[发明专利]开放接口调用的认证方法与系统

说明书

技术领域

本发明涉及互联网技术，尤其是一种开放接口调用的认证方法与系统。

背景技术

互联网服务提供平台（Service Platform）提供开放接口供第三方开发者在开发互联网应用程序中进行调用。这些开放接口，例如应用编程接口（REST API），基于超文本传输协议（Hyper TextTransport Protocol，以下简称：HTTP）进行通信。服务提供平台对于所接收到的接口调用请求，应该进行有效的认证，只响应合法的接口调用请求。

现有技术中，针对存在应用程序的服务器端/客户端（C/S）以及服务提供平台三方的接口调用场景中，主要通过以下两种接口调用方法进行接口调用：

第一种方法中，由应用程序的服务器端（App Server）向服务提供平台申请接口调用所需的密码（APP key），服务器端使用该密码向服务提供平台发送接口调用请求，以请求进行开放接口的调用。如果应用程序的客户端（APP Client）也需要进行开放接口的调用，则由客户端向服务器端请求服务，则由服务器端直接将该密码开放给客户端，由客户端自由地向服务提供平台发送接口调用请求，以请求进行开放接口的调用；

第二种方法中，由应用程序的服务器端向服务提供平台申请接口调用所需的密码，服务器端使用该密码向服务提供平台发送接口调用请求，以请求进行开放接口的调用。如果应用程序的客户端也需要进行开放接口的调用，则由服务器端全权代理客户端每次向服务提供平台发送接口调用请求，再将获得的内容转交给客户端。

在实现本发明的过程中，发明人发现上述现有技术的接口调用方法至少存在以下问题：

第一种方法中，由服务器端将密码开放给客户端后，客户端可以自由地向服务提供平台请求进行接口调用，服务器端无法对客户端的调用请求进行任何管控，导致接口调用的安全性较低；

第二种方法中，需要由服务器端全权代理客户端每次向服务提供平台发送接口调用请求，再将获得的内容转交给客户端，流程迂回复杂，接口调用效率低下，并且增加了服务器端的工作负荷，降低了服务器端的工作性能。

发明内容

本发明实施例所要解决的技术问题是：提供一种开放接口调用的认证方法与系统，可以保证接口调用的安全性，并且，接口调用流程简单，接口调用效率较高，客户端在接口调用的过程中不增加服务器的工作负荷。

本发明实施例提供的一种开放接口调用的认证方法，包括：

服务提供平台接收接口调用请求方发送的应用程序的接口调用请求，所述接口调用请求中包括接口调用参数；所述接口调用请求方包括具有紧耦合关系的服务器端或客户端；所述接口调用参数包括唯一标识一个应用程序的应用标识、服务提供平台为所述应用程序分配的私有密钥与服务器端为本次接口调用分配的有效时间；所述私有密钥由服务器端在所述服务提供平台注册后由服务提供平台为所述应用程序分配，所述客户端在登录服务器端并获得所述服务器端授权后从所述服务器端获取所述接口调用参数；

所述服务提供平台从预先分配的参数记录中获取所述应用标识对应的私有密钥，并基于获取到的私有密钥与所述有效时间对所述接口调用请求进行认证；

响应于所述接口调用请求通过认证，所述服务提供平台允许所述接口调用请求方进行相应的接口调用；

否则，响应于所述接口调用请求未通过认证，所述服务提供平台拒绝所述接口调用请求方进行相应的接口调用。

本发明实施例提供的一种开放接口调用的认证系统，包括服务提供平台与接口调用请求方，所述接口调用请求方包括具有紧耦合关系的服务器端或客户端；

所述接口调用请求方，用于向所述服务提供平台发送应用程序的接口调用请求，所述接口调用请求中包括接口调用参数，所述接口调用参数包括唯一标识一个应用程序的应用标识、服务提供平台为所述应用程序分配的私有密钥与服务器端为本次接口调用分配的有效时间；所述私有密钥由服务器端在所述服务提供平台注册后由服务提供平台为所述应用程序分配，所述客户端在登录服务器端并获得所述服务器端授权后从所述服务器端获取所述接口调用参数；

所述服务提供平台，用于接收接口调用请求方发送的应用程序的接口调用请求；从预先分配的参数记录中获取所述应用标识对应的私有密钥，并基于获取到的私有密钥与所述有效时间对所述接口调用请求进行认证；响应于所述接口调用请求通过认证，允许所述接口调用请求方进行相应的接口调用；否则，响应于所述接口调用请求未通过认证，拒绝所述接口调用请求方进行相应的接口调用。