[发明专利]OAUTH框架

说明书

优先权要求

本申请按照美国法典第35章119条要求于2011年9月29日提交且标题为“RELYING PARTY AND OAUTH FRAMEWORK”的美国临时专利申请No.61/541,026的优先权。

背景技术

身份管理系统是一种信息系统，或者可以用于企业或跨网络身份管理的一组技术。身份管理描述了系统和企业边界中或者跨系统和企业边界的个人身份、其认证、授权、角色和特权的管理，其目的在于在降低成本、停机时间和重复任务的同时提高安全性和生产力。身份管理的一方面是“单点登录”(Single Sign-on；SSO)。在身份管理领域中特别有用的一个标准是OAuth。

SSO是多个相关但独立的软件系统的访问控制的一个特性。利用这个特性，用户登录一次并且获得对所有系统的访问，而不会在每个系统都被提示再次登陆。反过来，单点登出是使得单个登出动作终止对多个软件系统的访问的特性。由于不同的应用和资源支持不同的认证机制，因此，单点登录在内部翻译成并存储与用于初始认证的凭证比较而言不同的凭证。SSO减少了网络钓鱼成功，因为用户没有被培训成在每个地方都不假思索地输入密码。SSO减小了来自不同用户名和密码组合的密码疲劳。SSO减少了花在为同一个身份重复输入密码上的时间。由于更少数量关于密码的信息技术(IT)服务台电话，SSO减小了IT成本。SSO对系统的进入/退出/访问的所有层次提供了安全性，而没有重新提示用户的不便。SSO还允许对合规性的集中式报告。SSO使用所有其它应用和系统用于认证目的时都使用的集中式认证服务器，并且把这与确保用户不必主动输入其凭证多于一次的技术相结合。

OAuth是用于授权的一种开放式标准。授权的间接效果是认证。OAuth允许用户把存储在一个站点的他们的私有资源(例如，照片、视频、联系人列表等)与另一个站点共享，而不必散发其凭证，作为替代，通常是提供用户名和密码令牌。每个令牌准许对一个具体站点的具体资源访问既定的持续时间。这允许用户准许第三方站点访问他们利用另一个服务提供者存储的信息，而不共享他们的访问许可或者他们的全部数据。例如，令牌可以准许在接下来的两小时访问视频编辑站点来获取来自一个具体相册的视频。

例如，在一个典型的场景下，LinkedIn的用户可以被请求把用户的联系人从Yahoo导入到LinkedIn中的许可。LinkedIn可能想获得这些联系人，以便发送例如邀请用户的每个联系人加入LinkedIn的电子邮件消息。在OAuth之前，这种对许可的请求可以涉及用户向LinkedIn提供用户的Yahoo用户身份和密码的请求。这个信息被请求，使得LinkedIn可以作为那个用户登录到该用户的Yahoo账户中，然后从用户的Yahoo账户获得那个用户的联系人。一般来说，允许LinkedIn(或者任何站点)具有用户的Yahoo(或任何其它站点)身份和密码是个坏主意，因为它准许前者站点不受限制地访问后者站点上用户的账户。这种不受限制的访问几乎总是比前者站点实现其目标，诸如仅仅是获得联系人列表，实际所需多得多的访问。

一个更好的构思是为前者站点提供相对于后者站点上用户帐户的有限授权。有限的授权可以规定前者站点相对于后者站点上用户的帐户能够执行的具体操作集合。例如，参考以上的典型场景，有限的授权可以规定LinkedIn只能访问用户的联系人列表，而不执行关于用户在Yahoo上的账户的其它操作。OAuth允许这种有限的授权。OAuth提供了授权的委托。

OAuth通过其委托授权的技术可以相对于类比来理解。当车主暂时把对他的车的控制转让给服务员使得该服务员可以为车主停车时，车主常常不向服务员提供通用的主钥匙，而是向服务员提供更有限用途的服务员钥匙。服务员钥匙允许服务员具有开车的足够访问，但不向服务员提供对车主在车中所拥有的每件事物的访问。以相同的方式，例如，OAuth的使用可以准许第一个站点访问由第二个站点存储的用户的联系人列表，而不允许第一个站点相对于用户在第二个站点上的账户执行其它操作–诸如读取可能存储在第二个站点上的电子邮件消息。OAuth允许给予第一个站点有限的授权来相对于第二个站点执行规定的操作集合，而且不执行其它操作。