[发明专利]实现JS应用程序接口安全访问控制的方法与装置

说明书

技术领域

本公开涉及网络应用技术领域，特别地，涉及一种实现JS（JavaScript，Java脚本）API（Application Program Interface，应用程序接口）安全访问控制的方法与装置。

背景技术

智能终端应用形态主要分为Web（网络）应用和本地应用两类，Web应用是指运行在浏览器上的应用形态，本地应用是指直接运行在操作系统之上的应用形态。Web应用采用网页语言开发，具有开发简单、跨平台适配等优点，而本地应用一般采用Java、C等语言开发，具有开发能力强、交互性好、效率高等优点。同时这两种应用形态也在不断地融合，从而出现了Widget（微件）类应用形态，其可采用网页语言开发，同时具备本地应用的使用形式并且可以跨平台运行。虽然现阶段智能终端的应用形态仍以本地应用为主，但是Web应用和Widget应用随着HTML5标准的出现以及智能终端多平台的发展也正逐步展现出良好的发展势头。

HTML5标准的出现，使得Web应用或Widget应用可以像本地应用一样调用终端设备能力，显著增强了Web应用的表现能力和功能，同时也带来了安全风险：Web应用包由大量的Java Script、HTML文件以及CSS（Cascading Style Sheet，层叠样式表单）文件组成；从某种角度上看，Web应用的源码对用户几乎是透明的。因此，Web应用很容易被第三方恶意软件利用，对用户的设备和应用安全带来威胁。

发明内容

本公开鉴于以上问题中的至少一个提出了新的技术方案。

本公开在其一个方面提供了一种实现JS应用程序接口安全访问控制的方法，其可保证访问对象对终端能力的安全调用。

本公开在其另一方面提供了一种实现JS应用程序接口安全访问控制的装置，其可保证访问对象对终端能力的安全调用。

根据本公开，提供一种实现JS应用程序接口安全访问控制的方法，包括：

接收访问对象发起的对一应用程序接口API的调用请求；

自访问对象的权限文件查询访问对象是否具有访问API的权限；

响应于具有访问API的权限，查询终端能力；

根据终端能力判断是否允许访问对象调用API；

如果允许访问对象调用API，则向访问对象反馈允许调用API的信息，否则，拒绝访问对象对API的调用请求。

在本公开的一些实施例中，访问对象为Widget应用或Web应用。

在本公开的一些实施例中，终端能力包括终端设备能力、互联网能力与运营商能力。

在本公开的一些实施例中，该方法还包括：

如果终端设备能力、互联网能力与运营商能力中各API在进行调用时需检查环境状态，则将终端设备能力、互联网能力与运营商能力中各API与相应环境状态相关联。

在本公开的一些实施例中，该方法还包括：

响应于具有访问API的权限，根据终端设备能力、互联网能力与运营商能力中各API与相应环境状态的关联关系判断在调用API时是否需检查环境状态；

如需检查环境状态，则到终端的内存中查询终端的当前环境状态；

根据环境状态判断是否允许访问对象调用API。

在本公开的一些实施例中，该方法还包括：

响应于终端的当前环境状态的改变，将改变后的环境状态更新到终端的内存中。

在本公开的一些实施例中，该方法还包括：

判断在对API进行调用时是否需进行二次确认；

如需进行二次确认，则接收终端设备使用者反馈的信息，并根据反馈的信息确定是否允许访问对象调用API。

在本公开的一些实施例中，该方法还包括：

判断API是否需进行接入认证；

如需进行接入认证，则根据访问对象的权限文件对API进行认证，以确定是否允许访问对象调用API，其中，访问对象的权限文件包括访问权限和认证信息。

根据本公开，还提供了一种实现JS应用程序接口安全访问控制的装置，包括：

API调用请求接收单元，用于接收访问对象发起的对一应用程序接口API的调用请求；

API访问权限查询单元，用于自访问对象的权限文件查询访问对象是否具有访问API的权限；

终端能力查询单元，用于响应于具有访问API的权限，查询终端能力；

调用判断单元，用于根据终端能力判断是否允许访问对象调用API；