CN114158047B - 一键登录业务的实现方法和装置 - Google Patents

Abstract

本说明书实施例提供了一键登录业务的实现方法和装置。在该方法中，生成公私钥对；将公私钥对中的公钥携带在登录请求中发送给应用服务器；接收应用服务器下发的预登录界面；获取运营商服务器下发的令牌token；利用公私钥对中的私钥生成签名信息，将token以及签名信息发送给应用服务器；如果接收到应用服务器发来的登录授权，则一键登录成功。本说明书实施例能够提高一键登录业务的安全性，可以避免用户隐私数据的泄露。

Description

一键登录业务的实现方法和装置

技术领域

本说明书一个或多个实施例涉及网络信息技术，尤其涉及一键登录业务的实现方法和装置。

背景技术

随着网络的快速发展，基于网络产生了各种各样的业务应用。用户只需要在终端设备中下载相应业务应用的应用客户端即应用程序(APP)，通过应用客户端注册并登录，就可以享受相应的业务应用，比如，看电影或者购买商品等。

为了方便用户的使用，目前出现了一种新的登录APP的方法，即一键登录方法。在一键登录方法中，应用客户端，通常为手机，会预先嵌入认证SDK，用户请求登录时，通过该SDK与运营商服务器通信以便采集用户手机号码，在获得用户同意授权后，应用客户端获得接口调用的令牌(token)，将token传递给应用服务器，应用服务器利用token获取当前授权用户的手机号码等信息，从而完成了APP的登录。

参见图1，在一键登录业务中，用户只需要点击相关的“一键登录”的按键，而无需输入手机号码、用户名、密码以及短信验证码等，因此，可以让用户更方便、快捷地完成注册、登录流程，将原本可能需要20秒左右的流程，缩短到了2秒左右，为用户使用带来了很大的方便。

但是，目前的一键登录业务的安全性相对较低，这样就容易造成用户隐私数据的泄露，因此需要一种更为安全的一键登录业务的实现方法。

发明内容

本说明书一个或多个实施例描述了一键登录业务的实现方法和装置，能够提高一键登录业务的安全性。

根据第一方面，提供了一键登录业务的实现方法，其中包括：

生成公私钥对；将公私钥对中的公钥发送给应用服务器；接收应用服务器下发的预登录界面；获取运营商服务器下发的令牌token；利用公私钥对中的私钥生成签名信息，将token以及签名信息发送给应用服务器；如果接收到应用服务器发来的登录授权，则一键登录成功。

在所述接收应用服务器下发的预登录界面之后，并在所述获取运营商服务器下发的令牌token之前，进一步包括：

将公私钥对中的公钥携带在校验请求中发送给运营商服务器。

其中，所述校验请求包括如下中的至少一个请求：

携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求；

携带APP ID、所述公钥及时间戳的手机身份校验请求；

携带APP ID及所述公钥的新定义的校验请求。

其中，当所述校验请求包括携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求时，

在将所述校验请求发送给运营商服务器之后，并在获取运营商服务器下发的token之前，进一步包括：

接收运营商服务器发来的利用公钥加密后的对称密钥；

利用公私钥对中的私钥解密出对称密钥；以及

使用对称密钥对手机身份校验请求进行加密，然后将加密后的手机身份校验请求发送给运营商服务器，以使运营商服务器对应用客户端所在的终端设备进行身份校验；

相应地，所述获取运营商服务器下发的token，包括：

利用对称密钥对运营商服务器发来的加密后的token进行解密，得到token。

所述将公私钥对中的公钥发送给应用服务器，包括：将公私钥对中的公钥携带在登录请求中发送给应用服务器；和/或，

所述利用公私钥对中的私钥生成签名信息包括：利用公私钥对中的私钥对应用客户端所在的终端设备的指纹信息进行签名，得到签名信息。

根据第二方面，提供了一键登录业务的实现方法，其中包括：

接收应用客户端发来的公私钥对中的公钥；

向应用客户端下发预登录界面；

接收应用客户端发来的token及签名信息；

利用获取的所述公钥验证所述签名信息的合法性，

如果合法，则将接收到的token携带在号码获取请求中发送给运营商服务器；

接收运营商服务器发来的应用客户端所在的终端设备的手机号；

根据该手机号向应用客户端进行登录授权。

其中，所述签名信息包括：被所述私钥签名的应用客户端所在的终端设备的指纹信息。

所述接收应用客户端发来的公私钥对中的公钥，包括：接收应用客户端发来的携带所述公钥的登录请求，从该登录请求中得到所述公钥；

和/或，

在所述利用获取的所述公钥验证所述签名信息的合法性时，进一步包括：如果不合法，则向所述应用客户端发送登录失败通知，结束当前流程。

所述将接收到的token携带在号码获取请求中发送给运营商服务器，进一步包括：

将所述签名信息携带在所述号码获取请求中发送给运营商服务器。

根据第三方面，提供了一键登录业务的实现方法，其中包括：

接收应用客户端发来的校验请求，从该校验请求中获取应用客户端生成的公私钥对中的公钥；

向所述应用客户端下发令牌token；

接收应用服务器发来的携带token及签名信息的号码获取请求；其中，签名信息是被所述公私钥对中的私钥签名后的信息；所述号码获取请求是由所述应用服务器利用获取的公钥验证出所述签名信息合法之后发给运营商服务器的；

利用所述公钥验证所述号码获取请求中的所述签名信息的合法性，如果合法，则根据所述号码获取请求中携带的token获取应用客户端所在的终端设备的手机号，并发送给所述应用服务器，如果不相同，则拒绝将该终端设备的手机号发送给所述应用服务器。

所述校验请求包括如下中的至少一个请求：

携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求；

携带APP ID、所述公钥及时间戳的手机身份校验请求；

携带APP ID及所述公钥的新定义的校验请求。

其中，当所述校验请求包括携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求时，

在所述获取了应用客户端生成的公私钥对中的公钥之后，并在所述向所述应用客户端下发令牌token之前，进一步包括：

生成对称密钥；

利用所述公钥对该对称密钥进行加密后发送给应用客户端；

接收应用客户端发来的使用对称密钥加密的手机身份校验请求；以及

使用对称密钥解密该手机身份校验请求，并根据手机身份校验请求进行身份验证，在身份验证成功后执行所述向所述应用客户端下发令牌token的步骤；

相应地，所述向所述应用客户端下发令牌token，包括：利用对称密钥对token进行加密，并向所述应用客户端下发加密后的token。

根据第四方面，提供了一键登录业务的实现装置，包括：

公私钥生成模块，配置为生成公私钥对；

预登录处理模块，将公私钥对中的公钥发送给应用服务器；接收应用服务器下发的预登录界面；

token获取模块，配置为获取运营商服务器下发的token；

签名处理模块，配置为利用公私钥对中的私钥生成签名信息，将token以及签名信息发送给应用服务器；

登录执行模块，配置为如果接收到应用服务器发来的登录授权，则一键登录成功。

根据第五方面，提供了一键登录业务的实现装置，包括：

预登录授权模块，配置为接收应用客户端发来的公私钥对中的公钥，向应用客户端下发预登录界面；

网络因子获取模块，配置为接收应用客户端发来的token以及签名信息；

号码获取模块，配置为利用获取的所述公钥验证所述签名信息的合法性，如果合法，则将接收到的token携带在号码获取请求中发送给运营商服务器；

授权执行模块，配置为在接收到运营商服务器发来的应用客户端所在的终端设备的手机号时，则根据该手机号进行登录授权处理。

根据第六方面，提供了一键登录业务的实现装置，包括：

公钥获取模块，配置为接收应用客户端发来的校验请求，从该校验请求中获取应用客户端生成的公私钥对中的公钥；

token下发模块，配置为向所述应用客户端下发令牌token；

签名信息获取模块，配置为接收应用服务器发来的携带token及签名信息的号码获取请求；其中，签名信息是被所述公私钥对中的私钥签名后的信息；所述号码获取请求是由所述应用服务器利用获取的公钥验证出所述签名信息合法之后发给运营商服务器的；

登录授权处理模块，配置为利用所述公钥验证所述号码获取请求中的所述签名信息的合法性，如果合法，则根据所述号码获取请求中携带的token获取应用客户端所在的终端设备的手机号，并发送给所述应用服务器，如果不相同，则拒绝将该终端设备的手机号发送给所述应用服务器。

根据第七方面，提供了一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现本说明书任一实施例所述的方法。

本说明书实施例提供的一键登录业务的实现方法及装置避免了应用服务器为攻击者的终端设备提供对应的应用服务，提高了安全性。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是一键登录业务的一种操作示意图。

图2是本说明书一个实施例所应用的***架构的示意图。

图3是本说明书一个实施例在应用客户端中实现一键登录业务的方法的流程图。

图4是本说明书一个实施例在应用服务器中实现一键登录业务的方法的流程图。

图5是本说明书一个实施例在运营商服务器中实现一键登录业务的方法的流程图。

图6是本说明书一个实施例中运营商服务器、应用客户端及应用服务器配合实现一键登录业务的方法的流程图。

图7是本说明书一个实施例中一键登录业务的装置的结构示意图。

图8是本说明书另一个实施例中一键登录业务的装置的结构示意图。

图9是本说明书又一个实施例中一键登录业务的装置的结构示意图。

具体实施方式

下面结合附图，对本说明书提供的方案进行描述。

为了方便对本说明书提供的方法进行理解，首先对本说明书所涉及和适用的***架构进行描述。如图2中所示，该***架构中主要包括三个网络节点：应用客户端、应用服务器和运营商服务器。

其中，应用客户端安装并运行于终端设备中，终端设备可以包括但不限于诸如：智能移动终端、智能家居设备、网络设备、可穿戴式设备、智能医疗设备、PC(个人计算机)等。其中智能移动终端可以包括诸如手机、平板电脑、笔记本电脑、PDA(个人数字助理)、互联网汽车等。智能家居设备可以包括智能家电设备，诸如智能电视、智能空调、智能热水器、智能冰箱、智能空气净化器等等，智能家居设备还可以包括智能门锁、智能插座、智能电灯、智能摄像头等。网络设备可以包括诸如交换机、无线AP、服务器等。可穿戴式设备可以包括诸如智能手表、智能眼镜、智能手环、虚拟现实设备、增强现实设备、混合现实设备(即可以支持虚拟现实和增强现实的设备)等等。智能医疗设备可以包括诸如智能体温计、智能血压仪、智能血糖仪等等。

应用客户端可以是各种类型的应用，包括但不限于诸如支付类应用、多媒体播放类应用、地图类应用、文本编辑类应用、金融类应用、浏览器类应用、即时通信类应用等等。

运营商服务器指的是提供网络服务的供应商的服务端设备，可以是单一服务器，也可以是多个服务器构成的服务器群组。运营商服务器负责为各类应用提供网络服务，例如安全认证、提供一键登录的手机号等。

