CN106790238A - 一种跨站请求伪造csrf防御认证方法和装置 - Google Patents
一种跨站请求伪造csrf防御认证方法和装置 Download PDFInfo
- Publication number
- CN106790238A CN106790238A CN201710043677.7A CN201710043677A CN106790238A CN 106790238 A CN106790238 A CN 106790238A CN 201710043677 A CN201710043677 A CN 201710043677A CN 106790238 A CN106790238 A CN 106790238A
- Authority
- CN
- China
- Prior art keywords
- data interaction
- character string
- request
- obtains
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种跨站请求伪造CSRF防御认证方法和装置,所述方法,包括:获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。采用本发明提供的方法,不仅能够有效地实现对CSRF攻击的防护,还具备防篡改的效果,在一定程度上能够防护重放攻击,通用性较强。
Description
技术领域
本发明涉及Web安全技术领域,尤其涉及一种跨站请求伪造CSRF防御认证方法和装置。
背景技术
早期的Web系统是将浏览器(前端)和服务器端(后端)集成到一个项目中,导致在实际开发过程中Web前后端耦合程度较高,很难做到专业分工,严重影响开发质量。为了降低Web前端对后端的依赖程度,引入了Web前后端分离架构。在Web前后端分离架构下,前端开发不影响后端的数据处理操作,前后端数据交互时只需调用相应的接口即可,如采用RESTful API接口完成前后端数据交互。然而,在Web前后端分离模式下,需要保证前端每次调用后端提供的API接口的合法性和安全性,尤其是对CSRF(Cross-Site RequestForgery,跨站请求伪造)攻击的防护。
现有技术中在对CSRF攻击进行防护时,常用的方法大致为:一种是通过输入验证码来限制用户操作,此方法不仅会增加开发成本,还会严重降低用户体验;另一种是在HTTPReferer中限制请求来源,该方法虽然开发成本较低,但是依然存在安全性较大的风险;此外,还通过SESSION(会话)验证机制来校验请求的合法性,该方法要求服务端绑定路由,渲染模板引擎等,而在Web前后端分离模式下,不再依赖服务端语言绑定路由和渲染模板引擎,导致前端不再具备完善的SESSION和数据存储功能,从而导致前端(浏览器)无法利用SESSION直接实现会话数据的保存,也就无法利用SESSION验证机制来校验请求的合法性。
综上所述,如何既能实现对CSRF攻击的防护,又能保证前后端交换时后端提供合法可靠的API(Application Program Interference,应用程序接口)接口是亟待解决的技术问题之一。
发明内容
本发明提供一种跨站请求伪造CSRF防御认证方法和装置,用以实现对CSRF攻击的防护,有效地实现对重放攻击的防护。
本发明实施例提供一种跨站请求伪造CSRF防御认证方法,包括:
获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;
向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。
本发明实施例提供另一种跨站请求伪造CSRF防御认证方法,包括:
接收客户端发送的登录请求,所述登录请求包含本次登录所需的用户名和密码;
在根据所述用户名和密码对所述登录请求验证通过之后,向客户端反馈安全口令;以及
接收客户端发送的数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息;
根据所述验证信息,对所述数据交互请求的合法性进行认证。
本发明实施例提供一种跨站请求伪造CSRF防御认证装置,包括:
获取单元,用于获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;
第一发送单元,用于向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。
本发明实施例提供另一种跨站请求伪造CSRF防御认证装置,包括:
第一接收单元,用于接收客户端发送的登录请求,所述登录请求包含本次登录所需的用户名和密码;
发送单元,用于在根据所述用户名和密码对所述登录请求验证通过之后,向客户端反馈安全口令;以及
第二接收单元,用于接收客户端发送的数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息;
认证单元,用于根据所述验证信息,对所述数据交互请求的合法性进行认证。
本发明有益效果:
本发明提供的跨站请求伪造CSRF防御认证方法和装置,获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。利用服务器发送的安全口令获得验证消息,服务器根据所述验证信息方可确定出客户端发送的数据交互请求是否合法,不仅能够实现对CSRF攻击的防护,还能在一定程度上防护重放攻击。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1a为本发明实施例一提供的跨站请求伪造CSRF防御认证方法的实施流程示意图;
图1b为本发明实施例一提供的跨站请求伪造CSRF防御认证方法中获得第一签名信息的方法的实施流程示意图;
图2a为本发明实施例二提供的另一种跨站请求伪造CSRF防御认证方法的实施流程示意图;
图2b为本发明实施例二提供的另一种跨站请求伪造CSRF防御认证方法中确定第二签名信息的方法的实施流程示意图;
图3为本发明实施例三提供的一种跨站请求伪造CSRF防御认证装置的结构示意图;
图4为本发明实施例四提供的另一种跨站请求伪造CSRF防御认证装置的结构示意图。
具体实施方式
本发明实施例提供一种跨站请求伪造CSRF防御认证方法和装置,用以实现对CSRF攻击的防护,有效地实现对重放攻击的防护。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例一
如图1a所示,为本发明实施例一提供的跨站请求伪造CSRF防御认证方法的实施流程示意图,可以包括以下步骤:
S11、获取本次数据交互所需的安全口令。
具体实施时,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码。
具体的说,客户端在向服务器发送登录请求时(用户利用用户名和密码登录浏览器时),调用登录请求的API接口向服务器发送登录请求,服务器根据本次登录所需的用户名和密码,验证本次登录是否通过,如果是,则向客户端返回数据交互所需的安全口令,记为Token,其中,客户端在获取Token后,对其进行签名计算,并不直接在数据交互过程中传输。
进一步地,如果检测到在预设时间内未向服务器发送数据交互请求或者检测到发生退出操作,则向服务器发送退出请求,所述退出请求用于指示所述安全口令失效。
具体的说,安全口令Token具有有效期,所述预设时间可以但不限于是10分钟,用户可以根据实际需要自行修改预设时间,即:客户端检测到在连续10分钟内并没有利用Token执行任何操作,或者用户执行退出浏览器操作时,则客户端会向服务器发送退出请求,服务器在接收到该退出请求后,则认为该安全口令自此无效,避免黑客盗取该安全口令恶意攻击服务器的情况发生。
S12、向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息。
具体实施时,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。
具体的说,客户端在向服务器发送数据交互请求时,通过调用本次数据交互请求的API接口,通过该API接口发送本次数据交互请求。
较佳地,所述验证信息至少包括以下一项:身份标识、随机数、发送数据交互请求的时间戳和第一签名信息。
较佳地,所述身份标识为通过向服务器发送登录请求由所述服务器分配的。
具体的说,服务器根据本次登录所需的用户名和密码,验证本次登录通过后,还会为客户端唯一分配一个身份标识,记为account ID。
具体的说,验证信息中的随机数是客户端随机产生的,即为nonce。
需要说明的是,客户端随机产生的nonce和本次数据交互的时间戳(timestamp)均是用来保证本次数据交互的唯一性。
具体实施时,可以按照图1b所示的方法获得所述第一签名信息,可以包括以下步骤:
S121、获取所述数据交互请求的应用程序接口API名称,利用第一预设算法对所述API名称进行处理得到第一字符串。
具体实施时,所述API名称可以通过本次数据交互时产生的URL(UniformResource Locator,统一资源定位符)地址获得,当用户在浏览器中键入任一关键字时,可以根据URL获得客户端需要调用的API接口的名称,例如,在“百度一下”中搜索“URL”,则会产生如下网址:
https://www.baidu.com/s?wd=url&rsv_spt=1&rsv_iqid=0x800885230004fa2e&issp=1&f=8&rsv_bp=0&rsv_idx=2&ie=utf-8&tn=baiduhome_pg&rsv_enter=1&rsv_sug3=3&rsv_sug1=2&rsv_sug7=100&rsv_t=2b61iLk%2FWtbhJOYYSc3OgcmQhvZ0t1K5%2F6Hb9bs6forOIosRwSgIRJ7NLGPws2PLCYi5
网址中“/s”中的s即为API接口名称,然后利用第一预设算法对API的接口名称进行处理,具体的说,可以利用md5(Message Digest Algorithm MD5,消息摘要算法第5版)对API接口名称进行加密得到第一字符串,即为hashstr1。
S122、获取所述数据交互请求的条件参数,利用第二预设算法对所述条件参数进行处理得到第二字符串。
参考步骤S121中网址,网址中“?wd=url&rsv_spt=1……”即为本发明中描述的数据交互请求的条件参数,在获取条件参数后,利用第二预设算法对获取的条件参数进行处理得到第二字符串。
具体实施时,在获取所述数据交互请求的条件参数之后,以及在利用第二预设算法对所述条件参数进行处理得到第二字符串之前,还包括:
利用所述排序算法对所述条件参数包含的所有关键值进行排序;以及
利用第二预设算法对所述条件参数进行处理得到第二字符串,具体包括:
利用第二预设算法对排序的关键值进行处理并拼接得到第二字符串。
具体的说,参考步骤S121中的网址,网址中“rsv_spt=1和rsv_iqid=0x800885230004fa2e等”中等号前边的为关键字key,等号后边的为该关键字可以的值,从而可以获取所述条件参数包含的所有关键值,然后利用预设的排序法对所述条件参数包含的所有关键值进行排序,得到JSON字符串,再利用第二预设算法对JSON字符串进行加密得到第二字符串,记为hashstr2。
较佳地,本发明实施例一涉及的排序算法可以但不限于是字典排序算法。需要说明的是,如字典为空,则所得JSON字符串为空。
较佳地,本发明实施例一涉及的第二预设算法可以但不限于包括md5等,需要说明的是,本发明实施例一中第二预设算法也可以与第一预设算法不相同,可以根据实际加密需求设定。
S123、获取所述数据交互请求的消息体字符串,利用第三预设算法对所述消息体字符串进行处理得到第三字符串。
具体实施时,消息体字符串在请求头中,为了防止黑客攻击了客户端,获取了API名称和条件参数后,确定出验证信息,利用该验证信息恶意攻击服务器,本发明实施例一对请求头中的消息体字符串也进行相应处理,达到双重保护的目的,具体处理过程为:利用第三预设算法对消息体字符串进行加密得到第三字符串,记为:hashstr3,需要说明的是,本发明实施例一中的第三预设算法可以但不限于包括md5加密算法,当然也可以采用其它加密算法。
S124、按照预设的排序算法对所述第一字符串、第二字符串、第三字符串、安全口令、身份标识、随机数和所述时间戳进行排序并拼接成第四字符串。
在通过步骤S121~S123获得hashstr1、hashstr2和hashstr3之后,将从服务器获取的Token和account ID,以及客户端随机生成nonce和本次数据交互请求的时间戳按照预设的排序算法进行排序,在排序之前,需要将本次数据交互请求的时间戳转换成字符串,所述排序算法可以但不限于包括字典排序算法等,将这7个字符串排序后拼接成一个字符串,即:第四字符串。
S125、利用第四预设算法对所述第四字符串进行处理获得所述第一签名信息。
具体实施时,利用第四预设算法对步骤S124获得的第四字符串进行加密处理即可得到验证信息中的第一签名信息。
较佳地,所述第四预设算法可以但不限于包括sha1(Secure Hash Algorithm,安全哈希算法)等。
需要说明的是,步骤S125中得到的第一签名信息不区分大小写。
通过执行步骤S121~S125获得本次数据交互的第一签名信息,对本次数据交互的API名称、条件参数、消息体字符串均进行了加密处理,同时结合安全口令和随机数,数据交互时的时间戳等按照预设排序算法进行排序并拼接成一个字符串,并对该字符串进行加密处理,即使黑客对本次数据交互进行攻击,也很难获知第一签名信息的生成过程和所采用的算法等,由此可知,本发明实施例生成第一签名信息的过程具有防篡改能力,同时在一定程度上防护重放攻击。
在确定第一签名信息后,以下述形式将验证信息携带在本次数据交互请求中:
/?account ID=xxx&nonce=xxx×tamp=xxx&signature=xxx
应用场景:RESTful API服务器化场景
客户端在向服务器发送请求时,采用REST(Representational State Transfer,表述性状态转移)规范,REST是当前业内普遍使用的API服务化规范。本应用场景基于AngularJS框架,对$http、$q服务安全REST规范进行了上层封装,也就是说本发明实施例一中获得的验证信息等封装到Simba中,不影响开发者对数据交互内容的阅读,同时也避免了对REST规范的破坏。REST常用的请求方法为增删改查CRUD(Creat-Retrieve-Update-Delete),具体规范为:post(),delete(),put(),get(),四个方法,供前端业务层使用。
认证请求模块名称命名为Simba,调用方法分别为:
get请求:var promise=Simba.get(api,params);
post请求:var promise=Simba.post(api,params,data);
put请求:var promise=Simba.put(api,params,data);
delete请求:var promise=Simba.delete(api,params);
参数说明:
api:指要调用的服务接口;
params:指条件参数,未指定时默认为{};
data:指请求消息体参数,未指定时默认为{};
应用示例:
从应用实例可知,本发明实施例将进行认证时,将认证过程所需的验证信息封装在Simba中,并没有对REST的规范性进行破坏,验证了与REST规范的兼容性,通用性较强。
本发明实施例提供的一种跨站请求伪造CSRF防御认证方法,首先利用用户名和密码向服务器发送登录请求,在服务器验证本次登录请求通过后,获取服务器发送的安全口令和服务器为客户端分配的身份标识,然后客户端对该安全口令、身份标识、客户端随机生成的随机数、数据交互请求的时间戳以及本次数据交互的API名称,条件参数等进行处理,最终得到验证信息,然后将所述验证信息发送给服务器,所述验证信息用于指示服务器对本次数据交互请求进行验证,不仅保证的本次数据交互的唯一性,还有效的防止CSRF攻击,同时还具有防篡改效果,在一定程度上有效防护了重放攻击。
实施例二
如图2a所示,为本发明实施例二提供的另一种跨站请求伪造CSRF防御认证方法的实施流程示意图,可以包括以下步骤:
S21、接收客户端发送的登录请求,所述登录请求包含本次登录所需的用户名和密码。
S22、在根据所述用户名和密码对所述登录请求验证通过之后,向客户端反馈安全口令。
具体的说,服务器在接收到客户端发送的登录请求后,可以根据所述登录请求所用的用户名和密码,从预先存储的用户名和密码的对应关系中,确定本次登录是否成功,如果是,则确定本次登录请求通过;否则,确定本次登录请求失败。
在确定本次登录请求通过后,向客户端反馈安全口令。较佳地,为了提供数据交互的安全性,服务器设定安全口令具有一定的有效期,具体确定所述安全口令无效的过程为:
如果检测到在预设时间内未接收到客户端发送的数据交互请求,或者接收到客户端发送的退出请求,则确定所述安全口令失效。
具体的说,服务器设定的预设时间可以但不限于为30分钟,当然也可以缩短或增加预设时间,本发明实施例对此不进行限定。
较佳地,在对所述登录请求验证通过之后,还包括:
为客户端分配唯一的身份标识,并将所述身份标识发送给所述客户端。
具体的说,服务器有可能同时接收到不止一个客户端发送的登录请求,此时,服务器为了区分各个客户端,需要为每一个客户端分配唯一的身份标识,并将为客户端分配的身份标识发送给该客户端,以便下次在接收到客户端发送的交互请求后,可以根据交互请求中携带的身份标识,识别出本次数据交互是哪个客户端发送的。
S23、接收客户端发送的数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息。
具体实施时,所述验证信息至少包括以下一项:身份标识、随机数、发送数据交互请求的时间戳和第一签名信息。
S24、根据所述验证信息,对所述数据交互请求的合法性进行认证。
具体实施时,按照图2b所示的方法根据所述验证信息,对所述数据交互请求的合法性进行认证,可以包括以下步骤:
S241、获取所述数据交互请求的应用程序接口API名称,利用第一预设算法对所述API名称进行处理得到第一字符串。
具体的说,服务器在接收客户端发送的数据交互请求时,可以从相应API接口获得本次数据交互请求,由此可以获知该API接口的名称,然后参考实施例一步骤S121对API名称进行处理得到第一字符串。
值得注意的是,为了使得服务器对客户端验证通过,客户端与服务器预先预定好加密所采用的算法,即要求本发明实施例二中的第一预设算法应当与本发明实施例一中采用的第一预设算法相同,如可以是md5算法等。
S242、获取所述数据交互请求的条件参数,利用第二预设算法对所述条件参数进行处理得到第二字符串,如可以是md5算法等。
参照本发明实施例一中步骤S122对条件参数进行处理,按照实施例一中所采用的第二预设算法对条件参数进行处理。
较佳地,在获取所述数据交互请求的条件参数之后,以及在利用第二预设算法对所述条件参数进行处理得到第二字符串之前,还包括:
利用所述排序算法对所述条件参数包含的所有关键值进行排序;以及
利用第二预设算法对所述条件参数进行处理得到第二字符串,具体包括:
利用第二预设算法对排序的关键值进行处理并拼接得到第二字符串。
具体实施时,本步骤S242中所采用的第二预设算法和预设的排序算法应当与实施例一步骤S122中采用的第二预设算法和排序算法相同,如第二预设算法可以是md5算法等,排序算法可以是字典排序法。
S243、获取所述数据交互请求的消息体字符串,利用第三预设算法对所述消息体字符串进行处理得到第三字符串。
具体实施时,参考本发明实施例一步骤S123获得第三字符串的处理过程,且要求步骤S243中所采用的第三预设算法应当与步骤步骤S123中所采用的第三预设算法相同,如可以是md5算法等。
S244、根据身份标识与安全口令的对应关系,以及所述验证信息中包含的身份标识,确定验证信息中包含的身份标识对应的安全口令。
具体的说,服务器在获得客户端发送的验证信息后,从验证信息中获取客户端的身份标识。由于该身份标识为服务器在对客户端发送的登录请求验证通过之后为客户端唯一分配和发送的,同时,服务器还向客户端发送的安全口令,由此可以得出,身份笔试与安全口令具有对应关系,且服务器可以根据该身份标识与安全口令的对应关系,获取该身份标识对应的安全口令。
S245、按照预设的排序算法对所述第一字符串、第二字符串、第三字符串以及验证信息中包含的安全口令、身份标识、随机数和时间戳进行排序并拼接成第四字符串。
具体实施时,参照实施例一步骤S124获得第四字符串的过程,且要求步骤S245中涉及的排序算法应当与步骤S124中的排序算法相同,如可以是字典排序算法等。
S246、利用第四预设算法对所述第四字符串进行处理得到第二签名信息。
具体的说,步骤S246中的第四预设算法应当与步骤125中的第四预设算法相同,如可以是sha1算法等。
S247、判断所述第一签名信息与所述第二签名信息是否相同,如果是,则执行步骤S248;否则,执行步骤S249。
