CN106302546B - 实现服务器访问的方法和装置 - Google Patents
实现服务器访问的方法和装置 Download PDFInfo
- Publication number
- CN106302546B CN106302546B CN201610908976.8A CN201610908976A CN106302546B CN 106302546 B CN106302546 B CN 106302546B CN 201610908976 A CN201610908976 A CN 201610908976A CN 106302546 B CN106302546 B CN 106302546B
- Authority
- CN
- China
- Prior art keywords
- token
- request
- access
- server
- data end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Abstract
本公开揭示了一种实现服务器访问的方法和装置。所述方法包括:根据数据请求端进行数据交互的属性信息生成令牌,向所述数据请求端返回所述令牌;接收所述数据请求端通过所述令牌发起的访问请求,所述访问请求中请求访问的网络地址携带所述令牌;校验所述请求访问的网络地址携带的令牌,若所述令牌校验通过,则根据所述访问请求执行所述数据请求端请求的操作。由此,数据请求端方能由服务器获得请求的功能,也就是说,对于服务器而言,拥有服务器所提供的令牌的数据请求端,方能实现服务器访问,而其它并不拥有令牌,而仅获得网络地址的数据请求端,则无法进行服务器访问,由此,将避免了服务器访问的安全风险,保障了服务器的数据交互安全。
Description
技术领域
本公开涉及互联网应用技术领域,特别涉及一种实现服务器访问的方法和装置。
背景技术
随着互联网应用技术的迅猛发展,举例来说,在Web服务器和数据服务器之间相互配合所实现的数据交互中,数据服务器用于在Web服务器的请求下执行数据拷贝等数据相关的操作。
具体而言,部署的服务器,即Web服务器和数据服务器是相对固定的。Web服务器根据数据服务器的网络地址请求进行数据服务器的访问,以获得数据服务器返回的数据,或者对数据服务器执行一定的数据操作。
也就是说,只要通过数据服务器的网络地址发起请求,均可进行数据服务器的访问,进而获得请求的功能。任何获得该网络地址的服务器,只要通过该网络地址发起服务器的访问,都能够得到Web服务器所请求的相同功能。
由此可知,对于服务器的访问,存在着非常大的安全风险,并无法保障服务器的数据交互安全。
发明内容
为了解决相关技术中存在的服务器访问的安全风险,以及服务器的数据交互安全的无法保障的技术问题,本公开提供了一种实现服务器访问的方法和装置。
一种实现服务器访问的方法,所述方法包括:
根据数据请求端进行数据交互的属性信息生成令牌,向所述数据请求端返回所述令牌;
接收所述数据请求端通过所述令牌发起的访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
校验所述请求访问的网络地址携带的令牌,若所述令牌校验通过,则根据所述访问请求执行所述数据请求端请求的操作。
一种实现服务器访问的方法,所述方法包括:
确定有效的令牌,将所述令牌拼装至请求访问的网络地址;
根据拼装所述令牌的网络地址向服务器发起访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
接收所述服务器校验所述令牌后响应所述访问请求而返回的数据。
一种实现服务器访问的装置,所述装置包括:
令牌生成模块,用于根据数据请求端进行数据交互的属性信息生成令牌,向所述数据请求端返回所述令牌;
访问请求接收模块,用于接收所述数据请求端通过所述令牌发起的访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
访问请求处理模块,用于校验所述请求访问的网络地址携带的令牌,若所述令牌校验通过,则根据所述访问请求执行所述数据请求端请求的操作。
一种实现服务器访问的装置,所述装置包括:
令牌拼装模块,用于确定有效的令牌,将所述令牌拼装至请求访问的网络地址;
访问请求发起模块,用于根据拼装所述令牌的网络地址向服务器发起访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
数据接收模块,用于接收所述服务器校验所述令牌后响应所述访问请求而返回的数据。
本公开的实施例提供的技术方案可以包括以下有益效果:
服务器访问的实现中,首先根据数据请求端进行数据交互的属性信息生成令牌,向数据请求端返回生成的令牌,在数据请求端需要进行服务器访问时,将接收到数据请求端通过令牌发起的访问请求,访问请求中请求访问的网络地址携带有令牌,进行令牌的校验,在令牌校验通过时根据访问请求执行数据请求端请求的操作,由此,数据请求端方能由服务器获得请求的功能,也就是说,对于服务器而言,拥有服务器所提供的令牌的数据请求端,方能实现服务器访问,而其它并不拥有令牌,而仅获得网络地址的数据请求端,则无法进行服务器访问,由此,将避免了服务器访问的安全风险,保障了服务器的数据交互安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并于说明书一起用于解释本发明的原理。
图1是根据本公开所涉及的实施环境的示意图;
图2是根据一示例性实施例示出的一种装置的框图;
图3是根据一示例性实施例示出的一种实现服务器访问的方法的流程图;
图4是图3实施例示出的对根据数据请求端进行数据交互的属性信息生成令牌,向数据请求端返回令牌步骤的细节进行描述的流程图;
图5是图3实施例示出的对校验请求访问的网络地址携带的令牌,若令牌校验通过,则根据访问请求执行数据请求端请求的操作步骤的细节进行描述的流程图;
图6是根据另一示例性实施例示出的一种实现服务器访问的方法的流程图;
图7是根据另一示例性实施例示出的一种实现服务器访问的方法的流程图;
图8是根据另一示例性实施例示出的一种实现服务器访问的方法的流程图;
图9是图7对应实施例示出的对确定有效的令牌,将令牌拼装至请求访问的网络地址步骤的细节进行描述的流程图;
图10是根据一示例性实施例示出的服务器A请求服务器B的流程图;
图11是根据一示例性实施例示出的令牌生成的流程图;
图12是根据一示例性实施例示出的通过产生的令牌拼装网络地址进行服务器A和服务器B之间数据交互的流程图;
图13是根据一示例性实施例示出的一种实现服务器访问的装置的框图;
图14是图13对应实施例对令牌生成模块的细节进行描述的框图;
图15是图13对应实施例对访问请求处理模块的细节进行描述的框图。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
图1是根据本公开所涉及的实施环境的示意图。该实施环境包括:服务器110和数据请求端130。
数据请求端130与服务器110之间进行二者之间往来的数据交互,进而通过服务器110的配合为数据请求端130提供所请求的功能。
图2是根据一示例性实施例示出的一种装置的框图。例如,装置200可以是图1所示实施环境中的服务器110和数据请求端130。服务器110比如可以是数据服务器,数据请求端130比如可以是Web服务器。
参照图2,该装置200可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)222(例如,一个或一个以上处理器)和存储器232,一个或一个以上存储应用程序242或数据244的存储介质230(例如一个或一个以上海量存储设备)。其中,存储器232和存储介质230可以是短暂存储或持久存储。存储在存储介质230的程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器222可以设置为与存储介质230通信,在装置200上执行存储介质230中的一系列指令操作。装置200还可以包括一个或一个以上电源226,一个或一个以上有线或无线网络接口250,一个或一个以上输入输出接口258,和/或,一个或一个以上操作系统241,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。下述图3、图4、图5、图6、图7、图8和图9所示实施例中所述的由服务器所执行的步骤可以基于该图2所示的装置结构。
图3是根据一示例性实施例示出的一种实现服务器访问的方法的流程图。该实现服务器访问的方法,用于图1所示实施环境的服务器110。如图3所示,该实现服务器访问的方法,可以包括以下步骤。
在步骤310中,根据数据请求端进行数据交互的属性信息生成令牌,向数据请求端返回令牌。
其中,数据请求端进行数据交互的属性信息,可以通过服务器与数据请求端之间所进行的任意一次交互获取得到。在一个示例性实施例中,数据请求端进行数据交互的属性信息,包括数据请求端的网络地址、发起请求的端口号和请求时间等信息。
服务器通过与数据访问端之间的数据交互,使得数据访问端能够实现此服务器的访问。而在数据访问端向服务器发起访问请求之间,服务器将为数据访问端生成令牌,此令牌是与数据访问端进行数据交互的属性信息强相关的,因此,其它数据访问端将无法获得此令牌,进而有利于保障服务器访问的安全性。
由此,对于每一可进行服务器访问的数据请求端,服务器都根据其进行数据交互的属性信息生成令牌,以为每一数据请求端均配置令牌,进而保障各个数据请求端和服务器之间数据交互的安全性。
在步骤330中,接收数据请求端通过令牌发起的访问请求,访问请求中请求访问的网络地址携带令牌。
其中,服务器在通过前述步骤310为数据请求端配置了令牌之后,将会接收到数据请求端通过令牌发起的访问请求。可以理解的,对于数据请求端发起的访问请求,是包含了目标地址的,即请求访问的服务器所对应的网络地址。
对于从服务器获得令牌的数据请求端而言,其访问请求中,网络地址拼装了令牌,因此,服务器接收访问请求之后,从访问请求中获得数据请求端的令牌。
在步骤350中,校验请求访问的网络地址携带的令牌,若令牌校验通过,则根据访问请求执行数据请求端请求的操作。
其中,服务器在接收到数据请求端发起的访问请求之后,需要对访问请求中请求访问的网络地址携带的令牌进行校验。
对于服务器而言,首先需要校验此令牌是否确定是服务器为此数据请求端生成的令牌,以此来确定当前发起访问请求的数据请求端是允许进行服务器访问的数据请求端。
只有在令牌校验通过之后,数据请求端方可进行服务器访问。换而言之,在令牌校验通过之后,服务器将执行数据请求端通过访问请求而请求执行的操作,例如,拷贝数据的操作等,进而获得所需要的功能。
进一步的,对于服务器所进行的令牌校验,还将进行有效性校验等,在此不进行一一列举。
通过如上所述的过程,在令牌的控制下进行服务器访问,避免了任意获得服务器的网络地址的数据请求端均能够进行服务器访问的情况,提高了服务器的安全性以及服务器与数据请求端之间数据交互的安全性。
此外,由于令牌是请求访问的网络地址中携带的,对于服务器与数据请求端之间所进行的交互而言,虽然增加了令牌,但二者之间仍然仅需要进行一次交互,而并不需要专门进行一次交互,因此,节省了传输资源,也保证了服务器访问的实现效率。
图4是根据一示例性实施例对步骤310的细节进行描述的流程图。该步骤310,如图4所示,可以包括以下步骤。
在步骤311中,获取数据请求端进行数据交互的属性信息以及为数据请求端生成唯一标识。
