在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络一包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。
[0085]这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
[0086]这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
[0087]计算机可读程序指令也可加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
[0088]附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0089]以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
【主权项】
1.一种用于控制资源访问的方法,所述方法包括: 响应于针对资源的访问的请求,利用第一设备确定是否授权对所述资源的所述访问,所述资源由独立于所述第一设备的第二设备提供;以及 利用关于所述访问的访问约束来定制访问令牌,以用于控制对所述资源的所述访问,所述访问令牌响应于确定授权对所述资源的所述访问而被生成。2.根据权利要求1所述的方法,其中所述访问约束基于以下至少一个而生成: 在针对所述资源的所述访问的所述请求中包括的关于所述访问的要求; 在针对所述访问令牌的请求中包括的关于所述访问的要求;以及 事先存储的关于所述访问的预定义要求。3.根据权利要求1所述的方法,其中所述访问约束包括以下至少一项: 关于所述访问的时间约束; 关于所述访问的次数约束;以及 关于所述访问的位置约束。4.根据权利要求1所述的方法,还包括: 提供所述访问令牌,使得所述访问令牌由所述第二设备获得; 从所述第二设备接收所述访问令牌;以及 至少部分地通过确定所述访问约束是否被满足,来验证所述访问令牌的有效性。5.根据权利要求1所述的方法,其中利用关于所述访问的访问约束来定制所述访问令牌包括: 将所述访问约束集成在所述访问令牌中。6.根据权利要求1所述的方法,其中利用关于所述访问的访问约束来定制所述访问令牌包括: 将所述访问约束与所述访问令牌相关联地存储在所述第一设备可访问的存储设备中。7.根据权利要求1所述的方法,其中利用第一设备确定是否授权对所述资源的所述访问包括: 基于关于以下至少一项的信息来认证请求访问所述资源的用户的身份:所述用户,所述用户所使用的用户设备,以及所述资源。8.根据权利要求1所述的方法,其中利用第一设备确定是否授权对所述资源的所述访问包括: 至少部分地基于特定于请求对所述资源的所述访问的用户所使用的客户端应用的认证信息来认证所述客户端应用,所述认证信息由所述客户端应用基于预定协议添加到针对所述访问令牌的请求中。9.根据权利要求1到8任一项所述的方法,其中所述第一设备是OAuth架构中的授权服务器,并且其中所述第二设备是所述OAuth架构中的资源服务器。10.一种用于控制资源访问的装置,所述装置包括: 认证单元,被配置为响应于针对资源的访问的请求,利用第一设备确定是否授权对所述资源的所述访问,所述资源由独立于所述第一设备的第二设备提供;以及 令牌定制单元,被配置为利用关于所述访问的访问约束来定制访问令牌,以用于控制对所述资源的所述访问,所述访问令牌响应于确定授权对所述资源的所述访问而被生成。11.根据权利要求10所述的装置,还包括访问约束生成单元,被配置为基于以下至少一个而生成所述访问约束: 在针对所述资源的所述访问的所述请求中包括的关于所述访问的要求; 在针对所述访问令牌的请求中包括的关于所述访问的要求;以及 事先存储的关于所述访问的预定义要求。12.根据权利要求10所述的装置,其中所述访问约束包括以下至少一项: 关于所述访问的时间约束; 关于所述访问的次数约束;以及 关于所述访问的位置约束。13.根据权利要求10所述的装置,还包括: 令牌提供单元,被配置为提供所述访问令牌,使得所述访问令牌由所述第二设备获得; 令牌接收单元,被配置为从所述第二设备接收所述访问令牌;以及令牌验证单元,被配置为至少部分地通过确定所述访问约束是否被满足,来验证所述访问令牌的有效性。14.根据权利要求10所述的装置,其中所述令牌定制单元包括: 访问约束集成单元,被配置为将所述访问约束集成在所述访问令牌中。15.根据权利要求10所述的装置,其中所述令牌定制单元包括: 访问约束存储单元,被配置为将所述访问约束与所述访问令牌相关联地存储在所述第一设备可访问的存储设备中。16.根据权利要求10所述的装置,其中所述认证单元包括: 用户身份认证单元,配置为基于关于以下至少一项的信息来认证请求访问所述资源的用户的身份:所述用户,所述用户所使用的用户设备,以及所述资源。17.根据权利要求10所述的装置,其中所述认证单元包括: 客户端应用认证单元,被配置为至少部分地基于特定于请求对所述资源的所述访问的用户所使用的客户端应用的认证信息来认证所述客户端应用,所述认证信息由所述客户端应用基于预定协议添加到针对所述访问令牌的请求中。18.根据权利要求10到17任一项所述的装置,其中所述第一设备是OAuth架构中的授权服务器,并且其中所述第二设备是所述OAuth架构中的资源服务器。
【专利摘要】本发明公开了用于控制资源访问的方法和装置。根据本发明的实施例,提供一种用于控制资源访问的方法,所述方法包括:响应于针对资源的访问的请求,利用第一设备确定是否授权对所述资源的所述访问,所述资源由独立于所述第一设备的第二设备提供;响应于确定授权对所述资源的所述访问而生成访问令牌;以及利用关于所述访问的访问约束来定制所述访问令牌,以用于控制对所述资源的所述访问。还公开了相应的装置。
【IPC分类】H04L29/06
【公开号】CN105100007
【申请号】CN201410193279
【发明人】杨光, 肖祎, 王宇, 邹佳, 徐铭法
【申请人】国际商业机器公司
【公开日】2015年11月25日
【申请日】2014年5月8日
【公告号】US20150326578