本申请应用于IT认证授权技术领域,提供了一种认证方法及装置,用于提高认证可靠性和认证效率。该方法包括:第一设备接收认证请求,所述认证请求包括待认证的客户端的信息和请求的第一范围,其中,所述客户端与第二范围相关联;所述第一设备根据所述客户端的信息获取所述客户端关联的租户的信息,所述租户与第三范围相关联;所述第一设备确定所述第三范围包括所述第二范围,且所述第一范围属于所述第二范围;所述第一设备输出认证结果,所述认证结果指示所述客户端通过认证。指示所述客户端通过认证。指示所述客户端通过认证。
【技术实现步骤摘要】
一种认证方法及装置
[0001]本申请涉及信息技术(Information Technology,IT)认证授权
,尤其涉及一种认证方法及装置。
技术介绍
[0002]公开标识连接核心(OpenID Connect Core,OIDC)协议1.0和公开认证(Open Authorization,OAuth)协议2.0(RFC6749)是现在流行的标准工业认证授权协议。其中,OIDC在OAuth2.0的标准流程上增加了用户身份的识别层,明确了或客户端(client)标识(client id)、范围(scope)、密钥(secret/client secret)、流程类型(grant type)和用户(user/subject)等概念模型(或称为资源),以及利用这些资源实现的几种标准的认证授权流程。
[0003]然而,协议中并没有提到这些资源之间的隔离机制,可能会导致认证混乱。以客户端为例,如果不同客户端对应的其他资源之间没有适当的隔离机制,可能导致不同客户允许接入的资源不清晰,导致对于客户端的资源的认证过程需要在过大的资源范围内进行,造成认证效率降低和可靠性降低。
技术实现思路
[0004]本申请提供了一种认证方法及装置,用以提高服务端对于客户端的认证效率和可靠性。
[0005]第一方面,本申请提供了一种认证方法,该方法包括:第一设备接收认证请求,所述认证请求包括待认证的客户端的信息和请求的第一范围,其中,所述客户端与第二范围相关联;所述第一设备根据所述客户端的信息获取所述客户端关联的租户的信息,所述租户与第三范围相关联;所述第一设备确定所述第三范围包括所述第二范围,且所述第一范围属于所述第二范围;所述第一设备输出认证结果,所述认证结果指示所述客户端通过认证。
[0006]基于以上方法,可以通过设置关联的租户对客户端进行隔离,因此可以仅在租户对应的资源范围内进行认证,避免在全部可用资源内对客户端进行认证以提高认证可靠性和认证效率。
[0007]在一种可能的设计中,所述方法还包括:所述第一设备获取所述客户端输入的用户凭据;所述第一设备根据所述租户的信息获取所述租户对应的用户凭据;所述第一设备确定所述客户端的用户凭据与所述租户对应的用户凭据匹配。因此可通过以租户为单位设置的用户凭据对用户进行隔离,进一步提高安全性。
[0008]在一种可能的设计中,所述客户端为面向客户的客户端,所述租户为面向客户的客户端对应的租户;或者,所述客户端为面向企业的客户端,所述租户为面向企业的客户端对应的租户。因此可通过针对toB用户和toC用户分别设置不同的租户,进一步提高安全性,并能够提高管理效率。
[0009]在一种可能的设计中,所述客户端为面向客户的客户端,所述客户端允许访问的资源包括第一资源,所述客户端为面向客户的客户端,所述客户端允许访问的资源包括第二资源,所述第一资源与所述第二资源不同;所述方法还包括:所述第一设备判断所述客户端允许访问的资源包括所述第一范围。因此可通过针对toB用户和toC用户分别设置资源,避免不同类型的用户之间的资源混用,提高管理效率和安全性。
[0010]第二方面,本申请提供了一种认证方法,该方法包括:第二设备发送认证请求,所述认证请求包括待认证的客户端的信息和请求的第一范围,其中,所述客户端与第二范围相关联,所述客户端的信息用于获取所述客户关联的租户的信息,所述租户与第三范围相关联,所述第三范围包括所述第二范围,且所述第一范围属于所述第二范围;所述第二设备接收认证结果,所述认证结果指示所述客户端通过认证。
[0011]在一种可能的设计中,所述客户端为面向企业的客户端,所述方法还包括:所述第二设备获得所述客户端的注册信息,所述注册信息是所述客户端在租户管理员的授权下获得的。
[0012]在一种可能的设计中,所述方法还包括:所述第二设备向所述第一设备发送所述客户端输入的用户凭据,所述客户端的用户凭据与所述租户对应的用户凭据匹配。
[0013]在一种可能的设计中,所述客户端为面向客户的客户端,所述客户端允许访问的资源包括第一资源,所述客户端为面向客户的客户端,所述客户端允许访问的资源包括第二资源,所述第一资源与所述第二资源不同。
[0014]在一种可能的设计中,所述客户端为面向客户的客户端,所述租户为面向客户的客户端对应的租户;或者,所述客户端为面向企业的客户端,所述租户为面向企业的客户端对应的租户。
[0015]第三方面,本申请还提供了一种认证装置,该装置包括处理模块和收发模块,用于实现第一方面及其任一可能的设计所示方法。
[0016]第四方面,本申请还提供了一种认证装置,该装置包括处理模块和收发模块,用于实现第二方面及其任一可能的设计所示方法。
[0017]第五方面,本申请还提供了一种电子设备,所述电子设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如上述第一方面及其任一可能的设计所述业务受理控制方法的步骤。
[0018]第六方面,本申请还提供了一种电子设备,所述电子设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如上述第二方面及其任一可能的设计所述业务受理控制方法的步骤。
[0019]第七方面,本申请还提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面及其任一可能的设计所述业务受理控制方法的步骤。
[0020]第八方面,本申请还提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如上述第二方面及其任一可能的设计所述业务受理控制方法的步骤。
[0021]第九方面,本申请还提供了一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现如第一方面及其任一可能的设计所述业务受
理控制方法的步骤。
[0022]第十方面,本申请还提供了一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现如第二方面及其任一可能的设计所述业务受理控制方法的步骤。
[0023]另外,第二方面至第十方面所带来的技术效果可参见上述第一方面的描述,此处不再赘述。
附图说明
[0024]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0025]图1为一种客户端认证过程的流程示意图;
[0026]图2为一种服务发现协议的返回结果示意图;
[0027]图3为本申请实施例提供的一种认证方法的流程示意图;
[0028]图4为本申请实施例提供的另一种认证方法的流程示意图;
[0029]图5为本申请实施例提供的一种code过程的流程示意图;
[0030]图6为一种资源分配关系示意图;<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种认证方法,其特征在于,所述方法包括:第一设备接收认证请求,所述认证请求包括待认证的客户端的信息和请求的第一范围,其中,所述客户端与第二范围相关联;所述第一设备根据所述客户端的信息获取所述客户端关联的租户的信息,所述租户与第三范围相关联;所述第一设备确定所述第三范围包括所述第二范围,且所述第一范围属于所述第二范围;所述第一设备输出认证结果,所述认证结果指示所述客户端通过认证。2.如权利要求1所述的方法,其特征在于,所述方法还包括:所述第一设备获取所述客户端输入的用户凭据;所述第一设备根据所述租户的信息获取所述租户对应的用户凭据;所述第一设备确定所述客户端的用户凭据与所述租户对应的用户凭据匹配。3.如权利要求1所述的方法,其特征在于,所述客户端为面向客户的客户端,所述租户为面向客户的客户端对应的租户;或者,所述客户端为面向企业的客户端,所述租户为面向企业的客户端对应的租户。4.如权利要求1所述的方法,其特征在于,所述客户端为面向客户的客户端,所述客户端允许访问的资源包括第一资源,所述客户端为面向客户的客户端,所述客户端允许访问的资源包括第二资源,所述第一资源与所述第二资源不同;所述方法还包括:所述第一设备判断所述客户端允许访问的资源包括所述第一范围。5.一种认证方法,其特征在于,所述方法包括:第二设备发送认证请求,所述认证请求包括待认证的客户端的信息和请求的第一范围,其中,...
【专利技术属性】
技术研发人员:张吉踉,陈守喆,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。