业务请求处理方法、装置及系统

本申请涉及通信技术领域，尤其涉及一种业务请求处理方法、装置及系统。

为了防止通过计算机设备模拟用户恶意向业务系统发起业务请求，业务系统需要在确认业务请求为安全的业务请求之后，才会响应业务请求。

目前，在浏览器需要向业务系统请求业务服务的情况下，浏览器需要先与业务服务器关联的验证平台进行数据交互以完成安全性验证。但是该种安全性验证是由浏览器侧发起的，而浏览器侧发起的验证请求很容易被伪造，使得整个安全性验证控制不可控，从而影响到验证结果的真实性和可靠性，进而影响到业务系统的安全性。

有鉴于此，本申请提供了一种业务请求处理方法、装置及系统，以降低验证请求被伪造的风险，提高针对业务请求进行安全验证的可靠性。

为实现上述目的，一方面，本申请提供了一种业务请求处理方法，应用于业务服务器，包括：

获得浏览器向业务服务器发送的业务请求；

如果所述业务请求未携带校验标识，向验证平台发送验证申请，所述验证申请用于请求对所述业务请求进行验证；

获得所述验证平台响应于所述验证申请返回的验证数据以及校验标识，所述校验标识为所述验证平台为所述业务请求生成的唯一标识，所述验证数据为对所述浏览器的用户进行行为验证所需的数据；

基于所述验证数据，向所述浏览器返回行为验证指令，所述行为验证指令用于指示所述浏览器展现行为验证界面，以便所述浏览器将用户在所述行为验证界面输入的用户行为数据以及所述校验标识发送给所述验证平台，其中，所述验证平台在依据所述用户行为数据确认所述浏览器的用户通过行为验证的情况下，将所述校验标识标记为验证通过的校验标识；

如果所述业务请求携带校验标识，且通过所述验证平台确认所述校验标识属于已验证通过的校验标识，为所述浏览器返回所述业务请求所请求的业务内容。

优选的，所述如果所述业务请求未携带校验标识，向验证平台发送验证申请，包括：

如果所述业务请求未携带有校验标识，获取所述业务请求关联的第一特征信息，并依据所述第一特征信息对所述业务请求进行风险验证；其中，所述第一特征信息包括：所述业务请求携带的第一参数信息，和/或，所述业务服务器从所述浏览器获取到的第二参数信息；

如果验证出所述业务请求对应的风险等级属于设定风险等级，向验证平台发送验证申请。

优选的，所述验证数据包括：用于行为验证的主验证方式的数据以及与所述主验证方式关联的至少一种辅助验证方式的数据；

在所述基于所述验证数据，向所述浏览器返回行为验证指令之前，还包括：

依据所述业务服务器所提供的业务类型，从所述主验证方式关联的至少一种辅助验证方式中，选取出与所述业务类型匹配的目标辅助验证方式；

所述基于所述验证数据，向所述浏览器返回行为验证指令，包括：

基于所述主验证方式以及目标辅助验证方式的数据，向所述浏览器返回行为验证指令，所述行为验证指令携带有：在所述行为验证界面展现行为验证模式所需的数据；其中，所述行为验证模式为由所述主验证方式与所述目标辅助验证方式组成的，用于对用户进行行为验证的验证模式。

优选的，在所述依据所述业务服务器所提供的业务类型，从所述主验证方式关联的至少一种辅助验证方式中，选取出与所述业务类型匹配的目标辅助验证方式之前，还包括：

确定与所述业务请求关联的第一特征信息，所述第一特征信息包括：所述业务请求携带的第一参数信息，和/或，业务服务器从所述浏览器获取到的第二参数信息；

所述依据所述业务服务器所提供的业务类型，从所述主验证方式关联的至少一种辅助验证方式中，选取出与所述业务类型匹配的目标辅助验证方式，包括：

依据所述业务服务器所提供的业务类型以及所述第一特征信息进行风险评估，得到第一风险评估结果；

从所述主验证方式关联的至少一种辅助验证方式中，选取出与所述第一风险评估结果匹配的目标辅助验证方式。

又一方面，本申请还提供了一种业务处理系统，包括：

业务服务器以及验证平台；

其中，所述业务服务器，用于获得浏览器向业务服务器发送的业务请求；如果所述业务请求未携带校验标识，向验证平台发送验证申请；如果所述业务请求携带有校验标识，将所述业务请求携带的校验标识发送给所述验证平台进行验证；

所述验证平台，用于响应于所述验证申请，针对所述业务请求生成校验标识，所述校验标识用于唯一标识所述业务请求；将验证数据以及所述校验标识发送给所述业务服务器，所述验证数据为对所述浏览器的用户进行行为验证所需的数据；

所述业务服务器，还用于基于所述验证数据，向所述浏览器返回行为验证指令，所述行为验证指令用于指示所述浏览器展现行为验证界面，以便所述浏览器将用户在所述行为验证界面输入的用户行为数据以及所述校验标识发送给所述验证平台；

所述验证平台，还用于依据所述用户行为数据，对所述浏览器的用户进行行为验证；在确认所述浏览器的用户通过行为验证的情况下，将所述校验标识标记为验证通过的校验标识，并向所述浏览器返回行为验证通过的信息，以便将所述浏览器重定向到所述业务服务器；

所述验证平台，还用于验证所述业务请求携带的校验标识是否属于验证通过的校验标识，并向业务服务器返回所述业务请求携带的校验标识的验证结果；

所述业务服务器，还用于在验证平台返回的验证结果表征所述业务请求携带的校验标识属于已验证通过的校验标识的情况下，为所述浏览器返回所述业务请求所请求的业务内容。

优选的，所述业务服务器还用于，在向所述验证平台发送验证申请之前，获取所述业务请求关联的第一特征信息，所述第一特征信息包括：所述业务请求携带的第一参数信息，和/或，所述业务服务器从所述浏览器获取到的第二参数信息；

所述业务服务器向所述验证平台发送验证申请具体为：向所述验证平台发送携带所述第一特征信息的验证申请；

所述验证平台在确认所述浏览器的用户通过行为验证的情况下，将所述校验标识标记为验证通过的校验标识时，具体用于，在确认所述浏览器的用户通过行为验证的情况下，从所述业务请求的浏览器获取第二特征信息；依据所述第一特征信息和第二特征信息进行风险评估，得到第二风险评估结果；在所述第二风险评估结果表征所述浏览器对应的风险程度低于阈值的情况下，将所述校验标识标记为验证通过的校验标识。

优选的，所述业务服务器在向所述验证平台发送携带所述第一特征信息的验证申请时，具体用于，利用预置的加密密钥对所述第一特征信息进行加密，得到加密后的第一特征信息；向所述验证平台发送携带所述加密后的第一特征信息的验证申请；

所述验证平台在依据所述第一特征信息和第二特征信息进行风险评估之前，还用于，利用预置的解密密钥对所述加密后的第一特征信息进行解密，得到所述第一特征信息，所述解密密钥与所述加密密钥为相互匹配的密钥对。

又一方面，本申请还提供了一种业务请求处理装置，应用于业务服务器，包括：

请求获得单元，用于获得浏览器向业务服务器发送的业务请求；

验证发起单元，用于如果所述业务请求未携带校验标识，向验证平台发送验证申请，所述验证申请用于请求对所述业务请求进行验证；

数据获得单元，用于获得所述验证平台响应于所述验证申请返回的验证数据以及校验标识，所述校验标识为所述验证平台为所述业务请求生成的唯一标识，所述验证数据为对所述浏览器的用户进行行为验证所需的数据；

指令发送单元，用于基于所述验证数据，向所述浏览器返回行为验证指令，所述行为验证指令用于指示所述浏览器展现行为验证界面，以便所述浏览器将用户在所述行为验证界面输入的用户行为数据以及所述校验标识发送给所述验证平台，其中，所述验证平台在依据所述用户行为数据确认所述浏览器的用户通过行为验证的情况下，将所述校验标识标记为验证通过的校验标识；

请求响应单元，用于如果所述业务请求携带校验标识，且通过所述验证平台确认所述校验标识属于已验证通过的校验标识，为所述浏览器返回所述业务请求所请求的业务内容。

优选的，所述验证发起单元，包括：

特征获取子单元，用于如果所述业务请求未携带有校验标识，获取所述业务请求关联的第一特征信息，并依据所述第一特征信息对所述业务请求进行风险验证；其中，所述第一特征信息包括：所述业务请求携带的第一参数信息，和/或，所述业务服务器从所述浏览器获取到的第二参数信息；

验证发起子单元，用于如果验证出所述业务请求对应的风险等级属于设定风险等级，向验证平台发送验证申请。

优选的，所述数据获得单元获取的所述验证数据包括：用于行为验证的主验证方式的数据以及与所述主验证方式关联的至少一种辅助验证方式的数据；

所述装置还包括：

方式匹配单元，用于在所述指令发送单元向所述浏览器返回行为验证指令之前，依据所述业务服务器所提供的业务类型，从所述主验证方式关联的至少一种辅助验证方式中，选取出与所述业务类型匹配的目标辅助验证方式；

