本发明专利技术实施例涉及通信技术领域,尤其涉及一种基于开放平台的信息校验方法和开放平台,用以提高第三方调用开放平台的安全性。本发明专利技术实施例中,开放平台接收第三方发送的调用请求,在确定调用请求中包括系统参数、应用参数和签名时,按预设规则,基于调用请求中包括的系统参数和应用参数生成签名,若开放平台生成的签名与调用请求中包括的签名一致,则调用请求中包括的签名校验成功。由于每个调用请求唯一对应一套系统参数和应用参数,因此每个调用请求唯一对应一个签名,如此,即使有他人截获了该调用请求中的签名,也不可将该调用请求中的签名用于其它调用请求中,从而防止了他人伪造签名的情况发生,提高了第三方调用开放平台的安全性。
【技术实现步骤摘要】
本专利技术实施例涉及通信领域,尤其涉及一种基于开放平台的信息校验方法和开放ΛΙαΖλI 口 Ο
技术介绍
在互联网时代,把网站的服务封装成一系列计算机易识别的应用程序编程接口(Applicat1n Programming Interface,简称API)开放出去,供第三方使用,这种行为叫做开放API (Open API),提供开放API的平台本身就被称为开放平台。第三方可通过调用开放API来访问开放平台,以使用开放平台的资源、增加开放平台的功能或者实现该第三方应用的功能。第三方作为一个独立的内容提供商,通过将其产品发布到开放平台,从而获得一定的品牌或资金收益。随着整个互联网开放API的大发展,大量的第三方应用蜂拥出现,因此,提高第三方调用开放平台的安全性的问题迫在眉睫。
技术实现思路
本专利技术实施例提供一种基于开放平台的信息校验方法和开放平台,用以提高第三方调用开放平台的安全性。本专利技术实施例提供一种基于开放平台的信息校验方法,包括以下步骤:开放平台接收第三方发送的调用请求;开放平台在确定调用请求中包括系统参数、应用参数和签名时,按预设规则,基于调用请求中包括的系统参数和应用参数生成签名;若开放平台生成的签名与调用请求中包括的签名一致,则调用请求中包括的签名校验成功。可选地,按预设规则,基于调用请求中包括的系统参数和应用参数生成签名,包括:将系统参数和应用参数进行排序,得到第一序列;其中,系统参数包括第三方公钥和时间戳;应用参数和调用请求是一一对应的关系;将第一序列之前添加调用请求中包括的API标识对应的统一资源定位器URL网址,将第一序列之后添加第三方私钥,得到第二序列;将第二序列进行编码,得到第三序列;对第三序列进行哈希,得到签名。可选地,将第二序列进行编码,得到第三序列,具体包括:对第二序列首先进行Unicode的8位可变长度字符编码UTF-8编码,将进行编码后的第二序列使用十六进制HEX编码,得到第三序列。可选地,还包括:在开放平台生成的签名与调用请求中包括的签名一致时,对调用请求进行校验;若调用请求满足第二校验条件,则对调用请求校验成功;其中,第二校验条件包括以下内容中的任一项或任几项:开放平台对第三方发送的调用请求的次数校验成功、开放平台确定第三方对调用请求中包括的API标识对应的API有访问权限、开放平台对调用请求中包括的时间戳校验成功。 可选地,调用请求中包括第三方标识;开放平台对第三方发送的调用请求的次数校验成功是通过以下方式确定的:开放平台根据第三方标识,确定第三方在当前周期内发送的调用请求的次数;若开放平台确定出的第三方在当前周期内发送的调用请求的次数小于次数阈值,则开放平台确定对第三方发送的调用请求的次数校验成功。可选地,调用请求中包括第三方标识和应用程序编程接口 API标识;第三方对调用请求中包括的API标识对应的API有访问权限是通过以下方式确定的:开放平台根据预设的第三方标识和第三方有访问权限的API标识的对应关系,确定第三方标识对应的第三方有访问权限的所有API标识;若开放平台确定调用请求中包括的API标识属于确定出的第三方有访问权限的API标识,则开放平台确定第三方对调用请求中包括的API标识对应的API有访问权限。可选地,调用请求中包括时间戳;开放平台对调用请求中包括的时间戳校验成功是通过以下方式确定的:开放平台获取调用请求中包括的时间戳;若开放平台确定时间戳距离当前时间的时长小于时长阈值,则开放平台对调用请求中包括的时间戳校验成功。可选地,调用请求为超文本传输安全协议HTTPS请求,调用请求使用安全套接层SSL进行加密;调用请求中的系统参数和应用参数通过超文本传输协议HTTP GET的QueryString方式传递。本专利技术实施例提供一种开放平台,包括:接收单元,用于接收第三方发送的调用请求;处理单元,用于在确定调用请求中包括系统参数、应用参数和签名时,按预设规贝1J,基于调用请求中包括的系统参数和应用参数生成签名;若生成的签名与调用请求中包括的签名一致,则调用请求中包括的签名校验成功。可选地,处理单元,具体用于:将系统参数和应用参数进行排序,得到第一序列;其中,系统参数包括第三方公钥和时间戳;应用参数和调用请求是一一对应的关系;将第一序列之前添加调用请求中包括的API标识对应的统一资源定位器URL网址,将第一序列之后添加第三方私钥,得到第二序列;将第二序列进行编码,得到第三序列;对第三序列进行哈希,得到签名。可选地,将第二序列进行编码,得到第三序列,具体包括:对第二序列首先进行Unicode的16位可变长度字符编码UTF-16编码,将进行编码后的第二序列使用十六进制HEX编码,得到第三序列。可选地,处理单元,还用于:在生成的签名与调用请求中包括的签名一致时,对调用请求进行校验;若调用请求满足第二校验条件,则对调用请求校验成功;其中,第二校验条件包括以下内容中的任一项或任几项:对第三方发送的调用请求的次数校验成功、确定第三方对调用请求中包括的API标识对应的API有访问权限、对调用请求中包括的时间戳校验成功。可选地,调用请求中包括第三方标识;对第三方发送的调用请求的次数校验成功是通过以下方式确定的:处理单元,用于根据第三方标识,确定第三方在当前周期内发送的调用请求的次数;若确定出的第三方在当前周期内发送的调用请求的次数小于次数阈值,则确定对第三方发送的调用请求的次数校验成功。可选地,调用请求中包括第三方标识和应用程序编程接口 API标识;第三方对调用请求中包括的API标识对应的API有访问权限是通过以下方式确定的:处理单元,用于根据预设的第三方标识和第三方有访问权限的API标识的对应关系,确定第三方标识对应的第三方有访问权限的所有API标识;若确定调用请求中包括的API标识属于确定出的第三方有访问权限的API标识,则确定第三方对调用请求中包括的API标识对应的API有访问权限。可选地,调用请求中包括时间戳;对调用请求中包括的时间戳校验成功是通过以下方式确定的:处理单元,用于获取调用请求中包括的时间戳;若确定时间戳距离当前时间的时长小于时长阈值,则对调用请求中包括的时间戳校验成功。可选地,调用请求为超文本传输安全协议HTTPS请求,调用请求使用安全套接层SSL进行加密;调用请求中的系统参数和应用参数通过超文本传输协议HTTP GET的QueryString方式传递。本专利技术实施例中,开放平台接收第三方发送的调用请求,开放平台在确定调用请求中包括系统参数、应用参数和签名时,按预设规则,基于调用请求中包括的系统参数和应用参数生成签名,若开放平台生成的签名与调用请求中包括的签名一致,则调用请求中包括的签名校验成功。本专利技术实施例中,在调用请求携带的信息满足开放平台的要求后,还需要验证调用请求中的签名,且签名是将系统参数和应用参数按预设规则生成的,故只要与开放平台存在约定的第三方才能满足校验要求,约定的内容包括调用请求携带的信息及生成签名的预设规则;进一步由于每个调用请求唯一对应一套系统参数和应用参数,因此每个调用请求唯一对应一个签名,如此,即使有他人截获了该调用请求中的签名,也不可将该调用请求中的签名用于其它调用请求中,从而防止了他人伪造签名的情况发生。本专利技术实本文档来自技高网...
【技术保护点】
一种基于开放平台的信息校验方法,其特征在于,包括以下步骤:开放平台接收第三方发送的调用请求;所述开放平台在确定所述调用请求中包括系统参数、应用参数和签名时,按预设规则,基于所述调用请求中包括的所述系统参数和所述应用参数生成签名;若所述开放平台生成的签名与所述调用请求中包括的签名一致,则所述调用请求中包括的签名校验成功。
【技术特征摘要】
【专利技术属性】
技术研发人员:江泽洲,
申请(专利权)人:拉扎斯网络科技上海有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。