[发明专利]基于细粒度令牌的访问控制

权利要求书

1.一种用于数据处理环境中基于令牌的授权的计算机实现的方法，其中数据处理环境至少包括用户系统、应用、认证服务器和访问控制服务器，其中用户系统通过网络连接连接到执行应用的服务器，其中应用提供对操作的访问，其中至少操作可通过其标识符识别，其中该方法包括：

-通过用户系统请求访问应用，

-将用户访问请求重定向到身份验证服务器，

-通过在认证服务器和应用之间交换的认证凭证来认证用户，其中认证凭证包括使用范围的标准语义的对受限权利的请求，其中受限权利表示由访问控制服务器管理的资源的现有权利的子集，

-如果认证成功并且应用已经在认证服务器处注册，则从认证服务器向应用发送访问令牌和刷新令牌，其中访问令牌和刷新令牌包括受限权利，

-请求由用户系统发起的应用执行操作，包括

-通过提供包括受限权利的访问令牌的应用调用操作

-通过操作调用访问控制服务器，

-向访问控制服务器提供用户系统的标识符和包括现有权利子集的令牌的范围，

-访问控制服务器使用权利子集过滤现有权利，导致用户系统对操作的访问决策。

2.根据权利要求1所述的方法，其中标准语义基于OAuth2。

3.根据权利要求1或2所述的方法，其中应用是不安全的组件。

4.根据权利要求1或2所述的方法，其中对包括在认证凭证中受限权利的请求是第一请求，其中第一请求包括现有权利的最大子集。

5.根据权利要求4所述的方法，其中对刷新令牌的后续请求还包括对进一步受限权利的请求。

6.根据权利要求1或2所述的方法，其中操作包括从包括对预定义数据的访问、数据库访问、文件访问、预定义应用编程接口，对网络特定子网的访问的组中选择的至少一个。

7.根据权利要求1或2所述的方法，其中访问令牌具有预定义的有效时间。

8.根据权利要求7所述的方法，其中预定义的有效时间可由特权用户系统更新。

9.一种用于数据处理环境中基于令牌的授权的访问系统，其中数据处理环境至少包括用户系统、应用、认证服务器和访问控制服务器，其中用户系统通过网络连接连接到执行应用的服务器，其中应用提供对操作的访问，其中至少操作可通过其标识符识别，其中该访问系统包括：

-访问模块，适于通过用户系统请求访问应用，

-重定向模块，适于将用户访问请求重定向到身份验证服务器，

-认证服务器，适于通过在认证服务器和应用之间交换的认证凭证来认证用户，其中认证凭证包括使用范围的标准语义的对受限权利的请求，其中受限权利表示由访问控制服务器管理的资源的现有权利的子集，

-发送器，适于如果认证成功并且应用已经在认证服务器处注册，则从认证服务器向应用发送访问令牌和刷新令牌，其中访问令牌和刷新令牌包括受限权利，

-其中用户系统适于请求由用户系统发起的应用执行操作，其中请求执行操作包括

-通过提供包括受限权利的访问令牌的应用调用操作

-通过操作调用访问控制服务器，

-向访问控制服务器提供用户系统的标识符和包括现有权利子集的令牌的范围，

-访问控制服务器使用权利子集过滤现有权利，导致用户系统对操作的访问决策。

10.根据权利要求9所述的系统，其中标准语义基于OAuth2。

11.根据权利要求9或10所述的系统，其中应用是不安全的组件。

12.根据权利要求9或10所述的系统，其中对包括在认证凭证中受限权利的请求是第一请求，其中第一请求包括现有权利的最大子集。

13.根据权利要求12所述的系统，其中对刷新令牌的后续请求还包括对进一步受限权利的请求。