ホーム > 特許ランキング > 日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
特許7605307情報処理システム、リソース管理装置、リソース管理方法及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-16
(45)【発行日】2024-12-24
(54)【発明の名称】情報処理システム、リソース管理装置、リソース管理方法及びプログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20241217BHJP
G06F 21/33 20130101ALI20241217BHJP
【FI】
G06F21/62 309
G06F21/33
【請求項の数】
6
(21)【出願番号】P 2023526690
(86)(22)【出願日】2021-06-08
(86)【国際出願番号】 JP2021021784
(87)【国際公開番号】W WO2022259378
(87)【国際公開日】2022-12-15
【審査請求日】2023-11-01
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】110004381
【氏名又は名称】弁理士法人ITOH
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100124844
【弁理士】
【氏名又は名称】石原 隆治
(72)【発明者】
【氏名】鈴木 亮平
(72)【発明者】
【氏名】千田 浩司
(72)【発明者】
【氏名】奥田 哲矢
【審査官】宮司 卓佳
(56)【参考文献】
【文献】国際公開第2019/240793(WO,A1)
【文献】特開2019-200515(JP,A)
【文献】米国特許出願公開第2017/0034172(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
G06F 21/33
(57)【特許請求の範囲】
【請求項1】
或るリソースを管理するリソース管理装置と、前記リソースへアクセスするアクセス装置と、前記リソースに対するアクセス権限の委譲が前記リソースの所有者によって許可された場合に前記アクセス権限に対応するアクセストークンを前記アクセス装置に発行する認可装置とを含む情報処理システムであって、前記リソース管理装置は、
前記アクセス装置からの前記アクセストークンを伴う前記リソースへのアクセス要求に応じ、当該アクセストークンに対応するアクセス権限の範囲を示す情報として、前記認可装置が予め公開するアクセス権限に対して修飾子が付与された情報を取得する取得部と、
前記修飾子によって、前記リソースの構造関係、前記リソースが生成された期間、及び前記リソースが生成された場所のうちの1以上が限定されたアクセス権限の範囲で前記アクセス要求に応じた処理を実行する実行部と、
を有することを特徴とする情報処理システム。
【請求項2】
前記修飾子は、前記アクセストークンが前記アクセス装置へ発行されるまでの前において、前記アクセス装置によって付与される、ことを特徴とする請求項1記載の情報処理システム。
【請求項3】
前記修飾子は、前記アクセストークンが前記アクセス装置へ発行される前において、前記リソースの所有者によって付与される、ことを特徴とする請求項1又は2記載の情報処理システム。
【請求項4】
或るリソースを管理するリソース管理装置であって、前記リソースに対するアクセス権限の委譲が前記リソースの所有者によって許可された場合に認可装置から発行される前記アクセス権限に対応するアクセストークンを伴う前記リソースへのアクセス要求に応じ、当該アクセストークンに対応するアクセス権限の範囲を示す情報として、前記認可装置が予め公開するアクセス権限に対して修飾子が付与された情報を取得する取得部と、
前記修飾子によって、前記リソースの構造関係、前記リソースが生成された期間、及び前記リソースが生成された場所のうちの1以上が限定されたアクセス権限の範囲で前記アクセス要求に応じた処理を実行する実行部と、
を有することを特徴とするリソース管理装置。
【請求項5】
或るリソースを管理するリソース管理装置が、前記リソースに対するアクセス権限の委譲が前記リソースの所有者によって許可された場合に認可装置から発行される前記アクセス権限に対応するアクセストークンを伴う前記リソースへのアクセス要求に応じ、当該アクセストークンに対応するアクセス権限の範囲を示す情報として、前記認可装置が予め公開するアクセス権限に対して修飾子が付与された情報を取得する取得手順と、
前記修飾子によって、前記リソースの構造関係、前記リソースが生成された期間、及び前記リソースが生成された場所のうちの1以上が限定されたアクセス権限の範囲で前記アクセス要求に応じた処理を実行する実行手順と、
を実行することを特徴とするリソース管理方法。
【請求項6】
或るリソースを管理するリソース管理装置に、前記リソースに対するアクセス権限の委譲が前記リソースの所有者によって許可された場合に認可装置から発行される前記アクセス権限に対応するアクセストークンを伴う前記リソースへのアクセス要求に応じ、当該アクセストークンに対応するアクセス権限の範囲を示す情報として、前記認可装置が予め公開するアクセス権限に対して修飾子が付与された情報を取得する取得手順と、
前記修飾子によって、前記リソースの構造関係、前記リソースが生成された期間、及び前記リソースが生成された場所のうちの1以上が限定されたアクセス権限の範囲で前記アクセス要求に応じた処理を実行する実行手順と、
を実行させることを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理システム、リソース管理装置、リソース管理方法及びプログラムに関する。
【背景技術】
【0002】
他者に部分的な権限を委譲するための技術仕様として、OAuthが知られている(非特許文献1及び非特許文献2)。
【0003】
OAuthに関するプレイヤ(登場人物)としては、リソースオーナ(RO)、リソースサーバ(RS)、リライングパーティ(RP)、認可サーバ(AS)が存在する。ROは、データ等のリソースの所有者(オーナ)であり、サードパーティが提供する或るサービスを介して当該リソースを利用するユーザである。RSは、ROのリソースの管理先である(一般的にASとRSの管理主体は同一である)。RPは、当該或るサービスを提供するサードパーティである。RPは、当該サービスの提供に際し、ROから権限を委譲され、RSに管理されているリソースに対してROに代わってアクセスを実施する。ASは、リソースに対するアクセス権限についてRPへの委譲の実施を行う。
【0004】
具体的には。まず、ROがRPのサービスを利用する。その際、ROは、ASとRPを連携させることを選択する(RPにアクセスした状態で、ROは、RPとASとの連携を選択する)。ROは、RPからASにリダイレクトされ、AS上でRPとの連携を認可する(権限の委譲を同意する)。その結果、RPは、RSが管理するリソースにアクセスするために必要なアクセストークンを入手することができる。
【0005】
OAuthにおいて、他者に移譲する権限をscopeという。ASはどのような権限を委譲できるかを設計し、APIリファレンスなどで公開する。RPは、サービスを提供するために利用する権限をAPIリファレンスから選択する。ROは、RPが要求する権限を確認し、同意した場合にRPに自身の権限を委譲する。
【先行技術文献】
【非特許文献】
【0006】
【文献】The OAuth 2.0 Authorization Framework (RFC6749)、[online]、インターネット<URL:https://tools.ietf.org/html/rfc6749>
【文献】The OAuth 2.0 Authorization Framework: Bearer Token Usage (RFC6750)、[online]、インターネット<URL:https://tools.ietf.org/html/rfc6750>
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上記の従来技術では、ASが最初に設計したscopeのみの指定となるため、RPが提供するサービスに必要以上の権限がRPに委譲されてしまう可能性が有る。
【0008】
本発明は、上記の点に鑑みてなされたものであって、他者に委譲する権限の範囲の柔軟性を向上させることを目的とする。
【課題を解決するための手段】
【0009】
そこで上記課題を解決するため、或るリソースを管理するリソース管理装置と、前記リソースへアクセスするアクセス装置と、前記リソースに対するアクセス権限の委譲が前記リソースの所有者によって許可された場合に前記アクセス権限に対応するアクセストークンを前記アクセス装置に発行する認可装置とを含む情報処理システムにおいて、前記リソース管理装置は、前記アクセス装置からの前記アクセストークンを伴う前記リソースへのアクセス要求に応じ、当該アクセストークンに対応するアクセス権限の範囲を示す情報として、前記認可装置が予め公開するアクセス権限に対して修飾子が付与された情報を取得する取得部と、 前記修飾子によって、前記リソースの構造関係、前記リソースが生成された期間、及び前記リソースが生成された場所のうちの1以上が限定されたアクセス権限の範囲で前記アクセス要求に応じた処理を実行する実行部と、を有する。
