CN111027033A - 一种接口的访问方法及装置 - Google Patents
一种接口的访问方法及装置 Download PDFInfo
- Publication number
- CN111027033A CN111027033A CN201911181677.9A CN201911181677A CN111027033A CN 111027033 A CN111027033 A CN 111027033A CN 201911181677 A CN201911181677 A CN 201911181677A CN 111027033 A CN111027033 A CN 111027033A
- Authority
- CN
- China
- Prior art keywords
- access
- interface
- time point
- target
- deadline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000006870 function Effects 0.000 description 6
- 238000011217 control strategy Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1014—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to tokens
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种接口的访问方法及装置,包括,接收前端系统发送的接口访问请求,获取与令牌识别码对应的预先生成的访问令牌,依据各个访问截止时间点对应的安全等级,以及依据接收到接口访问请求的时间点与各个访问截止时间的时间先后关系,判断用户是否具有访问目标接口的权限。因为预先生成的访问令牌包括多个访问截止时间点,可以提高用户的体验感,同时,依据访问截止时间点的安全等级、以及接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,从两个方面的因素共同判定用户是否具有访问目标接口的权限,从而提高了访问接口的安全性。所以,本技术方案,不仅可以提高用户访问接口的体验感,也可以保证用户的信息财产等安全。
Description
技术领域
本申请涉及电子信息领域,尤其涉及一种接口的访问方法及装置。
背景技术
随着科技的发展,人们通过用户客户端访问后台服务器的各个接口,就可以得到各种不同信息。现有的接口访问控制策略,用户在第一次访问某一接口退出后进行第二访问时,若第二次访问与第一次访问的间隔时长在设定的时间间隔内,则允许用户在无需输入访问密码的情况下,直接访问该接口。
上述的接口访问控制策略,在可以提高用户的体验感的情况下,无法确保用户信息以及财产等安全,在可以确保用户信息以及财产等安全的情况下,又往往会降低用户的体验感,所以,现有的访问控制策略,无法做到兼顾用户体验感和保证用户信息、以及财产等安全。
发明内容
发明人经研究发现,现有接口访问控制策略,针对不同安全级别的接口,都采用同样的访问截止时间点,导致对于一些安全级别较低的接口,若访问截止时间点太早,则用户在短时间内重复登录该接口时,需要多次输入访问密码,从而影响用户的体验感,而对于一些安全级别较高的接口,如果访问截止时间点太晚,则无法确保用户信息以及财产等的安全性。例如,对于银行系统的转账接口,如果访问截止时间点太晚,意味着在较长的时间段内,进行第二次转账时无需输入转账密码,而经过较长的时间间隔后,第二次转账的操作者很有可能不是用户本人,从而导致用户的财产损失。所以现有的接口访问控制策略,无法做到同时兼顾用户体验感和保证用户的信息以及财产等的安全。
本申请提供了一种方法及装置,目的在于解决如何在提高用户访问接口的体验感的同时,确保用户的信息以及财产等的安全的问题。
为了实现上述目的,本申请提供了以下技术方案:
一种接口的访问方法,包括:
接收前端系统发送的接口访问请求,所述接口访问请求中至少包括所述用户的令牌识别码、以及要访问的目标接口的信息;
获取与所述令牌识别码对应的预先生成的访问令牌,所述访问令牌中包括多个访问截止时间点;任意一个所述访问截止时间点对应一个安全等级;
依据各个所述访问截止时间点对应的安全等级,以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,如果具有访问所述目标接口的权限,则允许所述用户访问所述目标接口,如果不具有访问所述目标接口的权限,则向所述前端系统发送获取访问所述目标接口的访问密码的指令。
可选的,所述依据各个所述访问截止时间点对应的安全等级、以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,包括:
依次判断各个所述访问截止时间点是否晚于所述接收到所述接口访问请求的时间点,若存在至少一个所述访问截止时间点晚于所述接收到所述接口访问请求的时间点,则将所述访问截止时间点对应的安全等级,作为所述访问令牌的安全等级;
依据预设的安全等级与接口的对应关系表,确定所述访问令牌的安全等级对应的接口;
判断所述访问令牌的安全等级对应的接口与所述目标接口是否相同,如果相同,确定所述用户具有访问所述目标接口的权限,如果不相同,则确定所述用户不具有访问所述目标接口的权限。
可选的,所述依据各个所述访问截止时间点对应的安全等级、以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,包括:
确定所述目标接口的安全等级;
依据各个所述访问截止时间点对应的安全等级,确定目标访问截止时间点;所述目标访问截止时间点对应的安全等级与所述目标接口的安全等级相同;
判断接收到所述接口访问请求的时间点是否早于所述目标访问截止时间点;
如果接收到所述接口访问请求的时间点早于所述目标访问截止时间点,则确定所述用户具有访问所述目标接口的权限,如果接收到所述接口访问请求的时间点不早于所述目标访问截止时间点,则确定所述用户不具有访问所述目标接口的权限。
可选的,在接收所述前端系统发送的接口访问请求之前,还包括:
生成所述访问令牌,并对所述访问令牌进行保存;
将所述访问令牌发送至所述前端系统,以使所述前端系统依据所述访问令牌中的多个所述访问截止时间点,对所述用户访问所述目标接口的权限进行验证。
可选的,生成所述访问令牌的过程,包括:
依据预设的令牌识别码生成规则,生成所述访问令牌的令牌识别码;
确定目标时间点,所述目标时间点为向所述前端系统发送所述访问令牌的时间点;
依据所述目标时间点,以及预设的各个所述访问截止时间点与所述目标时点的差值,得到所述各个所述访问截止时间点;
将所述令牌识别码、以及所述各个所述访问截止时间点作为所述访问令牌。
一种接口的访问装置,包括:
接收单元,用于接收前端系统发送的接口访问请求,所述接口访问请求中至少包括所述用户的令牌识别码、以及要访问的目标接口的信息;
获取单元,用于获取与所述令牌识别码对应的预先生成的访问令牌,所述访问令牌中包括多个访问截止时间点;任意一个所述访问截止时间点对应一个安全等级;
判断单元,用于依据各个所述访问截止时间点对应的安全等级,以及依据接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,如果具有访问所述目标接口的权限,则允许所述用户访问所述目标接口,如果不具有访问所述目标接口的权限,则向所述前端系统发送获取访问所述目标接口的访问密码的指令。
可选的,所述判断单元用于,依据各个所述访问截止时间点对应的安全等级、以及依据接收到所述接口访问请求的时间点与各个所述访问截止时间的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,包括:
所述判断单元,具体用于依次判断各个所述访问截止时间点是否晚于所述接收到所述接口访问请求的时间点,若存在至少一个所述访问截止时间点晚于所述接收到所述接口访问请求的时间点,则将所述访问截止时间点对应的安全等级,作为所述访问令牌的安全等级;
依据预设的安全等级与接口的对应关系表,确定所述访问令牌的安全等级对应的接口;
判断所述访问令牌的安全等级对应的接口与所述目标接口是否相同,如果相同,确定所述用户具有访问所述目标接口的权限,如果不相同,则确定所述用户不具有访问所述目标接口的权限。
可选的,所述判断单元用于依据各个所述访问截止时间点对应的安全等级、以及依据接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,确定所述用户是否具有访问所述目标接口的权限,包括:
所述判断单元,具体用于确定所述目标接口的安全等级;
依据各个所述访问截止时间点对应的安全等级,确定目标访问截止时间点;所述目标访问截止时间点对应的安全等级与所述目标接口的安全等级相同;
判断接收到所述接口访问请求的时间点是否早于所述目标访问截止时间点;
如果接收到所述接口访问请求的时间点早于所述目标访问截止时间点,则确定所述用户具有访问所述目标接口的权限,如果接收到所述接口访问请求的时间点不早于所述目标访问截止时间点,则确定所述用户不具有访问所述目标接口的权限。
可选的,还包括生成单元,用于生成所述访问令牌,并对所述访问令牌进行保存;将所述访问令牌发送至所述前端系统,以使所述前端系统依据所述访问令牌中的多个所述访问截止时间点,对所述用户访问所述目标接口的权限进行验证。
可选的,所述生成单元用于生成所述访问令牌,包括:
所述生成单元,具体用于依据预设的令牌识别码生成规则,生成所述访问令牌的令牌识别码;
确定目标时间点,所述目标时间点为向所述前端系统发送所述访问令牌的时间点;
依据所述目标时间点,以及预设的各个所述访问截止时间点与所述目标时点的差值,得到所述各个所述访问截止时间点;
将所述令牌识别码、以及所述各个所述访问截止时间点作为所述访问令牌。
本申请所述的方法及装置,预先生成的访问令牌包括多个访问截止时间点,任意一个访问截止时间点对应一个安全等级,也就是说,针对不同安全等级的接口,可以设定不同的访问截止时间点,从而可以提高用户的体验感,同时,依据访问截止时间点的安全等级、以及接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,从两个方面的因素共同判定用户是否具有访问目标接口的权限,从而提高了访问接口的安全性。所以,本技术方案,不仅可以提高用户访问接口的体验感,也可以保证用户的信息财产等安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种接口的访问方法的流程图;
图2为本申请实施例公开的一种生成访问令牌的流程图;
图3为本申请实施例公开的一种确定用户是否具有访问目标接口的权限的方法的流程图;
图4为本申请实施例公开的又一种确定用户是否具有访问目标接口的权限的方法的流程图;
图5为本申请实施例公开的又一种接口的访问方法的流程图;
图6为本申请实施例公开的一种接口的访问装置的结构示意图;
图7为本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例的执行主体为后台服务器。图1为本申请实施公开的一种接口的访问方法,可以包括以下步骤:
S101、接收前端系统发送的接口访问请求。
接口访问请求中至少包括用户的令牌识别码、以及要访问的目标接口的信息。令牌识别码是访问令牌的身份标识码,访问令牌预选缓存在后台服务器中,目标接口的信息可以是目标接口的身份标识码,例如目标接口的编号。本实施例中,在后台服务器中,包括多个不同服务功能的接口,用户通过访问接口,即可使用该接口具有的服务功能。
S102、获取与令牌识别码对应的预先生成的访问令牌。
由于不同的访问令牌其令牌标识码不同,所以,后台服务器在其所缓存的所有访问令牌中,查找出令牌识别码与接收到的令牌识别码相同的访问令牌,即可得到该接收到的令牌识别码对应访问令牌。
需要说明的是,访问令牌是后台服务器预先生成并且缓存在服务器中的令牌,任意一个访问令牌至少包括令牌识别码、以及多个访问截止时间点,任意一个访问截止时间点对应一个安全等级,具体的,访问截止时间点对应的安全等级越高,访问截止时间点越早,访问截止时间点是对用户访问接口的时效的限定。访问截止时间点的安全等级的设定与接口的安全等级相关联,具体的,例如,接口的安全等级为第一、第二和第三安全等级,则对应的,访问截止时间点的安全等级也为第一、第二和第三安全等级。
本实施例中,生成访问令牌的具体过程可以参考图2所示的流程图。
S103、依据各个访问截止时间点对应的安全等级,以及接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,判断用户是否具有访问目标接口的权限。如果是,则执行S104,如果否,则执行S105。
本实施例中,通过访问截止时间点对应的安全等级,和接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系两个方面的因素共同判断用户是否具有访问目标接口的权限,可以确保访问接口的安全性。具体的,实现本步骤的过程可以参考图2和图3所示的流程图。
S104、允许访问目标接口。
确定用户具有访问目标接口的权限后,允许访问目标接口,使目标接口为用户提供该接口具有的服务功能。
S105、向前端系统发送获取访问目标接口的访问密码的指令。
确定用户不具有访问目标接口的权限后,向前端系统发送获取访问目标接口的访问密码的指令,以使用户根据指令输入访问密码,实现对目标接口的访问。
本实施例提供的方法,预先生成的访问令牌包括多个访问截止时间点,任意一个访问截止时间点对应一个安全等级,也就是说,针对不同安全等级的接口,可以设定不同的访问截止时间点,从而可以提高用户的体验感,同时,依据访问截止时间点的安全等级、以及接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,从两个方面的因素共同判定用户是否具有访问目标接口的权限,从而提高了访问接口的安全性。所以,本技术方案,不仅可以提高用户访问接口的体验感,也可以保证用户的信息财产等安全。
图2为上述实施例中,生成访问令牌的一种实施方式,可以包括步骤S201~步骤S204:
S201、依据预设的令牌识别码生成规则,生成访问令牌的令牌识别码。例如,可将令牌识别码生成规则设为:令牌识别码的组成结构为时间戳+随机产生的固定位数的数据系列,并将按照该规则生成的数据编码作为访问令牌的令牌识别码。需要说明的是,本实施例中,令牌识别码是后台服务器生成的随机编码,用户每次登录前端系统时,后台服务器都会为该用户的分配一个令牌识别码,也就是说,用户对应的令牌标识码是动态变化的,从而可以提高访问后台接口的安全性。
S202、确定目标时间点。
目标时间点为后台服务器向前端系统发送访问令牌的时间点,本实施例中,后台服务器生成访问令牌后,向前端系统发送该访问令牌,以使前端系统根据接收到的访问令牌,对用户访问接口的权限进行初步的权限控制。其中,向前端系统发送访问令牌的时间点,可以是接收到接口访问请求的时间点经过一个固定时长之后的时间点。
S203、依据目标时间点,以及预设的各个访问截止时间点与目标时点的差值,得到各个访问截止时间点。
本实施例中,访问截止时间点与目标时间点的差值与该访问截止时间点的安全等级相关,具体为,访问截止时间点的安全等级越高,访问截止时间点与目标时点的差值越小,也即该访问截止时间点越早。
S204、将令牌识别码、以及各个访问截止时间点作为访问令牌。
本实施例中,可选的,也可以将令牌识别码、各个访问截止时间点、目标时间点、以及用户身份识别码作为访问令牌。
本实施例中,因为访问令牌的令牌识别码后台服务器是随机生成,且缓存于后台服务器中编码,所以恶意用户无法在通过前端系统篡改令牌识别码的情况下,启动后台服务器进行接口访问,从而可以提高访问后台接口的安全性。
图3为上述实施例的S103中判断用户是否具有访问目标接口的权限的一种实施方式,可以包括以下步骤:
S301、依次判断各个访问截止时间点是否晚于接收到接口访问请求的时间点,若存在至少一个访问截止时间点晚于接收到接口访问请求的时间点,则执行S302,若不存在访问截止时间点晚于接收到接口访问请求的时间点,则执行S306。
本实施例中,若存在至少一个访问截止时间点晚于接收到接口访问请求的时间点,说明用户可能具有访问目标接口的权限,则执行S302。若不存在访问截止时间点晚于接收到接口访问请求的时间点,说明用户访问目标接口的访问时间点超过了访问截止时间点,访问的有效时间失效,则执行S307确定用户不具有访问目标接口的权限。
S302、将访问截止时间点对应的安全等级,作为访问令牌的安全等级。
若只存在一个访问截止时间点晚于接收到接口访问请求的时间点,则将该访问截止时间点对应的安全等级作为访问令牌的安全等级。
若存在多个访问截止时间点(两个或两个以上的访问截止时间点)晚于接收到接口访问请求的时间点,则将该多个访问截止时间点对应的安全等级作为访问令牌的安全等级,例如,存在两个访问截止时间点晚于接收到接口访问请求的时间点,一个访问截止时间点为第一安全等级,另一个访问截止时间点为第二安全等级,则访问令牌的安全等级为第一安全等级和第二安全等级。
本实施例中,可选的,若存在多个访问截止时间点晚于接收到接口访问请求的时间点,也可以将安全等级最高的访问截止时间点对应的安全等级,作为访问令牌的安全等级,例如,一个访问截止时间点为第一安全等级,另一个访问截止时间点为第二安全等级,第二安全等级高于第一安全等级,则访问令牌的安全等级为第二安全等级。
S303、依据预设的安全等级与接口的对应关系表,确定访问令牌的安全等级对应的接口。
安全等级与接口的对应关系表预先存储在后台服务器中,需要说明的是,安全等级越高,对应的接口越多,并且安全等级高的对应的接口中包含安全等级低的对应的接口,例如第一安全等级对应的接口为接口1,则第二安全等级对应的接口不仅包括接口1,还包括其他的接口。
本实施例中,例如,访问令牌的安全等级为第一安全等级,安全等级与接口的对应关系表中,规定第一安全等级对应的接口为接口1,则访问令牌的安全等级对应的接口为接口1。
S304、判断访问令牌的安全等级对应的接口与目标接口是否相同,如果是,执行S305,如果否,执行S306。
因为前端系统发送的接口访问请求中,携带目标接口的编码,所以根据目标接口的编码,则可判断访问令牌的安全等级对应的接口与目标接口是否相同,若确定访问令牌的安全等级对应的接口与目标接口相同,说明目标接口的安全等级满足要求,且用户访问目标接口的访问时间点在访问截止时间点之前,则执行S306确定用户具有访问目标接口的权限。
若确定访问令牌的安全等级对应的接口与目标接口不相同,说明访问令牌的安全等级低于目标接口的安全等级。例如,接收到接口访问请求的时间点为2020/1/2/12:30,第一级安全等级的访问截止时间点为2020/2/2/12:30,第二级安全等级的访问截止时间点为2020/1/1/2:00,则访问令牌的安全等级为第一级安全等级,根据安全等级与接口的对应关系表,访问令牌的安全等级对应的接口为接口1,而若目标接口为接口2,在安全等级与接口的对应关系表中,安全等级越高,对应的接口越多,并且安全等级高的对应的接口中包含安全等级低的对应的接口,接口2是访问令牌的安全等级高于第一安全等级的才具备的接口,所以说访问令牌的安全等级对应的接口与目标接口不相同,说明访问令牌的安全等级不低于目标接口的安全等级,则执行S307确定用户不具有访问目标接口的权限。
S305、确定用户具有访问目标接口的权限。
S306、确定用户不具有访问目标接口的权限。
本申请实施例提供的方法,在接口访问请求的时间点晚于访问截止时间点的情况下,进一步的判断令牌的安全等级对应的接口是否为目标接口,确保了在访问令牌的安全等级低于目标接口的安全等级的情况下,禁止用户在不输入目标接口的访问密码的情况下访问目标接口,提高了访问接口的安全性。
图4为上述实施例的S103中判断用户是否具有访问目标接口的权限的又一种实施方式,可以包括以下步骤:
S401、确定目标接口的安全等级。
本实施例中,预先规定接口的安全等级,且每一个接口只能对应一个安全等级,其中,接口对应的安全等级预先存储在后台服务器中,根据目标接口的编号,可以确定目标接口的安全等级。
S402、依据各个访问截止时间点对应的安全等级,确定目标访问截止时间点。
其中,目标访问截止时间点对应的安全等级与目标接口的安全等级相同,确定目标访问截止时间点的具有过程为,依次确定各个访问截止时间点对应的安全等级,并将安全等级与目标接口的安全等级相同的访问截止时间点,作为目标访问截止时间点。
S403、判断接收到接口访问请求的时间点是否早于目标访问截止时间点,如果是,执行S404,如果否,执行S405。
在确定目标访问截止时间点后,进一步的判断接收到接口访问请求的时间点是否早于目标访问截止时间点,以确保用户访问的目标接口不仅要满足安全等级的要求,还要满足访问的时效要求。
S404、确定用户具有访问目标接口的权限。S405、确定用户不具有访问目标接口的权限。
本实施例提供的方法,在确保用户访问的目标接口满足安全等级的要求,且满足访问的时效要求后,用户才具有目标接口的权限,提高了访问接口的安全性。
图5为本申请实施例提供的又一种接口的访问方法,本实施例中,后台服务器的架构为包括:网关、用户中心、以及接口服务中心。本实施例提供的方法包括以下步骤:
S501、网关接收前端系统发送的用户身份信息。用户的身份信息可以是用户在前端界面输入的用户账号以及密码。用户需登录前端系统时,前端系统将用户输入的用户账号以及密码等用户身份信息发送至网关。
S502、网关向用户中心发送用户身份信息认证请求。其中,用户身份信息认证请求中携带用户身份信息,以使用户中心对接受到的用户身份信息进行认证,其中,用户中心中永久的存储用户本人预先提交的户身份信息。
S503、网关接收到用户中心发送的认证通过的消息。
S504、网关生成用户的访问令牌,并向前端系统发送访问令牌。具体的生成访问令牌的过程可以前述实施例的图2所示的流程。
S505、前端系统接收到网关发送的访问令牌后,允许用户登录前端系统。
S506、前端系统依据访问令牌,对用户访问目标接口的权限进行控制。当用户使用前端系统中的功能项时,前端系统首先确定该功能项对应的目标接口的安全等级,并判断在访问令牌中与接口的安全等级相同的访问截止时间点,是否晚于接收到用户输入用户信息的时间,如果不晚于,执行S507,如果晚于,执行S508。
S507、前端系统确定用户不具有访问权限,提醒用户输入登录该功能项的登录密码。
S508、前端系统定用户具有访问权限,向网关发送接口访问请求。接口访问请求中至少携带令牌标识码和目标接口的信息。
S509、网关依据接口访问请求,对用户访问目标接口的权限进行控制。若确定用户不具有访问权限,则执行S510,若确定用户具有访问权限,则执行S511。其中,网关依据接口访问请求,对用户访问目标接口的权限进行控制的具体过程与上述实施例的图1所示的流程一致,此处不再赘述。
S510、向前端系统发送获取访问目标接口的访问密码的指令。
S511、将接口访问请求转发至接口服务中心。
S512、接口服务中心将与接口访问请求对应的访问内容发送至网关。
S513、网关将访问内容发送至前端系统。
本实施例提供的方法,具有以下有益效果:
有益效果一、预先生成的访问令牌包括多个访问截止时间点,任意一个访问截止时间点对应一个安全等级,也就是说,针对不同安全等级的接口,可以设定不同的访问截止时间点,从而可以提高用户的体验感,例如,当客户使用安全等级低的接口,在较长时间内不必重复登录,降低了客户的登录频率,提升了客户体验,且因为用户的登录频率降低,还可以减少了网关及用户中心的性能压力和硬件资源的使用。同时,依据访问截止时间点的安全等级、以及接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,从两个方面的因素共同判定用户是否具有访问目标接口的权限,从而提高了访问接口的安全性。所以,本技术方案,不仅可以提高用户访问接口的体验感,也可以保证用户的信息财产等安全。
有益效果二、网关将访问令牌发送至前端系统,使前端系统,在网关对用户访问目标接口的权限进行控制之前,可以根据访问令牌对用户的访问权限进行初步控制,从而可以减少网关的检验负担。
有益效果三、在前端对用户的接口访问权限认证通过后,网关继续对用户的接口访问权限再次进行判断,避免了恶意用户通过前端系统修改接口访问权限认证结果,带来的安全风险。
有益效果四、网关统一控制了用户的接口访问权限,各个接口不必自行对用户的访问权限进行验证,减少了接口的开发工作,降低了开发成本。
与上述本申请实施例提供的接口的访问方法相对应,参考图6,示出了申请实施例提供的一种接口的访问装置600的结构示意图,包括:
接收单元601,用于接收前端系统发送的接口访问请求,接口访问请求中至少包括用户的令牌识别码、以及要访问的目标接口的信息。
获取单元602,用于获取与令牌识别码对应的预先生成的访问令牌,访问令牌中包括多个访问截止时间点;任意一个访问截止时间点对应一个安全等级。
判断单元603,用于依据各个访问截止时间点对应的安全等级,以及依据接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,判断用户是否具有访问目标接口的权限,如果具有访问目标接口的权限,则允许用户访问目标接口,如果不具有访问目标接口的权限,则向前端系统发送获取访问目标接口的访问密码的指令。
生成单元604,用于生成访问令牌,并对访问令牌进行保存;将访问令牌发送至前端系统,以使前端系统依据访问令牌中的多个访问截止时间点,对用户访问目标接口的权限进行验证。
其中,判断单元603依据各个访问截止时间点对应的安全等级、以及依据接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,判断用户是否具有访问目标接口的权限的具体的实现方式为:依次判断各个访问截止时间点是否晚于接收到接口访问请求的时间点,若存在至少一个所访问截止时间点晚于接收到接口访问请求的时间点,则将访问截止时间点对应的安全等级,作为访问令牌的安全等级,依据预设的安全等级与接口的对应关系表,确定访问令牌的安全等级对应的接口,判断访问令牌的安全等级对应的接口与目标接口是否相同,如果相同,确定用户具有访问目标接口的权限,如果不相同,则确定用户不具有访问所目标接口的权限。
其中,判断单元603依据各个访问截止时间点对应的安全等级、以及依据接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,确定用户是否具有访问目标接口的权限的具体实现方式还可以是:确定目标接口的安全等级;依据各个述访问截止时间点对应的安全等级,确定目标访问截止时间点,目标访问截止时间对应的安全等级与目标接口的安全等级相同,判断接收到接口访问请求的时间点是否早于目标访问截止时间点,如果接收到接口访问请求的时间点早于目标访问截止时间点,则确定用户具有访问目标接口的权限,如果接收到接口访问请求的时间点不早于目标访问截止时间点,则确定用户不具有访问目标接口的权限。
其中,生成单元604生成访问令牌的具体实现方式为:依据预设的令牌识别码生成规则,生成访问令牌的令牌识别码,确定目标时间点,目标时间点为向前端系统发送访问令牌的时间点,依据目标时间点,以及预设的各个访问截止时间点与目标时点的差值,得到各个访问截止时间点,将令牌识别码、以及各个访问截止时间点作为访问令牌。
本实施例提供的装置,预先生成的访问令牌包括多个访问截止时间点,任意一个访问截止时间点对应一个安全等级,也就是说,针对不同安全等级的接口,可以设定不同的访问截止时间点,从而可以提高用户的体验感,同时,依据访问截止时间点的安全等级、以及接收到接口访问请求的时间点与各个访问截止时间点的时间先后关系,从两个方面的因素共同判定用户是否具有访问目标接口的权限,从而提高了访问接口的安全性。所以,本技术方案,不仅可以提高用户访问接口的体验感,也可以保证用户的信息财产等安全。
本申请还提供了一种电子设备700,其结构示意图如图7所示,具体包括:处理器701和存储器702,存储器702用于存储程序,处理器701用于运行程序,以实现本申请实施例中接口的访问方法。
本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行本申请实施例中接口的访问方法。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种接口的访问方法,其特征在于,包括:
接收前端系统发送的接口访问请求;
接口访问请求中至少包括所述用户的令牌识别码、以及要访问的目标接口的信息;
获取与所述令牌识别码对应的预先生成的访问令牌,所述访问令牌中包括多个访问截止时间点;任意一个所述访问截止时间点对应一个安全等级;
依据各个所述访问截止时间点对应的安全等级,以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,如果具有访问所述目标接口的权限,则允许所述用户访问所述目标接口,如果不具有访问所述目标接口的权限,则向所述前端系统发送获取访问所述目标接口的访问密码的指令。
2.根据权利要求1所述的方法,其特征在于,所述依据各个所述访问截止时间点对应的安全等级、以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,包括:
依次判断各个所述访问截止时间点是否晚于所述接收到所述接口访问请求的时间点,若存在至少一个所述访问截止时间点晚于所述接收到所述接口访问请求的时间点,则将所述访问截止时间点对应的安全等级,作为所述访问令牌的安全等级;
依据预设的安全等级与接口的对应关系表,确定所述访问令牌的安全等级对应的接口;
判断所述访问令牌的安全等级对应的接口与所述目标接口是否相同,如果相同,确定所述用户具有访问所述目标接口的权限,如果不相同,则确定所述用户不具有访问所述目标接口的权限。
3.根据权利要求1所述的方法,其特征在于,所述依据各个所述访问截止时间点对应的安全等级、以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,包括:
确定所述目标接口的安全等级;
依据各个所述访问截止时间点对应的安全等级,确定目标访问截止时间点;所述目标访问截止时间点对应的安全等级与所述目标接口的安全等级相同;
判断接收到所述接口访问请求的时间点是否早于所述目标访问截止时间点;
如果接收到所述接口访问请求的时间点早于所述目标访问截止时间点,则确定所述用户具有访问所述目标接口的权限,如果接收到所述接口访问请求的时间点不早于所述目标访问截止时间点,则确定所述用户不具有访问所述目标接口的权限。
4.根据权利要求1所述的方法,其特征在于,在接收所述前端系统发送的接口访问请求之前,还包括:
生成所述访问令牌,并对所述访问令牌进行保存;
将所述访问令牌发送至所述前端系统,以使所述前端系统依据所述访问令牌中的多个所述访问截止时间点,对所述用户访问所述目标接口的权限进行验证。
5.根据权利要求1或4所述的方法,其特征在于,生成所述访问令牌的过程,包括:
依据预设的令牌识别码生成规则,生成所述访问令牌的令牌识别码;
确定目标时间点,所述目标时间点为向所述前端系统发送所述访问令牌的时间点;
依据所述目标时间点,以及预设的各个所述访问截止时间点与所述目标时点的差值,得到所述各个所述访问截止时间点;
将所述令牌识别码、以及所述各个所述访问截止时间点作为所述访问令牌。
6.一种接口的访问装置,其特征在于,包括:
接收单元,用于接收前端系统发送的接口访问请求,所述接口访问请求中至少包括所述用户的令牌识别码、以及要访问的目标接口的信息;
获取单元,用于获取与所述令牌识别码对应的预先生成的访问令牌,所述访问令牌中包括多个访问截止时间点;任意一个所述访问截止时间点对应一个安全等级;
判断单元,用于依据各个所述访问截止时间点对应的安全等级,以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,如果具有访问所述目标接口的权限,则允许所述用户访问所述目标接口,如果不具有访问所述目标接口的权限,则向所述前端系统发送获取访问所述目标接口的访问密码的指令。
7.根据权利要求6所述的装置,其特征在于,所述判断单元用于,依据各个所述访问截止时间点对应的安全等级、以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,判断所述用户是否具有访问所述目标接口的权限,包括:
所述判断单元,具体用于依次判断各个所述访问截止时间点是否晚于所述接收到所述接口访问请求的时间点,若存在至少一个所述访问截止时间点晚于所述接收到所述接口访问请求的时间点,则将所述访问截止时间点对应的安全等级,作为所述访问令牌的安全等级;
依据预设的安全等级与接口的对应关系表,确定所述访问令牌的安全等级对应的接口;
判断所述访问令牌的安全等级对应的接口与所述目标接口是否相同,如果相同,确定所述用户具有访问所述目标接口的权限,如果不相同,则确定所述用户不具有访问所述目标接口的权限。
8.根据权利要求6所述的装置,其特征在于,所述判断单元用于依据各个所述访问截止时间点对应的安全等级、以及接收到所述接口访问请求的时间点与各个所述访问截止时间点的时间先后关系,确定所述用户是否具有访问所述目标接口的权限,包括:
所述判断单元,具体用于确定所述目标接口的安全等级;
依据各个所述访问截止时间点对应的安全等级,确定目标访问截止时间点;所述目标访问截止时间点对应的安全等级与所述目标接口的安全等级相同;
判断接收到所述接口访问请求的时间点是否早于所述目标访问截止时间点;
如果接收到所述接口访问请求的时间点早于所述目标访问截止时间点,则确定所述用户具有访问所述目标接口的权限,如果接收到所述接口访问请求的时间点不早于所述目标访问截止时间点,则确定所述用户不具有访问所述目标接口的权限。
9.根据权利要求6所述的装置,其特征在于,还包括生成单元,用于生成所述访问令牌,并对所述访问令牌进行保存;将所述访问令牌发送至所述前端系统,以使所述前端系统依据所述访问令牌中的多个所述访问截止时间点,对所述用户访问所述目标接口的权限进行验证。
10.根据权利要求9所述的装置,其特征在于,所述生成单元用于生成所述访问令牌,包括:
所述生成单元,具体用于依据预设的令牌识别码生成规则,生成所述访问令牌的令牌识别码;
确定目标时间点,所述目标时间点为向所述前端系统发送所述访问令牌的时间点;
依据所述目标时间点,以及预设的各个所述访问截止时间点与所述目标时点的差值,得到所述各个所述访问截止时间点;
将所述令牌识别码、以及所述各个所述访问截止时间点作为所述访问令牌。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911181677.9A CN111027033B (zh) | 2019-11-27 | 2019-11-27 | 一种接口的访问方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911181677.9A CN111027033B (zh) | 2019-11-27 | 2019-11-27 | 一种接口的访问方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111027033A true CN111027033A (zh) | 2020-04-17 |
| CN111027033B CN111027033B (zh) | 2022-05-27 |
Family
ID=70206909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911181677.9A Active CN111027033B (zh) | 2019-11-27 | 2019-11-27 | 一种接口的访问方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111027033B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113014576A (zh) * | 2021-02-23 | 2021-06-22 | 中国联合网络通信集团有限公司 | 一种服务权限控制方法、装置、服务器及存储介质 |
| CN114024688A (zh) * | 2021-11-29 | 2022-02-08 | 中电金信软件有限公司 | 网络请求方法、网络认证方法、终端设备和服务端 |
| CN114510738A (zh) * | 2021-12-31 | 2022-05-17 | 华能烟台八角热电有限公司 | 数据使用风险评估方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080148351A1 (en) * | 2006-12-18 | 2008-06-19 | Gaurav Bhatia | Method and apparatus for providing access to an application-resource |
| CN106649772A (zh) * | 2016-12-27 | 2017-05-10 | 上海上讯信息技术股份有限公司 | 一种访问数据的方法及设备 |
| CN107391982A (zh) * | 2017-07-25 | 2017-11-24 | 上海传英信息技术有限公司 | 一种基于智能终端的用户权限管理方法及用户权限管理系统 |
| US10007779B1 (en) * | 2015-09-29 | 2018-06-26 | Amazon Technologies, Inc. | Methods and systems for gradual expiration of credentials |
| CN109726025A (zh) * | 2018-12-29 | 2019-05-07 | 北京神舟航天软件技术有限公司 | 一种基于api网关的api接口访问方法 |
| CN109802895A (zh) * | 2017-11-16 | 2019-05-24 | 阿里巴巴集团控股有限公司 | 数据处理系统、方法及令牌管理方法 |
-
2019
- 2019-11-27 CN CN201911181677.9A patent/CN111027033B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080148351A1 (en) * | 2006-12-18 | 2008-06-19 | Gaurav Bhatia | Method and apparatus for providing access to an application-resource |
| US10007779B1 (en) * | 2015-09-29 | 2018-06-26 | Amazon Technologies, Inc. | Methods and systems for gradual expiration of credentials |
| CN106649772A (zh) * | 2016-12-27 | 2017-05-10 | 上海上讯信息技术股份有限公司 | 一种访问数据的方法及设备 |
