【技术实现步骤摘要】
本专利技术涉及信息安全,尤其涉及api接口安全访问方法、系统、装置和设备。
技术介绍
1、在web应用程序中,主要分为客户端和服务端两部分,客户端负责给用户使用,服务端负责处理用户的请求。在这个过程中,客户端和服务端之间的数据交互都是通过api接口(又指应用程序编程接口)来实现的。但是这个接口的访问权限并不是任何人都可以获取的,现有的api接口访问方案是用户输入账号密码登录后,服务端会返回一个令牌给客户端,客户端在本地存储该令牌,并携带令牌发起登录请求,服务端获取该令牌,并校验令牌的有效性,即校验令牌是否被篡改和过期。如果令牌经校验后有效,则客户端可以实现服务端api接口的访问。
2、然而,现有的api接口访问方案存在一个问题,那就是令牌很容易泄露或被劫持,如果令牌被劫持或泄露,那么采用现有的访问方案就会导致api接口的安全性受到威胁。
3、因此,针对现有技术中存在的api接口访问安全性不高的问题,尚未提出有效的解决方案。
技术实现思路
1、本专利技术实施例提供了一种api接口安全访问方法、系统、装置及设备,旨在解决现有技术方法中所存在的api接口访问安全性不高的问题。
2、第一方面,本专利技术实施例提供了一种api接口安全访问方法,应用于服务端,所述方法包括:
3、响应于客户端发送的当前api请求,获取所述当前api请求中包括的令牌、浏览器特征信息、用户ip地址和业务数据,并根据所述浏览器特征信息生成浏览器指纹;
4、对
5、若确定所述令牌验证结果为验证通过结果,则对所述用户ip地址进行验证,得到ip地址验证结果;
6、若确定所述ip地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;
7、若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前api请求对应的目标api接口并对所述业务数据进行处理,得到数据处理结果;
8、将所述数据处理结果发送至所述客户端。
9、第二方面,本专利技术实施例提供了一种api接口安全访问方法,应用于api接口安全访问系统,其特征在于,所述api接口安全访问系统包括客户端和服务端,所述客户端与所述服务端通讯连接,所述方法包括:
10、所述客户端向所述服务端发起当前api请求,其中,所述当前api请求中包括令牌、浏览器特征信息、用户ip地址和业务数据;
11、所述服务端获取所述浏览器特征信息,并根据所述浏览器特征信息生成浏览器指纹;
12、所述服务端获取令牌和用户ip地址,并对所述令牌进行验证,得到令牌验证结果;若确定所述令牌验证结果为验证通过结果,则对所述用户ip地址进行验证,得到ip地址验证结果;若确定所述ip地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前api请求对应的目标api接口并对所述业务数据进行处理,得到数据处理结果;
13、所述服务端将所述数据处理结果发送至所述客户端。
14、第三方面,本专利技术实施例提供了一种api接口安全访问装置,所述装置用于服务端,包括:
15、响应于客户端发送的当前api请求,获取所述当前api请求中包括的令牌、浏览器特征信息、用户ip地址和业务数据,并根据所述浏览器特征信息生成浏览器指纹;
16、对所述令牌进行验证,得到令牌验证结果;
17、若确定所述令牌验证结果为验证通过结果,则对所述用户ip地址进行验证,得到ip地址验证结果;
18、若确定所述ip地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;
19、若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前api请求对应的目标api接口并对所述业务数据进行处理,得到数据处理结果;
20、将所述数据处理结果发送至所述客户端。
21、第四方面,本专利技术实施例提供了一种api接口安全访问系统,所述系统包括服务端、客户端,
22、所述客户端向所述服务端发起当前api请求,其中,所述当前api请求中包括令牌、浏览器特征信息、用户ip地址和业务数据;
23、所述服务端获取所述浏览器特征信息,并根据所述浏览器特征信息生成浏览器指纹;
24、所述服务端获取令牌和用户ip地址,并对所述令牌进行验证,得到令牌验证结果;若确定所述令牌验证结果为验证通过结果,则对所述用户ip地址进行验证,得到ip地址验证结果;若确定所述ip地址验证结果为验证通过结果,则对所述浏览器指纹进行验证,得到浏览器指纹验证结果;若确定所述浏览器指纹验证结果为验证通过结果,则获取与所述当前api请求对应的目标api接口并对所述业务数据进行处理,得到数据处理结果;
25、所述服务端将所述数据处理结果发送至所述客户端。
26、第五方面,本专利技术实施例又提供了一种计算机设备,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面或第二方面所述的方法。
27、第六方面,本申请实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时可实现上述第一方面或第二方面提供的方法。
28、本专利技术实施例提供了一种api接口安全访问方法、系统、装置和设备,方法包括:客户端向服务端发起当前api请求,服务端响应于客户端发起的当前api请求,获取当前api请求中包括的令牌、浏览器特征信息、用户ip地址和业务数据,并根据浏览器特征信息生成浏览器指纹;然后服务端对获取的令牌进行验证,得到令牌验证结果;若确定令牌验证结果为验证通过结果,则服务端对用户ip地址进行验证,得到ip地址验证结果;若确定ip地址验证结果为验证通过结果,则服务端对浏览器指纹进行验证,得到浏览器指纹验证结果;若确定浏览器指纹验证结果为验证通过结果,则服务端获取与当前api请求对应的目标api接口并对业务数据进行处理,得到数据处理结果;最后,服务端将数据处理结果发送至客户端。
29、上述方法中,客户端请求api访问时,服务端不仅需要校验令牌,还需要校验浏览器指纹和用户ip地址,通过三重验证能更严格的校验api接口请求的信息与用户登录时记录的信息是否一致,避免了令牌被劫持或泄露后产生的api接口访问风险问题,提高了访问的安全性。
本文档来自技高网...【技术保护点】
1.一种API接口安全访问方法,应用于服务端,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述对所述令牌进行验证,得到令牌验证结果,包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述用户IP地址进行验证,得到IP地址验证结果,包括:
4.根据权利要求1所述的方法,其特征在于,所述对所述浏览器指纹进行验证,得到浏览器指纹验证结果,包括:
5.一种API接口安全访问方法,应用于API接口安全访问系统,其特征在于,所述API接口安全访问系统包括客户端和服务端,所述客户端与所述服务端通讯连接,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,在所述客户端向所述服务端发起当前API请求之前,所述方法包括:
7.根据权利要求5所述的方法,其特征在于,所述对所述令牌进行验证,得到令牌验证结果,包括:
8.一种API接口安全访问装置,其特征在于,所述装置用于服务端,包括:
9.一种API接口安全访问系统,其特征在于,所述系统包括服务端、客户端,
10.一
...【技术特征摘要】
1.一种api接口安全访问方法,应用于服务端,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述对所述令牌进行验证,得到令牌验证结果,包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述用户ip地址进行验证,得到ip地址验证结果,包括:
4.根据权利要求1所述的方法,其特征在于,所述对所述浏览器指纹进行验证,得到浏览器指纹验证结果,包括:
5.一种api接口安全访问方法,应用于api接口安全访问系统,其特征在于,所述api接口安全访问系统包括客户端和服务端,所述客户端与所述服务端通讯连接,所述方法包括:
6.根据权利要求5所述的方...
【专利技术属性】
技术研发人员:宁承恒,陈志列,彭异恒,李柏明,邓金拓,曾鹏,
申请(专利权)人:深圳市前海研祥亚太电子装备技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。