授权层所用的令牌(token)，与用户的密码不同。用户可以在登录的时候，设置授权令牌的权限范围和有效期。"第三方应用"登录授权层以后，"服务提供商"根据令牌的权限范围和有效期，向"第三方应用"开放用户储存的资料。在现有技术中，一般授权流程如下：步骤1，用户打开第三方应用以后，第三方应用要求用户给予授权。步骤2，用户同意给予第三方应用授权。步骤3，第三方应用使用上一步获得的授权，向认证服务器申请令牌。步骤4，认证服务器对第三方应用进行认证以后，确认无误，同意发放令牌。步骤5，第三方应用使用令牌，向资源服务器申请获取资源。步骤6，资源服务器确认令牌无误，同意向第三方应用开放本文档来自技高网...

【技术保护点】
一种资源授权方法，其特征在于，包括：接收第三方应用的授权访问请求，并引导用户对所述第三方应用进行授权，根据用户的授权结果向所述第三方应用发送令牌；接收所述第三方应用发送的携带有所述令牌的用户资源访问请求，对所述令牌进行验证，在验证通过后，根据所述用户资源访问请求确定所述第三方应用所访问的用户资源是否为属于预先规定的敏感资源；在确定所述第三方应用所访问的用户资源为敏感资源时，向用户发送是否授权所述第三方应用获取所述敏感资源的请求，接收用户的授权应答，根据所述授权应答确定是否将所述敏感资源返回给所述第三方应用。

【技术特征摘要】
1.一种资源授权方法，其特征在于，包括：接收第三方应用的授权访问请求，并引导用户对所述第三方应用进行授权，根据用户的授权结果向所述第三方应用发送令牌；接收所述第三方应用发送的携带有所述令牌的用户资源访问请求，对所述令牌进行验证，在验证通过后，根据所述用户资源访问请求确定所述第三方应用所访问的用户资源是否为属于预先规定的敏感资源；在确定所述第三方应用所访问的用户资源为敏感资源时，向用户发送是否授权所述第三方应用获取所述敏感资源的请求，接收用户的授权应答，根据所述授权应答确定是否将所述敏感资源返回给所述第三方应用。2.如权利要求1所述的方法，其特征在于，引导用户对所述第三方应用进行授权具体包括：根据OAuth协议引导用户对所述第三方应用进行授权。3.如权利要求1所述的方法，其特征在于，在确定所述第三方应用所访问的用户资源为敏感资源时，所述方法进一步包括：将所述第三方应用发送的所述用户资源访问请求挂起；或者，向所述第三方应用返回等待响应。4.如权利要求1所述的方法，其特征在于，所述是否授权所述第三方应用获取所述敏感资源的请求具体包括：所述敏感资源的详细信息、安全级别、以及是否授权的请求；所述授权应答具体包括：同意或拒绝授权、以及授权方式，其中，所述授权方式包括：一次同意或拒绝授权、多次同意或拒绝授权、以及限时同意或拒绝授权。5.如权利要求1所述的方法，其特征在于，接收用户的授权应答，根据所述授权应答确定是否将所述敏感资源返回给所述第三方应用具体包括：如果用户的授权应答为同意授权，则将所述敏感资源返回给所述第三方应用；如果用户的授权应答为拒绝授权，则将拒绝授权响应返回给所述第三方应用。6.如权利要求1所述的方法，其特征在于，在确定所述第三方应用所访问的用户资源不是敏感资源时，所述方法进一步包括：将所述第三方应用所请求的用户资源返回给所述第三方应用。7.如权利要求1所述的方法，其特征在于，向用户发送是否授权所述第三方应用获取所述敏感资源的请求之后，所述方法进一步包括：如果在预定时间内没有收到用户返回的授权应答，则默认用...

【专利技术属性】
技术研发人员：魏向林，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44