一种在多个授权系统之间进行身份鉴别的方法及系统与流程

本发明涉及计算机领域，特别涉及一种在多个授权系统之间进行身份鉴别的方法及系统。

背景技术：

现今互联网提倡开放，很多企业都有自己的开放中心和授权系统。第三方应用为了便于用户接入，往往会接入多个授权系统，常见的有QQ登录、微信登录，解决用户在使用互联网时要记忆繁杂的用户名和密码，并且每次访问都要频繁登录操作的问题。一般的互联网应用都需要用户提交资料注册并登录，以提供个性化的服务。

现有技术的主要存在以下问题：

1.无法解决多个授权系统之间的身份鉴别问题，第三方应用接入多个授权系统时，由于授权系统之间不互通，导致无法解决多个授权系统之间的身份鉴别问题。

2.授权系统之间网络不互通，处于安全考虑，某些授权系统只能通过内网访问，不对外开放。这样造成授权系统之间相互无法访问，导致不能进行身份鉴别。

3.授权系统之间加密算法相互保密，授权系统采用特定的算法生成OpenID，授权系统之间互相不知道对方的加密算法。

技术实现要素：

有鉴于此，本发明实施例提供了一种在多个授权系统之间进行身份鉴别的方法及系统。

本发明的一个目的是提供一种在多个授权系统之间进行身份鉴别的方法，包括：

在第三方应用中为用户配置共同身份标识CommonID，其中，所述CommonID具有唯一性；

在第三方应用中授权使用的回调地址中配置CommonID，以使得授权后返回第三方应用的登陆界面；

获取在第一授权系统中完成用户授权得到的第一公开身份标识OpenID和CommonID一一映射的第一关联关系，其中，所述第一OpenID具有唯一性；

获取在第二授权系统中完成用户授权得到的第二公开身份标识OpenID和CommonID一一映射的第二关联关系，其中，所述第二OpenID具有唯一性；

以CommonID为基准根据第一关联关系和第二关联关系建立第一OpenID与第二OpenID一一映射的第三关联关系。

进一步地，所述在第三方应用中授权使用的回调地址中配置CommonID，包括：

所述在第三方应用中生成授权地址，并在回调地址中CommonID。

进一步地，所述在第三方应用中生成授权地址，并在回调地址中CommonID之后，还包括：

接收用户对所述授权地址的主动访问请求；

根据主动访问请求跳转至授权界面，其中，所述授权界面包括：授权协议、第三方应用信息、权限及授权系统的登录逻辑。

进一步地，还包括：

所述第一授权系统和所述第二授权系统处于网络互通时采用在线授权；

所述第一授权系统和所述第二授权系统处于网络不通时采用离线授权。

进一步地，还包括：

所述CommonID包括但不限于邮箱地址、QQ号码、手机号码。

本发明的一个目的是提供一种在多个授权系统之间进行身份鉴别的系统，包括：

第一配置单元，用于在第三方应用中为用户配置共同身份标识CommonID，其中，所述CommonID具有唯一性；

第二配置单元，用于在第三方应用中授权使用的回调地址中配置CommonID，以使得授权后返回第三方应用的登陆界面；

第一获取单元，用于获取在第一授权系统中完成用户授权得到的第一公开身份标识OpenID和CommonID一一映射的第一关联关系，其中，所述第一OpenID具有唯一性；

第二获取单元，用于获取在第二授权系统中完成用户授权得到的第二公开身份标识OpenID和CommonID一一映射的第二关联关系，其中，所述第二OpenID具有唯一性；

建立单元，用于以CommonID为基准根据第一关联关系和第二关联关系建立第一OpenID与第二OpenID一一映射的第三关联关系。

进一步地，其特征在于，所述第二配置单元还用于在第三方应用中生成授权地址，并在回调地址中CommonID。

进一步地，所述系统还包括：

第一接收单元，用于接收用户对所述授权地址的主动访问请求；

第一跳转单元，用于根据主动访问请求跳转至授权界面，其中，所述授权界面包括：授权协议、第三方应用信息、权限及授权系统的登录逻辑。

本发明提供的在多个授权系统之间进行身份鉴别的方法及系统，利用CommonID在多个授权系统中建立与OpenID的关联关系，实现用户在多个授权系统中的身份得到鉴别，解决了无法在多个授权系统之间的进行身份鉴别问题。

