本申請公開了對第三方應用進行鑒權的方法及系統，所述方法包括：在對第三方應用進行授權、創建會話并向第三方應用頒發訪問令牌之后，將所述訪問令牌置為在線狀態，并配置在線狀態的有效時間；在所述有效時間內監聽該第三方應用所在瀏覽器發送的心跳包，如果監聽到所述心跳包，則根據所述心跳包中攜帶的cookie信息對該心跳包的合法性進行判斷，如果所述心跳包合法，則將所述在線狀態的有效時間進行一次延長；接收到第三方應用發送的攜帶有訪問令牌的應用程序編程接口API調用請求時，通過判斷所述訪問令牌當前是否處于在線狀態，確定用戶是否正在使用所述第三方應用，并根據判斷結果響應所述API調用請求。通過本申請，可以提高用戶數據的安全性。

技術領域

本申請涉及開放平臺的第三方鑒權技術領域，特別是涉及對第三方應用進行鑒權的方法及系統。

背景技術

平臺型互聯網應用（例如，電子商務、應用交易平臺等）為了給用戶（例如，電子商務、應用交易平臺中的賣方用戶）提供更細分的服務，一般需要引入第三方開發者來完成。例如，對于電子商務交易平臺而言，第三方開發者可以對點擊量、跨店鋪點擊、訂單流轉量甚至相關即時通信工具中的聊天記錄等信息進行收集和分析，最終提供給賣方用戶直觀的建議。也就是說，對于某互聯網應用的用戶而言，在該互聯網應用的網頁中瀏覽到的一些數據分析結果等信息，可以是由第三方App（應用程序）提供的。為了支持第三方應用實現上述功能中，電子商務交易平臺一般需要提供一個開放平臺，通過開放平臺開放一些API（Application Programming Interface,應用程序編程接口）給第三方應用開發者，第三方App通過調用開放平臺的API來獲取一些數據，進而提供相應的分析等服務。

開放平臺提供給第三方App的數據可能會涉及特定用戶的私密數據，一般情況下，需要用戶的授權才能獲取到。但是，開放平臺一般不允許第三方App擁有自己的登陸鑒權體系，必須使用開放平臺的賬號體系。現有的開放平臺的授權體系一般使用使用Oauth2.0協議。Oauth是業界的一個開放標準，用來允許用戶通過第三方App，操作該用戶在某一個網站上存儲的私密的數據，而不需要第三方App獲取該用戶的用戶名和密碼。

隨著業務的不斷豐富和全面，對授權體系的安全性和嚴謹性也提出了不一樣的要求。因為，可能有大量的用戶幾乎完全在第三方App上工作，他們要求能夠在第三方App上更方便的完成幾乎所有的操作。

但是，現有的授權體系中，開放平臺僅在用戶授權的時候對用戶的身份進行校驗，一旦登陸授權，用戶瀏覽器跳轉到第三方App頁面，此時用戶就已經離開開放平臺，他的任何操作都是和第三方App打交道，而開放平臺只接收第三方App的API請求。但是，開放平臺只能識別第三方App的API請求，無法區分是否是用戶自己在使用第三方App。而這一點，也是基于Oauth授權的開放平臺安全性最薄弱的一環，即用戶授權第三方App讀寫該用戶在開放平臺的數據，而當第三方App來讀寫該用戶的數據的時候，開放平臺不能區分是不是用戶本人在使用，進而就無法開放安全需求更高的業務。例如：假設開放平臺將同意退款業務開放成API，直接涉及到金錢的流動，如果使用現有的Oauth協議，會導致第三方App有機會惡意去幫助用戶執行同意退款操作，而開放平臺無法區分，這將會出現用戶已經關閉了第三方App的頁面的情況下，卻發現有一筆交易的退款被同意了，這當然是不允許的。

因此，迫切需要本領域技術人員解決的技術問題就在于：如何完善開放平臺的授權體系，使得開放平臺能夠區分第三方App的API請求是否為用戶本人使用第三方App的情況下發出的，進而確定是否向第三方App開放敏感的數據，以保證用戶數據的安全性。

發明內容

本申請提供了對第三方應用進行鑒權的方法及系統，可以提高用戶數據的安全性。

本申請提供了如下方案：

一種對第三方應用進行鑒權的方法，所述第三方應用基于瀏覽器/服務器架構實現，所述第三方應用的頁面中嵌入有預置的軟件開發工具包SDK所述方法包括：