GBT 47475-2026網(wǎng)絡(luò)安全技術(shù)開(kāi)放的第三方資源授權(quán)協(xié)議

#政策法規(guī) ·2026-06-11 16:04:49

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260)提出并歸口。

本文件起草單位：中國(guó)科學(xué)院信息工程研究所、北京數(shù)字認(rèn)證股份有限公司、國(guó)民認(rèn)證科技(重慶)有限公司、大唐高鴻信安(浙江)信息科技有限公司、中國(guó)科學(xué)院軟件研究所、中國(guó)信息通信研究院、湖北省數(shù)字證書認(rèn)證管理中心有限公司、北京銀聯(lián)金卡科技有限公司、北京快手科技有限公司、聯(lián)通在線信息科技有限公司、中電信量子信息科技集團(tuán)有限公司、長(zhǎng)揚(yáng)科技(北京)股份有限公司、高頌數(shù)科(廈門）智能技術(shù)有限公司、浙江大華技術(shù)股份有限公司、中金金融認(rèn)證中心有限公司、奇安信網(wǎng)神技術(shù)(北京)股份有限公司。

本文件主要起草人：高能、李敏、張靖煒、劉麗敏、劉海潔、查達(dá)仁、彭佳、屠晨陽(yáng)、楊昫、夏琦清、李業(yè)旺、曾亮、張亞男、李俊、張立武、穆琙博、柴瑤琳、陳誠(chéng)、陳躍、劉冠廷、程福興、劉勇、趙華、范中益、李超、劉紅日、安錦程。

本文件規(guī)定的協(xié)議實(shí)現(xiàn)了資源所有者在不共享憑據(jù)(如用戶名和口令)的情況下，將資源所有者在資源服務(wù)器的資源，以安全、可控的方式開(kāi)放給外部接入的客戶端使用，實(shí)現(xiàn)資源訪問(wèn)能力的開(kāi)放與可控共享。

本文件參考國(guó)際互聯(lián)網(wǎng)工程任務(wù)組（The Internet Engineering Task Force,簡(jiǎn)稱 IETF）的 RFC6749、OAuth2.1等主流授權(quán)協(xié)議和最佳實(shí)踐，并結(jié)合我國(guó)相關(guān)密碼算法和產(chǎn)業(yè)現(xiàn)狀進(jìn)行制定。本文件與國(guó)際OAuth協(xié)議是兼容擴(kuò)展關(guān)系，按我國(guó)相關(guān)密碼政策和法規(guī)，結(jié)合我國(guó)實(shí)際應(yīng)用需求及產(chǎn)品生產(chǎn)廠商的實(shí)踐經(jīng)驗(yàn)，本文件在客戶端身份鑒別部分增加了基于SM2的數(shù)字證書鑒別方法。通信安全優(yōu)先采用GB/T38636規(guī)定的TLCP，因國(guó)際互通場(chǎng)景或因系統(tǒng)兼容導(dǎo)致不能使用TLCP時(shí)，可使用TLS協(xié)議，并優(yōu)先選用國(guó)密算法套件的TLS連接。對(duì)訪問(wèn)令牌的保護(hù)增加了采用SM2、SM3、SM4等算法對(duì)其進(jìn)行簽名和加密的規(guī)定。

1.范圍

本文件確立了開(kāi)放的第三方資源授權(quán)協(xié)議的通則，規(guī)定了客戶端類型和要求，以及不同類型的授權(quán)流程、令牌發(fā)放與刷新、受保護(hù)資源訪問(wèn)的協(xié)議要求。

本文件適用于跨安全域應(yīng)用場(chǎng)景下，基于HTTP通信機(jī)制的資源授權(quán)服務(wù)的設(shè)計(jì)與開(kāi)發(fā)。

2.規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T32905 信息安全技術(shù) SM3密碼雜湊算法

GB/T32907信息安全技術(shù) SM4分組密碼算法

GB/T32918.2信息安全技術(shù) SM2橢圓曲線公鑰密碼算法第2部分：數(shù)字簽名算法

GB/T32918.4信息安全技術(shù) SM2橢圓曲線公鑰密碼算法第4部分：公鑰加密算法

GB/T38636信息安全技術(shù) 傳輸層密碼協(xié)議（TLCP）

3.術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1授權(quán) authorization

授予訪問(wèn)者訪問(wèn)受保護(hù)資源的權(quán)限。

3.2資源所有者 resource owner

對(duì)受保護(hù)資源享有所有權(quán)，并有權(quán)決定受保護(hù)資源訪問(wèn)權(quán)限的實(shí)體。

注：資源所有者可以是自然人，也可以是代表組織或系統(tǒng)的其他實(shí)體，當(dāng)資源所有者是自然人時(shí)，稱為終端用戶。

3.3資源服務(wù)器 resource server

存儲(chǔ)受保護(hù)資源，并能接收和響應(yīng)受保護(hù)資源訪問(wèn)請(qǐng)求的服務(wù)器。

3.4客戶端 client

代表資源所有者請(qǐng)求訪問(wèn)受保護(hù)資源的應(yīng)用程序。