[发明专利]一种基于长连接的接口防刷方法及系统

权利要求书

1.一种基于长连接的接口防刷方法，其特征在于，包括以下步骤：

步骤1：当长连接服务器与客户端建立长连接后，该客户端将用户信息加密后发送给长连接服务器，长连接服务器获取该客户端加密后的用户信息；所述用户信息包括DID、用户账号以及用户所访问的页面或APP；

步骤2：长连接服务器对步骤1加密后的用户信息进行解密并校验账号密码以实现对用户信息鉴权，如果校验通过，则防刷服务器根据该用户信息更新防刷服务器记录的用户状态，否则，不更新防刷服务器记录的用户状态；

步骤3：当业务服务器收到该客户端发出的访问业务接口请求时，业务服务器获取该用户的用户信息，并向防刷服务器发出请求，判断该用户的用户信息是否与防刷服务器记录的用户状态相匹配，如果匹配，则允许该用户通过该客户端访问业务接口，否则，拒绝该用户通过该客户端访问业务接口；

所述步骤3中，根据业务的安全性要求调整用户信息与防刷服务器记录的用户状态的匹配方式来判断是否允许请求访问业务接口；

对于安全性要求高的业务，需要用户当前所访问的页面或APP与防刷服务器记录的用户所在页面或APP匹配，则允许请求访问业务接口；

对于安全性要求低的业务，根据用户的DID和允许下线时长判断是否允许请求访问业务接口；在判断时，先根据DID查找用户状态，如果用户状态不为空，则允许请求访问业务接口；如果用户状态为空，且下线时长小于或等于允许下线时长，则允许请求访问业务接口；否则不允许请求访问业务接口；所述下线时长等于当前时间减去最后一次更新用户状态的时间。

2.如权利要求1所述的一种基于长连接的接口防刷方法，其特征在于，所述步骤1中，长连接服务器与客户端建立长连接的情况包括用户首次登录客户端、用户切换客户端以及用户断开重连客户端三种情况。

3.如权利要求1所述的一种基于长连接的接口防刷方法，其特征在于，所述步骤1中，加密方式为对称加密。

4.如权利要求1所述的一种基于长连接的接口防刷方法，其特征在于，所述接口防刷方法还包括步骤4：断开长连接，更新防刷服务器记录的用户状态为空，且在一时间段后，如果未进行任何更新操作，则删除该用户状态。

5.一种基于长连接的接口防刷系统，其特征在于，包括：

客户端，用于与长连接服务器建立长连接，并在与长连接服务器建立长连接后，将用户信息加密后发送给长连接服务器，以及用于向业务服务器发出访问业务接口请求；所述用户信息包括DID、用户账号以及用户所访问的页面或APP；

长连接服务器，用于获取客户端加密后的用户信息，对加密后的用户信息进行解密并校验账号密码以实现对用户信息鉴权，并将校验结果和用户信息发送给防刷服务器；

防刷服务器，用于根据校验结果和用户信息更新防刷服务器记录的用户状态，以及用于根据业务服务器的请求和用户信息返回用户匹配结果给业务服务器；

以及业务服务器，用于在客户端发出访问业务接口请求时，获取用户信息，向防刷服务器发送请求和用户信息，并根据防刷服务器的用户匹配结果，返回是否允许请求访问业务接口给客户端，具体为：根据业务的安全性要求调整用户信息与防刷服务器记录的用户状态的匹配方式来判断是否允许请求访问业务接口；

对于安全性要求高的业务，需要用户当前所访问的页面或APP与防刷服务器记录的用户所在页面或APP匹配，则允许请求访问业务接口；

对于安全性要求低的业务，根据用户的DID和允许下线时长判断是否允许请求访问业务接口；在判断时，先根据DID查找用户状态，如果用户状态不为空，则允许请求访问业务接口；如果用户状态为空，且下线时长小于或等于允许下线时长，则允许请求访问业务接口；否则不允许请求访问业务接口；所述下线时长等于当前时间减去最后一次更新用户状态的时间。