WO2016107466A1

WO2016107466A1 - 一种标识用户身份的方法及装置

Info

Publication number: WO2016107466A1
Application number: PCT/CN2015/098259
Authority: WO
Inventors: 王�华
Original assignee: Alibaba Group Holding Ltd
Current assignee: Alibaba Group Holding Ltd
Priority date: 2014-12-31
Filing date: 2015-12-22
Publication date: 2016-07-07
Anticipated expiration: 2017-06-30
Also published as: JP6651530B2; KR102193406B1; US10848310B2; KR20170102877A; SG11201705035PA; EP3242455A1; CN105812341A; CN110086768B; EP3242455A4; CN105812341B; US20170302451A1; JP2018507463A; CN110086768A

Abstract

本申请实施例提供了一种标识用户身份的方法及装置，其中所述方法包括：第一平台接收第二平台发送的第一请求，所述第一请求包括第一标识，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；获取与所述第一请求对应的第三标识，所述第三标识为当前登录第一平台的登录用户账户；采用所述第二标识对所述第三标识进行加密，得到第四标识；以及向第二平台返回所述第四标识。本申请可以增强用户信息的安全性，降低用户信息因数据集聚而被盗的风险。

Description

一种标识用户身份的方法及装置

技术领域

本申请涉及身份识别技术领域，特别是涉及一种标识用户身份的方法，以及，一种标识用户身份的装置。

背景技术

随着信息技术的迅速发展，越来越多的业务需要多个平台合作完成。例如，对于电子商务领域而言，用户的一次购物过程存在电商平台以及第三方电子支付平台的交互。在交互过程中，必然会涉及用户信息的传递。

一般情况下，第三方电子支付平台通过接口返回参数告知电商平台当前付款人的用户ID(UID)，目前，第三方电子支付平台返回给不同电商平台关于该UID都是相同的，并且由于大部分电商平台的系统安全性都不够强大，很可能导致黑客根据这个UID将不同电商平台的信息进行数据聚合，从而导致用户的支付账户被盗风险积聚。

例如，同一用户“甲”用同一个支付账号分别在A、B这两个网站做了一次交易。A网站利用第三方电子支付平台的联合登录产品，得到甲授权之后拿到甲的手机号、姓名、UID。B网站利用第三方电子支付平台的联合登录产品，得到甲授权之后拿到甲的身份证号码、姓名、UID。假设AB两个网站的数据库均被泄露,则以UID为连结点,黑客可以拿到甲的UID+姓名+身份证号码+手机号码等信息。随着暴露数据越多，拿到甲的信息就越多，此时该用户的支付账户被盗的风险就日益增加。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：提供一种用户身份标识的机制，用以增强用户信息的安全性，降低用户信息因数据集聚而被盗的风险。

发明内容

本申请实施例所要解决的技术问题是提供一种标识用户身份的方法，以增强用户信息的安全性，降低用户信息因数据集聚而被盗的风险。

相应的，本申请实施例还提供了一种标识用户身份的装置，用以保证上述方法的实现及应用。

为了解决上述问题，本申请公开了一种标识用户身份的方法，所述方法包括：

第一平台接收第二平台发送的第一请求，所述第一请求包括第一标识，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；

获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

获取与所述第一请求对应的第三标识，所述第三标识为当前登录第一平台的登录用户账户；

采用所述第二标识对所述第三标识进行加密，得到第四标识，所述第四标识为所述第一平台返回第二平台的用于识别所述登录用户的序列号；以及

向第二平台返回所述第四标识。

优选地，所述第一请求还包括第一业务处理参数，在所述采用所述第二标识对所述第三标识进行加密，得到第四标识的步骤之前，所述方法还包括：

基于所述第三标识，对所述第一业务处理参数执行对应的业务处理，得到第一业务处理结果。

优选地，所述方法还包括：

在向所述第二平台返回所述第四标识的同时，返回所述第一业务处理结果。

优选地，所述第一平台接收第二平台发送的第一请求的步骤之前，还包括：

展示授权页面；

获取第二平台对应的回调地址；

在检测到用户在所述授权页面中的授权操作后，将预设的授权码添加到所述回调地址中，并跳转到所述回调地址对应的页面；

当接收到第二平台发送的令牌请求时，针对所述令牌请求返回对应的授权令牌token至所述第二平台，其中，所述令牌请求包括授权码。

优选地，所述第一平台接收第二平台发送的第一请求的步骤包括：

第一平台检测第二平台采用所述授权令牌token调用所述第一平台中对应的API接口；

第一平台接收所述第二平台通过所述API接口传入的第一请求。

优选地，所述第三标识包含特殊标签，所述获取与所述第一请求对应的第三标识的步骤包括：

定位与所述授权令牌token对应的API接口；

查看所述API接口中的参数是否包含特殊标签的参数；

若是，则获得所述包含特殊标签的参数，作为第三标识。

优选地，所述获取与所述第一标识对应的第二标识的步骤包括：

获得关联数据库，所述关联数据库包括第一标识与第二标识的关联关系；

从所述关联数据库中匹配所述第一标识；

获得与所述第一标识匹配的第二标识。

优选地，所述采用所述第二标识对所述第三标识进行加密，得到第四标识的步骤包括：

获取加密密钥；

采用所述加密密钥以及所述第二标识，对所述第三标识进行加密，得到第四标识。

本申请还公开了一种标识用户身份的方法，所述的方法包括：

第一平台接收第二平台发送的第二请求，所述第二请求包括第一标识及第四标识，其中，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；所述第四标识为所述第一平台返回第二平台的用于识别当前登录第一平台的登录用户的序列号；

采用所述第二标识对所述第四标识进行解密，得到第三标识，所述第三标识为当前登录第一平台的登录用户账户。

优选地，所述第二请求还包括第二业务处理参数，在所述采用所述第二标识对所述第四标识进行解密，得到第三标识的步骤之后，所述方法还包括：

基于所述第三标识，对所述第二业务处理参数执行对应的业务处理，得到第二业务处理结果；

采用所述第二标识对所述第三标识进行加密，得到第四标识；

向所述第二平台返回所述第四标识及所述第二业务处理结果。

优选地，所述采用所述第二标识对所述第四标识进行解密，得到第三标识的步骤包括：

获取解密密钥；

采用所述解密密钥及所述第二标识，对所述第四标识解密，得到第三标识。

优选地，在所述采用所述第二标识对所述第四标识进行解密，得到第三标识的步骤之后，还包括：

对所述第三标识添加特殊标签。

本申请还公开了一种标识用户身份的装置，所述装置包括：

第一请求接收模块，用于接收第二平台发送的第一请求，所述第一请求包括第一标识，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；

第二标识获取模块，用于获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

第三标识获取模块，用于获取与所述第一请求对应的第三标识，所述第三标识为当前登录第一平台的登录用户账户；

加密模块，用于采用所述第二标识对所述第三标识进行加密，得到第四标识，所述第四标识为所述第一平台返回第二平台的用于识别用户的序列号；

标识返回模块，用于向第二平台返回所述第四标识。

优选地，所述第一请求还包括第一业务处理参数，所述装置还包括：

第一业务处理模块，用于基于所述第三标识，对所述第一业务处理参数执行对应的业务处理，得到第一业务处理结果。

优选地，所述装置还包括：

第一结果返回模块，用于在向所述第二平台返回所述第四标识的同时，返回所述第一业务处理结果。

优选地，所述装置还包括：

授权页面展示模块，用于展示授权页面；

回调地址获取模块，用于获取第二平台对应的回调地址；

授权码添加模块，用于在检测到用户在所述授权页面中的授权操作后，将预设的授权码添加到所述回调地址中，并跳转到所述回调地址对应的页面；

授权模块，用于在接收到第二平台发送的令牌请求时，针对所述令牌请求返回对应的授权令牌token至所述第二平台，其中，所述令牌请求包括授权码。

优选地，所述第一请求接收模块包括：

接口调用子模块，用于检测第二平台采用所述授权令牌token调用所述第一平台中对应的API接口；

请求接收子模块，用于接收所述第二平台通过所述API接口传入的第一请求。

优选地，所述第三标识包含特殊标签，所述第三标识获取模块包括：

接口定位子模块，用于定位与所述授权令牌token对应的API接口；

接口判断子模块，用于查看所述API接口中的参数是否包含特殊标签的参数；

标识获得子模块，用于在所述API接口中的参数中包含特殊标签的参数时，获得所述包含特殊标签的参数，作为第三标识。

优选地，所述第二标识获取模块包括：

关联数据库获得子模块，用于获得关联数据库，所述关联数据库包括第一标识与第二标识的关联关系；

匹配子模块，用于从所述关联数据库中匹配所述第一标识；

第二标识获得子模块，用于获得与所述第一标识匹配的第二标识。

优选地，所述加密模块包括：

密钥获取子模块，用于获取加密密钥；

加密子模块，用于采用所述加密密钥以及所述第二标识，对所述第三标识进行加密，得到第四标识。

本申请还公开了一种标识用户身份的装置，所述的装置包括：

第二请求接收模块，用于接收第二平台发送的第二请求，所述第二请求包括第一标识及第四标识，其中，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；所述第四标识为所述第一平台返回第二平台的用于识别用户的序列号；

解密模块，用于采用所述第二标识对所述第四标识进行解密，得到第三标识，所述第三标识为当前登录第一平台的登录用户账户。

优选地，所述第二请求还包括第二业务处理参数，所述装置还包括：

第二结果获得模块，用于基于所述第三标识，对所述第二业务处理参数执行对应的业务处理，得到第二业务处理结果；

加密模块，用于采用所述第二标识对所述第三标识进行加密，得到第四标识；

结果发送模块，用于向所述第二平台返回所述第四标识及所述第二业务处理结果。

优选地，所述解密模块包括：

密钥获取子模块，用于获取解密密钥；

解密子模块，用于采用所述解密密钥及所述第二标识，对所述第四标识解密，得到第三标识。

优选地，所述装置还包括：

标签添加模块，用于对所述第三标识添加特殊标签。

与背景技术相比，本申请实施例包括以下优点：

本申请实施例在接收到第一请求和/或第二请求后，根据第一请求和/或第二请求中携带的第一标识，获得与第一标识对应的第二标识，并以第二标识作为加解密的因子，其中，第二标识为所述第一平台内用于标识所述第二平台身份的序列号。即本申请实施例以第二标识作为加密因子对第三标识进行加密后，得到的第四标识因第二平台身份的不同而不同，使得第一平台返回给不同第二平台的第四标识是不一样的，有效的进行了不同第二平台针对同一个第三标识执行业务后返回给第二平台的用户身份的隔离。

进一步的，本申请实施例针对同一第二平台的不同身份，也可以返回不同的第四标识，有效解决了一个第二平台具有多个身份的情况下遇到的返回同一个用户身份识别困难的问题。

附图说明

图1是本申请的一种标识用户身份的方法实施例一的步骤流程图；

图2是本申请的一种标识用户身份的方法实施例二的步骤流程图；

图3是本申请的一种标识用户身份的装置实施例一的结构框图；

图4是本申请的一种标识用户身份的装置实施例二的结构框图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

参照图1，示出了本申请的一种标识用户身份的方法实施例一的步骤流程图，具体可以包括如下步骤：

步骤101，第一平台接收第二平台发送的第一请求，所述第一请求包括第一标识；

应用于本申请实施例，第一平台可以为提供服务的服务提供者，例如第三方支付平台，第三方服务平台等；第二平台可以为请求服务的服务请求者，例如，与第三方支付平台具有合作关系的外部应用平台(或称电商平台、合作伙伴平台)。

所述第一标识，可以为第二平台接入第一平台后，第一平台分配给第二平台的，用于标识所述第二平台的序列号。

在一种实施方式中，第二平台接入第一平台的方式可以为：第二平台在第一平台中注册登录第一平台的登录账户(为了与下述登录用户账户区分，此处称为第二平台登录账户，即第二平台的UID)；第二平台以第二平台登录账户登录第一平台后，提交实名认证请求，该实名认证请求可以包括第二平台对应的法人的营业执照号；第一平台依据实名认证请求对第二平台进行实名认证(实名认证是对第二平台的互联网身份进行认证，通常可以为验证第二平台对应的营业执照号等信息是否真实)；实名认证通过以后，第二平台在第一平台提供的接口数据库中按需选择接入接口API，并通过该选定的接入接口API接入第一平台，此时，第一平台给第二平台分配第一标识(第一标识可以称为PID(partnerID))，以作为第二平台在该接入关系中的标识。

例如，若A公司想在其网站A中使用第三方支付平台的快捷支付功能，A公司首先需要在第三方支付平台中注册一个账户(假设该账户为a0001)，并提供营业执照等信息申请账户的实名认证，第三方支付平台对 A公司的实名认证通过后，A公司使用a0001的登录账号签约第三方支付平台快捷支付产品(即A公司使用a0001的登录账号选择快捷支付功能对应的接入接口API，并通过该接入接口API接入第三方支付平台)，则第三方支付平台给a0001的这个账号单独分配一个标识，即第一标识PID，该第一标识也用作A公司网站在第三方支付平台的标识。

在实际中，PID具有关联的签名校验密钥，用于当外部应用平台使用PID与第三方支付平台交互时，第三方支付平台采用该签名校验密钥对PID进行签名校验。

需要说明的是，当第一平台对第二平台实名认证通过以后，第一平台还可以为该第二平台分配一个第二标识，该第二标识为在第一平台内部用户标识第二平台身份的序列号。通常，第二标识与第二平台的身份证明文件相关，例如，第二标识与第二平台对应的法人的营业执照号相关。该第二标识可以表示为CID(CustomerID)或MerchantID。

在实际应用中，一个第二平台的CID可以注册有多个第二平台的登录账户UID，而第二平台的登录账户UID与PID可以为相同的值。具体来说，即在第一平台内部，可以生成第二平台的CID-UID-PID的关联关系，并将该关联关系存储在第一平台的关联数据库中。

在本申请实施例的一种优选实施方式中，步骤101可以包括如下子步骤：

子步骤S11，第一平台检测第二平台采用授权令牌token调用所述第一平台中对应的API接口；

在具体实现中，第二平台在向第一平台发送第一请求，以获得第一平台中受保护的用户信息等资源之前，第二平台需要先从第一平台中获取授权(即访问许可)，获得授权后，第二平台获得授权令牌token(Access Token)，第二平台通过向第一平台出示授权令牌token来调用第一平台中对应的API接口。

具体而言，第一平台对第二平台授权的过程可以包括如下步骤：

步骤S1，展示授权页面；

为了保证数据的安全性和隐私性，第一平台可以在菜单及消息中配置授权页面的URL，并在网页中以链接等形式引导用户(该用户可以在想在第二平台中使用第一平台提供的服务的用户)进入授权页面，通过授权页面来引导该用户完成“登录并授权”的流程，具体来说，通过授权页面可以引导用户填写登录用户账号信息(包括账号和密码)，当用户使用登录用户账号登录第一平台后，进一步请求用户授权。

步骤S2，获取第二平台对应的回调地址；

在具体实现中，当第二平台接入第一平台时，第二平台需要在接入配置文件中填写一个第二平台的回调地址(该回调地址可以为第二平台的URL)，在填写回调地址时，如果还在测试阶段的，可以填写一个本地的地址，并在本地测试通过后，将本地的地址更改正式域名地址。则第一平台可以在第二平台的接入配置文件中获取第二平台对应的回调地址。

步骤S3，当检测到用户在所述授权页面中的授权操作后，将预设的授权码添加到所述回调地址中，并跳转到所述回调地址对应的页面；

在授权页面中，可以包括“授权”或“取消”的按钮，若用户选择“取消”，则页面跳转至回调地址对应的页面，同时返回错误信息，例如，返回error＝access_denied，error_description＝authorize％20reject的错误信息。

若用户选择“授权”，则第一平台可以在回调地址对应的页面请求中加入授权码Authorization Code及其他参数，如state参数，app_id等，并跳转至回调地址对应的页面，以将授权码及其他参数返回第二平台。

需要说明的是，每次用户授权带上的授权码都不一样，授权码只能使用一次并具有有效期，在有效期内未被使用自动过期，例如，有效期为一天，一天未使用，该授权码自动过期。

步骤S4，当接收到第二平台发送的令牌请求时，针对所述令牌请求返回对应的授权令牌token至所述第二平台，其中，所述令牌请求包括授权码。

其中，授权令牌token(access_token)是第二平台用来代表资源拥有者(用户)发送验证请求(用户相关的操作)的令牌。授权令牌token是第二平台在调用第一平台的API接口时必须传入的参数。

在具体实现中，第二平台获得授权码后，可以利用授权码生成令牌请求，并将令牌请求发送至第一平台，以请求第一平台返回授权令牌token。其中，令牌请求除了包括授权码，还可以包括第二平台在接入第一平台时，第一平台分配的AppSecret，第二平台进而通过Http Post方式换取授权令牌token，获取授权令牌token的返回值以json格式返回。当然，第二平台也可以采用其他方式获得授权令牌token，例如，通过调用授权令牌交换API得到授权令牌token，本申请实施例对此无需加以限制。

需要说明的是，授权令牌token可以包含许可的作用域、持续时间和其它属性等信息。当授权令牌token超过持续时间时，可以用刷新令牌生成一个新的授权令牌，继续使用。刷新令牌可以一直使用，直到过期，刷新令牌过期后，需引导用户进行重新授权。

第二平台获得授权令牌token后，就可以调用对应的API接口，具体的，第二平台可以采用http调用方式或https免签调用方式来调用API接口。

子步骤S12，第一平台接收所述第二平台通过所述API接口传入的第一请求。

第二平台调用第一平台的API接口时，第一平台可以采用第一平台的网关来接收第一请求。第一请求除了包括第一标识以及进行业务处理所需的第一业务处理参数外，还可以包括API接口名称、时间戳、第二平台创建应用时获得的AppKey、API协议版本等参数。

步骤102，获取与所述第一标识对应的第二标识；

第一平台依据第一请求获得第一标识以后，可以根据第一平台的关联数据库中存储的第一标识及第二标识的关联关系匹配第一标识，获得与该第一标识对应的第二标识。例如，在第三方支付平台中，可以从其账号系统的关联数据库中存储的数据记录中查找PID，找到与PID对应的CID。

步骤103，获取与所述第一请求对应的第三标识；

应用于本申请实施例，第三标识为当前登录第一平台的登录用户账户，即用户登录第一平台的登录账号UserId，简称用户UID。

在本申请实施例的一种优选实施例中，步骤103可以包括如下子步骤：

子步骤S21，定位与所述授权令牌token对应的API接口；

在第二平台通过授权令牌token调用第一平台对应的API接口时，第二平台传入的参数包含API接口名称，第一平台可以依据该API接口名称定位对应的API接口。

子步骤S22，查看所述API接口中的参数是否包含特殊标签的参数，若是，则获得所述包含特殊标签的参数，作为第三标识。

在第一平台中，可以对标识用户登录账号的UID进行提前打标，打标的方式可以为对UID添加特殊标签，当第一平台的网关定位到API接口以后，在该API接口的参数中识别到有特殊标签的参数，则可以判定该携带特殊标签的参数为第三标识UID。

在具体实现中，第一平台在确定当前被调用的API接口中存在第三标识以后，可以基于该第三标识，对第一业务处理参数执行对应的业务处理，得到第一业务处理结果。具体来说，第一平台的网关在确定当前被调用的API接口中存在第三标识以后，将该第三标识存放在接口调用上下文中，并将第一业务处理参数发送至第一平台的业务系统中，业务系统接收到第一业务处理参数以后，从接口调用上下文中获取与第一业务处理参数对应的第三标识，以确定需要进行业务处理的具体用户，然后，业务系统基于该第三标识，对第一业务处理参数进行业务处理(如获取用户地址等用户信息)，得到第一业务处理结果，并将第一业务处理结果返回网关，其中，该第一业务处理结果也携带第三标识，以通知网关当前的业务处理结果是针对哪个用户的。

步骤104，采用所述第二标识对所述第三标识进行加密，得到第四标识，以及，向第二平台返回所述第四标识；

在具体实现中，为了保障用户信息的安全，第一平台返回第二平台的用于标识当前用户的用户账号为经过加密后的账号信息。应用于本申请实施例，第一平台的网关从业务系统中获得第一业务处理结果后，获得第一业务处理结果对应的第三标识，可以将第二标识作为加密因子之一，对第三标识进行加密。

在本申请实施例的一种优选实施例中，步骤104可以包括如下子步骤：

子步骤S31，获取加密密钥；

在第一平台中，可以预先配置对第三标识加密的加密密钥，并将该加密密钥存储在第一平台的密钥管理系统中，当第一平台的网关需要对第三标识进行加密时，从密钥管理系统中获得对应的加密密钥，作为加密的因子之一。

子步骤S32，采用所述加密密钥以及所述第二标识，对所述第三标识进行加密，得到第四标识。

第一平台的获得加密密钥及第二标识这两个加密因子以后，可以采用这两个加密因子对第三标识进行加密。在一种实施方式中，第一平台可以采用3DES(Triple Data Encryption Algorithm，三重数据加密算法)进行第三标识的加密，其中，3DES又称Triple DES，是DES加密算法的一种模式，其使用3条56位的密钥对数据进行三次加密。

第一平台采用所述加密密钥以及所述第二标识，对所述第三标识进行加密，可以得到第四标识，并向第二平台返回第一业务处理结果及对应的第四标识。其中，第四标识是第一平台返回给第二平台的用于识别用户的序列号，可以表示为OpenID。

由于本申请实施例在加密的过程中引入了第二标识作为加密因子之一，使得返回给第二平台的第四标识OpenID因第二标识的不同而不同，例如，当外部应用平台具有多名法人主体(例如有两个法人主体，法人1及法人2)时，针对每一名经第一平台认证过的法人主体，第三方支付平台生成不同的CID(例如法人1对应CID1、法人2对应CID2)，则若外部应用平台以法人1与第三方支付平台签约时，第三方支付平台针对CID1对UID进行加密，得到OpenID1；则若外部应用平台以法人2与第三方支付平台签约时，第三方支付平台针对CID2对UID进行加密，得到OpenID2。

进一步的，本申请实施例不同认证主体返回不同的第四标识，有效解决了一个第二平台具有多个实名认证主体的情况下遇到的返回同一个用户身份识别困难的问题。

参照图2，示出了本申请的一种标识用户身份的方法实施例二的步骤流程图，具体可以包括如下步骤：

步骤201，第一平台接收第二平台发送的第二请求，所述第二请求包括第一标识及第四标识；

在具体实现中，第二平台从第一平台中获得授权以后，第一平台可以记录该授权，无需再次授权。当第二平台基于用户授权再次请求第一平台进行业务处理时，第二平台可以生成第二请求，并将该第二请求通过上述API接口传入第一平台，该第二请求可以包括第一标识、第四标识以及第二业务处理参数，等等。

应用于本申请实施例，第一标识为，所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号。例如，若第二平台为外部应用平台，第二平台身份可以为该外部应用平台的法人，当外部应用平台以法人的法人信息(如营业执照号)为载体请求与第三方支付平台签约(即外部应用平台以法人的法人信息为载体请求接入第三方支付平台)，第三方支付平台由此生成签约订单，并审核该签约订单，若通过审核，则第三方支付平台生成标识该签约主体(即法人的法人信息，如营业执照号)的第一标识PID(partnerID)，并将该PID返回外部应用平台。

在第一平台内部，可以生成第一标识与第二标识的关联关系，并将该关联关系存储在第一平台的关联数据库中。

第四标识(OpenID)为所述第一平台返回第二平台的用于识别当前登录第一平台的登录用户的序列号，该第四标识是密文形式的用户标识。

步骤202，获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

第一平台依据第二请求获得第一标识以后，可以根据关联数据库中存储的第一标识及第二标识的关联关系，获得与该第一标识对应的第二标识。例如，在第三方支付平台中，可以从其账号系统的关联数据库中存储的数据记录中查找PID，找到与PID对应的CID。

步骤203，采用所述第二标识对所述第四标识进行解密，得到第三标识，所述第三标识为当前登录第一平台的登录用户账户。

第一平台获得第二标识及第四标识以后，可以采用第二标识对第四标识进行解密。在本申请实施例的一种优选实施例中，步骤203可以包括如下子步骤：

子步骤S41，获取解密密钥；

在第一平台中，可以预先配置对第三标识加密的加密密钥及对应的解密密钥，并将该加密密钥和解密密钥存储在第一平台的密钥管理系统中，当第一平台的网关需要对第四标识进行解密时，从密钥管理系统中获得对应的解密密钥，作为解密的因子之一。

需要说明的是，若本申请采用对称加解密算法，则加密密钥及对应的解密密钥可以为相同的密钥。

子步骤S42，采用所述解密密钥及所述第二标识，对所述第四标识解密，得到第三标识。

第一平台获得解密密钥及第二标识这两个解密因子以后，可以采用这两个加密因子对第四标识进行解密，得到第三标识。在一种实施方式中，若第一平台采用3DES进行加密，由于3DES为一种对称密钥加密算法，则第一平台可以采用3DES进行解密。

在对第四标识解密以后，得到原始的第二标识及第三标识，若该原始的第二标识与密文中的第二标识相同，则解密成功，否则，解密不成功。

若解密成功，则第一平台可以将第三标识添加特殊标签，并将该添加了特殊标签的第三标识存在接口调用上下文中，以及，将第二业务处理参数转发至第一平台的业务系统中，业务系统接收到第二业务处理参数以后，从接口调用上下文中获得第三标识，基于该第三标识，对第二业务处理参数执行对应的业务处理，得到第二业务处理结果，并将第二业务处理结果返回第一平台的网关，该第二业务处理结果携带有第三标识。

网关接收到第二业务处理结果以后，采用第二标识对第三标识进行加密，得到第四标识，并将第四标识及第二业务处理结果返回第二平台，第二平台根据第四标识确定第二业务处理结果是针对哪个用户的处理结果。

本申请实施例采用对称解密的方式对第四标识进行解密，基于第二标识对第四标识进行解密，提高了用户信息的安全性。

对于图2所述的方法实施例而言，由于其与上述图1的方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

为了使本领域技术人员更好地理解本申请实施例，以下以一个实例对本申请实施例加以说明。在本实例中，第一平台为第三方支付平台，第二平台为外部应用平台，其中，第三方支付平台可以包括网关、密钥管理系统、账户系统、业务系统，本实例可以包括如下步骤：

S1，外部应用平台请求第三方支付平台授权；

S2，第三方支付平台对外部应用平台授权，外部应用平台获得授权令牌；

S3，外部应用平台向网关发送第一请求，第一请求包括授权令牌及第一标识PID及第一业务处理参数；

S4，网关依据授权令牌定位到对应的API接口，获得该API接口中携带特殊标签的参数，作为第三标识UID；

S5，网关将第三标识UID存储在接口调用上下文中，并将第一业务处理参数发送至业务系统；

其中，接口调用上下文为业务系统与网关的接口。

S6，业务系统接收到第一业务处理参数后，从接口调用上下文中获得UID，从业务系统中获得该UID对应的数据，对第一业务处理参数进行业务处理，得到第一业务处理结果；

S7，业务系统将第一业务处理结果返回网关，该第一业务处理结果携带第三标识UID；

S8，网关从第一业务处理结果中识别到第三标识以后，从账户系统存储的映射关系中获得与PID对应的第二标识CID，其中，账户系统存储PID与CID的映射关系；

S9，网关从密钥管理系统中获得加密密钥；

S10，网关采用加密密钥及CID对UID进行加密，得到第四标识OpenID；

S11，网关向外部应用平台返回携带OpenID的第一业务处理结果；

S12，外部应用平台将OpenID与自身的账户体系作映射；

S13，外部应用平台向网关发送第二请求，第一请求包括OpenID、PID及第二业务处理参数；

S14，网关从账户系统存储的映射关系中获得与PID对应的CID，以及，从密钥管理系统中获得与加密密钥对应的解密密钥；

S15，网关采用解密密钥及CID对PID进行解密，得到UID；

S16，网关将UID存储在接口调用上下文中，并将第二业务处理参数发送至业务系统；

S17，业务系统接收到第二业务处理参数后，从接口调用上下文中获得UID，基于UID，对第二业务处理参数进行业务处理，得到第二业务处理结果；

S18，业务系统将第二业务处理结果返回网关，该第二业务处理结果包含第三标识UID；

S19，网关从第二业务处理结果中识别到UID以后，从账户系统存储的映射关系中获得与PID对应的第二标识CID；

S20；网关采用加密密钥及CID对UID进行加密，得到OpenID

S21，网关向外部应用平台返回携带OpenID的第二业务处理结果。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

参照图3，示出了本申请一种标识用户身份的装置实施例一的结构框图，具体可以包括如下模块：

第一请求接收模块301，用于接收第二平台发送的第一请求，所述第一请求包括第一标识，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；

第二标识获取模块302，用于获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

第三标识获取模块303，用于获取与所述第一请求对应的第三标识，所述第三标识为当前登录第一平台的登录用户账户；

加密模块304，用于采用所述第二标识对所述第三标识进行加密，得到第四标识，所述第四标识为所述第一平台返回第二平台的用于识别用户的序列号；

标识返回模块305，用于向第二平台返回所述第四标识。

在本申请实施例的一种优选实施例中，所述第一请求还可以包括第一业务处理参数，所述装置还可以包括：

在本申请实施例的一种优选实施例中，所述装置还可以包括：

授权页面展示模块，用于展示授权页面；

回调地址获取模块，用于获取第二平台对应的回调地址；

授权码添加模块，用于当检测到用户在所述授权页面中的授权操作后，将授权码添加到所述回调地址中，并跳转到所述回调地址对应的页面；

在本申请实施例的一种优选实施例中，所述第一请求接收模块301可以包括如下子模块：

接口调用子模块，用于检测第二平台采用授权令牌token调用所述第一平台中对应的API接口；

在本申请实施例的一种优选实施例中，所述第三标识包含特殊标签，所述第三标识获取模块303可以包括如下子模块：

在本申请实施例的一种优选实施例中，所述第二标识获取模块302可以包括如下子模块：

匹配子模块，用于从所述关联数据库中匹配所述第一标识；

在本申请实施例的一种优选实施例中，所述加密模块304包括：

密钥获取子模块，用于获取加密密钥；

对于图3所述的装置实施例而言，由于其与图1方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

参照图4，示出了本申请一种标识用户身份的装置实施例二的结构框图，具体可以包括如下模块：

第二请求接收模块401，用于接收第二平台发送的第二请求，所述第二请求包括第一标识及第四标识，其中，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；所述第四标识为所述第一平台返回第二平台的用于识别用户的序列号；

第二标识获取模块402，用于获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

解密模块403，用于采用所述第二标识对所述第四标识进行解密，得到第三标识，所述第三标识为当前登录第一平台的登录用户账户。

在本申请实施例的一种优选实施例中，所述第二请求还可以包括第二业务处理参数，所述装置还包括：

在本申请实施例的一种优选实施例中，所述解密模块403包括：

密钥获取子模块，用于获取解密密钥；

在本申请实施例的一种优选实施例中，所述装置还包括：

标签添加模块，用于对所述第三标识添加特殊标签。

对于图4所述的装置实施例而言，由于其与图2方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

在一个典型的配置中，所述计算机设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非持续性的电脑可读媒体(transitory media)，如调制的数据信号和载波。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种标识用户身份的方法及装置进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

一种标识用户身份的方法，其特征在于，所述方法包括：

第一平台接收第二平台发送的第一请求，所述第一请求包括第一标识，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；

获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

获取与所述第一请求对应的第三标识，所述第三标识为当前登录第一平台的登录用户账户；

采用所述第二标识对所述第三标识进行加密，得到第四标识，所述第四标识为所述第一平台返回第二平台的用于识别所述登录用户的序列号；以及

向第二平台返回所述第四标识。
根据权利要求1所述的方法，其特征在于，所述第一请求还包括第一业务处理参数，在所述采用所述第二标识对所述第三标识进行加密，得到第四标识的步骤之前，所述方法还包括：

基于所述第三标识，对所述第一业务处理参数执行对应的业务处理，得到第一业务处理结果。
根据权利要求2所述的方法，其特征在于，还包括：

在向所述第二平台返回所述第四标识的同时，返回所述第一业务处理结果。
根据权利要求1所述的方法，其特征在于，所述第一平台接收第二平台发送的第一请求的步骤之前，还包括：

展示授权页面；

获取第二平台对应的回调地址；

在检测到用户在所述授权页面中的授权操作后，将预设的授权码添加到所述回调地址中，并跳转到所述回调地址对应的页面；

当接收到第二平台发送的令牌请求时，针对所述令牌请求返回对应的授权令牌token至所述第二平台，其中，所述令牌请求包括授权码。
根据权利要求4所述的方法，其特征在于，所述第一平台接收第二平台发送的第一请求的步骤包括：

第一平台检测第二平台采用所述授权令牌token调用所述第一平台中对应的API接口；

第一平台接收所述第二平台通过所述API接口传入的第一请求。
根据权利要求4或5所述的方法，其特征在于，所述第三标识包含特殊标签，所述获取与所述第一请求对应的第三标识的步骤包括：

定位与所述授权令牌token对应的API接口；

查看所述API接口中的参数是否包含特殊标签的参数；

若是，则获得所述包含特殊标签的参数，作为第三标识。
根据权利要求1所述的方法，其特征在于，所述获取与所述第一标识对应的第二标识的步骤包括：

获得关联数据库，所述关联数据库包括第一标识与第二标识的关联关系；

从所述关联数据库中匹配所述第一标识；

获得与所述第一标识匹配的第二标识。
根据权利要求1所述的方法，其特征在于，所述采用所述第二标识对所述第三标识进行加密，得到第四标识的步骤包括：

获取加密密钥；

采用所述加密密钥以及所述第二标识，对所述第三标识进行加密，得到第四标识。
一种标识用户身份的方法，其特征在于，所述的方法包括：

第一平台接收第二平台发送的第二请求，所述第二请求包括第一标识及第四标识，其中，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；所述第四标识为所述第一平台返回第二平台的用于识别当前登录第一平台的登录用户的序列号；

获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

采用所述第二标识对所述第四标识进行解密，得到第三标识，所述第三标识为当前登录第一平台的登录用户账户。
根据权利要求9所述的方法，其特征在于，所述第二请求还包括第二业务处理参数，在所述采用所述第二标识对所述第四标识进行解密，得到第三标识的步骤之后，所述方法还包括：

基于所述第三标识，对所述第二业务处理参数执行对应的业务处理，得到第二业务处理结果；

采用所述第二标识对所述第三标识进行加密，得到第四标识；

向所述第二平台返回所述第四标识及所述第二业务处理结果。
根据权利要求9所述的方法，其特征在于，所述采用所述第二标识对所述第四标识进行解密，得到第三标识的步骤包括：

获取解密密钥；

采用所述解密密钥及所述第二标识，对所述第四标识解密，得到第三标识。
根据权利要求9或10或11所述的方法，其特征在于，在所述采用所述第二标识对所述第四标识进行解密，得到第三标识的步骤之后，还包括：

对所述第三标识添加特殊标签。
一种标识用户身份的装置，其特征在于，所述装置包括：

第一请求接收模块，用于接收第二平台发送的第一请求，所述第一请求包括第一标识，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；

第二标识获取模块，用于获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

第三标识获取模块，用于获取与所述第一请求对应的第三标识，所述第三标识为当前登录第一平台的登录用户账户；

加密模块，用于采用所述第二标识对所述第三标识进行加密，得到第四标识，所述第四标识为所述第一平台返回第二平台的用于识别用户的序列号；

标识返回模块，用于向第二平台返回所述第四标识。
根据权利要求13所述的装置，其特征在于，所述第一请求还包括第一业务处理参数，所述装置还包括：

第一业务处理模块，用于基于所述第三标识，对所述第一业务处理参数执行对应的业务处理，得到第一业务处理结果。
根据权利要求14所述的装置，其特征在于，还包括：

第一结果返回模块，用于在向所述第二平台返回所述第四标识的同时，返回所述第一业务处理结果。
根据权利要求13所述的装置，其特征在于，还包括：

授权页面展示模块，用于展示授权页面；

回调地址获取模块，用于获取第二平台对应的回调地址；

授权码添加模块，用于在检测到用户在所述授权页面中的授权操作后，将预设的授权码添加到所述回调地址中，并跳转到所述回调地址对应的页面；

授权模块，用于在接收到第二平台发送的令牌请求时，针对所述令牌请求返回对应的授权令牌token至所述第二平台，其中，所述令牌请求包括授权码。
根据权利要求16所述的装置，其特征在于，所述第一请求接收模块包括：

接口调用子模块，用于检测第二平台采用所述授权令牌token调用所述第一平台中对应的API接口；

请求接收子模块，用于接收所述第二平台通过所述API接口传入的第一请求。
根据权利要求16或17所述的装置，其特征在于，所述第三标识包含特殊标签，所述第三标识获取模块包括：

接口定位子模块，用于定位与所述授权令牌token对应的API接口；

接口判断子模块，用于查看所述API接口中的参数是否包含特殊标签的参数；

标识获得子模块，用于在所述API接口中的参数中包含特殊标签的参数时，获得所述包含特殊标签的参数，作为第三标识。
根据权利要求13所述的方法，其特征在于，所述第二标识获取模块包括：

关联数据库获得子模块，用于获得关联数据库，所述关联数据库包括第一标识与第二标识的关联关系；

匹配子模块，用于从所述关联数据库中匹配所述第一标识；

第二标识获得子模块，用于获得与所述第一标识匹配的第二标识。
根据权利要求13所述的装置，其特征在于，所述加密模块包括：

密钥获取子模块，用于获取加密密钥；

加密子模块，用于采用所述加密密钥以及所述第二标识，对所述第三标识进行加密，得到第四标识。
一种标识用户身份的装置，其特征在于，所述的装置包括：

第二请求接收模块，用于接收第二平台发送的第二请求，所述第二请求包括第一标识及第四标识，其中，所述第一标识为所述第二平台接入所述第一平台后，所述第一平台分配给所述第二平台的用于标识所述第二平台的序列号；所述第四标识为所述第一平台返回第二平台的用于识别用户的序列号；

第二标识获取模块，用于获取与所述第一标识对应的第二标识，所述第二标识为所述第一平台内用于标识所述第二平台身份的序列号；

解密模块，用于采用所述第二标识对所述第四标识进行解密，得到第三标识，所述第三标识为当前登录第一平台的登录用户账户。
根据权利要求21所述的装置，其特征在于，所述第二请求还包括第二业务处理参数，所述装置还包括：

第二结果获得模块，用于基于所述第三标识，对所述第二业务处理参数执行对应的业务处理，得到第二业务处理结果；

加密模块，用于采用所述第二标识对所述第三标识进行加密，得到第四标识；

结果发送模块，用于向所述第二平台返回所述第四标识及所述第二业务处理结果。
根据权利要求21所述的装置，其特征在于，所述解密模块包括：

密钥获取子模块，用于获取解密密钥；

解密子模块，用于采用所述解密密钥及所述第二标识，对所述第四标识解密，得到第三标识。
根据权利要求21或22或23所述的装置，其特征在于，所述装置还包括：

标签添加模块，用于对所述第三标识添加特殊标签。