[发明专利]安全的OAuth代理与可信域混合的授权方法

说明书

本发明公开了用户授权协议改造及单点登录实现范畴技术领域的一种安全的OAuth代理与可信域混合的授权方法，包括代理授权方法和可信域验证方法，安全的代理授权模式：基于代理授权服务对接第三方OAuth授权系统，业务系统再对接代理授权服务的模式，完成第三方资源服务访问令牌的获取，并采用非对称加密的方式对访问令牌进行加密，最后将加密后信息回传至业务系统中；可信域验证：基于业务系统注册时记录的URI，比对HTTP协议请求携带的参数，进行判断，验证通过则返回相应安全级别下的用户信息；混合验证实现单点登录：通过OAuth的代理授权以及可信域验证，从而实现用户的单点登录。

技术领域

本发明涉及用户授权协议改造及单点登录实现范畴技术领域，具体为一种安全的OAuth代理与可信域混合的授权方法。

背景技术

OAuth是标准的授权协议【RFC 6749】，协议规定了基于令牌进行授权，在无需暴露用户密码的情况下，使客户端能够对用户数据进行有效访问。

OAuth定义了资源拥有者、资源服务器、客户端、授权服务器四种角色。充分解耦认证和授权，将权限的授予交给资源拥有者，由资源拥有者决定是否授权客户端访问权限。

OAuth明确定义了四种权限授予模式，分别为：授权码模式、简化模式、密码模式、客户端模式，以及用于其它类型的扩展机制。

OAuth是标准的安全架构，也是目前互联网应用很广泛的授权协议。OAuth四种明确定义的授权模式中，使用最多的便是授权码模式，该模式能够较为安全的将用户信息开放共享。

简化模式是为在浏览器中使用诸如JavaScript之类的脚本语言而优化的一种简化授权码流程。在简化模式中，直接将访问令牌而不是授权码（code）颁发给客户端（通过资源拥有者的授权）。授权类型是简化的，因此没有中间环节（比如用来获取访问令牌的授权码-code）。

密码模式是指资源拥有者的密码凭据（比如用户名、密码），可以直接用来当作获取访问令牌的权限授予方式。该模式仅应在客户端与资源拥有者存在高度信任（比如客户端是设备操作系统或高权限应用程序的一部分），并且其它授权模式不可用时使用。

客户端模式是指客户端以自己的名义，而不是资源拥有者（终端用户）的名义，向授权服务器进行认证。该模式要求授权服务器与客户端高度信任，在这个过程中并不需要用户的参与。

存在的不足：

（1）假如需要对接多个不同类型且支持OAuth授权的资源服务商，如果仍使用传统的对接方式，那么客户端就必须按照上面的流程对接多次。尤其当多个不同客户端进行整合时，对接程序要复制多次，同时还必须在每一个资源服务商的授权系统中进行客户端的注册。这样付出的成本与代价无疑是巨大的。

（2）对于网站等在浏览器中使用JavaScript之类脚本语言的客户端，OAuth提供了简化模式用于用户的授权。如果用户初次登录，这样进行授权没有任何问题，但是如果用户已经登录授权过，用户的状态又该如何获取呢。

基于此，本发明设计了一种安全的OAuth代理与可信域混合的授权方法，以解决上述提到的问题。

发明内容

本发明的目的在于提供一种安全的OAuth代理与可信域混合的授权方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种安全的OAuth代理与可信域混合的授权方法，包括代理授权方法和可信域验证方法，

所述代理授权方法流程如下：

S01：业务系统传递自身标识、授权请求标识等信息通过用户代理将用户重定向至代理授权系统；