技術(shù)領(lǐng)域

本申請涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種第三方應(yīng)用獲得用戶的會話Token(令牌)的方法、裝置及系統(tǒng)。

背景技術(shù)

開放平臺是指由網(wǎng)站(例如電子商務(wù)網(wǎng)站)提供的、面向第三方的開放式基礎(chǔ)服務(wù)平臺，其以O(shè)penAPI(Open?Application?Programming?Interface，開放應(yīng)用程序接口)的形式開放基礎(chǔ)服務(wù)。開放平臺具備的一個重要功能是向第三方應(yīng)用授權(quán)，允許第三方應(yīng)用從開放平臺獲取Token(令牌)，并通過該Token獲取用戶數(shù)據(jù)，例如用戶的地址、交易信息等。

網(wǎng)站提供的開放平臺普遍采用固定Token與會話Token相結(jié)合的授權(quán)方式，實現(xiàn)開放平臺和用戶對第三方應(yīng)用的授權(quán)，會話Token也稱為SessionKey(會話密鑰)。固定Token與會話Token相結(jié)合的授權(quán)方式是指：開放平臺向第三方應(yīng)用分配一個固定Token，用戶在發(fā)起對第三方應(yīng)用的訪問時，從開放平臺獲取為該用戶分配的會話Token，并將該會話Token提交給第三方應(yīng)用。該授權(quán)方式能夠保證第三方應(yīng)用必須經(jīng)過開放平臺與用戶的雙重授權(quán)，才能訪問用戶數(shù)據(jù)。其中，固定Token一般是由第三方應(yīng)用的開發(fā)者向開放平臺申請、并由開放平臺的管理者批準(zhǔn)后分配給第三方應(yīng)用；第三方應(yīng)用對會話Token的獲取需要用戶的授權(quán)。如何保證安全性、并能夠兼容各種應(yīng)用場景，成為解決第三方應(yīng)用獲得用戶的會話Token的關(guān)鍵問題之一。

現(xiàn)有技術(shù)中，各個開放平臺都推出了會話Token的獲取機制，例如FacebookConnect、OAuth等，均是基于HTTP(HyperText?Transfer?Protocol，超文本傳輸協(xié)議)跳轉(zhuǎn)的方式實現(xiàn)第三方應(yīng)用對用戶的會話Token的獲取。用戶訪問第三方應(yīng)用的實現(xiàn)流程，如圖1所示，包括如下步驟：

步驟1、用戶向開放平臺發(fā)起對第三方應(yīng)用的訪問；

步驟2、開放平臺驗證用戶身份；

步驟3、在用戶通過身份驗證之后，開放平臺指示用戶跳轉(zhuǎn)到第三方應(yīng)用，指示中攜帶為用戶分配的會話Token；

步驟4、用戶基于HTTP跳轉(zhuǎn)的方式訪問第三方應(yīng)用，提交開放平臺為該用戶分配的會話Token；

步驟5、第三方應(yīng)用獲得用戶的會話Token；

步驟6、第三方應(yīng)用向開放平臺訪問用戶數(shù)據(jù)，并攜帶固定Token和會話Token；

步驟7、開放平臺驗證第三方應(yīng)用攜帶的固定Token和會話Token；

步驟8、對固定Token和會話Token驗證通過后，開放平臺向第三方應(yīng)用返回用戶數(shù)據(jù)；

步驟9、第三方應(yīng)用根據(jù)開放平臺返回的用戶數(shù)據(jù)向用戶進行頁面展示。

其中，步驟1～步驟5為第三方應(yīng)用獲得用戶的會話Token的實現(xiàn)流程，步驟6～步驟9為第三方應(yīng)用訪問用戶數(shù)據(jù)并進行頁面展示的實現(xiàn)流程。上述第三方應(yīng)用獲得用戶的會話Token的技術(shù)方案，基于HTTP跳轉(zhuǎn)的方式實現(xiàn)，即需要用戶通過登錄過程獲取開放平臺為該用戶分配的會話token，用戶再基于HTTP跳轉(zhuǎn)的方式訪問第三方應(yīng)用，提交開放平臺為該用戶分配的會話Token。現(xiàn)有第三方應(yīng)用獲得用戶的會話Token的技術(shù)方案，僅適用于Web(萬維網(wǎng))應(yīng)用場景，而針對基于客戶端軟件的應(yīng)用場景，以及基于命令行的應(yīng)用場景無法適用，使得使用場景單一；現(xiàn)有第三方應(yīng)用獲得用戶的會話Token的技術(shù)方案，要求第三方應(yīng)用必需能夠嵌入開放平臺的用戶登錄頁面，不適用于Iframe等場景下的頁面，可定制化程度低；在第三方應(yīng)用獲得用戶的會話Token的過程中，會話Token在開放平臺與用戶之間以及用戶與第三方應(yīng)用之間進行了多次傳輸，導(dǎo)致該會話Token容易被劫持，系統(tǒng)的安全性較低。

申請內(nèi)容

本申請實施例提供一種第三方應(yīng)用獲得用戶的會話令牌的方法、裝置及系統(tǒng)，用以解決現(xiàn)有基于HTTP跳轉(zhuǎn)的方式存在的使用場景單一、可定制化程度低，以及系統(tǒng)的安全性較低的問題。

本申請實施例提供一種第三方應(yīng)用獲得用戶的會話令牌的方法，包括：

第三方應(yīng)用接收用戶發(fā)起的訪問，確認當(dāng)前未獲得用戶的會話令牌Token時，指示用戶獲得并提交授權(quán)碼；

第三方應(yīng)用接收用戶提交的從開放平臺處獲得的授權(quán)碼；以及

基于所述授權(quán)碼向開放平臺申請用戶的會話Token，并獲得開放平臺對所述授權(quán)碼驗證通過后返回的用戶的會話Token。

本申請實施例提供一種第三方應(yīng)用獲得用戶的會話令牌的裝置，包括：