WO2016015436A1 - 平台授权方法、平台服务端、应用客户端及系统和存储介质 - Google Patents

Abstract

本发明实施例公开了一种平台授权方法、平台服务端、应用客户端及系统和非易失性计算机存储介质，该方法包括：平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；所述平台服务端对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；所述平台服务端接收所述应用客户端通过第二路径发送的第二验证消息；如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。本发明实施例的技术方案能使得用户对授权过程无感知，并能进一步提高授权的安全性。

Description

平台授权方法、平台服务端、应用客户端及系统和存储介质

相关申请的交叉引用

本专利申请要求于2014年7月28日提交的、申请号为201410363395.1、申请人为百度在线网络技术(北京)有限公司、发明名称为“一种平台授权方法、平台服务端及应用客户端和系统”的中国专利申请的优先权，该申请的全文以引用的方式并入本文中。

技术领域

本发明涉及计算机通信技术领域，尤其涉及一种平台授权方法、平台服务端、应用客户端及系统和非易失性计算机存储介质。

背景技术

开放平台是指由网站提供的、面向第三方的开放式基础服务平台，例如百度、腾讯、阿里、新浪微博等开放云平台。第三方的应用客户端为了获得这些开放平台提供的各种高价值的云能力和用户数据，都会去支持各大平台所提供的开放授权接口，以获取用户在这些平台上给本应用客户端授权后产生的授权访问令牌，并通过访问令牌调用各大平台提供的OpenAPI(Open Application Programming Interface，开放应用程序接口)来获取本应用客户端需要的云能力和用户在对应开放平台上的相关数据。

现有技术中，用户给应用客户端授权前需要先基于用户的已有账户登录该开放平台，否则该开放平台无法知道是哪个用户要为对应的应用客户端授权，而为了保证安全，一般都需要应用客户端提供网络视图(WebView)或外部浏览 器来加载对应平台所提供的登录授权页面，用户在该登录授权页面进行登录授权，以便应用客户端不能直接接触到用户的账号、密码等敏感信息。但这样的流程体验在很多时候是很不友好的，包括：

第一、由于授权时需要加载一个web页(网页)，而web页的加载速度取决于用户移动设备的网络速度，在大多数2G移动通信网络环境下，这个页面的加载速度是极慢的，用户需要等待很长时间才能看到登录授权界面；

第二、由于web页是由开放平台端统一提供的，第三方应用一般是无法对该页面的风格、布局、内容等进行灵活自定义的，很多时候，这个web页的风格会与应用客户端自身的风格出入很大，使得第三方应用难以接受，尤其是在第三方游戏应用中；

第三、应用客户端如果通过外部浏览器加载登录授权页则会导致用户体验的急剧下降，如果通过WebView加载，则第三方应用仍然是有办法拿到用户输入的账号、密码等敏感信息的，其安全性不够高；

第四、当应用客户端同时需要多个开放平台所提供的用户数据和云能力来实现一项功能时，就得想办法引导用户逐一在该多个开放平台上进行登录授权，在每次登录授权都要生成一个登录授权界面的情况下，这样的工作基本上无法有效开展。应用客户端需要的是，在用户不受干扰的情况下，顺畅完成多个平台的授权问题，这样才能获得最大的转化率。

发明内容

有鉴于此，本发明实施例提供一种平台授权方法、平台服务端、应用客户端及系统和非易失性计算机存储介质，以改善应用客户端得到平台服务端授权的机制。

第一方面，本发明实施例提供了一种平台服务端的平台授权方法，包括：

平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

所述平台服务端对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

所述平台服务端接收所述应用客户端通过第二路径发送的第二验证消息；

如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

第二方面，本发明实施例还提供了一种应用客户端的平台授权方法，包括：

应用客户端通过第一路径向平台服务端发送第一验证消息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

应用客户端通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

应用客户端接收所述平台服务端发送的授权访问令牌。

第三方面，本发明实施例还提供了一种平台授权方法，包括：

应用客户端通过第一路径向平台服务端发送第一验证消息；

平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

所述平台服务端对所接收的第一验证消息与所述客户端标识之间的映射关 系进行记录；

应用客户端通过第二路径向所述平台服务端转发第二验证消息；

所述平台服务端接收所述应用客户端通过第二路径发送的第二验证消息；

如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

应用客户端接收所述平台服务端和/或应用服务端发送的授权访问令牌。

第四方面，本发明实施例还提供了一种平台服务端，包括：

第一验证消息接收单元，用于接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

映射关系记录单元，用于对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

第二验证消息接收单元，用于接收所述应用客户端通过第二路径发送的第二验证消息；

验证与授权单元，用于如果验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

第五方面，本发明实施例还提供了一种应用客户端，包括：

第一验证消息发送单元，用于通过第一路径向平台服务端发送第一验证消息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

第二验证消息发送单元，用于通过第二路径向所述平台服务端转发第二验 证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

授权访问令牌接收单元，用于接收所述平台服务端发送的授权访问令牌。

第六方面，本发明实施例还提供了一种平台授权系统，包括：本发明任意实施例所提供的平台服务端和本发明任意实施例所提供的应用客户端。

第七方面，本发明实施例还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被平台服务端执行时，使得所述平台服务端进行如下操作：

接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

接收所述应用客户端通过第二路径发送的第二验证消息；

如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

第八方面，本发明实施例还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被应用客户端执行时，使得所述应用客户端进行如下操作：

通过第一路径向平台服务端发送第一验证消息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服 务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

接收所述平台服务端发送的授权访问令牌。

本发明实施例提出的技术方案，应用客户端通过第一路径向平台服务端发送第一验证消息，并通过第二路径发送的第二验证消息，如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则从所记录的映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端，无需通过网页进行登录，能使得用户对授权过程无感知，并能进一步提高授权的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对本发明实施例描述中所需要使用的附图作简单的介绍，显然，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据本发明实施例的内容和这些附图获得其他的附图。

图1是本发明实施例一所述的平台服务端的平台授权方法的流程图；

图2是本发明实施例二所述的平台服务端的平台授权方法的流程图；

图3是本发明实施例三所述的应用客户端的平台授权方法的流程图；

图4是本发明实施例四所述的应用客户端的平台授权方法的流程图；

图5是本发明实施例五所述的平台授权方法的流程图；

图6是本发明实施例六所述的平台服务端的结构框图；

图7是本发明实施例七所述的应用客户端的结构框图；

图8是本发明实施例八所述的平台授权方法中平台服务端与应用客户端以 及应用服务端的交互示意图。

具体实施方式

为使本发明解决的技术问题、采用的技术方案和达到的技术效果更加清楚，下面将结合附图对本发明实施例的技术方案作进一步的详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。

实施例一

图1是本发明实施例一提供的平台服务端的平台授权方法流程图，本实施例可适用于应用客户端请求调用开放平台中需要终端用户授权的OpenAPI时获取授权访问令牌情况，其中，所述应用客户端可以为安装于终端上的应用软件、即时通讯客户端、游戏娱乐客户端或终端上的系统工具，即第三方应用。该方法可以由平台服务端来执行，平台服务端是能够向第三方应用提供平台服务的服务器，如图1所示，本实施例所述的平台服务端的平台授权方法包括：

S101、平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端所在终端的终端标识，所述第一验证消息包括随机字符串。

为了防止应用客户端恶意获取平台方的用户数据，通过第一路径发送的第一验证消息优选为通过调用终端系统提供的系统接口向平台服务端发送的第一验证消息，例如可调用短信接口通过短信网关转发所述第一验证消息。

作为优选，所述应用客户端生成随机字符串，并创建包含所述随机字符串且目的地址为所述平台服务端的验证短信。所述应用客户端发送所述验证短信至短信网关，指示所述短信网关将所述验证短信进行协议转换，生成包含所述 随机字符串的第一验证消息，发送给所述平台服务端。短信网关可以从验证短信中提取短信发送方的终端标识，携带在第一验证消息中进行发送，则所述平台服务端接收后提取所述随机字符串和终端标识。

S102、所述平台服务端对所接收的随机字符串与所述终端标识之间的映射关系进行记录。

所述终端标识为用于唯一区分终端的标识码，只要平台服务端接收应用客户端通过第一路径发送的第一验证消息时，能用来识别出是哪一个终端即可，所述终端标识包括但不限于电话号码和终端的设备标识。终端标识通常被用户用来标识自己的账户，能据此获取账户信息。

S103、所述平台服务端接收所述应用客户端通过应用服务端转发的第二验证消息，所述第二验证消息包括所述随机字符串和身份认证信息。

为了安全起见，在注册过程中，各应用客户端或应用服务器还会向平台服务端提交身份认证信息(例如应用密钥)，以进行身份认证。在平台服务端会在数据库中对所述身份标识和所述身份认证信息之间的映射关系进行记录，用于关联查找。各应用客户端或应用服务器在向平台服务端发起访问请求时，需要发送身份认证信息用以进行身份认证，身份认证信息包括包名和包签名。

进一步地，为了安全起见，所述平台服务端接收到所述身份认证信息后，根据所述随机字符串从所记录的所述映射关系中提取所述终端标识之前，还包括：如果所述平台服务器验证所述身份认证信息为有效，则触发后续操作。即平台服务端先判断所述身份认证信息的有效性。若无效，则拒绝该应用客户端获取平台方的相关数据，可返回对应的错误信息进行提示，若有效，则可允许进行后续操作。

一般来说，平台方会为已注册的各应用客户端设置有差异的权限信息，以 控制各应用客户端的数据访问权限。若平台服务端判定应用客户端的身份认证信息的有效，则需要根据所述身份认证信息从数据库中读取出对应的权限信息。

进一步地，所述第二验证消息还可包括所述应用客户端期望获取的数据访问权限列表。

作为优选所述第二验证消息可通过与第一路径不同的第二路径转发，为了保证安全，所述第二路径可基于SSL(Secure Sockets Layer，安全套接层)协议，进一步地，所述第二路径可基于HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，安全超文本传输协议)协议。例如，基于所述第二路径发送的第二验证消息可为基于HTTPS发送的HTTPS请求。为了防止应用客户端利用所述第二路径恶意获取平台方的用户数据，应用客户端需要针对所述第二路径作必要的安全防护以提升其他客户端利用该路径的难度和成本，例如提供套接字SOCKET接口代替HTTP(Hypertext Transfer Protocol，超文本传输协议)接口，对所述第二验证消息作相应的对称加密或非对称加密，增加防跨站请求伪造攻击处理策略等。

S104、如果所述平台服务端验证所述第一验证消息和第二验证消息中的随机字符串一致，则根据所述随机字符串从所记录的所述映射关系中提取所述终端标识，并根据所述终端标识获取对应的用户账号信息。

S105、所述平台服务端根据所述用户账号信息和所述身份认证信息生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

平台服务端可将生成授权访问令牌通过所述第一路径或与所述第一路径不同的第二路径发送给所述应用客户端和/或应用服务端，由于数据大小问题和对收到的数据使用便捷性问题，优选为通过所述第二路径进行发送。

可根据应用客户端的身份认证信息查找对应的应用服务端的身份认证信 息，从而再查找对应的应用服务端的地址，或者根据第二验证消息的发送端的信息查找所述应用服务端对应的第二路径的地址，进而，授权访问令牌通过第二路径发送给应用服务端。

若平台服务端将生成授权访问令牌发送给应用服务端，则所述应用服务端接收到授权访问令牌后，可根据需要决定是否需要将访问令牌在应用服务端作保存，以及是否将所述授权访问令牌转发给应用客户端，以进一步对应用客户端的授权安全性进行控制。

第三方应用的应用客户端从平台服务端或应用服务端获取到的授权访问令牌后，即可通过所述授权访问令牌调用平台方提供的OpenAPI接口来获取相应的云能力和用户数据。

作为优选，所述第二验证消息还包括所述应用客户端期望数据访问权限列表，本操作还可包括：根据所述用户账号信息、所述身份认证信息和期望数据访问权限列表生成授权访问令牌。

进一步地，如果根据所述终端标识获取对应的用户账号信息的操作失败，则根据所述终端标识注册获取新的用户账号信息。即，如果不存在所述账号信息，可以根据通过所述第一路径获取的终端标识自动注册一个用户账号。

进一步地，所述访问令牌中还可包含所述平台服务端为所述应用客户端开通的权限信息和/或期望获取的数据访问权限列表。需要说明的是，本实施例可适用于一个应用客户端请求获取一个或一个以上的开放平台的授权访问令牌情况。

需要说明的是，应用客户端通过第一路径发送第一验证消息和通过应用服务端转发第二验证消息的时机可以相同，也可以先后不同，只需要满足操作S104中根据所述随机字符串从所记录的所述映射关系中提取对应的终端标识的步骤 之前，操作S102已完成即可，优选为第一验证消息和第二验证消息同时发送，或第一验证消息比第二验证消息先发送。

本发明实施例提出的技术方案通过平台服务端接收应用客户端从第一路径发送的包括随机字符串的第一验证消息，并接收应用客户端通过应用服务端转发的包括所述随机字符串和身份认证信息的第二验证消息，验证所述第一验证消息和第二验证消息中的随机字符串一致，则根据所述随机字符串获取对应的用户账号信息，并根据所述用户账号信息和所述身份认证信息生成授权访问令牌，发送给所述应用客户端和/或应用服务端，无需通过网页进行登录，能使得用户对授权过程无感知，并能进一步提高授权的安全性。

实施例二

图2是本发明实施例二提供的平台服务端的平台授权方法流程图，本实施例可适用于应用客户端请求调用开放平台中需要终端用户授权的OpenAPI时获取授权访问令牌情况，其中，所述应用客户端可以为安装于终端上的应用软件、即时通讯客户端、游戏娱乐客户端或终端上的系统工具，即第三方应用。该方法可以由平台服务端来执行，平台服务端是能够向第三方应用提供平台服务的服务器，如图2所示，本实施例所述的平台服务端的平台授权方法包括：

S201、平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识。

本操作包括但不限于实施例一的S101所述的操作。其中，客户端标识是能够代表应用客户端的标识，用于最终获取用户的账户信息，以生成访问令牌。客户端标识可以为客户端所服务的用户的用户标识或客户端所在终端的终端标识，只要能对应于用户的账户信息即可。所以，获取所述应用客户端的客户端标识包括但不限于获取所述应用客户端所在终端的终端标识，优选为获取所述 应用客户端所在终端的终端标识，更进一步地，所述应用客户端所在终端优选为手机，所述应用客户端所在终端的终端标识优选为手机号。

所述第一验证消息包括但不限于：所述应用客户端生成的随机字符串，签名值，以及加密字符串等由该应用客户端生成的标示性信息，且优选是实时生成的信息，以减少该信息被盗用的可能。优选的，对于签名值可以由应用客户端根据其身份认证信息生成，加密字符串则可以由应用客户端的预设加密算法加密获得，以增加其可靠性。随机字符串、签名值、加密字符串等技术也可以结合采用。

S202、所述平台服务端对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录。

该操作实际上是记录第一验证消息中携带的应用客户端生成的信息与客户端标识之间的关联。应用客户端生成的信息将用于后续验证。

S203、所述平台服务端接收所述应用客户端通过第二路径发送的第二验证消息。

本操作中，第二验证消息通过第二路径发送，第二路径和第一路径为不同路径，但均为平台服务端与应用客户端之间的交互路径，例如可以为短信路径、HTTP消息交互路径、通过其他网元的转发路径等。通过不同路径发送验证消息，可以降低验证消息被盗取的可能性，提高验证安全性。

其中，所述第二验证消息可以是所述应用客户端直接向所述平台服务端发送的消息，也可以是所述应用客户端间接向所述平台服务端发送的消息。例如：

方式一、所述平台服务端接收所述应用客户端直接发送的第二验证消息；

方式二、所述平台服务端接收所述应用客户端通过应用服务端转发的第二验证消息。

S204、如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

两个验证消息的匹配可通过其中携带的信息进行匹配来验证。

例如，所述第一验证消息包括随机字符串，所述第二验证消息也包括所述随机字符串，如果所述平台服务端验证所述第一验证消息和第二验证消息中的随机字符串一致，则确定两验证消息匹配。

当验证消息匹配时，可以根据所述随机字符串从所记录的所述映射关系中提取所述客户端标识，例如终端标识，并根据所述终端标识获取对应的用户账号信息。进而，所述平台服务端可以根据所述用户账号信息和所述身份认证信息生成授权访问令牌，发送给所述应用客户端和/或应用服务端。身份认证信息为生成授权访问令牌过程中所需的信息，其优选可通过验证消息携带发送，即，所述第二验证消息优选是包括所述随机字符串和身份认证信息。

本发明实施例提出的技术方案，应用客户端通过第一路径向平台服务端发送第一验证消息，并通过第二路径发送的第二验证消息，如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则从所记录的映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端，无需通过网页进行登录，能使得用户对授权过程无感知，并能进一步提高授权的安全性。

实施例三

图3是本发明实施例三提供的应用客户端的平台授权方法流程图，本实施例可适用于应用客户端请求调用开放平台中需要终端用户授权的OpenAPI时获 取授权访问令牌情况，其中，所述应用客户端可以为安装于终端上的应用软件、即时通讯客户端、游戏娱乐客户端或终端上的系统工具，即第三方应用。该方法可以由应用客户端来执行，如图3所示，本实施例所述的应用客户端的平台授权方法包括：

S301、应用客户端通过第一路径向平台服务端发送第一验证消息，所述第一验证消息包括随机字符串。

为了防止应用客户端恶意获取平台方的用户数据，通过第一路径发送的第一验证消息优选为通过调用系统提供的系统接口向平台服务端发送的第一验证消息，例如可通过短信网关转发所述第一验证消息。

作为优选，所述应用客户端生成随机字符串，并创建包含所述随机字符串且目的地址为所述平台服务端的验证短信。所述应用客户端发送所述验证短信至短信网关，指示所述短信网关将所述验证短信进行协议转换，生成包含所述随机字符串的第一验证消息，发送给所述平台服务端，所述平台服务端接收后提取所述随机字符串和终端标识。短信网关可以从验证短信中提取短信发送方的终端标识，携带在第一验证消息中进行发送，则所述平台服务端接收后提取所述随机字符串和终端标识。

S302、应用客户端通过应用服务端向所述平台服务端转发第二验证消息，所述第二验证消息包括所述随机字符串和身份认证信息。

需要说明的是，应用客户端可以向应用服务端仅发送所述随机字符串，或可以向应用服务端同时发送所述随机字符串和该应用客户端在平台方注册时的身份认证信息。

若为第一种情况，则应用服务端接收到应用客户端发送的随机字符串以后，还需要查找该应用客户端在平台方注册时的身份认证信息，以将包括所述随机 字符串和身份认证信息的第二验证消息发送给所述平台服务端。

进一步地，所述第二验证消息还可包括所述应用客户端期望获取的数据访问权限列表，用于应用客户端向平台服务端明确提出需要申请的数据的访问权限的数据范围。

为了保证安全，所述第二路径可基于SSL协议，进一步地，所述第二路径可基于HTTPS协议。

例如，基于所述第二路径发送的第二验证消息可为基于HTTPS协议发送的HTTPS请求。为了防止应用客户端利用所述第二路径恶意获取平台方的用户数据，应用服务端需要作必要的安全防护以提升其他客户端恶意获取平台方的用户数据的难度和成本，例如提供SOCKET接口代替HTTP接口，对所述第二验证消息作相应的对称加密或非对称加密，增加防跨站请求伪造攻击处理策略等。

S303、应用客户端接收所述平台服务端或所述应用服务端发送的授权访问令牌。

需要说明的是，应用客户端通过第一路径发送第一验证消息和通过应用服务端转发第二验证消息的时机可以相同，也可以先后不同，只需要满足平台服务端根据所述随机字符串从所记录的所述映射关系中提取对应的终端标识的操作之前，通过第一路径向平台服务端发送第一验证消息成功即可，优选为第一验证消息和第二验证消息同时发送，或第一验证消息比第二验证消息先发送。

本发明实施例提出的技术方案通过应用客户端通过第一路径向平台服务端发送包括随机字符串的第一验证消息，并通过应用服务端转发包括所述随机字符串和身份认证信息的第二验证消息，如果所述平台服务端验证所述第一验证消息和第二验证消息中的随机字符串一致，则根据所述随机字符串获取对应的用户账号信息，并根据所述用户账号信息和所述身份认证信息生成授权访问令 牌，发送给所述应用客户端和/或应用服务端，无需通过网页进行登录，能使得用户对授权过程无感知，并能进一步提高授权的安全性。

实施例四

图4是本发明实施例四提供的应用客户端的平台授权方法流程图，本实施例可适用于应用客户端请求调用开放平台中需要终端用户授权的OpenAPI时获取授权访问令牌情况，其中，所述应用客户端可以为安装于终端上的应用软件、即时通讯客户端、游戏娱乐客户端或终端上的系统工具，即第三方应用。该方法可以由应用客户端来执行，如图4所示，本实施例所述的应用客户端的平台授权方法包括：

S401、应用客户端通过第一路径向平台服务端发送第一验证消息。

本操作用于供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录。

S401、应用客户端通过第二路径向所述平台服务端转发第二验证消息。

本操作用于供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

S401、应用客户端接收所述平台服务端发送的授权访问令牌。

与前述实施例二相应的是，应用客户端通过两条不同的路径向平台服务端发送验证消息。路径可以从短信、HTTP消息或通过应用服务端转发等路径中进行选择和组合，优选是，应用客户端通过短信网关向所述平台服务端转发第一验证消息，作为第一路径。应用客户端通过应用服务端向所述平台服务端转发第二验证消息，作为第二路径。

第一验证消息和第二验证消息中均携带用于进行匹配验证的信息，该信息如前所述，由应用客户端生成，例如为随机字符串、签名值、或加密字符串等信息。一个优选实例为，所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息。

所述客户端标识为代表应用客户端，并能够用于查找对应的用户账户信息的标识，优选地，所述客户端标识为所述应用客户端所在终端的终端标识。

本发明实施例提出的技术方案通过应用客户端通过第一路径向平台服务端发送第一验证消息，并通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端，无需通过网页进行登录，能使得用户对授权过程无感知，并能进一步提高授权的安全性。

实施例五

图5是本发明实施例六提供的平台授权方法流程图，本实施例可适用于应用客户端请求调用开放平台中需要终端用户授权的OpenAPI时获取授权访问令牌情况，其中，所述应用客户端可以为安装于终端上的应用软件、即时通讯客户端、游戏娱乐客户端或终端上的系统工具，即第三方应用。该方法由平台服务端和应用客户端配合来执行，如图5所示，本实施例所述的平台授权方法包括：

S501、应用客户端通过第一路径向平台服务端发送第一验证消息。

S502、平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识。

S503、所述平台服务端对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录。

S504、应用客户端通过第二路径向所述平台服务端转发第二验证消息；

S505、所述平台服务端接收所述应用客户端通过第二路径发送的第二验证消息。

S506、如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

S507、应用客户端接收所述平台服务端和/或应用服务端发送的授权访问令牌。

作为优选，所述第二路径为通过应用服务端转发。

作为优选，所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息；

作为优选，所述客户端标识为所述客户端所在终端的终端标识。

本实施例提出的技术方案中各操作的说明详见实施例一、实施例二、实施例三和实施例四的对应操作，具有实施例一、实施例二、实施例三和实施例四的有益效果。

实施例六

图6是本发明实施例三所述的平台服务端的结构框图，如图6所示，本实施例所述的平台服务端包括：

第一验证消息接收单元601，用于接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

映射关系记录单元602，用于对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

第二验证消息接收单元603，用于接收所述应用客户端通过第二路径发送的第二验证消息；

验证与授权单元604，用于如果验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

进一步地，所述第二验证消息接收单元603具体用于：

接收所述应用客户端通过应用服务端转发的第二验证消息。

进一步地：

所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息；

所述验证与授权单元604具体用于：验证所述第一验证消息和第二验证消息中的随机字符串一致。

进一步地，所述客户端标识为所述客户端所在终端的终端标识，则所述验证与授权单元604具体用于：

根据所述终端标识获取对应的用户账号信息；

根据所述用户账号信息和所述身份认证信息生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

进一步地，所述第一验证消息接收单元601具体用于：

接收所述应用客户端通过短信网关转发的第一验证消息，其中，所述第一验证消息为所述短信网关根据所述应用客户端发送的验证短信进行协议格式转 换后的消息，所述验证短信中携带有所述随机字符串；

从所述第一验证消息中获取所述应用客户端所在终端的终端标识，所述终端标识为所述短信网关从所述验证短信中提取的短信发起方终端标识。

进一步地：所述第二验证消息通过第二路径转发，所述第二路径为基于安全超文本传输协议HTTPS发送的HTTPS请求；和/或

所述第二验证消息还包括所述应用客户端提供的期望数据访问权限列表；和/或

所述身份认证信息包括包名和包签名；和/或

所述终端的标识为手机号。

本实施例提供的平台服务端可执行本发明实施例一和实施例二所提供的平台服务端的平台授权方法，具备执行方法相应的功能模块和有益效果。

实施例七

图7是本发明实施例四所述的应用客户端的结构框图，如图7所示，本实施例所述的应用客户端包括：

第一验证消息发送单元701，用于通过第一路径向平台服务端发送第一验证消息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

第二验证消息发送单元702，用于通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

授权访问令牌接收单元703，用于接收所述平台服务端发送的授权访问令 牌。

进一步地，所述第二验证消息发送单元702具体用于：

通过应用服务端向所述平台服务端转发第二验证消息。

进一步地：

所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息。

进一步地，所述客户端标识为所述应用客户端所在终端的终端标识。

进一步地，所述第一验证消息发送单元701具体用于：

生成随机字符串，并创建包含所述随机字符串且目的地址为所述平台服务端的验证短信；

发送所述验证短信至短信网关，以指示所述短信网关将所述验证短信进行协议转换并提取所述验证短信的短信发起方终端标识，生成包含所述随机字符串的第一验证消息，向所述平台服务端发送。

进一步地，所述第二验证消息发送单元702具体用于：

将所述随机字符串发送给所述应用服务端，以指示所述应用服务端将所述随机字符串和身份认证信息携带在第二验证消息中向平台服务端发送，所述第二验证消息为基于安全超文本传输协议HTTPS发送的HTTPS请求。

进一步地，所述第二验证消息发送单元702具体用于：

在发送所述第一验证消息的同时或发送所述第一验证消息成功之后，通过应用服务端向所述平台服务端转发第二验证消息。

本实施例提供的应用客户端可执行本发明实施例三和实施例四所提供的应用客户端的平台授权方法，具备执行方法相应的功能模块和有益效果。

实施例八

图8是本发明实施例八所述的平台授权方法中，平台服务端与应用客户端以及应用服务端的交互示意图，本实施例主要应用在安卓系统的手机应用程序(下称应用客户端)中，基于由平台服务端、应用客户端、应用服务端和短信网关组成的系统。如图8所示，本实施例所述的方法包括：

801、应用客户端向平台服务端发送内含随机字符串的第一验证消息。

即应用客户端向平台服务端发送短信，应用客户端按照平台方要求的格式生成一个包含随机的的字符串的短信内容串，并发送到通过调用系统提供的直接发送短信的接口，将所述短信内容串发送到平台方提供的短信网关，以指示所述接口将所述验证短信进行协议转换并提取所述验证短信的短信发起方终端标识，生成包含所述随机字符串的第一验证消息，向所述平台服务端发送。

具体地，应用客户端可调用平台方提供的软件开发工具包SDK(Software Development Kit，软件开发工具包)包提供的接口来获取一个特定格式的短信内容串。

802、短信网关向平台服务端发送客户端所在终端标识和第一验证消息。

例如，短信网关将短信内容串及发送短信的手机号基于HTTP通过发送HTTP请求转发给平台方的平台服务端。

平台服务端接收到短信内容串和手机号后，往缓存系统存储一条所述短信内容串到手机号的映射关系数据，并设一定的过期时间(一般时间较短，例如1分钟)。

803、应用客户端向应用服务端发送随机字符串。

应用客户端在短信发送成功后，可以调用系统接口向应用服务端发送随机字符串等数据。

需要说明的是，应用客户端可以向应用服务端仅发送随机字符串，或可向 应用服务端同时发送随机字符串和所述应用客户端在平台方注册时的身份认证信息。

若为第一种情况，则应用服务端接收到应用客户端发送的随机字符串以后，还需要查找该应用客户端在平台方注册时的身份认证信息，以将随机字符串和第二验证消息一起发送给平台服务端。

为了防止恶意应用客户端利用该接口来获取平台方颁发给该应用客户端的授权访问令牌，应用服务端需要对该接口作必要的安全防护以提升其他人利用该接口的难度与成本，如提供套接字接口而不是HTTP接口，数据作相应的对称加密或非对称加密处理，增加防攻击处理策略等。

804、应用服务端向平台服务端发送第二验证消息，内含随机字符串、应用客户端的身份认证信息和期望数据访问权限列表。

需要说明的是，所述第二验证消息至少包括随机字符串、应用客户端的身份认证信息，还可包括期望获取的数据访问权限列表。

应用服务端将第二验证消息，其中携带随机字符串、应用客户端在平台注册时的身份认证信息(如身份标识，应用密钥等)、以及期望获取的数据访问权限列表发送给平台服务器以获取访问令牌，为了保证安全，本次网络请求一般需要基于SSL(Secure Sockets Layer，安全套接层)，如通过HTTPS请求来发送。

805、平台服务端向应用服务端返回所生成的授权访问令牌。

平台服务端接收到所述第二验证消息，应用客户端在平台注册时的身份认证信息(如身份标识，应用密钥等)，以及期望获取的数据访问权限后，先判断应用客户端的身份认证信息的有效性，若无效，则返回对应的错误信息，否则根据所述身份认证信息从数据库中读取出平台方给所述应用客户端开通相关权限信息，并继续下一步。

平台服务端根据所述第一验证消息从相应缓存系统中读取出对应的手机号，并根据所述手机号获取对应的用户账号信息(如果不存在所述账号信息，则根据手机号自动注册一个用户账号)，并根据所述用户账号信息、所述应用身份认证信息、平台服务端为所述应用客户端开通的权限信息以及所述数据访问权限生成一个授权访问令牌，并将访问令牌返回给应用服务端。

806、应用服务端向应用客户端发送授权访问令牌。

应用服务端接收到授权访问令牌后，可以根据需要决定是否需要将访问令牌在应用服务端本地或对应数据库中存储，以及是否将所述令牌返回给所述应用客户端。

应用客户端获取到授权访问令牌后，即可通过访问令牌调用平台方提供的OpenAPI接口来获取相应的云能力和用户数据。

OpenAPI是服务型网站常见的一种应用，网站的服务商将自己的网站服务封装成一系列API(Application Programming Interface，应用编程接口)开放出去，供应用客户端的开发者使用，所开放的API就被称作OpenAPI。应用客户端获取到授权访问令牌后，即可通过访问令牌调用平台方提供的OpenAPI接口来获取相应的云能力和用户数据。

由于在用户触发手机号一键授权请求后，整个过程都不会出现任何其他的用户界面，因此，如果有多个平台都支持该技术，则应用客户端就可以通过多次接口调用的方式来完成每个平台的授权访问令牌的获取，从而解决前面提到的第四方面的问题。

本发明实施例还提供了一种平台授权系统，包括：本发明任意实施例所提供的平台服务端和本发明任意实施例所提供的应用客户端。

本发明实施例还提供了一种非易失性计算机存储介质，所述计算机存储介 质存储有一个或者多个程序，当所述一个或者多个程序被平台服务端执行时，使得所述平台服务端进行如下操作：

接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

接收所述应用客户端通过第二路径发送的第二验证消息；

如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

本发明实施例还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被应用客户端执行时，使得所述应用客户端进行如下操作：

通过第一路径向平台服务端发送第一验证消息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

接收所述平台服务端发送的授权访问令牌。

本发明实施例还提供了一种设备，包括：

一个或者多个处理器；

存储器；

一个或者多个程序，所述一个或者多个程序存储在所述存储器中，当被所 述一个或者多个处理器执行时进行如下操作：

接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

接收所述应用客户端通过第二路径发送的第二验证消息；

如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。

本发明实施例还提供了一种设备，包括：

一个或者多个处理器；

存储器；

一个或者多个程序，所述一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时进行如下操作：

通过第一路径向平台服务端发送第一验证消息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

接收所述平台服务端发送的授权访问令牌。以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现，其软件程序存储在可读取的存储介质中，存储介质例如：计算机中的硬盘、光盘或软盘。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员 会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。

Claims (34)

1. 一种平台服务端的平台授权方法，其特征在于，包括：

   平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

   所述平台服务端对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

   所述平台服务端接收所述应用客户端通过第二路径发送的第二验证消息；

   如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。
2. 根据权利要求1所述的方法，其特征在于，所述平台服务端接收所述应用客户端通过第二路径发送的第二验证消息包括：

   所述平台服务端接收所述应用客户端通过应用服务端转发的第二验证消息。
3. 根据权利要求2所述的方法，其特征在于：

   所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息；

   则所述平台服务端验证所述第一验证消息和第二验证消息匹配包括：所述平台服务端验证所述第一验证消息和第二验证消息中的随机字符串一致。
4. 根据权利要求3所述的方法，其特征在于，所述客户端标识为所述客户端所在终端的终端标识，则根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端包括：

   所述平台服务端根据所述终端标识获取对应的用户账号信息；

   所述平台服务端根据所述用户账号信息和所述身份认证信息生成授权访问 令牌，发送给所述应用客户端和/或应用服务端。
5. 根据权利要求4所述的方法，其特征在于，平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端所在终端的终端标识包括：

   所述平台服务端接收所述应用客户端通过短信网关转发的第一验证消息，其中，所述第一验证消息为所述短信网关根据所述应用客户端发送的验证短信进行协议格式转换后的消息，所述验证短信中携带有所述随机字符串；

   所述平台服务端从所述第一验证消息中获取所述应用客户端所在终端的终端标识，所述终端标识为所述短信网关从所述验证短信中提取的短信发起方终端标识。
6. 根据权利要求4所述的方法，其特征在于：所述第二验证消息通过第二路径转发，所述第二路径为基于安全超文本传输协议HTTPS发送的HTTPS请求。
7. 根据权利要求4所述的方法，其特征在于，在所述平台服务端根据所述随机字符串从所记录的所述映射关系中提取所述终端标识之前，还包括：

   如果所述平台服务器验证所述身份认证信息为有效，则触发后续操作。
8. 根据权利要求4所述的方法，其特征在于，所述第二验证消息还包括所述应用客户端提供的期望数据访问权限列表；

   所述平台服务端根据所述用户账号信息和所述身份认证信息生成授权访问令牌包括：

   所述平台服务端根据所述用户账号信息、所述身份认证信息和所述期望数据访问权限列表生成授权访问令牌。
9. 根据权利要求4-8任一所述的方法，其特征在于，所述身份认证信息包 括包名和包签名。
10. 一种应用客户端的平台授权方法，其特征在于，包括：

    应用客户端通过第一路径向平台服务端发送第一验证消息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

    应用客户端通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

    应用客户端接收所述平台服务端发送的授权访问令牌。
11. 根据权利要求10所述的方法，其特征在于，应用客户端通过第二路径向所述平台服务端转发第二验证消息包括：

    应用客户端通过应用服务端向所述平台服务端转发第二验证消息。
12. 根据权利要求11所述的方法，其特征在于：

    所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息。
13. 根据权利要求12所述的方法，其特征在于，所述客户端标识为所述应用客户端所在终端的终端标识。
14. 根据权利要求13所述的方法，其特征在于，应用客户端通过第一路径向平台服务端发送第一验证消息包括：

    所述应用客户端生成随机字符串，并创建包含所述随机字符串且目的地址为所述平台服务端的验证短信；

    所述应用客户端发送所述验证短信至短信网关，以指示所述短信网关将所 述验证短信进行协议转换并提取所述验证短信的短信发起方终端标识，生成包含所述随机字符串的第一验证消息，向所述平台服务端发送。
15. 根据权利要求13所述的方法，其特征在于，应用客户端通过应用服务端向所述平台服务端转发第二验证消息包括：

    所述应用客户端将所述随机字符串发送给所述应用服务端，以指示所述应用服务端将所述随机字符串和身份认证信息携带在第二验证消息中向平台服务端发送，所述第二验证消息为基于安全超文本传输协议HTTPS发送的HTTPS请求。
16. 根据权利要求13所述的方法，其特征在于，应用客户端通过应用服务端向所述平台服务端转发第二验证消息包括：

    应用客户端在发送所述第一验证消息的同时或发送所述第一验证消息成功之后，通过应用服务端向所述平台服务端转发第二验证消息。
17. 一种平台授权方法，其特征在于，包括：

    应用客户端通过第一路径向平台服务端发送第一验证消息；

    平台服务端接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

    所述平台服务端对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

    应用客户端通过第二路径向所述平台服务端转发第二验证消息；

    所述平台服务端接收所述应用客户端通过第二路径发送的第二验证消息；

    如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

    应用客户端接收所述平台服务端和/或应用服务端发送的授权访问令牌。
18. 根据权利要求17所述的方法，其特征在于：

    所述第二路径为通过应用服务端转发；

    所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息；

    所述客户端标识为所述客户端所在终端的终端标识。
19. 一种平台服务端，其特征在于，包括：

    第一验证消息接收单元，用于接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

    映射关系记录单元，用于对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

    第二验证消息接收单元，用于接收所述应用客户端通过第二路径发送的第二验证消息；

    验证与授权单元，用于如果验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。
20. 根据权利要求19所述的平台服务端，其特征在于，所述第二验证消息接收单元具体用于：

    接收所述应用客户端通过应用服务端转发的第二验证消息。
21. 根据权利要求20所述的平台服务端，其特征在于：

    所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息；

    所述验证与授权单元具体用于：验证所述第一验证消息和第二验证消息中的随机字符串一致。
22. 根据权利要求21所述的平台服务端，其特征在于，所述客户端标识为所述客户端所在终端的终端标识，则所述验证与授权单元具体用于：

    根据所述终端标识获取对应的用户账号信息；

    根据所述用户账号信息和所述身份认证信息生成授权访问令牌，发送给所述应用客户端和/或应用服务端。
23. 根据权利要求22所述的平台服务端，其特征在于，所述第一验证消息接收单元具体用于：

    接收所述应用客户端通过短信网关转发的第一验证消息，其中，所述第一验证消息为所述短信网关根据所述应用客户端发送的验证短信进行协议格式转换后的消息，所述验证短信中携带有所述随机字符串；

    从所述第一验证消息中获取所述应用客户端所在终端的终端标识，所述终端标识为所述短信网关从所述验证短信中提取的短信发起方终端标识。
24. 根据权利要求22所述的平台服务端，其特征在于：所述第二验证消息通过第二路径转发，所述第二路径为基于安全超文本传输协议HTTPS发送的HTTPS请求；和/或

    所述第二验证消息还包括所述应用客户端提供的期望数据访问权限列表；和/或

    所述身份认证信息包括包名和包签名；和/或

    所述终端的标识为手机号。
25. 一种应用客户端，其特征在于，包括：

    第一验证消息发送单元，用于通过第一路径向平台服务端发送第一验证消 息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

    第二验证消息发送单元，用于通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

    授权访问令牌接收单元，用于接收所述平台服务端发送的授权访问令牌。
26. 根据权利要求25所述的应用客户端，其特征在于，所述第二验证消息发送单元具体用于：

    通过应用服务端向所述平台服务端转发第二验证消息。
27. 根据权利要求26所述的应用客户端，其特征在于：

    所述第一验证消息包括随机字符串，所述第二验证消息包括所述随机字符串和身份认证信息。
28. 根据权利要求27所述的应用客户端，其特征在于，所述客户端标识为所述应用客户端所在终端的终端标识。
29. 根据权利要求28所述的应用客户端，其特征在于，所述第一验证消息发送单元具体用于：

    生成随机字符串，并创建包含所述随机字符串且目的地址为所述平台服务端的验证短信；

    发送所述验证短信至短信网关，以指示所述短信网关将所述验证短信进行协议转换并提取所述验证短信的短信发起方终端标识，生成包含所述随机字符串的第一验证消息，向所述平台服务端发送。
30. 根据权利要求28所述的应用客户端，其特征在于，所述第二验证消息发送单元具体用于：

    将所述随机字符串发送给所述应用服务端，以指示所述应用服务端将所述随机字符串和身份认证信息携带在第二验证消息中向平台服务端发送，所述第二验证消息为基于安全超文本传输协议HTTPS发送的HTTPS请求。
31. 根据权利要求28所述的应用客户端，其特征在于，所述第二验证消息发送单元具体用于：

    在发送所述第一验证消息的同时或发送所述第一验证消息成功之后，通过应用服务端向所述平台服务端转发第二验证消息。
32. 一种平台授权系统，其特征在于，包括：

    权利要求19-24任一所述的平台服务端和权利要求25-31任一所述的应用客户端。
33. 一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被平台服务端执行时，使得所述平台服务端进行如下操作：

    接收应用客户端通过第一路径发送的第一验证消息并获取所述应用客户端的客户端标识；

    对所接收的第一验证消息与所述客户端标识之间的映射关系进行记录；

    接收所述应用客户端通过第二路径发送的第二验证消息；

    如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端。
34. 一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者 多个程序，当所述一个或者多个程序被应用客户端执行时，使得所述应用客户端进行如下操作：

    通过第一路径向平台服务端发送第一验证消息，以供所述平台服务端对所述第一验证消息与所述应用客户端的客户端标识之间的映射关系进行记录；

    通过第二路径向所述平台服务端转发第二验证消息，以供如果所述平台服务端验证所述第一验证消息和第二验证消息匹配，则根据所述第一验证消息从所记录的所述映射关系中提取所述客户端标识，并根据所述客户端标识生成授权访问令牌，发送给所述应用客户端和/或应用服务端；

    接收所述平台服务端发送的授权访问令牌。

Images