一种跨域授权的设置、鉴权方法、相关装置及系统的制作方法

专利名称：一种跨域授权的设置、鉴权方法、相关装置及系统的制作方法
技术领域：
本发明涉及计算机应用领域，尤其涉及一种跨域授权的设置、签权方法、相关装置
及系统。
背景技术：
SNS (Social Network Site)网站，中文一般称为社交网站服务器，是基于社会网络关系系统思想建立的网络虚拟社交网络平台。从Myspace到Facebook、开心网和校内网等，国内外的社交网站服务器已经走向成熟，成为越来越多人日常生活的一部分。同时出现了大量提供给社交网站平台中用户的各种应用，该应用一般是应用服务器提供的，正是这些丰富多彩的社交应用，真正为用户带来了价值。应用网站服务器往往是和社交网站服务器分离独立的，可以由不同的业务提供商运营，且应用网站服务器与社交网站服务器一般位于不同的域中。用户在应用网站服务器中可以有很多的资源信息，如照片、视频、日记、微型博客、网址收藏或位置信息等，而在社交网站服务器中则存储着用户的关系信息，如联系人(也称为好友列表等)和群组等信息。 用户希望将自己在应用网站服务器的资源能够有限制的分享给自己在社交网站中的某些联系人或指定的群组，如果关系信息和资源信息在同一域内时通过普通的权限设置即可实现，而如果不在同一域内时，则应用网站服务器不能未经许可而随意访问用户在社交网站服务器的关系信息，这样，如何实现将应用网站服务器中的资源信息授权给不同域中的关系信息的用户即跨域授权是一个目前需要解决的问题。

发明内容
本发明实施例提供一种跨域授权的设置、签权方法、相关装置及系统，以实现将用户处于第一域的资源信息授权给第二域的关系信息，从而可以提高用户体验。
本发明实施例提供一种跨域授权的设置方法，包括
接收用户访问资源信息的请求； 根据上述请求显示包含所述用户的资源信息的第一页面，所述第一页面是处于第一域的第一服务器提供的； 根据上述第一页面显示包含上述用户的关系信息的第二页面，所述第二页面是处于第二域的第二服务器提供的； 接收用户在上述第二页面选择对应于上述资源信息的关系信息； 向上述第一服务器发送上述资源信息和上述用户在第二页面中选择的关系信息，
以便于第一服务器存储上述选择的关系信息与资源信息的对应记录，并将上述对应记录作
为访问上述资源信息的授权信息。 本发明实施例还提供一种跨域授权的鉴权方法，其包括 接收用户通过终端访问处于第一域第一服务器中资源信息的请求； 获取上述资源信息对应的授权信息，上述授权信息记录有上述资源信息对应的处
6于第二域第二服务器的关系信息； 判断上述用户是否属于上述关系信息； 如果是，则允许所述用户访问上述资源信息，否则拒绝上述用户访问上述资源信息。 本发明实施例还提供一种跨域授权的鉴权方法，其包括 接收用户通过终端的请求； 根据上述请求获取上述用户的授权信息； 根据上述授权信息获取上述用户被授权访问的资源信息； 将所述资源信息发送给所述终端。 本发明实施例还提供一种跨域授权的设置方法，其包括
接收用户通过终端发送的访问资源信息的请求； 根据上述请求向终端发送包含有资源信息的第一页面，以便于上述终端根据所述第一页面向第二域的第二服务器发送获取关系信息的获取请求，且上述终端获取所述第二服务器发送的关系信息并将上述关系信息显示在第二页面； 接收终端发送的资源信息和用户在所述第二页面选择对应于上述资源信息的关系信息，存储所述选择的关系信息与资源信息的对应记录，并将所述对应记录作为访问上述资源信息的授权信息。 本发明实施例还提供一种终端，其包括 请求接收模块，用于接收用户访问资源信息的请求； 显示模块，用于根据上述请求显示包含有位于第一域的所述用户的资源信息的第一页面，根据上述第一页面显示包含有位于第二域的所述用户的关系信息的第二页面；
关系信息接收模块，用于接收用户在上述第二页面选择对应于上述资源信息的关系信息； 发送模块，用于向第一服务器发送上述资源信息和在第二页面中选择的关系信息，以便于第一服务器存储上述选择的关系信息与资源信息的对应记录，并将上述对应记录作为访问所述资源信息的授权信息。
本发明实施例还提供一种服务器，其特征在于，包括
接收模块，用于接收用户通过终端的请求； 获取模块，用于根据上述请求获取上述用户的授权信息，并根据上述授权信息获取所述用户被授权访问的资源信息； 发送模块，用于将上述资源信息发送给所述终端。
本发明实施例还提供一种服务器，其包括 接收模块，用于接收用户通过终端访问处于第一域第一服务器中资源信息的请求； 获取模块，用于获取上述资源信息对应的授权信息，上述授权信息记录有上述资源信息对应的处于第二域第二服务器的关系信息； 处理模块，用于判断上述用户是否属于所述关系信息；在判断为是时允许上述用
户访问上述资源信息，在判断为否时拒绝上述用户访问上述资源信息。
本发明实施例还提供一种服务器，其包括
接收模块，用于接收用户通过终端发送的请求； 发送模块，用于根据上述请求向终端发送包含有资源信息的第一页面，以便于上
述终端根据所述第一页面向第二域的第二服务器发送获取关系信息的获取请求，且所述终
端获取所述第二服务器发送的关系信息并将上述关系信息显示在第二页面； 存储模块，用于接收终端发送的资源信息和用户在所述第二页面选择对应于上述
