(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211032001.5 (22)申请日 2022.08.26 (71)申请人 上海浦东发展银行股份有限公司 地址 200002 上海市黄浦区中山 东一路12 号 (72)发明人 范菲菲　阚军　余钢钢　赵浩宇　 (74)专利代理 机构 上海科盛知识产权代理有限 公司 312 25 专利代理师 廖程 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种一体化授权系统及其方法 (57)摘要 本发明涉及一种一体化授权系统及其方法， 该系统包括2.0授权模块、 3.0授权模 块和后台管 理模块， 2.0授权模块连接有 安全模块， 后台管理 模块用于 执行参数配置操作， 将相应配置参数入 库与2.0授权模 块、 3.0授权模 块、 安全模 块共享； 安全模块用于对传输交互数据进行安全处理。 该 方法包括： 后台管理模块将预先配置的参数入 库， 参数信息共享给2.0授权模块、 3.0授权模块、 安全模块； 针对外部第三方， 由2.0授权模块结合 安全模块， 完成用户信息的授权认证； 针对内部 业务系统， 由3.0授权模块完成用户信息的授权 认证。 与现有 技术相比， 本发明实现了一种安全、 灵活、 高效的一体化授权认证方案， 针对不同类 型业务系统， 既能可靠保证安全性能， 同时能有 效提高授权响应 速度。 权利要求书2页 说明书6页 附图3页 CN 115396205 A 2022.11.25 CN 115396205 A 1.一种一体化授权系统， 其特征在于， 包括2.0授权模块、 3.0授权模块和后台管理模 块， 所述2.0授权模块还连接有安全模块， 所述后台管理模块用于执行参数配置操作， 并将 参数配置信息共享给2.0授权模块、 3.0授权模块、 安全 模块； 所述2.0授权模块用于实现针对外 部第三方的授权认证； 所述3.0授权模块用于实现针对内部业 务系统的授权认证； 所述安全模块用于对传输的交 互数据进行安全处 理。 2.根据权利要求1所述的一种一体化授权系统， 其特征在于， 所述安全处理包括对交互 数据进行签名、 验签、 加密和解密操作。 3.一种一体化授权方法， 其特 征在于， 包括以下步骤： S1、 后台管理模块将预先配置的参数入库， 参数信息共享给2.0授权模块、 3.0授权模 块、 安全模块； S2、 针对外 部第三方， 由2.0授权模块结合 安全模块， 完成用户信息的授权认证； S3、 针对内部业 务系统， 由3.0授权模块完成用户信息的授权认证。 4.根据权利要求3所述的一种一体化授权方法， 其特征在于， 所述预先配置的参数包括 外部第三方客户端信息、 授权信息、 客户端密钥配置信息以及接口权限配置信息 。 5.根据权利要求4所述的一种一体化授权方法， 其特征在于， 所述步骤S2具体包括以下 步骤： S200、 业务系统发送请求至授权后台， 以获取授权码； S201、 授权后台返回空白页至AP P应用端， 此时AP P应用端展示一次空白页刷新； S202、 在空白页上拉起AP P授权登录JS， 与AP P应用端进行交互， 请求登录确认； S203、 APP应用端与APP后台进行交互， 确认用户是否已完成过登录， 若用户已登录， 则 执行步骤S20 5； 若用户未完成登录， 则触发APP用户登录， 从客户端服务器调用用户登录接口， 进入用 户登录页， 执 行步骤S204； S204、 APP后台与客户端服 务器交互， 完成用户认证； S205、 APP后台上传已登录用户的用户编码， 请求授权后台颁发登录 令牌； S206、 授权后台完成AP P后台鉴权后， 颁发加密后的登录 令牌； S207、 APP后台将获取到的加密后的登录 令牌传输 至APP应用端； S208、 APP应用端将登录 令牌通过JS回调至授权前台页面； S209、 授权前台将登录令牌、 用户编码和设备识别编码传输至授权后台， 完成会话和会 员的绑定、 并判断原业务系统类型， 如果是内部业务系统， 则执行静默授权逻辑， 直接执行 步骤S211； 如果是外 部第三方、 且用户首次授权该外 部第三方， 则执 行步骤S210； S210、 在AP P应用端展示授权确认页， 用户完成页面授权确认， 统一授权后台完成校验； S211、 授权后台为本次用户授权行为 生成授权码， 并提交至授权前台； S212、 授权前台将授权码回调至业 务系统， 完成整个授权流 程。 6.根据权利要求5所述的一种一体化授权方法， 其特征在于， 所述步骤S201中空白页的 页面内包 含有用户编码和设备识别编码信息 。 7.根据权利要求5所述的一种一体化授权方法， 其特征在于， 所述步骤S210 中授权确认权　利　要　求　书 1/2 页 2 CN 115396205 A 2页的页面内包 含有第三方实体名称、 授权信息明细和授权用途信息 。 8.根据权利要求5所述的一种一体化授权方法， 其特征在于， 所述步骤S212中业务系统 接收授权码后， 利用授权码换取对应的访问令牌， 再利用换取的访问令牌获取当前登录用 户的用户信息 。 9.根据权利要求3所述的一种一体化授权方法， 其特征在于， 所述步骤S3具体包括以下 步骤： S300、 业务系统请求渠道端获取授权码； S301、 渠道端后台进行登录， 并请求统一授权平台， 以获取用户授权码， 渠道端将用户 信息送至统一授权平台； S302、 统一授权平台生成授权码， 缓存当前登录的用户编码， 并建立设定有效时间的对 应关系； S303、 渠道端将授权码通过 前台JS返回给业 务系统； S304、 业务系统携带授权码， 后台请求统一授权平台， 通过 换取令牌以获取用户编码； S305、 统一授权后台验证接收的令牌有效性， 验证成功则返回用户编码信息给业务系 统。 10.根据权利要求9所述的一种一体化授权方法， 其特征在于， 所述设定有效时间小于 或等于1分钟。权　利　要　求　书 2/2 页 3 CN 115396205 A 3