通过被动客户端发送会话令牌的方法、系统和存储介质技术方案

会话令牌可被请求从第二计算服务发送到第一计算服务，并且第一计算服务可接收来自第二计算服务的所请求的会话令牌。第一计算服务可通过被动客户端向第二计算服务发送包括该会话令牌的消息。第二计算服务可接收包括来自被动客户端的会话令牌的消息，并且第二计算服务可验证该消息是有效的。这个对该消息的有效性的验证可包括验证从被动客户端接收回的会话令牌匹配第二计算服务发送到第一计算服务的会话令牌。

Method, System and Storage Media for Sending Session Tokens through Passive Client

【技术实现步骤摘要】
通过被动客户端发送会话令牌的方法、系统和存储介质本申请是申请日为2014/06/12、申请号为201480034146.6的中国专利申请的分案申请。背景在线计算服务经常在计算机网络上与客户端(诸如远程客户端)通信。如本文中使用的，计算服务是在主机上运行的计算组件(诸如计算机应用)，该主机包括一个或多个计算机器并针对一个或多个本地和/或远程客户端执行动作。在一些实例中，第一计算服务向客户端发送重定向消息，从而指令客户端重定向到另一计算服务。这样的重定向消息可包括客户端要向第二计算服务发送的信息。有时，这样的重定向消息被用于指令被动客户端与要求认证的第二计算服务通信。在这样的情况下，用户输入被要求来登录到第二计算服务，即使用户输入已经被提供来登录到发送重定向消息的第一计算服务。概述本文中讨论的各工具和技术涉及将会话令牌从第一计算服务发送到第一计算服务从其获得该会话令牌的第二计算服务。会话令牌是包括足够的信息以供会话令牌的发送者(诸如第二计算服务)在该令牌被返回到该发送者时验证该令牌匹配并且没有被篡改的令牌。会话令牌可通过被动客户端来发送，诸如第一计算服务在会话令牌被发送之前与其通信的并且第二计算服务在会话令牌被发送之后与其通信的被动客户端。如本文中使用的，被动客户端是缺乏作出其自己的关于客户端要将会话令牌发送到哪个特定计算实体或哪些特定计算实体的合乎逻辑的判定的能力的普通计算机客户端。相反，被动客户端盲目地转发会话令牌(在被动客户端被明确指令这么做的情况下)，诸如在被动客户端被第一计算服务指令来将会话令牌转发到第二计算服务的情况下(例如，在第二计算服务被标识在来自第一计算服务的重定向消息中的情况下)。例如，被动客户端可以是在移动设备(例如，智能手机)、平板设备或台式设备(例如，膝上型计算机或台式计算机)上运行的被动客户端，诸如移动应用、移动浏览器客户端、平板浏览器客户端、平板应用、台式应用和/或台式浏览器客户端。在一个实施例中，各工具和技术可包括请求要从第二计算服务发送到第一计算服务的会话令牌，以及第一计算服务接收来自第二计算服务的所请求的会话令牌。第一计算服务可通过被动客户端向第二计算服务发送包括该会话令牌的消息。在各工具和技术的另一实施例中，第一会话令牌可从第二计算服务发送到第一计算服务。第二计算服务可从被动客户端接收包括声称匹配第一会话令牌的第二会话令牌的消息。第二计算服务可验证该消息是有效的，其可包括验证第二会话令牌匹配第一会话令牌。如本文中使用的，会话令牌匹配指会话令牌相互对应，使得第二令牌没有以不想要的方式被修改。例如，在一些技术中，两个会话令牌在它们相互相同的情况下匹配。提供本概述是为了以简化的形式介绍一些概念。这些概念将在以下详细描述中进一步描述。本
技术实现思路
并不旨在标识所要求保护主题的关键特征或必要特征，也不旨在用于限制所要求保护主题的范围。类似地，本专利技术不限于解决在背景、详细描述、或附图中讨论的专用技术、工具、环境、缺点、或优点的实现。附图简述图1是其中可实现所描述的各实施例中的一个或多个实施例的合适的计算环境的框图。图2是用于通过被动客户端跨各服务发送会话令牌的环境的示意图。图3是描绘用于通过被动客户端在各服务之间委派用户身份的示例证明令牌方式的调用流的调用流图。图4是可与图3的方法一起使用的浏览器显示示例的说明。图5是描绘用于通过被动客户端在各服务之间在会话令牌中安全地发送信息的方式的调用流图。图6是示出用于通过被动客户端发送会话令牌的技术的流程图。图7是示出用于通过被动客户端发送会话令牌的另一技术的流程图。图8是示出用于通过被动客户端发送会话令牌的又一技术的流程图。详细描述本文描述的各实施例涉及用于计算服务之间通信的技术和工具。这样的改进可源于分开或组合地使用各种技术和工具。这样的技术和工具可包括将会话令牌返回给第二服务的第一服务，该令牌由第一服务从第二服务接收。会话令牌可以是第二服务对第一服务和被动客户端保留的秘密，其中该令牌通过该被动客户端返回给第二服务。例如，会话令牌可被加密，使得会话令牌对于第一服务和对于被动客户端而言是不透明的，但可由第二服务解密和处理。会话令牌可通过被动客户端返回。这样的工具和技术可被用于允许第一计算服务安全地将信息发送到第二计算服务，即使被动客户端不被信任。例如，要被发送的信息可被包括在会话令牌中。作为一个示例，会话令牌可以是证明令牌，其可与证明密钥一起被发送到第一计算服务。如本文中使用的，证明令牌是与证明密钥一起提供的令牌，其可被用于对附加信息进行签名。证明令牌、证明密钥以及用证明密钥来签名的信息提供了一个指示，即经签名的信息来自于第二计算服务将证明令牌和证明密钥提供给的第一计算服务。因此，第一计算服务可用该证明密钥来对附加信息进行签名。第一计算服务可通过被动客户端将用该证明密钥来签名的附加信息发送到第二计算服务。这可允许第二计算服务以被动客户端发起与第二计算服务的通信的方式来接收来自被动客户端的附加信息。浏览器和第二计算服务此后可在客户端－服务器配置(诸如计算机网络(诸如全球计算机网络)上的Web浏览器和Web服务配置)中继续通信。在本文中讨论的各工具和技术的一实现的一个示例中，两个受信任的服务可在计算机网络(诸如因特网)上通过被动客户端(例如，没有插件或被具体指引来处理身份委派场景的其他代码的Web浏览器)安全地委派身份(诸如用户和/或应用身份)。由此，从此处描述的工具和技术中可以实现一个或多个实质的益处。例如，本文中的各工具和技术可允许两个服务通过被动客户端安全地通信，即使该客户端和这样的通信通过其来传递的网络是不安全或不受信任的的。作为一个示例，这样的通信可包括将身份从一个服务委派到另一个的信息。这可提供效率，避免了诸如在认证用户输入已经被匹配身份(诸如与匹配第二计算服务的第二简档的第一计算服务的第一简档相关联)在第一计算服务上提供时用于在第二计算服务处认证的用户输入的必要。附加地，通过以上讨论的证明令牌示例，只要证明令牌和证明密钥可被从第二服务发送到第一服务一次，则证明令牌和密钥就可被使用多次来通过一个或多个被动客户端将多个安全消息从第一计算服务发送到第二计算服务。通过避免针对每个要通过被动客户端从第一计算服务发送到第二计算服务的新消息来将新的令牌从第二计算服务发送到第一计算服务，这可提供附加的效率。所附权利要求中定义的主题不必限于此处描述的益处。本专利技术的专用实现可提供本文描述的益处的全部、一些、或未提供本文描述的益处。尽管本文出于呈现的目的以专用的顺序次序描述了用于各种技术的操作，但应理解除非要求专用的排序，否则这种描述方式涵盖了操作顺序上的重新安排。例如，在某些情况下，可以重新安排或并发执行顺序地描述的操作。此外，为了简单起见，流程图可能未示出可结合其他技术来使用专用技术的各种方式。在此描述的技术可被用于在此描述的一个或多个系统和/或用于一个或多个其他系统。例如，在此描述的各种过程可用硬件或软件、或两者的组合来实现。例如，以下参考图1讨论的处理器、存储器、存储、输出设备、输入设备和/或通信连接中的每一个可以是一个或多个硬件组件的至少一部分。专用硬件逻辑组件可被构建以实现在此描述的一个或多个技术的至少一部分。例如，但非限制本文档来自技高网...

【技术保护点】
1.一种计算机实现的方法，包括：请求要从第二计算服务发送到第一计算服务的证明令牌；所述第一计算服务接收来自所述第二计算服务的证明密钥以及所请求的证明令牌；以及所述第一计算服务通过被动客户端向所述第二计算服务发送包括所述证明令牌的消息。

【技术特征摘要】
2013.06.15 US 61/835,538;2013.09.03 US 14/016,2371.一种计算机实现的方法，包括：请求要从第二计算服务发送到第一计算服务的证明令牌；所述第一计算服务接收来自所述第二计算服务的证明密钥以及所请求的证明令牌；以及所述第一计算服务通过被动客户端向所述第二计算服务发送包括所述证明令牌的消息。2.根据权利要求1所述的方法，其中，所述方法还包括：所述第一计算服务用所述证明密钥来对一组附加数据进行签名并将所述组附加数据包括在包括所述证明令牌的消息中。3.根据权利要求2所述的方法，其中，所述组附加数据是第一组附加数据，所述包括所述证明令牌的消息是第一消息，并且所述方法还包括：所述第一计算服务用所述证明密钥来对第二组附加数据进行签名，将所述第二组附加数据包括在包括所述证明令牌的第二消息中，并且通过被动客户端向所述第二计算服务发送所述第二消息。4.根据权利要求2所述的方法，其中，所述组附加数据包括简档身份令牌，所述简档身份令牌指示与所述被动客户端相关联的所标识的简档被授权使用所述第一计算服务。5.根据权利要求1所述的方法，还包括：授权第一简档来使用所述第一计算服务；以及所述第一计算服务接收对使用所述第二计算服务的请求，所述对使用所述第二计算服务的请求是从所述被动客户端接收的，所述被动客户端与所述第一简档相关联，并且所述第一计算服务从所述第二计算服务请求所述证明令牌是响应于所述第一计算服务接收所述对使用所述第二计算服务的请求来进行的。6.根据权利要求5所述的方法，其中，所述第一计算服务授权所述第一简档来使用所述第一计算服务包括：所述第一计算服务使用与所述第一计算服务分开的身份提供服务来认证所述第一简档。7.根据权利要求1所述的方法，其中，所述被动客户端在所述第一计算服务和所述第二计算服务的远程。8.根据权利要求1所述的方法，其中，所述被动客户端是浏览器客户端。9.根据权利要求1所述的方法，其中，所述方法至少部分地由硬件逻辑执行。10.一种计算机系统，包括：至少一个处理器；以及包括存储于其上的指令的存储器，所述指令在由至少一个处理器执行时使得至少一个处理器执行包括以下各项的动作：请求要从第二计算服务发送到第一计算服务的证明令牌；所述第一计算服务接收来自所述第二计算服务的证明密钥以及所请求的证明令牌；以及所述第一计算服务通过被动客户端向所述第二计算服务发送包括所述证明令牌的消息。11.根据权利要求10所述的计算机系统，其中，所述动作还包括：所述第一计算服务用所述证明密钥来对一组附加数据进行签名并将所述组附加数据包括在包括所述证明令牌的消息中。12.根据权利要求11所述的计算机系统，其中，所述组附加数据是第一组附加数据，所述包括所述证明令牌的消息是第一消息，并且所述动作还包括：所述第一计算服务用所述证明密钥来对...

【专利技术属性】
技术研发人员：S·玛尼，W·D·泰勒，H·阿布埃富图，T·C·迈伦，M·D·萨塔戈潘，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US