(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113221099A(43)申请公布日2021.08.06(21)申请号202110499467.5(22)申请日2021.05.06(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人赵豪(74)专利代理机构北京亿腾知识产权代理事务所(普通合伙)11309代理人陈霁周良玉(51)Int.Cl.G06F21/54(2013.01)G06F21/55(2013.01)G06F21/62(2013.01)权利要求书3页说明书8页附图2页(54)发明名称针对接口调用请求的处理方法及装置(57)摘要本说明书实施例提供一种针对接口调用请求的处理方法及装置，在针对接口调用请求的处理方法中，当检测到针对客户端应用中的第一接口的调用请求时，获取已调用的各第二接口，其中第一接口包括对敏感数据或私有数据的操作函数。将第一接口和第二接口均作为目标接口形成调用链路。通过读取预先配置的代码角色描述信息，获取调用链路中各目标接口各自对应的代码角色，该代码角色用于指示接口代码的来源和/或属性。基于各目标接口各自对应的代码角色以及接口功能，确定调用请求是否存在风险。在调用请求不存在风险的情况下，执行调用请求。CN113221099ACN113221099A权利要求书1/3页1.一种针对接口调用请求的处理方法，由客户端应用执行，该方法包括：当检测到针对所述客户端应用中的第一接口的调用请求时，获取已调用的各第二接口，其中所述第一接口包括对敏感数据或私有数据的操作函数；将所述第一接口和所述第二接口均作为目标接口形成调用链路；通过读取预先配置的代码角色描述信息，获取所述调用链路中各目标接口各自对应的代码角色，所述代码角色用于指示接口代码的来源和/或属性；基于所述各目标接口各自对应的代码角色以及接口功能，确定所述调用请求是否存在风险；在所述调用请求不存在风险的情况下，执行所述调用请求。2.根据权利要求1所述的方法，所述操作函数包括以下中的一种：用于产生、获取敏感数据或隐私数据的函数；用于加工、处理敏感数据或隐私数据的函数；用于传递、发送敏感数据或隐私数据的函数。3.根据权利要求1所述的方法，所述获取已调用的各第二接口，包括：确定所述客户端应用已调用的若干线程；根据所述若干线程各自调用的接口确定所述各第二接口。4.根据权利要求3所述的方法，所述若干线程具有顺序关系；所述若干线程中的首个线程由所述客户端应用记录，除所述首个线程外的其它线程中任意的第一线程根据其前一线程的链路信息确定。5.根据权利要求1所述的方法，所述代码角色描述信息至少指示出，多个代码角色及其对应的代码范围；所述获取所述调用链路中各目标接口各自对应的代码角色，包括：对于所述各目标接口中任意的第一目标接口，确定所述第一目标接口所属的第一代码范围；通过读取所述代码角色描述信息，获取对应于所述第一代码范围的代码角色，并将其确定为所述第一目标接口对应的代码角色。6.根据权利要求5所述的方法，所述代码角色描述信息还指示出，所述多个代码角色各自对应的安全级别；所述方法还包括：通过读取所述代码角色描述信息，获取对应于所述各目标接口各自的代码角色的安全级别；所述确定所述调用请求是否存在风险，包括：基于所述各目标接口各自对应的安全级别以及接口功能，确定所述调用请求是否存在风险。7.根据权利要求1所述的方法，所述代码角色包括以下中的至少一种：自有代码角色、三方SDK代码角色、二方SDK代码角色、黑盒集成代码角色以及白盒集成代码角色。8.根据权利要求1所述的方法，所述确定所述调用请求是否存在风险，包括：基于所述各目标接口各自对应的代码角色以及接口功能，查询风控规则库，以判断是否存在相匹配的风控规则；所述风控规则包括匹配条件，所述匹配条件至少指示出代码角色以及接口功能；2CN113221099A权利要求书2/3页在不存在相匹配的风控规则的情况下，确定所述调用请求不存在风险；否则确定所述调用请求存在风险。9.根据权利要求8所述的方法，所述风控规则还包括处置方法，且所述处置方法具有等级信息；所述方法还包括：在存在相匹配的风控规则的情况下，将相匹配的各风控规则中等级信息最高的处置方法作为最终处置方法；根据所述最终处置方法，处理所述调用请求。10.根据权利要求9所述的方法，所述处置方法包括返回修改或直接拦截。11.一种针对接口调用请求的处理装置，设置于客户端应用，该装置包括：获取单元，用于当检测到针对所述客户端应用中的第一接口的调用请求时，获取已调用的各第二接口，其中所述第一接口包括对敏感数据或私有数据的操作函数；形成单元，用于将所述第一接口和所述第二接口均作为目标接口形成调用链路；所述