[发明专利]一种认证方法、装置、设备和存储介质

权利要求书

1.一种认证方法，其特征在于，应用于可信控制设备，所述方法包括：

对应用服务器发送的应用信息进行验证；

在对所述应用信息验证通过后，基于所述应用信息以及对应的目标用户令牌得到应用认证请求；

向第一身份识别与访问管理设备IAM发送所述应用认证请求，以使所述第一IAM基于所述应用认证请求确定应用认证信息；

基于所述第一IAM发送的应用认证信息，生成目标格式的token信息，并将所述token信息发送给所述应用服务器。

2.根据权利要求1所述的方法，其特征在于，所述基于所述第一IAM发送的应用认证信息，生成目标格式的token信息，包括：

若所述应用认证信息包含用户信息，则基于所述应用认证信息生成符合身份认证标准协议OIDC的token信息；或者

若所述应用认证信息不包含用户信息，则向所述第一IAM发送获取用户信息的请求，并接收所述第一IAM发送的用户信息；基于所述应用认证信息以及接收的用户信息，生成符合OIDC的token信息。

3.根据权利要求1所述的方法，其特征在于，所述应用信息包含应用标识，基于所述应用信息以及对应的目标用户令牌得到应用认证请求，包括：

根据所述第一IAM的类型，生成包含所述应用标识以及所述目标用户令牌的应用认证请求。

4.根据权利要求1所述的方法，其特征在于，在所述对应用服务器发送的应用信息进行验证之前，还包括：

确定所述应用服务器发送的授权请求对应的目标用户令牌；

基于选择的第二IAM的类型，得到包含所述目标用户令牌的令牌验证请求；

将所述令牌验证请求发送给所述第二IAM，并接收所述第二IAM对所述目标用户令牌的验证信息；

若基于所述验证信息确定所述目标用户令牌验证通过，则基于加密时的时间戳、所述目标用户令牌以及所述授权请求包含的应用标识进行加密得到授权码，并将所述授权码发送给所述应用服务器，其中所述授权码用于指示所述应用服务器发送所述应用信息。

5.根据权利要求4所述的方法，其特征在于，所述应用信息包含应用标识、应用密钥以及授权码；

所述对应用服务器发送的应用信息进行验证，包括：

对所述应用信息包含的授权码进行解密，得到解密的用户令牌、解密的应用标识以及加密时的时间戳；

若所述加密时的时间戳与当前时间戳的时间差小于预设时间差，则基于解密的应用标识、所述应用信息包含的应用标识以及所述应用信息包含的应用密钥，对所述应用信息进行验证。

6.根据权利要求5所述的方法，其特征在于，基于解密的应用标识、所述应用信息包含的应用标识以及所述应用信息包含的应用密钥，对所述应用信息进行验证，包括：

若解密的应用标识与所述应用信息包含的应用标识相同，则根据标识与密钥的对应关系，确定所述应用信息包含的应用标识对应的目标密钥；

若所述目标密钥与所述应用信息包含的应用密钥相同，则确定所述应用信息验证通过，并将所述解密的用户令牌确定为所述目标用户令牌。

7.根据权利要求4所述的方法，其特征在于，若所述授权请求没有对应的目标用户令牌，则所述方法还包括：

向所述应用服务器发送显示登录界面的指令，并在接收到所述应用服务器发送的登录信息后，将所述登录信息发送给第三IAM进行登录信息认证；

接收所述第三IAM在对所述登录信息认证通过后发送的目标用户令牌，并将基于所述目标用户令牌得到的单点登录SSO登录凭证通过所述应用服务器发送给对应的用户设备。