CN107276967A - 一种分布式系统及其登录验证方法 - Google Patents

一种分布式系统及其登录验证方法 Download PDF

Info

Publication number
CN107276967A
CN107276967A CN201610213135.5A CN201610213135A CN107276967A CN 107276967 A CN107276967 A CN 107276967A CN 201610213135 A CN201610213135 A CN 201610213135A CN 107276967 A CN107276967 A CN 107276967A
Authority
CN
China
Prior art keywords
key
login
cookie
version
cipher
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610213135.5A
Other languages
English (en)
Other versions
CN107276967B (zh
Inventor
韩松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jingdong Century Trading Co Ltd
Beijing Jingdong Shangke Information Technology Co Ltd
Original Assignee
Beijing Jingdong Century Trading Co Ltd
Beijing Jingdong Shangke Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jingdong Century Trading Co Ltd, Beijing Jingdong Shangke Information Technology Co Ltd filed Critical Beijing Jingdong Century Trading Co Ltd
Priority to CN201610213135.5A priority Critical patent/CN107276967B/zh
Publication of CN107276967A publication Critical patent/CN107276967A/zh
Application granted granted Critical
Publication of CN107276967B publication Critical patent/CN107276967B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种分布式系统的登录验证方法,该方法包括:登录系统在验证客户端的账号密码成功后,采用密钥列表中最高版本的有效密钥生成带有该最高版本号的登录cookie值,并将所述登录cookie值返回给客户端;业务系统接收到客户端携带有所述登录cookie值的业务请求后,获取登录cookie值的密钥版本,通过所述密钥版本在自身保存的密钥列表中查询对应的密钥;利用该密钥解密登录cookie值,在校验解密结果合法后,处理正常的业务请求。本发明还公开了一种分布式系统。采用本发明能够确保系统的登录安全。