S248、确定对所述数据交互请求的合法性认证通过。
验证通过之后,即可向客户端反馈本次数据交互请求的响应结果,保证了数据传输的安全性。
S249、确定对所述数据交互请求的合法性认证失败。
本发明实施例二提供的另一种跨站请求伪造CSRF防御认证方法,在接收到客户端发送的登录请求后,根据所述登录请求包含本次登录所需的用户名和密码,对所述登录请求验证通过之后,向客户端反馈安全口令;以及接收客户端发送的数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息;所述验证信息包含身份标识、随机数、发送数据交互请求的时间戳和第一签名信息,服务器在接收到验证信息时,根据所述身份标识信息、随机数和所述时间戳等按照与生成第一签名信息的算法生成第二签名信息,如果确定出所述第一签名信息和所述第二签名信息相同,则确定对所述数据交互请求的合法性认证成功,并向客户端反馈本次数据交互请求的响应结果,采用本发明实施例二提供的方法,不仅保证了数据传输的安全性,同时有效地对客户端的合法可信性进行识别。
实施例三
基于同一发明构思,本发明实施例中还提供了一种跨站请求伪造CSRF防御认证装置,由于上述装置解决问题的原理与跨站请求伪造CSRF防御认证方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图3所示,为本发明实施例三提供的一种跨站请求伪造CSRF防御认证装置的结构示意图,包括:获取单元31和第一发送单元32,其中:
获取单元31,用于获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;
第一发送单元32,用于向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。
较佳地,所述验证信息至少包括以下一项:身份标识、随机数、发送数据交互请求的时间戳和第一签名信息。
具体实施时,所述第一发送单元32,具体包括:第一获取子单元、第二获取子单元、第三获取子单元、排序子单元和确定子单元,其中:
所述第一获取子单元,用于获取所述数据交互请求的应用程序接口API名称,利用第一预设算法对所述API名称进行处理得到第一字符串;
所述第二获取子单元,用于获取所述数据交互请求的条件参数,利用第二预设算法对所述条件参数进行处理得到第二字符串;
所述第三获取子单元,用于获取所述数据交互请求的消息体字符串,利用第三预设算法对所述消息体字符串进行处理得到第三字符串;
排序子单元,用于按照预设的排序算法对所述第一字符串、第二字符串、第三字符串、安全口令、身份标识、随机数和所述时间戳进行排序并拼接成第四字符串;
确定子单元,用于利用第四预设算法对所述第四字符串进行处理获得所述第一签名信息。
具体实施时,所述装置,还包括排序单元33,其中:
所述排序单元33,用于在所述第二获取子单元获取所述数据交互请求的条件参数之后,以及利用第二预设算法对所述条件参数进行处理得到第二字符串之前,利用所述排序算法对所述条件参数包含的所有关键值进行排序;
所述第二获取子单元,还用于利用第二预设算法对所述排序单元33排序的关键值进行处理并拼接得到第二字符串。
较佳地,所述身份标识为通过向服务器发送登录请求由所述服务器分配的。
具体实施时,还包括第二发送单元34,其中:
所述第二发送单元34,用于如果检测到在预设时间内未向服务器发送数据交互请求或者检测到发生退出操作,则向服务器发送退出请求,所述退出请求用于指示所述安全口令失效。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
实施例四
基于同一发明构思,本发明实施例中还提供了另一种跨站请求伪造CSRF防御认证装置,由于上述装置解决问题的原理与另一种跨站请求伪造CSRF防御认证方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图4所示,为本发明实施例四提供的另一种跨站请求伪造CSRF防御认证装置的结构示意图,包括:第一接收单元41、发送单元42、第二接收单元43和认证单元44,其中:
第一接收单元41,用于接收客户端发送的登录请求,所述登录请求包含本次登录所需的用户名和密码;
发送单元42,用于在根据所述用户名和密码对所述登录请求验证通过之后,向客户端反馈安全口令;以及
第二接收单元43,用于接收客户端发送的数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息;
认证单元44,用于根据所述验证信息,对所述数据交互请求的合法性进行认证。
具体实施时,还包括分配单元45,其中:
所述分配单元45,用于在所述发送单元对所述登录请求验证通过之后,为客户端分配唯一的身份标识,并将所述身份标识发送给所述客户端。
较佳地,所述验证信息至少包括以下一项:身份标识、随机数、发送数据交互请求的时间戳和第一签名信息。
优选地,所述认证单元44,具体包括:第一获取子单元、第二获取子单元、第三获取子单元、第一确定子单元、排序子单元、第二确定子单元和第三确定子单元,其中:
所述第一获取子单元,用于获取所述数据交互请求的应用程序接口API名称,利用第一预设算法对所述API名称进行处理得到第一字符串;
所述第二获取子单元,用于获取所述数据交互请求的条件参数,利用第二预设算法对所述条件参数进行处理得到第二字符串;
所述第三获取子单元,用于获取所述数据交互请求的消息体字符串,利用第三预设算法对所述消息体字符串进行处理得到第三字符串;
所述第一确定子单元,用于根据身份标识与安全口令的对应关系,以及所述验证信息中包含的身份标识,确定验证信息中包含的身份标识对应的安全口令;
排序子单元,用于按照预设的排序算法对所述第一字符串、第二字符串、第三字符串以及验证信息中包含的安全口令、身份标识、随机数和时间戳进行排序并拼接成第四字符串;并
所述第二确定子单元,用于利用第四预设算法对所述第四字符串进行处理得到第二签名信息;
所述第三确定子单元,用于如果所述第一签名信息与所述第二签名信息相同,则确定对所述数据交互请求的合法性认证通过;否则,确定对所述数据交互请求的合法性认证失败。
具体实施时,所述装置,还包括排序单元46,其中:
所述排序单元46,用于在所述第二获取子单元获取所述数据交互请求的条件参数之后,以及利用第二预设算法对所述条件参数进行处理得到第二字符串之前,利用所述排序算法对所述条件参数包含的所有关键值进行排序;
所述第二获取子单元,还用于利用第二预设算法对所述排序单元46排序的关键值进行处理并拼接得到第二字符串。
进一步地,还包括确定单元47,其中:
所述确定单元47,用于如果检测到在预设时间内未接收到客户端发送的数据交互请求,或者接收到客户端发送的退出请求,则确定所述安全口令失效。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
本申请的实施例三和实施例四所提供的跨站请求伪造CSRF防御认证装置可通过计算机程序实现。本领域技术人员应该能够理解,上述的模块划分方式仅是众多模块划分方式中的一种,如果划分为其他模块或不划分模块,只要跨站请求伪造CSRF防御认证装置具有上述功能,都应该在本申请的保护范围之内。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (24)
1.一种跨站请求伪造CSRF防御认证方法,其特征在于,包括:
获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;
向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。
2.如权利要求1所述的方法,其特征在于,所述验证信息至少包括以下一项:身份标识、随机数、发送数据交互请求的时间戳和第一签名信息。
3.如权利要求2所述的方法,其特征在于,按照以下方法获得所述第一签名信息:
获取所述数据交互请求的应用程序接口API名称,利用第一预设算法对所述API名称进行处理得到第一字符串;
获取所述数据交互请求的条件参数,利用第二预设算法对所述条件参数进行处理得到第二字符串;
获取所述数据交互请求的消息体字符串,利用第三预设算法对所述消息体字符串进行处理得到第三字符串;
按照预设的排序算法对所述第一字符串、第二字符串、第三字符串、安全口令、身份标识、随机数和所述时间戳进行排序并拼接成第四字符串;并
利用第四预设算法对所述第四字符串进行处理获得所述第一签名信息。
4.如权利要求3所述的方法,其特征在于,在获取所述数据交互请求的条件参数之后,以及在利用第二预设算法对所述条件参数进行处理得到第二字符串之前,还包括:
利用所述排序算法对所述条件参数包含的所有关键值进行排序;以及
利用第二预设算法对所述条件参数进行处理得到第二字符串,具体包括:
利用第二预设算法对排序的关键值进行处理并拼接得到第二字符串。
5.如权利要求2所述的方法,其特征在于,所述身份标识为通过向服务器发送登录请求由所述服务器分配的。
6.如权利要1~5任一权利要求所述的方法,其特征在于,还包括:
如果检测到在预设时间内未向服务器发送数据交互请求或者检测到发生退出操作,则向服务器发送退出请求,所述退出请求用于指示所述安全口令失效。
7.一种跨站请求伪造CSRF防御认证方法,其特征在于,包括:
接收客户端发送的登录请求,所述登录请求包含本次登录所需的用户名和密码;
在根据所述用户名和密码对所述登录请求验证通过之后,向客户端反馈安全口令;以及
接收客户端发送的数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息;
根据所述验证信息,对所述数据交互请求的合法性进行认证。
8.如权利要求7所述的方法,其特征在于,在对所述登录请求验证通过之后,还包括:
为客户端分配唯一的身份标识,并将所述身份标识发送给所述客户端。
9.如权利要求7所述的方法,其特征在于,所述验证信息至少包括以下一项:身份标识、随机数、发送数据交互请求的时间戳和第一签名信息。
10.如权利要求9所述的方法,其特征在于,根据所述验证信息,对所述数据交互请求的合法性进行认证,具体包括:
获取所述数据交互请求的应用程序接口API名称,利用第一预设算法对所述API名称进行处理得到第一字符串;
获取所述数据交互请求的条件参数,利用第二预设算法对所述条件参数进行处理得到第二字符串;
获取所述数据交互请求的消息体字符串,利用第三预设算法对所述消息体字符串进行处理得到第三字符串;
根据身份标识与安全口令的对应关系,以及所述验证信息中包含的身份标识,确定验证信息中包含的身份标识对应的安全口令;
按照预设的排序算法对所述第一字符串、第二字符串、第三字符串以及验证信息中包含的安全口令、身份标识、随机数和时间戳进行排序并拼接成第四字符串;并
利用第四预设算法对所述第四字符串进行处理得到第二签名信息;
如果所述第一签名信息与所述第二签名信息相同,则确定对所述数据交互请求的合法性认证通过;否则,确定对所述数据交互请求的合法性认证失败。
11.如权利要求10所述的方法,其特征在于,在获取所述数据交互请求的条件参数之后,以及在利用第二预设算法对所述条件参数进行处理得到第二字符串之前,还包括:
利用所述排序算法对所述条件参数包含的所有关键值进行排序;以及
利用第二预设算法对所述条件参数进行处理得到第二字符串,具体包括:
利用第二预设算法对排序的关键值进行处理并拼接得到第二字符串。
12.如权利要求7~11任一权利要求所述的方法,其特征在于,还包括:如果检测到在预设时间内未接收到客户端发送的数据交互请求,或者接收到客户端发送的退出请求,则确定所述安全口令失效。
13.一种跨站请求伪造CSRF防御认证装置,其特征在于,包括:
获取单元,用于获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;
第一发送单元,用于向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。
14.如权利要求13所述的装置,其特征在于,所述验证信息至少包括以下一项:身份标识、随机数、发送数据交互请求的时间戳和第一签名信息。
15.如权利要求14所述的装置,其特征在于,所述第一发送单元,具体包括:第一获取子单元、第二获取子单元、第三获取子单元、排序子单元和确定子单元,其中:
所述第一获取子单元,用于获取所述数据交互请求的应用程序接口API名称,利用第一预设算法对所述API名称进行处理得到第一字符串;
所述第二获取子单元,用于获取所述数据交互请求的条件参数,利用第二预设算法对所述条件参数进行处理得到第二字符串;
所述第三获取子单元,用于获取所述数据交互请求的消息体字符串,利用第三预设算法对所述消息体字符串进行处理得到第三字符串;
排序子单元,用于按照预设的排序算法对所述第一字符串、第二字符串、第三字符串、安全口令、身份标识、随机数和所述时间戳进行排序并拼接成第四字符串;
确定子单元,用于利用第四预设算法对所述第四字符串进行处理获得所述第一签名信息。
16.如权利要求15所述的装置,其特征在于,还包括排序单元,其中:
所述排序单元,用于在所述第二获取子单元获取所述数据交互请求的条件参数之后,以及利用第二预设算法对所述条件参数进行处理得到第二字符串之前,利用所述排序算法对所述条件参数包含的所有关键值进行排序;
所述第二获取子单元,还用于利用第二预设算法对所述排序单元排序的关键值进行处理并拼接得到第二字符串。
17.如权利要求14所述的装置,其特征在于,所述身份标识为通过向服务器发送登录请求由所述服务器分配的。
18.如权利要求13~17任一权利要求所述的装置,其特征在于,还包括第二发送单元,其中:
所述第二发送单元,用于如果检测到在预设时间内未向服务器发送数据交互请求或者检测到发生退出操作,则向服务器发送退出请求,所述退出请求用于指示所述安全口令失效。
19.一种跨站请求伪造CSRF防御认证装置,其特征在于,包括:
第一接收单元,用于接收客户端发送的登录请求,所述登录请求包含本次登录所需的用户名和密码;
发送单元,用于在根据所述用户名和密码对所述登录请求验证通过之后,向客户端反馈安全口令;以及
第二接收单元,用于接收客户端发送的数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息;
认证单元,用于根据所述验证信息,对所述数据交互请求的合法性进行认证。
20.如权利要求19所述的装置,其特征在于,还包括分配单元,其中:
所述分配单元,用于在所述发送单元对所述登录请求验证通过之后,为客户端分配唯一的身份标识,并将所述身份标识发送给所述客户端。
21.如权利要求19所述的装置,其特征在于,所述验证信息至少包括以下一项:身份标识、随机数、发送数据交互请求的时间戳和第一签名信息。
22.如权利要求21所述的装置,其特征在于,所述认证单元,具体包括:第一获取子单元、第二获取子单元、第三获取子单元、第一确定子单元、排序子单元、第二确定子单元和第三确定子单元,其中:
所述第一获取子单元,用于获取所述数据交互请求的应用程序接口API名称,利用第一预设算法对所述API名称进行处理得到第一字符串;
所述第二获取子单元,用于获取所述数据交互请求的条件参数,利用第二预设算法对所述条件参数进行处理得到第二字符串;
所述第三获取子单元,用于获取所述数据交互请求的消息体字符串,利用第三预设算法对所述消息体字符串进行处理得到第三字符串;
所述第一确定子单元,用于根据身份标识与安全口令的对应关系,以及所述验证信息中包含的身份标识,确定验证信息中包含的身份标识对应的安全口令;
排序子单元,用于按照预设的排序算法对所述第一字符串、第二字符串、第三字符串以及验证信息中包含的安全口令、身份标识、随机数和时间戳进行排序并拼接成第四字符串;并
所述第二确定子单元,用于利用第四预设算法对所述第四字符串进行处理得到第二签名信息;
所述第三确定子单元,用于如果所述第一签名信息与所述第二签名信息相同,则确定对所述数据交互请求的合法性认证通过;否则,确定对所述数据交互请求的合法性认证失败。
23.如权利要求22所述的装置,其特征在于,还包括排序单元,其中:
所述排序单元,用于在所述第二获取子单元获取所述数据交互请求的条件参数之后,以及利用第二预设算法对所述条件参数进行处理得到第二字符串之前,利用所述排序算法对所述条件参数包含的所有关键值进行排序;
所述第二获取子单元,还用于利用第二预设算法对所述排序单元排序的关键值进行处理并拼接得到第二字符串。
24.如权利要求19~23任一权利要求所述的装置,其特征在于,还包括确定单元,其中:
所述确定单元,用于如果检测到在预设时间内未接收到客户端发送的数据交互请求,或者接收到客户端发送的退出请求,则确定所述安全口令失效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710043677.7A CN106790238B (zh) | 2017-01-19 | 2017-01-19 | 一种跨站请求伪造csrf防御认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710043677.7A CN106790238B (zh) | 2017-01-19 | 2017-01-19 | 一种跨站请求伪造csrf防御认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106790238A true CN106790238A (zh) | 2017-05-31 |
| CN106790238B CN106790238B (zh) | 2020-07-10 |
Family
ID=58943713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710043677.7A Active CN106790238B (zh) | 2017-01-19 | 2017-01-19 | 一种跨站请求伪造csrf防御认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106790238B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107302526A (zh) * | 2017-06-07 | 2017-10-27 | 努比亚技术有限公司 | 系统接口调用方法、设备和计算机可读存储介质 |
| CN108183907A (zh) * | 2017-12-29 | 2018-06-19 | 浪潮通用软件有限公司 | 一种认证方法、服务器及认证系统 |
| CN108737110A (zh) * | 2018-05-23 | 2018-11-02 | 中汇会计师事务所(特殊普通合伙) | 一种用于防重放攻击的数据加密传输方法及装置 |
| CN110909367A (zh) * | 2019-10-30 | 2020-03-24 | 上海百事通信息技术股份有限公司 | 一种律师预约管理系统及方法 |
| CN111262701A (zh) * | 2020-01-10 | 2020-06-09 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
| CN111371743A (zh) * | 2020-02-21 | 2020-07-03 | 上海红神信息技术有限公司 | 一种安全防御方法、装置及系统 |
| CN113343278A (zh) * | 2021-07-05 | 2021-09-03 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防御csrf攻击的登录请求校验方法及装置 |
| CN113726799A (zh) * | 2021-09-01 | 2021-11-30 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、系统和设备 |
| CN113783824A (zh) * | 2020-06-10 | 2021-12-10 | 中国电信股份有限公司 | 防止跨站请求伪造的方法、装置、客户端、系统及介质 |
| CN113794568A (zh) * | 2021-09-14 | 2021-12-14 | 北京北大方正电子有限公司 | 接口安全验证方法、访问接口的方法、装置、设备和介质 |
| CN114915462A (zh) * | 2022-04-29 | 2022-08-16 | 中国电信股份有限公司 | 跨站请求伪造攻击防御方法及装置、电子设备及介质 |
| CN116340405A (zh) * | 2023-03-29 | 2023-06-27 | 北京科乐园网络科技有限公司 | 基于大数据的企业数据处理方法、装置、设备及存储介质 |
| CN118540169A (zh) * | 2024-07-26 | 2024-08-23 | 成都云祺科技有限公司 | Api安全实现方法、系统、介质及api框架实现方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552672A (zh) * | 2009-04-15 | 2009-10-07 | 胡祥义 | 一种基于标识认证的全球网络实名制实现方法 |
| US20110131416A1 (en) * | 2009-11-30 | 2011-06-02 | James Paul Schneider | Multifactor validation of requests to thw art dynamic cross-site attacks |
| US8020193B2 (en) * | 2008-10-20 | 2011-09-13 | International Business Machines Corporation | Systems and methods for protecting web based applications from cross site request forgery attacks |
| CN102480490A (zh) * | 2010-11-30 | 2012-05-30 | 国际商业机器公司 | 一种用于防止csrf攻击的方法和设备 |
| CN103312666A (zh) * | 2012-03-09 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 一种防御跨站请求伪造csrf攻击的方法、系统和装置 |
| CN104767731A (zh) * | 2015-03-12 | 2015-07-08 | 江苏中天科技软件技术有限公司 | 一种Restful移动交易系统身份认证防护方法 |
| CN104935568A (zh) * | 2015-04-20 | 2015-09-23 | 成都康赛信息技术有限公司 | 一种面向云平台接口鉴权签名方法 |
| CN105743869A (zh) * | 2014-12-12 | 2016-07-06 | 阿里巴巴集团控股有限公司 | Csrf攻击防范方法、网站服务器及浏览器 |
| CN105897782A (zh) * | 2016-06-30 | 2016-08-24 | 北京奇艺世纪科技有限公司 | 一种针对接口的调用请求的处理方法及装置 |
| CN106341370A (zh) * | 2015-07-07 | 2017-01-18 | 北京京东尚科信息技术有限公司 | 一种防御跨站请求伪造攻击的方法及装置 |
-
2017
- 2017-01-19 CN CN201710043677.7A patent/CN106790238B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8020193B2 (en) * | 2008-10-20 | 2011-09-13 | International Business Machines Corporation | Systems and methods for protecting web based applications from cross site request forgery attacks |
| CN101552672A (zh) * | 2009-04-15 | 2009-10-07 | 胡祥义 | 一种基于标识认证的全球网络实名制实现方法 |
| US20110131416A1 (en) * | 2009-11-30 | 2011-06-02 | James Paul Schneider | Multifactor validation of requests to thw art dynamic cross-site attacks |
| CN102480490A (zh) * | 2010-11-30 | 2012-05-30 | 国际商业机器公司 | 一种用于防止csrf攻击的方法和设备 |
| CN103312666A (zh) * | 2012-03-09 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 一种防御跨站请求伪造csrf攻击的方法、系统和装置 |
| CN105743869A (zh) * | 2014-12-12 | 2016-07-06 | 阿里巴巴集团控股有限公司 | Csrf攻击防范方法、网站服务器及浏览器 |
| CN104767731A (zh) * | 2015-03-12 | 2015-07-08 | 江苏中天科技软件技术有限公司 | 一种Restful移动交易系统身份认证防护方法 |
| CN104935568A (zh) * | 2015-04-20 | 2015-09-23 | 成都康赛信息技术有限公司 | 一种面向云平台接口鉴权签名方法 |
| CN106341370A (zh) * | 2015-07-07 | 2017-01-18 | 北京京东尚科信息技术有限公司 | 一种防御跨站请求伪造攻击的方法及装置 |
| CN105897782A (zh) * | 2016-06-30 | 2016-08-24 | 北京奇艺世纪科技有限公司 | 一种针对接口的调用请求的处理方法及装置 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107302526A (zh) * | 2017-06-07 | 2017-10-27 | 努比亚技术有限公司 | 系统接口调用方法、设备和计算机可读存储介质 |
| CN108183907A (zh) * | 2017-12-29 | 2018-06-19 | 浪潮通用软件有限公司 | 一种认证方法、服务器及认证系统 |
| CN108737110A (zh) * | 2018-05-23 | 2018-11-02 | 中汇会计师事务所(特殊普通合伙) | 一种用于防重放攻击的数据加密传输方法及装置 |
| CN108737110B (zh) * | 2018-05-23 | 2021-05-14 | 中汇会计师事务所(特殊普通合伙) | 一种用于防重放攻击的数据加密传输方法及装置 |
| CN110909367B (zh) * | 2019-10-30 | 2023-03-24 | 上海百事通信息技术股份有限公司 | 一种律师预约管理系统及方法 |
| CN110909367A (zh) * | 2019-10-30 | 2020-03-24 | 上海百事通信息技术股份有限公司 | 一种律师预约管理系统及方法 |
| CN111262701A (zh) * | 2020-01-10 | 2020-06-09 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
| CN111262701B (zh) * | 2020-01-10 | 2023-05-23 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
| CN111371743A (zh) * | 2020-02-21 | 2020-07-03 | 上海红神信息技术有限公司 | 一种安全防御方法、装置及系统 |
| CN113783824A (zh) * | 2020-06-10 | 2021-12-10 | 中国电信股份有限公司 | 防止跨站请求伪造的方法、装置、客户端、系统及介质 |
| CN113783824B (zh) * | 2020-06-10 | 2022-08-30 | 中国电信股份有限公司 | 防止跨站请求伪造的方法、装置、客户端、系统及介质 |
| CN113343278B (zh) * | 2021-07-05 | 2022-07-26 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防御csrf攻击的登录请求校验方法及装置 |
| CN113343278A (zh) * | 2021-07-05 | 2021-09-03 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防御csrf攻击的登录请求校验方法及装置 |
| CN113726799A (zh) * | 2021-09-01 | 2021-11-30 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、系统和设备 |
| CN113794568A (zh) * | 2021-09-14 | 2021-12-14 | 北京北大方正电子有限公司 | 接口安全验证方法、访问接口的方法、装置、设备和介质 |
| CN114915462A (zh) * | 2022-04-29 | 2022-08-16 | 中国电信股份有限公司 | 跨站请求伪造攻击防御方法及装置、电子设备及介质 |
| CN114915462B (zh) * | 2022-04-29 | 2023-09-08 | 中国电信股份有限公司 | 跨站请求伪造攻击防御方法及装置、电子设备及介质 |
| CN116340405A (zh) * | 2023-03-29 | 2023-06-27 | 北京科乐园网络科技有限公司 | 基于大数据的企业数据处理方法、装置、设备及存储介质 |
| CN116340405B (zh) * | 2023-03-29 | 2023-10-13 | 北京科乐园网络科技有限公司 | 基于大数据的企业数据处理方法、装置、设备及存储介质 |
| CN118540169A (zh) * | 2024-07-26 | 2024-08-23 | 成都云祺科技有限公司 | Api安全实现方法、系统、介质及api框架实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106790238B (zh) | 2020-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106790238A (zh) | 一种跨站请求伪造csrf防御认证方法和装置 | |
| CN110493202B (zh) | 登录令牌的生成及验证方法、装置和服务器 | |
| CN106797371B (zh) | 用于用户认证的方法和系统 | |
| CN105430014B (zh) | 一种单点登录方法及其系统 | |
| CN106453422B (zh) | 一种基于移动终端动态认证方法及系统 | |
| US9237143B1 (en) | User authentication avoiding exposure of information about enumerable system resources | |
| JP6438534B2 (ja) | 安全なオンラインバンキングトランザクションを実行するためのシステム及び方法 | |
| CN116545650B (zh) | 一种网络动态防御方法 | |
| CN101420302A (zh) | 安全认证方法和设备 | |
| CN106453378A (zh) | 数据认证的方法、装置及系统 | |
| Steinegger et al. | Risk-based authenticator for web applications | |
| JP2009003559A (ja) | シングルサインオンサーバ用コンピュータシステム及びプログラム | |
| CN110581841B (zh) | 一种后端反爬虫方法 | |
| Aljawarneh et al. | A web client authentication system using smart card for e-systems: initial testing and evaluation | |
| Nugraha et al. | Performance and security comparison of json web tokens (jwt) and platform agnostic security tokens (paseto) on restful apis | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| Manjula et al. | Pre-authorization and post-authorization techniques for detecting and preventing the session hijacking | |
| KR101745919B1 (ko) | 패스워드 노출 없는 소프트웨어 방식의 hsm을 이용한 사용자 인증 방법 및 시스템 | |
| CN117879827A (zh) | 一种token传输验证方法、装置、系统、设备和介质 | |
| Lalia et al. | Implementation of web browser extension for mitigating CSRF attack | |
| CN109145543B (zh) | 一种身份认证方法 | |
| Tan et al. | Securing password authentication for web-based applications | |
| CN115277240B (zh) | 一种物联网设备的认证方法及装置 | |
| EP3036674B1 (en) | Proof of possession for web browser cookie based security tokens | |
| CN110971606B (zh) | 一种Web应用开发中的HACCP安全体系的构建方法以及应用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |