标准解读

《GB/T 47475-2026 网络安全技术 开放的第三方资源授权协议》是一项国家标准,旨在为开放平台与第三方应用之间的资源共享提供一套安全、统一的技术规范。该标准详细规定了如何通过安全的方式实现资源访问权限的授予和管理,确保在开放环境中用户数据的安全性和隐私保护。

标准中明确了开放平台应具备的基本功能,包括但不限于身份验证、权限控制以及审计追踪等。对于第三方应用来说,则需要遵循一定的注册流程,并且在获得授权后才能访问指定资源。此外,还强调了在整个过程中使用加密技术来保护通信安全的重要性,防止信息泄露或被篡改。

针对不同的应用场景,《GB/T 47475-2026》提供了多种授权模式的选择,如基于令牌(Token)的认证机制等,以满足不同业务需求下的灵活性要求。同时,它也对撤销授权的操作进行了说明,保证当不再需要或者发现异常情况时能够及时终止相关权限。

此外,本标准还特别关注到了用户体验方面的问题,在设计上力求简化操作流程,减少用户负担,同时也兼顾到了安全性与便捷性之间的平衡。通过制定这套规则,旨在促进各行业间更加高效、安全地共享资源和服务,推动数字经济健康发展。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 即将实施
  • 暂未开始实施
  • 2026-04-30 颁布
  • 2026-11-01 实施
©正版授权
GB/T 47475-2026网络安全技术开放的第三方资源授权协议_第1页
GB/T 47475-2026网络安全技术开放的第三方资源授权协议_第2页
GB/T 47475-2026网络安全技术开放的第三方资源授权协议_第3页
GB/T 47475-2026网络安全技术开放的第三方资源授权协议_第4页
GB/T 47475-2026网络安全技术开放的第三方资源授权协议_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

GB/T 47475-2026网络安全技术开放的第三方资源授权协议-免费下载试读页

文档简介

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T47475—2026

网络安全技术

开放的第三方资源授权协议

Cybersecuritytechnology—Openresourceauthorizationprotocolforthirdparty

2026-04-30发布2026-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T47475—2026

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

通则

5………………………3

协议角色

5.1……………3

协议基本流程

5.2………………………3

协议端点类型

5.3………………………4

客户端类型和要求

6………………………5

类型

6.1…………………5

标识符

6.2………………5

注册

6.3…………………6

身份鉴别

6.4……………6

授权流程

7…………………7

授权许可类型

7.1………………………7

授权码许可

7.2…………………………7

客户端身份凭据许可

7.3………………11

设备授权许可

7.4………………………12

令牌发放与刷新

8…………………………14

令牌类型

8.1……………14

访问令牌发放

8.2………………………15

访问令牌刷新

8.3………………………16

受保护资源访问

9…………………………18

受保护资源访问

9.1……………………18

成功响应

9.2……………18

出错响应

9.3……………18

附录资料性协议参数说明

A()…………19

参数说明

A.1…………………………19

错误码说明

A.2………………………20

附录规范性协议安全要求

B()…………21

协议通道安全要求

B.1…………………21

GB/T47475—2026

重定向端点安全要求

B.2………………21

客户端身份鉴别安全要求

B.3…………21

授权码流程中的安全要求

B.4…………22

客户端身份凭据许可流程中的安全要求

B.5…………22

设备授权许可机制中的安全要求

B.6…………………22

访问令牌安全要求

B.7…………………22

刷新令牌安全要求

B.8…………………23

参考文献

……………………24

GB/T47475—2026

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国科学院信息工程研究所北京数字认证股份有限公司国民认证科技重庆

:、、()

有限公司大唐高鸿信安浙江信息科技有限公司中国科学院软件研究所中国信息通信研究院湖北

、()、、、

省数字证书认证管理中心有限公司北京银联金卡科技有限公司北京快手科技有限公司联通在线信

、、、

息科技有限公司中电信量子信息科技集团有限公司长扬科技北京股份有限公司高颂数科厦门

、、()、()

智能技术有限公司浙江大华技术股份有限公司中金金融认证中心有限公司奇安信网神技术北京

、、、()

股份有限公司

本文件主要起草人高能李敏张靖炜刘丽敏刘海洁查达仁彭佳屠晨阳杨昫夏琦清

:、、、、、、、、、、

李业旺曾亮张亚男李俊张立武穆琙博柴瑶琳陈诚陈跃刘冠廷程福兴刘勇赵华范中益

、、、、、、、、、、、、、、

李超刘红日安锦程

、、。

GB/T47475—2026

引言

本文件规定的协议实现了资源所有者在不共享凭据如用户名和口令的情况下将资源所有者在

(),

资源服务器的资源以安全可控的方式开放给外部接入的客户端使用实现资源访问能力的开放与可

,、,

控共享

本文件参考国际互联网工程任务组简称的

(TheInternetEngineeringTaskForce,IETF)RFC

等主流授权协议和最佳实践并结合我国相关密码算法和产业现状进行制定本文件

6749、OAuth2.1,。

与国际协议是兼容扩展关系按我国相关密码政策和法规结合我国实际应用需求及产品生产

OAuth,,

厂商的实践经验本文件在客户端身份鉴别部分增加了基于的数字证书鉴别方法通信安全优先

,SM2。

采用规定的因国际互通场景或因系统兼容导致不能使用时可使用

GB/T38636TLCP,TLCP,

协议并优先选用国密算法套件的连接对访问令牌的保护增加了采用等

TLS,TLS。SM2、SM3、SM4

算法对其进行签名和加密的规定

GB/T47475—2026

网络安全技术

开放的第三方资源授权协议

1范围

本文件确立了开放的第三方资源授权协议的通则规定了客户端类型和要求以及不同类型的授权

,,

流程令牌发放与刷新受保护资源访问的协议要求

、、。

本文件适用于跨安全域应用场景下基于通信机制的资源授权服务的设计与开发

,HTTP。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

信息安全技术密码杂凑算法

GB/T32905SM3

信息安全技术分组密码算法

GB/T32907SM4

信息安全技术椭圆曲线公钥密码算法第部分数字签名算法

GB/T32918.2SM22:

信息安全技术椭圆曲线公钥密码算法第部分公钥加密算法

GB/T32918.4SM24:

信息安全技术传输层密码协议

GB/T38636

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论