资源信息的关系信息，存储所述选择的关系信息与资源信息的对应记录，并将上述对应记
录作为访问所述资源信息的授权信息。 本发明实施例还提供一种跨域授权的系统，其特征在于，包括 第一服务器，位于第一域，用于接收用户通过终端发送的请求；根据上述请求向终端发送包含有资源信息的第一页面，以便于上述终端根据所述第一页面向第二域的第二服务器发送获取关系信息的获取请求，且上述终端获取所述第二服务器发送的关系信息并将上述关系信息显示在第二页面；接收终端发送的资源信息和用户在所述第二页面选择对应于所述资源信息的关系信息，存储上述选择的关系信息与资源信息的对应记录，并将所述对应记录作为访问上述资源信息的授权信息； 第二服务器，位于第二域，用于向上述终端发送上述用户的关系信息。 采用本发明实施例提供的跨域授权的设置、鉴权方法、终端、服务器及系统，可以
实现了将用户处于第一域的资源信息授权给位于该用户在另一个域的关系信息如联系人、
群组等，从而提高用户的体验。用户可以直接利用第二服务器中自己已有的关系信息来对
第一服务器中的资源进行关联授权，即用户可从自己的视角来方便得对资源进行共享授权。


图1为本发明一种实施例提供的一种跨域授权的设置方法的流程图； 图2为本发明又一种实施例提供的一种跨域授权的设置方法的流程图； 图3为本发明又一种实施例提供的一种跨域授权的设置方法的示意图； 图4为本发明另一种实施例提供的一种跨域授权的设置方法的流程图； 图5为本发明实施例提供的一种跨域授权的设置方法中终端的浏览器的示意图； 图6为本发明一种实施例提供的一种跨域授权的鉴权方法的流程图； 图7为本发明又一种实施例提供的一种跨域授权的鉴权方法的流程图； 图8为本发明另一种实施例提供的一种跨域授权的鉴权方法的流程图； 图9为本发明一种实施例提供的一种终端的结构示意图； 图10为本发明一种实施例提供的一种服务器的结构示意图； 图11为本发明又一种实施例提供的一种服务器的结构示意图； 图12为本发明另一种实施例提供的一种服务器的结构示意图； 图13为本发明一种实施例提供的一种跨域授权的系统的结构示意图。
具体实施例方式本发明实施例提供一种跨域授权的设置方法，请参图1所示，其包括
101 :接收用户访问资源信息的请求；
102:根据上述请求显示包含上述用户的资源信息的第一页面，上述第一页面是处 于第一域的第一服务器提供的； 103 :根据上述第一页面显示包含上述用户的关系信息的第二页面，上述第二页面 是处于第二域的第二服务器提供的； 104 :接收用户在上述第二页面选择对应于上述资源信息的关系信息； 105 :向上述第一服务器发送上述资源信息和在第二页面中选择的关系信息，以便
于第一服务器存储上述选择的关系信息与资源信息的对应记录，并将上述对应记录作为访
问上述资源信息的授权信息。 采用上述实施例，可以实现将用户处于第一域的资源信息授权给第二域的关系信 息，从而可以提高用户体验。 本发明提供的另外一种实施例中，处于第一域中的第一服务器，其存储有用户的 资源信息，如照片、视频、网址收藏，博客日志等；处于与第一域不同的第二域中的第二服务 器，其存储有该用户的联系人和群组等关系信息。如图2所示，本发明实施例提供的一种跨 域授权的设置方法主要包括以下步骤
步骤201、终端接收用户的访问资源信息的请求。 用户通过终端第一服务器中的资源信息，该访问方式可以采用OpenID技术，即第
一服务器作为OpenID(开放身份标识)的依赖方，第二服务器作为OpenID的提供方，第一
服务器接收用户使用OpenID身份标识进行，根据OpenID协议通过重定向方式，终端的浏览
器会被前转到第二服务器的第二页面上对用户进行认证，用户提供密码或其它认证信息如
指纹等，通过上述认证后再通过重定向返回到第一服务器在终端上显示的第一页面，该第
一页面上包含有有用户的资源信息，如照片、视频、网址收藏，博客日志等。 第一服务器亦可以在终端的浏览器端设置会话cookie用于维持当前的用户会
话，后续该用户访问第一服务器时就不必再进行认证。如果该终端的浏览器禁用cookie，可
以直接在HTTP请求和响应消息中携带会话信息以维持当前用户会话。这两种维持会话的
方式都是互联网业务中的常用技术，此处不再赘述。 除了可以采用OpenID技术外，还可以采用其他的跨域身份认证技术如单点(SS0，
Single Sign On)，包括0penSS0和微软Passport等，来简化用户的资源信息的授权过程，
用户可以通过终端的浏览器登录一次第一服务器，后续需要对资源信息授权时用户浏览器
可直接访问第二服务器获取用户的关系信息，而无需再次在第二服务器进行认证。 当然如果不想使用额外的跨域身份认证技术，也可以让用户在访问第一服务器后
再访问第二服务器以获取用户的关系信息，即再单独一次第二服务器即可。 步骤202、第一服务器通过用户终端的浏览器显示第一页面，即第一服务器中的资
源信息的授权页面，该第一页面中显示有资源信息，以及确定授权的按钮或超链接。该第一
页面中的超文本代码(包括脚本代码)都由第一服务器生成，且由该第一服务器发送到用
户终端的浏览器端显示。 步骤203、根据上述第一页面显示包含关系信息的第二页面。 终端的浏览器还显示有包括用户的关系信息的第二页面，该第二页面的超文本代 码(包括脚本代码)由第二服务器生成。该第二页面可以有多种显示方式，如在第一页面 中以iframe (Inline Frame,内联框架)的形式显示，或者当在第一页面点击某个按钮或链接时，弹出一个新的浏览器页面显示用户的关系信息如联系人和群组等。 第二页面中又包括一个指向第一服务器的iframe框架页面，称为第三页面， 一般
设为隐藏风格。通过上述第二页面中指向第一服务器的iframe框架页面，可以突破浏览器
中无法直接进行跨域通信的限制，使第一服务器与第二服务器可以通过用户的浏览器进行
信息的传递和交流。 请参图3所示，第一页面中以iframe的形式显示第二页面，可见通过一个从第一 服务器的第一页面到第二服务器的第二页面，再到第一服务器的第三页面，再回到第一服 务器的第一页面这样的一个环状信息传递通道，实现了关系信息在浏览器内的跨域传递， 使第一服务器可以方便地获得第二服务器中的用户的关系信息，从而对应用中的资源进行 授权。 第二页面可以通过在第一页面中设置第二页面的源地址来进行显示，如可以在第 一页面的javascript脚本函数中对iframe形式的第二页面的源地址属性进行设置，举例 如下 〈a href = 〃 http://snsexample.com/relationship.php 〃 target = window, open(' http://snsexample. com/relationship.Php'); 如果用户通过终端第一服务器时是由第二服务器进行身份认证，如采用OpenID 或单点等方式，即用户在步骤101通过第二服务器的身份认证时，第二服务器可以在用户 的终端的浏览器端设置相应的会话cookie项，该cookie项的数据可以包括会话标识等会 话信息，在当前会话内用户访问第二服务器就可以不必进行认证了。即第二页面先获取用 户的终端的浏览器端的cookie数据，然后携带cookie数据向第二服务器请求获取该用户 的关系信息，并将得到的关系信息显示在本页面中。 如果第一服务器与第二服务器不能采用OpenID或单点等方式使用户只在一个服 务器中进行身份认证，则用户在第一服务器上之后，由于第二页面对应的第二服务器没有 相应的会话信息如cookie数据，则第二页面显示用户的关系信息之前，要提示用户先第二 服务器上进行身份认证。 如图4所示，第一页面中包含资源信息，如照片，还有一个确定授权的按钮。在第 一页面中可以采用内联框架的形式包含第二页面，第二页面显示的关系信息中可以包括联 系人列表，联系人可以分组显示，如分组为同事、同学和家人等，在每个联系人或分组名称 前面显示一个复选框。另外还可以显示用户创建或参与的一些公共群组以及群组成员，供 用户选择。无论是联系人的分组，还是公共群组，都可以用唯一的组标识来表示。第二页面 显示的可以是联系人的姓名或昵称，以及群组的名称，但在实际的信息传送时，使用的一般 是联系人的用户标识，以及组标识。 除了上述的联系人和群组，第二服务器还可以检测最近与用户曾经有过通信的其 他用户，如在第二服务器中有过发送消息，邮件，通过电话的记录，然后将这些用户也显示 在第二页面中。未来电信网和互联网紧密融合，在电信运营商运营的第二服务器中，很容易
>显示群组和联系人〈/a>
或者按钮的点击事件对应脚本打开新页面如获得用户的通信记录(如短信，电话等)，与用户有过通信联系的人不一定会在上述用户的 联系人和群组中，但有时用户却希望能与这些有过通信联系的人临时分享一些资源，这些 人(可以称为临时联系人)的信息实际上也属于用户的关系数据。 另外，由于用户可能对当前的资源信息已经授权给了一些关系信息如联系人或群 组，第一页面还可以从第一服务器请求获取该用户对当前资源信息的已有授权信息，并将 已获得授权的联系人和群组信息等作为第二页面源地址URL(统一资源定位符)的参数传 递给第二页面。举例如下 iframel. src ="http://snsexample. com/relationship. php#groups = group 1 ，， ？ 其中书签中的参数即该上述地址"#"后面的部分表示当前资源已经授权给了群组 group1。
除了使用书签参数外，也可以使用在源地址的查询字符串"？"后包含参数，如
iframe 1.src = "http://snsexample.com/re1ationshiP.Php groups = group 1 ，， ？ 当然在需要使用同一个地址，通过iframe的URL传送大量信息的情况下，书签"#" 是最好的方式。 第二页面可以在本窗口加载事件(window. onLoad)发生时，在当前页面地址中 获取上述参数，然后在显示用户的关系信息时，根据上述参数将已经获得授权的群组如 gro卯l设置为选中状态。由此用户可以了解哪些关系信息如联系人或群组已经获得授权访 问当前资源信息。参数中同时包括群组和联系人的例子如下 ifr咖el. src ="http://snsexample. com/relationshiP. Php#groups = groupl&
contacts = usera+userb，，； 上述地址中的参数表示当前资源已经被授权给了群组groupl以及联系人usera 禾口 userb。 groupl为纟且f示i只，usera禾口 userb为用户f示i只。 步骤204、用户在第二页面中选择关系信息，并将用户所选择的关系信息传递给第 三页面。第二页面在用户通过终端选择或取消选择群组或联系人的事件发生时(如对应联 系人或群组的复选框的onClick事件)，都将当前选中的关系信息(群组或联系人)传递给 第三页面，其传递的方法可以通过设置第三页面的源地址属性指定第三页面的页面地址，
并将用户选择的关系信息包含在地址参数中传送给第三页面。所设置的第三页面的源地址 举例如下 iframe2. src = "http://appexample. com/auth. php#groups = groupl+group2&
contacts = usera+userb+userc，，； 上述地址中的参数表示当前资源被选择授权给群组groupl和gro卯2以及联系人 usera、 userb禾口 userc。 步骤205、第三页面将第二页面发送的用户选择的关系信息传递给第一页面。第 三页面设置一个定时器函数，每隔一预定的时间间隔如500毫秒执行一次，在当前页面地 址中的参数里获取用户选择的关系信息，当其有变化时就传递给第一页面。由于预定的 时间间隔很短(一般小于1秒)，第三页面获取的这些关系信息可以实时反映用户在第二 页面做出的授权选择，然后将这些关系信息(如"groups = groupl+gro卯2&contacts =
11usera+userb+userc")传递给第一页面的相应脚本程序处理。因为第三页面和第一页面位 于同一域内，即都在第一服务器中，没有跨域通信的问题，关系信息可以正常的进行传递。 对于内联框架形式的第二页面，第三页面中的处理脚本举例如下 } setlnterval(transmit,500); 上述脚本在每隔500毫秒执行一次上述transmit ()函数，将本页面的源地址中的 参，(艮卩window, location, hash X寸jS白勺内容)4专iH纟合第一页面(艮卩X寸象parent, parent) 的相应脚本程序(即上述receive函数)处理。 对于弹出形式的第二页面，第三页面中的处理脚本举例如下
function transmit (){ parent, opener, receive(window, location, hash); } setlnterval (transmit, 500); 其中第一页面对应的为parent, opener对象，这与内联框架形式的第二页面时不 同。 步骤206、在用户确定为所选择的联系人和/或群组授权资源信息后，第一页面将 用户最终所选择的关系信息和资源信息等提交给第一服务器。 第一页面中包括一个确定授权的按钮或超链接，可以命名为"共享"或"确定"等。 当该按钮被用户激活后，第一页面将用户最终所选择的关系信息和资源信息等提交给第一 服务器服务器。第一服务器存储用户所选择的关系信息与资源信息的对应记录，并将该对 应记录作为访问该资源信息的授权信息。另外，上述授权信息中还可以包含授权时间，即第 一页面将用户最终所选择的关系信息和对应的资源信息等提交给第一服务器的时间。
由以上步骤可见，第一服务器和第二服务器之间仅在终端的浏览器端就完成了对 应资源信息的关系信息的传送，如已授权的关系信息从第一服务器的第一页面传送给第二 服务器的第二页面，以及用户选择的关系信息从第二服务器的第二页面经第三页面传送给 第一页面。不必在第一服务器和第二服务器之间直接传送任何数据，即可完成跨域的资源 授权，实现简单高效，充分利用了终端的计算能力。可以使缺乏关系信息的第一服务器充分 利用第二服务器中的用户关系信息来增强自身应用的社交功能，吸引更多的用户访问。
本发明的另一实施例提供的一种跨域授权的设置方法中，如果用户的终端浏览器 禁用cookie,为了保证跨域信息传递的安全性，在信息传递之前，首先在第一域与第二域之 间交换密码，以后传递信息时都要带上密码，在接收到传递的信息时先要对密码进行验证。 请参图5所示，具体过程如下 步骤301 、第一页面获取第一密码。该第一密码可以由第一页面自行利用随机函数 生成，或者从第一服务器请求获取第一密码。因为有些浏览器自身并不能利用随机函数生 成安全性较高的密码，因此建议采用从服务器获取密码的方式，密码可以为一个随机字符 串。可以使用第一服务器与用户浏览器之间的会话标识(Session ID)作为第一密码，因为 会话标识通常都是一个不可预测的随机字符串。
步骤302、第一页面将上述第一密码传递给第二页面。在第二页面的窗口加载事件
(window. onLoad)中，获取第一页面在第二页面的源地址中设置的密码参数，如可在书签参
数中包含密码。第二页面将收到的第一密码缓存，用于后续进行密码验证。 步骤303、第二页面获取第二密码，并将该第二密码发送给第三页面。该第二密码
同样可以由第二页面自行生成，或者从第二服务器请求获取第二密码，并将第二密码传递
给第三页面，也可以使用第二服务器与用户浏览器之间的会话标识(Session ID)作为第二密码。 步骤304、第三页面再将第二密码传递给第一页面。第一页面缓存该第二密码，用 于后续进行密码验证。至此完成了第一服务器与第二服务器之间的跨域密码交换。
步骤305、在后续传送用户选择的关系信息时，第一页面和第二页面都要在设置的 URL书签参数中分别带上各自域所对应的密码。如第一页面在设置第二页面的源地址属性 时，携带密码举例如下 ifr咖el. src ="http://snsexample. com/relationship. php#groups = groupl&
password = qw3e45s32328f3nl"; 上述地址的书签参数中除了关系信息外，还包括第一密码"qw3e45s32328f3nl"。
步骤306、第二页面对密码进行验证。在第二页面的窗口加载事件中，取出本窗口 地址中书签参数中的密码如上述密码"qw3e45s32328f 3nl "，然后将该密码与之前缓存的第 一密码进行对比验证，验证通过后才进行后续处理。如后续的步骤中需要取出参数中的已 授权的关系信息。 步骤307、第二页面将用户所选择的关系信息传递给第三页面时，也携带第二密 码。 步骤308、第三页面进行密码验证。在第三页面的窗口定时器函数中，取出本窗口 地址中书签参数中的密码，然后将该密码与之前缓存的第二密码进行对比验证，验证通过 后才进行后续处理。 这样在当前浏览器实例之外的其他地方访问第二页面或第三页面对应地址的请 求，由于无法获得上述密码，因此不会泄漏用户的关系信息或资源授权信息等。
本发明一种实施例提供的一种跨域授权的鉴权方法中，描述了其他用户访问第一 服务器中资源信息时的鉴权处理过程。为描述清楚，将拥有第一服务器中资源信息的用户 称为第一用户，要访问第一用户的资源信息的用户为第二用户。假设第一用户将第一服务 器中的资源信息如相册P已经授权给了群组A，群组A中的成员包含第二用户。请参见图 6，该实施例的步骤如下 步骤401、第一服务器接收第二用户访问第一用户的资源信息如相册P的请求，该 资源信息处于上述处于第一域中的第一服务器中，上述请求可以为第二用户使用如OpenID 进行，也可以通过其他方式进行。 步骤402、第一服务器查询并获得第一用户对该资源信息的授权信息，该授权信息
记录有该资源信息对应的处于第二域第二服务器的关系信息。 步骤403、第一服务器判断第二用户是否属于上述关系信息。 步骤404、如果是，则第一服务器允许第二用户访问上述资源信息，否则拒绝第二 用户访问上述资源信息。
通过上述实施例提供的方法，第一服务器能通过对用户的验证，将另一用户授权 的资源信息共享给该用户，从而可以提高用户体验。 为了让第一服务器尽量少的获得用户的关系信息，如第二用户所归属的全部群 组，而且第二用户所归属的全部群组可能很多，第二服务器也不便于全部传递给第一服务 器，即本实施例中第一服务器仅存储有第一用户的资源信息所对应的联系人信息和群组的 标识，而不保存群组中的具体联系人。本发明又一种实施例提供的跨域授权的鉴权方法的 步骤具体请参见图7: 步骤501、第一服务器接收第二用户访问第一用户的资源信息如相册P的请求。该 第二用户上述第一服务器可以采用OpenID的方式，也可以采用其他的方式。
步骤502、第一服务器根据上述资源信息获取第一用户对该资源信息的授权信息 记录，并判断第二用户是否为已被授权的联系人(包括临时联系人)，如果是，则允许第二 用户访问，结束本流程；否则执行步骤503。 步骤503、第一服务器将第一用户对该资源的授权信息记录中所授权的群组标识 以及第二用户的标识发送给第二服务器，请求第二服务器判定第二用户是否为上述所授权 的群组的成员。当第二用户为所授权的群组中至少其中之一的成员时，则第二服务器返回 肯定的判定结果。 步骤504、第一服务器接收第二服务器返回的判定结果，如果判定结果为肯定结 果，则第一服务器允许第二用户访问，否则禁止访问。 通过上述实施例提供的方法，第一服务器能通过对用户的验证，将另一用户授权 的资源信息共享给该用户，从而可以提高用户体验。 为了在用户登录第一服务器后，即可显示该用户有权限访问的其他用户共享的资 源，方便用户获知自己有哪些可访问的资源，本发明另一种实施例提供的一种跨域授权的 鉴权方法请参照图8，主要包括步骤 步骤601、第一服务器接收第二用户的访问请求，并在存储的授权信息中检索出上 述第二用户所归属的群组所对应的被授权访问的资源信息，以及第二用户自身对应的被授 权访问的资源信息。由于被检索出的资源可能很多，因此可以用对应的授权时间来筛选资 源，如只检索出授权时间为预定时期内(如最近一周内)的被授权访问的资源，或者最新的 (授权时间最接近当前时间)预定数量(如最近被授权的前10项)资源等。
步骤602、将上述资源信息显示在第二用户后的页面中。通过上述方案，可见为用 户提供了一个个性化的后的首页，显示用户可以访问的资源。尤其是那些最近被共享的资 源。 本发明实施例提供的方法能使用户登录第一服务器后，即可显示该用户有权限访
问的其他用户共享的资源信息，从而提高用户体验。 本发明一种实施例提供一种终端7，请参图9所示，其包括 请求接收模块71，用于接收用户访问资源信息的请求； 显示模块72，用于根据上述请求显示包含有位于第一域的上述用户的资源信息的 第一页面，根据上述第一页面显示包含有位于第二域的所述用户的关系信息的第二页面；
关系信息接收模块73，用于接收用户在上述第二页面选择对应于上述资源信息的
关系信息；
14
发送模块74，用于向第一服务器发送上述资源信息和所述用户在第二页面中选择 的关系信息，以便于第一服务器存储上述选择的关系信息与资源信息的对应记录，并将上 述对应记录作为访问上述资源信息的授权信息。
进一步地， 请求接收模块71还用于接收第一服务器根据上述请求发送的已有授权信息，上
述已有授权信息中包括用户已选择的关系信息与资源信息的对应记录； 上述显示模块72还用于根据上述已有授权信息在第二页面中显示上述用户已
选择的关系信息。 进一步地，上述第二页面为位于第一页面中的内联框架页面或为在第一页面里点 击超链接或按钮打开的新页面。 本发明实施例提供一种服务器8，请参图IO所示，其包括
接收模块81，用于接收用户通过终端的请求； 获取模块82，用于根据上述请求获取上述用户的授权信息，并根据上述授权信息 获取上述用户被授权访问的资源信息； 发送模块83，用于将上述资源信息发送给上述终端。 进一步地，上述获取模块82具体用于根据上述授权信息获取上述用户在最近预 定时间的被授权访问的资源信息或为预定数量的最新被授权访问的资源信息；上述发送模 块具体用于将上述用户在最近预定时间的被授权访问的资源信息或为预定数量的最新被 授权访问的资源信息发送给上述终端。 本发明实施例还提供一种服务器9，请参图11所示，其包括 接收模块91，用于接收用户通过终端访问处于第一域第一服务器中资源信息的请 求； 获取模块92，用于获取上述资源信息对应的授权信息，上述授权信息记录有上述 资源信息对应的处于第二域第二服务器的关系信息； 处理模块93，用于判断上述用户是否属于上述关系信息；在判断为是时允许上述
用户访问上述资源信息，在判断为否时拒绝上述用户访问上述资源信息。 进一步地，上述关系信息包括联系人或群组； 上述处理模块93具体用于判断上述用户是否属于上述关系信息中的联系人，如 果是，则允许上述用户访问上述资源信息，并结束本流程；若否，则将上述关系信息中的群 组以及上述用户的标识发送给第二服务器，以便于第二服务器判断所述用户是否属于上述 群组；接收上述第二服务器发送的判断结果，若上述判断结果为是，则允许用户访问所述资 源信息，否则拒绝上述用户访问所述资源信息。 本发明实施例还提供一种服务器IO，请参图12所示，其包括
接收模块101，用于接收用户通过终端发送的请求； 发送模块102，用于根据上述请求向终端发送包含有资源信息的第一页面，以便于
上述终端根据所述第一页面向第二域的第二服务器发送获取关系信息的获取请求，且上述
终端获取所述第二服务器发送的关系信息并将所述关系信息显示在第二页面； 存储模块103，用于接收终端发送的资源信息和用户在上述第二页面选择对应于
上述资源信息的关系信息，存储上述选择的关系信息与资源信息的对应记录，并将上述对
15应记录作为访问上述资源信息的授权信息。
进一步地， 上述发送模块102还用于根据上述请求向终端发送存储的已有授权信息，上述
已有授权信息中包括用户已选择的关系信息与资源信息的对应记录。
本发明实施例还提供一种跨域授权的系统ll，请参图13所示，其包括 第一服务器lll，位于第一域，用于接收用户通过终端发送的请求； 根据上述请求向终端发送包含有资源信息的第一页面，以便于上述终端根据所述
第一页面向第二域的第二服务器112发送获取关系信息的获取请求，且上述终端获取所述
第二服务器112发送的关系信息并将上述关系信息显示在第二页面；接收终端发送的资源
信息和用户在上述第二页面选择对应于上述资源信息的关系信息，存储上述选择的关系信
息与资源信息的对应记录，并将上述对应记录作为访问所述资源信息的授权信息； 第二服务器112，位于第二域，用于向所述终端发送上述用户的关系信息。 通过上述实施例提供的终端、服务器及系统，可以实现将用户处于第一域的资源
信息授权给第二域的关系信息，从而可以提高用户体验。 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以 通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该 程序在运行时，执行上述实施例方法中的全部或部分步骤。上述提到的存储介质可以是只 读存储器，磁盘或光盘等。 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内，则本发明也意图包含这些改动和变型在内。
1权利要求
一种跨域授权的设置方法，其特征在于，包括接收用户访问资源信息的请求；根据所述请求显示包含所述用户的资源信息的第一页面，所述第一页面是处于第一域的第一服务器提供的；根据所述第一页面显示包含所述用户的关系信息的第二页面，所述第二页面是处于第二域的第二服务器提供的；接收用户在所述第二页面选择对应于所述资源信息的关系信息；向所述第一服务器发送所述资源信息和所述用户在第二页面中选择的关系信息，以便于第一服务器存储所述选择的关系信息与资源信息的对应记录，并将所述对应记录作为访问所述资源信息的授权信息。
2. 如权利要求l所述的方法，其特征在于，还包括接收第一服务器根据所述请求发送的已有授权信息，所述已有授权信息中包括用户已选择的关系信息与资源信息的对应记录；所述根据所述第一页面显示包含有所述用户的关系信息的第二页面具体为所述第一页面接收所述已有授权信息并将所述已有授权信息发送给第二页面；第二页面显示所述已有授权信息中用户已选择的关系信息。
3. 如权利要求2所述的方法，其特征在于所述第二页面为位于第一页面中的内联框架页面，所述第一页面将所述已有授权信息发送给第二页面具体为所述第一页面通过设置第二页面的源地址属性指定第二页面的页面地址，将所述已有授权信息包含在地址参数中传送给第二页面；或所述第二页面为在第一页面里点击超链接或按钮打开的新页面，所述第一页面将所述已有授权信息发送给第二页面具体为所述第一页面通过设置所述超链接或按钮对应的页面地址将所述已有授权信息包含在地址参数中传送给第二服务器的第二页面。
4. 如权利要求3所述的方法，其特征在于所述第二页面显示所述已有授权信息中用户已选择的关系信息具体为所述第二页面在窗口加载事件中取出第二页面地址中包含有已有授权信息的参数，并根据所述已有授权信息，显示用户已选择的关系信息。
5. 如权利要求l-4所述的方法，其特征在于所述第二页面中包含有指向第一页面的第三页面，所述第三页面为内联框架页面；所述接收用户在所述第二页面选择对应于所述资源信息的关系信息具体为所述第一页面接收第二页面通过设置所述第三页面的源地址属性指定第三页面的页面地址，将用户所选择的关系信息包含在地址参数中传送给第一页面。
6. 如权利要求5所述的方法，其特征在于所述第三页面在预定的时间内检测所述第三页面的源地址属性中的地址参数是否发生变化，并在所述地址参数发生变化时将变化的地址参数发送给所述第一页面。
7. 如权利要求6所述的方法，其特征在于所述第三页面将用户所选择的关系信息发送给第一页面具体为所述第三页面通过调用第一页面的脚本函数处理所述源地址属性中的参数，将用户所选择的关系信息传送给第一页面。
8. 如权利要求5所述的方法，其特征在于还包括第一页面和第二页面分别生成各自的密码；第一页面和第二页面交换和保存对方的密码；后续第一页面和第二页面之间进行信息传送时，第一页面或第二页面生成各自新的密码并发送给对方，第一页面或第二页面将保存的密码与对方发送过来的新密码进行验证，当第一页面或第二页面对对方发送过来的新密码验证成功时才进行相应的处理。
9. 如权利要求5所述的方法，其特征在于所述用户选择的关系信息或已有授权信息是通过设置在页面地址的查询字符串参数或书签参数中发送的。
10. —种跨域授权的鉴权方法，其特征在于，包括接收用户通过终端访问处于第一域第一服务器中资源信息的请求；获取所述资源信息对应的授权信息，所述授权信息记录有所述资源信息对应的处于第二域第二服务器的关系信息；判断所述用户是否属于所述关系信息；如果是，则允许所述用户访问所述资源信息，否则拒绝所述用户访问所述资源信息。
11. 如权利要求10所述的方法，其特征在于所述关系信息包括联系人或群组；所述判断所述用户是否属于所述关系信息；如果是，则允许所述用户访问所述资源信息，否则拒绝所述用户访问所述资源信息的步骤具体为判断所述用户是否属于所述关系信息中的联系人，如果是，则允许所述用户访问所述资源信息，并结束本流程；若否，则执行下述的步骤将所述关系信息中的群组以及所述用户的标识发送给第二服务器，以便于第二服务器判断所述用户是否属于所述群组；接收所述第二服务器发送的判断结果，若所述判断结果为是，则允许用户访问所述资源信息，否则拒绝所述用户访问所述资源信息。
12. —种跨域授权的鉴权方法，其特征在于，包括接收用户通过终端的访问请求；根据所述请求获取对应于所述用户的授权信息；根据所述授权信息获取所述用户被授权访问的资源信息；将所述资源信息发送给所述终端。
13. 如权利要求12所述的方法，其特征在于，包括所述根据所述授权信息获取所述用户被授权访问的资源信息具体为根据所述授权信息获取所述用户在最近预定时间的被授权访问的资源信息或为预定数量的最新被授权访问的资源信息；所述将所述资源信息显示在所述用户后的页面上具体为将所述用户在最近预定时间的被授权访问的资源信息或为预定数量的最新被授权访问的资源信息发送给所述终端。
14. 一种跨域授权的设置方法，其特征在于，包括接收用户通过终端发送的访问资源信息的请求；根据所述请求向终端发送包含有所述用户的资源信息的第一页面，以便于所述终端根据所述第一页面向第二域的第二服务器发送获取所述用户的关系信息的获取请求，且所述终端获取所述第二服务器发送的所述用户的关系信息并将所述关系信息显示在第二页面；接收终端发送的资源信息和用户在所述第二页面选择对应于所述资源信息的关系信息，存储所述选择的关系信息与资源信息的对应记录，并将所述对应记录作为访问所述资源信息的授权信息。
15. 如权利要求14所述的方法，其特征在于，还包括根据所述请求向终端发送存储的已有授权信息，所述已有授权信息中包括用户已选择的关系信息与资源信息的对应记录。
16. —种终端，其特征在于，包括请求接收模块，用于接收用户访问资源信息的请求；显示模块，用于根据所述请求显示包含有位于第一域的所述用户的资源信息的第一页面，根据所述第一页面显示包含有位于第二域的所述用户的关系信息的第二页面；关系信息接收模块，用于接收用户在所述第二页面选择对应于所述资源信息的关系信息；发送模块，用于向第一服务器发送所述资源信息和所述用户在第二页面中选择的关系信息，以便于第一服务器存储所述选择的关系信息与资源信息的对应记录，并将所述对应记录作为访问所述资源信息的授权信息。
17. 如权利要求16所述的终端，其特征在于所述接收模块还用于接收第一服务器根据所述请求发送的已有授权信息，所述已有授权信息中包括用户已选择的关系信息与资源信息的对应记录；所述显示模块还用于根据所述已有授权信息在第二页面中显示所述用户已选择的关系信息。
18. 如权利要求16或17所述的终端，所述第二页面为位于第一页面中的内联框架页面或为在第一页面里点击超链接或按钮打开的新页面。
19. 一种服务器，其特征在于，包括接收模块，用于接收用户通过终端发送的访问请求；获取模块，用于根据所述请求获取所述用户的授权信息，并根据所述授权信息获取所述用户被授权访问的资源信息；发送模块，用于将所述资源信息发送给所述终端。
20. 如权利要求19所述的服务器，其特征在于，所述获取模块具体用于根据所述授权信息获取所述用户在最近预定时间的被授权访问的资源信息或为预定数量的最新被授权访问的资源信息；所述发送模块具体用于将所述用户在最近预定时间的被授权访问的资源信息或为预定数量的最新被授权访问的资源信息发送给所述终端。
21. —种服务器，其特征在于，包括接收模块，用于接收用户通过终端访问处于第一域第一服务器中的资源信息的请求；获取模块，用于获取所述资源信息对应的授权信息，所述授权信息记录有所述资源信息对应的处于第二域第二服务器的关系信息；处理模块，用于判断所述用户是否属于所述关系信息；在判断为是时允许所述用户访问所述资源信息，在判断为否时拒绝所述用户访问所述资源信息。
22. 如权利要求21所述的服务器，其特征在于所述关系信息包括联系人或群组；所述处理模块具体用于判断所述用户是否属于所述关系信息中的联系人，如果是，则允许所述用户访问所述资源信息，并结束本流程；若否，则将所述关系信息中的群组以及所述用户的标识发送给第二服务器，以便于第二服务器判断所述用户是否属于所述群组；接收所述第二服务器发送的判断结果，若所述判断结果为是，则允许用户访问所述资源信息，否则拒绝所述用户访问所述资源信息。
23. —种服务器，其特征在于，包括接收模块，用于接收用户通过终端发送的请求；发送模块，用于根据所述请求向终端发送包含有资源信息的第一页面，以便于所述终端根据所述第一页面向第二域的第二服务器发送获取关系信息的获取请求，且所述终端获取所述第二服务器发送的关系信息并将所述关系信息显示在第二页面；存储模块，用于接收终端发送的资源信息和用户在所述第二页面选择对应于所述资源信息的关系信息，存储所述选择的关系信息与资源信息的对应记录，并将所述对应记录作为访问所述资源信息的授权信息。
24. 如权利要求23所述的服务器，其特征在于，发送模块，还用于根据所述请求向终端发送存储的已有授权信息，所述已有授权信息中包括用户已选择的关系信息与资源信息的对应记录。
25. —种跨域授权的系统，其特征在于，包括第一服务器，位于第一域，用于接收用户通过终端发送的访问资源信息的请求；根据所述请求向终端发送包含有所述用户的资源信息的第一页面，以便于所述终端根据所述第一页面向位于第二域的第二服务器发送获取关系信息的获取请求，且所述终端获取所述第二服务器发送的关系信息并将所述关系信息显示在第二页面；接收终端发送的资源信息和用户在所述第二页面选择对应于所述资源信息的关系信息，存储所述选择的关系信息与资源信息的对应记录，并将所述对应记录作为访问所述资源信息的授权信息；第二服务器，位于第二域，用于向所述终端发送所述用户的关系信息。
全文摘要
本发明公开了一种跨域授权的设置方法，该方法包括步骤接收用户访问资源信息的请求；根据所述请求显示包含资源信息的第一页面，所述第一页面是处于第一域的第一服务器提供的；根据所述第一页面显示包含所述用户的关系信息的第二页面，所述第二页面是处于第二域的第二服务器提供的；接收用户在所述第二页面选择对应于所述资源信息的关系信息；向所述第一服务器发送所述资源信息和在第二页面中选择的关系信息，以便于第一服务器存储所述选择的关系信息与资源信息的对应记录，并将所述对应记录作为访问所述资源信息的授权信息。本发明实施例还公开了一种跨域授权的鉴权方法、终端、相关装置及系统，采用本发明实施例，可以实现将用户处于第一域的资源信息授权给第二域的关系信息，从而可以提高用户体验。
文档编号H04L29/06GK101771676SQ20081024217
公开日2010年7月7日 申请日期2008年12月31日 优先权日2008年12月31日
发明者孙谦, 胡立新, 谭东晖 申请人:华为技术有限公司