本发明专利技术公开了一种令牌管理方法和系统,涉及互联网领域。所述方法包括用户界面接收用户的授权指令并发送给应用提供方;应用提供方根据授权指令调用开放平台中的令牌获取接口获取令牌,然后应用提供方生成所述令牌的超时时间并存储;应用提供方使用令牌调用所述开放平台中的第三接口实现相应的应用;应用提供方在应用的后续进行不再需要所述令牌时或者应用完成后调用令牌取消接口取消令牌;用户界面接收用户的退出指令,并在令牌尚未取消的情况下根据退出指令调用令牌取消接口取消令牌。所述方法和系统,克服了现有技术中根据固定时长的超时时间取消令牌所存在的安全隐患,实现了对令牌的自适应地取消,提高了用户信息的安全性。
【技术实现步骤摘要】
令牌管理方法和系统
本专利技术涉及互联网
,特别涉及一种令牌(Token)管理方法和系统。
技术介绍
在互联网时代,某些平台会将自身的服务封装为接口,供第三方开发者使用。我们一般称这些平台为开放平台。第三方开发者通过调用开放平台提供的接口,可以很方便的导入用户信息、提供充值等服务,为第三方开发者节约了大量的开发与运营成本。对开放平台来说,因为要将用户信息提供给第三方开发者,这就涉及到用户的认证与授权。由此,OAuth认证授权协议应运而生。到目前为止,OAuth协议有两个版本被大家广泛使用,分别为OAuth1.0a与OAuth2.0。在OAuth1.0a中,应用方需要预先申请一个RequestToken,在用户授权后,应用方可以获得一个授权过的RequestToken,在后端将此RequestToken更换为AccessToken(令牌),此后均使用这个AccessToken调用开放平台的服务接口;在OAuth2.0中,应用方直接要求用户授权,在用户授权后,应用方可以获得一个授权过的AuthCode,在后端将此AuthCode更换为AccessToken,此后均使用这个AccessToken调用开放平台的服务接口。可见,在OAuth的两种授权流程中都涉及到AccessToken的申请。通过调用相应接口获取AccessToken的返回参数之一是expires_in,其表示设置的超时时间,若超时时间过期再使用Token去调用其他接口的话,会报错说明Token过期。Token可以对应为一个应用一个,也可以对应为一个应用下一个用户一个。现有的Token超时时间设置方案是固定时长,此种设置方式往往很难适用于所有应用环境下,如一些应用要频繁使用Token,希望超时时间长,但是超时时间越长,安全性越低,因为在Token丢失之后,用户的账户在此次Token有效期内,盗用者可以使用此Token非法调用接口使用被盗用用户的信息。但是有的应用只是使用Token在登陆的时候获取一次用户信息,并不需要特别长的超时时间。如果让应用自己选择超时时间,应用很难选择一个合适的超时时间,往往趋于将超时时间设置的过长,而过长就存在安全问题。
技术实现思路
本专利技术要解决的技术问题是:如何提供一种令牌管理方法和系统,以自适应地取消令牌,从而提高用户信息的安全性。一种令牌管理系统,包括:开放平台、应用提供方和用户界面;所述开放平台中包括:令牌获取接口、令牌取消接口和第三接口;所述应用提供方适于根据用户的授权指令调用所述令牌获取接口以获取令牌,使用所述令牌调用所述第三接口实现相应的应用,以及在所述应用的后续进行不再需要所述令牌时或者所述应用完成后调用所述令牌取消接口以取消所述令牌;所述用户界面适于接收用户的授权指令,以及接收用户的退出指令,并在所述令牌尚未取消的情况下根据所述退出指令调用所述令牌取消接口以取消所述令牌;其中,所述应用提供方包括超时设定单元,所述超时设定单元适于在所述令牌获取单元获取所述令牌时生成并存储所述令牌的超时时间。其中,所述应用提供方包括:令牌获取单元;所述令牌获取单元适于根据所述用户的授权指令调用所述令牌获取接口以获取令牌。其中,所述应用提供方还包括:超时监控单元;所述超时监控单元适于判断当前时间是否已经超过所述令牌的超时时间,如果是,则通知所述令牌获取单元获取新的令牌。其中,所述令牌取消接口包括:超时判断模块和超时修改模块;所述超时判断模块,适于从所述超时设定单元中提取所述令牌的超时时间,并判断当前时间是否已经超过所述令牌的超时时间,如果是,则认为所述令牌已经被取消,否则,通知所述超时修改模块修改所述令牌的超时时间;所述超时修改模块适于将所述令牌的超时时间修改为当前时间之前的时间。其中,所述应用提供方还包括:应用逻辑单元;所述应用逻辑单元适于在所述令牌未被取消时,使用所述令牌调用所述第三接口实现相应的应用。其中,所述用户界面包括:指令接收单元和指令处理单元;所述指令接收单元适于接收用户的授权指令和退出指令;所述指令处理单元适于将所述授权指令发送给所述应用提供方,以及在所述令牌尚未取消的情况下根据所述退出指令调用所述令牌取消接口以取消所述令牌。本专利技术还提供一种令牌管理方法,包括步骤:用户界面接收用户的授权指令,并将所述授权指令发送给应用提供方;所述应用提供方根据所述授权指令调用开放平台中的令牌获取接口获取令牌,然后所述应用提供方生成所述令牌的超时时间,并存储所述超时时间;所述应用提供方使用所述令牌调用所述开放平台中的第三接口实现相应的应用;所述应用提供方在所述应用的后续进行不再需要所述令牌时或者所述应用完成后调用令牌取消接口取消所述令牌;所述用户界面接收用户的退出指令,并在所述令牌尚未取消的情况下根据所述退出指令调用所述令牌取消接口取消所述令牌。其中,所述应用提供方使用所述令牌调用所述开放平台中的第三接口实现相应的应用,具体包括步骤:所述应用提供方判断当前时间是否超过所述令牌的超时时间,如果是,则返回所述步骤:用户界面接收用户的授权指令,并将所述授权指令发送给应用提供方;否则,所述应用提供方使用所述令牌调用所述开放平台中的第三接口实现相应的应用。其中,所述令牌取消接口取消所述令牌,具体包括步骤:所述令牌取消接口获取所述令牌的超时时间,并判断当前时间是否超过所述令牌的超时时间,如果是,则认为所述令牌已经被取消,否则,将所述令牌的超时时间修改为当前时间之前的时间。其中,所述用户界面接收用户的退出指令,并在所述令牌尚未取消的情况下根据所述退出指令调用所述令牌取消接口取消所述令牌,具体包括步骤:所述用户界面接收用户的退出指令后获取所述令牌的超时时间;所述用户界面判断当前时间是否超过所述令牌的超时时间,如果是,则认为所述令牌已经被取消,否则,调用所述令牌取消接口取消所述令牌。所述开放平台为提供开放API接口的平台设备,例如平台服务器、接入服务器等。所述应用提供方一般为提供第三方应用业务的计算设备,例如第三方服务器、业务提供设备、应用方业务设备。所述用户界面一般即为客户端设备,例如PC设备、移动终端等。本专利技术所述令牌管理方法和系统,增设了令牌取消接口,应用提供方适时调用令牌取消接口取消令牌,同时在应用提供方未及时取消令牌的情况下,用户界面也可以根据用户的退出指令调用令牌取消接口取消令牌,从而克服了现有技术中根据固定时长的超时时间取消令牌所存在的安全隐患,实现了对令牌的自适应地取消,提高了用户信息的安全性。附图说明图1是本专利技术实施例所述令牌接管理系统的模块结构示意图;图2是本专利技术实施例所述应用提供方的内部模块结构示意图;图3是本专利技术实施例所述令牌取消接口的内部模块结构示意图;图4是本专利技术实施例所述用户界面的内部模块结构示意图;图5是本专利技术实施例所述令牌管理方法的流程图;图6是本专利技术实施例所述令牌管理方法的细致流程图;图7是本专利技术实施例中所述令牌取消接口取消所述令牌的流程图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。根据对现有技术的分析,克服现有技术中问题的关键在于令牌生成之后,什么时候会被取消,原有机制是固定时间超过即取消,也就是在使用令牌时判本文档来自技高网...
【技术保护点】
一种令牌管理系统,包括:开放平台、应用提供方和用户界面;所述开放平台中包括:令牌获取接口、令牌取消接口和第三接口;所述应用提供方适于根据用户的授权指令调用所述令牌获取接口以获取令牌,使用所述令牌调用所述第三接口实现相应的应用,以及在所述应用的后续进行不再需要所述令牌时或者所述应用完成后调用所述令牌取消接口以取消所述令牌;所述用户界面适于接收用户的授权指令,以及接收用户的退出指令,并在所述令牌尚未取消的情况下根据所述退出指令调用所述令牌取消接口以取消所述令牌;其中,所述应用提供方包括超时设定单元,所述超时设定单元适于在所述令牌获取单元获取所述令牌时生成并存储所述令牌的超时时间。
【技术特征摘要】
1.一种令牌管理系统,包括:开放平台、应用提供方和用户界面;所述开放平台中包括:令牌获取接口、令牌取消接口和第三接口;所述应用提供方适于根据用户的授权指令调用所述令牌获取接口以获取令牌,使用所述令牌调用所述第三接口实现相应的应用,以及在所述应用的后续进行不再需要所述令牌时或者所述应用完成后调用所述令牌取消接口以取消所述令牌;所述用户界面适于接收用户的授权指令,以及接收用户的退出指令,并在所述令牌尚未取消的情况下根据所述退出指令调用所述令牌取消接口以取消所述令牌;其中,所述应用提供方包括超时设定单元,所述超时设定单元适于在所述令牌获取单元获取所述令牌时生成并存储所述令牌的超时时间。2.如权利要求1所述的系统,其特征在于,所述应用提供方包括:令牌获取单元;所述令牌获取单元适于根据所述用户的授权指令调用所述令牌获取接口以获取令牌。3.如权利要求1或2所述的系统,其特征在于,所述应用提供方还包括:超时监控单元;所述超时监控单元适于判断当前时间是否已经超过所述令牌的超时时间,如果是,则通知所述令牌获取单元获取新的令牌。4.如权利要求1或2所述的系统,其特征在于,所述应用提供方还包括:应用逻辑单元;所述应用逻辑单元适于在所述令牌未被取消时,使用所述令牌调用所述第三接口实现相应的应用。5.如权利要求1或2所述的系统,其特征在于,所述用户界面包括:指令接收单元和指令处理单元;所述指令接收单元适于接收用户的授权指令和退出指令;所述指令处理单元适于将所述授权指令发送给所述应用提供...
【专利技术属性】
技术研发人员:胡聪,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。