[发明专利]在服务与应用之间的多级分布式访问控制

说明书

本文描述了在服务与应用之间的多级分布式访问控制。一种计算系统控制组件之间的访问。令牌发布者至少部分地基于访问策略来向请求组件发布访问令牌，所述请求组件正在请求对被请求的服务组件的访问。所述请求组件将所述令牌发送到所述被请求的服务组件，所述被请求的服务组件包括令牌认证模块，所述令牌认证模块验证访问令牌并且授权所述请求组件以访问所述被请求的服务组件，并且接收对访问所述被请求的服务组件的授权。

技术领域

本公开总体上涉及控制组件之间的访问的技术方案。

背景技术

计算机系统当前被广泛使用。一些这样的计算机系统运行从云系统操作的应用。这样的应用的示例包括文档管理和共享系统、基于云的数据存储系统、诸如电子邮件(email)服务的服务、生成文字处理文档的文字处理应用、生成幻灯片演示文档的幻灯片演示应用、生成电子表格文档的电子表格应用以及多种其他应用。

这样的系统和应用常常在包括各种不同的服务和资源的云网络上运行。在这些系统和应用的操作期间，其常常访问位于网络上的不同的服务和资源。同样地，在系统或应用中开发新特征的开发者可能希望新特征能访问服务和资源，以确保新特征正常操作。

在服务和资源位于网络上的情况下，由于这些应用的性质，不受约束的访问会对整个系统造成安全风险。然而，过度约束的系统会导致整个系统的性能下降。

上文的讨论仅仅提供一般性的背景信息，而并不旨在用于辅助确定所要求保护的主题的范围。

发明内容

一种计算系统控制组件之间的访问。令牌发布者至少部分地基于访问策略向请求组件发布访问令牌，所述请求组件正在请求对被请求的服务组件的访问。所述请求组件将所述令牌发送到被请求的服务组件，所述被请求的服务组件包括令牌认证模块，所述令牌认证模块验证所述访问令牌并且授权所述请求组件访问所述被请求的服务组件，并且接收对访问所述被请求的服务组件的授权。

提供本发明内容以简化的形式介绍了一些概念，这些概念将在下文的详细描述中进一步描述。本发明内容既不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于辅助确定所要求保护的主题的范围。所要求保护的主题并不限于解决背景技术中指出的任何或所有缺点的实现方式。

附图说明

图1示出了计算系统架构的一个示例的框图。

图2是示出了在计算系统架构中的令牌交互的一个示例的框图和数据流程图。

图3示出了令牌处理和允许访问被请求的服务组件的一个示例的流程图。

图4示出了服务访问策略记录的一个示例的框图。

图5是示出了部署在云计算环境中的在图1中所图示的架构框图。

图6-8示出了移动设备的示例。

图9示出了计算环境的一个示例，所述计算环境能够是先前图中所示的架构的一部分或者与其一起使用。

具体实施方式

图1是计算系统架构100的一个示例的框图。架构100包括内部计算系统102、外部计算系统104、用户应用域106以及身份提供器108。架构100的各组件通过网络110彼此通信。网络110能够是多种网络中的任意一种网络或者网络的组合，所述网络诸如是广域网、局域网、近场通信网络、蜂窝网络或者其他网络。在更详细地描述架构100的总体操作之前，将首先提供对架构100中的一些项目以及其操作的简短描述。