[发明专利]权限控制方法及服务端

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种权限控制方法及服务端。

背景技术

随着软件规模的日益庞大，为了节约软件编写时间，常常在软件中调用应用程序接口，应用程序接口的主要目的是给应用程序与开发人员提供访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。通过应用程序接口可以实现软件之间的相互通信。通过使用应用程序接口，从而可以避免编写无用程序，以减轻编程任务。但是，目前服务端在被外部应用程序调用应用程序接口的过程中，不能很好地控制各个应用程序接口的访问权限，造成应用程序接口中业务的安全性比较低的问题。

发明内容

本发明的主要目的在于解决现有目前服务端在被应用程序调用的过程中，不能很好地控制各个应用程序接口的访问权限，造成应用程序接口中业务的安全性比较低的问题。

为实现上述目的，本发明提供一种权限控制方法，应用于服务端，所述权限控制方法包括：

接收外部调用程序发送的调用应用程序接口的请求消息，所述请求消息包括令牌；

对所述令牌的身份信息和权限信息进行验证；

若所述令牌的身份信息和权限信息验证通过，则允许所述外部调用程序调用所述应用程序接口；

若所述令牌的身份信息和权限信息验证失败，则向所述外部调用程序返回验证失败的提示。

优选地，所述接收外部调用程序发送的调用应用程序接口的请求消息的步骤之前还包括：

接收所述外部调用程序发送的身份信息，根据所述身份信息生成令牌，向所述外部调用程序发送所述令牌，并存储所述令牌。

优选地，所述根据所述身份信息生成令牌的步骤包括：

对所述身份信息设置对应的权限信息，将所述身份信息及所述权限信息进行加密处理，得到所述令牌。

优选地，所述对所述令牌的身份信息和权限信息进行验证的步骤包括：

对所述令牌进行解密处理，得到所述令牌包括的所述身份信息及所述权限信息；

判断所述身份信息及所述权限信息是否满足所述应用程序接口的验证条件；

若所述身份信息及所述权限信息满足所述应用程序接口的验证条件，则所述令牌的身份信息和权限信息验证通过；

若所述身份信息及所述权限信息不满足所述应用程序接口的验证条件，则所述令牌的身份信息和权限信息验证失败。

优选地，所述若所述令牌通过身份和权限验证，则允许所述外部调用程序调用应用程序接口的步骤之后还包括:

向所述外部调用程序返回所述应用程序接口对应的业务数据。

此外，为实现上述目的，本发明还提供一种服务端，所述服务端包括：

接收模块，用于接收外部调用程序发送的调用应用程序接口的请求消息，所述请求消息包括令牌；

验证模块，用于对所述令牌的身份信息和权限信息进行验证；

处理模块，用于若所述令牌的身份信息和权限信息验证通过，则允许所述外部调用程序调用所述应用程序接口；

提示模块，用于若所述令牌的身份信息和权限信息验证失败，则向所述外部调用程序返回验证失败的提示。

优选地，所述服务端还包括：

生成模块，用于接收所述外部调用程序发送的身份信息，根据所述身份信息生成令牌，用于向所述外部调用程序发送所述令牌，并存储所述令牌。

优选地，所述生成模块，具体还用于对所述身份信息设置对应的权限信息，将所述身份信息及所述权限信息进行加密处理，得到所述令牌。

优选地，所述验证模块，具体用于对所述令牌进行解密处理，得到所述令牌包括的所述身份信息及所述权限信息，判断所述身份信息及所述权限信息是否满足所述应用程序接口的验证条件，若所述身份信息及所述权限信息满足所述应用程序接口的验证条件，则所述令牌的身份信息和权限信息验证通过，若所述身份信息及所述权限信息不满足所述应用程序接口的验证条件，则所述令牌的身份信息和权限信息验证失败。

优选地，所述服务端还包括:

传输模块，用于向所述外部调用程序返回所述应用程序接口对应的业务数据。

本发明提供的权限控制方法及服务端，对外部调用程序发送的令牌进行验证，当验证通过时，才允许外部调用程序调用应用程序接口，能很好地控制各个应用程序接口的访问权限，提高应用程序接口中业务代码的安全性。

附图说明

图1为本发明的权限控制方法一实施例的流程示意图；

图2为图1中步骤20对所述令牌的身份信息和权限信息进行验证的一具体细化流程示意图；