其中,在此之前,服务器与数据请求端之间所进行的任意一次交互,都可以获取得到属性信息,即,属性信息是在其它交互中即可以获取的信息。
而唯一标识是为此数据请求端所唯一生成的标识。
在服务器为一数据请求端所进行的令牌生成中,直接获取此数据请求端进行数据交互的属性信息和唯一标识。
在步骤313中,对属性信息和唯一标识进行信息摘要运算,为数据请求端生成令牌。
其中,可以理解的,向数据请求端配置的令牌,在后续所进行的服务器访问中,用于进行数据请求端的身份校验,因此,需要通过信息摘要运算来得到加密的属性信息和唯一标识所形成的令牌。
属性信息是在与数据请求端的交互中获得的,因此,其是与数据请求端相适配的,而唯一标识,则是为数据请求端所唯一生成的,基于属性信息和唯一标识生成令牌,一方面保证了令牌的唯一性,另一方面,又使得此令牌与数据请求端强相关,而最大限度地降低了其它数据请求端获得此令牌的可能性。
通过此方式,将保证了令牌的唯一性和随机性。
在一个示例性实施例中,所指的信息摘要运算,可以是MD5值的运算,也可以是其它运算,在此不进行限定。
在步骤315中,向数据请求端返回令牌。
其中,服务器在为数据请求端生成令牌之后,将向其返回此令牌,以供数据请求端在后续所进行的服务器访问中使用。
可以理解的,所部署的可以是服务器访问的数据请求端是相对固定的,因此,服务器将为每一数据请求端生成令牌,在数据请求端中存储生成的令牌,从而仅限于请求中携带了此令牌的数据请求端能够成功进行服务器的访问。
在一个示例性实施例中,步骤313之后,步骤310,还包括以下步骤:
以数据请求端的网络地址为索引,存储令牌以及令牌相关的有效时长、令牌生成时间。
其中,在通过图4对应实施例中的步骤313生成令牌之后,将进行令牌的存储,以便于实现后续所进行的令牌校验过程。
对于数据请求端,其是与自身的网络地址所唯一对应的。因此,可以对于所进行的令牌存储而言,可以以数据请求端的网络地址为索引进行存储。具体而言,以数据请求端的网络地址为key,令牌为value在数据库中进行存储。
进一步的,每一令牌,都有其所相关的有效时长和令牌生成时间,有效时长和令牌生成时间用于指示令牌的有效性。
在此,对于有效时长和令牌生成时间,也将随着令牌以数据请求端的网络地址为索引,进而服务器中的存储。
与之相对应的,图5是根据一示例性实施例示出的对步骤350的细节进行描述的流程图。该步骤350,如图5所示,可以包括以下步骤。
在步骤351中,根据数据请求端的网络地址,获取存储的令牌和有效时长、令牌生成时间。
其中,通过图3对应实施例中的步骤330接收到访问请求之后,触发进行请求访问的网络地址携带的令牌的校验过程。
此时,将首先根据数据请求端的网络地址,在数据库中进行令牌、有效时长和令牌生成时间的查找,以得到以此网络地址为索引而存储的令牌、有效时长和令牌生成时间。
在步骤353中,判断访问请求中携带的令牌与存储的令牌是否一致,若为是,则进入步骤355,若为否,则进入步骤359。
其中,对访问请求中携带的令牌进行一致性判断。如前所述的,所存储的令牌,是服务器为数据请求端生成的,在访问请求中携带的令牌与此令牌不相一致,则拒绝该访问请求,说明数据请求端不具备服务器的访问权限。
在步骤355中,根据有效时长和令牌生成时间进一步判断令牌是否有效,若为是,则执行步骤357,若为否,则执行步骤359。
其中,在确认访问请求中携带的令牌与存储的令牌相一致之后,将根据有效时长和令牌生成时间判断此令牌是否仍然有效。
有效时长用于指示令牌有效的时间长度。根据有效时长和令牌生成时间即可确定令牌是否已经超时。
具体而言,根据有效时长和令牌生成时间确定令牌的时间临界值,判断当前时间是否超出了时间临界值,若已超出时间临界值,则判定令牌超时,拒绝数据请求端所请求的服务器访问。
若当前时间未超出时间临界值,则校验通过,可执行数据请求端通过发起访问请求而请求执行的操作。
在步骤357中,根据访问请求执行数据请求端请求的操作。
在步骤359中,拒绝所述访问请求。
通过如上所述的过程,为服务器中进行的校验提供了具体实现,对于任意数据请求端所发起的访问请求,都将在对访问请求中携带的令牌进行校验之后,方可执行数据请求端请求的操作。
图6是根据一示例性实施例示出的一种实现服务器访问的方法。步骤310之前,如图6所示,该实现服务器访问的方法,还包括以下步骤。
在步骤410中,接收数据请求端发起的初始访问请求,初始访问请求中请求访问的网络地址未携带令牌。
在步骤430中,根据初始访问请求为数据请求端生成唯一标识,通过唯一标识使用服务器自身部署的公钥和数据请求端部署的私钥进行身份验证。
若数据请求端的身份验证通过,则执行步骤310。
其中,初始访问请求,用于数据请求端为实现自身对服务器的访问而向服务器请求令牌。因此,初始访问请求中,请求访问的网络地址并未携带令牌。
对于数据请求终端而言,如果需要进行服务器访问,则根据服务器的网络地址发起初始访问请求。
另一方面,如前所述的,数据请求端所获得的令牌,将对应了一定的有效时长。
数据请求端所存储的令牌,如果已经超时,则需要重建发起初始访问请求,以向服务器请求新的令牌。
服务器在接收到数据请求端发起的初始访问请求之后,将根据初始访问请求生成唯一标识,一方面,将向数据请求端返回唯一标识,以发起使用服务器自身部署的公钥和数据请求端部署的私钥进行身份验证的过程;另一方面,将此唯一标识存储于服务器顺,以实现服务器自身部署的公钥的身份验证过程。
首先需要说明的是,由于部署的服务器和数据请求端均是相对固定的,因此,将预先在服务器中部署了公钥,在数据请求端中部署了私钥。
进一步的,为保证身份验证过程的实现效率和准确性,随着唯一标识的生成,还将为数据请求端分配访问权限标识。
此时,将向数据请求端返回唯一标识和访问权限标识,并且在服务器中以访问权限标识为索引,进行唯一标识的存储。
