CN107634973B - 一种服务接口安全调用方法 - Google Patents
一种服务接口安全调用方法 Download PDFInfo
- Publication number
- CN107634973B CN107634973B CN201711043245.2A CN201711043245A CN107634973B CN 107634973 B CN107634973 B CN 107634973B CN 201711043245 A CN201711043245 A CN 201711043245A CN 107634973 B CN107634973 B CN 107634973B
- Authority
- CN
- China
- Prior art keywords
- service
- authentication
- consumer
- service provider
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种服务接口安全调用方法,包括服务消费者、服务提供者和认证中心,通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥,实现服务消费者在使用各个服务时由服务提供者调用认证接口,对消费者进行认证是否有权限使用。本发明的服务接口安全调用方法提供了一种解决服务接口被恶意使用和保证数据信息的安全机制,大大提高了服务接口调用的安全性。
Description
技术领域
本发明涉及计算机技术领域,更具体地说,涉及一种服务接口调用方法。
背景技术
随着各种服务接口的大量应用,对服务接口的安全管理越发重要;目前各服务接口的提供者对外发布的接口,所有消费者都能随时访问,缺乏服务的安全调用机制,因此服务接口容易被恶意使用,数据信息具有不安全性。目前较常用的是使用 ESB 管理所有服务,ESB 是一个全新的符合 SOA 架构的应用服务整合平台,基于工业标准,用于构建可管理、可扩展及经济高效的 EAI 解决方案,其主要功能包括服务管理、消息路由、消息转换、协议中介、事件处理、数据安全协议和备份。ESB 重要的功能就是处理消息,消息的传入和传出可以用到协议或格式中介;重量级消息格式,比较耗 CPU,只具有基本的安全协议和服务维护。
发明内容
本发明要解决的技术问题在于,针对现有技术中服务接口调用安全性不高的缺陷,提供一种服务接口安全调用方法。
本发明解决其技术问题所采用的技术方案是:构造一种服务接口安全调用方法,包括服务消费者、服务提供者和认证中心,通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥,实现服务消费者在使用各个服务时由服务提供者调用认证接口,对消费者进行认证是否有权限使用;
所述认证为静态授权码认证方式,包括以下步骤:
服务消费者向服务提供者发起服务请求;
服务提供者获取服务消费者的请求数据(publicKey、IP),并判断是否需要安全认证,若需要则向服务认证中心发起认证请求,将请求数据(publicKey、IP)发送给认证中心进行认证;若不需要,则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的请求数据(publicKey、IP),进行认证是否有权限访问服务接口,若认证成功返回服务提供者成功标识,服务提供者再进行业务逻辑处理并返回消费者处理结果信息;若认证失败返回服务提供者失败标识,服务提供者直接返回消费者无权限访问该服务接口;
所述认证为动态授权码认证方式,包括以下步骤:
服务消费者每次请求服务时需先将 publicKey 和 IP 送给认证中
心的 API 获取 ticket;
认证中心接收消费者的请求时获取请求数据 publicKey,并通过程序获取消费者请求的 IP 地址;
认证中心根据获取的 IP 地址校验是否在认证中心中存在并有效,若此 IP 的消费者有效,再判断此消费者请求的 publicKey 是否是认证中心中授权的 publicKey,若是则生成唯一授权码 ticket 并返回;若IP 对应的消费者或publicKey 不存在则返回错误消息,错误信息为公钥无效;
服务消费者若成功获取 ticket,则请求服务时将 ticket 和 IP 发送给需要请求的服务提供者;
服务提供者获取服务消费者的请求数据并判断是否需要安全认证,若需要安全认证则向认证中心发起认证请求,将请求数据 ticket 发送给认证中心进行认证;若不需要安全认证则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的请求数据ticket,根据 ticket 进行认证是否有权限访问该服务,若认证成功则返回服务提供者成功标识,并将此 ticket 从认证中心中删除,服务提供者再进行业务逻辑处理并返回消费者处理结果信息;若认证失败则返回服务提供者失败标识,服务提供者直接返回消费者无权限访问对应的服务。
在本发明所述的服务接口安全调用方法中,所述接口之间数据传输采用 RSA 非对称加密方式和https 保证数据安全。
在本发明所述的服务接口安全调用方法中,非对称加密为SPA方式。
本发明的服务接口安全调用方法通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥;实现消费者在使用各个服务时由服务提供者调用认证接口对消费者进行认证是否有权限使用,相比于
ESB 方式处理消息,不仅对普通消息,对重量级消息也具有较好的安全防护方式;通过静态授权码认证方式,由认证中心生成消费者的唯一授权码公钥,消费者每次请求服务需要发送该公钥,服务提供者通过此公钥进行认证,认证方式简便认证速度快;采用动态授权码认证方式,消费者每次请求需到认证系统生成消费者的唯一授权码,通过消费者根据公钥生成的授权码进行认证,安全级别比较高;接口之间数据传输采用RSA 非对称加密方式和https 保证了数据传输的安全性。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图 1 是本发明的服务接口安全调用方法静态授权码认证方式流程图;
图 2 是本发明的服务接口安全调用方法动态授权码认证方式流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
缩略语和关键术语定义
本发明的服务接口安全调用方法,包括服务消费者、服务提供者和认证中心,通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥,实现了服务消费者在使用各个服务时由服务提供者调用认证接口,对消费者进行认证是否有权限使用,该认证中心的配置相比于 ESB 管理方式对各种格式的消息处理,提高了服务接口调用的安全性以及数据的保密性。
本发明的认证方式分两种,静态授权码认证方式和动态授权码认证方式,参照图1,本发明的服务接口安全调用方法静态授权码认证方式,包括以下步骤:
流程开始,服务消费者向服务提供者发起服务请求;
服务提供者获取服务消费者的请求数据publicKey、IP,并判断是否需要安全认证,若需要安全认证则向认证中心发起认证请求,将请求数据publicKey、IP发送给认证中心进行认证;若不需要安全认证,则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的请求数据publicKey、IP,进行认证是否有权限访问服务接口,若认证成功返回服务提供者成功标识,服务提供者再进行业务逻辑处理并返回消费者;若认证失败返回服务提供者系统失败标识,服务提供者直接返回消费者无权限访问该服务接口。至此,流程结束。
静态授权码认证方式是由认证中心生成的消费者唯一授权公钥publicKey,消费者每次请求服务需要发送该公钥,服务提供者通过此公钥进行认证,该方式简便安全、认证速度快。
进一步地,参照图 2,本发明的动态授权码认证方式,包括以下步骤:
流程开始,服务消费者每次请求服务时需先将 publicKey 和 IP 送给认证中心的 API 获取 ticket;
认证中心接收消费者的请求时获取请求数据 publicKey,并通过程序获取消费者请求的 IP 地址;
认证中心根据获取的 IP 地址校验是否在系统中存在并有效,若此 IP 的消费者有效,再判断此消费者请求的 publicKey 是否是认证系统中授权的 publicKey,若是则生成唯一授权码 ticket 并返回;若IP 对应的消费者或publicKey 不存在则返回错误消息“公钥无效”;
服务消费者若成功获取 ticket,则请求服务时将 ticket 和 IP 发送给需要请求的服务系统;
服务系统获取服务消费者的请求数据并判断是否需要安全认证,若需要安全认证则向认证中心发起认证请求,将请求数据 ticket 发
送给认证中心进行认证;若不需要安全认证则服务系统直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息。
认证中心收到服务提供者的认证请求时,获取服务提供者发送的请求数据ticket,根据 ticket 进行认证是否有权限访问该服务,若认证成功则返回服务提供者成功标识,并将此 ticket 从认证系统中删除,服务提供者再进行业务逻辑处理并返回消费者;若认证失败则返回服务系统失败标识,服务提供者直接返回消费者无权限访问对应的服务。
动态授权码认证方式是消费者每次请求需到认证系统生成消费者的唯一授权码,通过消费者根据公钥生成的授权码进行认证,采用此方式提高了安全级别。
进一步地,所述接口之间数据传输采用 RSA 非对称加密方式和
https,相比于对称加密方式,RSA 非对称加密方式和https,更好的保证了数据安全。
尽管通过以上实施例对本发明进行了揭示,但本发明的保护范围并不局限于此,在不偏离本发明构思的条件下,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种服务接口安全调用方法,其特征在于,包括服务消费者、服务提供者和认证中心,通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥,实现服务消费者在使用各个服务时由服务提供者调用认证接口,对消费者进行认证是否有权限使用;
所述认证为静态授权码认证方式,包括以下步骤:
服务消费者向服务提供者发起服务请求;
服务提供者获取服务消费者的请求数据publicKey、IP,并判断是否需要安全认证,若需要则向认证中心发起认证请求,将请求数据publicKey、IP发送给认证中心进行认证;若不需要,则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的请求数据publicKey、IP,进行认证是否有权限访问服务接口,若认证成功返回服务提供者成功标识,服务提供者再进行业务逻辑处理并返回消费者处理结果信息;若认证失败返回服务提供者失败标识,服务提供者直接返回消费者无权限访问该服务接口;
所述认证为动态授权码认证方式,包括以下步骤:
服务消费者每次请求服务时需先将 publicKey 和 IP 发送给认证中心的 API 获取ticket;
认证中心接收消费者的请求时获取请求数据 publicKey,并通过程序获取消费者请求的 IP 地址;
认证中心根据获取的 IP 地址校验是否在认证中心中存在并有效,若此 IP 的消费者有效,再判断此消费者请求的 publicKey 是否是认证中心中授权的 publicKey,若是则生成唯一授权码 ticket 并返回;若IP 对应的消费者或publicKey 不存在则返回错误消息,错误信息为公钥无效;
服务消费者若成功获取 ticket,则请求服务时将 ticket 和 IP 发送给需要请求的服务提供者;
服务提供者获取服务消费者的请求数据并判断是否需要安全认证, 若需要安全认证则向认证中心发起认证请求,将请求数据 ticket 发送给认证中心进行认证;若不需要安全认证则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的请求数据ticket,根据 ticket 进行认证是否有权限访问该服务,若认证成功则返回服务提供者成功标识,并将此 ticket 从认证中心中删除,服务提供者再进行业务逻辑处理并返回消费者处理结果信息;若认证失败则返回服务提供者失败标识,服务提供者直接返回消费者无权限访问对应的服务。
2.根据权利要求 1 所述的服务接口安全调用方法, 其特征在于,所述接口之间数据传输采用 RSA 非对称加密方式和https 保证数据安全。
3.根据权利要求 2 所述的服务接口安全调用方法,其特征在于,非对称加密为SPA方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711043245.2A CN107634973B (zh) | 2017-10-31 | 2017-10-31 | 一种服务接口安全调用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711043245.2A CN107634973B (zh) | 2017-10-31 | 2017-10-31 | 一种服务接口安全调用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107634973A CN107634973A (zh) | 2018-01-26 |
| CN107634973B true CN107634973B (zh) | 2020-11-20 |
Family
ID=61107204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711043245.2A Active CN107634973B (zh) | 2017-10-31 | 2017-10-31 | 一种服务接口安全调用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107634973B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108512845B (zh) * | 2018-03-30 | 2020-09-29 | 广州视源电子科技股份有限公司 | 接口调用的校验方法及装置 |
| CN109492358A (zh) * | 2018-09-25 | 2019-03-19 | 国网浙江省电力有限公司信息通信分公司 | 一种开放接口统一认证方法 |
| CN109788040A (zh) * | 2018-12-27 | 2019-05-21 | 北京航天智造科技发展有限公司 | 微服务授权与调度方法和系统 |
| CN114760133B (zh) * | 2022-04-15 | 2023-10-03 | 中国电信股份有限公司 | RESTful接口认证方法、装置、系统、设备及介质 |
| CN115065717A (zh) * | 2022-05-24 | 2022-09-16 | 中原银行股份有限公司 | 一种微服务调用处理方法及处理装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035838B (zh) * | 2010-12-07 | 2014-02-19 | 中国科学院软件研究所 | 一种基于平台身份的信任服务连接方法与信任服务系统 |
| CN104601328A (zh) * | 2014-12-18 | 2015-05-06 | 中电科华云信息技术有限公司 | 组件安全调用系统及调用方法 |
| CN104660583B (zh) * | 2014-12-29 | 2018-05-29 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
| US9699167B1 (en) * | 2015-01-06 | 2017-07-04 | Shoretel, Inc. | Distributed authentication |
| CN105577665B (zh) * | 2015-12-24 | 2019-06-18 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
| CN107147496A (zh) * | 2017-04-28 | 2017-09-08 | 广东网金控股股份有限公司 | 一种面向服务技术框架下不同应用间统一授权认证的方法 |
-
2017
- 2017-10-31 CN CN201711043245.2A patent/CN107634973B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107634973A (zh) | 2018-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
| CN107634973B (zh) | 一种服务接口安全调用方法 | |
| KR102117584B1 (ko) | 로컬 디바이스 인증 | |
| US9621355B1 (en) | Securely authorizing client applications on devices to hosted services | |
| CN114499916B (zh) | 安全令牌撤销 | |
| CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| US9729531B2 (en) | Accessing a computer resource using an access control model and policy | |
| US8782757B2 (en) | Session sharing in secure web service conversations | |
| CN110535851A (zh) | 一种基于oauth2协议的用户认证系统 | |
| CN101567878B (zh) | 提高网络身份认证安全性的方法 | |
| US20220255919A1 (en) | Computer readable storage media for legacy integration and methods and systems for utilizing same | |
| US9608971B2 (en) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers | |
| KR20220011165A (ko) | 컴퓨터 구현 시스템 및 방법 | |
| CN108604990A (zh) | 终端中本地授权凭证的使用方法及装置 | |
| US11750391B2 (en) | System and method for performing a secure online and offline login process | |
| CN104683107A (zh) | 数字证书保管方法和装置、数字签名方法和装置 | |
| JP2020078067A (ja) | モバイルデバイスを有するユーザがスタンドアロンコンピューティングデバイスの能力にアクセスすることをセキュアに可能にするためのシステム及び方法 | |
| CN116032627A (zh) | 一种基于微服务架构的统一认证授权方法及装置 | |
| Chinnasamy et al. | A scalable multilabel‐based access control as a service for the cloud (SMBACaaS) | |
| US11575667B1 (en) | System and method for secure communications | |
| CN105577606B (zh) | 一种实现认证器注册的方法和装置 | |
| KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 | |
| CN108243164B (zh) | 一种电子政务云计算跨域访问控制方法和系统 | |
| CN115459929B (zh) | 安全验证方法、装置、电子设备、系统、介质和产品 | |
| US11849041B2 (en) | Secure exchange of session tokens for claims-based tokens in an extensible system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 518000 4001, Block D, Building 1, Chuangzhi Yuncheng Lot 1, Liuxian Avenue, Xili Community, Xili Street, Nanshan District, Shenzhen, Guangdong Patentee after: Shenzhen Zhuyun Technology Co.,Ltd. Address before: 518000 East, 3rd floor, incubation building, China Academy of science and technology, 009 Gaoxin South 1st Road, Nanshan District, Shenzhen City, Guangdong Province Patentee before: SHENZHEN BAMBOOCLOUD TECHNOLOGY CO.,LTD. |
|
| CP03 | Change of name, title or address |