本公开提供了一种在第一装置中的用于撤销针对API调用者的授权的方法。该方法包括:向第二装置发送用于利用API调用者ID、API开放功能(AEF)标识符和至少一个API标识符来撤销针对API调用者的应用程序接口(API)的授权的请求;以及从第二装置接收对该请求的响应;其中,由至少一个API标识符标识的API是授权给API调用者的所有API的一部分。用者的所有API的一部分。用者的所有API的一部分。
【技术实现步骤摘要】
【国外来华专利技术】用于撤销对API调用者的授权的方法和装置
[0001]本公开总体上涉及计算机和通信
,尤其涉及用于撤消对应用程序接口(API)调用者的授权的方法和装置。
技术介绍
[0002]在示例性计算机系统中,访问令牌包含用于登录会话的安全凭证,并识别用户、用户组、用户的权限以及在一些情况下的特定应用(参考维基,https://en.wikipedia.org/wiki/Access_token)。
[0003]在开放授权(OAuth)之前,用于向第三方应用授权对你的帐户的访问的常见模式是简单地给它你的密码并允许它充当你的角色。
[0004]这种获得用户密码的应用模式带来一些问题。由于应用将需要作为用户登录到服务,因此这些应用通常会以纯文本形式存储用户的密码,从而使他们成为获取密码的目标。一旦应用获得用户的密码,它就可以完全访问该用户的帐户,包括具有诸如更改用户密码之类的访问能力。另一个问题是,在将你的密码给予应用后,你能够撤销该访问的唯一方式是更改你的密码,而用户通常不愿这样做。
[0005]Oauth 2.0称为OAuth协议的第2版(也称为框架)。该协议允许第三方应用代表资源所有者或通过允许第三方应用代表其自身获得对超文本传输协议(HTTP)服务的有限访问。
[0006]Oauth 2.0具有如RFC 6749中提到的若干种授权方法(例如,授权码许可或隐式许可)。
[0007]例如,李先生使用“授权码许可”具有微信/微博帐户,并希望登录第三方网站。他可以授权第三方网站使用微信/微博系统授权的码(这是访问令牌)从微信/微博中获取所需的信息(例如用户的图片、联系人)。
[0008]访问令牌由客户端请求,并由授权服务器生成和许可。授权服务器还可以根据不同的授权方法来生成刷新令牌。
[0009]客户端也可以按照RFC 7009中的指定撤销访问令牌。客户端需要将先前接收的访问令牌包括在请求中,并且如果成功则授权服务器将撤消该访问令牌。
[0010]在通用API框架(CAPIF)中,CAPIF核心功能是“授权服务器”,而API调用者是“客户端”。
[0011]图1是示出了现有技术中请求访问令牌的交互过程的示意图。API调用者将访问令牌请求发送给CAPIF核心功能,而CAPIF核心功能响应于该请求而向API调用者发送访问令牌响应。
[0012]访问令牌是如IETF RFC 7519中指定的JSON Web令牌(JWT)。CAPIF核心功能返回的访问令牌包括声明,该声明被编码为指定的JSON对象,然后使用IETF RFC 7515中指定的JWS进行数字签名。
[0013]该声明包括范围字段,该范围字段包括授权的详细信息,即API开放功能(AEF)是
否可以授权不同的API访问。
[0014]该范围(针对该范围授权使用access_token)包含AEF标识符及其相关联API名称的列表。
[0015]它采用如下格式:aefId1:apiName1,apiName2,
…
,apiNameX;aefId2:apiName1,apiName2,
…
,apiNameY;
…
aefIdN:apiName1,apiName2,
…
,apiNameZ。
[0016]在AEF标识符之后使用分隔符“:”,在API名称之间使用“,”,并且在上一个AEF标识符的最后一个API名称和下一个AEF标识符之间使用“;”。
[0017]这里如下提供一个示例:
[0018]′
aef-jiangsu-nanjing:3gpp-monitoring-event,3gpp-as-session-with-qos;aef-zhejiang-hangzhou:3gpp-cp-parameter-provisioning,3gpp-pfd-management
′
。
[0019]图2是示出了现有技术中利用访问令牌进行服务API调用的交互过程的示意图。
[0020]如图所示,在API调用者获得由CAPIF核心功能生成的Oauth 2.0访问令牌之后,API调用者将访问令牌包括在服务API调用请求中(图2中的步骤6)。并且AEF将验证访问令牌并检查令牌中的授权声明。如果OK,它将继续API请求并在步骤8中返回响应。
[0021]当前,在3GPP CAPIF中,没有支持针对令牌的部分撤销的机制。RFC 7009不能撤消授权信息的一部分,而只能撤消整个访问令牌。例如,对于某些API,例如“3gpp-monitoring-event”,AEF可能会在特定时间点通过AEF中的访问控制策略检测到调用次数超过了特定限制,然后AEF决定撤销针对此类API的授权,但保持其余API可访问。