| CN107391982A (zh) * | 2017-07-25 | 2017-11-24 | 上海传英信息技术有限公司 | 一种基于智能终端的用户权限管理方法及用户权限管理系统 |
| CN109802895A (zh) * | 2017-11-16 | 2019-05-24 | 阿里巴巴集团控股有限公司 | 数据处理系统、方法及令牌管理方法 |
| CN109726025A (zh) * | 2018-12-29 | 2019-05-07 | 北京神舟航天软件技术有限公司 | 一种基于api网关的api接口访问方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李勋等: "一种基于令牌密钥的云计算服务授权机制", 《计算机应用与软件》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113014576A (zh) * | 2021-02-23 | 2021-06-22 | 中国联合网络通信集团有限公司 | 一种服务权限控制方法、装置、服务器及存储介质 |
| CN113014576B (zh) * | 2021-02-23 | 2023-05-12 | 中国联合网络通信集团有限公司 | 一种服务权限控制方法、装置、服务器及存储介质 |
| CN114024688A (zh) * | 2021-11-29 | 2022-02-08 | 中电金信软件有限公司 | 网络请求方法、网络认证方法、终端设备和服务端 |
| CN114510738A (zh) * | 2021-12-31 | 2022-05-17 | 华能烟台八角热电有限公司 | 数据使用风险评估方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111027033B (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111027033B (zh) | 一种接口的访问方法及装置 | |
| US9119076B1 (en) | System and method for authentication using a mobile communication device | |
| CN106779716B (zh) | 基于区块链账户地址的认证方法、装置及系统 | |
| CN110851274B (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| CN106953831B (zh) | 一种用户资源的授权方法、装置及系统 | |
| US10225260B2 (en) | Enhanced authentication security | |
| US20190026456A1 (en) | Methods and Apparatus for Authentication of Joint Account Login | |
| CA2576489A1 (en) | System and method for validating a user of an account using a wireless device | |
| JP2015039214A (ja) | Id盗難又は複製を用いた不正使用に対する保護の方法とシステム | |
| US20210168611A1 (en) | Method for securely sharing a url | |
| WO2014082555A1 (zh) | 登录方法、装置及开放平台系统 | |
| CN105429943B (zh) | 一种信息处理方法及其终端 | |
| US20160072792A1 (en) | Verification method, apparatus, server and system | |
| CN103139200A (zh) | 一种web service单点登录的方法 | |
| CN104320767A (zh) | 一种短信验证系统及验证方法 | |
| CN104426835B (zh) | 一种登录检测的方法、服务器、登录检测装置及其系统 | |
| KR20140035382A (ko) | 사용자 액세스를 허용하는 방법, 클라이언트, 서버 및 시스템 | |
| CN107241329B (zh) | 账号登录处理方法及装置 | |
| JP2014534515A5 (zh) | ||
| US10735398B1 (en) | Rolling code authentication techniques | |
| US20150180850A1 (en) | Method and system to provide additional security mechanism for packaged web applications | |
| CN110430167B (zh) | 临时账户的管理方法、电子设备、管理终端及存储介质 | |
| EP3008876B1 (en) | Roaming internet-accessible application state across trusted and untrusted platforms | |
| CN111405036A (zh) | 服务访问方法、装置、相关设备及计算机可读存储介质 | |
| CN105592031B (zh) | 基于身份认证的用户登陆方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |