WO2024124924A1

WO2024124924A1 - 小程序应用的密钥协商方法及装置

Info

Publication number: WO2024124924A1
Application number: PCT/CN2023/112431
Authority: WO
Inventors: 施尚成; 李文杰
Original assignee: 支付宝(杭州)信息技术有限公司
Priority date: 2022-12-13
Filing date: 2023-08-11
Publication date: 2024-06-20
Also published as: CN116032556A

Abstract

本说明书实施例提供了小程序应用的密钥协商方法及装置。包括：接收小程序应用发送的用于请求授权登录第一服务器的第一请求，并向第二服务器发送与第一请求关联的第二请求，以及接收第二服务器根据第二请求确定并下发的授权凭证和会话密钥后，存储会话密钥，并向第一服务器发送第二服务器授权第一服务器请求会话密钥的授权凭证。如此进行密钥协商，降低了密钥泄露的风险，安全性较高。

Description

小程序应用的密钥协商方法及装置

技术领域

本说明书一个或多个实施例涉及信息安全技术领域，尤其涉及小程序应用的密钥协商方法及装置。

背景技术

小程序应用因为其免安装、易使用的特点，一经推出就得到用户的广泛使用和欢迎。为了确保小程序应用发送数据的保密性，部分小程序应用(如政务类小程序和银行类小程序)在发送数据时需要对数据进行加密。然而，用于小程序应用加密数据的密钥通常被开发者编码在小程序应用的前端代码中，导致小程序应用的密钥容易被攻击者窃取，存在密钥泄露的风险。

发明内容

本说明书一个或多个实施例描述了小程序应用的密钥协商方法及装置，能够提高小程序应用协商时密钥的安全性，降低密钥泄露风险。

根据第一方面，提供小程序应用的密钥协商方法，应用于小程序平台，其中，该方法包括：接收小程序应用发送的第一请求，所述第一请求用于请求授权登录第一服务器，所述第一服务器用于向所述小程序应用提供服务；向第二服务器发送所述第二请求，所述第二请求用于请求授权登录所述第一服务器，所述第二服务器用于向所述小程序平台提供服务；接收所述第二服务器下发的授权凭证和会话密钥，所述授权凭证和会话密钥是所述第二服务器根据所述第二请求确定的；存储所述会话密钥；向所述第一服务器发送所述授权凭证，所述授权凭证为所述第二服务器授权所述第一服务器请求所述会话密钥的凭证。

可选地，在向所述第一服务器发送所述授权凭证之后，还包括：接收所述小程序应用发送的第三请求；所述第三请求中携带所述第一数据；根据所述第三请求，采用所述会话密钥对所述第一数据进行加密，得到第二数据；向所述第一服务器发送所述第二数据，所述第二数据用于供所述第一服务器采用所述会话密钥进行解密得到所述第一数据。

可选地，在向所述第一服务器发送所述授权凭证之后，还包括：接收所述第一服务器发送的第三数据，所述第三数据为所述第一服务器采用所述会话密钥对第四数据进行加密得到的；采用所述会话密钥对所述第三数据进行解密，得到所述第四数据；向所述小程序应用发送所述第四数据。

根据第二方面，提供小程序应用的密钥协商方法，应用于第一服务器，所述第一服务器用于向所述小程序应用提供服务，所述方法包括：接收所述小程序平台发送的所述授权凭证，所述授权凭证为第二服务器授权所述第一服务器请求会话密钥的凭证；向第二服务器发送第四请求，所述第四请求中携带所述授权凭证，所述第二服务器用于向所述小程序平台提供服务；接收所述第二服务器下发的会话密钥和用户标识，所述会话密钥和用户标识是所述第二服务器根据所述第四请求确定的；根据所述用户标识登录所述用户标识对应的用户账号。

可选地，在根据所述用户标识登录所述用户标识对应的用户账号之后，还包括：接收所述小程序平台发送的第二数据，所述第二数据为所述小程序平台采用所述会话密钥对第一数据进行加密得到的；采用所述会话密钥对所述第二数据进行解密，得到所述第一数据。

可选地，在采用会话密钥对第二数据进行解密，得到第一数据之后，还包括：根据第一数据，为小程序应用提供服务；在为小程序应用提供服务时，产生第四数据；采用所述会话密钥对第四数据进行加密，得到第三数据；向所述小程序平台发送第三数据。

根据第三方面，提供小程序应用的密钥协商方法，应用于第二服务器，所述第二服务器用于向所述小程序平台提供服务，所述方法包括：接收所述小程序平台发送的第二请求，所述第二请求用于请求授权登录第一服务器；根据所述第二请求，确定授权凭证和会话密钥；向所述小程序平台发送所述授权凭证和所述会话密钥。

可选地，在向所述小程序平台发送所述授权凭证和所述会话密钥之后，还包括：接收所述第一服务器发送的第四请求，所述第四请求用于请求获取会话密钥和用户标识；根据所述第四请求，将所述会话密钥和所述用户标识发送给所述第一服务器。

根据第四方面，提供小程序应用的密钥协商装置，应用于小程序平台，该装置包括：第一接收模块、第一发送模块和存储模块，其中，所述第一接收模块配置为：接收小程序应用发送的第一请求，所述第一请求用于请求授权登录第一服务器，所述第一服务器用于向所述小程序应用提供服务；所述第一发送模块配置为：向第二服务器发送所述第二请求，所述第二请求用于请求授权登录第一服务器，所述第二服务器用于向所述小程序平台提供服务；所述第一接收模块配置为：接收所述第二服务器下发的授权凭证和会话密钥，所述授权凭证和会话密钥是所述第二服务器根据所述第二请求确定的；所述存储模块配置为：存储所述会话密钥；所述第一发送模块配置为：向所述第一服务器发送所述授权凭证，所述授权凭证为所述第二服务器授权所述第一服务器请求所述会话密钥的凭证。

根据第五方面，提供小程序应用的密钥协商装置，应用于第一服务器，所述第一服务器用于向所述小程序应用提供服务，所述装置包括：第二接收模块、第二发送模块和登录模块，其中，所述第二接收模块配置为：接收所述小程序平台发送的所述授权凭证，所述授权凭证为第二服务器授权所述第一服务器请求会话密钥的凭证；所述第二发送模块配置为：向第二服务器发送第四请求，所述第四请求中携带所述授权凭证，所述第二服务器用于向所述小程序平台提供服务；所述第二接收模块配置为：接收所述第二服务器下发的会话密钥和用户标识，所述会话密钥和用户标识是所述第二服务器根据所述第四请求确定的，所述会话密钥与所述小程序平台中存储的会话密钥一致；所述登录模块配置为：根据所述用户标识登录所述用户标识对应的用户账号。

根据第六方面，提供小程序应用的密钥协商装置，应用于第二服务器，所述第二服务器用于向所述小程序平台提供服务，所述方法包括：第三接收模块、第三发送模块和确定模块，其中，所述第三接收模块配置为：接收所述小程序平台发送的第二请求，所述第二请求用于请求授权登录第一服务器；所述确定模块配置为：根据所述第二请求，确定授权凭证和会话密钥；所述第三发送模块配置为：向所述小程序平台发送所述授权凭证和所述会话密钥。

根据第七方面，提供一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现本说明书任一实施例所述的方法。

在本说明书实施例提供的小程序应用的密钥协商方法及装置，通过在小程序平台上存储与第一服务器上会话密钥相同的会话密钥，而非在小程序应用中存储该会话密钥，使得小程序应用不能获知会话密钥，致使攻击小程序应用的攻击者无法窃取到会话密钥，降低了密钥泄露的风险，安全性较高。

另外，会话密钥与用户的登录状态关联，也就是说，在用户账号处于登录状态时会话密钥有效。当重新登录用户账号时，会话密钥自动更新，进一步提高了会话密钥的安全性。

进一步地，无需在小程序应用中存储该会话密钥，无需开发者在小程序应用上实现复杂的加密逻辑，简化了小程序应用的逻辑。

附图说明

为了更清楚地说明本说明书实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1A是本说明书一个实施例提供的应用于小程序平台的小程序应用的密钥协商方法的流程图。

图1B是本说明书一个实施例提供的在完成小程序应用的密钥协商之后小程序平台的处理方法的流程图。

图1C是本说明书另一个实施例提供的在完成小程序应用的密钥协商之后小程序平台的处理方法的流程图。

图2是本说明书一个实施例提供的应用于第一服务器中的小程序应用的密钥协商方法的流程图。

图3是本说明书一个实施例提供的应用于第二服务器中的小程序应用的密钥协商方法的流程图。

图4是本说明书一个实施例提供的应用于小程序平台中的小程序应用的密钥协商装置的示意图。

图5是本说明书一个实施例提供的应用于第一服务器中的小程序应用的密钥协商装置的示意图。

图6是本说明书一个实施例提供的应用于第二服务器中的小程序应用的密钥协商装置的示意图。

具体实施方式

下面结合附图，对本说明书提供的方案进行描述。

图1A是本说明书一个实施例提供的应用于小程序平台的小程序应用的密钥协商方法的流程图。可以理解，该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。该方法包括步骤101至步骤109。

步骤101，小程序平台接收小程序应用发送的第一请求。

该小程序平台对应第一服务器，该第一服务器用于向小程序应用提供服务。

该第一请求用于请求获取第一服务器的授权信息。具体的，第一请求用于请求授权登录第一服务器，或者说，第一请求用于请求获取第一服务器的登录信息，如用户账号和密码。

示例性的，该第一请求用于请求获取第一服务器的OAuth(Open Authorization)的授权。

步骤103，小程序平台向第二服务器发送第二请求，第二请求用于请求授权登录第一服务器，第二服务器用于向小程序平台提供服务。

该第二请求是小程序平台对第一请求进行转化得到的，其与第一请求的功能相同。第二请求中携带的信息与第一请求中携带的信息不完全相同。

示例性的，小程序平台将小程序应用发送的第一请求转发给第二服务器，但在转发的过程中，小程序平台将小程序平台的连接地址与第一请求一起发送给第二服务器，故小程序平台发送第二请求给第二服务器，该第二请求可以包括第一请求和小程序平台的连接地址。

在第二服务器接收到小程序平台发送的第二请求之后，第二服务器可以根据第二请求确定用于登录第一服务器的授权凭证，及小程序平台与第一服务器之间进行通信的会话密钥。第二服务器将授权凭证和会话密钥发送给小程序平台。示例性的，授权凭证可以表示为code，会话密钥可以表示为session_key。

步骤105，小程序平台接收第二服务器下发的授权凭证和会话密钥。

如上述，授权凭证和会话密钥是第二服务器根据第二请求确定的。

步骤107，小程序平台存储会话密钥。

步骤109，小程序平台向第一服务器发送授权凭证，授权凭证为第二服务器授权第一服务器请求会话密钥的凭证。

可以理解为，小程序平台会将授权凭证发送给第一服务器，以便于第一服务器根据授权凭证从第二服务器上获取到会话密钥。

具体实施时，步骤109具体可以为：小程序平台将授权凭证发送给小程序应用。小程序应用向小程序平台发送用于请求将授权凭证发送给第一服务器。小程序平台根据该请求将授权凭证发送给第一服务器。第一服务器向第二服务器发送用于获取会话密钥和用户标识的请求。第二服务器根据该请求将与小程序平台一致的会话密钥，及用户标识发送给第一服务器。第一服务器接收会话密钥和用户标识，并存储会话密钥。第一服务器根据用户标识认证用户身份。具体的，第一服务器将用户标识与预存的用户标识进行比对，在比对一致时，第一服务器确定用户身份认证通过，并登录用户标识对应的用户账号。

在第一服务器登录用户账号之后，第一服务器可以将用户登录状态信息发送给小程序平台。该用户登录状态信息可以包括用户登录状态、用户临时身份标识等，该用户临时身份标识可以表示为cookie。小程序平台接收到用户登录状态信息之后，小程序平台向小程序应用返回登录结果，以告知小程序应用是否登录成功第一服务器。

这样，在小程序平台上存储与第一服务器上会话密钥相同的会话密钥，而非在小程序应用中存储该会话密钥，使得小程序应用不能获知会话密钥，致使攻击小程序应用的攻击者无法窃取到会话密钥，降低了密钥泄露的风险，安全性较高。

另外，无需在小程序应用中存储该会话密钥，无需开发者在小程序应用上实现复杂的加密逻辑，简化了小程序应用的逻辑。

在一些实施例中，图1B所示，执行步骤109之后，本说明书实施例提供的小程序应用的密钥协商方法还包括步骤111至步骤115。

步骤111，小程序平台接收小程序应用发送的第三请求；第三请求中携带第一数据。

该第三请求用于请求发送第一数据，并设置加密选项。其中，加密选项可以理解为加密方式、加密的密钥。

步骤113，小程序平台根据第三请求，采用会话密钥对第一数据进行加密，得到第二数据。

示例性的，小程序平台采用步骤107中存储的会话密钥(如session_key)对第一数据进行加密，以得到第二数据。

步骤115，小程序平台向第一服务器发送第二数据，第二数据用于供第一服务器采用会话密钥进行解密得到第一数据。

在小程序将第二数据发送给第一服务器之后，第一服务器接收到第二数据，第一服务器采用与小程序平台上存储的会话密钥一致的会话密钥对第二数据进行解密，得到第一数据。

进一步的，在小程序平台向第一服务器发送第二数据时，小程序平台向第一服务器发送用户临时身份标识，第一服务器接收到用户临时身份标识，并根据该用户临时身份标识认证用户。

这样，在小程序平台和第一服务器上存储相同的会话密钥，在小程序应用向第一服务器传输数据时，小程序平台和第一服务器可以采用该会话密钥对传输的数据进行加密解密，该会话密钥的安全性较高，进一步确保了数据传输的安全性。

在一些实施例中，图1C所示，执行步骤109之后，本说明书实施例提供的小程序应用的密钥协商方法还包括步骤117至步骤121。

步骤117，小程序平台接收第一服务器发送的第三数据，第三数据为第一服务器采用会话密钥对第四数据进行加密得到的。

示例性的，如上述，在第一服务器采用会话密钥对第二数据进行解密，得到第一数据之后，第一服务器对第一数据进行处理得到第四数据，第一服务器采用会话密钥对第四数据进行加密得到第三数据之后，第一服务器将第三数据发送给小程序平台。

步骤119，小程序平台采用会话密钥对第三数据进行解密，得到第四数据。

小程序平台在接收到第一服务器发送的第三数据之后，小程序平台采用会话密钥对第三数据进行解密，得到第四数据。

步骤121，小程序平台向小程序应用发送第四数据。

可以理解为，小程序平台向小程序应用返回第一数据的响应信息，该响应信息包括第四数据。

图2示出根据一个实施例的小程序应用的密钥协商方法的流程图。可以理解，该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。参见图2，本说明书实施例提供的小程序应用的密钥协商方法，应用于第一服务器，第一服务器用于向小程序应用提供服务，该方法包括步骤201至步骤215。

步骤201，第一服务器接收小程序平台发送的授权凭证，授权凭证为第二服务器授权所述第一服务器请求会话密钥的凭证。

具体实施时，参见上述步骤109中对第一服务器的相关描述，在此不再赘述。

步骤203，第一服务器向第二服务器发送第四请求，第四请求中携带授权凭证，第二服务器用于向小程序平台提供服务。

该第四请求用于请求第二服务器下发会话密钥和用户标识。

在第二服务器接收到第一服务器发送的第四请求之后，第二服务器根据授权凭证获取授权凭证对应的会话密钥和用户标识。第二服务器将会话密钥和用户标识发送给第一服务器。

具体实施时，参见上述步骤109中对第二服务器的相关描述，在此不再赘述。

步骤205，第一服务器接收第二服务器下发的会话密钥和用户标识，会话密钥和用户标识是第二服务器根据第四请求确定的，会话密钥与小程序平台中存储的会话密钥一致。

步骤207，第一服务器根据用户标识登录用户标识对应的用户账号。

在一些实施例中，在执行步骤207之后，还包括：步骤209，第一服务器接收小程序平台发送的第二数据，第二数据为小程序平台采用会话密钥对第一数据进行加密得到的。

具体实施时，参见上述步骤115中对第一服务器的相关描述，在此不再赘述。

步骤211，第一服务器采用会话密钥对第二数据进行解密，得到第一数据。

在一些实施例中，在执行步骤211之后，还包括：步骤213，第一服务器采用会话密钥对第四数据进行加密，得到第三数据。

其中，在步骤213之前，第一服务器可以根据第一数据为小程序应用提供服务，在为小程序应用提供服务时，产生第四数据。换句话说，第四数据是在根据第一数据为小程序应用提供服务器时产生的。

具体实施时，参见上述步骤117中对第一服务器的相关描述，在此不再赘述。

步骤215，第一服务器向小程序平台发送第三数据。

图3示出根据一个实施例的小程序应用的密钥协商方法的流程图。可以理解，该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。参见图3，本说明书实施例提供的小程序应用的密钥协商方法，应用于第二服务器，第二服务器用于向小程序平台提供服务，该方法包括步骤301至步骤309。

步骤301，第二服务器接收小程序平台发送的第二请求，第二请求用于请求授权登录第一服务器。

具体实施时，参见上述步骤103中对第二服务器的相关描述，在此不再赘述。

步骤303，第二服务器根据第二请求，确定授权凭证和会话密钥。

步骤305，第二服务器向小程序平台发送授权凭证和会话密钥。

在一些实施例中，在执行步骤305之后，还包括：步骤307，第二服务器接收第一服务器发送的第四请求，第四请求用于请求获取会话密钥和用户标识。

具体实施时，参见上述步骤203中对第二服务器的相关描述，在此不再赘述。

步骤309，第二服务器根据第四请求，将会话密钥和用户标识发送给第一服务器。

为了更加便于理解，下面结合小程序应用、小程序平台、第一服务器、第二服务器配合完成的处理，来对小程序应用的密钥协商方法及密钥协商之后的数据处理方法进行说明。具体的，该说明的过程可以包括步骤401-步骤447(其中部分步骤可选)，具体请参考以下实施例的描述。

步骤401，小程序应用向小程序平台发送第一请求，该第一请求用于请求获取第一服务器的授权信息。相应的，小程序平台接收第一请求。

具体实施时，参见上述步骤101中的相关描述，在此不再赘述。

步骤403，小程序平台向第二服务器发送第二请求，第二请求用于请求授权登录第一服务器，第二服务器用于向小程序平台提供服务。相应的，第二服务器接收第二请求。

具体实施时，参见上述步骤103中的相关描述，在此不再赘述。

步骤405，第二服务器根据第二请求确定用于登录第一服务器的授权凭证，及小程序平台与第一服务器之间进行通信的会话密钥。

步骤407，第二服务器将授权凭证和会话密钥发送给小程序平台，相应的，小程序平台接收授权凭证和会话密钥。

步骤409，小程序平台存储会话密钥。

步骤411，小程序平台将授权凭证发送给小程序应用，相应的，小程序应用接收授权凭证。

步骤413，小程序应用向小程序平台发送用于请求将授权凭证发送给第一服务器。

步骤417，小程序平台根据该请求，向第一服务器发送授权凭证。相应的，第一服务器接收授权凭证。

步骤419，第一服务器向第二服务器发送用于获取会话密钥和用户标识的请求。相应的，第二服务器接收该请求。

步骤421，第二服务器根据该请求，将与小程序平台一致的会话密钥，及用户标识发送给第一服务器。相应的，第一服务器接收会话密钥和用户标识。

步骤423，第一服务器存储会话密钥。

步骤425，第一服务器根据用户标识认证用户身份。

步骤427，在确定用户身份认证通过后，第一服务器登录用户标识对应的用户账号。

步骤429，第一服务器将用户登录状态信息发送给小程序平台，该用户登录状态信息可以包括用户临时身份标识。相应的，小程序平台接收用户登录状态信息。

步骤431，小程序平台向小程序应用返回登录结果，以告知小程序应用是否登录成功第一服务器。

步骤433，小程序应用向小程序平台发送的第三请求，第三请求中携带第一数据。相应的，小程序平台接收第三请求。

步骤435，小程序平台根据第三请求，采用会话密钥对第一数据进行加密，得到第二数据。

步骤437，小程序平台向第一服务器发送第二数据，第二数据用于供第一服务器采用会话密钥进行解密得到第一数据。相应的，第一服务器接收第二数据。

进一步的，在小程序平台向第一服务器发送第二数据时，小程序平台向第一服务器发送用户临时身份标识。

步骤439，第一服务器采用与小程序平台上存储的会话密钥一致的会话密钥对第二数据进行解密，得到第一数据。

进一步的，第一服务器接收到小程序平台发送的用户临时身份标识，并根据该用户临时身份标识认证用户。

步骤441，第一服务器采用会话密钥对第四数据进行加密得到第三数据，该第四数据为在根据第一数据为小程序应用提供服务时产生的。

步骤443，第一服务器向小程序平台发送第三数据。相应的，小程序平台接收第三数据。

步骤445，小程序平台采用会话密钥对第三数据进行解密，得到第四数据。

步骤447，小程序平台向小程序应用返回第一数据的响应信息，该响应信息包括第四数据。相应的，小程序应用接收第四数据。

本说明书实施还提供小程序应用的密钥协商装置，该小程序应用的密钥协商装置可以为任何具有计算、处理能力的装置、设备、平台、设备集群。参见图4，本说明书实施例提供的小程序应用的密钥协商装置，应用于小程序平台，该装置500包括：第一接收模块501、第一发送模块505和存储模块503，其中，第一接收模块501配置为：接收小程序应用发送的第一请求，第一请求用于请求授权登录第一服务器，第一服务器用于向小程序应用提供服务。

第一发送模块505配置为：向第二服务器发送第二请求，第二请求用于请求授权登录第一服务器，第二服务器用于向小程序平台提供服务。

第一接收模块501配置为：接收第二服务器下发的授权凭证和会话密钥，授权凭证和会话密钥是第二服务器根据第二请求确定的。

存储模块503配置为：存储会话密钥。

第一发送模块505配置为：向第一服务器发送授权凭证，授权凭证为第二服务器授权第一服务器请求会话密钥的凭证。

在一些实施例中，该装置还包括：第一加密模块507，其中，第一接收模块501配置为：接收小程序应用发送的第三请求；第三请求中携带第一数据。

第一加密模块507配置为：根据第三请求，采用会话密钥对第一数据进行加密，得到第二数据。

第一发送模块505配置为：向第一服务器发送第二数据，第二数据用于供第一服务器采用会话密钥进行解密得到第一数据。

在一些实施例中，该装置还包括：第一解密模块509，其中，第一接收模块501配置为：接收第一服务器发送的第三数据，第三数据为第一服务器采用会话密钥对第四数据进行加密得到的。

第一解密模块509配置为：采用会话密钥对第三数据进行解密，得到第四数据。

第一发送模块505配置为：向小程序应用发送第四数据。

本说明书实施还提供小程序应用的密钥协商装置，该小程序应用的密钥协商装置可以为任何具有计算、处理能力的装置、设备、平台、设备集群。参见图5，本说明书实施例提供的小程序应用的密钥协商装置，应用于第一服务器，第一服务器用于向小程序应用提供服务，该装置600包括：第二接收模块601、第二发送模块605和登录模块603，其中，第二接收模块601配置为：接收小程序平台发送的授权凭证，授权凭证为第二服务器授权所述第一服务器请求会话密钥的凭证。

第二发送模块605配置为：向第二服务器发送第四请求，第四请求中携带授权凭证，第二服务器用于向小程序平台提供服务。

第二接收模块601配置为：接收第二服务器下发的会话密钥和用户标识，会话密钥和用户标识是第二服务器根据第四请求确定的。

登录模块603配置为：根据用户标识登录用户标识对应的用户账号。

在一些实施例中，该装置还包括：第二解密模块607，其中，第二接收模块601配置为：接收小程序平台发送的第二数据，第二数据为小程序平台采用会话密钥对第一数据进行加密得到的。

第二解密模块607配置为：采用会话密钥对第二数据进行解密，得到第一数据。

在一些实施例中，该装置还包括：第二加密模块609，其中，第二加密模块609配置为：采用会话密钥对第四数据进行加密，得到第三数据，第四数据是在根据所述第一数据为小程序应用提供服务时产生的；第二发送模块605配置为：向小程序平台发送第三数据。

本说明书实施还提供小程序应用的密钥协商装置，该小程序应用的密钥协商装置可以为任何具有计算、处理能力的装置、设备、平台、设备集群。参见图6，本说明书实施例提供的小程序应用的密钥协商装置，应用于第二服务器，第二服务器用于向小程序平台提供服务，该装置700包括：第三接收模块701、第三发送模块705和确定模块703，其中，第三接收模块701配置为：接收小程序平台发送的第二请求，第二请求用于请求授权登录第一服务器。

确定模块703配置为：根据第二请求，确定授权凭证和会话密钥。

第三发送模块705配置为：向小程序平台发送授权凭证和会话密钥。

在一些实施例中，第三接收模块701配置为：接收第一服务器发送的第四请求，第四请求用于请求获取会话密钥和用户标识。

第三发送模块705配置为：根据第四请求，将会话密钥和用户标识发送给第一服务器。

本说明书一个实施例提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行说明书中任一个实施例中的方法。

本说明书一个实施例提供了一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现执行说明书中任一个实施例中的方法。

可以理解的是，本说明书实施例示意的结构并不构成对小程序应用的密钥协商装置的具体限定。在说明书的另一些实施例中，小程序应用的密钥协商装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。

上述装置、系统内的各模块之间的信息交互、执行过程等内容，由于与本说明书方法实施例基于同一构思，具体内容可参见本说明书方法实施例中的叙述，此处不再赘述。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述为本申请的具体实施方式，并不用于限定本申请的保护范围，凡在本申请的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请的保护范围之内。

Claims

小程序应用的密钥协商方法，应用于小程序平台，其中，该方法包括：

接收小程序应用发送的第一请求，所述第一请求用于请求授权登录第一服务器，所述第一服务器用于向所述小程序应用提供服务；

向第二服务器发送第二请求，所述第二请求用于请求授权登录所述第一服务器，所述第二服务器用于向所述小程序平台提供服务；

接收所述第二服务器下发的授权凭证和会话密钥，所述授权凭证和会话密钥是所述第二服务器根据所述第二请求确定的；

存储所述会话密钥；

向所述第一服务器发送所述授权凭证，所述授权凭证为所述第二服务器授权所述第一服务器请求所述会话密钥的凭证。
根据权利要求1所述的方法，在向所述第一服务器发送所述授权凭证之后，还包括：

接收所述小程序应用发送的第三请求；所述第三请求中携带第一数据；

根据所述第三请求，采用所述会话密钥对所述第一数据进行加密，得到第二数据；

向所述第一服务器发送所述第二数据，所述第二数据用于供所述第一服务器采用所述会话密钥进行解密得到所述第一数据。
根据权利要求1或2所述的方法，其特征在于，在向所述第一服务器发送所述授权凭证之后，还包括：

接收所述第一服务器发送的第三数据，所述第三数据为所述第一服务器采用所述会话密钥对第四数据进行加密得到的；

采用所述会话密钥对所述第三数据进行解密，得到所述第四数据；

向所述小程序应用发送所述第四数据。
小程序应用的密钥协商方法，应用于第一服务器，所述第一服务器用于向小程序应用提供服务，所述方法包括：

接收小程序平台发送的授权凭证，所述授权凭证为第二服务器授权所述第一服务器请求会话密钥的凭证；

向第二服务器发送第四请求，所述第四请求中携带所述授权凭证，所述第二服务器用于向所述小程序平台提供服务；

接收所述第二服务器下发的会话密钥和用户标识，所述会话密钥和用户标识是所述第二服务器根据所述第四请求确定的；

根据所述用户标识登录所述用户标识对应的用户账号。
根据权利要求4所述的方法，其特征在于，在根据所述用户标识登录所述用户标识对应的用户账号之后，还包括：

接收所述小程序平台发送的第二数据，所述第二数据为所述小程序平台采用所述会话密钥对第一数据进行加密得到的；

采用所述会话密钥对所述第二数据进行解密，得到所述第一数据。
根据权利要求5所述的方法，其特征在于，在采用所述会话密钥对所述第二数据进行解密，得到所述第一数据之后，还包括：

根据所述第一数据，为小程序应用提供服务；

在为小程序应用提供服务时，产生第四数据；

采用所述会话密钥对所述第四数据进行加密，得到第三数据；

向所述小程序平台发送所述第三数据。
小程序应用的密钥协商方法，应用于第二服务器，所述第二服务器用于向小程序平台提供服务，所述方法包括：

接收所述小程序平台发送的第二请求，所述第二请求用于请求授权登录第一服务器；

根据所述第二请求，确定授权凭证和会话密钥；

向所述小程序平台发送所述授权凭证和所述会话密钥。
根据权利要求7所述的方法，在向所述小程序平台发送所述授权凭证和所述会话密钥之后，还包括：

接收第一服务器发送的第四请求，所述第四请求用于请求获取会话密钥和用户标识；

根据所述第四请求，将所述会话密钥和所述用户标识发送给所述第一服务器。
小程序应用的密钥协商装置，应用于小程序平台，该装置包括：第一接收模块、第一发送模块和存储模块，其中，

所述第一接收模块配置为：接收小程序应用发送的第一请求，所述第一请求用于请求授权登录第一服务器，所述第一服务器用于向所述小程序应用提供服务；

所述第一发送模块配置为：向第二服务器发送第二请求，所述第二请求用于请求授权登录第一服务器，所述第二服务器用于向所述小程序平台提供服务；

所述第一接收模块配置为：接收所述第二服务器下发的授权凭证和会话密钥，所述授权凭证和会话密钥是所述第二服务器根据所述第二请求确定的；

所述存储模块配置为：存储所述会话密钥；

所述第一发送模块配置为：向所述第一服务器发送所述授权凭证，所述授权凭证为所述第二服务器授权所述第一服务器请求所述会话密钥的凭证。
小程序应用的密钥协商装置，应用于第一服务器，所述第一服务器用于向小程序应用提供服务，所述装置包括：第二接收模块、第二发送模块和登录模块，其中，

所述第二接收模块配置为：接收小程序平台发送的授权凭证，所述授权凭证为第二服务器授权所述第一服务器请求会话密钥的凭证；

所述第二发送模块配置为：向第二服务器发送第四请求，所述第四请求中携带所述授权凭证，所述第二服务器用于向所述小程序平台提供服务；

所述第二接收模块配置为：接收所述第二服务器下发的会话密钥和用户标识，所述会话密钥和用户标识是所述第二服务器根据所述第四请求确定的；

所述登录模块配置为：根据所述用户标识登录所述用户标识对应的用户账号。
小程序应用的密钥协商装置，应用于第二服务器，所述第二服务器用于向小程序平台提供服务，所述装置包括：第三接收模块、第三发送模块和确定模块，其中，

所述第三接收模块配置为：接收所述小程序平台发送的第二请求，所述第二请求用于请求授权登录第一服务器；

所述确定模块配置为：根据所述第二请求，确定授权凭证和会话密钥；

所述第三发送模块配置为：向所述小程序平台发送所述授权凭证和所述会话密钥。
一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-8中任一项所述的方法。