[发明专利]用于场内富客户端的轻量认证

说明书

技术领域

本发明一般涉及支持富客户端应用、同时缓解组件在富客户端上的复杂的依赖关系和安装的认证机制。

背景技术

随着计算技术的发展以及计算设备变得越来越普遍，计算机编程技术可适合用于所使用中的广泛的各种计算设备。例如，可根据各种编程语言来生成程序代码以控制大小、容量不同的计算设备，从相对受限的设备(诸如简单的嵌入式系统、移动手持设备等)到大的、高性能的计算实体(诸如数据中心或服务器群集)。

常规上，当应用被开发和/或修改以与计算设备一起使用时，通常已经按照两种方式之一开始着手用户的认证。第一种方案是纯在线的基于web的方案，其中认证通过被称为“cookie”的机制来发生。使用这种方案，组件和/或依赖关系发生在服务器侧(例如，web侧)，而客户端侧(例如，客户端机器、客户端设备)简单地使用浏览器来与服务器侧交互。因此，软件不被安装在客户端机器上。然而，这种方案的问题在于，仅在浏览器打开时，所认证的会话状态才保持打开。此外，此方案仅对web应用起作用，而对在桌面上运行的应用(例如，富客户端)则不起作用。

第二种用于认证的方案是用于富客户端的。在此方案中，软件(和复杂的依赖关系)被下载并安装到客户端机器上。在一些情况下，此方案的问题在于，被下载和安装的软件非常大，这可能消耗客户端机器上的宝贵资源。此方案的另一个问题在于，由于平台众多，故创建不同的软件组件并使其可用于在不同客户端机器上安装(取决于所支持的平台)。这可能带来众多部署挑战，这会减少系统的可用性并会带来负面的用户体验。此外，还针对不同语言创建软件组件并使其可用于在客户端机器上安装。

因此，当今不存在适当支持缓解软件的安装(复杂的依赖关系)的认证机制的系统。此外，当今不存在允许富客户端侧以无缝且集成的方式与服务器侧组件交互的系统。

当今的计算系统和认证系统技术的上述缺点仅旨在提供常规系统的一些问题的概览，并且不旨在是穷尽性的。常规系统的其他问题以及此处所描述的各非限制性实施例的对应的益处可以在审阅以下描述后变得更显而易见。

发明内容

此处提供了简化的发明内容以帮助能够对以下更详细的描述和附图中的示例性、非限制性实施例的各方面有基本或大体的理解。然而，本发明内容并不旨在作为详尽的或穷尽的。相反，本节发明内容的唯一目的在于，以简化的形式提出与一些示例性、非限制性实施方式相关的一些概念，作为以下各实施方式的更详细的描述的序言。

在一个或多个实施例中，所公开的方面利用自己开发的注册门户，该注册门户桥接客户端侧和服务器侧之间的通信。注册门户提供安全通信信道，该安全通信信道便于并简化到客户端侧上的单个登录服务的用户登陆体验。此外，所公开的方面提供客户端设备(客户端侧)和web门户(服务器侧)之间的敏感数据的交换，其中该敏感数据被加密并在安全信道内传递。

根据一些方面，所公开的实施例通过基于web的次级应用在客户端侧上提供单点登录标识认证服务。根据一方面，以此方式，使用web浏览器文档对象模型(DOM或DOM对象模型)和公钥基础结构(PKI)密钥交换技术，在客户端应用和web服务器之间交换敏感数据。

这些和其他实施例在下文中更详细地描述。

附图说明

参考附图进一步描述各非限制性实施例，在附图中：

图1示出，根据一方面，与客户端侧应用相关联的示例性计算系统的框图。

图2示出，根据一方面，与服务器侧应用相关联的另一示例性计算系统。

图3是示出，根据一方面，包含网页控制组件和凭证组件的控制管理器组件的框图。

图4是示出，根据一方面，包含主机组件和访问管理器组件的验证处理组件的框图。

图5示出，根据一方面，场内(on-premise)富客户端内的单点登录服务的简单流程的非限制性示例。

图6示出，根据一方面，图5的轻量认证机制的简单流程的非限制性示例的延续。

图7示出，根据一方面，使用轻量认证机制的敏感数据交换的简单流程的非限制性示例。

图8示出，根据一方面，使用图7的轻量认证机制的敏感数据交换的简单流程的非限制性示例的延续。

图9是示出，根据一方面，从客户端侧角度的认证的示例性非限制性过程的流程图。

图10是示出，根据一方面，从服务器侧角度的认证的示例性非限制性过程的流程图。

图11是表示其中可实现在本文中所述的各实施例的示例性非限制性联网环境的框图；以及