WO2021184755A1

WO2021184755A1 - 应用访问方法、装置、电子设备以及存储介质

Info

Publication number: WO2021184755A1
Application number: PCT/CN2020/123068
Authority: WO
Inventors: 刘嘉俊
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2020-03-18
Filing date: 2020-10-23
Publication date: 2021-09-23
Also published as: CN111064757B; EP4024809A4; EP4024809A1; CN111064757A; US20220207164A1

Abstract

一种应用访问方法、装置、电子设备以及存储介质，所述方法包括：获取应用访问请求，应用访问请求携带用户标识以及应用标识，采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识，根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证，将授权凭证发送至应用标识所对应的待访问应用，以便待访问应用基于授权凭证生成授权请求，接收待访问应用返回的授权请求，对授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。

Description

应用访问方法、装置、电子设备以及存储介质

本申请要求于2020年3月18日提交中国专利局，申请号为202010188564.8，申请名称为“应用访问方法、装置、电子设备以及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，具体涉及一种应用访问方法、装置、电子设备以及存储介质。

背景技术

随着互联网技术的发展，越来越多的用户通过使用即时通讯的应用程序与亲朋好友进行聊天等社交活动，用户在使用这些应用程序的过程中，可以在应用程序中访问第三方应用来进行资料查阅、浏览新闻或者购物等操作。

目前，用户通常是通过对第三方应用进行授权，实现在应用程序中访问第三方应用，然而，传统的应用访问方式中，第三方应用在未被授权访问时，可以通过植入病毒恶意拉取用户的数据，实现在应用程序中访问第三方应用，降低了应用访问的安全性。

发明内容

根据本申请提供的各种实施例，提供一种应用访问方法、装置、电子设备以及存储介质。

一种应用访问方法，由电子设备执行，所述方法包括：

获取应用访问请求，所述应用访问请求携带用户标识以及应用标识；

采集加密密钥，并通过所述加密密钥对所述用户标识进行加密，得到加密后用户标识，所述加密密钥携带有第一密钥信息和第二密钥信息；

根据所述加密后用户标识以及所述第一密钥信息，生成与所述应用访问请求对应的授权凭证；

将所述授权凭证发送至所述应用标识所对应的待访问应用，以便所述待访问应用基于所述授权凭证生成授权请求；

接收所述待访问应用返回的授权请求；及

当对所述授权请求进行检测的检测结果满足预设条件时，基于所述检测结果以及所述第二密钥信息对所述待访问应用进行访问。

一种应用访问装置，包括：

获取模块，用于获取应用访问请求，所述应用访问请求携带用户标识以及应用标识；

采集模块，用于采集加密密钥，并通过所述加密密钥对所述用户标识进行加密，得到加密后用户标识，所述加密密钥携带有第一密钥信息和第二密钥信息；

生成模块，用于根据所述加密后用户标识以及所述第一密钥信息，生成与所述应用访问请求对应的授权凭证；

发送模块，用于将所述授权凭证发送至所述应用标识所对应的待访问应用，以便所述待访问应用基于所述授权凭证生成授权请求；

接收模块，用于接收所述待访问应用返回的授权请求；及

访问模块，用于当对所述授权请求进行检测的检测结果满足预设条件时，基于所述检测结果以及所述第二密钥信息对所述待访问应用进行访问。

一种存储有计算机可读指令的非易失性存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行应用访问方法的步骤。

一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行应用访问方法的步骤。

本申请的一个或多个实施例的细节在下面的附图和描述中提出。本申请的其它特征、目的和优点将从说明书、附图以及权利要求书变得明显。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a是本申请实施例提供的应用访问方法的场景示意图；

图1b是本申请实施例提供的应用访问方法的流程示意图；

图1c是Oauth协议的架构示意图；

图1d是Oauth协议的交互流程图；

图2a是本申请实施例提供的应用访问方法的另一流程示意图；

图2b是本申请实施例提供的应用访问方法的另一场景示意图；

图2c是本申请实施例提供的应用访问方法对第三方应用进行访问的示意图；

图3a是本申请实施例提供的应用访问装置的结构示意图；

图3b是本申请实施例提供的应用访问装置的另一结构示意图；

图3c是本申请实施例提供的应用访问装置的另一结构示意图；及

图4是本申请实施例提供的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供一种应用访问系统，其中，该应用访问系统可以包括终端以及服务器，该应用访问装置具体可以集成在服务器中，服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接，本申请在此不做限制。

例如，请参阅图1a，该应用访问装置集成在服务器上，用户可以打开即时通信的应用程序A，若用户想通过应用程序A访问第三方应用，如访问小程序B，服务器可以获取用户针对应用程序A的应用访问请求，该应用访问请求携带用户标识以及待访问应用(小程序B)。然后，服务器可以采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识，该加密密钥携带有第一密钥信息和第二密钥信息。接着，服务器可以根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证，再然后，服务器将授权凭证发送至待访问应用，以便待访问应用基于授权凭证生成授权请求，服务器接收待访问应用返回的授权请求，并对授权请求进行检测，当检测结果满足预设条件时，服务器基于检测结果以及第二密钥信息对待访问应用进行访问。

由于本方案在对用户标识进行加密后，将第一密钥信息作为授权凭证的一部分，并发送至待访问应用，以便待访问应用基于授权凭证生成授权请求，然后，接收待访问应用返回的授权请求，并对授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问，也就是说，需要根据检测结果确定是否执行对第三方应用的访问，并且，对第三方应用进行访问时，需要第一密钥信息和第二密钥信息对加密后用户标识进行解密，若第三方应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密从而窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

以下分别进行详细说明。需说明的是，以下实施例的描述顺序不作为对实施例优先顺序的限定。

一种应用访问方法，包括：获取应用访问请求，采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识，根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证，将授权凭证发送至待访问应用，以便待访问应用基于授权凭证生成授权请求，接收待访问应用返回的授权请求，当对授权请求进行检测的检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。

请参阅图1b，图1b为本申请实施例提供的应用访问方法的流程示意图。本实施例主要以该方法应用于电子设备来举例说明。该电子设备具体可以是服务器。该应用访问方法的具体流程可以如下：

101、获取应用访问请求。

其中，应用访问请求携带用户标识以及应用标识。该应用标识所对应的应用即为待访问应用，该应用访问请求可以是用户触发的。比如，用户点击某个链接，该链接可以启动待访问应用，用户标识可以包括用户的账号以及头像等等。

102、采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识。

为了保证用户数据的安全性，电子设备可以对用户标识进行加密。其中，加密密钥携带有第一密钥信息和第二密钥信息。在本申请实施例中，可以基于开放授权(Open Authorization，OAuth)协议对待访问应用进行访问。在此，介绍一下OAuth协议，OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方应用(待访问应用)触及到用户的帐号信息(如用户名与密码)，即第三方应用无需使用用户的用户名与密码就可以申请获得该用户资源的授权，OAuth协议的架构如图1c所示，资源所有者指的是用户，授权服务器是服务提供商专门用来处理授权的服务器，服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器，第三方应用在接收到权限授予方式后，根据权限授予方式从授权服务器中获取访问令牌，随后，第三方应用根据获取到的访问令牌从资源服务器中获取与授权请求对应的受保护资源(如用户的用户名)。进一步的，请参阅图1d，当用户通过即时通讯软件访问第三方应用时，第三方应用向服务器申请访问用户资源，授权服务器返回授权地址至第三方应用，当第三方应用接收到服务器返回的授权码时，将第三方应用的应用标识和授权码发送至服务器，以便服务器验证授权码并返回授权码至第三方应用，随后，第三方应用基于访问令牌访问用户信息，当服务器校验访问令牌成功后，第三方应用通过对外接口接收用户所授权的资源，具体的，为了保证用户数据的安全性，可以采用加密密钥对用户标识进行加密。需要说明的是，第一密钥信息和第二加密信息是不相同的，并且，加密密钥可以基于加密算法、第一密钥信息和第二加密信息计算得到的。

在一些实施例中，步骤“采集加密密钥”之前，具体还可以包括：

(11)获取加密算法以及多个密钥信息；

(12)从多个密钥信息中选择两个密钥信息，得到第一密钥信息和第二密钥信息；及

(13)基于加密算法、第一密钥信息以及第二密钥信息构建用于加密的加密密钥。

比如，电子设备可以从本地数据库中获取加密算法以及10个不同的密钥信息，然后，在10个不同的密钥信息随机选择两个密钥信息，得到第一密钥信息和第二密钥信息，最后，基于加密算法、第一密钥信息以及第二密钥信息计算用于加密的加密密钥。

103、根据加密后用户标识以及第一密钥信息，生成与应用访问请求对应的授权凭证。

例如，具体的，电子设备可以基于加密后密钥生成用于访问待访问应用的授权信息，然后，通过授权信息以及第一密钥信息生成与应用访问请求对应的授权凭证。

在一些实施例中，步骤“根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证”，具体可以包括：

(21)基于加密后密钥生成用于访问待访问应用的授权信息；及

(22)通过授权信息以及第一密钥信息生成与应用访问请求对应的授权凭证。

在本实施例中，电子设备可以将第一加密信息添加至授权信息中，从而得到与应用访问请求对应的授权凭证，也就是说，即便待访问应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密以窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

104、将授权凭证发送至待访问应用，以便待访问应用基于授权凭证生成授权请求。

其中，电子设备可以基于传输协议将授权凭证发送至待访问应用，以便待访问应用基于授权凭证生成授权请求。传输协议可以包括套接字传输协议、万维网传输协议以及超文本传输协议，具体根据实际情况而定。需要说明的是，将授权凭证发送至待访问应用的过程中，授权凭证携带有第一密钥信息，另外，电子设备将第二密钥信息保留至本地的数据库中，其中，本地的数据库可以是加密后的本地数据库，也就是说，即便不法分子通过非法的途径获取到第一密钥信息也无法对加密后用户标识进行解密，并且，第二密钥信息存放在加密后的本地数据库，进一步提高了用户隐私的安全性，从而提高了应用访问的安全性。

105、接收待访问应用返回的授权请求。

106、当对授权请求进行检测的检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。

例如，具体的，电子设备可以对授权请求进行检测，当检测结果满足预设条件时，电子设备可以从待访问应用中获取第一密钥信息，然后，再基于检测结果、第一密钥信息和第二密钥信息，对待访问应用进行访问。

在一些实施例中，步骤“当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问”，具体可以包括：

(31)当检测结果满足预设条件时，从待访问应用中获取第一密钥信息；及

(32)根据检测结果、第一密钥信息和第二密钥信息，对待访问应用进行访问。

例如，具体的，电子设备可以基于授权请求检测待访问应用的所属类型，当待访问应用的类型为授权应用类型时，则确定检测结果满足预设条件，然后，基于检测结果以及第二密钥信息对待访问应用进行访问。

在一些实施例中，步骤“当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问”，包括：

(41)从检测结果中提取待访问应用的应用标识；

(42)基于应用标识对待访问应用进行校验；及

(43)当校验结果指示待访问应用为授权应用时，则确定检测结果满足预设条件，并从待访问应用中获取第一密钥信息。

例如，具体的，电子设备在获取到待访问应用的应用标识，可以本地数据库中查询该应用标识是否具有对应的认证信息，当本地数据库中查询该应用标识具有对应的认证信息时，则确定该待访问应用为授权应用，即，检测结果满足预设条件，此时，可以从待访问应用中获取第一密钥信息，并基于第二密钥信息以及检测结果对待访问应用进行访问。

在一些实施例中，步骤“根据检测结果、第一密钥信息和第二密钥信息，对待访问应用进行访问”，包括：

(51)根据第一密钥信息和第二密钥信息，计算对用户标识进行加密所采用的加密密钥；及

(52)根据加密密钥以及检测结果对待访问应用进行访问。

在本申请中加密密钥可以通过第一密钥信息和第二密钥信息计算得到，可以理解的是，本申请采用的是对称加密的手段，在对称加密算法中，数据发信方将明文(用户标识)和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文(加密后用户标识)发送出去。收信方(第三方应用)收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥，在本申请中，对用户标识进行加密后，将加密后用户标识以及加密过程中的第一密钥信息发送至待访问应用。即，将加密密钥的部分密钥信息发送至待访问应用，若待访问应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密从而窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

进一步的，电子设备可以从检测结果中提取加密后用户标识以及授权凭证，然后，根据加密密钥对加密后用户标识进行解密。具体的，电子设备可以使用加密密钥以及加密时所采用算法的逆算法对加密后用户标识进行解密，最后，基于解密结果以及授权凭证对待访问应用进行访问。

在一些实施例中，步骤“根据加密密钥以及检测结果对待访问应用进行访问”，具体可以包括：

(61)从检测结果中提取加密后用户标识以及授权凭证；

(62)根据加密密钥对加密后用户标识进行解密；及

(63)基于解密结果以及授权凭证对待访问应用进行访问。

其中，该解密结果可以为用户标识，基于用户标识以及授权凭证确定所授权的数据的资源节点，如头像数据的资源节点、昵称数据的资源节点和/或手机号数据的资源节点，资源节点基于认证算法校验授权凭证，并校验请求的访问内容是否匹配授权凭证中的授权信息，若访问内容匹配授权凭证中的授权信息，则对待访问应用进行访问。

还需要说明的是，基于授权请求检测待访问应用的所属类型，当待访问应用的类型不为授权应用类型时，则确定检测结果不满足预设条件，此时，则不访问待访问应用。

在一些实施例中，本申请提供的应用访问方法还可以包括：当检测结果不满足预设条件时，则不访问待访问应用。

本申请实施例在获取应用访问请求后，其中，应用访问请求携带用户标识以及待访问应用，采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识，加密密钥携带有第一密钥信息和第二密钥信息，然后，根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证，接着，将授权凭证发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，接收待访问应用返回的授权请求，最后，对授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。由于本方案在对用户标识进行加密后，将第一密钥信息作为授权凭证的一部分，并发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，然后，接收待访问应用返回的授权请求，并对授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问，也就是说，需要根据检测结果确定是否执行对第三方应用的访问，并且，对第三方应用进行访问时，需要第一密钥信息和第二密钥信息对加密后用户标识进行解密，若第三方应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密从而窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

根据实施例所述的方法，以下将举例进一步详细说明。

在本实施例中将以该应用访问装置具体集成在服务器中为例进行说明。

请参阅图2a，一种应用访问方法，具体流程可以如下：

201、服务器获取应用访问请求。

其中，应用访问请求携带用户标识以及应用标识，该应用访问请求可以是用户触发的，比如，终端的显示屏上显示有应用A的页面，该页面包括跳转至第三方应用(即待访问应用)的控键，当用户针对该控键进行点击操作时，服务器可以获取到由用户触发的应用访问请求。

202、服务器采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识。

其中，加密密钥携带有第一密钥信息和第二密钥信息。具体的，服务器可以采用加密密钥对用户标识进行加密，然后，执行步骤203。

203、服务器根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证。

具体的，服务器基于加密后密钥生成用于访问待访问应用的授权信息，然后，通过授权信息以及第一密钥信息生成与应用访问请求对应的授权凭证。

在本实施例中，服务器可以将第一加密信息添加至授权信息中，从而得到与应用访问请求对应的授权凭证，也就是说，即便待访问应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密以窃取用户的个人信息，因此，该方案可以提高应用访问的安全性，并且，第一密钥信息还可以作为访问参数作为参数调用相应的应用程序接口。

204、服务器将授权凭证发送至待访问应用，以便待访问应用基于授权凭证生成授权请求。

205、服务器接收待访问应用返回的授权请求。

206、服务器对授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。

例如，具体的，服务器可以基于授权请求检测待访问应用的所属类型，当待访问应用的类型为授权应用类型时，则确定检测结果满足预设条件，然后，服务器从检测结果中提取加密后用户标识以及授权凭证，然后，服务器根据加密密钥对加密后用户标识进行解密。具体的，服务器可以使用加密密钥以及加密时所采用算法的逆算法对加密后用户标识进行解密，最后，基于解密结果以及授权凭证对待访问应用进行访问。

本申请实施例的服务器在获取应用访问请求后，其中，应用访问请求携带用户标识以及待访问应用，服务器采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识，服务器根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证，然后，服务器将授权凭证发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，接着，服务器接收待访问应用返回的授权请求，最后，服务器对授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。由于本方案在对用户标识进行加密后，将第一密钥信息作为授权凭证的一部分，并发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，然后，接收待访问应用返回的授权请求，并对所述授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问，也就是说，需要根据检测结果确定是否执行对第三方应用的访问，并且，对第三方应用进行访问时，需要第一密钥信息和第二密钥信息对加密后用户标识进行解密，若第三方应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密从而窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

为了便于对本申请实施例提供的应用访问方法的理解，请参阅图2b，以用户通过即时通信应用程序(以下简称应用程序)调用第三方应用为例，应用程序的服务器获取到用户触发的应用访问请求，具体流程如下：

在用户授权阶段，服务器生成第一密钥信息a和第二密钥信息b，服务器根据算法将第一密钥信息a、第二密钥信息b以及摘要算法计算得到加密密钥，然后，服务器基于加密密钥对用户标识进行加密，并根据加密后用户标识以及第一密钥信息a生成与应用访问请求对应的授权凭证。随后，服务器将授权凭证发送至第三方应用中，以便第三方应用基于授权凭证生成授权请求。在用户授权阶段中，由于服务器将第一密钥信息a发送至第三方应用，并且，服务器将第二密钥信息b保存在本地，该设计避免了授权凭证直接交给第三方带来的安全隐患，同时又增强了存储安全。比如，可以避免内部员工恶意访问。在第三方应用访问用户数据阶段，服务器需要对待访问应用进行校验，当校验结果指示待访问应用为授权应用时，服务器才提供第二密钥信息b，并基于第一密钥信息a和第二密钥信息b计算加密密钥，然后，服务器使用加密密钥以及加密时所采用算法的逆算法对加密后用户标识进行解密。最后，服务器基于解密结果以及授权凭证对第三方应用进行访问。需要说明的是，授权凭证和第三方应用的应用标识随授权请求流转，服务器根据授权请求中的授权凭证和用户标识确定需要访问的资源节点。比如用户标识携带有用户的头像数据以及用户的昵称数据，服务器可以根据用户标识访问头像数据以及昵称数据的资源节点。由于用户标识中并没有携带用户的手机号数据，因此，服务器不能根据用户标识访问绑定手机号数据的资源节点，如图2c所示。

在访问控制阶段，服务器对授权请求进行认证校验，检查当前访问的数据是否被用户授权，如发现非授权的数据访问，则拒绝该请求。也就是说，需要根据检测结果确定是否执行对第三方应用的访问，并且，对第三方应用进行访问时，需要第一密钥信息和第二密钥信息对加密后用户标识进行解密，若第三方应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密从而窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

应该理解的是，虽然上述各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

为便于更好的实施本申请实施例的应用访问方法，本申请实施例还提供一种基于上述应用访问装置(简称访问装置)。其中名词的含义与上述应用访问方法中相同，具体实现细节可以参考方法实施例中的说明。

请参阅图3a，图3a为本申请实施例提供的应用访问装置的结构示意图，其中该应用访问装置可以包括获取模块301、采集模块302、生成模块303、发送模块304、接收模块305以及访问模块307。应用访问装置中包括的各个模块可全部或部分通过软件、硬件或其组合来实现。

获取模块301，用于获取应用访问请求。

其中，应用访问请求携带用户标识以及应用标识，该应用访问请求可以是用户触发的，比如，用户点击某个链接，该链接可以启动待访问应用，用户标识可以包括用户的账号以及头像等等。

采集模块302，用于采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识。

为了保证用户数据的安全性，采集模块302可以对用户标识进行加密，其中，加密密钥携带有第一密钥信息和第二密钥信息。需要说明的是，第一密钥信息和第二加密信息是不相同的，并且，加密密钥可以基于加密算法、第一密钥信息和第二加密信息计算得到的。

在一些实施例中，请参阅图3b，访问装置具体还可以包括构建模块308，构建模块308具体可以用于：获取加密算法以及多个密钥信息，从多个密钥信息中选择两个密钥信息，得到第一密钥信息和第二密钥信息，基于加密算法、第一密钥信息以及第二密钥信息构建用于加密的加密密钥。

生成模块303，用于对用户标识进行加密，并根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证。

例如，具体的，生成模块303可以采用加密密钥对用户标识进行加密，然后，生成模块303基于加密后密钥生成用于访问待访问应用的授权信息，最后，生成模块303通过授权信息以及第一密钥信息生成与应用访问请求对应的授权凭证。

在一些实施例中，生成模块303具体可以用于：基于加密后密钥生成用于访问待访问应用的授权信息，通过授权信息以及第一密钥信息生成与应用访问请求对应的授权凭证。

在本实施例中，可以将第一加密信息添加至授权信息中，从而得到与应用访问请求对应的授权凭证，也就是说，即便待访问应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密以窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

发送模块304，用于将授权凭证发送至应用标识所对应的待访问应用，以便待访问应用基于授权凭证生成授权请求。

接收模块305，用于接收待访问应用返回的授权请求。

访问模块307，用于当对授权请求的进行检测的检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。

在一些实施例中，请参阅图3c，访问装置具体还可以包括检测模块306，用于对授权请求进行检测。

例如，具体的，可以基于授权请求检测待访问应用所属的类型。

在一些实施例中，访问模块307具体可以包括：获取单元，用于当检测结果满足预设条件时，从待访问应用中获取第一密钥信息；及访问单元，用于根据检测结果、第一密钥信息和第二密钥信息，对待访问应用进行访问。

在一些实施例中，访问单元具体可以包括：计算子单元，用于根据第一密钥信息和第二密钥信息，计算对用户标识进行加密所采用的加密密钥；及访问子单元，用于根据加密密钥以及检测结果对待访问应用进行访问。

在一些实施例中，访问子单元具体可以用于：从检测结果中提取加密后用户标识以及授权凭证，根据加密密钥对加密后用户标识进行解密，基于解密结果以及授权凭证对待访问应用进行访问。

在一些实施例中，获取单元具体可以用于：从检测结果中提取待访问应用的应用标识，基于应用标识对待访问应用进行校验，当校验结果指示待访问应用为授权应用时，则确定检测结果满足预设条件，并从待访问应用中获取第一密钥信息。

在一些实施例中，访问模块具体还可以用于：当检测结果不满足预设条件时，则不访问待访问应用。

本申请实施例的获取模块301在获取应用访问请求后，其中，应用访问请求携带用户标识以及待访问应用，采集模块302采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识，加密密钥携带有第一密钥信息和第二密钥信息，生成模块303对用户标识进行加密，并根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证，然后，发送模块 304将授权凭证发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，接着，接收模块305接收待访问应用返回的授权请求，最后，检测模块306对授权请求进行检测，访问模块307当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。由于本方案在对用户标识进行加密后，将第一密钥信息作为授权凭证的一部分，并发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，然后，接收待访问应用返回的授权请求，并对所述授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问，也就是说，需要根据检测结果确定是否执行对第三方应用的访问，并且，对第三方应用进行访问时，需要第一密钥信息和第二密钥信息对加密后用户标识进行解密，若第三方应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密从而窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

此外，本申请实施例还提供一种电子设备，如图4所示，其示出了本申请实施例所涉及的电子设备的结构示意图，具体来讲：

该电子设备可以包括一个或者一个以上处理核心的处理器401、一个或一个以上计算机可读存储介质的存储器402、电源403和输入单元404等部件。本领域技术人员可以理解，图4中示出的电子设备结构并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。其中：

处理器401是该电子设备的控制中心，利用各种接口和线路连接整个电子设备的各个部分，通过运行或执行存储在存储器402内的软件程序和/或模块，以及调用存储在存储器402内的数据，执行电子设备的各种功能和处理数据，从而对电子设备进行整体监控。可选的，处理器401可包括一个或多个处理核心；优选的，处理器401可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器401中。

存储器402可用于存储软件程序以及模块，处理器401通过运行存储在存储器402的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据电子设备的使用所创建的数据等。此外，存储器402可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器402还可以包括存储器控制器，以提供处理器401对存储器402的访问。

电子设备还包括给各个部件供电的电源403，优选的，电源403可以通过电源管理系统与处理器401逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源403还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。

该电子设备还可包括输入单元404，该输入单元404可用于接收输入的数字或字符信息，以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。

尽管未示出，电子设备还可以包括显示单元等，在此不再赘述。具体在本实施例中，电子设备中的处理器401会按照如下的指令，将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中，并由处理器401来运行存储在存储器402中的应用程序，从而实现各种功能，如下：

获取应用访问请求，采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识，根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证，将授权凭证发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，接收待访问应用返回的授权请求，对授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。

以上各个操作的具体实施可参见前面的实施例，在此不再赘述。

本申请实施例在获取应用访问请求后，其中，应用访问请求携带用户标识以及待访问应用，采集加密密钥，并通过加密密钥对用户标识进行加密，得到加密后用户标识，根据加密后用户标识以及第一密钥信息生成与应用访问请求对应的授权凭证，然后，将授权凭证发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，接着，接收待访问应用返回的授权请求，最后，对授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问。由于本方案在对用户标识进行加密后，将第一密钥信息作为授权凭证的一部分，并发送至待访问应用中，以便待访问应用基于授权凭证生成授权请求，然后，接收待访问应用返回的授权请求，并对所述授权请求进行检测，当检测结果满足预设条件时，基于检测结果以及第二密钥信息对待访问应用进行访问，也就是说，需要根据检测结果确定是否执行对第三方应用的访问，并且，对第三方应用进行访问时，需要第一密钥信息和第二密钥信息对加密后用户标识进行解密，若第三方应用被不法分子恶意攻击，不法分子仅能窃取到第一密钥信息，并不能对加密后身份标识进行解密从而窃取用户的个人信息，因此，该方案可以提高应用访问的安全性。

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，计算机程序被处理器执行时，使得处理器执行上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时，使得处理器执行上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法实施例中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

一种应用访问方法，其特征在于，由电子设备执行，所述方法包括：

获取应用访问请求，所述应用访问请求携带用户标识以及应用标识；

采集加密密钥，并通过所述加密密钥对所述用户标识进行加密，得到加密后用户标识，所述加密密钥携带有第一密钥信息和第二密钥信息；

根据所述加密后用户标识以及所述第一密钥信息，生成与所述应用访问请求对应的授权凭证；

将所述授权凭证发送至所述应用标识所对应的待访问应用，以便所述待访问应用基于所述授权凭证生成授权请求；

接收所述待访问应用返回的授权请求；及

当对所述授权请求进行检测的检测结果满足预设条件时，基于所述检测结果以及所述第二密钥信息对所述待访问应用进行访问。
根据权利要求1所述的方法，其特征在于，所述当对所述授权请求进行检测的检测结果满足预设条件时，基于所述检测结果以及所述第二密钥信息对所述待访问应用进行访问，包括：

当对所述授权请求进行检测的检测结果满足预设条件时，从所述待访问应用中获取所述第一密钥信息；及

根据所述检测结果、所述第一密钥信息和所述第二密钥信息，对所述待访问应用进行访问。
根据权利要求2所述的方法，其特征在于，所述根据所述检测结果、所述第一密钥信息和所述第二密钥信息，对所述待访问应用进行访问，包括：

根据所述第一密钥信息和所述第二密钥信息，计算对所述用户标识进行加密所采用的加密密钥；及

根据所述加密密钥以及所述检测结果对所述待访问应用进行访问。
根据权利要求3所述的方法，其特征在于，所述根据所述加密密钥以及所述检测结果对所述待访问应用进行访问，包括：

从所述检测结果中提取所述加密后用户标识以及所述授权凭证；

根据所述加密密钥对所述加密后用户标识进行解密；及

基于解密结果以及所述授权凭证对所述待访问应用进行访问。
根据权利要求2所述的方法，其特征在于，所述当对所述授权请求进行检测的检测结果满足预设条件时，从所述待访问应用中获取所述第一密钥信息，包括：

从所述检测结果中提取所述待访问应用的应用标识；

基于所述应用标识对所述待访问应用进行校验；及

当校验结果指示所述待访问应用为授权应用时，则确定所述检测结果满足预设条件，并从所述待访问应用中获取所述第一密钥信息。
根据权利要求1至5任一项所述的方法，其特征在于，所述根据所述加密后用户标识以及所述第一密钥信息，生成与所述应用访问请求对应的授权凭证，包括：

基于所述加密后密钥生成用于访问所述待访问应用的授权信息；及

通过所述授权信息以及所述第一密钥信息，生成与所述应用访问请求对应的授权凭证。
根据权利要求1至5任一项所述的方法，其特征在于，所述采集加密密钥之前，所述方法还包括：

获取加密算法以及多个密钥信息；

从所述多个密钥信息中选择两个密钥信息，得到第一密钥信息和第二密钥信息；及

基于所述加密算法、所述第一密钥信息以及所述第二密钥信息，构建用于加密的加密密钥。
根据权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：

当对所述授权请求进行检测的检测结果不满足预设条件时，则不访问待访问应用。
一种应用访问装置，其特征在于，包括：

获取模块，用于获取应用访问请求，所述应用访问请求携带用户标识以及应用标识；

采集模块，用于采集加密密钥，并通过所述加密密钥对所述用户标识进行加密，得到加密后用户标识，所述加密密钥携带有第一密钥信息和第二密钥信息；

生成模块，用于根据所述加密后用户标识以及所述第一密钥信息，生成与所述应用访问请求对应的授权凭证；

发送模块，用于将所述授权凭证发送至所述应用标识所对应的待访问应用，以便所述待访问应用基于所述授权凭证生成授权请求；

接收模块，用于接收所述待访问应用返回的授权请求；及

访问模块，用于当对所述授权请求进行检测的检测结果满足预设条件时，基于所述检测结果以及所述第二密钥信息对所述待访问应用进行访问。
根据权利要求9所述的装置，其特征在于，所述访问模块包括：

获取单元，用于当对所述授权请求进行检测的检测结果满足预设条件时，从待访问应用中获取第一密钥信息；及

访问单元，用于根据所述检测结果、所述第一密钥信息和所述第二密钥信息，对所述待访问应用进行访问。
根据权利要求10所述的装置，其特征在于，所述访问单元包括：

计算子单元，用于根据所述第一密钥信息和所述第二密钥信息，计算对所述用户标识进行加密所采用的加密密钥；及

访问子单元，用于根据所述加密密钥以及所述检测结果对所述待访问应用进行访问。
根据权利要求11所述的装置，其特征在于，所述访问子单元具体用于从所述检测结果中提取所述加密后用户标识以及所述授权凭证；根据所述加密密钥对所述加密后用户标识进行解密；及基于解密结果以及所述授权凭证对所述待访问应用进行访问。
根据权利要求10所述的装置，其特征在于，所述获取单元具体用于从所述检测结果中提取所述待访问应用的应用标识；基于所述应用标识对所述待访问应用进行校验；及当校验结果指示所述待访问应用为授权应用时，则确定所述检测结果满足预设条件，并从所述待访问应用中获取所述第一密钥信息。
根据权利要求9-13中任一项所述的装置，其特征在于，所述生成模块具体用于基于所述加密后密钥生成用于访问所述待访问应用的授权信息；及通过所述授权信息以及所述第一密钥信息，生成与所述应用访问请求对应的授权凭证。
根据权利要求9-13中任一项所述的装置，其特征在于，所述装置还包括构建模块，用于获取加密算法以及多个密钥信息；从所述多个密钥信息中选择两个密钥信息，得到第一密钥信息和第二密钥信息；及基于所述加密算法、所述第一密钥信息以及所述第二密钥信息，构建用于加密的加密密钥。
根据权利要求9-13中任一项所述的装置，其特征在于，所述访问模块还用于当对所述授权请求进行检测的检测结果不满足预设条件时，则不访问待访问应用。
一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行如权利要求1至8中任一项所述的方法的步骤。
一种存储有计算机可读指令的非易失性存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如权利要求1至8中任一项所述的方法的步骤。