一种平台应用开放授权管理方法与流程

本发明涉及应用开发领域，具体涉及一种平台应用开放授权管理方法。

背景技术：

当前信息行业高速发展，变化繁多。各种独立应用生存空间越来越小，聚合应用群形成的平台因此诞生。一个出色的平台需要为开发者或者消费者提供各种能力和便利的环境，这就需要丰富的应用提供支撑。一个优秀的平台需要吸引大量三方开发者提供应用造血。应用授权是指平台为应用开发方规定使用应用的权限，权限包括使用期限和功能等。

由于涉及服务授权调用，目前三方应用开发要么完全受限制于平台方的开发框架，从开发部署流程就依赖于服务提供方的环境，经过繁琐的网络切换，部署在平台上，消耗大量沟通和时间成本。要么提供开放授权后，无法限制授权传播，导致同一个授权被多次使用，有很大的信息安全隐患。

技术实现要素：

为了克服现有技术中的不足，本发明提出的一种平台应用开放授权管理方法，其具有根据服务开发方的要求，给服务开发方按需求提供令牌，使服务开发方根据令牌既可以访问平台中的信息，同时也使平台能根据令牌约束服务开发方的访问信息的好处。

为了实现上述目的，本发明的一种平台应用开放授权管理方法，包括以下步骤，步骤s1：服务开发方在平台的应用上注册信息，并且服务开发方通过应用码和密钥登陆应用，平台生成令牌，令牌存储在平台中，并且平台发送令牌给应用；步骤s2：若服务开发方访问鉴权信息时，服务开发方通过携带令牌的网络请求发送给平台，平台根据令牌查询内部存储的鉴权信息并反馈给应用。

进一步的，所述令牌由时间戳和应用码组成。

进一步的，所述令牌的失效时间为15分钟。

进一步的，所述平台能依据平台管理者的命令申请令牌。

进一步的，若所述服务开发方访问的信息超出所述鉴权信息，所述平台判定令牌滥用，所述平台能自动撤销应用存储令牌的权利。

有益效果：服务开发方只有在登陆后才能查看鉴权信息，平台会根据应用码以及令牌获得服务开发方的信息，既减少了服务开发方访问鉴权信息的操作复杂性，也避免了所有的服务开发方在未登录时就随意访问鉴权信息，造成鉴权信息被滥用的情况。

附图说明

下面结合附图对本发明作进一步描写和阐述。

图1是本发明首选实施方式的步骤流程图。

具体实施方式

下面将结合附图、通过对本发明的优选实施方式的描述，更加清楚、完整地阐述本发明的技术方案。

如图1所示，本发明首选实施方式的一种平台应用开放授权管理方法，包括以下步骤，

步骤s1：服务开发方在平台的应用上注册信息，并且服务开发方通过应用码和密钥登陆应用，平台生成令牌，令牌存储在平台中，并且平台发送令牌给应用。

具体地，服务开发方在对应用进行开发时，需要在平台上注册信息，信息注册需要应用码和密钥。注册后，通过应用码和密钥登陆，应用登陆后，平台会生成令牌，同时平台将令牌存在平台的数据库中，又将令牌发送给应用。

若服务开发方在应用上开发规范业务，则服务开发方通过应用码和密钥无需登陆所述应用，就能在所述应用上开发规范业务。

具体地，如果服务开发方只是在应用上做常规的规范业务开发，这样就不需要了解客户信息等。这些规范业务主要有功能区分布、格局美化等。在做规范业务开发时，由于此操作中并不会对客户信息等造成影响，所以保证了客户信息不会被泄露。

步骤s2：若服务开发方访问鉴权信息时，服务开发方通过携带令牌的网络请求发送给平台，平台根据令牌查询内部存储的鉴权信息并反馈给应用。

具体地，如果服务开发者在对应用进行开发时，出现不可避免地需要访问用户信息的情况。为了避免客户信息被随意查看等造成的信息泄露，所以应用在对客户信息访问时，服务开发方必须保持应用为登陆状态。

服务开发方在应用上登陆，并且服务开发方访问平台中的鉴权信息时，该鉴权信息包括前述客户信息等。服务开发方在对鉴权信息进行访问的过程中，平台会依据服务开发方的登陆信息，生成令牌，并保存在平台的数据库中，同时再将令牌发送给应用。

令牌主要由时间戳和应用码组成，不易被破解。

具体的操作过程为，服务开发方在登陆状态下访问平台的鉴权信息时，平台首先根据应用码与令牌建立键-值对，这样根据应用码就能找到相应的令牌。

并且，平台再根据令牌与鉴权信息组成键-值对，这样根据令牌就能找到对应的鉴权信息。

也就是说，服务开发方访问平台的鉴权信息时，平台根据应用码找到相应的令牌，再根据令牌找到相应的鉴权信息，此时，服务开发方就能查询到相应的鉴权信息。然而，服务开发方无法访问除鉴权信息外的其他隐秘信息。

令牌在平台中的保存时间为15分钟，也就是说，如果服务开发方继续访问鉴权信息，在15分钟内，服务开发方均会带着具有相同令牌信息的网络请求来访问平台，平台再根据网络请求中的令牌信息，给应用反馈鉴权信息。

令牌是应用能访问平台的鉴权信息的关键，15分钟后，平台将会消除应用的原令牌，以保证平台中鉴权信息的安全。

具体地，在15分钟后，平台会自动地更改令牌，并发送给应用。此过程中，平台要首先删除数据库中的原来的令牌，并重新生成新令牌，将新令牌保存在数据库中。新令牌与鉴权信息重新形成键-值对。

如果在上述这15分钟内，应用上的服务开发方退出登陆，则应用的cookie中会保留前一个旧的令牌信息，应用携带着的旧的令牌信息访问鉴权信息时，由于旧的令牌与新的令牌不匹配，平台无法将数据库中的鉴权信息反馈给应用。自然就保证了应用在非登陆情况下被他人查看鉴权信息，造成客户信息的泄露。

应用需要重新登陆，平台将新形成的令牌会重新发送给应用，应用重新依靠新生成的令牌所形成的键-值对访问鉴权信息。

另外，平台的管理者也可以删除数据库中保存的令牌。或者，在平台认为服务开发方访问的信息超出所述鉴权信息，平台则判定此情况下令牌被滥用，平台能自动撤销应用申请令牌的权利，也就是平台将不再给该应用码发送令牌。

上述具体实施方式仅仅对本发明的优选实施方式进行描述，而并非对本发明的保护范围进行限定。在不脱离本发明设计构思和精神范畴的前提下，本领域的普通技术人员根据本发明所提供的文字描述、附图对本发明的技术方案所作出的各种变形、替代和改进，均应属于本发明的保护范畴。本发明的保护范围由权利要求确定。

技术特征：

1.一种平台应用开放授权管理方法，其特征在于，包括以下步骤，

步骤s1：服务开发方在平台的应用上注册信息，并且服务开发方通过应用码和密钥登陆应用，平台生成令牌，令牌存储在平台中，并且平台发送令牌给应用；

步骤s2：若服务开发方访问鉴权信息时，服务开发方通过携带令牌的网络请求发送给平台，平台根据令牌查询内部存储的鉴权信息并反馈给应用。

2.根据权利要求1所述的一种平台应用开放授权管理方法，其特征在于，所述令牌由时间戳和应用码组成。

3.根据权利要求1所述的一种平台应用开放授权管理方法，其特征在于，所述令牌的失效时间为15分钟。

4.根据权利要求1所述的一种平台应用开放授权管理方法，其特征在于，所述平台能依据平台管理者的命令撤销令牌。

5.根据权利要求1所述的一种平台应用开放授权管理方法，其特征在于，若所述服务开发方访问的信息超出所述鉴权信息，所述平台判定令牌滥用，所述平台能自动撤销应用申请令牌的权利。

技术总结
本发明提出的一种平台应用开放授权管理方法，其特征在于，包括以下步骤，步骤S1：服务开发方在平台的应用上注册信息，并且服务开发方通过应用码和密钥登陆应用，平台生成令牌，令牌存储在平台中，并且平台发送令牌给应用；步骤S2：若服务开发方访问鉴权信息时，服务开发方通过携带令牌的网络请求发送给平台，平台根据令牌查询内部存储的鉴权信息并反馈给应用。本方法中服务开发方只有在登陆后才能查看鉴权信息，平台会根据应用码以及令牌获得服务开发方的信息，既减少了服务开发方访问鉴权信息的操作复杂性，也避免了所有的服务开发方在未登录时就随意访问鉴权信息，造成鉴权信息被滥用的情况。

技术研发人员：余桐
受保护的技术使用者：紫光云(南京)数字技术有限公司
技术研发日：2020.09.04
技术公布日：2020.12.22