[发明专利]小程序的鉴权方法、服务器及计算机可读存储介质

权利要求书

1.一种小程序的鉴权方法，其特征在于，包括：

若接收到来自客户端的用户授权认证请求，则获取所述客户端从应用平台接收并转发的加密字符串，以及从所述应用平台获取密钥，其中所述加密字符串由所述应用平台对当前登录所述应用平台的用户的用户信息进行加密得到，所述客户端为小程序的客户端，所述小程序依托所述应用平台作为载体；

根据所述密钥对所述加密字符串进行解密得到所述用户信息；

若在预存的用户信息库中查询到所述用户信息，则生成授权成功的通知，且接收所述应用平台的所述用户的用户标识，并根据所述用户的用户标识生成鉴权信息并存储至数据库，并将所述鉴权信息以及所述授权成功的通知发送至所述客户端。

2.根据权利要求1所述的小程序的鉴权方法，其特征在于，所述根据所述密钥对所述加密字符串进行解密得到所述用户信息之后，包括：

若在预存的用户信息库中未查询到所述用户信息，则生成授权失败的通知，并将所述授权失败的通知发送至所述客户端。

3.根据权利要求1所述的小程序的鉴权方法，其特征在于，所述鉴权信息至少包括API密钥，所述若在预存的用户信息库中查询到所述用户信息，则生成授权成功的通知，且接收第三方应用的所述用户的用户标识，并根据所述用户的用户标识生成鉴权信息并存储至数据库，并将所述鉴权信息以及所述授权成功的通知发送至所述客户端之后，还包括：

接收所述客户端的数据请求，所述数据请求包括令牌、请求参数、随机数、时间戳以及请求密文，所述请求密文为所述客户端通过所述API密钥对所述令牌、所述请求参数、所述随机数以及所述时间戳进行加密生成；

根据所述数据请求中的令牌在所述数据库查询得到所述API密钥，根据所述API密钥对所述令牌、所述请求参数、所述随机数以及所述时间戳进行加密生成比对密文；

若所述比对密文与所述请求密文一致，则放行所述数据请求；若所述比对密文与所述请求密文不一致，则拦截所述数据请求。

4.根据权利要求3所述的小程序的鉴权方法，其特征在于，所述根据所述数据请求中的令牌在所述数据库查询得到所述API密钥，根据所述API密钥对所述令牌、所述请求参数、所述随机数以及所述时间戳进行加密生成比对密文之前，包括：

判断在预设时间内是否存在相同的所述数据请求；

若在预设时间内不存在相同的所述数据请求，则判定所述数据请求不是重放攻击。

5.根据权利要求4所述的小程序的鉴权方法，其特征在于，所述判断在预设时间内是否存在相同的所述数据请求之后，还包括：

若在预设时间内存在相同的所述数据请求，则判定所述数据请求为重放攻击，并拒绝所述数据请求；

将所述数据请求所对应的客户端的互联网协议地址加入限制访问名单。

6.根据权利要求3所述的小程序的鉴权方法，其特征在于，所述比对密文的生成方法，包括：

以所述API密钥为盐值对所述令牌、所述请求参数、所述随机数以及所述时间戳进行消息摘要算法加密生成所述比对密文。

7.一种服务器，其特征在于，所述服务器包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如下步骤：

若接收到来自客户端的用户授权认证请求，则获取所述客户端从应用平台接收并转发的加密字符串，以及从所述应用平台获取密钥，其中所述加密字符串由所述应用平台对当前登录所述应用平台的用户的用户信息进行加密得到，所述客户端为小程序的客户端，所述小程序依托所述应用平台作为载体；

根据所述密钥对所述加密字符串进行解密得到所述用户信息；

若在预存的用户信息库中查询到所述用户信息，则生成授权成功的通知，且接收所述应用平台的所述用户的用户标识，并根据所述用户的用户标识生成鉴权信息并存储至数据库，并将所述鉴权信息以及所述授权成功的通知发送至所述客户端。