CN115987650A - 一种数据访问的方法、装置、存储介质及电子设备 - Google Patents
一种数据访问的方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN115987650A CN115987650A CN202211678550.XA CN202211678550A CN115987650A CN 115987650 A CN115987650 A CN 115987650A CN 202211678550 A CN202211678550 A CN 202211678550A CN 115987650 A CN115987650 A CN 115987650A
- Authority
- CN
- China
- Prior art keywords
- user
- identification number
- client
- service data
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请的一些实施例提供了一种数据访问的方法、装置、存储介质及电子设备,该方法包括:接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。本申请的一些实施例可以防止数据越权访问,安全性较高。
Description
技术领域
本申请涉及数据访问技术领域,具体而言,涉及一种数据访问的方法、装置、存储介质及电子设备。
背景技术
越权访问(Broken Access Control,简称BAC)是Web应用程序中的一种常见的漏洞,由于其存在范围广、危害大,被列为Web应用中的十大安全隐患之一。
目前,为了防止数据越权访问的发生,Web层接收到用户的操作请求后,在执行操作请求对应的操作前,需要对请求的合法性进行校验。防御水平越权访问的方法是从令牌中获取用户信息,在执行数据操作前先验证用户是否具备操作数据的权限。防御垂直越权访问的方法是菜单通过数据库中对应角色和权限加载而成,每个页面加载前需进行用户的权限验证。但是,随着业务系统越来越复杂,对Web应用程序的操作请求的数量也越来越多,数据量越来越庞大,对操作请求进行逐一校验的方式效率较低且过程繁琐。
因此,如何提供一种高效且安全性较高的数据访问的方法的技术方案成为亟需解决的技术问题。
发明内容
本申请的一些实施例的目的在于提供一种数据访问的方法、装置、存储介质及电子设备,通过本申请的实施例的技术方案可以提升数据访问的安全性和效率,同时有效防止数据越权访问漏洞的出现。
第一方面,本申请的一些实施例提供了一种数据访问的方法,包括:接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。
本申请的一些实施例通过采用会话令牌和用户虚拟标识号的方式向客户端发送业务请求,并且在确认客户端的用户身份后,获取原始业务数据。在将原始业务数据处理后得到目标业务数据发送给客户端。该实施例可以在不暴露客户端的真实用户标识号和用户信息的情况下对业务数据进行访问,并且通过对原始业务数据的替换处理可以确保数据的安全性传输,防止重要数据信息暴露,在提升数据访问的安全性和效率的同时还可以有效防止数据越权访问漏洞的出现。
在一些实施例,所述通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过,包括:利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;查找与所述用户虚拟标识号对应的第二用户信息;若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。
本申请的一些实施例通过对会话令牌进行解密得到第一用户信息,通过用户虚拟标识号查找得到第二用户信息,在两者一致的情况下可以确认用户身份的验证结果为通过,可以实现对用户身份的准确校验,提升数据访问的安全性。
在一些实施例,所述方法还包括:若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;向所述客户端发送所述验证结果。
本申请的一些实施例通过在第一用户信息和第二用户信息不一致时,确定用户身份有误并告知客户端,可以确保数据访问的安全性。
在一些实施例,所述对所述原始业务数据进行处理得到目标业务数据,包括:获取所述原始业务数据中的业务标识号;随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。
本申请的一些实施例通过将原始业务数据中的真实的业务标识号替换为随机生成的业务虚拟标识号,得到目标业务数据,可以实现对真实数据的替换隐藏式传输,安全性较高,有效防止数据越权访问的发生。
在一些实施例,在所述接收客户端发送的业务请求之前,所述方法还包括:接收所述客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名和密码;确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;向所述客户端发送所述会话令牌和所述用户虚拟标识号。
本申请的一些实施例通过对客户端的登录认证操作验证通过后,对用户身份信息进行加密和替换得到会话令牌和用户虚拟标识号,并发送给客户端,可以实现对用户身份信息的隐藏式传输,安全性较高。
第二方面,本申请的一些实施例提供了一种数据访问的装置,包括:接收模块,被配置为接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;确认模块,被配置为通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;发送模块,被配置为对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。
