[发明专利]一种允许第三方应用接入访问资源的分布式认证授权方式

说明书

本发明公开了一种允许第三方应用接入访问资源的分布式认证授权方式，包括客户端模式、密码模式、授权码模式和简化模式，本发明支持跨平台、认证方式多元化、安全性高；支持跨平台：不同语言的应用使用统一规范，即可接入访问资源，例如移动端应用等；认证方式多元化：本方案不仅支持账户密码模式，还支持客户端模式、授权码模式、简化模式，第三方应用可以根据自身情况，选择合适的认证方式，实现了认证方式的多元化；安全性高：通过认证服务授权，资源服务验证，访问令牌有效期的控制，提升了接入与访问的安全性。

技术领域

本发明涉及一种允许第三方应用接入访问资源的分布式认证授权方式，属于信息科技技术领域。

背景技术

在当前的单位或公司中，有可能会存在多个不同的应用，比如学校会有选课系统、图书借阅系统等等，如果每个系统都用独立的账号认证体系，会给学生带来很大的困扰，也给管理者带来了极大的不便；再比如，一个公司开发的应用功能提供给第三方合作公司使用，该公司又不想将自己的用户体系暴漏给合作公司，这个时候就会让合作公司的接入变的困难重重。

SSO(单点登录)一般用于同一单位或公司的多个应用的登陆状态保持，现有技术的缺点包括以下几个方面：1、不支持跨平台：SSO的认证过程赖于session和cookie，比如对于移动端设备应用，无法接入；并且在前后端分离的开发模式下，这种认证方式不友善；2、认证方式单一：SSO只能通过账户密码模式认证，局限性大；3、安全性差：对于不受信任的应用接入，暴露用户信息，影响整个系统的安全性，加大了不可控风险。

发明内容

针对上述存在的技术问题，本发明的目的是：提出了一种允许第三方应用接入访问资源的分布式认证授权方式，支持跨平台、认证方式多元化、安全性高。

本发明的技术解决方案是这样实现的：一种允许第三方应用接入访问资源的分布式认证授权方式，包括客户端模式、密码模式、授权码模式和简化模式；

客户端模式包括如下流程，

流程a、第三方应用访问授权服务器，进行身份认证；

流程b、授权服务器认证通过后，将访问令牌返给第三方应用；

流程c、第三方应用携带令牌访问资源服务器，验证令牌有限性；

流程d、令牌验证通过后，资源服务器将请求路由到被保护资源，第三方应用可以获取资源信息；

密码模式包括如下流程，

流程a、第三方应用获取用户提供的账号与密码；

流程b、第三方应用访问授权服务器，直接附带上用户账号密码进行身份认证；

流程c、第三方应用携带令牌访问资源服务器，验证令牌有限性；

流程d、令牌验证通过后，资源服务器将请求路由到被保护资源，第三方应用可以获取资源信息；

授权码模式包括如下流程，

流程a、第三方应用访问授权服务器，请求授权；

流程b、授权服务器跳转页面给用户，询问是否授权；

流程c、用户输入账号密码确认授权；

流程d、授权服务器跳转到返回地址，附带上授权码参数；

流程e、第三方应用访问授权服务器，根据授权码获取令牌；

流程f、第三方应用携带令牌访问资源服务器，验证令牌有限性；

流程g、令牌验证通过后，资源服务器将请求路由到被保护资源，第三方应用可以获取资源信息；

简化模式包括如下流程，