应用服务器是一种具体应用的服务器，专门为应用客户端提供对应的应用服务，比如对于支付宝这种应用客户端，应用服务器则是提供支付宝业务的服务器。

应该理解，图2中的应用客户端、应用服务器、运营商服务器的数目仅仅是示意性的。根据实现需要，可以选择和布设任意数目。

参见图2，应用客户端、应用服务器以及运营商服务器通过网络交互。其中，网络可以包括各种连接类型，例如有线、无线通信链路或光纤电缆等。

因为本说明书提供的一键登录业务的实现方法涉及到图2中所示的3种网络节点，因此，下面通过不同的实施例分别说明运营商服务器、应用客户端以及应用服务器在一键登录业务中的处理。

首先，说明应用客户端在一键登录业务中的处理。

图3是本说明书一个实施例在应用客户端中实现一键登录业务的方法的流程图。参见图3，该方法包括：

步骤301：应用客户端生成公私钥对。

步骤303：应用客户端将公私钥对中的公钥发送给应用服务器。

步骤305：应用客户端接收应用服务器下发的预登录界面，进行登录。

步骤307：应用客户端获取运营商服务器下发的令牌token。

步骤309：应用客户端利用公私钥对中的私钥生成签名信息，将token以及签名信息发送给应用服务器。

步骤311：应用客户端如果接收到应用服务器发来的登录授权，则一键登录成功。

在现有的一键登录业务中，会出现诸如如下情况：一个攻击者利用自己的终端设备X盗取了下发给应用客户端的token，之后，攻击者通过终端设备X仿冒该应用客户端所在的终端设备Y向应用服务器发送token，因为所利用的token正确，应用服务器可以从运营商服务器处拿到应用客户端所在的终端设备Y的手机号，从而导致应用服务器误认为发来token的终端设备X就是应用客户端所在的终端设备Y，即认为攻击者就是应用客户端的合法用户，从而向攻击者提供对应的应用服务，比如播放该合法用户才有权限观看的视频资料或者完成转账等，从而对用户的使用带来了安全问题，并可能会造成用户隐私数据的泄露。

而根据上述图3所示的过程可以看出，在向应用服务器发送token之前，应用客户端会将生成的公钥发送给应用服务器，当需要发送token时，应用客户端会将私钥签名后的签名信息连同token一起发送给应用服务器，这样，就使得应用服务器分两次从应用客户端所在的终端设备处获取了公钥及私钥签名的签名信息。如果获取到的公钥能够验证出签名信息的合法性，应用服务器就可以认为获取到的公钥以及签名信息使用的私钥组成了同一个终端设备记为终端设备Y产生的公私钥对，也就是说，当前与应用服务器进行一键登录业务的终端设备(即向应用服务器发送token的终端设备)是合法用户使用的终端设备Y，下发的token没有被攻击者盗取，没有发生攻击行为，因此应用服务器可以执行后续的正常处理，从运营商服务器处获取应用客户端所在的终端设备Y的手机号码，从而使得应用服务器为其当前连接的终端设备Y提供对应的应用服务；相反，如果获取到的公钥不能够验证出签名信息的合法性，应用服务器就可以认为自己获取到的公钥以及签名信息使用的私钥不是同一个终端设备记为终端设备Y产生的公私钥对，也就是说，当前与应用服务器进行一键登录业务的终端设备(即向应用服务器发送token的终端设备)不是合法用户使用的终端设备Y，而是一个盗取了token的攻击者使用的终端设备X，已经发生了攻击行为，因此应用服务器不会向运营商服务器发送号码获取请求，不会让运营商服务器提供应用客户端所在的终端设备Y的手机号码，从而使得应用服务器不会为其当前连接的攻击者的终端设备X提供对应的应用服务。可见，本说明书实施例的方法避免了应用服务器为攻击者的终端设备提供应用客户端对应的应用服务，提高了安全性。

下面结合具体的实施例、运营商服务器的处理及应用服务器的处理，对图3所示的应用客户端的处理过程进行说明。

首先对于步骤301：

应用客户端生成公私钥对。

应用客户端即安装在终端设备中的应用程序(APP)。这里，应用客户端可以是在向应用服务器发送登录请求之前，生成公私钥对。

接下来对于步骤303：

应用客户端将公私钥对中的公钥发送给应用服务器。

本步骤303中，应用客户端可以将公钥携带在新定义的消息中发送给应用服务器。

在一键登录业中，应用客户端会向应用服务器发送登录请求，从而触发应用服务器进行登录预授权的处理。为了进一步简化实现方式，在本步骤303中，应用客户端也可以将公钥携带在已有的登录请求中发送给应用服务器。

应用客户端与应用服务器之间可以设置有专有链路，因此可以通过该专有链路而不是公网发送携带公钥的登录请求。

执行完步骤303之后，应用服务器则可以接收到应用客户端发来的公钥。在应用服务器接收到应用客户端发来的登录请求后，进行登录预授权，包括通过专有链路向该应用客户端发送预登录界面。

接下来，对于步骤305：

应用客户端接收应用服务器下发的预登录界面。

至此，应用客户端与应用服务器之间的预登录处理完成，应用客户端通过该预登录处理过程使得应用服务器获取了应用客户端产生的公私钥对中的公钥，以便后续应用服务器能够对一键登录业务进行验证。

接下来，对于步骤307：

应用客户端获取运营商服务器下发的令牌token。

使得应用客户端获取运营商服务器下发的令牌token的方式至少包括如下两种：

方式一、运营商服务器无需获取公钥，从而无需进一步验证一键登录业务的合法性。

在该方式一下，通过如下描述的步骤307A1至步骤307A7的各处理使得应用客户端获取运营商服务器下发的令牌token，具体包括：

步骤307A1：应用客户端向运营商服务器发送携带应用标识(APP ID)、应用签名(APP sign)、密钥标识符(KEY ID)以及时间戳的登录验证请求。

这里，应用客户端可以通过https链路向运营商服务发送登录验证请求。其中，https链路是一种加密链路，通过该https链路发送登录验证请求可以进一步提高安全性。

此后，运营商服务器根据接收到的登录验证请求对应用客户端的身份进行认证，认证成功后会生成一个会话密钥key，然后通过https链路下发给应用客户端。

这里，key是一个对称密钥。

步骤307A3：应用客户端接收对称密钥key。

步骤307A5：应用客户端生成携带APP ID、所在的终端设备的IP地址和时间戳的手机身份校验请求，用对称密钥key加密后，发送给运营商服务器。

这里，手机身份校验请求中携带的IP地址可以包括IPv4地址以及IPv6地址。

此后，运营商服务器利用key解密手机身份校验请求，进行身份验证，在身份验证成功后，利用对称密钥key加密token，并向应用客户端下发加密后的token。

步骤307A7：应用客户端接收到运营商服务器发来的加密后的token，利用对称密钥解密出token。

方式二、运营商服务器也需要获取公钥，从而由运营商服务器进一步验证一键登录业务的合法性。

在该方式二中，在步骤305(即应用客户端接收应用服务器下发的预登录界面)之后，并在步骤307(即应用客户端获取运营商服务器下发的令牌token)之前，进一步包括：应用客户端将公私钥对中的公钥携带在校验请求中发送给运营商服务器，使得运营商服务器也获取了公钥，也能进行后续的验证工作。

在本说明书实施例中，应用客户端发送的携带公钥的校验请求可以包括如下中的至少一个请求：

校验请求1：携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求；

校验请求2：携带APP ID、所述公钥及时间戳的手机身份校验请求；

校验请求3：携带APP ID及所述公钥的新定义的校验请求。

在该方式二下，当应用客户端通过校验请求1即携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求，来将公钥发送给运营商服务器时，在本说明书一个实施例中通过如下描述的步骤307B1至步骤307B7的各处理使得应用客户端获取运营商服务器下发的令牌token，具体包括：

步骤307B1：应用客户端向运营商服务器发送携带应用标识(APP ID)、应用签名(APP sign)，密钥标识符(KEY ID)、时间戳以及公钥的登录验证请求。

这里，应用客户端可以通过https链路向运营商服务发送登录验证请求。其中，https链路是一种加密链路，通过该https链路发送登录验证请求可以进一步提高安全性。

此后，运营商服务器从登录验证请求中获取公钥。

运营商服务器根据接收到的登录验证请求对应用客户端的身份进行认证，认证成功后会生成一个会话密钥key，key是一个对称密钥。运营商服务器利用公钥对该key进行加密，将加密后的对称密钥下发给应用客户端。

步骤307B3：应用客户端接收加密后的对称密钥key，利用私钥对该对称密钥key解密，获得对称密钥key。

步骤307B5：应用客户端生成携带APP ID、所在的终端设备的IP地址、时间戳以及公钥的手机身份校验请求，用对称密钥key加密后发送给运营商服务器。

此后，运营商服务器利用key解密手机身份校验请求，进行身份验证，在身份验证成功后，利用对称密钥key加密token，并向应用客户端下发加密后的token。

步骤307B7：应用客户端接收到运营商服务器发来的加密后的token，利用对称密钥解密出token。

接下来对于步骤309：应用客户端利用公私钥对中的私钥生成签名信息，将token以及签名信息发送给应用服务器。

本步骤309中生成签名信息的一种实现过程包括：应用客户端利用公私钥对中的私钥对其所在的终端设备的设备指纹信息进行签名，得到签名信息。因为每一个终端设备的指纹信息不同，因此，对设备指纹信息进行签名能够进一步提高安全性。

应用客户端的终端设备会显示诸如图1所示的掩码形式的手机号一键登录的页面，应用客户端的用户确认使用一键登录功能后，应用客户端会将一键登录确认请求发送给应用服务器。因此，本步骤309中，应用客户端可以将token以及签名信息携带在该一键登录确认请求中发送给应用服务器。

执行完步骤309之后，会由应用服务器与运营商服务器配合执行如下步骤30101至步骤301015的处理：

步骤30101：应用服务器接收到应用客户端发来的token及签名信息。

如果token未被攻击者盗取，那么步骤30101中向应用服务器发送token的终端设备与步骤303中向应用服务器发送公钥的终端设备就是同一个终端设备，比如记为终端设备Y，那么，应用服务器接收到的签名信息就是与该终端设备Y相关的签名信息。

相反，如果token被攻击者盗取，那么步骤30101中向应用服务器发送token的终端设备与步骤303中向应用服务器发送公钥的终端设备Y就不是同一个终端设备，比如向应用服务器发送token的终端设备记为终端设备X，那么，应用服务器就无法接收到终端设备Y相关的签名信息，比如接收到的是与该终端设备X相关的签名信息。

步骤30103：应用服务器利用获取的所述公钥验证签名信息的合法性，如果合法，执行步骤303105，如果不合法，则向所述应用客户端发送登录失败通知，结束当前一键登录业务的流程。

步骤30105：应用服务器将接收到的token携带在号码获取请求中，并将该号码获取请求发送给运营商服务器。

这里，如果采用上述方式二，即运营商服务器也需要获取公钥，从而进一步验证一键登录业务的合法性，那么在本步骤30105中，应用服务器进一步会将接收到的签名信息也携带在号码获取请求中发送给运营商服务器。下述步骤30107至步骤301015中以运营商服务器也需要验证一键登录为例说明运营商服务器的处理。

本步骤中，应用服务器可以通过https链路将所述号码获取请求发送给运营商服务器。

步骤30107：运营商服务器接收应用服务器发来的携带token及签名信息的号码获取请求；其中，签名信息是被所述公私钥对中的私钥签名后的信息。

步骤30109：运营商服务器利用公钥验证号码获取请求中的签名信息的合法性，如果合法，则执行步骤301011，否则执行步骤301013。

步骤301011：运营商服务器根据所述号码获取请求中携带的token获取应用客户端所在的终端设备的手机号，并发送给所述应用服务器。

步骤301013：运营商服务器拒绝将该终端设备的手机号发送给所述应用服务器，结束当前一键登录业务的流程。

步骤301015：应用服务器如果接收到运营商服务器发来的应用客户端所在的终端设备的手机号，则根据该手机号进行登录授权处理。

接下来对于步骤311：

应用客户端如果接收到应用服务器发来的登录授权，则一键登录成功，如果未接收到应用服务器发来的登录授权，则一键登录失败。

下面，说明应用服务器在一键登录业务中的处理。

图4是本说明书一个实施例在应用客户端中实现一键登录业务的方法的流程图。参见图4，该方法包括：

步骤401：应用服务器接收应用客户端发来的公私钥对中的公钥。

本步骤401的说明可以参见上述对步骤303的所有相关说明。

步骤403：应用服务器向应用客户端下发预登录界面。

本步骤403之后，应用客户端与运营商服务器会配合执行一系列处理，使得应用客户端获得token，该使得应用客户端获得token的过程可以参见上述对步骤307的所有相关说明。

步骤405：应用服务器接收应用客户端发来的token及签名信息。

本步骤405的说明可以参见上述步骤309的相关说明。

步骤407：应用服务器利用获取的所述公钥验证所述签名信息的合法性，如果合法，执行步骤409，否则，执行步骤411。

步骤409：应用服务器将接收到的token携带在号码获取请求中发送给运营商服务器。

这里，如果采用上述方式二，即运营商服务器也需要获取公钥，从而进一步验证一键登录业务的合法性，那么在本步骤409中，应用服务器进一步会将接收到的签名信息也携带在号码获取请求中发送给运营商服务器。

本步骤409中，应用服务器可以通过https链路将所述号码获取请求发送给运营商服务器。

在步骤409之后，运营商服务器会执行诸如根据号码获取请求中携带的token获取应用客户端所在的终端设备的手机号码，并将该手机号码发送给应用服务器的处理。当本说明书实施例中采用上述方式二，即运营商服务器也需要验证合法性时，此时运营商服务器的处理可以参见上述步骤30107直至步骤301011或步骤301013的相关描述。

步骤411：应用服务器向应用客户端发送登录失败通知，结束当前流程。

步骤413：应用服务器如果接收到运营商服务器发来的应用客户端所在的终端设备的手机号，根据该手机号向应用客户端进行登录授权。

下面，说明运营商服务器在一键登录业务中的处理。

图5是本说明书一个实施例在运营商服务器中实现一键登录业务的方法的流程图。参见图5，该方法的前提是应用客户端及应用服务器均采用对应上述方式二的处理，即要求运营商服务器也进行合法性验证，该方法包括：

步骤501：运营商服务器接收应用客户端发来的校验请求，从该校验请求中获取应用客户端生成的公私钥对中的公钥。

如前所述，运营商服务器接收到的校验请求包括如下中的至少一个请求：

校验请求1：携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求；

校验请求2：携带APP ID、所述公钥及时间戳的手机身份校验请求；

校验请求3：携带APP ID及所述公钥的新定义的校验请求。

步骤503：运营商服务器向所述应用客户端下发令牌token。

如前所述，当校验请求为校验请求1即包括携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求时，步骤501与步骤503之间进一步包括：

运营商服务器生成对称密钥；

运营商服务器利用所述公钥对该对称密钥进行加密后发送给应用客户端；

运营商服务器接收应用客户端发来的使用对称密钥加密的手机身份校验请求；以及

运营商服务器使用对称密钥解密该手机身份校验请求，并根据手机身份校验请求进行身份验证，在身份验证成功后执行本步骤503的处理；

相应地，步骤503的过程可以包括：运营商服务器利用对称密钥对token进行加密，并向所述应用客户端下发加密后的token。

步骤505：运营商服务器接收应用服务器发来的携带token及签名信息的号码获取请求；其中，签名信息是被所述公私钥对中的私钥签名后的信息；所述号码获取请求是由所述应用服务器利用获取的公钥验证出所述签名信息合法之后发给运营商服务器的。

步骤507：运营商服务器利用所述公钥验证所述号码获取请求中的所述签名信息的合法性，如果合法，则执行步骤509，否则执行步骤511。

步骤509：运营商服务器根据所述号码获取请求中携带的token获取应用客户端所在的终端设备的手机号，并发送给所述应用服务器。

步骤511：运营商服务器拒绝将该终端设备的手机号发送给所述应用服务器。

下面结合应用客户端、应用服务器以及运营商服务器三者的配合处理，来说明一键登录业务的实现方法。在该方法中，基于上述方式二进行说明，即应用服务器与运营商服务器均需要进行合法性验证，并且，在运营商服务器下发token之前，以应用客户端通过上述的校验请求1即登录验证请求携带公钥为例进行说明，参见图6，包括：

步骤601：应用客户端通过专有链路向自己所属的应用服务器发送携带公钥的登录请求。

步骤603：应用服务器接收到登录请求后，从登录请求中获取公钥，同时进行登录预授权，包括通过专有链路向该应用客户端发送预登录界面。

步骤605：应用客户端通过https链路向运营商服务器发送携带应用标识(APPID)、应用签名(APP sign)，密钥标识符(KEY ID)、时间戳以及公钥的登录验证请求。

步骤607：运营商服务器根据接收到的登录验证请求对应用客户端的身份进行认证，认证成功后会生成一个会话密钥key，利用从登录验证请求中获取的公钥对该key进行加密，然后通过https链路下发给应用客户端。

这里，key是一个对称密钥。

步骤609：应用客户端生成携带APP ID、所在的终端设备的IP地址和时间戳的手机身份校验请求，用对称密钥key加密后，通过http链路发送给运营商服务器。

这里，手机身份校验请求中携带的应用客户端所在的终端设备的IP地址可以包括IPv4地址以及IPv6地址。

步骤611：运营商服务器利用key解密手机身份校验请求，进行身份验证，在身份验证成功后，利用对称密钥key加密token，并向应用客户端下发加密后的token。

步骤613：应用客户端利用对称密钥解密出token，并利用私钥生成签名信息，通过专有链路将该token以及签名信息发送给应用服务器。

步骤615：应用服务器利用获取的公钥验证签名信息的合法性，如果合法，则将APPID、接收到的token以及签名信息携带在号码获取请求中通过https链路发送给运营商服务器，否则，本次一键登录失败。

步骤617：运营商服务器利用公钥验证号码获取请求中的签名信息的合法性，如果合法，则通过https链路将从网关处查询到的终端设备的手机号码发送给应用服务器，否则，本次一键登录失败。

比如，一键登录失败时，运营商服务器向应用服务器返回取号失败消息。

步骤619：应用服务器如果接收到运营商服务器发来的应用客户端所在的终端设备的手机号，则根据该手机号并通过专有链路向应用客户端进行登录成功授权处理。

在本说明书的一个实施例中，提供了一键登录业务的实现装置，设置于应用客户端中，参见图7，该设置于应用客户端中的装置包括：

公私钥生成模块701，配置为生成公私钥对；

预登录处理模块702，将公私钥对中的公钥发送给应用服务器；接收应用服务器下发的预登录界面；

token获取模块703，配置为获取运营商服务器下发的token；

签名处理模块704，配置为利用公私钥对中的私钥生成签名信息，将token以及签名信息发送给应用服务器；

登录执行模块705，配置为如果接收到应用服务器发来的登录授权，则一键登录成功。

在本说明书的一个实施例中，在图7所示的设置于应用客户端的装置中，还可以进一步：

校验请求发送模块，配置为将公私钥对中的公钥携带在校验请求中发送给运营商服务器。

在本说明书的一个实施例中，在图7所示的设置于应用客户端的装置中，所处理的校验请求包括如下中的至少一个请求：

携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求；

携带APP ID、所述公钥及时间戳的手机身份校验请求；

携带APP ID及所述公钥的新定义的校验请求。

在本说明书的一个实施例中，在图7所示的设置于应用客户端的装置中，上述校验请求发送模块被配置为将公私钥对中的公钥携带在登录验证请求中发送给运营商服务器；

相应地，上述token获取模块703进一步被配置为执行：

接收运营商服务器发来的利用公钥加密后的对称密钥；

利用公私钥对中的私钥解密出对称密钥；以及

使用对称密钥对手机身份校验请求进行加密，然后将加密后的手机身份校验请求发送给运营商服务器，以使运营商服务器对应用客户端所在的终端设备进行身份校验；

利用对称密钥对运营商服务器发来的加密后的token进行解密，得到token。

在本说明书的一个实施例中，在图7所示的设置于应用客户端的装置中，预登录处理模块702被配置为将公私钥对中的公钥携带在登录请求中发送给应用服务器。

在本说明书的一个实施例中，在图7所示的设置于应用客户端的装置中，签名处理模块704，配置为利用公私钥对中的私钥对应用客户端所在的终端设备的指纹信息进行签名，得到签名信息。

在本说明书的一个实施例中，提供了一键登录业务的实现装置，设置于应用服务器中，参见图8，该设置于应用服务器中的装置包括：

预登录授权模块801，配置为接收应用客户端发来的公私钥对中的公钥，向应用客户端下发预登录界面；

网络因子获取模块802，配置为接收应用客户端发来的token以及签名信息；

号码获取模块803，配置为利用获取的所述公钥验证所述签名信息的合法性，如果合法，则将接收到的token携带在号码获取请求中发送给运营商服务器；

授权执行模块804，配置为在接收到运营商服务器发来的应用客户端所在的终端设备的手机号时，则根据该手机号进行登录授权处理。

在本说明书的一个实施例中，在图8所示的设置于应用服务器的装置中，如前所述，签名信息包括：被所述私钥签名的应用客户端所在的终端设备的指纹信息。

在本说明书的一个实施例中，在图8所示的设置于应用服务器的装置中，预登录授权模块801被配置为接收应用客户端发来的携带所述公钥的登录请求，从该登录请求中得到所述公钥。

在本说明书的一个实施例中，在图8所示的设置于应用服务器的装置中，号码获取模块803，配置为利用获取的所述公钥验证所述签名信息的不合法时，向所述应用客户端发送登录失败通知。

在本说明书的一个实施例中，在图8所示的设置于应用服务器的装置中，号码获取模块803，进一步被配置为将所述签名信息携带在所述号码获取请求中发送给运营商服务器。

在本说明书的一个实施例中，提供了一键登录业务的实现装置，设置于运营商服务器中，参见图9，该设置于运营商服务器中的装置包括：

公钥获取模块901，配置为接收应用客户端发来的校验请求，从该校验请求中获取应用客户端生成的公私钥对中的公钥；

token下发模块902，配置为向所述应用客户端下发令牌token；

签名信息获取模块903，配置为接收应用服务器发来的携带token及签名信息的号码获取请求；其中，签名信息是被所述公私钥对中的私钥签名后的信息；所述号码获取请求是由所述应用服务器利用获取的公钥验证出所述签名信息合法之后发给运营商服务器的；

登录授权处理模块904，配置为利用所述公钥验证所述号码获取请求中的所述签名信息的合法性，如果合法，则根据所述号码获取请求中携带的token获取应用客户端所在的终端设备的手机号，并发送给所述应用服务器，如果不相同，则拒绝将该终端设备的手机号发送给所述应用服务器。

在本说明书的一个实施例中，在图9所示的设置于运营商服务器的装置中，所述校验请求包括如下中的至少一个请求：

携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求；

携带APP ID、所述公钥及时间戳的手机身份校验请求；

携带APP ID及所述公钥的新定义的校验请求。

在本说明书的一个实施例中，在图9所示的设置于运营商服务器的装置中，当所述校验请求包括携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求时，该装置进一步包括：

对称密钥处理模块，配置为生成对称密钥；利用所述公钥对该对称密钥进行加密后发送给应用客户端；

手机身份校验模块，配置为接收应用客户端发来的使用对称密钥加密的手机身份校验请求；以及使用对称密钥解密该手机身份校验请求，并根据手机身份校验请求进行身份验证，在身份验证成功后触发token下发模块902；

token下发模块902被配置为执行：利用对称密钥对token进行加密，并向所述应用客户端下发加密后的token。

本说明书一个实施例提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行说明书中任一个实施例中的方法。

本说明书一个实施例提供了一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现执行说明书中任一个实施例中的方法。

可以理解的是，本说明书实施例示意的结构并不构成对本说明书实施例的装置的具体限定。在说明书的另一些实施例中，上述装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。

上述装置、***内的各模块之间的信息交互、执行过程等内容，由于与本说明书方法实施例基于同一构思，具体内容可参见本说明书方法实施例中的叙述，此处不再赘述。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims (16)

1.一键登录业务的实现方法，其中包括：

应用客户端在获取令牌token之前生成公私钥对；

应用客户端将公私钥对中的公钥发送给应用服务器；

应用客户端接收应用服务器下发的预登录界面；

应用客户端获取运营商服务器下发的令牌token；

应用客户端利用公私钥对中的私钥生成签名信息，将token以及签名信息发送给应用服务器，以使得应用服务器在接收到token之前从应用客户端处获取了公钥以及使得应用服务器在接收到token时从应用客户端处获取私钥签名的签名信息；

如果接收到应用服务器发来的登录授权，则一键登录成功。

2.根据权利要求1所述的方法，在所述应用客户端接收应用服务器下发的预登录界面之后，并在所述应用客户端获取运营商服务器下发的令牌token之前，进一步包括：

应用客户端将公私钥对中的公钥携带在校验请求中发送给运营商服务器。

3.根据权利要求2所述的方法，其中，所述校验请求包括如下中的至少一个请求：

携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求；

携带APP ID、所述公钥及时间戳的手机身份校验请求；

携带APP ID及所述公钥的新定义的校验请求。

4.根据权利要求3所述的方法，其中，

当所述校验请求包括携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求时，

在将所述校验请求发送给运营商服务器之后，并在获取运营商服务器下发的token之前，进一步包括：

应用客户端接收运营商服务器发来的利用公钥加密后的对称密钥；

应用客户端利用公私钥对中的私钥解密出对称密钥；以及

应用客户端使用对称密钥对手机身份校验请求进行加密，然后将加密后的手机身份校验请求发送给运营商服务器，以使运营商服务器对应用客户端所在的终端设备进行身份校验；

相应地，所述应用客户端获取运营商服务器下发的token，包括：

应用客户端利用对称密钥对运营商服务器发来的加密后的token进行解密，得到token。

5.根据权利要求1所述的方法，其中，

所述应用客户端将公私钥对中的公钥发送给应用服务器，包括：应用客户端将公私钥对中的公钥携带在登录请求中发送给应用服务器；

和/或，

所述应用客户端利用公私钥对中的私钥生成签名信息包括：应用客户端利用公私钥对中的私钥对应用客户端所在的终端设备的指纹信息进行签名，得到签名信息。

6.一键登录业务的实现方法，其中包括：

应用服务器在接收应用客户端发来的令牌token之前，接收应用客户端发来的公私钥对中的公钥；

应用服务器向应用客户端下发预登录界面；

应用服务器接收应用客户端发来的token及签名信息，以使得应用服务器在接收到token之前从应用客户端处获取了公钥以及使得应用服务器在接收到token时从应用客户端处获取私钥签名的签名信息；

应用服务器利用在接收到token之前所获取的所述公钥来验证在接收到token时所获取的所述签名信息的合法性，

如果合法，则应用服务器将接收到的token携带在号码获取请求中发送给运营商服务器；

应用服务器接收运营商服务器发来的应用客户端所在的终端设备的手机号；

应用服务器根据该手机号向应用客户端进行登录授权。

7.根据权利要求6所述的方法，其中，所述签名信息包括：被所述私钥签名的应用客户端所在的终端设备的指纹信息。

8.根据权利要求6所述的方法，

所述应用服务器接收应用客户端发来的公私钥对中的公钥，包括：应用服务器接收应用客户端发来的携带所述公钥的登录请求，从该登录请求中得到所述公钥；

和/或，

在所述应用服务器利用获取的所述公钥验证所述签名信息的合法性时，进一步包括：如果不合法，则应用服务器向所述应用客户端发送登录失败通知，结束当前流程。

9.根据权利要求6所述的方法，所述应用服务器将接收到的token携带在号码获取请求中发送给运营商服务器，进一步包括：

应用服务器将所述签名信息携带在所述号码获取请求中发送给运营商服务器。

10.一键登录业务的实现方法，其中包括：

运营商服务器接收应用客户端发来的校验请求，从该校验请求中获取应用客户端生成的公私钥对中的公钥；

运营商服务器向所述应用客户端下发令牌token；

运营商服务器接收应用服务器发来的携带token及签名信息的号码获取请求；其中，签名信息是被所述公私钥对中的私钥签名后的信息；所述号码获取请求是由所述应用服务器利用获取的公钥验证出所述签名信息合法之后发给运营商服务器的；

运营商服务器利用所述公钥验证所述号码获取请求中的所述签名信息的合法性，如果合法，则根据所述号码获取请求中携带的token获取应用客户端所在的终端设备的手机号，并发送给所述应用服务器，如果不合法，则拒绝将该终端设备的手机号发送给所述应用服务器。

11.根据权利要求10所述的方法，其中，所述校验请求包括如下中的至少一个请求：

携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求；

携带APP ID、所述公钥及时间戳的手机身份校验请求；

携带APP ID及所述公钥的新定义的校验请求。

12.根据权利要求11所述的方法，其中，

当所述校验请求包括携带APP ID、APP sign，KEY ID、时间戳以及所述公钥的登录验证请求时，

在所述运营商服务器获取了应用客户端生成的公私钥对中的公钥之后，并在所述运营商服务器向所述应用客户端下发令牌token之前，进一步包括：

运营商服务器生成对称密钥；

运营商服务器利用所述公钥对该对称密钥进行加密后发送给应用客户端；

运营商服务器接收应用客户端发来的使用对称密钥加密的手机身份校验请求；以及

运营商服务器使用对称密钥解密该手机身份校验请求，并根据手机身份校验请求进行身份验证，在身份验证成功后执行所述向所述应用客户端下发令牌token的步骤；

相应地，所述运营商服务器向所述应用客户端下发令牌token，包括：运营商服务器利用对称密钥对token进行加密，并向所述应用客户端下发加密后的token。

13.一键登录业务的实现装置，应用于应用客户端，包括：

公私钥生成模块，配置为在应用客户端获取令牌token之前生成公私钥对；

预登录处理模块，将公私钥对中的公钥发送给应用服务器；接收应用服务器下发的预登录界面；

token获取模块，配置为获取运营商服务器下发的token；

签名处理模块，配置为利用公私钥对中的私钥生成签名信息，将token以及签名信息发送给应用服务器，以使得应用服务器在接收到token之前从应用客户端处获取了公钥以及使得应用服务器在接收到token时从应用客户端处获取私钥签名的签名信息；

登录执行模块，配置为如果接收到应用服务器发来的登录授权，则一键登录成功。

14.一键登录业务的实现装置，应用于应用服务器，包括：

预登录授权模块，配置为在应用服务器接收应用客户端发来的令牌token之前，接收应用客户端发来的公私钥对中的公钥，向应用客户端下发预登录界面；

网络因子获取模块，配置为接收应用客户端发来的token以及签名信息，以使得应用服务器在接收到token之前从应用客户端处获取了公钥以及使得应用服务器在接收到token时从应用客户端处获取私钥签名的签名信息；

号码获取模块，配置为利用在接收到token之前所获取的所述公钥来验证在接收到token时所获取的所述签名信息的合法性，如果合法，则将接收到的token携带在号码获取请求中发送给运营商服务器；

授权执行模块，配置为在接收到运营商服务器发来的应用客户端所在的终端设备的手机号时，则根据该手机号进行登录授权处理。

15.一键登录业务的实现装置，应用于运营商服务器，包括：

公钥获取模块，配置为接收应用客户端发来的校验请求，从该校验请求中获取应用客户端生成的公私钥对中的公钥；

token下发模块，配置为向所述应用客户端下发令牌token；

签名信息获取模块，配置为接收应用服务器发来的携带token及签名信息的号码获取请求；其中，签名信息是被所述公私钥对中的私钥签名后的信息；所述号码获取请求是由所述应用服务器利用获取的公钥验证出所述签名信息合法之后发给运营商服务器的；

登录授权处理模块，配置为利用所述公钥验证所述号码获取请求中的所述签名信息的合法性，如果合法，则根据所述号码获取请求中携带的token获取应用客户端所在的终端设备的手机号，并发送给所述应用服务器，如果不合法，则拒绝将该终端设备的手机号发送给所述应用服务器。

16.一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-12中任一项所述的方法。