[发明专利]基于细粒度令牌的访问控制

说明书

可以提供一种用于在数据处理环境中进行基于令牌的授权的计算机实现的方法。数据处理环境至少包括用户系统、应用、认证服务器和访问控制服务器。方法包括通过用户系统请求访问应用，将用户访问请求重定向到认证服务器，认证用户，其中认证凭证包括对受限权利的请求，其中受限权利表示由访问控制服务器管理的资源的现有权利的子集。方法还包括从认证服务器向应用发送访问令牌，请求执行包括通过提供访问令牌的应用调用该操作的操作，调用访问控制服务器，以及提供包括现有权利的子集的令牌的范围。

技术领域

本发明总体上涉及一种用于基于令牌的授权的方法，并且更具体地，涉及一种用于在数据处理环境中进行基于令牌的授权的计算机实现的方法。本发明还涉及一种用于在数据处理环境中进行基于令牌的认证的相关访问系统，以及一种相关的计算机程序产品。

背景技术

在过去十年中，基于令牌的认证和授权系统已经得到发展。在这些系统中，最终用户通过授权服务器进行身份验证并取回一个临时令牌，该令牌证明该最终用户的授权以及他的身份(可选)。例如，基于Web的用户界面(UI)使用此令牌来安全地调用后端服务。由于没有凭证流向这些服务，基于令牌的系统为不同供应商的服务提供了一个可以利用相同的授权系统的生态系统。对于服务之间更复杂的交互，还可以将令牌从UI通过一个服务传递到另一个下游服务。

作为令牌数据的一部分，有效载荷通常携带授权集，称为“范围”。在各种基于令牌的系统中，范围的处理方式非常不同。从标准化的角度来看，只保留了少数几个作用域关键字，其他授权由授权框架决定。这些框架中的许多都采用了一个动作和/或基于角色的模型，这些模型通常描述服务、组件和/或动作。例如，像“database.query.read”这样的函数调用就是这样一个潜在的作用域。

发明内容

根据本发明的一个方面，一种用于基于令牌的授权的计算机实现的方法可以至少包括用户系统、应用、认证服务器和访问控制服务器。由此，用户系统可以通过网络连接连接到执行应用的服务器，并且应用可以提供对操作的访问。至少该操作可以通过其标识符来识别。

该方法可以包括经由用户系统请求访问应用，将用户访问请求重定向到认证服务器，以及通过在认证服务器和应用之间交换的认证凭证来认证用户。由此，认证凭证可以包括使用范围的标准语义的对受限权利的请求，并且受限权利可以表示由访问控制服务器为资源管理或控制的现有权利的子集。

该方法还可以包括：如果认证成功并且应用已经在认证服务器处注册，则从认证服务器向应用发送访问令牌和刷新令牌，其中访问令牌和刷新令牌包括受限权利。

请求由用户系统发起的应用执行操作可以包括通过提供包含受限权利的访问令牌的应用调用操作，通过操作调用访问控制服务器，向访问控制服务器提供用户系统的标识符和包括现有权利的子集的令牌的范围，访问控制服务器使用权利子集过滤现有权利，从而导致用户系统对操作的访问决策。

根据本发明的另一方面，可以提供一种用于数据处理环境中基于令牌的授权的相关访问系统。

此外，实施例可以采用相关计算机程序产品的形式，可从提供程序代码的计算机可用或计算机可读介质访问，以供计算机或任何指令执行系统使用或与计算机或任何指令执行系统结合使用。出于本说明的目的，计算机可用或计算机可读介质可以是任何装置，可以包含用于存储、通信、传播或传输程序以供指令执行系统使用或与指令执行系统装置结合使用的装置，或设备。

附图说明

应当注意，本发明的实施例是参照不同的主题来描述的。具体地，参考方法类型权利要求描述了一些实施例，而参考设备类型权利要求描述了其他实施例。然而，本领域技术人员将从以上和以下描述中了解到，除非另有说明，除了属于一类主题的特征的任意组合之外，还包括与不同主题相关的特征之间的任意组合。特别地，在方法类型权利要求的特征和设备类型权利要求的特征之间，被认为是在本文件中公开的。