一种API访问控制方法,应用于计算机技术领域,包括:在用户通过前置应用访问受控API资源的过程中,拦截用户通过前置应用发送的访问请求,识别用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端的设备信息,当用户或前置应用的环境信息发生变化时,基于预置的访问认证方式和预置的访问控制策略,响应访问请求。本申请还公开了一种API访问代理装置,当用户的访问环境发生变化时,进行持续的授权决策,并根据决策结果执行响应,增强访问的安全性。
【技术实现步骤摘要】
API访问控制方法及API访问代理装置
本专利技术涉及计算机
,尤其涉及一种API访问控制方法及API访问代理装置。
技术介绍
随着互联网的发展,越来越多的平台开放其应用程序接口(ApplicationProgrammingInterface,API)供第三方应用(application,APP)调用。现有的API访问控制,大多是基于静态规则的防问认证方法控制,缺少基于动态访问身份的自适应访问控制,当访问主体的身份变化时,很难及时感知,做出相应的响应。
技术实现思路
本专利技术的主要目的在于提供一种API访问控制方法及API访问代理装置,当用户的访问环境发生变化时,进行持续的授权决策,并根据决策结果执行响应,增强访问的安全性。为实现上述目的,本专利技术实施例第一方面提供一种API访问控制方法,包括:在用户通过前置应用访问受控API资源的过程中,拦截所述用户通过前置应用发送的访问请求;识别所述用户的身份信息、所述用户的终端的设备信息、所述前置应用的身份信息和内置有所述前置应用的终端的设备信息;当所述用户或前置应用的环境信息发生变化时,基于预置的访问认证方式和预置的访问控制策略,响应所述访问请求。进一步地,所述基于预置的访问认证方式,响应所述访问请求包括:基于所述用户的身份信息、所述用户的终端的设备信息、所述前置应用的身份信息、内置有所述前置应用的终端的设备信息、所述受控API资源、所述访问请求的上下文信息与访问控制系统联动进行授权策略判定。进一步地,所述拦截所述用户通过前置应用发送的访问请求包括:根据约定条件,开放访问端口。进一步地,所述拦截所述用户通过前置应用发送的访问请求包括:对所述访问请求进行合法性检测,所述合法性检测包括自动程序检测、恶意访问检测和请求大小检测;基于所述访问请求的请求速度、请求连接数、访问时段,对访问过程进行流量控制。进一步地,所述识别所述用户的身份信息、所述用户的终端的设备信息、所述前置应用的身份信息和内置有所述前置应用的终端的设备信息包括:认证所述用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端的设备信息;当所述用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端的设备信息为预置的认证信息时,获取访问令牌,所述访问令牌用于访问所述受控API资源。进一步地,当所述访问请求授权通过时,则所述基于预置的访问控制策略,响应所述访问请求包括:将所述访问请求根据转发策略进行转发,以及,根据需要将所述访问令牌进行转换后传递。进一步地,当所述访问请求授权不通过时,则所述基于预置的访问控制策略,响应所述访问请求包括:拒绝所述访问请求,或,向所述前置应用返回需进行二次认证的信息;进一步地,所述基于预置的控制策略,响应所述访问请求包括:当收到所述访问控制系统发送的通知信息时,停止当前访问。进一步地,所述基于预置的访问控制策略,响应所述访问请求包括:当所述访问请求为认证通过的访问请求时,记录认证日志,并统计所述访问过程种产生的访问流量。本专利技术实施例第二方面提供一种API访问代理装置,包括:拦截模块,用于在用户通过前置应用访问受控API资源的过程中,拦截所述用户通过前置应用发送的访问请求;识别模块,用于识别所述用户的身份信息、所述用户的终端的设备信息、所述前置应用的身份信息和内置有所述前置应用的终端的设备信息;响应模块,用于当所述用户或前置应用的环境信息发生变化时,基于预置的访问认证方式和预置的访问控制策略,响应所述访问请求。从上述本专利技术实施例可知,本专利技术提供的API访问控制方法及API访问代理装置,在用户通过前置应用访问受控API资源的过程中,拦截用户通过前置应用发送的访问请求,识别用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端的设备信息,当用户或前置应用的环境信息发生变化时,基于预置的访问认证方式和预置的访问控制策略,响应访问请求,当用户的访问环境发生变化时,进行持续的授权决策,并根据决策结果执行响应,增强访问的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一实施例提供的API访问控制方法的流程示意图;图2为本专利技术一实施例提供的API访问代理装置的结构示意图;图3为本专利技术又一实施例提供的API访问代理装置的另一结构示意图。具体实施方式为使得本专利技术的专利技术目的、特征、优点能够更加的明显和易懂,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而非全部实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。在本专利技术实施例中,访问代理装置以API访问代理装置为例,API访问代理装置是访问数据服务API时的强制策略执行点,简称“API代理”,API代理与访问控制系统协作,验证访问目标资源的终端的设备信息、用户的身份信息,实现API数据接口的访问权限控制。请参阅图1和图2,图1为本专利技术一实施例提供的API访问控制方法的流程示意图,图2为本专利技术一实施例提供的API访问代理装置的结构示意图,应用于访问代理装置,该方法主要包括以下步骤:S101、在用户通过前置应用访问受控API资源的过程中,拦截用户通过前置应用发送的访问请求;拦截访问请求,即对访问请求进行接管,拦截方式包括DNS拦截、浏览器拦截、基于端口的拦截、基于IP的拦截,克避免访问认证方式被旁路。上述拦截过程即为图2中所示的访问接管。进一步地,开放端口,其中,仅对通过授权认证的访问主体根据约定条件进行开放,该授权认证包括但不限于端口敲门等。该端口开放的过程即为图2中所示的端口隐藏,也就是说该端口默认为不开放,只对授权认证的访问主体进行动态开放,以减少恶意端口扫描带来的风险。进一步地,对其进行合法性检测,对访问请求进行合法性检测,合法性检测包括自动程序检测、恶意访问检测和请求大小检测,并基于访问请求的请求速度、请求连接数、访问时段,对访问过程进行流量控制。上述合法性检测过程即为图2中所示的安全加固。S102、识别用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端的设备信息;进一步地,认证用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端的设备信息,当用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端的设备信息为预置的认证信息时,获取访问令牌,该访问令牌是用来描述进程或线程安全上下文的对象,访问令牌所包含的信息是与用户相关的进程或线程的身份和权限信息。当用户经过身份认证之后,系统会为用户生成一个访问令牌。之后,该用户发起的每次请求都会携带一个该应用的访问令牌。上述认证过程即为图2中所示的访问认证。进一步地,识别用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端的设备信息,对进行访问请求的访问主体进本文档来自技高网...
【技术保护点】
1.一种API访问控制方法,应用于访问代理装置,其特征在于,包括:在用户通过前置应用访问受控API资源的过程中,拦截所述用户通过前置应用发送的访问请求;识别所述用户的身份信息、所述用户的终端的设备信息、所述前置应用的身份信息和内置有所述前置应用的终端的设备信息;当所述用户或前置应用的环境信息发生变化时,基于预置的访问认证方式和预置的访问控制策略,响应所述访问请求。
【技术特征摘要】
1.一种API访问控制方法,应用于访问代理装置,其特征在于,包括:在用户通过前置应用访问受控API资源的过程中,拦截所述用户通过前置应用发送的访问请求;识别所述用户的身份信息、所述用户的终端的设备信息、所述前置应用的身份信息和内置有所述前置应用的终端的设备信息;当所述用户或前置应用的环境信息发生变化时,基于预置的访问认证方式和预置的访问控制策略,响应所述访问请求。2.根据权利要求1所述的API访问控制方法,其特征在于,所述基于预置的访问认证方式,响应所述访问请求包括:基于所述用户的身份信息、所述用户的终端的设备信息、所述前置应用的身份信息、内置有所述前置应用的终端的设备信息、所述受控API资源、所述访问请求的上下文信息与访问控制系统联动进行授权策略判定。3.根据权利要求2所述的API访问控制方法,其特征在于,所述拦截所述用户通过前置应用发送的访问请求包括:根据约定条件,开放访问端口。4.根据权利要求3所述的API访问控制方法,其特征在于,所述拦截所述用户通过前置应用发送的访问请求包括:对所述访问请求进行合法性检测,所述合法性检测包括自动程序检测、恶意访问检测和请求大小检测;基于所述访问请求的请求速度、请求连接数、访问时段,对访问过程进行流量控制。5.根据权利要求1至4任意一项所述的API访问控制方法,其特征在于,所述识别所述用户的身份信息、所述用户的终端的设备信息、所述前置应用的身份信息和内置有所述前置应用的终端的设备信息包括:认证所述用户的身份信息、用户的终端的设备信息、前置应用的身份信息和内置有前置应用的终端...
【专利技术属性】
技术研发人员:简明,魏勇,张泽洲,左英男,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。