CN117857198A - Api接口安全访问方法、系统、装置和设备 - Google Patents
Api接口安全访问方法、系统、装置和设备 Download PDFInfo
- Publication number
- CN117857198A CN117857198A CN202410075642.1A CN202410075642A CN117857198A CN 117857198 A CN117857198 A CN 117857198A CN 202410075642 A CN202410075642 A CN 202410075642A CN 117857198 A CN117857198 A CN 117857198A
- Authority
- CN
- China
- Prior art keywords
- token
- result
- verification
- address
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000012795 verification Methods 0.000 claims abstract description 279
- 238000012545 processing Methods 0.000 claims abstract description 42
- 238000004590 computer program Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了API接口安全访问方法、系统、装置及设备,包括:客户端向服务端发起当前API请求,服务端响应于该请求,获取令牌、浏览器特征信息、用户IP地址和业务数据,并根据浏览器特征信息生成浏览器指纹;服务端对令牌进行验证,得到令牌验证结果;若确定令牌验证结果为通过结果,则服务端对用户IP地址进行验证,得到IP地址验证结果;若确定IP地址验证结果为通过结果,则服务端对浏览器指纹进行验证,得到浏览器指纹验证结果;若确定浏览器指纹验证结果为通过结果,则服务端获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果;服务端将数据处理结果发送至客户端。提高了API接口访问安全性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及API接口安全访问方法、系统、装置和设备。
背景技术
在WEB应用程序中,主要分为客户端和服务端两部分,客户端负责给用户使用,服务端负责处理用户的请求。在这个过程中,客户端和服务端之间的数据交互都是通过API接口(又指应用程序编程接口)来实现的。但是这个接口的访问权限并不是任何人都可以获取的,现有的API接口访问方案是用户输入账号密码登录后,服务端会返回一个令牌给客户端,客户端在本地存储该令牌,并携带令牌发起登录请求,服务端获取该令牌,并校验令牌的有效性,即校验令牌是否被篡改和过期。如果令牌经校验后有效,则客户端可以实现服务端API接口的访问。
然而,现有的API接口访问方案存在一个问题,那就是令牌很容易泄露或被劫持,如果令牌被劫持或泄露,那么采用现有的访问方案就会导致API接口的安全性受到威胁。
因此,针对现有技术中存在的API接口访问安全性不高的问题,尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种API接口安全访问方法、系统、装置及设备,旨在解决现有技术方法中所存在的API接口访问安全性不高的问题。
第一方面,本发明实施例提供了一种API接口安全访问方法,应用于服务端,所述方法包括:
响应于客户端发送的当前API请求,获取所述当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据所述浏览器特征信息生成浏览器指纹;
对所述令牌进行验证,得到令牌验证结果;
若确定所述令牌验证结果为验证通过结果,则对所述用户IP地址进行验证,得到IP地址验证结果;
若确定所述IP地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;
若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前API请求对应的目标API接口并对所述业务数据进行处理,得到数据处理结果;
将所述数据处理结果发送至所述客户端。
第二方面,本发明实施例提供了一种API接口安全访问方法,应用于API接口安全访问系统,其特征在于,所述API接口安全访问系统包括客户端和服务端,所述客户端与所述服务端通讯连接,所述方法包括:
所述客户端向所述服务端发起当前API请求,其中,所述当前API请求中包括令牌、浏览器特征信息、用户IP地址和业务数据;
所述服务端获取所述浏览器特征信息,并根据所述浏览器特征信息生成浏览器指纹;
所述服务端获取令牌和用户IP地址,并对所述令牌进行验证,得到令牌验证结果;若确定所述令牌验证结果为验证通过结果,则对所述用户IP地址进行验证,得到IP地址验证结果;若确定所述IP地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前API请求对应的目标API接口并对所述业务数据进行处理,得到数据处理结果;
所述服务端将所述数据处理结果发送至所述客户端。
第三方面,本发明实施例提供了一种API接口安全访问装置,所述装置用于服务端,包括:
响应于客户端发送的当前API请求,获取所述当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据所述浏览器特征信息生成浏览器指纹;
对所述令牌进行验证,得到令牌验证结果;
若确定所述令牌验证结果为验证通过结果,则对所述用户IP地址进行验证,得到IP地址验证结果;
若确定所述IP地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;
若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前API请求对应的目标API接口并对所述业务数据进行处理,得到数据处理结果;
将所述数据处理结果发送至所述客户端。
第四方面,本发明实施例提供了一种API接口安全访问系统,所述系统包括服务端、客户端,
所述客户端向所述服务端发起当前API请求,其中,所述当前API请求中包括令牌、浏览器特征信息、用户IP地址和业务数据;
所述服务端获取所述浏览器特征信息,并根据所述浏览器特征信息生成浏览器指纹;
所述服务端获取令牌和用户IP地址,并对所述令牌进行验证,得到令牌验证结果;若确定所述令牌验证结果为验证通过结果,则对所述用户IP地址进行验证,得到IP地址验证结果;若确定所述IP地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前API请求对应的目标API接口并对所述业务数据进行处理,得到数据处理结果;
所述服务端将所述数据处理结果发送至所述客户端。
第五方面,本发明实施例又提供了一种计算机设备,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面或第二方面所述的方法。
第六方面,本申请实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时可实现上述第一方面或第二方面提供的方法。
本发明实施例提供了一种API接口安全访问方法、系统、装置和设备,方法包括:客户端向服务端发起当前API请求,服务端响应于客户端发起的当前API请求,获取当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据浏览器特征信息生成浏览器指纹;然后服务端对获取的令牌进行验证,得到令牌验证结果;若确定令牌验证结果为验证通过结果,则服务端对用户IP地址进行验证,得到IP地址验证结果;若确定IP地址验证结果为验证通过结果,则服务端对浏览器指纹进行验证,得到浏览器指纹验证结果;若确定浏览器指纹验证结果为验证通过结果,则服务端获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果;最后,服务端将数据处理结果发送至客户端。
上述方法中,客户端请求API访问时,服务端不仅需要校验令牌,还需要校验浏览器指纹和用户IP地址,通过三重验证能更严格的校验API接口请求的信息与用户登录时记录的信息是否一致,避免了令牌被劫持或泄露后产生的API接口访问风险问题,提高了访问的安全性。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种API接口安全访问方法的流程示意图;
图2为本发明实施例提供的另一种API接口安全访问方法的流程示意图
图3为本发明实施例提供的API接口安全访问系统的流程示意图;
图4为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
本申请实施例提供了一种API接口安全访问方法,该方法应用于服务端中,图1为本发明实施例提供的一种API接口安全访问方法的流程示意图,如图1所示,该方法包括步骤S110~S160。
S110、响应于客户端发送的当前API请求,获取当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据浏览器特征信息生成浏览器指纹。
本实施例中,服务端响应于客户端发送的当前API请求,获取当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据浏览器特征信息生成浏览器指纹。
S120、对令牌进行验证,得到令牌验证结果。
本实施例中,服务端对获取的令牌进行验证,得到令牌验证结果。
具体的,服务端对令牌的验证步骤包括:获取令牌;通过RSA加密算法(又指非对称加密算法)中的密钥对令牌进行解密,得到令牌的签证信息,并对签证信息进行验证,得到签证信息验证结果;若确定签证信息验证结果为验证通过结果,则通过预设的令牌有效期对在当前API请求时间戳下的令牌进行时效性验证,得到令牌时效性验证结果;若令牌时效性验证结果对应令牌未过期,则判定令牌验证结果为验证通过结果;若令牌时效性验证结果对应令牌已过期,则判定令牌验证结果为验证未通过结果。
在一些实施例中,在令牌解密后,对签证信息的验证步骤包括:提取解密后令牌中的Header和Payload信息,并对Header和Payload信息进行base64加密;然后将base64加密后的header和payload信息通过字符点进行拼接,组成字符串,并基于指定加密方式对该字符串进行加密得到secret,从而组合得到新的签证信息;最后,将该新的签证信息与令牌解密得到的签证信息进行比对,若确定比对结果为相同结果,则判定解密得到的签证信息验证结果为验证通过结果;若确定比对结果为不相同结果,则判定解密得到的签证信息验证结果为验证不通过结果。
在一些实施例中,对客户端登录服务端后生成的令牌进行有效期设置,以预设令牌有效期,从而对之后API请求中的令牌进行时效性验证。
S130、若确定令牌验证结果为验证通过结果,则对用户IP地址进行验证,得到IP地址验证结果。
本实施例中,若确定步骤S120中的令牌验证结果为验证通过结果,则服务端对用户IP地址进行验证,得到IP地址验证结果。
具体的,服务端获取客户端登录服务端后的令牌与用户IP地址的关联关系;然后将当前API请求中的用户IP地址与关联关系中的用户IP地址进行比对,得到IP地址比对结果;若确定IP地址比对结果为相同结果,则判定IP地址验证结果为验证通过结果;若确定IP地址比对结果为不相同结果,则判定IP地址验证结果为验证未通过结果。
S140、若确定IP地址验证结果为验证通过结果,则对浏览器指纹进行验证,得到浏览器指纹验证结果。
本实施例中,若确定步骤S130中的IP地址验证结果为验证通过结果,则服务端对浏览器指纹进行验证,得到浏览器指纹验证结果。
具体的,服务端获取客户端发起登录请求时生成的已存储浏览器指纹;然后将当前API请求中的浏览器指纹与已存储浏览器指纹进行比对,得到浏览器指纹比对结果;若确定浏览器指纹比对结果为相同结果,则判定浏览器指纹验证结果为验证通过结果;若确定浏览器指纹比对结果为不相同结果,则判定浏览器指纹验证结果为验证未通过结果。
S150、若确定浏览器指纹验证结果为验证通过结果,则获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果。
本实施中,若确定浏览器指纹验证结果为验证通过结果,则获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果。
S160、将数据处理结果发送至客户端。
通过上述三重校验,即对令牌的合法性、时效性校验,对浏览器指纹的比对校验,以及对用户IP地址的比对校验,可以更严格的校验API接口请求的信息与用户登录时记录的信息是否一致,避免了Token被劫持或泄露后产生的API接口访问风险问题,提高了访问安全性。
本申请实施例还提供了另一种API接口安全访问方法,应用于API接口安全访问系统,该系统包括客户端和服务端,其中,客户端与服务端通讯连接,图2为本发明实施例提供的另一种API接口安全访问方法的流程示意图,如图2所示,该方法包括步骤S210~S240。
S210、客户端向服务端发起当前API请求,其中,当前API请求中包括令牌、浏览器特征信息、用户IP地址和业务数据。
本实施例中,客户端向服务端发起当前API请求,其中,当前API请求中包括令牌、浏览器特征信息、用户IP地址和业务数据。
S220、服务端获取浏览器特征信息,并根据浏览器特征信息生成浏览器指纹。
本实施例中,服务端从当前API请求中获取浏览器特征信息,根据获取的浏览器特征信息生成浏览器指纹。具体的,浏览器指纹的生成步骤包括:将浏览器特征信息按照指定的顺序进行拼接,生成一个字符串后,通过MD5摘要算法对该字符串进行计算,得到浏览器指纹。
S230、服务端获取令牌和用户IP地址,并对令牌进行验证,得到令牌验证结果;若确定令牌验证结果为验证通过结果,则对用户IP地址进行验证,得到IP地址验证结果;若确定IP地址验证结果为验证通过结果,则对浏览器指纹进行验证,得到浏览器指纹验证结果;若确定浏览器指纹验证结果为验证通过结果,则获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果。
本实施例中,服务端获取当前API请求中的令牌和用户IP地址,并对获取的令牌进行验证,得到令牌验证结果。
具体的,服务端对令牌的验证步骤包括:获取令牌;通过RSA加密算法中的密钥对令牌进行解密,得到令牌的签证信息,并对签证信息进行验证,得到签证信息验证结果;若确定签证信息验证结果为验证通过结果,则通过预设的令牌有效期对在当前API请求时间戳下的令牌进行时效性验证,得到令牌时效性验证结果;若令牌时效性验证结果对应令牌未过期,则判定令牌验证结果为验证通过结果;若令牌时效性验证结果对应令牌已过期,则判定令牌验证结果为验证未通过结果。
在一些实施例中,在令牌解密后,对签证信息的验证步骤包括:提取解密后令牌中的Header和Payload信息,并对Header和Payload信息进行base64加密;然后将base64加密后的header和payload信息通过字符点进行拼接,组成字符串,并基于指定加密方式对该字符串进行加密得到secret,从而组合得到新的签证信息;最后,将该新的签证信息与令牌解密得到的签证信息进行比对,若确定比对结果为相同结果,则判定解密得到的签证信息验证结果为验证通过结果;若确定比对结果为不相同结果,则判定解密得到的签证信息验证结果为验证不通过结果。
在一些实施例中,对客户端登录服务端后生成的令牌进行有效期设置,以预设令牌有效期,从而对之后API请求中的令牌进行时效性验证。
在通过上述令牌验证,确定令牌验证结果为验证通过结果后,服务端对用户IP地址进行验证,得到IP地址验证结果。
具体的,服务端获取客户端登录服务端后的令牌与用户IP地址的关联关系;然后将当前API请求中的用户IP地址与关联关系中的用户IP地址进行比对,得到IP地址比对结果;若确定IP地址比对结果为相同结果,则判定IP地址验证结果为验证通过结果;若确定IP地址比对结果为不相同结果,则判定IP地址验证结果为验证未通过结果。
在通过上述用户IP地址验证,确定IP地址验证结果为验证通过结果后,服务端对浏览器指纹进行验证,得到浏览器指纹验证结果。
具体的,服务端获取客户端发起登录请求时生成的已存储浏览器指纹;然后将当前API请求中的浏览器指纹与已存储浏览器指纹进行比对,得到浏览器指纹比对结果;若确定浏览器指纹比对结果为相同结果,则判定浏览器指纹验证结果为验证通过结果;若确定浏览器指纹比对结果为不相同结果,则判定浏览器指纹验证结果为验证未通过结果。
在通过上述浏览器指纹验证,确定浏览器指纹验证结果为验证通过结果后,获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果。
S240、服务端将数据处理结果发送至客户端。
通过上述三重校验,即对令牌的合法性、时效性校验,对浏览器指纹的比对校验,以及对用户IP地址的比对校验,可以更严格的校验API接口请求的信息与用户登录时记录的信息是否一致,避免了Token被劫持或泄露后产生的API接口访问风险问题,提高了访问安全性。
在一些实施例中,在客户端向服务端发起当前API请求之前,还包括如下步骤:
S1、客户端向服务端发送登录请求,登录请求中包括浏览器特征信息和用户信息。
具体的,用户在客户端输入账户名和账号密码,向服务端发起登录请求。其中,登录请求中包括浏览器特征信息和用户信息。
S2、服务端获取浏览器特征信息,并根据浏览器特征信息生成浏览器指纹。
具体的,服务端从登录请求中获取浏览器特征信息。其中,浏览器特征信息包括用户IP地址、MAC地址、浏览器类型、浏览器版本等。
服务端根据获取的浏览器特征信息生成浏览器指纹,具体的,将浏览器特征信息按照指定的顺序进行拼接,生成一个字符串后,通过MD5摘要算法(MessageDigestAlgorithm 5,又称消息摘要算法第五版)对该字符串进行计算,得到浏览器指纹。
S3、服务端获取用户信息,根据用户信息生成数字签名,并对数字签名进行加密以得到令牌。
具体的,服务端获取用户信息,根据用户信息生成数字签名,并对数字签名进行加密以得到令牌。加密方法包括:基于JWT-Token规则,服务端对数字签名进行加密处理,得到令牌,并通过RSA加密算法对令牌进行加密。需要说明的是,JWT-Token规则中令牌由header,payload和signature三部分组成。signature为签证信息,该签证信息由三部分组成,分别是header、payload和secret,其中,将base64加密后的header和base64加密后的payload通过字符点(.)连接组成字符串(头部在前),然后通过header中声明的加密方式对字符串进行加密,得到secret。需要说明的是,JWT-Token规则(又称JsonWeb Token)是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。其中,header是指令牌类型,payload是指有效负载
S4、服务端将令牌与浏览器特征信息中的用户IP地址进行关联,得到令牌与用户IP地址的关联关系,并将令牌和关联关系存储至预设的缓存区域。
具体的,服务端将令牌与浏览器特征信息中的用户IP地址进行关联,得到令牌与用户IP地址的关联关系,并将令牌和关联关系存储至预设的缓存区域。此外,生成的登录浏览器指纹也存储至预设的缓存区域中。
S5、服务端将令牌返回给客户端。
在本发明实施例所提供的API接口安全访问方法中,客户端向服务端发起当前API请求,服务端响应于客户端发送的当前API请求,获取当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据浏览器特征信息生成浏览器指纹;然后服务端对获取的令牌进行验证,得到令牌验证结果;若确定令牌验证结果为验证通过结果,则服务端对用户IP地址进行验证,得到IP地址验证结果;若确定IP地址验证结果为验证通过结果,则服务端对浏览器指纹进行验证,得到浏览器指纹验证结果;若确定浏览器指纹验证结果为验证通过结果,则服务端获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果;最后,服务端将数据处理结果发送至客户端。上述方法中,客户端请求API访问时,服务端不仅需要校验令牌,还需要校验浏览器指纹和用户IP地址,通过三重验证能更严格的校验API接口请求的信息与用户登录时记录的信息是否一致,避免了令牌被劫持或泄露后产生的API接口访问风险问题,提高了访问的安全性。
本发明实施例还提供一种API接口安全访问装置,该装置应用于服务端。
具体的,响应于客户端发送的当前API请求,获取当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据所述浏览器特征信息生成浏览器指纹;然后对令牌进行验证,得到令牌验证结果;若确定令牌验证结果为验证通过结果,则对用户IP地址进行验证,得到IP地址验证结果;若确定IP地址验证结果为验证通过结果,则对浏览器指纹进行验证,得到浏览器指纹验证结果;若确定浏览器指纹验证结果为验证通过结果,则获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果;最后将数据处理结果发送至客户端。
通过上述装置能更严格的校验API接口请求的信息与用户登录时记录的信息是否一致,避免了令牌被劫持或泄露后产生的API接口访问风险问题,提高了访问的安全性。
本发明实施例还提供一种API接口安全访问系统,图3为本发明实施例提供的API接口安全访问系统的流程示意图,如图3所示,该系统包括服务端、客户端,客户端与服务端通讯连接。
在一些实施例中,在客户端向服务端发起当前API请求之前,先进行如下操作:
客户端向服务端发送登录请求,登录请求中包括浏览器特征信息和用户信息。
具体的,用户在客户端输入账户名和账号密码,向服务端发起登录请求。其中,登录请求中包括浏览器特征信息和用户信息。
服务端获取浏览器特征信息,并根据浏览器特征信息生成浏览器指纹。
具体的,服务端从登录请求中获取浏览器特征信息。其中,浏览器特征信息包括用户IP地址、MAC地址、浏览器类型、浏览器版本等。
服务端根据获取的浏览器特征信息生成浏览器指纹,具体的,将浏览器特征信息按照指定的顺序进行拼接,生成一个字符串后,通过MD5摘要算法对该字符串进行计算,得到浏览器指纹。
服务端获取用户信息,根据用户信息生成数字签名,并对数字签名进行加密以得到令牌。
具体的,服务端获取用户信息,根据用户信息生成数字签名,并对数字签名进行加密以得到令牌。加密方法包括:基于JWT-Token规则,服务端对数字签名进行加密处理,得到令牌,并通过RSA加密算法对令牌进行加密。需要说明的是,JWT-Token规则中令牌由header,payload和signature三部分组成。signature为签证信息,该签证信息由三部分组成,分别是header、payload和secret,其中,将base64加密后的header和base64加密后的payload通过字符点(.)连接组成字符串(头部在前),然后通过header中声明的加密方式对字符串进行加密,得到secret。
服务端将令牌与浏览器特征信息中的用户IP地址进行关联,得到令牌与用户IP地址的关联关系,并将令牌和关联关系存储至预设的缓存区域。
具体的,服务端将令牌与浏览器特征信息中的用户IP地址进行关联,得到令牌与用户IP地址的关联关系,并将令牌和关联关系存储至预设的缓存区域。此外,生成的登录浏览器指纹也存储至预设的缓存区域中。
服务端将令牌返回给客户端。
然后,客户端向服务端发起当前API请求,其中,当前API请求中包括令牌、浏览器特征信息、用户IP地址和业务数据。
接着,服务端获取浏览器特征信息,并根据浏览器特征信息生成浏览器指纹。浏览器指纹的生成步骤包括:将浏览器特征信息按照指定的顺序进行拼接,生成一个字符串后,通过MD5摘要算法对该字符串进行计算,得到浏览器指纹。
紧接着,服务端获取令牌和用户IP地址,并对令牌进行验证,得到令牌验证结果;若确定令牌验证结果为验证通过结果,则对用户IP地址进行验证,得到IP地址验证结果;若确定IP地址验证结果为验证通过结果,则对浏览器指纹进行验证,得到浏览器指纹验证结果;若确定浏览器指纹验证结果为验证通过结果,则获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果。
最后,服务端将数据处理结果发送至客户端。
在一些实施例中,服务端对令牌的验证步骤包括:获取令牌;通过RSA加密算法中的密钥对令牌进行解密,得到令牌的签证信息,并对签证信息进行验证,得到签证信息验证结果;若确定签证信息验证结果为验证通过结果,则通过预设的令牌有效期对在当前API请求时间戳下的令牌进行时效性验证,得到令牌时效性验证结果;若令牌时效性验证结果对应令牌未过期,则判定令牌验证结果为验证通过结果;若令牌时效性验证结果对应令牌已过期,则判定令牌验证结果为验证未通过结果。
在一些实施例中,在令牌解密后,对签证信息的验证步骤包括:提取解密后令牌中的Header和Payload信息,并对Header和Payload信息进行base64加密;然后将base64加密后的header和payload信息通过字符点进行拼接,组成字符串,并基于指定加密方式对该字符串进行加密得到secret,从而组合得到新的签证信息;最后,将该新的签证信息与令牌解密得到的签证信息进行比对,若确定比对结果为相同结果,则判定解密得到的签证信息验证结果为验证通过结果;若确定比对结果为不相同结果,则判定解密得到的签证信息验证结果为验证不通过结果。
在一些实施例中,对客户端登录服务端后生成的令牌进行有效期设置,以预设令牌有效期,从而对之后API请求中的令牌进行时效性验证。
在一些实施例中,服务端对用户IP地址的验证步骤包括:服务端获取客户端登录服务端后的令牌与用户IP地址的关联关系;然后将当前API请求中的用户IP地址与关联关系中的用户IP地址进行比对,得到IP地址比对结果;若确定IP地址比对结果为相同结果,则判定IP地址验证结果为验证通过结果;若确定IP地址比对结果为不相同结果,则判定IP地址验证结果为验证未通过结果。
在一些实施例中,服务端对浏览器指纹的验证步骤包括:服务端获取客户端发起登录请求时生成的已存储浏览器指纹;然后将当前API请求中的浏览器指纹与已存储浏览器指纹进行比对,得到浏览器指纹比对结果;若确定浏览器指纹比对结果为相同结果,则判定浏览器指纹验证结果为验证通过结果;若确定浏览器指纹比对结果为不相同结果,则判定浏览器指纹验证结果为验证未通过结果。
在本发明实施例所提供的API接口安全访问系统中,客户端向服务端发起当前API请求,服务端响应于客户端发送的当前API请求,获取当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据浏览器特征信息生成浏览器指纹;然后服务端对获取的令牌进行验证,得到令牌验证结果;若确定令牌验证结果为验证通过结果,则服务端对用户IP地址进行验证,得到IP地址验证结果;若确定IP地址验证结果为验证通过结果,则服务端对浏览器指纹进行验证,得到浏览器指纹验证结果;若确定浏览器指纹验证结果为验证通过结果,则服务端获取与当前API请求对应的目标API接口并对业务数据进行处理,得到数据处理结果;最后,服务端将数据处理结果发送至客户端。上述方法中,客户端请求API访问时,服务端不仅需要校验令牌,还需要校验浏览器指纹和用户IP地址,通过三重验证能更严格的校验API接口请求的信息与用户登录时记录的信息是否一致,避免了令牌被劫持或泄露后产生的API接口访问风险问题,提高了访问的安全性。
上述API接口安全访问方法可以实现为计算机程序的形式,该计算机程序可以在如图4所示的计算机设备上运行。
请参阅图4,图4是本发明实施例提供的计算机设备的示意性框图。该计算机设备可以是用于执行API接口安全访问方法。
参阅图4,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括存储介质503和内存储器504。
该存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时,可使得处理器502执行API接口安全访问方法,其中,存储介质503可以为易失性的存储介质或非易失性的存储介质。
该处理器502用于提供计算和控制能力,支撑整个计算机设备500的运行。
该内存储器504为存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行API接口安全访问方法。
该网络接口505用于进行网络通信,如提供数据信息的传输等。本领域技术人员可以理解,图4中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现上述的API接口安全访问方法中对应的功能。
本领域技术人员可以理解,图4中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定,在其他实施例中,计算机设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。例如,在一些实施例中,计算机设备可以仅包括存储器及处理器,在这样的实施例中,存储器及处理器的结构及功能与图4所示实施例一致,在此不再赘述。
应当理解,在本发明实施例中,处理器502可以是中央处理单元(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在本发明的另一实施例中提供计算机可读存储介质。该计算机可读存储介质可以为易失性或非易失性的计算机可读存储介质。该计算机可读存储介质存储有计算机程序,其中计算机程序被处理器执行时实现上述的API接口安全访问方法中所包含的步骤。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为逻辑功能划分,实际实现时可以有另外的划分方式,也可以将具有相同功能的单元集合成一个单元,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个计算机可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的计算机可读存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种API接口安全访问方法,应用于服务端,其特征在于,包括:
响应于客户端发送的当前API请求,获取所述当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据所述浏览器特征信息生成浏览器指纹;
对所述令牌进行验证,得到令牌验证结果;
若确定所述令牌验证结果为验证通过结果,则对所述用户IP地址进行验证,得到IP地址验证结果;
若确定所述IP地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;
若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前API请求对应的目标API接口并对所述业务数据进行处理,得到数据处理结果;
将所述数据处理结果发送至所述客户端。
2.根据权利要求1所述的方法,其特征在于,所述对所述令牌进行验证,得到令牌验证结果,包括:
获取所述令牌;
通过RSA加密算法中的密钥对所述令牌进行解密,得到所述令牌的签证信息,并对所述签证信息进行验证,得到签证信息验证结果;
若确定所述签证信息验证结果为验证通过结果,则通过预设的令牌有效期对在当前API请求时间戳下的令牌进行时效性验证,得到令牌时效性验证结果;
若所述令牌时效性验证结果对应令牌未过期,则判定所述令牌验证结果为验证通过结果;
若所述令牌时效性验证结果对应令牌已过期,则判定所述令牌验证结果为验证未通过结果。
3.根据权利要求1所述的方法,其特征在于,所述对所述用户IP地址进行验证,得到IP地址验证结果,包括:
获取所述客户端登录所述服务端后的所述令牌与用户IP地址的关联关系;
将所述当前API请求中的用户IP地址与所述关联关系中的用户IP地址进行比对,得到IP地址比对结果;
若确定所述IP地址比对结果为相同结果,则判定所述IP地址验证结果为验证通过结果;
若确定所述IP地址比对结果为不相同结果,则判定所述IP地址验证结果为验证未通过结果。
4.根据权利要求1所述的方法,其特征在于,所述对所述浏览器指纹进行验证,得到浏览器指纹验证结果,包括:
获取所述客户端发起登录请求时生成的已存储浏览器指纹;
将所述当前API请求中的浏览器指纹与所述已存储浏览器指纹进行比对,得到浏览器指纹比对结果;
若确定所述浏览器指纹比对结果为相同结果,则判定所述浏览器指纹验证结果为验证通过结果;
若确定所述浏览器指纹比对结果为不相同结果,则判定所述浏览器指纹验证结果为验证未通过结果。
5.一种API接口安全访问方法,应用于API接口安全访问系统,其特征在于,所述API接口安全访问系统包括客户端和服务端,所述客户端与所述服务端通讯连接,所述方法包括:
所述客户端向所述服务端发起当前API请求,其中,所述当前API请求中包括令牌、浏览器特征信息、用户IP地址和业务数据;
所述服务端获取所述浏览器特征信息,并根据所述浏览器特征信息生成浏览器指纹;
所述服务端获取令牌和用户IP地址,并对所述令牌进行验证,得到令牌验证结果;若确定所述令牌验证结果为验证通过结果,则对所述用户IP地址进行验证,得到IP地址验证结果;若确定所述IP地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前API请求对应的目标API接口并对所述业务数据进行处理,得到数据处理结果;
所述服务端将所述数据处理结果发送至所述客户端。
6.根据权利要求5所述的方法,其特征在于,在所述客户端向所述服务端发起当前API请求之前,所述方法包括:
所述客户端向所述服务端发送登录请求,所述登录请求中包括浏览器特征信息和用户信息;
所述服务端获取浏览器特征信息,并根据所述浏览器特征信息生成浏览器指纹;
所述服务端获取所述用户信息,根据所述用户信息生成数字签名,并对所述数字签名进行加密以得到令牌;
所述服务端将所述令牌与所述浏览器特征信息中的用户IP地址进行关联,得到所述令牌与所述用户IP地址的关联关系,并将所述令牌和所述关联关系存储至预设的缓存区域;
所述服务端将所述令牌返回给所述客户端。
7.根据权利要求5所述的方法,其特征在于,所述对所述令牌进行验证,得到令牌验证结果,包括:
所述服务端获取所述令牌;
所述服务端通过RSA加密算法中的密钥对所述令牌进行解密,得到所述令牌的签证信息,并对所述签证信息进行验证,得到签证信息验证结果;
若确定所述签证信息验证结果为验证通过结果,则所述服务端通过预设的令牌有效期对在当前API请求时间戳下的令牌进行时效性验证,得到令牌时效性验证结果;
若所述令牌时效性验证结果对应令牌未过期,则所述服务端判定所述令牌验证结果为验证通过结果;
若所述令牌时效性验证结果对应令牌已过期,则所述服务端判定所述令牌验证结果为验证未通过结果。
8.一种API接口安全访问装置,其特征在于,所述装置用于服务端,包括:
响应于客户端发送的当前API请求,获取所述当前API请求中包括的令牌、浏览器特征信息、用户IP地址和业务数据,并根据所述浏览器特征信息生成浏览器指纹;
对所述令牌进行验证,得到令牌验证结果;
若确定所述令牌验证结果为验证通过结果,则对所述用户IP地址进行验证,得到IP地址验证结果;
若确定所述IP地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;
若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前API请求对应的目标API接口并对所述业务数据进行处理,得到数据处理结果;
将所述数据处理结果发送至所述客户端。
9.一种API接口安全访问系统,其特征在于,所述系统包括服务端、客户端,
所述客户端向所述服务端发起当前API请求,其中,所述当前API请求中包括令牌、浏览器特征信息、用户IP地址和业务数据;
所述服务端获取所述浏览器特征信息,并根据所述浏览器特征信息生成浏览器指纹;
所述服务端获取令牌和用户IP地址,并对所述令牌进行验证,得到令牌验证结果;若确定所述令牌验证结果为验证通过结果,则对所述用户IP地址进行验证,得到IP地址验证结果;若确定所述IP地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前API请求对应的目标API接口并对所述业务数据进行处理,得到数据处理结果;
所述服务端将所述数据处理结果发送至所述客户端。
10.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的方法,或者所述处理器执行所述计算机程序时实现如权利要求5至7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410075642.1A CN117857198A (zh) | 2024-01-18 | 2024-01-18 | Api接口安全访问方法、系统、装置和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410075642.1A CN117857198A (zh) | 2024-01-18 | 2024-01-18 | Api接口安全访问方法、系统、装置和设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117857198A true CN117857198A (zh) | 2024-04-09 |
Family
ID=90529042
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410075642.1A Pending CN117857198A (zh) | 2024-01-18 | 2024-01-18 | Api接口安全访问方法、系统、装置和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117857198A (zh) |
-
2024
- 2024-01-18 CN CN202410075642.1A patent/CN117857198A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
EP1997270B1 (en) | Method and system for authenticating a user | |
CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
US8787566B2 (en) | Strong encryption | |
US6950523B1 (en) | Secure storage of private keys | |
CN109413076B (zh) | 域名解析方法及装置 | |
JP4591894B2 (ja) | セキュリティモジュールを有するユーザ装置により実行できる処理に対するプライバシの維持 | |
CN111639325B (zh) | 基于开放平台的商户认证方法、装置、设备和存储介质 | |
CN114244522B (zh) | 信息保护方法、装置、电子设备及计算机可读存储介质 | |
CN110868291A (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
CN114662087B (zh) | 一种多端验证的安全芯片固件更新方法及装置 | |
CN114244508A (zh) | 数据加密方法、装置、设备及存储介质 | |
CN115834077B (zh) | 控制方法、控制系统、电子设备及存储介质 | |
CN115604034A (zh) | 一种通信连接的加解密方法、系统及电子设备 | |
CN117857198A (zh) | Api接口安全访问方法、系统、装置和设备 | |
JP2019134333A (ja) | 情報処理システム、クライアント装置、認証認可サーバー、制御方法とそのプログラム | |
CN114944921A (zh) | 登录认证方法、装置、电子设备及存储介质 | |
CN113595731A (zh) | 一种分享链接的防护方法、装置及计算机可读存储介质 | |
CN114884710B (zh) | 页面数据的验证方法及其装置、电子设备及存储介质 | |
CN116566744B (zh) | 数据处理方法和安全校验系统 | |
CN114650175B (zh) | 一种验证方法及装置 | |
CN114172664B (zh) | 数据加密、数据解密方法、装置、电子设备及存储介质 | |
CN111698299B (zh) | Session对象复制方法、装置、分布式微服务架构及介质 | |
CN117640109B (zh) | Api接口安全访问方法、装置、电子设备及存储介质 | |
CN116663036A (zh) | 一种访问列表详情页的方法、装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |