技術(shù)領(lǐng)域

本發(fā)明涉及能力開(kāi)放技術(shù)領(lǐng)域，具體涉及提高能力調(diào)用成功率的方法及開(kāi)放平臺(tái)。

背景技術(shù)

開(kāi)放平臺(tái)是當(dāng)前移動(dòng)互聯(lián)網(wǎng)的技術(shù)熱點(diǎn)，開(kāi)放平臺(tái)負(fù)責(zé)接入和開(kāi)放各種電信能力和互聯(lián)網(wǎng)能力，電信能力如：短彩、語(yǔ)音等，互聯(lián)網(wǎng)能力如：人人網(wǎng)應(yīng)用接口(API，Application?Interface)、支付寶API等，并對(duì)其使用進(jìn)行鑒權(quán)和計(jì)費(fèi)。如何安全地開(kāi)放通過(guò)非代理模式接入的第三方平臺(tái)提供能力和資源成為至關(guān)重要的問(wèn)題。圖1給出了現(xiàn)有的典型能力開(kāi)放架構(gòu)圖，如圖1所示，其主要由開(kāi)發(fā)者的應(yīng)用平臺(tái)、開(kāi)放平臺(tái)和第三方能力平臺(tái)組成。

圖2給出了現(xiàn)有的典型能力開(kāi)放的消息流程示意圖，如圖2所示，其具體步驟如下：

步驟201：開(kāi)發(fā)者的應(yīng)用平臺(tái)通過(guò)HTTPs加密通道向開(kāi)放平臺(tái)發(fā)送WebToken(令牌)生成請(qǐng)求消息，以請(qǐng)求對(duì)第三方能力的調(diào)用授權(quán)。

步驟202：開(kāi)放平臺(tái)接收該WebToken生成請(qǐng)求消息，與第三方能力平臺(tái)協(xié)商，獲取能力調(diào)用授權(quán)，生成Webtoken，將Webtoken返回給開(kāi)發(fā)者的應(yīng)用平臺(tái)。

步驟203：開(kāi)發(fā)者的應(yīng)用平臺(tái)向第三方能力平臺(tái)發(fā)送API調(diào)用消息，該消息攜帶Webtoken和APPID(應(yīng)用標(biāo)識(shí))。

步驟204：第三方能力平臺(tái)接收該API調(diào)用消息，將該消息中的Webtoken攜帶在ValidateToken(驗(yàn)證令牌)消息中發(fā)送給開(kāi)放平臺(tái)，以請(qǐng)求對(duì)該Webtoken進(jìn)行鑒權(quán)。

步驟205：開(kāi)放平臺(tái)接收該ValidateToken消息，對(duì)該消息中的Webtoken進(jìn)行鑒權(quán)，若鑒權(quán)通過(guò)，則通知第三方能力平臺(tái)驗(yàn)證成功。

步驟206：第三方能力平臺(tái)通知開(kāi)放平臺(tái)計(jì)費(fèi)。

開(kāi)放平臺(tái)通過(guò)非代理模式接入第三方能力平臺(tái)的場(chǎng)景下，在能力調(diào)用的流程中，數(shù)據(jù)流無(wú)需經(jīng)過(guò)開(kāi)放平臺(tái)，只有控制流必須經(jīng)過(guò)開(kāi)放平臺(tái)，需要通過(guò)統(tǒng)一的令牌分配機(jī)制來(lái)完成對(duì)應(yīng)用的鑒權(quán)認(rèn)證。

當(dāng)前，隨著云計(jì)算的迅速發(fā)展，Web應(yīng)用大多采用集群存儲(chǔ)的服務(wù)方式，以實(shí)現(xiàn)負(fù)載均衡，提高服務(wù)的有效性和穩(wěn)定性。運(yùn)行在一個(gè)集群系統(tǒng)上的Web應(yīng)用帶來(lái)了多實(shí)例高并發(fā)的應(yīng)用場(chǎng)景。圖3給出了現(xiàn)有的多實(shí)例令牌分配機(jī)制的消息流程示意圖，如圖3所示，設(shè)有兩個(gè)應(yīng)用實(shí)例：應(yīng)用實(shí)例1、2，則具體步驟如下：

步驟301：應(yīng)用實(shí)例1向開(kāi)放平臺(tái)發(fā)送getToken(獲取令牌)消息，該消息攜帶APPID和APPKey(應(yīng)用密鑰)。

步驟302：開(kāi)放平臺(tái)接收該getToken消息，根據(jù)APPKey對(duì)應(yīng)用實(shí)例1進(jìn)行身份驗(yàn)證，驗(yàn)證通過(guò)，生成臨時(shí)授權(quán)令牌(TmpAuthToken)1，將臨時(shí)授權(quán)令牌1和臨時(shí)授權(quán)令牌1的剩余有效期返回給應(yīng)用實(shí)例1。

步驟303：應(yīng)用實(shí)例1使用臨時(shí)授權(quán)令牌1向開(kāi)放平臺(tái)發(fā)起CheckToken(校驗(yàn)令牌)消息。

步驟304：開(kāi)放平臺(tái)接收CheckToken消息，發(fā)現(xiàn)該消息中的臨時(shí)授權(quán)令牌1為有效令牌，則確定Token校驗(yàn)成功。

步驟305：應(yīng)用實(shí)例2向開(kāi)放平臺(tái)發(fā)送getToken消息，該消息攜帶APPID和APPKey。

步驟306：開(kāi)放平臺(tái)接收該getToken消息，根據(jù)APPKey對(duì)應(yīng)用實(shí)例2進(jìn)行身份驗(yàn)證，驗(yàn)證通過(guò)，發(fā)現(xiàn)臨時(shí)授權(quán)令牌1的有效期未滿，將臨時(shí)授權(quán)令牌1和臨時(shí)授權(quán)令牌1的剩余有效期返回給應(yīng)用實(shí)例2。

步驟307：應(yīng)用實(shí)例2使用臨時(shí)授權(quán)令牌1向開(kāi)放平臺(tái)發(fā)起CheckToken消息。

步驟308：開(kāi)放平臺(tái)接收CheckToken消息，發(fā)現(xiàn)該消息中的臨時(shí)授權(quán)令牌1的有效期已過(guò)，則確定Token校驗(yàn)失敗。

如圖3所示，在集群系統(tǒng)上運(yùn)行的Web應(yīng)用到開(kāi)放平臺(tái)申請(qǐng)令牌時(shí)，采用多應(yīng)用實(shí)例共享令牌的機(jī)制。一個(gè)應(yīng)用實(shí)例攜帶Web應(yīng)用的APPID及APPKey到開(kāi)放平臺(tái)申請(qǐng)令牌時(shí)，開(kāi)放平臺(tái)會(huì)分配一個(gè)帶有有效期的臨時(shí)授權(quán)令牌給該應(yīng)用實(shí)例，在Web應(yīng)用調(diào)用的過(guò)程中，應(yīng)用實(shí)例攜帶有效的臨時(shí)授權(quán)令牌到開(kāi)放平臺(tái)完成校驗(yàn)。在該臨時(shí)授權(quán)令牌的有效期內(nèi)，開(kāi)放平臺(tái)不會(huì)分配新的令牌，直到該令牌失效。

當(dāng)前第三方能力平臺(tái)能力開(kāi)放的安全機(jī)制存在以下問(wèn)題：

一、每次能力調(diào)用請(qǐng)求都會(huì)到開(kāi)放平臺(tái)申請(qǐng)令牌，并且申請(qǐng)過(guò)程需要通過(guò)HTTPS通道加密，在請(qǐng)求并發(fā)量大的情況下，對(duì)開(kāi)放平臺(tái)性能影響較大。

二、在多應(yīng)用實(shí)例共享令牌的場(chǎng)景下，不能同時(shí)更新令牌，或因能力調(diào)用請(qǐng)求消息并發(fā)導(dǎo)致的獲取令牌請(qǐng)求和驗(yàn)證令牌請(qǐng)求先發(fā)后至，導(dǎo)致令牌校驗(yàn)失敗，應(yīng)用無(wú)法正常調(diào)用。