[发明专利]用于认证网络消息的系统和方法

权利要求书

1.一种用于向网络提供对应用程序编程接口API消息的认证的计算机实现的方法，所述方法包括：

由至少一个计算设备从客户端接收API消息，所述API消息包括客户端证书，所述至少一个计算设备耦合在所述客户端和API网关之间，所述API消息被引导至一个或多个后端服务，所述一个或多个后端服务中的每个将一个或多个API暴露给所述客户端；

由所述至少一个计算设备将所述客户端证书作为对象附加到所述API消息；

由所述至少一个计算设备将附加的API消息发送到所述API网关，所述API网关与多个已识别计算设备相关联；

由所述API网关基于将所述至少一个计算设备识别为已识别计算设备中的一个的证书针对所述附加的API消息验证所述至少一个计算设备；

由所述API网关基于附加到所述API消息的所述客户端证书针对所述附加的API消息验证所述客户端；以及

当所述至少一个计算设备和所述客户端被验证时，使得针对所述附加的API消息生成指示所述客户端的安全令牌，由此所述安全令牌指示所述客户端并且允许来自所述客户端的API消息被递送到所述一个或多个后端服务。

2.如权利要求1所述的方法，其中，验证所述至少一个计算设备包括验证识别所述至少一个计算设备的所述证书的特异名称与所述已识别计算设备中的一个一致。

3.如权利要求1所述的方法，其中，使所述安全令牌被生成包括：

当所述至少一个计算设备被验证并且所述客户端被验证时，生成内部安全令牌；

使安全服务计算设备将所述内部安全令牌转换为所述安全令牌；以及

将包括所述安全令牌的API消息发送到由所述API消息指示的所述一个或多个后端服务。

4.如权利要求3所述的方法，其中，所述内部安全令牌和所述安全令牌中的至少一个包括安全断言标记语言SAML令牌。

5.如权利要求1所述的方法，还包括在将所述客户端证书作为所述对象附加到所述API消息之前，由所述至少一个计算设备基于所述客户端证书经由全局访问管理器来验证所述客户端。

6.如权利要求1所述的方法，其中，所述对象包括X509对象；以及

其中，将所述客户端证书附加到所述API消息包括将所述X509对象附加到API消息的头部。

7.如权利要求1所述的方法，其中，所述API消息包括HTTP请求；以及

其中，将所述客户端证书附加到所述API消息包括将所述客户端证书作为X509对象附加到HTTP请求的头部。

8.如权利要求1所述的方法，其中，所述客户端包括与3D安全协议相关联的商家插件MPI；并且

其中，所述API消息包括认证请求。

9.如权利要求1所述的方法，还包括当所述至少一个计算设备未被验证时终止所述API消息。