用户隐私的授权方法、设备以及存储介质与流程

1.本发明涉及计算机技术领域，具体涉及一种用户隐私的授权方法、设备以及存储介质。


背景技术：

2.在互联网时代，物联网的广泛应用，越来越多的用户数据被网络应用公司采集，如何保护用户隐私数据越来越受到社会的关注。例如，网络应用公司允许第三方应用(例如，微信)获取用户数据，但是网络应用公司对应的用户本人却不一定允许第三方应用获取自身的用户隐私信息。
3.用户本人在网络应用公司的系统里存储了图片、文档以及视频等数据，用户本人只允许第三方应用获取文档数据，而不允许第三方应用获取图片以及视频数据。因此，在颁发给第三方应用的相关权限时，需要征求用户本人的同意。
4.目前，为了满足用户数据以适当的方式被共享和使用的需求，网络应用公司会将用户本人的账户和密码暴露给第三方应用，从而导致用户隐私数据的安全性较差。


技术实现要素：

5.本发明提供一种用户隐私的授权方法、设备以及存储介质，已解决现有技术中网络应用公司将用户本人的账号和密码暴露给第三方应用，从而导致用户隐私数据的安全性较差的问题。
6.本发明是通过下述技术方案来解决上述技术问题：
7.第一方面，本发明提供一种用户隐私的授权方法，所述授权方法包括以下步骤：
8.接收目标用户通过第三方应用发送的数据访问请求；所述数据访问请求用于获取所述第三方应用对认证系统对应的共享资源接口执行相应管理操作时的访问权限；
9.获取针对所述数据访问请求反馈的授权信息进行授权处理，生成授权编码并发送至所述第三方应用；
10.接收所述第三方应用发送的对应于所述授权编码的应用信息，以获取登录凭证；以及
11.基于所述登录凭证允许所述第三方应用进行访问操作。
12.第二方面，本发明提供一种电子设备，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如第一方面所述的用户隐私的授权方法。
13.第三方面，本发明提供一种计算机可读存储介质，该计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如第一方面所述的用户隐私的授权方法。
14.本发明的积极进步效果在于：提供一种用户隐私的授权方法、设备以及存储介质，该授权方法通过将登录凭证发送至第三方应用，避免将用户账户和密码暴露至第三方系统
而造成风险。该登录凭证包括登录时效，既保证了保护用户隐私数据，同时也在可控的时间范围内，将用户资源权限共享给第三方应用。
附图说明
15.图1为根据本发明实施例1的用户隐私的授权方法的流程示意图。
16.图2为根据本发明实施例2的用户隐私的授权方法的流程示意图。
17.图3为根据本发明实施例2的用户隐私的授权方法的传递流程示意图。
18.图4为根据本发明实施例3的电子设备的硬件结构示意图。
具体实施方式
19.下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。
20.实施例1
21.随着移动互联网、物联网的广泛应用，越来越多的用户数据被网络应用公司所采集。用户在某个网站系统上存储了图片、文档以及视频等数据，该用户只允许第三方应用获取存储的文档，而不允许第三方应用获取用户存储的图片以及视频。目前当第三方应用给用户发送访问权限时，会无形中将用户的隐私数据暴露给第三方应用，造成信息外泄的风险的缺陷。
22.为了克服目前存在的缺陷，本实施例提供一种用户隐私的授权方法，参照图1，本发明实施例所提供的用户隐私的授权方法可以应用于认证系统，该授权方法包括以下步骤：
23.步骤s110、接收目标用户通过第三方应用发送的数据访问请求；数据访问请求用于获取第三方应用对认证系统对应的共享资源接口执行相应管理操作时的访问权限。
24.步骤s120、获取针对数据访问请求反馈的授权信息进行授权处理，生成授权编码并发送至第三方应用。
25.步骤s130、接收第三方应用发送的对应于授权编码的应用信息，以获取登录凭证。
26.步骤s140、基于登录凭证允许第三方应用进行访问操作。
27.针对上述步骤s130，认证系统对外开发用户隐私数据的访问接口，各种第三方应用可以通过该访问接口连接到认证系统所属的目标企业的资源服务器上。该数据访问请求可以包括：第三方应用所属的标识、管理操作权限所属的标识以及待访问的用户数据所属的标识。
28.需要说明的是，该第三方应用可以为微信、qq(一种聊天应用)、网易、新浪等企业所属的应用程序，第三方应用的类型可以根据实际情况设置，在此不作具体限制。
29.针对上述步骤s120，认证系统接收到目标企业根据该数据访问请求发送的反馈消息，该反馈消息包括授权通过信息或者授权未通过信息。若反馈消息为授权信息时，则根据该授权信息对第三方应用进行授权处理，生成针对本次数据访问请求的授权编码，该授权编码是随机生成，可以包括数字、字符以及字母的组合生成。若反馈消息为未授权信息，则不进行授权处理。
30.针对上述步骤s130以及步骤s140，接收到第三方应用针对该授权编码对应的应用
信息，该应用信息可以包括第三方应用和认证系统之间交互的账户，基于该应用信息生成登录凭证，该登录凭证可以为第三方应用访问认证系统所属的目标企业的资源服务器的会话认证串。
31.本实施例提供一种用户隐私的授权方法，该授权方法通过将登录凭证发送至第三方应用，避免将用户账户和密码暴露至第三方系统而造成风险。
32.实施例2
33.在实施例1的基础上，为了克服目前存在的上述缺陷，本实施例提供一种用户隐私的授权方法，如图2所示，示出了本实施例的流程图。较之实施例1，本发明实施例所提供的用户隐私的授权方法同样可以应用于认证系统，本实施例授权方法包括以下步骤：
34.步骤s101、接收第三方应用发送的密钥创建请求或者密钥更新请求。
35.步骤s102、基于密钥创建请求和密钥更新请求，发送新创建的密钥或者更新后的密钥至第三方应用。
36.步骤s103、发送应用账号以及应用间密钥至第三方应用；应用账号以及应用间密钥为认证系统根据第一密钥和第二密钥加密后生成的；应用账号以及应用间密钥存储于第三方应用内。
37.步骤s110、接收目标用户通过第三方应用发送的数据访问请求；数据访问请求用于获取第三方应用对认证系统对应的共享资源接口执行相应管理操作时的访问权限。
38.步骤s111、根据接收到的数据访问请求跳转至目标用户对应的授权界面。
39.步骤s112、获取目标用户通过授权界面传输的用户信息。
40.步骤s113、判断用户信息与认证系统中存储的用户隐私数据是否相同，若相同，则执行步骤s114，若不相同，则执行步骤s115。
41.步骤s114、生成授权信息。该授权信息包括授权范围信息以及授权期限信息。
42.步骤s115、生成告警信息并发送至第三方应用。
43.步骤s120、获取针对数据访问请求反馈的授权信息进行授权处理，生成授权编码并发送至第三方应用。
44.步骤s130、接收第三方应用发送的对应于授权编码的应用信息，以获取登录凭证。该应用信息包括授权编码、应用账号以及应用间密钥；登录凭证与授权范围信息以及授权期限信息对应。
45.步骤s140、基于登录凭证允许第三方应用进行访问操作。
46.在步骤s101中，具体的，该应用账户以及应用间密钥可以在预设周期变化，该预设周期可以为1周，1月或者1年等。预设周期内，若接收到第三方应用发送的密钥创建请求或者密钥更新请求，生成新创建的密钥或者更新后的密钥，该密钥可以由数字、字符以及字母等组成。该方式可以随时的调整应用间密钥的数值，从而确保后续认证系统对应用信息进行验证时的有效性。
47.在步骤s103中，当至少一个第三方应用与认证系统建立通信连接之后，认证系统会针对第三方应用的属性生成应用账号以及应用间密钥并发送至第三方应用，作为第三方应用和认证系统通信的凭证。其中，该应用账号以及应用间密钥为认证系统根据新创建的第一密钥和第二密钥或者更新后的第一密钥和第二密钥加密后生成的。
48.在步骤s111-步骤s112中，通过目标用户在目标企业注册后生成的授权界面，接收
目标用户基于该授权界面键入的用户信息，该用户信息包括用户号码、用户账户、用户身份证等信息。
49.在步骤s113-步骤s114中，判断目标用户键入的用户信息与在认证系统中存储的目标用户对应的用户隐私数据是否完全一致，若一致，则表明是目标企业的注册用户在通过第三方应用访问资源服务器的内容，生成授权信息。若不一致，则表明是目标企业的非注册用户在通过第三方应用访问资源服务器的内容，则可以生成非法访问的告警信息，发送至第三方应用予以警示。
50.在步骤s130中，若授权范围为资源服务器中的车窗系统访问权限，授权期限为30分钟，开始时间为9:00，结束时间为9:30。则登录凭证上显示为车窗系统访问权限，时效为30分钟。
51.在步骤s140中，在第三方应用根据该登录凭证访问资源服务器的车窗控制接口，则认证系统会将车窗控制接口的操作结果发送至第三方应用。例如，车窗自动打开成果，则认证系统会将操作成功的提示信息发送至第三方应用，车窗自动打开失败，则认证系统会将操作失败的提示信息发送至第三方应用。
52.需要说明的是，上述实施例的应用场景可以为小爱音响app，通过认证系统访问目标企业所属的资源服务器，以获取生态体系的设备远程控制功能的访问权限。例如，小爱音箱控制车窗系统开启或者小爱音响控制空调系统开启的场景，该场景下小爱音响app为第三方应用，车窗系统和空调系统为目标企业所属的资源服务器的内部数据。
53.本实施例中，若登录凭证包括登录时效，该授权方法还包括以下步骤：
54.在登录时效内，验证应用信息是否通过，若通过，则执行响应第三方应用执行对应于登录凭证的访问操作。
55.若不通过，则停止响应第三方应用执行对应于登录凭证的访问操作。
56.本发明的各种实施例中，通过认证系统对至少一个第三方应用的用户数据进行集中管理，对认证系统所属的目标企业内存储的用户隐私数据执行相应的管理操作之前，需要先获取相应的管理操作所对应的访问权限，能够有效避免用户隐私数据的盗用和滥用，提高了用户隐私数据的安全性。
57.设置登录时效，可以更有效的在预设时间段内对应用信息以及用户身份进行验证，验证通过后，则向第三方应用发送登录凭证，发放登录权限，若验证不通过后，则不向第三方应用发送登录凭证，禁止第三方应用访问资源服务器。
58.在一个实施例中，如图3所示，当接收到目标用户通过第三方应用app(application，应用程序)的按钮或者图标触发认证系统的入口而生成的数据访问请求后，认证系统会自动根据数据访问请求跳转至目标用户对应的授权界面。当接收到来自目标用户通过用户统一登录界面键入的之前在目标企业预存的手机号以及验证信息，才确认授权给第三方应用以访问目标企业的资源服务器的权限，生成授信code(临时的，短时间内有效的随机码)并回调给第三方应用。
59.接收到来自第三方应用发送的clientid以及clientsecret(应用交互间的账户)以及临时授信code，以获取目标企业的资源服务器的访问会话token(用户访问资源服务器的会话认证串)。认证系统验证code、clientid以及clientsecret是否是正确的，若是正确的，则认证系统会响应用户会话token。第三方应用通过携带认证系统发送的会话token目
标企业所属的资源服务器，该认证系统所属的资源服务器会响应目标用户的会话请求内容。该方式使得认证系统与第三方应用之间既保护了认证系统中目标用户的隐私，同时又满足了在登录时效所对应的事件范围内，共享资源服务器的内容给第三方应用。
60.提供一种用户隐私的授权方法，该授权方法通过将登录凭证发送至第三方应用，避免将用户账户和密码暴露至第三方系统而造成风险。该登录凭证包括登录时效，既保证了保护用户隐私数据，同时也在可控的时间范围内，将用户资源权限共享给第三方应用。
61.实施例3
62.图4为本实施例提供的一种电子设备的结构示意图。所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现实施例1或者实施例2的用户隐私的授权方法，图4显示的电子设备60仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
63.电子设备60可以以通用计算设备的形式表现，例如其可以为服务器设备。电子设备60的组件可以包括但不限于：上述至少一个处理器61、上述至少一个存储器62、连接不同系统组件(包括存储器62和处理器61)的总线63。
64.总线63包括数据总线、地址总线和控制总线。
65.存储器62可以包括易失性存储器，例如随机存取存储器(ram)621和/或高速缓存存储器622，还可以进一步包括只读存储器(rom)623。
66.存储器62还可以包括具有一组(至少一个)程序模块624的程序/实用工具625，这样的程序模块624包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
67.处理器61通过运行存储在存储器62中的计算机程序，从而执行各种功能应用以及数据处理，例如本发明实施例1或者实施例2的用户隐私的授权方法。
68.电子设备60也可以与一个或多个外部设备64(例如键盘、指向设备等)通信。这种通信可以通过输入/输出(i/o)接口65进行。并且，模型生成的设备60还可以通过网络适配器66与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器66通过总线63与模型生成的设备60的其它模块通信。应当明白，尽管图中未示出，可以结合模型生成的设备60使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid(磁盘阵列)系统、磁带驱动器以及数据备份存储系统等。
69.应当注意，尽管在上文详细描述中提及了电子设备的若干单元/模块或子单元/模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多单元/模块的特征和功能可以在一个单元/模块中具体化。反之，上文描述的一个单元/模块的特征和功能可以进一步划分为由多个单元/模块来具体化。
70.实施例4
71.本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现实施例1或者实施例2的用户隐私的授权方法。
72.其中，可读存储介质可以采用的更具体可以包括但不限于：便携式盘、硬盘、随机存取存储器、只读存储器、可擦拭可编程只读存储器、光存储器件、磁存储器件或上述的任意合适的组合。
73.在可能的实施方式中，本发明还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行实现实施例1或者实施例2的用户隐私的授权方法。
74.其中，可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的程序代码，所述程序代码可以完全地在用户设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户设备上部分在远程设备上执行或完全在远程设备上执行。
75.虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。