CN109462595A - 基于RestFul的数据接口安全交换方法 - Google Patents
基于RestFul的数据接口安全交换方法 Download PDFInfo
- Publication number
- CN109462595A CN109462595A CN201811444934.9A CN201811444934A CN109462595A CN 109462595 A CN109462595 A CN 109462595A CN 201811444934 A CN201811444934 A CN 201811444934A CN 109462595 A CN109462595 A CN 109462595A
- Authority
- CN
- China
- Prior art keywords
- data
- restful
- identity
- server
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于RestFul的数据接口安全交换方法,该方法包括:1)首先服务器创建一个认证凭证和身份凭证;2)客户端输入认证资格,通过后,服务器产生身份令牌和令牌的时效性;3)客户端再次输入身份令牌,服务器确认身份令牌、时效性、信息权限,通过后开放数据交换接口,完成数据交换动作。通过将验证和令牌统一管理,利用系统缓存的时效性为时效管理,可以大大减少系统内存开销,减少不同系统之前数据验证和交换的风险,增加系统交换的可靠性和安全性。
Description
技术领域
本发明属于网络安全领域,涉及一种数据接口之前的安全交换方法,尤其是涉及基于RestFul的安全认证和交换方法。
背景技术
随着云计算时代的到来,越来越多的系统和平台数据交互行为日趋频繁,不同的数据需求产生了不同的数据库解决方案,如mysql、oracle、cache db、document db、mongodb等。RES是指表征状态转移(Representational State Transfer),采用Web服务使用标准的HTTP方法(GET/PUT/POST/DELETE)将所有Web系统的服务抽象为资源,REST从资源的角度来观察整个网络,分布在各处的资源由URI确定,而客户端的应用通过URI来获取资源的表征。REST描述了一种架构样式的网络系统,REST是一组架构约束条件和原则,Web应用程序最重要的REST原则是客户端和服务器之间的交互在请求之间是无状态的。一些主流的WEB交互方案RST、SOAP(简单对象访问协议Simple Object Access Protocol,是一种标准化的通讯规范,主要用于Web服务中)、XML-RPC(一个远程过程调用的分布式计算协议,通过XML将调用函数封装,并使用HTTP协议作为传送机制)中,REST因简洁的设计风格,统一的资源定位、无状态的认证机制,极大的为开发者带来简便,然而因Rest接口数据交换存在数据传输暴露、数据交换接口库恶意调用或数据欺骗交换,造成敏感数据暴露,数据丢失和服务瘫痪等问题。Restful作为一种Web服务架构,其安全问题主要存在于传输过程中的会话攻击和身份认证。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于RestFul的安全认证方法,特别系统之间或平台之间的rest接口的安全传输。该方法基于RestFul架构,应用于数据交换过程。该交换过程主要有以下步骤:
1、生成登录凭证:主要由服务器创建一个用于身份和数据权限认证的凭据,并存储于数据库;
2、获得身份令牌权限:客户端携带凭据向服务器端发送一个信封(一个封装了HTTP请求的方法和参数的集合体),获得服务端的数据交换时的身份凭证。
3、获得身份令牌时效:服务器端响应客户端请求,认证身份凭据合法性,身份合法后,通过令牌生成规则生成具有时效性的身份令牌,存放于服务器缓存数据库Redis中,并返回时效性令牌和失效时间给客户端,服务器端开始身份令牌失效倒计时。
其中,令牌生成规则为,客户端请求资源名、身份凭据、当前请求时间等字符串进行MD5加密生成随机码,该随机码最优32位。
4、请求数据交换:客户端获得时效性令牌后,将时效性的身份令牌作为请求参数和数据交换参数一起放入信封,开始请求服务器进行数据交换。
5、完成数据交换:服务器端拦截客户端请求,判断请求是否合法,若合法则进行数据交换操作,否则拒绝请求。
其中判断依据主要有判断登录身份、时效、数据交换权限,必须三者同时满足要求方可进行数据交换。
所述的客户端和服务器之间所有的数据交互,运行在使用可信的HTTP之上。
与现有技术相比,本发明内容的技术效果:
1、对客户端和服务器之间的通信数据进行加密,保证用户数据的可靠性和安全性。
2、将验证和令牌统一管理,利用系统缓存的时效性做为时效管理,在增加系统安全性的同时减少系统的复杂性。
附图说明
图1数据共享交换平台流程图
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进。这些都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作;术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。因此不能理解为对本发明的限制。
参考图1,RestFul接口安全传输认证流程图,其主要是实现客户端和服务器间的数据交换。
