(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211246216.7 (22)申请日 2022.10.12 (71)申请人 中国航空结算有限责任公司 地址 100085 北京市顺 义区后沙峪镇裕民 大街7号中航信高科技产业园中国航 空结算有限责任公司 (72)发明人 于涛　朱映红　袁永俊　王波　 胡楠　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 李伟 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 67/02(2022.01) (54)发明名称 免配置的接口权限验证方法、 装置及系统 (57)摘要 本发明提供一种免配置的接口权限验证方 法、 装置及系统， 应用于前端系统， 响应登录操作 调取已生成的Http消息头与随机 数， Http消息头 中设置有由后端系统所返回的用户令牌、 且后端 系统已对应存储用户令牌与随机数； 响应针对前 端页面上目标控件的访问操作， 使用随机数对目 标控件所调用API接口的URL地址和参数进行加 密， 并将加密所获得的加密后的字符串添加到 Http消息头中； 将携带Http消息头的Http请求发 送至后端系统， 以使后端系统： 基于Http消息头 中的用户令牌确定随机 数； 使用随机 数对Http消 息头中的加密后的字符串进行解密， 并将解密所 获得的URL地址和参数与所查询到的API接口的 URL地址和参数进行对比； 如果两者相同， 则执行 Http请求； 如果两者 不同， 则拒绝执 行Http请求。 权利要求书2页 说明书9页 附图2页 CN 115550047 A 2022.12.30 CN 115550047 A 1.一种免配置的接口权限验证方法， 其特征在于， 所述方法应用于前端系统， 所述方法 包括： 响应登录操作， 调取已生成的Http消息头与随机数， 所述Http消息头中设置有用户令 牌， 所述用户令牌是后端系统所返回的、 且所述后端系统已对应存储所述用户令牌与所述 随机数； 响应针对前端页面上目标控件的访问操作， 使用所述随机数对所述目标控件所调用 API接口的URL地址和参数进行加密， 并将加密所获得的加密后的字 符串添加到所述Http消 息头中； 将携带所述Http消息头的Http请求发送至所述后端系统， 以使所述后端系统： 基于所述Http消息头中的所述用户令牌确定所述随机数； 使用所述随机数对所述Http 消息头中的所述加密后的字符串进行解密， 并将解密所获得的URL地址和参数与所查询 到 的所述API接口的URL地址和参数进 行对比； 如果两者相同， 则执行所述Http请求； 如果两者 不同， 则拒绝执 行所述Http请求。 2.根据权利要求1所述的方法， 其特征在于， 生成所述Http消息头与所述随机数的过 程， 包括： 获取登录信息， 并将所述登录信息发送至所述后端系统， 以使所述后端系统对所述登 录信息进行验证； 接收所述后端系统在所述登录信 息验证通过的情况下所返回的所述用户令牌， 并将所 述用户令牌设置 到所述Ht tp消息头中； 生成所述随机数， 并将所述随机数发送至所述后端系统， 以使所述后端系统将所述用 户令牌与所述随机数对应存 储于其后端缓存中。 3.一种免配置的接口权限验证装置， 其特 征在于， 所述装置包括： 登录响应模块， 用于响应登录操作， 调取已生成的Http消息头与随机数， 所述Http消息 头中设置有用户令牌， 所述用户令牌是后端系统所返回的、 且所述后端系统已对应存储所 述用户令牌与所述随机数； 访问响应模块， 用于响应针对前端页面上目标控件的访 问操作， 使用所述随机数对所 述目标控件 所调用API接口的URL地址和参数进行加密， 并将加密所获得的加密后的字 符串 添加到所述Http消 息头中； 将携带所述Http消息头的Http请求发送至所述后端系统， 以使 所述后端系统： 基于所述Http消息头中的所述用户令牌确定所述随机数； 使用所述随机数对所述Http 消息头中的所述加密后的字符串进行解密， 并将解密所获得的URL地址和参数与所查询 到 的所述API接口的URL地址和参数进 行对比； 如果两者相同， 则执行所述Http请求； 如果两者 不同， 则拒绝执 行所述Http请求。 4.根据权利要求1所述装置， 其特征在于， 所述登录响应模块生成所述Http消息头与所 述随机数的过程， 包括： 获取登录信息， 并将所述登录信息发送至所述后端系统， 以使所述后端系统对所述登 录信息进 行验证； 接收所述后端系统在所述登录信息验证通过的情况下所返回的所述用户 令牌， 并将所述用户令牌设置到所述Http消息头中； 生 成所述随机数， 并将所述随机数发送 至所述后端系统， 以使所述后端系统将所述用户令牌与所述随机数对应存储于其后端缓存权　利　要　求　书 1/2 页 2 CN 115550047 A 2中。 5.一种免配置的接口权限验证方法， 其特征在于， 所述方法应用于后端系统， 所述方法 包括： 接收前端系统发送的Http请求， 所述Http请求所携 带的Http消息头中包含用户令牌与 加密后的字符串， 所述加密后的字符串是所述前端系统响应针对前端页面上目标控件的访 问操作使用随机数对 所述目标控件 所调用API接口的URL地址和参数进 行加密所获得的， 所 述随机数与设置有所述用户令牌的所述Http消息头是所述前端系统响应登录操作所调取 的， 所述用户令牌是所述后端系统所返回的、 且所述后端系统已对应存储所述用户令牌与 所述随机数； 基于所述Ht tp消息头中的所述用户令牌确定所述随机数； 使用所述随机数对所述Http消息头 中的所述加密后的字符串进行解密， 并将解密所获 得的URL地址和参数与所查询到的所述API接口 的URL地址和参数进行对比； 如果两者相同， 则执 行所述Http请求； 如果两者 不同， 则拒绝执 行所述Http请求。 6.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 如果两者 不同， 向所述前端系统返回报错信息， 以使所述前端系统输出 所述报错信息 。 7.一种免配置的接口权限验证装置， 其特 征在于， 所述装置包括： 请求接收模块， 用于接收前端系统发送的Http请求， 所述Http请求所携带的Http消息 头中包含用户令牌与加密后的字符串， 所述加密后的字符串 是所述前端系统响应针对前端 页面上目标控件的访问操作使用随机数对所述目标控件所调用API接口的URL地址和参数 进行加密所获得的， 所述随机数与设置有 所述用户令牌的所述Http消息头是所述前端系统 响应登录操作所调 取的， 所述用户令牌是所述后端系统所返回的、 且所述后端系统已对应 存储所述用户令牌与所述随机数； 权限验证模块， 用于基于所述Http消息头中的所述用户令牌确定所述随机数； 使用所 述随机数对所述Http消息头中的所述加密后的字符串进行解密， 并将解密所获得的URL地 址和参数与所查询到的所述API接口的URL地址和参数进行对比； 如果两者相同， 则执行所 述Http请求； 如果两者 不同， 则拒绝执 行所述Http请求。 8.根据权利要求7 所述的装置， 其特 征在于， 所述权限验证模块， 还用于： 如果两者 不同， 向所述前端系统返回报错信息， 以使所述前端系统输出 所述报错信息 。 9.一种免配置的接口权限验证系统， 其特征在于， 所述系统包括： 前端系统和后端系 统， 所述前端系统用于执行权利要求1或2所述的免配置的接口权限验证方法， 所述后端系 统用于执 行权利要求5或6所述的免配置的接口权限验证方法。权　利　要　求　书 2/2 页 3 CN 115550047 A 3