[发明专利]一种应用程序编程接口API权限管理方法与装置

说明书

本申请公开了一种应用程序编程接口API权限管理方法与装置，用于解决现有技术中的API权限管理方法耗费网络资源较大的问题。该方法包括：第一应用APP接收第二APP发送的API调用请求；其中，所述第二APP是植入到第一APP中的寄生APP；根据所述API调用请求，确定所述第二APP所要调用的API的安全等级；根据所述安全等级，判断是否需要对所述第二APP进行鉴权；若是，则将所述API调用请求发送给服务器，以使得服务器根据所述API调用请求对所述第二APP进行鉴权，并根据所述服务器返回的鉴权结果允许或拒绝所述第二APP调用所述API；否则，允许所述第二APP调用所述API。

技术领域

本申请涉及计算机技术领域，尤其涉及一种API权限管理方法与装置。

背景技术

实际应用中，一些应用(Application，APP)开发者为了使得自己开发的APP能够得到用户更多的关注和使用，便将自己开发的APP植入到目前使用量较大的本地APP中。其中，可将植入的APP称为寄生APP，将本地APP称为宿主APP。例如，如图1a所示，图1a所显示的界面为宿主APP的用户界面，该用户界面中的“XX打车”这一图标对应的APP为寄生APP。若用户点击该图标，该寄生APP便会显示出“XX打车”这一寄生APP的用户界面，供用户使用。

其中，寄生APP的正常运行，依赖于宿主APP中的容器应用程序编程接口(Application Programming Interface，API)。当用户点击寄生APP的用户界面中的某一控件后，寄生APP便调用容器中相应的API，来完成相应的操作。沿用上例，如图1b所示的用户界面为“XX打车”这一寄生APP的用户界面。该界面中包含出发地点输入框、目的地点输入框、定位出发地点控件以及确定控件。若用户点击了定位出发地点这一控件，“XX打车”这一寄生APP便会调用容器中相应的API，以使得寄生APP能够调用设备中的全球定位系统(Global Positioning System，GPS)来定位当前设备所在的地理位置，在定位成功后，“XX打车”这一寄生APP便将定位出的出发地点显示在出发地点输入框中，此时的用户界面如图1c所示。

现有技术中，有的宿主APP的开发者不对宿主APP容器中的API的调用设置任何限制，即只要寄生APP向宿主APP发起API调用请求，宿主APP便允许调用相应的API。但是这可能会造成宿主APP的运行环境不安全。沿用上例，若用户通过“XX打车”这一寄生APP打到了出租车，并且成功到达了目的地后，那么该寄生APP便会弹出付款页面。假设需付车费15元，则该寄生APP便会调用宿主APP的容器中相应的API，以告知宿主APP应支付15元。但是在寄生APP向宿主APP发送API调用请求的过程中，若黑客恶意篡改了API调用请求中的内容，将收款方篡改成了其他人，就会造成财产损失。

为了解决上述不安全问题，现有技术中，宿主APP可对其容器中的API进行鉴权管理，只有通过了鉴权，宿主APP才会允许寄生APP调用容器中的API。

具体的，寄生APP将API调用请求中的内容用私钥进行加密，并将加密后得到的密文内容以及明文均发给宿主APP，宿主APP将该些内容发送给服务器。服务器接收到密文内容和明文后，采用本地保存的公钥进行验签，若通过，则服务器向宿主APP返回允许调用的通知，宿主APP便允许寄生APP调用容器中的API，否则，服务器向宿主APP返回拒绝调用的通知，宿主APP便拒绝寄生APP调用容器中的API。

虽然上述方法可以保证宿主APP运行环境的安全性，但是，每次寄生APP调用宿主APP容器中的API时，宿主APP均会向服务器发起鉴权，导致网络资源耗费较大。

发明内容

本申请实施例提供一种API权限管理方法与装置，用以解决现有技术中API权限管理方法存在的耗费网络资源较大的问题。

本申请实施例采用下述技术方案：

一种应用程序编程接口API权限管理方法，包括：