通过被动客户端发送会话令牌的制作方法
【专利说明】通过被动客户端发送会话令牌
[0001] 戦
[0002] 在线计算服务经常在计算机网络上与客户端(诸如远程客户端)通信。如本文中使 用的,计算服务是在主机上运行的计算组件(诸如计算机应用),该主机包括一个或多个计 算机器并针对一个或多个本地和/或远程客户端执行动作。在一些实例中,第一计算服务向 客户端发送重定向消息,从而指令客户端重定向到另一计算服务。运样的重定向消息可包 括客户端要向第二计算服务发送的信息。
[0003] 有时,运样的重定向消息被用于指令被动客户端与要求认证的第二计算服务通 信。在运样的情况下,用户输入被要求来登录到第二计算服务,即使用户输入已经被提供来 登录到发送重定向消息的第一计算服务。
[0004] 懸
[0005] ^中讨论的各工具和技术设及将会话令牌从第一计算服务发送到第一计算服 务从其获得该会话令牌的第二计算服务。会话令牌是包括足够的信息W供会话令牌的发送 者(诸如第二计算服务)在该令牌被返回到该发送者时验证该令牌匹配并且没有被篡改的 令牌。会话令牌可通过被动客户端来发送,诸如第一计算服务在会话令牌被发送之前与其 通信的并且第二计算服务在会话令牌被发送之后与其通信的被动客户端。如本文中使用 的,被动客户端是缺乏作出其自己的关于客户端要将会话令牌发送到哪个特定计算实体或 哪些特定计算实体的合乎逻辑的判定的能力的普通计算机客户端。相反,被动客户端盲目 地转发会话令牌(在被动客户端被明确指令运么做的情况下),诸如在被动客户端被第一计 算服务指令来将会话令牌转发到第二计算服务的情况下(例如,在第二计算服务被标识在 来自第一计算服务的重定向消息中的情况下)。例如,被动客户端可W是在移动设备(例如, 智能手机)、平板设备或台式设备(例如,膝上型计算机或台式计算机)上运行的被动客户 端,诸如移动应用、移动浏览器客户端、平板浏览器客户端、平板应用、台式应用和/或台式 浏览器客户端。
[0006] 在一个实施例中,各工具和技术可包括请求要从第二计算服务发送到第一计算服 务的会话令牌,W及第一计算服务接收来自第二计算服务的所请求的会话令牌。第一计算 服务可通过被动客户端向第二计算服务发送包括该会话令牌的消息。
[0007] 在各工具和技术的另一实施例中,第一会话令牌可从第二计算服务发送到第一计 算服务。第二计算服务可从被动客户端接收包括声称匹配第一会话令牌的第二会话令牌的 消息。第二计算服务可验证该消息是有效的,其可包括验证第二会话令牌匹配第一会话令 牌。如本文中使用的,会话令牌匹配指会话令牌相互对应,使得第二令牌没有W不想要的方 式被修改。例如,在一些技术中,两个会话令牌在它们相互相同的情况下匹配。
[000引提供本概述是为了 W简化的形式介绍一些概念。运些概念将在W下详细描述中进 一步描述。本
【发明内容】
并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用 于限制所要求保护主题的范围。类似地,本发明不限于解决在背景、详细描述、或附图中讨 论的专用技术、工具、环境、缺点、或优点的实现。
[0009] 附图简述
[0010] 图I是其中可实现所描述的各实施例中的一个或多个实施例的合适的计算环境的 框图。
[0011] 图2是用于通过被动客户端跨各服务发送会话令牌的环境的示意图。
[0012] 图3是描绘用于通过被动客户端在各服务之间委派用户身份的示例证明令牌方式 的调用流的调用流图。
[0013] 图4是可与图3的方法一起使用的浏览器显示示例的说明。
[0014] 图5是描绘用于通过被动客户端在各服务之间在会话令牌中安全地发送信息的方 式的调用流图。
[0015] 图6是示出用于通过被动客户端发送会话令牌的技术的流程图。
[0016] 图7是示出用于通过被动客户端发送会话令牌的另一技术的流程图。
[0017] 图8是示出用于通过被动客户端发送会话令牌的又一技术的流程图。
[001引 详细描述
[0019] 本文描述的各实施例设及用于计算服务之间通信的技术和工具。运样的改进可源 于分开或组合地使用各种技术和工具。
[0020] 运样的技术和工具可包括将会话令牌返回给第二服务的第一服务,该令牌由第一 服务从第二服务接收。会话令牌可W是第二服务对第一服务和被动客户端保留的秘密,其 中该令牌通过该被动客户端返回给第二服务。例如,会话令牌可被加密,使得会话令牌对于 第一服务和对于被动客户端而言是不透明的,但可由第二服务解密和处理。会话令牌可通 过被动客户端返回。运样的工具和技术可被用于允许第一计算服务安全地将信息发送到第 二计算服务,即使被动客户端不被信任。例如,要被发送的信息可被包括在会话令牌中。作 为一个示例,会话令牌可W是证明令牌,其可与证明密钥一起被发送到第一计算服务。如本 文中使用的,证明令牌是与证明密钥一起提供的令牌,其可被用于对附加信息进行签名。证 明令牌、证明密钥W及用证明密钥来签名的信息提供了一个指示,即经签名的信息来自于 第二计算服务将证明令牌和证明密钥提供给的第一计算服务。因此,第一计算服务可用该 证明密钥来对附加信息进行签名。第一计算服务可通过被动客户端将用该证明密钥来签名 的附加信息发送到第二计算服务。运可允许第二计算服务W被动客户端发起与第二计算服 务的通信的方式来接收来自被动客户端的附加信息。浏览器和第二计算服务此后可在客户 端一服务器配置(诸如计算机网络(诸如全球计算机网络)上的Web浏览器和Web服务配置) 中继续通信。
[0021] 在本文中讨论的各工具和技术的一实现的一个示例中,两个受信任的服务可在计 算机网络(诸如因特网)上通过被动客户端(例如,没有插件或被具体指引来处理身份委派 场景的其他代码的Web浏览器)安全地委派身份(诸如用户和/或应用身份)。
[0022] 由此,从此处描述的工具和技术中可W实现一个或多个实质的益处。例如,本文中 的各工具和技术可允许两个服务通过被动客户端安全地通信,即使该客户端和运样的通信 通过其来传递的网络是不安全或不受信任的的。作为一个示例,运样的通信可包括将身份 从一个服务委派到另一个的信息。运可提供效率,避免了诸如在认证用户输入已经被匹配 身份(诸如与匹配第二计算服务的第二简档的第一计算服务的第一简档相关联)在第一计 算服务上提供时用于在第二计算服务处认证的用户输入的必要。附加地,通过W上讨论的 证明令牌示例,只要证明令牌和证明密钥可被从第二服务发送到第一服务一次,则证明令 牌和密钥就可被使用多次来通过一个或多个被动客户端将多个安全消息从第一计算服务 发送到第二计算服务。通过避免针对每个要通过被动客户端从第一计算服务发送到第二计 算服务的新消息来将新的令牌从第二计算服务发送到第一计算服务,运可提供附加的效 率。
[0023] 所附权利要求中定义的主题不必限于此处描述的益处。本发明的专用实现可提供 本文描述的益处的全部、一些、或未提供本文描述的益处。尽管本文出于呈现的目的W专用 的顺序次序描述了用于各种技术的操作,但应理解除非要求专用的排序,否则运种描述方 式涵盖了操作顺序上的重新安排。例如,在某些情况下,可W重新安排或并发执行顺序地描 述的操作。此外,为了简单起见,流程图可能未示出可结合其他技术来使用专用技术的各种 方式。
[0024] 在此描述的技术可被用于在此描述的一个或多个系统和/或用于一个或多个其他 系统。例如,在此描述的各种过程可用硬件或软件、或两者的组合来实现。例如,W下参考图 1讨论的处理器、存储器、存储、输出设备、输入设备和/或通信连接中的每一个可W是一个 或多个硬件组件的至少一部分。专用硬件逻辑组件可被构建W实现在此描述的一个或多个 技术的至少一部分。例如,但非限制,运样的硬件逻辑组件包括现场可编程口阵列(FPGA)、 程序专用的集成电路(ASIC)、程序专用的标准产品(ASSP)、片上系统(S0C)、复杂可编程逻 辑器件(C化D)等。可包括各实施例的装置和系统的应用可广泛地包括各种电子和计算机系 统。可使用具有相关的控制和数据信号的两个或更多个内联硬件模块或装置或作为应用专 用的集成电路的一部分来实现各技术,其中控制和数据信号可在模块之间并通过模块进行 通信。此外,在此描述的各技术可由计算机系统可执行的软件程序来实现。作为一个示例, 实现可包括分布的处理、组件/对象分布的处理、W及平行处理。此外,虚拟计算机系统进程 可被构建W实现在此描述的一个或多个技术或功能。例如,本文中讨论的计算服务、身份提 供者W及客户端可被实现为硬件逻辑和/或实现为在硬件组件上运行的软件,诸如W下讨 论的类型的组件。
[00巧]I.示例性计算环境
[0026] 图1示出其中可实现所描述的各实施例中的一个或多个的合适的计算环境(100) 的通用示例。例如,一个或多个运样的计算环境可被用作第一计算服务和/或第二计算服 务、身份提供者和/或用作主控被动客户端的计算机器。一般而言,可使用各种不同的通用 或专用计算系统配置。适用于此处所描述的工具和技术的公知计算系统配置的示例包括, 但不限于,服务器场和服务器群集、个人