技術領域

本發明涉及數字信息的傳輸，例如電報通信的技術領域，特別涉及一種有效解決業務云平臺與安全云平臺之間API調用的安全問題的云平臺的安全對接方法。

背景技術

云平臺是云計算落實的重要環節之一，其允許開發者們將寫好的程序放在“云”里運行，或是使用“云”里提供的服務，或二者皆是。

云平臺一般包括安全云平臺和業務云平臺，其中，安全云平臺即客戶端，業務云平臺即第三方接入平臺，為服務端。在安全云平臺和業務云平臺對接的時候，往往是業務云平臺提供API接口供安全云平臺申請虛擬化資源，為安全業務提供運行環境，這些對接的API一般包括虛擬機的創建（含獲取VPC網絡列表、虛擬機模板列表、鏡像列表、網卡配置、磁盤配置）、刪除，重啟、關機等接口。

為了確保業務云平臺不被入侵，一般需要對上述API的使用者做身份驗證，傳統的身份驗證是通過Cookie完成的。API接口一般通過HTTP協議完成，HTTP是一種沒有狀態的協議，其并不知道是誰在訪問應用，為了完成身份驗證，當用戶請求登錄的時候，服務端會生成一條記錄，在這個記錄里附帶說明登錄的用戶信息，然后把這條記錄的ID號發送給客戶端，客戶端收到以后把這個ID號存儲在Cookie里，下次這個用戶再向服務端發送請求的時候會攜帶這個Cookie，由服務端進行驗證，如果能在服務端這里找到對應的記錄，則說明用戶已經通過了身份驗證，將用戶請求的數據返回給客戶端。

然而，現有技術中，Cookie存在一定的技術缺陷，由于Cookie的安全性較低，惡意人員可以分析存放在本地的Cookie并進行Cookie欺騙的操作，如果不能解決API調用的安全問題，業務云平臺將暴露出來，隨時會被其他業務調用，引發資源被刪除或者篡改等嚴重的問題；除此之外，由于Cookie數據是保存在磁盤上的，為了減少磁盤的占用，很多系統要求單個Cookie的數據量不能超過4K，一個用戶最多保存20個Cookie，上述規格會約束安全云平臺上的租戶數量，擴展性比較差。

發明內容

為了解決現有技術中存在的問題，本發明提供一種優化的云平臺的安全對接方法，借助token技術實現對API接口進行安全加密的目的，確保安全云對業務云平臺下發的指令是合法的，保證業務云平臺與安全云平臺之間API調用的安全。

本發明所采用的技術方案是，一種云平臺的安全對接方法，所述云平臺包括安全云平臺和業務云平臺，所述業務云平臺提供API接口，所述安全云平臺通過API接口與業務云平臺配合；所述安全對接方法包括業務云平臺單點登錄安全云平臺的方法和安全云平臺向業務云平臺請求數據的方法。

優選地，所述業務云平臺單點登錄安全云平臺的方法包括以下步驟：

步驟1.1：用戶登錄業務云平臺；

步驟1.2：業務云平臺驗證用戶名和密碼；若驗證通過，則生成用戶唯一標識符tokenID，進行下一步，否則，返回步驟1.1；

步驟1.3：利用用戶唯一標識符tokenID生成請求信息，從業務云平臺單點登錄至安全云平臺；

步驟1.4：用戶唯一標識符tokenID由業務云平臺單點傳輸至安全云平臺成功，安全云平臺允許被使用，單點登錄成功。

優選地，所述步驟1.3中，請求信息以用戶唯一標識符tokenID為請求頭。

優選地，所述步驟1.4中，用戶唯一標識符tokenID通過HTTPS安全協議進行傳輸。

優選地，所述安全云平臺向業務云平臺請求數據的方法包括以下步驟：

步驟2.1：安全云平臺查找用戶唯一標識符tokenID；

步驟2.2：安全云平臺在每個HTTP請求中添加tokenID字符；

步驟2.3：HTTP請求由安全云平臺發送至業務云平臺，業務云平臺驗證tokenID；

步驟2.4：tokenID驗證通過，則業務云平臺返回請求的相應的數據結果；否則，返回未授權信息。

優選地，所述步驟2.2中，tokenID字符被添加在每個HTTP請求的請求頭中。

優選地，所述用戶唯一標識符tokenID包括用于標識用戶身份唯一性的用戶信息字符。

優選地，所述用戶唯一標識符tokenID還包括用于標識tokenID生成時間及其有效期的用戶登錄時間信息字符。

優選地，所述tokenID為對稱加密的字符串。

優選地，所述tokenID采用Base64編碼。