[发明专利]开放认证协议票据的升级方法、系统及装置

说明书

本发明提出一种开放认证（OAuth）协议票据的升级方法、系统及装置，其中方法包括：开放平台接收来自第三方应用的调用服务请求，判断所述调用服务请求中携带的OAuth协议票据的版本是否为旧版本，如果是，则指示第三方应用进行版本升级；开放平台接收来自第三方应用的版本升级请求，对所述版本升级请求中的参数进行校验，如果校验通过，则为所述第三方应用分配新版本的OAuth协议票据，将所述新版本的OAuth协议票据返回至第三方应用。本发明能够在开放平台的OAuth服务升级之后避免第三方应用服务的中断。

技术领域

本发明涉及开放认证（OAuth，Open the Authentication）协议技术领域，尤其涉及一种OAuth协议票据的升级方法、系统及装置。

背景技术

OAuth协议为用户资源的授权提供了一个安全、开放而又简易的标准。OAuth协议允许用户提供一个令牌，而不是用户名和密码来访问其存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方在特定的时段内访问特定的资源。这样，OAuth协议允许用户授权第三方应用访问其存储在另外的服务提供者上的信息，而不需要分享他们的访问许可或他们数据的所有内容。

OAuth协议目前有三个版本，OAuth1.0、OAuth1.a和OAuth2.0。

OAuth1.0，OAuth1.a虽然在安全性上经过修补已经没有问题了，但还存在主要的两个缺点：第一，OAuth1.0需要开发者计算签名，但签名逻辑过于复杂，对开发者不够友好；第二，授权流程太过单一，除了Web应用以外，对桌面、移动应用来说不够友好。

为了弥补这些缺点，OAuth2.0做了以下改变：

首先，去掉签名，改用SSL（HTTPS）确保安全性，所有的token不再有对应的secret存在，这也直接导致OAuth2.0不兼容老版本。其次，针对不同的情况使用不同的授权流程，和老版本只有一种授权流程相比，新版本提供了四种授权流程，可依据客观情况选择。除了网页版的授权外，OAuth2.0提供的授权方式对多种客户端的支持良好（web，mobile，desktop）等各类应用。

与OAuth1.0相比，OAuth2.0具有安全、简单的特点，大大降低了开发者的门槛，提高开发者的效率，对于开放平台来说，存储端不会随着第三方和用户的增多而迅速膨胀，因此，强烈建议新接入的第三方应用采用OAuth2.0的模式，同时也鼓励老的第三方应用使用OAuth2.0协议。

在第三方应用从OAuth1升级到OAuth2.0的过程中，发明人发现现有技术至少存在以下问题：

目前第三方应用从OAuth1.0过渡到OAuth2.0属于硬切换，由于OAuth1.0的访问令牌（access token）与OAuth2.0的访问令牌不兼容，导致原有的用户授权票据将全部作废，将无法继续调用开放平台的接口。如果需要调用API接口，必须由用户对第三方应用进行OAuth2.0的授权，由此会造成第三方应用服务的中断。

发明内容

本发明提供了一种OAuth协议票据的升级方法，能够在开放平台的OAuth服务升级之后避免第三方应用服务的中断。

本发明还提供了一种实现OAuth协议票据的升级的系统、开放平台及第三方应用，能够在开放平台的OAuth升级之后避免第三方应用服务的中断

本发明的技术方案是这样实现的：

一种OAuth协议票据的升级方法，包括：

开放平台接收来自第三方应用的调用服务请求，判断所述调用服务请求中携带的OAuth协议票据的版本是否为旧版本，如果是，则指示第三方应用进行版本升级；