CN112134705A - 数据鉴权的方法及装置、存储介质和电子装置 - Google Patents
数据鉴权的方法及装置、存储介质和电子装置 Download PDFInfo
- Publication number
- CN112134705A CN112134705A CN201910551520.4A CN201910551520A CN112134705A CN 112134705 A CN112134705 A CN 112134705A CN 201910551520 A CN201910551520 A CN 201910551520A CN 112134705 A CN112134705 A CN 112134705A
- Authority
- CN
- China
- Prior art keywords
- service
- authentication
- data
- request
- party application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Abstract
本发明提供了一种数据鉴权的方法及装置、存储介质和电子装置,其中该方法包括:鉴权服务接收第三方应用发送的鉴权信息和业务请求信息;所述鉴权服务对所述鉴权信息进行校验;在校验通过的情况下,所述鉴权服务根据所述业务请求信息向数据提供方请求数据,并将请求的数据返回给所述第三方应用。通过本发明,解决了相关技术中在OAuth2.0协议中对参数redirect_uri的验证采用以域名为验证手段存在较大风险的问题,达到了提高数据安全性的效果。
Description
技术领域
本发明涉及计算机领域,具体而言,涉及一种数据鉴权的方法及装置、存储介质和电子装置。
背景技术
OAuth2.0作为OAuth协议的延续版本,关注客户端开发者的简易性。可以通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,也允许第三方应用代表用户获得访问的权限。
虽然OAuth2.0在系统集成时提供了便捷性,但是对参数redirect_uri的验证大多以域名为验证手段,其宽泛的验证过程会导致以下两个安全风险:1)对域名的验证,将导致子域名或者网站存在xss或者Url跳转漏洞,攻击者将可以利用漏洞获取code、access_token等;2)部分厂商的验证可被不法分子通过特定字符绕过有效性检查,从而将地址转向钓鱼网站,以获取相关鉴权信息。
针对相关技术中的上述问题,目前尚未存在有效的解决方案。
发明内容
本发明实施例提供了一种数据鉴权的方法及装置、存储介质和电子装置,以至少解决相关技术中在OAuth2.0协议中对参数redirect_uri的验证采用以域名为验证手段存在较大风险的问题。
根据本发明的一个实施例,提供了一种数据鉴权的方法,包括:鉴权服务接收第三方应用发送的鉴权信息和业务请求信息;所述鉴权服务对所述鉴权信息进行校验;在校验通过的情况下,所述鉴权服务根据所述业务请求信息向数据提供方请求数据,并将请求的数据返回给所述第三方应用。
可选地,所述业务请求信息至少包括:请求业务参数、请求地址、请求方式;所述鉴权信息至少包括:所述第三方应用的身份识别码,通过预设规则产生生成的第一签名数据,生成所述第一签名数据时的时间戳,用于指示加密生成所述第一签名数据的加密方式。
可选地,所述鉴权服务对所述鉴权信息进行校验包括:所述鉴权服务基于所述业务请求信息中的请求业务参数、请求地址,与所述鉴权信息中的所述第三方应用的身份识别码,所述第三方应用生成所述第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照所述预设规则生成的第二签名数据;所述鉴权服务判断所述第二签名数据与所述第一签名数据是否匹配;在匹配成功的情况下,所述鉴权服务继续判断所述第三方应用是否具有调用与所述请求地址对应的接口的权限;在判断结果为是的情况下,所述鉴权服务对所述鉴权信息校验通过。
可选地,所述鉴权服务根据所述业务请求信息向数据提供方请求数据包括:所述鉴权服务根据所述请求地址和所述请求方式向所述数据提供方发送所述请求业务参数以向所述数据提供方请求数据。
根据本发明的一个实施例,提供了一种数据鉴权的方法,包括:第三方应用向鉴权服务发送鉴权信息和业务请求信息;在所述鉴权服务对所述鉴权信息校验通过的情况下,所述第三方应用接收所述鉴权服务根据所述业务请求信息向数据提供方请求的数据。
可选地,所述业务请求信息至少包括:请求业务参数、请求地址、请求方式;所述鉴权信息至少包括:所述第三方应用的身份识别码,通过预设规则生成的第一签名数据,生成所述第一签名数据时的时间戳,用于指示生成所述第一签名数据的加密方式。
可选地,在第三方应用向鉴权服务发送鉴权信息和业务请求信息之前,所述方法还包括:所述第三方应用根据所述第三方应用的身份识别码、所述请求业务参数、请求地址、所述第三方应用生成所述第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照所述预设规则生成的所述第一签名数据。
根据本发明的一个实施例,提供了一种数据鉴权的装置,应用于鉴权服务侧,包括:第一接收模块,用于接收第三方应用发送的鉴权信息和业务请求信息;校验模块,用于对所述鉴权信息进行校验;处理模块,用于在校验通过的情况下,根据所述业务请求信息向数据提供方请求数据,并将请求的数据返回给所述第三方应用。
可选地,所述校验模块包括:生成单元,用于基于所述业务请求信息中的请求业务参数、请求地址,与所述鉴权信息中的所述第三方应用的身份识别码,所述第三方应用生成第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照预设规则生成第二签名数据;第一判断单元,用于判断所述第二签名数据与所述鉴权信息中的所述第一签名数据是否匹配;第二判断单元,用于在匹配成功的情况下,继续判断所述第三方应用是否具有调用与所述请求地址对应的接口的权限;校验单元,用于在判断结果为是的情况下,对所述鉴权信息校验通过。
根据本发明的一个实施例,提供了一种数据鉴权的装置,应用于第三方应用侧,包括:发送模块,用于向鉴权服务发送鉴权信息和业务请求信息;第二接收模块,用于在所述鉴权服务对所述鉴权信息校验通过的情况下,接收所述鉴权服务根据所述业务请求信息向数据提供方请求的数据。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本申请,鉴权服务接收第三方应用发送的鉴权信息和业务请求信息,对该鉴权信息进行校验,并在校验通过的情况下,鉴权服务根据业务请求信息向数据提供方请求数据,并将请求的数据返回给第三方应用;也就是说,在第三方应用接收数据之前对其进行了鉴权验证,从而有效防止在其他人非法获取到接入标识等关键信息后访问数据的行为,解决了相关技术中在OAuth2.0协议中对参数redirect_uri的验证采用以域名为验证手段存在较大风险的问题,达到了提高数据安全性的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的数据鉴权的方法流程图一;
图2是根据本发明实施例的数据鉴权的方法流程图二;
图3是根据本发明实施例的基于国密SM3的接口鉴权方法的时序图;
图4是根据本发明实施例的数据鉴权的装置的结构框图一;
图5是根据本发明实施例的数据鉴权的装置的结构框图二。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
在本实施例中提供了一种数据鉴权的方法,图1是根据本发明实施例的数据鉴权的方法流程图一,如图1所示,该流程包括如下步骤:
步骤S102,鉴权服务接收第三方应用发送的鉴权信息和业务请求信息;
步骤S104,鉴权服务对鉴权信息进行校验;
步骤S106,在校验通过的情况下,鉴权服务根据业务请求信息向数据提供方请求数据,并将请求的数据返回给第三方应用。
通过上述步骤S102至步骤S106,鉴权服务接收第三方应用发送的鉴权信息和业务请求信息,对该鉴权信息进行校验,并在校验通过的情况下,鉴权服务根据业务请求信息向数据提供方请求数据,并将请求的数据按照预设格式返回给第三方应用;也就是说,在第三方应用发送业务请求之后对其进行了鉴权验证,从而有效防止在其他人非法获取到接入标识等关键信息后访问数据的行为,解决了相关技术中在OAuth2.0协议中对参数redirect_uri的验证采用以域名为验证手段存在较大风险的问题,达到了提高数据安全性的效果。
在本实施例的可选实施方式中,本申请中涉及到的业务请求信息至少包括:请求业务参数、请求地址、请求方式。而鉴权信息至少包括:所述第三方应用的身份识别码,通过预设规则生成的第一签名数据,生成所述第一签名数据时的时间戳,用于指示生成所述第一签名数据的加密方式。
在具体的应用场景中该鉴权信息,包括:AppID、Timestamp、SignType、Sign;其中,AppID为应用接入时颁发的身份识别码。Timestamp为生成第一签名数据当时的时间戳,为毫秒级。SignType标明生成第一签名Sign的加密方式,可以是SM3,MD5或SHA256,在本申请的优选实施方式中推荐的方式为SM3。Sign为按照预设规则生成的第一签名数据。
在本实施例的另一个可选实施方式中,对于本申请中步骤S104中涉及到的鉴权服务对鉴权信息进行校验的方式,可以通过以下方式来实现:
步骤S104-11,所述鉴权服务基于所述业务请求信息中的请求业务参数、请求地址,与所述鉴权信息中的所述第三方应用的身份识别码,所述第三方应用生成所述第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照所述预设规则生成的第二签名数据;所述预设规则即所述第三方应用生成第一签名数据所采用的规则;
步骤S104-12,鉴权服务判断第二签名数据与第一签名数据是否匹配;
步骤S104-13,在匹配成功的情况下,所述鉴权服务继续判断所述第三方应用是否具有调用与所述请求地址对应的接口的权限;
步骤S104-14,在判断结果为是的情况下,鉴权服务对鉴权信息校验通过。
在本实施例的一个可选实施方式中,本申请中涉及到的通过所述预设规则生成所述第一签名数据的方式可以包括:
步骤S11,获取业务参数中的非空业务参数,其中,非空业务参数至少包括:请求业务参数、请求地址;
步骤S12,对非空业务参数、第三方应用的身份识别码、第三方应用生成第一签名数据时的时间戳、用于指示生成第一签名数据的加密方式等参数按照参数名进行排序;
步骤S13,对排序后的参数进行加密处理以生成所述第一签名数据。
对于上述步骤S11至步骤S13,在具体应用场景中可以是下述步骤S1至步骤S6所实施的方式。
在本实施例的另一个可选实施方式中,本申请中步骤S106中涉及到的鉴权服务根据业务请求信息向数据提供方请求数据的方式,可以通过如下方式来实现:鉴权服务根据请求地址和请求方式向数据提供方发送请求业务参数以向数据提供方请求数据。具体地,鉴权服务根据请求地址和请求方式向数据提供方发送业务请求,并将请求业务参数按照数据提供方要求的格式发送数据提供方。
需要说明的是,上述本申请中的步骤S102至步骤S106是从鉴权服务侧进行描述的,下面将从第三方应用侧对本申请再次进行阐述。
图2是根据本发明实施例的数据鉴权的方法流程图二,如图2所示,该流程包括如下步骤:
步骤S202,第三方应用向鉴权服务发送鉴权信息和业务请求信息;
步骤S204,在鉴权服务对鉴权信息校验通过的情况下,第三方应用接收鉴权服务根据业务请求信息向数据提供方请求的数据。
需要说明的是,上述业务请求信息至少包括:请求业务参数、请求地址、请求方式。鉴权信息至少包括:所述第三方应用的身份识别码,通过预设规则生成的第一签名数据,生成所述第一签名数据时的时间戳,用于指示生成所述第一签名数据的加密方式。
在具体的应用场景中该鉴权信息,包括:AppID、Timestamp、SignType、Sign;其中,AppID为应用接入时颁发的身份识别码。Timestamp为生成第一签名数据当时的时间戳,为毫秒级。SignType标明生成第一签名Sign的加密方式,可以是SM3,MD5或SHA256,在本申请的优选实施方式中推荐的方式为SM3。Sign为按照预设规则产生的第一签名数据。
在本实施例的可选实施方式中,在第三方应用向鉴权服务发送鉴权信息和业务请求信息之前,本实施例的方法还可以包括:
第三方应用根据第三方应用的身份识别码、请求业务参数、请求地址、第三方应用生成所述第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照预设规则生成第一签名数据。
对于上述步骤生成第一签名数据的方式,在本申请中存在多种方式,在具体的应用场景中优选下述生成第一签名数据的方式,即生成Sign签名数据的方式包括:
S1,筛除为空的业务参数,排除multipart/form-data等方式提交的数据,排除长度大于1000的数据;
S2,获取当前时间戳timestamp;
S3,将经步骤S1筛除后剩余的业务参数,timestamp,reqUri(请求地址),AppId、AppSecret,signType按参数名首字母升序排序。其中,AppID和AppSecret为第三方应用在接入时颁发的身份识别码,AppID和AppSecret一一对应,作为第三方应用的唯一识别码。
S4,将排序好的参数以“参数名=参数值”的形式以“&”进行拼接。
S5,根据预设加密盐对经步骤S4排序拼接后的字符串进行HASH加密。
S6,将步骤S5获得的HASH值字符串进行SM3散列加密,生成Sign参数。
下面结合本申请的具体实施方式对本申请进行详细说明;
在本具体实施方式中提供了一种基于国密SM3的接口鉴权方法,图3是根据本发明实施例的基于国密SM3的接口鉴权方法的时序图,如图3所示,该鉴权流程包括:请求准备阶段、请求阶段、鉴权阶段、授权校验阶段、实际请求阶段、数据返回阶段。下面将结合上述六个阶段对该基于国密SM3的接口鉴权方法进行阐述。
(1)请求准备阶段:
在该阶段中,第三方应用需要准备调用接口所需的鉴权信息,该鉴权信息包括:AppID、Timestamp、SignType、Sign;其中,AppID为应用接入时颁发的身份识别码;Timestamp为生成第一签名数据当时的时间戳,为毫秒级;SignType标明生成第一签名Sign的加密方式,可以是SM3,MD5或SHA256,在本申请的优选实施方式中推荐的方式为SM3;Sign为按照预设规则产生的第一签名数据。
在本具体实施方式中,该第一签名数据Sign的生成规则为:
S1,筛除为空的业务参数,排除multipart/form-data方式提交的数据,排除长度大于1000的数据;
S2,获取当前时间戳timestamp;
S3,将经步骤S1筛除后剩余的业务参数,timestamp,reqUri(请求的接口地址),AppId、AppSecret,signType按参数名首字母升序排序。首字母相同的,按照第二个字母升序排序,以此类推。其中,AppID和AppSecret为第三方应用在接入时颁发的身份识别码,AppID和AppSecret一一对应,作为第三方应用的唯一识别码。
S4,将排序好的参数以“参数名=参数值”的形式以“&”进行拼接。
S5,根据预设加密盐对经步骤S4排序拼接后的字符串进行HASH加密。
S6,将步骤S5获得的HASH值字符串进行SM3散列加密,生成Sign参数。
(2)请求阶段
第三方应用将鉴权信息和业务请求信息发送鉴权服务,其中,业务请求信息包括请求业务参数、请求地址及请求方式。
(3)鉴权阶段
鉴权服务接收到第三方应用发送的鉴权信息和业务请求信息后,根据请求业务参数、请求地址、AppID、Timestamp、Sign-Type根据预设规则生成第二签名数据,鉴权服务将生成的第二签名数据与收到的第一签名数据Sign进行比对,比对一致则通过。
(4)授权校验阶段
鉴权服务将对第三方应用调用的接口进行权限校验。即,判断是否给身份识别码为AppId的应用授予了调用请求地址对应的接口的权限。授权校验成功则放行。
(5)实际请求阶段
鉴权服务根据收到的请求地址向真正的数据提供方发送请求,并将业务请求参数按照数据提供方要求的格式传递过去。
(6)数据返回阶段
数据提供方在接收到请求后,向鉴权服务返回数据,鉴权服务对数据进行封装后返回第三方应用。
可见,通过该具体实施方式能够有效防止在其他人非法获取到access_token等关键信息后访问数据的行为,从而补充了OAuth2.0在技术实现上安全性的不足。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种数据鉴权的装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的数据鉴权的装置的结构框图一,如图4所示,应用于鉴权服务侧,该装置包括:第一接收模块42,用于接收第三方应用发送的鉴权信息和业务请求信息;校验模块44,与第一接收模块42耦合连接,用于对鉴权信息进行校验;处理模块46,与校验模块44耦合连接,用于在校验通过的情况下,根据业务请求信息向数据提供方请求数据,并将请求的数据返回给第三方应用。
可选地,本申请中涉及到的校验模块44进一步可以包括:生成单元,用于基于所述业务请求信息中的请求业务参数、请求地址,与所述鉴权信息中的所述第三方应用的身份识别码,所述第三方应用生成第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照预设规则生成第二签名数据;第一判断单元,用于判断所述第二签名数据与所述第一签名数据是否匹配;第二判断单元,用于在匹配成功的情况下,继续判断所述第三方应用是否具有调用与所述请求地址对应的接口的权限;校验单元,用于在判断结果为是的情况下,对所述鉴权信息校验通过。
需要说明的是,上述图4是从鉴权服务侧对本申请进行阐述的,下面结合第三方应用侧对本申请进行阐述。
图5是根据本发明实施例的数据鉴权的装置的结构框图二,如图5所示,应用于第三方应用侧,该装置包括:发送模块52,用于向鉴权服务发送鉴权信息和业务请求信息;第二接收模块54,与发送模块52耦合连接,用于在鉴权服务对鉴权信息校验通过的情况下,接收鉴权服务根据业务请求信息向数据提供方请求的数据。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述图1的方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收第三方应用发送的鉴权信息和业务请求信息;
S2,对鉴权信息进行校验;
S3,在校验通过的情况下,根据业务请求信息向数据提供方请求数据,并将请求的数据返回给第三方应用。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述图1方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收第三方应用发送的鉴权信息和业务请求信息;
S2,对鉴权信息进行校验;
S3,在校验通过的情况下,根据业务请求信息向数据提供方请求数据,并将请求的数据返回给第三方应用。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
实施例4
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述图2的方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,向鉴权服务发送鉴权信息和业务请求信息;
S2,在鉴权服务对鉴权信息校验通过的情况下,接收鉴权服务根据业务请求信息向数据提供方请求的数据。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述图2方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,向鉴权服务发送鉴权信息和业务请求信息;
S2,在鉴权服务对鉴权信息校验通过的情况下,接收鉴权服务根据业务请求信息向数据提供方请求的数据。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种数据鉴权的方法,其特征在于,包括:
鉴权服务接收第三方应用发送的鉴权信息和业务请求信息;
所述鉴权服务对所述鉴权信息进行校验;
在校验通过的情况下,所述鉴权服务根据所述业务请求信息向数据提供方请求数据,并将请求的数据返回给所述第三方应用。
2.根据权利要求1所述的方法,其特征在于,
所述业务请求信息至少包括:请求业务参数、请求地址、请求方式;
所述鉴权信息至少包括:所述第三方应用的身份识别码,通过预设规则生成的第一签名数据,生成所述第一签名数据时的时间戳,用于指示生成所述第一签名数据的加密方式。
3.根据权利要求2所述的方法,其特征在于,所述鉴权服务对所述鉴权信息进行校验包括:
所述鉴权服务基于所述业务请求信息中的请求业务参数、请求地址,与所述鉴权信息中的所述第三方应用的身份识别码,所述第三方应用生成所述第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照所述预设规则生成第二签名数据;
所述鉴权服务判断所述第二签名数据与所述第一签名数据是否匹配;
在匹配成功的情况下,所述鉴权服务继续判断所述第三方应用是否具有调用与所述请求地址对应的接口的权限;
在判断结果为是的情况下,所述鉴权服务对所述鉴权信息校验通过。
4.根据权利要求2所述的方法,其特征在于,所述鉴权服务根据所述业务请求信息向数据提供方请求数据包括:
所述鉴权服务根据所述请求地址和所述请求方式向所述数据提供方发送所述请求业务参数以向所述数据提供方请求数据。
5.一种数据鉴权的方法,其特征在于,包括:
第三方应用向鉴权服务发送鉴权信息和业务请求信息;
在所述鉴权服务对所述鉴权信息校验通过的情况下,所述第三方应用接收所述鉴权服务根据所述业务请求信息向数据提供方请求的数据。
6.根据权利要求5所述的方法,其特征在于,
所述业务请求信息至少包括:请求业务参数、请求地址、请求方式;
所述鉴权信息至少包括:所述第三方应用的身份识别码,通过预设规则生成的第一签名数据,生成所述第一签名数据时的时间戳,用于指示生成所述第一签名数据的加密方式。
7.根据权利要求6所述的方法,其特征在于,在第三方应用向鉴权服务发送鉴权信息和业务请求信息之前,所述方法还包括:
所述第三方应用根据所述第三方应用的身份识别码、所述请求业务参数、请求地址、所述第三方应用生成所述第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照所述预设规则生成所述第一签名数据。
8.一种数据鉴权的装置,应用于鉴权服务侧,其特征在于,包括:
第一接收模块,用于接收第三方应用发送的鉴权信息和业务请求信息;
校验模块,用于对所述鉴权信息进行校验;
处理模块,用于在校验通过的情况下,根据所述业务请求信息向数据提供方请求数据,并将请求的数据返回给所述第三方应用。
9.根据权利要求8所述的装置,其特征在于,所述校验模块包括:
生成单元,用于基于所述业务请求信息中的请求业务参数、请求地址,与所述鉴权信息中的所述第三方应用的身份识别码,所述第三方应用生成第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式,按照预设规则生成第二签名数据;
第一判断单元,用于判断所述第二签名数据与所述鉴权信息中的所述第一签名数据是否匹配;
第二判断单元,用于在匹配成功的情况下,继续判断所述第三方应用是否具有调用与所述请求地址对应的接口的权限;
校验单元,用于在判断结果为是的情况下,对所述鉴权信息校验通过。
10.一种数据鉴权的装置,应用于第三方应用侧,其特征在于,包括:
发送模块,用于向鉴权服务发送鉴权信息和业务请求信息;
第二接收模块,用于在所述鉴权服务对所述鉴权信息校验通过的情况下,接收所述鉴权服务根据所述业务请求信息向数据提供方请求的数据。
11.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至7任一项中所述的方法。
12.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至7任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910551520.4A CN112134705A (zh) | 2019-06-24 | 2019-06-24 | 数据鉴权的方法及装置、存储介质和电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910551520.4A CN112134705A (zh) | 2019-06-24 | 2019-06-24 | 数据鉴权的方法及装置、存储介质和电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112134705A true CN112134705A (zh) | 2020-12-25 |
Family
ID=73849761
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910551520.4A Pending CN112134705A (zh) | 2019-06-24 | 2019-06-24 | 数据鉴权的方法及装置、存储介质和电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112134705A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113094742A (zh) * | 2021-03-15 | 2021-07-09 | 国政通科技有限公司 | 数据脱敏方法、数据脱敏装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130160144A1 (en) * | 2011-12-14 | 2013-06-20 | Microsoft Corporation | Entity verification via third-party |
| CN106470184A (zh) * | 2015-08-14 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 安全认证方法、装置及系统 |
| CN107124431A (zh) * | 2017-06-22 | 2017-09-01 | 浙江数链科技有限公司 | 鉴权方法、装置、计算机可读存储介质和鉴权系统 |
| CN107231335A (zh) * | 2016-03-24 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及装置 |
| CN109274699A (zh) * | 2018-11-28 | 2019-01-25 | 北京锐安科技有限公司 | 鉴权方法、装置、服务器及存储介质 |
-
2019
- 2019-06-24 CN CN201910551520.4A patent/CN112134705A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130160144A1 (en) * | 2011-12-14 | 2013-06-20 | Microsoft Corporation | Entity verification via third-party |
| CN106470184A (zh) * | 2015-08-14 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 安全认证方法、装置及系统 |
| CN107231335A (zh) * | 2016-03-24 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及装置 |
| CN107124431A (zh) * | 2017-06-22 | 2017-09-01 | 浙江数链科技有限公司 | 鉴权方法、装置、计算机可读存储介质和鉴权系统 |
| CN109274699A (zh) * | 2018-11-28 | 2019-01-25 | 北京锐安科技有限公司 | 鉴权方法、装置、服务器及存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113094742A (zh) * | 2021-03-15 | 2021-07-09 | 国政通科技有限公司 | 数据脱敏方法、数据脱敏装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108200050B (zh) | 单点登录服务器、方法及计算机可读存储介质 | |
| US8819253B2 (en) | Network message generation for automated authentication | |
| US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
| CN109547458B (zh) | 登录验证方法、装置、计算机设备及存储介质 | |
| CN111355726B (zh) | 一种身份授权登录方法、装置及电子设备和存储介质 | |
| US20080148345A1 (en) | Single point authentication for web service policy definition | |
| US9313214B2 (en) | Enhanced security using service provider authentication | |
| CN111030812A (zh) | 令牌验证方法、装置、存储介质及服务器 | |
| US7559087B2 (en) | Token generation method and apparatus | |
| WO2001011450A1 (en) | Single sign-on framework with trust-level mapping to authentication requirements | |
| CN112491881A (zh) | 跨平台单点登录方法、系统、电子设备及存储介质 | |
| CN109495486B (zh) | 一种基于JWT的单页Web应用集成CAS的方法 | |
| CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
| CN112788036A (zh) | 身份验证方法及装置 | |
| CN112016106A (zh) | 开放接口的认证调用方法、装置、设备和可读存储介质 | |
| CN110708313B (zh) | 一种支持多模式的单点登录的系统 | |
| CN111355730A (zh) | 一种平台登录方法、装置、设备及计算机可读存储介质 | |
| CN111614458A (zh) | 网关jwt的生成方法、系统及存储介质 | |
| CN112134705A (zh) | 数据鉴权的方法及装置、存储介质和电子装置 | |
| CN108600266B (zh) | 一种声明过滤认证方法及认证系统 | |
| KR20160109241A (ko) | 리소스의 안전성 검증 장치와 서버 및 검증방법 | |
| CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和系统 | |
| CN115459929A (zh) | 安全验证方法、装置、电子设备、系统、介质和产品 | |
| EP3975015B9 (en) | Applet package sending method and device and computer readable medium | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |