[发明专利]一种服务接口安全调用方法

权利要求书

1.一种服务接口安全调用方法，其特征在于，包括服务消费者、服务提供者和认证中心，通过认证中心对服务接口统一管理、分析、授权和生成公钥私钥，实现服务消费者在使用各个服务时由服务提供者调用认证接口，对消费者进行认证是否有权限使用；

所述认证为静态授权码认证方式，包括以下步骤：

服务消费者向服务提供者发起服务请求；

服务提供者获取服务消费者的请求数据publicKey、IP，并判断是否需要安全认证，若需要则向认证中心发起认证请求，将请求数据publicKey、IP发送给认证中心进行认证；若不需要，则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息；

认证中心收到服务提供者的认证请求时，获取服务提供者发送的请求数据publicKey、IP，进行认证是否有权限访问服务接口，若认证成功返回服务提供者成功标识，服务提供者再进行业务逻辑处理并返回消费者处理结果信息；若认证失败返回服务提供者失败标识，服务提供者直接返回消费者无权限访问该服务接口；

所述认证为动态授权码认证方式，包括以下步骤：

服务消费者每次请求服务时需先将 publicKey 和 IP 发送给认证中心的 API 获取ticket；

认证中心接收消费者的请求时获取请求数据 publicKey，并通过程序获取消费者请求的 IP 地址；

认证中心根据获取的 IP 地址校验是否在认证中心中存在并有效，若此 IP 的消费者有效，再判断此消费者请求的 publicKey 是否是认证中心中授权的 publicKey，若是则生成唯一授权码 ticket 并返回；若IP 对应的消费者或publicKey 不存在则返回错误消息，错误信息为公钥无效；

服务消费者若成功获取 ticket，则请求服务时将 ticket 和 IP 发送给需要请求的服务提供者；

服务提供者获取服务消费者的请求数据并判断是否需要安全认证， 若需要安全认证则向认证中心发起认证请求，将请求数据 ticket 发送给认证中心进行认证；若不需要安全认证则服务提供者直接将消费者的请求进行业务逻辑处理并返回给消费者处理结果信息；

认证中心收到服务提供者的认证请求时，获取服务提供者发送的请求数据ticket，根据 ticket 进行认证是否有权限访问该服务，若认证成功则返回服务提供者成功标识，并将此 ticket 从认证中心中删除，服务提供者再进行业务逻辑处理并返回消费者处理结果信息；若认证失败则返回服务提供者失败标识，服务提供者直接返回消费者无权限访问对应的服务。

2.根据权利要求 1 所述的服务接口安全调用方法， 其特征在于，所述接口之间数据传输采用 RSA 非对称加密方式和https 保证数据安全。

3.根据权利要求 2 所述的服务接口安全调用方法，其特征在于，非对称加密为SPA方式。