Description

一种分布式系统及其登录验证方法
技术领域
本发明涉及分布式系统技术领域,特别涉及一种分布式系统及其登录验证方法。
背景技术
随着网络的蓬勃发展,分布式系统已经成为大型系统网站的必要手段,将复杂的业务系统进行拆分,拆分成若干个功能系统,形成大规模的分布式系统应用。这样,就涉及到若干个功能系统的统一登录问题,即单点登录。即从登录系统登录后,访问其他业务系统时可以不再登录,即可访问对应的功能。
现有技术方案是用户每次通过单点登录系统,输入账号密码进行登录验证,验证成功后登录系统会通过唯一的密钥生成加密信息(登录cookie值),同时,将加密信息放置到cookie中返回给用户客户端浏览器。之后,用户再通过浏览器访问各个业务系统时,每个业务系统都会从用户的请求中获取登录cookie值,用与单点登录系统相同的密钥进行cookie值解密,并校验解密结果是否合法。如果不合法,则跳回登录页面重新登录;如果合法,则正常处理用户的请求。
现有技术方案存在密钥被人窃取的风险,即当业务系统的开发人员能够拿到登录cookie解密的客户端代码和解密密钥。这样,就可以破解用户的登录cookie信息,或逆向模拟加密流程进行登录cookie伪造,对业务系统的安全造成威胁。
发明内容
本发明的目的在于提供一种分布式系统及其登录验证方法,能够确保系统的登录安全。
为实现上述发明目的,本发明提供了一种分布式系统的登录验证方法,该方法包括:登录系统在验证客户端的账号密码成功后,采用密钥列表中最高版本的有效密钥生成带有该最高版本号的登录cookie值,并将所述登录cookie值返回给客户端;业务系统接收到客户端携带有所述登录cookie值的业务请求后,获取登录cookie值的密钥版本,通过所述密钥版本在自身保存的密钥列表中查询对应的密钥;利用该密钥解密登录cookie值,在校验解密结果合法后,处理正常的业务请求。
为实现上述发明目的,本发明还提供了一种分布式系统,包括:登录系统,在验证客户端的账号密码成功后,采用密钥列表中最高版本的有效密钥生成带有该最高版本号的登录cookie值,并将所述登录cookie值返回给客户端;业务系统,接收到客户端携带有所述登录cookie值的业务请求后,获取登录cookie值的密钥版本,通过所述密钥版本在自身保存的密钥列表中查询对应的密钥;利用该密钥解密登录cookie值,在校验解密结果合法后,处理正常的业务请求。
综上所述,本发明实施例的分布式系统及其登录验证方法,登录系统的管理人员维护着密钥列表,该密钥列表中至少存在一个有效密钥,当客户端进行登录操作时,登录系统采用版本号最高的有效密钥生成登录cookie值。当客户端访问业务系统时,业务系统获取登录cookie值的密钥版本,通过所述密钥版本在自身保存的密钥列表中查询对应的密钥;利用该密钥解密登录cookie值。本方案既可以防止恶意人员获取密钥进行cookie破解、伪造等操作,又可以进行系统安全的提升,可以定时进行cookie过期、失效操作,对老的cookie进行失效操作,保持系统的登录安全。
附图说明
图1为本发明实施例分布式系统的登录验证方法的流程示意图。
图2为本发明优选实施例分布式系统登录验证方法的流程示意图。
图3为本发明实施例分布式系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案作进一步地详细说明。
本发明针对现有分布式系统中存在的缺陷,采用密钥列表、动态管理密钥的方法,进行密钥的新增、失效,来定期对密钥进行替换处理。防止密钥泄露引起的一系列问题。
本发明实施例分布式系统的登录验证方法的流程示意图如图1所示,包括以下步骤:
步骤11、登录系统在验证客户端的账号密码成功后,采用密钥列表中最高版本的有效密钥生成带有该最高版本号的登录cookie值,并将所述登录cookie值返回给客户端;
其中,登录系统采用了实时修改的密钥列表,该密钥列表包括多个密钥值,每个密钥值对应有密钥状态和密钥版本。也就是说,登录系统管理人员维护密钥列表,因此密钥列表可以实时修改,可以对现有的密钥进行失效处理等,也可以新增密钥。
步骤12、业务系统接收到客户端携带有所述登录cookie值的业务请求后,获取登录cookie值的密钥版本,通过所述密钥版本在自身保存的密钥列表中查询对应的密钥;利用该密钥解密登录cookie值,在校验解密结果合法后,处理正常的业务请求。
其中,业务系统自身保存的密钥列表是在业务系统启动后,定时同步登录系统当前密钥列表得到的。
进一步地,所述业务系统通过所述密钥版本在自身保存的密钥列表中查询对应的密钥,如果查找不到对应的密钥,则向登录系统同步当前密钥列表。
进一步地,业务系统在启动后还加载有用于对登录cookie值进行解密的cookie解密程序包,所述业务系统利用密钥和所述cookie解密程序包解密登录cookie值。
综上,本发明由登录系统管理人员动态管理密钥列表,业务系统定时获取到登录系统的密钥列表,而业务系统的开发人员并不会知晓,因此提高了业务系统的安全性。
为清楚说明本发明,下面列举具体场景进行说明。
图2为本发明优选实施例分布式系统登录验证方法的流程示意图,如图2所示。
步骤20、登录系统在验证客户端的账号密码成功后,采用密钥列表中最高版本的有效密钥生成带有该最高版本号的登录cookie值,并将所述登录cookie值返回给客户端。
本发明实施例中登录系统中由登录系统管理人员维护的密钥列表如表1所示。由表1可以看出,密钥值为1a2b的密钥版本最高,且密钥状态为有效,所以采用该密钥值1a2b生成登录cookie值,具体生成方法为现有技术,在此不再赘述。因此,返回给客户端的响应内容为V12-********,其中,V12为密钥版本,********为根据密钥值1a2b加密后的登录cookie值。
表1
步骤21、业务系统接收到客户端的业务请求后,获取业务请求中的登录cookie值。
步骤22、业务系统判断业务请求中是否存在登录cookie值,如果不存在,则返回执行步骤20;如果存在,则执行步骤23。
需要说明的是,如果客户端不登录登录系统,而是直接访问业务系统的情况下,业务请求中就可能无法携带登录cookie值。
步骤23、业务系统获取登录cookie值的密钥版本。
本实施例中,密钥版本为V12。
步骤24、业务系统通过所述密钥版本在自身保存的密钥列表中查询对应的密钥。
本实施例中查询的是V12对应的密钥值1a2b。
步骤25、业务系统判断是否查询到对应的密钥,如果不存在,则执行步骤26;如果存在,则执行步骤27。
步骤26、业务系统向登录系统同步当前密钥列表。
需要说明的是,业务系统自身保存的密钥列表是在业务系统启动后,定时同步登录系统当前密钥列表得到的,可以如表1所示。如果时间上有延迟,只通过定时同步,业务系统有可能无法查询到最新的有效密钥,因此,业务系统在查询不到对应密钥的情况下,需要向登录系统同步当前密钥列表,以获得最新有效密钥。这时,返回执行步骤25,重新判断是否查询到对应的密钥。
步骤27、业务系统利用该密钥和cookie解密程序包解密登录cookie值。
其中,接入登录系统的业务系统,都需要将cookie解密程序包依赖进本业务系统中,该cookie解密程序包包括对cookie解密的程序。
步骤28、业务系统校验解密结果。
步骤29、业务系统判断是否通过校验,如果通过,则执行步骤30、业务系统处理正常的业务请求。如果不通过,则返回执行步骤20。
由此,完成了本发明优选实施例的登录验证方法。
基于同样的发明构思,本发明公开了一种分布式系统,结构示意图如图3所示。该分布式系统包括:
登录系统301,在验证客户端的账号密码成功后,采用密钥列表中最高版本的有效密钥生成带有该最高版本号的登录cookie值,并将所述登录cookie值返回给客户端;
业务系统302,接收到客户端携带有所述登录cookie值的业务请求后,获取登录cookie值的密钥版本,通过所述密钥版本在自身保存的密钥列表中查询对应的密钥;利用该密钥解密登录cookie值,在校验解密结果合法后,处理正常的业务请求。
所述登录系统301采用了实时修改的密钥列表,该密钥列表包括多个密钥值,每个密钥值对应有密钥状态和密钥版本。
所述业务系统302启动后,还用于定时同步登录系统当前密钥列表。
所述业务系统302通过所述密钥版本在自身保存的密钥列表中查询对应的密钥,如果查找不到对应的密钥,还用于:向登录系统同步当前密钥列表。
所述业务系统302在启动后还加载有用于对登录cookie值进行解密的cookie解密程序包,所述业务系统利用密钥和所述cookie解密程序包解密登录cookie值。
本发明的有益效果在于:
一、本方案既可以防止恶意人员获取密钥进行cookie破解、伪造等操作,又可以进行系统安全的提升,可以定时进行cookie过期、失效操作,对老的cookie进行失效操作,保持系统的登录安全。
二、采用业务系统定时获取密钥列表、密钥版本管理、密钥过期失效等方式。对登录密钥进行有效的管理,保证登录系统的安全性和可控性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种分布式系统的登录验证方法,该方法包括:
登录系统在验证客户端的账号密码成功后,采用密钥列表中最高版本的有效密钥生成带有该最高版本号的登录cookie值,并将所述登录cookie值返回给客户端;
业务系统接收到客户端携带有所述登录cookie值的业务请求后,获取登录cookie值的密钥版本,通过所述密钥版本在自身保存的密钥列表中查询对应的密钥;利用该密钥解密登录cookie值,在校验解密结果合法后,处理正常的业务请求。
2.如权利要求1所述的方法,其特征在于,所述登录系统采用了实时修改的密钥列表,该密钥列表包括多个密钥值,每个密钥值对应有密钥状态和密钥版本。
3.如权利要求1所述的方法,其特征在于,该方法进一步包括:所述业务系统启动后,定时同步登录系统当前密钥列表。
4.如权利要求1所述的方法,其特征在于,所述业务系统通过所述密钥版本在自身保存的密钥列表中查询对应的密钥,如果查找不到对应的密钥,该方法进一步包括:向登录系统同步当前密钥列表。
5.如权利要求1所述的方法,其特征在于,业务系统在启动后还加载有用于对登录cookie值进行解密的cookie解密程序包,所述业务系统利用密钥和所述cookie解密程序包解密登录cookie值。
6.一种分布式系统,包括:
登录系统,在验证客户端的账号密码成功后,采用密钥列表中最高版本的有效密钥生成带有该最高版本号的登录cookie值,并将所述登录cookie值返回给客户端;
业务系统,接收到客户端携带有所述登录cookie值的业务请求后,获取登录cookie值的密钥版本,通过所述密钥版本在自身保存的密钥列表中查询对应的密钥;利用该密钥解密登录cookie值,在校验解密结果合法后,处理正常的业务请求。
7.如权利要求6所述的分布式系统,其特征在于,所述登录系统采用了实时修改的密钥列表,该密钥列表包括多个密钥值,每个密钥值对应有密钥状态和密钥版本。
8.如权利要求6所述的分布式系统,其特征在于,所述业务系统启动后,还用于定时同步登录系统当前密钥列表。
9.如权利要求6所述的分布式系统,其特征在于,所述业务系统通过所述密钥版本在自身保存的密钥列表中查询对应的密钥,如果查找不到对应的密钥,还用于:向登录系统同步当前密钥列表。
10.如权利要求6所述的分布式系统,其特征在于,所述业务系统在启动后还加载有用于对登录cookie值进行解密的cookie解密程序包,所述业务系统利用密钥和所述cookie解密程序包解密登录cookie值。
CN201610213135.5A 2016-04-07 2016-04-07 一种分布式系统及其登录验证方法 Active CN107276967B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610213135.5A CN107276967B (zh) 2016-04-07 2016-04-07 一种分布式系统及其登录验证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610213135.5A CN107276967B (zh) 2016-04-07 2016-04-07 一种分布式系统及其登录验证方法

Publications (2)

Publication Number Publication Date
CN107276967A true CN107276967A (zh) 2017-10-20
CN107276967B CN107276967B (zh) 2020-07-31

Family

ID=60052488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610213135.5A Active CN107276967B (zh) 2016-04-07 2016-04-07 一种分布式系统及其登录验证方法

Country Status (1)

Country Link
CN (1) CN107276967B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113037703A (zh) * 2020-12-16 2021-06-25 重庆扬成大数据科技有限公司 大数据环境下农业信息化工作管理方法
CN113037702A (zh) * 2020-12-16 2021-06-25 重庆扬成大数据科技有限公司 基于大数据分析农业工作人员登录系统安全工作方法
CN113676318A (zh) * 2021-07-15 2021-11-19 北京思特奇信息技术股份有限公司 密钥轮换不影响原密码加解密的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110078437A1 (en) * 2009-09-29 2011-03-31 Oracle International Corporation Simplifying addition of web servers when authentication server requires registration
CN102118392A (zh) * 2011-01-18 2011-07-06 南京朗睿软件科技有限公司 数据传输的加密/解密方法及系统
US20120130874A1 (en) * 2010-11-22 2012-05-24 Network Appliance, Inc. Providing security in a cloud storage environment
CN103179134A (zh) * 2013-04-19 2013-06-26 中国建设银行股份有限公司 基于Cookie的单点登录方法、系统及其应用服务器
CN105262748A (zh) * 2015-10-19 2016-01-20 北京东方棱镜科技有限公司 广域网中对用户终端进行身份认证的方法和系统
CN105260668A (zh) * 2015-10-10 2016-01-20 北京搜狗科技发展有限公司 一种文件加密方法及电子设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110078437A1 (en) * 2009-09-29 2011-03-31 Oracle International Corporation Simplifying addition of web servers when authentication server requires registration
US20120130874A1 (en) * 2010-11-22 2012-05-24 Network Appliance, Inc. Providing security in a cloud storage environment
CN102118392A (zh) * 2011-01-18 2011-07-06 南京朗睿软件科技有限公司 数据传输的加密/解密方法及系统
CN103179134A (zh) * 2013-04-19 2013-06-26 中国建设银行股份有限公司 基于Cookie的单点登录方法、系统及其应用服务器
CN105260668A (zh) * 2015-10-10 2016-01-20 北京搜狗科技发展有限公司 一种文件加密方法及电子设备
CN105262748A (zh) * 2015-10-19 2016-01-20 北京东方棱镜科技有限公司 广域网中对用户终端进行身份认证的方法和系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113037703A (zh) * 2020-12-16 2021-06-25 重庆扬成大数据科技有限公司 大数据环境下农业信息化工作管理方法
CN113037702A (zh) * 2020-12-16 2021-06-25 重庆扬成大数据科技有限公司 基于大数据分析农业工作人员登录系统安全工作方法
CN113037702B (zh) * 2020-12-16 2021-11-09 重庆扬成大数据科技有限公司 基于大数据分析农业工作人员登录系统安全工作方法
CN113676318A (zh) * 2021-07-15 2021-11-19 北京思特奇信息技术股份有限公司 密钥轮换不影响原密码加解密的方法
CN113676318B (zh) * 2021-07-15 2024-02-27 北京思特奇信息技术股份有限公司 密钥轮换不影响原密码加解密的方法

Also Published As

Publication number Publication date
CN107276967B (zh) 2020-07-31

Similar Documents

Publication Publication Date Title
CN110493202B (zh) 登录令牌的生成及验证方法、装置和服务器
KR102088553B1 (ko) 취약 패스워드 검출 방법 및 장치
TWI587672B (zh) Login authentication method, client, server and system
US8307099B1 (en) Identifying use of software applications
US8533469B2 (en) Method and apparatus for sharing documents
CN105740725B (zh) 一种文件保护方法与系统
US8819424B2 (en) Token-based authentication using middle tier
CN108075888B (zh) 动态url生成方法及装置、存储介质、电子设备
CN103179134A (zh) 基于Cookie的单点登录方法、系统及其应用服务器
JP4256361B2 (ja) 認証管理方法及びシステム
CN102724044A (zh) 电子证据验证保全方法
CN105430014B (zh) 一种单点登录方法及其系统
JP2013513834A5 (zh)
CN106161710B (zh) 一种基于智能手机的用户账号安全管理系统
CN107454048A (zh) 信息的处理方法及装置、信息的认证方法、装置及系统
CN110071937A (zh) 基于区块链的登录方法、系统及存储介质
CN107276967A (zh) 一种分布式系统及其登录验证方法
CN103188208A (zh) 网页访问的权限控制方法、系统和呼叫中心
CN101552671A (zh) 基于u盘和动态差异密码的网络身份认证方法及系统
KR102336416B1 (ko) 웹 사이트의 아이디와 비밀번호를 핸드폰 번호에 결합하고 웹 사이트에 핸드폰 번호를 입력하여 핸드폰 고유의 본인확인을 통해 웹 사이트에 로그인하는 시스템과 방법
CN107276966B (zh) 一种分布式系统的控制方法及登录系统
CN106529216B (zh) 一种基于公共存储平台的软件授权系统及软件授权方法
CN104009851B (zh) 一种银行网银一次一密双向认证安全登录技术
JP2008083759A (ja) ログイン処理装置、ログイン処理システム、プログラム、及び記録媒体
CN104506518A (zh) Mips平台网络系统访问控制的身份认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant