(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210153455.1 (22)申请日 2022.02.18 (71)申请人 深圳前海环融联易信息科技 服务有 限公司 地址 518000 广东省深圳市前海深港合作 区前湾一路1号A栋201室 （入驻深圳市 前海商务秘书 有限公司） (72)发明人 王伟　李恺　 (74)专利代理 机构 深圳市中科创为专利代理有 限公司 4 4384 专利代理师 谭雪婷　彭涛 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 一种开放API接口 的签名验证方法 (57)摘要 本发明公开了一种开放API接口的签名验证 方法， 包括步骤S1： 请求端向API平台发送数据参 数请求； 步骤S2： API平台根据 请求生成带时间戳 和随机字符串的密钥， 根据所述秘钥对所述数据 参数进行签名处理， 并将秘钥和签名发送给请求 端； 步骤S3： 请求端访问所述API平台， API平台对 所述访问进行拦截， 并判断所述访问是否包含所 述时间戳和随机字符串， 否则则访问失败， 是则 进一步判断所述访问是否包含所述签名， 是则进 行步骤S4， 否则则访问失败； 步骤S4： 验证 所述签 名， 验证成功则允许所述请求端访问所述参数对 应的数据， 验证不成功则访问失败。 本发明实现 了保证了API平台请求来源身份合法， 请求参数 无法修改， 防止 了请求重复。 权利要求书1页 说明书3页 附图1页 CN 114520724 A 2022.05.20 CN 114520724 A 1.一种开 放API接口 的签名验证方法， 其特 征在于， 包括如下步骤： 步骤S1： 请求端向API平台发送数据参数请求； 步骤S2： API平台根据请求生成带时间戳和随机字符串的密钥， 并且， 根据所述秘钥， 对 所述数据参数进行签名处 理， 并将秘钥和签名发送给请求端； 步骤S3： 请求端访问所述API平台， API平台对所述访问进行拦截， 并判断所述访问是否 包含所述时间戳和随机字符串， 否则则访问失败， 是则进一步判断所述访问是否包含所述 签名， 是则进行步骤S4， 否则 则访问失败； 步骤S4： 验证所述签名， 验证成功则允许所述请求端访问所述参数对应的数据， 验证不 成功则访问失败。 2.根据权利 要求1所述的开放API接口的签名验证方法， 其特征在于： 在所述步骤S2中， 对所述数据参数进 行签名处理具体包括： 在原始的参数上拼接所述秘钥， 并且， 对拼接秘钥 后的参数进行MD5加密。 3.根据权利 要求2所述的开放API接口的签名验证方法， 其特征在于： 在所述步骤S3中， 在判断所述访问是否包含所述签名后， 还判断所述访问是否为超时访问， 是则 访问失败， 否 则进行步骤S4。 4.根据权利 要求3所述的开放API接口的签名验证方法， 其特征在于： 在所述步骤S3中， 在判断所述访问是否包含 所述签名前， 还判断所述访问是否包含请求端的访问令牌t oken； 是则在判断所述访问不是为超时访问后， 根据所述访问令牌t oken， 确定所述请求端的用户 唯一身份标识uid， 否则访问失败。 5.根据权利要求4所述的开放API接口的签名验证方法， 其特征在于： 还根据所述用户 唯一身份标识uid， 确定所述请求端为合法请求端来源， 当确定所述请求端不是为合法请求 端来源时， 则访问失败。 6.根据权利要求1 ‑5任一所述的开放API接口的签名验证方法， 其特征在于： 访问失败 失败后， 还返回一 错误码给所述请求端。 7.根据权利 要求1‑5任一所述的开放API接口的签名验证方法， 其特征在于： 步骤S4中， 验证所述签名成功后， 记录该次访问验证履历。权　利　要　求　书 1/1 页 2 CN 114520724 A 2一种开放 API接口的 签名验证方 法 技术领域 [0001]本发明涉及计算机软件领域， 尤其涉及的是一种开 放API接口 的签名验证方法。 背景技术 [0002]现在越来越多的平台提供了自身的API接口平台给其他方使用， 以方便增加用户 粘性， 壮大自身生态建设， 自己服务的传播， 当在接口被调用的同时， 也需要也需要防止本 身的数据被窃取， 数据被篡改， 数据泄 露等一系列安全问题。 [0003]通常API平台未添加接口验证方案， 导致数据泄露， 接口裸露， 暴力攻击， 导致平台 不可用， 或者 一些重复请求未 过滤处理。 [0004]因此， 现有技 术存在缺陷， 需要改进。 发明内容 [0005]本发明所要解决的技术问题是： 提供一种保证了AP I平台请求来源身份合法， 请求 参数无法修改， 并且， 防止 了请求重复的开 放API接口 的签名验证方法。 [0006]本发明的技术方案如下： 一种开放API接口的签名验证方法， 包括如下步骤： 步骤 S1： 请求端向API平台发送数据参数请求； 步骤S2： API平台根据请求生 成带时间戳和随机字 符串的密钥， 并且， 根据所述秘钥， 对所述数据参数进行签名处理， 并将秘钥和 签名发送给 请求端； 步骤S3： 请求端访问所述API平 台， API平 台对所述访问进行拦截， 并判断所述访问 是否包含所述时间戳和随机字符串， 否则则访问失败， 是则进一步判断所述访问是否包含 所述签名， 是则进 行步骤S4， 否则则访问失败； 步骤S4： 验证所述签名， 验证成功则允许所述 请求端访问所述 参数对应的数据， 验证不成功则访问失败。 [0007]应用于上述技术方案， 所述 的开放API接口的签名验证方法中， 在所述步骤S2中， 对所述数据参数进 行签名处理具体包括： 在原始的参数上拼接所述秘钥， 并且， 对拼接秘钥 后的参数进行MD5加密。 [0008]应用于上述各个技术方案， 所述的开放AP I接口的签名验证方法 中， 在所述步骤S3 中， 在判断所述访问是否包含所述签名后， 还判断所述访问是否为超时访问， 是则访问失 败， 否则进行步骤S4。 [0009]应用于上述各个技术方案， 所述的开放AP I接口的签名验证方法 中， 在所述步骤S3 中， 在判断所述访问是否包含所述签名前， 还判断所述访问是否包含请求端的访问令牌 token； 是则在判断所述访问不是为超时访问后， 根据所述访问令牌token， 确定所述请求端 的用户唯一身份标识uid， 否则访问失败。 [0010]应用于上述各个技术方案， 所述的开放API接口的签名验证方法中， 还根据所述用 户唯一身份标识uid， 确定所述请求端为合法请求端来源， 当确定所述请求端不是为合法请 求端来源时， 则访问失败。 [0011]应用于上述各个技术方案， 所述的开放API接口的签名验证方法中， 访问失败失败 后， 还返回一 错误码给所述请求端。说　明　书 1/3 页 3 CN 114520724 A 3