JP2019008525A - Service managing system and service managing method - Google Patents
Service managing system and service managing method Download PDFInfo
- Publication number
- JP2019008525A JP2019008525A JP2017123222A JP2017123222A JP2019008525A JP 2019008525 A JP2019008525 A JP 2019008525A JP 2017123222 A JP2017123222 A JP 2017123222A JP 2017123222 A JP2017123222 A JP 2017123222A JP 2019008525 A JP2019008525 A JP 2019008525A
- Authority
- JP
- Japan
- Prior art keywords
- service
- server
- url
- user
- api
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
本発明は、APIを利用したサービスを提供するためのサービス管理システム及びサービス管理方法に関する。 The present invention relates to a service management system and a service management method for providing a service using an API.
今日、銀行が保有している顧客に関する金融情報の利用促進を図るために、他のシステムとの連携が検討されている(例えば、非特許文献1)。このような銀行システムから情報を取得するための銀行APIの公開も検討されている(例えば、非特許文献2)。ここで、銀行API(Application Programming Interface)とは、残高照会や資金移動等、既存機能を個別にサービス化して、外部のアプリケーションから利用するために、ソフトウェアコンポーネントが互いにやり取りするために使用するインターフェースである。このような銀行APIを公開することにより、モバイル端末を中心とした顧客金融行動を早期にキャッチアップできる。更に、非金融機関との連携により新規市場の創出も期待できる。 Today, in order to promote the use of financial information related to customers held by banks, cooperation with other systems is being studied (for example, Non-Patent Document 1). Disclosure of a bank API for acquiring information from such a bank system is also being studied (for example, Non-Patent Document 2). Here, the bank API (Application Programming Interface) is an interface used by software components to communicate with each other so that existing functions such as balance inquiry and fund transfer can be individually serviced and used from an external application. is there. By opening up such a bank API, customer financial behavior centering on mobile terminals can be caught up early. Furthermore, the creation of new markets can be expected through collaboration with non-financial institutions.
また、事業者に対して、APIを利用して会計処理を支援する技術も検討されている(例えば、特許文献1)。この文献に記載された会計処理装置は、ウェブサーバと、ウェブサーバとVPN技術により接続されたDBと、DBとVPN技術により接続されたスクレイピングサーバとを備える。ウェブサーバは、スクレイピングサーバにより取り込んだウェブ明細データを取引ごとに識別し、各取引を、各取引の取引内容の記載に基づいて、特定の勘定科目に自動的に仕訳する。ウェブサーバは、この際、取引内容の記載を形態素に分節し、各形態素に対応づけられた1又は複数の勘定科目の出現頻度を参照して、取引内容の記載が表す勘定科目を推測する。 In addition, a technique for supporting accounting processing by using an API for a business operator has been studied (for example, Patent Document 1). The accounting processing apparatus described in this document includes a web server, a DB connected to the web server by the VPN technology, and a scraping server connected to the DB by the VPN technology. The web server identifies the web detail data captured by the scraping server for each transaction, and automatically translates each transaction into a specific account item based on the description of the transaction content of each transaction. At this time, the web server divides the description of the transaction contents into morphemes, and estimates the account item represented by the description of the transaction contents with reference to the appearance frequency of one or more account items associated with each morpheme.
オープンAPIにおいてURLが解放された場合、URLが流出し、DoS(Denial of Service attack)やDDoS(Distributed Denial of Service attack)等の攻撃の対象になる可能性がある。また、このオープンAPIにおいては、通信可能なIPアドレス及びクライアント証明書を用いてアクセス制御することが基本であるが、パブリッククラウドのIPアドレスなど、広く解放せざる得ないケースも想定される。 When a URL is released in the open API, the URL may leak and become a target of attacks such as DoS (Denial of Service attack) and DDoS (Distributed Denial of Service attack). In this open API, access control is basically performed using a communicable IP address and a client certificate. However, there may be a case where a public cloud IP address or the like must be widely released.
オープンAPIにおいては、ID及びパスワードがハッシュ化されてトークンとして固定されるOAuth認証が用いられることがある。この場合、例えば、振込と住所変更が同じアクセス権範囲(スコープ)に設定される等、API提供者による誤ったスコープ設定に起因する改ざんリスクも発生する。この場合、期限付きのアクセストークンを顧客が発行するような仕組みが必要となる。 In an open API, OAuth authentication in which an ID and a password are hashed and fixed as a token may be used. In this case, for example, there is a risk of falsification due to incorrect scope setting by the API provider, such as transfer and address change being set to the same access right range (scope). In this case, a mechanism is required for the customer to issue a time-limited access token.
