CN114826661A - 一种基于开放式api接口的数据访问方法、设备及介质 - Google Patents

Abstract

本申请公开了一种基于开放式API接口的数据访问方法、设备及介质，用以解决现有的开放式API接口管理较为混乱，无法避免未知的客户端向服务器发送的恶意的数据访问请求，具有较大的安全风险的技术问题。方法包括：对客户端进行认证授权以给客户端颁发对应的身份认证信息，并存储至访问白名单中；接收客户端加密加签后的访问请求，并根据身份认证信息确定客户端是否在访问白名单中，以对客户端进行身份校验和API调用权限校验；确定客户端具有访问开放式API接口的权限后对访问请求的时效性进行查验，并在访问请求未超时的情况下查询缓存中是否存在访问请求对应的接口数据；若存在，则从缓存中获取；若不存在，则从数据库中获取，提高了API的访问效率。

Description

一种基于开放式API接口的数据访问方法、设备及介质

技术领域

本申请涉及计算机技术领域，尤其涉及一种基于开放式API接口的数据访问方法、设备及介质。

背景技术

目前，客户端通过开放式应用程序编程接口(Application ProgrammingInterface，API)对服务器进行数据访问时，通过服务器接收客户端的数据访问请求，并向客户端发送响应消息，以允许客户端通过开放式API接口对服务器进行数据访问。

但是，现有的开放式API接口管理较为混乱，无法避免未知的客户端向服务器发送的恶意的数据访问请求，具有较大的安全风险，容易泄露客户端和服务器之间的交互信息。

发明内容

本申请实施例提供了一种基于开放式API接口的数据访问方法、设备及介质，用以解决现有的开放式API接口管理较为混乱，无法避免未知的客户端向服务器发送的恶意的数据访问请求，具有较大的安全风险，容易泄露客户端和服务器之间的交互信息的技术问题。

一方面，本申请实施例提供了一种基于开放式API接口的数据访问方法，包括：

对客户端进行认证授权，以给所述客户端颁发对应的身份认证信息，并将所述客户端对应的身份认证信息存储至访问白名单中；

接收所述客户端加密加签后的访问请求，并根据所述访问请求中携带的身份认证信息，确定所述客户端是否在所述访问白名单中，以对所述客户端进行身份校验和API调用权限校验；

确定所述客户端具有开放式API接口的访问权限后，对所述访问请求的时效性进行查验，并在所述访问请求未超时的情况下，查询缓存中是否存在所述访问请求对应的接口数据；

若存在，则从缓存中获取所述访问请求对应的接口数据；若不存在，则从数据库中获取所述访问请求对应的接口数据。

在本申请的一种实现方式中，在接收所述客户端加密加签后的访问请求之前，所述方法还包括：

获取服务器的公有密钥，以通过所述服务器的公有密钥，对所述客户端的访问请求进行加密；

通过所述客户端的私有密钥，对加密后的所述访问请求加签名，以实现对所述访问请求的加密加签处理。

在本申请的一种实现方式中，在接收所述客户端加密加签后的访问请求之后，所述方法还包括：

获取所述客户端的公有密钥，以通过所述客户端的公有密钥，验证加密加签后的所述访问请求的签名，以确定所述访问请求为所述客户端发送的；

通过服务器的私有密钥，对验证签名后的所述访问请求进行解密，以得到所述访问请求。

在本申请的一种实现方式中，对所述访问请求的时效性进行查验，具体包括：

获取所述访问请求的发起时刻以及当前时刻，并根据所述发起时刻和当前时刻，确定所述访问请求对应的存活时长；

将所述访问请求对应的存活时长与预设有效时长进行对比，确定所述访问请求是否超时，以实现对所述访问请求的时效性的查验。

在本申请的一种实现方式中，对客户端进行认证授权，以给所述客户端颁发对应的身份认证信息，具体包括：

接收客户端发送的认证请求；

根据所述认证请求中客户端对应的应用标识信息，确定所述客户端具有开放式API接口的访问权限，并生成所述客户端对应的身份认证信息，以完成对所述客户端的认证授权；

获取所述客户端的公有密钥，并通过所述公有密钥，对所述身份认证信息进行加密，以将加密后的所述身份认证信息发送至所述客户端。

在本申请的一种实现方式中，在将加密后的所述身份认证信息发送至所述客户端之后，所述方法还包括：

通过所述客户端的私有密钥，对所述身份认证信息进行解密，以得到所述客户端对应的身份认证信息。

在本申请的一种实现方式中，在接收所述客户端加密加签后的访问请求之前，所述方法还包括：

确定开放式API接口对应的域名；

将所述域名对应的URL采用RESTful架构进行展示，并将所述开放式API接口的版本信息放入所述URL中，以对所述开放式API接口进行区分。

在本申请的一种实现方式中，在获取所述访问请求对应的接口数据之后，所述方法还包括：

通过预设响应格式，对所述客户端的访问请求进行响应；其中，所述预设响应格式中包含响应码、响应信息和响应说明；

将所述客户端访问所述开放式API接口的事件，记录到访问请求日志中。

另一方面，本申请实施例还提供了一种基于开放式API接口的数据访问设备，所述设备包括：

至少一个处理器；

以及，与所述至少一个处理器通信连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

执行如权利要求1-8任一项所述的一种基于开放式API接口的数据访问方法。

另一方面，本申请实施例还提供了一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

执行如权利要求1-8任一项所述的一种基于开放式API接口的数据访问方法。

本申请实施例提供了一种基于开放式API接口的数据访问方法、设备及介质，至少包括以下有益效果：通过对客户端进行认证授权，为客户端颁布身份证信息，能够使客户端通过身份认证信息表明自己具有开放式API接口的访问权限，并且，服务器在接收到客户端发送的访问请求后，根据客户端的身份认证信息查询访问白名单，即可简单快速的完成对客户端的身份认证和权限认证，这样既优化了对开放式API接口的管理，保证了数据安全，还能够提高开放式API接口的访问效率；通过查验客户端对应访问请求的时效性，能够保证客户端和服务器之间的数据交互是在预设时长内的，保障数据传输安全；在允许客户端通过开放式API接口访问服务器之后，查询缓存中是否存在访问请求对应的接口数据，是为了在缓存中存在接口数据时，优先从缓存中获取接口数据，而在缓存中不存在接口数据时，再从数据库中获取接口数据，这样能够提高数据的访问效率，有效地改善开放式API接口管理较为混乱的情况。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的一种基于开放式API接口的数据访问方法的流程示意图；

图2为本申请实施例提供的另一种基于开放式API接口的数据访问方法的流程示意图；

图3为本申请实施例提供的一种基于开放式API接口的数据访问设备的内部结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供了一种基于开放式API接口的数据访问方法、设备及介质，通过对客户端进行认证授权，为客户端颁布身份证信息，能够使客户端通过身份认证信息表明自己具有开放式API接口的访问权限，并且，服务器在接收到客户端发送的访问请求后，根据客户端的身份认证信息查询访问白名单，即可简单快速的完成对客户端的身份认证和权限认证；通过查验客户端对应访问请求的时效性，能够保证客户端和服务器之间的数据交互是在预设时长内的，保障数据传输安全；通过查询缓存中是否存在访问请求对应的接口数据，能够在缓存中存在接口数据时，优先从缓存中获取接口数据，而在缓存中不存在接口数据时，再从数据库中获取接口数据。解决了现有的开放式API接口管理较为混乱，无法避免未知的客户端向服务器发送的恶意的数据访问请求，具有较大的安全风险，容易泄露客户端和服务器之间的交互信息的技术问题。

下面通过附图对本申请实施例提出的技术方案进行详细的说明。

图1为本申请实施例提供的一种基于开放式API接口的数据访问方法的流程示意图。如图1所示，本申请实施例提供的一种基于开放式API接口的数据访问方法主要包括以下步骤：

步骤101、对客户端进行认证授权，以给客户端颁发对应的身份认证信息，并将客户端对应的身份认证信息存储至访问白名单中。

服务器对客户端进行认证授权，授权时会给客户端颁发对应的身份认证信息，该身份认证信息是客户端具有访问开放式API接口的凭证，同时，服务器还会将认证完的客户端对应的身份认证信息，保存至服务器内部的访问白名单中。

需要说明的是，本申请实施例中的身份认证信息至少包括以下一项或多项：APP_ID，APP_KEY和APP_SECRET。

具体地，服务器接收客户端发送的认证请求，并从认证请求中确定出客户端对应的标识信息，根据标识信息确定客户端具有开放式API接口的访问权限，并且生成客户端对应的身份认证信息，从而完成对客户端的认证授权，使客户端能够通过身份认证信息，表明自己具有开放式API接口的访问权限。然后，服务器需要获取客户端的公有密钥，通过客户端的公有密钥对客户端对应的身份认证信息进行加密，再将加密后的身份认证信息发送至客户端，这样能够保证客户端的身份认证信息的安全，防止数据泄露。

需要说明的是，本申请实施例中的服务器和客户端在进行数据交互时，使用的协议是HTTPS协议，通过HTTPS协议进行数据交互，能够保证数据传输的安全。

在本申请的一个实施例中，服务器在将加密后的身份认证信息发送至客户端之后，客户端会通过自己的私有密钥，对加密后的身份认证信息进行解密，从而得到服务器颁布的身份认证信息。

步骤102、接收客户端加密加签后的访问请求，并根据访问请求中携带的身份认证信息，确定客户端是否在访问白名单中，以对客户端进行身份校验和API调用权限校验。

服务器在接收到客户端发送的加密加签后的访问请求后，会根据访问请求中携带的客户端对应的身份认证信息，与访问白名单中的身份认证信息进行对比，确定客户端在开放式API接口的访问白名单中，从而完成对客户端的身份校验和API调用权限校验，对开放式API接口进行统一管理，提高数据的安全性。

需要说明的是，本申请实施例中的开放式API接口支持多种请求访问，例如：GET、POST、PUT、DELETE等。

在本申请的一个实施例中，服务器在接收到客户端加密加签后的访问请求之前，客户端会对访问请求进行加密加签处理，以提高数据的安全性。具体地，客户端需要获取服务器的公有密钥，并通过服务器的公有密钥对访问请求进行加密，然后再通过客户端自身的私有密钥对访问请求加签名，这样便实现了访问请求的加密加签处理，既能够通过签名表征访问请求是客户端发送的，还能够通过加密保障数据的安全。

在本申请的一个实施例中，服务器在接收到客户端加密加签后的访问请求之后，服务器首先需要获取客户端的公有密钥，通过客户端的公有密钥，获取加密加签后的访问请求对应的签名，从而确定当前访问请求是客户端发送的，然后再通过服务器自己的私有密钥，对加密的访问请求进行解密，从而得到解密后的访问请求。

在本申请的一个实施例中，服务器在接收客户端加密加签后的访问请求之前，会确定出服务器的开放式API接口对应的域名，本申请采用独立的域名，例如：https://api.xxx.com。然后，服务器会将本申请中域名对应的URL采用RESTful风格的架构，通过每个网址代表一种资源。同时，服务器还会将开放式API接口的版本信息放入URL中，例如：https://api.xxx.com/v{n}，这样能够通过版本对开放式API接口进行区别，避免业务逻辑受到影响。

步骤103、确定客户端具有开放式API接口的访问权限后，对访问请求的时效性进行查验，并在访问请求未超时的情况下，查询缓存中是否存在访问请求对应的接口数据。

服务器在确定客户端具有开放式API接口的访问权限后，还需要对访问请求的时效性进行查验，若访问请求超时，则丢弃，若访问请求未超时，则继续查询缓存中是否存在访问请求对应的接口数据。

具体地，服务器在对访问请求的时效性进行查验时，首先需要从访问请求中获取访问请求的发起时刻，并获取当前时刻，然后根据发起时刻和当前时刻计算出当前访问请求对应的存活时长，再将计算出的访问请求对应的存活时长与访问请求对应的预设有效时长进行对比，从而确定出当前访问请求是否超时，若访问请求超时，则将访问请求丢弃，若访问请求未超时，则继续进行后续操作，完成对访问请求的时效性的查验。

需要说明的是，本申请实施例中访问请求对应的预设有效时长为20秒，本申请对预设有效时长不做具体限定，可以根据实际需求进行调整。

步骤104、若存在，则从缓存中获取访问请求对应的接口数据；若不存在，则从数据库中获取访问请求对应的接口数据。

服务器在缓存中存在访问请求对应的接口数据时，直接从缓存中获取接口数据即可，而在缓存中不存在访问请求对应的接口数据时，在从数据库中获取接口数据，这样做能够在缓存中存在接口数据时，提供开放式API接口的访问效率。

在本申请的一个实施例中，服务器在获取到访问请求对应的接口数据之后，服务器会通过预设响应格式，对客户端的访问请求进行响应。然后，服务器还会将客户端访问开放式API接口的事件，记录到访问请求日志中，以便于后续根据需求进行查询。

需要说明的是，本申请实施例中的预设响应格式中包含响应码、响应信息和相应说明。

图2为本申请实施例提供的另一种基于开放式API接口的数据访问方法的流程示意图。如图2所示，客户端在经过服务器的身份认证、API调用权限校验、访问请求的时效性校验以及缓存中是否存在接口数据的校验之后，客户端通过网关，即开放式API接口，访问服务器中对应的数据。针对业务A，服务器首先从缓存中获取业务A对应的接口数据，若缓存中没有，则从数据库中获取业务A对应的接口数据；针对业务B，服务器首先从缓存中获取业务B对应的接口数据，若缓存中没有，则从数据库中获取业务B对应的接口数据；针对业务C，服务器首先从缓存中获取业务C对应的接口数据，若缓存中没有，则从数据库中获取业务C对应的接口数据。

需要说明的是，图2所示的方法与图1所示的方法本质相同，因此，图2中未详述的部分，具体可参照图1中的相关描述，本申请在此不再赘述。

以上为本申请提出的方法实施例。基于同样的发明构思，本申请实施例还提供了一种基于开放式API接口的数据访问设备，其结构如图3所示。

图3为本申请实施例提供的一种基于开放式API接口的数据访问设备的内部结构示意图。如图3所示，设备包括：

至少一个处理器；

以及，与至少一个处理器通信连接的存储器；

其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够：

执行如上述任一项的一种基于开放式API接口的数据访问方法。

本申请实施例还提供了一种非易失性计算机存储介质，存储有计算机可执行指令，计算机可执行指令设置为：

如上述任一项的一种基于开放式API接口的数据访问方法。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备和介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请实施例提供的设备和介质与方法是一一对应的，因此，设备和介质也具有与其对应的方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述设备和介质的有益技术效果。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种基于开放式API接口的数据访问方法，其特征在于，所述方法包括：

对客户端进行认证授权，以给所述客户端颁发对应的身份认证信息，并将所述客户端对应的身份认证信息存储至访问白名单中；

接收所述客户端加密加签后的访问请求，并根据所述访问请求中携带的身份认证信息，确定所述客户端是否在所述访问白名单中，以对所述客户端进行身份校验和API调用权限校验；

确定所述客户端具有开放式API接口的访问权限后，对所述访问请求的时效性进行查验，并在所述访问请求未超时的情况下，查询缓存中是否存在所述访问请求对应的接口数据；

若存在，则从缓存中获取所述访问请求对应的接口数据；若不存在，则从数据库中获取所述访问请求对应的接口数据。

2.根据权利要求1所述的一种基于开放式API接口的数据访问方法，其特征在于，在接收所述客户端加密加签后的访问请求之前，所述方法还包括：

获取服务器的公有密钥，以通过所述服务器的公有密钥，对所述客户端的访问请求进行加密；

通过所述客户端的私有密钥，对加密后的所述访问请求加签名，以实现对所述访问请求的加密加签处理。

3.根据权利要求1所述的一种基于开放式API接口的数据访问方法，其特征在于，在接收所述客户端加密加签后的访问请求之后，所述方法还包括：

获取所述客户端的公有密钥，以通过所述客户端的公有密钥，验证加密加签后的所述访问请求的签名，以确定所述访问请求为所述客户端发送的；

通过服务器的私有密钥，对验证签名后的所述访问请求进行解密，以得到所述访问请求。

4.根据权利要求1所述的一种基于开放式API接口的数据访问方法，其特征在于，对所述访问请求的时效性进行查验，具体包括：

获取所述访问请求的发起时刻以及当前时刻，并根据所述发起时刻和当前时刻，确定所述访问请求对应的存活时长；

将所述访问请求对应的存活时长与预设有效时长进行对比，确定所述访问请求是否超时，以实现对所述访问请求的时效性的查验。

5.根据权利要求1所述的一种基于开放式API接口的数据访问方法，其特征在于，对客户端进行认证授权，以给所述客户端颁发对应的身份认证信息，具体包括：

接收客户端发送的认证请求；

根据所述认证请求中客户端对应的应用标识信息，确定所述客户端具有开放式API接口的访问权限，并生成所述客户端对应的身份认证信息，以完成对所述客户端的认证授权；

获取所述客户端的公有密钥，并通过所述公有密钥，对所述身份认证信息进行加密，以将加密后的所述身份认证信息发送至所述客户端。

6.根据权利要求5所述的一种基于开放式API接口的数据访问方法，其特征在于，在将加密后的所述身份认证信息发送至所述客户端之后，所述方法还包括：

通过所述客户端的私有密钥，对所述身份认证信息进行解密，以得到所述客户端对应的身份认证信息。

7.根据权利要求1所述的一种基于开放式API接口的数据访问方法，其特征在于，在接收所述客户端加密加签后的访问请求之前，所述方法还包括：

确定开放式API接口对应的域名；

将所述域名对应的URL采用RESTful架构进行展示，并将所述开放式API接口的版本信息放入所述URL中，以对所述开放式API接口进行区分。

8.根据权利要求1所述的一种基于开放式API接口的数据访问方法，其特征在于，在获取所述访问请求对应的接口数据之后，所述方法还包括：

通过预设响应格式，对所述客户端的访问请求进行响应；其中，所述预设响应格式中包含响应码、响应信息和响应说明；

将所述客户端访问所述开放式API接口的事件，记录到访问请求日志中。

9.一种基于开放式API接口的数据访问设备，其特征在于，所述设备包括：

至少一个处理器；

以及，与所述至少一个处理器通信连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

执行如权利要求1-8任一项所述的一种基于开放式API接口的数据访问方法。

10.一种非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令设置为：

执行如权利要求1-8任一项所述的一种基于开放式API接口的数据访问方法。

Images