CN111355713B - 一种代理访问方法、装置、代理网关及可读存储介质 - Google Patents
一种代理访问方法、装置、代理网关及可读存储介质 Download PDFInfo
- Publication number
- CN111355713B CN111355713B CN202010104277.4A CN202010104277A CN111355713B CN 111355713 B CN111355713 B CN 111355713B CN 202010104277 A CN202010104277 A CN 202010104277A CN 111355713 B CN111355713 B CN 111355713B
- Authority
- CN
- China
- Prior art keywords
- proxy
- browser
- authentication
- token
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种代理访问方法,本申请应用的代理网关仅具有代理业务,将身份认证业务交还给客户自身所具有的认证服务器,在判断出访问请求中未包含有认证服务器在通过认证后颁发的认证信息后,代理网关将浏览器重定向至认证服务器,以完成用户与认证服务器之间的身份认证,再通过逐步的有效性验证最终判定该访问请求满足执行代理访问操作的要求。本方法实现了代理业务和身份认证业务的解耦,充分利用了客户已有的身份认证机制,降低了代理网关的开发难度和后期运维成本,减低了代理网关的成品、提升了产品竞争力和客户体验。本申请还同时公开了一种应用于代理网关的代理访问装置、代理网关及可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及VPN技术领域,特别涉及一种应用于代理网关的代理访问方法、装置以及一种代理网关和可读存储介质。
背景技术
VPN,Virtual Private Network,虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯,在企业网络中有广泛应用。WEBVPN(WEB Virtual Private Network,基于WEB的虚拟专用网络)能够提供基于Web的内网应用访问控制,允许授权用户访问只对内网开放的Web应用,在当前广泛应用于对内网应用的外部代理控制。
WEBVPN使外部用户实现对内网应用的访问和控制的实现过程可参见如图1所示的时序图,应当理解的是,之所以WEBVPN可以直接在第2步就像用户浏览器显示资源,是因为用户首先需要通过浏览器登录至WEBVPN,也就是说WEBVPN其中不仅仅包含了代理业务,还有身份认证业务,所在其通过自身的身份认证业务判别登录用户具有相应的权限后,可以直接向用户显示相应的待访问资源。
此种方式代理带来一定便利的同时,也会由于身份认证业务与代理业务的强耦合使得WEBVPN的认证没有弹性,客户要实现个性化的认证就必须对WEBVPN的认证模块进行定制,而受多方面因素影响,各客户之间认证方式的差异往往是一定的,也即是说定制也往往是必须的,从而为WEBVPN设备的生产制造厂家带来更高的开发难度和后期运维成本,导致增加产品成本。更重要的是,客户为满足自身其他业务,往往自身设置有认证机制,现有基于WEBVPN的实现方式相当于单独为代理业务增加了一套身份认证机制,现有身份认证机制得不到有效利用。
因此,如何克服上述现有技术存在的各项技术缺陷,是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种应用于代理网关的代理访问方法、装置,以及一种代理网关和可读存储介质,旨在消除传统WEBVPN实现机制由于身份认证业务和代理业务的强耦合所带来的一系列问题、充分利用客户自身所具有的身份认证机制,降低代理网关成本、提升产品竞争力和客户体验。
为实现上述目的,本申请提供了一种应用于代理网关的代理访问方法,包括:
接收浏览器发来的访问请求,并查看所述访问请求中是否包含有Token;
若不包含所述Token,则查看所述访问请求中是否包含有认证信息;若不包含所述认证信息,则将所述浏览器重定向至认证服务器,以使所述认证服务器在通过用户的身份认证后向所述浏览器返回所述认证信息;若包含有所述认证信息,则向所述认证服务器发起验证所述认证信息的验证请求,以使所述认证服务器验证在验证通过后返回验证通过信号;根据所述验证通过信号向所述浏览器返回Token;
若包含有所述Token,则验证所述Token的可用性,并在所述Token验证通过后对所述访问请求执行代理访问操作。
可选的,该代理访问方法还包括:
在所述认证服务器向所述浏览器返回所述认证信息后,控制所述浏览器向所述代理网关重新发起包含所述认证信息的访问请求;
在所述代理网关向所述浏览器返回所述Token后,控制所述浏览器向所述代理网关重新发起包含所述Token的访问请求。
可选的,该代理访问方法还包括:
所述认证服务器为所述认证信息附加第一使用限制;其中,所述第一使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
可选的,所述认证服务器为所述认证信息附加第一使用限制,包括:
所述认证服务器为所述认证信息附加一次性使用限制。
可选的,该代理访问方法还包括:
为所述Token附加第二使用限制;其中,所述第二使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
可选的,当所述认证信息未通过所述认证服务器的身份认证时,还包括:
接收所述认证服务器返回的身份认证失败信号;
根据所述身份认证失败信号将对应的认证信息记录为疑似伪造信息。
可选的,该代理访问方法还包括:
当相同的认证信息被记录为所述疑似伪造信息的次数超过预设次数时,将发出所述疑似伪造信息所在的访问请求的浏览器标记为可疑浏览器,并监控所述可疑浏览器后续发出的其他访问请求。
为实现上述目的,本申请还提供了一种应用于代理网关的代理访问装置,包括:
请求接收及Token包含判断单元,用于接收浏览器发来的访问请求,并查看所述访问请求中是否包含有Token;
未Token包含处理单元,用于当不包含所述Token时,查看所述访问请求中是否包含有认证信息;当不包含所述认证信息时,将所述浏览器重定向至认证服务器,以使所述认证服务器在通过用户的身份认证后向所述浏览器返回所述认证信息;当包含有所述认证信息时,向所述认证服务器发起验证所述认证信息的验证请求,以使所述认证服务器验证在验证通过后返回验证通过信号;根据所述验证通过信号向所述浏览器返回Token;
Token包含处理单元,用于当包含有所述Token时,验证所述Token的可用性,并在所述Token验证通过后对所述访问请求执行代理访问操作。
可选的,该代理访问装置还包括:
第一新访问请求重新发起单元,用于在所述认证服务器向所述浏览器返回所述认证信息后,控制所述浏览器向所述代理网关重新发起包含所述认证信息的访问请求;
第二新访问请求重新发起单元,用于在所述代理网关向所述浏览器返回所述Token后,控制所述浏览器向所述代理网关重新发起包含所述Token的访问请求。
可选的,该代理访问装置还包括:
认证信息使用限制附加单元,用于所述认证服务器为所述认证信息附加第一使用限制;其中,所述第一使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
可选的,所述认证信息使用限制附加单元包括:
一次性使用子单元,用于所述认证服务器为所述认证信息附加一次性使用限制。
可选的,该代理访问装置还包括:
Token信息使用限制附加单元,用于为所述Token附加第二使用限制;其中,所述第二使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
可选的,该代理访问装置还包括:
身份认证失败信号接收单元,用于当所述认证信息未通过所述认证服务器的身份认证时,接收所述认证服务器返回的身份认证失败信号;
疑似伪造认证信息记录单元,用于根据所述身份认证失败信号将对应的认证信息记录为疑似伪造信息。
可选的,该代理访问装置还包括:
标记及监控单元,用于当相同的认证信息被记录为所述疑似伪造信息的次数超过预设次数时,将发出所述疑似伪造信息所在的访问请求的浏览器标记为可疑浏览器,并监控所述可疑浏览器后续发出的其他访问请求。
为实现上述目的,本申请还提供了一种代理网关,包括:
存储器,用于存储代理访问程序;
处理器,用于在执行所述代理访问程序时实现如上述内容所描述的代理访问方法的各步骤。
为实现上述目的,本申请还提供了一种可读存储介质,所述可读存储介质上存储有代理访问程序,所述代理访问程序被处理器访问时可实现如上述内容所描述的代理访问方法的各步骤。
本申请提供了一种应用于代理网关的代理访问方法,包括:接收浏览器发来的访问请求,并查看所述访问请求中是否包含有Token;若不包含所述Token,则查看所述访问请求中是否包含有认证信息;若不包含所述认证信息,则将所述浏览器重定向至认证服务器,以使所述认证服务器在通过用户的身份认证后向所述浏览器返回所述认证信息;若包含有所述认证信息,则向所述认证服务器发起验证所述认证信息的验证请求,以使所述认证服务器验证在验证通过后返回验证通过信号;根据所述验证通过信号向所述浏览器返回Token;若包含有所述Token,则验证所述Token的可用性,并在所述Token验证通过后对所述访问请求执行代理访问操作。
根据本申请提供的代理访问方法可以看出,区别于现有技术将身份认证业务和代理业务强耦合在一起的WEBVPN,本申请应用的代理网关仅具有代理业务,将身份认证业务交还给客户自身所具有的认证服务器,在判断出访问请求中未包含有认证服务器在通过认证后颁发的认证信息后,代理网关将浏览器重定向至认证服务器,以完成用户与认证服务器之间的身份认证,再通过逐步的有效性验证最终判定该访问请求满足执行代理访问操作的要求。本方法实现了代理业务和身份认证业务的解耦,充分利用了客户已有的身份认证机制,降低了代理网关的开发难度和后期运维成本,减低了代理网关的成品、提升了产品竞争力和客户体验。
本申请同时还提供了一种应用于代理网关的代理访问装置、代理网关及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为WEBVPN实现代理访问目的的时序图;
图2为本申请实施例所提供的代理访问方法所适用的硬件系统的结构示意图;
图3为本申请实施例提供的一种应用于代理网关的代理访问方法的流程图;
图4为本申请实施例提供的一种应用于代理网关的记录疑似伪造的认证信息的方法的流程图;
图5为本申请实施例提供的一种代理访问方法的时序图;
图6为本申请实施例提供的一种应用于代理网关的代理访问装置的结构框图;
图7为本申请实施例提供的一种代理网关的结构示意图。
具体实施方式
本申请的目的是提供一种应用于代理网关的代理访问方法、装置,以及一种代理网关和可读存储介质,旨在消除传统WEBVPN实现机制由于身份认证业务和代理业务的强耦合所带来的一系列问题、充分利用客户自身所具有的身份认证机制,降低代理网关成本、提升产品竞争力和客户体验。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为便于理解本申请提供的代理访问方法,下面对其所处的硬件系统进行介绍,以便于结合系统中各执行主体来操作理解本方法。如图2所示,该代理访问系统包括:浏览器10、代理网关20、认证服务器30以及WEB Server40,浏览器10与代理网关20和认证服务器30、代理网关20与认证服务器、代理网关20余WEB Server40之间均通过网络建立通信连接。
其中,代理网关20为实现代理访问目的中提供代理业务的电子设备,认证服务器30为客户原有业务系统下的认证业务充当,WEB Server40为提供内网应用的业务充当,浏览器终端10可由任意支持浏览器运行的终端充当,包括移动终端或固定终端。
相较于现有实现代理访问目的WEBVPN技术,本申请与其最大的区别为不在采用将身份认证业务和代理业务强耦合的WEBVPN网关,而是将身份认证业务剥离出来由客户本就具有的认证服务器来完成,即本申请中的代理网关20仅负责在判定浏览器发来的访问请求满足代理访问要求后执行代理访问操作。由于充分利用了客户本就具有的身份认证机制,就无须代理网关的生产制造企业花费更高的代价去开发与客户个性化认证机制对应的身份认证业务,从而降低了开发和后期运维成本(非强耦合的多个业务无疑更便于单独更新和维护)。
由于改进点主要体现在代理网关上,因此本申请还提供了如图3所示的应用于代理网关20的代理访问方法的流程图,以站在本申请提供的代理网关20的角度来描述本申请所提供的代理访问方法,包括如下步骤:
S101:接收浏览器发来的访问请求;
代理网关接收到用户通过运行在浏览器终端上的浏览器发来的访问请求。
S102:查看访问请求中是否包含有Token,若包含,执行S107,否则执行S103;
在S101的基础上,本步骤旨在由代理网关查看接收到的访问请求中是否包含有Token。其中,Token在计算机身份认证中是(临时)令牌的意思,一般作为邀请、登录系统使用,该Token在本申请中仅会在代理网关接收到认证服务器发来的验证通过信号的情况下,才会向发来对应访问请求的浏览器发送;认证服务器仅会在验证代理网关发来的验证请求中包含的认证信息具有可用性的情况下,才向代理网关发送验证通过信号;浏览器仅会在其用户通过了认证服务器对其的身份认证(此处指具有可使用代理访问权限)后才会收到由认证服务器下发的认证信息,即该认证信息用于表示使用该浏览器的用户具有使用代理访问权限。后续其他步骤将会正向一一描述上述各参数如何到达浏览器。
S103:查看访问请求中是否包含有认证信息,若包含,执行S105,否则执行S104;
本步骤建立在S102的查看结果为访问请求中不包含有Token的基础上,说明代理网关还没有接收到认证服务器发来的验证通过信号,也就可以认为使用该浏览器的用户还未完全通过认证服务器对其的身份认证。因此,为了进一步的确认身份认证操作到底进行了到了哪一步、处于哪种程度,本步骤进行了访问请求中是否包含有认证信息的判断。
S104:将浏览器重定向至认证服务器,以使认证服务器在通过用户的身份认证后向浏览器返回认证信息;
本步骤建立在S103的查看结果为访问请求中不包含认证信息的基础上,由于认证信息仅会在使用浏览器的用户通过了认证服务器对其的身份认证的情况下,由认证服务器颁发给浏览器。因此,在访问请求中不包含认证信息的情况下,应当认为该访问请求为用户首次通过该浏览器试图执行代理访问操作发出的访问请求,还缺乏使用浏览器的用于与认证服务器之间的身份认证。
因此,本步骤旨在由代理服务器通过重定向技术,将浏览器重定向至认证服务器,以使认证服务器验证使用浏览器的用户的身份,并在该用户的身份通过认验证后向浏览器返回认证信息。具体的,该认证可以表现为任何能够表现出持有者具有使用代理访问业务权限的形式,例如一段特殊的字符串、一种特殊的票据、一种特殊的密钥等等,此处并不做具体限定。
具体的,代理网关可通过使用302重定向技术来完成上述目的。
进一步的,在认证服务器向浏览器返回认证信息后,为了继续完成整个代理访问操作、实现代理访问目的,浏览器还应及时根据接收到的认证信息重新向代理网关发起新的访问请求,以使代理网关基于包含认证信息的访问信息继续后续处理。
S105:向认证服务器发起验证认证信息的验证请求,以使认证服务器验证在验证通过后返回验证通过信号;
本步骤建立在S103的判断结果为该访问请求中包含有认证信息的基础上,鉴于本步骤还处于代理网关判断访问请求中包含有Token的情况下,说明当前处于代理网关还未接收到认证服务器返回的验证通知信号的情况。
也就是说,虽然访问请求中包含有认证信息,但代理网关还需要在将其交由认证服务器进行可用性验证且验证通过后,才能认为满足向浏览器返回Token的条件。之所以需要将认证信息交由认证服务器进行可用性验证,首先是因为身份认证业务已经与代理业务解耦、由客户自身具有的认证服务器来完成,同事也是因为有效的认证信息本身就是由认证服务器生成的,只有其才拥有准确验证其是否在当前仍具有可用性的能力。
S106:根据验证通过信号向浏览器返回Token;
在S105的基础上,本步骤旨在由代理网关根据接收到的验证通过信号向浏览器返回Token。即该验证通过信号是由认证服务器在验证验证请求中包含的认证信息具有可用性的情况下,才由认证服务器向代理网关发送给代理网关。
进一步的,在代理网关向浏览器返回Token后,为了继续完成整个代理访问操作、实现代理访问目的,浏览器还应及时根据接收到的Token重新向代理网关发起新的访问请求,以使代理网关基于包含Token的访问信息继续后续处理。
S107:验证Token的可用性,并在Token验证通过后对访问请求执行代理访问操作。
本步骤建立在S102的判断结果为访问请求中包含有Token的基础上,基于Token的含义说明该访问请求已经具有可使用代理访问的权限,因此只需要再通过代理网关对Token的可用性验证,即可在Token验证通过后对访问请求执行代理访问操作,即帮助浏览器与WEB Server建立代理访问渠道。
进一步的,鉴于外部代理访问的特殊性和安全性,为防止保存有认证信息或Token的情况下通过重放跳过身份认证机制,为非拥有代理访问权限的其他使用者提供入侵途径,还可以通过由代理网关为Token附加使用限制和/或认证服务器为认证信息施加使用限制来防止此问题出现。其中,使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
例如,可以由认证服务器为每个即将下发给浏览器的认证信息附加一次性使用限制,使得附加有该一次性使用限制的认证信息仅会在被使用一次后被破坏,使得其他使用该浏览器无法通过重放再次使用代理访问业务。同理,也可以由代理网关为Token施加相同的使用限制。
基于上述技术方案,本申请实施例提供的一种云环境下服务的部署方法,从租户的服务创建请求中获取待创建服务的相关信息,并在剩余资源量满足创建所需资源量的基础上,同时将包括Paas服务和IaaS服务在内的两层服务都创建在目标创建资源区当中,为每位租户都提供了独享的PaaS服务和IaaS服务,由于每位租户都拥有自己的PaaS服务,且与IaaS服务使用同一物理资源,因此可显著降低两者之间的业务访问延迟,同时此种方式下各租户间隔离会更加彻底,安全性能更佳。
在本申请的一些实施例中,为防止通过非正常方式使用代理访问业务所带来的一系列问题,例如伪造认证信息、伪造Token,本申请还通过如图4所示的流程图提供了一种记录未通过认证服务器的可用性验证的认证信息的方法,包括如下步骤:
S201:接收认证服务器返回的身份认证失败信号;
S202:根据身份认证失败信号将对应的认证信息记录为疑似伪造信息。
在S201的基础上,本步骤旨在由代理网关根据身份认证失败信号将对应的认证信息记录为疑似伪造信息,以用于后期追溯。
进一步的,若经过一段时间的记录和分析,发现有相同的认证信息被记录为疑似伪造信息的次数超过预设次数时,有理由将发出该疑似伪造信息所在的访问请求的浏览器标记为可疑浏览器,并进一步监控由该可疑浏览器后续发出的其他访问请求,以及时发现该可疑览器试图进行的其他形式的恶意行为。
为加深对本申请方案具体实现过程的理解,此处还通过如图5所示的时序图提供了一种在某种具体场景下的代理访问方法,图5中示出了包括代理网关、浏览器、认证服务器以及WEB Server在内的各个执行主体。如图5所示的时序图还原了用户首次通过浏览器试图使用代理访问业务对WEB Server进行访问的整个过程:
1、用户通过浏览器向代理网关发送第一访问请求;
由于是首次通过该浏览器发送访问请求,该访问请求中不会包含有认证信息和Token。
2、代理网关通过检查发现该第一访问请求中并不包含认证信息和Token;
3、代理网关将浏览器重定向连接至认证服务器的身份认证界面;
4、用户通过浏览器在身份认证界面通过认证请求向认证服务器发送包含待认证身份信息在内的内容;
5、认证服务器通过验证判定该认证请求对应的用户具有使用代理访问业务的权限;
6、认证服务器向浏览器下发认证信息;
7、浏览器根据接收到的认证信息重新向代理网关发起包含认证信息的第二访问请求;
8、代理网关通过检查发现该第二访问请求中干包含认证信息;
9、代理网关向认证服务器发起包含认证信息在内的可用性验证请求;
10、认证服务器通过验证判定该认证信息具有可用性;
11、认证服务器将验证通过信号作为响应信号返回至代理网关;
12、代理网关根据接收到的验证通过信号向浏览器返回Token;
13、浏览器根据接收到的Token重新向代理网关发起包含Token的第三访问请求;
14、代理网关通过检查发现该第三访问请求中包含Token且Token通过了自身的可用性验证;
15、代理网关将访问请求对WEB Server的访问操作代理转发给WEB Server;
16、WEB Server将响应数据返回代理网关;
17、代理网关将接收到的响应数据再转发回浏览器,完成代理访问操作。
因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
下面请参见图6,图6为本申请实施例所提供的一种应用于代理网关的代理访问装置的结构框图,该装置可以包括:
请求接收及Token包含判断单元100,用于接收浏览器发来的访问请求,并查看访问请求中是否包含有Token;
未Token包含处理单元200,用于当不包含Token时,查看访问请求中是否包含有认证信息;当不包含认证信息时,将浏览器重定向至认证服务器,以使认证服务器在通过用户的身份认证后向浏览器返回认证信息;当包含有认证信息时,向认证服务器发起验证认证信息的验证请求,以使认证服务器验证在验证通过后返回验证通过信号;根据验证通过信号向浏览器返回Token;
Token包含处理单元300,用于当包含有Token时,验证Token的可用性,并在Token验证通过后对访问请求执行代理访问操作。
进一步的,该代理访问装置还可以包括:
第一新访问请求重新发起单元,用于在认证服务器向浏览器返回认证信息后,控制浏览器向代理网关重新发起包含认证信息的访问请求;
第二新访问请求重新发起单元,用于在代理网关向浏览器返回Token后,控制浏览器向代理网关重新发起包含Token的访问请求。
进一步的,该代理访问装置还可以包括:
认证信息使用限制附加单元,用于认证服务器为认证信息附加第一使用限制;其中,第一使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
其中,认证信息使用限制附加单元可以包括:
一次性使用子单元,用于认证服务器为认证信息附加一次性使用限制。
进一步的,该代理访问装置还可以包括:
Token信息使用限制附加单元,用于为Token附加第二使用限制;其中,第二使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
更进一步的,该代理访问装置还可以包括:
身份认证失败信号接收单元,用于当认证信息未通过认证服务器的身份认证时,接收认证服务器返回的身份认证失败信号;
疑似伪造认证信息记录单元,用于根据身份认证失败信号将对应的认证信息记录为疑似伪造信息。
更进一步的,该代理访问装置还可以包括:
标记及监控单元,用于当相同的认证信息被记录为疑似伪造信息的次数超过预设次数时,将发出疑似伪造信息所在的访问请求的浏览器标记为可疑浏览器,并监控可疑浏览器后续发出的其他访问请求。
本实施例作为对应于上述方法实施例的装置实施例存在,具有方法实施例的全部有益效果,此处不再一一赘述。
基于上述实施例,本申请还提供了一种代理网关,该代理网关可以包括存储器和处理器,其中,该存储器中存有具有为代理访问程序的计算机程序,该处理器调用该存储器中的代理访问程序时,可以实现上述实施例所提供的代理访问方法的各步骤。当然,该代理网关还可以包括各种必要的网络接口、电源以及其它零部件等。具体的,该代理网关可以为NAP(因特网的路由选择层次体系中的通信交换点)代理网关。
图7示出了该代理网关的一种结构示意图,该代理网关400包括存储器410、处理器420以及总线430,存储器410上存储有可在处理器420上运行的代理访问程序,该代理访问程序通过总线430被传输至处理器420,并在被处理器420执行时可实现如上述实施例所描述的代理访问方法中的各步骤。
其中,存储器410至少包括一种类型的可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器410在一些实施例中可以是代理网关400的内部存储单元,例如该代理网关400的硬盘。存储器410在另一些实施例中也可以是该代理网关400的外部存储设备,例如该代理网关400上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器410还可以同时由内部存储单元和外部存储设备同时组成。进一步的,存储器410不仅可以用于存储安装于该代理网关400中的各种应用软件和各类数据,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器420在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器410中存储的程序代码或处理数据,例如代理访问程序等。
总线430可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条双向中空指示线表示,但并不表示仅有一根总线或一种类型的总线。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例中所给出的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种代理访问方法,其特征在于,应用于WEBVPN的代理网关,包括:
接收浏览器发来的访问请求,并查看所述访问请求中是否包含有Token;
若不包含所述Token,则查看所述访问请求中是否包含有认证信息;若不包含所述认证信息,则将所述浏览器重定向至认证服务器,以使所述认证服务器在通过用户的身份认证后向所述浏览器返回所述认证信息;若包含有所述认证信息,则向所述认证服务器发起验证所述认证信息的验证请求,以使所述认证服务器在验证通过后返回验证通过信号;根据所述验证通过信号向所述浏览器返回Token;其中,将所述浏览器重定向至认证服务器的重定向方式为302重定向技术;
若包含有所述Token,则验证所述Token的可用性,并在所述Token验证通过后对所述访问请求执行代理访问操作;
在所述认证服务器向所述浏览器返回所述认证信息后,控制所述浏览器向所述代理网关重新发起包含所述认证信息的访问请求;
在所述代理网关向所述浏览器返回所述Token后,控制所述浏览器向所述代理网关重新发起包含所述Token的访问请求。
2.根据权利要求1所述的代理访问方法,其特征在于,还包括:
所述认证服务器为所述认证信息附加第一使用限制;其中,所述第一使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
3.根据权利要求2所述的代理访问方法,其特征在于,所述认证服务器为所述认证信息附加第一使用限制,包括:
所述认证服务器为所述认证信息附加一次性使用限制。
4.根据权利要求1所述的代理访问方法,其特征在于,还包括:
为所述Token附加第二使用限制;其中,所述第二使用限制包括单次使用时长限制、使用次数限制以及有效期限制中的至少一项。
5.根据权利要求1至4任一项所述的代理访问方法,其特征在于,当所述认证信息未通过所述认证服务器的身份认证时,还包括:
接收所述认证服务器返回的身份认证失败信号;
根据所述身份认证失败信号将对应的认证信息记录为疑似伪造信息。
6.根据权利要求5所述的代理访问方法,其特征在于,还包括:
当相同的认证信息被记录为所述疑似伪造信息的次数超过预设次数时,将发出所述疑似伪造信息所在的访问请求的浏览器标记为可疑浏览器,并监控所述可疑浏览器后续发出的其他访问请求。
7.一种代理访问装置,其特征在于,应用于WEBVPN的代理网关,包括:
请求接收及Token包含判断单元,用于接收浏览器发来的访问请求,并查看所述访问请求中是否包含有Token;
未Token包含处理单元,用于当不包含所述Token时,查看所述访问请求中是否包含有认证信息;当不包含所述认证信息时,将所述浏览器重定向至认证服务器,以使所述认证服务器在通过用户的身份认证后向所述浏览器返回所述认证信息;当包含有所述认证信息时,向所述认证服务器发起验证所述认证信息的验证请求,以使所述认证服务器在验证通过后返回验证通过信号;根据所述验证通过信号向所述浏览器返回Token;其中,将所述浏览器重定向至认证服务器的重定向方式为302重定向技术;
Token包含处理单元,用于当包含有所述Token时,验证所述Token的可用性,并在所述Token验证通过后对所述访问请求执行代理访问操作;
第一新访问请求重新发起单元,用于在所述认证服务器向所述浏览器返回所述认证信息后,控制所述浏览器向所述代理网关重新发起包含所述认证信息的访问请求;
第二新访问请求重新发起单元,用于在所述代理网关向所述浏览器返回所述Token后,控制所述浏览器向所述代理网关重新发起包含所述Token的访问请求。
8.一种代理网关,其特征在于,包括:
存储器,用于存储代理访问程序;
处理器,用于在执行所述代理访问程序时实现如权利要求1至6任一项所述的代理访问方法的各步骤。
9.一种可读存储介质,其特征在于,所述可读存储介质上存储有代理访问程序,所述代理访问程序被处理器访问时可实现如权利要求1至6任一项所述的代理访问方法的各步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010104277.4A CN111355713B (zh) | 2020-02-20 | 2020-02-20 | 一种代理访问方法、装置、代理网关及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010104277.4A CN111355713B (zh) | 2020-02-20 | 2020-02-20 | 一种代理访问方法、装置、代理网关及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111355713A CN111355713A (zh) | 2020-06-30 |
| CN111355713B true CN111355713B (zh) | 2022-09-30 |
Family
ID=71197063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010104277.4A Active CN111355713B (zh) | 2020-02-20 | 2020-02-20 | 一种代理访问方法、装置、代理网关及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111355713B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988336A (zh) * | 2020-09-02 | 2020-11-24 | 南方电网数字电网研究院有限公司 | 访问请求的处理方法、装置、系统和计算机设备 |
| CN112055024B (zh) * | 2020-09-09 | 2023-08-22 | 深圳市欢太科技有限公司 | 权限校验方法及装置、存储介质和电子设备 |
| CN112182450A (zh) * | 2020-09-15 | 2021-01-05 | 中信银行股份有限公司 | 一种银行系统页面集成的方法、系统及存储介质 |
| CN112311788A (zh) * | 2020-10-28 | 2021-02-02 | 北京锐安科技有限公司 | 一种访问控制方法、装置、服务器及介质 |
| CN113938327B (zh) * | 2021-12-17 | 2022-05-24 | 亿次网联(杭州)科技有限公司 | Vpn服务的访问方法和访问系统、电子设备、存储介质 |
| CN114389851B (zh) * | 2021-12-17 | 2023-07-18 | 苏州浪潮智能科技有限公司 | 交换机维护服务身份验证方法、系统、终端及存储介质 |
| CN114697084B (zh) * | 2022-03-14 | 2024-03-26 | 浙江大豪科技有限公司 | 缝纫设备数据访问方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087192A (zh) * | 2006-06-06 | 2007-12-12 | 富士施乐株式会社 | 控制装置、存储有控制程序的记录介质以及通信系统 |
| CN107528853A (zh) * | 2017-09-12 | 2017-12-29 | 上海艾融软件股份有限公司 | 微服务权限控制的实现方法 |
| CN109587133A (zh) * | 2018-11-30 | 2019-04-05 | 武汉烽火众智智慧之星科技有限公司 | 一种单点登录系统及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277193A (zh) * | 2008-05-05 | 2008-10-01 | 北京航空航天大学 | 基于面向服务架构认证服务代理的信息门户单点登录和访问系统 |
| US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| CN102624720B (zh) * | 2012-03-02 | 2017-04-12 | 华为技术有限公司 | 一种身份认证的方法、装置和系统 |
| CN109962892A (zh) * | 2017-12-25 | 2019-07-02 | 航天信息股份有限公司 | 一种登录应用的认证方法及客户端、服务器 |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
-
2020
- 2020-02-20 CN CN202010104277.4A patent/CN111355713B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087192A (zh) * | 2006-06-06 | 2007-12-12 | 富士施乐株式会社 | 控制装置、存储有控制程序的记录介质以及通信系统 |
| CN107528853A (zh) * | 2017-09-12 | 2017-12-29 | 上海艾融软件股份有限公司 | 微服务权限控制的实现方法 |
| CN109587133A (zh) * | 2018-11-30 | 2019-04-05 | 武汉烽火众智智慧之星科技有限公司 | 一种单点登录系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111355713A (zh) | 2020-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| EP3691215B1 (en) | Access token management method, terminal and server | |
| US11196739B2 (en) | Authorization activation | |
| EP2307982B1 (en) | Method and service integration platform system for providing internet services | |
| CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| US9264420B2 (en) | Single sign-on for network applications | |
| US20140245417A1 (en) | Centralized secure management method of third-party application, system and corresponding communication system | |
| JP2004007690A (ja) | 通信ネットワークにおける第1通信関与体の正当性をチェックする方法および装置 | |
| JP2014531163A5 (zh) | ||
| JP6572750B2 (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
| CN106161348B (zh) | 一种单点登录的方法、系统以及终端 | |
| CN104734849A (zh) | 对第三方应用进行鉴权的方法及系统 | |
| US20210234850A1 (en) | System and method for accessing encrypted data remotely | |
| KR20130109322A (ko) | 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법 | |
| CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
| CN108011717A (zh) | 一种请求用户数据的方法、装置及系统 | |
| CN108076077A (zh) | 一种会话控制方法及装置 | |
| CN113922982A (zh) | 登录方法、电子设备及计算机可读存储介质 | |
| CN112613073A (zh) | 一种开放平台认证授权方法及装置 | |
| US9680814B2 (en) | Method, device, and system for registering terminal application | |
| CN113438081B (zh) | 一种认证方法、装置及设备 | |
| CN108462671A (zh) | 一种基于反向代理的认证保护方法及系统 | |
| CN111245791B (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
| CN105991619A (zh) | 一种安全认证方法和装置 | |
| KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |