一种实现Api接口安全性的方法技术

本发明专利技术提供了一种实现Api接口安全性的方法，所述方法包括如下步骤：步骤1：接入方向带有Api接口的系统申请应用；步骤2：接入方获得应用的应用码AppID和应用密钥AppSercet后开始向系统接口组织请求；步骤3：系统根据业务接口请求会把要返回的数据信息用应用码AppID对应的接口返回内容密钥DesSecret进行Des加密后返回给接入方；步骤4：接入方获得请求接口的返回内容后，用系统分配的接口返回内容密钥DesSecret进行Des解密，得到返回内容。本发明专利技术有效的保证了接口的安全性。

A method to realize API interface security

【技术实现步骤摘要】
一种实现Api接口安全性的方法
本专利技术涉及网络通讯
，特别是一种实现Api接口安全性的方法。
技术介绍
现如今各种Api接口层出不穷，例如公司内部不同小组间的接口调用、对面用户的功能性接口、第三方服务接口等等。一个好的Api有很多维度来衡量，其中安全性和简易性是一个Api接口最基本也是最重要的两个维度，但是往往这2个维度会自相矛盾，设计的越复杂安全性相对会更高，但是对于接入方来说就是一件费劲的事件，太难接入不易看懂，就会产生很多无畏的沟通成本。设计的太简易也不行，接口有被篡改调用的风险，由其涉及Api充值、奖励发放、敏感数据等，安全与否直接影响到个人或企业的财产。所以设计一个好的Api接口，即简单又安全尤为重要。
技术实现思路
为克服上述问题，本专利技术的目的是提供一种实现Api接口安全性的方法，能进有效的保证了接口的安全性。本专利技术采用以下方案实现：一种实现Api接口安全性的方法，所述方法包括如下步骤：步骤1：接入方向带有Api接口的系统申请应用；步骤2：接入方获得应用的应用码AppID本文档来自技高网...

【技术保护点】
1.一种实现Api接口安全性的方法，其特征在于：所述方法包括如下步骤：/n步骤1：接入方向带有Api接口的系统申请应用；/n步骤2：接入方获得应用的应用码AppID和应用密钥AppSercet后开始向系统接口组织请求；该步骤2具体为：/n步骤2.1：接入方要请求获取令牌接口来得到令牌Token；/n步骤2.2：接入方获得令牌Token后有权向系统请求具体功能的业务接口，得到业务接口所需参数和签名规则组织出业务签名SdkSign；/n步骤2.3：根据所述令牌Token和业务签名SdkSign，再加上业务接口所需参数，一并请求业务接口；/n步骤3：系统根据业务接口请求会把要返回的数据信息用应用码A...

【技术特征摘要】
1.一种实现Api接口安全性的方法，其特征在于：所述方法包括如下步骤：
步骤1：接入方向带有Api接口的系统申请应用；
步骤2：接入方获得应用的应用码AppID和应用密钥AppSercet后开始向系统接口组织请求；该步骤2具体为：
步骤2.1：接入方要请求获取令牌接口来得到令牌Token；
步骤2.2：接入方获得令牌Token后有权向系统请求具体功能的业务接口，得到业务接口所需参数和签名规则组织出业务签名SdkSign；
步骤2.3：根据所述令牌Token和业务签名SdkSign，再加上业务接口所需参数，一并请求业务接口；
步骤3：系统根据业务接口请求会把要返回的数据信息用应用码AppID对应的接口返回内容密钥DesSecret进行Des加密后返回给接入方；
步骤4：接入方获得请求接口的返回内容后，用系统分配的接口返回内容密钥DesSecret进行Des解密，得到返回内容。


2.根据权利要求1所述的一种实现Api接口安全性的方法，其特征在于：所述步骤2.1进一步具体为：接入方传输应用码AppID、当前时间戳Ticket、Sign请求获取令牌接口，所述Sign是由AppID+Ticket+AppSercet3个参数拼接进行MD5加密后得到的值；所述令牌Token在一预设时间内有效，即在预设时间内无需重复请求令牌Token，令牌Token都视为有效。


3.根据权利要求2所述的一种实现Api接口安全性的方法，其特征在于：所述步骤2.1进一步包括如下步骤：
步骤2.1.1：系统收到步骤2请求后，首先根据应用码AppID取得对应的应用密钥AppSercet，校验Sign签名是否合法有效；
步骤2.1.2：系统其次校验Ticket是否于服务器误差为一时间阈值范围内，超出范围的视为过期请求；
步骤2.1.3：最后系统校验请求IP是否在应用码AppI...

【专利技术属性】
技术研发人员：刘德建，叶伟，郑彬，李正，岳万恕，陈宏展，
申请(专利权)人：福建天晴在线互动科技有限公司，
类型：发明
国别省市：福建;35