CN117978412A - Api认证方法、转换网关、管理平台及电子设备 - Google Patents
Api认证方法、转换网关、管理平台及电子设备 Download PDFInfo
- Publication number
- CN117978412A CN117978412A CN202211310107.7A CN202211310107A CN117978412A CN 117978412 A CN117978412 A CN 117978412A CN 202211310107 A CN202211310107 A CN 202211310107A CN 117978412 A CN117978412 A CN 117978412A
- Authority
- CN
- China
- Prior art keywords
- platform
- authentication information
- token
- authentication
- conversion gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000006243 chemical reaction Methods 0.000 title claims abstract description 129
- 238000000034 method Methods 0.000 title claims abstract description 68
- 230000004044 response Effects 0.000 claims abstract description 73
- 238000012795 verification Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 238000013519 translation Methods 0.000 claims description 8
- 239000000758 substrate Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003756 stirring Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种API认证方法、转换网关、管理平台及电子设备。其中,方法包括:转换网关接收第三方平台发送的第一认证信息,向管理平台发送第一认证信息对应的第一查询请求,并接收第一查询响应,基于查询响应对第一认证信息进行认证;在第一认证信息认证通过的情况下,转换网关能够接收管理平台根据服务平台的标识信息所发送的第二认证信息,网关将第二认证信息发送给服务平台,以使服务平台对第二认证信息进行认证。通过上述过程,服务平台只需要对转换网关进行认证,由转换网关对第三方平台进行认证,这样,服务平台无需对多个第三方平台发送的认证信息进行验证,从而有效降低服务平台对第三方平台进行认证管理的难度。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种API认证方法、转换网关、管理平台及电子设备。
背景技术
目前,越来越多的服务平台提供应用程序编程接口(Application ProgrammingInterface,API)给第三方平台使用,其API认证机制通常以服务平台为核心构建,由服务平台负责认证信息的安全管理设计以及对第三方平台发送的认证信息进行验证。第三方平台和服务平台之间逐渐呈现出多对多的网络连接关系,服务平台需要对多个第三方平台发送的认证信息进行验证,导致服务平台对第三方平台进行认证管理的难度较大。
发明内容
本申请实施例提供一种API认证方法、转换网关、管理平台及电子设备,以解决现有技术中服务平台需要对多个第三方平台发送的认证信息进行验证,导致服务平台对第三方平台进行认证管理的难度较大的问题。
为了解决上述技术问题,本申请是这样实现的;
第一方面,本申请实施例提供了一种API认证方法,应用于转换网关,包括:
接收第一平台发送的第一消息,所述第一消息包括第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
向管理平台发送所述第一认证信息对应的第一查询请求,并接收所述第一查询请求对应的第一查询响应;
基于所述第一查询响应对所述第一认证信息进行认证;
在所述第一认证信息认证通过的情况下,向所述管理平台发送与所述第二平台的标识信息对应的第二查询请求,并接收所述管理平台发送的响应于所述第二查询请求的第二认证信息;
根据所述第二平台的标识信息向所述第二平台发送所述第二认证信息,以使所述第二平台对所述第二认证信息进行认证。
第二方面,本申请实施例还提供了另一种API身份认证的方法,应用于管理平台,包括:
接收转换网关发送的第一认证信息对应的第一查询请求,所述第一认证信息携带在第一平台发送的第一消息中,所述第一消息包括所述第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
向所述转换网关发送所述第一查询请求对应的第一查询响应,所述第一查询响应用于对所述第一认证信息进行认证;
在所述第一认证信息认证通过的情况下,接收所述转换网关发送的与所述第二平台的标识信息对应的第二查询请求,并向所述转换网关发送第二认证信息。
第三方面,本申请实施例提供一种转换网关,包括:
第一接收模块,用于接收第一平台发送的第一消息,所述第一消息包括第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
第二接收模块,用于向管理平台发送所述第一认证信息对应的第一查询请求,并接收所述第一查询请求对应的第一查询响应;
认证模块,用于基于所述第一查询响应对所述第一认证信息进行认证;
第三接收模块,用于在所述第一认证信息认证通过的情况下,向所述管理平台发送与所述第二平台的标识信息对应的第二查询请求,并接收所述管理平台发送的响应于所述第二查询请求的第二认证信息;
第一发送模块,用于根据所述第二平台的标识信息向所述第二平台发送所述第二认证信息,以使所述第二平台对所述第二认证信息进行认证。
第四方面,本申请实施例提供一种管理平台,包括:
第一接收模块,用于接收转换网关发送的第一认证信息对应的第一查询请求,所述第一认证信息携带在第一平台发送的第一消息中,所述第一消息包括所述第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
发送模块,用于向所述转换网关发送所述第一查询请求对应的第一查询响应,所述第一查询响应用于对所述第一认证信息进行认证;
第二接收模块,用于在所述第一认证信息认证通过的情况下,接收所述转换网关发送的与所述第二平台的标识信息对应的第二查询请求,并向所述转换网关发送第二认证信息。
第五方面,本申请实施例还提供一种电子设备,包括包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如第一方面中所述的API认证方法的步骤,或者,所述计算机程序被所述处理器执行时实现如第二方面中所述的API认证方法的步骤。
第六方面,本申请实施例还提供一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面中所述的API认证方法的步骤,或者,所述程序或指令被处理器执行时实现如第二方面中所述的API认证方法的步骤。
本申请实施例中,转换网关接收第一平台发送的第一认证信息,向管理平台发送第一认证信息对应的第一查询请求,并接收第一查询响应,基于查询响应对第一认证信息进行认证,从而实现转换网关对第一平台的认证;在第一平台认证通过的情况下,转换网关能够接收管理平台根据第二平台的标识信息所发送的第二认证信息,网关将第二认证信息发送给第二平台,以使第二平台对第二认证信息进行认证,从而实现第二平台对转换网关的认证。通过上述过程,服务平台只需要对转换网关进行认证,由转换网关对第三方平台进行认证,这样,服务平台无需对多个第三方平台发送的认证信息进行验证,从而有效降低服务平台对第三方平台进行认证管理的难度。
附图说明
图1为本申请实施例提供的一种API认证方法的流程图;
图2为本申请实施例提供的一种API认证的架构图;
图3为本申请实施例提供的一种API认证方法;
图4为本申请实施例提供的一种认证信息更新方法;
图5为本申请实施例提供的另一种API认证方法的流程图;
图6为本申请实施例提供的一种三层密钥体系;
图7为本申请实施例提供的一种认证信息更新方法;
图8为本申请实施例提供的一种转换网关的结构图;
图9为本申请实施例提供的一种管理平台的结构图;
图10为本申请实施例提供的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
越来越多的平台提供了自身的应用程序接口API给第三方平台方使用,以壮大自身生态建设,扩大自己服务的传播。第三方平台则将各种服务平台的能力和数据集中汇聚,对数据进行挖掘和运营,构建新的服务,提高平台价值,增加用户粘性。平台的API接口认证,不同于传统的由用户从界面输入信息的认证,图片验证码、字母验证码、短信验证码等都难以应用在API接口认证场景中。考虑到对接的便利性,平台通常提供通用的API接口认证机制,如开放平台的两种认证方式、令牌认证方式、API密钥认证方式等。目前,API接口认证机制都是以服务平台为核心构建的,由服务平台负责认证信息的安全管理设计以及对第三方平台发送的认证信息进行验证。第三方平台和服务平台之间逐渐呈现出多对多的网络连接关系,服务平台需要对多个第三方平台发送的认证信息进行验证,导致服务平台对第三方平台进行认证管理的难度较大。基于此,本申请发明人提出可以在服务平台和第三方平台之间设置转换网关,这样,服务平台只需要对转换网关进行认证,由转换网关对第三方平台进行认证,从而有效降低服务平台对第三方平台进行认证管理的难度。
参见图1,图1是本申请实施例提供的一种API认证方法的流程图,该方法包括以下步骤:
步骤101、接收第一平台发送的第一消息,所述第一消息包括第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
步骤102、向管理平台发送所述第一认证信息对应的第一查询请求,并接收所述第一查询请求对应的第一查询响应;
步骤103、基于所述第一查询响应对所述第一认证信息进行认证;
步骤104、在所述第一认证信息认证通过的情况下,向所述管理平台发送与所述第二平台的标识信息对应的第二查询请求,并接收所述管理平台发送的响应于所述第二查询请求的第二认证信息;
步骤105、根据所述第二平台的标识信息向所述第二平台发送所述第二认证信息,以使所述第二平台对所述第二认证信息进行认证。
该实施方式中,API认证方式包括开放平台的两种认证方式、令牌认证方式、API密钥认证方式等,相对应的第一认证信息可以包括认证字符串、令牌或者API密钥等。
在步骤101、102中,转换网关接收第一平台发送的第一消息,第一消息包括第一认证信息和第二平台的标识信息,第一平台为调用应用程序接口API的平台,第二平台为提供API的平台,转换网关向管理平台发送第一认证信息对应的第一查询请求,并接收第一查询请求对应的第一查询响应。
管理平台本地存储了为第三方平台所生成的认证信息,且与转换网关之间存在内部接口。当转换网关向管理平台发送第一认证信息对应的第一查询请求信息时,管理平台可以向转换网关发送第一查询请求对应的第一查询响应,第一查询响应包括管理平台本地存储的为第一平台所生成的认证信息。
步骤103和104中,转换网关基于第一查询响应对第一认证信息进行认证,也即转换网关基于第一查询响应中的认证信息对第一认证信息进行认证,当认证不通过时,转换网关对第一平台的认证失败,当认证通过时,转换网关向管理平台发送与第二平台的标识信息对应的第二查询请求。转换网关接收管理平台发送的响应于第二查询请求的第二认证信息,第二认证信息为管理平台为转换网关生成的N个认证信息,其中N等于第二平台的数量,第二认证信息用于与第二平台中存储的认证信息进行认证。
在步骤105中,转换网关根据第二平台的标识信息向第二平台发送第二认证信息,以使第二平台对第二认证信息进行认证。第二平台基于本地存储的认证信息对第二认证信息进行认证,当认证不通过时,第二平台对转换网关的认证失败,当认证通过时,第一平台能够调用第二平台的API接口。
通过上述过程,服务平台只需要对转换网关进行认证,由转换网关对第三方平台进行认证,这样,服务平台无需对多个第三方平台发送的认证信息进行验证,从而有效降低服务平台对第三方平台进行认证管理的难度。参见图2:通过设立转换网关和管理平台,构建了统一的认证机制,这样,无需服务平台各自设立API认证机制,任意服务平台和第三方平台均可通过引入转换网关和管理平台实现认证API调用实体的目标。
可选的,第一认证信息包括第一令牌标识和第一令牌加密值;
向管理平台发送第一认证信息对应的第一查询请求,并接收第一查询请求对应的第一查询响应,包括:
向管理平台发送第一令牌标识对应的第一查询请求,并接收第一查询请求对应的查询响应令牌;
基于第一查询响应对第一认证信息进行认证,包括:
基于查询响应令牌对第一令牌加密值进行认证。
当API认证方式为令牌认证时,第一认证信息包括第一令牌标识和第一令牌。为了增加令牌的安全性,可以对令牌值进行加密,例如通过MD5信息摘要算法对其加密,从而第一认证信息包括第一令牌标识和第一令牌加密值。转换网关接收第一平台发送的第一令牌标识和第一令牌加密值,从而转换网关可以向管理平台发送第一令牌标识对应的第一查询请求,管理平台响应第一查询请求,根据第一令牌标识查询本地缓存的令牌,查询结果分为两种情况。
情况1,管理平台不能查询到第一令牌标识所对应的令牌,转换网关对第一平台的认证失败。
情况2,管理平台查询到第一令牌标识所对应的令牌,向转换网关发送第一令牌标识对应的查询响应令牌。转换网关接收查询响应令牌,基于查询响应令牌对第一令牌加密值所加密的令牌进行认证。若查询响应令牌不为第一令牌,则转换网关对第一平台的认证失败;若查询响应令牌为第一令牌,则转换网关对第一平台的认证通过。
可选的,第二认证信息包括第二令牌标识和第二令牌加密值;
在第一认证信息认证通过的情况下,向管理平台发送与第二平台的标识信息对应的第二查询请求,包括
在第一令牌加密值认证通过的情况下,根据第二平台的标识信息向管理平台查询对应的第二令牌标识和第二令牌;
根据第二平台的标识信息向第二平台发送第二认证信息,包括:
确定第二令牌加密值,根据第二平台的标识信息向第二平台发送第二令牌标识和第二令牌加密值,以使第二平台对第二令牌加密值进行认证。
第一令牌加密值认证通过的情况下,根据第二平台的标识信息向管理平台查询对应的第二令牌标识和第二令牌。第二令牌为管理平台为转换网关生成的令牌,管理平台存储第二令牌和第二平台的标识信息,从而通过第二平台的标识信息可以查询到对应的第二令牌,第二令牌的数量等于第二平台的数量。为了增加令牌的安全性,可以对第二令牌值也进行加密,例如通过MD5信息摘要算法对其加密。转换网关根据第二平台的标识信息向第二平台发送第二令牌标识和第二令牌加密值,从而第二平台可以根据第二令牌标识查询对应的令牌,查询结果分为两种情况。情况1:查询结果也为第二令牌,则第二平台对转换网关的认证通过,由于转换网关对第一平台的认证也通过,从而第一平台能够调用第二平台的API。情况2:查询结果不为第二令牌,例如第二平台不能通过第二令牌的标识信息查询到对应的令牌或者第二平台通过第二令牌的标识信息查询到的结果非第二令牌,第二平台对转换网关的认证失败,第一平台不能调用第二平台的API。
可选的,第一消息还包括第一消息发送时的第一时间戳;
接收第一平台发送的第一消息之后,上述方法还包括:
确定第一消息到达的第二时间戳;
在第一认证信息认证通过的情况下,验证第二时间戳与第一时间戳之间的时间差是否位于预先设定的范围内,若位于则验证通过;
根据第二平台的标识信息向第二平台发送第二认证信息,包括:
在时间差验证通过的情况下,根据第二平台的标识信息向第二平台发送第二认证信息,第二认证信息还包括第二认证信息发送时的第三时间戳,第三时间戳用于验证与第四时间戳之间的时间差,第四时间戳为第二认证信息达到第二平台的时间戳。
该实施方式中,在第一认证信息认证通过的情况下,验证第二时间戳与第一时间戳之间的时间差是否位于预先设定的范围内,若位于则验证通过。通过验证第二时间戳与第一时间戳之间的时间差可以验证转换网关接收到的消息是否为重放的消息。对于预先设定的范围,存在多种设定方式。例如可以是将近期一段时间所有的历史时间差数据绘制出统计图,确定时间差的波动范围和统计特性如方差,如果当前时间差在上述统计图拨动范围内,当前时间差验证通过,该第一消息非重放消息,反之,则为重放消息,转换网关无需向第二平台发送第二认证信息;还可以是随机选择一个历史的时间差作为基准值,并设置一个最大门限值,最大门限值可取数据库中记载的数据的超时时间,若当前时间差与基准值之间的时间差大于最大门限值,则第一消息为攻击者重放的消息,转换网关无需向第二平台发送第二认证信息,反之,当前时间差验证通过,第一消息为正常非重放消息。
在上述时间差验证通过的情况下,转换网关根据第二平台的标识信息向第二平台发送第二认证信息,第二认证信息还包括第二认证信息发送时的第三时间戳,第三时间戳用于验证与第四时间戳之间的时间差,第四时间戳为第二认证信息达到第二平台的时间戳。同理,通过验证第三时间戳与第四时间戳之间的时间差可以验证第二平台接收到的消息是否为重放的消息。若第三时间戳与第四时间戳之间的时间差位于预先设定的范围内,第二认证信息非重放消息,反之,第二认证信息为重放的消息,第一平台不能调用第二平台的API。对于预先设定的范围,可以参照上述设定,为避免重复,对此不再赘述。
可选的,第一令牌加密值还包括加密后的第一时间戳,第一时间戳为第一消息发送时的时间戳;
第二令牌加密值还包括加密后的第三时间戳,第三时间戳为第二认证信息发送时的时间戳。
该实施方式中,第一令牌加密值还包括加密后的第一时间戳,第一时间戳为第一消息发送时的时间戳。由于第一平台每次请求API认证时,其发送消息的时间均不同,故第一时间戳均不同。第一令牌加密值包括加密后的第一时间戳,可以使第一平台每次请求API认证时,携带的第一令牌加密值均不同,从而能够使第一令牌更加安全。同理,第二令牌加密值还包括加密后的第三时间戳,第三时间戳为第二认证信息发送时的时间戳,使第二令牌值更加安全。
从而,参见图3,第一平台请求认证时,发送第一消息,统一资源定位系统(uniformresource locator;URL)携带第一令牌标识ApiKeyID1,第一时间戳TimeStamp1和ApiKeyValue1参数,其中ApiKeyValue1参数包括加密后的第一令牌和TimeStamp1,加密方式可以是通过MD5信息摘要算法加密。转换网关接收上述第一消息,根据ApiKeyID1从管理平台中查询对应的令牌,从而基于查询响应令牌验证ApiKeyValue1值的正确性。此外,需要采取上述方法验证第一消息到达转换网关的第二时间戳TimeStamp2与第一时间戳TimeStamp1之间的时间差,从而检验第一消息是否为重放的消息。
在ApiKeyValue1和上述时间差均验证通过的情况下,转换网关根据第二平台的标识信息,向管理平台查询到对应的第二令牌和第二令牌标识ApiKeyID2。转换网关确定ApiKeyValue2,ApiKeyValue2包括加密后的第二令牌和第三时间戳TimeStamp3。转换网关根据第二平台的标识向第二平台发送第二认证信息,URL携带ApiKeyID2,TimeStamp3,和ApiKeyValue2。第二平台根据ApiKeyID2查询对应的令牌,从而验证ApiKeyValue2的正确性。此外,还需要参照上述方法验证TimeStamp3和TimeStamp4之间的时间差是否位于预先设定的范围内,从而检验第二认证信息是否为重放的信息,TimeStamp4为第二认证信息到达第二平台的第四时间戳。在ApiKeyValue2和上述时间差均验证通过的情况下,第二平台返回响应消息,第一平台能够调用第二平台的API。
可选的,向管理平台定时发送更新请求消息,更新请求消息包括转换网关的用户名和加密后的密码,用户名和密码用于更新第二认证信息。
该实施方式中,转换网关向管理平台定时发送更新请求消息,管理平台生成更新后的认证信息,并将更新后的认证信息发送给服务平台,更新认证信息有利于认证安全。参见图4,更新请求消息包括转换网关的用户名和加密后的密码。对于密码的加密方式,可以是管理平台预先将公钥发送给转换网关,转换网关利用公钥加密转换网关的密码,并将加密后的密码发送给管理平台,管理平台利用本地保存的私钥解密。
管理平台需要向服务平台加密发送更新后的认证信息,从而服务平台可以基于更新后的认证信息进行认证。对于加密发送,可采用超文本传输安全协议对整个接口消息进行加密的方式,也可以采用历史的认证信息作为对称密钥,密钥加密更新后的认证信息的方式。
参见图5,本申请实施例还提供了另一种API身份认证的方法,应用于管理平台,包括:
步骤201、接收转换网关发送的第一认证信息对应的第一查询请求,所述第一认证信息携带在第一平台发送的第一消息中,所述第一消息包括所述第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
步骤202、向所述转换网关发送所述第一查询请求对应的第一查询响应,所述第一查询响应用于对所述第一认证信息进行认证;
步骤203、用于在所述第一认证信息认证通过的情况下,接收所述转换网关发送的与所述第二平台的标识信息对应的第二查询请求,并向所述转换网关发送第二认证信息。
可选的,第一认证信息包括第一令牌标识和第一令牌加密值;
接收转换网关发送的第一认证信息对应的第一查询请求,包括:
接收转换网关发送的第一令牌标识对应的第一查询请求;
向转换网关发送第一查询请求对应的第一查询响应,第一查询响应用于对第一认证信息进行认证,包括
向转换网关发送第一查询请求对应的查询响应令牌,查询响应令牌用于对第一令牌加密值进行认证。
可选的,第二认证信息包括第二令牌标识和第二令牌加密值;
在第一认证信息认证通过的情况下,接收转换网关发送的与第二平台的标识信息对应的第二查询请求,并向转换网关发送第二认证信息,包括:
在第一令牌加密值认证通过的情况下,接收转换网关发送的与第二平台的标识信息对应的第二查询请求,并根据第二平台的标识信息向转换网关发送对应的第二令牌标识和第二令牌。
可选的,第一令牌加密值还包括加密后的第一时间戳,第一时间戳为第一消息发送时的时间戳;
第二令牌加密值还包括加密后的第二时间戳,第二时间戳为第二认证信息发送时的时间戳。
可选的,在接收转换网关发送的第一令牌标识对应的第一查询请求之前,上述方法还包括:
生成第一平台的第一用户名和第一密码,第一用户名和第一密码用于生成查询响应令牌;
生成转换网关的第二用户名和第二密码,第二用户名和第二密码用于生成第二令牌。
管理平台生成第一平台的第一用户名和第一密码,在第一平台首次请求认证时,第一平台需要向管理平台发送第一用户名和第一密码,管理平台验证第一用户名和第一密码的正确性,若验证通过,则可以为第一平台生成令牌,管理平台存储令牌和令牌标识,作为查询响应令牌。管理平台将令牌标识和查询响应令牌通过离线发送或者其他安全方式发送给第一平台,第一平台非首次请求认证,则无需向管理平台发送第一用户名和第一密码,只需要发送令牌和令牌标识,有效减少密码暴露的风险性。参见图6,为了保护令牌的安全性,还可以对令牌进行加密,从而形成用户名和密码、令牌、令牌加密值三层密钥体系,其中用户名和密码为根密钥。
管理平台生成转换网关的第二用户名和第二密码,第二用户名和第二密码用于生成第二令牌。在转换网关首次请求认证时,转换网关需要向管理平台发送第二用户名和第二密码,管理平台验证第二用户名和第二密码的正确性,若验证通过,则可以为转换网关生成N个令牌,其中N等于服务平台的数量。管理平台将为转换网关生成的令牌通过离线或者其他安全方式发送给服务平台,并记录令牌发送的服务平台的标识信息,从而管理平台可以根据服务平台的标识信息查询到对应令牌。转换网关非首次请求认证,无需向服务平台发送第二用户名和第二密码,只需要发送令牌,有效减少密码暴露的风险性。参见图6,为了保护令牌的安全性,还可以对令牌进行加密。
可选的,在第一平台缓存的第一认证信息失效的情况下,接收第一平台发送的第一更新请求消息,第一更新请求消息包括第一平台的第一用户名和加密后的第一密码,第一用户名和第一密码用于更新第一认证信息;
接收转换网关定时发送的第二更新请求消息,第二更新请求消息包括转换网关的第二用户名和加密后的第二密码,第二用户名和第二密码用于更新第二认证信息。
该实施方式中,在第一平台缓存的第一认证信息失效的情况下,管理平台接收第一平台发送的第一更新请求消息。第一平台缓存的第一认证信息失效,包括第一认证信息过期,第一认证信息中的令牌有效期可以小于管理平台所存储的查询响应令牌的有效期。第一更新请求消息包括第一平台的第一用户名和加密后的第一密码,由上述可知,管理平台验证第一用户名和第一密码,验证通过的情况下可以生成令牌。管理平台生成新的令牌,并将新的令牌通过加密的方式发送给第一平台,从而可以实现对第一认证信息的更新。其中加密发送可以采用超文本传输安全协议对整个接口消息进行加密的方式,也可以采用将历史的认证信息作为对称密钥,密钥加密更新后的认证信息的方式。第一更新请求消息包括第一平台的第一用户名和加密后的第一密码,参见图7,对于加密第一密码,可以采取公钥加密的方式,管理平台可以利用本地存储的私钥解密。
同理,管理平台接收转换网关定时发送的第二更新请求消息,第二更新请求消息包括转换网关的第二用户名和加密后的第二密码,从而能够实现第二认证信息的更新。
需要说明的是,本申请实施例提供的这一种API身份认证均可以参照上述API身份认证实施例的各个过程,并能达到相同的技术效果,为避免重复,这里不再赘述。
本申请还提供一种转换网关,参见图8,转换网关300包括:
第一接收模块301,用于接收第一平台发送的第一消息,所述第一消息包括第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
第二接收模块302,用于向管理平台发送所述第一认证信息对应的第一查询请求,并接收所述第一查询请求对应的第一查询响应;
认证模块303,用于基于所述第一查询响应对所述第一认证信息进行认证;
第三接收模块304,用于在所述第一认证信息认证通过的情况下,向所述管理平台发送与所述第二平台的标识信息对应的第二查询请求,并接收所述管理平台发送的响应于所述第二查询请求的第二认证信息;
第一发送模块305,用于根据所述第二平台的标识信息向所述第二平台发送所述第二认证信息,以使所述第二平台对所述第二认证信息进行认证。
可选的,第一认证信息包括第一令牌标识和第一令牌加密值;
第二接收模块302具体用于:
向管理平台发送第一令牌标识对应的第一查询请求,并接收第一查询请求对应的查询响应令牌;
认证模块303具体用于:
基于查询响应令牌对第一令牌加密值进行认证。
可选的,第二认证信息包括第二令牌标识和第二令牌加密值;
第三接收模块304具体用于:
在第一令牌加密值认证通过的情况下,根据第二平台的标识信息向管理平台查询对应的第二令牌标识和第二令牌;
第一发送模块305具体用于:
确定第二令牌加密值,根据第二平台的标识信息向第二平台发送第二令牌标识和第二令牌加密值,以使第二平台对第二令牌加密值进行认证。
可选的,第一消息还包括第一消息发送时的第一时间戳,转换网关300还包括:
第一确定模块,用于确定第一消息到达的第二时间戳;
第一验证模块,用于在第一认证信息认证通过的情况下,验证第二时间戳与第一时间戳之间的时间差是否位于预先设定的范围内,若位于则验证通过;
所述第一发送模块305具体用于:
在时间差验证通过的情况下,根据第二平台的标识信息向第二平台发送第二认证信息,第二认证信息还包括第二认证信息发送时的第三时间戳,第三时间戳用于验证与第四时间戳之间的时间差,第四时间戳为第二认证信息达到第二平台的时间戳。
可选的,第一令牌加密值还包括加密后的第一时间戳,第一时间戳为第一消息发送时的时间戳;
第二令牌加密值还包括加密后的第三时间戳,第三时间戳为第二认证信息发送时的时间戳。
可选的,转换网关300还包括:
第二发送模块,用于向管理平台定时发送更新请求消息,更新请求消息包括转换网关的用户名和加密后的密码,用户名和密码用于更新第二认证信息。
需要说明的是,本申请实施例的转换网关能够实现以上所述的API认证方法的实施例的各个过程,并能达到相同的技术效果,为避免重复,这里不再赘述。
申请还提供一种管理平台,参见图9,管理平台400包括:
第一接收模块401,用于接收转换网关发送的第一认证信息对应的第一查询请求,第一认证信息携带在第一平台发送的第一消息中,第一消息包括第一认证信息和第二平台的标识信息,第一平台为调用应用程序接口API的平台,第二平台为提供API的平台;
发送模块402,用于向转换网关发送第一查询请求对应的第一查询响应,第一查询响应用于对第一认证信息进行认证;
第二接收模块403,用于在所述第一认证信息认证通过的情况下,接收所述转换网关发送的与所述第二平台的标识信息对应的第二查询请求,并向所述转换网关发送第二认证信息。可选的,第一认证信息包括第一令牌标识和第一令牌加密值;
第一接收模块401具体用于:
接收转换网关发送的第一令牌标识对应的第一查询请求;
发送模块402具体用于:
向转换网关发送第一查询请求对应的查询响应令牌,查询响应令牌用于对第一令牌加密值进行认证。
可选的,第二认证信息包括第二令牌标识和第二令牌加密值;
第二接收模块403,具体用于:
在第一令牌加密值认证通过的情况下,接收转换网关发送的与第二平台的标识信息对应的第二查询请求,并根据第二平台的标识信息向转换网关发送对应的第二令牌标识和第二令牌。
可选的,第一令牌加密值还包括加密后的第一时间戳,第一时间戳为第一消息发送时的时间戳;
第二令牌加密值还包括加密后的第二时间戳,第二时间戳为第二认证信息发送时的时间戳。
可选的,管理平台400还包括:
第一生成模块,用于生成第一平台的第一用户名和第一密码,第一用户名和第一密码用于生成查询响应令牌;
第二生成模块,用于生成转换网关的第二用户名和第二密码,第二用户名和第二密码用于生成第二令牌。
可选的,管理平台400还包括,
第三接收模块,用于在第一平台缓存的第一认证信息失效的情况下,接收第一平台发送的第一更新请求消息,第一更新请求消息包括第一平台的第一用户名和加密后的第一密码,第一用户名和第一密码用于更新第一认证信息;
第四接收模块,用于接收转换网关定时发送的第二更新请求消息,第二更新请求消息包括转换网关的第二用户名和加密后的第二密码,第二用户名和第二密码用于更新第二认证信息。
需要说明的是,本申请实施例的管理平台能够实现以上所述的API认证方法的实施例的各个过程,并能达到相同的技术效果,为避免重复,这里不再赘述。
参见图10,本申请实施例还提供一种电子设备500,包括至少一个处理器501、存储器502及存储在存储器502上并可在处理器501上运行的计算机程序,计算机程序被至少一个处理器501执行以实现上述API认证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器501执行以实现上述API认证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中计算机可读存储介质,包括只读存储器Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (16)
1.一种API认证方法,应用于转换网关,其特征在于,包括:
接收第一平台发送的第一消息,所述第一消息包括第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
向管理平台发送所述第一认证信息对应的第一查询请求,并接收所述第一查询请求对应的第一查询响应;
基于所述第一查询响应对所述第一认证信息进行认证;
在所述第一认证信息认证通过的情况下,向所述管理平台发送与所述第二平台的标识信息对应的第二查询请求,并接收所述管理平台发送的响应于所述第二查询请求的第二认证信息;
根据所述第二平台的标识信息向所述第二平台发送所述第二认证信息,以使所述第二平台对所述第二认证信息进行认证。
2.根据权利要求1所述方法,其特征在于,所述第一认证信息包括第一令牌标识和第一令牌加密值;
所述向管理平台发送所述第一认证信息对应的第一查询请求,并接收所述第一查询请求对应的第一查询响应,包括:
向所述管理平台发送所述第一令牌标识对应的第一查询请求,并接收所述第一查询请求对应的查询响应令牌;
所述基于所述第一查询响应对所述第一认证信息进行认证,包括:
基于所述查询响应令牌对所述第一令牌加密值进行认证。
3.根据权利要求2所述方法,其特征在于,所述第二认证信息包括第二令牌标识和第二令牌加密值;
所述在所述第一认证信息认证通过的情况下,向所述管理平台发送与所述第二平台的标识信息对应的第二查询请求,包括
在所述第一令牌加密值认证通过的情况下,根据所述第二平台的标识信息向所述管理平台查询对应的第二令牌标识和第二令牌;
所述根据所述第二平台的标识信息向所述第二平台发送所述第二认证信息,包括:
确定第二令牌加密值,根据所述第二平台的标识信息向所述第二平台发送所述第二令牌标识和所述第二令牌加密值,以使所述第二平台对所述第二令牌加密值进行认证。
4.根据权利要求1所述的方法,其特征在于,所述第一消息还包括所述第一消息发送时的第一时间戳;
所述接收第一平台发送的第一消息之后,所述方法还包括:
确定所述第一消息到达的第二时间戳;
在所述第一认证信息认证通过的情况下,验证所述第二时间戳与所述第一时间戳之间的时间差是否位于预先设定的范围内,若位于则验证通过;
所述根据所述第二平台的标识信息向所述第二平台发送所述第二认证信息,包括:
在所述时间差验证通过的情况下,根据所述第二平台的标识信息向所述第二平台发送第二认证信息,所述第二认证信息还包括所述第二认证信息发送时的第三时间戳,所述第三时间戳用于验证与第四时间戳之间的时间差,所述第四时间戳为第二认证信息达到所述第二平台的时间戳。
5.根据权利要求3所述的方法,其特征在于,
所述第一令牌加密值还包括加密后的第一时间戳,所述第一时间戳为所述第一消息发送时的时间戳;
所述第二令牌加密值还包括加密后的第三时间戳,所述第三时间戳为所述第二认证信息发送时的时间戳。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括,
向所述管理平台定时发送更新请求消息,所述更新请求消息包括所述转换网关的用户名和加密后的密码,所述用户名和密码用于更新所述第二认证信息。
7.一种API身份认证的方法,应用于管理平台,其特征在于,所述方法包括:
接收转换网关发送的第一认证信息对应的第一查询请求,所述第一认证信息携带在第一平台发送的第一消息中,所述第一消息包括所述第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
向所述转换网关发送所述第一查询请求对应的第一查询响应,所述第一查询响应用于对所述第一认证信息进行认证;
在所述第一认证信息认证通过的情况下,接收所述转换网关发送的与所述第二平台的标识信息对应的第二查询请求,并向所述转换网关发送第二认证信息。
8.根据权利要求7所述的方法,其特征在于,所述第一认证信息包括第一令牌标识和第一令牌加密值;
所述接收转换网关发送的第一认证信息对应的第一查询请求,包括:
接收所述转换网关发送的所述第一令牌标识对应的第一查询请求;
所述向所述转换网关发送所述第一查询请求对应的第一查询响应,所述第一查询响应用于对所述第一认证信息进行认证,包括
向所述转换网关发送所述第一查询请求对应的查询响应令牌,所述查询响应令牌用于对所述第一令牌加密值进行认证。
9.根据权利要求8所述的方法,其特征在于,所述第二认证信息包括第二令牌标识和第二令牌加密值;
所述在所述第一认证信息认证通过的情况下,接收所述转换网关发送的与所述第二平台的标识信息对应的第二查询请求,并向所述转换网关发送第二认证信息,包括
在所述第一令牌加密值认证通过的情况下,接收所述转换网关发送的与所述第二平台的标识信息对应的第二查询请求,并根据所述第二平台的标识信息向所述转换网关发送对应的第二令牌标识和第二令牌。
10.根据权利要求9所述的方法,其特征在于,
所述第一令牌加密值还包括加密后的第一时间戳,所述第一时间戳为所述第一消息发送时的时间戳;
所述第二令牌加密值还包括加密后的第二时间戳,所述第二时间戳为所述第二认证信息发送时的时间戳。
11.根据权利要求9所述的方法,其特征在于,在所述接收所述转换网关发送的所述第一令牌标识对应的第一查询请求之前,所述方法还包括:
生成所述第一平台的第一用户名和第一密码,所述第一用户名和所述第一密码用于生成所述查询响应令牌;
生成所述转换网关的第二用户名和第二密码,所述第二用户名和所述第二密码用于生成所述第二令牌。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括,
在所述第一平台缓存的第一认证信息失效的情况下,接收所述第一平台发送的第一更新请求消息,所述第一更新请求消息包括所述第一平台的第一用户名和加密后的第一密码,所述第一用户名和所述第一密码用于更新所述第一认证信息;
接收所述转换网关定时发送的第二更新请求消息,所述第二更新请求消息包括所述转换网关的第二用户名和加密后的第二密码,所述第二用户名和所述第二密码用于更新所述第二认证信息。
13.一种转换网关,其特征在于,包括:
第一接收模块,用于接收第一平台发送的第一消息,所述第一消息包括第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
第二接收模块,用于向管理平台发送所述第一认证信息对应的第一查询请求,并接收所述第一查询请求对应的第一查询响应;
认证模块,用于基于所述第一查询响应对所述第一认证信息进行认证;
第三接收模块,用于在所述第一认证信息认证通过的情况下,向所述管理平台发送与所述第二平台的标识信息对应的第二查询请求,并接收所述管理平台发送的响应于所述第二查询请求的第二认证信息;
第一发送模块,用于根据所述第二平台的标识信息向所述第二平台发送所述第二认证信息,以使所述第二平台对所述第二认证信息进行认证。
14.一种管理平台,其特征在于,包括:
第一接收模块,用于接收转换网关发送的第一认证信息对应的第一查询请求,所述第一认证信息携带在第一平台发送的第一消息中,所述第一消息包括所述第一认证信息和第二平台的标识信息,所述第一平台为调用应用程序接口API的平台,所述第二平台为提供API的平台;
发送模块,用于向所述转换网关发送所述第一查询请求对应的第一查询响应,所述第一查询响应用于对所述第一认证信息进行认证;
第二接收模块,用于在所述第一认证信息认证通过的情况下,接收所述转换网关发送的与所述第二平台的标识信息对应的第二查询请求,并向所述转换网关发送第二认证信息。
15.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至6中任一项所述的API认证方法的步骤,或者,所述计算机程序被所述处理器执行时实现如权利要求7至12中任一项所述的API认证方法的步骤。
16.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1至6中任一项所述的API认证方法的步骤,或者,所述程序或指令被处理器执行时实现如权利要求7至12中任一项所述的API认证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211310107.7A CN117978412A (zh) | 2022-10-25 | 2022-10-25 | Api认证方法、转换网关、管理平台及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211310107.7A CN117978412A (zh) | 2022-10-25 | 2022-10-25 | Api认证方法、转换网关、管理平台及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117978412A true CN117978412A (zh) | 2024-05-03 |
Family
ID=90850161
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211310107.7A Pending CN117978412A (zh) | 2022-10-25 | 2022-10-25 | Api认证方法、转换网关、管理平台及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117978412A (zh) |
-
2022
- 2022-10-25 CN CN202211310107.7A patent/CN117978412A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768988B (zh) | 区块链访问控制方法、设备及计算机可读存储介质 | |
CN109922077B (zh) | 一种基于区块链的身份认证方法及其系统 | |
JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
US7197568B2 (en) | Secure cache of web session information using web browser cookies | |
CN101507233B (zh) | 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备 | |
US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
CN109547445B (zh) | 一种验证客户端网络请求合法的方法及系统 | |
US7395549B1 (en) | Method and apparatus for providing a key distribution center without storing long-term server secrets | |
CN100512201C (zh) | 用于处理分组业务的接入-请求消息的方法 | |
CN110225050B (zh) | Jwt令牌的管理方法 | |
CN1395776A (zh) | 发放电子身份证明的方法 | |
CN111884811B (zh) | 一种基于区块链的数据存证方法和数据存证平台 | |
DK2414983T3 (en) | Secure computer system | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
JP2016021765A (ja) | 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 | |
CN113569210A (zh) | 分布式身份认证方法、设备访问方法及装置 | |
EP1639782B1 (en) | Method for distributing passwords | |
US20190081934A1 (en) | Information processing device, program, and information processing method | |
KR20130039745A (ko) | 인증 연동 시스템 및 방법 | |
US11146536B2 (en) | Method and a system for managing user identities for use during communication between two web browsers | |
CN100561913C (zh) | 一种访问密码设备的方法 | |
CN117978412A (zh) | Api认证方法、转换网关、管理平台及电子设备 | |
RU2386220C2 (ru) | Способ и устройство для аутентификации и конфиденциальности | |
CN114915494B (zh) | 一种匿名认证的方法、系统、设备和存储介质 | |
CN112583605B (zh) | 一种基于区块链的免密认证方法、系统、终端及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |