一种防护API接口配置安全策略数据的方法及基于网关调用开放平台服务的方法及系统与流程

一种防护api接口配置安全策略数据的方法及基于网关调用开放平台服务的方法及系统
技术领域
1.本发明属于开放平台的服务调用技术领域，具体涉及防护api接口配置安全策略数据的方法及基于网关调用开放平台服务技术。


背景技术：

2.随着互联网、物联网等快速发展，越来越多的开发者会使用api接口为客户提供各种微服务并通过云原生应用快速部署容器进行快速迭代开发，因此无论是在互联网访问网络资源或者是通过物联网进行系统应用的控制都会利用api接口。由于在api接口既能够起到连接服务的功能，又可以用来传输数据，因此api的安全防护非常重要也非常敏感。目前已经出现了多起因为api被攻击或者存在漏洞而出现的数据泄露的事故，例如2018年国内发生的华为信息泄露事件导致大量的用户个人信息被泄露以及2019年instagram因api接口漏洞导致用户数据以及照片被泄露，这一类api安全被破坏的情况一旦出现在数据敏感的重要领域，例如金融行业、医疗行业等，就会引发恶劣的社会影响，一旦被泄露的数据被黑客非法使用都可能带来经济上甚至政治上的不良影响。
3.公开号为“cn112261022a”的中国专利文献公开了名称为“一种基于api网关的安全认证方法”的技术，利用token机制，结合私钥加密公钥解密的特征，在api网关上实现一套通用的身份认证和授权，满足api提供者不同的身份认证协议或标准，但是并未对每个api接口进行固定ip、固定租户、返回值过滤等方面的安全防护策略。


技术实现要素：

4.本发明的目的是提供一种防护api接口配置安全策略数据的方法及基于网关调用开放平台服务的方法及系统，解决的技术问题：相关技术中没有一种安全防护api接口的方法以确保安全调用开放平台服务及防止数据泄露。为解决上述技术问题，本发明采用的技术方案为：一种防护api接口配置安全策略数据的方法，开放平台管理系统配置应用和服务的安全策略数据，并通过以下步骤进行配置：a1:配置固定ip，其中，所述固定ip适用于所述服务和应用，仅在ip白名单列表内的调用者方可调用；a2:配置固定租户，其中，所述固定租户适用于服务和应用，仅在固定租户名单内的调用者方可调用；a3:配置返回值过滤，其中所述返回值过滤仅适用于服务，当调用者成功调用开放平台服务时，开放平台返回返回值过滤清单内有记录的参数。
5.优选地，所述固定租户包括乘用车、商用车、新能源汽车及燃油车。
6.优选地，所述返回的参数包括birthday、gender、facelmgurl、usernickname及isrealnameauthed。
7.优选地，所述应用位于开发者端，所述服务位于开放平台。
8.本发明还提供一种基于网关调用开放平台服务的方法，具体包括以下步骤：b1：调用开放平台服务；b2：网关根据开放平台管理系统配置好的固定ip、固定租户及返回值过滤进行校验；b3：校验通过后网关再根据配置好的所述固定ip、固定租户及返回值过滤调用内部接口；b4：当调用内部接口成功后，通过网关返回给开发者正确的接口数据。
9.优选地，在所述b4中，如果调用内部接口没有成功，则返回错误信息给所述开发者。
10.本发明还提供一种基于网关调用开放平台服务的系统，包括：第一调用模块，用于调用开放平台服务；校验模块，用于网关根据开放平台管理系统配置好的固定ip、固定租户及返回值过滤进行校验；第二调用模块，用于校验通过后网关再根据配置好的所述固定ip、固定租户及返回值过滤调用内部接口；第一返回模块，用于当调用内部接口成功后，通过网关返回给开发者正确的接口数据；第二返回模块，用于当调用内部接口没有成功，返回错误信息给所述开发者。
11.通过采用上述技术方案，本发明可达到的有益技术效果为：在本发明中，用户端（或者开发者）从开放平台通过api接口调用服务，开放平台管理系统配置了服务的安全策略数据，配置了固定ip，仅在ip白名单列表内的调用者方可调用；配置了固定租户，仅在固定租户名单内的调用者方可调用；配置了返回值过滤，当调用者成功调用开放平台服务时，开放平台返回返回值过滤清单内有记录的参数；在用户端（或者开发者）的app也可以进行固定ip、固定租户、返回值过滤的设置；通过在服务端或者应用端配置安全策略数据，可促使用户安全使用api所提供的服务，且能够为用户的隐私数据进行保驾护航。
附图说明
12.图1为本发明整体业务流程图；图2为注册服务界面；图3为新增/编辑服务的安全策略界面；图4为应用管理界面；图5为应用的安全策略配置界面；图6为应用详情界面；图7为应用下的服务安全策略配置界面。
具体实施方式
13.下面结合附图对本发明作进一步说明。
14.如图1所示，为安全策略工作业务流程，开发者通过发起调用接口开始实行调用，
当开始调用的时候，会经过安全策略的校验，策略组进行认证，应用策略组再认证，然后经过策略组认证子流程，如果认证通过，则经过接口策略组认证，进而通过策略组认证子流程，如果认证通过则经过安全策略的校验，进而可以调用内部接口，然后正确返回开发者需要的服务。
15.当策略组认证子流程认证不通过时，返回给开发者的数据是错误返回。
16.上述策略组认证子流程为：先经过策略认证，然后判断策略认证结果是否通过，如果是，在再判断是否还有其他策略，如果是，则再进行策略认证。
17.本发明提供一种防护api接口配置安全策略数据的方法，开放平台管理系统配置应用和服务的安全策略数据，并通过以下步骤进行配置：配置固定ip，其中，固定ip适用于服务和应用，仅在ip白名单列表内的调用者方可调用；配置固定租户，其中固定租户适用于服务和应用，仅在固定租户名单内的调用者方可调用；配置返回值过滤，其中返回值过滤仅适用于服务，当调用者成功调用开放平台服务时，开放平台返回值过滤清单内有记录的参数。
18.具体地，固定租户包括乘用车、商用车、新能源汽车及燃油车。当然这儿可以根据用户端开放者与服务平台之间签订的协议自己定义，还可以自定义多个租户内容。
19.具体地，返回的参数包括birthday、gender、facelmgurl、usernickname及isrealnameauthed。birthday为生日，gender为性别，facelmgurl为人脸图像地址，usernickname用户昵称，isrealnameauthed为真实姓名。
20.具体地，开发者（或用户端）仅需要返回自己想要的参数，其他不想要的参数就被过滤掉了。
21.具体的应用位于开发者端，服务位于开放平台。
22.本发明还提供一种基于网关调用开放平台服务的方法，具体包括以下步骤：调用开放平台服务；网关根据开放平台管理系统配置好的固定ip、固定租户及返回值过滤进行校验；校验通过后网关再根据配置好的固定ip、固定租户及返回值过滤调用内部接口；当调用内部接口成功后，通过网关返回给开发者正确的接口数据。其中，如果调用内部接口没有成功，则返回错误信息给开发者。
23.本发明还提供一种基于网关调用开放平台服务的系统，包括：第一调用模块，用于网关根据开放平台管理系统配置好的固定ip、固定租户及返回值过滤进行校验；第二调用模块，用于校验通过后网关再根据配置好的固定ip、固定租户及返回值过滤调用内部接口；第返回模块，用于当调用内部接口成功后，通过网关返回给开发者正确的接口数据；第二返回模块，用于当调用内部接口没有成功，返回错误信息给开发者。
24.如图2所示，为注册服务界面，点击注册服务或者编辑，可对服务配置是否需要固定ip；如果勾选固定ip，则进入应用详情添加服务时可对服务进行固定ip的具体ip填写。
25.如图4所示，进入应用管理界面，可对应用进行固定ip的配置。
26.如图5所示，可选择启用固定ip，如启用，则需要填写ip地址；禁用则不需要填写。
27.如图2所示，进入注册服务界面，点击注册服务或者编辑，可对服务配置是否需要固定租户；如果勾选固定租户，则进入应用详情添加服务时可对服务进行固定租户的具体租户的勾选，如果勾选，则只有该租户下的车辆可调用该服务。
28.如图4所示，进入应用管理页面，可对应用进行固定租户的配置。
29.如图5所示，可选择启用固定租户，如启用，则需要勾选能调用的租户；禁用则不需要勾选。
30.如图2和图3所示，进入注册服务页面，点击注册服务或者编辑，可对服务配置是否需要进行返回值过滤。
31.如图6和图7所示，如果勾选返回值过滤，则进入应用详情添加服务时，可对服务进行返回参数的选择，如果选择了参数，则调用该服务时，返回的就只有选择了的参数。
32.安全策略说明：第一，应用的安全策略可以不选或多选；第二，应用上配置了安全策略后，必须配置对应的参数，否则无法完成配置。第三，应用的服务中配置了安全策略后，必须配置对应的策略参数，否则无法完成配置。第四，应用的服务列表中设置了安全策略，则此安全策略仅针对该应用下的该服务生效。