CN117473466A - 接口保护方法、装置、非易失性存储介质和计算机设备 - Google Patents

接口保护方法、装置、非易失性存储介质和计算机设备 Download PDF

Info

Publication number
CN117473466A
CN117473466A CN202311453272.2A CN202311453272A CN117473466A CN 117473466 A CN117473466 A CN 117473466A CN 202311453272 A CN202311453272 A CN 202311453272A CN 117473466 A CN117473466 A CN 117473466A
Authority
CN
China
Prior art keywords
interface
target object
access
key
authentication key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311453272.2A
Other languages
English (en)
Inventor
蒋庄庄
陈顺玉
刘永富
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sweet Orange Finance Leasing Shanghai Co ltd
Original Assignee
Sweet Orange Finance Leasing Shanghai Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sweet Orange Finance Leasing Shanghai Co ltd filed Critical Sweet Orange Finance Leasing Shanghai Co ltd
Priority to CN202311453272.2A priority Critical patent/CN117473466A/zh
Publication of CN117473466A publication Critical patent/CN117473466A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/123Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Remote Sensing (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种接口保护方法、装置、非易失性存储介质和计算机设备。其中,该方法包括:通过第一接口接收目标对象发送的请求访问第二接口的请求消息,请求消息中携带有目标对象的标识和第二接口的标识;根据请求消息,判断目标对象是否有访问第二接口的权限;在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问;通过第二接口接收目标对象发送的待认证密钥;在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据。本发明解决了相关技术中数据交互过程中对访问请求的安全性校验不足,导致接口存在较大数据泄露的风险的技术问题。

Description

接口保护方法、装置、非易失性存储介质和计算机设备
技术领域
本发明涉及接口保护领域,具体而言,涉及一种接口保护方法、装置、非易失性存储介质和计算机设备。
背景技术
随着信息技术的不断发展,安全性和隐私保护的重要性也变得愈发凸显。与外部接口交互的权限控制,在保护数据安全方面至关重要。合作方作为外部机构通过双方约定的接口交互流程和报文格式与我方进行数据交互,当合作方服务器异常或者交互过程中被第三方恶意拦截时,我方接口安全性就会受到威胁,存在较大数据泄露的风险。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种接口保护方法、装置、非易失性存储介质和计算机设备,以至少解决相关技术中数据交互过程中对访问请求的安全性校验不足,导致接口存在较大数据泄露的风险的技术问题。
根据本发明实施例的一个方面,提供了一种接口保护方法,包括:通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识和第二接口的标识;根据请求消息,判断目标对象是否有访问第二接口的权限;在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问;通过第二接口接收目标对象发送的待认证密钥;在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据,其中,其他数据为除了待认证密钥之外的数据。
可选地,根据请求消息,判断目标对象是否有访问第二接口的权限,包括:获取预先设定的访问对象与访问权限的对应关系;在对应关系中,确定与目标对象的标识匹配的访问对象对应的访问权限为目标对象的访问权限;根据目标对象的访问权限,判断目标对象是否有访问第二接口的权限。
可选地,生成认证密钥发送至目标对象,包括:获取与请求消息相关的目标时刻,其中,目标时刻为以下任意之一:请求消息的发送时刻,请求消息的接收时刻,以及判断目标对象是否有访问第二接口的权限的判断时刻;在确定目标对象有访问第二接口的权限的情况下,获取允许目标对象访问第二接口的有效期;判断目标时刻是否位于有效期内;在目标时刻位于有效期内的情况下,生成认证密钥发送至目标对象。
可选地,还包括:获取异常信息,其中,异常信息表征目标对象请求第一接口或第二接口时出现异常;根据异常信息,取消目标对象访问第二接口的权限,和/或更新认证密钥。
可选地,获取异常信息,包括:在获取到目标对象发送的待认证密钥之后,判断目标对象是否访问过第一接口;在目标对象未访问过第一接口的情况下,生成异常信息。
可选地,取消目标对象访问第二接口的权限,包括:标记有效期为失效状态。
可选地,还包括:在待认证密钥与认证密钥不匹配的情况下,禁止第二接口接收并处理其他数据;生成提示信息,其中,提示信息用于提示目标对象待认证密钥错误;将提示信息发送至目标对象。
根据本发明实施例的另一方面,还提供了一种接口保护装置,包括:第一接收模块,用于通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识和第二接口的标识;判断模块,用于根据请求消息,判断目标对象是否有访问第二接口的权限;第一生成模块,用于在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问;第二接收模块,用于通过第二接口接收目标对象发送的待认证密钥;处理模块,用于在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据,其中,其他数据为除了待认证密钥之外的数据。
根据本发明实施例的又一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行上述中任意一项接口保护方法。
根据本发明实施例的再一方面,还提供了一种计算机设备,计算机设备包括处理器,处理器用于运行程序,其中,程序运行时执行上述中任意一项接口保护方法。
在本发明实施例中,采用接口保护方法,通过了通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识和第二接口的标识;根据请求消息,判断目标对象是否有访问第二接口的权限;在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问;通过第二接口接收目标对象发送的待认证密钥;在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据,其中,其他数据为除了待认证密钥之外的数据,达到了添加对访问请求的安全性校验过程的目的,从而实现了提高接口安全性,降低接口的数据泄露风险的技术效果,进而解决了相关技术中数据交互过程中对访问请求的安全性校验不足,导致接口存在较大数据泄露的风险的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了一种用于实现接口保护方法的计算机终端的硬件结构框图;
图2是根据本发明实施例提供的接口保护方法的流程示意图;
图3是根据本发明实施例提供的接口保护装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种接口保护方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现接口保护方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器(处理器可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的接口保护方法对应的程序指令/数据存储装置,处理器通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的接口保护方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10的用户界面进行交互。
