專利名稱:實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通過諸如互聯(lián)網(wǎng)或?qū)S镁W(wǎng)絡(luò)的網(wǎng)絡(luò)提供的服務(wù)或 web服務(wù),更具體地說,本發(fā)明涉及用于實(shí)現(xiàn)用于web服務(wù)的授權(quán)策 略的方法和系統(tǒng)。
背景技術(shù):
僅針對(duì)授權(quán)的用戶而控制對(duì)經(jīng)由互聯(lián)網(wǎng)、專用網(wǎng)絡(luò)或類似網(wǎng)絡(luò)提 供的服務(wù)(諸如web服務(wù)等)的訪問可能會(huì)產(chǎn)生一定的問題。特別是 在單個(gè)通用資源定位符(URL)向多個(gè)不同群組的授權(quán)用戶提供不同 服務(wù)的情況下會(huì)出現(xiàn)問題。在筒單對(duì)象處理協(xié)議/超文本傳輸協(xié)議 (SOAP/HTTP)中,可保護(hù)與HTTP綁定相應(yīng)的URL。這在URL 僅提供將被保護(hù)的web服務(wù)的情況下可成為適當(dāng)?shù)谋Wo(hù),但是在上述 的可在相同URL下處理多個(gè)受限制的訪問web服務(wù)的情況下會(huì)不足 以形成適當(dāng)?shù)谋Wo(hù)。
可比較接近服務(wù)實(shí)現(xiàn)地保護(hù)web服務(wù);例如,可使用J2EE訪問 安全性來保護(hù)與Java 2企業(yè)版本(J2EE )模型聯(lián)合使用的Sun MicrosystemTM Enterprise JavaBeansTM代碼。Java 、 Enterprise JavaBeans和Sun Microsystems是Sun Microsystems有限公司在美 國(guó)、其它國(guó)家或美國(guó)和其它國(guó)家兩者中的商標(biāo)。這種類型的安全配置 的一個(gè)問題在于當(dāng)涉及網(wǎng)關(guān)、代理服務(wù)器等時(shí),會(huì)難以執(zhí)行訪問控 制??纱嬖谀軌驁?zhí)行訪問控制的各個(gè)層,所述訪問控制需要在各個(gè)層 上被一致處理。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的實(shí)施例, 一種用于實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的
方法可包括基于服務(wù)定義(例如,關(guān)于端口或端口類型定義、綁定、 服務(wù)的質(zhì)量和功能、服務(wù)名稱、消息等)來定義用于訪問web服務(wù)的 授權(quán)策略。所述方法還可包括將授權(quán)策略附加到對(duì)于web服務(wù)的服 務(wù)定義中。
根據(jù)本發(fā)明的另 一方面, 一種用于實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略 的系統(tǒng)可包括對(duì)于web服務(wù)的服務(wù)定義。所述系統(tǒng)還可包括可附加到 服務(wù)定義的用于訪問web服務(wù)的授權(quán)策略。
根據(jù)本發(fā)明的另 一方面, 一種用于實(shí)現(xiàn)用于web服務(wù)的訪問策略 的計(jì)算機(jī)程序產(chǎn)品可包括其中包含有計(jì)算機(jī)可讀程序代碼的計(jì)算機(jī)可 讀介質(zhì)。所述計(jì)算機(jī)可讀介質(zhì)可包括被配置以定義用于訪問web服務(wù) 的授權(quán)策略的計(jì)算機(jī)可讀程序代碼。所述計(jì)算機(jī)可讀介質(zhì)還可包括被 配置以將授權(quán)策略附加到對(duì)于web服務(wù)的服務(wù)定義中的計(jì)算機(jī)可讀程 序代碼。
通過研究以下參照附圖對(duì)本發(fā)明的非限制性詳細(xì)描述,僅由權(quán)利 要求所限定的本發(fā)明的其它方面和特點(diǎn)將對(duì)于本領(lǐng)域的普通技術(shù)人員 變得清楚。
圖1是根據(jù)本發(fā)明實(shí)施例的實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的方法 的示例的流程圖。
圖2是根據(jù)本發(fā)明實(shí)施例的實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的方法 的示例的流程圖。
圖3是根據(jù)本發(fā)明實(shí)施例的用于將策略附加到端口類型的、以 web服務(wù)描述語(yǔ)言(WSDL)的程序或計(jì)算機(jī)可執(zhí)行代碼的示例。
圖4是根據(jù)本發(fā)明實(shí)施例的用于對(duì)不同命名的個(gè)體定義角色的授 權(quán)策略文件的以WSDL的程序或計(jì)算機(jī)可執(zhí)行代碼的示例。
圖5是根據(jù)本發(fā)明另 一實(shí)施例的實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的 方法的示例的流程圖,
圖6是根據(jù)本發(fā)明實(shí)施例的實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的示例
性系統(tǒng)。
具體實(shí)施例方式
以下對(duì)實(shí)施例的詳細(xì)描述涉及示出本發(fā)明具體實(shí)施例的服務(wù)。具 有不同結(jié)構(gòu)和操作的其它實(shí)施例不脫離本發(fā)明的范圍。
如本領(lǐng)域的技術(shù)人員可理解到的,可將本發(fā)明實(shí)現(xiàn)為方法、系統(tǒng)
或計(jì)算機(jī)程序產(chǎn)品。因此,本發(fā)明可采取以下形式全硬件實(shí)施例、 全軟件實(shí)施例(包括固件、駐留軟件、微代碼等)或組合軟件與硬件 方面的實(shí)施例,在這里,通常將其稱為"電路"、"模塊"或"系統(tǒng)"。此 外,本發(fā)明可采取計(jì)算機(jī)可用存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品的形式,
所述計(jì)算機(jī)可用存儲(chǔ)介質(zhì)具有在介質(zhì)中包含的計(jì)算機(jī)可讀程序代碼。 可采用任何適合的計(jì)算機(jī)可讀介質(zhì)。作為示例但并非進(jìn)行限制, 計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)可以是電、磁、光、電磁、紅外或半導(dǎo)
體系統(tǒng)、設(shè)備、裝置或傳播介質(zhì)。更加具體的計(jì)算機(jī)可讀介質(zhì)的示例 (非窮盡列表)可包括以下內(nèi)容具有一條或多條線纜的電連接、便 攜式計(jì)算機(jī)磁盤、硬盤、隨機(jī)存取存儲(chǔ)器(RAM )、只讀存儲(chǔ)器(ROM )、 可擦除可編程只讀存儲(chǔ)器(EPROM或閃速存儲(chǔ)器)、光纖、便攜式 壓縮盤只讀存儲(chǔ)器(CD-ROM)、光存儲(chǔ)裝置、諸如支持互聯(lián)網(wǎng)或內(nèi) 聯(lián)網(wǎng)的傳輸介質(zhì)、或磁存儲(chǔ)裝置。應(yīng)注意到,所述計(jì)算機(jī)可用或計(jì)算 機(jī)可讀介質(zhì)甚至可以是紙張或其它適合的介質(zhì),其中,當(dāng)例如可通過 對(duì)紙張或其它介質(zhì)的光學(xué)掃描以電子方式捕獲所述程序,隨后對(duì)其進(jìn) 行編譯、解釋、或者在必要的情況下另外以適合的方式對(duì)所述程序進(jìn)
行處理,并隨后將其存儲(chǔ)在計(jì)算機(jī)存儲(chǔ)器中時(shí),將程序印刷在所述紙 張或其它適合的介質(zhì)上面。在本文檔的上下文中,所述計(jì)算機(jī)可用或 計(jì)算機(jī)可讀介質(zhì)可以是任何下述介質(zhì),所述介質(zhì)可包含、存儲(chǔ)、傳遞、 傳播或傳輸所述程序,以便通過或結(jié)合指令執(zhí)行系統(tǒng)、設(shè)備或裝置來 使用。
可用面向?qū)ο蟮木幊陶Z(yǔ)言(諸如Java、 Smalltalk、 C+十等)來編 寫用于實(shí)現(xiàn)本發(fā)明的操作的計(jì)算機(jī)程序代碼。然而,也可用傳統(tǒng)的過
程編程語(yǔ)言(諸如"c"編程語(yǔ)言或類似的編程語(yǔ)言)來編寫用于實(shí)現(xiàn)
本發(fā)明的操作的計(jì)算機(jī)程序代碼??扇吭谟脩舻挠?jì)算機(jī)上、部分地 在用戶的計(jì)算機(jī)上、作為獨(dú)立的軟件包、部分地在用戶計(jì)算機(jī)上且部 分地在遠(yuǎn)程計(jì)算機(jī)上、或者全部在遠(yuǎn)程計(jì)算機(jī)或服務(wù)器上執(zhí)行所述程
序代碼。在后者的情況中,可通過局域網(wǎng)(LAN)或廣域網(wǎng)(WAN) 將遠(yuǎn)程計(jì)算機(jī)連接到用戶的計(jì)算機(jī),或者可與外部計(jì)算機(jī)實(shí)現(xiàn)所述連 接(例如,通過利用互聯(lián)網(wǎng)服務(wù)提供商的互聯(lián)網(wǎng)來進(jìn)行所述連接)。
以下將參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))和計(jì)算機(jī)程 序產(chǎn)品的框圖和/或流程圖來描述本發(fā)明。應(yīng)理解,可通過計(jì)算機(jī)程序 指令來實(shí)現(xiàn)流程圖和/或框圖中的每個(gè)塊、以及流程圖和/或框圖中的 塊的組合。可將這些計(jì)算機(jī)程序指令提供給通用計(jì)算機(jī)、專用計(jì)算機(jī) 或其它可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生機(jī)器,從而通過計(jì)算機(jī)或 其它可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令創(chuàng)建用于實(shí)現(xiàn)在流程圖 和/或框圖中的塊或若干塊中指定的功能/動(dòng)作的裝置.
還可將這些計(jì)算機(jī)程序指令存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中,所述計(jì) 算機(jī)可讀存儲(chǔ)器可指導(dǎo)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備以特定方式 工作,從而存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中的指令生成制造產(chǎn)品,其包括 用于實(shí)現(xiàn)流程圖和/或框圖的塊或若干塊中指定的功能/動(dòng)作的指令裝 置。
還可將計(jì)算機(jī)程序指令栽入計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備, 以便促使一 系列操作步驟在計(jì)算機(jī)或其它可編程設(shè)備上執(zhí)行以生成計(jì) 算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其它可編程設(shè)備上執(zhí)行的指令提供 用于實(shí)現(xiàn)在流程圖和/或框圖中的塊或若千塊中指定的功能/動(dòng)作的步
圖1是根據(jù)本發(fā)明實(shí)施例的實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的方法 100的示例的流程圖。在塊102中,可定義用于訪問web服務(wù)等的授 權(quán)策略。授權(quán)策略定義可基于服務(wù)定義等。例如,授權(quán)策略可基于具 體的綁定(例如,URL)、或在其端口類型中定義的操作、或者可作 為WSDL定義的一部分或與WSDL相關(guān)的偽象的其它服務(wù)定義元素,
諸如屬性、元數(shù)據(jù)等。在塊104中,可依據(jù)策略描述將授權(quán)策略附加 到服務(wù)定義。在塊106中,可依據(jù)角色或基于用戶所需的角色在抽象 級(jí)保護(hù)對(duì)端口類型的每個(gè)操作。例如,可依據(jù)"TravelAgent"角色定義 在行程服務(wù)web站點(diǎn)可稱為"ViewItinerary"的操作,從而就組成許可 的內(nèi)容而言,所述定義是抽象的。在部署期間基于所述環(huán)境,還可進(jìn) 行進(jìn)一步的配置,從而可在給定的行程代理中,將TravelAgent角色 分配給輕量級(jí)目錄訪問協(xié)議(LDAP )目錄中的AgentGroup。
圖2是根據(jù)本發(fā)明另 一實(shí)施例的實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的 方法200的示例的流程圖。在塊202中,可將web服務(wù)部署為包括 web月良務(wù)描述語(yǔ)言(WSDL )定義。在塊204中,可針對(duì)對(duì)WSDL消 息、WSDL端口類型等的訪問而指定授權(quán)策略文檔或定義。如果需要 的話,則授權(quán)文檔或定義可在控制對(duì)消息部分、web服務(wù)等的訪問以 進(jìn)行精細(xì)粒度的訪問控制中提供靈活性。在塊206中,可將授權(quán)策略 定義附加到端口類型、操作、消息等。圖3是根據(jù)本發(fā)明實(shí)施例的用 于將策略附加到端口類型的、以WSDL的程序或計(jì)算機(jī)可執(zhí)行代碼 300的示例。
為了執(zhí)行對(duì)于訪問WSDL服務(wù)的方法層控制,即策略文檔 (acct-authz-policy.xml),該XML可具有更精細(xì)粒度的定義。這種 情況下的授權(quán)策略可參考消息、協(xié)議等中的元素,從而粒度不僅處在 操作級(jí)別,而且還可基于在服務(wù)啟用期間的給定消息或上下文(例如, 時(shí)間,服務(wù)請(qǐng)求者是否在移動(dòng)裝置上、在安全位置中等)。為了對(duì)消 息本身執(zhí)行訪問控制,所述消息可參考策略文檔。所述參考可結(jié)束于 指向授權(quán)策略定義。圖4是根據(jù)本發(fā)明實(shí)施例的用于對(duì)不同命名的個(gè) 體定義角色的授權(quán)策略文件的、以WSDL的程序或計(jì)算機(jī)可執(zhí)行代碼 400的示例。可根據(jù)所需的粒度或控制的級(jí)別,將所述定義附加到端 口類型、操作、消息等。
圖5是根據(jù)本發(fā)明另 一實(shí)施例的實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的 方法500的示例的流程圖。在塊502中,網(wǎng)關(guān)服務(wù)器可接收對(duì)服務(wù)的 請(qǐng)求。Web服務(wù)器可以是web服務(wù)網(wǎng)關(guān)、代理服務(wù)器等。對(duì)服務(wù)的請(qǐng)
求可用于執(zhí)行任務(wù)、事務(wù),以便提供信息或數(shù)據(jù)或者類似的操作。在
塊504中,網(wǎng)關(guān)服務(wù)器可檢查所述請(qǐng)求。所述網(wǎng)關(guān)服務(wù)器可檢查所述 請(qǐng)求以確定請(qǐng)求或者請(qǐng)求者或用戶是否需要授權(quán)以便訪問滿足所述請(qǐng) 求所需的web服務(wù),或者,網(wǎng)關(guān)服務(wù)器可檢查所述請(qǐng)求以用于其它目 的。
在塊506中,網(wǎng)關(guān)服務(wù)器可審查授權(quán)策略文檔或定義。如先前所 討論的,可將授權(quán)策略文檔或定義附加到或者關(guān)聯(lián)于和請(qǐng)求相關(guān)的端 口類型、操作、消息等。在塊508中,可確定對(duì)用于滿足請(qǐng)求的web 服務(wù)的請(qǐng)求或訪問是否受保護(hù)或者訪問是否被限于特定用戶。如果對(duì) 于web服務(wù)的所述請(qǐng)求或訪問沒有受到保護(hù)或限制,則方法500可進(jìn) 行到塊510。在塊510中,可將請(qǐng)求分派到適當(dāng)?shù)膽?yīng)用服務(wù)器以滿足 所述請(qǐng)求。隨后,方法500可結(jié)束于終止522。
如果在塊508中,對(duì)web服務(wù)的請(qǐng)求或訪問受到保護(hù),則方法 500可進(jìn)行到塊512。在塊512中,可對(duì)用戶的身份進(jìn)行認(rèn)證和驗(yàn)證, 以保證所述用戶被授權(quán)訪問滿足所述請(qǐng)求所需要的web服務(wù)。在塊 514中,可確定用戶是否被授權(quán)從塊512進(jìn)行請(qǐng)求。如果用戶沒有被 授權(quán)進(jìn)行請(qǐng)求,則方法可進(jìn)行到塊516。在塊516中,可將消息發(fā)送 到用戶,這實(shí)際上指示用戶不是授權(quán)用戶且無法訪問用于滿足所述請(qǐng) 求的web服務(wù)。隨后,方法500可結(jié)束于終止522。
如果在塊514,用戶是授權(quán)用戶,則方法可進(jìn)行到塊518。在塊 518,則可授予用戶需要的角色以訪問用于滿足所述請(qǐng)求的web服務(wù), 并且,可將所述請(qǐng)求分派到適當(dāng)?shù)膽?yīng)用服務(wù)器以滿足所述請(qǐng)求。
在塊520中,可再次檢查請(qǐng)求或消息,并且可基于應(yīng)用服務(wù)器可 訪問的策略文檔或定義在應(yīng)用服務(wù)器中實(shí)施對(duì)web服務(wù)的授權(quán)。 一旦 在SOAP級(jí)處理請(qǐng)求,則可將所述請(qǐng)求分派到實(shí)現(xiàn)級(jí),并且可滿足所 述請(qǐng)求,將結(jié)果返回用戶。
圖6是根據(jù)本發(fā)明實(shí)施例的實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的示例 性系統(tǒng)600。系統(tǒng)600可包括一個(gè)或多個(gè)網(wǎng)關(guān)服務(wù)器,諸如反向代理 服務(wù)器602和web服務(wù)網(wǎng)關(guān)604或類似服務(wù)器。使用超文本傳輸協(xié)議
(HTTP)或類似協(xié)議的用戶606可訪問反向代理服務(wù)器602??捎墒?用SOAP/HTTP類型的協(xié)議等的用戶608以及可采用SOAP/Java消息 傳送服務(wù)(JMS)或類似協(xié)議或服務(wù)的用戶610來訪問web服務(wù)網(wǎng)關(guān) 服務(wù)器604??稍谟脩艋蚩蛻?06-610與反向代理服務(wù)器602和web 服務(wù)網(wǎng)關(guān)604之間設(shè)置防火墻612。
反向代理服務(wù)器602和web服務(wù)網(wǎng)關(guān)614可訪問授權(quán)策略614。 如先前所討論的,授權(quán)策略616可以是WSDL定義、授權(quán)文檔等。授 權(quán)策略的示例可包括Acct-authz-policy.xml、基于角色的authz等, 并且可將其應(yīng)用于Enterprise JavaBeans⑧、.NET應(yīng)用或類似應(yīng)用。 反向代理服務(wù)器602或web服務(wù)網(wǎng)關(guān)604可響應(yīng)于接收到請(qǐng)求來審查 涉及所述請(qǐng)求的適當(dāng)授權(quán)策略。服務(wù)器602或網(wǎng)關(guān)604可基于對(duì)授權(quán) 策略614的審查,響應(yīng)于請(qǐng)求是被保護(hù)的來認(rèn)證進(jìn)行請(qǐng)求的用戶 606-610并驗(yàn)證請(qǐng)求用戶的身份??上蛴脩?06-610授予請(qǐng)求所需的角 色,并且可響應(yīng)于用戶606-610被授權(quán)進(jìn)行請(qǐng)求而將請(qǐng)求分派給應(yīng)用 服務(wù)器616。
應(yīng)用服務(wù)器616可提供各種功能。應(yīng)用服務(wù)器616可用作用于運(yùn) 行諸如消息路由、對(duì)象交換、事務(wù)處理、數(shù)據(jù)轉(zhuǎn)換或其它數(shù)據(jù)處理功 能的服務(wù)的中央集線器。應(yīng)用服務(wù)器616還可提供對(duì)其它服務(wù)器、數(shù) 據(jù)庫(kù)、網(wǎng)絡(luò)等的安全訪問,應(yīng)用服務(wù)器616可以是IBM WebSphere⑧、.NET或類似類型的應(yīng)用服務(wù)器等。WebSpere⑧是IBM 公司在美國(guó)、其它國(guó)家或二者中的注冊(cè)商標(biāo)。應(yīng)用服務(wù)器616可接收 基于用于被請(qǐng)求的web服務(wù)的授權(quán)策略614響應(yīng)于用戶616-610被授 權(quán)進(jìn)行請(qǐng)求而從反向代理服務(wù)器602或web服務(wù)網(wǎng)關(guān)604分派的請(qǐng)求。 應(yīng)用服務(wù)器616可訪問可駐留在數(shù)據(jù)庫(kù)或數(shù)據(jù)源618中的授權(quán)策略 614,所述數(shù)據(jù)庫(kù)或數(shù)據(jù)源618可遠(yuǎn)離應(yīng)用服務(wù)器616。應(yīng)用服務(wù)器616 可實(shí)施對(duì)于采用基于授權(quán)策略614請(qǐng)求的web服務(wù)的授權(quán),其中,所 述授權(quán)策略614與所述請(qǐng)求相關(guān)或被附加到所請(qǐng)求的web服務(wù)。
還可在應(yīng)用服務(wù)器616與反向代理服務(wù)器602和web服務(wù)網(wǎng)關(guān) 604之間設(shè)置防火墻620。防火墻620連同防火墻612向系統(tǒng)600提供附加的安全性。
附圖中的流程圖和框圖示出根據(jù)本發(fā)明各個(gè)實(shí)施例的系統(tǒng)、方法 和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的結(jié)構(gòu)、功能和操作。在這點(diǎn)上,流程 圖或框圖中的每個(gè)塊可代表模塊、段、或代碼部分,其包括一條或多 條用于實(shí)現(xiàn)指定的邏輯功能的可執(zhí)行指令。還應(yīng)注意到,在某些替換 實(shí)現(xiàn)中,塊中標(biāo)注的功能可不按照附圖中標(biāo)注的順序發(fā)生。例如,連 續(xù)顯示的兩個(gè)塊實(shí)際上可基本同時(shí)地執(zhí)行,或者,所述塊有時(shí)可按照 相反的順序來執(zhí)行,這取決于所涉及的功能,還應(yīng)注意到,可通過基 于專用硬件的系統(tǒng)或?qū)S糜布陀?jì)算機(jī)指令的組合來實(shí)現(xiàn)框圖和/或 流程圖中的每個(gè)塊以及框圖和/或流程圖中的塊的組合,其中,所述基 于專用硬件的系統(tǒng)執(zhí)行指定的功能或動(dòng)作。
這里使用的術(shù)語(yǔ)僅用于描述具體實(shí)施例的作用,而不在于限制本 發(fā)明。如這里所使用的,除非上下文中作出明確指示,否則單數(shù)形式 "一"、"一個(gè)"和"該"也會(huì)包括復(fù)數(shù)形式的涵義。還應(yīng)理解,當(dāng) 在本說明書中使用時(shí),術(shù)語(yǔ)"包括"和/或"包含"表示存在所聲明的特 征、整數(shù)、步驟、操作、元素和/或部件,但是不排除存在或附加一個(gè) 或多個(gè)其它特征、整數(shù)、步驟、操作、元素、部件和/或它們的組*
盡管在這里示出并描述了特定實(shí)施例,但是本領(lǐng)域的普通技術(shù)人
員可認(rèn)識(shí)到計(jì)劃實(shí)現(xiàn)相同目的的任何配置可替換所示的特定實(shí)施例, 并且,本發(fā)明在其它環(huán)境中具有其它應(yīng)用。本申請(qǐng)意在覆蓋本發(fā)明的 任何改變或變型。權(quán)利要求決不在于將本發(fā)明的范圍限制于這里描述 的特定實(shí)施例。
權(quán)利要求
1、一種用于實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的方法,包括基于服務(wù)定義來定義用于訪問web服務(wù)的授權(quán)策略;以及將授權(quán)策略附加到對(duì)于web服務(wù)的服務(wù)定義。
2、 如權(quán)利要求l所述的方法,還包括部署包括web服務(wù)描述 語(yǔ)言定義的web服務(wù)。
3、 如權(quán)利要求1所述的方法,還包括指定對(duì)于每個(gè)消息、操 作和端口類型的授權(quán)策略文檔以控制對(duì)消息部分和Web服務(wù)的訪問。
4、 如權(quán)利要求1所述的方法,還包括將授權(quán)策略定義附加到 每個(gè)端口類型、操作和消息。
5、 如權(quán)利要求1所述的方法,基于用戶的角色在抽象級(jí)保護(hù)對(duì) 端口類型的每個(gè)操作.
6、 如權(quán)利要求l所述的方法,還包括 接收請(qǐng)求;響應(yīng)于用戶被授權(quán)進(jìn)行請(qǐng)求而將請(qǐng)求分派給應(yīng)用服務(wù)器;以及 基于授權(quán)策略在應(yīng)用服務(wù)器中實(shí)施對(duì)于采用web服務(wù)的授權(quán)。
7、 如權(quán)利要求l所述的方法,還包括響應(yīng)于網(wǎng)關(guān)服務(wù)器接收到請(qǐng)求來審查授權(quán)策略; 基于對(duì)授權(quán)策略的審查,響應(yīng)于所述請(qǐng)求是被保護(hù)的來認(rèn)證用戶并驗(yàn)證請(qǐng)求身份;響應(yīng)于用戶被授權(quán)進(jìn)行請(qǐng)求而向用戶授予需要的角色,并將所述請(qǐng)求分派給應(yīng)用服務(wù)器;以及基于授權(quán)策略在應(yīng)用服務(wù)器中實(shí)施對(duì)于采用web服務(wù)的授權(quán)。
8、 一種實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的系統(tǒng),包括 用于web服務(wù)的服務(wù)定義;以及 可附加到服務(wù)定義的用于訪問web服務(wù)的授權(quán)策略。
9、 如權(quán)利要求8所述的系統(tǒng),其中,授權(quán)策略定義基于端口類 型定義。
10、 如權(quán)利要求8所述的系統(tǒng),其中,web服務(wù)包括web服務(wù)描 述語(yǔ)言定義。
11、 如權(quán)利要求8所述的系統(tǒng),還包括可對(duì)于每個(gè)消息、操作 和端口類型進(jìn)行指定以便控制對(duì)消息部分和web服務(wù)的訪問的授權(quán)策 略文檔。
12、 如權(quán)利要求8所述的系統(tǒng),還包括授權(quán)策略定義,可附加 到每個(gè)端口類型、操作、綁定和消息、以及基于時(shí)間和其它上下文元 素的條件。
13、 如權(quán)利要求8所述的系統(tǒng),還包括應(yīng)用服務(wù)器,適于響應(yīng) 于用戶被授權(quán)進(jìn)行請(qǐng)求而接收對(duì)于web服務(wù)的請(qǐng)求,并適于實(shí)施對(duì)于 采用web服務(wù)的授權(quán)。
14、 如權(quán)利要求8所述的系統(tǒng),還包括網(wǎng)關(guān)服務(wù)器,適于響應(yīng)于從用戶接收到對(duì)web服務(wù)的請(qǐng)求來審查 授權(quán)策略;以及應(yīng)用服務(wù)器,適于響應(yīng)于用戶被授權(quán)進(jìn)行請(qǐng)求來接收所述請(qǐng)求, 并適用于基于授權(quán)策略來實(shí)施對(duì)于使用web服務(wù)的授權(quán)。
15、 如權(quán)利要求8所述的系統(tǒng),還包括適于響應(yīng)于網(wǎng)關(guān)服務(wù)器接收到請(qǐng)求來審查授權(quán)策略的數(shù)據(jù)結(jié)構(gòu);適于基于對(duì)授權(quán)策略的審查,響應(yīng)于請(qǐng)求是被保護(hù)的而認(rèn)證用戶 并發(fā)沃請(qǐng)求身份的數(shù)據(jù)結(jié)構(gòu);響應(yīng)于用戶被授權(quán)進(jìn)行請(qǐng)求而向用戶授予需要的角色,并將所述 請(qǐng)求分派給應(yīng)用服務(wù)器的數(shù)據(jù)結(jié)構(gòu);以及基于授權(quán)策略在應(yīng)用服務(wù)器中實(shí)施對(duì)于采用web服務(wù)的授權(quán)的 數(shù)據(jù)結(jié)構(gòu)。
16、 一種用于實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的計(jì)算機(jī)程序產(chǎn)品, 所述計(jì)算機(jī)程序產(chǎn)品包括其中包含有用于實(shí)現(xiàn)權(quán)利要求1到7中的任何一個(gè)的步驟的計(jì)算 機(jī)可讀程序代碼的計(jì)算機(jī)可讀介質(zhì);被配置以定義用于訪問web服務(wù)的授權(quán)策略的計(jì)算機(jī)可讀程序 代碼;以及被配置以將授權(quán)策略附加到對(duì)web服務(wù)的服務(wù)定義的計(jì)算機(jī)可 讀程序代碼。
全文摘要
一種用于實(shí)現(xiàn)用于web服務(wù)的授權(quán)策略的方法、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品可包括定義用于訪問web服務(wù)的授權(quán)策略。所述方法、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品還可包括將授權(quán)策略附加到對(duì)web服務(wù)的服務(wù)定義。
文檔編號(hào)H04L29/06GK101116311SQ200680004596
公開日2008年1月30日 申請(qǐng)日期2006年2月20日 優(yōu)先權(quán)日2005年4月6日
發(fā)明者安東尼·納達(dá)林, 瑪麗安·洪多, 納塔拉·納加拉特納姆 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司