第一步,服务器创建一个身份凭据,该身份凭据主要信息有数据交换名称、身份凭据密码,身份凭据的名称和密码可根据具体要对接的系统由系统程序或人为分配的方式操作,针对不同交换主体,生成唯一不同身份凭据。系统身份凭据的生成方式为:用户为对接系统拼音首字符简称,密码为随机6位数字、字母、特殊字符组成,数字、字母、特殊字符之间没有顺序要求。该凭据可保证对接不同系统的身份凭据唯一,可以甄别不同用户生成的身份令牌,服务器将生成的身份凭据存放到数据库中,可随时查阅和调用。
例如,服务器可生成用户名为:adm,密码为:12@ab!,并将密码存储到自己的数据库中。
第二步,客户端利用身份令牌发送请求至服务器端时,可以通过HTTPPOST方式发送,服务器端验证身份凭据的合法性。客户端输入格式与服务器生产格式相同,用户为对接系统拼音首字符简称,密码为随机6位数字、字母、特殊字符组成。若输入用户错误,提示用户错误,若输入密码错误,提示重新输入。
第三步,服务器端验证用户身份凭据的合法性后,通过身份令牌生成机制,可以使用JAVA、C、C++等语言进行身份令牌的生成。本实施例身份令牌使用JAVA编程语言,将客户端请求资源名、身份凭据、当前请求时间字符串进行MD5加密生成32位随机码,生成随机码就并放入服务器的Redis缓存数据库,设置缓存键值失效时间,利用Resdis缓存失效机制,实现令牌的定期失效,完成令牌的时效设置。
例如,用户通过输入用户名为:adm,密码为:12@ab!,通过服务器的验证,服务器通过JAVA的语言,将请求的资源(微信聊天记录)、身份凭据(adm)、当前请求时间(2018/11/11,11:11)进行MD5加密生成32位随机码并存放至服务器的Redis缓存数据库,并设置时效时间1h。
第四步,服务器端将生成好的身份令牌信息和失效时间信息以JSON格式的形式返回给客户端,作为访问服务器数据资源的依据,必须有身份令牌及其时效性才可以申请信息交换,具有时效性的令牌与登录的身份令牌具有区别。
第五步,客户端获得身份令牌后,通过RestFul接口将请求的数据资源参数和身份令牌放入信封,通过HTTP POST发于服务端请求数据交换,其主要包括身份信息、时效信息、请求的数据信息和权限。
第六步,服务端拦截数据交换请求,进行合法性请求验证,将请求携带的令牌和Redis具有身份凭据的令牌进行比对,如Redis缓存数据库存在且具令牌具有有效性且具有信息交换的权限,则放行请求,获得请求数据资源,若不同时具备三者则拒绝请求。
HTTP协议是无状态的,但是每次客户端与服务器之间的交互请求,都必须包认证信息,服务器在收到其认证信息后,需要验证其信息是否有效才能访问资源,因此本实施例中所述的客户端和服务器之间所有的数据交互,运行在使用可信的HTTP之上。
针对实施过程同时有以下两点说明:
1、所示上述流程,对于区域内固定客户端,因其用户信息相同或者使用者信息相同,因此服务器只需建立一次身份凭据,后续每次数据交换前均可以跳过第一步,直接登录身份凭证,申请具有时效性的身份令牌,提前建立身份信息,有利于减少交换的过程的复杂性。
2、若同次登录,身份令牌的时效性的时间范围之内,再次请求数据交换时,可以跳过前四步,直接输入身份令牌和请求的数据信息,服务器再次针对身份信息、时效性、信息的权限进行审核,通过则放行请求,进行数据交换。在客戶端身份令牌有效的时间内,再次请求资源无需再次获得令牌,令牌失效后需要再次获得新的令牌,此方案既保证了RestFul接口的数据交换的安全性,又可以减少每次数据交换的多次请求和认证,降低了数据认证的频繁性,提高了数据交换过程的安全性。
目前,基于RestFul的口安全传输方案已应用在是中国电信医疗影像云平台,主要实现快速对接了第三方平台,保证了多方数据交互的数据安全性和合法性,多方数据资源交互更加安全,同时影像云平台的安全性得到了更大保障。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (9)
1.一种基于RestFul的数据接口安全交换方法,其特征在于,包括以下步骤:
(1)生成登录凭证:由服务器创建身份和数据权限的凭证。
(2)生成具有时效性的身份令牌:客户端利用凭证向服务器请求获得身份令牌和其时效性,服务器响应客户端请求,认证身份后生成具有时效的身份令牌。
(3)数据交换:客户端以具有时效的身份令牌做为交换参数请求数据交换,通过服务器判断后,完成数据交换。
2.根据权利要求1所述的基于RestFul的数据接口安全交换方法,其特征在于,所述身份令牌的生成为采用MD5方法加密生成。
3.根据权利要求2所述的基于RestFul的数据接口安全交换方法,其特征在于,所述MD5数据来源于客户端请求资源名称、登录凭证、请求时间。
4.根据权利要求1基于RestFul的数据接口安全交换方法,其特征在于,在身份令牌的有效期内再次请求数据交换,可直接进行数据交换,不需要重新生成新的身份令牌。
5.根据权利要求1基于RestFul的数据接口安全交换方法,其特征在于,所述身份令牌的时效存放于服务器缓存数据库Redis中。
6.根据权利要求1基于RestFul的数据接口安全交换方法,其特征在于,服务器通过判断登录身份、时效、数据交换权限确定是否可进行数据交换。
7.根据权利要求6基于RestFul的数据接口安全交换方法,其特征在于,若三者中有一者无法通过判断,则显示异常,无法进行数据交换。
8.根据权利要求1基于RestFul的数据接口安全交换方法,其特征在于,所述登录凭证的用户可以为对接系统拼音首字符简称,密码为随机6位数字、字母、特殊字符的组合体。
9.根据权利要求1基于RestFul的数据接口安全交换方法,其特征在于,所述的客户端和服务器之间所有的数据交互,运行在使用可信的HTTP之上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811444934.9A CN109462595A (zh) | 2018-11-29 | 2018-11-29 | 基于RestFul的数据接口安全交换方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811444934.9A CN109462595A (zh) | 2018-11-29 | 2018-11-29 | 基于RestFul的数据接口安全交换方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109462595A true CN109462595A (zh) | 2019-03-12 |
Family
ID=65611981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811444934.9A Pending CN109462595A (zh) | 2018-11-29 | 2018-11-29 | 基于RestFul的数据接口安全交换方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109462595A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110008691A (zh) * | 2019-04-16 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种开放接口服务调用的方法、系统及设备 |
| CN110505146A (zh) * | 2019-08-23 | 2019-11-26 | 人立方智能科技有限公司 | 一种应用于招聘系统的即时通讯方法及系统 |
| CN110719285A (zh) * | 2019-10-11 | 2020-01-21 | 永诚恒易网络科技股份有限公司 | 一种基于http协议的token的封装方法 |
| CN111355730A (zh) * | 2020-02-28 | 2020-06-30 | 政采云有限公司 | 一种平台登录方法、装置、设备及计算机可读存储介质 |
| CN112261002A (zh) * | 2020-09-25 | 2021-01-22 | 山东浪潮通软信息科技有限公司 | 数据接口对接的方法及设备 |
| CN113760395A (zh) * | 2020-06-30 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 接口鉴权的方法、装置、设备和计算机可读介质 |
| CN114025028A (zh) * | 2021-10-28 | 2022-02-08 | 杭州数梦工场科技有限公司 | 一种接口请求处理方法和RESTful协议转换装置 |
| CN114650178A (zh) * | 2022-03-26 | 2022-06-21 | 山东众量信息科技有限公司 | 大数据交换方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486325A (zh) * | 2014-12-10 | 2015-04-01 | 上海爱数软件有限公司 | 一种基于RESTful的安全登陆认证方法 |
| CN104767731A (zh) * | 2015-03-12 | 2015-07-08 | 江苏中天科技软件技术有限公司 | 一种Restful移动交易系统身份认证防护方法 |
| CN105516980A (zh) * | 2015-12-17 | 2016-04-20 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| US20160366151A1 (en) * | 2015-06-11 | 2016-12-15 | Canon Kabushiki Kaisha | Authentication server system, method, and storage medium |
| CN107577504A (zh) * | 2017-07-26 | 2018-01-12 | 河南大学 | 一种基于Restful架构的无线传感器网络烧写方法 |
-
2018
- 2018-11-29 CN CN201811444934.9A patent/CN109462595A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486325A (zh) * | 2014-12-10 | 2015-04-01 | 上海爱数软件有限公司 | 一种基于RESTful的安全登陆认证方法 |
| CN104767731A (zh) * | 2015-03-12 | 2015-07-08 | 江苏中天科技软件技术有限公司 | 一种Restful移动交易系统身份认证防护方法 |
| US20160366151A1 (en) * | 2015-06-11 | 2016-12-15 | Canon Kabushiki Kaisha | Authentication server system, method, and storage medium |
| CN105516980A (zh) * | 2015-12-17 | 2016-04-20 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| CN107577504A (zh) * | 2017-07-26 | 2018-01-12 | 河南大学 | 一种基于Restful架构的无线传感器网络烧写方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110008691A (zh) * | 2019-04-16 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种开放接口服务调用的方法、系统及设备 |
| CN110505146A (zh) * | 2019-08-23 | 2019-11-26 | 人立方智能科技有限公司 | 一种应用于招聘系统的即时通讯方法及系统 |
| CN110719285A (zh) * | 2019-10-11 | 2020-01-21 | 永诚恒易网络科技股份有限公司 | 一种基于http协议的token的封装方法 |
| CN111355730A (zh) * | 2020-02-28 | 2020-06-30 | 政采云有限公司 | 一种平台登录方法、装置、设备及计算机可读存储介质 |
| CN113760395A (zh) * | 2020-06-30 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 接口鉴权的方法、装置、设备和计算机可读介质 |
| CN112261002A (zh) * | 2020-09-25 | 2021-01-22 | 山东浪潮通软信息科技有限公司 | 数据接口对接的方法及设备 |
| CN112261002B (zh) * | 2020-09-25 | 2022-11-22 | 浪潮通用软件有限公司 | 数据接口对接的方法及设备 |
| CN114025028A (zh) * | 2021-10-28 | 2022-02-08 | 杭州数梦工场科技有限公司 | 一种接口请求处理方法和RESTful协议转换装置 |
| CN114025028B (zh) * | 2021-10-28 | 2023-05-23 | 杭州数梦工场科技有限公司 | 一种接口请求处理方法和RESTful协议转换装置 |
| CN114650178A (zh) * | 2022-03-26 | 2022-06-21 | 山东众量信息科技有限公司 | 大数据交换方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109462595A (zh) | 基于RestFul的数据接口安全交换方法 | |
| TWI470989B (zh) | 在應用及網際網路為基礎服務上提供信任單一登入存取方法及裝置 | |
| CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
| CN113360862A (zh) | 统一身份认证系统、方法、电子设备及存储介质 | |
| CN107786571A (zh) | 一种用户统一认证的方法 | |
| CN103842984B (zh) | 基于参数的密钥推导 | |
| CN101741860B (zh) | 一种计算机远程安全控制方法 | |
| US20080097998A1 (en) | Data file access control | |
| CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
| US20090126007A1 (en) | Identity management suite | |
| CN102449976A (zh) | 用于访问私人数字内容的系统和方法 | |
| JP2013246655A (ja) | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 | |
| CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
| JP2007110377A (ja) | ネットワークシステム | |
| CN102647407A (zh) | 信息处理系统及信息处理系统的控制方法 | |
| US7428748B2 (en) | Method and system for authentication in a business intelligence system | |
| CN108616540A (zh) | 一种基于跨平台加密算法与声明式过滤认证的平台认证方法及系统 | |
| CN108111518B (zh) | 一种基于安全密码代理服务器的单点登录方法及系统 | |
| CN116980163A (zh) | 基于可信执行环境的数据处理方法、装置、设备及介质 | |
| CN113079396A (zh) | 一种业务管控方法、装置、终端设备和存储介质 | |
| CN102571874A (zh) | 一种分布式系统中的在线审计方法及装置 | |
| KR101510290B1 (ko) | Vpn에서 이중 인증을 구현하기 위한 장치 및 이의 동작 방법 | |
| CN114329395A (zh) | 一种基于区块链的供应链金融隐私保护方法和系统 | |
| CN111953491B (zh) | 一种基于SSH Certificate和LDAP两步鉴权审计方法 | |
| KR20130039745A (ko) | 인증 연동 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190312 |