技術(shù)領(lǐng)域

本公開涉及網(wǎng)絡(luò)應(yīng)用技術(shù)領(lǐng)域，特別地，涉及一種實(shí)現(xiàn)JS（JavaScript，Java腳本）API（Application Program Interface，應(yīng)用程序接口）安全訪問控制的方法與裝置。

背景技術(shù)

智能終端應(yīng)用形態(tài)主要分為Web（網(wǎng)絡(luò)）應(yīng)用和本地應(yīng)用兩類，Web應(yīng)用是指運(yùn)行在瀏覽器上的應(yīng)用形態(tài)，本地應(yīng)用是指直接運(yùn)行在操作系統(tǒng)之上的應(yīng)用形態(tài)。Web應(yīng)用采用網(wǎng)頁(yè)語(yǔ)言開發(fā)，具有開發(fā)簡(jiǎn)單、跨平臺(tái)適配等優(yōu)點(diǎn)，而本地應(yīng)用一般采用Java、C等語(yǔ)言開發(fā)，具有開發(fā)能力強(qiáng)、交互性好、效率高等優(yōu)點(diǎn)。同時(shí)這兩種應(yīng)用形態(tài)也在不斷地融合，從而出現(xiàn)了Widget（微件）類應(yīng)用形態(tài)，其可采用網(wǎng)頁(yè)語(yǔ)言開發(fā)，同時(shí)具備本地應(yīng)用的使用形式并且可以跨平臺(tái)運(yùn)行。雖然現(xiàn)階段智能終端的應(yīng)用形態(tài)仍以本地應(yīng)用為主，但是Web應(yīng)用和Widget應(yīng)用隨著HTML5標(biāo)準(zhǔn)的出現(xiàn)以及智能終端多平臺(tái)的發(fā)展也正逐步展現(xiàn)出良好的發(fā)展勢(shì)頭。

HTML5標(biāo)準(zhǔn)的出現(xiàn)，使得Web應(yīng)用或Widget應(yīng)用可以像本地應(yīng)用一樣調(diào)用終端設(shè)備能力，顯著增強(qiáng)了Web應(yīng)用的表現(xiàn)能力和功能，同時(shí)也帶來(lái)了安全風(fēng)險(xiǎn)：Web應(yīng)用包由大量的Java Script、HTML文件以及CSS（Cascading Style Sheet，層疊樣式表單）文件組成；從某種角度上看，Web應(yīng)用的源碼對(duì)用戶幾乎是透明的。因此，Web應(yīng)用很容易被第三方惡意軟件利用，對(duì)用戶的設(shè)備和應(yīng)用安全帶來(lái)威脅。

發(fā)明內(nèi)容

本公開鑒于以上問題中的至少一個(gè)提出了新的技術(shù)方案。

本公開在其一個(gè)方面提供了一種實(shí)現(xiàn)JS應(yīng)用程序接口安全訪問控制的方法，其可保證訪問對(duì)象對(duì)終端能力的安全調(diào)用。

本公開在其另一方面提供了一種實(shí)現(xiàn)JS應(yīng)用程序接口安全訪問控制的裝置，其可保證訪問對(duì)象對(duì)終端能力的安全調(diào)用。

根據(jù)本公開，提供一種實(shí)現(xiàn)JS應(yīng)用程序接口安全訪問控制的方法，包括：

接收訪問對(duì)象發(fā)起的對(duì)一應(yīng)用程序接口API的調(diào)用請(qǐng)求；

自訪問對(duì)象的權(quán)限文件查詢?cè)L問對(duì)象是否具有訪問API的權(quán)限；

響應(yīng)于具有訪問API的權(quán)限，查詢終端能力；

根據(jù)終端能力判斷是否允許訪問對(duì)象調(diào)用API；

如果允許訪問對(duì)象調(diào)用API，則向訪問對(duì)象反饋允許調(diào)用API的信息，否則，拒絕訪問對(duì)象對(duì)API的調(diào)用請(qǐng)求。

在本公開的一些實(shí)施例中，訪問對(duì)象為Widget應(yīng)用或Web應(yīng)用。

在本公開的一些實(shí)施例中，終端能力包括終端設(shè)備能力、互聯(lián)網(wǎng)能力與運(yùn)營(yíng)商能力。

在本公開的一些實(shí)施例中，該方法還包括：

如果終端設(shè)備能力、互聯(lián)網(wǎng)能力與運(yùn)營(yíng)商能力中各API在進(jìn)行調(diào)用時(shí)需檢查環(huán)境狀態(tài)，則將終端設(shè)備能力、互聯(lián)網(wǎng)能力與運(yùn)營(yíng)商能力中各API與相應(yīng)環(huán)境狀態(tài)相關(guān)聯(lián)。

在本公開的一些實(shí)施例中，該方法還包括：

響應(yīng)于具有訪問API的權(quán)限，根據(jù)終端設(shè)備能力、互聯(lián)網(wǎng)能力與運(yùn)營(yíng)商能力中各API與相應(yīng)環(huán)境狀態(tài)的關(guān)聯(lián)關(guān)系判斷在調(diào)用API時(shí)是否需檢查環(huán)境狀態(tài)；

如需檢查環(huán)境狀態(tài)，則到終端的內(nèi)存中查詢終端的當(dāng)前環(huán)境狀態(tài)；

根據(jù)環(huán)境狀態(tài)判斷是否允許訪問對(duì)象調(diào)用API。

在本公開的一些實(shí)施例中，該方法還包括：

響應(yīng)于終端的當(dāng)前環(huán)境狀態(tài)的改變，將改變后的環(huán)境狀態(tài)更新到終端的內(nèi)存中。

在本公開的一些實(shí)施例中，該方法還包括：

判斷在對(duì)API進(jìn)行調(diào)用時(shí)是否需進(jìn)行二次確認(rèn)；

如需進(jìn)行二次確認(rèn)，則接收終端設(shè)備使用者反饋的信息，并根據(jù)反饋的信息確定是否允許訪問對(duì)象調(diào)用API。

在本公開的一些實(shí)施例中，該方法還包括：

判斷API是否需進(jìn)行接入認(rèn)證；

如需進(jìn)行接入認(rèn)證，則根據(jù)訪問對(duì)象的權(quán)限文件對(duì)API進(jìn)行認(rèn)證，以確定是否允許訪問對(duì)象調(diào)用API，其中，訪問對(duì)象的權(quán)限文件包括訪問權(quán)限和認(rèn)證信息。

根據(jù)本公開，還提供了一種實(shí)現(xiàn)JS應(yīng)用程序接口安全訪問控制的裝置，包括：

API調(diào)用請(qǐng)求接收單元，用于接收訪問對(duì)象發(fā)起的對(duì)一應(yīng)用程序接口API的調(diào)用請(qǐng)求；

API訪問權(quán)限查詢單元，用于自訪問對(duì)象的權(quán)限文件查詢?cè)L問對(duì)象是否具有訪問API的權(quán)限；

終端能力查詢單元，用于響應(yīng)于具有訪問API的權(quán)限，查詢終端能力；

調(diào)用判斷單元，用于根據(jù)終端能力判斷是否允許訪問對(duì)象調(diào)用API；