开放式授权方法及装置与流程

1.本发明涉及大数据技术领域，尤其涉及开放式授权方法及装置。


背景技术：

2.开放银行(open banking)是商业银行在监管允许的范围内、经客户授权利用开放api(application programming interface，应用程序编程接口)技术实现与第三方(其他银行业金融机构、金融科技公司、垂直行业企业)之间数据共享，即将商业银行的金融服务能力以及金融数据开放和共享给第三方，从而给用户提供更易触达、更易使用、体验更佳的一整套金融服务解决方案。
3.交易银行泛指商业银行围绕客户交易行为所提供的一揽子金融服务。它是对传统的供应链融资、支付结算、现金管理、资金托管、电子银行渠道等金融服务的资源整合,并在原有业务基础上形成新的理念与业务模式。
4.目前三方签约的方案主要采用的是oauth(open authorization，开放式授权)协议。主要包括以下几个步骤：
5.1)、客户端(第三方平台)向资源所有者(开放银行)请求授权；授权请求可以直接向资源所有者发起，或者通过作为中介的授权服务器间接发起。
6.2)、客户端收到授权许可，这是一个代表资源所有者的授权的凭据；授权许可类型取决于客户端请求授权所使用的方式以及授权服务器(交易银行)支持的类型。
7.3)、客户端与授权服务器进行身份认证并出示授权许可请求访问令牌。
8.4)、授权服务器验证客户端身份并验证授权许可，若有效则颁发访问令牌。
9.5)、客户端从资源服务器请求受保护资源并出示访问令牌进行身份验证。
10.6)、资源服务器验证访问令牌，若有效则满足该请求。
11.现有技术的不足在于，该方式客户端(第三方平台)不能访问只在授权服务器(交易银行)上展示而未对外展示的业务。


技术实现要素：

12.本发明实施例提供一种开放式授权方法，用以解决客户端(第三方平台)不能访问只在授权服务器(交易银行)上展示而未对外展示的业务的问题，该方法包括：
13.交易银行接收第三方平台在交易银行的登录页面发起的ca登录，其中，第三方平台是在开放银行请求访问授权通过后，由开放银行重定向到所述登录页面的；
14.交易银行在ca登录通过后，向第三方平台发放访问令牌；
15.交易银行请示第三方平台欲访问的用户，是否授权第三方平台代理用户在交易银行的业务；
16.交易银行在用户同意时，向用户发放用于访问开放银行的访问令牌。
17.本发明实施例还提供一种开放式授权装置，用于交易银行，用以解决客户端(第三方平台)不能访问只在授权服务器(交易银行)上展示而未对外展示的业务的问题，该装置
包括：
18.ca接收模块，用于接收第三方平台在交易银行的登录页面发起的ca登录，其中，第三方平台是在开放银行请求访问授权通过后，由开放银行重定向到所述登录页面的；
19.ca认证模块，用于在ca登录通过后，向第三方平台发放访问令牌；
20.用户请示模块，用于请示第三方平台欲访问的用户，是否授权第三方平台代理用户在交易银行的业务；
21.用户认证模块，用于在用户同意时，向用户发放用于访问开放银行的访问令牌。
22.本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述开放式授权方法。
23.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述开放式授权方法。
24.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述开放式授权方法。
25.本发明实施例中，与现有技术中仅凭访问令牌进行访问的技术方案相比，通过oauth协议和ca密码登录的相结合的方式，第三方平台是向开放银行申请访问资源，由开放银行重定向到交易银行，因此，对开放银行来说，其并不知道该申请资源的业务与交易银行的关系，也即，该业务是否仅仅只是在交易银行展示而不对外；而交易银行采用了ca认证，可以保证第三方平台的安全性；同时，第三方平台申请访问的资源所有者是开发银行，其并不知晓、或者说不触及用户的敏感信息；对于用户则是通过交易银行的登录页面实质上得到了第三方平台提供的业务服务，由此，在第三方平台不触及到用户的敏感信息提前下，进行了非常安全的授权方式，这样在第三方平台即使仅仅只是在交易银行展示的情况下，也能对用户提供服务，使得业务的发展不会滞后，能应对同业竞争，并能同步带动交易银行相关业务的协同发展。
附图说明
26.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
27.图1为本发明实施例中开放式授权方法实施流程示意图；
28.图2为本发明实施例中开放式授权环境示意图；
29.图3为本发明实施例中开放式授权实施流程示意图；
30.图4为本发明实施例中开放式授权装置结构示意图；
31.图5为本发明实施例中计算机设备结构示意图。
具体实施方式
32.为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并
不作为对本发明的限定。
33.发明人在发明过程中注意到：
34.目前，交易银行中的某些业务还只能在交易银行自己的平台上展示，但是对于这些业务的发展有些滞后时，希望能通过第三方平台上同步展示相关业务，这样不仅能应对同业竞争，并能同步带动交易银行相关业务的协同发展；但是，这期间需要交易银行、第三方平台、用户三方签约并授权，即让用户在第三方平台不暴露自己的身份的前提下，能获得相应的授权，成功获得权限，访问相应的资源，完成三方签约的过程。
35.基于此，本发明实施例提供的技术方案中，通过oauth协议和银行端相结合，在不需要触及用户的账户信息和密码，便可以完成从第三方平台到银行端的访问的授权，这样不触及用户的敏感信息，对于银行端的业务安全性也会更高。
36.图1为开放式授权方法实施流程示意图，如图所示，可以包括：
37.步骤101、交易银行接收第三方平台在交易银行的登录页面发起的ca登录，其中，第三方平台是在开放银行请求访问授权通过后，由开放银行重定向到所述登录页面的；
38.步骤102、交易银行在ca登录通过后，向第三方平台发放访问令牌；
39.步骤103、交易银行请示第三方平台欲访问的用户，是否授权第三方平台代理用户在交易银行的业务；
40.步骤104、交易银行在用户同意时，向用户发放用于访问开放银行的访问令牌。
41.实施中，步骤的序号仅用于标识步骤，便于描述，步骤序号之间的关系并不代表各步骤间存在必然的时序关系。
42.具体的，第三方平台开发的应用在银行端的登录方式，采用的oauth协议和ca(certification authority，证书颁发机构)密码登录的相结合的方式，可以在第三方平台不触及到用户的敏感信息提前下，实现非常安全的授权方式。
43.实施中，用于访问开放银行的访问令牌是用于访问开放银行的第一api的，所述第一api是第三方平台在向开放银行请求访问授权时携带的第二api，由开放银行将第二api进行api权限配置后重定向到所述登录页面的第一api。
44.具体的，方案利用了oauth协议，第三方平台可以首先携带相应的参数以及需要访问的资源去访问开放银行，开放银行对其身份进行验证和进行api权限配置，最终重定向到交易银行的登录页面，登录页面采用的ca登录方式，在操作员从登录页面输入自己的用户名和密码后，若登录成功，拿到相应的授权的token(令牌)；提示用户，是否授权第三方平台代理其在交易银行的业务，用户点击同意授权后就会自动的拿到授权的token，之后用户就会用这个token访问开放银行的api，至此完成三方签约授权的过程。
45.图2为开放式授权环境示意图，如图所示，可以包括：资源拥有者(用户)201，资源服务器(开发银行)202、授权服务器(交易银行)203、客户端(client)(第三方平台)204，其中：
46.1)资源拥有者(resource owner)：能授权访问受保护资源的一个实体，可以是一个自然人，可以称之为最终用户；例如：新浪微博用户zhangsan；
47.2)资源服务器(resource server)：存储受保护资源，客户端通过access token(访问令牌)请求资源，资源服务器响应受保护资源给客户端；例如：存储着用户zhangsan的微博信息等。
48.3)授权服务器(authorization server)：成功验证资源拥有者并获取授权之后，授权服务器颁发授权令牌(access token)给客户端。
49.4)客户端(client)：如新浪微博客户端weico、微格等第三方应用，也可以是它自己的官方应用；其本身不存储资源，而是资源拥有者授权通过后，使用它的授权(访问令牌)访问受保护资源，然后客户端把相应的数据展示出来/提交到服务器。
50.这里的“客户端”术语不代表任何特定实现(如应用运行在一台服务器、桌面、手机或其他设备)。
51.下面用实例进行说明。
52.图3为开放式授权实施流程示意图，如图所示，可以包括：
53.步骤301、在服务端(交易银行)引入oauth2，建立用户表；
54.在服务端引入oauth2，建立用户表，存储着认证/资源服务器的用户信息，即资源拥有者；比如用户名/密码；客户端表存储客户端的客户端id及客户端secret；在进行授权时使用。也即，实施中，还可以进一步包括：
55.交易银行存储第三方平台的标识及密码，用于在第三方平台ca登录时进行验证；和/或，
56.交易银行存储用户的标识及密码，用于在用户登录时进行验证。
57.步骤302、服务端(交易银行)关联客户端(第三方平台)的api与开发银行的登录页面；
58.例如，可以通过如http://localhost:8080/chapter17-server/authorize？client_id＝c1ebe466-1cdc-4bd3-ab69-77c3561b9dee&response_type＝code&redirect_uri＝http://localhost:9080/chapter17-client/oauth2-login(地址：http://localhost:8080/chapter17-服务器/授权？client\u id＝c1ebe466-1cdc-4bd3-ab69-77c3561b9dee&response\u type关联到地址：code&re direct\u uri＝http://localhost:9080/chapter17-客户端/oauth2登录)访问授权页面；
59.步骤303、服务端(交易银行)的控制器首先检查clientid(客户端标识)是否正确；如果错误将返回相应的错误信息；
60.步骤304、判断用户是否登录了，如果没有登录首先到登录页面登录；
61.步骤305、登录成功后生成相应的auth code即授权码，然后重定向到客户端(第三方平台)地址；
62.例如重定向到地址：http://localhost:9080/chapter17-client/oauth2-login？code＝52b1832f5dff68122f4f00ae995da0ed；后面的“52b1832f5dff68122f4f00ae995da0ed”即授权码。
63.步骤306、在重定向到的地址中会带上code参数(授权码)，客户端(第三方平台)可以根据授权码去换取access token；
64.步骤307、客户端拿到这个授权码之后会请求给资源服务器(开发银行)，资源服务器会验证这个access token，如果验证通过，就允许客户端正常访问资源服务器。
65.也即，实施中，还可以进一步包括：
66.交易银行在用户同意时，重定向到第三方平台，并在重定向到的地址中携带授权码，用于供第三方平台换取访问令牌。
67.本发明实施例中还提供了一种开放式授权装置，如下面的实施例所述。由于该装置解决问题的原理与开放式授权方法相似，因此该装置的实施可以参见开放式授权方法的实施，重复之处不再赘述。
68.图4为开放式授权装置结构示意图，用于交易银行，如图所示，装置包括：
69.ca接收模块401，用于接收第三方平台在交易银行的登录页面发起的ca登录，其中，第三方平台是在开放银行请求访问授权通过后，由开放银行重定向到所述登录页面的；
70.ca认证模块402，用于在ca登录通过后，向第三方平台发放访问令牌；
71.用户请示模块403，用于请示第三方平台欲访问的用户，是否授权第三方平台代理用户在交易银行的业务；
72.用户认证模块404，用于在用户同意时，向用户发放用于访问开放银行的访问令牌。
73.实施中，用户认证模块进一步用于发放的用于访问开放银行的访问令牌是用于访问开放银行的第一api的，所述第一api是第三方平台在向开放银行请求访问授权时携带的第二api，由开放银行将第二api进行api权限配置后重定向到所述登录页面的第一api。
74.实施中，进一步包括：
75.表存储模块，用于存储第三方平台的标识及密码，用于在第三方平台ca登录时进行验证；和/或，存储用户的标识及密码，用于在用户登录时进行验证。
76.实施中，进一步包括：
77.重定向模块，用于在用户同意时，重定向到第三方平台，并在重定向到的地址中携带授权码，用于供第三方平台换取访问令牌。
78.在实施本发明实施例提供的技术方案时，可以按如下方式实施。
79.图5为计算机设备结构示意图，用于交易银行，如图所示，计算机设备中包括：
80.处理器500，用于读取存储器520中的程序，执行下列过程：
81.接收第三方平台在交易银行的登录页面发起的ca登录，其中，第三方平台是在开放银行请求访问授权通过后，由开放银行重定向到所述登录页面的；
82.在ca登录通过后，向第三方平台发放访问令牌；
83.请示第三方平台欲访问的用户，是否授权第三方平台代理用户在交易银行的业务；
84.在用户同意时，向用户发放用于访问开放银行的访问令牌；
85.收发机510，用于在处理器500的控制下接收和发送数据。
86.实施中，用于访问开放银行的访问令牌是用于访问开放银行的第一api的，所述第一api是第三方平台在向开放银行请求访问授权时携带的第二api，由开放银行将第二api进行api权限配置后重定向到所述登录页面的第一api。
87.实施中，进一步包括：
88.存储第三方平台的标识及密码，用于在第三方平台ca登录时进行验证；和/或，
89.存储用户的标识及密码，用于在用户登录时进行验证。
90.实施中，进一步包括：
91.在用户同意时，重定向到第三方平台，并在重定向到的地址中携带授权码，用于供第三方平台换取访问令牌。
92.其中，在图5中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器500代表的一个或多个处理器和存储器520代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机510可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。处理器500负责管理总线架构和通常的处理，存储器520可以存储处理器500在执行操作时所使用的数据。
93.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述开放式授权方法。
94.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述开放式授权方法。
95.本发明实施例中，与现有技术中仅凭访问令牌进行访问的技术方案相比，通过oauth协议和ca密码登录的相结合的方式，第三方平台是向开放银行申请访问资源，由开放银行重定向到交易银行，因此，对开放银行来说，其并不知道该申请资源的业务与交易银行的关系，也即，该业务是否仅仅只是在交易银行展示而不对外；而交易银行采用了ca认证，可以保证第三方平台的安全性；同时，第三方平台申请访问的资源所有者是开发银行，其并不知晓、或者说不触及用户的敏感信息；对于用户则是通过交易银行的登录页面实质上得到了第三方平台提供的业务服务，由此，在第三方平台不触及到用户的敏感信息提前下，进行了非常安全的授权方式，这样在第三方平台即使仅仅只是在交易银行展示的情况下，也能对用户提供服务，使得业务的发展不会滞后，能应对同业竞争，并能同步带动交易银行相关业务的协同发展。
96.本技术技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定，本技术获取的个人、客户和人群等相关的个人身份数据、操作数据、行为数据等多种类型的数据，均已获得授权。本技术找那个涉及的人脸识别、活体检测以及敏感信息数据的获取、存储、使用、处理等，均符合国家法律法规的相关规定。
97.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
98.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
99.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或
多个方框中指定的功能。
100.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
101.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。