CN107634973A - 一种服务接口安全调用方法 - Google Patents
一种服务接口安全调用方法 Download PDFInfo
- Publication number
- CN107634973A CN107634973A CN201711043245.2A CN201711043245A CN107634973A CN 107634973 A CN107634973 A CN 107634973A CN 201711043245 A CN201711043245 A CN 201711043245A CN 107634973 A CN107634973 A CN 107634973A
- Authority
- CN
- China
- Prior art keywords
- service
- consumer
- isp
- certification
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种服务接口安全调用方法,包括服务消费者、服务提供者和认证中心,通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥,实现服务消费者在使用各个服务时由服务提供者调用认证接口,对消费者进行认证是否有权限使用。本发明的服务接口安全调用方法提供了一种解决服务接口被恶意使用和保证数据信息的安全机制,大大提高了服务接口调用的安全性。
Description
技术领域
本发明涉及计算机技术领域,更具体地说,涉及一种服务接口调用方法。
背景技术
随着各种服务接口的大量应用,对服务接口的安全管理越发重要;目前各服务接口的提供者对外发布的接口,所有消费者都能随时访问,缺乏服务的安全调用机制,因此服务接口容易被恶意使用,数据信息具有不安全性。目前较常用的是使用ESB管理所有服务,ESB是一个全新的符合SOA架构的应用服务整合平台,基于工业标准,用于构建可管理、可扩展及经济高效的EAI解决方案,其主要功能包括服务管理、消息路由、消息转换、协议中介、事件处理、数据安全协议和备份。ESB重要的功能就是处理消息,消息的传入和传出可以用到协议或格式中介;重量级消息格式,比较耗CPU,只具有基本的安全协议和服务维护。
发明内容
本发明要解决的技术问题在于,针对现有技术中服务接口调用安全性不高的缺陷,提供一种服务接口安全调用方法。
本发明解决其技术问题所采用的技术方案是:构造一种服务接口安全调用方法,包括服务消费者、服务提供者和认证中心,通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥,实现服务消费者在使用各个服务时由服务提供者调用认证接口,对消费者进行认证是否有权限使用。
在本发明所述的一种服务接口安全调用方法中,所述认证为静态授权码认证方式,包括以下步骤:
服务消费者向服务提供者发起服务请求;
服务提供者获取服务消费者的请求数据(publicKey、ip),并判断是否需要安全认证,若需要则向服务认证中心发起认证请求,将认证数据(publicKey、ip)发送给认证中心进行认证;若不需要,则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的认证数据(publicKey、ip),进行认证是否有权限访问服务接口,若认证成功返回服务提供者成功标识,服务提供者再进行业务逻辑处理并返回消费者;若认证失败返回服务提供者***失败标识,服务提供者直接返回消费者无权限访问该服务接口。
在本发明所述的一种服务接口安全调用方法中,所述认证为动态授权码认证方式,包括以下步骤:
服务消费者每次请求服务时需先将publicKey和IP送给认证中心的API获取ticket;
认证中心接收消费者的请求时获取请求数据publicKey,并通过程序获取消费者请求的IP地址;
认证中心根据获取的IP地址校验是否在***中存在并有效,若此IP的消费者有效,再判断此消费者请求的publicKey是否是认证***中授权的publicKey,若是则生成唯一授权码ticket并返回;若IP对应的消费者或publicKey不存在则返回错误消息“公钥无效”;
服务消费者若成功获取ticket,则请求服务时将ticket和IP发送给需要请求的服务***;
服务***获取服务消费者的请求数据并判断是否需要安全认证,若需要安全认证则向认证中心发起认证请求,将认证数据ticket发送给认证中心进行认证;若不需要安全认证则服务***直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的认证数据ticket,根据ticket进行认证是否有权限访问该服务,若认证成功则返回服务提供者成功标识,并将此ticket从认证***中删除,服务提供者再进行业务逻辑处理并返回消费者;若认证失败则返回服务***失败标识,服务提供者直接返回消费者无权限访问对应的服务。
在本发明所述的一种服务接口安全调用方法中,所述接口之间数据传输采用RSA非对称加密方式和https保证数据安全。
在本发明所述的一种服务接口安全调用方法中,所述非对称加密为SPA方式。
本发明的服务接口安全调用方法通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥;实现消费者在使用各个服务时由服务提供者调用认证接口对消费者进行认证是否有权限使用,相比于ESB方式处理消息,不仅对普通消息,对重量级消息也具有较好的安全防护方式;通过静态授权码认证方式,由认证中心生成消费者的唯一授权码公钥,消费者每次请求服务需要发送该公钥,服务提供者通过此公钥进行认证,认证方式简便认证速度快;采用动态授权码认证方式,消费者每次请求需到认证***生成消费者的唯一授权码,通过消费者根据公钥生成的授权码进行认证,安全级别比较高;接口之间数据传输采用RSA非对称加密方式和https保证了数据传输的安全性。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的服务接口安全调用方法静态授权码认证方式流程图;
