授权应用对安全资源的访问制造技术

本发明专利技术涉及授权应用对安全资源的访问。应用将许可请求提交给资源服务器。响应于接收到该请求，资源服务器生成要求用户授予或拒绝所请求的许可的用户界面。如果许可被授予，则存储指示应用具有所请求的许可的数据。在接收到对资源的运行时请求时，资源服务器确定该请求由用户作出、由应用作出还是由应用代表用户作出。如果该请求仅由应用作出，则仅在应用具有以不代表用户的直接调用方式访问资源的许可的情况下准许该请求。如果该请求由应用代表用户作出，则仅在用户和应用两者都具有足够的许可的情况下才准许该请求。

【技术实现步骤摘要】
授权应用对安全资源的访问
本专利技术涉及如何授权对安全资源的访问的技术。
技术介绍
许多万维网（“Web”）应用允许安装并使用扩展web应用的能力的自定义第三方应用。这些第三方应用从许可角度来说一般作为web应用的当前用户来执行。结果，这样的第三方应用一般可以执行当前用户能够执行的任何动作，这些动作通常在与web应用结合在一起执行的应用的某一受限边界集内。这要求安装该第三方应用的系统管理员给予该应用显著的信任，因为该应用可以读取、修改或删除Web应用中该应用的任何用户都具有访问权的任何信息。以上描述的问题的一个解决方案是将第三方应用的访问权限制于web应用所提供的仅某一功能。例如，可通过限制向第三方应用展示的应用编程接口（API）来仅给予该应用对web应用的某些能力的访问权。对以上描述的问题的另一方案是限制安全该应用的系统管理员所作出的信任决定的范围。例如，可以使web应用内的各环境彼此境隔离，使得各第三方应用可被安装在分开的环境中，而没有破坏其他环境的风险。例如，可利用该解决方案来限制应用对展示了敏感数据的环境的访问。然而，在给定利用第三方应用的最普通理由之一是跨不同的环境聚集数据的事实的情况下，该解决方案严重地受限。结果，跨web应用部署应用于所有公司的环境的应用在这种场景下难以或无法安装。如上所述，第三方应用从许可角度来说一般作为web应用的当前用户来执行。这意味着这些应用仅可执行它们的用户具有执行许可的那些动作。然而，在许多情况下，需要允许用户或用户组通过使用应用来执行他们的许可不准许他们直接执行的动作。例如，费用报告应用可能在符合某些条件（例如，较小的值）时批准费用报表，但用户不应具有直接批准费用报表而无需通过该应用来执行该操作的许可。当该应用作为当前用户来执行时，这种类型的操作并不可能。一些系统通过允许应用提高给系统账户的许可来阐明这种限制，该系统账户在系统内不具有许可限制。然而，这种解决方案使得系统管理员甚至更不愿意将程序安装在展示了敏感信息的环境中。本文中所做出的公开正是针对这些以及其他考虑事项而呈现的。
技术实现思路
在此描述了用于授权应用对安全资源的访问权的概念和技术。在此处公开的技术的整个实现中，安全资源的所有者可向应用授予利用安全资源的特权。利用所授予的特权，应用可以在运行时以与安全资料的所有者相同的程度直接（即，没有用户）利用该资料。然而，如果用户利用应用来访问安全资料，则将对该资源的使用限制于用户的特权的程度。通过这种方式，可以在应用直接访问安全资源时，将该应用的特权提高到安全资源的所用者的级别。但是，在用户利用该应用来访问资源时，对安全资源的访问被限制为用户许可的程度。根据在此呈现的一个方面，诸如文档储存库应用之类的web应用被配置成允许使用自定义第三方应用，该第三方应用扩展web应用的能力。为了获得用于访问和利用web应用所管理的安全资源（诸如，内容数据库中的项目）的许可，应用首先向作为web应用的一部分来执行的资源服务器提交许可请求。该许可请求标识该应用所请求的范围和权限。许可请求还可请求授予应用以不代表用户的直接调用方式来利用一个或多个安全资源的许可。可经由超文本传输协议（HTTP）请求、应用清单、web应用所提供的用户界面（UI）的方式通过web应用所提供的API或以另一方式来提交许可请求。响应于接收到许可请求，资源服务器被配置成标识与针对其请求了许可的安全资源相关联的一个或多个许可提供者。资源服务器随后从所标识的每一许可提供者处请求描述了所请求的对相关联的安全资源的许可的数据。随后将该数据聚集在向web应用的当前用户显示的UI中。UI要求用户向该应用授予或拒绝所请求的许可。如果用户授予该应用所请求的许可，则存储指示应用具有所请求的许可的数据。在运行时，该数据被利用来处理该应用对由web应用来管理安全资源的运行时请求。当对安全资源执行动作的运行时请求被资源服务器接收到时，该资源服务器确定该请求是已由用户作出的、仅由应用作出的、还是由应用代表用户作出的。如果该请求仅由应用作出，则资源服务器仅在以前述方式授予了该应用以不代表用户的直接调用方式访问安全资源的许可的情况下才准许该请求。如果该请求是由应用代表用户作出的，则资源服务器仅在用户和应用都具有执行所请求的动作的许可的情况下准许该请求。资源服务器还存储将该动作在安全资源上的执行归结于用户、应用或用户和应用两者的历史数据。本
技术实现思路
并不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在使用本
技术实现思路
来限制所要求保护的主题的范围。此外，所要求保护的主题不限于解决在本公开的任一部分中所提及的任何或所有缺点的实现。附图说明图1是示出在此处公开的一个实施例中应用和文档储存库系统的操作的各方面的软件架构图；图2是示出在此处公开的一个实施例中用于注册许可提供者的一个例程的各方面的流程图；图3A－3B是示出在此处公开的一个实施例中用于向资源服务器注册应用的一个例程的各方面的流程图；图4A是示出在此处公开的一个实施例中利用的示例许可请求的格式和结构的数据结构图；图4B是示出在此处公开的一个实施例中用于向应用授予许可的一个说明性用户界面的用户界面图；图5是示出在此处公开的一个实施例中利用的、用于处理资源请求的机制的各方面的网络图；图6A－6B是根据一个实施例的用于处理对安全资源的请求的一个例程的各方面的流程图；以及图7是示出用于能够实现本文所提出的各种实施例的计算系统的说明性计算机硬件和软件体系结构的计算机体系结构图。具体实施方式以下具体实施方式涉及用于授权应用对安全资源的访问权的概念和技术。如之前简要讨论的，通过使用在此公开的技术，结合web应用来执行的应用可以以与资源的所有者相同的程度在运行时直接利用安全资源。当用户使用该应用来利用安全资源时，用户和应用两者都必须具有利用该安全资源的合适许可。关于这些特征和其他特征的更多细节将在以下参考图1-7来提供。尽管在结合一个或多个计算机系统上的操作系统和各个程序的执行而执行的程序模块的一般上下文中呈现了本文中所描述的主题，但本领域技术人员将认识到，其他实现可结合其他类型的程序模块来执行。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构、以及其他类型的结构。此外，本领域技术人员应当理解，可用其他计算机系统配置来实施本文中所描述的主题，这些计算机系统配置包括手持式设备、多处理器系统、基于微处理器或可编程的消费电子产品、小型计算机、大型计算机等。在以下详细描述中，参考形成详细描述的一部分并为例示具体实施例或示例而示出的附图。现在参考附图（全部若干附图中相同的标号表示相同的元素），将描述用于授权应用对安全资源的访问权的计算系统和方法的各方面。图1是示出在此处公开的一个实施例中应用104和文档储存库系统102的操作的各方面的软件架构图。文档储存库系统102是被配置为执行基于web的文档储存库应用（未示出）的一个或多个计算系统。文档储存库系统102提供用于存储、访问及在该文档储存库系统102的各授权用户之间共享文档和可能其他类型的项目的功能。在这个方面，文档储存库系统102可提供允许用户创建、修改、删除和以其他方式利用存储在内容数据存储126中的文档和本文档来自技高网...

