[发明专利]第三方应用获得用户的会话令牌的方法、装置及系统

说明书

技术领域

本申请涉及互联网技术领域，尤其涉及一种第三方应用获得用户的会话Token(令牌)的方法、装置及系统。

背景技术

开放平台是指由网站(例如电子商务网站)提供的、面向第三方的开放式基础服务平台，其以OpenAPI(Open Application Programming Interface，开放应用程序接口)的形式开放基础服务。开放平台具备的一个重要功能是向第三方应用授权，允许第三方应用从开放平台获取Token(令牌)，并通过该Token获取用户数据，例如用户的地址、交易信息等。

网站提供的开放平台普遍采用固定Token与会话Token相结合的授权方式，实现开放平台和用户对第三方应用的授权，会话Token也称为SessionKey(会话密钥)。固定Token与会话Token相结合的授权方式是指：开放平台向第三方应用分配一个固定Token，用户在发起对第三方应用的访问时，从开放平台获取为该用户分配的会话Token，并将该会话Token提交给第三方应用。该授权方式能够保证第三方应用必须经过开放平台与用户的双重授权，才能访问用户数据。其中，固定Token一般是由第三方应用的开发者向开放平台申请、并由开放平台的管理者批准后分配给第三方应用；第三方应用对会话Token的获取需要用户的授权。如何保证安全性、并能够兼容各种应用场景，成为解决第三方应用获得用户的会话Token的关键问题之一。

现有技术中，各个开放平台都推出了会话Token的获取机制，例如FacebookConnect、OAuth等，均是基于HTTP(HyperText Transfer Protocol，超文本传输协议)跳转的方式实现第三方应用对用户的会话Token的获取。用户访问第三方应用的实现流程，如图1所示，包括如下步骤：

步骤1、用户向开放平台发起对第三方应用的访问；

步骤2、开放平台验证用户身份；

步骤3、在用户通过身份验证之后，开放平台指示用户跳转到第三方应用，指示中携带为用户分配的会话Token；

步骤4、用户基于HTTP跳转的方式访问第三方应用，提交开放平台为该用户分配的会话Token；

步骤5、第三方应用获得用户的会话Token；

步骤6、第三方应用向开放平台访问用户数据，并携带固定Token和会话Token；

步骤7、开放平台验证第三方应用携带的固定Token和会话Token；

步骤8、对固定Token和会话Token验证通过后，开放平台向第三方应用返回用户数据；

步骤9、第三方应用根据开放平台返回的用户数据向用户进行页面展示。

其中，步骤1～步骤5为第三方应用获得用户的会话Token的实现流程，步骤6～步骤9为第三方应用访问用户数据并进行页面展示的实现流程。上述第三方应用获得用户的会话Token的技术方案，基于HTTP跳转的方式实现，即需要用户通过登录过程获取开放平台为该用户分配的会话token，用户再基于HTTP跳转的方式访问第三方应用，提交开放平台为该用户分配的会话Token。现有第三方应用获得用户的会话Token的技术方案，仅适用于Web(万维网)应用场景，而针对基于客户端软件的应用场景，以及基于命令行的应用场景无法适用，使得使用场景单一；现有第三方应用获得用户的会话Token的技术方案，要求第三方应用必需能够嵌入开放平台的用户登录页面，不适用于Iframe等场景下的页面，可定制化程度低；在第三方应用获得用户的会话Token的过程中，会话Token在开放平台与用户之间以及用户与第三方应用之间进行了多次传输，导致该会话Token容易被劫持，系统的安全性较低。

申请内容

本申请实施例提供一种第三方应用获得用户的会话令牌的方法、装置及系统，用以解决现有基于HTTP跳转的方式存在的使用场景单一、可定制化程度低，以及系统的安全性较低的问题。

本申请实施例提供一种第三方应用获得用户的会话令牌的方法，包括：

第三方应用接收用户发起的访问，确认当前未获得用户的会话令牌Token时，指示用户获得并提交授权码；

第三方应用接收用户提交的从开放平台处获得的授权码；以及

基于所述授权码向开放平台申请用户的会话Token，并获得开放平台对所述授权码验证通过后返回的用户的会话Token。

本申请实施例提供一种第三方应用获得用户的会话令牌的装置，包括：