[发明专利]一种授权方法、系统及第三方应用系统

说明书

技术领域

本发明涉及互联网应用中信息处理领域，尤其涉及一种授权方法、系统及第三方应用系统。

背景技术

Oauth称为开放授权，是一个为用户资源的授权提供安全的、开放而简易的标准，允许任何第三方应用调用开放平台或网站的应用入侵防护系统(AIP，Application Intrusion Prevention)接口，任何第三方应用都可以使用Oauth认证服务，任何服务提供商都可以实现自身的Oauth认证服务，因而Oauth是开放的。不管是Oauth服务提供者还是应用开发者，都很容易于理解与使用，没有涉及到用户密钥等信息，更安全、更灵活，任何服务提供商都可以实现Oauth，任何开发商都可以使用Oauth。

Oauth的授权过程分为以下三个步骤：获取未授权的请求令牌(Request Token)，获取用户授权Request Token，使用授权后的Request Token换取接入令牌(Access Token)；具体包括：

第1步，第三方应用向Oauth开放平台请求未授权的Request Token；

第2步，Oauth开放平台同意第三方应用的请求，并向第三方应用颁发未授权的oauth_token与对应的oauth_token_secret；

第3步，第三方应用向Oauth开放平台请求用户授权的Request Token；

这里，用户授权的Request Token与未授权的Request Token的值相同，只是状态不同；

第4步，Oauth开放平台将引导用户进行授权；

第5步，Request Token授权后，第三方应用将向Access Token URL发起请求，将上一步骤中授权的Request Token换取成Access Token；

第6步，Oauth开放平台同意第三方应用的请求，并向第三方应用颁发Access Token与对应的密钥，并返回给第三方应用。

第三方应用以后就可以使用返回的Access Token访问用户授权的资源。

上述过程中，在授权过程的第4步中，Oauth开放平台产生验证码，用户进行验证码的验证，因此，在浏览器网页中用户可以自动获取验证码并进行验证，但是第三方应用无法自动获取验证码，必须用户手动输入验证码后，第三方应用才能完成授权，验证和授权过程比较繁琐，给用户带来不良的用户体验。

发明内容

有鉴于此，本发明的主要目的在于提供一种授权方法、系统及第三方应用系统，使第三方应用能够自动获取验证码，并利用验证码自动完成验证过程。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供一种授权方法，包括：

第三方应用获取状态为未授权的请求令牌后，向开放平台发送授权请求；

开放平台生成验证码，并将状态更新为授权的所述请求令牌和所述验证码返回给浏览器网页；

第三方应用利用所述请求令牌从开放平台获取验证码，并利用所述验证码和所述请求令牌从开放平台换取接入令牌。

上述方法中，所述第三方应用获取状态为未授权的请求令牌为：

第三方应用向开放平台发送请求消息，请求从开放平台获取请求令牌；

开放平台记录请求令牌的当前状态为未授权，并返回状态为未授权的请求令牌给第三方应用。

上述方法中，所述开放平台生成验证码，并将状态更新为授权的请求令牌和所述验证码返回给浏览器网页为：

开放平台将之前记录的请求令牌的状态由未授权更新为授权，并随机生成验证码，在内存中记录所述验证码的有效期、以及请求令牌与验证码的对应关系；

开放平台将状态更新为授权的请求令牌和验证码返回给浏览器网页；

开放平台在内存中记录所述验证码的当前状态为查询有效。

上述方法中，所述第三方应用利用所述请求令牌从开放平台获取验证码为：

第三方应用利用请求令牌向开放平台查询验证码；

开放平台确认当前验证码状态为查询有效时，返回验证码给第三方应用。

上述方法中，所述第三方应用利用所述请求令牌向开放平台查询验证码为：

第三方应用向开放平台发送查询请求消息，请求利用状态更新为授权的请求令牌向开放平台查询验证码；

所述查询请求消息中携带状态更新为授权的请求令牌。

上述方法中，所述开放平台确认当前验证码状态为查询有效时，返回验证码给第三方应用为：