买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：成都云祺科技有限公司

摘要：本发明涉及一种API安全实现方法、系统、介质及API框架实现方法，属于计算机技术领域。用于服务器端方法包括：验证配置及发送步骤，提取步骤；验证步骤；重新发送CSRF‑Token步骤。用于客户端方法包括：接收初始CSRF‑Token步骤；发送交互请求步骤；接收响应及二次CSRF‑Token步骤。本发明方法基于一次性的CSRF‑Token和时间戳验证用户交互请求，相比于现有技术中仅用时间戳进行验证，可以有效地防御重放攻击，且配置方便，不增加额外开销，交互及验证过程几乎无感。

主权项：1.一种API框架实现方法，其特征在于，用于服务器端，包括步骤；API框架创建步骤，在服务器创建具有统一API入口和路由池的API框架，API框架内设有若干相互隔离的主版本目录，每个主版本目录内设有若干相互隔离的次版本目录；路由池保存有请求匹配路径与指定版本目录之间的映射关系规则；版本调用请求接收步骤，API入口接收到客户端版本调用请求，版本调用请求包括URL路径和指定的HTTP头，或者URL路径和查询参数；版本调用请求还包括时间戳和待验证CSRF-Token；解析路由步骤，API框架解析版本调用请求，再按照路由池映射关系规则将版本调用请求路由到目标版本目录；响应步骤，根据路由结果，API框架调用目标版本目录处理客户端版本调用请求，再形成响应发回客户端；其中，所述API框架创建步骤，还包括：API框架初步创建步骤，在服务器端创建API框架，所述API框架具有统一的API入口，用于接收和响应外部请求；版本目录创建步骤，在API框架内创建若干相互隔离的主版本目录，每个主版本目录内创建通用配置信息目录和次版本目录，通用配置信息目录与次版本目录之间相互隔离，其中，通用配置信息目录用于存放所有次版本以及修订版本共享的配置信息，次版本目录内设有第一控制器，该控制器负责处理客户端请求并返回响应，包含业务逻辑和数据访问逻辑，版本调用请求的路径是解析到控制器；版本控制设置步骤，在API入口路径中设置版本控制，用于支持操作不同版本的API；路由池设置步骤，在API框架内创建路由池，在路由池内保存若干请求匹配路径，将请求匹配路径与指定版本目录之间一一对应，形成映射关系规则；其中，对于API框架的API调用防护还包括步骤：验证配置及发送步骤，生成一次性的初始CSRF-Token，设置交互请求的时间窗口，再将初始CSRF-Token发送给客户端；提取步骤，接收客户端交互请求，从客户端交互请求中提取时间戳和待验证CSRF-Token；验证步骤，验证交互请求携带的待验证CSRF-Token与服务器内保存的初始CSRF-Token是否一致，交互请求的时间戳是否在时间窗口内；若两者同时满足，则允许访问，并销毁服务器内保存的初始CSRF-Token；若两者不同时满足，则启动防御；重新发送CSRF-Token步骤，生成一次性的二次CSRF-Token，将二次CSRF-Token随响应发送给客户端。

全文数据：

权利要求：

百度查询： 成都云祺科技有限公司 API安全实现方法、系统、介质及API框架实现方法