[发明专利]一种适用于客户端平台的认证授权方法和系统

说明书

技术领域

本发明涉及互联网交互中的安全技术领域，尤其涉及一种互联网平台服务接口(客户端平台)的安全认证和授权方法及其系统，属于互联网安全技术领域。

背景技术

在互联网时代，某些平台会将自身的服务封装为接口，供第三方开发者使用。这些平台我们一般称为开放平台。第三方开发者通过调用开放平台提供的接口，可以很方便的导入用户信息、提供诸如充值等服务，为第三方开发者提高了开发效率、节约了大量的开发与运营成本。

对开放平台来说，因为要将用户信息提供给第三方开发者，这就涉及到用户的认证与授权。由此，OAuth认证授权协议应运而生，让你可以在Web或桌面程序中使用简单而标准的，安全的API认证。用户希望在第三网站和应用上使用他在社会性网络服务SNS网站上的用户信息，这些第三方网站联系SNS网站，但是由于没有用户认证信息，这时这些用户信息是不允许访问的。比如：团购网站，你需要把一条团购信息发到你的新浪微博上并通知你的好友，以前的方法是你需要在团购网站输入你的新浪微博账号，密码才能调用，虽然网站上可能都自谓“不保留新浪微博用户名密码”，但实际可能并没有清除掉，OAuth就由此而产生，即用户访问第三方资源，不再需要网站提交你的用户名，密码。这样好处自己是安全，而且不会泄露你的隐私给不信任的一方。

OAuth协议(见“RFC 5849”：The OAuth 1.0Protocol；以及“Draft-ietf-oauth-v2-23”：The OAuth 2.0Authorization Protocol，等关于OAuth协议)致力于使网站和应用程序(应用)App/Application(统称为消费方)能够在无须用户透露其认证证书的情况下，通过API访问某个web服务(统称为服务提供方)的受保护资源。更一般地说，OAuth为API认证提供了一个可自由实现且通用的方法。一个典型的例子是某打印服务提供商printer.example.com(消费方)，希望在无须用户提供其照片存储站点密码的情况下，访问用户储存在photos.example.net(服务提供方)上的个人照片。

如今很多网站的功能都强调彼此间的交互，因此我们需要一种简单，标准的解决方案来安全的完成应用(应用程序/程序)的授权，即应运而生的OAuth。一个典型的OAuth应用通常包括三种角色(认证和授权的过程中涉及的三方)，分别是：

Consumer：消费方(客户端)，要访问服务提供方资源的第三方应用，通常是网站，如提供照片打印服务的网站。在认证过程之前，客户端要向服务提供者申请客户端标识。(上述所说的团购网站，也叫第三方网站)。

Service Provider：服务提供者(服务提供方)，用户使用服务提供方来存储受保护的资源，如照片，视频，联系人列表。(例如上述所说的新浪微博)。

User：用户，存放在服务提供方的受保护的资源的拥有者。

再举例如下：假设我们做了一个SNS，它有一个功能，可以让会员把他们在Google上的联系人导入到SNS上，那么此时的消费方就是SNS，而服务提供者则是Google，用户为SNS使用者。通常，使用OAuth进行认证和授权的过程如下所示：

1、第三方网站向SNS网站授权服务发出获取请求令牌request token的请求，SNS授权服务响应请求，返回一个尚未认证的request token。

2、第三方网站获取响应中包含的request token，按照协议规范，附带这个request token，将其重定向到SNS提供的授权页面(User Authorization URL)。如果用户没有登录，用户向普通登录一样，输入用户名和密码完成登录。如果用户已经登录(使用记录Cookie的方式)，会出现一个页面，问用户是否允授权共享他的SNS信息给第三方网站。

3、一旦用户选择授权第三方网站，SNS网站将把Web浏览器重定向到第三方网站，同时把SNS的用户信息传递过去。用户决定允许或拒绝授权给第三方网站，如果用户拒绝授权给此第三方应用，则被重定向到SNS的页面，而不会再回到第三方应用的页面上。如果用户授权给第三方网站，那么，SNS授权服务接收此请求，将用户重定向到第三方网站提供的页面上，并传递被认证了的request token。这样第三方网站就可以访问SNS网站的用户信息了。