在向数据请求端返回唯一标识和访问权限标识之后,服务器将接收数据请求端返回的身份验证请求,身份验证请求中网络地址携带有加密字符和访问权限标识。
需要说明的是,加密字符是数据请求端使用自身部署的私钥加密唯一标识所得到的。
服务器一方面使用自身部署的公钥解析身份验证请求中的加密字符得到解密字符;另一方面根据身份验证请求中的访问权限标识,查找存储的唯一标识。
判断解密字符是否与查找的唯一标识相一致,,若为是,则执行图3对应实施例中的步骤310,若为否,则向数据请求端返回身份验证出错信息。
也就是说,服务器仅为身份验证通过的数据请求端生成令牌,进而仅为身份验证通过的数据请求端提供服务器访问服务,由此,进一步保障了服务器的数据交互安全。
图7是根据一示例性实施例示出的一种实现服务器访问的方法的流程图。该实现服务器访问的方法,用于图1所示实施环境的数据请求端130。如图7所示,该实现服务器访问的方法,可以包括以下步骤。
在步骤510中,确定有效的令牌,将令牌拼装至请求访问的网络地址。
其中,数据请求端中,令牌是服务器所生成并返回的,因此,为适应于数据请求端随时所进行的服务器访问过程,将对令牌、令牌的有效时长和令牌接收时间进行存储。
因此,可以根据有效时长和令牌接收时间来确定数据请求端中有效的令牌,并将令牌拼装至请求访问的网络地址。例如,令牌$token拼装在请求访问的服务器B的网络地址,即可得到:$url=http:ip(B)/B/B/api.php?token=$token。
在步骤530中,根据拼装令牌的网络地址向服务器发起访问请求,访问请求中请求访问的网络地址携带令牌。
其中,通过拼装令牌的网络地址,向服务器发起访问请求,以发起服务器中令牌的校验过程。
在步骤550中,接收服务器校验令牌后响应访问请求而返回的数据。
其中,数据请求端在向服务器发起访问请求之后,在服务器中令牌的校验通过之后,将接收到服务器响应访问请求所返回的数据。
也就是说,对于数据请求端所发起的访问请求,只有在服务器中令牌的校验通过,方可得到请求的数据。
通过如上所述的过程,为数据请求端和服务器之间的数据交互提供了保护机制,对于数据请求端所发起的服务器访问而言,仍然仅需要一次交互,即将令牌嵌入访问请求中,而并不会由于安全性的原因而增加数据请求端和服务器之间的交互次数。
图8是根据一示例性实施例示出的一种实现服务器访问的方法的流程图。该实现服务器访问的方法,如图8所示,步骤510之前,还可以包括以下步骤。
在步骤610中,向服务器发起初始访问请求。
其中,初始访问请求中未携带令牌,而仅携带了请求访问的网络地址,即服务器所对应的网络地址。
如前所述的,初始访问请求用于实现数据请求端向服务器请求令牌,因此,初始访问请求是数据请求端中没有有效的令牌时向服务器所发起的。
可以理解的,对于没有有效令牌的数据请求端,其直接根据请求访问的网络地址向服务器发起请求,该请求即为初始访问请求。
在步骤630中,接收服务器响应初始访问请求返回的唯一标识,通过唯一标识使用自身部署的私钥和服务器部署的公钥进行身份验证。
其中,发起初始访问请求的数据请求端,将会接收到服务器返回的唯一标识,该唯一标识用于进行数据请求端和服务器之间的身份验证。
对于服务器而言,若数据请求端是与服务器相应部署的,可与服务器进行数据交互的数据请求端,则此数据请求端中必然部署了私钥,而服务器则部署了与此私钥相对应的公钥。
数据请求端使用私钥对唯一标识进行加密,并将加密字符传输至服务器,此时,服务器使用公钥解析加密字符得到解密字符,进而判断解密字符与唯一标识是否一致,若为是,则数据请求端和服务器之间的身份验证通过,则可确认数据请求端即为部署了与服务器进行数据交互的数据请求端。
若解密字符与唯一标识不相一致,则数据请求端并不是部署了与服务器进行数据交互的数据请求端。
在步骤650中,若身份验证通过,接收服务器返回的令牌和令牌的有效时长,并获取对应的令牌接收时间。
其中,在身份验证通过之后,服务器便为数据请求端生成令牌,并为此令牌配置有效时长。
在步骤670中,存储令牌和令牌的有效时长、令牌接收时间。
其中,对于所进行的令牌、令牌的有效时长和令牌接收时间的存储,可通过文本文件实现,例如,txt格式的文件。具体而言,将令牌、令牌的有效时长和令牌接收时间写入文本文件。
通过如上所述的过程,为数据请求端中令牌的获得提供了具体实现,在此具体实现中,对数据请求端进行了身份验证,进而保证服务器访问的实现是在部署的数据请求端中进行,由此,使得其它数据请求端不能进行服务器访问。
图9是根据一示例性实施例示出的对应步骤510的细节进行描述的流程图。该步骤510,如图9所示,可以包括以下步骤。
在步骤511中,根据令牌的有效时长和令牌接收时间确定令牌的有效期临界时间。
其中,数据接收端在需要进行服务器访问时,将根据存储的有效时长和令牌接收时间确定令牌的有效期临界时间,即令牌接收时间加上有效时长。
在步骤513中,比对有效临界时间和当前时间,确定当前时间未超出有效临界时间的令牌。
其中,比对当前时间是否已经超出有效临界时间,如果当前时间并未超出有效临界时间,则确定对应的令牌即为有效的令牌。
在步骤515中,将令牌拼装于请求访问的网络地址末端。
通过如上所述的过程,为数据请求端中实现了网络地址中令牌的拼装,由此使得后续所发起的访问请求携带令牌,进而通过数据交互发送至服务器中,以实现服务器中的校验,达到保障数据交互安全的目的。
以该数据请求端为服务器A,前述所指的服务器为服务器B为例,结合具体应用场景,描述该实现服务器访问的方法。
首先需要说明的是,服务器A需要通过网络地址与服务器B进行交互,即服务器A通过请求服务器B的网络地址,比如,$url=http://ip(B)/B/B/api.php,来获得服务器B返回的数据或者操作服务器B的数据库。