【発明の効果】
【0010】
他者に委譲する権限の範囲の柔軟性を向上させることができる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施の形態における情報処理システムの構成例を示す図である。
【図2】本発明の実施の形態におけるリソースサーバ10のハードウェア構成例を示す図である。
【図3】本発明の実施の形態における情報処理システムの機能構成例を示す図である。
【図4】アクセストークンの発行時の処理手順の一例を説明するためのシーケンス図である。
【図5】認可サーバ20との連携の許否をユーザに問い合わせる画面の表示例を示す図である。
【図6】認可サーバ20との連携の許否をユーザに問い合わせる画面におけるメニューが展開した例を示す図である。
【図7】権限の委譲の可否を問い合わせる画面の表示例を示す図である。
【図8】権限の委譲の可否を問い合わせる画面におけるメニューが展開した例を示す図である。
【図9】scopeの大きさ(範囲)を概念的に示す図である。
【図10】アクセストークンの行使時の処理手順の一例を説明するためのフローチャートである。
【発明を実施するための形態】
【0012】
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態における情報処理システムの構成例を示す図である。
【0013】
図1において、RO端末40、RPサーバ30、認可サーバ20及びリソースサーバ10は、インターネット等のネットワークを介して接続される。
【0014】
RO端末40は、データ等の或るソフトウェアリソース(以下、「対象リソース」という。)の所有者であるとともに、対象リソースへアクセスする或るサービス(以下、「対象サービス」という。)の利用者であるユーザが利用する端末である。例えば、PC(Personal Computer)、スマートフォン又はタブレット端末等がRO端末40として利用されてもよい。なお、当該ユーザは、OAuthにおけるRO(リソースオーナ)に相当する。
【0015】
RPサーバ30は、対象サービスを提供する1以上のコンピュータである。RPサーバ30は、対象サービスを提供するために、対象リソースに対してアクセスするための権限の委譲をROから受けるための処理を実行する。当該処理は、OAuthに準拠する。なお、RPサーバ30は、OAuthにおけるRP(リライングパーティ)として機能する。
【0016】
認可サーバ20は、OAuthにおけるASとして機能する1以上のコンピュータである。
【0017】
リソースサーバ10は、対象リソースを記憶及び管理し、OAuthにおけるRSとして機能する1以上のコンピュータである。
【0018】
図2は、本発明の実施の形態におけるリソースサーバ10のハードウェア構成例を示す図である。図2のリソースサーバ10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
【0019】
リソースサーバ10での処理を実現するプログラムは、CD-ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0020】
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従ってリソースサーバ10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。
【0021】
なお、RPサーバ30、認可サーバ20及びRO端末40も図2と同様のハードウェア構成を有してよい。
【0022】
図3は、本発明の実施の形態における情報処理システムの機能構成例を示す図である。図3において、RPサーバ30は、RPOAuth部31及びスコープ判定部32を有する。これら各部は、RPサーバ30にインストールされた1以上のプログラムが、RPサーバ30のCPUに実行させる処理により実現される。
【0023】
認可サーバ20は、ASOAuth部21、スコープ設定部22及びスコープ検証部23を有する。これら各部は、認可サーバ20にインストールされた1以上のプログラムが、認可サーバ20のCPUに実行させる処理により実現される。
【0024】
リソースサーバ10は、RSOAuth部11及びスコープ解析部12を有する。これら各部は、リソースサーバ10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。
【0025】
以下、情報処理システムが実行する処理手順について説明する。図4は、アクセストークンの発行時の処理手順の一例を説明するためのシーケンス図である。なお、図4の処理手順は、OAuthに準拠したものである。また、図4においてRO端末40が実行する処理は、例えば、RO端末40にインストールされたWebブラウザがRO端末40に実行させる処理である。
【0026】
ステップS101において、RO端末40は、ユーザによる所定の操作に応じ、対象サービスの利用要求をRPサーバ30へ送信する。なお、ユーザは、RPサーバ30によって認証済みであるとする。したがって、RPサーバ30は、当該利用要求の要求元のユーザを特定可能であるとする。
【0027】
RPサーバ30のRPOAuth部31は、当該利用要求を受信すると、対象サービスに必要なscopeの値をスコープ判定部32へ照会する(S102)。scopeとは、OAuthにおけるscopeをいう。OAuthにおけるscopeとは、他者へ委譲される権限をいう。scopeに指定可能な値(すなわち、権限の範囲又は種類)は、予め認可サーバ20によってAPIリファレンスなどで公開される。以下、認可サーバ20によって予め公開されているscopeの値のリストを「既定リスト」という。
【0028】
スコープ判定部32は、RPOAuth部31による照会に応じ、対象サービスに必要なscopeを判定する。スコープ判定部32による判定は、予め設定され、補助記憶装置102等に記憶されている設定情報に基づいて行われる。すなわち、当該設定情報が、対象サービスに必要なscopeを示す。当該設定情報は、OAuthについて必要とされる、ASに対するRP自身の登録申請(RPのサービスの開発者のアカウントの登録の申請)時に、ASに対して申請されたscopeを示す。すなわち、申請には、連携先情報(RPに関する情報)、表示名、連絡先、ユーザから委譲を希望する権限=scope等の情報が必要とされる。なお、ASが申請を許可した場合にのみ、RPはOAuthを利用することができる。
【0029】
本実施の形態では、当該設定情報として、既定リストのうちのいずれかのscopeに係るアクセス権限の範囲を更に限定する内容が設定可能である。既定リストの或る値を更に限定する場合、当該値に対して限定内容を示す識別子(以下、「修飾子」という。)が付与される。修飾子の一例としては、例えば、以下のようなものが考えられる。
【0030】
(a)リソースの構造関係(親・子の関係など)に関する修飾子
例えば、リソースが写真の場合、
{scope}.{album_name}
という修飾子が考えられる。ここで、{scope}は、既定リストのいずれかの値であり、「.{album_name}」が修飾子を示す。当該修飾子は、album_nameに係る特定のアルバム内の写真のみにアクセスを限定することを意味する。
例えば、リソースが写真の場合、
{scope}.{album_name}
という修飾子が考えられる。ここで、{scope}は、既定リストのいずれかの値であり、「.{album_name}」が修飾子を示す。当該修飾子は、album_nameに係る特定のアルバム内の写真のみにアクセスを限定することを意味する。
【0031】
(b)リソースが生成された期間に関する修飾子
例えば、scope.{YYYY/MM/DD}
という修飾子が考えられる。当該修飾子は、特定の日付(YYYY/MM/DD)に生成されたリソースのみにアクセスを限定することを意味する。
scope.{YYYY/MM/DD-YYYY/MM/DD}
のように、リソースが生成された期間が限定されてもよい。この際、「MM/DD」や「DD」は省略されてもよい。
例えば、scope.{YYYY/MM/DD}
という修飾子が考えられる。当該修飾子は、特定の日付(YYYY/MM/DD)に生成されたリソースのみにアクセスを限定することを意味する。
scope.{YYYY/MM/DD-YYYY/MM/DD}
のように、リソースが生成された期間が限定されてもよい。この際、「MM/DD」や「DD」は省略されてもよい。
【0032】
例えば、「photo」は、全ての写真へのアクセス権限を示す、既定リストのうちの1つのscopeであるとすると、「photo.span2020-2021」といった設定が可能である。ここで、「.span2020-2021」は、撮影された写真の期間を限定する修飾子を意味する。したがって、「scope=photo.span2020-2021」は、撮影期間が2020年から2021年までの写真に対してのみに限定されたアクセス権限を示すことになる。
【0033】
(c)リソースが生成された場所
例えば、{scope}.{建物名、都道府県名など}
という修飾子が考えられる。当該修飾子は、特定の場所に関するリソースにのみアクセス権限を限定することを意味する。
例えば、{scope}.{建物名、都道府県名など}
という修飾子が考えられる。当該修飾子は、特定の場所に関するリソースにのみアクセス権限を限定することを意味する。
【0034】
なお、上記したように、RPの登録申請時にはscopeの申請が必要であるが、本実施の形態では、修飾子付きのscope(以下、「修飾子付きscope」という。)が申請可能とされ、修飾子付きscopeが申請されているとする。したがって、スコープ判定部32は、申請済みの修飾子付きのscopeをRPOAuth部31へ応答する(S103)。
【0035】
続いて、RPOAuth部31は、当該修飾子付きscopeを含む認可要求についてのリダイレクト要求をRO端末40へ応答する(S104)。当該リダイレクト要求の具体的な内容は、例えば、以下の通りである。
「HTTP/1.1 302 Moved Temporarily
Location: https://[ASの認可エンドポイント(公開情報)]/authorize?response_type=code&scope=photo&client_id=...」
このように、本実施の形態では、リダイレクト要求にscopeがパラメータとして含まれ得る。
「HTTP/1.1 302 Moved Temporarily
Location: https://[ASの認可エンドポイント(公開情報)]/authorize?response_type=code&scope=photo&client_id=...」
このように、本実施の形態では、リダイレクト要求にscopeがパラメータとして含まれ得る。
【0036】
当該応答を受信したRO端末40は、RPサーバ30について認可サーバ20との連携の許否をユーザに問い合わせる画面を表示する。
【0037】
図5は、認可サーバ20との連携の許否をユーザに問い合わせる画面の表示例を示す図である。図5が示す画面510において、{}で囲まれている部分は、実際には具体的なサービス名等によって置き換えられる。画面510は、メニュー511を含む。メニュー511がユーザによってクリックされると、画面510の状態は、図6に示すようになる。
【0038】
図6では、リダイレクト要求に含まれている修飾子付きscopeに対して更に付与する修飾子の候補である、候補513及び候補514が選択肢として表示されている。斯かる候補は、当該修飾子付きscopeの元のscopeに対して付与可能な修飾子の一覧のうち、既に当該scopeに付与されている修飾子を除く修飾子であってもよい。ユーザは、自らの意志でRPサーバ30に認可する権限を限定したい場合は、いずれかの候補を選択することで、当該権限に対して当該候補に応じた限定を与えることができる。
【0039】
画面510を介して、認可サーバ20との連携に対して許可を示す操作が行われると、RO端末40は、当該リダイレクト要求に応じ、修飾子付きscopeを含む認可要求を認可サーバ20へリダイレクトする(S105)。なお、画面510を介してユーザによって修飾子の追加が選択された場合(いずれかの修飾子の候補が選択された場合)、当該修飾子付きscopeは、更に、追加された修飾子が付与されたものとなる。
【0040】
認可サーバ20のASOAuth部21は、リダイレクトされた当該認可要求を受信すると、当該認可要求に含まれるscopeが修飾子付きscopeであれば、当該修飾子付きscopeの検証要求をスコープ検証部23へ送信する(S106)。スコープ検証部23は、当該検証要求に応じ、当該修飾子付きscopeを検証する。例えば、当該scopeが修飾子の付与が許可されているscopeであるか、当該修飾子の値が正しいか等が検証される。すなわち、scope別に修飾子の付与の可否や、付与可能な修飾子等が予め規定されている。続いて、スコープ検証部23は、検証結果(OK又はNG)をASOAuth部21へ送信する(S107)。当該検証結果がOKであればステップS108以降が実行され、NGであればステップS108以降は実行されない。
【0041】
ステップS108において、ASOAuth部21は、従来のOAuthの手順に従ってRO端末40のユーザ(すなわち、対象リソースのRO)の認証処理を実行する。認証に成功すると、ASOAuth部21は、修飾子付きscopeが示す権限の委譲の可否の問い合わせをRO端末40へ送信する(S109)。
【0042】
RO端末40は、当該問い合わせに応じ、当該権限の委譲の可否を問い合わせる画面を表示する。
【0043】
図7は、権限の委譲の可否を問い合わせる画面の表示例を示す図である。図7が示す画面520において、{}で囲まれている部分は、実際には具体的なサービス名等によって置き換えられる。画面520は、メニュー521を含む。メニュー521がユーザによってクリックされると、画面520の状態は、図8に示すようになる。
【0044】
図8では、当該権限を示す修飾子付きscopeに対して更に付与する修飾子の候補である、候補523及び候補524が選択肢として表示されている。斯かる候補は、当該修飾子付きscopeの元のscopeに対して付与可能な修飾子の一覧のうち、既に当該scopeに付与されている修飾子を除く修飾子であってもよい。ユーザは、自らの当該権限を限定したい場合は、いずれかの候補を選択することで、当該権限に対して当該候補に応じた限定を与えることができる。
【0045】
画面520を介して、RPサーバ30に対する権限の委譲の許可を示す操作が行われると、RO端末40は、権限の委譲の許可を示す応答を認可サーバ20へ送信する(S110)。当該応答には、修飾子付きscopeも含まれる。当該修飾子付きscopeは、画面520を介してユーザによって修飾子の追加が行われていない場合は、ステップS109においてRO端末40へ送信されたものと同じであり、画面520を介してユーザによって修飾子の追加が行われている場合は、更に、追加された修飾子が付与されたものである。
【0046】
認可サーバ20のスコープ設定部22は、当該応答を受信すると、当該応答に含まれている修飾子付きscopeをASOAuth部21へ設定する(S111)。ASOAuth部21は、設定された修飾子付きscopeが、ステップS106において検証を受けた修飾子付きscopeから変更されている場合(修飾子が追加されている場合)には、設定された修飾子付きscopeの検証要求をスコープ検証部23へ送信する(S112)。スコープ検証部23は、当該検証要求に応じ、当該修飾子付きscopeを検証する。検証の内容は、ステップS106に応じた検証要求と同じでよい。続いて、スコープ検証部23は、検証結果(OK又はNG)をASOAuth部21へ送信する(S113)。当該検証結果がOKであればステップS114が実行され、NGであればステップS114は実行されない。
【0047】
ステップS114において、ASOAuth部21は、OAuthに規定された手順に従って、対象リソースに対するアクセストークンをRSOAuth部11に対して発行(送信)する。なお、S114は、アクセストークンをRPサーバ30に発行する手順を意味し、OAuthのGrant typeによって具体的な処理手順を読み替えるものとする。アクセストークンの発行に伴い、ASOAuth部21は、当該アクセストークンに対応する修飾子付きscopeを記憶しておく。アクセストークンに対応する修飾子付きscopeの記憶方法は、OAuthにおける、アクセストークンに対応するscopeの記憶方法に準拠すればよい。
【0048】
RPは、当該アクセストークン(以下、「対象トークン」という。)を行使することで、対象リソースへアクセス可能になる。
【0049】
なお、図4においては、アクセストークンが発行される前の過程における以下の3つのタイミングにおいて、scopeを限定することができる(scopeに対して修飾子を付与することができる)。
【0050】
(0)RPがASに登録する際のscopeの提示のタイミング
その結果として、ステップS103において修飾子付きscopeが応答される。
その結果として、ステップS103において修飾子付きscopeが応答される。
【0051】
(1)ユーザがRPサーバ30のサービスを利用する際に、RPサーバ30側で認可リクエストを行うタイミング
ユーザが、画面510を介してscopeを限定(scopeに修飾子を付与)する。
ユーザが、画面510を介してscopeを限定(scopeに修飾子を付与)する。
【0052】
(2)ユーザが認可サーバ20を介してRPが提示した権限を認可するタイミング
ユーザが、画面520を介してscopeを限定(scopeに修飾子を付与)する。
ユーザが、画面520を介してscopeを限定(scopeに修飾子を付与)する。
【0053】
但し、上記の(0)~(2)の全てのタイミングにおいて修飾子の付与が可能とされなければならないことを意図したものではなく、いずれか1以上のタイミングで修飾子の付与が可能とされればよい。
【0054】
なお、上記のように3つのタイミングでscopeを限定可能とした場合、図9に示されるように、scopeの大きさ(範囲)を多段階に限定することができる。
【0055】
次に、アクセストークンの行使について説明する。図10は、アクセストークンの行使時の処理手順の一例を説明するためのフローチャートである。図10の処理手順は、例えば、図4のステップS114に続いて実行される。
【0056】
ステップS201において、RPOAuth部31は、OAuthに準拠した手順として、対象トークンを伴って対象リソースへのアクセス要求をリソースサーバ10へ送信する。
【0057】
リソースサーバ10のRSOAuth部11は、当該アクセス要求及び対象トークンを受信すると、OAuthに準拠した手順として、対象トークンに対応するscopeの問い合わせをASOAuth部21へ送信する(S202)。当該問い合わせには対象トークンが含まれる。
【0058】
ASOAuth部21は、当該問い合わせに応じ、対象トークンに対応付けられて記憶されているscopeを含む応答をRSOAuth部11へ送信する(S203)。本実施の形態では、修飾子付きscopeが当該応答に含まれる。当該応答の具体的な内容は、例えば、以下の通りである。
「HTTP 200 OK
Content-type:application/json
{ "scope":"scope.{album_name} scope.{YYYY-MM-DD}" ,…}」
すなわち、応答には、対象トークンに対応するscopeが列挙され、当該scopeに修飾子が付与される。
「HTTP 200 OK
Content-type:application/json
{ "scope":"scope.{album_name} scope.{YYYY-MM-DD}" ,…}」
すなわち、応答には、対象トークンに対応するscopeが列挙され、当該scopeに修飾子が付与される。
【0059】
RSOAuth部11は、当該応答を受信することで、当該応答に含まれている修飾子付きscopeを取得する。続いて、RSOAuth部11は、当該修飾子付きscopeの意味(権限)の解析要求を、当該修飾子付きscopeと共にスコープ解析部12へ送信する(S204)。スコープ解析部12は、当該解析要求に応じ、当該修飾子付きscopeの意味を解析し、解析結果として、当該修飾子付きscopeが意味するアクセス権限を含む応答をRSOAuth部11へ送信する(S205)。本実施の形態では、修飾子によって限定されたアクセス権限が応答される。例えば、修飾子付きscopeが「scope=photo.span2020-2021」であれば、撮影期間が2020年から2021年までの写真についてのみのアクセス権限であることを示す応答が送信される。
【0060】
続いて、RSOAuth部11は、当該アクセス権限の範囲内において、RPOAuth部31からのアクセス要求に応じた処理(対象リソースへのアクセス)を実行する(S206)。その結果、RPOAuth部31の権限が、修飾子に基づいて限定される。
【0061】
続いて、RSOAuth部11は、対象リソースへのアクセス結果をRPOAuth部31へ送信する(S207)。
【0062】
上述したように、本実施の形態によれば、scopeに対して修飾子を付与することで、当初のscopeの権限の範囲を限定することができる。したがって、他者に委譲する権限の範囲の柔軟性を向上させることができる。その結果、サービスに必要な範囲に移譲する権限を限定することができる。
【0063】
また、ユーザが修飾子を付与することができるため、ユーザに有利な権限の限定化が可能となる。その結果、ユーザが意図しない権限の委譲を回避できる可能性を高めることができる。
【0064】
なお、本実施の形態において、リソースサーバ10は、リソース管理装置の一例である。認可サーバ20は、認可装置の一例である。RPサーバ30は、アクセス装置の一例である。RSOAuth部11は、取得部及び実行部の一例である。
【0065】
以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0066】
10 リソースサーバ
11 RSOAuth部
12 スコープ解析部
20 認可サーバ
21 ASOAuth部
22 スコープ設定部
23 スコープ検証部
30 RPサーバ
31 RPOAuth部
32 スコープ判定部
40 RO端末
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
B バス
11 RSOAuth部
12 スコープ解析部
20 認可サーバ
21 ASOAuth部
22 スコープ設定部
23 スコープ検証部
30 RPサーバ
31 RPOAuth部
32 スコープ判定部
40 RO端末
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
B バス
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】