[发明专利]一种混合模式APP中h5与服务端安全通讯的方法

说明书

本发明涉及一种混合模式APP中h5与服务端安全通讯的方法。包括构建客户端原生接口与服务端请求的安全保护交互通路步骤，以及在h5利用客户端原生接口与服务端请求的安全保护交互通路进行通信的步骤。本发明方法在混合模式APP中h5与服务端的安全通讯方式场景中，跳出了原先h5功能只能使用浏览器内置方法与服务器进行通信的模式，巧妙利用APP原生技术开发与服务端安全通讯的接口，跳过了原有利用浏览器内置通信方式的安全问题，从另一个角度解决h5与服务端安全通信的问题。

技术领域

本发明属于移动互联网手机APP应用开发领域，具体涉及一种混合模式APP中h5与服务端安全通讯的方法。

背景技术

混合模式APP是指结合客户端原生开发技术和h5开发技术的一种混合模式的客户端应用，相对稳定的功能、需要与硬件设备交互功能使用原生开发，功能变化较大、活动类功能使用h5技术开发，这样可以实现充分的灵活性、较好的用户体验，同时对开发周期、项目成功都能有较好把控。

本申请关注的混合模式APP 中h5与服务端的交互安全。目前在移动互联网领域，为保障混合模式APP下h5与服务端数据通讯的安全，一般通过对通讯过程进行加密，或使用令牌认证机制，防止非法请求。

现有的技术方案常见包括：

1、使用https协议代替http协议，h5与服务端的数据通讯安全直接依赖https协议构建的安全通过，防止非法请求。

2、使用令牌认证机制，h5先提交凭证（用户密码、证书、或用来标识身份的内容），服务端鉴别凭证有效后，会颁发一个令牌（可能是cookie、session、token等）、用来在一段时间和空间范围内证明请求是合法的。

https在实际使用包括使用单向认证的https、服务端与客户端双向认证的https，前者存在中间人攻击的风险，后者在混合模式APP使用中存在交互速度慢问题；使用令牌认证机制，因传输通道是没有受到保护、非常容易遭受各种web攻击；而且因为h5是解释型语言、程序代码是直接暴露的、很容易进行反向，不像原生开发的功能，经过编译、混淆等处理，很难进行反向，而程序代码遭到反向、所有基于代码实现安全处理就非常容易破解。

本方案提出h5调用客户端原生接口、实现与服务端通信，客户端原生接口与服务端通讯过程使用动态密钥保护。客户端原生接口在收到h5调用时、根据对调用源校验、判断调用的合法性，然后使用客户端原生接口请求服务端，收到服务端返回数据后、再将结果回调给h5。

发明内容

本发明的目的在于提供一种混合模式APP中h5与服务端安全通讯的方法，该方法方法在混合模式APP中h5与服务端的安全通讯方式场景中，跳出了原先h5功能只能使用浏览器内置方法与服务器进行通信的模式，巧妙利用APP原生技术开发与服务端安全通讯的接口，跳过了原有利用浏览器内置通信方式的安全问题，从另一个角度解决h5与服务端安全通信的问题。

为实现上述目的，本发明的技术方案是：一种混合模式APP中h5与服务端安全通讯的方法，包括构建客户端原生接口与服务端请求的安全保护交互通路步骤，以及在h5利用客户端原生接口与服务端请求的安全保护交互通路进行通信的步骤。

在本发明一实施例中，所述构建客户端原生接口与服务端请求的安全保护交互通路步骤，具体如下：

步骤S1：在客户端发布时，在客户端预先内置通用的非对称加密公钥rsa_public_key，服务端保存对应的私钥rsa_private_key；

步骤S2：在用户登录时，客户端自动生成一串随机签名标识sign_token、合并登录信息，使用发布包内的公钥rsa_public_key，采用非对称加密算法RSA进行加密后提交服务端，客户端签名标识sign_token加密后保存；