This invention discloses a management method of API call. The API gateway receives the call request to the target API sent by the user equipment. The call request carries the call token and the platform account, and the token is the access to the target API obtained when the subscription is used for the target application. The flat account number is on the API management platform and registered. The account number associated with the main account number of the target application; the API gateway authenticate the invoking token and platform account through the API management platform; when the authentication is passed, the API gateway calls the business logic interface corresponding to the target API, and the business logic interface is used for the user equipment to access the target application. The scheme provided by the embodiment of the invention only allows users to call API through authentication, thereby improving the security of API calls.
【技术实现步骤摘要】
一种API调用的管理方法、设备及系统
本专利技术涉及互联网
,具体涉及一种API调用的管理方法、设备及系统。
技术介绍
随着智能手机产业的快速发展,应用(APP)几乎应用到每个手机,比如,淘宝APP和支付宝APP等在众多的手机中通常都有应用。APP在使用过程中经常会调用应用程序编程接口(ApplicationProgrammingInterface,API),通过API提供的业务处理能力来支持APP提供各种便捷的服务,这样APP在为用户提供便捷服务的同时,病毒、窃取用户信息等问题也随之而来。目前有些API的开放状态是允许很多APP抓取用户个人信息和通讯录等信息,甚至可调用通话和发送短信能力,这实际上侵犯了用户的个人信息权,非该APP使用者的个人信息也会被暴露。另外,当前用户使用APP时直接或间接处于开放状态的API,这些处于开放状态的API暴露在公网环境下,导致与之连接的手机客户端之间的通讯可能被监听,从而会导致用户信息被恶意攻击或泄密。当前用户使用APP时可以随意对API进行调用,API对APP又不做任何防护的现状,必然会导致重大的安全信息隐患。因此,需要寻求解决管理API的措施。
技术实现思路
为解决现有技术中用户使用APP时可以随意调用API,有重大信息安全隐患的问题,本专利技术实施例提供一种API调用的管理方法、设备及系统,可以对调用API的用户权限进行鉴权,只允许鉴权通过的用户调用API,提高了API调用的安全性。本专利技术实施例还提供了相应的设备及系统。本专利技术第一方面提供一种API调用的管理方法,所述管理方法应用于应用程序编程接口API管 ...
【技术保护点】
1.一种API调用的管理方法,其特征在于,所述管理方法应用于应用程序编程接口API管理系统,所述API管理系统包括API管理平台和API网关,所述管理方法包括:所述API网关接收用户设备发送的对目标API的调用请求,所述调用请求中携带调用令牌和平台帐号,所述调用令牌为订阅目标应用时所获取的对所述目标API的访问权限信息,所述平台帐号为在所述API管理平台上与注册所述目标应用的主帐号关联的帐号;所述API网关通过所述API管理平台对所述调用令牌和所述平台帐号进行鉴权;当鉴权通过后,所述API网关调用与所述目标API对应的业务逻辑接口,所述业务逻辑接口用于所述用户设备访问所述目标应用。
【技术特征摘要】
1.一种API调用的管理方法,其特征在于,所述管理方法应用于应用程序编程接口API管理系统,所述API管理系统包括API管理平台和API网关,所述管理方法包括:所述API网关接收用户设备发送的对目标API的调用请求,所述调用请求中携带调用令牌和平台帐号,所述调用令牌为订阅目标应用时所获取的对所述目标API的访问权限信息,所述平台帐号为在所述API管理平台上与注册所述目标应用的主帐号关联的帐号;所述API网关通过所述API管理平台对所述调用令牌和所述平台帐号进行鉴权;当鉴权通过后,所述API网关调用与所述目标API对应的业务逻辑接口,所述业务逻辑接口用于所述用户设备访问所述目标应用。2.根据权利要求1所述的管理方法,其特征在于,所述API网关通过所述API管理平台对所述调用令牌和所述平台帐号进行鉴权,包括:所述API网关向所述API管理平台发送所述平台帐号和所述调用令牌,以使所述API管理平台在数据库中查找与所述平台帐号对应的令牌,当查找到的令牌与所述调用令牌相同时,再确定所述调用令牌是否过期;当所述API管理平台确定出所述调用令牌未过期,所述API网关接收所述API管理平台发送的查找结果;所述API网关根据所述查找结果确定所述调用令牌和所述平台帐号通过鉴权。3.根据权利要求1或2所述的管理方法,其特征在于,所述API网关调用与所述目标API对应的业务逻辑接口,包括:所述API网关根据预先配置的API与业务逻辑接口的对应关系,确定与所述目标API对应的业务逻辑接口;所述API网关调用与所述目标API对应的业务逻辑接口。4.根据权利要求3所述的管理方法,其特征在于,所述API网关接收用户设备发送的对目标API的调用请求之前,所述管理方法还包括:所述API网关接收所述API管理平台发布的所述目标API的配置信息;所述API网关根据所述配置信息,建立所述目标API与对应的业务逻辑接口之间的对应关系,并面向用户发布所述目标API。5.一种API调用的管理方法,其特征在于,所述管理方法应用于应用程序编程接口API管理系统,所述API管理系统包括API管理平台和API网关,所述管理方法包括:所述API管理平台接收用户设备发送的对目标应用的平台注册请求,所述平台注册请求中携带注册所述目标应用的主帐号;所述API管理平台根据所述主帐号分配对应的平台帐号;所述API管理平台接收用户设备发送的对所述目标应用中目标API的订阅请求,所述订阅请求中携带所述平台帐号;所述API管理平台根据所述订阅请求分配调用令牌,并记录所述平台帐号与所述调用令牌的对应关系,所述调用令牌为对所述目标API的访问权限信息;其中,所述平台帐号和所述调用令牌用于所述API网关对所述用户设备发送的对目标API的调用请求进行鉴权。6.根据权利要求5所述的管理方法,其特征在于,所述方法还包括:所述API管理平台接收所述API网关发送鉴权请求,所述鉴权请求中携带所述平台帐号和所述调用令牌;所述API管理平台从数据库中查找与所述平台帐号对应的令牌;当查找到的令牌与所述调用令牌相同时,所述API管理平台确定所述调用令牌是否过期;当确定出所述调用令牌未过期,则所述向所述API网关发送查找结果,所述查找结果用于指示所述调用令牌和所述平台帐号通过鉴权。7.根据权利要求5或6所述的管理方法,其特征在于,所述API管理平台接收用户设备发送的对所述目标应用中目标API的订阅请求之前,所述方法还包括:所述API管理平台接收API发布设备发送的目标API的配置信息,所述配置信息用于在发送给所述API网关后,所述API网关建立所述目标API与对应的业务逻辑接口之间的对应关系;所述API管理平台将所述目标API配置到所述API管理平台中的API订阅设备,所述API订阅设备中的API供用户订阅。8.根据权利要求7所述的管理方法,其特征在于,所述方法还包括:所述API管理平台接收所述API发布设备发送的对所述目标API的管理指令;所述API管理平台根据所述管理指令,管理所述目标API。9.根据权利要求7所述的管理方法,其特征在于,所述方法还包括:所述API管理平台接收所述用户设备发送的对所述目标API的操作指令;所述API管理平台根据所述操作指令,针对所述目标API执行相应的操作。10.一种API网关,其特征在于,所述API网关应用于API管理系统,所述API管理系统还包括API管理平台,所述API网关包括:接收单元,用于接收用户...
【专利技术属性】
技术研发人员:周春楠,赵贵阳,牛泽,
申请(专利权)人:亿阳安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。