CN105991640B - 处理http请求的方法及装置 - Google Patents
处理http请求的方法及装置 Download PDFInfo
- Publication number
- CN105991640B CN105991640B CN201510420530.6A CN201510420530A CN105991640B CN 105991640 B CN105991640 B CN 105991640B CN 201510420530 A CN201510420530 A CN 201510420530A CN 105991640 B CN105991640 B CN 105991640B
- Authority
- CN
- China
- Prior art keywords
- client
- dns
- message
- address
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种处理HTTP请求的方法及装置,所述方法包括:接收客户端发送的DNS报文;根据所述DNS报文判断所述客户端是否通过认证;当所述客户端没有通过认证时,根据所述DNS报文的URL地址判断所述DNS报文是否合法;当所述DNS报文是合法的,则向所述客户端发送DNS应答报文;接收所述客户端根据所述DNS应答报文发送的用于访问资源的HTTP请求;重定向所述HTTP请求到认证服务器,以使认证服务器对所述客户端进行认证。应用本申请实施例,避免了接入设备对未通过认证客户端发送的大量非法HTTP请求进行重定向处理,节省了接入设备性能,提高了接入设备的稳定。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种处理HTTP(Hypertext TransferProtocol,超文本传输协议)请求的方法及装置。
背景技术
Web认证,又称为Portal认证,是一种基于网页的认证,不需要特殊的客户端软件,用户通过终端的浏览器输入正确的认证信息即可以访问互联网资源,当前被广泛应用于WLAN(Wireless Local Area Network,无线局域网)接入网络中。通常终端后台运行的客户端是通过接入设备访问网络资源,现有技术方案中,接入设备只要接收到未认证客户端发送的用于访问资源的HTTP请求,就会对该HTTP请求做重定向处理,并将重定向的HTTP请求返回给客户端。客户端根据接收到的重定向的HTTP请求,向认证服务器发送用于认证的HTTP请求,以便在认证通过后,可以实现向外网服务器访问网络资源。
随着互联网的不断发展,网络应用越来越多,用户终端后台运行着大量的客户端,这些客户端在未通过认证前,会发送大量的用于访问资源的HTTP请求,这些HTTP请求为非法的HTTP请求,但是接入设备无法识别这些非法的HTTP请求,导致接入设备不断将非法HTTP请求重定向到认证服务器,以使认证服务器对这些客户端进行认证,从而浪费接入设备的处理资源,影响接入设备的性能。
发明内容
有鉴于此,本申请提供一种处理HTTP请求的方法及装置,以解决现有技术因无法识别非法HTTP请求,导致接入设备不断处理非法HTTP请求,浪费接入设备的处理资源,影响接入设备性能的问题。
根据本申请实施例的第一方面,提供一种处理HTTP请求的方法,所述方法应用在网络设备的接入设备上,所述方法包括:
接收客户端发送的域名系统DNS报文;
根据所述DNS报文判断所述客户端是否通过认证;
当所述客户端没有通过认证时,根据所述DNS报文的统一资源定位符URL地址判断所述DNS报文是否合法;
当所述DNS报文是合法的,向所述客户端发送DNS应答报文;
接收所述客户端根据所述DNS应答报文发送的用于访问资源的HTTP请求;
重定向所述HTTP请求到认证服务器,以使认证服务器对所述客户端进行认证。
根据本申请实施例的第二方面,提供一种处理HTTP请求的装置,所述装置应用在网络设备的接入设备上,所述装置包括:
第一接收单元,用于接收客户端发送的DNS报文;
第一判断单元,用于根据所述DNS报文判断所述客户端是否通过认证;
第二判断单元,用于当所述客户端没有通过认证时,根据所述DNS报文的URL地址判断所述DNS报文是否合法;
发送单元,用于当所述DNS报文是合法的,向所述客户端发送DNS应答报文;
第二接收单元,用于接收所述客户端根据所述DNS应答报文发送的用于访问资源的HTTP请求;
处理单元,用于重定向所述HTTP请求到认证服务器,以使认证服务器对所述客户端进行认证。
应用本申请实施例,用户终端通过认证前,后台运行的客户端在发起HTTP请求之前,发送的DNS报文,都会通过接入设备进行合法性识别,识别合法之后,向接入设备发起用于访问资源的HTTP请求,接入设备将该HTTP请求重定向到认证服务器,以使认证服务器对所述客户端进行认证。从而避免了接入设备对未通过认证客户端发送的大量非法HTTP请求进行重定向处理,节省了接入设备性能,提高了接入设备的稳定性。
附图说明
图1是本申请处理HTTP请求的应用场景示意图;
图2是本申请处理HTTP请求的方法的一个实施例流程图;
图3是本申请处理HTTP请求的方法的另一个实施例流程图;
图4是本申请处理HTTP请求的装置所在设备的一种硬件结构图;
图5是本申请处理HTTP请求的装置的一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1所示,为本申请处理HTTP请求的应用场景示意图:
本申请可以应用于WLAN接入网络中,当用户使用外部网络时,通过终端的web浏览器进入认证页面,填写正确的用户认证信息,通过后即可访问外部网络,不需要终端安装任何特殊的客户端。图1示出了本申请处理HTTP请求的应用场景示意图,包括用户终端、接入设备、认证服务器、外网服务器。其中,用户终端可以是手机、电脑等,用户终端后台运行着很多的客户端,这些客户端会发送大量的用于访问资源的HTTP请求,以及客户端服务器的同步信息;接入设备与用户终端直接相连,具有Web认证功能,保存有已通过认证的客户端的IP地址,会对客户端在发起用于访问资源的HTTP请求之前,发送的DNS(Domain NameSystem,域名系统)报文合法性进行识别,识别合法之后,将客户端发送的HTTP请求重定向到认证服务器;认证服务器用来接收客户端发送的用于认证的HTTP请求,根据该HTTP请求向客户端提供Web认证界面,然后根据客户端填写的认证信息,提取用户账号信息进行认证,并在认证通过后向接入设备发送认证通过消息;外网服务器根据认证通过的客户端发出的用于访问资源的HTTP请求,提供相应的网络资源。
用户终端后台运行着很多的客户端,比如杀毒软件、输入法、音频视频软件等,而这些客户端会实时的和相关服务器进行数据交互,例如输入法会不断更新词库、杀毒软件会进行病毒更新、音乐播放软件会更新曲库以及实时推送广告,所以这些客户端会向接入设备发送大量用于访问资源的HTTP请求。而这些客户端在向接入设备发送用于访问资源的HTTP请求之前,会发送DNS报文。接入设备根据DNS报文判断客户端没有通过认证之后,再根据所述DNS报文的URL((Uniform Resource Locator,统一资源定位符)地址判断该DNS报文的合法性,当所述DNS报文是非法的,丢弃该DNS报文;当所述DNS报文是合法的,向客户端发送DNS应答报文。客户端根据接收到DNS应答报文向接入设备发送用于访问资源的HTTP请求。接入设备将客户端发送的HTTP请求重定向到认证服务器,以使认证服务器对所述客户端进行认证。因此,客户端发送的DNS报文需要经接入设备识别合法之后,向接入设备发起用于访问资源的HTTP请求,接入设备将该HTTP请求重定向到认证服务器,以使认证服务器对所述客户端进行认证。从而避免了接入设备对未通过认证客户端发送的大量非法HTTP请求进行重定向处理,节省了接入设备的性能。
参见图2所示,为本申请处理HTTP请求的方法的一个实施例流程图,该实施例应用于接入设备上,包括以下步骤:
步骤S201:接收客户端发送的DNS报文。
用户在上网时,在终端的web浏览器中输入访问站点的URL地址,例如访问百度会输入http://www.baidu.com,此时用户终端需要先发送DNS报文到接入设备。因此,用户终端后台运行的客户端,在发送用于访问资源的HTTP请求之前,会向接入设备发送DNS报文。
步骤S202:根据所述DNS报文判断所述客户端是否通过认证,若通过认证,则执行步骤S203,否则执行步骤S204。
在一个可选的实现方式中,接入设备中保存有白名单,所述白名单包括已经通过认证的客户端的IP地址,利用所述DNS报文携带的源IP地址查询所述白名单,当查询到所述源IP地址时,确定所述客户端已经通过认证,执行步骤S203;当没有查询到所述源IP地址时,确定所述客户端没有通过认证,执行步骤S204。
步骤S203:允许所述客户端正常访问外网服务器,结束当前流程。
当所述客户端已通过认证时,接入设备将所述DNS报文转发至DNS服务器,以使DNS服务器解析该DNS报文的URL地址,获得所述URL地址对应的IP地址,并返回给客户端,以使所述客户端根据该IP地址访问外网服务器,结束当前流程。如上述步骤S201,接入设备将携带有百度URL地址的DNS报文转发至DNS服务器,以使DNS服务器解析该URL地址,获得百度服务器的IP地址,并返回给用户终端,用户终端根据接收到的百度服务器的IP地址,访问百度服务器的资源。
步骤S204:根据所述DNS报文的URL地址判断所述DNS报文的合法性,若所述DNS报文是非法的,则执行步骤S205,否则执行步骤S206。
在一个可选的实现方式中,接入设备中预先配置有非法DNS特征库,该特征库包括非法HTTP请求的URL地址。接入设备可以监测每个客户端在预设周期内发起HTTP请求的次数,当监测到客户端在预设周期内发起同一个HTTP请求的次数超过预设的次数时,则该HTTP请求为非法HTTP请求,接入设备将所述非法HTTP请求携带的URL地址添加到非法DNS特征库中。例如接入设备监测到用户终端后台的客户端在预设周期内访问URL地址:http://secclientgw.alipay.com的次数超过预设的次数,该URL地址是手机助手客户端发起的连接,将该URL地址添加到所述非法DNS特征库中。
接入设备获取所述DNS报文的URL地址,将获取到的URL地址与所述非法DNS特征库进行匹配。当匹配到所述的URL地址时,确定所述DNS报文是非法的,执行步骤S205;当没有匹配到所述的URL地址时,确定所述DNS报文是合法的,执行步骤S206。
步骤S205:丢弃所述DNS报文,结束当前流程。
当所述DNS报文为非法DNS报文,将所述DNS报文丢弃,不再继续后续流程。对所述DNS报文的处理在接入设备网络层的IP协议栈处理,比通常经过网络层、传输层、最后到应用层处理速度快。
步骤S206:向所述客户端发送DNS应答报文,以使所述客户端发送用于访问资源的HTTP请求。
当所述DNS报文为合法报文,接入设备将该DNS报文转发至DNS服务器,以使DNS服务器解析所述DNS报文的URL地址,获得URL地址对应的IP地址,并将携带该IP地址的DNS应答报文发送给客户端,以使所述客户端发送用于访问资源的HTTP请求。
步骤S207:接收所述客户端发送的用于访问资源的HTTP请求。
接入设备与所述客户端建立TCP连接,接收所述客户端发送的用于访问资源的HTTP请求。
步骤S208:重定向所述客户端发送的HTTP请求到认证服务器,以使认证服务器对所述客户端进行认证。
接入设备将所述客户端发送的用于访问资源的HTTP请求重定向到认证服务器,以使所述客户端访问认证页面进行认证,所述客户端认证通过后,认证服务器向接入设备发送认证通过消息,接入设备将所述客户端的IP地址添加到白名单中。该客户端后续发送的用于访问资源的HTTP请求,接入设备都允许正常访问外网服务器。
由上述实施例所述,用户终端通过认证前,后台运行的客户端在发起HTTP请求之前,发送的DNS报文,都会通过接入设备的非法DNS特征库进行合法性识别,识别合法之后,向接入设备发起用于访问资源的HTTP请求,接入设备将该HTTP请求重定向到认证服务器,以使认证服务器对所述客户端进行认证。从而避免了接入设备对未通过认证客户端发送的大量非法HTTP请求进行重定向处理,节省了接入设备的性能。同时,也节省了认证服务器的性能。
参见图3所示,为本申请处理HTTP请求的方法的另一个实施例流程图,该实施例结合图1示出的应用场景对处理HTTP请求的过程进行详细描述,包括以下步骤:
步骤S301:客户端向接入设备发送DNS报文。
用户终端后台运行的客户端,在发送用于访问资源的HTTP请求之前,会向接入设备发送DNS报文。
步骤S302:接入设备根据客户端发送的DNS报文判断所述客户端是否通过认证,如果通过认证,则允许客户端正常访问外网服务器,如果没有通过认证,则执行步骤S303。
接入设备根据客户端发送的DNS报文携带的源IP地址,查询白名单,所述白名单保存有已经通过认证的客户端的IP地址,当查询到所述源IP地址时,确定所述客户端已通过认证,接入设备允许客户端正常访问外网服务器;当没有查询到所述源地址时,确定所述客户端没有通过认证,执行步骤S303。
步骤S303:将所述DNS报文的URL地址与预先配置的非法DNS特征库进行匹配,当匹配到所述URL地址时,确定所述DNS报文是非法的,丢弃所述DNS报文,当没有匹配到所述URL地址时,确定所述DNS报文是合法的,执行步骤S304。
在步骤S204中已详细描述配置非法DNS特征库的过程,在此不再赘述。
接入设备根据所述DNS报文获取URL地址,将该URL地址与非法DNS特征库进行特征匹配,当匹配到所述URL地址,确定该DNS报文为非法DNS报文,接入设备丢弃该DNS报文,当没有匹配到所述URL地址时,确定该DNS报文为合法DNS报文,执行步骤S304。
步骤S304:接入设备向客户端发送DNS应答报文。
当所述DNS报文是合法的,即为所述客户端正常上网的DNS报文,接入设备则会将所述DNS报文转发至DNS服务器,以使DNS服务器解析DNS报文的URL地址,获得URL地址对应的IP地址,并将携带该IP地址的DNS应答报文返回至客户端。
步骤S305:客户端与接入设备建立TCP连接。
客户端根据接收到的DNS应答报文携带的资源服务器所在的IP地址,生成用于访问资源的HTTP请求,并与接入设备建立TCP连接。
步骤S306:客户端向接入设备发送用于访问资源的HTTP请求。
客户端与接入设备建立TCP连接之后,向接入设备发送用于访问资源的HTTP请求,所述HTTP请求可以是HTTP GET请求。
步骤S307:接入设备根据所述HTTP请求,向客户端返回HTTP重定向报文。
接入设备收到客户端发送的用于访问资源的HTTP请求后,会先向客户端发送ACK应答报文,通知客户端已经收到HTTP请求,客户端收到ACK应答报文后停止向接入设备连续发送HTTP请求。然后接入设备向客户端返回HTTP重定向报文,所述HTTP重定向报文头部的Location字段携带有认证页面的URL地址。
步骤S308:客户端与接入设备结束TCP连接。
步骤S309:客户端根据接入设备发送的HTTP重定向报文,通过接入设备向认证服务器发送用于认证的HTTP请求。
客户端获取HTTP重定向报文的URL地址,该URL地址为认证页面地址,将携带该URL地址的DNS报文发送给接入设备,接入设备通过DNS服务器解析该DNS报文的URL地址,获得该URL地址对应的IP地址,并返回给客户端。客户端根据接收到的IP地址,与接入设备建立TCP连接,向接入设备发送用于认证的HTTP请求,接入设备判断该HTTP请求的目的地址是认证服务器的IP地址,直接将该HTTP请求转发至认证服务器。
步骤S310:认证服务器向客户端返回认证页面。
认证服务器接收到客户端发送的用于认证的HTTP请求,将认证页面返回至客户端。
步骤S311:客户端根据接收到的认证页面填写认证信息,并提交至认证服务器。
客户端接收到认证页面,根据认证页面要求填写的内容输入正确的认证信息,并提交至认证服务器进行认证,输入的认证信息可以是用户名、密码或口令、校验码等。
步骤S312:认证服务器根据客户端提交的认证信息进行认证,并将认证通过消息发送至接入设备。
认证服务器接收到客户端提交的认证页面,提取客户端输入的认证信息,确认认证信息是否正确,如果认证消息正确,则将认证通过消息发送给接入设备;如果认证信息错误,则提示用户重新输入认证信息,直至客户端返回的认证信息正确后,将认证通过消息发送至接入设备。
步骤S313:接入设备接收认证通过消息,并添加白名单。
接入设备接收到认证通过消息后,将消息中携带的客户端的IP地址添加到白名单中。
步骤S314:认证服务器向客户端返回认证成功页面。
步骤S315:客户端访问外网服务器,业务正常运行。
客户端发送DNS报文,接入设备根据所述DNS报文的源IP地址查询白名单,查询到所述源IP地址,则允许客户端正常访问外网服务器的网络资源,业务正常运行。
需要说明的是,对于上述步骤S312至步骤S313,以及步骤S314,在认证服务器确认认证信息之后,向接入设备发送认证通过消息和向客户端返回认证成功页面的先后顺序不受约束。
由上述实施例所述,用户终端通过认证前,后台运行的客户端在发起HTTP请求之前,发送的DNS报文,都会通过接入设备的非法DNS特征库进行合法性识别,识别合法之后,向接入设备发起用于访问资源的HTTP请求,接入设备将该HTTP请求重定向到认证服务器,以使认证服务器对所述客户端进行认证。从而避免了接入设备对未通过认证客户端发送的大量非法HTTP请求进行重定向处理,节省了接入设备的性能,提高了接入设备的稳定性。
与前述处理HTTP请求的方法实施例相对应,本申请还提供了处理HTTP请求的装置的实施例。
本申请处理HTTP请求的装置实施例可以应用在网络中的接入设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请处理HTTP请求的装置所在设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
参见图5所示,为本申请处理HTTP请求的装置的一个实施例框图,所述装置应用于网络设备的接入设备上,所述装置包括:第一接收单元510、第一判断单元520、第二判断单元530、发送单元540、第二接收单元550、以及处理单元560。
其中,第一接收单元510,用于接收客户端发送的DNS报文;
第一判断单元520,用于根据所述DNS报文判断所述客户端是否通过认证;
第二判断单元530,用于当所述客户端没有通过认证时,根据所述DNS报文的URL地址判断所述DNS报文是否合法;
发送单元540,用于当所述DNS报文是合法的,向所述客户端发送DNS应答报文;
第二接收单元550,用于接收所述客户端根据所述DNS应答报文发送的用于访问资源的HTTP请求;
处理单元560,用于重定向所述HTTP请求到认证服务器,以使认证服务器对所述客户端进行认证。
在一个可选的实现方式中,所述第一判断单元520可以包括(图5中未示出):
IP地址获取子单元,用于获取所述DNS报文的源IP地址;
查询子单元,用于根据获取到的源IP地址查询白名单,所述白名单包括已经通过认证的客户端的IP地址;
第一确定子单元,用于当查询到所述源IP地址时,确定所述客户端通过认证;当没有查询到所述源IP地址时,确定所述客户端没有通过认证。
在另一个可选的实现方式中,所述第二判断单元530可以包括(图5中未示出):
URL地址获取子单元,用于获取所述DNS报文的URL地址;
匹配子单元,用于将所述URL地址与预先配置的非法DNS特征库进行匹配;
其中,所述非法DNS特征库包括非法HTTP请求的URL地址,所述非法HTTP请求为在预设周期内发起次数超过预设次数的HTTP请求;
第二确定子单元,用于当匹配到所述URL地址时,确定所述DNS报文是非法的;当没有匹配到所述URL地址时,确定所述DNS报文是合法的。
在另一个可选的实现方式中,所述发送单元540可以包括(图5中未示出):
第一转发子单元,用于将所述DNS报文转发至DNS服务器,以使DNS服务器解析所述DNS报文的URL地址;
第一获取子单元,用于获取解析得到的URL地址对应的IP地址;
发送子单元,用于向所述客户端发送携带所述IP地址的DNS应答报文。
在另一个可选的实现方式中,所述处理单元560可以包括(图5中未示出):
重定向报文发送子单元,用于根据接收到的所述HTTP请求,向所述客户端返回HTTP重定向报文,以使所述客户端访问认证页面的信息;
其中,所述HTTP重定向报文头部的Location字段携带认证页面的URL地址;
第一接收子单元,用于接收所述客户端根据所述HTTP重定向报文发送的DNS报文,所述DNS报文携带有认证页面URL地址;
第二转发子单元,用于将所述DNS报文转发至DNS服务器,以使DNS服务器解析所述DNS报文的URL地址;
第二获取子单元,用于获取解析得到的URL地址对应的IP地址,并返回给所述客户端;
第二接收子单元,用于接收所述客户端根据所述IP地址发送的用于认证的HTTP请求,并转发至认证服务器,以使认证服务器对所述客户端进行认证;
所述装置还包括(图5中未示出):
更新子单元,用于当接收到认证服务器发送的认证通过消息时,将所述认证通过消息携带的所述客户端的IP地址添加到白名单。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例所述,用户终端通过认证前,后台运行的客户端在发起HTTP请求之前,发送的DNS报文,都会通过接入设备的非法DNS特征库进行合法性识别,识别合法之后,向接入设备发起用于访问资源的HTTP请求,接入设备将该HTTP请求重定向到认证服务器,以使认证服务器对所述客户端进行认证。从而避免了接入设备对未通过认证客户端发送的大量非法HTTP请求进行重定向处理,节省了接入设备的性能,提高了接入设备的稳定性。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种处理HTTP请求的方法,所述方法应用于网络设备中的接入设备上,其特征在于,所述方法包括:
接收客户端发送的域名系统DNS报文;
根据所述DNS报文判断所述客户端是否通过认证;
当所述客户端没有通过认证时,根据所述DNS报文的统一资源定位符URL地址判断所述DNS报文是否合法;
当所述DNS报文是合法的,向所述客户端发送DNS应答报文;
接收所述客户端根据所述DNS应答报文发送的用于访问资源的HTTP请求;
重定向所述HTTP请求到认证服务器,以使认证服务器对所述客户端进行认证。
2.根据权利要求1所述的方法,其特征在于,所述根据所述DNS报文判断所述客户端是否通过认证,包括:
获取所述DNS报文的源网际协议IP地址;
根据获取到的源IP地址查询白名单,所述白名单包括已经通过认证的客户端的IP地址;
当查询到所述源IP地址时,确定所述客户端通过认证;当没有查询到所述源IP地址时,确定所述客户端没有通过认证。
3.根据权利要求1所述的方法,其特征在于,所述根据所述DNS报文的URL地址判断所述DNS报文的是否合法,包括:
获取所述DNS报文的URL地址;
将所述URL地址与预先配置的非法DNS特征库进行匹配,所述非法DNS特征库包括非法HTTP请求的URL地址,所述非法HTTP请求为在预设周期内发起次数超过预设次数的HTTP请求;
当匹配到所述URL地址时,确定所述DNS报文是非法的;当没有匹配到所述URL地址时,确定所述DNS报文是合法的。
4.根据权利要求1所述的方法,其特征在于,所述向所述客户端发送DNS应答报文,包括:
将所述DNS报文转发至DNS服务器,以使DNS服务器解析所述DNS报文的URL地址;
获取解析得到的所述URL地址对应的IP地址;
向所述客户端发送携带所述IP地址的DNS应答报文。
5.根据权利要求2所述的方法,其特征在于,所述重定向所述HTTP请求到认证服务器,以使认证服务器对所述客户端进行认证,包括:
根据接收到的所述HTTP请求,向所述客户端返回HTTP重定向报文,以使所述客户端访问认证页面的信息,所述HTTP重定向报文头部的Location字段携带认证页面的URL地址;
接收所述客户端根据所述HTTP重定向报文发送的DNS报文,所述DNS报文携带有认证页面的URL地址;
将所述DNS报文转发至DNS服务器,以使DNS服务器解析所述DNS报文的URL地址;
获取解析得到的所述URL地址对应的IP地址,并返回给所述客户端;
接收所述客户端根据所述IP地址发送的用于认证的HTTP请求,并转发至认证服务器,以使认证服务器对所述客户端进行认证;
所述方法还包括:
当接收到认证服务器发送的认证通过消息时,将所述认证通过消息携带的所述客户端的IP地址添加到所述白名单。
6.一种处理HTTP请求的装置,所述装置应用在接入设备上,其特征在于,所述装置包括:
第一接收单元,用于接收客户端发送的DNS报文;
第一判断单元,用于根据所述DNS报文判断所述客户端是否通过认证;
第二判断单元,用于当所述客户端没有通过认证时,根据所述DNS报文的URL地址判断所述DNS报文是否合法;
发送单元,用于当所述DNS报文是合法的,向所述客户端发送DNS应答报文;
第二接收单元,用于接收所述客户端根据所述DNS应答报文发送的用于访问资源的HTTP请求;
处理单元,用于重定向所述HTTP请求到认证服务器,以使认证服务器对所述客户端进行认证。
7.根据权利要求6所述的装置,其特征在于,所述第一判断单元包括:
IP地址获取子单元,用于获取所述DNS报文的源IP地址;
查询子单元,用于根据获取到的源IP地址查询白名单,所述白名单包括已经通过认证的客户端的IP地址;
第一确定子单元,用于当查询到所述源IP地址时,确定所述客户端通过认证;当没有查询到所述源IP地址时,确定所述客户端没有通过认证。
8.根据权利要求6所述的装置,其特征在于,所述第二判断单元包括:
URL地址获取子单元,用于获取所述DNS报文的URL地址;
匹配子单元,用于将所述URL地址与预先配置的非法DNS特征库进行匹配;
其中,所述非法DNS特征库包括非法HTTP请求的URL地址,所述非法HTTP请求为在预设周期内发起次数超过预设次数的HTTP请求;
第二确定子单元,用于当匹配到所述URL地址时,确定所述DNS报文是非法的;当没有匹配到所述URL地址时,确定所述DNS报文是合法的。
9.根据权利要求6所述的装置,其特征在于,所述发送单元包括:
第一转发子单元,用于将所述DNS报文转发至DNS服务器,以使DNS服务器解析所述DNS报文的URL地址;
第一获取子单元,用于获取解析得到的URL地址对应的IP地址;
发送子单元,用于向所述客户端发送携带所述IP地址的DNS应答报文。
10.根据权利要求7所述的装置,其特征在于,所述处理单元包括:
重定向报文发送子单元,用于根据接收到的所述HTTP请求,向所述客户端返回HTTP重定向报文,以使所述客户端访问认证页面的信息,所述HTTP重定向报文头部的Location字段携带认证页面的URL地址;
第一接收子单元,用于接收所述客户端根据所述HTTP重定向报文发送的DNS报文,所述DNS报文携带有认证页面URL地址;
第二转发子单元,用于将所述DNS报文转发至DNS服务器,以使DNS服务器解析所述DNS报文的URL地址;
第二获取子单元,用于获取解析得到的URL地址对应的IP地址,并返回给所述客户端;
第二接收子单元,用于接收所述客户端根据所述IP地址发送的用于认证的HTTP请求,并转发至认证服务器,以使认证服务器对所述客户端进行认证;
所述装置还包括:
更新子单元,用于当接收到认证服务器发送的认证通过消息时,将所述认证通过消息携带的所述客户端的IP地址添加到所述白名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510420530.6A CN105991640B (zh) | 2015-07-16 | 2015-07-16 | 处理http请求的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510420530.6A CN105991640B (zh) | 2015-07-16 | 2015-07-16 | 处理http请求的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105991640A CN105991640A (zh) | 2016-10-05 |
| CN105991640B true CN105991640B (zh) | 2019-06-04 |
Family
ID=57039906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510420530.6A Active CN105991640B (zh) | 2015-07-16 | 2015-07-16 | 处理http请求的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105991640B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109561010B (zh) | 2017-09-26 | 2020-11-20 | 北京金山安全软件有限公司 | 一种报文处理方法、电子设备及可读存储介质 |
| CN107979655A (zh) * | 2017-09-29 | 2018-05-01 | 新华三技术有限公司 | 访问控制方法、接入控制装置和接入设备 |
| CN109150874B (zh) * | 2018-08-16 | 2020-10-16 | 新华三技术有限公司 | 访问认证方法、装置及认证设备 |
| CN109587175A (zh) * | 2019-01-11 | 2019-04-05 | 杭州迪普科技股份有限公司 | 一种非法外联处理方法及系统 |
| CN112637192B (zh) * | 2020-12-17 | 2023-10-03 | 广东精一信息技术有限公司 | 一种对微服务进行访问的授权方法及系统 |
| CN113810197A (zh) * | 2021-09-17 | 2021-12-17 | 上海市信产通信服务有限公司 | 基于OpenAPI的服务调用方法及其系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549161A (zh) * | 2003-05-21 | 2004-11-24 | 深圳市中兴通讯股份有限公司南京分公 | 一种强制推出网页的方法 |
| CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
| CN101873329A (zh) * | 2010-06-29 | 2010-10-27 | 迈普通信技术股份有限公司 | 一种Portal强制认证方法以及接入设备 |
| CN102143177A (zh) * | 2011-03-30 | 2011-08-03 | 北京星网锐捷网络技术有限公司 | 一种Portal认证方法、装置、设备及系统 |
| CN102710667A (zh) * | 2012-06-25 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN103825881A (zh) * | 2013-12-13 | 2014-05-28 | 福建三元达通讯股份有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
-
2015
- 2015-07-16 CN CN201510420530.6A patent/CN105991640B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549161A (zh) * | 2003-05-21 | 2004-11-24 | 深圳市中兴通讯股份有限公司南京分公 | 一种强制推出网页的方法 |
| CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
| CN101873329A (zh) * | 2010-06-29 | 2010-10-27 | 迈普通信技术股份有限公司 | 一种Portal强制认证方法以及接入设备 |
| CN102143177A (zh) * | 2011-03-30 | 2011-08-03 | 北京星网锐捷网络技术有限公司 | 一种Portal认证方法、装置、设备及系统 |
| CN102710667A (zh) * | 2012-06-25 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN103825881A (zh) * | 2013-12-13 | 2014-05-28 | 福建三元达通讯股份有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105991640A (zh) | 2016-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105991640B (zh) | 处理http请求的方法及装置 | |
| US10721320B2 (en) | Redirection method, apparatus, and system | |
| CN106131079B (zh) | 一种认证方法、系统及代理服务器 | |
| EP3457627B1 (en) | Automatic login method and device between multiple websites | |
| CN104158808B (zh) | 基于APP应用的Portal认证方法及其装置 | |
| US8079076B2 (en) | Detecting stolen authentication cookie attacks | |
| US9923906B2 (en) | System, method and computer program product for access authentication | |
| EP3117578B1 (en) | Disposition engine for single sign on (sso) requests | |
| CN103220261B (zh) | 一种开放鉴权应用程序接口代理的方法、装置及系统 | |
| KR960035299A (ko) | 원격 사용자와 응용 서버간의 통신 관리 방법, 원격 사용자의 주체 인증 방법, 분산 컴퓨터 환경을 제공하는 네트워크 및 프로그램 저장 장치 | |
| CN104144163B (zh) | 身份验证方法、装置及系统 | |
| JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
| US20130007867A1 (en) | Network Identity for Software-as-a-Service Authentication | |
| CN105991518B (zh) | 网络接入认证方法及装置 | |
| CN102025740B (zh) | 单点登录方法、胖客户端、服务器及系统 | |
| CN108259457B (zh) | 一种web认证方法及装置 | |
| CN113922982B (zh) | 登录方法、电子设备及计算机可读存储介质 | |
| CN106559405A (zh) | 一种Portal认证方法和设备 | |
| CN109218389A (zh) | 处理业务请求的方法、装置和存储介质以及电子设备 | |
| US9398048B2 (en) | Authenticating an application to access a communication system | |
| CN110730189A (zh) | 一种通信认证方法、装置、设备及存储介质 | |
| CN110266736A (zh) | 一种针对基于https协议的portal认证的优化方法及装置 | |
| CN106789884A (zh) | 一种Portal认证方法和系统 | |
| CN107634969B (zh) | 数据交互方法及装置 | |
| JP4305146B2 (ja) | 通信制御装置、アプリケーションサーバ、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |