,生成的访问令牌并非如传统方案中那样被直接提供和使用,而是在步骤S302处被定制。具体而言,在步骤S302处,利用关于所请求访问的访问约束(access constraint)来定制访问令牌,以用于控制对资源的访问。在此使用的术语“访问约束”是指在访问第二设备202所提供的资源时施加于访问过程的任何约束。
[0048]根据本发明的实施例,访问约束可以包括对资源访问的任何方面的约束。例如,在某些实施例中,访问约束可以包括访问时间约束,以用于指定所请求的资源可访问的特定日期、时间或者时间段。备选地或附加地,在某些实施例中,访问约束可以包括访问次数约束,以用于指定所请求的资源可被访问的最大允许次数。备选地或附加地,在某些实施例中,访问约束可以包括访问位置约束,以用于指定所请求的资源仅当用户处于给定的位置或者地理范围内时可被访问。应当理解,上面描述的仅仅是访问约束的若干示例性实施例,并非意在限制本发明的范围。任何适当的访问约束均落入本发明的范围之内。
[0049]根据本发明的实施例,访问约束可以利用第一设备201以各种适当的方式被生成。在某些实施例中,访问约束可以基于用户指定的资源访问要求而被生成。例如,用户可以指定与资源访问的次数、时间、地理位置等方面有关的要求。上述信息可以由用户通过用户界面输入客户端应用203和/或用户代理204。
[0050]作为示例,图4示出了一个用于供用户输入资源访问要求的用户界面的示意图。在某些实施例中,用户界面400可以在用户请求使用客户端应用203访问第二设备202处的资源时被呈现。在用户界面400中,用户可以分别在字段401和402中输入访问的开始时间和结束时间,从而限定资源的可访问时段。用户可以在字段403中输入可访问次数,在字段404中输入访问的地理位置要求,和/或在字段405输入任何其他访问要求。作为示例,字段401-405中的一个或多个字段可被实现为文本框、下拉列表、复选框等任何适当的控件元素。
[0051]用户指定的访问要求可以被包括在针对资源的访问请求中。例如,在某些实施例中,用户指定的访问要求在从用户代理204发送给第一设备201的用户身份认证请求中。备选地,用户指定的访问要求也可以被包括在从客户端应用203发送给第一设备201的针对访问令牌的请求中。注意,根据本发明的实施例,尽管用户指定的访问要求在逻辑上可被视作请求的一部分,但是在实践中可以根据需要而灵活地确定具体实现方式。例如,在某些实施例中,用户指定的访问要求可以被适当地设置格式,以便作为相应请求消息中的一个字段而被传送。备选地,访问要求和请求消息也可以在物理上独立地传送。
[0052]备选地或附加的,资源访问要求也可以是预先定义的,例如定义在第一设备201与用户和/或第二设备202的SLA中。作为示例,可以在第二设备202获得资源时,规定针对该资源的访问要求。所规定的访问要求可以是第一设备201已知的,也可以由第二设备202转发给第一设备201。根据本发明的实施例,预先定义的访问要求可以与用户标识和/或资源标识相关联地被存储在第一设备201可访问的任何存储位置。在操作中,第一设备201可以检索预定义的访问要求,并且据此生成访问约束以便定制访问令牌。
[0053]根据本发明的实施例,在步骤S302处,利用访问约束对访问令牌的定制可以通过任何适当的方式实现。例如,在某些方式中,可以对生成的访问约束进行适当的格式设置,而后将其集成到访问令牌中。在这样的实施例中,访问约束将随同访问令牌一起被提供。
[0054]备选地,在步骤S302处,访问约束也可以与访问令牌相关联地被存储,而不是被直接集成到访问令牌中。在这样的实施例中,访问约束可以被存储在任何第一设备201可访问的存储位置。可以使用任何适当的技术来存储访问约束,例如借助于纯文本、可扩展标记语言(XML)、数据库,等等。访问约束与访问令牌的关联可以通过各种适当的方式实现。例如,在某些实施例中,可以将访问令牌的编号等唯一标识与被存储的访问约束关联。
[0055]特别地,在某些实施例中,访问令牌的定制和生成可以是两个独立的步骤。也即,可以首先生成访问令牌,而后在步骤S302处对生成的访问令牌进行定制。备选地,在其他实施例中,也可以在一个步骤中完成访问令牌的生成和定制。本发明的范围在此方面不受限制。
[0056]利用方法300,由第一设备201生成的访问令牌不仅可以指示允许或者拒绝用户使用客户端应用203访问由第二设备202提供的资源,而且还可以借助于访问令牌实现对资源的访问时间、访问次数、访问位置和/或任何其他方面的控制。而且,对用户身份和/或客户端应用的认证可以被灵活地定制。以此方式,实现了认证授权方与资源提供方的松耦合,并且提高了认证和授权的灵活性。
[0057]特别地,在实践中,用户身份认证、客户端应用认证和访问令牌的定制和验证可以借助于相应的插件实现。这些插件可以据特定需求和/或协议而被开发,并且可以被动态地部署到第一设备201中。
[0058]参考图5,其示出了使用根据本发明的实施例而生成的定制访问令牌的方法500的示意性流程图。
[0059]在步骤S501,由第一设备201提供在方法300中的步骤302处被生成并且在步骤S303处被定制的访问令牌,以使得该令牌由作为资源提供方的第二设备202获得。在某些实施例中,访问令牌可由第一设备201提供给客户端应用203。客户端应用203转而将访问令牌提供给第二设备202以获得所请求的资源。备选地,在其他实施例中,也可以由第一设备201直接将访问令牌提供给第二设备202。
[0060]在获得了经定制的访问令牌之后,第二设备202将该令牌返回给第一设备201以便确认访问令牌是否保持有效。相应地,在步骤S502,在第一设备201处接收来自第二设备202的访问令牌。
[0061]接下来,在步骤S503,可以至少部分地通过确定与访问令牌相关联的访问约束是否得以满足,来验证访问令牌的有效性。具体而言,根据本发明的实施例,除了以常规方式验证令牌的有效性之外,可以利用第一设备201确定访问约束是否被满足。如上所述,在某些实施例中,访问约束被集成在访问令牌中。在这样的实施例中,可以直接从接收到的访问令牌中读取访问约束。备选地,也可以利用令牌的标识从可访问的存储位置取回已被存储的关联的访问约束。
[0062]在获得访问约束之后,可以确定对资源的当前访问请求是否满足这些约束。例如,可以确定当前访问次数是否满足访问次数约束,当前时间是否满足访问时间约束,当前用户所处的位置是否满足位置约束,等等。注意,根据本发明的实施例,在验证访问令牌的有效性时可能需要借助于相关的服务。例如,为了确定用户的位置是否满足与定制的访问令牌相关联的访问约束,需要访问位置服务以确定用户的当前位置。根据本发明的实施例,诸如位置服务之类的所需服务可由第二设备202提供,从用户设备获取,或者由任何其他的服务提供方来提供。本发明的范围在此方面不受限制。
[0063]基于对访问令牌的有效性验证结果,可以相应地控制对资源的访问。例如,如果在步骤S503处通过确定访问约束而验证访问令牌有效,则第一设备201可以指示第二设备202向客户端应用203返回所请求的资源。反之,如果任何访问约束未得到满足,则可以拒绝对资源的访问。
[0064]下面参考图6,其示出了根据本发明实施例的用于控制资源访问的方法在OAuth架构下的实现的示意图。OAUTH架构是旨在为用户资源的授权提供了一个安全的、开放而又简易的标准。在OAuth架构下,授权服务器(Authorizat1n Server)可以充当本发明中的第一设备201,而资源服务器(Resource Server)可以充当本发明的第二设备202。系统600是上文参考图2描述的系统200在OAuth架构下的一种具体实现。
[0065]如图6所示,用户在步骤S601使用用户代理204 (例如,Web浏览器)访问客户端应用203(例如,Web应用),以便使用客户端应用203访问由资源服务器(即,第二设备)202提供的指定资源。
[0066]在步骤S602,客户端应用203利用用户代理204将用户重定向到授权服务器(即,第一设备)201。用户代理204在步骤S603向授权服务器201发出认证请求,以指明访问