针对web应用的基于代理的身份和访问管理的制作方法

背景技术：

1、web应用安全是保护网站和在线服务免受采用应用代码漏洞的不同安全威胁的过程。web应用攻击的常见目标是内容管理、数据库管理工具和软件即服务(saas)应用。恶意实体认为web应用是高优先级目标，因为(1)其源代码的固有复杂性，这增加了无人值守的漏洞和恶意代码操纵的可以性；(2)高价值奖励，包含从源代码操纵中收集的敏感私人数据。

技术实现思路

1、本
技术实现要素：
旨在以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中被进一步描述。本发明内容不旨在标识权利要求主题的关键特征或基本特征，也不旨在用于限制权利要求主题的范围。

2、本公开所述的方法、系统、装置和计算机可读存储介质是针对网络代理的，这些代理被配置为处置针对web应用的身份和访问管理。例如，传入网络代理被配置为从浏览器应用接收对web应用的请求。传入网络代理被配置为将浏览器应用重定向到身份端点，这提示用户以输进针对web应用的认证凭据。认证成功后，身份端点向传入网络代理提供针对访问web应用编程接口(api)的访问令牌。传入网络代理将向存储访问令牌的传出网络代理提供访问令牌。传出网络代理配置为接收来自web应用对web api的匿名api调用。当接收到对web api的匿名api调用时，传出网络代理获得访问令牌，并将其插入到向web api的传出请求中。如果web api返回一条消息，该消息指示访问令牌无效或未与从web api访问某些数据的适当权限相关联，则传出网络代理与传入网络代理通信，以从身份端点获得新访问令牌。

3、下面参考附图详细描述本公开实施例的另外的特征和优点，以及各种实施例的结构和操作。需要注意的是，本公开实施例不限于本公开描述的特定实施例。在此被呈现的这些实施例仅用于说明目的。根据本文所涵盖的教导，对相关技术领域的技术人员而言，其它实施例将是显而易见的。

技术特征：

1.一种系统，包括：

2.根据权利要求1所述的系统，其中所述第一网络代理还被配置为：

3.根据权利要求2所述的系统，其中所述声明质询响应包括被配置为认证所述用户的身份端点的统一资源标识符，并且其中所述第一网络代理还被配置为：

4.根据权利要求2所述的系统，其中所述第一网络代理还被配置为：

5.根据权利要求1所述的系统，其中所述第一网络代理还被配置为：

6.根据权利要求5所述的系统，其中所述第一网络代理还被配置为：

7.根据权利要求1所述的系统，其中所述第一网络代理还被配置为：

8.根据权利要求7所述的系统，其中所述第一网络代理还被配置为：

9.一种由第一网络代理执行的方法，包括：

10.根据权利要求9所述的方法，还包括：

11.根据权利要求10所述的方法，其中所述声明质询响应包括被配置为认证所述用户的身份端点的统一资源标识符，并且其中所述获得所述第二访问令牌包括：

12.根据权利要求10所述的方法，其中所述获得包括：

13.根据权利要求9所述的方法，还包括：

14.根据权利要求13所述的方法，其中：

15.一种计算机可读存储介质，其上记录有程序指令，所述程序指令被计算设备的处理器执行时，执行权利要求9至14中任一项所述的方法。

技术总结
本公开描述的技术针对被配置为处置web应用的身份和访问管理的代理。例如，第一代理从浏览器接收对应用的请求。该第一代理将浏览器重定向到身份端点，其提示用户以输进针对应用的认证凭据。认证成功后，该端点向第一代理提供针对访问web API的访问令牌。第一代理向第二代理提供令牌，第二代理存储该令牌。第二代理接收来自web应用对web API的匿名API调用。当接收到匿名API调用时，第二代理获得该令牌并将其插入到向API发出的传出请求中。响应于API返回指示该令牌无效的消息，第二代理与第一代理通信以从端点获得新令牌。

技术研发人员：S·J·阿赫塔尔,S·索尼福
受保护的技术使用者：微软技术许可有限责任公司
技术研发日：
技术公布日：2024/3/17