| 摘要 |
1. Способ, исполняемый, по меньшей мере, частично в вычислительном устройстве (800), для безопасной обработки запросов третьих лиц на доступ к пользовательским данным в среде (104) веб-услуги, и этот способ содержит следующие этапы, на которых: ! - принимают (902) запрос доступа от поставщика - третьего лица (106), причем запрос связан с подпроцессом, дополняющим процесс веб-услуги; ! - извлекают (904) мандат (218) и требование из запроса, причем мандат (218) включает в себя параметр срока действия и роль (324, 326) с ограничением; ! - проверяют (908), что срок действия мандата (218) не истек; ! - загружают (910), по меньшей мере, одну роль (322) пользователя, связанную с мандатом (218); ! - определяют (912, 914) ограничение доступа для запроса на основе нахождения пересечения роли (324, 326) с ограничением и упомянутой, по меньшей мере, одной роли (322) пользователя; и ! - делают (916) возможным для третьего лица доступ к пользовательским данным, исходя из определенного таким образом ограничения доступа. ! 2. Способ по п.1, в котором мандат (218) связывают с именем домена поставщика - третьего лица (106). ! 3. Способ по п.1, дополнительно содержащий этап, на котором: ! - выполняют (906) аутентификацию мандата (218) перед определением ограничения доступа. ! 4. Способ по п.3, в котором аутентификацию мандата (218) выполняют, применяя цифровую подпись. ! 5. Способ по п.4, в котором проверяют требование, используя цифровую подпись. ! 6. Способ по п.3, в котором аутентификацию мандата (218) выполняют, применяя HMAC (Hash Message Authentication Code - Хеш-код идентификации сообщений). ! 7. Способ по п.6, в котором мандат (218) дополнительно включает в себя, по меньшей мере, одно из следующего: указатель ключа и идентификатор орга |