【技术保护点】
一种用于授权对文档储存库系统（102）中的安全资源（122）的访问的计算机实现的方法，该方法包括执行用于以下的计算机实现的操作：接收在文档储存库系统（102）中的安全资源（122）上执行动作的请求；响应于接收到所述请求，确定所述请求仅由用户（502）作出、仅由应用（104）作出、还是由应用（104）代表用户（502）作出；以及响应于确定所述请求已由应用（104）代表用户（502）作出，则仅在所述应用（104）和所述用户（502）两者都具有访问所述安全资源（122）的许可的情况下才准许所述请求。

【技术特征摘要】
2011.12.01 US 13/308,5721.一种用于授权对文档储存库系统中的安全资源的访问的计算机实现的方法，该方法包括执行以下计算机实现的操作：接收在文档储存库系统中的安全资源上执行动作的请求；响应于接收到所述请求，确定所述请求仅由用户作出、仅由应用作出、还是由应用代表用户作出；响应于确定所述请求已由应用代表用户作出，则在所述应用和所述用户两者都具有访问所述安全资源的许可的情况下准许所述请求,其中如果所述应用具有与所述用户不同的访问特权级别，则所述请求被授予到由向所述用户授予的访问特权级别所准许的程度；以及响应于确定所述请求仅由应用作出，在所述应用已被授予以不代表用户的直接调用的方式访问所述安全资源的许可的情况下才准许所述请求。2.如权利要求1所述的计算机实现的方法，其特征在于，还包括响应于确定所述请求已由应用代表用户作出，存储将所请求的动作的执行归因于所述应用和所述用户两者的数据。3.一种用于授权对文档储存库系统中的安全资源的访问的方法，所述方法包括：从应用接收请求访问由文档储存库系统代表用户维护的一个或多个安全资源的许可的许可请求；响应于接收到所述许可请求，标识与所述一个或多个安全资源相关联的一个或多个许可提供者，从所标识的每一个许可提供者中请求描述对相关联的安全资源的所请求的许可的数据，将从许可提供者处接收到的数据聚集在用户界面中，以及向所述文档储存库系统的当前用户显示所述用户界面；通过所述用户界面从所述当前用户处接收指示所述应用被授予访问所述一个或多个安全资源的所请求的许可的指示；以及响应于接收到所述应用被授予所请求的许可的指示，存储指示所述应用具有访问所述一个或多个安全资源的所请求的许可的数据，以供在处理所述应用对所述安全资源的运行时请求时使用；接收在所述文档储存库系统中的安全资源上执行动作的运行时请求；响应于接收到所述运行时请求，确定所述运行时请求仅由用户作出、由应用作出、还是由应用代表用户作出；以及响应于确定所述运行时请求已由应用代表用户作出，仅在所述应用和所述用户两者都具有访问所述安全资源的许可的情况下才准许所述运行时请求，其中如果所述应用具有与所述用户不同的访问特权级别，则所述运行时请求被授予到由向所述用户授予的访问特权级别所准许的程度，以及响应于确定所述运行时请求仅由应用作出，在所述应用已被授予以不代表用户的直接调用的方式访...

【专利技术属性】
技术研发人员：R·M·霍华德，T·C·米龙，W·D·泰勒，朱韶峰，E·艾登，V·维拉拉哈万，
申请(专利权)人：微软公司，
类型：发明
国别省市：