[发明专利]一种移动智能终端APP请求流程控制方法

说明书

技术领域

本发明涉及移动互联网安全领域，具体是一种移动智能终端APP请求流程控制方 法。

背景技术

随着移动互联网发展，基于各种方式的网络攻击日益猖獗。由于大部分的URL (UniformResourceLocator，简称URL）请求服务都是无状态的，这导致了拒绝服务攻击急 速增加。大量非法的URL请求，浪费后台服务资源，大大降低了合法用户的体验，甚至造成用 户个人信息的泄漏。防止这种攻击，现有技术采取的方法是对无线移动终端进行流量监听 和统计，当无线移动终端的报文流量超过预设阈值时，将无线移动终端加入黑名单，并丢弃 无线移动终端发送的报文。这种基于流量检测的抵抗拒绝服务攻击的方法，全网的无线接 入网设备无法阻止泛洪攻击源同时还会丢弃合法的报文，导致合法的无线接入网设备安全 性和可靠性低。

发明内容

本发明要解决的技术问题是：现有技术不能精准阻击非法的网络请求，而导致浪 费后台服务资源，用户体验降低的问题。

本发明具体是提供一种移动智能终端APP请求流程控制方法，其特征包括如下步 骤：

s1、服务端根据URL请求所携带的参数，调用相应请求次序配置；

s2、判断URL请求是否为所述请求次序配置预先设定的起始请求，是则进行步骤s3、s4 和s5，否则进行步骤s6；

s3、执行URL请求的业务处理；

s4、生成下一次请求所需的步骤密钥；

s5、所述步骤密钥保留在服务端的缓存中，同时返回并加入移动智能设备APP的下一条 URL请求中；

s6、判断URL请求所携带的步骤密钥与服务端的缓存中的步骤密钥是否一致，一致则进 行步骤s3、s4和s5，否则退出请求流程。

进一步的，在步骤s3执行URL请求的业务处理后，判断URL请求是否为所述请求次 序配置预先设定的末位请求，是则退出请求流程，否则进行步骤s4和s5。

为降低被破解风险，所述步骤密钥在服务端的缓存中设定有有效时间。

进一步的，所述步骤密钥生成所用参数包括URL、时间戳和/或移动智能终端ID。

进一步的，所述流程配置采用xml的数据格式。

本发明通过将移动智能终端APP的URL业务请求进行编序，配置到请求网关。当相 应的业务请求到达，触发安全机制，检测URL请求是否遵循指定的请求顺序，所携带的参数 是否合法（是否与上次请求返回的一致），据此拒绝所有的非法URL请求。由此，通过配置不 同的条件，使得当URL请求进入时，后台在处理业务请求前，为服务后台建立起一道屏障。只 有完全合法的请求和请求顺序才能交给后台执行，提高服务安全性，也提升了用户体验。

附图说明

图1为本发明实施例（注册流程）流程图；

图2为本发明实施例URL请求流程控制流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的 附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发 明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

移动智能终端APP对服务后台的业务过程通常有“注册流程”、“使用流程”、“注销 流程”等流程类型。每个流程类型根据实际包含的URL请求分别编序，配置成xml数据格式文 件，并配置存储到请求网关。当相应的业务发出请求，则触发安全机制，调取相应流程类型 的请求次序配置。检测URL请求是否遵循指定的请求顺序，所携带的参数是否合法（是否与 上次请求返回的一致），如果不合法，则拒绝执行URL请求的业务处理。

下面以某APP的“注册流程”为例进行具体说明。

图1为某APP注册流程的流程图。本注册流程包含有5条URL请求：1、请求服务后台 发送图片验证码；2、向后台提交验证码；3、请求后台发送短信校验码；4、向提交短信验证 码；5、向后台提交注册数据。

针对本注册流程相应的xml格式的请求次序配置有如下内容：

<xmlversion="1.0"encoding="UTF-8">

<requestflow>