一种API访问控制方法、系统、智能终端及存储介质与流程

本申请涉及计算机技术技术的领域，尤其是涉及一种api访问控制方法、系统、智能终端及存储介质。

背景技术：

1、随着互联网的发展，越来越多的平台开放其应用程序接口供第三方应用调用。同时，自动化攻击随之泛滥，无条件允许登录前访问的方式使得服务器面临资源耗尽的问题和虚假新账户、虚假广告点击、服务弱点扫面等多种安全威胁，甚至对服务器的运行和维护产生影响。

技术实现思路

1、本申请目的一是提供一种api访问控制方法，能够降低服务器被自动化攻击的次数。

2、本申请的上述申请目的一是通过以下技术方案得以实现的：

3、一种api访问控制方法，包括：

4、获取访问者的访问请求、访问者画像和访问接口参数；

5、基于预设的风险评估模型，根据所述访问者画像和访问接口参数确定当前访问的风险值，所述风险评估模型包括访问者画像、访问接口参数和风险值之间的对应关系；

6、确定风险值大于预设风险值时，根据预设的单次访问限值和获取到的访问设备计算能力分配验证任务；

7、当获取到的反馈结果验证成功时，授予访问者访问权限。

8、通过采用上述技术方案，能够根据访问者画像和访问接口参数确定本次访问的风险值，进一步确定是否需要设置单次访问限值，以限制访问者的访问频次。根据单次访问限值和访问设备的计算能力，可以分配给访问设备验证任务，访问设备需要通过计算完成验证任务，并且在验证成功后才能进行访问。本申请提供的方法可以通过消耗访问设备的计算资源来延长其单次访问所需的时间，进而控制访问频率，以降低服务器被自动化攻击的次数。

9、本申请在一较佳示例中可以进一步配置为：所述访问者画像至少包括每一次访问的访问时间、所在地址、访问者ip地址、访问设备、及其硬件信息、操作系统以及应用软件信息。

10、本申请在一较佳示例中可以进一步配置为：所述确定风险值大于预设风险值时，根据预设的单次访问限值和获取到的访问设备计算能力分配验证任务，当获取到的反馈结果验证成功时，授予访问者访问权限包括：

11、输出任务字符串至访问设备；

12、获取反馈字符串，所述反馈字符串为验证字符串去掉任务字符串得到的字符串，所述验证字符串为访问设备计算得到的哈希值中末尾预设位数的数值为零的字符串；

13、计算任务字符串与反馈字符串的哈希值；

14、验证所述哈希值中末尾预设位数的数值是否均为零，所述预设位数取决于单次访问限值和访问设备计算能力；

15、若是，则验证成功。

16、本申请在一较佳示例中可以进一步配置为：所述预设位数的确定方法包括：

17、根据单次访问限值和访问设备计算能力确定任务计算量；

18、基于预设的难度对照表，根据任务计算量确定预设位数，所述难度对照表包括不同的任务计算量和预设位数的对应关系。

19、本申请在一较佳示例中可以进一步配置为：

20、获取输出任务字符串的发送时间点和获取反馈字符串的反馈时间点；

21、根据所述发送时间点和反馈时间点确定访问设备的单次访问时长；

22、确定单次访问时长小于单次访问限值时，基于预设的调节规则，提高访问者的风险值。

23、本申请目的二是提供一种api访问控制系统，能够降低服务器被自动化攻击的次数。

24、本申请的上述申请目的二是通过以下技术方案得以实现的：

25、一种api访问控制系统，包括，

26、获取模块，用于获取访问者的访问请求、访问者画像和访问接口参数；

27、风险确定模块，用于基于预设的风险评估模型，根据所述访问者画像和访问接口参数确定当前访问的风险值，所述风险评估模型包括访问者画像、访问接口参数和风险值之间的对应关系；

28、分配模块，用于确定风险值大于预设风险值时，根据预设的单次访问限值和获取到的访问设备计算能力分配验证任务；

29、验证模块，用于验证获取到的反馈结果，并用于在获取到的反馈结果验证成功时，授予访问者访问权限。

30、本申请目的三是提供一种智能终端，能够降低服务器被自动化攻击的次数。

31、本申请的上述申请目的三是通过以下技术方案得以实现的：

32、一种智能终端，包括存储器和处理器，所述存储器上存储有能够被处理器加载并执行上述api访问控制方法的计算机程序。

33、本申请目的四是提供一种计算机存储介质，能够存储相应的程序，具有便于实现降低服务器被自动化攻击的次数。

34、本申请的上述申请目的四是通过以下技术方案得以实现的：

35、一种计算机可读存储介质，存储有能够被处理器加载并执行上述任一种api访问控制方法的计算机程序。

36、综上所述，本申请包括以下至少一种有益技术效果：

37、本申请能够根据访问者画像和访问接口参数确定本次访问的风险值，进一步确定是否需要设置单次访问限值，以限制访问者的访问频次。根据单次访问限值和访问设备的计算能力，可以分配给访问设备验证任务，访问设备需要通过计算完成验证任务，并且在验证成功后才能进行访问。本申请提供的方法可以通过消耗访问设备的计算资源来延长其单次访问所需的时间，进而控制访问频率，以降低服务器被自动化攻击的次数。

技术特征：

1.一种api访问控制方法，应用于服务器中，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述访问者画像至少包括每一次访问的访问时间、所在地址、访问者ip地址、访问设备、及其硬件信息、操作系统以及应用软件信息。

3.根据权利要求1所述的方法，其特征在于，所述确定风险值大于预设风险值时，根据预设的单次访问限值和获取到的访问设备计算能力分配验证任务，当获取到的反馈结果验证成功时，授予访问者访问权限包括：

4.根据权利要求3所述的方法，其特征在于，所述预设位数的确定方法包括：

5.根据权利要求3所述的方法，其特征在于，还包括：

6.一种api访问控制系统，其特征在于，包括，

7.一种智能终端，其特征在于，包括存储器和处理器，所述存储器上存储有能够被处理器加载并执行如权利要求1至5中任一种方法的计算机程序。

8.一种计算机可读存储介质，其特征在于，存储有能够被处理器加载并执行如权利要求1至5中任一种方法的计算机程序。

技术总结
本发明涉及一种API访问控制方法、系统、智能终端及存储介质，其方法包括获取访问者的访问请求、访问者画像和访问接口参数，访问者画像包括每一次访问的访问时间、所在地址、访问者IP地址、访问设备、及其硬件信息、操作系统以及应用软件信息；根据访问者画像和访问接口参数确定当前访问的风险值；基于预设的时间对照表，根据风险值确定单次访问限值，时间对照表包括不同的风险值和单次访问限值的对照关系；根据单次访问限值和获取到的访问设备计算能力分配验证任务；当获取到的反馈结果验证成功时，授予访问者访问权限。本申请可以通过消耗访问设备的计算资源来延长其访问得到响应的时间，进而控制访问频率，以降低服务器被自动化攻击的次数。

技术研发人员：杨东冬,韦文
受保护的技术使用者：北京安胜华信科技有限公司
技术研发日：
技术公布日：2024/1/12