[发明专利]一种双向授权系统、客户端及方法

说明书

技术领域

本发明涉及互联网中的授权技术，尤其涉及一种双向授权系统、客户端及方法。

背景技术

客户端如果想访问用户在服务器侧受保护的资源则需要使用用户的身份凭据，如用户名和密码。如果想要第三方的客户端也能访问用户在服务器侧受保护的资源就需要把用户的身份凭据提供给第三方客户端，如此，就存在严重的安全隐患。

开放授权(OAuth，OpenAuth)协议为解决上述问题，为用户资源的授权提供了一个安全、开放、简易的标准，通过一个中间层将客户端和用户授权过程分离，在第三方客户端不触及到用户的凭据信息的情况就可以申请获得该用户资源的授权。OAuth协议中定义了四种角色，包括资源所有者、客户端、资源服务器、授权服务器；其中，资源所有者是指拥有资源的用户，可以授权客户端访问自已的资源；客户端是访问受保护的资源的客户端程序；资源服务器是保存资源所有者的资源的服务器，需客户端被资源所有者授权之后才可以被访问。授权服务器负责在接收到资源所有者的用户凭据后生成访问令牌给客户端。

通过OAuth协议可以使得第三方客户端在获取用户授权后，访问用户在资源服务器侧受保护的资源。但是，OAuth协议是一个单向授权的协议，只能由第三方客户端向资源服务器请求单方面的授权，不能同时满足客户端向第三方资源服务器请求授权。例如，当客户端为微博、第三方客户端为博客时，资源服务器为用户受保护的微博信息，第三方资源服务器为用户受保护的博客信息，博客客户端经过资源所有者授权后，可以访问资源服务器侧的微博信息；但是，微博客户端不能访问第三方资源服务器侧的博客信息。

发明内容

有鉴于此，本发明的主要目的在于提供一种双向授权系统、客户端及方法，使两侧客户端能够同时访问对方受保护的资源。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种双向授权系统，该系统包括：第一服务提供子系统、第二服务提供子系统、用户终端；其中，

所述第一服务提供子系统，用于分别获取第一服务提供子系统的第一临时凭据、第二服务提供子系统的第二临时凭据；将第二临时凭据发送至用户终端进行授权，接收用户终端返回的第二授权凭据，并将第二授权凭据发送至第二服务提供子系统以换取第二访问令牌，根据所述第二访问令牌，获取第二服务提供子系统中的资源；以及，将第一临时凭据发送至第二服务提供子系统；

所述第二服务提供子系统，用于接收第一服务提供子系统发送的第一临时凭据，并修改所述第一临时凭据中的标识；将修改后的第一临时凭据发送至用户终端进行授权，接收用户终端返回的第一授权凭据，将第一授权凭据发送至第一服务提供子系统以换取第一访问令牌，根据所述第一访问令牌，获取第一服务提供子系统中的资源；

所述用户终端，用于分别接收第一服务提供子系统发送的第二临时凭据、第二服务提供子系统发送的第一临时凭据；分别对第二临时凭据、第一临时凭据进行授权，并将授权后的第二授权凭据、第一授权凭据分别发送至第一服务提供子系统、第二服务提供子系统。

上述方案中，所述第一服务提供子系统包括：第一客户端、第一开放授权OAuth服务器、第一资源服务器；其中，

所述第一客户端，用于向第一OAuth服务器、第二服务提供子系统分别发送请求临时凭据命令；接收第一OAuth服务器、第二服务提供子系统分别返回的第一临时凭据、第二临时凭据；将第二临时凭据发送至用户终端进行授权，接收用户终端返回的第二授权凭据，将所述第二授权凭据发送至第二服务提供子系统以换取第二访问令牌；将第二访问令牌发送至第二服务提供子系统进行认证，在第二服务提供子系统认证成功后，访问第二服务提供子系统提供的资源；还用于将第一临时凭据发送至第二服务提供子系统进行客户端标识修改；

所述第一OAuth服务器，用于接收第一客户端发送的请求临时凭据命令，并根据该命令返回第一临时凭据给第一客户端；接收第二服务提供子系统发送的第一授权凭据，返回第一访问令牌给第二服务提供子系统，并将第一访问令牌发送至第一资源服务器作为认证依据；

所述第一资源服务器，用于接收第二服务提供子系统发送的第一访问令牌，并根据第一OAuth服务器发送的第一访问令牌对所述第二服务提供子系统发送的第一访问令牌进行认证，认证成功后提供第一服务资源给第二服务提供子系统进行访问。

上述方案中，所述第二服务提供子系统包括：第二客户端、第二OAuth服务器、第二资源服务器；其中，