上記課題を解決するサービス管理システムは、ワンタイムURLを管理する管理サーバと、サービスを提供するAPIを有するAPI中継サーバと、前記サービスを利用するサービスサーバを備える。そして、前記管理サーバが、ユーザの本人認証に基づいて、前記API中継サーバにアクセスするためのワンタイムURLを発行し、ユーザ情報に関連付けてワンタイムURLをURL記憶部に記録し、ユーザ情報とともに前記ワンタイムURLを前記サービスサーバに提供し、サービス要求を受け付けるサービスサーバが、ユーザの本人認証を行ない、前記ユーザのユーザ情報に関連付けられたワンタイムURLを用いて、前記API中継サーバに対して、サービス要求を送信する。 A service management system that solves the above problem includes a management server that manages a one-time URL, an API relay server that has an API that provides a service, and a service server that uses the service. The management server issues a one-time URL for accessing the API relay server based on the user authentication, records the one-time URL in the URL storage unit in association with the user information, together with the user information A service server that provides the one-time URL to the service server and receives a service request authenticates the user and uses the one-time URL associated with the user information of the user to the API relay server. Send a service request.
本発明によれば、APIを利用したサービス提供において、安全性を高めることができる。 ADVANTAGE OF THE INVENTION According to this invention, safety | security can be improved in the service provision using API.
以下、図1〜図3に従って、サービス管理システム及びサービス管理方法を具体化した一実施形態を説明する。本実施形態では、API中継サーバを介して、金融機関が提供するサービスを利用する場合を想定する。 In the following, an embodiment embodying a service management system and a service management method will be described with reference to FIGS. In the present embodiment, it is assumed that a service provided by a financial institution is used via an API relay server.
図1に示すように、本実施形態では、ユーザ端末10、管理サーバ20、銀行サーバ30、サービスサーバ40、API中継サーバ50を用いる。
ユーザ端末10は、金融機関(銀行)が提供するサービスを利用する顧客が用いるコンピュータ端末である。このユーザ端末10は、サービスサーバ40から取得した情報を利用して、銀行との間で取引を行なう。ユーザ端末10は、情報を入力するための入力部や情報を出力するための表示部を備える。
As shown in FIG. 1, in this embodiment, a
The
管理サーバ20は、ユーザ端末10からAPI中継サーバ50のアクセスを支援するコンピュータシステムである。この管理サーバ20は、API中継サーバ50にアクセスするためのURLを生成する。本実施形態では、ワンタイムURLを用いる。このワンタイムURLは、限られた時間或いは回数でリクエストを受け付ける。これにより、アクセス制限されたリソースに対しての未承認アクセスをより困難にすることができる。この管理サーバ20は、制御部21、URL記憶部22を備えている。
The
図1に示す制御部21は、制御手段(CPU、RAM、ROM等)を備え、後述する処理(URL管理段階、ユーザ認証段階、URL確認段階等の各処理等)を行なう。そのためのサービス管理プログラムを実行することにより、制御部21は、URL管理部211、ユーザ認証部212、URL確認部213として機能する。
The
URL管理部211は、ワンタイムURLを管理する処理を実行する。
ユーザ認証部212は、ワンタイムURLを利用するユーザを認証する処理を実行する。
URL確認部213は、ワンタイムURLの有効性を確認する処理を実行する。
The
The
The
URL記憶部22には、ユーザに付与したワンタイムURLに関するURL管理レコードが記録される。URL管理レコードは、ワンタイムURLを生成した場合に記録される。このURL管理レコードには、ワンタイムURL、ステータス、ユーザID、アクセストークンに関するデータが記録される。
The
ワンタイムURLデータ領域には、各ユーザに付与したワンタイムURLに関するデータが記録される。
ステータスデータ領域には、ワンタイムURLの有効性を判定するためのフラグが記録される。具体的には、ユーザ認証を完了した場合、ワンタイムURLを有効にするために、認証完了フラグが記録される。
In the one-time URL data area, data related to the one-time URL assigned to each user is recorded.
In the status data area, a flag for determining the validity of the one-time URL is recorded. Specifically, when user authentication is completed, an authentication completion flag is recorded in order to validate the one-time URL.
ユーザIDデータ領域には、ワンタイムURLを付与したユーザを特定するための識別子に関するデータが記録される。
アクセストークンデータ領域には、各ユーザの認証(ここでは、OAuth認証)において用いられる認証情報に関するデータが記録される。
In the user ID data area, data relating to an identifier for identifying a user who has been given a one-time URL is recorded.
In the access token data area, data relating to authentication information used in authentication (here, OAuth authentication) of each user is recorded.
銀行サーバ30は、利用者の口座を管理する銀行のコンピュータシステムである。この銀行サーバ30は、顧客情報記憶部32、口座情報記憶部33を備えている。
顧客情報記憶部32には、銀行の顧客である利用者に関する情報を管理するための顧客管理レコードが記録される。この顧客管理レコードは、顧客登録が行なわれた場合に記録される。顧客管理レコードには、ユーザID、パスワード、口座番号、取引状況に関する情報が記録される。
The
The customer
ユーザIDデータ領域には、各顧客を特定するための識別子に関するデータが記録される。
パスワードデータ領域には、この顧客を認証するために用いられるパスワードに関するデータが記録される。
Data relating to an identifier for identifying each customer is recorded in the user ID data area.
In the password data area, data related to a password used for authenticating the customer is recorded.
口座番号データ領域には、この顧客が保有している口座に関する情報が記録されている。
取引状況データ領域には、この顧客と銀行との取引状況(例えばローン残高)等の情報が記録される。
In the account number data area, information related to the account held by the customer is recorded.
In the transaction status data area, information such as the transaction status (for example, loan balance) between the customer and the bank is recorded.
口座情報記憶部33には、銀行の顧客の口座に関する情報を管理するための口座管理レコードが記録される。この口座管理レコードは、口座が開設された場合に登録される。この口座管理レコードには、口座番号、入出金履歴、残高に関する情報が記録される。
The account
口座番号データ領域には、この口座を特定するための識別子に関する情報が記録される。
入出金履歴データ領域には、この口座への入金やこの口座からの出金に関する情報(入出金日時、金額、入出金先口座等)に関するデータが含まれる。
残高データ領域には、この口座の現在の残高に関する情報が記録される。
In the account number data area, information relating to an identifier for specifying this account is recorded.
The deposit / withdrawal history data area includes data relating to depositing / withdrawing to this account and information relating to withdrawal / withdrawal from this account (such as deposit / withdrawal date / time, amount, deposit / withdrawal destination account, etc.).
In the balance data area, information related to the current balance of this account is recorded.
サービスサーバ40は、ユーザ端末10に対して、金融サービスを提供するサービスプロバイダ(いわゆるFintech企業)のコンピュータシステムである。サービスサーバ40は、ユーザ端末10からのアクセスに応じて、API中継サーバ50を介して、銀行サーバ30から各種情報を取得し、この情報を加工や編集を行なって、ユーザ端末10に提供する。このサービスサーバ40は、ユーザ情報記憶部42を備える。
The
ユーザ情報記憶部42には、ユーザのワンタイムURLに関するユーザ管理レコードが記録される。ユーザ管理レコードは、ユーザ登録が行なわれた場合に記録される。このユーザ管理レコードには、アクセストークン、ワンタイムURLに関するデータを含んで構成される。
In the user
アクセストークンデータ領域には、各ユーザの認証(ここでは、OAuth認証)において用いられる認証情報に関するデータが記録される。
ワンタイムURLデータ領域には、各ユーザに付与したワンタイムURLに関するデータが記録される。
In the access token data area, data relating to authentication information used in authentication (here, OAuth authentication) of each user is recorded.
In the one-time URL data area, data related to the one-time URL assigned to each user is recorded.
API中継サーバ50は、ユーザ端末10やサービスサーバ40からのアクセスに応じて、顧客の口座に関する情報を提供するコンピュータシステムである。このAPI中継サーバ50は、ファサードAPI51、業務API52を備えている。ここで、各APIは、銀行サーバ30における情報連携を行なうためのアプリケーションサービスインターフェースである。
The
ファサードAPI51は、複数の業務API52のインターフェースとなるAPIである。
業務API52は、銀行サーバ30における各種業務と連携するAPIである。業務には、銀行サーバ30の口座情報記憶部33に記録された口座管理情報を用いて、利用者の取引についての決済を行なう振込等がある。
The
The
次に、図2〜図3に従って、上記のように構成されたシステムにおいて実行される処理手順について説明する。
(サービス利用前処理)
まず、図2を用いて、サービス利用前処理を説明する。この処理は、ユーザ端末10を用いて、管理サーバ20で取引を行なう前に実行される。
Next, a processing procedure executed in the system configured as described above will be described with reference to FIGS.
(Service pre-processing)
First, the service use pre-processing will be described with reference to FIG. This process is executed before the
ここでは、ユーザ端末10は、事前認証開始処理を実行する(ステップS1−1)。具体的には、ユーザは、ユーザ端末10を用いて、管理サーバ20にアクセスする。
この場合、管理サーバ20の制御部21は、ワンタイムURLの仮確保処理を実行する(ステップS1−2)。具体的には、制御部21のURL管理部211は、API中継サーバ50にアクセス可能なワンタイムURLを生成する。そして、URL管理部211は、生成したワンタイムURLを記録したURL管理レコードを生成し、URL記憶部22に記録する。
Here, the
In this case, the
次に、管理サーバ20の制御部21は、認証要求処理を実行する(ステップS1−3)。具体的には、制御部21のユーザ認証部212は、ユーザ端末10に対して、セッション情報を含めた認証要求を送信する。
Next, the
この場合、ユーザ端末10は、認証画面の表示処理を実行する(ステップS1−4)。具体的には、ユーザ端末10は、表示部に認証画面を出力する。この認証画面には、ユーザID、パスワードを入力するためのユーザ設定欄が設けられている。
In this case, the
次に、ユーザ端末10は、認証情報の入力処理を実行する(ステップS1−5)。具体的には、ユーザは、認証画面に、銀行サーバ30を利用するためのユーザID、パスワードを入力する。そして、ユーザ端末10は、セッション情報を含めた認証情報を管理サーバ20に送信する。認証情報には、認証画面に入力されたユーザID、パスワードに関するデータを含める。
Next, the
次に、管理サーバ20の制御部21は、認証依頼処理を実行する(ステップS1−6)。具体的には、制御部21のユーザ認証部212は、ユーザ端末10から認証情報を受信し、銀行サーバ30に対して、セッション情報を含めた認証依頼を送信する。この認証依頼には、ユーザ端末10から取得したユーザID、パスワードに関するデータを含める。
Next, the
次に、銀行サーバ30は、認証処理を実行する(ステップS1−7)。具体的には、銀行サーバ30は、認証依頼に含まれるユーザID、パスワードが、顧客情報記憶部32に登録されているかどうかを確認する。ユーザID、パスワードが記録された顧客管理レコードを抽出した場合には、認証を完了する。そして、銀行サーバ30は、セッション情報を含めた認証結果を管理サーバ20に返信する。この認証結果には、認証を完了した場合には完了フラグを設定し、認証を完了できなかった場合にはエラーフラグを設定する。
Next, the
次に、管理サーバ20の制御部21は、認証完了かどうかについての判定処理を実行する(ステップS1−8)。具体的には、制御部21のユーザ認証部212は、銀行サーバ30から取得した認証結果に基づいて、認証完了か否かを判定する。ここでは、完了フラグが設定された認証結果を取得した場合に、認証完了と判定する。
Next, the
エラーフラグが設定された認証結果を取得し、認証完了でないと判定した場合(ステップS1−8において「NO」の場合)、管理サーバ20の制御部21は、ワンタイムURLの解放処理を実行する(ステップS1−9)。具体的には、制御部21のユーザ認証部212は、セッション情報に基づいて、このユーザ端末10に割り当てたワンタイムURLを特定し、URL記憶部22に記録されているURL管理レコードを削除する。
When the authentication result in which the error flag is set is acquired and it is determined that the authentication is not completed (“NO” in step S1-8), the
一方、完了フラグが設定された認証結果を取得し、認証完了と判定した場合(ステップS1−8において「YES」の場合)管理サーバ20の制御部21は、ワンタイムURLのユーザとの関連付け処理を実行する(ステップS1−10)。具体的には、制御部21のユーザ認証部212は、URL記憶部22に記録されたURL管理レコードにおいて、ワンタイムURLに関連付けて、ステータスとして認証完了フラグを記録するとともに、認証を完了したユーザIDを記録する。
On the other hand, when the authentication result in which the completion flag is set is acquired and it is determined that the authentication is completed ("YES" in step S1-8), the
次に、管理サーバ20の制御部21は、トークン及びワンタイムURLの提供処理を実行する(ステップS1−11)。具体的には、制御部21のユーザ認証部212は、ユーザIDを暗号化した固有コードを含めたアクセストークンを生成する。このアクセストークンにより、OAuth認証において利用者を特定することができる。ユーザ認証部212は、URL管理レコードにおいて、ワンタイムURLに関連付けて、アクセストークンを記録する。そして、ユーザ認証部212は、リダイレクト要求をユーザ端末10に送信する。このリダイレクト要求には、アクセストークン及びワンタイムURL、リダイレクト先アドレスに関するデータを含める。
Next, the
次に、ユーザ端末10は、リダイレクト処理を実行する(ステップS1−12)。具体的には、リダイレクト要求を受信したユーザ端末10は、サービスサーバ40にアクセスする。この場合、ユーザ端末10は、管理サーバ20から取得したアクセストークン及びワンタイムURLをサービスサーバ40に転送する。
Next, the
次に、サービスサーバ40は、ワンタイムURLの保存処理を実行する(ステップS1−13)。具体的には、サービスサーバ40は、リダイレクトにより取得したワンタイムURLを、アクセストークンに関連付けてユーザ情報記憶部42に登録する。そして、サービスサーバ40は、ユーザ端末10に対して、事前認証完了メッセージを送信する。
Next, the
次に、ユーザ端末10は、完了表示処理を実行する(ステップS1−14)。具体的には、ユーザ端末10は、表示部に、事前認証を完了したことを示すメッセージを出力する。
Next, the
(サービス利用時の処理)
次に、図3を用いて、サービス利用時の処理を説明する。
まず、ユーザ端末10は、ログイン要求処理を実行する(ステップS2−1)。具体的には、ユーザは、サービスサーバ40を利用する場合、アクセス画面を出力する。このアクセス画面には、ユーザの生体情報の読取指示を含める。この場合、ユーザは、ユーザ端末10の認証デバイスを用いて、生体情報の読取操作を行なう。そして、ユーザ端末10は、ログイン要求を、サービスサーバ40に送信する。このログイン要求には、生体認証に基づいて特定されたアクセストークンを含める。
(Processing when using the service)
Next, processing when using the service will be described with reference to FIG.
First, the
次に、サービスサーバ40は、アクセストークンの取得処理を実行する(ステップS2−2)。具体的には、サービスサーバ40は、ユーザ端末10から、アクセストークンを含めたログイン要求を取得する。
Next, the
次に、サービスサーバ40は、ログイン処理を実行する(ステップS2−3)。具体的には、サービスサーバ40は、ユーザ端末10から取得したアクセストークンが、ユーザ情報記憶部42に記録されているかどうかを確認する。アクセストークンが、ユーザ情報記憶部42に記録されている場合には、ログインを許可し、サービスメニュー画面をユーザ端末10に返信する。なお、アクセストークンが、ユーザ情報記憶部42に記録されていない場合には、ログインを拒否して、エラーメッセージをユーザ端末10に返信する。
Next, the
次に、ユーザ端末10は、サービス要求処理を実行する(ステップS2−4)。具体的には、ログインが許可された場合、ユーザは、サービスメニュー画面において、所望のサービスを選択する。例えば、サービスとしては、振込処理依頼等がある。この場合、ユーザ端末10は、サービスメニュー画面において選択されたサービスについてのサービス要求をサービスサーバ40に送信する。
Next, the
次に、サービスサーバ40は、ワンタイムURLの特定処理を実行する(ステップS2−5)。具体的には、サービスサーバ40は、ユーザ情報記憶部42から、アクセストークンに関連付けられたワンタイムURLを取得する。
Next, the
次に、サービスサーバ40は、ワンタイムURLにアクセス処理を実行する(ステップS2−6)。具体的には、サービスサーバ40は、ワンタイムURLに対して、サービス要求を送信する。
Next, the
次に、API中継サーバ50は、URL照会処理を実行する(ステップS2−7)。具体的には、API中継サーバ50のファサードAPI51は、管理サーバ20に対して、URL照会要求を送信する。このURL照会要求には、サービスサーバ40から取得したワンタイムURLを含める。
Next, the
URL照会要求を取得した管理サーバ20の制御部21は、ワンタイムURLの確認処理を実行する(ステップS2−8)。具体的には、制御部21のURL確認部213は、URL照会要求のワンタイムURLのステータスを確認する。ここで、URL記憶部22において、ワンタイムURLに対して、認証完了フラグ、ユーザIDが関連付けられている場合には、ワンタイムURLは有効と判定する。一方、ワンタイムURLに対して、ユーザIDが関連付けられていない場合には、ワンタイムURLは無効と判定する。そして、URL確認部213は、API中継サーバ50に確認結果を返信する。この確認結果には、ワンタイムURLの有効フラグ又は無効フラグを含める。
The
次に、API中継サーバ50は、ワンタイムURLの妥当性の検証処理を実行する(ステップS2−9)。具体的には、API中継サーバ50のファサードAPI51は、管理サーバ20から取得した確認結果に基づいて、ワンタイムURLの妥当性を検証する。ここでは、有効フラグを含む確認結果を取得した場合には、ワンタイムURLは妥当と判定する。
Next, the
一方、無効フラグを含む確認結果を取得した場合には、ファサードAPI51は、ワンタイムURLは妥当でないと判定し、サービスサーバ40に対して、エラーメッセージを返信する。この場合、サービスサーバ40はユーザ端末10に対して、サービスを利用できないことを示すメッセージを返信する。
On the other hand, when the confirmation result including the invalid flag is acquired, the
ワンタイムURLは妥当と判定したAPI中継サーバ50は、業務APIコール処理を実行する(ステップS2−10)。具体的には、API中継サーバ50のファサードAPI51は、サービスサーバ40からのサービス要求に応じた業務API52を呼び出す。
The
次に、API中継サーバ50は、サービス依頼処理を実行する(ステップS2−11)。具体的には、API中継サーバ50の業務API52は、銀行サーバ30に対してサービス要求を送信する。
Next, the
次に、銀行サーバ30は、サービス処理を実行する(ステップS2−12)。具体的には、銀行サーバ30は、サービス要求に基づいて、サービス処理(例えば、口座情報記憶部33を用いた振込処理)を実行する。そして、銀行サーバ30は、処理結果をAPI中継サーバ50に返信する。
Next, the
次に、API中継サーバ50は、結果取得処理を実行する(ステップS2−13)。具体的には、API中継サーバ50のファサードAPI51は、銀行サーバ30から、サービス処理結果を取得する。
Next, the
次に、API中継サーバ50は、業務APIコール処理を実行する(ステップS2−14)。具体的には、API中継サーバ50のファサードAPI51は、業務API52を呼び出し、サービス処理結果をサービスサーバ40に返信する。
Next, the
次に、サービスサーバ40は、処理結果の送信処理を実行する(ステップS2−15)。具体的には、サービスサーバ40は、サービス処理結果に基づいて、サービス要求を更新する。そして、サービスサーバ40は、ユーザ端末10に対して、処理結果を送信する。
Next, the
次に、ユーザ端末10は、完了表示処理を実行する(ステップS2−16)。具体的には、ユーザ端末10は、サービスサーバ40から取得した処理結果を、表示部に出力する。
Next, the
本実施形態によれば、以下のような効果を得ることができる。
(1)本実施形態では、管理サーバ20の制御部21は、ワンタイムURLの仮確保処理を実行する(ステップS1−2)。認証完了と判定した場合(ステップS1−8において「YES」の場合)管理サーバ20の制御部21は、ワンタイムURLのユーザとの関連付け処理を実行する(ステップS1−10)。これにより、ユーザ認証に基づいて、ワンタイムURLを付与することができる。
According to this embodiment, the following effects can be obtained.
(1) In the present embodiment, the
(2)本実施形態では、管理サーバ20の制御部21は、トークン及びワンタイムURLの提供処理を実行する(ステップS1−11)。ユーザ端末10は、リダイレクト処理を実行する(ステップS1−12)。サービスサーバ40は、ワンタイムURLの保存処理を実行する(ステップS1−13)。これにより、サービスサーバ40は、API中継サーバ50にアクセスするためのワンタイムURLを取得することができる。
(2) In the present embodiment, the
(3)本実施形態では、サービスサーバ40は、ワンタイムURLの特定処理(ステップS2−5)、ワンタイムURLにアクセス処理(ステップS2−6)を実行する。この場合、API中継サーバ50は、URL照会処理を実行する(ステップS2−7)。ワンタイムURLを用いることにより、外部から、業務API52への攻撃を抑制することができる。
(3) In the present embodiment, the
また、上記実施形態は以下のように変更してもよい。
・上記実施形態では、URL記憶部22には、ユーザに付与したワンタイムURLに関するURL管理レコードが記録される。このURL管理レコードには、ワンタイムURL、ステータス、ユーザID、アクセストークンに関するデータが記録される。ここで、ワンタイムURLに利用条件を設定してもよい。利用条件としては、例えば、利用上限金額を用いることができる。この場合、URL管理レコードに、利用条件として利用上限金額、ステータスとして利用金額の累積額を記録する。そして、API中継サーバ50は、ワンタイムURLの妥当性の検証処理(ステップS2−9)において、サービス要求に係る利用金額を管理サーバ20に送信する。この場合、管理サーバ20の制御部21は、ワンタイムURLの確認処理(ステップS2−8)において、URL確認部213は、利用金額を加算した利用金額の累積額を算出する。そして、URL確認部213は、URL記憶部22に記録された利用金額の累積額が利用上限金額に達していないかどうかを確認する。ここで、利用金額の累積額が利用上限金額に達していない場合に、URL確認部213は、URL記憶部22のURL管理レコードにおいて利用金額の累積額を更新し、ワンタイムURLの有効フラグを含めた確認結果を返信する。一方、利用金額の累積額が利用上限金額を超える場合、URL確認部213は、ワンタイムURLの無効フラグを含めた確認結果を返信する。
Moreover, you may change the said embodiment as follows.
In the above embodiment, the
また、利用条件として、有効期間を用いてもよい。この場合には、URL確認部213は、現在日時を特定し、この現在日時が有効期間に含まれる場合に、URL確認部213は、ワンタイムURLの有効フラグを含めた確認結果を返信する。一方、現在日時が有効期間に含まれない場合、URL確認部213は、ワンタイムURLの無効フラグを含めた確認結果を返信する。そして、URL管理部211は、有効期間を渡過したURL管理レコードを削除する。
Moreover, you may use an effective period as usage conditions. In this case, the
また、利用条件として、利用上限回数を用いてもよい。この場合、URL管理レコードに、利用条件として利用上限回数、ステータスとして利用回数を記録する。そして、管理サーバ20の制御部21は、ワンタイムURLの確認処理(ステップS2−8)において、URL確認部213は、利用回数に「1」を加算した現在回数を算出する。そして、URL確認部213は、現在回数が利用上限回数以下の場合に、URL確認部213は、URL記憶部22のURL管理レコードにおいて利用回数を更新し、ワンタイムURLの有効フラグを含めた確認結果を返信する。一方、利用回数が利用上限回数に達した場合、URL確認部213は、ワンタイムURLの無効フラグを含めた確認結果を返信する。そして、URL管理部211は、利用回数が利用上限回数に達したURL管理レコードを削除する。
Further, the use upper limit count may be used as the use condition. In this case, the upper limit number of times of use is recorded as a use condition and the number of times of use is recorded as a status in the URL management record. Then, in the one-time URL confirmation process (step S2-8), the
また、利用条件として、利用可能時間帯を用いてもよい。この場合には、現在時刻が利用可能時間帯に含まれる場合に、URL確認部213は、ワンタイムURLの有効フラグを含めた確認結果を返信する。一方、現在時刻が利用可能時間帯に含まれない場合、URL確認部213は、ワンタイムURLの無効フラグを含めた確認結果を返信する。
また、利用条件として、取引種別を用いてもよい。この場合、管理サーバ20の制御部21は、サービスサーバ40に対して、取引種別毎に異なるワンタイムURLを提供する。
Moreover, you may use an available time slot | zone as usage conditions. In this case, when the current time is included in the available time zone, the
Moreover, you may use a transaction classification as usage conditions. In this case, the
・上記実施形態では、ユーザ端末10は、事前認証開始処理を実行する(ステップS1−1)。ユーザ端末10が、この処理を、定期的に実行するようにしてもよい。この場合には、ワンタイムURLの有効期間を決めておき、有効期間の経過を検知したユーザ端末10が事前認証開始処理を実行する。
・上記実施形態では、管理サーバ20の制御部21は、ワンタイムURLの仮確保処理を実行する(ステップS1−2)。ここでは、ユーザ毎にワンタイムURLをURL記憶部22に記録する。このワンタイムURLは、ユーザ毎に付与する場合に限定されるものではない。例えば、所定の有効期間は同じワンタイムURLを付与してもよい。
In the above embodiment, the
In the above embodiment, the
・上記実施形態では、管理サーバ20の制御部21は、トークン及びワンタイムURLの提供処理を実行する(ステップS1−11)。これに代えて、ワンタイムURLの特定処理(ステップS2−5)において、サービスサーバ40が管理サーバ20にアクセスし、アクセストークンに関連付けられた有効なワンタイムURLを取得するようにしてもよい。ここで、URL記憶部22に、アクセストークンに関連付けられた有効なワンタイムURLが記録されていない場合には、サービスサーバ40はサービス提供を拒否する。この場合には、サービスサーバ40のユーザ情報記憶部42にワンタイムURLを保持させることなく、ワンタイムURLによりAPI中継サーバ50にアクセスできる。
In the above embodiment, the
・上記実施形態では、金融機関が提供するAPIサービスにおいて、ワンタイムURLを用いる。ワンタイムURLの適用対象は、銀行APIに限定されるものではない。 In the above embodiment, a one-time URL is used in an API service provided by a financial institution. The application target of the one-time URL is not limited to the bank API.
10…ユーザ端末、20…管理サーバ、21…制御部、22…URL記憶部、211…URL管理部、212…ユーザ認証部、213…URL確認部、30…銀行サーバ、32…顧客情報記憶部、33…口座情報記憶部、40…サービスサーバ、42…ユーザ情報記憶部、50…API中継サーバ、51…ファサードAPI、52…業務API。
DESCRIPTION OF
Claims (5)
前記管理サーバが、ユーザの本人認証に基づいて、前記API中継サーバにアクセスするためのワンタイムURLを発行し、ユーザ情報に関連付けて前記ワンタイムURLをURL記憶部に記録し、
ユーザ情報とともに前記ワンタイムURLを前記サービスサーバに提供し、
サービス要求を受け付けるサービスサーバが、ユーザの本人認証を行ない、前記ユーザのユーザ情報に関連付けられたワンタイムURLを用いて、前記API中継サーバに対して、サービス要求を送信することを特徴とするサービス管理システム。 A service management system including a management server for managing a one-time URL, an API relay server having an API for providing a service, and a service server for using the service,
The management server issues a one-time URL for accessing the API relay server based on user authentication, records the one-time URL in a URL storage unit in association with user information,
Providing the one-time URL together with user information to the service server;
A service server that receives a service request authenticates the user and transmits the service request to the API relay server using a one-time URL associated with the user information of the user. Management system.
前記管理サーバは、前記サービス上限を超えたサービス要求を拒否することを特徴とする請求項1に記載のサービス管理システム。 In association with the one-time URL, a service usage upper limit is set,
The service management system according to claim 1, wherein the management server rejects a service request that exceeds the service upper limit.
前記有効期間を経過した場合には、前記ワンタイムURLの利用を拒否することを特徴とする請求項1又は2に記載のサービス管理システム。 Set the validity period in association with the one-time URL,
3. The service management system according to claim 1, wherein the use of the one-time URL is rejected when the valid period has elapsed.
前記管理サーバが、ユーザの本人認証に基づいて、前記API中継サーバにアクセスするためのワンタイムURLを発行し、ユーザ情報に関連付けて前記ワンタイムURLをURL記憶部に記録し、
ユーザ情報とともに前記ワンタイムURLを前記サービスサーバに提供し、
サービス要求を受け付けるサービスサーバが、ユーザの本人認証を行ない、前記ユーザのユーザ情報に関連付けられたワンタイムURLを用いて、前記API中継サーバに対して、サービス要求を送信することを特徴とするサービス管理方法。 A method for managing service provision using a service management system including a management server for managing a one-time URL, an API relay server having an API for providing a service, and a service server for using the service,
The management server issues a one-time URL for accessing the API relay server based on user authentication, records the one-time URL in a URL storage unit in association with user information,
Providing the one-time URL together with user information to the service server;
A service server that receives a service request authenticates the user and transmits the service request to the API relay server using a one-time URL associated with the user information of the user. Management method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017123222A JP6463803B2 (en) | 2017-06-23 | 2017-06-23 | Service management system and service management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017123222A JP6463803B2 (en) | 2017-06-23 | 2017-06-23 | Service management system and service management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019008525A true JP2019008525A (en) | 2019-01-17 |
JP6463803B2 JP6463803B2 (en) | 2019-02-06 |
Family
ID=65026017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017123222A Active JP6463803B2 (en) | 2017-06-23 | 2017-06-23 | Service management system and service management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6463803B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020135197A (en) * | 2019-02-15 | 2020-08-31 | 株式会社リコー | Information processing apparatus |
JP2020166469A (en) * | 2019-03-29 | 2020-10-08 | みずほ情報総研株式会社 | Service management system and service management method |
JP2021039462A (en) * | 2019-08-31 | 2021-03-11 | 株式会社北洋銀行 | Electronic money charge method and electronic money support system |
JP2021064121A (en) * | 2019-10-11 | 2021-04-22 | 株式会社ライトスタッフ | Insurance information management system, insurance information management method, insurance information management program, and computer readable recording medium with the program recorded |
JP2021089657A (en) * | 2019-12-05 | 2021-06-10 | 株式会社日立製作所 | Authentication approving system and method for approving authentication |
JP7486677B2 (en) | 2021-06-28 | 2024-05-17 | ドロップボックス, インコーポレイテッド | Joint management of links through link platforms and partner services |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017045293A (en) * | 2015-08-27 | 2017-03-02 | ブラザー工業株式会社 | Relay device and communication system |
-
2017
- 2017-06-23 JP JP2017123222A patent/JP6463803B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017045293A (en) * | 2015-08-27 | 2017-03-02 | ブラザー工業株式会社 | Relay device and communication system |
Non-Patent Citations (3)
Title |
---|
早川 勝: "そのまま役立つアーキテクチャー構築 実践編", 日経SYSTEMS, vol. 第287号, JPN6018034136, 26 February 2017 (2017-02-26), JP, pages p.70〜75 * |
磯部 浩: "ここでぶつかるiモード導入 問題点と解決策を徹底整理", モバイルインターネット, vol. 第1巻 第4号, JPN6018034134, 10 May 2001 (2001-05-10), pages p.22〜29 * |
遠藤 圭介: "FinTechの鍵を握る2つの技術", ITソリューションフロンティア, vol. Vol.33 No.08[online], JPN6018034131, 20 July 2016 (2016-07-20), JP, pages p.6〜9 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020135197A (en) * | 2019-02-15 | 2020-08-31 | 株式会社リコー | Information processing apparatus |
JP7302193B2 (en) | 2019-02-15 | 2023-07-04 | 株式会社リコー | Information processing equipment |
JP2020166469A (en) * | 2019-03-29 | 2020-10-08 | みずほ情報総研株式会社 | Service management system and service management method |
JP2021039462A (en) * | 2019-08-31 | 2021-03-11 | 株式会社北洋銀行 | Electronic money charge method and electronic money support system |
JP2021064121A (en) * | 2019-10-11 | 2021-04-22 | 株式会社ライトスタッフ | Insurance information management system, insurance information management method, insurance information management program, and computer readable recording medium with the program recorded |
JP2021089657A (en) * | 2019-12-05 | 2021-06-10 | 株式会社日立製作所 | Authentication approving system and method for approving authentication |
JP7262378B2 (en) | 2019-12-05 | 2023-04-21 | 株式会社日立製作所 | Authentication authorization system and authentication authorization method |
JP7486677B2 (en) | 2021-06-28 | 2024-05-17 | ドロップボックス, インコーポレイテッド | Joint management of links through link platforms and partner services |
Also Published As
Publication number | Publication date |
---|---|
JP6463803B2 (en) | 2019-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6463803B2 (en) | Service management system and service management method | |
US11620621B2 (en) | Enrolling a payer by a merchant server operated by or for the benefit of a payee and processing a payment from the payer by a secure server | |
US20210398111A1 (en) | Method And System For Transmitting Credentials | |
US10360561B2 (en) | System and method for secured communications between a mobile device and a server | |
US9407622B2 (en) | Methods and apparatus for delegated authentication token retrieval | |
US8666904B2 (en) | System and method for trusted embedded user interface for secure payments | |
CA2748481C (en) | System and method for initiating transactions on a mobile device | |
US9596237B2 (en) | System and method for initiating transactions on a mobile device | |
US20140068722A1 (en) | Personal identity control | |
US20120150748A1 (en) | System and method for authenticating transactions through a mobile device | |
JP6643374B2 (en) | Service management system and service management method | |
US20150046327A1 (en) | Server-based payment system | |
US20160034891A1 (en) | Method and system for activating credentials | |
CA2864171C (en) | Authentication platform for pin debit issuers | |
GB2513126A (en) | Method and system for creating a unique identifier | |
JP6750063B1 (en) | Service management system and service management method | |
US20150066766A1 (en) | Secure Generation of a User Account in a Service Server | |
JP6268242B1 (en) | Server and token issuing method | |
JP6446119B2 (en) | Server and token issuing method | |
WO2016166715A1 (en) | Systems and methods for executing payment transactions | |
JP2016091128A (en) | User identification system, method, and program | |
Tsehaye | An Interoperable Identity Management Framework (In the Case of Ethiopian e-government) | |
KR20080083731A (en) | Method and system for processing payment of credit card using by soft phone | |
Stenbäcka et al. | A proposal of a method for evaluating third-party authentication services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181102 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190104 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6463803 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |