YD_T 3149-2016面向移动互联网的公共认证授权体系技术要求.pdf

ICS 33.030M 21YD中华人民共和国通信行业标准YD/T3149-2016面向移动互联网的公共认证授权体系技术要求Requirementto internetoriented commonauthenticationandauthorizationsystem2016-07-11发布2016-10-01实施中华人民共和国工业和信息化部发布 YD/T 314920身份信息管理用户身份信息的创建、更新及删除。应用身份信息的创建、更新及删除。身份认证提供protal认证用户身份，提供接口认证应用身份。访问控制鉴权：将访间令牌发送到授权管理服务器请求鉴权，并处理结果。身份互通绑定绑定用户在多个域的账号，维护对应关系，实现信息共享，5.2.4能力提供商访问控制鉴别应用身份：将应用身份信息发送到身份提供商请求鉴别，并处理结果。鉴权：将访问令牌发送到授权管理服务器请求鉴权，并处理结果。能力管理管理能力的生命周期：上线、更新、下线等。5.2.5授权管理服务器用户授权验证用户身份，为用户提供授权应用的protal，需展示：授权主体即用户名、授权对象即应用名、授权项即应用可访问的用户信息。授权信息管理访间令牌生命周期管理即颁发、缴销及更新访问令牌，保存授权令牌、投权主体、授权对象、授权项的对应关系，使应用在用户投权下访间相应的资源。鉴权接收从身份提供商或能力提供商发来的访问令牌验证请求，验证访间令牌的有效性和正确性。5.3认证授权流程5.3.1授权码流程授权码流程图3所示，适用于移动互联网中有后台服务器端的业务，包括客户端应用、Wcb或Wap应用。流程说明如下：1）用户请求登录并使用某移动互联网业务。2）应用返回重定向指令至身份提供商，3）用户代理（测览器）访间身份提供商，请求认证用户身份，4）身份提供商返回登录页而。5）用户输入在身份提供商的账号和密码。6）若身份提供商认证用户身份成功，返回重定向指令至授权管理服务器，若失败则流程终止。7）用户代理（浏览器）访间授权管理服务器，请求授权应用访问资源。8）授权管理服务器返回授权确认页面，明确投权应用访间何种资源。7 YD/T3149-20169）用户同意授权或拒绝授权。10）若用户同意，则返回重定向指令至应用，携带授权码，若拒绝则流程终止。11) 浏览器按照10步重定向指令中的URL请求应用，应用获取授权码。12)应用携带投权码至投权管理服务器请求访问令牌。13)授权管理服务器给应用颁发访间令牌。14)应用携带访间令牌请求身份提供商保存的用户属性，如用户名、ID等。15)身份提供商返回用户属性。16)应用费带访间令牌请求能力提供商保存的用户信息，如爱好、经历、位置等。17)能力提供商携带应用标识至身份提供商请求验证应用身份。18)身份提供商返回应用认证结果。19)能力提供商返回用户属性。20)应用完成对用户的认证，用户成功登录。应用服务器用户代理身份提供商能力提供高5用产名/密所谢求授权9同费投权11获表投权码4持诺同专牌，求诺用（用产垃用身份标16费导洁间小，请求用户属性17请求股正应用身份20登录浓动图3授权码流程5.3.2隐式授权流程隐式授权流程如图4所示，适用于移动互联网中无后台服务器端的业务，包括客户端应用、运行于浏览器内部的JavaScript、ActionScript应用。该情况下，应用客户端通过内帐浏览器，触发测览器请求至身份提供商，并捕提HTTP重定向获取访问令牌，8 YD/T 3149-2016应用客户端用户代理身份提供商能力提供育授权管理服务器2量定向别身份器供方3请求登胎5用户多/密码管理服务器7请家授权9网毫我权12携修动间含弹，请求计间（用户和自用）身份标识-13透四请间（铭间（用户和空用）身分标识15请求验证点用身份16退用险证结果17盗回用户属性图4隐式授权流程流程说明如下：1）用户使用客户端应用，请求登录。2）客户端触发浏览器重定向指令至身份提供商，3）用户代理（浏览器）访间身份提供商，请求认证用户身份。4）身份提供商返回登录页面，5）用户输入在身份提供商的账号和密码。6）若身份提供商认证用户身份成功，返回重定向指令至授权管理服务器。若失败则流程终止。7）用户代理（浏览器）访间投权管理服务器，请求授权应用访间资源。8）投权管理服务器返回授权确认页面，明确授权应用访问何种资源。9）用户同意投权或拒绝授权。10)若用户同意，则返回重定向指令至应用，带投权码，若拒绝则流程终止，11)应用捕提浏览器中重定向指令，获取授权码。12)应用携带访间令牌请求身份提供商保存的用户属性，如用户名、ID等，13)身份提供商返回用户属性。14)应用携带访间令牌请求能力提供商保存的用户信息，如爱好、经历、位置等。15)能力提供商携带应用标识至身份提供商请求验证应用身份。