[发明专利]鉴权方法、装置、系统和存储介质

权利要求书

1.一种鉴权方法，其特征在于，用于运行有目的应用的服务器中，所述方法包括：

获取用户中心生成的客户端的客户端标识，所述客户端标识是所述客户端在所述用户中心登录后由所述用户中心分配的标识；

在接收到客户端发送的包括授权凭证的认证信息时，对所述授权凭证进行有效性验证，所述有效性验证用于验证所述授权凭证是否为所述用户中心生成，所述授权凭证为所述用户中心发送至所述客户端；

在所述授权凭证通过所述有效性验证时，通过所述客户端标识与所述客户端互相进行身份验证；

在所述身份验证通过时，确定权限验证通过；

在所述授权凭证通过所述权限验证时，允许所述客户端访问所述服务器中的目的应用；

所述获取用户中心生成的客户端的客户端标识之后，所述方法还包括：

根据所述客户端标识以预设算法生成验证密钥；

所述通过所述客户端标识与所述客户端互相进行身份验证，包括：

以询问握手认证协议CHAP向所述客户端证明所述验证密钥与所述客户端中的客户端密钥一致，所述客户端密钥由所述用户中心根据所述客户端标识以所述预设算法生成；

以所述CHAP验证所述客户端密钥与所述验证密钥是否一致；

在所述客户端密钥与所述验证密钥一致时，确定所述客户端通过所述身份验证。

2.根据权利要求1所述的方法，其特征在于，所述授权凭证包括由所述用户中心的私钥生成的数字签名，

所述在接收到客户端发送的包括授权凭证的认证信息时，对所述授权凭证进行有效性验证，包括：

在接收到客户端发送的包括授权凭证的认证信息时，通过所述用户中心的公钥验证所述数字签名；

在验证成功时，确定所述授权凭证通过所述有效性验证；

在验证失败时，确定所述授权凭证未通过所述有效性验证。

3.根据权利要求1所述的方法，其特征在于，所述认证信息中还包括第一随机字符串，

所述以询问握手认证协议CHAP向所述客户端证明所述验证密钥与所述客户端中的客户端密钥一致，包括：

生成第二随机字符串；

以预设哈希算法根据所述验证密钥、所述第二随机字符串、所述第一随机字符串和所述客户端标识生成第一哈希消息认证码HMAC；

将所述第一HMAC和所述第二随机字符串发送至所述客户端，以便于所述客户端以所述预设哈希算法根据所述客户端密钥、所述第二随机字符串、所述第一随机字符串和所述客户端标识生成第二HMAC，并在所述第二HMAC与所述第一HMAC一致时确定所述验证密钥与所述客户端密钥一致。

4.根据权利要求3所述的方法，其特征在于，所述以所述CHAP验证所述客户端密钥与所述验证密钥是否一致，包括：

接收所述客户端以所述预设哈希算法根据所述客户端密钥、所述第二随机字符串、所述第一随机字符串和所述目的应用的应用名生成的第三HMAC，所述目的应用的应用名为所述客户端所要访问的应用的应用名，所述客户端用于在确定所述验证密钥与所述客户端密钥一致时，向所述目的应用发送所述第三HMAC；

以所述预设哈希算法根据所述验证密钥、所述第二随机字符串、所述第一随机字符串和所述目的应用的应用名生成的第四HMAC；

在所述第四HMAC与所述第三HMAC一致时，确定所述客户端密钥与所述验证密钥一致。

5.根据权利要求1所述的方法，其特征在于，所述授权凭证包括记录所述授权凭证的有效期的有效期信息，

所述在所述授权凭证通过所述有效性验证时，通过所述客户端标识与所述客户端互相进行身份验证，包括：

在所述授权凭证通过所述有效性验证时，根据所述有效期信息确定所述授权凭证是否在所述有效期内；

在所述授权凭证在所述有效期内时，通过所述客户端标识与所述客户端互相进行身份验证。