附图说明

图1是本发明在多个授权系统之间进行身份鉴别的方法一种实施例的流程图；

图2是本发明在多个授权系统之间进行身份鉴别的方法一种实施例的流程图；

图3是本发明在多个授权系统之间进行身份鉴别的系统一种实施例的结构图。

具体实施方式

本发明实施例提供了一种在多个授权系统之间进行身份鉴别的方法及系统，能够鉴别多个授权系统之间的用户。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实 施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

参考图1所示，本发明提供的在多个授权系统之间进行身份鉴别的方法的一种实施例，包括：

S101、在第三方应用中为用户配置共同身份标识CommonID，其中，所述CommonID具有唯一性。

CommonID是基于私有密钥的低相关性的单向跨域身份验证方法，该方法解决了用户在电脑或手机等终端上访问不同网站为获得个性化服务而需要单独注册和登录的问题，实现了在服务主站(CommonID Server)登录后，即可通过共同身份标识(英文：CommonID)和私有密钥(英文：Private Keys)访问联盟网站并自动执行联盟网站的登录过程，实现单向的身份验证功能，避免了用户的重复注册和反复登录，所述CommonID包括但不限于邮箱地址、QQ号码、手机号码，还可以包括利用排重算法生成的账号，满足CommonID具有唯一性即可，具体的账号类型不做限定。

S102、在第三方应用中授权使用的回调地址中配置CommonID，以使得授权后返回第三方应用的登陆界面。

请求授权时，授权系统需要第三方应用填写回调地址，用于授权完成后跳转回第三方应用的登陆界面，第三方应用生成的授权地址，其中回调地址带有Common ID，本领域普通技术人员应当了解，此处不作赘述。

S103、获取在第一授权系统中完成用户授权得到的第一公开身份标识OpenID和CommonID一一映射的第一关联关系，其中，所述第一OpenID具有唯一性。

对于公开身份标识OpenID的认证过程可以是这样的，用户在公开身份标识OpenID服务提供商注册一个OpenID，OpenID注册成功后用户在OpenID服务提供商处填写个人信息；用户访问支持OpenID的某个网站，该网站向用户返回OpenID登陆界面，用户向该网站进行OpenID认证，支持OpenID的网站引导用户到OpenID服务提供商进行OpenID关联，完成OpenID认证。

每一个授权系统中的OpenID是唯一的，认证通过后OpenID与CommonID形成一一映射的关联关系，为了实现区分，在本实施例中，第一授权系统中的OpenID为第一OpenID，所以在第一个授权系统中授权后可以得到第一OpenID与CommonID的第一关联关系，由于CommonID是唯一的，第一OpenID也是唯一的，所以第一OpenID与CommonID的关联关系是一一映射的，本领域普通技术人员应当了解不进行赘述。

S104、获取在第二授权系统中完成用户授权得到的第二公开身份标识OpenID和CommonID一一映射的第二关联关系，其中，所述第二OpenID具有唯一性。

上文中介绍了OpenID认证过程以及OpenID和CommonID的映射关系，此处不作赘述，需要说明的是，在第二授权系统中，OpenID为第二OpenID，在第二授权系统授权后可以得到第二OpenID与CommonID的第二关联关系，由于CommonID是唯一的，第二OpenID也是唯一的，所以第二OpenID与CommonID的关联关系是一一映射。

S105、以CommonID为基准根据第一关联关系和第二关联关系建立第一OpenID与第二OpenID一一映射的第三关联关系。

利用第一OpenID和CommonID的第一关联关系及第二OpenID和CommonID的第二关联关系，以CommonID为基准，由于一一映射关系，可以得到第一OpenID和第二OpenID是一一映射的，即第三关联关系，用户利用CommonID在第一授权系统中完成授权认证，用户利用CommonID也在第二授权系统中完成授权认证，利用CommonID的媒介作用，将同一个用户在 多个授权系统中验证的结果进行了统一，完成了用户在多个授权系统中的身份鉴别工作，使得用户身份鉴别工作操作简单，提供了一种更便捷的手段。

