权限授予系统、方法及认证服务器系统的制作方法
【技术领域】
[0001] 本发明设及一种能够将用户的权限授予给客户端的权限授予系统、方法及认证服 务器系统。
【背景技术】
[0002] 随着云服务的推广,用户将多个服务相互协作地使用的机会增加。服务或Web应 用是由经由诸如互联网等网络连接到终端的服务器提供的功能。通过使服务相互协作,月良 务提供商能够通过对普通服务增加价值,来向用户提供新的服务。另一方面,由于服务的协 作出现一些问题。
[0003] 换言之,存在如下风险:在服务之间交换的信息可能超出用户希望交换的信息,运 可能导致诸如用户数据或个人信息的泄漏等问题。例如,虽然有多种服务存在于互联网上, 并能够相互协作,但是不应当由除用户授权的服务W外的服务来操作用户数据或个人信 息。此外,从服务提供商的观点来看,期望容易地实施服务协作系统。
[0004] 在运种情形下,制定了被称为"OAuth"的标准协议W实现授权中的协作。根据OAuth,例如,如果一个终端中的应用访问由云服务管理的数据,则该应用需要从用户获取 明确的授权。
[0005] 利用用户的授权,该应用接收证明访问授权的令牌(下文中,称为"访问令牌"), 因此,该应用能够通过使用之后的访问令牌,来实现访问。在下文中,用于发出访问令牌的 操作被称为"授权操作"。日本特开2013-145505号公报讨论了一种通过使用OAuth来发出 访问令牌的技术。
【发明内容】
[0006] 根据本发明的一个方面,提供一种权限授予系统,该权限授予系统具有提供从第一客户端和第二客户端可访问的服务的服务器系统W及认证服务器系统,该认证服务器系 统包括:认证单元,其被构造为基于由用户经由所述第一客户端上显示的认证画面输入的 认证信息,来确定所述用户是否为合法用户;发出单元,其被构造为在所述认证单元确定为 合法用户的所述用户经由所述第一客户端上显示的授权确认画面而提供用于依据所述用 户对所述服务的权限来授权所述第一客户端的指令的情况下,发出表示所述用户的权限被 授予了所述第一客户端的权限信息;授权单元,其被构造为基于当所述第一客户端请求对 所述服务的访问时发送的所述权限信息,来授权所述第一客户端W所述用户的权限访问所 述服务;W及管理单元,其被构造将所述认证单元确定为合法用户的所述用户的标识符和 所述第二客户端的标识符彼此相关联地进行管理;其中,在所述用户的标识符与所述第二 客户端的标识符相关联的情况下,所述发出单元发出表示所述用户的权限被授予了所述第 二客户端的权限信息,而无接收用于针对所述服务授权所述第二客户端的指令。
[0007] 通过W下参照附图对示例性实施例的描述,本发明的其他特征将变得清楚。
【附图说明】
[0008] 图1是例示网络的结构的框图。
[0009] 图2是例示根据第一示例性实施例的服务器计算机的结构的框图。
[0010] 图3A、图3BW及图3C是各自例示根据第一示例性实施例的模块结构的图。
[0011] 图4A和图4B是各自例示根据第一示例性实施例的客户端标识符的发出处理的流 程图。
[0012] 图5A和图5B是分别例示根据第一示例性实施例的客户端的开始处理和登录处理 的流程图。
[0013] 图6A、图6BW及图6C是分别例示根据第一示例性实施例的客户端标识符关联 的确认处理、客户端标识符关联的必要性的确定处理W及客户端标识符的关联处理的流程 图。
[0014] 图7A和图7B是分别例示根据第一示例性实施例的用于访问资源的处理W及访问 令牌的发出处理。
[0015] 图8A、图8BW及图8C是各自例示根据第一示例性实施例的画面的显示示例的图。
[0016] 图9是例示根据第二示例性实施例的模块结构的图。
[0017] 图IOA和图IOB是根据第二示例性实施例的流程图。
[0018] 图11是例示根据第=示例性实施例的模块结构的图。
[0019] 图12是例示根据第=示例性实施例的关联确认的必要性的设置处理的流程图。
[0020] 图13是例示根据第=示例性实施例的关联确认的必要性的确定处理的流程图。
[0021 ] 图14是例示根据第=示例性实施例的画面的显示示例的图。
[0022] 图15A、图15BW及图15C是各自例示根据第四示例性实施例的模块结构的图。
[0023] 图16A和图16B是分别例示根据第四示例性实施例的客户端的开始处理和登录处 理的流程图。
[0024] 图17是例示根据第四示例性实施例的画面的显示示例的图。
【具体实施方式】
[00巧]近年来,随着智能电话的普及,在很多情况下,一个用户可能拥有多个终端。在 运里,一个用户拥有多个终端的状态被称为"一用户多设备状态(one-user-multi-device state)"。在运种一用户多设备状态的时代中,预计如下需求不断增长:无缝地使用终端,而 未意识到正在从多个用户终端当中使用哪个终端。
[0026] 假设在多个终端中的各个中安装了用于访问由云服务管理的数据的应用。为了在 不使用用户的认证信息的情况下访问数据,例如,应用需要在OAuth中所谓的"访问令牌", 并且需要进行授权操作W发出访问令牌。
[0027] 在采用传统的发出处理来发出访问令牌的情况下,必须在用户拥有的各终端上分 别执行授权操作。因此,用户可能意识到在哪个终端中执行了或未执行授权操作,因此,无 法明确地说用户能够W无缝的方式使用终端。运可能导致降低在一用户多设备状态下使用 终端的便利性。
[0028] 考虑到上述情形,本发明旨在提供一种能够提高在一用户多设备状态下使用终端 的便利性权限授予系统。
[0029] 在下文中,将参照附图来描述本发明的示例性实施例。
[0030] 在具有如图1所示的结构的网络上,实现根据第一示例性实施例的权限授予系 统。在本示例性实施例中,万维网(WWW)被建立作为广域网(WAN) 100。局域网(LAN) 101将 各构成部件相互连接。移动终端连接到无线网络102。
[0031] 权限授予系统包括用于执行用户认证和访问令牌的发出的认证/授权服务器 151、资源服务器152、数据库服务器153W及由用户操作的移动终端191和192。访问令牌 是证明如下内容的信息:客户端(例如,应用)已被用户授权访问服务,并且当用户执行授 权操作W授权向应用转让用户的权限时发出该访问令牌。例如,当应用使用用于访问由云 服务管理的数据的访问令牌时,应用能够在用户授权的范围内访问数据。在本示例性实施 例中,描述了由一系列字母数字字符表示的访问令牌作为示例。然而,可W用各种方式表示 访问令牌的信息,因此,运种信息被统称为"权限信息"。
[0032] 认证/授权服务器151、资源服务器152W及数据库服务器153经由WAN100和 LAN101相互连接。同样地,移动终端191和192经由WANlOO和无线网络102相互连接。 此外,认证/授权服务器151、资源服务器152W及数据库服务器153可W被分别建立在单 独的LAN上,可W被建立在同一LAN上,或者可W被建立在同一个人计算机(PC)或者服务 器计算机上。此外,替代移动终端191及192,PC(未例示)可W经由LANlOl连接到WAN 100。此外,在本示例性实施例中,虽然上述各服务器被描述为单个服务器,但是服务器也可 W是由多个服务器构成的服务器组。因此,当服务器被称为"服务器系统"时,可W由一个 服务器或多个服务器构成。例如,认证服务器系统可W是由一个或多个认证/授权服务器 151构成的装置。
[0033] 图2是例示根据本示例性实施例的认证/授权服务器151的服务器计算机的结构 的框图。此外,同一结构也可应用于资源服务器152或数据库服务器153的服务器计算机 的结构、W及移动终端191或192的结构。此外,图2的硬件框图对应于一般的信息处理装 置的硬件框图,因此,一般的信息处理装置的硬件结构可应用于根据本示例性实施例的服 务器计算机和移动终端。
[0034] 在图2中,中央处理单元仰U) 201执行诸如操作系统攸)和应用等程序,运些程 序被存储在只读存储器(ROM) 203的程序ROM或者诸如硬盘等外部存储器211中,并被加载 在随机存取存储器(RAM) 202上。可W通过执行所述程序来实现下述流程图中所示的处理。 RAM202充当CPU201的主存储器或工作区。键盘控制器(邸C) 205控制从键盘(邸)209或指 点设备(未例示)接收的键输入。阴极射线管控制器(CRTC) 206执行阴极射线管(CRT)显 示器210的显示控制。盘控制器值KC) 207控制对用于存储各种数据的外部存储器211(例 如皿或软盘(FD)(注册商标)内的数据的访问。网络计算机(N0212连接到网络,并且执 行用于与连接到网络的其他设备通信的控制处理。
[0035] 在下面的描述中,除非另外指明,否则,CPU201在硬件方面起主要作用,而当CPU 201通过执行外部存储器211中安装的应用程序来实现应用程序的功能时,应用程序的功 能在软件方面起主要作用。
[003引图3A、图3BW及图3C分别是例示认证/授权服务器151W及移动终端191和192 的结构的图。认证/授权服务器151包括客户端标识符管理模块301、认证模块302、客户 端标识符关联管理模块303W及授权模块304。另外,移动终端191和192中的各个包括客 户端模块351和客户端关联请求模块352。此外,资源服务器152 (图2中未例示)包括通 过授予的用户的权限授权访问服务的移动终端191和/或移动终端192可访问的服务。月良 务执行从移动终端191和/或移动终端192请