[发明专利]鉴权方法、装置、系统和存储介质

说明书

本申请公开了一种鉴权方法、装置、系统和存储介质，属于安全技术领域。该方法包括：应用获取用户中心生成的客户端的客户端标识，该客户端标识是客户端在用户中心登录后由用户中心分配的标识；应用在接收到客户端发送的包括授权凭证的认证信息时，通过客户端标识对授权凭证进行权限验证，授权凭证为用户中心发送至客户端，用于与客户端标识配合以证明客户端的权限的凭证；在授权凭证通过权限验证时，应用允许客户端进行访问。本申请通过由各个应用在本地使用授权凭证中的权限信息进行鉴权操作，而无需到用户中心提供的鉴权服务进行集中鉴权。相较于相关技术中集中鉴权的方式，以一种离散鉴权的方式提高了鉴权速度。

技术领域

本申请涉及安全技术领域，特别涉及一种鉴权方法、装置、系统和存储介质。

背景技术

鉴权(英文：authentication)是指验证客户端是否拥有访问某个应用(应用可以为一个程序，用于提供业务功能)的权利。

鉴权系统中通常包括用户中心、多个客户端和多个应用，在客户端访问某个应用时，会将由用户中心提供的令牌(英文：Token)发送给该应用，该应用将该令牌发送给用户中心，由用户中心验证该令牌，在该令牌通过验证时，用户中心通知该应用允许该客户端的访问。

上述这种通过用户中心进行集中鉴权的方法在有较多的应用同时需要用户中心来验证令牌时，可能会由于用户中心的处理能力的限制，而使得用户中心对于令牌的验证较为缓慢，进而导致鉴权速度较低。

发明内容

为了解决现有技术中鉴权速度较低的问题，本发明实施例提供了一种鉴权方法、装置、系统和存储介质。所述技术方案如下：

根据本申请的第一方面，提供了一种鉴权方法，所述方法包括：

运行有应用(Application)的实体设备可以获取运行有用户中心的实体设备生成的客户端的客户端标识。其中，客户端标识是运行有客户端的实体设备在运行有用户中心的实体设备登录后由运行有用户中心的实体设备分配的标识。该应用可以是运行于终端或服务器等实体设备上的一个程序，该程序用于提供某种业务功能。该运行有应用的实体设备在接收到客户端发送的包括授权凭证的认证信息时，可以通过获取的客户端标识对授权凭证进行权限验证，该授权凭证为运行有用户中心的实体设备发送至运行有客户端的实体设备，用于与客户端标识配合以证明运行有客户端的实体设备的权限的凭证。在授权凭证通过权限验证时，该运行有应用的实体设备可以允许客户端进行访问。

本申请提供的鉴权方法，通过由各个应用在本地通过客户端标识进行鉴权操作，以一种离散鉴权的方式解决了相关技术中鉴权方法灵活性较低的问题。

可选的，运行有应用的实体设备在接收到运行有客户端的实体设备发送的包括授权凭证的认证信息时，通过客户端标识对授权凭证进行权限验证，包括：

运行有应用的实体设备在接收到运行有客户端的实体设备发送的包括授权凭证的认证信息时，可以对授权凭证进行有效性验证，该有效性验证用于验证授权凭证是否为运行有用户中心的实体设备生成。在授权凭证通过有效性验证时，运行有应用的实体设备可以进一步通过所述客户端标识与运行有客户端的实体设备互相进行身份验证。在身份验证通过时，运行有应用的实体设备确定权限验证通过。

本申请提供的鉴权方法，应用通过先对授权凭证进行有效性验证，以验证授权凭证的合法性，再与客户端互相进行身份验证，以保证应用和客户端身份的真实性，使得权限验证的安全性较高。

可选的，授权凭证包括由运行有用户中心的实体设备的私钥生成的数字签名(digital signature)。