資源訪問授權的製作方法

2023-07-25 00:46:56 1

專利名稱：資源訪問授權的製作方法
資源訪問授權背景技術
現今的計算機用戶訪問各種各樣的應用，諸如媒體服務、web (網絡)應用、社交媒體應用等等。這些應用之中的許多應用使用某種類型的標識技術來確定用戶的身份和訪問用戶信息，諸如在線驗證和/或授權服務。利用這樣的技術的主要挑戰是在確保用戶的身份得到保護的同時允許應用被授權訪問用戶資源。發明內容
提供這個發明內容部分來以簡化的形式介紹下面在具體描述部分中進一步描述的概念的選擇。這個發明內容部分並不打算識別所請求保護的主題的關鍵特性或基本特性，也不打算用作輔助手段來確定所請求保護的主題的範圍。
描述用於資源訪問授權的技術。在一個或多個實現方式中，應用標識符由應用使用來控制對用戶資源的訪問。通過將從授權服務接收的應用標識符與從該應用正在其上面執行的計算設備獲得的用於該應用的系統應用標識符進行比較，作出是否允許該應用訪問用戶資源的確定。
在一個或多個實現方式中，響應於試圖確定是否允許應用訪問用戶資源的請求而從授權實體接收回復，該回復包括用於該應用的應用標識符。如果該應用標識符與從該應用正在其上面執行的計算設備獲得的用於該應用的系統應用標識符相匹配的話，則允許該應用訪問用戶資源。
在一個或多個實現方式中，技術檢測到在計算設備上執行的應用正在藉助於持續驗證模式來請求訪問用戶資源。作出從授權服務接收的應用標識符是否與從計算設備獲得的系統應用標識符匹配的確定。如果應用標識符與系統應用標識符相匹配的話，則允許該應用藉助於從授權服務接收的驗證數據來訪問用戶資源。


詳細的說明參考附圖來描述。在附圖中，參考數字中最左側(一個或多個)數字標識該參考數字首次出現在其中的附圖。在說明書和附圖的不同實例中相同參考數字的使用可以指示相似或相同的項。
圖I是可操作來採用本文討論的技術的示例實現方式中的環境的例圖。
圖2是可操作來採用本文討論的技術的示例實現方式中的授權環境的例圖。
圖3是描述其中用戶能夠授權應用訪問用戶資源的示例實現方式中的程序的流程圖。
圖4是描述其中持續驗證模式用於資源訪問的示例實現方式中的程序的流程圖。
圖5是描述其中應用被證實參與授權事務的示例實現方式中的程序的流程圖。
圖6是描述其中本地授權信息用於確定是否授權應用訪問用戶資源的示例實現方式中的程序的流程圖。
圖7示出包括如參考圖1、2和8所描述的計算設備的示例系統。
圖8示出能夠被實現為如參考圖1、2和7所描述的任何類型的可攜式和/或計算設備來實現本文描述的技術的實施例的示例設備的各種組件。
具體實施方式
鐘述描述用於資源訪問授權的技術。在一個或多個實現方式中，這些技術可以被採用來授權應用訪問用戶資源，同時保護諸如用戶名和/或口令之類的用戶證書(user credential)不受非授權實體的損害。例如,能夠利用訪問代理，其中訪問代理充當正在請求訪問用戶資源的應用與能夠確認用戶的身份並允許訪問用戶資源的授權實體之間的中介(intermediary)。用戶資源的示例包括用戶內容(例如圖像、音頻、視頻等等)、用戶數據 (例如文件)、用於應用的用戶簡檔(profile)和/或服務等等。
在實現方式中，訪問代理允許應用被授權實體授權，以允許應用訪問用戶資源。例如，應用能夠調用訪問代理，其中訪問代理與授權實體通信，以導致與授權實體相關聯的用戶接口被呈現。用戶能夠向用戶接口提供驗證信息，諸如用戶名和口令。如果用戶名和口令與授權實體已知的用戶簡檔相匹配的話，則授權實體向訪問代理返回授權信息。在實現方式中，授權提示能夠被呈現給用戶，其中授權提示允許用戶為應用訪問用戶資源提供授權。 訪問代理能夠允許應用藉助於授權信息來訪問用戶資源。
進一步針對實施例，能夠利用持續驗證模式，其中該模式允許應用在多個單獨的事務期間訪問用戶資源而不要求用戶為每一個事務提供驗證信息。例如，當用戶向授權服務提供驗證信息以允許應用訪問用戶資源時，應用和/或用戶能夠請求持續驗證模式。驗證信息連同其他信息一起能夠(例如通過訪問代理)被緩存為用於應用的緩存的驗證狀態的一部分。
當應用在後續事務期間請求訪問用戶資源時，訪問代理將該請求連同緩存的驗證狀態一起轉發給授權服務。授權服務基於緩存的驗證狀態確定該應用先前被用戶授權訪問用戶資源，並返回用於該應用的訪問令牌和應用標識符給訪問代理。在實現方式中，授權服務能夠在向訪問代理返回授權的指示之前請求用戶授權(例如，藉助於授權提示)。
訪問代理檢查以查看從授權服務接收的應用標識符是否與該應用正在其上面運行的計算設備所提供的用於該應用的系統級標識符相匹配。如果這些標識符匹配的話，則訪問代理提供訪問令牌給該應用。該應用能夠使用訪問令牌來訪問用戶資源。如果這些標識符不匹配的話，則可以拒絕該應用訪問資源，和/或可以提示用戶提供驗證信息以允許該應用訪問用戶資源。
如在本文所使用的，術語「授權」 一般指的是用於允許應用和其他實體訪問資源的技術，且不限於特定的協議、程序、慣例或標準。因而，該術語將被廣義地解釋為包括在本文討論的實施例的精神和範圍之內的任何合適技術。
在以下的討論中，首先描述可操作來採用本文描述的資源訪問授權技術的示例環境。隨後描述可以在示例環境中以及在其他環境中採用的牽涉資源訪問授權技術的示例程序。相應地，這些示例環境並不限於執行示例程序。同樣，這些示例程序也不限於在示例環境中的實現方式。最後，描述可操作來根據一個或多個實施例採用本文討論的技術的示例系統和設備。
示例環塏圖I是可操作來採用用於資源訪問授權的技術的示例實現方式中的環境100的例圖。 環境100包括計算設備102，其具有一個或多個處理器104、一個或多個計算機可讀存儲媒體106以及駐留在計算機可讀存儲媒體106上並且是處理器104可執行的一個或多個應用108。計算設備102能夠被實施為任何合適的計算設備，通過示例而非限制，諸如臺式計算機、可攜式計算機、諸如個人數字助理(PDA)之類的手持計算機、行動電話、平板計算機等等。下面在圖7和8中顯示並描述計算設備102的各種不同示例之中的一個。
圖I的計算設備102也被說明為包括瀏覽器110，例如web瀏覽器，其代表被配置成藉助於網絡112導航的功能。雖然網絡112被說明為網際網路，但是該網絡可以採用各種各樣的配置。例如，網絡112可以包括廣域網(WAN)、區域網(LAN)、無線網絡、公共電話網絡、 內聯網等等。進一步，雖然顯示單個網絡112，但是網絡112可以被配置成包括多個網絡。
例如，瀏覽器110可以被配置成藉助於網絡112來導航，以便與從一個或多個web 資源114可獲得的內容進行交互以及將數據傳送至一個或多個web資源114，例如，執行下載和上傳。web資源114可以包括被配置成提供藉助於網絡112可訪問的內容的任何合適的計算資源。這樣的內容的示例包括網頁、文本內容、視頻、音頻等等。
應用108之中的一個或多個也可以被配置成訪問網絡112，例如它們自己直接訪問網絡和/或通過瀏覽器110來訪問網絡。例如，應用108之中的一個或多個可以被配置成訪問一個或多個web資源114,以檢索和/或上傳內容。因而,應用108也可以被配置用於可能牽涉直接的或間接的網絡112訪問的各種功能。例如，應用108可以包括可以由應用108本地利用(leverage)以及與在另一計算設備上執行的應用同步的配置設置和其他數據。這樣，這些設置可以被這些設備共享。也設想各種其他的實例。因而，計算設備102 可以採用各種方式與來自各種不同源的內容進行交互。
進一步被說明為計算設備102的一部分的是作業系統116，其代表管理計算設備 102的資源以及提供對計算設備102的功能的訪問的功能。在實現方式中，作業系統116保持能夠用於實現本文討論的技術的用於應用108的標識信息。例如，當在計算設備102上安裝和/或啟動應用108之一時，計算設備能夠記錄用於應用的系統應用標識符。系統應用標識符能夠存儲在計算設備102中對於應用108而言不是可訪問和/或可操縱的部分諸如受保護的資料庫、用於作業系統116的核心等等中。附加地或選擇地，系統應用標識符能夠被數字籤名，以致該應用不能修改該標識符。
計算設備102在所示的示例中也被顯示為包括訪問代理模塊118，其中訪問代理模塊代表調解(mediate)用於應用108的授權和驗證事務的計算設備102的功能。訪問代理模塊118被配置成在授權事務中所牽涉的實體之間傳送各種形式的授權和驗證信息。在實施方式中，訪問代理模塊被配置成藉助於瀏覽器功能來傳送信息，並因而能夠與瀏覽器 110進行組合和/或被實施為瀏覽器110。
進一步針對這樣的授權事務，環境100包括授權服務120，其代表追蹤用戶簡檔並且與訪問代理模塊118交互以確定是否應用108和/或其他實體被授權訪問用戶資源的功能。例如，授權服務120能夠被實現為基於web的授權服務，其能夠被多個用戶和多個不同設備訪問來進行授權和/或驗證事務。在實施方式中，授權服務120能夠保持用於諸如應用108之類的各種應用的應用標識符。例如，上文討論的用於特定一個應用108的系統應用標識符能夠被傳送至授權服務120，例如，作為該應用註冊授權服務的一部分。授權服務 120能夠存儲將被用作本文討論的資源訪問操作的一部分的應用標識符。
進一步針對這樣的實施例，環境100包括用戶資源122，其代表與計算設備102的用戶相關聯的資源。用戶資源122的示例包括用戶內容(例如圖像、音頻、視頻等等)、用戶數據(例如文件)、用於應用的用戶簡檔和/或服務等等。
雖然授權服務120和用戶資源122被說明成單獨的實體，但是在一些實現方式中， 用戶資源122能夠利用授權服務120來管理和/或保持。例如，授權服務120能夠與管理用戶資源122的某種類型的內容服務諸如社交網絡服務、照片共享服務、網絡日誌(博客) (blog)服務等等相關聯。在這樣的實現方式中，授權服務120可以被實現來向內容服務以及向可以與內容服務交互的其他服務(例如，應用108 )驗證用戶。
在實現方式中，當訪問代理模塊118確定應用108之一被授權訪問用戶資源122 時，訪問代理模塊118向該應用提供訪問令牌或其他授權機制。該應用能夠利用訪問令牌或其他授權機制來訪問用戶資源122。因而，訪問令牌或其他授權機制能夠被採用來允許應用108和/或其他實體訪問用戶資源122。
通常，本文描述的任何功能能夠使用軟體、固件、硬體(例如，固定邏輯電路)或這些實現方式的組合來實現。如在本文使用的術語「模塊」和「邏輯」通常代表軟體、固件、硬體或其組合。在軟體實現方式的情況下，模塊、功能或邏輯代表當在處理器(例如，一個或多個CPU)上執行時執行指定任務的程序代碼。程序代碼能夠存儲在一個或多個計算機可讀存儲設備中。下述的技術的特性是與平臺無關的，這意味著這些技術可以在具有各種處理器的各種商用計算平臺上實現。
例如，計算設備102也可以包括導致計算設備102的硬體執行操作的實體(例如軟體)，例如處理器、功能塊等等。例如，計算設備102可以包括計算機可讀介質，其可以被配置成保持導致計算設備並且尤其導致計算設備102的硬體執行操作的指令。因而，這些指令用於將硬體配置成執行操作，並且以這種方式導致硬體的變換來執行功能。這些指令可以由計算機可讀介質通過各種不同的配置提供給計算設備102。
計算機可讀介質的一種這樣的配置是信號承載介質，並因而被配置成將指令(例如，作為載波)諸如經由網絡發送至計算設備的硬體。計算機可讀介質也可以被配置成計算機可讀存儲介質，並因而不是信號承載介質。計算機可讀存儲介質的示例包括隨機訪問存儲器(RAM)、只讀存儲器(ROM)、光碟、快閃記憶體、硬碟存儲器以及可以使用磁、光和其他技術來存儲指令和其他數據的其他存儲設備。
圖2—般在200示出根據一個或多個實現方式的示例授權環境。作為授權環境200 的一部分被包括的是顯示屏202，其中顯示屏能夠被包括作為計算設備102的一部分。在實現方式中，顯示屏202可以或不可以被配置成接收物理輸入，例如觸摸輸入或觸控筆輸入。 在顯示屏202上呈現的是與例如應用108之類的應用相關聯的應用用戶界面204。
為了允許用戶為應用訪問用戶資源提供授權，提供授權用戶界面206。在實現方式中，授權用戶界面206能夠例如響應於應用108被打開而被自動地顯示。例如，當用戶啟動應用108時，訪問代理模塊118能夠與瀏覽器110和/或授權服務120通信，以導致授權用戶界面206被顯示。例如，授權服務120能夠向web瀏覽器110提供授權用戶界面206，例如，作為網頁。選擇地或附加地，用戶能夠通過選擇登錄按鈕或與應用用戶界面204相關聯6的其他控制器(未示出)而導致授權用戶界面206被啟用(launch)。
在實現方式中，授權用戶界面206能夠是關於應用用戶界面204的模態(modal)。 例如，能夠阻止應用用戶界面204接收輸入和/或被關閉，直至授權用戶界面206例如響應於針對授權界面的用戶輸入而被消除(dismiss)。
被說明為授權用戶界面206的一部分的是用戶名欄位208和口令欄位210。用戶名欄位208被配置成從用戶接收用戶名和/或其他識別標記(例如，用戶電子郵件)。此外， 口令欄位210被配置成從用戶接收口令。在實現方式中，用戶名和口令與用戶的用戶簡檔例如先前利用授權服務120建立的用戶簡檔相關聯。因而，向授權用戶界面206提供用戶名和口令能夠將用戶驗證為被授權訪問特定用戶簡檔和/或與用戶簡檔相關聯的用戶資源。
進一步被說明為授權用戶界面206的一部分的是登錄控制器212，其在被選擇的情況下提交提供給授權用戶界面206的登錄信息。例如，提供給用戶名欄位208的用戶名以及提供給口令欄位210的口令能夠響應於登錄控制器212的選擇而被提交給授權服務120。
授權用戶界面206也包括取消控制器214，其在被選擇的情況下能夠導致授權事務被取消和/或導致授權用戶界面206被關閉。
進一步被包括作為授權用戶界面206的一部分的是可選擇來激活持續驗證模式的持續登錄選項216。在實現方式中，持續驗證模式能夠由用戶(例如，經由持續登錄選項 216的選擇)和/或由另一實體諸如應用108和/或訪問代理模塊118來激活。在上面和下面更詳細地討論與持續驗證模式相關的進一步細節。
由於已描述了本文描述的技術可以在其中操作的示例環境，所以現在考慮根據一個或多個實施例的一些示例程序的討論。
示例稈序以下討論描述可以利用本文描述的系統和設備實現的資源訪問授權技術。這些程序之中的每一個的方面可以以硬體、固件或軟體或其組合來實現。這些程序被顯示為指定由一個或多個設備執行的操作的塊集合，並且不一定限於所顯示的用於由相應的塊執行操作的順序。進一步，針對特定程序顯示的操作根據一個或多個實現方式與不同程序的操作進行組合和/或互換。在以下討論的部分中，將參考圖I和2的環境100和/或200。
圖3描述其中用戶能夠授權應用訪問用戶資源的示例實現方式中的程序300。步驟302檢測允許應用訪問用戶資源的請求。例如，訪問代理模塊118能夠從應用108接收對於訪問用戶資源122的請求。選擇地或附加地，該請求能夠在應用發起訪問用戶資源的請求之前從該應用之外的實體接收。例如，實體能夠提前獲得對於該應用訪問用戶資源的許可。在實現方式中，計算設備102和/或瀏覽器110的某些部分能夠存儲用戶標識信息， 諸如登錄信息、驗證和/或授權cookie (餅乾)、用戶名、口令等等。為了防止應用108獲得對這樣的標識信息的未經授權的訪問，訪問代理模塊118能夠例如響應於從該應用接收到請求而從對於該應用108而言是可訪問的計算設備102的部分中清除該標識信息。
步驟304將包括應用標識符的授權請求轉發到授權實體。例如，訪問代理模塊118 能夠與瀏覽器Iio通信，以引起授權請求從瀏覽器轉發到授權服務120。在實現方式中，授權請求能夠包括用於授權服務120的統一資源定位符(URL)，其中統一資源定位符包括應用標識符和重定向地址(例如，能夠用於向應用返回信息的統一資源標識符(URI))。這樣的 URL 的一個不例能夠是 「https ://www. authozationservice. com/requestAccess. html applicationID=X&redirectAddress=http: //redirect, com，，。
在實現方式中，授權服務120接收授權請求，並且導致授權用戶界面206藉助於瀏覽器110來呈現。用戶隨後能夠向授權用戶界面206提供驗證信息，例如用戶名和口令。附加地或選擇地，用戶能夠例如藉助於授權用戶界面206來提供對於應用訪問用戶資源的同O
步驟306從授權實體接收指示用戶授權的響應，該響應包括應用標識符。例如，提供給授權用戶界面206的驗證信息被提交給授權服務120，該授權服務確定驗證信息與授權服務已知的用戶簡檔相匹配。授權服務120向訪問代理模塊118發送針對授權請求的回覆。在實現方式中，該回復包括應用標識符，並且能夠包括附加信息，諸如能夠用於訪問用戶資源的訪問令牌。
