專利名稱:轉(zhuǎn)換鑒權(quán)令牌以促進應(yīng)用程序之間的交互的方法和裝置的制作方法
轉(zhuǎn)換鑒權(quán)令牌以促進應(yīng)用程序之間的交互的方法和裝置
背景技術(shù):
0001許多應(yīng)用程序執(zhí)行包含聯(lián)系另一應(yīng)用程序的操作����。通常�����,
這些應(yīng)用程序中的每個均具有其本身獨特的用戶驗證程序�。因此,當(dāng) 用戶啟動第一應(yīng)用程序中的功能部件���、并且該功能部件與第二應(yīng)用程 序通信時����,該第二應(yīng)用程序通常需要用戶重新驗證���。例如�,報稅應(yīng)用 程序可具有執(zhí)行包含與財務(wù)應(yīng)用程序通信的操作的能力,但是為了使 已由報稅應(yīng)用程序驗證的用戶執(zhí)行這些操作����,用戶必須首先用該財務(wù) 應(yīng)用程序重新驗證。
0002因此�����,每當(dāng)一個應(yīng)用程序與另一應(yīng)用程序通信時����,用戶 都必須重新驗證。這種對重新驗證的需要�����,使體系結(jié)構(gòu)無法提供無縫 的用戶體驗�,并且對忙碌的用戶而言可能是耗時且不便的。
發(fā)明內(nèi)容
0003本發(fā)明的一個實施例提供了一種轉(zhuǎn)換鑒權(quán)令牌以促進應(yīng) 用程序之間的交互的系統(tǒng)�。在操作期間,該系統(tǒng)從第一應(yīng)用程序接收 命令執(zhí)行請求�����,其中所述命令執(zhí)行請求指定將在第二應(yīng)用程序之上執(zhí) 行的命令���。其后�����,該系統(tǒng)檢驗包含在命令執(zhí)行請求中的第一鑒權(quán)令牌����。 然后�,該系統(tǒng)將第一鑒權(quán)令牌轉(zhuǎn)換成與第二應(yīng)用程序相關(guān)聯(lián)的形式以 產(chǎn)生第二鑒權(quán)令牌。該系統(tǒng)通過將第一鑒權(quán)令牌替換為第二鑒權(quán)令牌 來修改命令執(zhí)行請求����,以創(chuàng)建修改的命令執(zhí)行請求。然后�����,該系統(tǒng)將 修改的命令執(zhí)行請求發(fā)送至第二應(yīng)用程序����。
0004在對本實施例的一個變化中,第一應(yīng)用程序與第二應(yīng)用
程序位于相同的計算機系統(tǒng)上�����。
0005在對本實施例的一個變化中,來自于第一應(yīng)用程序的命 令執(zhí)行請求可包括目標統(tǒng)一資源定位器(URL),其指定第二應(yīng)用程 序的位置���;第一鑒權(quán)令牌類型����,其指定第一鑒權(quán)令牌的形式�;第二鑒 權(quán)令牌類型,其指定第二鑒權(quán)令牌的形式����;與第一鑒權(quán)令牌相關(guān)聯(lián)的
用戶的用戶標識符;第二應(yīng)用程序的有效負荷數(shù)據(jù)�����;以及命令��。
0006在對本實施例的一個變化中�����,檢驗第一鑒權(quán)令牌包含識 別第一鑒權(quán)令牌的第一鑒權(quán)令牌類型�����。然后,該系統(tǒng)使用與第一鑒權(quán) 令牌類型相關(guān)聯(lián)的解密規(guī)則來解密第一鑒權(quán)令牌��,以獲得解密的第一 鑒權(quán)令牌�。其后,該系統(tǒng)檢驗解密的第一鑒權(quán)令牌的有效性����。
0007在進一步的變化中��,檢驗解密的第一鑒權(quán)令牌的有效性 可包含檢驗解密的第一鑒權(quán)令牌未過期���,以及檢驗解密的第一鑒權(quán)令 牌是與第一用戶標識符相關(guān)聯(lián)的���。
0008在對本實施例的一個變化中,轉(zhuǎn)換第一鑒權(quán)令牌包含識 別第二鑒權(quán)令牌類型��,所述第二鑒權(quán)令牌類型指定第二應(yīng)用程序的第 二鑒權(quán)令牌的形式���。然后�,該系統(tǒng)識別第二用戶標識符���,所述第二用 戶標識符被映射到第一用戶標識符����,其中所述第一用戶標識符是與第 一鑒權(quán)令牌相關(guān)聯(lián)的。此后����,該系統(tǒng)然后創(chuàng)建第二鑒權(quán)令牌,其中第 二鑒權(quán)令牌是與第二用戶標識符相關(guān)聯(lián)的�����,其中第二鑒權(quán)令牌采用由 第二鑒權(quán)令牌類型指定的形式�。
0009在進一步的變化中,創(chuàng)建第二鑒權(quán)令牌包含向第三方鑒 權(quán)令牌供應(yīng)者請求第二鑒權(quán)令牌����。其后,該系統(tǒng)從該第三方鑒權(quán)令牌 供應(yīng)者接收第二鑒權(quán)令牌�����。
0010在進一步的變化中�����,第二用戶標識符與第一用戶標識符 是相同的。
0011在對本實施例的變化中�,第一鑒權(quán)令牌和第二鑒權(quán)令牌 可包括cookie (譯注cookie是小量信息,由網(wǎng)絡(luò)服務(wù)器發(fā)送出來以存 儲在網(wǎng)絡(luò)瀏覽器上����,從而下次這位獨一無二的訪客又回到該網(wǎng)絡(luò)服務(wù) 器時,可從該瀏覽器讀回此信息)����、數(shù)字證書、用戶名/密碼對����、密鑰��, 以及生物識別符�。
0012在對本實施例的變化中,修改命令執(zhí)行請求包含修改命 令使其具有與第二應(yīng)用程序相關(guān)聯(lián)的格式����。其后,該系統(tǒng)包括具有修 改的命令執(zhí)行請求的修改的命令�����。
0013圖1示出了根據(jù)本發(fā)明實施例的計算環(huán)境。
0014圖2示出根據(jù)本發(fā)明實施例�、說明將命令執(zhí)行請求從與
第一應(yīng)用程序關(guān)聯(lián)的格式轉(zhuǎn)換成與第二應(yīng)用程序關(guān)聯(lián)的格式的過程的 流程圖。
0015圖3示出根據(jù)本發(fā)明實施例�、說明檢驗鑒權(quán)令牌的過程 的流程圖。
0016圖4示出根據(jù)本發(fā)明實施例����、說明將具有第一鑒權(quán)令牌 類型的第一鑒權(quán)令牌轉(zhuǎn)換成第二鑒權(quán)令牌類型的過程的流程圖。
具體實施例方式
0017給出如下描述以使得本領(lǐng)域技術(shù)人員能夠?qū)崿F(xiàn)和使用本 發(fā)明�,并在特定應(yīng)用及其要求的上下文中提供如下描述。對所公開的 實施例的各種修改對本領(lǐng)域技術(shù)人員而言將會是顯而易見的����,并且在 此所定義的一般原理可適用于其它實施例和應(yīng)用而不偏離本發(fā)明的精 神和范圍。因而��,本發(fā)明并不限于所示的實施例����,而是符合與在此所 公開的原理和特征一致的最廣的范圍。
0018在該具體實施方式
中所描述的數(shù)據(jù)結(jié)構(gòu)和代碼通常存儲 于計算機可讀存儲介質(zhì)中���,其可以是任何可存儲計算機系統(tǒng)使用的代 碼和/或數(shù)據(jù)的設(shè)備或介質(zhì)����。這包括,但不限于����,易失性存儲器、非易 失性存儲器�、磁和光存儲設(shè)備,諸如磁盤驅(qū)動器�����、磁帶��、CD (光盤)��、 DVD (數(shù)字多用途光盤或數(shù)字視頻光盤)����,或其它能夠存儲已知或之后 開發(fā)的計算機可讀介質(zhì)的介質(zhì)�。
概述
0019本發(fā)明的一個實施例提供了單點登錄會話橋接器,此后 被稱為"橋接器"���,其解決橋接與各種安全令牌相關(guān)聯(lián)的不同域的問題���。 所述橋接器通過將來自于一個域的安全令牌轉(zhuǎn)換成另一個��、和/或?qū)⒁?種類型的安全令牌轉(zhuǎn)換成另一種類型的安全令牌來實現(xiàn)上述目的����。
0020例如����,在本發(fā)明的一個實施例中,當(dāng)用戶點擊與一應(yīng)用
程序相關(guān)聯(lián)的鏈接時��,該應(yīng)用程序向橋接器發(fā)出會話令牌����、或鑒權(quán)令 牌。在本實施例中����,橋接器可存在于目標系統(tǒng)的虛擬域中,其中目標 系統(tǒng)為第二應(yīng)用程序的宿主��,并且鏈接指向該目標系統(tǒng)��。此后��,橋接
器能夠?qū)㈣b權(quán)令牌轉(zhuǎn)換成與目標系統(tǒng)相關(guān)聯(lián)的形式��。使用轉(zhuǎn)換的鑒權(quán) 令牌,橋接器驗證目標系統(tǒng)的用戶��,并且隨后將用戶重新引導(dǎo)到目標 系統(tǒng)��。
計算機系統(tǒng)
0021圖1說明了根據(jù)本發(fā)明實施例的計算環(huán)境100�。
0022計算環(huán)境100通常可包括任何類型的計算機系統(tǒng)�����,其可 包括基于微處理器����、大型計算機、數(shù)字信號處理器���、便攜式計算設(shè)備����、 個人管理器��、設(shè)備控制器和裝置內(nèi)的計算引擎的計算機系統(tǒng)�。具體地�����, 計算環(huán)境100可包括客戶機110、膝上電腦120���、網(wǎng)絡(luò)130����、服務(wù)器140�、 服務(wù)器150、服務(wù)器160����、應(yīng)用程序145、應(yīng)用程序165和橋接器190�����。
0023客戶機110和膝上電腦120通?�?砂ňW(wǎng)絡(luò)上的任何節(jié) 點�,所述節(jié)點具有計算能力并具有在整個網(wǎng)絡(luò)上通信的機構(gòu)。
0024網(wǎng)絡(luò)130通?�?砂ㄈ我忸愋偷哪軐⒂嬎愎?jié)點耦合在一 起的有線或無線通信信道����。這包括����,但不限于�,局域網(wǎng)、廣域網(wǎng)���,或 網(wǎng)絡(luò)的組合�。在本發(fā)明的一個實施例中�,網(wǎng)絡(luò)130包括因特網(wǎng)。
0025服務(wù)器140���、 150和160通?��?砂ㄓ嬎銠C網(wǎng)絡(luò)上的任何 節(jié)點,所述計算機網(wǎng)絡(luò)包括用于服務(wù)來自于客戶機的對計算和/或數(shù)據(jù) 存儲資源的請求的機構(gòu)�。
0026應(yīng)用程序145和165通常可包括任何計算機程序�。在本 發(fā)明的一個實施例中,服務(wù)器140執(zhí)行應(yīng)用程序145����,并且服務(wù)器160 執(zhí)行應(yīng)用程序165。
0027在本發(fā)明的一個實施例中����,應(yīng)用程序145和165是同一 應(yīng)用程序的實例。
0028在本發(fā)明的一個實施例中����,應(yīng)用程序145和165是不同 應(yīng)用程序的實例。
0029在本發(fā)明的一個實施例中�����,應(yīng)用程序145和165是同一 應(yīng)用程序的組分�。
0030橋接器190通常可包括任何系統(tǒng)�����,所述系統(tǒng)接收與第一 應(yīng)用程序145相關(guān)聯(lián)的形式的鑒權(quán)令牌并將該鑒權(quán)令牌轉(zhuǎn)換成與第二 應(yīng)用程序16相關(guān)聯(lián)的形式��。在本發(fā)明的一個實施例中��,橋接器l卯可
以是由客戶機110���、膝上電腦120或服務(wù)器(諸如服務(wù)器140)作為其 宿主的應(yīng)用程序��。
0031在本發(fā)明的一個實施例中�����,用戶112通過客戶機110訪 問應(yīng)用程序145�����。在用戶112可開始使用應(yīng)用程序145之前��,用戶112 向應(yīng)用程序145進行驗證��,這包含應(yīng)用程序145創(chuàng)建與用戶112相關(guān) 聯(lián)的鑒權(quán)令牌����。當(dāng)使用應(yīng)用程序145時,用戶112點擊指向應(yīng)用程序 145的鏈接以發(fā)送命令執(zhí)行請求至橋接器190��,所述命令執(zhí)行請求包括 鑒權(quán)令牌和應(yīng)用程序165將執(zhí)行的命令�����。橋接器190然后將鑒權(quán)令牌 轉(zhuǎn)換成應(yīng)用程序165可處理的形式�����。然后,橋接器190發(fā)送修改的命 令執(zhí)行請求至應(yīng)用程序165���,所述修改的命令執(zhí)行請求包括轉(zhuǎn)換的鑒權(quán) 令牌以及應(yīng)用程序165將執(zhí)行的命令。
0032在本發(fā)明的一個實施例中�����,橋接器190響應(yīng)接收來自應(yīng) 用程序145的鑒權(quán)令牌�,而向第三方系統(tǒng)(例如服務(wù)器150)請求第二 鑒權(quán)令牌,其中所述第二鑒權(quán)令牌是與應(yīng)用程序165相關(guān)聯(lián)的形式���。 此后��,服務(wù)器150發(fā)送該第二鑒權(quán)令牌至橋接器190��,橋接器190隨后 將該第二鑒權(quán)令牌和應(yīng)用程序165將要執(zhí)行的命令一起發(fā)至應(yīng)用程序 165�。
0033在本發(fā)明的一個實施例中��,管理員122通過膝上電腦120 向橋接器190提供規(guī)則�。這些規(guī)則指示橋接器190如何將鑒權(quán)令牌轉(zhuǎn) 換成其它類型的鑒權(quán)令牌。
0034在本發(fā)明的一個實施例中��,橋接器190向用戶112呈現(xiàn) 與橋接器190、應(yīng)用程序145或應(yīng)用程序165相關(guān)聯(lián)的用戶界面���。在本 發(fā)明的一個實施例中�,該用戶界面是非交互的�����。在這個實施例中���,用 戶界面可向用戶112提供命令執(zhí)行請求的狀態(tài)報告����,或與應(yīng)用程序145 ����、 應(yīng)用程序165或橋接器190相關(guān)聯(lián)的濺射屏幕。
0035在本發(fā)明的一個實施例中�����,用戶界面是交互的�����。在本實 施例中,用戶112通過用戶界面向橋接器190提供信息���。橋接器190 可使用該信息來促進對命令執(zhí)行請求的處理�。
0036在本發(fā)明的一個實施例中���,命令執(zhí)行請求包括使橋接器 190能夠自定義用戶界面的數(shù)據(jù)��。
0037在本發(fā)明的一個實施例中,橋接器190不向用戶112呈
現(xiàn)用戶界面���。在本實施例中�����,用戶112意識不到橋接器190的存在����。 本實施例允許體系結(jié)構(gòu)在用戶112使用多個應(yīng)用程序時向用戶112提 供無縫的體驗���。
轉(zhuǎn)換命令執(zhí)行請求
0038圖2示出根據(jù)本發(fā)明實施例�����、將命令執(zhí)行請求從與第一 應(yīng)用程序相關(guān)聯(lián)的格式轉(zhuǎn)換成與第二應(yīng)用程序相關(guān)聯(lián)的格式的過程的 流程圖����。
0039該過程開始于橋接器190接收于來自應(yīng)用程序145的命 令執(zhí)行請求,服務(wù)器140是該應(yīng)用程序145的宿主(步驟202)��。在本 發(fā)明的一個實施中�����,命令執(zhí)行請求包括目標統(tǒng)一資源定位器(URL)��, 其中所述目標統(tǒng)一資源定位器指定應(yīng)用程序165的位置���;第一鑒權(quán)令 牌類型�����,其指定第一鑒權(quán)令牌的形式���,其中第一鑒權(quán)令牌的形式是與 應(yīng)用程序145關(guān)聯(lián)的;第二鑒權(quán)令牌類型����,其指定第二鑒權(quán)令牌的形 式�����,其中第二鑒權(quán)令牌的形式是與應(yīng)用程序165相關(guān)聯(lián)的����;與第一鑒 權(quán)令牌相關(guān)聯(lián)的用戶標識符�����;使得應(yīng)用程序165能夠執(zhí)行命令的有效 負荷數(shù)據(jù)�;和應(yīng)用程序165將要執(zhí)行的命令。
0040在本發(fā)明的一個實施例中�����,目標URL指定與應(yīng)用程序165
相關(guān)聯(lián)的網(wǎng)頁的位置��。
0041在本發(fā)明的一個實施例中�����,目標URL指定進入應(yīng)用程序 165的進入點����。
0042在本發(fā)明的一個實施例中,通過使用熟悉本領(lǐng)域的人員 己知的任何協(xié)議���,命令執(zhí)行請求可指定應(yīng)用程序165的位置�,或進入 應(yīng)用程序165的進入點���。
0043然后��,橋接器190檢驗第一鑒權(quán)令牌的有效性����,所述第 一鑒權(quán)令牌包含在命令執(zhí)行請求中(步驟204)���。注意�,這是多步驟過 程�����,下文將參照圖3對其進行更為詳細地描述��。
0044在本發(fā)明的一個實施例中�����,第一鑒權(quán)令牌可包括cookie、 數(shù)字證書�、用戶名/密碼對、密鑰��、生物識別符���、以及熟悉本領(lǐng)域的人 員已知的其它任何形式的鑒權(quán)令牌�。
0045在檢驗第一鑒權(quán)令牌的有效性之后���,橋接器190將第一鑒權(quán)令牌轉(zhuǎn)換成與應(yīng)用程序165相關(guān)聯(lián)的形式�,以獲得第二鑒權(quán)令牌
(步驟206)����。注意,這是多步驟過程���,下文將參照圖4對其進行更為
詳細地描k。
0046在本發(fā)明的一個實施例中�����,第二鑒權(quán)令牌可包括cookie��、 數(shù)字證書、用戶名/密碼對��、密鑰�����、生物識別符���、以及熟悉本領(lǐng)域的人 員已知的其它任何形式的鑒權(quán)令牌�����。
0047在本發(fā)明的一個實施例中����,服務(wù)器140是應(yīng)用程序145 和應(yīng)用程序165的主機�����。
0048在本發(fā)明的一個實施例中��,應(yīng)用程序145和應(yīng)用程序165 是同一應(yīng)用程序的兩個組分����。
0049然后����,橋接器190修改命令執(zhí)行請求��,以通過將第一鑒 權(quán)令牌替換為第二鑒權(quán)令牌來創(chuàng)建修改的命令執(zhí)行請求(步驟208)�����。
0050在本發(fā)明的一個實施例中����,橋接器190修改從應(yīng)用程序 145接收的命令以創(chuàng)建修改的命令(步驟210)。為創(chuàng)建該修改的命令�, 橋接器190改變該命令的格式以匹配與應(yīng)用程序165相關(guān)聯(lián)的格式。 這使得應(yīng)用程序165能夠執(zhí)行該命令��。在創(chuàng)建該修改的命令之后����,橋 接器l卯將修改的命令包含在修改的命令執(zhí)行請求中(步驟212)。例 如�,在本發(fā)明的一個實施例中��,應(yīng)用程序145以如下順序格式化命令 命令類型,變量�����,然后是變量值���。然而��,應(yīng)用程序165格式化同一命 令�����,以在指定變量值之后指定該命令類型���。因而,對于將執(zhí)行由應(yīng)用 程序145發(fā)出的命令的應(yīng)用程序165而言�,橋接器190重新格式化來 自于應(yīng)用程序145的命令以匹配與應(yīng)用程序165相關(guān)聯(lián)的命令格式。 這些步驟是可選的�,如環(huán)繞步驟210和212的虛線所示出的那樣。
0051
一旦橋接器190已完成創(chuàng)建修改的命令執(zhí)行請求��,橋接 器190就將該修改的命令執(zhí)行請求發(fā)送至應(yīng)用程序165 (步驟214)�����。
檢驗鑒權(quán)令牌
0052圖3示出根據(jù)本發(fā)明實施例、說明檢驗鑒權(quán)令牌的過程 的流程圖�。
0053該過程開始于橋接器190試圖識別第一鑒權(quán)令牌的第一 鑒權(quán)令牌類型(步驟302),第一鑒權(quán)令牌包含于命令執(zhí)行請求中�����。在
本發(fā)明的一個實施例中����,橋接器190試圖通過將第一鑒權(quán)令牌的格式 與一組已知的鑒權(quán)令牌格式進行比較來識別第一鑒權(quán)令牌類型。在這
個實施例中���,管理員122在橋接器190接收命令執(zhí)行請求之前�、向橋 接器190指定一組已知的鑒權(quán)令牌格式��。這使應(yīng)用程序145能夠與使 用不同鑒權(quán)令牌類型的應(yīng)用程序通信而不用修改應(yīng)用程序145����。
0054在本發(fā)明的一個實施例中,命令執(zhí)行請求指定第一鑒權(quán) 令牌類型����。
0055如果橋接器190能夠識別第一鑒權(quán)令牌類型,那么橋接 器190使用與第一鑒權(quán)令牌類型相關(guān)聯(lián)的解密規(guī)則來解密第一鑒權(quán)令 牌�,從而獲得解密的第一鑒權(quán)令牌(步驟304)��。
0056在本發(fā)明的一個實施例中,橋接器190在識別第一鑒權(quán) 令牌類型之前解密第一鑒權(quán)令牌����。在這個實施例中,橋接器190能夠 識別解密規(guī)則而不用識別第一鑒權(quán)令牌類型���。
0057在本發(fā)明的一個實施例中���,應(yīng)用程序145不解密第一鑒 權(quán)令牌,因此���,橋接器190不必解密第一鑒權(quán)令牌����。
0058在解密第一鑒權(quán)令牌之后�,橋接器190檢驗解密的第一 鑒權(quán)令牌的有效性(步驟306)。檢驗解密的第一鑒權(quán)令牌的有效性可 包含檢驗解密的第一鑒權(quán)令牌未過期���;檢驗解密的第一鑒權(quán)令牌與 用戶標識符相關(guān)聯(lián)�,其中該用戶標識符與用戶112相關(guān)聯(lián)���;檢驗解密 的第一鑒權(quán)令牌未被篡改��;以及熟悉本領(lǐng)域的人員已知的任何其它令 牌檢驗過程�����。
0059在本發(fā)明的一個實施例中���,檢驗解密的第一鑒權(quán)令牌未 被篡改可包含檢驗與該解密的第一鑒權(quán)令牌關(guān)聯(lián)的散列值�;檢驗與 該解密的第一鑒權(quán)令牌相關(guān)聯(lián)的數(shù)字證書�;檢驗與該解密的第一鑒權(quán) 令牌相關(guān)聯(lián)的密鑰;以及熟悉本領(lǐng)域的人員已知的識別該解密的第一 鑒權(quán)令牌是否已被篡改的任何其它過程��。
0060如果橋接器190確定該解密的第一鑒權(quán)令牌是有效的��, 那么橋接器l卯前進至步驟206����。如果橋接器190不能識別第一鑒權(quán)令 牌類型,或如果橋接器190確定該解密的第一鑒權(quán)令牌不是有效的�, 那么橋接器l卯拒絕命令執(zhí)行請求(步驟308)。橋接器190然后向應(yīng) 用程序145發(fā)送錯誤消息(步驟310)��。在這一點上���,該過程結(jié)束���,并
且橋接器190不會繼續(xù)至步驟206��。
0061在本發(fā)明的一個實施例中,發(fā)送錯誤消息可包括報告鑒 權(quán)令牌過期���,報告鑒權(quán)令牌是無效的����,報告橋接器190不能確定如何 將鑒權(quán)令牌轉(zhuǎn)換成與應(yīng)用程序165相關(guān)聯(lián)的格式�����,報告橋接器l卯不 可用�����,以及報告熟悉本領(lǐng)域的人員已知的任何其它錯誤消息類型����。
0062在本發(fā)明的一個實施例中,橋接器190可請求用戶112 用應(yīng)用程序145重新驗證�。在這個實施例中����,在用戶112用應(yīng)用程序 145重新驗證之后�����,應(yīng)用程序145重新發(fā)送命令執(zhí)行請求����。
0063在本發(fā)明的一個實施例中,橋接器190不向應(yīng)用程序145 發(fā)送錯誤消息����。
轉(zhuǎn)換鑒權(quán)令牌
0064圖4示出根據(jù)本發(fā)明實施例、說明將與第一鑒權(quán)令牌類
型相關(guān)聯(lián)的第一鑒權(quán)令牌轉(zhuǎn)換成第二鑒權(quán)令牌類型的過程的流程圖�。0065該過程開始于橋接器l卯試圖識別第二鑒權(quán)令牌類型, 其中該第二鑒權(quán)令牌類型是與應(yīng)用程序165相關(guān)聯(lián)的(步驟402)�����。在 本發(fā)明的一個實施例中����,橋接器190基于命令執(zhí)行請求的目標應(yīng)用程 序(例如,應(yīng)用程序165)確定第二鑒權(quán)令牌類型。在這個實施例中���, 在橋接器190接收該命令執(zhí)行請求之前���,管理員122將第二鑒權(quán)令牌 類型與應(yīng)用程序165關(guān)聯(lián)起來。
0066在本發(fā)明的一個實施例中����,應(yīng)用程序145將第二鑒權(quán)令 牌類型包括在命令執(zhí)行請求中。
0067如果橋接器190成功識別第二鑒權(quán)令牌類型��,那么橋接 器190確定是否存在與第一鑒權(quán)令牌類型和第二鑒權(quán)令牌類型相關(guān)聯(lián) 的轉(zhuǎn)換規(guī)則(步驟404)��。注意���,該轉(zhuǎn)換規(guī)則指定如何將第一鑒權(quán)令牌 轉(zhuǎn)換成與第二鑒權(quán)令牌類型相關(guān)聯(lián)的格式、以獲得第二鑒權(quán)令牌�。在 本發(fā)明的一個實施例中,在橋接器190接收命令執(zhí)行請求之前�����,管理 員122將轉(zhuǎn)換規(guī)則與第一鑒權(quán)令牌類型和第二鑒權(quán)令牌類型關(guān)聯(lián)起來����。
0068如果橋接器l卯成功識別與第二鑒權(quán)令牌類型相關(guān)聯(lián)的 轉(zhuǎn)換規(guī)則�����,那么橋接器190確定是否存在用戶標識符映射(步驟406)�����。
注意�,該用戶標識符映射為第一用戶標識符��、第一鑒權(quán)令牌類型和第
二鑒權(quán)令牌類型的給定組合指定第二用戶標識符����。橋接器l卯將第二 用戶標識符包括在修改的命令執(zhí)行請求中,所述修改的命令執(zhí)行請求
由橋接器190發(fā)送至應(yīng)用程序165���。
0069在本發(fā)明的一個實施例中�,第一用戶標識符和第二用戶 標識符是相同的用戶識別符���。
0070如果橋接器l卯成功識別用戶標識符映射��,那么橋接器 190使用轉(zhuǎn)換規(guī)則來創(chuàng)建第二鑒權(quán)令牌類型的第二鑒權(quán)令牌(步驟 408)�����。橋接器190然后繼續(xù)執(zhí)行步驟208�。
0071在本發(fā)明的一個實施例中,橋接器190使用轉(zhuǎn)換規(guī)則和 用戶標識符映射的組合來促進第二鑒權(quán)令牌的創(chuàng)建�����。
0072在本發(fā)明的一個實施例中��,橋接器l卯通過向與第二鑒 權(quán)令牌類型相關(guān)聯(lián)的第三方(例如��,服務(wù)器150)請求第二鑒權(quán)令牌來 創(chuàng)建第二鑒權(quán)令牌�。例如,如果第二鑒權(quán)令牌類型指示應(yīng)用程序165 需要數(shù)字證書來驗證用戶112���,以及服務(wù)器150是認證授權(quán)方,那么橋 接器190可聯(lián)系服務(wù)器150以獲得數(shù)字證書�����。服務(wù)器150然后可將第 二鑒權(quán)令牌發(fā)送至橋接器l卯����。
0073如果橋接器190不能識別第二鑒權(quán)令牌類型、轉(zhuǎn)換規(guī)則、 或用戶標識符映射��,那么橋接器190拒絕命令執(zhí)行請求(步驟410)�����。 此后���,橋接器190發(fā)送錯誤消息至應(yīng)用程序145 (步驟412)��。在這一 點上��,該過程結(jié)束���,并且橋接器190不繼續(xù)至步驟208。
0074在本發(fā)明的一個實施例中�����,發(fā)送錯誤消息可包括報告鑒 權(quán)令牌是過期的����,鑒權(quán)令牌是無效的,橋接器190不能確定如何將鑒 權(quán)令牌轉(zhuǎn)換成與應(yīng)用程序165相關(guān)聯(lián)的格式��,橋接器190是不可用的, 以及熟悉本領(lǐng)域的人員已知的任何其它錯誤消息類型�����。
0075在本發(fā)明的一個實施例中��,橋接器190可聯(lián)系用戶112 以請求對第一鑒權(quán)令牌類型��、第二鑒權(quán)令牌類型�、轉(zhuǎn)換規(guī)則或用戶標 識符映射的識別。在這個實施例中�����,橋接器l卯可存儲用戶112對該 請求的響應(yīng)����。因而,如果橋接器190從用戶112接收第二命令執(zhí)行請 求�����,則橋接器l卯將能夠在沒有用戶112的輔助下完成該請求�����。注意�, 這個實施例可使用戶112對橋接器190進行編程,以執(zhí)行除那些由管 理員122編程的鑒權(quán)令牌轉(zhuǎn)換之外的鑒權(quán)令牌轉(zhuǎn)換�����。
0076在本發(fā)明的一個實施例中��,橋接器190可聯(lián)系管理員122 以請求對第一鑒權(quán)令牌類型�、第二鑒權(quán)令牌類型、轉(zhuǎn)換規(guī)則或用戶標 識符映射的識別�����。在這個實施例中���,在橋接器190接收命令執(zhí)行請求 之前�����,管理員122無需指定一組已知的鑒權(quán)令牌格式�����、將鑒權(quán)令牌格 式與可用的應(yīng)用程序關(guān)聯(lián)起來��、指定轉(zhuǎn)換規(guī)則���、或指定用戶標識符映 射���。
0077在本發(fā)明的一個實施例中,橋接器190不向應(yīng)用程序145 發(fā)送錯誤消息���。
0078上述對本發(fā)明實施例的描述僅出于說明和描述的目的�。 它們無意是窮舉的或?qū)⒈景l(fā)明限制為所公開的形式�����。因此����,對于本領(lǐng) 域技術(shù)人員來說許多修改和變化都是顯而易見的。另外�,上述的公開 并無意限制本發(fā)明。本發(fā)明的范圍由所附權(quán)利要求限定�����。
權(quán)利要求
1.一種轉(zhuǎn)換鑒權(quán)令牌的方法���,其包含從第一應(yīng)用程序接收命令執(zhí)行請求���,其中所述命令執(zhí)行請求指定將由第二應(yīng)用程序執(zhí)行的命令;檢驗包含于所述命令執(zhí)行請求中的第一鑒權(quán)令牌��;將所述第一鑒權(quán)令牌轉(zhuǎn)換成與所述第二應(yīng)用程序相關(guān)聯(lián)的形式以產(chǎn)生第二鑒權(quán)令牌����;通過將所述第一鑒權(quán)令牌替換為所述第二鑒權(quán)令牌來修改所述命令執(zhí)行請求,以創(chuàng)建修改的命令執(zhí)行請求����;以及將所述修改的命令執(zhí)行請求發(fā)送至所述第二應(yīng)用程序。
2. 根據(jù)權(quán)利要求1所述的方法��,其中所述第一應(yīng)用程序與所述第 二應(yīng)用程序位于相同的計算機系統(tǒng)上�。
3. 根據(jù)權(quán)利要求1所述的方法,其中來自于所述第一應(yīng)用程序的 所述命令執(zhí)行請求可包括目標統(tǒng)一資源定位器��,其指定所述第二應(yīng)用程序的位置����; 第一鑒權(quán)令牌類型,其指定所述第一鑒權(quán)令牌的形式�����; 第二鑒權(quán)令牌類型,其指定所述第二鑒權(quán)令牌的形式�; 用戶識別符,其用于與所述第一鑒權(quán)令牌相關(guān)聯(lián)的用戶����; 所述第二應(yīng)用程序的有效負荷數(shù)據(jù);以及 所述命令���。
4. 根據(jù)權(quán)利要求1所述的方法���,其中檢驗所述第一鑒權(quán)令牌進一 步包含識別所述第一鑒權(quán)令牌的第一鑒權(quán)令牌類型;使用與所述第一鑒權(quán)令牌類型關(guān)聯(lián)的解密規(guī)則來解密所述第一鑒權(quán)令牌以產(chǎn)生解密的第一鑒權(quán)令牌�����;以及 檢驗所述解密的第一鑒權(quán)令牌的有效性���。
5. 根據(jù)權(quán)利要求4所述的方法��,其中檢驗所述解密的第一鑒權(quán)令牌的有效性可包含檢驗所述解密的第一鑒權(quán)令牌未過期�����;以及檢驗所述解密的第一鑒權(quán)令牌是與用戶標識符相關(guān)聯(lián)的�����。
6. 根據(jù)權(quán)利要求1所述的方法�����,其中轉(zhuǎn)換所述第一鑒權(quán)令牌進一步包含識別第二鑒權(quán)令牌類型�����,其指定所述第二應(yīng)用程序的所述第二鑒 權(quán)令牌的形式�;識別第二用戶標識符�,其是從與所述第一鑒權(quán)令牌相關(guān)聯(lián)的第一 用戶標識符映射而來的;以及創(chuàng)建與所述第二用戶標識符相關(guān)聯(lián)的所述第二鑒權(quán)令牌��,其中所 述第二鑒權(quán)令牌采用由所述第二鑒權(quán)令牌類型指定的形式��。
7. 根據(jù)權(quán)利要求6所述的方法�,其中創(chuàng)建所述第二鑒權(quán)令牌可包含向第三方鑒權(quán)令牌供應(yīng)者請求所述第二鑒權(quán)令牌;以及 從所述第三方鑒權(quán)令牌供應(yīng)者接收所述第二鑒權(quán)令牌����。
8. 根據(jù)權(quán)利要求6所述的方法�,其中所述第二用戶標識符與所述 第一用戶標識符是相同的用戶標識符����。
9. 根據(jù)權(quán)利要求1所述的方法,其中所述第一鑒權(quán)令牌和所述第 二鑒權(quán)令牌可包括C00ki6;數(shù)字證書�����; 用戶名/密碼對���; 密鑰�;以及 生物識別符����。
10. 根據(jù)權(quán)利要求1所述的方法,其中修改所述命令執(zhí)行請求進一 步包含-將所述命令的格式修改為與所述第二應(yīng)用程序相關(guān)聯(lián)的格式���;以及將所述修改的命令包含到所述修改的命令執(zhí)行請求中�。
11. 一種存儲指令的計算機可讀存儲介質(zhì)����,其中所述指令在被計算 機執(zhí)行時將使所述計算機執(zhí)行轉(zhuǎn)換鑒權(quán)令牌的方法�,所述方法包含-從第一應(yīng)用程序接收命令執(zhí)行請求�,其中所述命令執(zhí)行請求指定將由第二應(yīng)用程序執(zhí)行的命令;檢驗包含在所述命令執(zhí)行請求中的第一鑒權(quán)令牌����;將所述第一鑒權(quán)令牌轉(zhuǎn)換成與所述第二應(yīng)用程序相關(guān)聯(lián)的形式, 以產(chǎn)生第二鑒權(quán)令牌�;通過將所述第一鑒權(quán)令牌替換為所述第二鑒權(quán)令牌來修改所述命 令執(zhí)行請求�,以創(chuàng)建修改的命令執(zhí)行請求;以及將所述修改的命令執(zhí)行請求發(fā)送至所述第二應(yīng)用程序��。
12. 根據(jù)權(quán)利要求11所述的計算機可讀存儲介質(zhì)���,其中所述第一 應(yīng)用程序與所述第二應(yīng)用程序位于相同的計算機系統(tǒng)上��。
13. 根據(jù)權(quán)利要求11所述的計算機可讀存儲介質(zhì)���,其中來自于所 述第一應(yīng)用程序的所述命令執(zhí)行請求可包含目標統(tǒng)一資源定位器,其指定所述第二應(yīng)用程序的位置��; 第一鑒權(quán)令牌類型��,其指定所述第一鑒權(quán)令牌的形式�; 第二鑒權(quán)令牌類型,其指定所述第二鑒權(quán)令牌的形式; 用戶識別符�,其用于與所述第一鑒權(quán)令牌相關(guān)聯(lián)的用戶; 所述第二應(yīng)用程序的有效負荷數(shù)據(jù)�����;以及 所述命令��。
14. 根據(jù)權(quán)利要求11所述的計算機可讀存儲介質(zhì)�����,其中檢驗所述 第一鑒權(quán)令牌進一歩包含�����;識別所述第一鑒權(quán)令牌的第一鑒權(quán)令牌類型�; 使用與所述第一鑒權(quán)令牌類型相關(guān)聯(lián)的解密規(guī)則解密所述第一鑒權(quán)令牌,以產(chǎn)生解密的第一鑒權(quán)令牌�;以及檢驗所述解密的第一鑒權(quán)令牌的有效性。
15. 根據(jù)權(quán)利要求14所述的計算機可讀存儲介質(zhì)�,其中檢驗所述解密的第一鑒權(quán)令牌的有效性可包含檢驗所述解密的第一鑒權(quán)令牌未過期;以及 檢驗所述解密的第一鑒權(quán)令牌是與用戶標識符相關(guān)聯(lián)的���。
16. 根據(jù)權(quán)利要求11所述的計算機可讀存儲介質(zhì)����,其中轉(zhuǎn)換所述第一鑒權(quán)令牌進一步包含識別第二鑒權(quán)令牌類型,其指定所述第二應(yīng)用程序的所述第二鑒權(quán)令牌的形式����;識別第二用戶標識符,其是從與所述第一鑒權(quán)令牌相關(guān)聯(lián)的第一 用戶標識符映射而來的�;以及創(chuàng)建與所述第二用戶標識符相關(guān)聯(lián)的所述第二鑒權(quán)令牌,其中所 述第二鑒權(quán)令牌采用由所述第二鑒權(quán)令牌類型指定的形式����。
17. 根據(jù)權(quán)利要求16所述的計算機可讀介質(zhì)���,其中創(chuàng)建所述第二 鑒權(quán)令牌可包含向第三方鑒權(quán)令牌供應(yīng)者請求所述第二鑒權(quán)令牌��;以及 從所述第三方鑒權(quán)令牌供應(yīng)者接收所述第二鑒權(quán)令牌���。
18. 根據(jù)權(quán)利要求16所述的計算機可讀存儲介質(zhì),其中所述第二 用戶標識符與所述第一用戶標識符是相同的用戶標識符�。
19. 根據(jù)權(quán)利要求11所述的計算機可讀存儲介質(zhì),其中所述第一 鑒權(quán)令牌和所述第二鑒權(quán)令牌可包括cookie;數(shù)字證書��;用戶名/密碼對�; 密鑰���;以及 生物識別符。
20. 根據(jù)權(quán)利要求11所述的計算機可讀存儲介質(zhì)��,其中修改所述 命令執(zhí)行請求進一步包含將所述命令的格式修改為與所述第二應(yīng)用程序相關(guān)聯(lián)的格式�;以及將所述修改的命令包含到所述修改的命令執(zhí)行請求中。
21. —種轉(zhuǎn)換鑒權(quán)令牌的裝置����,其包含接收機構(gòu),其被配置以從第一應(yīng)用程序接收命令執(zhí)行請求����,其中所述命令執(zhí)行請求指定將由第二應(yīng)用程序執(zhí)行的命令;檢驗機構(gòu)���,其被配置以檢驗包含在所述命令執(zhí)行請求中的第一鑒 權(quán)令牌���;轉(zhuǎn)換機構(gòu),其被配置以將所述第一鑒權(quán)令牌轉(zhuǎn)換為與所述第二應(yīng) 用程序相關(guān)聯(lián)的形式����,以產(chǎn)生第二鑒權(quán)令牌;修改機構(gòu)����,其被配置以通過將所述第一鑒權(quán)令牌替換為所述第二 鑒權(quán)令牌來修改所述命令執(zhí)行請求���,以創(chuàng)建修改的命令執(zhí)行請求;以 及發(fā)送機構(gòu)�,其被配置以將所述修改的命令執(zhí)行請求發(fā)送至所示第 二應(yīng)用程序。
22. 根據(jù)權(quán)利要求21所述的裝置�,其中所述檢驗機構(gòu)進一步包含 識別機構(gòu),其被配置以識別所述第一鑒權(quán)令牌的第一鑒權(quán)令牌類型����;解密機構(gòu),其被配置以使用與所述第一鑒權(quán)令牌類型相關(guān)聯(lián)的解 密規(guī)則來解密所述第一鑒權(quán)令牌��,以產(chǎn)生解密的第一鑒權(quán)令牌�����;以及 第二檢驗機構(gòu)��,其被配置以檢驗所述解密的第一鑒權(quán)令牌的有效性�����。
23. 根據(jù)權(quán)利要求22所述的裝置�����,其中所述第二檢驗機構(gòu)被進一 步配置以-檢驗所述解密的第一鑒權(quán)令牌未過期以及 檢驗所述解密的第一鑒權(quán)令牌是與用戶標識符相關(guān)聯(lián)的���。
24. 根據(jù)權(quán)利要求21所述的裝置�,其中所述轉(zhuǎn)換機構(gòu)進一步包括:識別機構(gòu)���,其被配置以識別第二鑒權(quán)令牌類型��,所述第二鑒權(quán)令牌類型指定所述第二應(yīng)用程序的所述第二鑒權(quán)令牌的形式���;第二識別機構(gòu),其被配置以識別第二用戶標識符�,所述第二用戶 標識符是從與所述第一鑒權(quán)令牌相關(guān)聯(lián)的第一用戶標識符映射而來 的;以及創(chuàng)建機構(gòu)�,其被配置以創(chuàng)建與所述第二用戶標識符相關(guān)聯(lián)的所述 第二鑒權(quán)令牌,其中所述第二鑒權(quán)令牌采用由所述第二鑒權(quán)令牌類型 指定的形式�����。
25. 根據(jù)權(quán)利要求24所述的裝置��,其中所述創(chuàng)建機構(gòu)進一步包含: 請求機構(gòu)���,其被配置以向第三方鑒權(quán)令牌供應(yīng)者請求所述第二鑒權(quán)令牌����;以及接收機構(gòu),其被配置以從所述第三方鑒權(quán)令牌供應(yīng)者接收所述第 二鑒權(quán)令牌�。
26. 根據(jù)權(quán)利要求21所述的裝置,其中所述修改機構(gòu)被進一步配 置以將所述命令的格式修改為與所述第二應(yīng)用程序相關(guān)聯(lián)的格式�;以及將所述修改的命令包含在所述修改的命令執(zhí)行請求中。
全文摘要
本發(fā)明的一個實施例提供了一種轉(zhuǎn)換鑒權(quán)令牌以促進應(yīng)用程序之間的交互的系統(tǒng)���。在操作期間�,該系統(tǒng)從第一應(yīng)用程序接收命令執(zhí)行請求���,其中所述命令執(zhí)行請求指定將在第二應(yīng)用程序上執(zhí)行的命令�。其后�����,該系統(tǒng)檢驗包含在命令執(zhí)行請求中的第一鑒權(quán)令牌����。然后�����,該系統(tǒng)將第一鑒權(quán)令牌轉(zhuǎn)換成與第二應(yīng)用程序相關(guān)聯(lián)的形式以產(chǎn)生第二鑒權(quán)令牌。此后��,該系統(tǒng)通過將第一鑒權(quán)令牌替換為第二鑒權(quán)令牌來修改命令執(zhí)行請求��,以創(chuàng)建修改的命令執(zhí)行請求����。此后,該系統(tǒng)將修改的命令執(zhí)行請求發(fā)送至第二應(yīng)用程序�����。
文檔編號G06F9/54GK101114237SQ20071013902
公開日2008年1月30日 申請日期2007年7月23日 優(yōu)先權(quán)日2006年7月25日
發(fā)明者A·G·巴拉日, Z·Z·Y·潘 申請人:因圖依特有限公司