图2是根据本发明实施例提供的接口保护方法的流程示意图,如图2所示,该方法包括如下步骤:
步骤S201,通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识和第二接口的标识。
本步骤中,目标对象可以是合作方的某一个接口,该接口想要访问我方的第二接口。我方在第二接口之前设置了一个用于校验访问请求的第一接口,我方预先和合作方做出约定,目标对象在请求访问第二接口时,需要先发送请求给第一接口,当第一接口进行初步安全校验,确定目标对象可以访问第二接口后,目标对象再访问第二接口。通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识以及第二接口的标识。请求消息中目标对象的标识和第二接口的标识用于后续验证目标对象是否可靠,是否能够访问第二接口。
步骤S202,根据请求消息,判断目标对象是否有访问第二接口的权限。
本步骤中,根据请求消息,可以判断目标对象是否有访问第二接口的权限。通过判断目标对象的标识以及第二接口的标识是否在预设的具有访问权限的对象标识库中,就可以知道目标对象是否有访问第二接口的权限。
步骤S203,在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问。
本步骤中,在目标对象有访问第二接口权限的情况下,生成相应的认证密钥并发送至目标对象。目标对象只有基于认证密钥才可以向第二接口请求访问,密钥错误就不能访问第二接口。其中,第二接口可以是我方任意一个接口,认证密钥可以是静态的密钥,也就是说,只要目标对象和第二接口不变,不论目标对象多次申请访问,收到的密钥都不变,这种情况下,认证密钥可以与第二接口和目标对象相对应,目标对象访问我方不同的接口时,将会收到不同接口各自对应的认证密钥,类似地,不同对象访问我方同一接口时,也会收到不同对象各自对应的认证密钥。认证密钥还可以是随机可变的,即使是同样的目标对象再次申请同样的第二接口,第一接口也会发送与上次不同的密钥至目标对象。
步骤S204,通过第二接口接收目标对象发送的待认证密钥。
本步骤中,通过第二接口接收目标对象发来的待认证密钥,待认证密钥与认证密钥匹配时,可以认为目标对象是安全的,且发送过程中没有意外。也就是说,待认证密钥用于判断目标对象是否安全可信。通过第一接口发放认证密钥,第二接口校验密钥,添加了对访问请求的安全性的校验,可以提升第二接口的安全性,降低数据泄露风险。
步骤S205,在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据,其中,其他数据为除了待认证密钥之外的数据。
本步骤中,在待认证密钥与认证密钥匹配的情况下,认为目标对象安全可信,且发送数据的过程中没有出现异常,所以允许第二接口接收并处理目标对象发送的其他数据。在待认证密钥不匹配的情况下,认为此时发送数据的可能不是目标对象,而是其他的第三方,或者在发送过程中出现了异常,此时不允许第二接口接收并处理与待认证密钥一同发送来的其他数据。
通过上述步骤,达到了添加对访问请求的安全性校验过程的目的,从而实现了提高接口安全性,降低接口的数据泄露风险的技术效果,进而解决了相关技术中数据交互过程中对访问请求的安全性校验不足,导致接口存在较大数据泄露的风险的技术问题。
作为一种可选的实施例,根据请求消息,判断目标对象是否有访问第二接口的权限,包括:获取预先设定的访问对象与访问权限的对应关系;在对应关系中,确定与目标对象的标识匹配的访问对象对应的访问权限为目标对象的访问权限;根据目标对象的访问权限,判断目标对象是否有访问第二接口的权限。
可选地,获取预先设定的访问对象与访问权限的对应关系,对应关系可以包括多个合作方各自在我方的访问权限。可以根据对应关系,找到与目标对象的标识匹配的访问对象,与该访问对象对应的访问权限,就是目标对象的访问权限。然后可以根据目标对象的访问权限,判断目标对象是否有访问第二接口的权限,其中,每个访问对象都有自己的访问权限,只有在目标对象在访问对象内,且目标对象具有想要访问的接口的权限时,才可以访问该接口。具体的,目标对象的标识为A1,想要请求访问的接口的标识为K11,预设的访问对象中存在标识为A1的访问对象,且与该访问对象对应的访问权限包括K11接口的访问权限,所以目标对象具有访问K11接口的权限,如果该访问对象对应的访问权限不包括K13接口时,目标对象不具有访问K13接口的权限。
作为一种可选的实施例,生成认证密钥发送至目标对象,包括:获取与请求消息相关的目标时刻,其中,目标时刻为以下任意之一:请求消息的发送时刻,请求消息的接收时刻,以及判断目标对象是否有访问第二接口的权限的判断时刻;在确定目标对象有访问第二接口的权限的情况下,获取允许目标对象访问第二接口的有效期;判断目标时刻是否位于有效期内;在目标时刻位于有效期内的情况下,生成认证密钥发送至目标对象。
可选地,获取与请求时刻相关的目标时刻,在确定目标对象有访问第二接口的权限的情况下,获取允许目标对象访问第二接口的有效期,判断目标时刻是否在有效期内,在有效期内可以生成认证密钥发送至目标对象,如果不在有效期内则可以向目标对象发送消息,显示目标对象的权限已过期。其中,目标时刻可以为请求消息的发送时刻,还可以为请求消息的接受时刻,还可以为判断目标对象是否有访问第二接口的权限的判断时刻,具体可以根据实际情况进行选择。有效期是人为设置的,只有目标时刻在有效期内才会生成认证密钥发送至目标对象,例如,可以设置有效期为合作方和我方的合作期,在合作期内,合作方可以访问我方的接口,当合作期结束后,合作方在我方的接口访问权限已过期,不能访问我方的接口。类似地,认证密钥也可以具有有效期,可以与允许目标对象访问第二接口的权限的有效期相匹配。当然,认证密钥的有效期也可以比权项的有效期短得多,例如,当认证密钥是动态密钥的情况下,权项的有效期的单位可以是年,而认证密钥的有效期的单位可以是分钟,第二接口在校验待认证密钥时,还可以同时校验收到待认证密钥的时间(或者目标对象发送待认证密钥的时间等)是否在认证密钥的有效期内,可以进一步提高第二接口的安全性。
作为一种可选的实施例,还包括:获取异常信息,其中,异常信息表征目标对象请求第一接口或第二接口时出现异常;根据异常信息,取消目标对象访问第二接口的权限,和/或更新认证密钥。
可选地,获取异常信息,其中,异常信息是在目标对象请求第一接口或第二接口时出现异常产生的信息,根据异常信息,可以取消目标对象访问第二接口的权限或者更新认证密钥或者选择同时取消权限并更新密钥。异常信息可以是由目标对象生成的,如果目标对象检测到自己的服务器受到攻击或者发出去的信息被拦截,可以生成异常信息。也可以是我方在接口外设置有安全监控系统,检测到由异常或者不安全的因素出现就会生成异常信息。在访问第一接口的时候获取到异常信息,可以取消目标对象访问第二接口的权限,此时无法生成认证密钥,并将会生成已过期的提示发送给目标对象。在访问第二接口的时候获取到异常信息,可以更新密钥,再将更新后的认证密钥和待认证密钥进行匹配,会得到密钥错误的提示,此时将无法接受并处理目标对象发送的其他数据,使得出现异常的合作方或者第三方无法与第二接口进行数据交互,保护第二接口远离异常的合作方或第三方。
作为一种可选的实施例,取消目标对象访问第二接口的权限,包括:标记有效期为失效状态。
可选地,取消目标对象访问第二接口的权限,可以将有效期置为失效状态,这样目标对象就无法访问第二接口了。
作为一种可选的实施例,获取异常信息,包括:在获取到目标对象发送的待认证密钥之后,判断目标对象是否访问过第一接口;在目标对象未访问过第一接口的情况下,生成异常信息。
可选地,可以通过判断目标对象发送消息的路径判断目标对象是否出现异常。在获取到目标对象发送的待认证密钥后,判断目标对象是否访问过第一接口,如果目标对象没有访问过第一接口,可以生成异常信息。如果在接收到目标对象发送的待认证密钥,但检测到目标对象没有访问过第一接口而是直接向第二接口发送信息,此时认为访问过程出现异常,将会生成异常信息。也就是说,如果目标对象发送的待认证密钥通过了校验,但是目标对象绕过了第一接口,想要直接与第二接口进行数据交互,目标对象并未按照约定的访问路径进行访问,也可以认为目标对象的访问行为出现异常。
作为一种可选的实施例,还包括:在待认证密钥与认证密钥不匹配的情况下,禁止第二接口接收并处理其他数据;生成提示信息,其中,提示信息用于提示目标对象待认证密钥错误;将提示信息发送至目标对象。
可选地,在待认证密钥和认证密钥不匹配的情况下,禁止第二接口接受并处理目标对象发送的其他数据,并生成提示信息,提示信息用于提示目标对象密钥错误,并将该提示信息发送给目标对象。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的接口保护方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
根据本发明实施例,还提供了一种用于实施上述接口保护方法的接口保护装置,图3是根据本发明实施例提供的接口保护装置的结构框图,如图3所示,该接口保护装置包括:第一接收模块31、判断模块32、第一生成模块33、第二接收模块34和处理模块35,下面对该接口保护装置进行说明。
第一接收模块31,用于通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识和第二接口的标识。
判断模块32,与第一接收模块31连接,用于根据请求消息,判断目标对象是否有访问第二接口的权限。
第一生成模块33,与判断模块32连接,用于在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问。
第二接收模块34,与第一生成模块33连接,用于通过第二接口接收目标对象发送的待认证密钥。
处理模块35,与第二接收模块34连接,用于在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据,其中,其他数据为除了待认证密钥之外的数据。
可选地,判断模块包括:第一获取单元,用于获取预先设定的访问对象与访问权限的对应关系;第一确定单元,用于在对应关系中,确定与目标对象的标识匹配的访问对象对应的访问权限为目标对象的访问权限;第一判断单元,用于根据目标对象的访问权限,判断目标对象是否有访问第二接口的权限。
可选地,第一生成模块包括:第二获取单元,用于获取与请求消息相关的目标时刻,其中,目标时刻为以下任意之一:请求消息的发送时刻,请求消息的接收时刻,以及判断目标对象是否有访问第二接口的权限的判断时刻;第三获取单元,用于在确定目标对象有访问第二接口的权限的情况下,获取允许目标对象访问第二接口的有效期;第二判断单元,用于判断目标时刻是否位于有效期内;第一生成单元,用于在目标时刻位于有效期内的情况下,生成认证密钥发送至目标对象。
可选地,本发明实施例提供的接口保护装置还包括:第一获取模块,用于获取异常信息,其中,异常信息表征目标对象请求第一接口或第二接口时出现异常;调整模块,用于根据异常信息,取消目标对象访问第二接口的权限,和/或更新认证密钥。
可选地,第一获取模块还包括:第二判断单元,用于在获取到目标对象发送的待认证密钥之后,判断目标对象是否访问过第一接口;第二生成单元,用于在目标对象未访问过第一接口的情况下,生成异常信息。
可选地,调整模块包括:标记单元,用于标记有效期为失效状态。
可选地,本发明实施例提供的接口保护装置还包括:禁止模块,用于在待认证密钥与认证密钥不匹配的情况下,禁止第二接口接收并处理其他数据;第二生成模块,用于生成提示信息,其中,提示信息用于提示目标对象待认证密钥错误;发送模块,用于将提示信息发送至目标对象。
此处需要说明的是,上述第一接收模块31、判断模块32、第一生成模块33、第二接收模块34和处理模块35对应于实施例中的步骤S201至步骤S205,多个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例提供的计算机终端10中。
本发明的实施例可以提供一种计算机设备,可选地,在本实施例中,上述计算机设备可以位于计算机网络的多个网络设备中的至少一个网络设备。该计算机设备包括存储器和处理器。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的接口保护方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的接口保护方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识和第二接口的标识;根据请求消息,判断目标对象是否有访问第二接口的权限;在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问;通过第二接口接收目标对象发送的待认证密钥;在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据,其中,其他数据为除了待认证密钥之外的数据。
可选的,上述处理器还可以执行如下步骤的程序代码:根据请求消息,判断目标对象是否有访问第二接口的权限,包括:获取预先设定的访问对象与访问权限的对应关系;在对应关系中,确定与目标对象的标识匹配的访问对象对应的访问权限为目标对象的访问权限;根据目标对象的访问权限,判断目标对象是否有访问第二接口的权限。
可选的,上述处理器还可以执行如下步骤的程序代码:生成认证密钥发送至目标对象,包括:获取与请求消息相关的目标时刻,其中,目标时刻为以下任意之一:请求消息的发送时刻,请求消息的接收时刻,以及判断目标对象是否有访问第二接口的权限的判断时刻;在确定目标对象有访问第二接口的权限的情况下,获取允许目标对象访问第二接口的有效期;判断目标时刻是否位于有效期内;在目标时刻位于有效期内的情况下,生成认证密钥发送至目标对象。
可选的,上述处理器还可以执行如下步骤的程序代码:还包括:获取异常信息,其中,异常信息表征目标对象请求第一接口或第二接口时出现异常;根据异常信息,取消目标对象访问第二接口的权限,和/或更新认证密钥。
可选的,上述处理器还可以执行如下步骤的程序代码:获取异常信息,包括:在获取到目标对象发送的待认证密钥之后,判断目标对象是否访问过第一接口;在目标对象未访问过第一接口的情况下,生成异常信息。
可选的,上述处理器还可以执行如下步骤的程序代码:取消目标对象访问第二接口的权限,包括:标记有效期为失效状态。
可选的,上述处理器还可以执行如下步骤的程序代码:还包括:在待认证密钥与认证密钥不匹配的情况下,禁止第二接口接收并处理其他数据;生成提示信息,其中,提示信息用于提示目标对象待认证密钥错误;将提示信息发送至目标对象。
采用本发明实施例,提供了一种接口保护方法,通过了通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识和第二接口的标识;根据请求消息,判断目标对象是否有访问第二接口的权限;在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问;通过第二接口接收目标对象发送的待认证密钥;在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据,其中,其他数据为除了待认证密钥之外的数据,达到了添加对访问请求的安全性校验过程的目的,从而实现了提高接口安全性,降低接口的数据泄露风险的技术效果,进而解决了相关技术中数据交互过程中对访问请求的安全性校验不足,导致接口存在较大数据泄露的风险的技术问题。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一非易失性存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本发明的实施例还提供了一种非易失性存储介质。可选地,在本实施例中,上述非易失性存储介质可以用于保存上述实施例所提供的接口保护方法所执行的程序代码。
可选地,在本实施例中,上述非易失性存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,非易失性存储介质被设置为存储用于执行以下步骤的程序代码:通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,请求消息中携带有目标对象的标识和第二接口的标识;根据请求消息,判断目标对象是否有访问第二接口的权限;在目标对象有访问第二接口的权限的情况下,生成认证密钥发送至目标对象,其中,目标对象基于认证密钥向第二接口请求访问;通过第二接口接收目标对象发送的待认证密钥;在待认证密钥与认证密钥匹配的情况下,允许第二接口接收并处理目标对象发送的其他数据,其中,其他数据为除了待认证密钥之外的数据。
可选地,在本实施例中,非易失性存储介质被设置为存储用于执行以下步骤的程序代码:根据请求消息,判断目标对象是否有访问第二接口的权限,包括:获取预先设定的访问对象与访问权限的对应关系;在对应关系中,确定与目标对象的标识匹配的访问对象对应的访问权限为目标对象的访问权限;根据目标对象的访问权限,判断目标对象是否有访问第二接口的权限。
可选地,在本实施例中,非易失性存储介质被设置为存储用于执行以下步骤的程序代码:生成认证密钥发送至目标对象,包括:获取与请求消息相关的目标时刻,其中,目标时刻为以下任意之一:请求消息的发送时刻,请求消息的接收时刻,以及判断目标对象是否有访问第二接口的权限的判断时刻;在确定目标对象有访问第二接口的权限的情况下,获取允许目标对象访问第二接口的有效期;判断目标时刻是否位于有效期内;在目标时刻位于有效期内的情况下,生成认证密钥发送至目标对象。
可选地,在本实施例中,非易失性存储介质被设置为存储用于执行以下步骤的程序代码:还包括:获取异常信息,其中,异常信息表征目标对象请求第一接口或第二接口时出现异常;根据异常信息,取消目标对象访问第二接口的权限,和/或更新认证密钥。
可选地,在本实施例中,非易失性存储介质被设置为存储用于执行以下步骤的程序代码:获取异常信息,包括:在获取到目标对象发送的待认证密钥之后,判断目标对象是否访问过第一接口;在目标对象未访问过第一接口的情况下,生成异常信息。
可选地,在本实施例中,非易失性存储介质被设置为存储用于执行以下步骤的程序代码:取消目标对象访问第二接口的权限,包括:标记有效期为失效状态。
可选地,在本实施例中,非易失性存储介质被设置为存储用于执行以下步骤的程序代码:还包括:在待认证密钥与认证密钥不匹配的情况下,禁止第二接口接收并处理其他数据;生成提示信息,其中,提示信息用于提示目标对象待认证密钥错误;将提示信息发送至目标对象。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个非易失性取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种接口保护方法,其特征在于,包括:
通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,所述请求消息中携带有所述目标对象的标识和所述第二接口的标识;
根据所述请求消息,判断所述目标对象是否有访问所述第二接口的权限;
在所述目标对象有访问所述第二接口的权限的情况下,生成认证密钥发送至所述目标对象,其中,所述目标对象基于所述认证密钥向所述第二接口请求访问;
通过所述第二接口接收所述目标对象发送的待认证密钥;
在所述待认证密钥与所述认证密钥匹配的情况下,允许所述第二接口接收并处理所述目标对象发送的其他数据,其中,所述其他数据为除了所述待认证密钥之外的数据。
2.根据权利要求1所述的方法,其特征在于,所述根据所述请求消息,判断所述目标对象是否有访问所述第二接口的权限,包括:
获取预先设定的访问对象与访问权限的对应关系;
在所述对应关系中,确定与所述目标对象的标识匹配的访问对象对应的访问权限为所述目标对象的访问权限;
根据所述目标对象的访问权限,判断所述目标对象是否有访问所述第二接口的权限。
3.根据权利要求1所述的方法,其特征在于,所述生成认证密钥发送至所述目标对象,包括:
获取与所述请求消息相关的目标时刻,其中,所述目标时刻为以下任意之一:所述请求消息的发送时刻,所述请求消息的接收时刻,以及判断所述目标对象是否有访问所述第二接口的权限的判断时刻;
在确定所述目标对象有访问所述第二接口的权限的情况下,获取允许所述目标对象访问所述第二接口的有效期;
判断所述目标时刻是否位于所述有效期内;
在所述目标时刻位于所述有效期内的情况下,生成所述认证密钥发送至所述目标对象。
4.根据权利要求3所述的方法,其特征在于,还包括:
获取异常信息,其中,所述异常信息表征所述目标对象请求所述第一接口或所述第二接口时出现异常;
根据所述异常信息,取消所述目标对象访问所述第二接口的权限,和/或更新所述认证密钥。
5.根据权利要求4所述的方法,其特征在于,所述获取异常信息,包括:
在获取到所述目标对象发送的所述待认证密钥之后,判断所述目标对象是否访问过所述第一接口;
在所述目标对象未访问过所述第一接口的情况下,生成所述异常信息。
6.根据权利要求4所述的方法,其特征在于,所述取消所述目标对象访问所述第二接口的权限,包括:标记所述有效期为失效状态。
7.根据权利要求1至6任一项所述的方法,其特征在于,还包括:
在所述待认证密钥与所述认证密钥不匹配的情况下,禁止所述第二接口接收并处理所述其他数据;
生成提示信息,其中,所述提示信息用于提示所述目标对象所述待认证密钥错误;
将所述提示信息发送至所述目标对象。
8.一种接口保护装置,其特征在于,包括:
第一接收模块,用于通过第一接口接收目标对象发送的请求访问第二接口的请求消息,其中,所述请求消息中携带有所述目标对象的标识和所述第二接口的标识;
判断模块,用于根据所述请求消息,判断所述目标对象是否有访问所述第二接口的权限;
第一生成模块,用于在所述目标对象有访问所述第二接口的权限的情况下,生成认证密钥发送至所述目标对象,其中,所述目标对象基于所述认证密钥向所述第二接口请求访问;
第二接收模块,用于通过所述第二接口接收所述目标对象发送的待认证密钥;
处理模块,用于在所述待认证密钥与所述认证密钥匹配的情况下,允许所述第二接口接收并处理所述目标对象发送的其他数据,其中,所述其他数据为除了所述待认证密钥之外的数据。
9.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述接口保护方法。
10.一种计算机设备,其特征在于,包括:存储器和处理器,
所述存储器存储有计算机程序;
所述处理器,用于执行所述存储器中存储的计算机程序,所述计算机程序运行时使得所述处理器执行权利要求1至7中任意一项所述接口保护方法。
CN202311453272.2A 2023-11-02 2023-11-02 接口保护方法、装置、非易失性存储介质和计算机设备 Pending CN117473466A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311453272.2A CN117473466A (zh) 2023-11-02 2023-11-02 接口保护方法、装置、非易失性存储介质和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311453272.2A CN117473466A (zh) 2023-11-02 2023-11-02 接口保护方法、装置、非易失性存储介质和计算机设备

Publications (1)

Publication Number Publication Date
CN117473466A true CN117473466A (zh) 2024-01-30

Family

ID=89635974

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311453272.2A Pending CN117473466A (zh) 2023-11-02 2023-11-02 接口保护方法、装置、非易失性存储介质和计算机设备

Country Status (1)

Country Link
CN (1) CN117473466A (zh)

Similar Documents

Publication Publication Date Title
EP3274897B1 (en) System and method for managing installation of an application package requiring high-risk permission access
CN104881602B (zh) 无人参与且安全的设备授权
US20190026456A1 (en) Methods and Apparatus for Authentication of Joint Account Login
US20180212955A1 (en) Method for operating a designated service, service unlocking method, and terminal
CN110795742B (zh) 高速密码运算的度量处理方法、装置、存储介质及处理器
CN112311769B (zh) 安全认证的方法、系统、电子设备及介质
CN112055017A (zh) 单一账号多应用统一登录方法、装置及计算机设备
CN111433774B (zh) 用于系统的完整性确认的方法和确认装置
CN111259368A (zh) 一种登录系统的方法及设备
CN113226858A (zh) 信息处理装置
CN116827551A (zh) 一种防止全局越权的方法及装置
CN116707758A (zh) 可信计算设备的认证方法、设备和服务器
CN117473466A (zh) 接口保护方法、装置、非易失性存储介质和计算机设备
CN107846390B (zh) 应用程序的认证方法及装置
CN111858114B (zh) 设备启动异常处理,设备启动控制方法、装置及系统
CN111258598B (zh) 度量更新方法、装置、系统、存储介质及计算机设备
CN116208353A (zh) 一种校验固件的方法、装置、网卡、芯片系统及服务器
CN108234399B (zh) 一种接口通信方法及终端
CN113966510A (zh) 可信设备和计算系统
CN112311716A (zh) 一种基于openstack的数据访问控制方法、装置及服务器
EP3884645B1 (en) Method of managing network access of a device and device
CN112491893B (zh) 区块链的终端设备入网方法、装置、服务器及存储介质
CN115242486B (zh) 数据处理方法、装置及计算机可读存储介质
CN114610402B (zh) 操作权限控制方法和操作权限配置方法
CN116781432B (zh) 一种情报数据的更新方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication