[发明专利]对第三方应用进行服务访问控制的方法、装置及系统

说明书

本申请实施例公开了对第三方应用进行服务访问控制的方法、装置及系统，所述方法包括：接收到服务访问请求后，判断所述服务访问请求的发送方是否为预置的JS软件开发工具包JSSDK；如果是，则将所述服务访问请求发送到预置的代理服务器，以便所述代理服务器根据所述服务访问请求中携带的信息对所述服务访问请求进行安全性校验，如果校验通过，则将所述服务访问请求重新发送到第一服务器；重新接收到所述服务访问请求后，判断所述服务访问请求的发送方是否为代理服务器；如果是，则根据所述服务访问请求中指定的回传地址返回响应消息。通过本申请实施例，能够提高伪造服务访问请求的难度，提高安全性。

技术领域

本申请涉及第一服务器中的服务访问控制技术领域，特别是涉及对第三方应用进行服务访问控制的方法、装置及系统。

背景技术

在互联网时代，把网站的服务封装成一系列计算机易识别的数据接口，然后开放出去，供第三方开发者使用，这种行为就叫做开放API(Application ProgrammingInterface，应用程序编程接口)，提供开放API的平台本身就被称为开放平台。通过开放平台，网站不仅能提供对Web网页的简单访问，还可以进行复杂的数据交互，将它们的Web网站转换为与操作系统等价的开发平台。第三方开发者可以基于这些已经存在的、公开的Web网站而开发丰富多彩的应用。

例如，对于某电子商务交易平台而言，就可以面向第三方应用开发者，提供API接口和相关开发环境，这样，第三方软件开发者可通过这些开放API来获取交易平台内的用户信息(卖方和卖方用户信息，私有信息需要授权)、业务对象信息(例如商品的名称、类目、型号、介绍等信息)、业务对象类目信息(全网业务对象的索引及分类明细)、店铺信息、交易明细信息(在取得用户授权的情况下，查询每笔交易的详细情况)、业务对象管理(业务对象的上传、编辑、修改等接口)等信息，并建立相应的电子商务应用。

具体实现时，开放平台向第三方应用开发者提供开放API的方式有多种，例如，SDK本地调用、各种语言的服务器调用、无线手机调用等等。另外还有一种方式是可以将主业务平台(主要用于提供各种具体业务的平台，例如，某电子商务交易平台等)的一些功能以JS组件化的方式开放出去。例如，可以将某主业务平台的购物车、商品详情、收藏夹等功能直接以组件的方式开放给第三方应用开发者，这样，如果某第三方应用中需要添加该主业务平台的“购物车”功能，则直接将购物车功能对应的JS组件代码添加到其开发的应用(例如某第三方网站)中，这样，用户就可以直接从该第三方网站的页面中看到一些商品的详情等信息，并可以直接进行将商品加入到购物车的操作。

但是，在这种以JS组件化的方式开放的实现方式中，由于可能会涉及到主业务平台的核心组件，同时又由于该JS组件直接与对接的用户打交道，因此随之而来的安全问题成为了接下来急需要处理的问题。例如，在第三方应用中使用其添加的各种JS组件对应的功能时，第三方应用需要与开放平台进行交互，期间会涉及到一些请求的发送及响应等等，这就使得整个系统存在被第三方应用通过类似httpclient等方式模拟某功能的风险。例如，某第三方应用在通过某种方式窃取了交互过程中使用的协议及其参数等信息之后，就可以伪造访问请求，来模拟用户登录或者提交表单等操作，从而使得用户在系统中的信息甚至财产等的安全受到威胁。

发明内容

本申请提供了对第三方应用进行服务访问控制的方法、装置及系统，能够提高伪造服务访问请求的难度，提高安全性。

本申请提供了如下方案：

一种对第三方应用进行服务访问控制的方法，所述第三方应用中添加有所述第一服务器中特定功能对应的JS组件，所述方法包括：

接收到服务访问请求后，判断所述服务访问请求的发送方是否为预置的JS软件开发工具包JSSDK；其中，所述JSSDK由第一服务器提供，并由第三方应用中添加的JS组件代码自动将所述JSSDK下载到第三方应用本地；