本发明提供的在多个授权系统之间进行身份鉴别的方法，利用CommonID在多个授权系统中建立与OpenID的关联关系，实现用户在多个授权系统中的身份得到鉴别，解决了无法在多个授权系统之间的进行身份鉴别问题。

参考图2所示，本发明的在多个授权系统之间进行身份鉴别的方法提供了另一种实施例，包括：

S201，对第一授权系统中的第一OpenID进行认证，以及对对第二授权系统中的第二OpenID进行认证。

对于OpenID的认证过程可以是这样的，用户在公开身份标识OpenID服务提供商注册一个OpenID，OpenID注册成功后用户在OpenID服务提供商处填写个人信息，用户访问支持OpenID的某个网站，该网站向用户返回OpenID登陆界面，用户向该网站进行OpenID认证，支持OpenID的网站引导用户到OpenID服务提供商进行OpenID关联，完成OpenID认证，需要说明的是，第一OpenID和第二OpenID的认证流程都可以采用上述的认证过程，不进行一一介绍。

S202、在第三方应用中为用户配置共同身份标识CommonID，其中，所述CommonID具有唯一性。

步骤S202与上一实施例中步骤S101相类似，此处不作赘述。

S203、在第三方应用中授权使用的回调地址中配置CommonID，以使得授权后返回第三方应用的登陆界面。

所述在第三方应用中生成授权地址，并在回调地址中CommonID。

S204、接收用户对所述授权地址的主动访问请求。

用户可以通过点击网页页面上的申请授权图标或者按钮，完成授权的主动访问请求，图标或按钮将这一请求发送至OpenID服务提供商进行授权。

S205、根据主动访问请求跳转至授权界面，其中，所述授权界面包括：授权协议、第三方应用信息、权限及授权系统的登录逻辑。

跳转到OpenID服务提供商的授权界面，授权界面显示授权协议、第三方应用信息、权限及授权系统的登录逻辑，授权协议包括用户使用授权后会产 生的风险等等，具体内容不做限定；第三方应用信息可以包括第三方应用的网站性质，例如提供什么样的服务等；权限包括用户授权第三方应用使用的权限，例如授权第三方应用获取用户的头像、昵称、性别等信息，还可以是允许利用用户的账号关注第三方应用的微博等，授权系统的登录逻辑可以包括利用二维码登录或者账号密码登录，或者两者结合一起使用等，具体不做限定。

S206、获取在第一授权系统中完成用户授权得到的第一公开身份标识OpenID和CommonID一一映射的第一关联关系，其中，所述第一OpenID具有唯一性。

每一个授权系统中的OpenID是唯一的，认证通过后OpenID与CommonID形成一一映射的关联关系，为了实现区分，在本实施例中，第一授权系统中的OpenID为第一OpenID，所以在第一个授权系统中授权后可以得到第一OpenID与CommonID的第一关联关系，由于CommonID是唯一的，第一OpenID也是唯一的，所以第一OpenID与CommonID的关联关系是一一映射的，本领域普通技术人员应当了解不进行赘述。

S207、获取在第二授权系统中完成用户授权得到的第二公开身份标识OpenID和CommonID一一映射的第二关联关系，其中，所述第二OpenID具有唯一性。

步骤S207与上一实施例中步骤S104相类似，此处不作赘述。

S208、以CommonID为基准根据第一关联关系和第二关联关系建立第一OpenID与第二OpenID一一映射的第三关联关系。

利用第一OpenID和CommonID的第一关联关系及第二OpenID和CommonID的第二关联关系，以CommonID为基准，由于一一映射关系，可以得到第一OpenID和第二OpenID是一一映射的，即第三关联关系，用户利用CommonID在第一授权系统中完成授权认证，用户利用CommonID也在第二授权系统中完成授权认证，利用CommonID的媒介作用，将同一个用户在多个授权系统中验证的结果进行了统一，完成了用户在多个授权系统中的身份鉴别工作，解决了无法在多个授权系统之间的进行身份鉴别问题。

对于授权系统的授权过程提供了两种实现方式，下面进行分别介绍。

第一种：所述第一授权系统和所述第二授权系统处于网络互通时采用在线授权，即第一授权系统和第二授权系统可以进行互相访问，可以都处于互联网中，这样可以利用现在授权的方式进行授权，具体过程可以为第三方应用生成的授权地址，可以由用户来访问进行主动授权，用户可以访问授权系统的过程即为在线授权。

第二种：所述第一授权系统和所述第二授权系统处于网络不通时采用离线授权，即第一授权系统和第二授权系统分别处于两个不能互访的网络中，例如第一授权系统处于某公司内网中，出于安全考虑，禁止外部互联网访问第一授权系统，而第二授权系统处于互联网络中，第二授权系统不能访问第一授权系统，反之亦然，对于两个网络不能互访的授权系统，授权时用户不进行操作，由两个授权系统离线完成授权，以完成第一授权系统的第一OpenID和第二授权系统中的第二OpenID的关联关系。

下面为了便于对本申请的技术方案进行理解，针对在多个授权系统之间进行身份鉴别提供一种应用场景，以两个网络不互通的授权系统，只能采用离线授权的方式为例进行介绍，具体为：

以腾讯微博的微信公众号的实现方式为例，腾讯微博采用QQ和腾讯微博帐号两个授权体系，而微信有独立的授权体系，一个用户关注了腾讯微博的公众号，这时只知道用户的微信号，不知道用户的微博帐号。因为微信的授权系统是私用的，不可能拿出来给腾讯微博调用，所以不能采用在线授权的方式，而只能采用离线方式。腾讯微信和腾讯微博以QQ做为CommonID，腾讯微博完成“微博帐号”与“QQ”号的关联，微信完成“QQ”与“微信号”的关联。最后将两个授权系统的数据，以QQ为基准做关联，完成“微博帐号”与“微信账号”的绑定。因为腾讯微信和腾讯微博两个授权系统不能互相访问，所以整个过程不由用户完成，而是由两个授权系统离线完成，实现的用户在两个授权系统中的身份鉴别。

参考图3所示，上文中提出了在多个授权系统之间进行身份鉴别的方法，对应地，本发明还提供了一种在多个授权系统之间进行身份鉴别的系统，包括：

第一配置单元301，用于在第三方应用中为用户配置共同身份标识 CommonID，其中，所述CommonID具有唯一性；

第二配置单元302，用于在第三方应用中授权使用的回调地址中配置CommonID，以使得授权后返回第三方应用的登陆界面；

第一获取单元303，用于获取在第一授权系统中完成用户授权得到的第一公开身份标识OpenID和CommonID一一映射的第一关联关系，其中，所述第一OpenID具有唯一性；

第二获取单元304，用于获取在第二授权系统中完成用户授权得到的第二公开身份标识OpenID和CommonID一一映射的第二关联关系，其中，所述第二OpenID具有唯一性；

建立单元305，用于以CommonID为基准根据第一关联关系和第二关联关系建立第一OpenID与第二OpenID一一映射的第三关联关系。

进一步地，所述第二配置单元302还用于在第三方应用中生成授权地址，并在回调地址中CommonID。

进一步地，所述系统还包括：

第一接收单元306，用于接收用户对所述授权地址的主动访问请求；

第一跳转单元307，用于根据主动访问请求跳转至授权界面，其中，所述授权界面包括：授权协议、第三方应用信息、权限及授权系统的登录逻辑。

本发明提供的在多个授权系统之间进行身份鉴别的系统，利用CommonID在多个授权系统中建立与OpenID的关联关系，实现用户在多个授权系统中的身份得到鉴别，解决了无法在多个授权系统之间的进行身份鉴别问题。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合 或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁盘或光盘等。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上对本发明所提供的一种多个授权系统之间进行身份鉴别的方法及系统进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。