技术实现思路
[0022]鉴于上述内容,目的是提供CAPIF的扩展以支持服务器发起的和客户端发起的针对访问令牌的部分撤销。
[0023]根据本公开的一个方面,提供了一种在第一装置中的用于撤销针对API调用者的授权的方法,包括:向第二装置发送用于利用API调用者ID、API开放功能(AEF)标识符和至少一个API标识符来撤销针对API调用者的应用程序接口(API)的授权的请求;以及从第二装置接收对该请求的响应。
[0024]在一个实施例中,第一装置是AEF,并且第二装置是授权服务器。
[0025]在另一个实施例中,第一装置是授权服务器,并且第二装置是AEF。
[0026]该请求可以经由HTTP POST消息被发送给第二装置上的URI,该HTTP POST消息包含API调用者ID、AEF标识符和至少一个API标识符。
[0027]该HTTP POST消息还可以包含撤销针对API调用者的、对由至少一个API标识符标识的API的授权的原因。
[0028]AEF可以是服务能力开放功能(SCEF);网络开放功能(NEF);或广播多播服务中心(BMSC);并且授权服务器可以是CAPIF核心功能。
[0029]该方法还可以包括使AEF针对API调用者的、由至少一个API标识符所指示的API的授权无效。
[0030]该方法还可以包括:向API调用者通知AEF对由至少一个API标识符所标识的API的授权的撤销。
[0031]来自第二装置的对该请求的响应可以包括针对该请求的确认消息。
[0032]由至少一个API标识符标识的API是授权给API调用者的所有API的一部分。
[0033]根据本公开的另一方面,提供了一种在第二装置中的用于撤销针对API调用者的授权的方法,包括:从第一装置接收用于利用API调用者ID、API开放功能(AEF)标识符和至少一个API标识符来撤销针对API调用者的应用程序接口(API)的授权的请求;以及向第一装置发送对该请求的响应。
[0034]在一个实施例中,第一装置是AEF本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种在第一装置中的用于撤销针对API调用者的授权的方法(500),包括:向第二装置发送(S501)用于利用API调用者ID、API开放功能AEF标识符和至少一个API标识符来撤销针对所述API调用者的应用程序接口API的授权的请求;以及从所述第二装置接收(S502)对所述请求的响应;其中,由所述至少一个API标识符标识的API是授权给所述API调用者的所有API的一部分。2.根据权利要求1所述的方法,其中,所述第一装置是AEF,并且所述第二装置是授权服务器。3.根据权利要求1所述的方法,其中,所述第一装置是授权服务器,并且所述第二装置是AEF。4.根据权利要求1所述的方法,其中,所述请求经由HTTP POST消息发送给所述第二装置上的URI,所述HTTP POST消息包含所述API调用者ID、所述AEF标识符和所述至少一个API标识符。5.根据权利要求4所述的方法,其中,所述HTTP POST消息还包含用于撤销针对所述API调用者的、由所述至少一个API标识符标识的API的授权的原因。6.根据权利要求2或3所述的方法,其中,所述AEF包括:服务能力开放功能SCEF;网络开放功能NEF;或广播多播服务中心BMSC;并且所述授权服务器包括通用API框架CAPIF核心功能。7.根据权利要求2或3所述的方法,还包括:使所述AEF针对所述API调用者的、由所述至少一个API标识符指示的API的授权无效。8.根据权利要求3所述的方法,还包括:向所述API调用者通知所述AEF对由所述至少一个API标识符标识的API的授权的撤销。9.根据权利要求1所述的方法,其中,来自所述第二装置的对所述请求的响应包括针对所述请求的确认消息。10.一种在第二装置中的用于撤销针对API调用者的授权的方法(600),包括:从第一装置接收(S601)用于利用API调用者ID、API开放功能AEF标识符和至少一个API标识符来撤销针对所述API调用者的应用程序接口API的授权的请求;以及向所述第一装置发送(S602)对所述请求的响应;其中,由所述至少一个API标识符标识的API是授权给所述API调用者的所有API的一部分。11.根据权利要求10所述的方法,其中,所述第一装置是AEF,并且所述第二装置是授权服务器。12.根据权利要求10所述的方法,其中,所述第一装置是授权服务器,并且所述第二装置是AEF。13.根据权利要求10所述的方法,其中,所述请求经由HTTP POST消息接收,所述HTTP POST消息包含所述API调用者ID、所述AEF标识符和所述至少一个API标识符。14.根据权利要求13所述的方法,其中,所述HTTP POST消...
【专利技术属性】
技术研发人员:徐文亮,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。