在選擇持續驗證模式的情況下，步驟308緩存該應用的驗證狀態。例如，用戶能夠例如藉助於授權用戶界面206來選擇持續驗證模式作為提供用戶證書的一部分。如果選擇持續驗證狀態，例如由訪問代理模塊118緩存驗證狀態。緩存的驗證狀態能夠包括驗證以及允許應用在針對訪問用戶資源的後續請求期間訪問用戶資源而不要求用戶執行進一步驗證的其他信息。下面討論持續驗證模式的進一步方面。如果沒有選擇持續驗證模式，則不緩存驗證狀態以供後續使用，和/或作為後續資源訪問請求的一部分可以請求用戶驗證。
步驟310將從授權實體接收的應用標識符與計算設備所保持的系統應用標識符進行比較。例如，系統應用標識符能夠是將該應用與計算設備的其他應用和/或資源區分開來的唯一標識符。在上面呈現系統應用標識符的進一步討論。
如果從授權實體接收的應用標識符與系統應用標識符匹配(「Match (匹配)」)的話，步驟312給應用提供允許訪問用戶資源的令牌。在實現方式中，訪問代理模塊118能夠從授權服務120接收該令牌，並將該令牌轉發到應用108。應用108能夠使用該令牌來訪問用戶資源。如果從授權實體接收的應用標識符與系統應用標識符不匹配(「Does not Match (不匹配)」)的話，步驟314阻止該應用訪問該令牌。因而，由於針對用戶資源的訪問能夠被限制於呈現該令牌的應用，所以該應用不可以訪問用戶資源。
圖4描述其中持續驗證模式用於用戶資源訪問的示例實現方式中的程序400。根據一個或多個實施例，程序400能夠作為上面在圖3中討論的程序之後的資源訪問請求的一部分來執行。
步驟402檢測到在計算設備上執行的應用正在藉助於持續驗證模式來請求訪問用戶資源。上面討論啟動持續驗證模式的示例方式。步驟404向授權實體轉發包括應用標識符的授權請求。例如，訪問代理模塊118能夠從應用接收授權請求,並將上述的緩存的驗證狀態信息轉發至授權服務120。
在實現方式中，授權請求能夠包括指示正在使用持續驗證模式的定製統一資源標識符(URI)方案。例如，用於導航至授權服務120的URL (其示例在上文被討論)能夠被附上定製URI方案。定製URI方案能夠包括應用標識符以及特定於持續驗證模式的標記，例如「persisted://application_id」。在實現方式中，訪問代理模塊118能夠規定定製URI 方案將由應用用於為該應用實現的持續驗證方案。
步驟406從授權實體接收授權確認，該授權確認包括應用標識符和訪問令牌。在實現方式中，授權確認能夠至少部分基於用戶為應用訪問用戶資源提供授權、例如藉助於由授權實體提供的授權提示來接收。授權實體能夠(例如基於來自授權請求的應用標識符) 辨別該授權請求來自被授權訪問用戶資源的應用。例如，該應用可能先前已藉助於與授權實體的用戶交互而被授權訪問用戶資源。進一步針對這樣的實現方式，授權實體能夠向訪問代理模塊118返回作為授權請求的一部分提供的定製URI以及附到定製URI上的訪問令牌。
步驟408將應用標識符與計算設備所保持的用於該應用的系統應用標識符進行比較。在上面呈現有關匹配應用標識符的細節。如果從授權實體接收的應用標識符與系統應用標識符匹配(「匹配」)的話，步驟410提供允許應用訪問用戶資源的令牌。例如，訪問代理模塊118能夠從授權服務120接收驗證令牌，並能夠將驗證令牌提供給應用108。應用 108能夠使用驗證令牌來訪問用戶資源122。
如果從授權實體接收的應用標識符與系統應用標識符不匹配(「不匹配」)的話，步驟412拒絕該應用訪問該令牌。
因而，在實現方式中，持續驗證模式允許是否應用被授權訪問用戶資源的確定獨立於用戶驗證事務和/或例如與授權服務進行的用戶交互而作出。
圖5描述其中作出是否應用可以參與授權事務的確定的示例實現方式中的程序 500。步驟502從應用接收應用標識符作為訪問用戶資源的請求的一部分。步驟504將應用標識符與計算設備所保持的用於該應用的系統應用標識符進行比較。關於匹配應用標識符的細節在上面呈現。在實現方式中，訪問代理模塊118能夠從該應用接收應用標識符，並且向作業系統116查詢用於該應用的系統應用標識符。訪問代理模塊118能夠隨後將應用標識符與系統應用標識符進行比較，以確定它們是否匹配。
如果從應用接收的應用標識符與系統應用標識符不匹配(「不匹配」)的話，步驟 506阻止該應用繼續進行授權事務。如果從應用接收的應用標識符與系統應用標識符匹配 (「匹配」)的話，步驟508繼續進行授權事務。在本文的其他位置參考圖3、4和6討論示例授權事務。
圖6描述其中使用本地授權信息來確定是否授權應用訪問用戶資源的示例實現方式中的程序600。步驟602從授權實體接收包括應用標識符和授權實體標識符的應用授權信息。例如，能夠響應於用戶利用授權服務進行驗證以及對於應用訪問用戶資源122提供許可而從授權服務120接收授權信息。在上文討論提供用戶驗證和用戶許可的示例方式。在實現方式中，授權實體標識符允許其他實體(例如，訪問代理模塊118)識別從哪一個授權實體接收到授權信息。
步驟604本地存儲授權信息。在實現方式中，授權信息能夠由訪問代理模塊118 存儲和/或存儲在訪問代理模塊可訪問的位置中。步驟606從應用接收對於授權訪問用戶資源的請求，該請求包括授權實體標識符。例如，訪問代理模塊118能夠從應用108接收該請求。
步驟608基於從應用接收到的授權實體標識符本地檢索授權信息,並且將授權信息中的應用標識符與用於該應用的系統應用標識符進行比較。比較應用標識符和系統應用標識符的示例方式在上面進行討論。步驟610確定應用標識符是否與系統應用標識符相匹配。
如果應用標識符匹配系統應用標識符(「匹配」)的話，步驟612向該應用提供允許訪問用戶資源的令牌。如果應用標識符與系統應用標識符不匹配(「不匹配」)的話，步驟614 阻止該應用訪問該令牌。
在實現方式中，程序600示出能夠用於確定對於應用訪問用戶資源的授權而不需要在應用運行時與授權服務進行通信的示例技術。例如，用戶能夠與授權服務交互，以授權應用訪問用戶資源。例如，如上在步驟602和604中所討論的，用戶授權事務中的信息隨後能夠被存儲，以供後續檢索。進一步針對來自應用的對於訪問用戶資源的後續請求，訪問代理模塊118能夠在不與授權服務通信的情況下使用本地存儲的授權信息來確定是否允許應用訪問用戶資源。
在至少一些實施例中，應用能夠保持持續授權模式，其中持續授權模式在一個或多個方面不同於上述的持續驗證模式。例如，應用能夠保持允許該應用訪問用戶資源的令牌，諸如藉助於上述的技術接收的令牌。該令牌能夠允許在多個不同的資源訪問事務期間訪問用戶資源，例如，以響應來自該應用的訪問用戶資源的多個不同的請求。當該應用在試圖使用該令牌來訪問用戶資源時，該應用能夠查明該令牌是否過期，以致它對於允許訪問用戶資源而言不再是有效的。如果該令牌已過期，該應用能夠使用上述的技術諸如從訪問代理模塊118和/或授權服務120獲得新的有效的令牌。因而，在實現方式中，持續授權模式能夠允許應用在多個資源訪問事務期間訪問用戶資源，而不要求該應用例如藉助於訪問代理模塊118和/或授權服務120來請求該訪問。
TK例系統和設備圖 示出包括如參考圖I和2描述的計算設備102的示例系統700。示例系統700當在個人計算機(PO、電視設備和/或行動裝置上運行應用時為了無縫用戶體驗而啟用普適環境。當在利用應用、播放視頻遊戲、觀看視頻等等的同時從一個設備過渡到另一個設備時，服務和應用在所有三種環境中為了共同用戶體驗而以實質上相似的方式運行。
在示例系統700中，多個設備通過中央計算設備進行互連。中央計算設備對於這多個設備而言可以是本地的，或者可以遠離這多個設備進行定位。在一個或多個實施例中， 中央計算設備可以是通過網絡、網際網路或其他數據通信鏈路連接到這多個設備的一個或多個伺服器計算機的雲(cloud)。在一個或多個實施例中，這種互連架構允許在多個設備上傳遞功能，以便給這多個設備的用戶提供共同的且無縫的體驗。這多個設備中的每一個可以具有不同的物理屬性和能力，並且中央計算設備使用平臺，以允許針對該設備定製並且對於所有設備也是共同的體驗傳遞至該設備。在一個實施例中，目標設備的類別被創建並且針對該通用類別的設備來定製體驗。設備的類別可以利用物理特性、使用的類型或這些設備的其他共同特徵來定義。
在各種實現方式中，計算設備102可以採用各種不同的配置，諸如用於計算機 702、移動站704和電視706使用。這些配置之中的每一種配置包括通常可能具有不同的結構和能力的設備，並因而計算設備102可以依照不同設備類別之中的一個或多個來配置。 例如，計算設備102可以被實現為包括個人計算機、臺式計算機、多屏計算機、膝上型計算機、上網本等等的設備中的計算機702類別。
計算設備102也可以被實現為移動站704設備類別，其包括行動裝置，諸如行動電話、可攜式音樂播放器、可攜式遊戲設備、平板計算機、多屏計算機等等。計算設備102也可以被實施為電視706設備類別，其包括具有或連接到在隨意查看環境中通常較大屏幕的設備。這些設備包括電視、機頂盒、遊戲機等等。本文描述的技術可以利用計算設備102的這些不同配置來支持，並且不限於本文描述的技術的特定示例。
雲708包括和/或代表用於內容服務712的平臺710。平臺710抽象化(abstract) 雲708的硬體(例如，伺服器)和軟體資源的底層功能。內容服務712可以包括能夠在遠離計算設備102的伺服器上執行計算機處理的同時利用的應用和/或數據。內容服務712能夠在網際網路上和/或通過用戶網絡諸如蜂窩或Wi-Fi網絡作為服務來提供。
平臺710可以抽象化資源和功能，以便將計算設備102與其他計算設備連接。平臺710也可以用於抽象化資源的縮放(scaling)，以便給遇到的對於藉助於平臺710實現的內容服務712的需求提供相應水平的縮放。相應地，在互連設備實施例中，本文描述的功能的實現方式可以分布於整個系統700。例如，如通過包含應用108、瀏覽器110和訪問代理模塊118所顯示的，功能可以部分在計算設備102上實現以及藉助於抽象化雲708的功能的平臺710來實現。
圖8示出能夠被實現為如參考圖I和7所描述的任何類型的計算設備的示例設備 800的各種組件，以實現本文描述的技術的實施例。設備800包括允許設備數據804 (例如接收的數據、正在接收的數據、預定用於廣播的數據、數據的數據分組等等)的有線和/或無線通信的通信設備802。設備數據804或其他設備內容能夠包括設備的配置設置、存儲在設備上的媒體內容和/或與設備的用戶相關聯的信息。存儲在設備800上的媒體內容能夠包括任何類型的音頻、視頻和/或圖像數據。設備800包括一個或多個數據輸入806，其中藉助於這一個或多個數據輸入，能夠接收任何類型的數據、媒體內容和/或輸入，諸如用戶可選擇的輸入、消息、音樂、電視媒體內容、記錄的視頻內容以及從任何內容和/或數據源接收的任何其他類型的音頻、視頻和/或圖像數據。
設備800也包括通信接口 808，其能夠被實現為任何一個或多個串行和/或並行接口、無線接口、任何類型的網絡接口、數據機以及被實現為任何其他類型的通信接口。 通信接口 808在設備800與通信網絡之間提供連接和/或通信鏈路，其他電子、計算和通信設備利用所述連接和/或通信鏈路與設備800傳送數據。
設備800包括一個或多個處理器810 (例如微處理器、控制器等等中的任何一個)， 其處理各種計算機可執行指令來控制設備800的操作和實現本文描述的技術的實施例。選擇地或附加地，設備800能夠利用硬體、固件或結合一般在812標識的處理與控制電路實現的固定邏輯電路中的任何一個或組合來實現。雖然沒有顯示，但是設備800能夠包括耦合設備內的各種組件的系統總線或數據傳輸系統。系統總線能夠包括不同總線結構中的任何一個或組合，諸如存儲器總線或存儲控制器、外圍總線、通用串行總線和/或利用各種總線結構中的任何一種的處理器或本地總線。
設備800也包括計算機可讀媒體814，諸如一個或多個存儲器組件，其示例包括隨機訪問存儲器(RAM)、非易失性存儲器(例如只讀存儲器(ROM)、快閃記憶體、EPROM、EEPROM等等中的任何一個或多個)以及盤存儲設備。盤存儲設備可以被實現為任何類型的磁或光存儲設備來實施，諸如硬碟驅動器、可記錄和/或可重寫緊湊型碟片(CD)、任何類型的數字多用途盤(DVD)等等。此外，設備800也能夠包括大容量存儲媒體設備816。
計算機可讀媒體814提供數據存儲機制來存儲設備數據804以及各種設備應用 818和與設備800的操作方面相關的任何其他類型的信息和/或數據。例如，作業系統820能夠利用計算機可讀媒體814被保持為計算機應用並在處理器810上被執行。設備應用 818能夠包括設備管理器(例如控制應用、軟體應用、信號處理與控制模塊、對於特定設備是本機的代碼、用於特定設備的硬體抽象層等等)。設備應用818也包括任何系統組件或模塊來實現本文描述的技術的實施例。
在這個示例中，設備應用818包括被顯示為軟體模塊和/或計算機應用的接口應用822與輸入/輸出模塊824。輸入/輸出模塊824代表用於提供與被配置成捕獲輸入的設備對接的接口的軟體，諸如觸控螢幕、軌跡板、相機、麥克風等等。選擇地或附加地，接口應用822和輸入/輸出模塊824能夠被實現為硬體、軟體、固件或其任何組合。附加地，輸入/ 輸出模塊824可以被配置成支持多個輸入設備，諸如單獨的設備來分別捕獲視覺和音頻輸入。
設備800也包括音頻和/或視頻輸入-輸出系統826，其向音頻系統828提供音頻數據和/或向顯示系統830提供視頻數據。音頻系統828和/或顯示系統830能夠包括處理、顯示和/或以其他方式再現音頻、視頻和圖像數據的任何設備。視頻信號和音頻信號能夠藉助於RF (射頻)鏈路、S-視頻鏈路、複合視頻鏈路、分量視頻鏈路、DVI (數字視頻接口)、模擬音頻連接或其他類似的通信鏈路從設備800傳送至音頻設備和/或顯示設備。在頭施例中，首頻系統828和/或顯不系統830被頭現為設備800的外部組件。選擇地，首頻系統828和/或顯示系統830被實現為示例設備800的集成組件。
結論描述用於資源訪問授權的技術。雖然以特定於結構特性和/或方法動作的語言描述實施例，但是將明白在所附的權利要求書中定義的實施例不一定限於所描述的具體特性或動作。相反，這些具體特性和動作被披露為實現所請求保護的實施例的示例形式。
權利要求
1.一種計算機實現的方法，包括 從授權實體接收對於是否允許應用訪問用戶資源的請求的響應，所述響應包括用於所述應用的應用標識符；以及 如果所述應用標識符與從所述應用正在其上面執行的計算設備獲得的系統應用標識符匹配的話，則給所述應用提供允許訪問用戶資源的令牌。
2.如權利要求I所述的方法，其中所述請求包括重定向統一資源標識符(URI)，所述重定向統一資源標識符識別所述應用並被轉發到授權實體，以便被使用來返回所述應用標識符。
3.如權利要求I所述的方法，其中所述請求發生在持續驗證模式中，所述持續驗證模式允許所述應用獨立於與授權實體進行的用戶驗證而被授權來訪問用戶資源。
4.如權利要求I所述的方法，其中所述授權實體包括遠離計算設備實現的服務。
5.如權利要求I所述的方法，進一步包括藉助於以下之中的一個或多個來獲得所述系統應用標識符 從對於所述應用而言是不可訪問的計算設備的部分中獲得所述系統應用標識符；或者 對所述系統應用標識符籤名，以致它不能被所述應用修改。
6.如權利要求I所述的方法，其中所述令牌能夠被使用來作為訪問用戶資源的一個或多個後續請求的部分來訪問用戶資源。
7.一種計算機實現的方法，包括 保持能夠被使用來允許應用訪問用戶資源的用於應用的緩存的驗證狀態； 將緩存的驗證狀態的一個或多個部分轉發到授權服務，以響應請求，從而允許所述應用訪問用戶資源；以及 通過將從授權服務接收的應用標識符與從計算設備獲得的用於所述應用的系統應用標識符進行比較，確定是否給所述應用提供允許訪問用戶資源的令牌。
8.如權利要求7所述的方法，其中從授權服務接收所述應用標識符，以響應用戶與授權服務進行的驗證，從而指示所述應用被許可訪問用戶資源。
9.如權利要求7所述的方法，其中所述比較發生在所述應用的應用運行時並且獨立於與授權服務進行的交互。
10.如權利要求7所述的方法，進一步包括 從所述應用接收對於訪問用戶資源的請求； 響應於所述請求，導致與授權服務相關聯的授權用戶界面被呈現，所述授權用戶界面被配置成從用戶接收用戶驗證信息；和 基於用戶藉助於授權用戶界面與授權服務進行的驗證，從授權服務接收應用標識符。
11.一個或多個計算機可讀存儲媒體，包括在其上面存儲的指令，所述指令響應於由計算設備執行而導致所述計算設備執行如權利要求1-10之中任何一項權利要求所述的方法。
全文摘要
本發明描述用於資源訪問授權的技術。在一個或多個實現方式中，應用標識符由應用用於控制對用戶資源的訪問。通過將從授權服務接收的應用標識符與從該應用正在其上面執行的計算設備獲得的用於該應用的系統應用標識符進行比較，作出是否允許該應用訪問用戶資源的確定。
文檔編號H04L29/06GK102984199SQ20121033589
公開日2013年3月20日 申請日期2012年9月12日 優先權日2011年9月12日
發明者O.V.奧巴桑約, S.R.戈登, A.拉杜茨基, P.J.哈林, A.D.奧斯科夫, J.D.維加斯, D.C.基欽納 申請人:微軟公司