一种用户访问的授权放行方法、装置以及系统与流程

文档序号：22549855发布日期：2020-10-17 02:24阅读：80来源：国知局

本发明涉及计算机技术领域，尤其涉及一种用户访问的授权放行方法、装置以及系统。

背景技术：

安防门禁系统经常会遇到快递员送货，客户拜访等临时用户访问的场景。常见的临时授权以通过门禁的实现方式主要分为以下两种：一、线下沟通，用户需要和门禁安保人员进行沟通、确认、登记，获取授权；二、用户通过登录指定系统，提交申请，在审核通过的情况下获取授权。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

1.线下沟通易出现身份伪造、信息泄露的风险，且授权所需时间较长；

2.指定系统的审核时间长、审核流程复杂，且适用性窄，并不适用小区等场景。

技术实现要素：

有鉴于此，本发明实施例提供一种用户访问的授权放行方法、装置以及系统，能够有效避免身份伪造、信息泄露的风险，精简了授权流程，缩短了授权所需时间，且具有较高的普适性。

为实现上述目的，根据本发明实施例的第一方面，提供了一种用户访问的授权放行方法，包括：

接收用户端发起的访问请求，将访问请求发送至被访问端；

接收被访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名；

接收门禁系统从用户端接收的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果。

进一步地，在生成授权令牌之前，用户访问的授权放行方法还包括：确认被访问端具有授权权限。

进一步地，授权令牌还还包括：用户端编号、被访问端编号、令牌编号以及访问时间。

根据本发明实施例的第二方面，提供了一种用户访问的授权放行方法，包括：

接收用户端发送的授权令牌，将授权令牌发送至认证中心系统进行信息校验；

接收认证中心系统发送的信息校验结果，根据信息校验结果向用户端发送放行结果。

进一步地，在将授权令牌发送至认证中心系统进行信息校验的步骤之前，用户访问的授权放行方法还包括：确认授权令牌指示的被访问端具有授权权限。

根据本发明实施例的第三方面，提供了一种用户访问的授权放行装置，其特征在于，包括：

访问请求接收模块，用于接收用户端发起的访问请求，将访问请求发送至被访问端；

授权令牌生成模块，用于接收被访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名；

信息校验模块，用于接收门禁系统从用户端接收的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果。

根据本发明实施例的第四方面，提供了一种用户访问的授权放行装置，其特征在于，包括：

授权令牌接收模块，用于接收用户端发送的授权令牌，将授权令牌发送至认证中心系统进行信息校验；

放行模块，接收认证中心系统发送的信息校验结果，根据信息校验结果向用户端发送放行结果。

根据本发明实施例的第五方面，提供了一种用户访问的授权放行系统，其特征在于，包括：

用户端，用于向认证中心系统发起访问请求，接收认证中心系统发送的授权令牌；将授权令牌发送至门禁系统，接收门禁系统返回的放行结果；

本发明第三方面提供的用户访问的授权放行装置，用于接收用户端发起的访问请求，将访问请求发送至被访问端；接收被访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名；接收门禁系统从用户端接收的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果；

被访问端，用于接收认证中心系统发送的访问请求，基于访问请求确认授权结果，将授权结果发送至认证中心系统；

本发明第四方面提供的用户访问的授权放行装置，用于接收用户端发送的授权令牌，将授权令牌发送至认证中心系统进行信息校验；接收认证中心系统发送的信息校验结果，根据信息校验结果向用户端发送放行结果。

根据本发明实施例的第六方面，提供了一种终端装置，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如本发明第一方面或第二方面提供的任一种用户访问的授权放行方法。

根据本发明实施例的第七方面，提供了一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明第一方面或第二方面提供的任一种用户访问的授权放行方法。

上述发明中的一个实施例具有如下优点或有益效果：因为采用接收用户端发起的访问请求，将访问请求发送至被访问端；接收被访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名；接收门禁系统从用户端接收的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果的技术手段，所以克服了现有技术中存在的易出现身份伪造、信息泄露，授权耗时长且适用性窄的技术问题，进而达到能够有效避免身份伪造、信息泄露的风险，精简授权流程，缩短授权所需时间，且具有较高的普适性的技术效果。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明第一实施例提供的用户访问的授权放行方法的主要流程的示意图；

图2是根据本发明第二实施例提供的用户访问的授权放行方法的主要流程的示意图；

图3是根据本发明第一实施例提供的用户访问的授权放行装置的主要模块的示意图；

图4是根据本发明第二实施例提供的用户访问的授权放行装置的主要模块的示意图；

图5是根据本发明实施例提供的用户访问的授权放行系统的主要装置之间信息交互的示意图；

图6是本发明实施例可以应用于其中的示例性系统架构图；

图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本发明第一实施例提供的用户访问的授权放行方法的主要流程的示意图，其主要适用于认证中心系统；如图1所示，本发明提供的用户访问的授权放行方法主要包括：

步骤s101，接收用户端发起的访问请求，将访问请求发送至被访问端。

本发明实施例提供方法主要适用于用户申请授权放行的应用场景，尤其适用于用户申请的临时授权(即为一段时间内根据授权放行)的应用场景。如用户拜访某家公司或者去小区内送货等。

当用户端欲对某家公司或者某个小区等具有门禁的领域进行访问时，首先向认证中心系统发起访问请求，认证中心响应于该访问请求，将相应的访问请求发送至被访问端。

根据本发明实施例，访问请求指示了用户端编号、访问时间以及被访问端编号。其中，用户端编号以及被访问端编号指用于表征用户端或被访问端身份的标识，可以为用户/被访问端的手机号、身份证号等；访问表明了用户访问的起始及终止时间，超过该期限，则授权无效。

步骤s102，接收访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名。

具体地，被访问端根据访问请求指示的用户端编号及访问时间，确认同意授权或者不同意授权，并将该授权结果返回至认证中心系统，若授权结果显示为同意授权，则认证中心系统生成授权令牌，授权令牌中包括认证中心的加密签名，以防止授权令牌被篡改或假冒。

根据本发明实施例，授权令牌还包括：用户端编号、被访问端编号、令牌编号以及访问时间。其中，用户端编号、被访问端编号以及令牌编号为明文，认证中心的加密签名为暗文。

根据本发明实施例的一具体实施方式，上述授权令牌的生成主要采用jwt(josnwebtoken，是一个非常轻巧的规范。这个规范允许我们使用jwt在用户和服务器之间传递安全可靠的信息)技术进行生成，同时结合openid和oauth协议的标准。

jwt：为了在网络应用环境间传递声明而执行的一种基于json的开放标准(rfc7519)，用于作为json对象在各方之间安全地传输信息，主要包括header(头部)、payload(负载)、signature(签名)三部分，由于其的信息是经过签名的，可以确保发送者发送的信息是没有经过伪造的。

openid：一个以用户为中心的数字身份识别框架，它具有开放、分散性。提供了一种身份认证方式，达到分布式的认证的效果。

oauth：一种授权协议，为用户资源的授权提供了一个安全的、开放而又简易的标准。

根据本发明一实施例，授权令牌的结构如下表所示：

其中，加密签名的算法可以采用如hs256算法等现有的加密算法。

进一步地，根据本发明实施例，在生成授权令牌之前，用户访问的授权方法还包括：确认被访问端具有授权权限。

认证中心系统接收到授权结果后，对发起授权结果的被访问端是否具备授权权限进行确认，在被访问端具备授权权限的情况下，生成授权权限，进一步提高了授权令牌的安全性。

步骤s103，接收门禁系统从用户端接收的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果。

用户接收到认证中心系统发送的授权令牌后，选择适当的时间进行访问。具体地，用户端向门禁系统发送授权令牌，门禁系统将接收到的授权令牌发送至认证中心系统进行信息校验，包括根据鉴权链接校验该授权令牌是否由本地认证中心系统发放、当前访问时间是否处于授权令牌指示的访问时间等。然后认证中心系统将信息校验结果(授权令牌有效或授权令牌无效)发送至门禁系统，若信息验证结果显示为授权令牌有效，则门禁系统确定给予放行；若信息验证结果显示为授权令牌无效，则门禁系统确定不给予放行。

根据本发明实施例的技术方案，因为采用接收用户端发起的访问请求，将访问请求发送至被访问端；接收被访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名；接收门禁系统从用户端接收的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果的技术手段，所以克服了现有技术中存在的易出现身份伪造、信息泄露，授权耗时长且适用性窄的技术问题，进而达到能够有效避免身份伪造、信息泄露的风险，精简授权流程，缩短授权所需时间，且具有较高的普适性的技术效果。

图2是根据本发明第二实施例提供的用户访问的授权放行方法的主要流程的示意图，其主要适用于门禁系统；如图2所示，本发明实施例提供的用户访问的授权放行方法主要包括：

步骤s201，接收用户端发送的授权令牌，将授权令牌发送至认证中心系统进行信息校验。

进一步地，根据本发明实施例，在将授权令牌发送至认证中心系统进行信息校验的步骤之前，用户访问的授权放行方法还包括：确认授权令牌指示的被访问端具有授权权限。

值得说明的是，关于授权令牌指示的被访问端是否具有授权权限，既可以在认证中心系统生成授权令牌之前进行确认，也可以在用户端向门禁系统发送授权令牌后进行确认。即关于授权权限的确认操作，既可以在认证中心系统处进行执行，也可以在门禁系统处进行执行。

步骤s202，接收认证中心系统发送的信息校验结果，根据信息校验结果向用户端发送放行结果。

认证中心系统根据门禁系统转发来的授权令牌，对授权令牌指示的信息进行信息校验，包括根据鉴权链接校验该授权令牌是否由本地认证中心系统发放、当前访问时间是否处于授权令牌指示的访问时间等。然后认证中心系统将信息校验结果(授权令牌有效或授权令牌无效)发送至门禁系统，若信息验证结果显示为授权令牌有效，则门禁系统确定给予放行；若信息验证结果显示为授权令牌无效，则门禁系统确定不给予放行。

根据本发明实施例的技术方案，因为采用接收用户端发送的授权令牌，将授权令牌发送至认证中心系统进行信息校验；接收认证中心系统发送的信息校验结果，根据信息校验结果向用户端发送放行结果的技术手段，所以克服了现有技术中存在的易出现身份伪造、信息泄露，授权耗时长且适用性窄的技术问题，进而达到能够有效避免身份伪造、信息泄露的风险，精简授权流程，缩短授权所需时间，且具有较高的普适性的技术效果。

图3是根据本发明第一实施例提供的用户访问的授权放行装置的主要模块的示意图，该装置主要为认证中心系统；如图3所示，根据本发明实施例提供的用户访问的授权放行装置300主要包括：

访问请求接收模块301，用于接收用户端发起的访问请求，将访问请求发送至被访问端。

本发明实施例提供装置主要适用于用户申请授权放行的应用场景，尤其适用于用户申请的临时授权(即为一段时间内根据授权放行)的应用场景。如用户拜访某家公司或者去小区内送货等。

授权令牌生成模块302，用于接收被访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名。

进一步地，根据本发明实施例，用户访问的授权装置300还包括授权权限确认模块，在生成授权令牌之前，上述授权权限确认模块用于确认被访问端具有授权权限。

信息校验模块303，用于接收门禁系统从用户端接收的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果。

图4是根据本发明第二实施例提供的用户访问的授权放行装置的主要模块的示意图，该装置主要为门禁系统；如图4所示，本发明提供的用户访问的授权放行装置400主要包括：

授权令牌接收模块401，用于接收用户端发送的授权令牌，将授权令牌发送至认证中心系统进行信息校验。

进一步地，根据本发明实施例，用户访问的授权放行装置400还包括授权权限确定模块，在将授权令牌发送至认证中心系统进行信息校验的步骤之前，授权权限确定模块用于：确认授权令牌指示的被访问端具有授权权限。

值得说明的是，上述用于确定授权令牌指示的被访问端具有授权权限的授权权限模块，既可以设置于认证中心系统中，在生成授权令牌之前执行，也可以设置在门禁系统中，在门禁系统向认证中心系统发送授权令牌之前执行。

放行模块402，用于接收认证中心系统发送的信息校验结果，根据信息校验结果向用户端发送放行结果。

可以理解的是，由于方法实施例与装置实施例为相同技术构思的不同呈现形式，因此，本申请中方法实施例部分的内容应同步适配于装置实施例部分，此处不再赘述。

图5是根据本发明实施例提供的用户访问的授权放行系统的主要装置之间信息交互的示意图；如图5所示，本发明实施例提供的用户访问的授权放行系统主要包括：

用户端：用于向认证中心系统发起访问请求，接收认证中心系统发送的授权令牌；将授权令牌发送至门禁系统，接收门禁系统返回的放行结果。

认证中心系统：用于接收用户端发起的访问请求，将访问请求发送至被访问端；接收被访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名；接收门禁系统发送的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果。

被访问端，用于接收认证中心系统发送的访问请求，基于访问请求确认授权结果，将授权结果发送至认证中心系统。

门禁系统：用于接收用户端发送的授权令牌，将授权令牌发送至认证中心系统进行信息校验；接收认证中心系统发送的信息校验结果，根据信息校验结果向用户端发送放行结果。

图6示出了可以应用本发明实施例的用户访问的授权放行方法或用户访问的授权放行装置的示例性系统架构600。

如图6所示，系统架构600可以包括终端设备601、602、603，网络604和服务器605(此架构仅仅是示例，具体架构中包含的组件可以根据申请具体情况调整)。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备601、602、603通过网络604与服务器605交互，以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。

终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器605可以是提供各种服务的服务器，例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的访问请求等数据进行分析等处理，并将处理结果(例如授权令牌、信息校验结果--仅为示例)反馈给终端设备。

需要说明的是，本发明实施例所提供的用户访问的授权放行方法一般由服务器605执行，相应地，用户访问的授权放行装置一般设置于服务器605中。

应该理解，图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参考图7，其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，计算机系统700包括中央处理单元(cpu)701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。在ram703中，还存储有系统700操作所需的各种程序和数据。cpu701、rom702以及ram703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。

以下部件连接至i/o接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(cpu)701执行时，执行本发明的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括访问请求接收模块、授权令牌生成模块和信息校验模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，访问请求接收模块还可以被描述为“用于接收用户端发起的访问请求，将所述访问请求发送至被访问端的模块”。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：接收用户端发起的访问请求，将访问请求发送至被访问端；接收被访问端基于访问请求确定的授权结果，在授权结果为同意授权的情况下，生成授权令牌，将授权令牌发送至用户端，其中，授权令牌包括认证中心系统的加密签名；接收门禁系统从用户端接收的授权令牌，对授权令牌指示的信息进行信息校验，将信息校验结果发送至门禁系统，以使门禁系统基于信息校验结果确定放行结果。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：栾宇
技术所有人：北京沃东天骏信息技术有限公司;北京京东世纪贸易有限公司
我是此专利的发明人

上一篇：一种保健品快速包装生产装置的制作方法
上一篇：一种建筑不锈钢管套包装袋装置的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、李老师：1.计算力学 2.无损检测
2、毕老师：机构动力学与控制
3、王老师：1.计算机网络安全 2.计算机仿真技术
4、张老师：1.机械设计的应力分析、强度校核的计算机仿真 2.生物反应器研制 3.生物力学
5、孙老师：1.机机器人技术 2.机器视觉 3.网络控制系统
如您是高校老师，可以点此联系我们加入专家库。