一种资源授权方法、装置、电子设备和可读存储介质与流程

1.本技术涉及物联网领域，并且更具体地，涉及一种资源授权方法、装置、电子设备和可读存储介质。


背景技术：

2.对于资源分享授权的管理，现有方案一般纳入访问控制系统中进行管理，目前常见的访问控制方案为rbac(role-based access control，基于角色的访问控制)，首先定义角色的权限范围(对哪些资源有怎样的操作权限)，再将角色赋予用户，根据用户所扮演的角色判断是否具有对资源的访问权限。基于这方案，资源管理者赋予被分享者拥有资源管理权限的角色，即可将资源成功分享出去。基于rbac的访问控制仅界定了资源分享的权限控制，但是被分享资源的原始密钥可能会泄漏。


技术实现要素：

3.本技术实施例提供一种资源授权方法、装置、电子设备和可读存储介质，以解决被分享资源原始密钥泄露的问题。
4.第一方面，本技术实施例提供了一种资源授权方法，应用于第一终端设备，包括：
5.向服务器发送鉴权请求，所述鉴权请求包括根据第一密钥生成的第一令牌或根据被分享资源的第一原始密钥生成的第二令牌，所述第一密钥为根据所述第一原始密钥和被分享者的标识生成的密钥；
6.接收所述服务器响应于所述鉴权请求发送的第一鉴权结果，其中，所述第一鉴权结果为所述服务器基于所述第一令牌或所述第二令牌进行鉴权得到的鉴权结果，所述第一鉴权结果包括鉴权通过或鉴权不通过，所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者。
7.第二方面，本技术实施例还提供一种资源授权方法，应用于服务器，包括：
8.接收第一终端设备发送的鉴权请求，所述鉴权请求包括所述第一终端设备根据第一密钥生成的第一令牌或根据被分享资源的第一原始密钥生成的第二令牌，所述第一密钥为所述第一终端设备根据所述第一原始密钥和被分享者的标识生成的密钥；
9.响应于所述鉴权请求，基于所述第一令牌或所述第二令牌进行鉴权得到第一鉴权结果，其中，所述第一鉴权结果包括鉴权通过或鉴权不通过，在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者；
10.向所述第一终端设备发送所述第一鉴权结果。
11.第三方面，本技术实施例还提供一种第一终端设备，包括：
12.发送模块，用于向服务器发送鉴权请求，所述鉴权请求包括根据第一密钥生成的第一令牌或根据被分享资源的第一原始密钥生成的第二令牌，所述第一密钥为根据所述第一原始密钥和被分享者的标识生成的密钥；
13.第一接收模块，用于接收所述服务器响应于所述鉴权请求发送的第一鉴权结果，
其中，所述第一鉴权结果为所述服务器基于所述第一令牌或所述第二令牌进行鉴权得到的鉴权结果，所述第一鉴权结果包括鉴权通过或鉴权不通过，所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者。
14.第四方面，本身实施例还提供一种服务器，包括：
15.接收模块，用于接收第一终端设备发送的鉴权请求，所述鉴权请求包括所述第一终端设备根据第一密钥生成的第一令牌或根据被分享资源的第一原始密钥生成的第二令牌，所述第一密钥为所述第一终端设备根据所述第一原始密钥和被分享者的标识生成的密钥；
16.响应模块，用于响应于所述鉴权请求，基于所述第一令牌或所述第二令牌进行鉴权得到第一鉴权结果，其中，所述第一鉴权结果包括鉴权通过或鉴权不通过，在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者；
17.发送模块，用于向所述第一终端设备发送所述第一鉴权结果。
18.第五方面，本技术实施例还提供一种第一终端设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序或者指令，所述程序或者指令被所述处理器执行时实现本技术实施例第一方面公开的所述资源授权方法中的步骤。
19.第六方面，本技术实施例还提供一种服务器备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序或者指令，所述程序或者指令被所述处理器执行时实现本技术实施例第二方面公开的所述资源授权方法中的步骤。
20.第七方面，本技术实施例提供了一种可读存储介质，所述可读存储介质上存储有程序或指令，所述程序或指令被处理器执行时实现本技术实施例第一方面公开的所述资源授权方法中的步骤。
21.第八方面，本技术实施例提供了一种可读存储介质，所述可读存储介质上存储有程序或指令，所述程序或指令被处理器执行时实现本技术实施例第二方面公开的所述资源授权方法中的步骤。
22.这样，本实施例中，通过第一终端设备生成的第一密钥，被分享者使用第一密钥进行鉴权，可以不暴露被分享资源的原始密钥，且所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者，从而，资源授权过程中被分享者无法获取被分享资源的原始密钥，可以实现避免资源原始密钥泄露的技术效果。
附图说明
23.为了更清楚地说明本技术实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1是本技术实施例提供的一种资源授权方法的流程示意图；
25.图2是本技术实施例提供的另一种资源授权方法的流程示意图；
26.图3是本技术实施例提供的另一种资源授权方法的流程示意图；
27.图4是本技术实施例提供的一种安全鉴权的流程示意图；
28.图5是本技术实施例提供的另一种第一终端设备的结构示意图；
29.图6是本技术实施例提供的另一种第一终端设备的结构示意图；
30.图7是本技术实施例提供的另一种服务器的结构示意图；
31.图8是本技术实施例提供的另一种第一终端设备的结构示意图；
32.图9是本技术实施例提供的另一种服务器的结构示意图。
具体实施方式
33.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
34.请参阅图1，图1是本技术实施例提供的一种资源授权方法，应用于第一终端设备，如图1所示，包括以下步骤：
35.步骤101、向服务器发送鉴权请求，所述鉴权请求包括根据第一密钥生成的第一令牌或根据被分享资源的第一原始密钥生成的第二令牌，所述第一密钥为根据所述第一原始密钥和被分享者的标识生成的密钥。
36.其中，上述被分享资源可以是任意物联网设备和产品，例如：扫地机器人、智能手表、智能排插、智能空调、智能穿戴设备等。
37.其中，上述被分享资源和被分享者可以预先选定，例如：可以预先选定被分享资源1分享给被分享者a，选定被分享资源2分享给被分享者b。
38.其中，上述第一密钥可以根据被分享者的不同而不同，上述第一密钥根据被分享资源的第一原始密钥和被分享者的标识生成，被分享资源的原始密钥是唯一的，但被分享者无法查看被分享资源的第一原始密钥，而是根据重新生成的第一密钥进行操作，取消被分享者获取的被分享资源授权后，被分享者就无法根据生成的第一密钥继续进行操作。例如：同一被分享资源被分享给两个被分享者时，两个被分享者可以查看到的资源密钥是原始密钥生成的两个不同密钥，两个不同密钥均由同一原始密钥生成，可以保证任一被分享者都无法获取到资源原始密钥进行操作。并且，更换被分享者时仅需使用更换后的被分享者的标识在内存中重新生成被分享资源的密钥，分享该密钥给新的被分享者，从而避免密钥的大批量更新，提高授权变更的效率。
39.步骤102、接收所述服务器响应于所述鉴权请求发送的第一鉴权结果，其中，所述第一鉴权结果为所述服务器基于所述第一令牌或所述第二令牌进行鉴权得到的鉴权结果，所述第一鉴权结果包括鉴权通过或鉴权不通过，所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者。
40.其中，上述分享者可以是被分享资源的资源所有者，例如：资源所有者享有资源1和资源2，资源所有者可以将资源1分享给被分享者a，那么上述资源所有者就是被分享资源1的分享者。
41.其中，被分享者通过上述第一密钥可以查看到被分享资源的相关信息，例如：产品
或者设备的名称信息、规格信息、功能信息、类型信息等，也可以通过上述第一密钥以进行相关操作。
42.本实施例中，通过第一终端设备生成的第一密钥，被分享者使用第一密钥进行鉴权，可以不暴露被分享资源的原始密钥，且所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者，资源授权过程中被分享者无法获取被分享资源的原始密钥，可以实现避免资源原始密钥泄露的技术效果。
43.可选的，所述鉴权请求包括所述第一令牌；步骤101之前，所述方法还可以包括以下步骤：
44.步骤103、接收第二终端设备分享的所述第一密钥，所述第一密钥为所述第二终端设备接收分享者选定的所述被分享资源和所述被分享者的标识，根据所述被分享资源的第一原始密钥和所述被分享者的标识生成的密钥。
45.其中，上述第二终端设备可以是被分享者终端设备，上述第一终端设备可以是分享者终端设备，例如：被分享者终端设备可以接收分享者终端设备分享的所述第一密钥。
46.其中，上述第一密钥可以隐藏被分享资源的原始密钥，例如：上述第一原始密钥通过hmac(hash-based message authentication code，哈希消息认证码)：base64(hmac_sha256(secretkey,uid))生成第一密钥，其中，secretkey表示第一原始密钥，uid表示被分享者的标识，base64表示基于64个可打印字符来表示二进制数据，被分享者只能获取上述第一密钥，无法获取资源原始密钥。
47.步骤104、基于所述第一密钥生成所述第一令牌。
48.其中，上述第一令牌可以在上述第一终端设备内存中生成，例如：上述第一终端设备接收上述第二终端设备分享的第一密钥后，在内存中使用令牌生成算法得到第一令牌。
49.其中，上述第一令牌可以包括多种字段，例如：res(resource，资源)字段、et(expiration time，过期时间)字段、version(版本号)字段、method(signature method，签名算法)字段、sign(signature，签名)字段等。sign字段可以通过上述第一密钥生成，生成算法可以是base64(hmac_《method》(accesskey,utf-8(msg)))，其中，msg为et+'\n'+method+'\n'+res+'\n'+version拼接而成的字符。第一令牌可以由上述多种字段以key＝value的形式，并以&分隔拼接而成，例如：
50.version＝1&res＝uid/*/pid/*&et＝1537255523&method＝md5&sign＝z***a＝。
51.该实施方式中，通过接收第二终端设备分享的所述第一密钥，基于所述第一密钥生成所述第一令牌，可以避免资源原始密钥泄露，并且通过在内存中生成第一令牌，减轻对数据库的压力。
52.可选的，所述第一令牌包括所述被分享者的标识；
53.所述第一鉴权结果为所述服务器获取目标资源的标识对应的目标资源的第二原始密钥；根据所述被分享者的标识和所述第二原始密钥生成第二密钥；根据所述第二密钥生成第三令牌；基于所述第三令牌与所述第一令牌的比对，得到的鉴权结果；
54.所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者。
55.其中，上述目标资源可以是被分享资源，上述服务器可以获取目标资源的标识对
应的目标资源的第二原始密钥。
56.该实施方式中，根据上述第一令牌中被分享者的标识和目标资源的标识对应的目标资源的第二原始密钥生成第二密钥，根据所述第二密钥生成第三令牌，基于所述第三令牌与所述第一令牌的比对得到鉴权结果，在被分享者发起鉴权请求的情况下，可以快速得到鉴权结果。
57.可选的，步骤101中，所述第二令牌包括所述分享者的标识，所述鉴权请求包括所述第二令牌；
58.所述第一鉴权结果为所述服务器获取目标资源的标识对应的目标资源的第二原始密钥；根据所述分享者的标识和所述第二原始密钥生成第四令牌；基于所述第四令牌与所述第二令牌的比对，得到的鉴权结果；
59.所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享资源的分享者。
60.该实施方式中，上述根据上述第一令牌中被分享者的标识和目标资源的标识对应的目标资源的第二原始密钥生成第二密钥，基于所述第三令牌与所述第一令牌的比对得到鉴权结果，在分享者发起鉴权请求的情况下，直接使用被分享资源的原始密钥生成令牌，可以快速得到鉴权结果。
61.可选的，所述第一令牌和所述第二令牌包括资源字段，所述资源字段包括目标资源的标识，其中：
62.向服务器发送北向鉴权请求的情况下，所述目标资源的标识包括产品标识；
63.向服务器发起南向鉴权请求的情况下，所述目标资源的标识包括产品标识和设备标识。
64.其中，上述第一令牌的资源字段可以不同，例如：北向鉴权时资源字段形如uid/${uid}/pid/${pid}，南向鉴权时资源字段形如uid/${uid}/pid/${pid}/did/${did}，其中，uid表示请求资源权限的用户身份标识，pid表示产品身份标识，did表示设备身份标识。
65.其中，上述北向鉴权可以使用产品密钥生成令牌，上述南向鉴权可以使用设备密钥生成令牌，例如：通过北向接口进行api(application programming interface，应用程序接口)访问鉴权时，需使用产品级密钥，通过南向接口进行设备连接鉴权时，需使用设备级密钥。
66.该实施方式中，通过第一令牌携带的资源字段不同，对物联网进行分级授权，实现了对产品和设备的授权，可以扩大资源授权方法的适用范围。
67.可选的，所述第一令牌和所述第二令牌包括过期时间字段，所述过期时间字段通过时间戳标识所述第一令牌或所述第二令牌的过期时间。
68.其中，上述过期时间可以由分享者设置，例如：若将过期时间设置为北京时间2020年1月1日15点00分00秒，当被分享者在北京时间2020年1月2日15点00分00秒访问被分享资源时，由于过期时间小于当前时间，被分享者被拒绝访问该资源。
69.该实施方式中，在对资源进行授权时在第一令牌中添加过期时间，资源授权到过期时间可以自动失效，实现对资源授权有效时间的控制。
70.另外，上述第一令牌根据第一密钥生成，第一密钥根据被分享资源的原始密钥和被分享者的标识生成，被分享者获取每个被分享资源的密钥均不相同，鉴权时生成的令牌
也不相同，可以实现资源的细粒度授权。
71.请参阅图2，图2是本技术实施例提供的另一种资源授权方法，应用于服务器，如图2所示，包括以下步骤：
72.步骤201、接收第一终端设备发送的鉴权请求，所述鉴权请求包括所述第一终端设备根据第一密钥生成的第一令牌或根据被分享资源的第一原始密钥生成的第二令牌，所述第一密钥为所述第一终端设备根据所述第一原始密钥和被分享者的标识生成的密钥。
73.其中，上述第一终端设备可以是分享者终端设备，也可以是被分享者终端设备，例如：分享者终端设备可以发送根据被分享资源的第一原始密钥生成的第二令牌，被分享者终端设备可以发送根据第一密钥生成的第一令牌。
74.步骤202、响应于所述鉴权请求，基于所述第一令牌或所述第二令牌进行鉴权得到第一鉴权结果，其中，所述第一鉴权结果包括鉴权通过或鉴权不通过，在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者。
75.步骤203、向所述第一终端设备发送所述第一鉴权结果。
76.本实施例中，服务器对分享者和被分享者对被授权资源的权限都进行鉴权，且对根据同种方式生成鉴权令牌，可以提高鉴权的准确性，实现资源的安全授权。
77.可选的，所述鉴权请求包括所述第一令牌和目标资源的标识，所述第一令牌包括所述被分享者的标识；
78.所述响应于所述鉴权请求，基于所述第一令牌进行鉴权得到第一鉴权结果，包括：
79.获取所述目标资源的标识对应的目标资源的第二原始密钥；
80.根据所述被分享者的标识和所述第二原始密钥生成第三令牌；
81.基于所述第三令牌与所述第一令牌的比对，得到所述第一鉴权结果。
82.其中，上述第二原始密钥可以是产品或者设备的原始密钥，例如：每个产品和设备都对应唯一的原始密钥，鉴权请求资源为产品时，上述第二原始密钥是产品原始密钥，鉴权请求资源为设备时，上述第二原始密钥是设备原始密钥。通过上述不同资源的原始密钥生成的令牌进行鉴权，可以使用不同密钥生成的令牌对每个资源授权请求鉴权，实现资源的细粒度授权。
83.其中，上述被分享者的标识可以根据第一令牌的资源字段获取，例如：不论鉴权请求是北向鉴权请求，还是南向鉴权请求，上述第一令牌的资源字段中均包含请求被分享者的标识。
84.该实施方式中，基于所述第三令牌与所述第一令牌的比对，得到所述第一鉴权结果，可以实现资源的细粒度授权。
85.可选的，所述鉴权请求包括所述第二令牌和目标资源的标识，所述第二令牌包括所述分享者的标识；
86.所述响应于所述鉴权请求，基于所述第二令牌进行鉴权得到第一鉴权结果，包括：
87.获取所述和目标资源的标识对应的目标资源的第二原始密钥；
88.根据所述分享者的标识和所述第二原始密钥生成第四令牌；
89.基于所述第四令牌与所述第二令牌的比对，得到所述第一鉴权结果。
90.本实施例中，上述生成第一令牌和第二令牌的第二算法可以在内存中生成被授权
资源密钥，可以避免海量物联网设备在被授权给其他用户的情况下由于密钥的重新生成对数据库产生的巨大压力。
91.请参阅图3，图3是本技术实施例提供的另一种资源授权方法，如图3所示，包括以下步骤：
92.步骤301、资源分享：
93.资源所有者选定要分享的资源(产品、设备)及被分享者；
94.根据选取的资源及被分享者生成相应策略写入数据库；
95.向被分享者发起资源分享邀请；
96.被分享者接受邀请；
97.被分享者可以查看产品、设备的相关信息。
98.其中，上述资源所有者可以是分享者，上述生成的相应策略可以包括选取的资源和被分享者对应关系，例如：可以选定被分享资源1分享给被分享者a时，上述分享策略将被分享资源1的原始密钥、被分享者a的用户身份标识等信息关联起来，储存在数据库中。
99.另外，资源所有者可以随时取消对被分享者的资源分享授权，为避免产品、设备密钥等敏感信息泄露，上述资源分享邀请被取消后，被分享者就无法对该被分享资源进行非法操作。并且，被分享者查看到的产品、设备密钥不为原密钥，而是通过以下方式生成：base64(hmac_sha256(secretkey,uid))，其中secretkey为原密钥，作为hmac方法的key，uid为被分享者标识，作为hmac方法的message。
100.步骤302、token生成：在完成步骤301的资源分享后，通过密钥生成token。
101.其中，上述token表示根据上述被分享者查看到的密钥生成的令牌。每个产品和设备拥有唯一的密钥，产品密钥用于北向接口鉴权使用，设备密钥用于南向接入鉴权使用，发起鉴权请求时不直接传输密钥，而是通过密钥生成token进行鉴权，token生成方式如下：
102.token主要包括res、et、version、method和sign字段：
103.res：北向鉴权时res字段形如uid/${uid}/pid/${pid}，南向鉴权时res字段形如uid/${uid}/pid/${pid}/did/${did}，uid为目标资源的标识，pid为产品标识，did为设备标识；
104.et：指定token的过期时间，以unix时间戳标识；
105.version：版本号；
106.method：签名算法，支持md5、sha1、sha256；
107.sign：通过密钥生成的签名，生成算法为：base64(hmac_《method》(accesskey,utf-8(msg)))，msg为et+'\n'+method+'\n'+res+'\n'+version拼接而成的字符串；
108.token由以上字段以key＝value的形式，并以&分隔拼接而成，例如：
109.version＝1&res＝uid/*/pid/*&et＝1537255523&method＝md5&sign＝z***a＝。
110.步骤303、安全鉴权。
111.如图4所示，具体可以包括以下步骤：
112.步骤3031、通过传入步骤302生成的token发起鉴权请求。
113.步骤3032、判断目标资源层级，若目标资源层级为产品级，则跳到步骤3033，若请求的资源层级为设备级，则跳到步骤3034。
114.其中，上述目标资源的层级可以通过步骤302传入的令牌获得。
115.步骤3033、从数据库中获取目标资源对应的产品密钥，命名为密钥a1，跳到步骤3035。
116.步骤3034、从数据库中获取资源对应的产品设备密钥，命名为密钥a2，跳到步骤3035。
117.步骤3035、解析token的res字段，获取uid参数，并查询资源所有者的用户标识，判断uid参数与资源所有者的标识是否相同，若二者相同，即为资源所有者自身发起鉴权请求，跳到步骤3036，若不同，则为被分享者发起鉴权请求，跳到步骤3037。
118.步骤3036、使用密钥a1或者a2，通过token生成算法计算token，并与传入的token进行比较，若成功匹配则鉴权通过，反之鉴权失败。
119.步骤3037、使用密钥a1或者a2，通过base64(hmac_sha256(secretkey,uid))方式生成密钥b并使用密钥b通过token生成算法计算token。
120.步骤3038、将校验生成的token与传入的token进行比较，若成功匹配则鉴权通过，反之鉴权失败。
121.本实施例中，通过以上三个步骤保证了资源拥有者不暴露自身密钥的前提下，被分享者可以使用相应的分享密钥进行南北向开发，在资源拥有者取消分享后，被分享者使用分享的密钥无法鉴权通过。此外，被分享者的密钥由原始密钥生成，在分享过程中无需生成相应密钥在持久化数据库中保存，节约了存储资源，避免了对数据库的冲击，因此能够支撑物联网可能存在的百万乃至千万量级资源授权场景。
122.请参阅图5，图5是本技术实施例提供的一种第一终端设备，如图5所示，第一终端设备500包括：
123.发送模块501，用于向服务器发送鉴权请求，所述鉴权请求包括根据第一密钥生成的第一令牌或根据被分享资源的第一原始密钥生成的第二令牌，所述第一密钥为根据所述第一原始密钥和被分享者的标识生成的密钥；
124.第一接收模块502，用于接收所述服务器响应于所述鉴权请求发送的第一鉴权结果，其中，所述第一鉴权结果为所述服务器基于所述第一令牌或所述第二令牌进行鉴权得到的鉴权结果，所述第一鉴权结果包括鉴权通过或鉴权不通过，所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者。
125.可选的，如图6所示，所述鉴权请求具体包括所述第一令牌；
126.所述第一终端设备500还包括：
127.第二接收模块503，用于接收第二终端设备分享的所述第一密钥，所述第一密钥为所述第二终端设备接收分享者选定的所述被分享资源和所述被分享者的标识，根据所述被分享资源的第一原始密钥和所述被分享者的标识生成的密钥。
128.生成模块504，用于基于所述第一密钥生成所述第一令牌。
129.可选的，所述第一令牌包括所述被分享者的标识；
130.所述第一鉴权结果为所述服务器获取目标资源的标识对应的目标资源的第二原始密钥；根据所述被分享者的标识和所述第二原始密钥生成第三令牌；基于所述第三令牌与所述第一令牌的比对，得到的鉴权结果；
131.所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给
所述被分享者。
132.可选的，所述第二令牌包括所述分享者的标识，所述鉴权请求包括所述第二令牌；
133.所述第一鉴权结果为所述服务器获取目标资源的标识对应的目标资源的第二原始密钥；根据所述分享者的标识和所述第二原始密钥生成第四令牌；基于所述第四令牌与所述第二令牌的比对，得到的鉴权结果；
134.所述服务器在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享资源的分享者。
135.可选的，所述第一令牌和所述第二令牌包括资源字段，所述资源字段包括目标资源的标识，其中：
136.向服务器发送北向鉴权请求的情况下，所述目标资源的标识包括产品标识；
137.向服务器发起南向鉴权请求的情况下，所述目标资源的标识包括产品标识和设备标识。
138.可选的，所述第一令牌和所述第二令牌包括过期时间字段，所述过期时间字段通过时间戳标识所述第一令牌或所述第二令牌的过期时间。
139.装置500能够实现图1的方法实施例中装置实现的各个过程，为避免重复，这里不再赘述。装置500可以达到避免资源授权时原始密钥泄露的技术效果。
140.请参阅图7，图7是本技术实施例提供的一种服务器，如图7所示，服务器700包括：
141.接收模块701，用于接收第一终端设备发送的鉴权请求，所述鉴权请求包括所述第一终端设备根据第一密钥生成的第一令牌或根据被分享资源的第一原始密钥生成的第二令牌，所述第一密钥为所述第一终端设备根据所述第一原始密钥和被分享者的标识生成的密钥；
142.响应模块702，用于响应于所述鉴权请求，基于所述第一令牌或所述第二令牌进行鉴权得到第一鉴权结果，其中，所述第一鉴权结果包括鉴权通过或鉴权不通过，在所述第一鉴权结果为鉴权通过的情况下，将所述被分享资源授权给所述被分享者或所述被分享资源的分享者；
143.发送模块703，用于向所述第一终端设备发送所述第一鉴权结果。
144.可选的，所述鉴权请求包括所述第一令牌和目标资源的标识，所述第一令牌包括所述被分享者的标识；
145.所述响应模块702，可以具体用于：
146.获取所述目标资源的标识对应的目标资源的第二原始密钥；
147.根据所述被分享者的标识和所述第二原始密钥生成第三令牌；
148.基于所述第三令牌与所述第一令牌的比对，得到所述第一鉴权结果。
149.可选的，所述鉴权请求包括所述第二令牌和目标资源的标识，所述第二令牌包括所述分享者的标识；
150.所述响应模块702，可以具体用于：
151.获取所述和目标资源的标识对应的目标资源的第二原始密钥；
152.根据所述分享者的标识和所述第二原始密钥生成第四令牌；
153.基于所述第四令牌与所述第二令牌的比对，得到所述第一鉴权结果。
154.装置700能够实现图2的方法实施例中装置实现的各个过程，为避免重复，这里不
再赘述。装置700可以达到避免资源授权时原始密钥泄露的技术效果。
155.请参阅图8，本技术实施例还提供一种第一终端设备，该第一终端设备800包括处理器801，存储器802，存储在存储器802上并可在处理器801上运行的程序或指令，该程序或指令被处理器601执行时实现上述资源授权方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
156.请参阅图9，本技术实施例还提供一种服务器，该服务器900包括处理器901，存储器902，存储在存储器902上并可在处理器901上运行的程序或指令，该程序或指令被处理器901执行时实现上述资源授权方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
157.本技术实施例还提供一种可读存储介质，可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述应用于第一终端设备的资源授权方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
158.本技术实施例还提供一种可读存储介质，可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述应用于服务器的资源授权方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
159.其中，处理器为上述实施例中的电子设备中的处理器。可读存储介质，包括计算机可读存储介质，如计算机只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等。
160.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本技术实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。
161.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例的方法。
162.上面结合附图对本技术的实施例进行了描述，但是本技术并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本技术的启示下，在不脱离本技术宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本技术的保护之内。