[发明专利]权限转移系统及其控制方法和存储介质

说明书

本发明涉及一种权限转移系统及其控制方法和存储介质。所述权限转移系统包括：发送单元，其被配置为从客户端向授权服务器发送授权代码请求；接收单元，其被配置为接收授权代码响应；以及响应单元，其被配置为通过所述授权服务器、基于所述授权代码请求中所包括的目的地信息来返回所述授权代码响应。

技术领域

本发明涉及一种用于验证针对web服务的访问权限的权限转移系统及其控制方法和存储介质。

背景技术

各个web服务器提供用于提供web服务的开放API，并且web服务可以经由开放API彼此协作。从这种情况下的安全性的观点来看，可能需要某种措施来授权一个web服务对另一个web服务的访问，而无需移交这一web服务所管理的用户的认证信息。

为了实现这种措施，已经采用标准协议(OAuth 2.0)来实现web服务之间的协作。OAuth 2.0是用于在用户批准的情况下在web服务之间安全地移交(或转移)用户的认证信息的机制，其详情将在下文中进行说明。

根据OAuth 2.0，在用户进行授权操作的情况下，web服务B接收授权代码。授权代码是用于证明用户授权对web服务A的访问的代码。通过使用所接收到的授权代码以及用于证明web服务B的信息，web服务B向web服务A发送用于发出授权令牌的请求。授权令牌是用于对web服务B进行授权以访问web服务A所提供的开放API的令牌。web服务B接收授权令牌，因此web服务B被授权访问web服务A的API。用于证明web服务B的信息可以是用于唯一地识别web服务B的ID、作为机密信息的密钥以及具有数字证书的数字签名。

这里，术语“权限转移”是指通过用户所进行的授权操作来授权web服务B对web服务A的API的访问。在OAuth 2.0中，被配置为响应于用户所进行的授权操作而发出授权代码、并根据该授权代码发出授权令牌的服务器被称为授权服务器。被配置为提供开放API的服务器被称为资源服务器，并且用于访问开放API的实体被称为客户端。在以上示例中，用于提供web服务A的服务器与授权服务器和资源服务器相对应，并且用于提供web服务B的服务器与客户端相对应。

参考图1，将说明作为根据OAuth 2.0的处理流程的授权代码许可(AuthorizationCode Grant)。首先，作为用于实现OAuth 2.0的预先操作，向授权服务器发送登记请求，使得客户端被登记为OAuth 2.0客户端(S0.0)。更具体地，在客户端启动时、或者在后述的S1.1中的授权流程开始时未登记客户端的情况下，向授权服务器的登记端点(图1中的“EP”)发送客户端登记请求。例如，可以通过客户端主动与授权服务器进行通信或者通过用户经由web浏览器访问授权服务器并登记客户端，来进行登记请求的发送。

S0.0中的登记请求包括后述的授权确认画面上显示的客户端名称、说明、图标图像以及作为所需参数的重定向URI。重定向URI是用于指定授权服务器将授权代码响应发送至的响应目的地的响应目的地信息(地址)，以使得客户端从该授权服务器接收该授权代码响应。授权代码响应将在下文中进行说明。已经接收到客户端登记请求的授权服务器发出用于识别客户端的客户端ID以及作为用于对客户端进行认证的机密信息的客户端密钥，并将客户端ID和客户端密钥作为客户端登记响应返回至客户端(S0.1)。授权服务器将S0.1中所接收到的客户端ID和客户端密钥以及S0.0中所接收到的信息和重定向URI彼此相关联地进行保持。客户端保持S0.1中所接收到的客户端ID和客户端密钥。到目前为止，已经说明了作为用于实现OAuth 2.0的预先操作的客户端登记流程。