为保证服务器A和服务器B之间数据交互的安全性,对于所实现的服务器访问,分为两大部分,一是生成令牌的过程,二是通过产生的令牌拼装网络地址进行服务器A和服务器B之间数据交互的过程。
图10是根据一示例性实施例示出的服务器A请求服务器B的流程图。如图10所示,服务器A起初并不存在用于访问服务器B的令牌,此时将直接发起初始访问请求,即服务器A请求服务器B,如步骤610所示。
服务器B将为服务器A生成唯一标识和访问权限标识,即执行步骤630,在生成唯一标识和访问权限标识之后,一方面,将执行步骤650,以访问权限标识为索引将唯一标识存入数据库中,另一方面,将执行步骤670,向服务器A返回唯一标识和访问权限标识。
图11是根据一示例性实施例示出的令牌生成的流程图。如图11所示,服务器A使用其部署的私钥,加密唯一标识得到加密字符$sig_private,即执行步骤710。
将加密字符$sig_private和访问权限标识拼装至服务器B的网络地址末端,通过拼装了加密字符$sig_private和访问权限标识的网络地址向服务器B发起请求,即执行步骤720。
服务器B通过服务器A发起的请求,获得加密字符$sig_private和访问权限标识,执行步骤730,使用部署的公钥解析加密字符$sig_private得到解密字符$sig_public。
服务器B根据获得的访问权限标识从数据库获取唯一标识,即执行步骤740,在此之后,执行步骤750,比较唯一标识和解密字符$sig_public,在二者相同时生成令牌$token,即执行步骤760,在二者不相同时向服务器B返回校验错误的信息。
对于所生成的令牌$token,一方面,将其以服务器A的网络地址为索引,存储至数据库中,即执行步骤780;另一方面,执行步骤790,向服务器A返回令牌$token。
至此,即完成了服务器访问的第一大部分,生成令牌的过程。
图12是根据一示例性实施例示出的通过产生的令牌拼装网络地址进行服务器A和服务器B之间数据交互的流程图。如图12所示,服务器A将通过令牌token请求服务器B,即首先执行步骤810。
此时,服务器B将执行步骤820,根据服务器A的网络地址从数据库中获取令牌token,在步骤830中比较上述两令牌token是否相等,如果不相等,则向服务器A返回校验错误的信息。
如果相等,则进一步判断是否超时,如果不超时,则校验通过,此时,即可实现服务器A对服务器B的访问。在此过程中,由于令牌具备时效性,因此,即便其它服务器并无法在较短时间内破获得到拼装了令牌的网络地址,进而为服务器A和服务器B之间的数据交互提供了很大的安全性。
下述为本公开装置实施例,可以用于执行本公开上述实现服务器访问的方法实施例。对本公开装置实施例中实现服务器访问的装置未被披露的细节,请参照本公开实现服务器访问的方法实施例。
图13是根据一示例性实施例示出的一种实现服务器访问的装置的框图。该实现服务器访问的装置,如图13所示,包括但不限于:令牌生成模块910、访问请求接收模块930和访问请求处理模块950。
令牌生成模块910,用于根据数据请求端进行数据交互的属性信息生成令牌,向数据请求端返回令牌。
访问请求接收模块930,用于接收数据请求端通过令牌发起的访问请求,访问请求中请求访问的网络地址携带令牌。
访问请求处理模块950,用于校验请求访问的网络地址携带的令牌,若令牌校验通过,则根据访问请求执行数据请求端请求的操作。
图14是根据一示例性实施例示出的对令牌生成模块910的细节进行描述的框图。该令牌生成模块910,可以包括但不限于:获取单元911、信息摘要运算单元913和令牌返回单元915。
获取单元911,用于获取数据请求端进行数据交互的属性信息以及为数据请求端生成的唯一标识。
信息摘要运算单元913,用于对属性信息和唯一标识进行信息摘要运算,为数据请求端生成令牌。
令牌返回单元915,用于向数据请求端返回令牌。
在一个示例性实施例中,信息生成模块910还令牌存储单元。该令牌存储单元用于以所述数据请求端的网络地址为索引,存储令牌以及令牌相关的有效时长、令牌生成时间。
图15是根据一示例性实施例示出的对访问请求处理模块950的细节进行描述的框图。该访问请求处理模块950,如图15所示,可以包括但不限于:查找单元951、令牌判断单元953、有效性判断单元955和操作执行单元957。
查找单元951,用于根据数据请求端的网络地址,获取存储的令牌和有效时长、令牌生成时间。
令牌判断单元953,用于判断访问请求中携带的令牌与存储的令牌是否一致,若为是,则通知有效性判断单元955,若为否,则拒绝访问请求。
所述有效性判断单元955用于根据有效时长和令牌生成时间进一步判断令牌是否有效。
操作执行单元957,用于若令牌有效,则根据访问请求执行数据请求端请求的操作。
可选的,本公开还提供一种服务器,该服务器可以用于图1所示实施环境中,执行图3、图4、图5、图6、图7、图8和图9任一所示的实现服务器访问的方法的全部或者部分步骤。所述装置包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行:
根据数据请求端进行数据交互的属性信息生成令牌,向所述数据请求端返回所述令牌;
接收所述数据请求端通过所述令牌发起的访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
校验所述请求访问的网络地址携带的令牌,若所述令牌校验通过,则根据所述访问请求执行所述数据请求端请求的操作。
该实施例中的装置的处理器执行操作的具体方式已经在有关该实现服务器访问的方法的实施例中执行了详细描述,此处将不做详细阐述说明。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围执行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (9)
1.一种实现服务器访问的方法,其特征在于,所述方法包括:
接收数据请求端发起的初始访问请求,所述初始访问请求中请求访问的网络地址未携带令牌;
根据所述初始访问请求为所述数据请求端生成唯一标识,通过所述唯一标识使用服务器自身部署的公钥和数据请求端部署的私钥进行身份验证;
若所述数据请求端的身份验证通过,根据数据请求端进行数据交互的属性信息生成令牌,向所述数据请求端返回所述令牌;
接收所述数据请求端通过所述令牌发起的访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
校验所述请求访问的网络地址携带的令牌,若所述令牌校验通过,则根据所述访问请求执行所述数据请求端请求的操作。
2.根据权利要求1所述的方法,其特征在于,所述根据数据请求端进行数据交互的属性信息生成令牌,向所述数据请求端返回所述令牌,包括:
获取所述数据请求端进行数据交互的属性信息以及为所述数据请求端生成的唯一标识;
对所述属性信息和唯一标识进行信息摘要运算,为所述数据请求端生成令牌;
向所述数据请求端返回所述令牌。
3.根据权利要求1所述的方法,其特征在于,所述根据数据请求端进行数据交互的属性信息生成令牌,向所述数据请求返回所述令牌,还包括:
以所述数据请求端的网络地址为索引,存储所述令牌以及所述令牌相关的有效时长、令牌生成时间;
所述校验所述访问请求中携带的令牌,若所述令牌校验通过,则根据所述访问请求执行所述数据请求端请求的操作,包括:
根据所述数据请求端的网络地址,获取存储的令牌和有效时长、令牌生成时间;
判断所述访问请求中携带的令牌与所述存储的令牌是否一致,若为是,则根据所述有效时长和令牌生成时间进一步判断所述令牌是否有效;
若所述令牌有效,则根据所述访问请求执行所述数据请求端请求的操作。
4.一种实现服务器访问的方法,其特征在于,所述方法包括:
向所述服务器发起初始访问请求;
接收所述服务器响应所述初始访问请求返回的唯一标识,通过所述唯一标识使用自身部署的私钥和服务器部署的公钥进行身份验证;
若所述身份验证通过,接收所述服务器返回的令牌和所述令牌的有效时长,并获取所对应的令牌接收时间;
存储令牌和所述令牌的有效时长、令牌接收时间;
确定有效的令牌,将所述令牌拼装至请求访问的网络地址;
根据拼装所述令牌的网络地址向服务器发起访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
接收所述服务器校验所述令牌后响应所述访问请求而返回的数据。
5.根据权利要求4所述的方法,其特征在于,所述确定有效的令牌,将所述令牌拼装至请求访问的网络地址,包括:
根据所述令牌的有效时长和令牌接收时间确定所述令牌的有效期临界时间;
比对所述有效临界时间和当前时间,确定当前时间未超出所述有效临界时间的令牌;
将所述令牌拼装于请求访问的网络地址末端。
6.一种实现服务器访问的装置,其特征在于,所述装置被配置执行:
接收数据请求端发起的初始访问请求,所述初始访问请求中请求访问的网络地址未携带令牌;
根据所述初始访问请求为所述数据请求端生成唯一标识,通过所述唯一标识使用服务器自身部署的公钥和数据请求端部署的私钥进行身份验证;
所述装置包括:
令牌生成模块,用于若所述数据请求端的身份验证通过,根据数据请求端进行数据交互的属性信息生成令牌,向所述数据请求端返回所述令牌;
访问请求接收模块,用于接收所述数据请求端通过所述令牌发起的访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
访问请求处理模块,用于校验所述请求访问的网络地址携带的令牌,若所述令牌校验通过,则根据所述访问请求执行所述数据请求端请求的操作。
7.根据权利要求6所述的装置,其特征在于,所述令牌生成模块包括:
获取单元,用于获取所述数据请求端进行数据交互的属性信息以及为所述数据请求端生成的唯一标识;
信息摘要运算单元,用于对所述属性信息和唯一标识进行信息摘要运算,为所述数据请求端生成令牌;
令牌返回单元,用于向所述数据请求端返回所述令牌。
8.根据权利要求6所述的装置,其特征在于,所述令牌生成模块还包括:
令牌存储单元,用于以所述数据请求端的网络地址为索引,存储所述令牌以及所述令牌相关的有效时长、令牌生成时间;
所述访问请求处理模块包括:
查找单元,用于根据所述数据请求端的网络地址,获取存储的令牌和有效时长、令牌生成时间;
令牌判断单元,用于判断所述访问请求中携带的令牌与所述存储的令牌是否一致,若为是,则通知有效性判断单元;
所述有效性判断单元用于根据所述有效时长和令牌生成时间进一步判断所述令牌是否有效;
操作执行单元,用于若所述令牌有效,则根据所述访问请求执行所述数据请求端请求的操作。
9.一种实现服务器访问的装置,其特征在于,所述装置被配置执行:
向所述服务器发起初始访问请求;
接收所述服务器响应所述初始访问请求返回的唯一标识,通过所述唯一标识使用自身部署的私钥和服务器部署的公钥进行身份验证;
若所述身份验证通过,接收所述服务器返回的令牌和所述令牌的有效时长,并获取所对应的令牌接收时间;
存储令牌和所述令牌的有效时长、令牌接收时间;
所述装置包括:
令牌拼装模块,用于确定有效的令牌,将所述令牌拼装至请求访问的网络地址;
访问请求发起模块,用于根据拼装所述令牌的网络地址向服务器发起访问请求,所述访问请求中请求访问的网络地址携带所述令牌;
数据接收模块,用于接收所述服务器校验所述令牌后响应所述访问请求而返回的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610908976.8A CN106302546B (zh) | 2016-10-18 | 2016-10-18 | 实现服务器访问的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610908976.8A CN106302546B (zh) | 2016-10-18 | 2016-10-18 | 实现服务器访问的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106302546A CN106302546A (zh) | 2017-01-04 |
| CN106302546B true CN106302546B (zh) | 2019-09-13 |
Family
ID=57719164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610908976.8A Active CN106302546B (zh) | 2016-10-18 | 2016-10-18 | 实现服务器访问的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106302546B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850592B (zh) * | 2017-01-13 | 2018-11-16 | 咪咕视讯科技有限公司 | 一种信息处理方法、服务器及终端 |
| CN106656514B (zh) * | 2017-03-02 | 2019-05-31 | 北京搜狐新媒体信息技术有限公司 | kerberos认证集群访问方法、SparkStandalone集群及其驱动节点 |
| CN109561123B (zh) * | 2017-09-27 | 2022-02-22 | 北京国双科技有限公司 | 令牌token的缓存方法及装置 |
| CN107645512A (zh) * | 2017-10-20 | 2018-01-30 | 国信嘉宁数据技术有限公司 | 一种身份验证的方法、装置及服务器 |
| CN108337258A (zh) * | 2018-01-31 | 2018-07-27 | 中电福富信息科技有限公司 | 一种基于远程执行码的远程控制车辆的方法 |
| CN108809991A (zh) * | 2018-06-15 | 2018-11-13 | 北京云枢网络科技有限公司 | 一种基于sdk动态水印的客户端合法性校验的方法 |
| CN111130789B (zh) * | 2018-10-30 | 2022-06-24 | 千寻位置网络有限公司 | 数据的交互方法及装置、数据控制中心 |
| CN109450910B (zh) * | 2018-11-26 | 2021-03-30 | 远光软件股份有限公司 | 基于区块链的数据共享方法、数据共享网络及电子设备 |
| CN111385279A (zh) * | 2018-12-28 | 2020-07-07 | 深圳市优必选科技有限公司 | 业务访问的权限系统和方法 |
| CN109831435B (zh) * | 2019-01-31 | 2021-06-01 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
| CN111447228A (zh) * | 2020-03-27 | 2020-07-24 | 四川虹美智能科技有限公司 | 智能家电访问请求处理方法及系统、云服务器及智能空调 |
| CN111478923A (zh) * | 2020-04-28 | 2020-07-31 | 华为技术有限公司 | 访问请求的响应方法、装置和电子设备 |
| CN111737752B (zh) * | 2020-07-23 | 2021-02-26 | 杭州海康威视数字技术股份有限公司 | 监控数据访问控制方法、装置及设备、存储介质 |
| CN113778389A (zh) * | 2020-09-23 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 接口幂等判断方法、装置、设备及存储介质 |
| CN112583600B (zh) * | 2020-11-26 | 2022-11-18 | 平安普惠企业管理有限公司 | 用户鉴权的方法、装置、电子设备及介质 |
| CN112910915A (zh) * | 2021-02-19 | 2021-06-04 | 北京中宇万通科技股份有限公司 | 可信连接认证方法、装置、设备和计算机可读存储介质 |
| CN113407605A (zh) * | 2021-05-21 | 2021-09-17 | 上汽通用五菱汽车股份有限公司 | 数据库交互方法、系统及可读存储介质 |
| CN113268287A (zh) * | 2021-07-14 | 2021-08-17 | 浙江口碑网络技术有限公司 | 基于图形码的小程序启动方法及装置 |
| CN113572759B (zh) * | 2021-07-21 | 2023-05-23 | 华控清交信息科技(北京)有限公司 | 一种数据管理方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1922845A (zh) * | 2004-02-23 | 2007-02-28 | 弗里塞恩公司 | 令牌验证系统和方法 |
| CN105245501A (zh) * | 2015-09-01 | 2016-01-13 | Tcl集团股份有限公司 | 一种集中权限数据的分布式权限验证方法及系统 |
| CN105592083A (zh) * | 2015-12-18 | 2016-05-18 | 北京奇虎科技有限公司 | 终端利用令牌访问服务器的方法和装置 |
-
2016
- 2016-10-18 CN CN201610908976.8A patent/CN106302546B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1922845A (zh) * | 2004-02-23 | 2007-02-28 | 弗里塞恩公司 | 令牌验证系统和方法 |
| CN105245501A (zh) * | 2015-09-01 | 2016-01-13 | Tcl集团股份有限公司 | 一种集中权限数据的分布式权限验证方法及系统 |
| CN105592083A (zh) * | 2015-12-18 | 2016-05-18 | 北京奇虎科技有限公司 | 终端利用令牌访问服务器的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106302546A (zh) | 2017-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106302546B (zh) | 实现服务器访问的方法和装置 | |
| Li et al. | Security issues in OAuth 2.0 SSO implementations | |
| Chen et al. | Oauth demystified for mobile application developers | |
| Li et al. | Analysing the Security of Google’s implementation of OpenID Connect | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| CN104113552A (zh) | 一种平台授权方法、平台服务端及应用客户端和系统 | |
| KR101744747B1 (ko) | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 | |
| CN105450637A (zh) | 多个应用系统的单点登录方法及装置 | |
| CN106060078B (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
| CN104158802A (zh) | 一种平台授权方法、平台服务端及应用客户端和系统 | |
| EP3552131B1 (en) | Password security | |
| Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
| Tate et al. | Multi-user dynamic proofs of data possession using trusted hardware | |
| JPWO2019239591A1 (ja) | 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム | |
| CN106302606B (zh) | 一种跨应用访问方法及装置 | |
| CN105933315A (zh) | 一种网络服务安全通信方法、装置和系统 | |
| EP3206329A1 (en) | Security check method, device, terminal and server | |
| CN110324344A (zh) | 账号信息认证的方法及装置 | |
| CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 | |
| Vasileios Grammatopoulos et al. | A web tool for analyzing FIDO2/WebAuthn Requests and Responses | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN106161411B (zh) | 一种网页验证方法及装置 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| Angelogianni et al. | How many FIDO protocols are needed? Surveying the design, security and market perspectives | |
| CN107204959B (zh) | 验证码的验证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 266555 Qingdao economic and Technological Development Zone, Shandong, Hong Kong Road, No. 218 Patentee after: Hisense Video Technology Co.,Ltd. Address before: 266555 Qingdao economic and Technological Development Zone, Shandong, Hong Kong Road, No. 218 Patentee before: HISENSE ELECTRIC Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |