专利名称:转换鉴权令牌以促进应用程序之间的交互的方法和装置的制作方法
转换鉴权令牌以促进应用程序之间的交互的方法和装置
背景技术:
0001许多应用程序执行包含联系另一应用程序的操作。通常,
这些应用程序中的每个均具有其本身独特的用户验证程序。因此,当 用户启动第一应用程序中的功能部件、并且该功能部件与第二应用程 序通信时,该第二应用程序通常需要用户重新验证。例如,报税应用 程序可具有执行包含与财务应用程序通信的操作的能力,但是为了使 已由报税应用程序验证的用户执行这些操作,用户必须首先用该财务 应用程序重新验证。
0002因此,每当一个应用程序与另一应用程序通信时,用户 都必须重新验证。这种对重新验证的需要,使体系结构无法提供无缝 的用户体验,并且对忙碌的用户而言可能是耗时且不便的。
发明内容
0003本发明的一个实施例提供了一种转换鉴权令牌以促进应 用程序之间的交互的系统。在操作期间,该系统从第一应用程序接收 命令执行请求,其中所述命令执行请求指定将在第二应用程序之上执 行的命令。其后,该系统检验包含在命令执行请求中的第一鉴权令牌。 然后,该系统将第一鉴权令牌转换成与第二应用程序相关联的形式以 产生第二鉴权令牌。该系统通过将第一鉴权令牌替换为第二鉴权令牌 来修改命令执行请求,以创建修改的命令执行请求。然后,该系统将 修改的命令执行请求发送至第二应用程序。
0004在对本实施例的一个变化中,第一应用程序与第二应用
程序位于相同的计算机系统上。
0005在对本实施例的一个变化中,来自于第一应用程序的命 令执行请求可包括目标统一资源定位器(URL),其指定第二应用程 序的位置;第一鉴权令牌类型,其指定第一鉴权令牌的形式;第二鉴 权令牌类型,其指定第二鉴权令牌的形式;与第一鉴权令牌相关联的
用户的用户标识符;第二应用程序的有效负荷数据;以及命令。
0006在对本实施例的一个变化中,检验第一鉴权令牌包含识 别第一鉴权令牌的第一鉴权令牌类型。然后,该系统使用与第一鉴权 令牌类型相关联的解密规则来解密第一鉴权令牌,以获得解密的第一 鉴权令牌。其后,该系统检验解密的第一鉴权令牌的有效性。
0007在进一步的变化中,检验解密的第一鉴权令牌的有效性 可包含检验解密的第一鉴权令牌未过期,以及检验解密的第一鉴权令 牌是与第一用户标识符相关联的。
0008在对本实施例的一个变化中,转换第一鉴权令牌包含识 别第二鉴权令牌类型,所述第二鉴权令牌类型指定第二应用程序的第 二鉴权令牌的形式。然后,该系统识别第二用户标识符,所述第二用 户标识符被映射到第一用户标识符,其中所述第一用户标识符是与第 一鉴权令牌相关联的。此后,该系统然后创建第二鉴权令牌,其中第 二鉴权令牌是与第二用户标识符相关联的,其中第二鉴权令牌采用由 第二鉴权令牌类型指定的形式。
0009在进一步的变化中,创建第二鉴权令牌包含向第三方鉴 权令牌供应者请求第二鉴权令牌。其后,该系统从该第三方鉴权令牌 供应者接收第二鉴权令牌。
0010在进一步的变化中,第二用户标识符与第一用户标识符 是相同的。
0011在对本实施例的变化中,第一鉴权令牌和第二鉴权令牌 可包括cookie (译注cookie是小量信息,由网络服务器发送出来以存 储在网络浏览器上,从而下次这位独一无二的访客又回到该网络服务 器时,可从该浏览器读回此信息)、数字证书、用户名/密码对、密钥, 以及生物识别符。
0012在对本实施例的变化中,修改命令执行请求包含修改命 令使其具有与第二应用程序相关联的格式。其后,该系统包括具有修 改的命令执行请求的修改的命令。
0013图1示出了根据本发明实施例的计算环境。
0014图2示出根据本发明实施例、说明将命令执行请求从与
第一应用程序关联的格式转换成与第二应用程序关联的格式的过程的 流程图。
0015图3示出根据本发明实施例、说明检验鉴权令牌的过程 的流程图。
0016图4示出根据本发明实施例、说明将具有第一鉴权令牌 类型的第一鉴权令牌转换成第二鉴权令牌类型的过程的流程图。
具体实施例方式
0017给出如下描述以使得本领域技术人员能够实现和使用本 发明,并在特定应用及其要求的上下文中提供如下描述。对所公开的 实施例的各种修改对本领域技术人员而言将会是显而易见的,并且在 此所定义的一般原理可适用于其它实施例和应用而不偏离本发明的精 神和范围。因而,本发明并不限于所示的实施例,而是符合与在此所 公开的原理和特征一致的最广的范围。
0018在该具体实施方式
中所描述的数据结构和代码通常存储 于计算机可读存储介质中,其可以是任何可存储计算机系统使用的代 码和/或数据的设备或介质。这包括,但不限于,易失性存储器、非易 失性存储器、磁和光存储设备,诸如磁盘驱动器、磁带、CD (光盘)、 DVD (数字多用途光盘或数字视频光盘),或其它能够存储已知或之后 开发的计算机可读介质的介质。
概述
0019本发明的一个实施例提供了单点登录会话桥接器,此后 被称为"桥接器",其解决桥接与各种安全令牌相关联的不同域的问题。 所述桥接器通过将来自于一个域的安全令牌转换成另一个、和/或将一 种类型的安全令牌转换成另一种类型的安全令牌来实现上述目的。
0020例如,在本发明的一个实施例中,当用户点击与一应用
程序相关联的链接时,该应用程序向桥接器发出会话令牌、或鉴权令 牌。在本实施例中,桥接器可存在于目标系统的虛拟域中,其中目标 系统为第二应用程序的宿主,并且链接指向该目标系统。此后,桥接
器能够将鉴权令牌转换成与目标系统相关联的形式。使用转换的鉴权 令牌,桥接器验证目标系统的用户,并且随后将用户重新引导到目标 系统。
计算机系统
0021图1说明了根据本发明实施例的计算环境100。
0022计算环境100通常可包括任何类型的计算机系统,其可 包括基于微处理器、大型计算机、数字信号处理器、便携式计算设备、 个人管理器、设备控制器和装置内的计算引擎的计算机系统。具体地, 计算环境100可包括客户机110、膝上电脑120、网络130、服务器140、 服务器150、服务器160、应用程序145、应用程序165和桥接器190。
0023客户机110和膝上电脑120通常可包括网络上的任何节 点,所述节点具有计算能力并具有在整个网络上通信的机构。
0024网络130通常可包括任意类型的能将计算节点耦合在一 起的有线或无线通信信道。这包括,但不限于,局域网、广域网,或 网络的组合。在本发明的一个实施例中,网络130包括因特网。
0025服务器140、 150和160通常可包括计算机网络上的任何 节点,所述计算机网络包括用于服务来自于客户机的对计算和/或数据 存储资源的请求的机构。
0026应用程序145和165通常可包括任何计算机程序。在本 发明的一个实施例中,服务器140执行应用程序145,并且服务器160 执行应用程序165。
0027在本发明的一个实施例中,应用程序145和165是同一 应用程序的实例。
0028在本发明的一个实施例中,应用程序145和165是不同 应用程序的实例。
0029在本发明的一个实施例中,应用程序145和165是同一 应用程序的组分。
0030桥接器190通常可包括任何系统,所述系统接收与第一 应用程序145相关联的形式的鉴权令牌并将该鉴权令牌转换成与第二 应用程序16相关联的形式。在本发明的一个实施例中,桥接器l卯可
以是由客户机110、膝上电脑120或服务器(诸如服务器140)作为其 宿主的应用程序。
0031在本发明的一个实施例中,用户112通过客户机110访 问应用程序145。在用户112可开始使用应用程序145之前,用户112 向应用程序145进行验证,这包含应用程序145创建与用户112相关 联的鉴权令牌。当使用应用程序145时,用户112点击指向应用程序 145的链接以发送命令执行请求至桥接器190,所述命令执行请求包括 鉴权令牌和应用程序165将执行的命令。桥接器190然后将鉴权令牌 转换成应用程序165可处理的形式。然后,桥接器190发送修改的命 令执行请求至应用程序165,所述修改的命令执行请求包括转换的鉴权 令牌以及应用程序165将执行的命令。
0032在本发明的一个实施例中,桥接器190响应接收来自应 用程序145的鉴权令牌,而向第三方系统(例如服务器150)请求第二 鉴权令牌,其中所述第二鉴权令牌是与应用程序165相关联的形式。 此后,服务器150发送该第二鉴权令牌至桥接器190,桥接器190随后 将该第二鉴权令牌和应用程序165将要执行的命令一起发至应用程序 165。
0033在本发明的一个实施例中,管理员122通过膝上电脑120 向桥接器190提供规则。这些规则指示桥接器190如何将鉴权令牌转 换成其它类型的鉴权令牌。
0034在本发明的一个实施例中,桥接器190向用户112呈现 与桥接器190、应用程序145或应用程序165相关联的用户界面。在本 发明的一个实施例中,该用户界面是非交互的。在这个实施例中,用 户界面可向用户112提供命令执行请求的状态报告,或与应用程序145 、 应用程序165或桥接器190相关联的溅射屏幕。
0035在本发明的一个实施例中,用户界面是交互的。在本实 施例中,用户112通过用户界面向桥接器190提供信息。桥接器190 可使用该信息来促进对命令执行请求的处理。
0036在本发明的一个实施例中,命令执行请求包括使桥接器 190能够自定义用户界面的数据。
0037在本发明的一个实施例中,桥接器190不向用户112呈
现用户界面。在本实施例中,用户112意识不到桥接器190的存在。 本实施例允许体系结构在用户112使用多个应用程序时向用户112提 供无缝的体验。
转换命令执行请求
0038图2示出根据本发明实施例、将命令执行请求从与第一 应用程序相关联的格式转换成与第二应用程序相关联的格式的过程的 流程图。
0039该过程开始于桥接器190接收于来自应用程序145的命 令执行请求,服务器140是该应用程序145的宿主(步骤202)。在本 发明的一个实施中,命令执行请求包括目标统一资源定位器(URL), 其中所述目标统一资源定位器指定应用程序165的位置;第一鉴权令 牌类型,其指定第一鉴权令牌的形式,其中第一鉴权令牌的形式是与 应用程序145关联的;第二鉴权令牌类型,其指定第二鉴权令牌的形 式,其中第二鉴权令牌的形式是与应用程序165相关联的;与第一鉴 权令牌相关联的用户标识符;使得应用程序165能够执行命令的有效 负荷数据;和应用程序165将要执行的命令。
0040在本发明的一个实施例中,目标URL指定与应用程序165
相关联的网页的位置。
0041在本发明的一个实施例中,目标URL指定进入应用程序 165的进入点。
0042在本发明的一个实施例中,通过使用熟悉本领域的人员 己知的任何协议,命令执行请求可指定应用程序165的位置,或进入 应用程序165的进入点。
0043然后,桥接器190检验第一鉴权令牌的有效性,所述第 一鉴权令牌包含在命令执行请求中(步骤204)。注意,这是多步骤过 程,下文将参照图3对其进行更为详细地描述。
0044在本发明的一个实施例中,第一鉴权令牌可包括cookie、 数字证书、用户名/密码对、密钥、生物识别符、以及熟悉本领域的人 员已知的其它任何形式的鉴权令牌。
0045在检验第一鉴权令牌的有效性之后,桥接器190将第一鉴权令牌转换成与应用程序165相关联的形式,以获得第二鉴权令牌
(步骤206)。注意,这是多步骤过程,下文将参照图4对其进行更为
详细地描k。
0046在本发明的一个实施例中,第二鉴权令牌可包括cookie、 数字证书、用户名/密码对、密钥、生物识别符、以及熟悉本领域的人 员已知的其它任何形式的鉴权令牌。
0047在本发明的一个实施例中,服务器140是应用程序145 和应用程序165的主机。
0048在本发明的一个实施例中,应用程序145和应用程序165 是同一应用程序的两个组分。
0049然后,桥接器190修改命令执行请求,以通过将第一鉴 权令牌替换为第二鉴权令牌来创建修改的命令执行请求(步骤208)。
0050在本发明的一个实施例中,桥接器190修改从应用程序 145接收的命令以创建修改的命令(步骤210)。为创建该修改的命令, 桥接器190改变该命令的格式以匹配与应用程序165相关联的格式。 这使得应用程序165能够执行该命令。在创建该修改的命令之后,桥 接器l卯将修改的命令包含在修改的命令执行请求中(步骤212)。例 如,在本发明的一个实施例中,应用程序145以如下顺序格式化命令 命令类型,变量,然后是变量值。然而,应用程序165格式化同一命 令,以在指定变量值之后指定该命令类型。因而,对于将执行由应用 程序145发出的命令的应用程序165而言,桥接器190重新格式化来 自于应用程序145的命令以匹配与应用程序165相关联的命令格式。 这些步骤是可选的,如环绕步骤210和212的虚线所示出的那样。
0051
一旦桥接器190已完成创建修改的命令执行请求,桥接 器190就将该修改的命令执行请求发送至应用程序165 (步骤214)。
检验鉴权令牌
0052图3示出根据本发明实施例、说明检验鉴权令牌的过程 的流程图。
0053该过程开始于桥接器190试图识别第一鉴权令牌的第一 鉴权令牌类型(步骤302),第一鉴权令牌包含于命令执行请求中。在
本发明的一个实施例中,桥接器190试图通过将第一鉴权令牌的格式 与一组已知的鉴权令牌格式进行比较来识别第一鉴权令牌类型。在这
个实施例中,管理员122在桥接器190接收命令执行请求之前、向桥 接器190指定一组已知的鉴权令牌格式。这使应用程序145能够与使 用不同鉴权令牌类型的应用程序通信而不用修改应用程序145。
0054在本发明的一个实施例中,命令执行请求指定第一鉴权 令牌类型。
0055如果桥接器190能够识别第一鉴权令牌类型,那么桥接 器190使用与第一鉴权令牌类型相关联的解密规则来解密第一鉴权令 牌,从而获得解密的第一鉴权令牌(步骤304)。
0056在本发明的一个实施例中,桥接器190在识别第一鉴权 令牌类型之前解密第一鉴权令牌。在这个实施例中,桥接器190能够 识别解密规则而不用识别第一鉴权令牌类型。
0057在本发明的一个实施例中,应用程序145不解密第一鉴 权令牌,因此,桥接器190不必解密第一鉴权令牌。
0058在解密第一鉴权令牌之后,桥接器190检验解密的第一 鉴权令牌的有效性(步骤306)。检验解密的第一鉴权令牌的有效性可 包含检验解密的第一鉴权令牌未过期;检验解密的第一鉴权令牌与 用户标识符相关联,其中该用户标识符与用户112相关联;检验解密 的第一鉴权令牌未被篡改;以及熟悉本领域的人员已知的任何其它令 牌检验过程。
0059在本发明的一个实施例中,检验解密的第一鉴权令牌未 被篡改可包含检验与该解密的第一鉴权令牌关联的散列值;检验与 该解密的第一鉴权令牌相关联的数字证书;检验与该解密的第一鉴权 令牌相关联的密钥;以及熟悉本领域的人员已知的识别该解密的第一 鉴权令牌是否已被篡改的任何其它过程。
0060如果桥接器190确定该解密的第一鉴权令牌是有效的, 那么桥接器l卯前进至步骤206。如果桥接器190不能识别第一鉴权令 牌类型,或如果桥接器190确定该解密的第一鉴权令牌不是有效的, 那么桥接器l卯拒绝命令执行请求(步骤308)。桥接器190然后向应 用程序145发送错误消息(步骤310)。在这一点上,该过程结束,并
且桥接器190不会继续至步骤206。
0061在本发明的一个实施例中,发送错误消息可包括报告鉴 权令牌过期,报告鉴权令牌是无效的,报告桥接器190不能确定如何 将鉴权令牌转换成与应用程序165相关联的格式,报告桥接器l卯不 可用,以及报告熟悉本领域的人员已知的任何其它错误消息类型。
0062在本发明的一个实施例中,桥接器190可请求用户112 用应用程序145重新验证。在这个实施例中,在用户112用应用程序 145重新验证之后,应用程序145重新发送命令执行请求。
0063在本发明的一个实施例中,桥接器190不向应用程序145 发送错误消息。
转换鉴权令牌
0064图4示出根据本发明实施例、说明将与第一鉴权令牌类
型相关联的第一鉴权令牌转换成第二鉴权令牌类型的过程的流程图。0065该过程开始于桥接器l卯试图识别第二鉴权令牌类型, 其中该第二鉴权令牌类型是与应用程序165相关联的(步骤402)。在 本发明的一个实施例中,桥接器190基于命令执行请求的目标应用程 序(例如,应用程序165)确定第二鉴权令牌类型。在这个实施例中, 在桥接器190接收该命令执行请求之前,管理员122将第二鉴权令牌 类型与应用程序165关联起来。
0066在本发明的一个实施例中,应用程序145将第二鉴权令 牌类型包括在命令执行请求中。
0067如果桥接器190成功识别第二鉴权令牌类型,那么桥接 器190确定是否存在与第一鉴权令牌类型和第二鉴权令牌类型相关联 的转换规则(步骤404)。注意,该转换规则指定如何将第一鉴权令牌 转换成与第二鉴权令牌类型相关联的格式、以获得第二鉴权令牌。在 本发明的一个实施例中,在桥接器190接收命令执行请求之前,管理 员122将转换规则与第一鉴权令牌类型和第二鉴权令牌类型关联起来。
0068如果桥接器l卯成功识别与第二鉴权令牌类型相关联的 转换规则,那么桥接器190确定是否存在用户标识符映射(步骤406)。
注意,该用户标识符映射为第一用户标识符、第一鉴权令牌类型和第
二鉴权令牌类型的给定组合指定第二用户标识符。桥接器l卯将第二 用户标识符包括在修改的命令执行请求中,所述修改的命令执行请求
由桥接器190发送至应用程序165。
0069在本发明的一个实施例中,第一用户标识符和第二用户 标识符是相同的用户识别符。
0070如果桥接器l卯成功识别用户标识符映射,那么桥接器 190使用转换规则来创建第二鉴权令牌类型的第二鉴权令牌(步骤 408)。桥接器190然后继续执行步骤208。
0071在本发明的一个实施例中,桥接器190使用转换规则和 用户标识符映射的组合来促进第二鉴权令牌的创建。
0072在本发明的一个实施例中,桥接器l卯通过向与第二鉴 权令牌类型相关联的第三方(例如,服务器150)请求第二鉴权令牌来 创建第二鉴权令牌。例如,如果第二鉴权令牌类型指示应用程序165 需要数字证书来验证用户112,以及服务器150是认证授权方,那么桥 接器190可联系服务器150以获得数字证书。服务器150然后可将第 二鉴权令牌发送至桥接器l卯。
0073如果桥接器190不能识别第二鉴权令牌类型、转换规则、 或用户标识符映射,那么桥接器190拒绝命令执行请求(步骤410)。 此后,桥接器190发送错误消息至应用程序145 (步骤412)。在这一 点上,该过程结束,并且桥接器190不继续至步骤208。
0074在本发明的一个实施例中,发送错误消息可包括报告鉴 权令牌是过期的,鉴权令牌是无效的,桥接器190不能确定如何将鉴 权令牌转换成与应用程序165相关联的格式,桥接器190是不可用的, 以及熟悉本领域的人员已知的任何其它错误消息类型。
0075在本发明的一个实施例中,桥接器190可联系用户112 以请求对第一鉴权令牌类型、第二鉴权令牌类型、转换规则或用户标 识符映射的识别。在这个实施例中,桥接器l卯可存储用户112对该 请求的响应。因而,如果桥接器190从用户112接收第二命令执行请 求,则桥接器l卯将能够在没有用户112的辅助下完成该请求。注意, 这个实施例可使用户112对桥接器190进行编程,以执行除那些由管 理员122编程的鉴权令牌转换之外的鉴权令牌转换。
0076在本发明的一个实施例中,桥接器190可联系管理员122 以请求对第一鉴权令牌类型、第二鉴权令牌类型、转换规则或用户标 识符映射的识别。在这个实施例中,在桥接器190接收命令执行请求 之前,管理员122无需指定一组已知的鉴权令牌格式、将鉴权令牌格 式与可用的应用程序关联起来、指定转换规则、或指定用户标识符映 射。
0077在本发明的一个实施例中,桥接器190不向应用程序145 发送错误消息。
0078上述对本发明实施例的描述仅出于说明和描述的目的。 它们无意是穷举的或将本发明限制为所公开的形式。因此,对于本领 域技术人员来说许多修改和变化都是显而易见的。另外,上述的公开 并无意限制本发明。本发明的范围由所附权利要求限定。
权利要求
1.一种转换鉴权令牌的方法,其包含从第一应用程序接收命令执行请求,其中所述命令执行请求指定将由第二应用程序执行的命令;检验包含于所述命令执行请求中的第一鉴权令牌;将所述第一鉴权令牌转换成与所述第二应用程序相关联的形式以产生第二鉴权令牌;通过将所述第一鉴权令牌替换为所述第二鉴权令牌来修改所述命令执行请求,以创建修改的命令执行请求;以及将所述修改的命令执行请求发送至所述第二应用程序。
2. 根据权利要求1所述的方法,其中所述第一应用程序与所述第 二应用程序位于相同的计算机系统上。
3. 根据权利要求1所述的方法,其中来自于所述第一应用程序的 所述命令执行请求可包括目标统一资源定位器,其指定所述第二应用程序的位置; 第一鉴权令牌类型,其指定所述第一鉴权令牌的形式; 第二鉴权令牌类型,其指定所述第二鉴权令牌的形式; 用户识别符,其用于与所述第一鉴权令牌相关联的用户; 所述第二应用程序的有效负荷数据;以及 所述命令。
4. 根据权利要求1所述的方法,其中检验所述第一鉴权令牌进一 步包含识别所述第一鉴权令牌的第一鉴权令牌类型;使用与所述第一鉴权令牌类型关联的解密规则来解密所述第一鉴权令牌以产生解密的第一鉴权令牌;以及 检验所述解密的第一鉴权令牌的有效性。
5. 根据权利要求4所述的方法,其中检验所述解密的第一鉴权令牌的有效性可包含检验所述解密的第一鉴权令牌未过期;以及检验所述解密的第一鉴权令牌是与用户标识符相关联的。
6. 根据权利要求1所述的方法,其中转换所述第一鉴权令牌进一步包含识别第二鉴权令牌类型,其指定所述第二应用程序的所述第二鉴 权令牌的形式;识别第二用户标识符,其是从与所述第一鉴权令牌相关联的第一 用户标识符映射而来的;以及创建与所述第二用户标识符相关联的所述第二鉴权令牌,其中所 述第二鉴权令牌采用由所述第二鉴权令牌类型指定的形式。
7. 根据权利要求6所述的方法,其中创建所述第二鉴权令牌可包含向第三方鉴权令牌供应者请求所述第二鉴权令牌;以及 从所述第三方鉴权令牌供应者接收所述第二鉴权令牌。
8. 根据权利要求6所述的方法,其中所述第二用户标识符与所述 第一用户标识符是相同的用户标识符。
9. 根据权利要求1所述的方法,其中所述第一鉴权令牌和所述第 二鉴权令牌可包括C00ki6;数字证书; 用户名/密码对; 密钥;以及 生物识别符。
10. 根据权利要求1所述的方法,其中修改所述命令执行请求进一 步包含-将所述命令的格式修改为与所述第二应用程序相关联的格式;以及将所述修改的命令包含到所述修改的命令执行请求中。
11. 一种存储指令的计算机可读存储介质,其中所述指令在被计算 机执行时将使所述计算机执行转换鉴权令牌的方法,所述方法包含-从第一应用程序接收命令执行请求,其中所述命令执行请求指定将由第二应用程序执行的命令;检验包含在所述命令执行请求中的第一鉴权令牌;将所述第一鉴权令牌转换成与所述第二应用程序相关联的形式, 以产生第二鉴权令牌;通过将所述第一鉴权令牌替换为所述第二鉴权令牌来修改所述命 令执行请求,以创建修改的命令执行请求;以及将所述修改的命令执行请求发送至所述第二应用程序。
12. 根据权利要求11所述的计算机可读存储介质,其中所述第一 应用程序与所述第二应用程序位于相同的计算机系统上。
13. 根据权利要求11所述的计算机可读存储介质,其中来自于所 述第一应用程序的所述命令执行请求可包含目标统一资源定位器,其指定所述第二应用程序的位置; 第一鉴权令牌类型,其指定所述第一鉴权令牌的形式; 第二鉴权令牌类型,其指定所述第二鉴权令牌的形式; 用户识别符,其用于与所述第一鉴权令牌相关联的用户; 所述第二应用程序的有效负荷数据;以及 所述命令。
14. 根据权利要求11所述的计算机可读存储介质,其中检验所述 第一鉴权令牌进一歩包含;识别所述第一鉴权令牌的第一鉴权令牌类型; 使用与所述第一鉴权令牌类型相关联的解密规则解密所述第一鉴权令牌,以产生解密的第一鉴权令牌;以及检验所述解密的第一鉴权令牌的有效性。
15. 根据权利要求14所述的计算机可读存储介质,其中检验所述解密的第一鉴权令牌的有效性可包含检验所述解密的第一鉴权令牌未过期;以及 检验所述解密的第一鉴权令牌是与用户标识符相关联的。
16. 根据权利要求11所述的计算机可读存储介质,其中转换所述第一鉴权令牌进一步包含识别第二鉴权令牌类型,其指定所述第二应用程序的所述第二鉴权令牌的形式;识别第二用户标识符,其是从与所述第一鉴权令牌相关联的第一 用户标识符映射而来的;以及创建与所述第二用户标识符相关联的所述第二鉴权令牌,其中所 述第二鉴权令牌采用由所述第二鉴权令牌类型指定的形式。
17. 根据权利要求16所述的计算机可读介质,其中创建所述第二 鉴权令牌可包含向第三方鉴权令牌供应者请求所述第二鉴权令牌;以及 从所述第三方鉴权令牌供应者接收所述第二鉴权令牌。
18. 根据权利要求16所述的计算机可读存储介质,其中所述第二 用户标识符与所述第一用户标识符是相同的用户标识符。
19. 根据权利要求11所述的计算机可读存储介质,其中所述第一 鉴权令牌和所述第二鉴权令牌可包括cookie;数字证书;用户名/密码对; 密钥;以及 生物识别符。
20. 根据权利要求11所述的计算机可读存储介质,其中修改所述 命令执行请求进一步包含将所述命令的格式修改为与所述第二应用程序相关联的格式;以及将所述修改的命令包含到所述修改的命令执行请求中。
21. —种转换鉴权令牌的装置,其包含接收机构,其被配置以从第一应用程序接收命令执行请求,其中所述命令执行请求指定将由第二应用程序执行的命令;检验机构,其被配置以检验包含在所述命令执行请求中的第一鉴 权令牌;转换机构,其被配置以将所述第一鉴权令牌转换为与所述第二应 用程序相关联的形式,以产生第二鉴权令牌;修改机构,其被配置以通过将所述第一鉴权令牌替换为所述第二 鉴权令牌来修改所述命令执行请求,以创建修改的命令执行请求;以 及发送机构,其被配置以将所述修改的命令执行请求发送至所示第 二应用程序。
22. 根据权利要求21所述的装置,其中所述检验机构进一步包含 识别机构,其被配置以识别所述第一鉴权令牌的第一鉴权令牌类型;解密机构,其被配置以使用与所述第一鉴权令牌类型相关联的解 密规则来解密所述第一鉴权令牌,以产生解密的第一鉴权令牌;以及 第二检验机构,其被配置以检验所述解密的第一鉴权令牌的有效性。
23. 根据权利要求22所述的装置,其中所述第二检验机构被进一 步配置以-检验所述解密的第一鉴权令牌未过期以及 检验所述解密的第一鉴权令牌是与用户标识符相关联的。
24. 根据权利要求21所述的装置,其中所述转换机构进一步包括:识别机构,其被配置以识别第二鉴权令牌类型,所述第二鉴权令牌类型指定所述第二应用程序的所述第二鉴权令牌的形式;第二识别机构,其被配置以识别第二用户标识符,所述第二用户 标识符是从与所述第一鉴权令牌相关联的第一用户标识符映射而来 的;以及创建机构,其被配置以创建与所述第二用户标识符相关联的所述 第二鉴权令牌,其中所述第二鉴权令牌采用由所述第二鉴权令牌类型 指定的形式。
25. 根据权利要求24所述的装置,其中所述创建机构进一步包含: 请求机构,其被配置以向第三方鉴权令牌供应者请求所述第二鉴权令牌;以及接收机构,其被配置以从所述第三方鉴权令牌供应者接收所述第 二鉴权令牌。
26. 根据权利要求21所述的装置,其中所述修改机构被进一步配 置以将所述命令的格式修改为与所述第二应用程序相关联的格式;以及将所述修改的命令包含在所述修改的命令执行请求中。
全文摘要
本发明的一个实施例提供了一种转换鉴权令牌以促进应用程序之间的交互的系统。在操作期间,该系统从第一应用程序接收命令执行请求,其中所述命令执行请求指定将在第二应用程序上执行的命令。其后,该系统检验包含在命令执行请求中的第一鉴权令牌。然后,该系统将第一鉴权令牌转换成与第二应用程序相关联的形式以产生第二鉴权令牌。此后,该系统通过将第一鉴权令牌替换为第二鉴权令牌来修改命令执行请求,以创建修改的命令执行请求。此后,该系统将修改的命令执行请求发送至第二应用程序。
文档编号G06F9/54GK101114237SQ20071013902
公开日2008年1月30日 申请日期2007年7月23日 优先权日2006年7月25日
发明者A·G·巴拉日, Z·Z·Y·潘 申请人:因图依特有限公司