所述指令发送单元，具体用于基于所述主验证方式以及目标辅助验证方式的数据，向所述浏览器返回行为验证指令，所述行为验证指令携带有在所述行为验证界面展现行为验证模式所需的数据，所述行为验证模式为由所述主验证方式与所述目标辅助验证方式组成的，用于对用户进行行为验证的验证模式。

由以上内容可知，在本申请实施例中，在浏览器向业务服务器发起业务请求之后，如果该业务请求未携带验证平台已验证通过的校验标识，业务服务器会向验证平台发起验证申请，而验证平台会将校验数据以及针对该业务请求生成的校验标识返回给业务服务器，以使得业务服务器可以控制浏览器侧展现用户行为校验所需的验证界面，并在浏览器通过验证之后，由业务服务器根据浏览器发送的校验标识去验证平台进行验证，从而使得业务服务器可以获知并控制针对业务请求的整个验证流程，避免浏览器伪造发起验证的过程等，提高了业务请求验证的可靠性，有利于提高业务系统的安全性。

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1示出了本申请一种业务请求处理系统的一种组成结构示意图；

图2示出了本申请一种业务处理方法一个实施例的流程示意图；

图3示出了本申请一种业务处理方法又一个实施例的流程示意图；

图4示出了本申请一种业务处理方法的一种流程交互示意图；

图5示出了本申请一种业务处理装置的一种组成结构示意图。

本申请的业务请求处理方法适用于对向业务服务器发起的业务请求进行安全性验证，以提高业务请求验证的可靠性。

为了便于理解，先对本申请的方案所涉及到的系统进行介绍。

如图1所示，其示出了本申请一种业务请求处理系统的一种组成结构示意图。

由图1可以看出，该业务请求处理系统可以包括：业务服务器101和验证平台102。

其中，业务服务器101可以为提供业务服务的业务平台中的任意一台服务器。该业务服务平台可以包括一台或者多台业务服务器。

该业务服务器可以与验证平台通过网络实现数据交互。

其中，该验证平台102可以用于对浏览器的用户进行用户行为验证，以避免模拟用户进行操作等恶意行为。如，通过滑动拖动验证模式、或者输入指定的字符等验证用户是否属于真实用户。

该验证平台中可以包括一台或者多台验证服务器103，该验证平台所执行的操作可以由验证服务器完成。

可以理解的是，业务服务器101可以接收浏览器(也称为浏览器客户端)104发送的业务请求，并基于业务请求提供相应的业务服务。

在本申请实施例中，为了提高业务服务器所在业务系统的安全性，在业务服务器响应于业务请求提供相应服务之前，该业务服务器会发起对该业务请求的安全性验证，并结合验证平台完成相应的验证。

结合以上内容，下面分别从业务服务器侧以及验证平台侧对本申请的业务请求处理方法进行介绍。

首先从业务服务器侧进行介绍，如图2所示，其示出了本申请一种业务请求处理方法一个实施例的流程示意图，本实施例的方法应用于业务服务器。该方法可以包括：

S201，获得浏览器向业务服务器发送的业务请求。

其中，该业务请求用于向业务服务器请求业务服务，如，数据查询、界面展现或者搜索等等业务服务。

可以理解的是，该业务请求可以携带有发送该业务请求的浏览器对应的IP地址以及域名，该业务请求的发起用户的用户名以及密码等等发起方信息，还可以携带该业务请求所请求的业务相关的业务参数，如，所请求的业务内容以及类型等等。

S202，如果该业务请求未携带校验标识，向验证平台发送验证申请。

其中，该验证申请用于请求对该业务请求进行验证。

可以理解的是，为了使得该验证平台可以获知该业务请求的具体信息，该业务服务器还可以封装该业务请求，并向验证平台发送携带封装后的业务请求的验证申请。在该种情况下，验证平台可以依据封装后的业务请求获取待验证的业务请求以及发起业务请求的浏览器等相关信息。

可选的，为了唯一标识一次业务请求的流程，该业务服务器可以为该业务请求生成一个唯一的业务标识，然后可以将该业务标识携带在该验证申请中，并发送给验证平台。当然，验证平台也可以同时将业务标识以及封装后的业务请求发送给验证平台。

可以理解的是，为了提高业务服务器与验证平台之间数据传输的安全性，该业务服务器可以与验证平台之间协商有加密密钥与解密密钥，相应的，业务服务器可以利用预置(即预先协商好的)的加密密钥对业务请求和/或该业务标识进行加密后封装，然后将加密后的业务请求和加密后的业务标识中的一种或者两种携带在验证申请中。

可以理解的是，验证平台主要是验证业务请求是否属于模拟用户发起的请求，即验证发起该业务请求的浏览器侧的用户为真实用户，还是计算机设备模拟出的模拟用户；而且，经过验证平台进行验证必然会影响到业务访问效率。因此，在业务服务器向验证平台发送验证申请之前，该业务服务器还可以获取该业务请求关联的第一特征信息。同时，业务服务器还可以依据该第一特征信息对业务请求进行风险验证，并在验证出该业务请求对应的风险等级属于设定风险等级的情况下，向验证平台发送验证申请。

其中，该第一特征信息可以包括：业务请求携带的第一参数信息以及该业务服务器从该浏览器获取到的第二参数信息这两种参数的一种或者两种种。该业务请求携带的第一参数信息可以为浏览器对应的IP地址或者域名，发出该业务请求的用户的用户名以及密码等等相关信息。该第二参数信息可以为业务服务器从浏览器中获取到的与浏览器相关的参数信息，如，用于表征浏览器历史访问次数的参数，以及浏览器属性等等信息中的一种或者多种。作为一种可选方式，该第二参数信息可以为浏览器的cookies中存储的信息。

其中，依据该第一特征信息进行风险验证可以是基于该第一特征信息验证该发出该业务请求的浏览器，或者发起业务请求的用户是否具备风险等等，如，是验证该浏览器的IP地址是否属于已经检测出的具备高风险的IP地址，或者浏览器向该业务请求发起访问的次数是否过于频率等等。具体的，可以根据需要设定该风险验证的具体内容。

其中，该设定风险等级也可以根据需要设定，如，考虑到风险等级较高的情况下，可以直接屏蔽该业务请求，而不对该业务请求进行处理；而风险等级较低的情况下，可以不再通过验证平台进行用户行为验证，而直接处理该业务请求，因此，该设定风险等级可以为设定的风险等级区间。

S203，获得该验证平台针对该验证申请返回的验证数据以及校验标识。

该验证数据和校验标识为验证平台接收到验证申请后，响应于该验证申请所返回的相关数据。

其中，该校验标识为该验证平台为该业务请求生成的唯一标识。如，该校验标识可以为令牌token。通过该校验标识可以唯一标识浏览器当前发起的一次请求流程。

该验证数据为对该浏览器的用户进行行为验证所需的数据。如，该验证数据可以包括：用户行为验证的验证模式(或者称为验证方式)，展现该验证模式所需的数据，如，组件初始化数据等等。

S204，基于该验证数据，向该浏览器返回行为验证指令。

其中，该行为验证指令用于指示该浏览器展现行为验证界面，以便该浏览器将用户在该行为验证界面输入的用户行为数据以及该校验标识发送给该验证平台。

其中，该验证平台在依据该用户行为数据确认该浏览器的用户通过行为验证的情况下，将该校验标识标记为验证通过的校验标识。

可以理解的是，该行为验证指令可以携带用于指示该浏览器在行为验证界面所需展现的验证模式的信息，还可以包括浏览器加载该验证模式所需的一些组件的数据等等。

作为一种可选方式，验证平台返回的验证数据至少可以包括：行为验证的主验证方式的数据以及与主验证方式关联的至少一种辅助验证方式的数据。其中，主验证方式和辅助验证方式可以最终形成用于用户行为验证的验证模式。其中，主验证方式由验证平台指定，展现验证模式所需的辅助验证方式可以由业务服务器选择，以使得业务服务器可以根据实际需要设定行为验证方式的难度。

其中，辅助验证方式可以与主验证方式属于不同类型的独立验证方式；辅助验证方式也可以是只能与主验证方式结合到一起进行行为验证的非独立验证方式。

如，主验证方式可以为字符输入验证，而辅助验证方式可以为滑动滑块到指定位置等。

又如，主验证方式可以为字符验证，而辅助验证方式为在主验证方式的基础上，新增的一个待验证的字符，该新增的字符可以不同于主验证方式中待用户输入验证的字符所对应的字符类型。例如，主验证方式中需要验证的字符为字母，而辅助验证方式中新增待验证的字符可以为一个特殊符号字符。

在实际应用中，为了提高用户行为验证的灵活性，业务服务器可以根据所提供的业务类型调整用户行为验证的难易程度。相应的，业务服务器可以依据该业务服务器所提供的业务类型，从主验证方式关联的至少一种辅助验证方式中，选取出与业务类型匹配的目标辅助验证方式。

其中，为了便于区分，将与该业务类型匹配的辅助验证方式成为目标辅助验证方式。可以理解的是，在实际根据中根据业务类型对安全要求的程度高度，可以确定验证严格程度不同的行为验证模式，并确定能够与主验证方式组成相应行为验证模式的辅助验证方式。

举例说明：业务类型与辅助验证方式的匹配关系可以预先设定，例如，业务类型所表征的业务对安全性要求的级别不同，所对应的辅助验证方式也会有所不同，因此，基于该对应关系，可以确定该业务服务器提供的业务类型对应的辅助验证方式。

相应的，可以基于主验证方式以及目标辅助验证方式的数据，向浏览器返回行为验证指令，该行为验证指令携带有在该行为验证界面展现行为验证模式所需的数据。该行为验证模式为由主验证方式与目标辅助验证方式组成的，用于对用户进行行为验证的验证模式。如，行为验证指令可以携带展现主验证方式以及辅助验证方式所需的组件的初始化以及加载所需的相关数据等，还可以包括提示用户进行行为验证的提示信息等。

可选的，在确定目标辅助验证方式之前，业务服务器还可以确定与业务请求关联的第一特征信息。该第一特征信息包括：业务请求携带的第一参数信息，和/或，业务服务器从浏览器获取到的第二参数信息。该第一特征信息具体可以参见前面的相关介绍，如果在前面发送验证申请前已经获取到该第一特征信息，则无需重复确定该第一特征信息。

相应的，在选取目标辅助验证方式之前，可以先依据业务服务器所提供的业务类型以及该第一特征信息进行风险评估，得到第一风险评估结果。该第一风险评估结果可以表征业务服务器的业务类型对安全性要求程度以及该业务请求所对应的风险程度。根据该第一风险评估结果可以反映出对于用户行为验证的严格程度。在该种情况下，业务服务器可以从主验证方式关联的至少一种辅助验证方式中，选取出与该第一风险评估结果匹配的目标辅助验证方式。如，风险评估结果表征对于用户行为验证的严格程度要求的等级较高，则可以选择行为验证较为严格的辅助验证方式。

可以理解的是，基于该业务类型以及第一特征信息评估业务服务器对用户行为验证所需的验证级别可以有多种实现方式，如，可以结合业务类型所对应的安全要求级别以及该第一特征信息所对应的风险级别，综合确定该安全要求级别以及该风险级别所对应的用户行为验证的级别要求。

当然，在实际应用中，如果业务类型对于安全性的要求不高，辅助验证方式也可以为空，从而将主验证方式作为行为验证模式，具体可以根据需要设定，在此不再限制。

可以理解的是，在浏览器将用户行为数据发送给验证平台之后，如果验证平台对该用户行为数据验证通过，即该用户行为数据与浏览器展现的行为验证界面中的验证模式所需的行为数据相匹配，则该验证平台在将该浏览器对应的校验标识(即为浏览器发送的该业务请求分配的校验标识)标记为已通过验证的校验标识的同时，还会通知浏览器验证通过。在该种情况下，浏览器则可以再次向业务服务器请求业务，并在请求业务时携带该校验标识，以便业务服务器可以确认该浏览器为在对业务请求验证通过后再次发起的业务请求。

S205，如果该业务请求携带校验标识，且通过该验证平台确认该校验标识属于已验证通过的校验标识，为该浏览器返回该业务请求所请求的业务内容。

由步骤S204的介绍可知，如果业务请求携带有校验标识，则说明该业务请求与该浏览器上一次发起的业务请求实际上属于同一个业务访问请求，该业务请求为在浏览器上一次发送的业务请求经过验证平台验证通过后，重新向业务服务器发送的业务请求。在该种情况下，业务服务器可以查询验证平台存储的校验标识所对应的验证通过结果，如果该校验标识属于验证平台已验证通过的校验标识，则业务服务器可以确认该业务请求为安全的，从而可以为浏览器返回相应的业务内容。

由以上内容可知，在浏览器向业务服务器发起业务请求之后，是由业务服务器发起对业务请求验证，并查验校验标识来核实业务请求是否已经验证通过，从而使得整个验证流程都由业务服务器控制，避免了业务服务器不参与请求验证过程以及无法确认请求是否真实验证通过，从而可以减少浏览器伪造验证结果或者模拟验证流程的情况，进而提高了业务请求验证的可靠性，有利于提高业务系统的安全性。

下面从验证平台侧对本申请的业务请求处理方法进行介绍。

如图3所示，其示出了本申请一种业务请求处理方法又一个实施例的流程示意图，本实施例的方法可以应用于验证平台，该方法包括：

S301，接收业务服务器发送的验证申请。

该验证申请为业务服务器在接收到浏览器发送的业务请求之后生成的。该验证申请用于请求对业务请求进行安全性验证。如该验证申请可以携带有待验证的业务请求的数据。

关于该验证申请的生成以及所携带的数据信息可以参见前面业务服务器侧的相关介绍，在此不再赘述。

S302，响应于该验证申请，针对该业务请求生成校验标识。

其中，校验标识用于唯一标识该业务请求。通过该校验标识可以唯一标识该业务请求所属的浏览器以及该浏览器本次发起的该业务请求的流程。

如，该验证申请携带有业务请求或者业务请求的业务标识，则可以生成与该业务请求或者该业务标识对应的校验标识，例如校验标识可以为令牌token。

S303，将验证数据以及该校验标识发送给该业务服务器，以便业务服务器向该业务请求对应的浏览器发送该校验标识以及行为验证指令。

其中，验证数据可以为用于对该业务请求对应的浏览器侧的用户进行行为验证所需的数据。相应的，业务服务器可以基于该验证数据生成行为验证指令并发送给浏览器，该行为验证指令用于指示浏览器展现用于行为验证的行为验证界面，以便该浏览器的用户在该行为验证界面输入用于行为验证的用户行为数据。

如，行为验证指令指示有浏览器展现出滑块验证模式，则浏览器侧的用户需要按照滑块验证模式所提示的滑块滑动方向以及所需滑动到的终点，拖动滑块滑动，从而使得浏览器可以获取到相应的用户行为数据。

其中，该验证数据的具体内容以及该行为验证指令的生成和具体含义，可以参见前面实施例的相关介绍，在此不再赘述。

S304，接收浏览器发送的用户行为数据以及该校验标识。

如，浏览器在向验证平台发送用户行为数据时，可以携带该校验标识，以便验证平台基于该校验标识可以确定是针对哪个业务请求所进行的行为验证。

S305，依据该用户行为数据，对该浏览器的用户进行行为验证。

其中，该用户行为数据可以反映出用户在浏览器的行为验证界面的操作行为，因此，根据该用户行为数据可以判断出用户的操作行为是否与行为验证界面所需的输入的验证行为一致，如果一致，则认证通过。例如，如果行为验证界面为输入界面中显示的字符，则可以验证用户行为数据所代表的用户输入的字符是否与输入界面中的字符一致。

其中，验证平台可以基于校验标识，确定浏览器侧所展现出的验证模式。如，验证平台可以依据该校验标识，确定与该校验标识对应的验证数据，从而得到该浏览器对应的验证模式，并按照验证模式所需的行为数据与该用户行为数据进行匹配，如果匹配通过，则确认该浏览器的用户的行为验证通过。

可选的，在业务服务器需要基于主验证模式和选择出的目标辅助验证模式确定验证模式的情况下，业务服务器也可以向验证平台发送与该校验标识对应的验证模式。在该种情况下，验证平台可以依据该用户行为数据以及该校验标识对应的验证模式进行用户行为验证。

S306，在确认该浏览器的用户通过行为验证的情况下，将该校验标识标记为验证通过的校验标识，并向该浏览器返回行为验证通过的信息，以便将该浏览器重定向到该业务服务器，以便业务服务器为该浏览器提供业务服务。

其中，将浏览器重定向到该业务服务器可以是验证平台指示浏览器重定向到该业务服务器；也可以是验证平台向浏览器返回验证通过的通知，便可以触发浏览器重定向到业务服务器。

其中，浏览器重定向到该业务服务器时会携带该校验标识，以便业务服务器会响应该浏览器的请求。其中，浏览器重定向到业务服务器与前面浏览器向业务服务器发送业务请求可以认为是采用同一个校验标识表示的同一次访问流程，在该基础上，业务服务器可以认定重定向后的该浏览器为业务请求验证通过后所发起的请求。

可以理解的是，为了避免浏览器在向业务服务器发起业务请求之后，该浏览器的环境发生变化，如浏览器的一些参数，如代理等属性的值发生改变，而导致浏览器侧出现影响安全性的风险，该验证平台还需要在对用户行为数据进行验证时，检测该浏览器的环境是否与该浏览器发起业务请求时的环境一致。

具体的，该业务服务器可以向验证平台发送携带有第一特征信息的验证申请。该第一特征信息可以为业务请求携带的第一参数信息，和/或，业务服务器从浏览器获取到的第二参数信息。相应的，验证平台在确认该浏览器的用户通过行为验证的情况下，还可以从该业务请求的浏览器获取第二特征信息。然后，验证平台可以依据第一特征信息和第二特征信息进行风险评估，得到第二风险评估结果；在该第二风险评估结果表征浏览器对应的风险程度低于阈值的情况下，将校验标识标记为验证通过的校验标识。

可见，验证平台只有该用户行为数据验证通过且该第二风险评估结果表征浏览器对应的风险程度低于阈值的情况下，才会将该校验标识标记为验证通过的校验标识。

其中，该第二特征信息可以与第一特征信息所包含的浏览器的属性参数的类别相同，但是由于是不同时刻从浏览器获取到的特征信息，因此，获取到的属性参数的属性值可能会有所不同。如，第二特征信息可以为从浏览器的cookies中获取到浏览器的版本、内核、屏幕分辨率以及操作系统类型等等参数的具体取值。

其中，该对第一特征信息和第二特征信息的风险评估可以为评估第一特征信息和第二特征信息中同一属性参数的属性值的差异程度，以评估在浏览器发送业务请求以及该用户行为数据这两个时刻时的浏览器环境差异。相应的，该第二风险评估结果可以表征该浏览器的环境差异程度，如果环境差异程度较小，则可以认为浏览器侧环境较为安全。

可以理解的是，为了提高业务服务器与浏览器的数据交互安全性，业务服务器在向验证平台发送验证申请之前，可以利用预置的加密密钥对第一特征信息进行加密，得到加密后的第一特征信息。然后该业务服务器可以向该验证平台发送携带该加密后的第一特征信息的验证申请。

相应的，在该验证平台得到该验证申请之后，可以利用预置的解密密钥对加密后的第一特征进行解密，得到该第一特征信息。

其中，该验证平台预置的解密密钥与该业务服务器预置的加密密钥为相互匹配的密钥对。如，验证平台与业务服务器可以预先协商该密钥对；或者是，在业务服务器向验证平台发送验证申请之前，业务服务器与验证平台确定该密钥对。

可选的，为了提高数据加密的安全性，该验证平台以及该业务服务器的数据加密或者解密可以采用高级加密标准(Advanced Encryption Standard，AES)算法加密。

为了便于理解本申请的业务请求处理方法，下面从业务服务器与验证平台的交互流程来介绍该业务请求处理方法。如图4所示，其示出了本申请一种业务请求处理方法的一种交互流程示意图，本实施例可以包括：

S401，浏览器向业务服务器发送业务请求，该业务请求携带有第一参数信息。

如，第一参数信息可以包括该浏览器的域名、IP地址以及发起业务请求的用户的用户名等信息。

作为一种可选方式该业务请求还可以携带浏览器中记录的第二参数信息。如浏览器的历史访问记录以及浏览器的版本、操作系统等等信息。

S402，业务服务器检测到该业务请求未携带有校验标识，获取业务请求关联的第一特征信息，依据该第一特征信息对该业务请求进行风险验证。

如，该第一特征信息可以包括第一参数信息和第二参数信息。

为了便于描述，本申请以浏览器发起业务请求到最终获得验证通过之后重新向业务服务器请求业务的过程进行描述。可以理解的是，在浏览器发起的业务请求未经过验证平台验证的情况下，浏览器发出的业务请求未携带校验标识。

S403，如果风险验证的验证结果表征该业务请求的风险等级属于设定风险等级，确定该业务请求的业务标识，利用预置的加密密钥将该第一特征信息以及该业务标识加密后，并向验证平台发送携带有加密的第一特征信息和业务标识的验证申请。

S404，验证平台响应于该验证申请，利用预置的解密密钥解密出该第一特征信息和业务标识，为该业务标识生成唯一的令牌，并存储该第一特征信息、业务标识与该令牌的对应关系。

S405，验证平台确定验证数据，并将该验证数据以及该令牌返回给业务服务器。

如，验证平台可以结合该第一特征信息，来确定适合该浏览器的验证模式，从而得到相应的验证数据。

特别的，在验证平台允许业务服务器调整验证模式的情况下，该验证平台确定的验证数据可以包括主验证方式以及至少一个辅助验证方式的数据，如主验证方式以及辅助验证方式的信息，展现主验证方式以及辅助验证方式所需的组件对应的初始化数据、加载数据以及展现所需的数据等等。

S406，业务服务器将该令牌以及验证数据中组件初始化数据返回给浏览器，以便浏览器存储该令牌，并基于组件初始化数据进行用户行为验证所需的组件初始化。

可以理解的是，为了提高后续行为验证界面的加载效率，此处可以将验证数据中需要展现的一些必须组件的初始化数据发送给浏览器，以便浏览器先对组件进行初始化。

S407，业务服务器根据该业务请求的第一特征信息以及该业务服务器提供的业务类型，进行风险评估，得到第一风险评估结果。

S408，业务服务器根据第一风险评估结果，确定从验证数据中与主验证方式关联的多个辅助验证方式中，选取出目标辅助验证方式，并向浏览器发送行为验证指令。

该行为验证指令用于指示所述浏览器展现行为验证界面。其中，该行为验证指令携带有在该行为验证界面展现行为验证模式所需的数据。该行为验证模式可以是由主验证方式与目标辅助验证方式组成的，用于对用户进行行为验证的验证模式。

S409，浏览器展现行为验证界面，获取用户在行为验证界面输入的用户行为数据，并将用户行为数据以及存储的该令牌发送给验证平台。

S410，验证平台在依据该用户行为数据，确认该浏览器的用户通过行为验证的情况下，从该浏览器获取第二特征信息，并获取该令牌对应的第一特征信息，依据第一特征信息和第二特征信息进行风险评估，得到第二风险评估结果。

S411，在验证平台确认该第二风险评估结果表征浏览器对应的风险程度低于阈值的情况下，将该令牌标记为验证通过的令牌，并向浏览器发送验证通过通知。

S412，浏览器响应于该验证通过通知，向业务服务器发送携带有该令牌的业务请求。

S413，业务服务器接收到携带有令牌的业务请求后，向验证平台验证该令牌是否属于验证通过的令牌。

业务服务器接收到携带有令牌的业务请求之后，该业务服务器可以确认该业务请求为该浏览器发起的业务请求通过验证平台验证后再次发起的业务请求，在该种情况下，业务服务器只需验证该令牌的真伪。

S414，业务服务器在确认该令牌属于验证通过的令牌的情况下，向浏览器返回业务请求所请求的业务服务数据。

对应本申请业务请求处理方法中业务服务器侧的操作，本申请还提供饿了一种业务请求处理装置。

如图5所示，其示出了本申请一种业务请求处理装置一个实施例的组成结构示意图，该装置可以应用于业务服务器，包括：

请求获得单元501，用于获得浏览器向业务服务器发送的业务请求；

验证发起单元502，用于如果所述业务请求未携带校验标识，向验证平台发送验证申请，所述验证申请用于请求对所述业务请求进行验证；

数据获得单元503，用于获得所述验证平台响应于所述验证申请返回的验证数据以及校验标识，所述校验标识为所述验证平台为所述业务请求生成的唯一标识，所述验证数据为对所述浏览器的用户进行行为验证所需的数据；

指令发送单元504，用于基于所述验证数据，向所述浏览器返回行为验证指令，所述行为验证指令用于指示所述浏览器展现行为验证界面，以便所述浏览器将用户在所述行为验证界面输入的用户行为数据以及所述校验标识发送给所述验证平台，其中，所述验证平台在依据所述用户行为数据确认所述浏览器的用户通过行为验证的情况下，将所述校验标识标记为验证通过的校验标识；

请求响应单元505，用于如果所述业务请求携带校验标识，且通过所述验证平台确认所述校验标识属于已验证通过的校验标识，为所述浏览器返回所述业务请求所请求的业务内容。

在一种可能的实现方式中，所述验证发起单元，包括：

特征获取子单元，用于如果所述业务请求未携带有校验标识，获取所述业务请求关联的第一特征信息，并依据所述第一特征信息对所述业务请求进行风险验证；其中，所述第一特征信息包括：所述业务请求携带的第一参数信息，和/或，业务服务器从所述浏览器获取到的第二参数信息；

验证发起子单元，用于如果验证出所述业务请求对应的风险等级属于设定风险等级，向验证平台发送验证申请。

在又一种可能的实现方式中，在以上装置的实施例中，所述数据获得单元获取的所述验证数据包括：用于行为验证的主验证方式的数据以及与所述主验证方式关联的至少一种辅助验证方式的数据；

所述装置还包括：

方式匹配单元，用于在所述指令发送单元向所述浏览器返回行为验证指令之前，依据所述业务服务器所提供的业务类型，从所述主验证方式关联的至少一种辅助验证方式中，选取出与所述业务类型匹配的目标辅助验证方式；

所述指令发送单元，具体用于基于所述主验证方式以及目标辅助验证方式的数据，向所述浏览器返回行为验证指令，所述行为验证指令携带有在所述行为验证界面展现行为验证模式所需的数据，所述行为验证模式为由所述主验证方式与所述目标辅助验证方式组成的，用于对用户进行行为验证的验证模式。

可选的，该装置还可以包括：

特征确定单元，用于在所述方式匹配单元确定所述目标辅助验证方式之前，确定与所述业务请求关联的第一特征信息，所述第一特征信息包括：所述业务请求携带的第一参数信息，和/或，业务服务器从所述浏览器获取到的第二参数信息；

所述方式匹配单元，包括：

风险评估单元，用于依据所述业务服务器所提供的业务类型以及所述第一特征信息进行风险评估，得到第一风险评估结果；

方式选择单元，用于从所述主验证方式关联的至少一种辅助验证方式中，选取出与所述第一风险评估结果匹配的目标辅助验证方式。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

以上仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。