CN107147634B - 支持平台多应用的web服务分层鉴权方法 - Google Patents

支持平台多应用的web服务分层鉴权方法 Download PDF

Info

Publication number
CN107147634B
CN107147634B CN201710296027.3A CN201710296027A CN107147634B CN 107147634 B CN107147634 B CN 107147634B CN 201710296027 A CN201710296027 A CN 201710296027A CN 107147634 B CN107147634 B CN 107147634B
Authority
CN
China
Prior art keywords
authentication
service
application
platform
service request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710296027.3A
Other languages
English (en)
Other versions
CN107147634A (zh
Inventor
康钟荣
李伟
杨万宝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201710296027.3A priority Critical patent/CN107147634B/zh
Publication of CN107147634A publication Critical patent/CN107147634A/zh
Application granted granted Critical
Publication of CN107147634B publication Critical patent/CN107147634B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种支持平台多应用的WEB服务分层鉴权方法,通过对WEB服务请求的鉴权处理按职能划分,形成两个层面的鉴权机制,分别在平台统一鉴权服务中心和应用服务端的业务鉴权中心对平台令牌与业务令牌进行校验,这种分层鉴权机制使得具有特定业务需求的业务鉴权与平台安全层面的鉴权分开处理,业务安全与平台安全的分离能促使安全方案的实施更具有针对性,从职能上分别过滤了业务与平台方面的非法请求,提高了WEB服务请求与平台本身的安全性。

Description

支持平台多应用的WEB服务分层鉴权方法
技术领域
本发明涉及计算机技术与WEB服务安全技术领域,具体涉及一种支持平台多应用的WEB服务分层鉴权方法。
背景技术
鉴权处理作为保障WEB服务安全性与请求合法性的重要方式之一,得到越来越广泛的应用,并且这种方式在演进中继续发挥独特的作用。鉴权的目的是对请求方发起的服务请求合法性进行验证,对不符合约定条件的非法请求进行拦截过滤,确保WEB应用正常运行。鉴权的主要对象大体分为业务类鉴权和平台类鉴权,现有的鉴权方法主要用于对单一应用的服务鉴权,对业务层面或者平台层面进行单一的鉴权处理,能确保这种场景下应用对鉴权服务的需要,但并不适用于综合性平台下多应用的WEB服务鉴权,因为这种场景下的平台或服务端的复杂性决定了对单一业务层面或平台层面的鉴权均无法满足其实际需。
发明内容
本发明公开的一种支持平台多应用的WEB服务分层鉴权方法,通过分别在业务层面与平台层面对WEB服务请求进行过滤认证处理,实现对平台下多应用的WEB服务分层鉴权。
为解决上述的技术问题,本发明采用以下技术方案:
一种支持平台多应用的WEB服务分层鉴权方法,它包括以下步骤:
步骤S101,构建平台统一鉴权服务中心,用于对应用的WEB服务请求进行平台层面的鉴权处理,并约定应用的平台令牌的生成和解析规则;
步骤S102,对于接入平台的应用,构建应用服务端业务鉴权中心,用于对应用的WEB服务请求进行业务层面的鉴权处理,并约定应用的业务令牌的生成和解析规则;
步骤S103,应用客户端根据步骤S102中约定的业务令牌的生成和解析规则创建本次应用的WEB服务请求的业务令牌,应用客户端封装应用的WEB服务请求信息,将该业务令牌作为关键信息携带,并向应用服务端发起服务请求;
步骤S104,应用服务端拦截应用客户端的服务请求,解析分离出该服务请求信息中的业务令牌,根据本次应用的WEB服务请求信息组成本次应用的WEB服务请求的平台令牌,并将平台令牌分发到步骤S101中的平台统一鉴权服务中心以及将业务令牌分发到应用服务端业务鉴权中心;
步骤S105,平台统一鉴权服务中心对本次应用的WEB服务请求进行平台层面的鉴权处理;
步骤S106,根据步骤S105中平台层面的鉴权处理结果,如果平台层面的鉴权失败则直接向应用客户端返回鉴权失败的提示信息,如果平台层面的鉴权成功则触发应用端业务鉴权中心对本次应用的WEB服务请求进行业务层面的鉴权处理;
步骤S107,根据业务层面的鉴权处理结果,应用服务端处理本次服务请求的具体业务逻辑,并向应用客户端做出响应。
更进一步的技术方案是,所述平台统一鉴权服务中心对本次应用的WEB服务请求进行平台层面的鉴权处理具体包括对应用服务端进行IP白名单校验、对应用服务端发起WEB服务请求的应用身份信息进行校验、对应用的WEB服务请求的时间戳进行校验、对应用的WEB服务请求进行重放攻击校验或对应用的WEB服务请求的内容进行签名校验。
更进一步的技术方案是,所述应用端业务鉴权中心对本次应用的WEB服务请求进行业务层面的鉴权处理具体包括对应用客户端的用户进行登录鉴权、对应用客户端的WEB服务请求进行以密匙为基础的业务类鉴权、对应应用客户端的WEB服务请求进行以证书文件为基础的业务类鉴权或对应用客户端的WEB服务请求进行以秘钥字符串和证书文件相结合方式的业务类鉴权。
更进一步的技术方案是,所述对应用客户端的用户进行登录鉴权包括用户身份信息校验或应用客户端登录的设备单一性校验、令牌有效期校验。
更进一步的技术方案是,所述对应用客户端的WEB服务请求进行以密匙为基础的业务类鉴权包括对密匙内容的合法信息校验或密匙与应用的关联关系校验。
更进一步的技术方案是,所述对应应用客户端的WEB服务请求进行以证书文件为基础的业务类鉴权为将WEB服务请求上报的证书关键信息与应用端业务鉴权中心的证书信息进行匹配,以判断鉴权是否通过。
更进一步的技术方案是,所述对应用客户端的WEB服务请求进行以秘钥字符串和证书文件相结合方式的业务类鉴权为以密匙符串和密匙证书文件作为业务鉴权的关键信息。
与现有技术相比,本发明的有益效果是:
本发明通过对WEB服务请求的鉴权处理按职能划分,形成两个层面的鉴权机制,分别在平台统一鉴权服务中心和应用服务端的业务鉴权中心对平台令牌与业务令牌进行校验,这种分层鉴权机制使得具有特定业务需求的业务鉴权与平台安全层面的鉴权分开处理,业务安全与平台安全的分离能促使安全方案的实施更具有针对性,从职能上分别过滤了业务与平台方面的非法请求,提高了WEB服务请求与平台本身的安全性。
附图说明
图1为本发明一种实施例的支持平台多应用的WEB服务分层鉴权方法的方法流程图。
图2为图1中平台鉴权的示意图。
图3为图1中业务鉴权的示意图。
图4为本发明一种实施例的支持平台多应用的WEB服务分层鉴权方法涉及的框架图。
具体实施方式
下面结合附图对本发明作进一步阐述。
如图1-4所示的一种支持平台多应用的WEB服务分层鉴权方法,它包括以下步骤:
S101,构建平台统一鉴权服务中心401,用于对应用的WEB服务请求进行平台层面的鉴权处理,并约定应用的平台令牌的生成和解析规则;
步骤S102,对于接入平台的应用,构建应用服务端业务鉴权中心402,用于对应用的WEB服务请求进行业务层面的鉴权处理,并约定应用的业务令牌的生成和解析规则;
步骤S103,应用客户端404根据步骤S102中约定的业务令牌的生成和解析规则创建本次应用的WEB服务请求的业务令牌,应用客户端封装应用的WEB服务请求信息,将该业务令牌作为关键信息携带,并向应用服务端发起服务请求;
步骤S104,应用服务端403拦截应用客户端404的服务请求,解析分离出该服务请求信息中的业务令牌,根据本次应用的WEB服务请求信息组成本次应用的WEB服务请求的平台令牌,并将平台令牌分发到步骤S101中的平台统一鉴权服务中心401以及将业务令牌分发到应用服务端业务鉴权中心402;
步骤S105,平台统一鉴权服务中心401对本次应用的WEB服务请求进行平台层面的鉴权处理;
步骤S106,根据步骤S105中平台层面的鉴权处理结果,如果平台层面的鉴权失败则直接向应用客户端404返回鉴权失败的提示信息,如果平台层面的鉴权成功则触发应用端业务鉴权中402心对本次应用的WEB服务请求进行业务层面的鉴权处理;
步骤S107,根据业务层面的鉴权处理结果,应用服务端403处理本次服务请求的具体业务逻辑,并向应用客户端404做出响应。
平台统一鉴权服务中心对本次应用的WEB服务请求进行平台层面的鉴权处理具体包括对应用服务端进行IP白名单校验201、对应用服务端发起WEB服务请求的应用身份信息进行校验202、对应用的WEB服务请求的时间戳进行校验203、对应用的WEB服务请求进行重放攻击校验204或对应用的WEB服务请求的内容进行签名校验205。
应用端业务鉴权中心对本次应用的WEB服务请求进行业务层面的鉴权处理具体包括对应用客户端的用户进行登录鉴权301、对应用客户端的WEB服务请求进行以密匙为基础的业务类鉴权302、对应应用客户端的WEB服务请求进行以证书文件为基础的业务类鉴权303或对应用客户端的WEB服务请求进行以秘钥字符串和证书文件相结合方式的业务类鉴权304。
对应用客户端的用户进行登录鉴权包括用户身份信息校验或应用客户端登录的设备单一性校验、令牌有效期校验。
对应用客户端的WEB服务请求进行以密匙为基础的业务类鉴权包括对密匙内容的合法信息校验或密匙与应用的关联关系校验。
对应应用客户端的WEB服务请求进行以证书文件为基础的业务类鉴权为将WEB服务请求上报的证书关键信息与应用端业务鉴权中心的证书信息进行匹配,以判断鉴权是否通过。
对应用客户端的WEB服务请求进行以秘钥字符串和证书文件相结合方式的业务类鉴权为以密匙符串和密匙证书文件作为业务鉴权的关键信息。
以上具体实施方式对本发明的实质进行详细说明,但并不能对本发明的保护范围进行限制,显而易见地,在本发明的启示下,本技术领域普通技术人员还可以进行许多改进和修饰,需要注意的是,这些改进和修饰都落在本发明的权利要求保护范围之内。

Claims (7)

1.一种支持平台多应用的WEB服务分层鉴权方法,其特征在于,它包括以下步骤:
步骤S101,构建平台统一鉴权服务中心,用于对应用的WEB服务请求进行平台层面的鉴权处理,并约定应用的平台令牌的生成和解析规则;
步骤S102,对于接入平台的应用,构建应用服务端业务鉴权中心,用于对应用的WEB服务请求进行业务层面的鉴权处理,并约定应用的业务令牌的生成和解析规则;
步骤S103,应用客户端根据步骤S102中约定的业务令牌的生成和解析规则创建本次应用的WEB服务请求的业务令牌,应用客户端封装应用的WEB服务请求信息,将该业务令牌作为关键信息携带,并向应用服务端发起服务请求;
步骤S104,应用服务端拦截应用客户端的服务请求,解析分离出该服务请求信息中的业务令牌,根据本次应用的WEB服务请求信息组成本次应用的WEB服务请求的平台令牌,并将平台令牌分发到步骤S101中的平台统一鉴权服务中心以及将业务令牌分发到应用服务端业务鉴权中心;
步骤S105,平台统一鉴权服务中心对本次应用的WEB服务请求进行平台层面的鉴权处理;
步骤S106,根据步骤S105中平台层面的鉴权处理结果,如果平台层面的鉴权失败则直接向应用客户端返回鉴权失败的提示信息,如果平台层面的鉴权成功则触发应用端业务鉴权中心对本次应用的WEB服务请求进行业务层面的鉴权处理;
步骤S107,根据业务层面的鉴权处理结果,应用服务端处理本次服务请求的具体业务逻辑,并向应用客户端做出响应。
2.根据权利要求1所述的支持平台多应用的WEB服务分层鉴权方法,其特征在于,所述平台统一鉴权服务中心对本次应用的WEB服务请求进行平台层面的鉴权处理具体包括对应用服务端进行IP白名单校验、对应用服务端发起WEB服务请求的应用身份信息进行校验、对应用的WEB服务请求的时间戳进行校验、对应用的WEB服务请求进行重放攻击校验或对应用的WEB服务请求的内容进行签名校验。
3.根据权利要求1所述的支持平台多应用的WEB服务分层鉴权方法,其特征在于,所述应用端业务鉴权中心对本次应用的WEB服务请求进行业务层面的鉴权处理具体包括对应用客户端的用户进行登录鉴权、对应用客户端的WEB服务请求进行以密匙为基础的业务类鉴权、对应应用客户端的WEB服务请求进行以证书文件为基础的业务类鉴权或对应用客户端的WEB服务请求进行以秘钥字符串和证书文件相结合方式的业务类鉴权。
4.根据权利要求3所述的支持平台多应用的WEB服务分层鉴权方法,其特征在于,所述对应用客户端的用户进行登录鉴权包括用户身份信息校验或应用客户端登录的设备单一性校验、令牌有效期校验。
5.根据权利要求3所述的支持平台多应用的WEB服务分层鉴权方法,其特征在于,所述对应用客户端的WEB服务请求进行以密匙为基础的业务类鉴权包括对密匙内容的合法信息校验或密匙与应用的关联关系校验。
6.根据权利要求3所述的支持平台多应用的WEB服务分层鉴权方法,其特征在于,所述对应应用客户端的WEB服务请求进行以证书文件为基础的业务类鉴权为将WEB服务请求上报的证书关键信息与应用端业务鉴权中心的证书信息进行匹配,以判断鉴权是否通过。
7.根据权利要求3所述的支持平台多应用的WEB服务分层鉴权方法,其特征在于,所述对应用客户端的WEB服务请求进行以秘钥字符串和证书文件相结合方式的业务类鉴权为以密匙符串和密匙证书文件作为业务鉴权的关键信息。
CN201710296027.3A 2017-04-28 2017-04-28 支持平台多应用的web服务分层鉴权方法 Active CN107147634B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710296027.3A CN107147634B (zh) 2017-04-28 2017-04-28 支持平台多应用的web服务分层鉴权方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710296027.3A CN107147634B (zh) 2017-04-28 2017-04-28 支持平台多应用的web服务分层鉴权方法

Publications (2)

Publication Number Publication Date
CN107147634A CN107147634A (zh) 2017-09-08
CN107147634B true CN107147634B (zh) 2020-01-31

Family

ID=59774032

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710296027.3A Active CN107147634B (zh) 2017-04-28 2017-04-28 支持平台多应用的web服务分层鉴权方法

Country Status (1)

Country Link
CN (1) CN107147634B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108712450B (zh) * 2018-08-01 2020-12-01 北京闲徕互娱网络科技有限公司 DDoS攻击的防护方法及系统
CN112822173B (zh) * 2020-12-31 2023-05-09 平安科技(深圳)有限公司 基于分层鉴权的请求处理方法、装置及存储介质
CN112818361A (zh) * 2021-01-21 2021-05-18 广州汇通国信科技有限公司 平台权限资源与项目权限资源独立的双权限方法及装置
CN116055153B (zh) * 2023-01-04 2024-07-23 浙江网商银行股份有限公司 一种防止越权访问的方法、装置和设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101945102A (zh) * 2010-07-26 2011-01-12 中兴通讯股份有限公司 基于ims的iptv用户合法性认证的方法、服务器及系统
CN102222090A (zh) * 2011-06-02 2011-10-19 清华大学 一种云环境下海量数据资源管理框架
CN103279343A (zh) * 2013-05-16 2013-09-04 北京互动阳光科技有限公司 一种基于分布式大型网站开发的技术框架系统
CN104065743A (zh) * 2014-07-07 2014-09-24 南京市卫生信息中心 一种基于智慧城市平台的120急救系统
CN104702405A (zh) * 2013-12-04 2015-06-10 中国电信股份有限公司 一种应用分级认证的方法和系统
US9665411B2 (en) * 2012-05-01 2017-05-30 Red Hat, Inc. Communication between a server orchestration system and a messaging system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090126007A1 (en) * 2007-11-08 2009-05-14 Avantia, Inc. Identity management suite

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101945102A (zh) * 2010-07-26 2011-01-12 中兴通讯股份有限公司 基于ims的iptv用户合法性认证的方法、服务器及系统
CN102222090A (zh) * 2011-06-02 2011-10-19 清华大学 一种云环境下海量数据资源管理框架
US9665411B2 (en) * 2012-05-01 2017-05-30 Red Hat, Inc. Communication between a server orchestration system and a messaging system
CN103279343A (zh) * 2013-05-16 2013-09-04 北京互动阳光科技有限公司 一种基于分布式大型网站开发的技术框架系统
CN104702405A (zh) * 2013-12-04 2015-06-10 中国电信股份有限公司 一种应用分级认证的方法和系统
CN104065743A (zh) * 2014-07-07 2014-09-24 南京市卫生信息中心 一种基于智慧城市平台的120急救系统

Also Published As

Publication number Publication date
CN107147634A (zh) 2017-09-08

Similar Documents

Publication Publication Date Title
CN110086822B (zh) 面向微服务架构的统一身份认证策略的实现方法及系统
WO2022052493A1 (zh) 基于5g的物联网设备的接入方法、系统及存储介质
US8627424B1 (en) Device bound OTP generation
EP1914658B1 (en) Identity controlled data center
US10541991B2 (en) Method for OAuth service through blockchain network, and terminal and server using the same
CN107147634B (zh) 支持平台多应用的web服务分层鉴权方法
US9781096B2 (en) System and method for out-of-band application authentication
US10530763B2 (en) Late binding authentication
CN111931144B (zh) 一种操作系统与业务应用统一安全登录认证方法及装置
US9699167B1 (en) Distributed authentication
JP2020064668A5 (zh)
US10419431B2 (en) Preventing cross-site request forgery using environment fingerprints of a client device
CN110417790B (zh) 区块链实名制排队系统及方法
CN110365483B (zh) 云平台认证方法、客户端、中间件及系统
US9967260B1 (en) Enhanced authentication security
CN109474437B (zh) 一种基于生物识别信息来应用数字证书的方法
CN103475666A (zh) 一种物联网资源的数字签名认证方法
JP2004206695A (ja) クライアントセッションフェイルオーバーを提供する方法および構造
CN101662496B (zh) 一种利用点对点技术实现文件共享的系统及方法
CN103685204A (zh) 基于物联网资源共享平台的资源鉴权方法
CN104539615A (zh) 基于cas的级联认证方法
WO2014153959A1 (zh) 用于防止跨站点请求伪造的方法、相关装置及系统
CN103685192A (zh) 一种对第三方应用发起的调用进行限制的方法及装置
CN101155033B (zh) 一种确认客户端身份的方法
CN109120644A (zh) 一种基于数字证书和账号口令的双重身份认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant