使用签署密钥轮换的安全令牌到期的制作方法

技术特征：
1.一种方法(400)，包括：在数据处理硬件(144)处获得用于被配置成签署认证令牌(210)的至少一个有效密码密钥(220)的有效密钥标识id(230)的列表；在所述数据处理硬件(144)处从客户端(10)接收认证令牌(210)，所述认证令牌(210)认证并授权所述客户端(10)访问与所述数据处理硬件(144)相关联的资源并且包括被用于签署所述认证令牌(210)的密码密钥(220)的id；由所述数据处理硬件(144)基于用于所述至少一个有效的密码密钥(220)的有效密钥id(230)的列表确定被用于签署所述认证令牌(210)的所述密码密钥(220)是否有效；以及当被用于签署所述认证令牌(210)的所述密码密钥(220)有效时，通过所述数据处理硬件(144)允许所述客户端(10)访问所述资源。2.根据权利要求1所述的方法(400)，其中，获得用于所述至少一个有效密码密钥(220)的所述有效密钥id(230)的列表包括：接收用于至少一个潜在有效的密码密钥(220)的密钥id(230)的列表，用于所述至少一个潜在有效的密码密钥(220)的所述密钥id(230)的列表中的每个密钥id(230)与相应到期时间(232)相关联；以及对于用于所述至少一个潜在有效的密码密钥(220)的所述密钥id(230)的列表中的每个密钥id(230)：确定与所述相应密钥id(230)相关联的所述到期时间(232)是否已经到期；以及当与所述相应密钥id(230)相关联的所述到期时间(232)尚未到期时，确定所述相应密钥id(230)有效。3.根据权利要求1或2所述的方法(400)，其中，获得用于所述至少一个有效密码密钥(220)的所述有效密钥id(230)的列表包括从所述密码密钥(220)的发行器接收更新。4.根据权利要求3所述的方法(400)，其中，所述更新包括远程过程调用(rpc)。5.根据权利要求3或4所述的方法(400)，其中，所述更新包括发布-订阅协议。6.根据权利要求1至5中的任一项所述的方法(400)，其中，每个密钥id(230)包括整数的编码。7.根据权利要求6所述的方法(400)，其中，每个整数包括一个字节的大小。8.根据权利要求1至7中的任一项所述的方法(400)，进一步包括：在所述数据处理硬件(144)处接收用于至少一个被无效的密码密钥(220)的无效密钥id(230)的列表；以及对于用于所述至少一个被无效的密码密钥(220)的所述无效密钥id(230)的列表中的每个无效密钥id(230)，由所述数据处理硬件(144)从用于所述至少一个有效密码密钥(220)的所述有效密钥id(230)的列表移除对应的有效密钥id(230)。9.根据权利要求1至8中的任一项所述的方法(400)，进一步包括，在所述数据处理硬件(144)处获得用于至少一个有效密码密钥(220)的有效密钥id(230)的更新列表，所述有效密钥id(230)的更新列表中的每个密钥id(230)与所述有效密钥id(230)的列表中的每个密钥id(230)不同。10.根据权利要求1至9中的任一项所述的方法(400)，其中，所述认证令牌(210)不包括时间戳。
11.一种系统(100)，包括：数据处理硬件(144)；以及存储器硬件(146)，所述存储器硬件(146)与所述数据处理硬件(144)通信，所述存储器硬件(146)存储指令，所述指令当在所述数据处理硬件(144)上被执行时使所述数据处理硬件(144)施行包括以下的操作：获得用于被配置成签署认证令牌(210)的至少一个有效密码密钥(220)的有效密钥标识id的列表；从客户端(10)接收认证令牌(210)，所述认证令牌(210)认证并授权所述客户端(10)访问与所述数据处理硬件(144)相关联的资源并且包括被用于签署所述认证令牌(210)的密码密钥(220)的id；基于用于所述至少一个有效的密码密钥(220)的有效密钥id(230)的列表确定被用于签署所述认证令牌(210)的所述密码密钥(220)是否有效；以及当被用于签署所述认证令牌(210)的所述密码密钥(220)有效时，允许所述客户端(10)访问所述资源。12.根据权利要求11所述的系统(100)，其中，获得用于所述至少一个有效密码密钥(220)的所述有效密钥id(230)的列表包括：接收用于至少一个潜在有效的密码密钥(220)的密钥id(230)的列表，用于所述至少一个潜在有效的密码密钥(220)的所述密钥id(230)的列表中的每个密钥id(230)与相应到期时间(232)相关联；以及对于用于所述至少一个潜在有效的密码密钥(220)的所述密钥id(230)的列表中的每个密钥id(230)：确定与所述相应密钥id(230)相关联的所述到期时间(232)是否已经到期；以及当与所述相应密钥id(230)相关联的所述到期时间(232)尚未到期时，确定所述相应密钥id(230)有效。13.根据权利要求11或12所述的系统(100)，其中，获得用于所述至少一个有效密码密钥(220)的所述有效密钥id(230)的列表包括从所述密码密钥(220)的发行器接收更新。14.根据权利要求13所述的系统(100)，其中，所述更新包括远程过程调用(rpc)。15.根据权利要求13或14所述的系统(100)，其中，所述更新包括发布-订阅协议。16.根据权利要求11至15中的任一项所述的系统(100)，其中，每个密钥id(230)包括整数的编码。17.根据权利要求16所述的系统(100)，其中，每个整数包括一个字节的大小。18.根据权利要求11至17中的任一项所述的系统(100)，其中，所述操作进一步包括：接收用于至少一个被无效的密码密钥(220)的无效密钥id(230)的列表；以及对于用于所述至少一个被无效的密码密钥(220)的所述无效密钥id(230)的列表中的每个无效密钥id(230)，从用于所述至少一个有效密码密钥(220)的所述有效密钥id(230)的列表移除对应的有效密钥id(230)。19.根据权利要求11至18中的任一项所述的系统(100)，其中，所述操作进一步包括，获得用于至少一个有效密码密钥(220)的有效密钥id(230)的更新列表，所述有效密钥id(230)的更新列表中的每个密钥id(230)与所述有效密钥id(230)的列表中的每个密钥id
(230)不同。20.根据权利要求11至19中的任一项所述的系统(100)，其中，所述认证令牌(210)不包括时间戳。

技术总结
一种用于使令牌到期的方法(400)包括为被配置成签署认证令牌(210)的至少一个有效密码密钥(220)获得有效密钥标识(ID)(230)的列表。该方法还包括从客户端(10)接收认证令牌，该认证令牌对客户端进行认证和授权以访问资源并且包括被用于签署认证令牌的密码密钥的ID。该方法还包括基于用于所述至少一个有效密码密钥的有效密钥ID的列表来确定被用于签署认证令牌的密码密钥是否有效。当被用于签署认证令牌的密码密钥有效时，该方法包括允许客户端访问资源。问资源。问资源。


技术研发人员：罗曼
受保护的技术使用者：谷歌有限责任公司
技术研发日：2020.12.16
技术公布日：2023/2/3