[发明专利]一种基于应用数字签名认证的开放API公共授权访问控制的方法

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种基于应用数字签名认证的开放API公共授权访问控制的方法。

背景技术

目前，开放已经成为移动互联网领域的主旋律。在移动终端智能化飞速发展的同时，出现了明显的智能终端“云手机”化特征，移动互联网更加强调开放平台对用户提供的云端服务的价值。移动应用的开发正在从以智能终端平台为中心逐渐向以网络开放平台为中心转移。互联网开放平台所聚集的开发者和应用的巨大力量已经开始释放。

然而，目前的开放环境还是不够成熟和完善，还存在着一些问题。互联网开放平台企业正在形成一些小的、松散的联盟，他们希望建立多种方式的合作，从而能够灵活有效地组合更丰富的应用，同时聚集和共享开发者队伍，共享用户资源。通常，只有在这样的联盟内部才会实现用户的跨平台一点登录以及面向Web应用的一站式用户资源的授权。而对于用户来说，也希望在面对整个互联网资源时能够做到这些。

虽然全面的融合是今后移动互联网开放平台发展的大趋势，但目前互联网开放平台各自为政，网络信息和能力开放的水平参差不齐，API的授权方式不统一，Web应用和开放平台通过API进行互联互通的时候还存在很多问题：一方面，应用开发者在使用这些开放能力时候，需要与各个开放平台单独实现API的授权对接，大量重复的工作是影响应用开发创新的障碍之一；另一方面，互联网上基于各类开放平台的Web应用不断出现，但获得API授权的方式并不统一。由于目前的授权协议中缺乏对Web应用的合法性或者可信性进行判断的机制，有些恶意第三方应用能够在用户不知情或者用户不注意的情况下，完成API的授权，造成用户信息的安全隐患。因此，构建可信计算环境，是解决移动互联网信息安全问题的主流方向。

发明内容

针对现有技术中存在的缺陷和不足，本发明提出了一种基于应用数字签名认证的开放API公共授权访问控制的方法，能够在对Web应用或者应用软件产品使用联盟或者第三方公共服务平台内部的开放API的请求授权之前，先对Web应用或者应用软件产品的数字签名证书进行判断。

为了达到上述目的，本发明提出了一种基于应用数字签名认证的开放API公共授权访问控制的方法，包括：

步骤1：用户开始登录，由应用软件产品客户端向联盟或者第三方公共服务平台的公共授权服务器发起授权请求；

步骤2：所述公共授权服务器根据所述应用软件产品客户端标识和数字签名证书进行鉴权判断，如果客户端标识和数字签名证书在联盟或者第三方公共服务平台的数据库中有备案记录，则执行步骤3，如果客户端标识和数字签名证书在联盟或者第三方公共服务平台的数据库中没有备案记录，则返回步骤1；

步骤3：所述公共授权服务器向所述应用软件产品客户端回复授权码；

步骤4：所述应用软件产品客户端使用所述授权码获取用户登录所述应用软件产品需要访问的开放API的所属资源的授权令牌，并使用所述授权令牌访问所述资源的开放API，从而完成用户登录。

进一步地，在所述步骤1之前，还包括步骤0，所述步骤0具体包括：

步骤01：联盟或者第三方公共服务平台经过对应用软件产品测试、认证，为所述应用软件产品分配客户端标识及颁发数字签名证书，并将所述客户端标识和数字签名证书在联盟或者第三方公共服务平台的数据库中成对备案；

步骤02：将所述应用软件产品打包成安装包，并在所述安装包中集成数字签名证书。

进一步地，与所述步骤01同时进行的还包括：

步骤01′：当所述应用软件产品需要使用的开放API的所属资源中至少一个不属于联盟或者第三方公共服务平台的成员时，所述应用软件产品不能获得联盟或者第三方公共服务平台颁发的数字签名证书。

进一步地，所述步骤02之后还包括：

步骤03：将所述安装包在联盟或者第三方公共服务平台的应用软件产品库中备案，并随时给各应用商店供货；

步骤04：将所述安装包放在应用商店的架上销售；

步骤05：用户从应用商店购买应用软件产品，下载、运行所述安装包，安装所述应用软件产品。

进一步地，所述步骤4具体包括如下步骤：

步骤41：所述应用软件产品客户端使用所述授权码向所述资源发起获取所述资源的开放API授权令牌的请求；

步骤42：所述资源获知所述授权码是由联盟或者第三方公共服务平台的公共授权服务器发放的，向所述应用软件产品客户端回复授权令牌，允许所述应用软件产品客户端对所述资源的开放API的调用；