图2是本发明的服务接口安全调用方法动态授权码认证方式流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
缩略语和关键术语定义
本发明的服务接口安全调用方法,包括服务消费者、服务提供者和认证中心,通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥,实现了服务消费者在使用各个服务时由服务提供者调用认证接口,对消费者进行认证是否有权限使用,该认证中心的配置相比于ESB管理方式对各种格式的消息处理,提高了服务接口调用的安全性以及数据的保密性。
本发明的认证方式分两种,静态授权码认证方式和动态授权码认证方式,参照图1,本发明的服务接口安全调用方法静态授权码认证方式,包括以下步骤:
流程开始,服务消费者向服务提供者发起服务请求;
服务提供者获取服务消费者的请求数据(publicKey、ip),并判断是否需要安全认证,若需要安全认证则向服务认证中心发起认证请求,将认证数据(publicKey、ip)发送给认证中心进行认证;若不需要安全认证,则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的认证数据(publicKey、ip),进行认证是否有权限访问服务接口,若认证成功返回服务提供者成功标识,服务提供者再进行业务逻辑处理并返回消费者;若认证失败返回服务提供者***失败标识,服务提供者直接返回消费者无权限访问该服务接口。至此,流程结束。
静态授权码认证方式是由认证中心生成的消费者唯一授权码公钥,消费者每次请求服务需要发送该公钥,服务提供者通过此公钥进行认证,该方式简便安全、认证速度快。
进一步地,参照图2,本发明的动态授权码认证方式,包括以下步骤:
流程开始,服务消费者每次请求服务时需先将publicKey和IP送给认证中心的API获取ticket;
认证中心接收消费者的请求时获取请求数据publicKey,并通过程序获取消费者请求的IP地址;
认证中心根据获取的IP地址校验是否在***中存在并有效,若此IP的消费者有效,再判断此消费者请求的publicKey是否是认证***中授权的publicKey,若是则生成唯一授权码ticket并返回;若IP对应的消费者或publicKey不存在则返回错误消息“公钥无效”;
服务消费者若成功获取ticket,则请求服务时将ticket和IP发送给需要请求的服务***;
服务***获取服务消费者的请求数据并判断是否需要安全认证,若需要安全认证则向认证中心发起认证请求,将认证数据ticket发送给认证中心进行认证;若不需要安全认证则服务***直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息。
认证中心收到服务提供者的认证请求时,获取服务提供者发送的认证数据ticket,根据ticket进行认证是否有权限访问该服务,若认证成功则返回服务提供者成功标识,并将此ticket从认证***中删除,服务提供者再进行业务逻辑处理并返回消费者;若认证失败则返回服务***失败标识,服务提供者直接返回消费者无权限访问对应的服务。
动态授权码认证方式是消费者每次请求需到认证***生成消费者的唯一授权码,通过消费者根据公钥生成的授权码进行认证,采用此方式提高了安全级别。
进一步地,所述接口之间数据传输采用RSA非对称加密方式和https,相比于对称加密方式,RSA非对称加密方式和https,更好的保证了数据安全。
尽管通过以上实施例对本发明进行了揭示,但本发明的保护范围并不局限于此,在不偏离本发明构思的条件下,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种服务接口安全调用方法,其特征在于,包括服务消费者、服务提供者和认证中心,通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥,实现服务消费者在使用各个服务时由服务提供者调用认证接口,对消费者进行认证是否有权限使用。
2.根据权利要求1所述的服务接口安全调用方法,其特征在于,所述认证为静态授权码认证方式,包括以下步骤:
服务消费者向服务提供者发起服务请求;
服务提供者获取服务消费者的请求数据(publicKey、ip),并判断是否需要安全认证,若需要则向服务认证中心发起认证请求,将认证数据(publicKey、ip)发送给认证中心进行认证;若不需要,则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的认证数据(publicKey、ip),进行认证是否有权限访问服务接口,若认证成功返回服务提供者成功标识,服务提供者再进行业务逻辑处理并返回消费者;若认证失败返回服务提供者***失败标识,服务提供者直接返回消费者无权限访问该服务接口。
3.根据权利要求1所述的服务接口安全调用方法,其特征在于,所述认证为动态授权码认证方式,包括以下步骤:
服务消费者每次请求服务时需先将publicKey和IP送给认证中心的API获取ticket;
认证中心接收消费者的请求时获取请求数据publicKey,并通过程序获取消费者请求的IP地址;
认证中心根据获取的IP地址校验是否在***中存在并有效,若此IP的消费者有效,再判断此消费者请求的publicKey是否是认证***中授权的publicKey,若是则生成唯一授权码ticket并返回;若IP对应的消费者或publicKey不存在则返回错误消息“公钥无效”;
服务消费者若成功获取ticket,则请求服务时将ticket和IP发送给需要请求的服务***;
服务***获取服务消费者的请求数据并判断是否需要安全认证,若需要安全认证则向认证中心发起认证请求,将认证数据ticket发送给认证中心进行认证;若不需要安全认证则服务***直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息;
认证中心收到服务提供者的认证请求时,获取服务提供者发送的认证数据ticket,根据ticket进行认证是否有权限访问该服务,若认证成功则返回服务提供者成功标识,并将此ticket从认证***中删除,服务提供者再进行业务逻辑处理并返回消费者;若认证失败则返回服务***失败标识,服务提供者直接返回消费者无权限访问对应的服务。
4.根据权利要求1至3任一项所述的服务接口安全调用方法,其特征在于,所述接口之间数据传输采用RSA非对称加密方式和https保证数据安全。
5.根据权利要求4所述的服务接口安全调用方法,其特征在于,所述非对称加密为SPA方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711043245.2A CN107634973B (zh) | 2017-10-31 | 2017-10-31 | 一种服务接口安全调用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711043245.2A CN107634973B (zh) | 2017-10-31 | 2017-10-31 | 一种服务接口安全调用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107634973A true CN107634973A (zh) | 2018-01-26 |
| CN107634973B CN107634973B (zh) | 2020-11-20 |
Family
ID=61107204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711043245.2A Active CN107634973B (zh) | 2017-10-31 | 2017-10-31 | 一种服务接口安全调用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107634973B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108512845A (zh) * | 2018-03-30 | 2018-09-07 | 广州视源电子科技股份有限公司 | 接口调用的校验方法及装置 |
| CN109492358A (zh) * | 2018-09-25 | 2019-03-19 | 国网浙江省电力有限公司信息通信分公司 | 一种开放接口统一认证方法 |
| CN109788040A (zh) * | 2018-12-27 | 2019-05-21 | 北京航天智造科技发展有限公司 | 微服务授权与调度方法和*** |
| CN114760133A (zh) * | 2022-04-15 | 2022-07-15 | 中国电信股份有限公司 | RESTful接口认证方法、装置、***、设备及介质 |
| CN115065717A (zh) * | 2022-05-24 | 2022-09-16 | 中原银行股份有限公司 | 一种微服务调用处理方法及处理装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035838A (zh) * | 2010-12-07 | 2011-04-27 | 中国科学院软件研究所 | 一种基于平台身份的信任服务连接方法与信任服务*** |
| CN104601328A (zh) * | 2014-12-18 | 2015-05-06 | 中电科华云信息技术有限公司 | 组件安全调用***及调用方法 |
| CN104660583A (zh) * | 2014-12-29 | 2015-05-27 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理***及方法 |
| US20170237740A1 (en) * | 2015-01-06 | 2017-08-17 | Shoretel, Inc. | Distributed authentication |
| CN107147496A (zh) * | 2017-04-28 | 2017-09-08 | 广东网金控股股份有限公司 | 一种面向服务技术框架下不同应用间统一授权认证的方法 |
-
2017
- 2017-10-31 CN CN201711043245.2A patent/CN107634973B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035838A (zh) * | 2010-12-07 | 2011-04-27 | 中国科学院软件研究所 | 一种基于平台身份的信任服务连接方法与信任服务*** |
| CN104601328A (zh) * | 2014-12-18 | 2015-05-06 | 中电科华云信息技术有限公司 | 组件安全调用***及调用方法 |
| CN104660583A (zh) * | 2014-12-29 | 2015-05-27 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
| US20170237740A1 (en) * | 2015-01-06 | 2017-08-17 | Shoretel, Inc. | Distributed authentication |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理***及方法 |
| CN107147496A (zh) * | 2017-04-28 | 2017-09-08 | 广东网金控股股份有限公司 | 一种面向服务技术框架下不同应用间统一授权认证的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108512845A (zh) * | 2018-03-30 | 2018-09-07 | 广州视源电子科技股份有限公司 | 接口调用的校验方法及装置 |
| CN109492358A (zh) * | 2018-09-25 | 2019-03-19 | 国网浙江省电力有限公司信息通信分公司 | 一种开放接口统一认证方法 |
| CN109788040A (zh) * | 2018-12-27 | 2019-05-21 | 北京航天智造科技发展有限公司 | 微服务授权与调度方法和*** |
| CN114760133A (zh) * | 2022-04-15 | 2022-07-15 | 中国电信股份有限公司 | RESTful接口认证方法、装置、***、设备及介质 |
| CN114760133B (zh) * | 2022-04-15 | 2023-10-03 | 中国电信股份有限公司 | RESTful接口认证方法、装置、***、设备及介质 |
| CN115065717A (zh) * | 2022-05-24 | 2022-09-16 | 中原银行股份有限公司 | 一种微服务调用处理方法及处理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107634973B (zh) | 2020-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107634973A (zh) | 一种服务接口安全调用方法 | |
| US10205712B2 (en) | Sentinel appliance in an internet of things realm | |
| CN104580184B (zh) | 互信应用***间身份认证方法 | |
| CN106452772B (zh) | 终端认证方法和装置 | |
| KR102315794B1 (ko) | 계정에 연결하고 서비스 프로세스를 제공하기 위한 방법 및 디바이스 | |
| WO2015101310A1 (zh) | 一种业务处理方法、装置及*** | |
| CN106453361B (zh) | 一种网络信息的安全保护方法及*** | |
| KR20160032665A (ko) | 안전한 전자 거래를 위한 네트워크 인증 방법 | |
| EP2391083A1 (en) | Method for realizing authentication center and authentication system | |
| EP3016348A2 (en) | Trusted device control messages | |
| CN114760114B (zh) | 身份认证方法、装置、设备及介质 | |
| US11677547B1 (en) | Mobile authenticator for performing a role in user authentication | |
| CN112446050B (zh) | 应用于区块链***的业务数据处理方法及装置 | |
| JP2020106927A (ja) | 情報処理システム、情報処理プログラム、情報処理方法及び情報処理装置 | |
| CN106453313A (zh) | 基于云计算平台的虚拟机安全验证***及方法 | |
| JP2006004314A (ja) | 信用確立方法と信用に基づいたサービス制御システム | |
| CN114172923A (zh) | 数据传输方法、通信***及通信装置 | |
| WO2017114914A1 (en) | Peer-to-peer transaction authorization | |
| JP4009273B2 (ja) | 通信方法 | |
| KR20130048532A (ko) | 차세대 금융 거래 시스템 | |
| CN106327271A (zh) | 一种生鲜供需信息查询*** | |
| CN106534047A (zh) | 一种基于Trust应用的信息传输方法及装置 | |
| JP2009239496A (ja) | 鍵暗号方式を用いたデータ通信方法、データ通信プログラム、データ通信プログラム記憶媒体、データ通信システム | |
| CN109598114A (zh) | 跨平台统一用户账户管理方法及*** | |
| CN114760138B (zh) | 基于云架构下的视频会议***安全方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 518000 4001, Block D, Building 1, Chuangzhi Yuncheng Lot 1, Liuxian Avenue, Xili Community, Xili Street, Nanshan District, Shenzhen, Guangdong Patentee after: Shenzhen Zhuyun Technology Co.,Ltd. Address before: 518000 East, 3rd floor, incubation building, China Academy of science and technology, 009 Gaoxin South 1st Road, Nanshan District, Shenzhen City, Guangdong Province Patentee before: SHENZHEN BAMBOOCLOUD TECHNOLOGY CO.,LTD. |