[发明专利]对第三方应用进行服务访问控制的方法、装置及系统

权利要求书

1.一种对第三方应用进行服务访问控制的方法，其特征在于，所述第三方应用中添加有第一服务器中特定功能对应的JS组件，所述方法包括：

接收到服务访问请求后，判断所述服务访问请求的发送方是否为预置的JS软件开发工具包JSSDK；其中，所述JSSDK由第一服务器提供，并由第三方应用中添加的JS组件代码自动将所述JSSDK下载到第三方应用本地；

如果是，则将所述服务访问请求发送到预置的代理服务器，以便所述代理服务器根据所述服务访问请求中携带的信息对所述服务访问请求进行安全性校验，如果校验通过，则将所述服务访问请求重新发送到第一服务器；

重新接收到所述服务访问请求后，判断所述服务访问请求的发送方是否为代理服务器；

如果是，则根据所述服务访问请求中指定的回传地址返回响应消息。

2.根据权利要求1所述的方法，其特征在于，所述服务访问请求为调用指定应用程序编程接口API的请求，所述服务访问请求中携带有第三方应用的标识信息；所述标识信息为第一服务器为所述第三方应用颁发的标识信息；

所述代理服务器根据所述服务访问请求中携带的信息对所述服务访问请求进行安全性校验，包括：

所述代理服务器根据所述第三方应用的标识信息以及预置的第三方应用与可调用API之间的对应关系，判断该第三方应用是否具有调用所述指定API的权限。

3.根据权利要求2所述的方法，其特征在于，所述服务访问请求中还携带有所述第三方应用的refer地址，所述refer地址与第一服务器颁发的标识信息一一对应；

所述代理服务器根据所述服务访问请求中携带的信息对所述服务访问请求进行安全性校验，还包括：

根据各个第三方应用的refer地址与标识信息之间的对应关系，判断所述服务访问请求中携带的第三方应用的refer地址及标识信息之间的对应关系是否正确。

4.根据权利要求1所述的方法，其特征在于，所述判断所述请求的发送方是否为代理服务器包括：

判断所述请求的发送方的IP地址是否处于预置的IP地址白名单中；其中，所述预置的IP地址白名单中保存有各个代理服务器的IP地址。

5.根据权利要求1所述的方法，其特征在于，所述方法之前还包括：

接收第三方应用的授权请求，根据所述第三方应用在注册时申请的权限，生成授权界面，并返回，以便用户根据所述授权界面对所述第三方应用进行授权。

6.根据权利要求5所述的方法，其特征在于，还包括：

在接收到用户的确认授权的消息后，生成服务访问令牌并写到cookies中，以便在所述服务访问请求中携带所述服务访问令牌，所述第一服务器根据所述服务访问令牌确定所述第三方应用是否是在经过用户允许的情况下发送的所述服务访问请求。

7.根据权利要求1至6任一项所述的方法，其特征在于，所述服务访问请求未经过签名处理。

8.一种对第三方应用进行服务访问控制的方法，其特征在于，所述第三方应用中添加有第一服务器中特定功能对应的JS组件，所述方法包括：

接收第一服务器发送的服务访问请求；所述服务访问请求为第三方应用通过JSSDK发送到第一服务器的服务访问请求；其中，所述JSSDK由第一服务器提供，并由第三方应用中添加的JS组件代码自动将所述JSSDK下载到第三方应用本地；

根据所述服务访问请求中携带的信息对所述服务访问请求进行安全性校验；

如果校验通过，则将所述服务访问请求重新发送到所述第一服务器，以便所述第一服务器根据所述服务访问请求中指定的回传地址返回响应消息。