[发明专利]数据鉴权的方法及装置、存储介质和电子装置

说明书

本发明提供了一种数据鉴权的方法及装置、存储介质和电子装置，其中该方法包括：鉴权服务接收第三方应用发送的鉴权信息和业务请求信息；所述鉴权服务对所述鉴权信息进行校验；在校验通过的情况下，所述鉴权服务根据所述业务请求信息向数据提供方请求数据，并将请求的数据返回给所述第三方应用。通过本发明，解决了相关技术中在OAuth2.0协议中对参数redirect_uri的验证采用以域名为验证手段存在较大风险的问题，达到了提高数据安全性的效果。

技术领域

本发明涉及计算机领域，具体而言，涉及一种数据鉴权的方法及装置、存储介质和电子装置。

背景技术

OAuth2.0作为OAuth协议的延续版本，关注客户端开发者的简易性。可以通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户，也允许第三方应用代表用户获得访问的权限。

虽然OAuth2.0在系统集成时提供了便捷性，但是对参数redirect_uri的验证大多以域名为验证手段，其宽泛的验证过程会导致以下两个安全风险：1)对域名的验证，将导致子域名或者网站存在xss或者Url跳转漏洞，攻击者将可以利用漏洞获取code、access_token等；2)部分厂商的验证可被不法分子通过特定字符绕过有效性检查，从而将地址转向钓鱼网站，以获取相关鉴权信息。

针对相关技术中的上述问题，目前尚未存在有效的解决方案。

发明内容

本发明实施例提供了一种数据鉴权的方法及装置、存储介质和电子装置，以至少解决相关技术中在OAuth2.0协议中对参数redirect_uri的验证采用以域名为验证手段存在较大风险的问题。

根据本发明的一个实施例，提供了一种数据鉴权的方法，包括：鉴权服务接收第三方应用发送的鉴权信息和业务请求信息；所述鉴权服务对所述鉴权信息进行校验；在校验通过的情况下，所述鉴权服务根据所述业务请求信息向数据提供方请求数据，并将请求的数据返回给所述第三方应用。

可选地，所述业务请求信息至少包括：请求业务参数、请求地址、请求方式；所述鉴权信息至少包括：所述第三方应用的身份识别码，通过预设规则产生生成的第一签名数据，生成所述第一签名数据时的时间戳，用于指示加密生成所述第一签名数据的加密方式。

可选地，所述鉴权服务对所述鉴权信息进行校验包括：所述鉴权服务基于所述业务请求信息中的请求业务参数、请求地址，与所述鉴权信息中的所述第三方应用的身份识别码，所述第三方应用生成所述第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式，按照所述预设规则生成的第二签名数据；所述鉴权服务判断所述第二签名数据与所述第一签名数据是否匹配；在匹配成功的情况下，所述鉴权服务继续判断所述第三方应用是否具有调用与所述请求地址对应的接口的权限；在判断结果为是的情况下，所述鉴权服务对所述鉴权信息校验通过。

可选地，所述鉴权服务根据所述业务请求信息向数据提供方请求数据包括：所述鉴权服务根据所述请求地址和所述请求方式向所述数据提供方发送所述请求业务参数以向所述数据提供方请求数据。

根据本发明的一个实施例，提供了一种数据鉴权的方法，包括：第三方应用向鉴权服务发送鉴权信息和业务请求信息；在所述鉴权服务对所述鉴权信息校验通过的情况下，所述第三方应用接收所述鉴权服务根据所述业务请求信息向数据提供方请求的数据。

可选地，所述业务请求信息至少包括：请求业务参数、请求地址、请求方式；所述鉴权信息至少包括：所述第三方应用的身份识别码，通过预设规则生成的第一签名数据，生成所述第一签名数据时的时间戳，用于指示生成所述第一签名数据的加密方式。

可选地，在第三方应用向鉴权服务发送鉴权信息和业务请求信息之前，所述方法还包括：所述第三方应用根据所述第三方应用的身份识别码、所述请求业务参数、请求地址、所述第三方应用生成所述第一签名数据时的时间戳以及用于指示生成所述第一签名数据的加密方式，按照所述预设规则生成的所述第一签名数据。