移动应用接入认证授权方法和系统的制作方法

移动应用接入认证授权方法和系统的制作方法
【专利摘要】本发明公开了一种移动应用接入认证授权方法和系统，其方法包括：移动应用发送认证ID至认证授权服务器；所述认证授权服务器根据预设的认证授权逻辑规则校验所述认证ID；当所述认证ID校验有效时，所述认证授权服务器生成接入令牌，并将所述接入令牌发送至所述移动应用；所述移动应用使用所述接入令牌访问业务系统。本发明将认证授权逻辑规则与业务系统分离，通过认证授权服务器负责对移动应用访问权限的统一管理，避免在修改或重新部署认证授权逻辑规则时影响业务系统的正常工作，且通过认证授权服务器向移动应用动态的发送接入令牌，有利于业务系统接入的安全访问控制。
【专利说明】移动应用接入认证授权方法和系统
【技术领域】
[0001]本发明涉及到通信【技术领域】，特别涉及到移动应用接入认证授权方法和系统。
【背景技术】
[0002]随着移动终端设备的发展，移动应用及其业务系统被广泛应用于移动终端设备中。如图1所示，目前，在移动应用10接入业务系统30时，业务系统30需要采用认证授权逻辑规则对移动应用10进行认证授权，由各业务系统30自主触发一系列的安全认证逻辑。但是，由于现有的移动接入授权认证方案中，认证授权逻辑规则集成在业务系统30中，当认证授权逻辑规则需要修改时，必须在业务系统30中重新部署认证授权逻辑规则，如果业务系统30无法实现动态部署，则必须要暂停业务系统运作，以支持新规则的上线，这样将会对业务系统30的正常运行造成非常大的影响。

【发明内容】

[0003]本发明的主要目的为提供一种在认证授权逻辑规则修改时不影响业务系统正常运行的移动应用接入认证授权方法和系统。
[0004]本发明提出一种移动应用接入认证授权方法，包括步骤:
[0005]移动应用发送认证ID至认证授权服务器；
[0006]所述认证授权服务器根据预设的认证授权逻辑规则校验所述认证ID ;
[0007]当所述认证ID校验有效时，所述认证授权服务器生成接入令牌，并将所述接入令牌发送至所述移动应用；
[0008]所述移动应用使用所述接入令牌访问业务系统。
[0009]优选地，所述认证授权服务器生成接入令牌的步骤之后还包括:所述认证授权服务器共享所述接入令牌；
[0010]所述移动应用使用所述接入令牌访问业务系统的步骤之后还包括:所述业务系统接收所述移动应用发送的接入令牌，并从所述认证授权服务器下载所述共享的接入令牌；当所述移动应用发送的接入令牌与所述共享的接入令牌匹配时，开放所述移动应用的访问权限。
[0011]优选地，所述认证授权服务器将所述接入令牌发送至所述移动应用的步骤还包括:所述认证授权服务器将业务系统地址发送至所述移动应用；
[0012]所述移动应用使用所述接入令牌访问业务系统的步骤之前还包括:所述移动应用根据所述业务系统地址连接业务系统。
[0013]优选地，所述认证授权服务器将所述接入令牌发送至所述移动应用的步骤之前还包括:所述认证授权服务器加密所述接入令牌；
[0014]所述业务系统接收所述移动应用发送的接入令牌的步骤之后还包括:所述业务系统解密所述移动应用发送的接入令牌。
[0015]优选地，所述认证ID包括移动应用标识、移动终端设备号和登陆用户名。[0016]本发明还提出一种移动应用接入认证授权系统，包括移动应用、认证授权服务器和业务系统:
[0017]所述移动应用包括:
[0018]ID发送模块，用于发送认证ID至认证授权服务器；
[0019]访问模块，用于使用接入令牌访问业务系统；
[0020]所述认证授权服务器包括:
[0021]校验模块，用于根据预设的认证授权逻辑规则校验所述认证ID ；
[0022]令牌生成模块，用于当所述认证ID校验有效时，生成所述接入令牌；
[0023]令牌发送模块，用于将所述接入令牌发送至所述移动应用。
[0024]优选地，所述认证授权服务器还包括共享模块，用于共享所述接入令牌；
[0025]所述业务系统包括:
[0026]接收模块，用于接收所述移动应用发送的接入令牌；
[0027]下载模块，用于从所述认证授权服务器下载所述共享的接入令牌；
[0028]匹配模块，用于当所述移动应用发送的接入令牌与所述共享的接入令牌匹配时，开放所述移动应用的访问权限。
[0029]优选地，所述认证授权服务器还包括地址发送模块，用于将业务系统地址发送至所述移动应用；
[0030]所述移动应用还包括连接模块，用于根据所述业务系统地址连接业务系统。
[0031]优选地，所述认证授权服务器还包括加密模块，用于加密所述接入令牌；
[0032]所述业务系统还包括解密模块，用于解密所述移动应用发送的接入令牌。
[0033]优选地，所述认证ID包括移动应用标识、移动终端设备号和登陆用户名。
[0034]本发明将认证授权逻辑规则与业务系统分离，通过认证授权服务器负责对移动应用访问权限的统一管理，避免在修改或重新部署认证授权逻辑规则时影响业务系统的正常工作，且通过认证授权服务器向移动应用动态的发送接入令牌，有利于业务系统接入的安全访问控制。
【专利附图】

【附图说明】
[0035]图1为现有技术中移动应用接入认证授权系统的结构简图；
[0036]图2为本发明移动应用接入认证授权方法的第一实施例的流程图；
[0037]图3为本发明移动应用接入认证授权方法的第二实施例的流程图；
[0038]图4为本发明移动应用接入认证授权方法的第三实施例的流程图；
[0039]图5为本发明移动应用接入认证授权方法的第四实施例的流程图；
[0040]图6为本发明移动应用接入认证授权系统的结构简图；
[0041]图7为本发明移动应用接入认证授权系统的第一实施例的结构示意图；
[0042]图8为本发明移动应用接入认证授权系统的第二实施例的结构示意图；
[0043]图9为本发明移动应用接入认证授权系统的第三实施例的结构示意图；
[0044]图10为本发明移动应用接入认证授权系统的第四实施例的结构示意图。
[0045]本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。【具体实施方式】
[0046]应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0047]如图2所示，图2为本发明移动应用接入认证授权方法的第一实施例的流程图。本实施例提到的移动应用接入认证授权方法，包括步骤:
[0048]步骤S101，移动应用发送认证ID至认证授权服务器；
[0049]本实施例的认证ID包括移动应用标识appid、移动终端设备号deviceid和登陆用户名username。认证授权服务器为每个企业的移动应用提供了位移的身份标识，即移动应用标识appid。
[0050]步骤S102，认证授权服务器根据预设的认证授权逻辑规则校验认证ID ；
[0051]预设的认证授权逻辑规则包括移动应用标识、移动终端设备号和登陆用户名三者之间的对应关系，例如，将移动应用标识与登陆用户名对应，只有被授权的登陆用户名才能访问该移动应用；将移动终端设备号和登陆用户名对应，当移动终端设备遗失时，通过登录用户名注销移动终端设备号，并通过网络清楚被注销的移动终端设备中的相关数据。认证授权逻辑规则集成在认证授权服务器中，使认证授权逻辑规则与业务系统独立开，在修改或重新部署认证授权逻辑规则时，不会对业务系统造成影响，更无须暂停业务系统运行，有利于业务系统持续正常工作。
[0052]步骤S103，当认证ID校验有效时，认证授权服务器生成接入令牌；
[0053]步骤S104，认证授权服务器将接入令牌发送至移动应用；
[0054]步骤S105,移动应用使用接入令牌访问业务系统。
[0055]移动应用接收到认证授权服务器返回的接入令牌accesstoken后，将接入令牌发送至业务系统，供业务系统匹配识别，有利于业务系统接入的安全访问控制。
[0056]本实施例将认证授权逻辑规则与业务系统分离，通过认证授权服务器负责对移动应用访问权限的统一管理，避免在修改或重新部署认证授权逻辑规则时影响业务系统的正常工作，且通过认证授权服务器向移动应用动态的分配接入令牌，有利于业务系统接入的安全访问控制。
[0057]如图3所示，图3为本发明移动应用接入认证授权方法的第二实施例的流程图。本实施例在图2所示实施例的基础上增加了共享接入令牌的步骤。
[0058]步骤S201，移动应用发送认证ID至认证授权服务器；
[0059]步骤S202，认证授权服务器根据预设的认证授权逻辑规则校验认证ID ；
[0060]步骤S203，当认证ID校验有效时，认证授权服务器生成接入令牌；
[0061]步骤S204，认证授权服务器将接入令牌发送至移动应用，并共享接入令牌；
[0062]步骤S205，移动应用使用接入令牌访问业务系统；
[0063]步骤S206，业务系统接收移动应用发送的接入令牌，并从认证授权服务器下载共享的接入令牌；
[0064]步骤S207，当移动应用发送的接入令牌与共享的接入令牌匹配时，业务系统开放移动应用的访问权限。
[0065]本实施例的认证授权服务器将接入令牌共享，业务系统中并不存储固定的用于比对匹配的接入令牌数据，而是通过网络连接到认证授权服务器上去下载共享的接入令牌，实现接入令牌动态分配，避免了因修改或重新部署认证授权逻辑规则时造成接入令牌变化而影响业务系统的正常接入，同时也进一步提高了业务系统接入的安全性。
[0066]如图4所示，图4为本发明移动应用接入认证授权方法的第三实施例的流程图。本实施例在图3所示实施例的基础上增加了发送业务系统地址的步骤。
[0067]步骤S301，移动应用发送认证ID至认证授权服务器；
[0068]步骤S302，认证授权服务器根据预设的认证授权逻辑规则校验认证ID ；
[0069]步骤S303，当认证ID校验有效时，认证授权服务器生成接入令牌；
[0070]步骤S304，认证授权服务器将接入令牌和业务系统地址发送至移动应用，并共享接入令牌；
[0071]步骤S305，移动应用根据业务系统地址连接业务系统，并使用接入令牌访问业务系统。
[0072]步骤S306，业务系统接收移动应用发送的接入令牌，并从认证授权服务器下载共享的接入令牌；
[0073]步骤S307，当移动应用发送的接入令牌与共享的接入令牌匹配时，业务系统开放移动应用的访问权限。
[0074]本实施例通过认证授权服务器发送移动应用需要访问的业务系统的地址，移动应用仅需要记住认证授权服务器的地址即可，针对移动应用屏蔽业务系统的地址，有利于业务系统的安全访问控制。同时，由于业务系统的地址是由认证授权服务器动态发送，当业务系统的地址变化时，例如IP或域名发生变化时，认证授权服务器发送变化后的业务系统地址供移动应用连接，避免了因业务系统地址变化而造成移动应用接入失败。
[0075]如图5所示，图5为本发明移动应用接入认证授权方法的第四实施例的流程图。本实施例在图4所示实施例的基础上增加了对接入令牌解密和解密的步骤。
[0076]步骤S401，移动应用发送认证ID至认证授权服务器；
[0077]步骤S402，认证授权服务器根据预设的认证授权逻辑规则校验认证ID ；
[0078]步骤S403，当认证ID校验有效时，认证授权服务器生成接入令牌；
[0079]步骤S404，认证授权服务器加密接入令牌；
[0080]步骤S405，认证授权服务器将接入令牌和业务系统地址发送至移动应用，并共享接入令牌；
[0081]步骤S406，移动应用根据业务系统地址连接业务系统，并使用接入令牌访问业务系统。
[0082]步骤S407，业务系统接收移动应用发送的接入令牌，并从认证授权服务器下载共享的接入令牌；
[0083]步骤S408，业务系统解密移动应用发送的接入令牌；
[0084]步骤S409，当移动应用发送的接入令牌与共享的接入令牌匹配时，业务系统开放移动应用的访问权限。
[0085]本实施例对接入令牌进行加密和解密处理，确保接入令牌在数据传递过程中的安全性。此外，认证授权服务器发送业务系统地址前，也可对业务系统地址进行加密处理，移动应用接收到业务系统地址后对其进行解密，以确保业务系统地址在数据传递过程中的安全性。
[0086]如图6所示，图6为本发明移动应用接入认证授权系统的结构简图。本实施例提到的移动应用接入认证授权系统，包括移动应用10、认证授权服务器20和业务系统30，移动应用10首先向认证授权服务器20发送认证ID，认证授权服务器20根据预设的认证授权逻辑规则校验认证ID，并在确认认证ID有效时，向移动应用10返回接入令牌，移动应用10利用接入令牌访问业务系统30。本实施例将认证授权逻辑规则集成到认证授权服务器20中，使认证授权逻辑规则与业务系统30分离，由认证授权服务器20负责对移动应用10访问权限的统一管理，避免在修改或重新部署认证授权逻辑规则时影响业务系统30的正常工作，且通过认证授权服务器20向移动应用10动态的分配接入令牌，有利于业务系统30接入的安全访问控制。
[0087]如图7所示，图7为本发明移动应用接入认证授权系统的第一实施例的结构示意图。本实施例以图6所示实施例为基础，其中:
[0088]移动应用10包括:
[0089]ID发送模块11，用于发送认证ID至认证授权服务器20 ；
[0090]访问模块12，用于使用接入令牌访问业务系统30 ；
[0091 ] 认证授权服务器20包括:
[0092]校验模块21，用于根据预设的认证授权逻辑规则校验认证ID ；
[0093]令牌生成模块22，用于当认证ID校验有效时，生成接入令牌；
[0094]令牌发送模块23，用于将接入令牌发送至移动应用10。
[0095]本实施例的认证ID包括移动应用标识appid、移动终端设备号deviceid和登陆用户名username。认证授权服务器20为每个企业的移动应用10提供了位移的身份标识，即移动应用标识appid。预设的认证授权逻辑规则包括移动应用标识、移动终端设备号和登陆用户名三者之间的对应关系，例如，将移动应用标识与登陆用户名对应，只有被授权的登陆用户名才能访问该移动应用10 ;将移动终端设备号和登陆用户名对应，当移动终端设备遗失时，通过登录用户名注销移动终端设备号，并通过网络清楚被注销的移动终端设备中的相关数据。认证授权逻辑规则集成在认证授权服务器20中，使认证授权逻辑规则与业务系统30独立开，在修改或重新部署认证授权逻辑规则时，不会对业务系统30造成影响，更无须暂停业务系统30运行，有利于业务系统30持续正常工作。移动应用10接收到认证授权服务器20返回的接入令牌accesstoken后，将接入令牌发送至业务系统30，供业务系统30匹配识别，有利于业务系统30接入的安全访问控制。本实施例将认证授权逻辑规则与业务系统30分离，通过认证授权服务器20负责对移动应用10访问权限的统一管理，避免在修改或重新部署认证授权逻辑规则时影响业务系统30的正常工作，且通过认证授权服务器20向移动应用10动态的分配接入令牌，有利于业务系统30接入的安全访问控制。
[0096]如图8所示，图8为本发明移动应用接入认证授权系统的第二实施例的结构示意图。本实施例以图7所示实施例为基础，其中:
[0097]认证授权服务器20还包括共享模块24，用于共享接入令牌；
[0098]业务系统30包括:
[0099]接收模块31，用于接收移动应用10发送的接入令牌；
[0100]下载模块32，用于从认证授权服务器20下载共享的接入令牌；
[0101]匹配模块33，用于当移动应用10发送的接入令牌与共享的接入令牌匹配时，开放移动应用10的访问权限。[0102]本实施例的认证授权服务器20通过共享模块24将接入令牌共享，业务系统30中并不存储固定的用于比对匹配的接入令牌数据，而是通过下载模块32连接网络，到认证授权服务器20上去下载共享的接入令牌，实现接入令牌动态分配，避免了因修改或重新部署认证授权逻辑规则时造成接入令牌变化而影响业务系统30的正常接入，同时也进一步提高了业务系统30接入的安全性。
[0103]如图9所示，图9为本发明移动应用接入认证授权系统的第三实施例的结构示意图。本实施例以图8所不实施例为基础，其中:
[0104]认证授权服务器20还包括地址发送模块25，用于将业务系统30地址发送至移动应用10 ；
[0105]移动应用10还包括连接模块13，用于根据业务系统30地址连接业务系统30。
[0106]本实施例通过认证授权服务器20通过地址发送模块25发送移动应用10需要访问的业务系统30的地址，移动应用10仅需要记住认证授权服务器20的地址即可，针对移动应用10屏蔽业务系统30的地址，有利于业务系统30的安全访问控制。同时，由于业务系统30的地址是由认证授权服务器20动态发送，当业务系统30的地址变化时，例如IP或域名发生变化时，认证授权服务器20的地址发送模块25发送变化后的业务系统30地址供移动应用10的连接模块13连接，避免了因业务系统30地址变化而造成移动应用10接入失败。
[0107]如图10所示，图10为本发明移动应用接入认证授权系统的第四实施例的结构示意图。本实施例以图9所不实施例为基础,其中:
[0108]认证授权服务器20还包括加密模块26，用于加密接入令牌；
[0109]业务系统30还包括解密模块34，用于解密移动应用10发送的接入令牌。
[0110]本实施例通过认证授权服务器20的加密模块26对接入令牌进行加密处理，通过业务系统30的解密模块34对接入令牌进行解密处理，确保接入令牌在数据传递过程中的安全性。此外，认证授权服务器20发送业务系统30地址前，也可由加密模块26对业务系统30地址进行加密处理，移动应用10接收到业务系统30地址后对其进行解密，以确保业务系统30地址在数据传递过程中的安全性。
[0111]以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的【技术领域】，均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种移动应用接入认证授权方法，其特征在于，包括步骤:移动应用发送认证ID至认证授权服务器；所述认证授权服务器根据预设的认证授权逻辑规则校验所述认证ID ；当所述认证ID校验有效时，所述认证授权服务器生成接入令牌，并将所述接入令牌发送至所述移动应用；所述移动应用使用所述接入令牌访问业务系统。
2.根据权利要求1所述的移动应用接入认证授权方法，其特征在于，所述认证授权服务器生成接入令牌的步骤之后还包括:所述认证授权服务器共享所述接入令牌；所述移动应用使用所述接入令牌访问业务系统的步骤之后还包括:所述业务系统接收所述移动应用发送的接入令牌，并从所述认证授权服务器下载所述共享的接入令牌；当所述移动应用发送的接入令牌与所述共享的接入令牌匹配时，开放所述移动应用的访问权限。
3.根据权利要求2所述的移动应用接入认证授权方法，其特征在于，所述认证授权服务器将所述接入令牌发送至所述移动应用的步骤还包括:所述认证授权服务器将业务系统地址发送至所述移动应用；所述移动应用使用所述接入令牌访问业务系统的步骤之前还包括:所述移动应用根据所述业务系统地址连接业务系统。
4.根据权利要求2或3所述的移动应用接入认证授权方法，其特征在于，所述认证授权服务器将所述接入令牌发送至所述移动应用的步骤之前还包括:所述认证授权服务器加密所述接入令牌；所述业务系统接收所述移动应用发送`的接入令牌的步骤之后还包括:所述业务系统解密所述移动应用发送的接入令牌。
5.根据权利要求4所述的移动应用接入认证授权方法，其特征在于，所述认证ID包括移动应用标识、移动终端设备号和登陆用户名。
6.一种移动应用接入认证授权系统，其特征在于，包括移动应用、认证授权服务器和业务系统:所述移动应用包括:ID发送模块，用于发送认证ID至认证授权服务器；访问模块，用于使用接入令牌访问业务系统；所述认证授权服务器包括:校验模块，用于根据预设的认证授权逻辑规则校验所述认证ID ；令牌生成模块，用于当所述认证ID校验有效时，生成所述接入令牌；令牌发送模块，用于将所述接入令牌发送至所述移动应用。
7.根据权利要求6所述的移动应用接入认证授权系统，其特征在于，所述认证授权服务器还包括共享模块，用于共享所述接入令牌；所述业务系统包括:接收模块，用于接收所述移动应用发送的接入令牌；下载模块，用于从所述认证授权服务器下载所述共享的接入令牌；匹配模块，用于当所述移动应用发送的接入令牌与所述共享的接入令牌匹配时，开放所述移动应用的访问权限。
8.根据权利要求7所述的移动应用接入认证授权系统，其特征在于，所述认证授权服务器还包括地址发送模块，用于将业务系统地址发送至所述移动应用； 所述移动应用还包括连接模块，用于根据所述业务系统地址连接业务系统。
9.根据权利要求7或8所述的移动应用接入认证授权系统，其特征在于，所述认证授权服务器还包括加密模块，用于加密所述接入令牌； 所述业务系统还包括解密模块，用于解密所述移动应用发送的接入令牌。
10.根据权利要求9所述的移动应用接入认证授权系统，其特征在于，所述认证ID包括移动应用标识、移动终端设备号和登陆用户名。
【文档编号】H04W12/06GK103686724SQ201210361392
【公开日】2014年3月26日 申请日期:2012年9月25日 优先权日:2012年9月25日
【发明者】吴战胜, 张成鹏 申请人:金蝶软件（中国）有限公司