CN106549760A - 基于cookie的身份验证方法和装置 - Google Patents
基于cookie的身份验证方法和装置 Download PDFInfo
- Publication number
- CN106549760A CN106549760A CN201510591920.XA CN201510591920A CN106549760A CN 106549760 A CN106549760 A CN 106549760A CN 201510591920 A CN201510591920 A CN 201510591920A CN 106549760 A CN106549760 A CN 106549760A
- Authority
- CN
- China
- Prior art keywords
- cookie
- side algorithm
- end side
- terminal
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本申请提供一种基于cookie的身份验证方法,应用在服务器上,包括:基于终端的第一请求,向终端返回包括下发cookie的第一响应;接收终端包括上传cookie的第二请求;所述上传cookie由终端根据下发cookie和终端侧算法生成;按照服务器侧算法对上传cookie进行处理,确定上传cookie匹配于下发cookie时,第二请求通过身份验证;所述服务器侧算法与终端侧算法相同或相对应。通过本申请的技术方案,即使服务器的下发cookie被窃取,他人也难以利用下发cookie冒用终端的身份,提高了网络应用的安全性。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种基于cookie(暂存文件)的身份验证方法和装置。
背景技术
在B/S(Browser/Server,浏览器/服务器)模式的许多应用中,会话跟踪能够为用户带来很大的便利。例如,用户A在不同页面上购买的商品应该都放入用户A的购物车,这些都属于用户A的会话。而Web(网页)应用通常使用的http(HyperText Transfer Protocol,超文本传输协议)或https(HyperText Transfer Protocol over Secure Socket Layer,基于安全套接层的超文本传输协议)都是无状态的协议,服务器无法从连接上得知终端的身份。
服务器为每个终端生成一个cookie,发送给终端并保存在终端本地。在终端向服务器发起请求时会在http报文或https报文的头部携带该cookie,从而使服务器能够识别出发起请求的是哪个终端,服务器利用cookie可以解决同一个终端的会话跟踪问题。
随着移动设备和无线网络的普及和发展,终端所处的网络环境日渐复杂,各种网关、代理服务器都可以读取到用户的网络流量。一旦服务器发送给终端的cookie被窃取,他人就可以仿冒用户的身份、利用终端的登录状态进行非法操作,给用户造成损失。
发明内容
有鉴于此,本申请提供一种基于cookie的身份验证方法,应用在服务器上,包括:
基于终端的第一请求,向终端返回包括下发cookie的第一响应;
接收终端包括上传cookie的第二请求;所述上传cookie由终端根据下发cookie和终端侧算法生成;
按照服务器侧算法对上传cookie进行处理,确定上传cookie匹配于下发cookie时,第二请求通过身份验证;所述服务器侧算法与终端侧算法相同或相对应。
本申请提供的一种基于cookie的身份验证方法,应用在终端上,包括:
接收服务器对本终端第一请求回复的第一响应;所述第一响应中包括下发cookie;
根据终端侧算法和下发cookie生成上传cookie;
向服务器发送包括上传cookie的第二请求,供服务器根据下发cookie和与终端侧算法相同或相对应的服务器侧算法进行身份验证。
本申请还提供了一种基于cookie的身份验证装置,应用在服务器上,包括:
第一响应发送单元,用于基于终端的第一请求,向终端返回包括下发cookie的第一响应;
第二请求接收单元,用于接收终端包括上传cookie的第二请求;所述上传cookie由终端根据下发cookie和终端侧算法生成;
匹配单元,用于按照服务器侧算法对上传cookie进行处理,确定上传cookie匹配于下发cookie时,第二请求通过身份验证;所述服务器侧算法与终端侧算法相同或相对应。
本申请提供的一种基于cookie的身份验证装置,应用在终端上,包括:
第一响应接收单元,用于接收服务器对本终端第一请求回复的第一响应;所述第一响应中包括下发cookie;
上传cookie生成单元,用于根据终端侧算法和下发cookie生成上传cookie;
第二请求发送单元,用于向服务器发送包括上传cookie的第二请求,供服务器根据下发cookie和与终端侧算法相同或相对应的服务器侧算法进行身份验证。
由以上技术方案可见,本申请的实施例中,终端利用终端侧算法将服务器发送的下发cookie映射为上传cookie,在对服务器的请求中携带上传cookie,服务器通过与终端侧算法相同或相对应的服务器侧算法判定上传cookie是否与下发cookie相匹配,来进行对终端的身份验证。这样即使服务器的下发cookie被窃取,他人也难以利用下发cookie冒用终端的身份,提高了网络应用的安全性。
附图说明
图1是本申请实施例中一种应用在服务器上的基于cookie的身份验证方法的流程图;
图2是本申请实施例中一种应用在终端上的基于cookie的身份验证方法的流程图;
图3是本申请应用示例中一种终端与服务器之间的交互流程示意图;
图4是终端或服务器的一种硬件结构图;
图5是本申请实施例中一种应用在服务器上的基于cookie的身份验证装置的逻辑结构图;
图6是本申请实施例中一种应用在终端上的基于cookie的身份验证装置的逻辑结构图。
具体实施方式
cookie通常存在于http请求的头部,采用“名/值”对的形式来保存至少一个字段的名称和值。cookie中通常包括用户(user)字段和失效时间字段,其中,用户字段是终端在下发cookie的服务器上的唯一标识,用来代表该终端;失效时间字段决定了该cookie的有效期,有效期结束时该cookie从终端本地被删除。
现有技术中,在本地保存的cookie的有效期内,终端在每次向服务器发送请求时携带该cookie,以使服务器能够辨识终端的身份。如果他人窃取了服务器发送给终端的cookie,则在该cookie的有效期内都可以利用该cookie对该服务器冒用终端的身份,带来极大的安全隐患。
本申请的实施例提出一种新的基于cookie的身份验证方法来解决上述问题。在本申请的实施例中,服务器和终端包括任何以请求/响应方式来进行交互的服务端节点和客户端节点,其中服务端节点可以是一个物理或逻辑的设备,也可以是由两个或两个以上分担不同职责的物理或逻辑设备、相互协同来实现本申请实施例中服务器的各项功能;客户端节点可以是使用cookie的浏览器或使用cookie的其他客户端程序所在的手机、平板电脑、PC(PersonalComputer,个人电脑)、笔记本等具有运算功能的设备。
本申请的实施例中,基于cookie的身份验证方法在服务器上的流程如图1所示,在终端上的流程如图2所示。
在服务器上,步骤110,基于终端的第一请求,向终端返回包括下发cookie的第一响应。
在终端上,步骤210,接收服务器对本终端第一请求回复的第一响应;所述第一响应中包括下发cookie。
当服务器收到终端的第一请求,如果该请求属于需要进行会话跟踪的请求并且该请求中不带有cookie的话,可以为该终端生成下发cookie,并在对第一请求的第一响应中返回给终端。
此外,如果服务器希望更新终端的cookie时,也可以在收到终端带有cookie的第一请求后,将更新后新的下发cookie在对终端的第一响应中发送给终端。
服务器为终端生成下发cookie的方式、和在响应中向终端发送下发cookie的方式请参照现有技术,不再赘述。
在终端上,步骤220,根据终端侧算法和下发cookie生成上传cookie。
终端收到服务器的第一响应后,从中提取下发cookie,以下发cookie作为输入,来应用终端侧算法得到上传cookie。上传cookie用来由终端在第一请求之后的其他请求中携带给服务器,供服务器根据服务器侧算法和该终端的下发cookie来对该终端进行身份验证,服务器侧算法与终端侧算法相同或相对应。
可以将整个下发cookie作为终端侧算法的输入,输出则为上传cookie。例如,终端可以将下发cookie以加密算法进行加密后,将密文作为上传cookie;服务器侧算法则采用对应的解密算法。
可以采用下发cookie中的一个字段到多个字段来分别作为终端侧算法的输入,并将每个字段的输出来作为上传cookie中对应的字段;例如,将下发cookie的用户字段输入终端侧算法,得到上传cookie中的用户字段。也可以将下发cookie中的一个特定字段和至少一个其他字段来作为终端侧算法的输入,将输出作为上传cookie中的该特定字段;例如,将下发cookie中的用户字段和失效时间字段输入终端侧算法,得到上传cookie中的用户字段。上传cookie中每个字段都可以与下发cookie中的对应字段不同,也可以有部分字段与下发cookie中对应的字段相同。此外,还可以将终端本地的特征信息(如浏览器特征值、操作系统名称、时间、时区、语言等中的一个到多个)同下发cookie中的字段一起作为终端侧算法的输入,来得到上传cookie;上传cookie中的至少一个字段可以是由下发cookie中对应的字段和终端本地的特征信息采用终端侧算法计算得出,也可以是由下发cookie中对应的字段、下发cookie中的其他字段和终端本地的特征信息采用终端侧算法计算得出。
可以采用各种能够使得下发cookie和上传cookie具有映射关系的算法来作为终端侧算法。根据具体算法的不同,可以采用与终端侧算法相同或者相对应的算法来作为服务器侧算法,以验证下发cookie与上传cookie之间的映射关系是否正确。
一种实现方式中,可以采用相同或相对应的加密算法和解密算法分别作为终端侧算法和服务器侧算法,如采用相同的哈希算法或MD5(Message-Digest Algorithm 5,信息-摘要算法5)算法来作为终端侧算法和服务器侧算法。终端采用加密算法对下发cookie或下发cookie中的一个到多个字段进行加密生成上传cookie,服务器采用与终端侧加密算法对应的解密算法,将上传cookie或上传cookie中的加密字段解密,如果解密后的上传cookie与服务器发送给终端的下发cookie相同,则认为该上传cookie匹配于下发cookie。
另一种实现方式中,终端侧算法可以是在某个字段后以某种格式添加当前时刻的值,而服务器侧算法则当上传cookie的该字段后添加了符合格式要求的时刻,并且该时刻处于对应的下发cookie的有效期内时,认为该上传cookie匹配与该下发cookie。
本申请的实施例中对终端侧算法和服务器侧算法、应用于终端侧算法和服务器算法的字段均不做限定。
根据实际应用场景的不同,可以采用多种方式来确定所采用的终端侧算法。例如,可以在终端上预存一种参数值固定的终端侧算法,这样,对服务器在第一响应中返回的每个下发cookie,都在终端上进行同样的映射变换来得到上传cookie。
此外,还可以采用动态变化的终端侧算法来进行下发cookie到上传cookie的映射,以进一步增加网络应用的安全性。所采用终端侧算法可以由服务器指定,例如由服务器在第一响应中将终端侧算法和下发cookie一并发送给终端。服务器也可以在第一响应中将用于确定终端侧算法的变量值和下发cookie发送给终端,例如在一种实现方式中,可以在终端上预存若干个参数值固定的终端侧算法,服务器以某个终端侧算法的标识(如序号)作为用于确定终端侧算法的变量值,第一响应中发送给终端;再如在另一种实现方式中,可以在终端上预存一个参数值待定的终端侧算法,服务器以具体的参数值作为用于确定终端侧算法的变量值,在第一响应中发送给终端,终端根据这个或这些变量值来确定终端侧算法;还可以结合上述两种实现方式,即在终端上预存若干个参数值待定的终端侧算法,服务器通过在第一响应中指定采用哪个终端侧算法以及应用于该终端侧算法的参数值,来指定某个终端采用的终端侧算法。
在终端上,步骤230,向服务器发送包括上传cookie的第二请求,供服务器根据下发cookie和和服务器侧算法进行身份验证。
在服务器上,步骤120,接收终端包括上传cookie的第二请求;上传cookie由终端根据下发cookie和终端侧算法生成。
终端在收到第一响应之后对服务器进行下一次请求(即第二请求)时,将根据终端侧算法和下发cookie生成的上传cookie封装在第二请求中,发送给服务器。由于上传cookie不同于下发cookie,即使他人通过监听服务器响应盗取了下发cookie,也不能利用所盗取的下发cookie冒用终端的身份。
在服务器上,步骤130,按照服务器侧算法对上传cookie进行处理,确定上传cookie匹配于下发cookie时,第二请求通过身份验证。
服务器收到终端携带有上传cookie的第二请求,从中提取上传cookie,按照与该终端的终端侧算法相同或相对应的服务器侧算法对上传cookie进行处理,来检验该终端的下发cookie与上传cookie是否匹配,如果匹配则认为第二请求来自该终端,并作为该终端的后续会话来进行业务处理。
当采用动态变化的终端侧算法时,服务器可能需要记录终端与所采用的终端侧算法、或者终端与用于确定终端侧算法的变量值的对应关系,以便能够应用相同或相对应的服务器侧算法来进行身份验证。
现有技术中,当服务器返回的响应中携带有cookie时,终端会将cookie保存到本地,并在该cookie的有效期内在向服务器发起的请求中携带该cookie。本申请的实施例中,可以参照现有技术中的机制,终端在收到服务器返回的带有下发cookie的响应后,应用终端侧算法得到上传cookie并保存到本地,在该上传cookie的有效期(即下发cookie的有效期)内使用该上传cookie发起请求。当上传cookie多次使用时,如果他人通过监听终端的请求盗取了该上传cookie,仍存在被他人冒用身份的可能性。
为了避免这种情况,可以采用以下两种方式:第一种是修改现有的cookie使用机制,在每次发起请求使用上传cookie后按照终端侧算法来更新上传cookie并保存,这种方式中终端侧算法或者以更新上传cookie的次数为参数,或者该算法本身能够使得迭代运算的结果每次都不同,而对应的,服务器上可能需要保存上传cookie的更新次数、或者上次使用的上传cookie;第二种是由服务器在给通过身份验证的终端的响应(例如对第二请求进行回复的第二响应)中携带新的下发cookie,终端在收到新的下发cookie后,根据终端侧算法和新的下发cookie生成新的上传cookie并保存,以用于下次对服务器的请求。这两种方式都可以使每次终端向服务器发送的请求中携带的上传cookie既不同于服务器响应中的下发cookie,也不同于其他请求中的上传cookie,每个上传cookie都只使用一次,即使被他人窃取,也无法利用窃取的cookie来进行身份冒用。
可见,本申请的实施例中,终端将服务器发送的下发cookie通过终端侧算法映射为上传cookie,并使用该上传cookie对服务器发起下一次请求,由服务器采用与终端侧算法相同或相对应的服务器侧算法来检验上传cookie与下发cookie匹配与否,以验证终端的身份。在服务器发送的下发cookie被窃取时,他人利用该下发cookie发起的请求不能通过服务器的身份验证,提高了网络应用的安全性。
在本申请的一个应用示例中,终端与服务器之间采用http协议进行请求和响应过程,服务器在对终端的响应中携带终端侧算法,供终端用以生成上传cookie。终端与服务器之间的交互流程如图3所示。
终端首次向服务器发送http请求,由于终端本地尚未保存有该服务器的cookie,因此首次http请求中不带有cookie。
服务器收到终端不带有cookie的首次http请求,为该终端生成下发cookie,并将下发cookie和终端侧算法封装在对首次http请求的http响应中返回至终端。假设服务器下发的终端侧算法为:将下发cookie中用户字段的字符串反转,并加上以“YYYYMMDD”格式表示的当前年月日信息来作为上传cookie的用户字段;对应的,在服务器上的服务器侧算法为:提取上传cookie中用户字段的最后8个字符转换为以“YYYYMMDD”格式表示的日期信息;如果将用户字段最后8个字符之前的部分字符串反转后与某个下发cookie中的用户字段一致,并且上传cookie中的日期信息在该下发cookie的有效期内,则认为第二请求由该用户字段对应的终端发送,第二请求通过身份认证。
终端在服务器的首次http请求中提取出下发cookie和终端侧算法,利用终端侧算法和下发cookie中的用户字段,结合当前日期生成上传cookie并保存。设下发cookie中用户字段为“zhangsan”、当前日期为2015年7月4日,则上传cookie中的用户字段为“nasgnahz20150704”,上传cookie中的其他字段与下发cookie一致。
终端向服务器发送第二次http请求,在http请求头部携带上传cookie。
服务器收到第二次http请求,截取上传cookie中用户字段后8个字符之前的字符串并将其反转,得到下发cookie中的用户字段。例如,上传cookie中用户字段为“nasgnahz20150704”,服务器可以得出下发cookie中用户字段为“zhangsan”,且该上传cookie的生成日期为2015年7月4日。服务器根据具有该用户字段的下发cookie的有效期,判断上传cookie中最后8个字符所代表的日期是否在该下发cookie的有效期内,如果在,则第二次http请求为该用户字段对应的终端发送的请求,通过身份认证,服务器进行所请求业务的处理;如果不在有效期内或者未找到具有该用户字段的下发cookie,则第二次http请求不能通过身份认证,为非法访问。
设终端发送的第二次http请求通过身份认证,服务器可以在对第二次http请求的第二次http响应中携带新的下发cookie和终端侧算法,这样,终端在第三次http请求中所携带的上传cookie将与第二次http请求中的不同,上传cookie与下发cookie不同并且上传cookie只使用一次,不论他人窃取的是下发cookie还是上传cookie,都不会造成身份冒用,极大的增加了用户的安全性。
与上述流程实现对应,本申请的实施例还提供了一种应用在服务器上的基于cookie的身份验证装置,和一种应用在终端上的基于cookie的身份验证装置。这两种装置均可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为逻辑意义上的装置,是通过终端或服务器的CPU(Central Process Unit,中央处理器)将对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,除了图4所示的CPU、内存以及非易失性存储器之外,基于cookie的身份验证装置所在的终端通常还包括用于进行无线信号收发的芯片等其他硬件,基于cookie的身份验证装置所在的服务器通常还包括用于实现网络通信功能的板卡等其他硬件。
图5所示为本实施例提供的一种基于cookie的身份验证装置,应用在服务器上,包括第一响应发送单元、第二请求接收单元和匹配单元,其中:第一响应发送单元用于基于终端的第一请求,向终端返回包括下发cookie的第一响应;第二请求接收单元用于接收终端包括上传cookie的第二请求;所述上传cookie由终端根据下发cookie和终端侧算法生成;匹配单元用于按照服务器侧算法对上传cookie进行处理,确定上传cookie匹配于下发cookie时,第二请求通过身份验证;所述服务器侧算法与终端侧算法相同或相对应。
可选的,所述第一请求中还包括终端侧算法,或用于确定终端侧算法的变量值。
可选的,所述终端侧算法预存在终端本地。
可选的,所述装置还包括第二响应发送单元,用于向通过身份验证的终端回复第二响应,所述第二响应中携带有新的下发cookie,供终端用以生成下次请求时携带的上传cookie。
可选的,所述上传cookie中的用户字段根据终端侧算法和下发cookie中的用户字段生成,或者根据终端侧算法、下发cookie中的用户字段和其他字段生成,或者根据终端侧算法、下发cookie中的用户字段和终端本地的特征信息生成。
图6所示为本实施例提供的一种基于cookie的身份验证装置,应用在终端上,包括第一响应接收单元、上传cookie生成单元和第二请求发送单元,其中:第一响应接收单元用于接收服务器对本终端第一请求回复的第一响应;所述第一响应中包括下发cookie;上传cookie生成单元用于根据终端侧算法和下发cookie生成上传cookie;第二请求发送单元用于向服务器发送包括上传cookie的第二请求,供服务器根据下发cookie和与终端侧算法相同或相对应的服务器侧算法进行身份验证。
可选的,所述第一请求中还包括终端侧算法,或用于确定终端侧算法的参数值。
可选的,所述终端侧算法预存在本终端上。
可选的,所述装置还包括:第二响应接收单元,用于接收服务器返回的第二响应,所述第二响应中包括新的下发cookie;所述新的下发cookie由上传cookie生成单元根据终端侧算法和新的下发cookie生成新的上传cookie,用于下次对服务器的请求。
可选的,所述上传cookie生成单元具体用于:根据终端侧算法和下发cookie中的用户字段,或者根据终端侧算法、下发cookie中的用户字段和其他字段,或者根据终端侧算法、下发cookie中的用户字段和终端本地的特征信息生成上传cookie中的用户字段。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (20)
1.一种基于暂存文件cookie的身份验证方法,应用在服务器上,其特征在于,包括:
基于终端的第一请求,向终端返回包括下发cookie的第一响应;
接收终端包括上传cookie的第二请求;所述上传cookie由终端根据下发cookie和终端侧算法生成;
按照服务器侧算法对上传cookie进行处理,确定上传cookie匹配于下发cookie时,第二请求通过身份验证;所述服务器侧算法与终端侧算法相同或相对应。
2.根据权利要求1所述的方法,其特征在于,所述第一请求中还包括终端侧算法,或用于确定终端侧算法的变量值。
3.根据权利要求1所述的方法,其特征在于,所述终端侧算法预存在终端本地。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:向通过身份验证的终端回复第二响应,所述第二响应中携带有新的下发cookie,供终端用以生成下次请求时携带的上传cookie。
5.根据权利要求1所述的方法,其特征在于,所述上传cookie中的用户字段根据终端侧算法和下发cookie中的用户字段生成,或者根据终端侧算法、下发cookie中的用户字段和其他字段生成,或者根据终端侧算法、下发cookie中的用户字段和终端本地的特征信息生成。
6.一种基于暂存文件cookie的身份验证方法,应用在终端上,其特征在于,包括:
接收服务器对本终端第一请求回复的第一响应;所述第一响应中包括下发cookie;
根据终端侧算法和下发cookie生成上传cookie;
向服务器发送包括上传cookie的第二请求,供服务器根据下发cookie和与终端侧算法相同或相对应的服务器侧算法进行身份验证。
7.根据权利要求6所述的方法,其特征在于,所述第一请求中还包括终端侧算法,或用于确定终端侧算法的参数值。
8.根据权利要求6所述的方法,其特征在于,所述终端侧算法预存在本终端上。
9.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收服务器返回的第二响应,所述第二响应中包括新的下发cookie;
根据终端侧算法和新的下发cookie生成新的上传cookie,用于下次对服务器的请求。
10.根据权利要求6所述的方法,其特征在于,所述根据终端侧算法和下发cookie生成上传cookie,包括:根据终端侧算法和下发cookie中的用户字段,或者根据终端侧算法、下发cookie中的用户字段和其他字段,或者根据终端侧算法、下发cookie中的用户字段和终端本地的特征信息生成上传cookie中的用户字段。
11.一种基于暂存文件cookie的身份验证装置,应用在服务器上,其特征在于,包括:
第一响应发送单元,用于基于终端的第一请求,向终端返回包括下发cookie的第一响应;
第二请求接收单元,用于接收终端包括上传cookie的第二请求;所述上传cookie由终端根据下发cookie和终端侧算法生成;
匹配单元,用于按照服务器侧算法对上传cookie进行处理,确定上传cookie匹配于下发cookie时,第二请求通过身份验证;所述服务器侧算法与终端侧算法相同或相对应。
12.根据权利要求11所述的装置,其特征在于,所述第一请求中还包括终端侧算法,或用于确定终端侧算法的变量值。
13.根据权利要求11所述的装置,其特征在于,所述终端侧算法预存在终端本地。
14.根据权利要求11所述的装置,其特征在于,所述装置还包括:第二响应发送单元,用于向通过身份验证的终端回复第二响应,所述第二响应中携带有新的下发cookie,供终端用以生成下次请求时携带的上传cookie。
15.根据权利要求11所述的装置,其特征在于,所述上传cookie中的用户字段根据终端侧算法和下发cookie中的用户字段生成,或者根据终端侧算法、下发cookie中的用户字段和其他字段生成,或者根据终端侧算法、下发cookie中的用户字段和终端本地的特征信息生成。
16.一种基于暂存文件cookie的身份验证装置,应用在终端上,其特征在于,包括:
第一响应接收单元,用于接收服务器对本终端第一请求回复的第一响应;所述第一响应中包括下发cookie;
上传cookie生成单元,用于根据终端侧算法和下发cookie生成上传cookie;
第二请求发送单元,用于向服务器发送包括上传cookie的第二请求,供服务器根据下发cookie和与终端侧算法相同或相对应的服务器侧算法进行身份验证。
17.根据权利要求16所述的装置,其特征在于,所述第一请求中还包括终端侧算法,或用于确定终端侧算法的参数值。
18.根据权利要求16所述的装置,其特征在于,所述终端侧算法预存在本终端上。
19.根据权利要求16所述的装置,其特征在于,所述装置还包括:第二响应接收单元,用于接收服务器返回的第二响应,所述第二响应中包括新的下发cookie;所述新的下发cookie由上传cookie生成单元根据终端侧算法和新的下发cookie生成新的上传cookie,用于下次对服务器的请求。
20.根据权利要求16所述的装置,其特征在于,所述上传cookie生成单元具体用于:根据终端侧算法和下发cookie中的用户字段,或者根据终端侧算法、下发cookie中的用户字段和其他字段,或者根据终端侧算法、下发cookie中的用户字段和终端本地的特征信息生成上传cookie中的用户字段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510591920.XA CN106549760A (zh) | 2015-09-16 | 2015-09-16 | 基于cookie的身份验证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510591920.XA CN106549760A (zh) | 2015-09-16 | 2015-09-16 | 基于cookie的身份验证方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106549760A true CN106549760A (zh) | 2017-03-29 |
Family
ID=58362581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510591920.XA Pending CN106549760A (zh) | 2015-09-16 | 2015-09-16 | 基于cookie的身份验证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106549760A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107197048A (zh) * | 2017-07-24 | 2017-09-22 | 无锡江南计算技术研究所 | 一种可复用的网络高效通信方法 |
| CN110445744A (zh) * | 2018-05-02 | 2019-11-12 | 阿里巴巴集团控股有限公司 | 一种数据处理方法及装置 |
| CN111859068A (zh) * | 2020-07-02 | 2020-10-30 | 中移(杭州)信息技术有限公司 | 报文跟踪方法、装置、服务器、存储介质 |
| CN113037702A (zh) * | 2020-12-16 | 2021-06-25 | 重庆扬成大数据科技有限公司 | 基于大数据分析农业工作人员登录系统安全工作方法 |
| CN115037743A (zh) * | 2021-03-05 | 2022-09-09 | Sap欧洲公司 | 云数据库操作中的租户用户管理 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| CN102387354A (zh) * | 2011-11-25 | 2012-03-21 | 中山大学 | 一种基于嵌入式Web服务器的视频监控系统 |
| CN103117897A (zh) * | 2013-01-25 | 2013-05-22 | 北京星网锐捷网络技术有限公司 | 一种检测包含Cookie信息的消息的方法及相关装置 |
| CN103475477A (zh) * | 2013-09-03 | 2013-12-25 | 深圳市共进电子股份有限公司 | 一种安全授权访问的方法 |
| CN104079611A (zh) * | 2013-03-29 | 2014-10-01 | 腾讯科技(深圳)有限公司 | 用于防止跨站点请求伪造的方法、相关装置及系统 |
| US20150149777A1 (en) * | 2013-11-22 | 2015-05-28 | Electronics And Telecommunications Research Institute | Mobile terminal, terminal and authentication method using security cookie |
-
2015
- 2015-09-16 CN CN201510591920.XA patent/CN106549760A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| CN102387354A (zh) * | 2011-11-25 | 2012-03-21 | 中山大学 | 一种基于嵌入式Web服务器的视频监控系统 |
| CN103117897A (zh) * | 2013-01-25 | 2013-05-22 | 北京星网锐捷网络技术有限公司 | 一种检测包含Cookie信息的消息的方法及相关装置 |
| CN104079611A (zh) * | 2013-03-29 | 2014-10-01 | 腾讯科技(深圳)有限公司 | 用于防止跨站点请求伪造的方法、相关装置及系统 |
| CN103475477A (zh) * | 2013-09-03 | 2013-12-25 | 深圳市共进电子股份有限公司 | 一种安全授权访问的方法 |
| US20150149777A1 (en) * | 2013-11-22 | 2015-05-28 | Electronics And Telecommunications Research Institute | Mobile terminal, terminal and authentication method using security cookie |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107197048A (zh) * | 2017-07-24 | 2017-09-22 | 无锡江南计算技术研究所 | 一种可复用的网络高效通信方法 |
| CN110445744A (zh) * | 2018-05-02 | 2019-11-12 | 阿里巴巴集团控股有限公司 | 一种数据处理方法及装置 |
| CN110445744B (zh) * | 2018-05-02 | 2022-06-28 | 阿里巴巴集团控股有限公司 | 一种数据处理方法及装置 |
| CN111859068A (zh) * | 2020-07-02 | 2020-10-30 | 中移(杭州)信息技术有限公司 | 报文跟踪方法、装置、服务器、存储介质 |
| CN113037702A (zh) * | 2020-12-16 | 2021-06-25 | 重庆扬成大数据科技有限公司 | 基于大数据分析农业工作人员登录系统安全工作方法 |
| CN113037702B (zh) * | 2020-12-16 | 2021-11-09 | 重庆扬成大数据科技有限公司 | 基于大数据分析农业工作人员登录系统安全工作方法 |
| CN115037743A (zh) * | 2021-03-05 | 2022-09-09 | Sap欧洲公司 | 云数据库操作中的租户用户管理 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104320377B (zh) | 一种流媒体文件的防盗链方法及设备 | |
| Razouk et al. | A new security middleware architecture based on fog computing and cloud to support IoT constrained devices | |
| US20060106802A1 (en) | Stateless methods for resource hiding and access control support based on URI encryption | |
| CN104113549A (zh) | 一种平台授权方法、平台服务端及应用客户端和系统 | |
| CN105812323B (zh) | 一种网络跨域访问数据的方法和装置 | |
| CN106549760A (zh) | 基于cookie的身份验证方法和装置 | |
| CN108701309A (zh) | 一种用于电子商务交易安全的分布式用户简档身份验证系统 | |
| CN107016074B (zh) | 一种网页加载方法及装置 | |
| CN107359998A (zh) | 一种便携式智能口令管理体制的建立与操作方法 | |
| CN105554098A (zh) | 一种设备配置方法、服务器及系统 | |
| JPWO2006087784A1 (ja) | 認証方法、認証システム、及びそのタグ装置、情報参照クライアント、認証サーバ及び情報サーバ | |
| CN107181714A (zh) | 基于业务码的验证方法和装置、业务码的生成方法和装置 | |
| CN108429638A (zh) | 一种服务器运维方法、装置、系统及电子设备 | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| JP4797026B2 (ja) | 認証方法、認証システム、及びそのタグ装置、情報参照クライアント、認証サーバ | |
| CN103795767A (zh) | 一种跨应用会话信息的同步方法及系统 | |
| CN105743905A (zh) | 一种实现安全登录的方法、设备、装置及系统 | |
| CN109040055A (zh) | 使用国产密码实现Web安全访问的方法 | |
| EP3777070B1 (en) | Deep link authentication | |
| CN114616795A (zh) | 用于防止重试或重放攻击的安全机制 | |
| CN104486301B (zh) | 登录验证方法及装置 | |
| CN103095663B (zh) | 一种非登录用户间的信息交互方法和装置 | |
| Padmaja et al. | A real-time secure medical device authentication for personal E-Healthcare services on cloud computing | |
| CN114629713A (zh) | 身份验证方法、装置及系统 | |
| US11133926B2 (en) | Attribute-based key management system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170329 |