[发明专利]一种基于动态令牌方式的混合数据验证访问控制方法

权利要求书

1.一种基于动态令牌方式的混合数据验证访问控制方法，其特征在于,包括如下步骤：

第三方客户端在服务端注册，服务端给第三方客户端分配对应的应用代码appId、应用加密秘钥secretKey，作为身份识别标志；

服务端每隔设定时间给注册的第三方客户端发送访问许可码license，访问许可码license只在设定时间内有效；

第三方客户端利用获取到的访问许可码license以及应用代码appId、应用加密秘钥secretKey获取访问令牌accesstoken；

第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口，获取数据。

2.根据权利要求1所述的一种基于动态令牌方式的混合数据验证访问控制方法，其特征在于，访问许可码license使用如下方法生成：

license＝BASE64编码(MD5(当前时间+随机数))。

3.根据权利要求1所述的一种基于动态令牌方式的混合数据验证访问控制方法，其特征在于，访问令牌accesstoken的数据格式为：

{

jti:JohnDoe,唯一身份标识

exp:1234567890,过期时间

'alg':'HS256'加密算法

}。

4.根据权利要求1所述的一种基于动态令牌方式的混合数据验证访问控制方法，其特征在于，第三方客户端在规定时间内使用访问令牌accesstoken访问服务端接口之前，需要对请求参数进行签名验证，将参数名和参数值进行拼接得到参数字符串，随后将应用加密秘钥secretKey加在参数字符串的头部，并进行MD5加密,加密后的字符串需大写，即得到签名。

5.根据权利要求4所述的一种基于动态令牌方式的混合数据验证访问控制方法，其特征在于，对请求参数进行签名验证过程中，签名方式具体为：

按照请求参数名称将所有请求参数按照字母先后顺序排序得到：key/value/key/value...key/value字符串。

6.根据权利要求4所述的一种基于动态令牌方式的混合数据验证访问控制方法，其特征在于，所述请求参数中包含时间戳，时间戳作为请求参数之一，也进行MD5加密，保证每次请求只能使用一次。

7.根据权利要求6所述的一种基于动态令牌方式的混合数据验证访问控制方法，其特征在于，每次请求的时间戳都会写入到redis中，设置超时时间，如果请求的时间戳在redis中已经存在，则此请求丢弃。

8.根据权利要求1所述的一种基于动态令牌方式的混合数据验证访问控制方法，其特征在于，第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口，获取数据，这一过程中，

每次使用获得的访问令牌accesstoken访问服务端接口时，先检查访问令牌accesstoken是否过期，然后才能访问服务端接口；

如果访问令牌accesstoken过期，则可以刷新访问令牌accesstoken，如果刷新成功，则可以继续访问服务端接口获取数据，同时，访问令牌accesstoken的有效时间得到延长。