在一些实施例,所述确认模块,被配置为:利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;查找与所述用户虚拟标识号对应的第二用户信息;若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。
在一些实施例,所述确认模块,被配置为:若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;向所述客户端发送所述验证结果。
在一些实施例,所述发送模块,被配置为:获取所述原始业务数据中的业务标识号;随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。
在一些实施例,所述装置还包括:认证模块,被配置为:接收所述客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名和密码;确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;向所述客户端发送所述会话令牌和所述用户虚拟标识号。
第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的方法。
附图说明
为了更清楚地说明本申请的一些实施例的技术方案,下面将对本申请的一些实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请的一些实施例提供的数据访问的系统图之一;
图2为本申请的一些实施例提供的数据访问的系统图之二;
图3为本申请的一些实施例提供的用户身份认证的方法流程图;
图4为本申请的一些实施例提供的数据访问的方法流程图之一;
图5为本申请的一些实施例提供的数据访问的方法流程图之二;
图6为本申请的一些实施例提供的数据访问的装置组成框图;
图7为本申请的一些实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本申请的一些实施例中的附图,对本申请的一些实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
相关技术中,越权漏洞是由于对客户端请求进行权限检查时存在纰漏,可以让用户访问同级权限其他用户或更高权限角色用户的数据。恶意地触发和利用越权漏洞,会影响系统正常运行并导致用户数据不安全。其中,水平越权指的是通过越权操作,能操作同等权限其他账号的数据。用户属于同一角色,拥有相同的权限等级,在访问数据时,只验证了是否拥有访问数据的角色权限,而没有对能访问的数据范围做权限设定,此时就会导致A用户能够查看B用户的数据。
现有技术中在web层接收到操作请求后,在执行这个操作请求对应的操作前,需要对请求的合法性进行校验。一种校验方式是:查询当前需要操作的应用程序的资源是否归属当前已登录的用户。或者查询当前需要操作的应用程序的资源是否可以允许其它用户进行操作。另一种校验方式是:web层将登录者的信息传递到SQL(结构化查询语言,Structured Query Language)层面进行校验,例如可以在原SQL中加上用户user来限制对web应用程序资源的操作。
但是,第一种校验方式中web层需要对每一个操作请求都进行校验操作,随着业务系统越来越复杂,数据量越来越庞大,该方法效率较低且繁琐。而且业务逻辑耦合程度高,而且需要进行数据库查询,访问效率无法保障。另一种校验方式虽然没有增加额外的Java代码和额外的数据库查询,但需要额外多关联一张用户表,增加了SQL的复杂性。而且一个SQL有时需要供多块逻辑共用,如A模块需要鉴权,B模块不需要鉴权,那就要重新写一份相同的SQL或者在SQL上加分支,进而导致SQL会变得更难以理解和维护。除此之外,该方法无法区分没有数据或没有权限这两种异常操作的情况,只能反馈操作异常的提示,用户体验较差。
鉴于此,本申请的一些实施例提供了一种数据访问的方法,该方法通过接收携带有用户的会话令牌和用户虚拟标识号的业务请求后,对用户身份进行验证,验证通过后获取业务数据请求对应的原始业务数据。在对业务数据进行处理后得到目标业务数据并发送给客户端。本申请的一些实施例在数据访问的过程中对客户端的用户身份信息或原始业务数据的重要真实信息进行隐藏式传输,在提升数据访问效率的同时,提升了数据访问的安全性,可以有效防止数据访问越权漏洞的发生,实用性较高。
下面结合附图1示例性阐述本申请的一些实施例提供的数据访问的系统的组成结构。
如图1所示,本申请的一些实施例提供了一种数据访问的系统,数据访问的系统包括:客户端100和服务端200。其中,客户端100和服务端200可以进行双向通信。客户端100可以向服务端200发送携带有会话令牌、用户虚拟标识号和业务数据请求的业务请求。服务端200在接收到业务数据请求后,利用会话令牌和用户虚拟标识号对客户端100的用户身份进行验证,验证通过后获取与业务数据请求对应的原始业务数据。服务端200将原始业务数据中的业务标识号替换为业务虚拟标识号后得到目标业务数据,并发送给客户端100。
如图2所示,在本申请另的一些实施例中还提供了一种数据访问的系统,数据访问的系统包括:客户端100、服务端200和安全网关300。其中,客户端100和服务端200在进行数据访问的过程中需要经过安全网关300进行数据传输。例如,客户端100可以向安全网关300发送携带有会话令牌、用户虚拟标识号和业务数据请求的业务请求。安全网关300在接收到业务数据请求后,利用会话令牌和用户虚拟标识号对客户端100的用户身份进行验证,验证通过后将业务数据请求转发给服务端200,服务端200将与业务数据请求对应的原始业务数据发送给安全网关300。安全网关300将原始业务数据中的业务标识号替换为业务虚拟标识号后得到目标业务数据,并发送给客户端100。
通过上述本申请的一些实施例提供的数据访问的系统,可以对原始业务数据中的真实业务标识号进行替换隐藏式传输,以此提升数据访问的安全性,效率较高,且有效防止数据越权访问漏洞的发生。
下面结合附图1的数据访问系统和附图4示例性阐述本申请的一些实施例提供的由服务端200执行的数据访问的实现过程。
在本申请的一些实施例中,在执行数据访问的方法之前,服务器200可以首先对客户端100的用户身份进行认证,请参见附图3,图3为本申请的一些实施例提供的用户身份认证的方法流程图,用户身份认证的具体过程如下:
S301,接收客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名和密码。
例如,在本申请的一些实施例中,客户端100向服务端200发起登录认证操作,其中,登录认证操作中包括用户真实ID(Identity document,身份证标识号,作为用户真实标识号的一个具体示例)和认证密码。
S302,确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;
例如,在本申请的一些实施例中,服务端200确认用户真实ID和认证密码正确后,利用加密密钥对用户真实ID和认证密码进行加密得到token(作为会话令牌的一个具体示例)。
S303,随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;
例如,在本申请的一些实施例中,服务端200利用随机算法生成与用户真实ID对应的随机临时用户uuid(作为用户虚拟标识号的一个具体示例),并将用户真实ID和用户uuid的映射关系缓存在服务端200本地,以实现将用户uuid替换用户真实ID的目的。
S304,向所述客户端发送所述会话令牌和所述用户虚拟标识号。
例如,在本申请的一些实施例中,服务端200可以将用户uuid和token返回至客户端100,此时客户端100的页面中展示的只是用户uuid,而非用户真实ID。
在本申请的另一实施例中,客户端100可以将登录认证操作发送给API网关(作为安全网关300的一个具体示例),API网关将登录认证操作转发给服务端200,服务端200对登录认证操作进行验证通过后告知API网关。API网关可以利用加密密钥对用户身份信息进行加密,得到token,并随机生成用户uuid,存储在API网关本地。API网关将用户uuid和token返回至客户端100,此时客户端100的页面中展示的只是用户uuid,而非用户真实ID,以此确保了数据的安全性展示。
下面请参见附图4,图4为本申请的一些实施例提供的一种数据访问的方法流程图。下面示例性阐述数据访问的实现过程。
S410,接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的。
例如,在本申请的一些实施例中,当客户端100的用户需要访问服务端200的数据时,服务端200可以接收由客户端100发送的携带有token、用户uuid以及业务数据请求的业务请求。
S420,通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据。
例如,在本申请的一些实施例中,服务端200可以通过token和用户uuid对客户端100的用户身份进行验证,在验证结果为通过时才会获取相应的原始业务数据。
在本申请的一些实施例中,S420可以包括:利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;查找与所述用户虚拟标识号对应的第二用户信息;若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。
例如,在本申请的一些实施例中,服务端200利用本地的解密密钥对token进行解密,得到第一用户真实ID。服务端200通过用户uuid查找本地存储的对应的第二用户真实ID。若第一用户真实ID和第二用户真实ID一致,则可以确认客户端100的用户身份与之前认证的用户为同一用户,具有数据访问权限。其中,服务端200的加密密钥和解密密钥可以是对称密钥或者非对称加解密密钥,本申请在此不作具体限定。
在本申请的一些实施例中,数据访问的方法包括:若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;向所述客户端发送所述验证结果。
例如,在本申请的一些实施例中,若第一用户真实ID和第二用户真实ID不一致,则可以确认客户端100的用户身份与之前认证的用户不是同一用户,此时可能存在越权访问的漏洞,因此需要告知客户端100并拒绝进行数据访问。
S430,对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。
例如,在本申请的一些实施例中,服务端200可以对原始业务数据进行替换处理得到目标业务数据,以实现目标数据的安全性传输和展示。例如,可以将原始业务数据中的重要信息进行替换为无意义的标识符或虚拟数据,得到替换后的目标业务数据。
在本申请的一些实施例中,S430可以包括:获取所述原始业务数据中的业务标识号;随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。
例如,在本申请的一些实施例中,服务端200筛选出原始业务数据中的重要性的业务真实ID(作为业务标识号的一个具体示例)。然后利用随机算法对每个业务真实ID随机生成对应的业务uuid(作为业务虚拟标识号的一个具体示例),并将每个业务真实ID与业务uuid的对应关系存储在服务端200的本地。最后将每个业务真实ID替换为对应的业务uuid,得到目标业务数据,并发送给客户端100。客户端100接收并展示的目标业务数据中的业务uuid并不是业务真实ID,以此可以实现数据的安全性展示,防止数据越权访问的情况的发生。
下面结合附图2的数据访问系统和附图5示例性阐述本申请的一些实施例提供的客户端100、服务端200和安全网关300执行的数据访问的交互过程。
请参见附图5,图5为本申请的一些实施例提供的一种数据访问的方法流程图。
下面以访问学生数据信息的场景为例,示例性阐述本申请的一些实施例提供的数据访问的过程。
需要说明的是,在执行下述方法实施例之前,安全网关300和服务端200已经完成了对用户身份的认证,并将用户uuid和token发送给了客户端100。
S510,客户端100发送业务请求给安全网关300,其中,业务请求携带有会话令牌、用户虚拟标识号和业务数据请求。
例如,作为本申请的一个具体示例,客户端100向API网关发送列表业务请求(作为业务请求的一个具体示例),其中,列表业务请求携带有token、用户uuid和列表数据请求(作为业务数据请求的一个具体示例)。API网关接收列表业务请求。
S520,安全网关300对会话令牌和用户虚拟标识号进行验证,验证通过后,将业务数据请求发送给服务端200。
例如,作为本申请的一个具体示例,API网关对token进行加密得到用户真实ID,通过用户uuid查找到userID。在用户真实ID和userID相同的情况下表征对客户端100的身份验证为通过。API网关将列表数据请求转发给服务端200。例如,用户真实ID为wang,用户uuid为a111,a111对应的userID为wang。
S530,服务端200获取与业务数据请求对应的原始业务数据。
例如,作为本申请的一个具体示例,服务端200从数据库中查找列表数据请求对应的学生列表数据(作为原始业务数据的一个具体示例)。例如,学生列表数据如表1所示:
表1
学生ID | 姓名 | 年龄 |
1001 | 张三 | 12 |
1002 | 李四 | 14 |
S540,服务端200向安全网关300发送原始业务数据。
例如,作为本申请的一个具体示例,API网关接收服务端200发送的学生列表数据。
S550,安全网关300获取原始业务数据中的业务标识号,随机生成并存储业务虚拟标识号。
例如,作为本申请的一个具体示例,API网关从学生列表数据中筛选出学生ID(作为业务标识号的一个具体示例),也就是学生列表数据中的1001和1002。API网关随机生成与学生ID:1001对应的学生临时ID:a01(作为业务虚拟标识号的一个具体示例),学生ID1002对应的学生临时ID:a02(作为业务虚拟标识号的一个具体示例)。
S560,安全网关300将业务标识号替换为业务虚拟标识号,得到目标业务数据。
例如,作为本申请的一个具体示例,将学生列表数据中的学生ID进行替换得到目标学生列表(作为目标业务数据的一个具体示例)如表2所示:
表2
学生ID | 姓名 | 年龄 |
a01 | 张三 | 12 |
a02 | 李四 | 14 |
S570,安全网关300向客户端100发送目标业务数据。
例如,作为本申请的一个具体示例,客户端100可以接收API网关发送的目标学生列表,并展示。
另外,在本申请的另一些实施例中,若客户端100还需要获取某个学生的详细信息(例如,家庭住址信息或成绩单信息),客户端100可以向API网关300发送携带有token、用户uuid、学生临时ID以及学生详细数据请求的业务请求,后续从处理过程与S520~S570的原理相似,为避免重复在此不作赘述。
通过上述本申请的一些实施例可知。用随机临时的uuid替换所有认证或业务请求中的应答数据(作为原始目标数据的一个具体示例)中的真实ID,客户端100每次对同一业务数据请求获得的ID值都不相同,达到了对真实ID的隐藏或替换,实现了对敏感数据的保护。通过用户uuid发送业务请求(业务请求携带token),验证token实现令牌授权校验。获取token中的用户信息,通过临时用户uuid获取对应的userId与ID信息,校验token中的用户信息与userId是否一致,实现对当前操作是否为同一用户的验证。通过以上三个方式可以有效规避了水平越权漏洞的出现。若不需要对真实ID进行替换隐藏,可以选择不进行替换隐藏的方法进行数据访问,实现了灵活调整,达到可插拔的效果。
请参考图6,图6示出了本申请的一些实施例提供的数据访问的装置的组成框图。应理解,该数据访问的装置与上述方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该数据访问的装置的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
图6的数据访问的装置包括至少一个能以软件或固件的形式存储于存储器中或固化在数据访问的装置中的软件功能模块,该数据访问的装置包括:接收模块610,被配置为接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;确认模块620,被配置为通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;发送模块630,被配置为对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。
在本申请的一些实施例中,确认模块620,被配置为:利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;查找与所述用户虚拟标识号对应的第二用户信息;若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。
在本申请的一些实施例中,确认模块620,被配置为:若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;向所述客户端发送所述验证结果。
在本申请的一些实施例中,发送模块630,被配置为:获取所述原始业务数据中的业务标识号;随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。
在本申请的一些实施例中,在接收模块610之前,数据访问的装置还包括:认证模块(图中未示出),被配置为:接收所述客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名和密码;确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;向所述客户端发送所述会话令牌和所述用户虚拟标识号。
本申请的一些实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如上述实施例提供的上述方法中的任意实施例所对应方法的操作。
本申请的一些实施例还提供了一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如上述实施例提供的上述方法中的任意实施例所对应方法的操作。
如图7所示,本申请的一些实施例提供一种电子设备700,该电子设备700包括:存储器710、处理器720以及存储在存储器710上并可在处理器720上运行的计算机程序,其中,处理器720通过总线730从存储器710读取程序并执行所述程序时可实现如上述任意实施例的方法。
处理器720可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器720可以是微处理器。
存储器710可以用于存储由处理器720执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器720可以用于执行存储器710中的指令以实现上述所示的方法。存储器710包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (12)
1.一种数据访问的方法,其特征在于,包括:
接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;
通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;
对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。
2.如权利要求1所述的方法,其特征在于,所述通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过,包括:
利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;
查找与所述用户虚拟标识号对应的第二用户信息;
若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;
向所述客户端发送所述验证结果。
4.如权利要求1或2所述的方法,其特征在于,所述对所述原始业务数据进行处理得到目标业务数据,包括:
获取所述原始业务数据中的业务标识号;
随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;
将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。
5.如权利要求1或2所述的方法,其特征在于,在所述接收客户端发送的业务请求之前,所述方法还包括:
接收所述客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名和密码;
确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;
随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;
向所述客户端发送所述会话令牌和所述用户虚拟标识号。
6.一种数据访问的装置,其特征在于,包括:
接收模块,被配置为接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;
确认模块,被配置为通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;
发送模块,被配置为对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。
7.如权利要求6所述的装置,其特征在于,所述确认模块,被配置为:
利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;
查找与所述用户虚拟标识号对应的第二用户信息;
若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。
8.如权利要求7所述的装置,其特征在于,所述确认模块,被配置为:
若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;
向所述客户端发送所述验证结果。
9.如权利要求6或7所述的装置,其特征在于,所述发送模块,被配置为:
获取所述原始业务数据中的业务标识号;
随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;
将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。
10.如权利要求6或7所述的装置,其特征在于,所述装置还包括:认证模块,被配置为:
接收所述客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名和密码;
确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;
随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;
向所述客户端发送所述会话令牌和所述用户虚拟标识号。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中,所述计算机程序被处理器运行时执行如权利要求1-5中任意一项权利要求所述的方法。
12.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并在所述处理器上运行的计算机程序,其中,所述计算机程序被所述处理器运行时执行如权利要求1-5中任意一项权利要求所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211678550.XA CN115987650A (zh) | 2022-12-26 | 2022-12-26 | 一种数据访问的方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211678550.XA CN115987650A (zh) | 2022-12-26 | 2022-12-26 | 一种数据访问的方法、装置、存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115987650A true CN115987650A (zh) | 2023-04-18 |
Family
ID=85975471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211678550.XA Pending CN115987650A (zh) | 2022-12-26 | 2022-12-26 | 一种数据访问的方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115987650A (zh) |
-
2022
- 2022-12-26 CN CN202211678550.XA patent/CN115987650A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11223614B2 (en) | Single sign on with multiple authentication factors | |
US20220394026A1 (en) | Network identity protection method and device, and electronic equipment and storage medium | |
EP3453136B1 (en) | Methods and apparatus for device authentication and secure data exchange between a server application and a device | |
US9641521B2 (en) | Systems and methods for network connected authentication | |
US8332627B1 (en) | Mutual authentication | |
KR102202547B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
CN111901346B (zh) | 一种身份认证系统 | |
JP2011515961A (ja) | クライアント側証明書認証情報の認証保存方法と認証保存システム | |
US20180262471A1 (en) | Identity verification and authentication method and system | |
CN111460410A (zh) | 服务器登录方法、装置、系统与计算机可读存储介质 | |
CN108667800B (zh) | 一种访问权限的认证方法及装置 | |
CN106992978B (zh) | 网络安全管理方法及服务器 | |
CN110807210B (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
CN112261103A (zh) | 一种节点接入方法及相关设备 | |
US11936651B2 (en) | Automated account recovery using trusted devices | |
KR102062851B1 (ko) | 토큰 관리 데몬을 이용한 싱글 사인 온 서비스 인증 방법 및 시스템 | |
CN115987650A (zh) | 一种数据访问的方法、装置、存储介质及电子设备 | |
KR102542840B1 (ko) | 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템 | |
KR20190049177A (ko) | 웹브라우저를 이용한 fido 인증방법 및 그 장치 | |
CN117061248B (zh) | 一种用于数据共享的数据安全保护方法和装置 | |
JP7403430B2 (ja) | 認証装置、認証方法及び認証プログラム | |
Mashima et al. | User-centric identity management architecture using credential-holding identity agents | |
US20230291549A1 (en) | Securely sharing secret information through an unsecure channel | |
CN102427461A (zh) | 一种实现Web服务应用安全的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |