用于在计算机网络中访问服务器的服务器、系统、方法、计算机程序和计算机程序产品

摘要

本发明涉及经由计算机网络(100)访问第二服务器(102)的第一服务器(101)，第一服务器被适配为在所述第一服务器(101)成功认证了在所述第一服务器(101)上注册的第一用户(EU)的第一证书时，使用在所述第二服务器(102)上注册的第二用户(HU)的第二证书来向所述第二服务器(102)认证以向所述第一用户(EU)提供对由所述第二服务器(102)的接口(API)所提供的功能的至少一个子集的访问。

说明书

技术领域

本发明涉及用于在计算机网络中访问服务器的服务器、系统、方 法、计算机程序和计算机程序产品。

背景技术

社交网络是在允许用户共享例如图片、文本或音频/视频这样的 内容的服务器上运行的服务，例如计算机程序。通常，社交网络仅允许 注册的用户对内容的写入访问。所述服务器使用例如用户名和密码这样 的证书来执行访问控制，以便准许对所述社交网络中的内容的读取和写 入的访问。

每个用户通常在社交网络上具有其自己的用户账户，允许使用特 定的账户将上载的任何内容与拥有社交网络的账户的用户关联。

这意味着，任何想要参与所述社交网络的人都需要首先进行注册 以例如在托管所述社交网络的所述服务器上创建账户。

发明内容

因此，本发明的目的在于，允许没有在社交网络的服务器上注册 的用户在不必首先注册的情况下访问所述社交网络，同时保持社交网络 的认证要求。

因此，本发明的主要思想在于经由计算机网络从第一服务器访问 第二服务器，其中所述第一服务器被适配为在所述第一服务器对所述第 一服务器上注册的第一用户的第一证书成功认证时，使用所述第二服务 器上注册的第二用户的第二证书来向所述第二服务器认证以向所述第 一用户提供对由所述第二服务器的接口所提供的功能的至少一个子集 的访问，其中所述第二服务器被适配为经由所述接口提供所述功能。这 样，在第一服务器上的所述第一用户的认证被用于在不向社交网络透露 第一用户的身份、同时使得所述社交网络能够使所述第一用户的贡献与 所述社交网络的被拒绝的用户相关的情况下，允许经由社交网络上的所 述第二用户的账户来访问社交网络。

有利地，所述第一服务器包括：接收装置，被适配为从第一客户 端接收第一消息，该第一消息包括关于所述第一用户的信息，具体地对 访问所述接口的功能的请求；发送装置，被适配为向所述第二服务器发 送第二消息，该第二消息包括关于所述第二用户的信息，具体地对访问 所述功能的请求；以及处理装置，被适配为确定关于所述第二用户的所 述信息。这样，所述第一服务器接收认证所述第一用户所需要的信息， 标识所述第二用户和第一用户的请求，并且向第二服务器发送用于在所 述第二服务器上的认证所需要的信息。

有利地，从关于所述第一用户的所述信息确定关于所述第二用户 的所述信息。这样，所述第一服务器自动地将所述第一用户映射到适当 的第二用户。

有利地，所述第一消息包括关于所述第二用户的信息片段 (piece)，并且从所述信息片段来确定关于所述第二用户的所述信息。 这样，所述第一用户在所述第一消息中提交足够的信息以允许所述第一 服务器自动地确定所述第二用户。

有利地，关于所述第二用户的所述信息包括所述第二用户的证 书。这样，对所述第二服务器的认证消息包括使所述第二服务器认证所 述第二用户所需要的全部信息。

有利地，关于所述第一用户的所述信息包括所述第一用户的证 书，其中所述第一服务器包括：认证装置，被适配为认证所述第一用户 的所述第一证书，并且其中所述发送装置被适配为仅在对所述第一证书 的成功认证时，发送所述第二消息。这样，在所述第一服务器上对所述 第一用户的认证成功的情况下，由第一用户进行的对访问社交网络的功 能的请求仅被转发到所述第二服务器。这增加了服务的可靠性。

有利地，所述第一消息包括访问所述接口的第一功能的请求，其 中所述处理装置被适配为确认对所述第一用户授权请求所述第一功能， 并且其中所述发送装置被适配为仅在成功授权时才发送所述第二消息。 这允许第二用户在所述第一服务器上定义由所述接口提供的所述功能 中的哪些可用于第一用户。此外，所述第一服务器仅转发对所述第二用 户授权的功能的请求。

本发明的其他进步可以从从属权利要求和以下描述中来获得。

附图说明

以下，将参考附图来进一步解释本发明。

图1示意性地示出计算机网络的第一部分。

图2示意性地示出序列图。

具体实施方式

图1示意性地示出计算机网络100的一部分，包括第一服务器 101、第二服务器102、第一客户端103和第二客户端104。

所述服务器和客户端经由图1中描绘为实线和云的数据链路来连 接。所述数据链路例如是局域网(LAN)、无线局域网(WLAN)或广域 网(WAN)连接。所述连接例如根据公知的因特网协议(IP)、用户数 据报协议(UDP)、传输控制协议(TCP)或流控制传输协议(SCTP)， 信令例如根据公知的简单对象访问协议(SOAP)、代表性状态转移 (REST)、会话发起协议(SIP)或因特网协议多媒体子系统(IMS)。 寻址可以使用公知的统一资源定位符(URL)、统一资源标识符(URI)、 可扩展标记语言(XML版本1.0，第三版，W3C推荐8，2009年12月) 的名称和命名空间。

在服务器或设备之间可以但不必直接连接。典型使用是在具有多 个中间设备的广域网上，图1中示意性地描绘为云。

所述服务器和客户端包括被适配为使用前述协议、地址和数据链 路来发送和接收消息的发送和接收装置。

本发明的目的在于允许不是社交网络的注册用户的第一用户EU 经由第二用户HU的账户来访问所述社交网络，而同时用请求者标识符 来标记所述第一用户EU对所述社交网络的所有贡献，允许在不向社交 网络揭示所述第一用户的身份的情况下，使所述第一用户的贡献与所述 第一用户相关。

所述第二服务器102经由例如应用编程接口这样的接口API来提 供对所述社交网络的访问。

所述第二服务器102被适配为使用所述第二用户HU的所述账户 来认证所述第二用户HU的第二证书。例如，所述第二服务器102被适 配为使用所述第二用户的用户名和密码作为所述第二证书来认证所述 第二用户HU。

所述第二服务器102被适配为经由所述接口API来提供所述社交 网络的功能。在该上下文中提供功能意味着例如允许读取访问进行读取 或者下载所述社交网络的内容、允许写入访问在所述社交网络上生成新 的内容，包括上载图片或者视频或音频。

如公知的应用编程接口这样的接口API以及读取功能、写入功能 或上载功能对于本领域的技术人员来说是已知的。

所述第一服务器101包括被适配为认证所述第一用户EU的第一 证书的认证装置。所述第一证书例如是被存储在所述第一服务器上的属 于所述第一用户的第一账户的第一用户名和第一密码。

所述第一服务器101的所述接收装置被适配为接收第一消息208， 包括关于所述第一用户EU的信息，具体地对访问所述接口AP I的功能 的请求。关于所述第一用户EU的所述信息是例如所述第一证书。

所述第一服务器101的所述发送装置被适配为发送第二消息212， 包括关于所述第二用户HU的信息，具体地对访问所述功能的请求。所 述第一服务器101的所述发送装置例如被适配为仅当所述第一服务器 101的所述认证装置对所述第一证书成功认证时，才发送所述第二消息 212。

关于所述第二用户HU的所述信息是例如所述第二证书。

所述第一服务器101包括被适配为确定关于所述第二用户HU的 所述信息的处理装置。

所述处理装置例如被适配为从关于所述第一用户EU的所述信息 确定关于所述第二用户HU的所述信息。替代地或此外，所述第一消息 208包括关于所述第二用户HU的信息片段，并且从所述信息片段确定 关于所述第二用户HU的所述信息。例如，所述第二用户名是所述信息 片段，并且通过将所述第二用户名映射成所述第二证书来确定所述第二 证书。为此，所述第二证书可以被存储在所述第一服务器101上，例如 数据库中。

所述第一服务器101可选地包括处理装置，被适配为确定所述第 一用户EU是否被授权请求所述功能。在该情况下，所述发送装置被适 配为仅在成功授权时才发送所述第二消息212。例如，功能到第一用户 名的映射被存储在所述第一服务器101上、所述数据库中，并且所述处 理装置被适配为从所述数据库确定允许的功能。

以下参考图2的序列图来解释用于经由所述计算机网络100从所 述第一服务器101访问所述第二服务器102的方法。

根据所述方法，当成功认证了在所述第一服务器101上注册的所 述第一用户EU的第一证书时，使用在所述第二服务器102上注册的所 述第二证书来认证所述第二用户HU以向所述第一用户EU提供对由所述 第二服务器102的所述接口API提供的功能的至少一个子集的访问。

例如，每当所述第一用户EU启动所述第一客户端102上的客户 端程序时，所述方法开始，以便访问所述社交网络。所述客户端程序可 以是具有插件的web浏览器，其允许访问社交网络。

在开始之后，从所述第一客户端103向所述第二客户端104发送 消息201，请求。所述消息201例如是对访问所述社交网络的请求，包 括所述第一用户名、用于标识所述社交网络的目标标识符和所述第一客 户端103的地址。所述目标标识符例如是因特网协议地址。

在接收到所述消息201时，所述第二客户端104向所述第一服务 器101发送消息202，请求。所述消息202例如是对于访问点创建的请 求，包括允许的功能的列表、所述第二用户的证书、所述社交网络的所 述目标标识符、所述第一客户端103的所述第一用户名和所述地址。所 述第二客户端104可以从存储装置中自动地读取所述第二用户的证书， 或者所述第二客户端104可以例如使用在所述第二客户端104上运行的 计算机程序来提示所述第二用户HU进行确认。所述计算机程序例如是 具有插件的web浏览器，自动地提示所述第二用户HU进行确认。

当接收到所述消息202时，所述第一服务器101向所述第一客户 端103发送消息203，响应。所述消息203例如是包括由所述第一服务 器101针对所述第一用户EU创建的访问点的地址的响应。所述消息203 例如包括所述第一用户EU的所述第一证书，其允许所述第一用户EU 注册或登录到所述第一服务器101上的所述第一用户EU的所述第一账 户。所述第一证书例如是统一资源标识符URI。

在接收到所述消息203时，所述第一客户端103发送消息204， 请求，例如用于激活所述访问点的请求。所述消息204是可选的。所述 消息204包括例如所述第一客户端103的所述地址和所述第一证书。所 述第一证书可以是例如所述统一资源标识符URI的一部分。在接收到用 户输入时，例如在所述第一客户端103在符号化所述统一资源标识符 URI的链接上进行鼠标点击时，可以发送所述消息204。为此，所述第 一客户端103可以被适配为在接收到所述消息203时，经由所述插件在 所述web浏览器上显示所述链接，例如所述统一资源标识符URI。

在接收到所述消息204时，所述第一服务器向所述第二客户端104 发送可选消息205，请求。所述消息205例如是对于激活确认的请求， 包括所述第一用户名。

在接收到所述消息205时，所述第二客户端104向所述第一服务 器101发送可选消息206，响应。所述消息206例如是对激活确认的响 应，包括文本“ok”。可以仅在接收到用于确认所述激活的输入时，由 所述第二客户端104发送所述消息206。为此，所述第二客户端104可 以被适配为显示包括所述第一用户名的、用于激活确认的提示，并且仅 在所述第二客户端104的用户点击在所述提示之后显示的按钮来确认 所述激活的情况下发送所述消息206。

在接收到所述消息206时，所述第一服务器101向所述第一客户 端103转发所述消息206作为可选消息207，响应。

所述消息207例如是所述激活确定文本“ok”。

对于所述第一服务器101上的所述第一用户EU的所述第一账户 的账户激活来说，需要所述消息201至207。然而，所述消息204至207 对于账户激活来说是可选的。

在所述第一用户EU已经在所述第一服务器101上具有有效账户 的情况下，所述第一客户端103被适配为省略所述步骤201至207。

在接收到所述消息207时，或者在用于所述第一用户EU的有效 账户已经存在于所述第一服务器101上的情况下，紧接在所述方法的开 始之后，所述第一客户端103向所述第一服务器101发送用于请求对功 能的访问的消息208，请求。所述消息208包括用于标识所请求的功能 的功能标识符、用于所述社交网络的标识的所述目标标识符、所述第一 用户证书、所述第一客户端103的地址和可选净荷数据。所述功能标识 符例如是文本串“读取”、“写入”、“上载”、“下载”。所述目标 标识符例如是所述第二服务器102的因特网协议地址。所述第一证书例 如是所述统一资源标识符URI。所述可选净荷数据例如是应当被发送到 所述社交网络的文本或图片或视频。

所述第一客户端103被适配为在接收到来自所述第一用户EU的 输入时，例如经由所述web浏览器插件来发送所述消息208。所述插件 例如提示所述第一用户EU通过输入所述文本串来指示所述功能标识 符，并且例如从可用社交网络的列表中标识所述社交网络，并且将所述 社交网络映射到所述目标标识符。此外，所述第一客户端103被适配为 从所述第一客户端103上的存储装置中，例如从密码-管理器应用中， 读取所述第一证书。此外，在所述第一客户端103选择了需要净荷的功 能的情况下，所述第一客户端103被适配为针对可选净荷进行提示。

这意味着，所述消息208包括关于所述第一用户EU的信息，具 体地对访问所述接口API的所述功能的所述请求。为此，所述第一客户 端103或所述web浏览器插件被适配为针对仅在由所述目标标识符所标 识的所述社交网络中可获得的功能来提示所述第一用户EU。

在接收到所述消息209时，所述第一服务器101执行对所述第一 用户的认证109。为此，所述第一服务器101使用存储在所述第一服务 器101上的所述第一账户的账户数据来认证例如所述第一证书。可选 地，所述第一服务器101可以额外地执行认证检查以确定所请求的功能 是否可用于所述第一用户EU。为此，例如，所述第一服务器101将在 所述消息208中接收到的所述功能标识符与存储在所述第一服务器101 上的允许的功能的所述列表作比较，并且仅在针对所述第一用户EU的 授权的功能的所述列表中找到所述功能标识符的情况下，授权所述第一 用户EU请求所述功能。

此外或可选地，所述第一服务器101被适配为向所述第二客户端 104发送消息210，请求。所述消息210例如是被发送到所述第二用户 HU的用于授权对所述功能的访问的请求。所述消息210包括例如所述 功能标识符、所述第一用户名和所述可选净荷。

在接收到所述消息210时，所述第二客户端104向所述第一服务 器101发送消息211，响应。所述消息211可以是授权结果，例如文本 “OK”或“不OK”。可以仅在从所述第二用户HU接收到确认时发送所 述消息211。例如，所述第二客户端104被适配为提示所述第二用户HU 授权所述第一用户EU对所述功能的所述访问请求。为此，例如，在所 述第一用户名之后显示所述功能标识符和所述可选净荷。所述第二用户 HU的所述输入可以是对所述提示之后显示的按钮的鼠标点击。

在成功认证209时，或者可选地接收到消息211中的肯定响应时， 所述第一服务器101被适配为向所述第二服务器102发送消息212，请 求。所述消息212例如是经由所述接口API对功能的访问的请求。所述 消息212例如包括功能标识符、所述第二证书、所述可选净荷和所述请 求者标识符。

所述第二证书例如从所述第一服务器101的存储装置中被读取。 所述请求者标识符例如是所述第一用户名。所述请求者标识符可以是随 机数或昵称。在使用昵称的情况下，所述第一服务器101被适配为将所 述昵称与所述第一用户EU的所述第一账户的所述账户数据一起存储。 这样，例如在合法执行的情况下，所述昵称可以与所述第一用户EU相 关。

在例如使用所述昵称的情况下，所述第一服务器101被适配为例 如在所述消息201之后的账户创建期间，在额外的消息中提示所述第一 客户端103提供所述昵称。替代地，所述消息201可能已经包括所述昵 称。

在使用所述随机数的情况下，所述随机数被存储，而不是所述昵 称。

在该情况下，所述消息212不包含允许所述第二服务器102或所 述社交网络直接标识所述第一用户EU的任何信息。然而，对于合法执 行，所述请求者标识符允许所述社交网络提供商经由所述第二证书跟踪 在所述消息212中接收到的内容或者使用所述消息212执行的动作。这 意味着，所述第二证书允许经由所述第二用户HU将由所述第一用户EU 查看或接收的所有内容与所述第一用户EU相关。

在接收到所述消息212时，所述第二服务器102执行所请求的动 作，所请求的动作例如是使用所述功能标识符、所述可选净荷和所述请 求者标识符来执行所请求的功能。通常，仅在对所述第二用户HU账户 成功认证了所述第二证书的情况下，所述第二服务器102才执行所述功 能。

在所述功能完成时，所述第二服务器102向所述第一服务器101 发送消息213，响应。所述消息213包括所述请求者标识符和净荷。例 如，所述昵称在所述消息213中，并且所述功能的结果在所述净荷中。

在接收到所述消息213时，所述第一服务器101向所述第一客户 端103发送消息214，响应。例如，所述第一服务器101根据所述请求 者标识符、经由在所述存储装置中的查找确定所述第一客户端的地址， 并且然后向所述第一客户端103发送所述消息214。所述消息214例如 包括所述净荷。在该情况下，所述第一集群地址在认证时被存储。

可选地或替代地，作为使用所述请求者标识符，例如所述昵称来 标识所述第一客户端103的地址的替代，所述第一服务器101可以使用 使响应消息213与请求消息212相关的任何其他方式。例如，可以经由 所述接口API使用的标识符来使所述响应消息213与所述请求消息212 相关。

所述请求者标识符的句法可以被定义为文本串，其中除了所述第 一用户的昵称之外还使用所述社交网络中的所述第二用户的名称。为 此，所述第一服务器101可以被适配为从所述第一用户名和所述第二用 户名来确定所述请求者标识符。这样，不仅所述社交网络的提供商，而 且能够查看内容的所有用户都能够在所述社交网络中使所述第一用户 的昵称与所述第二用户的名称相关。例如在合法执行的情况下，这可以 使得经由所述第二用户EU使所述第一用户EU与所述内容相关变得更容 易。

所述第二服务器102的所述接口API的功能可以提供要在所述消 息212中发送的不同参数或选项。而且，响应消息213可以在结构上或 者从其内容上与上述所述消息213不同。应当理解，本发明类似地适用 于由所述第二服务器102提供的任何类型的接口API。具体地，可以使 用如简单对象访问协议(SOAP)、代表性状态转换(REST)或用于访问 社交网络的功能的任何其他协议的接口。存储在计算机程序产品上的计 算机程序可以类似于该方法。

描述和附图仅仅说明了本发明的原理。因此，应当认识到，本领 域的技术人员能够设计实现本发明的原理并且被包括在其精神和范围 内的各种布置，尽管这里没有明确描述或示出该各种布置。此外，这里 记载的所有示例主要旨在明确地仅用于教导目的，以帮助读者理解本发 明的原理和发明人对促进本领域所贡献的概念，并且应当被理解为不限 于这样的具体记载的示例和条件。此外，这里的阐述本发明的原理、各 方面和实施例的所有叙述及其特定示例意在包含其等同物。

包括被标记为“处理器”的任何功能块的、附图中示出的各种元 件的功能可以通过使用专用硬件以及能够与适当的软件相关联地执行 软件的硬件来提供。当由处理器提供时，该功能可以由单个专用处理器、 由单个共享处理器或由多个独立处理器来提供，其中一些可以被共享。 此外，明确使用的术语“处理器”或“控制器”不应被解释为排他地指 能够执行软件的硬件，并且可以暗示地包括但不限于，数字信号处理器 (DSP)硬件、网络处理器、专用集成集成电路(ASIC)、现场可编程 门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储 器(RAM)和非易失性存储器。还可以包括常规和/或定制的其他硬件。 类似地，在附图中所示的任何切换仅是概念性的。其功能可以通过程序 逻辑、通过专用逻辑、通过程序控制和专用逻辑的交互的操作或者甚至 手动地来执行，具体技术可由实施方选择，如从上下文更具体地理解的 那样。

本领域技术人员应当认识到，这里的任何框图表示实现本发明的 原理的说明性电路的原理图。类似地，应当理解，任何流程图表、流程 图、状态转移图、伪代码等都表示可以在计算机可读介质中具体表示并 且由计算机或处理器执行的各种过程，不论这样的计算机或处理器是否 被明确示出。

本领域技术人员将容易地认识到，各种上述方法的步骤可以通过 编程的计算机来执行。这里，一些实施例还旨在涵盖程序存储设备，例 如，数字数据存储介质，它是机器或计算机可读的，并且编码机器可执 行或计算机可执行的指令程序，其中，所述指令执行上述方法的一些或 全部步骤。程序存储设备可以是，例如，数字存储器、磁存储介质，诸 如磁盘和磁带、硬盘驱动或光学可读数字数据存储介质。本实施例还意 在涵盖被编程为执行上述方法的所述步骤的计算机。