CN104486301B - 登录验证方法及装置 - Google Patents
登录验证方法及装置 Download PDFInfo
- Publication number
- CN104486301B CN104486301B CN201410724710.9A CN201410724710A CN104486301B CN 104486301 B CN104486301 B CN 104486301B CN 201410724710 A CN201410724710 A CN 201410724710A CN 104486301 B CN104486301 B CN 104486301B
- Authority
- CN
- China
- Prior art keywords
- seal
- information
- user
- page
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种登录验证方法及装置,其中,该方法包括:接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,以使服务器根据图章查询请求进行网页来源判断,并在网页来源合法时返回图章信息;接收服务器返回的图章信息,并在登录页面显示对应的图章;以及接收用户在确认图章有效后输入的密码信息,并向服务器发送密码信息,以完成登录验证。本发明实施例提供的登录验证方法及装置,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种登录验证方法及装置。
背景技术
随着互联网的不断发展,越来越多的人开始在网络上进行购物、转账、缴纳水电燃气费用等操作,互联网在方便人们日常生活的同时,也随之带来了很多新的安全风险,其中一个最主要的风险来自钓鱼网站,由于钓鱼网站的域名、风格与某些真实网站非常相似,用户在网上操作过程中时容易被引诱到一个与真实网站非常相似的钓鱼网站上,当用户在不知情的情况下输入账号、密码等敏感信息时,钓鱼网站窃取用户的账号信息,并基于用户的账号信息进行非法活动,比如欺诈性金融交易,给用户造成不可挽回的经济损失。
目前,常用的防钓鱼网站的方式主要有两种,一种方式为:浏览器或浏览器插件内置钓鱼网站域名列表,当用户访问该列表内的任何站点时,浏览器或浏览器插件向用户发出安全提示信息。另一种方式为:通过雅虎(Yahoo)站点设置安全图章,具体地,用户在Yahoo站点上设定一个标识、文字或图片,由yahoo站点将其合成为一张图片并保存在服务端,然后在客户端例如浏览器中保存一个唯一标识信息到yahoo站点域下的cookie或localStorage(本地存储)中,其中,cookie是存储在本地终端上的数据(通常经过加密),localStorage是HTML5(Hyper Text Mark-up Language,超文本标记语言)中的一种本地存储方式,主要作用是将数据保存在客户端中。由此,当用户下次访问yahoo站点的登录页面时,yahoo站点就会将针对该用户的该合成图片显示在登录页面上,而如果用户访问的是针对yahoo站点的钓鱼网站,则不会显示该图片。
然而,上述两种方式存储的问题是,钓鱼网站域名列表需要定期更新,当钓鱼网站的域名没有在钓鱼网站域名列表时,用户的账号、密码等敏感信息仍然存在被钓鱼网站窃取的危险,用户的账户安全无法获得保证;通过Yahoo站点安全图章的方式无法为使用同一台电脑的多个用户同时提供安全保护,并且当用户清除cookie或者local storage缓存后,Yahoo站点的登录页面不再显示用户的安全图章信息,无法为用户提供账户安全保证。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明第一方面实施例在于提出一种登录验证方法,该方法可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
本发明的第二方面实施例在于提出一种登录验证方法。
本发明的第三方面实施例在于提出一种登录验证装置。
本发明的第四方面实施例在于提出一种登录验证装置。
为了实现上述目的,本发明第一方面实施例的登录验证方法,包括:接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,以使所述服务器根据所述图章查询请求进行网页来源判断,并在网页来源合法时返回图章信息;接收所述服务器返回的图章信息,并在所述登录页面显示对应的图章;以及接收用户在确认所述图章有效后输入的密码信息,并向服务器发送所述密码信息,以完成登录验证。
根据本发明实施例的登录验证方法,通过接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,并接收服务器返回的图章信息,并在登录页面显示对应的图章,以及接收用户在确认图章有效后输入的密码信息,并向服务器发送密码信息,以完成登录验证,该实施例的用户在确认登录页面显示的图章有效后,才输入密码信息,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
为了实现上述目的,本发明第二方面实施例的登录验证方法,包括:接收来自客户端的图章查询请求,并根据所述图章查询请求进行网页来源判断;以及在网页来源合法时向所述客户端返回图章信息,以在所述登录页面显示对应的图章;以及获得用户在确认所述图章有效后输入的密码信息,以完成登录验证。
根据本发明实施例的登录验证方法,通过接收来自客户端的图章查询请求,并根据图章查询请求进行网页来源判断,并在网页来源合法时向客户端返回图章信息,以在登录页面显示对应的图章,以及获得用户在确认图章有效后输入的密码信息,以完成登录验证,该实施例的用户在确认登录页面显示的图章有效后,才输入密码信息,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
为了实现上述目的,本发明第三方面实施例的登录验证装置,包括:第一处理模块,用于接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,以使所述服务器根据所述图章查询请求进行网页来源判断,并在网页来源合法时返回图章信息;显示模块,用于接收所述服务器返回的图章信息,并在所述登录页面显示对应的图章;以及第二处理模块,用于接收用户在确认所述图章有效后输入的密码信息,并向服务器发送所述密码信息,以完成登录验证。
根据本发明实施例的登录验证装置,通过第一处理模块接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,并通过显示模块接收服务器返回的图章信息,并在登录页面显示对应的图章,以及通过第二处理模块接收用户在确认图章有效后输入的密码信息,并向服务器发送密码信息,以完成登录验证,该实施例的用户在确认登录页面显示的图章有效后,才输入密码信息,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
为了实现上述目的,本发明第四方面实施例的登录验证装置,包括:处理模块,用于接收来自客户端的图章查询请求,并根据所述图章查询请求进行网页来源判断;返回模块,用于在网页来源合法时向所述客户端返回图章信息,以在所述登录页面显示对应的图章;以及获得模块,用于获得用户在确认所述图章有效后输入的密码信息,以完成登录验证。
根据本发明实施例的登录验证装置,通过处理模块接收来自客户端的图章查询请求,并根据图章查询请求进行网页来源判断,在网页来源合法时,并通过返回模块向客户端返回图章信息,以在登录页面显示对应的图章,以及通过获得模块获得用户在确认图章有效后输入的密码信息,以完成登录验证,该实施例的用户在确认登录页面显示的图章有效后,才输入密码信息,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
附图说明
图1是根据本发明一个实施例的登录验证方法的流程图。
图2是根据本发明另一个实施例的登录验证方法的流程图。
图3是根据本发明一个实施例的登录验证装置的结构示意图。
图4是根据本发明另一个实施例的登录验证装置的结构示意图。
图5是根据本发明又一个实施例的登录验证装置的结构示意图。
图6是根据本发明再一个实施例的登录验证装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的登录验证方法及装置。
图1是根据本发明一个实施例的登录验证方法的流程图,如图1所示,该登录验证方法包括:
S101,接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,以使服务器根据图章查询请求进行网页来源判断,并在网页来源合法时返回图章信息。
在该实施例中,在客户端接收用户在登录页面输入的账户信息,并向服务器发送图章查询请求之前,还可以接收用户在登录页面输入的账户信息和密码信息,并在账户信息和密码信息通过认证后,显示图章设置页面;并接收用户在图章设置页面输入的图章信息,并向服务器发送图章信息和用户的账户信息,以使服务器根据图章信息生成对应的图章,并在数据库中保存账户信息与图章的对应关系。
其中,上述客户端位于终端上,终端可以是个人计算机PC、手机、平板电脑等具有各种操作系统的硬件设备。
假定当前用户访问的网站为真实站点A,在用户以账号和密码登录真实站点A后,客户端上显示登录后的页面,用户可进入个人图章设置界面,并在图章设置界面中输入需要的图章信息,其中,图章信息包括用于生成图章的防钓鱼信息和对防钓鱼信息进行处理的参数信息,上述防钓鱼信息可以是不超过预设长度的文字、本地图片或者网络图片或在线即时涂鸦产生的图片、一个视频片段等信息。上述参数信息可以是文字颜色或者字体、图片保真度或者旋转角度、图章图片背景色等信息。
在用户提交图章信息后,客户端向真实站点A对应服务器发送图章信息和用户的账户信息,真实站点A对应的服务器接收用户的账户信息和图章信息,并根据图章信息生成对应的图章,以及在数据库中保存账户信息与图章的对应关系。
当用户以未登录的状态再次访问真实站点A对应的登录页面,并在登录页面上输入账户信息后,其中,账户信息可以包括但不限于用户ID和账户名。当前登录页面中的JAVA脚本语言(JavaScript,简称JS)通过图章查询请求,即AJAX(Asynchronous JavaScriptAnd XML(Extensible Markup Language,可扩展标记语言),异步JavaScript和XML)请求,将用户的账户名发送至真实站点A对应的服务器。
在客户端向服务器发送图章查询请求后,服务器接收客户端发送的图章查询请求,并根据图章查询请求进行网页来源判断。具体地,服务器可获得发送图章查询请求的来源网页的域名,并判断图章查询请求的来源网页的域名与登录页面所在的域名是否相同,和/或判断图章请求的来源网页的域名是否在预设的白名单中,其中,白名单是服务器中预先保存的合法域名的集合,当图章查询请求的来源网页的域名与真实站点A的登录页面所在的域名相同,和/或判断出图章请求的来源网页的域名在预设的白名单时,即可确定图章查询请求的来源合法,此时,可根据图章查询请求中的用户的账户名获得对应的账户信息,并根据账户信息从数据库中获得与账户信息对应的图章,然后以预定格式向客户端返回图章信息,以使登录页面显示对应的图章。其中,预定格式可以包括但不限于JSON(JavaScript Object Notation,Java脚本对象符号)对象字符串格式,JSON是一种轻量级的数据交换语言,具有易读、易于解析的特点,可方便客户端解析和生成。
在该实施例中,如果图章查询请求的来源网页的域名与真实站点A的登录页面所在的域名不相同,或者图章查询请求的来源网页的域名不在预设的白名单中,则直接返回错误信息。客户端的当前登录页面中不显示图章,此时,用户可获知当前网站不是真实站点A,而是钓鱼网站,用户将不再输入密码信息,由此,避免了用户的账户信息和密码信息被钓鱼网站窃取,保证了用户的用户账户的安全。
S102,接收服务器返回的图章信息,并在登录页面显示对应的图章。
具体地,客户端接收服务器以预定格式返回的图章信息,并在登录页面上显示对应的图章。
S103,接收用户在确认图章有效后输入的密码信息,并向服务器发送密码信息,以完成登录验证。
具体地,在登录页面上显示对应的图章后,用户可判断当前显示的图章与自己之前设置并保存的图章是否相同,若相同,则确定登录页面上的图章有效后,并可在登录页面的相应位置上输入密码信息,客户端接收用户在确定图章后有效后输入的密码信息,并向服务器发送密码信息,以使服务器完成登录验证。
另外,如果登录页面显示的图章不是用户之前设置的图章,则表明当前登录页面为钓鱼网站的登录页面。此时,用户不再输入密码信息,由此,可避免用户的账户信息和密码信息被钓鱼网站窃取,保证了用户的密码信息的安全。
在该实施例中,在真实网站登录并设置图章信息后,用户可在不同终端的任意客户端中输入账户信息,通过当前登录页面是否显示用户设置的图章,即可有效识别出当前登录页面是否为钓鱼网站设置的登录页面,当登录页面为不显示图章或者显示的不为用户设置的图章时,用户不再输入密码信息,由此,避免了钓鱼网站获得用户的密码信息,保证了用户的账户安全。
例如,中国农业银行站点对应的真实域名为http://www.abchina.com,用户在百度浏览器成功登录真实的中国农业银行站点,并在图章页面设置图章后,当用户再次通过其他浏览器访问域名为http://www.abchina.com的站点,即该站点为中国农业银行站点时,若用户在登录页面中输入账户信息,登录页面中显示用户设置的图章,用户可安全输入密码信息,以完成登录验证。假定有一个钓鱼网站,该钓鱼网站对应的域名为http:// www.abcchina.com,该钓鱼网站与中国农业银行站点的真实域名仅有一个字母不同。若用户被诱导打开该钓鱼网站,当用户在登录页面上输入账户信息后,由于浏览器对图章查询请求有跨域限制,并且中国农业银行站点对应的服务器上还对图章查询请求进行网页来源判断,因此,钓鱼网站对应的登录页面上无法显示用户设置的图章,此时,用户可获知当前网站为钓鱼网站,不再输入密码信息,钓鱼网站无法获得用户的密码信息,防止了钓鱼网站窃取用户的账户,保证了用户的账户安全。
另外,对于使用同一个客户端的多个用户,由于客户端中无需保存唯一标识信息,不同用户设置的图章仅保存在服务器中,该实施例也可对多个用户的账户提供安全保护。需要说明的是,由于用户设置的图章保存在服务器中,不保存在本地中,因此,即便用户清除本地缓存,该实施例的方式也可以保证用户的账户安全。
本发明实施的登录验证方法,通过接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,并接收服务器返回的图章信息,并在登录页面显示对应的图章,以及接收用户在确认图章有效后输入的密码信息,并向服务器发送密码信息,以完成登录验证,该实施例的用户在确认登录页面显示的图章有效后,才输入密码信息,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
图2是根据本发明另一个实施例的登录验证方法的流程图,该实施例从服务器侧进行描述。如图2所示,该登录验证方法包括:
S201,接收来自客户端的图章查询请求,并根据图章查询请求进行网页来源判断。
在该实施例中,在接收来自客户端的图章查询请求之前,可以接收客户端发送的用户的账户信息和图章信息,根据图章信息生成对应的图章,并在数据库中保存账户信息与图章的对应关系。
具体地,当前用户访问的网站为真实站点A,在用户以账号和密码登录真实站点A后,客户端上显示登录后的页面,用户可进入个人图章设置界面,并在图章设置界面中输入需要的图章信息,其中,图章信息包括用于生成图章的防钓鱼信息和对防钓鱼信息进行处理的参数信息,上述防钓鱼信息可以是不超过预设长度的文字、本地图片或者网络图片或在线即时涂鸦产生的图片、一个视频片段等信息。上述参数信息可以是,文字颜色或者字体、图片保真度或者旋转角度、图章图片背景色等信息。
在用户提交图章信息后,客户端向真实站点A对应服务器发送图章信息和用户的账户信息,真实站点A对应的服务器接收用户的账户信息和图章信息,并根据图章信息生成对应的图章,以及在数据库中保存账户信息与图章的对应关系。
当用户以未登录的状态再次访问真实站点A对应的登录页面,并在登录页面上输入账户信息后,其中,账户信息可以包括但不限于用户ID和账户名。当前登录页面中的JAVA脚本语言(JavaScript,简称JS)通过图章查询请求,即AJAX(Asynchronous JavaScriptAnd XML(Extensible Markup Language,可扩展标记语言),异步JavaScript和XML)请求,将用户的账户名发送至真实站点A对应的服务器。
在该实施例中,服务器接收客户端发送的图章查询请求,在根据图章查询请求进行网页来源判断时,可判断图章查询请求的来源网页的域名与登录页面所在的域名是否相同;和/或判断图章请求的来源网页的域名是否在预设的白名单中,其中,白名单是服务器中预先保存的合法域名的集合。当图章查询请求的来源网页的域名与真实站点A的登录页面所在的域名相同,和/或判断出图章请求的来源网页的域名在预设的白名单时,即确定图章查询请求的来源合法。
S202,在网页来源合法时向客户端返回图章信息,以在登录页面显示对应的图章。
在确定图章查询请求的来源合法后,可根据图章查询请求中的用户的账户名获得对应的账户信息,并根据账户信息从数据库中获得与账户信息对应的图章,然后以预定格式向客户端返回图章信息,以使登录页面显示对应的图章。其中,预定格式可以包括但不限于JSON对象字符串格式,JSON是一种轻量级的数据交换语言,具有易读、易于解析的特点,可方便客户端解析和生成。
在该实施例中,如果图章查询请求的来源网页的域名与真实站点A的登录页面所在的域名不相同,或者图章查询请求的来源网页的域名不在预设的白名单中,则确定图章查询请求的来源不合法,直接返回错误信息。客户端的当前登录页面中不显示图章,此时,用户可获知当前网站不是真实站点A,而是钓鱼网站,用户将不再输入密码信息,避免了用户的密码信息被钓鱼网站窃取,保证了用户的用户账户的安全。
S203,获得用户在确认图章有效后输入的密码信息,以完成登录验证。
客户端接收服务器返回的图章信息,并在登录页面的相应位置上显示对应的图章,此时,用户可判断当前显示的图章与之前设置并保存的图章是否相同,若相同,则确定登录页面上的图章有效后,并可在登录页面的相应位置上输入密码信息,客户端接收用户在确定图章后有效后输入的密码信息,并向服务器发送密码信息,服务器接收用户输入的密码信息,并根据用户的账户信息和密码信息完成登录验证。
另外,如果登录页面显示的图章不是之前设置的图章,则表明当前登录页面为钓鱼网站的登录页面。此时,用户不再输入密码信息,由此,可避免用户的密码信息被钓鱼网站窃取,保证了用户的账户安全。
本发明实施的登录验证方法,通过接收来自客户端的图章查询请求,并根据图章查询请求进行网页来源判断,并在网页来源合法时向客户端返回图章信息,以在登录页面显示对应的图章,以及获得用户在确认图章有效后输入的密码信息,以完成登录验证,该实施例的用户在确认登录页面显示的图章有效后,才输入密码信息,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
为了实现上述实施例,本发明还提出一种登录验证装置。
图3是根据本发明一个实施例的登录验证装置的结构示意图。该装置位于终端侧,如图3所示,该登录验证装置包括:第一处理模块110、显示模块120和第二处理模块130,其中:
第一处理模块110用于接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,以使服务器根据图章查询请求进行网页来源判断,并在网页来源合法时返回图章信息;显示模块120用于接收服务器返回的图章信息,并在登录页面显示对应的图章;以及第二处理模块130用于接收用户在确认图章有效后输入的密码信息,并向服务器发送密码信息,以完成登录验证。
其中,上述图章信息包括用于生成图章的防钓鱼信息和对防钓鱼信息进行处理的参数信息。上述防钓鱼信息可以是不超过预设长度的文字、本地图片或者网络图片或在线即时涂鸦产生的图片、一个视频片段等信息。上述参数信息可以是文字颜色或者字体、图片保真度或者旋转角度、图章图片背景色等信息。
具体地,在上述第一确定模块110向服务器发送图章查询请求后,服务器接收客户端发送的图章查询请求,并根据图章查询请求进行网页来源判断,具体地,服务器获得发送图章查询请求的来源网页的域名,并判断图章查询请求的来源网页的域名与登录页面所在的域名是否相同,和/或判断图章请求的来源网页的域名是否在预设的白名单中,其中,白名单是服务器中预先保存的合法域名的集合,当图章查询请求的来源网页的域名与真实站点A的登录页面所在的域名相同,和/或判断出图章请求的来源网页的域名在预设的白名单时,即确定图章查询请求的来源合法,此时,可根据账户信息从数据库中获得与账户信息对应的图章,然后以预定格式向客户端返回图章信息,以使登录页面显示对应的图章。其中,预定格式可以包括但不限于JSON(JavaScript Object Notation,Java脚本对象符号)对象字符串格式,JSON是一种轻量级的数据交换语言,具有易读、易于解析的特点,可方便客户端解析和生成。
另外,如图4所示,上述装置还可以包括第三处理模块140,该第三处理模块140用于在第一处理模块110接收用户在登录页面输入的账户信息,并向服务器发送图章查询请求之前,接收用户在登录页面输入的账户信息和密码信息,并在账户信息和密码信息通过认证后,显示图章设置页面;以及接收用户在图章设置页面输入的图章信息,并向服务器发送图章信息和用户的账户信息,以使服务器根据图章信息生成对应的图章,并在数据库中保存账户信息与图章的对应关系。
包含第一处理模块110、显示模块120、第二处理模块130和第三处理模块140的登录验证装置进行登录验证的过程可参见图1,此处不赘述。
本发明实施的登录验证装置,通过第一处理模块接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,并通过显示模块接收服务器返回的图章信息,并在登录页面显示对应的图章,以及通过第二处理模块接收用户在确认图章有效后输入的密码信息,并向服务器发送密码信息,以完成登录验证,该实施例的用户在确认登录页面显示的图章有效后,才输入密码信息,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
图5是根据本发明又一个实施例的登录验证装置的结构示意图。如图5所示,该装置包括处理模块210、返回模块220和获得模块230,其中:
处理模块210用于接收来自客户端的图章查询请求,并根据图章查询请求进行网页来源判断;返回模块220用于在网页来源合法时向客户端返回图章信息,以在登录页面显示对应的图章;以及获得模块230用于获得用户在确认图章有效后输入的密码信息,以完成登录验证。
其中,上述图章信息包括用于生成图章的防钓鱼信息和对防钓鱼信息进行处理的参数信息。图章信息包括用于生成图章的防钓鱼信息和对防钓鱼信息进行处理的参数信息,上述防钓鱼信息可以是不超过预设长度的文字、本地图片或者网络图片或在线即时涂鸦产生的图片、一个视频片段等信息。上述参数信息可以是,文字颜色或者字体、图片保真度或者旋转角度、图章图片背景色等信息。
处理模块210具体用于:判断图章查询请求的来源网页的域名与登录页面所在的域名是否相同;和/或判断图章请求的来源网页的域名是否在预设的白名单中,其中,白名单是服务器中预先保存的合法域名的集合。
具体地,处理模块210可获得发送图章查询请求的来源网页的域名,并判断图章查询请求的来源网页的域名与登录页面所在的域名是否相同,和/或判断图章请求的来源网页的域名是否在预设的白名单中,其中,白名单是服务器中预先保存的合法域名的集合,当图章查询请求的来源网页的域名与真实站点A的登录页面所在的域名相同,和/或判断出图章请求的来源网页的域名在预设的白名单时,可以确定图章查询请求的来源合法。
返回模块220具体用于:在网页来源合法时以预定格式向客户端返回图章信息,预定格式可以包括但不限于JSON对象字符串格式,JSON是一种轻量级的数据交换语言,具有易读、易于解析的特点,可方便客户端解析和生成。
如图6所示,上述装置还可以包括保存模块240,该保存模块240用于在处理模块210接收来自客户端的图章查询请求之前,接收客户端发送的用户的账户信息和图章信息,根据图章信息生成对应的图章,并在数据库中保存账户信息与图章的对应关系。
包含处理模块210、返回模块220、获得模块230和保存模块240的登录验证装置进行登录验证的过程可参见图2,此处不赘述。
本发明实施的登录验证装置,通过处理模块接收来自客户端的图章查询请求,并根据图章查询请求进行网页来源判断,在网页来源合法时,并通过返回模块向客户端返回图章信息,以在登录页面显示对应的图章,以及通过获得模块获得用户在确认图章有效后输入的密码信息,以完成登录验证,该实施例的在确认登录页面显示的图章有效后,用户才输入密码信息,可有效防止钓鱼网站窃取自己的密码信息,保证了用户的账户安全。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (14)
1.一种登录验证方法,其特征在于,包括:
接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,以使所述服务器根据所述图章查询请求进行网页来源判断,并在网页来源合法时返回图章信息;
接收所述服务器返回的图章信息,并在所述登录页面显示对应的图章;
接收用户在确认所述图章有效后输入的密码信息,并向服务器发送所述密码信息,以完成登录验证;其中,在所述接收用户在登录页面输入的账户信息,并向服务器发送图章查询请求之前,还包括:
接收所述用户在所述登录页面输入的账户信息和密码信息,并在账户信息和密码信息通过认证后,显示图章设置页面;以及
接收所述用户在所述图章设置页面输入的图章信息,并向所述服务器发送所述图章信息和所述用户的账户信息,以使所述服务器根据所述图章信息生成对应的图章,并在数据库中保存所述账户信息与所述图章的对应关系。
2.根据权利要求1所述的方法,其特征在于,所述图章信息包括用于生成所述图章的防钓鱼信息和对所述防钓鱼信息进行处理的参数信息。
3.根据权利要求1或2所述的方法,其特征在于,所述图章信息由所述服务器以预定格式返回,所述预定格式包括JSON对象字符串格式。
4.一种登录验证方法,其特征在于,包括:
接收来自客户端的图章查询请求,并根据所述图章查询请求进行网页来源判断;在网页来源合法时向所述客户端返回图章信息,以在所述登录页面显示对应的图章;
获得用户在确认所述图章有效后输入的密码信息,以完成登录验证;
其中,在所述接收来自客户端的图章查询请求之前,还包括:
接收所述客户端发送的所述用户的账户信息和图章信息,根据所述图章信息生成对应的图章,并在数据库中保存所述账户信息与所述图章的对应关系。
5.根据权利要求4所述的方法,其特征在于,所述图章信息包括用于生成所述图章的防钓鱼信息和对所述防钓鱼信息进行处理的参数信息。
6.根据权利要求4所述的方法,其特征在于,所述根据所述图章查询请求进行网页来源判断,包括:
判断所述图章查询请求的来源网页的域名与所述登录页面所在的域名是否相同;和/或判断所述图章查询请求的来源网页的域名是否在预设的白名单中。
7.根据权利要求4-6任一项所述的方法,其特征在于,所述在网页来源合法时向所述客户端返回图章信息,包括:
在网页来源合法时以预定格式向所述客户端返回所述图章信息,所述预定格式包括JSON对象字符串格式。
8.一种登录验证装置,其特征在于,包括:
第一处理模块,用于接收用户在当前应用的登录页面输入的账户信息,并向服务器发送图章查询请求,以使所述服务器根据所述图章查询请求进行网页来源判断,并在网页来源合法时返回图章信息;
显示模块,用于接收所述服务器返回的图章信息,并在所述登录页面显示对应的图章;
第二处理模块,用于接收用户在确认所述图章有效后输入的密码信息,并向服务器发送所述密码信息,以完成登录验证;
第三处理模块,用于在所述第一处理模块接收用户在登录页面输入的账户信息,并向服务器发送图章查询请求之前,接收所述用户在所述登录页面输入的账户信息和密码信息,并在账户信息和密码信息通过认证后,显示图章设置页面;以及接收所述用户在所述图章设置页面输入的图章信息,并向所述服务器发送所述图章信息和所述用户的账户信息,以使所述服务器根据所述图章信息生成对应的图章,并在数据库中保存所述账户信息与所述图章的对应关系。
9.根据权利要求8所述的装置,其特征在于,所述图章信息包括用于生成所述图章的防钓鱼信息和对所述防钓鱼信息进行处理的参数信息。
10.根据权利要求8或9所述的装置,其特征在于,所述图章信息由所述服务器以预定格式返回,所述预定格式包括JSON对象字符串格式。
11.一种登录验证装置,其特征在于,包括:
处理模块,用于接收来自客户端的图章查询请求,并根据所述图章查询请求进行网页来源判断;
返回模块,用于在网页来源合法时向所述客户端返回图章信息,以在所述登录页面显示对应的图章;
获得模块,用于获得用户在确认所述图章有效后输入的密码信息,以完成登录验证;
保存模块,用于在所述处理模块接收来自客户端的图章查询请求之前,接收所述客户端发送的所述用户的账户信息和图章信息,根据所述图章信息生成对应的图章,并在数据库中保存所述账户信息与所述图章的对应关系。
12.根据权利要求11所述的装置,其特征在于,所述图章信息包括用于生成所述图章的防钓鱼信息和对所述防钓鱼信息进行处理的参数信息。
13.根据权利要求11所述的装置,其特征在于,所述处理模块,具体用于:
判断所述图章查询请求的来源网页的域名与所述登录页面所在的域名是否相同;和/或
判断所述图章查询请求的来源网页的域名是否在预设的白名单中。
14.根据权利要求11-13任一项所述的装置,其特征在于,所述返回模块,具体用于:
在网页来源合法时以预定格式向所述客户端返回所述图章信息,所述预定格式包括JSON对象字符串格式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410724710.9A CN104486301B (zh) | 2014-12-02 | 2014-12-02 | 登录验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410724710.9A CN104486301B (zh) | 2014-12-02 | 2014-12-02 | 登录验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104486301A CN104486301A (zh) | 2015-04-01 |
| CN104486301B true CN104486301B (zh) | 2018-01-09 |
Family
ID=52760805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410724710.9A Active CN104486301B (zh) | 2014-12-02 | 2014-12-02 | 登录验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104486301B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577676A (zh) * | 2015-12-30 | 2016-05-11 | 广东欧珀移动通信有限公司 | 一种钓鱼网站的识别方法及装置 |
| CN108399219A (zh) * | 2018-02-09 | 2018-08-14 | 杭州默安科技有限公司 | 基于浏览器多点存储的防篡改标记终端设备的方法 |
| CN109145581B (zh) * | 2018-09-29 | 2021-08-10 | 武汉极意网络科技有限公司 | 基于浏览器渲染性能的防模拟登录方法、装置及服务器 |
| CN110598426B (zh) * | 2019-08-14 | 2024-06-04 | 平安科技(深圳)有限公司 | 基于信息安全的数据通信方法、装置、设备和存储介质 |
| CN114884710B (zh) * | 2022-04-25 | 2024-01-30 | 中国工商银行股份有限公司 | 页面数据的验证方法及其装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102073953A (zh) * | 2009-11-24 | 2011-05-25 | 阿里巴巴集团控股有限公司 | 一种网上支付方法及系统 |
| CN102164138A (zh) * | 2011-04-18 | 2011-08-24 | 奇智软件(北京)有限公司 | 一种保证用户网络安全性的方法及客户端 |
| CN103414688A (zh) * | 2013-07-09 | 2013-11-27 | 百度在线网络技术(北京)有限公司 | 一种用于在访问页面上加载用户安全图章的方法与设备 |
| CN104144146A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 一种访问网站的方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8608487B2 (en) * | 2007-11-29 | 2013-12-17 | Bank Of America Corporation | Phishing redirect for consumer education: fraud detection |
-
2014
- 2014-12-02 CN CN201410724710.9A patent/CN104486301B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102073953A (zh) * | 2009-11-24 | 2011-05-25 | 阿里巴巴集团控股有限公司 | 一种网上支付方法及系统 |
| CN102164138A (zh) * | 2011-04-18 | 2011-08-24 | 奇智软件(北京)有限公司 | 一种保证用户网络安全性的方法及客户端 |
| CN104144146A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 一种访问网站的方法和系统 |
| CN103414688A (zh) * | 2013-07-09 | 2013-11-27 | 百度在线网络技术(北京)有限公司 | 一种用于在访问页面上加载用户安全图章的方法与设备 |
Non-Patent Citations (1)
| Title |
|---|
| 基于浏览器的网络钓鱼检测机制的研究与实现;郭敏哲;《中国优秀硕士学位论文全文数据库 信息科技辑(2009)》;20090115(第1期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104486301A (zh) | 2015-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104766014B (zh) | 用于检测恶意网址的方法和系统 | |
| CN104486301B (zh) | 登录验证方法及装置 | |
| CN106682028A (zh) | 获取网页应用的方法、装置及系统 | |
| CN103888451B (zh) | 认证的授权方法、装置及系统 | |
| US20180011942A1 (en) | Url shortening computer-processed platform for processing internet traffic | |
| US11250432B2 (en) | Systems and methods for reducing fraud risk for a primary transaction account | |
| CN104253812B (zh) | 委托用于web服务的认证 | |
| CN104519050B (zh) | 登录方法和登录系统 | |
| CN104468592B (zh) | 登录方法和登录系统 | |
| US20130254649A1 (en) | Establishing user consent to cookie storage on user terminal equipment | |
| US20140250538A1 (en) | DISTINGUISH VALID USERS FROM BOTS, OCRs AND THIRD PARTY SOLVERS WHEN PRESENTING CAPTCHA | |
| US10616274B1 (en) | Detecting cloaking of websites using model for analyzing URL redirects | |
| US9451011B2 (en) | Monetizing downloadable files based on resolving custodianship thereof to referring publisher and presentation of monetized content in a modal overlay contemporaneously with download | |
| US9576301B1 (en) | Detection of child frames in web pages | |
| CN108366058A (zh) | 防止广告运营商流量劫持的方法、装置、设备及存储介质 | |
| US20210314412A1 (en) | System and Method For Identifying and Tagging Users | |
| JP2019503533A (ja) | 情報処理方法及びサーバ、コンピュータ記憶媒体 | |
| US10063659B2 (en) | Monetizing downloadable files based on resolving custodianship thereof to referring publisher and presentation of monetized content in a modal overlay contemporaneously with download | |
| CN110198328A (zh) | 客户端识别方法、装置、计算机设备和存储介质 | |
| CN106209487B (zh) | 用于检测网站中网页的安全漏洞的方法及装置 | |
| US20190141057A1 (en) | Automated detection of phishing campaigns via social media | |
| US10341323B1 (en) | Automated method for on demand multifactor authentication | |
| CN109257321A (zh) | 安全登录方法和装置 | |
| CN106899549A (zh) | 一种网络安全检测方法及装置 | |
| US11829900B2 (en) | System and method for remote management of sale transaction data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |