br>[0080]步骤306,第一账户服务器将获取的访问权信息发送给终端,以使终端根据接收的访问权信息,对资源标识对应的数据资源进行访问。
[0081]终端可以向资源服务器发送携带该访问权信息和第一账户标识、第二账户标识(也可以不携带第二账户标识)、资源标识的资源访问请求。资源服务器根据其存储的访问权信息与第一账户标识、第二账户标识、资源标识的对应关系,对资源访问请求进行权限验证,在验证通过后,则向终端发送资源标识对应的数据资源。
[0082]本发明实施例中,第一账户服务器根据授权信息从资源标识对应的资源服务器获取访问权信息之后,第一账户服务器将获取的访问权信息与第一账户标识、资源标识对应存储。基于第一账户服务器存储的访问权信息与第一账户标识、资源标识的对应关系,在步骤301之后,可以按照如下的方式处理:
[0083]情况1,如果第一账户服务器没有存储第一账户标识和资源标识对应的访问权信息,则第一账户服务器向资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,即执行步骤302-306的处理。
[0084]情况2,如果第一账户服务器存储有第一账户标识和资源标识对应的访问权信息,则第一账户服务器将其存储的第一账户标识和资源标识对应的访问权信息发送给终端,以使终端根据接收的访问权信息,对资源标识对应的数据资源进行访问。具体处理可以参见本发明实施例上面的内容。
[0085]本发明实施例中,还可以建立不同账户之间的关联关系,即存储不同账户标识之间的关联关系,建立有关联关系的账户之间可以共享访问权信息。具体的,第一账户服务器可以预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系。验证?目息用于验证相关联的关系。
[0086]基于账户之间的关联关系,上述情况I的处理可以具体按如下方式处理:
[0087]首先,如果第一账户服务器没有存储第一账户标识和资源标识对应的访问权信息,且根据预先存储本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系,确定第一账户标识具有相关联的第三账户标识和对应的验证信息,则第一账户服务器向第三账户标识所属的第三账户服务器发送第三访问权信息请求,第三访问权信息请求中携带有第三账户标识、第三账户标识对应的验证信息、资源标识。
[0088]然后,第三账户服务器在根据第三访问权信息请求中携带的验证信息对第三访问权信息请求验证通过后,如果存储有第三账户标识和资源标识对应的访问权信息,则向第一账户服务器发送第三账户标识和资源标识对应的访问权信息,如果没有存储第三账户标识和资源标识对应的访问权信息,则向第一账户服务器发送请求失败信息。
[0089]第三账户服务器可以将第三访问权信息请求中携带的验证信息,与本地存储的第三账户标识对应的验证信息进行比较,如果相同则验证通过。
[0090]最后,如果第一账户服务器接收到第三账户服务器发送的请求失败信息,则第一账户服务器向资源标识对应的资源所有者账户所属的第二账户服务器发送授权请求,即执行步骤302-306的处理。
[0091]如果第一账户服务器接收到第三账户服务器发送的访问权信息,则将接收到的访问权信息发送给终端,以使终端根据接收的访问权信息,对资源标识对应的数据资源进行访问。具体处理可以参见本发明实施例上面的内容。
[0092]本发明实施例中,建立关联关系的过程可以如下:
[0093]首先,第一账户服务器接收终端发送的账户关联请求,第一账户关联请求中携带有第一账户标识和第三账户标识。其中,第一账户标识为发起账户关联请求的账户的标识,第三账户标识为请求与第一账户标识的账户进行关联的账户的标识。
[0094]然后,第一账户服务器向第三账户标识所属的第三账户服务器发送账户关联请求。第一账户服务器可以先确定第三账户标识对应的第三账户服务器,然后向第三账户服务器发送账户关联请求。
[0095]再后,第三账户服务器在对账户关联请求进行关联授权验证通过后,向第一账户服务器发送第三账户标识对应的验证信息。
[0096]这里,进行关联授权验证方法有很多种,例如,第三账户服务器可以通过第三账户标识对应的业务系统向第三账户标识对应的账户以系统通知的形式发送关联授权通知,或者,也可以向第三账户标识对应的账户所关联的邮箱发送关联授权通知。关联授权通知中携带有第一账户标识。接收到对应该关联授权通知的关联授权确认后,则确定关联授权验证通过。
[0097]第三账户服务器可以存储账户标识和验证信息的对应关系,其中包括第三账户标识与其验证信息的对应关系。
[0098]最后,第一账户服务器接收第三账户服务器发送的第三账户标识对应的验证信息,并在存储的本地的账户标识与相关联的其它账户服务器的账户标识和验证信息的对应关系中,加入第一账户标识与第三账户标识、验证信息的对应关系。
[0099]本发明实施例中,第一账户服务器在根据授权信息从资源标识对应的资源服务器获取访问权信息之后,可以将获取的访问权信息与第一账户标识和资源标识对应的存储。优选的,访问权信息中可以包括访问码,可以为访问码设置有效期,访问权信息中还可以包括更新码,更新码用于对过期的访问码进行更新。更新的处理过程可以如下:
[0100]首先,第一账户服务器向资源服务器发送访问权更新请求,访问权更新请求中携带有第一账户标识、资源标识以及存储的与第一账户标识和资源标识对应的访问权信息中包括的更新码。
[0101]然后,资源服务器对更新码验证通过后,生成新的访问权信息,发送给第一账户服务器。
[0102]资源服务器可以将访问权更新请求中携带的更新码,与本地存储的第一账户标识和资源标识对应的访问权信息中的更新码进行比较,如果相同则验证通过。
[0103]再后,第一账户服务器接收资源服务器发送的访问权信息,用接收到的访问权信息对存储的与第一账户标识和资源标识对应的访问权信息进行替换,并将接收到的访问权信息发送给终端。
[0104]最后,终端对其存储的资源标识对应的访问权信息进行替换。
[0105]终端可以存储资源标识与访问权信息的对应关系,这里,终端可以将其存储的与上述资源标识对应的访问权信息替换为接收到的访问权信息。
[0106]通过本发明实施例对互联网的数据资源进行访问授权时,第一账户服务器和第二账户服务器可以是不同应用的账户服务器,也即,资源请求者和资源所有者的账户可以是不同业务系统的账户,通过本发明实施例,可以实现不同业务系统的账户之间进行数据资源访问授权,从而可以提高互联网的数据资源访问的灵活性。
[0107]实施例三
[0108]下面将结合具体的应用场景,对本发明实施例提供的对数据资源进行访问的方法进行详细阐述,该场景中,以新浪微博的用户访问微博中的网盘链接为例,该网盘业务系统支持QQ账号登录,即QQ账户服务器(后面简称IdP_QQ)是该网盘业务系统的IdP账户服务器。具体的处理流程可以如图4所示,包括如下的步骤:
[0109]步骤401,资源请求者在终端运行微博客户端(网页程序),并登录新浪微博的IdP提供的账号UserOsina.com.cn),点击一个网盘数据资源的链接(后面简称资源链接),这时,终端则向新浪微博的IdP账户服务器(后面简称1(^_微博)发送第一访问权信息请求。第一访问权信息请求中携带有微博账号、资源链接(即为资源标识)、终端的回调地址。
[0110]步骤402,IdP_微博确定链接对应的资源所有者账户(QQ账号,123456iqq.com),查询本地是否存储有与微博账号、QQ账号对应的访问权信息,对于没有存储的情况,IdP_微博向IdP_QQ发送授权请求。授权请求中携带有微博账号、QQ账号、资源链接、1(^_微博的回调地址。
[0111]另外,还可以对对授权请求进行签名加密,具体处理可以参照实施例二的相关内容。
[0112]步骤403,IdP_QQ向邮箱123456@qq.com发送含有授权请求通知的邮件。
[0113]对于授权请求已经过签名加密的情况,IdP_QQ可以对接收到的授权请求进行签名验证,具体处理可以参照实施例二的相关内容。
[0114]步骤404,资源所有者根据邮件内容中的授权请求通知决定是否对微博账号进行授权操作,如果成功进行授权操作,则向IdP_QQ发送授权确认。
[0115]步骤405,IdP_QQ生成授权码,将授权码与微博账号、QQ账号、资源链接对应存储,并根据IdP_微博的回调地址将授权码发送给1(^_微博。
[0116]步骤406,IdP_微博向网盘服务器发送第二访问权信息请求。第二访问权信息请求中携带有微博账号、QQ账号、资源链接和授权码。
[0117]步骤407,网盘服务器向IdP_QQ发送授权信息验证请求。授权信息验证请求中携带有微博账号、QQ账号、资源链接和授权码。
[0118]步骤408,IdP_QQ将授权信息验证请求中的授权码与本地存储的微博账号、QQ账号、资源链接对应的授权码比较,如果相同,则通知网盘服务器验证通过。
[0119]步骤409,网盘服务器生成访问权信息,并发送给IdP_微博。访问权信息可以包括访问码、有效期、更新码,格式可以如下:
[0120]{access_token: "***",expires_in: 3600, refresh_token: "***"},其中,access_token为访问码,expires_in为有效期,refresh_token为更新码,〃林*〃为生成的访问码和更新码,这里假设有效期为3600秒。
[0121]步骤410,IdP_微博将访问权信息与微博账号、QQ账号、资源链接对应的存储,并通过终端的回调地址