CN110690972B - 令牌认证方法、装置、电子设备及存储介质 - Google Patents
令牌认证方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110690972B CN110690972B CN201910966823.2A CN201910966823A CN110690972B CN 110690972 B CN110690972 B CN 110690972B CN 201910966823 A CN201910966823 A CN 201910966823A CN 110690972 B CN110690972 B CN 110690972B
- Authority
- CN
- China
- Prior art keywords
- token
- access
- cache table
- access token
- revocation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种令牌认证方法、装置、电子设备及存储介质,涉及通信技术领域。所述方法包括:接收包含第一访问令牌的第一访问请求;确定令牌缓存表中是否存在第一访问令牌,令牌缓存表用于在访问令牌生成后存储访问令牌,且令牌缓存表中的访问令牌在到达令牌刷新时间后被移除;在令牌缓存表中存在第一访问令牌时,响应第一访问请求;在令牌缓存表中不存在第一访问令牌时,确定撤销令牌缓存表中是否存在第一访问令牌;在撤销令牌缓存表中存在第一访问令牌时,拒绝第一访问请求;在撤销令牌缓存表中不存在第一访问令牌时,将第一访问令牌存入撤销令牌缓存表,响应第一访问请求。通过令牌缓存表和撤销令牌缓存表提高了令牌认证的安全性。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种令牌认证方法、装置、电子设备及存储介质。
背景技术
对于任意一个系统的资源访问,均涉及到身份认证的问题。对于Web应用而言,目前比较流行的有令牌(Token)机制。因为,HTTP协议设计是无状态的,为了区分不同请求是否来源于同一个用户,需要一种手段保持用户会话信息。Token机制的原理是将用户信息自包含在Token字符串中,服务器端通过解析Token识别当前访问的用户而不需要存储。因为Token机制拥有防止跨站攻击、便于在APP上使用等优势,当前业界越来越趋向于使用Token机制做系统资源访问认证。在这样的系统中,通常Token包含了用户的身份信息,如果Token泄漏则将带来安全风险,存在较大的安全隐患。
发明内容
有鉴于此,本申请实施例的目的在于提供一种令牌认证方法、装置、电子设备及存储介质,以改善现有技术中存在的令牌认证时安全性较低的问题。
本申请实施例提供了一种令牌认证方法,所述方法包括:接收客户端发送的包含第一访问令牌的第一访问请求;验证所述第一访问令牌是否合法;在所述第一访问令牌合法时,确定令牌缓存表中是否存在所述第一访问令牌,所述令牌缓存表用于在访问令牌生成后存储所述访问令牌,且所述令牌缓存表中的访问令牌在到达令牌刷新时间后被移除;在所述令牌缓存表中存在所述第一访问令牌时,响应所述第一访问请求;在所述令牌缓存表中不存在所述第一访问令牌时,确定撤销令牌缓存表中是否存在所述第一访问令牌,所述撤销令牌缓存表用于存储已经被撤销的访问令牌,且所述撤销令牌缓存表中的访问令牌在到达撤销缓存失效时间后被移除;在所述撤销令牌缓存表中存在所述第一访问令牌时,拒绝所述第一访问请求;在所述撤销令牌缓存表中不存在所述第一访问令牌时,将所述第一访问令牌存储至所述撤销令牌缓存表中,响应所述第一访问请求。
在上述实现方式中,除了对访问令牌进行令牌合法性的验证外,还通过令牌缓存表和撤销令牌缓存表对访问令牌是否被撤销、是否具有正常访问权限等进行准确、高效地判定,避免对不安全的访问请求进行响应,从而提高了令牌访问的安全性。
可选地,所述第一访问请求还包括用户信息,在验证所述第一访问令牌是否合法之前,所述方法还包括:基于所述用户信息,确定所述第一访问请求的发送用户是否为黑名单中的用户;在所述发送用户是所述黑名单中的用户时,拒接所述第一访问请求,并将所述第一访问请求记入攻击日志;在所述发送用户不是所述黑名单中的用户时,执行所述验证所述第一访问令牌是否合法的步骤。
在上述实现方式中,通过用户信息判定发出访问请求的用户是否为黑名单中的用户,进一步提高了令牌访问的安全性。
可选地,在确定撤销令牌缓存表中是否存在所述第一访问令牌之前,所述方法还包括:确定待撤销令牌缓存表中是否存在所述第一访问令牌,所述待撤销令牌缓存表用于存储等待撤销的访问令牌,所述待撤销令牌缓存表中的访问令牌在到达待撤销缓存失效时间后被移除;在所述待撤销令牌缓存表中存在所述第一访问令牌时,响应所述第一访问请求;在所述待撤销令牌缓存表中不存在所述第一访问令牌时,执行所述确定撤销令牌缓存表中是否存在所述第一访问令牌的步骤。
在上述实现方式中,引入待撤销令牌缓存表,以判断访问令牌是否处于已经确定被撤销但程序执行上暂时未完成的状态,从而避免后续异步并发请求重复刷新令牌,从而提高令牌访问的效率,并进一步提高其安全性。
可选地,将所述第一访问令牌存储至所述撤销令牌缓存表中,响应所述第一访问请求,包括:将所述第一访问令牌缓存至所述待撤销令牌缓存表;生成第二访问令牌,将所述第二访问令牌缓存至所述令牌缓存表;将所述第一访问令牌加入所述撤销令牌缓存表;将所述第二访问令牌与所述第一访问请求的响应数据发送至所述客户端。
在上述实现方式中,在待撤销令牌缓存表和撤销令牌缓存表中均不存在第一访问令牌时对第一访问令牌正常响应,并启用第二访问令牌,撤销第一访问令牌,在提高了令牌访问的安全性的同时,保证了令牌访问的效率。
可选地,所述方法还包括:接收包含所述第二访问令牌的第二访问请求;检测所述第二访问请求的访问来源IP与请求生成所述第二访问令牌的生成来源IP是否相同,所述生成来源IP为所述客户端的IP;在所述访问来源IP和所述生成来源IP不同时,拦截所述第二访问请求。
在上述实现方式中,在访问令牌相同时,通过访问来源IP和生成来源IP的异同,确定访问令牌是否正常,从而提高令牌访问的安全性。
可选地,在接收包含所述第二访问令牌的第二访问请求之前,所述方法还包括:获取所述客户端的IP,将所述客户端的IP作为所述生成来源IP;基于所述生成来源IP、令牌签名密钥、所述用户信息和随机值生成签名密钥;采用所述签名密钥对生成的所述第二访问令牌进行签名,获得第一签名结果;检测所述第二访问请求的访问来源IP与请求生成所述第二访问令牌的生成来源IP是否相同,包括:采用所述签名密钥对接收的所述第二访问令牌进行签名,获得第二签名结果;在所述第一签名结果和所述第二签名结果相同时,确定所述访问来源IP与所述生成来源IP是否相同;在所述第一签名结果和所述第二签名结果不相同时,确定所述访问来源IP与所述生成来源IP是否不相同。
在上述实现方式中,基于签名认证的方式对访问来源IP和生成来源IP进行来源一致性判定,从而保证了令牌访问的安全性。
可选地,在确定令牌缓存表中是否存在所述第一访问令牌之前,所述方法还包括:创建所述令牌缓存表、所述撤销令牌缓存表、所述待撤销令牌缓存表和所述黑名单。
本申请实施例提供了一种令牌认证装置,所述装置包括:访问请求接收模块,用于接收客户端发送的包含第一访问令牌的第一访问请求;合法验证模块,用于验证所述第一访问令牌是否合法;令牌缓存表确认模块,用于在所述第一访问令牌合法时,确定令牌缓存表中是否存在所述第一访问令牌,所述令牌缓存表用于在访问令牌生成后存储所述访问令牌,且所述令牌缓存表中的访问令牌在到达令牌刷新时间后被移除;请求处理模块,用于在所述令牌缓存表中存在所述第一访问令牌时,响应所述第一访问请求;撤销令牌缓存表确认模块,用于在所述令牌缓存表中不存在所述第一访问令牌时,确定撤销令牌缓存表中是否存在所述第一访问令牌,所述撤销令牌缓存表用于存储已经被撤销的访问令牌,且所述撤销令牌缓存表中的访问令牌在到达撤销缓存失效时间后被移除;所述请求处理模块,还用于在所述撤销令牌缓存表中存在所述第一访问令牌时,拒绝所述第一访问请求;所述请求处理模块,还用于在所述撤销令牌缓存表中不存在所述第一访问令牌时,将所述第一访问令牌存储至所述撤销令牌缓存表中,响应所述第一访问请求。
在上述实现方式中,除了对访问令牌进行令牌合法性的验证外,还通过令牌缓存表和撤销令牌缓存表对访问令牌是否被撤销、是否具有正常访问权限等进行准确、高效地判定,避免对不安全的访问请求进行响应,从而提高了令牌访问的安全性。
可选地,所述令牌认证装置还包括:黑名单验证模块,用于基于所述用户信息,确定所述第一访问请求的发送用户是否为黑名单中的用户;在所述发送用户是所述黑名单中的用户时,拒接所述第一访问请求,并将所述第一访问请求记入攻击日志;在所述发送用户不是所述黑名单中的用户时,执行所述验证所述第一访问令牌是否合法的步骤。
在上述实现方式中,通过用户信息判定发出访问请求的用户是否为黑名单中的用户,进一步提高了令牌访问的安全性。
可选地,所述令牌认证装置还包括:待撤销令牌缓存表确认模块,用于确定待撤销令牌缓存表中是否存在所述第一访问令牌,所述待撤销令牌缓存表用于存储等待撤销的访问令牌,所述待撤销令牌缓存表中的访问令牌在到达待撤销缓存失效时间后被移除;在所述待撤销令牌缓存表中存在所述第一访问令牌时,响应所述第一访问请求;在所述待撤销令牌缓存表中不存在所述第一访问令牌时,执行所述确定撤销令牌缓存表中是否存在所述第一访问令牌的步骤。
在上述实现方式中,引入待撤销令牌缓存表,以判断访问令牌是否处于已经确定被撤销但程序执行上暂时未完成的状态,从而避免后续异步并发请求重复刷新令牌,从而提高令牌访问的效率,并进一步提高其安全性。
可选地,所述请求处理模块还用于:将所述第一访问令牌缓存至所述待撤销令牌缓存表;生成第二访问令牌,将所述第二访问令牌缓存至所述令牌缓存表;将所述第一访问令牌加入所述撤销令牌缓存表;将所述第二访问令牌与所述第一访问请求的响应数据发送至所述客户端。
在上述实现方式中,在待撤销令牌缓存表和撤销令牌缓存表中均不存在第一访问令牌时对第一访问令牌正常响应,并启用第二访问令牌,撤销第一访问令牌,在提高了令牌访问的安全性的同时,保证了令牌访问的效率。
可选地,所述令牌认证装置还包括:IP认证模块,用于接收包含所述第二访问令牌的第二访问请求;检测所述第二访问请求的访问来源IP与请求生成所述第二访问令牌的生成来源IP是否相同,所述生成来源IP为所述客户端的IP;在所述访问来源IP和所述生成来源IP不同时,拦截所述第二访问请求。
在上述实现方式中,在访问令牌相同时,通过访问来源IP和生成来源IP的异同,确定访问令牌是否正常,从而提高令牌访问的安全性。
可选地,所述IP认证模块还用于:获取所述客户端的IP,将所述客户端的IP作为所述生成来源IP;基于所述生成来源IP、令牌签名密钥、所述用户信息和随机值生成签名密钥;采用所述签名密钥对生成的所述第二访问令牌进行签名,获得第一签名结果;检测所述第二访问请求的访问来源IP与请求生成所述第二访问令牌的生成来源IP是否相同,包括:采用所述签名密钥对接收的所述第二访问令牌进行签名,获得第二签名结果;在所述第一签名结果和所述第二签名结果相同时,确定所述访问来源IP与所述生成来源IP是否相同;在所述第一签名结果和所述第二签名结果不相同时,确定所述访问来源IP与所述生成来源IP是否不相同。
在上述实现方式中,基于签名认证的方式对访问来源IP和生成来源IP进行来源一致性判定,从而保证了令牌访问的安全性。
可选地,所述令牌认证装置还包括:创建模块,用于创建所述令牌缓存表、所述撤销令牌缓存表、所述待撤销令牌缓存表和所述黑名单。
本申请实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一令牌认证方法。
本申请实施例还提供了一种可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一令牌认证方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种令牌认证方法的流程示意图;
图2为本申请实施例提供的一种待撤销缓存判定步骤的流程示意图;
图3为本申请实施例提供的一种撤销令牌缓存表中不存在第一访问令牌的后续执行步骤的流程示意图;
图4为本申请实施例提供的一种令牌认证装置的模块示意图。
图标:40-令牌认证装置;41-访问请求接收模块;42-合法验证模块;43-令牌缓存表确认模块;44-请求处理模块;45-撤销令牌缓存表确认模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
经本申请人研究发现,HTTP(HyperText Transfer Protocol,超文本传输协议)设计是无状态的,为了区分不同请求是否来源于同一个用户,需要一种手段保持用户会话信息,如今通常采用令牌(Token)机制,而在HTTP环境下通常令牌中包含了用户的身份信息,存在安全风险,当前常见的现有技术时采用刷新令牌和访问令牌机制,降低访问的安全风险,其大致方法如下:1)在登录成功后,根据用户身份信息生成刷新令牌和访问令牌,由Web端进行存储;2)Web端每次请求均携带访问令牌进行访问,当访问令牌过期后,Web端使用刷新令牌同时刷新访问令牌和刷新令牌,再次在Web端缓存,从而降低刷新令牌在网络中的传输次数以降低安全风险;3)通过HTTPS保障访问令牌在网络中的传输安全性,防止被非法获取。但是,在某些场景下HTTPS协议传输比较复杂,并且传输效率相对HTTP要低效一些,在某些场景下,使用HTTP传输数据是必然的选择,例如:数据中心内部署的不同系统之间通过restful接口交互数据的场景,数据中心环境安全性相对较高(一般通过防火墙等设施保障了基础的安全性),对于系统之间数据传输效率要求也较高,在这样的场景下使用HTTPS传输数据的代价相对于HTTP要高一些,通常采用HTTP交互数据,但是现有技术并不能保证HTTP环境下的令牌访问的安全性。
为了解决上述问题,本申请实施例提供了一种令牌认证方法。请参考图1,图1为本申请实施例提供的一种令牌认证方法的流程示意图。该令牌认证方法的具体步骤可以如下:
步骤S11:接收客户端发送的包含第一访问令牌的第一访问请求。
服务器接收客户端发送来的第一访问请求,应当理解的是,服务器可以和多个客户端进行通信连接,接收、响应多个客户端的访问请求。
访问令牌是用来描述进程或线程安全上下文的对象,访问令牌所包含的信息是与该用户相关的进程或线程的身份和权限信息。当线程和一个安全对象交互时或者线程试图执行一个需要权限的系统任务时,服务器或系统会使用访问令牌来辨别用户。访问令牌通常包含如下信息:用户账户SID(安全标识符,SecurityIdentifier)、用户所属组SID、识别当前登录会话的登录SID、用户或者用户组所保存的权限列表、所有者SID、主组SID、访问令牌的来源、当前模拟级别等。
步骤S12:验证第一访问令牌是否合法。
第一访问令牌的Token值在服务器生成,服务器接收到客户端的访问请求时,基于其用户名和密码进行认证,在认证成功时服务器向客户端返回Token值,客户端在每次进行访问请求时带上Token值就可以证明自身的合法地位。因此本实施例在第一访问令牌的Token值合法时,确定第一访问令牌合法。
可选地,在验证访问令牌的合法性时,还可以是对访问令牌是否过期、签名是否正确、访问来源IP是否正确等进行验证。
作为一种可选的实施方式,本实施例在步骤S12之前还可以对用户进行黑名单认证,其具体步骤可以如下:
步骤S1.1:基于用户信息,确定第一访问请求的发送用户是否为黑名单中的用户。
本实施例在确定用户是否为黑名单中的用户时,可以通过字段匹配的方式实现。
可选地,为了进一步增强安全性,本实施例还可以通过人工方式的手动添加黑名单用户,例如,发现疑似攻击或确认被攻击时,通过手动方式将系统指定用户或所有用户加入黑名单,强制指定用户或所有用户重新登录并颁发新的访问令牌,阻断非法访问,且只有在重新登录成功后,黑名单中的用户才会被移除出黑名单。
步骤S1.2:在发送用户是黑名单中的用户时,拒绝第一访问请求,并将第一访问请求记入攻击日志。
可选地,本实施例中的攻击日志可以是Web日志中归类为被攻击类型的日志。Web日志作为Web服务器重要的组成部分,详细的记录了服务器运行期间客户端对Web应用的访问请求和服务器的运行状态。同样,攻击者对网站的入侵行为也会被记录到Web日志中,因此本实施例将其作为可回溯、查询的攻击日志。
步骤S1.3:在发送用户不是黑名单中的用户时,执行验证第一访问令牌是否合法的步骤。
可选地,用户在重新登录认证通过后,可以从黑名单中被移除。
本实施例通过上述步骤S1.1-S1.3的黑名单验证,在对访问令牌的安全性进行验证以外,实现了用户身份的安全性验证,从而提高了数据访问的安全性。
步骤S13:在第一访问令牌合法时,确定令牌缓存表中是否存在第一访问令牌。
令牌缓存表是服务器一侧的缓存,其可以将访问令牌以键/值对的形式存储在后备存储中,该后备存储可以是Redis缓存或其他缓存。可选地,键可以是用户ID与客户端ID,因此后备存储即令牌缓存表可以为用户/客户端的每个唯一组合保存单独的缓存数据。
令牌缓存表中存在第一访问令牌时,表示第一访问令牌不需要刷新,可以直接响应第一访问请求;令牌缓存表中不存在第一访问令牌时,表示第一访问令牌可能需要进行刷新,也可能是攻击令牌,需要进行下一步判断。
可选地,本实施例在令牌缓存表、撤销令牌缓存表和待撤销令牌缓存表等缓存表、黑名单中查询是否存在某一访问令牌或用户,可以通过字段检索等方式完成。例如,服务器在接收到第一访问令牌时,基于第一访问令牌的用户账户SID、用户所属组SID、识别当前登录会话的登录SID等在令牌缓存表中进行字段检索和匹配,若存在用户账户SID、用户所属组SID、识别当前登录会话的登录SID与第一访问令牌相同的缓存令牌,则确定令牌缓存表中存在第一访问令牌。
可选地,在进行访问令牌的添加、查询之前,还需要创建令牌缓存表、撤销令牌缓存表、待撤销令牌缓存表和黑名单等。
进一步地,令牌缓存表中的每个访问令牌均设置有对应的撤销缓存失效时间,访问令牌在其令牌刷新时间到达时会从令牌缓存表中移除。具体地,该令牌刷新时间表示访问令牌的有效访问期限,在到达令牌刷新时间后该访问令牌被认为不再安全。
可选地,令牌刷新时间可以根据使用环境的安全程度由用户或服务器进行配置,在使用环境安全度较高时可以将令牌刷新时间设置长一些。具体地,本实施例中的令牌刷新时间通常可以设置为20分钟、30分钟等,且在令牌刷新时间为0时,表示每次访问均需要刷新访问令牌,则无需创建令牌缓存表。
步骤S14:在令牌缓存表中存在第一访问令牌时,响应第一访问请求。
服务器响应第一访问请求时,将第一访问请求需要的数据传输至与第一访问请求对应的客户端。
步骤S15:在令牌缓存表中不存在第一访问令牌时,确定撤销令牌缓存表中是否存在第一访问令牌。
撤销令牌缓存表用于存储已经被撤销的访问令牌,且撤销令牌缓存表中的访问令牌在到达撤销缓存失效时间后被移除。撤销缓存失效时间可以根据使用环境的安全程度由用户或服务器进行配置,且该撤销缓存失效时间可以与访问令牌的令牌刷新时间相同。
步骤S16:在撤销令牌缓存表中存在第一访问令牌时,拒绝第一访问请求。
撤销令牌缓存表中存在第一访问令牌时,表示第一访问令牌已经被撤销,可能存在安全隐患,因此用户不能通过第一访问令牌继续进行数据访问。
步骤S17:在撤销令牌缓存表中不存在第一访问令牌时,将第一访问令牌存储至撤销令牌缓存表中,响应第一访问请求。
撤销令牌缓存表中不存在第一访问令牌时,说明第一访问令牌为需要刷新的令牌或者是攻击令牌(例如非法人员从网络中通过技术手段获取的一个合法令牌,该令牌尚未被撤销),本实施例可以假定其为需要刷新的令牌,将第一访问令牌加入撤销令牌缓存表进行撤销,并响应第一访问请求。
应当理解的是,由于客户端可能采用的是异步并发请求,所以在较短时间内可能存在携带了相同访问令牌的多个请求同时到达服务器端,如果均进行令牌刷新,势必对服务器端性能产生不利影响;且对访问令牌执行撤销步骤也需要一定的时间,该时间段内有可能会收到访问请求,但撤销令牌缓存表中暂时还未存储该访问令牌,不利于进行安全性判定。所以本实施例设计了待撤销令牌缓存表,在某个访问请求的访问令牌进行刷新后,先将此访问令牌放入待撤销令牌缓存表,当下一个访问请求在缓存过期时间内,发现待撤销令牌缓存表中有此令牌,则不对当前访问令牌进行刷新,直接响应请求的数据。
可选地,待撤销令牌缓存表还设置有待撤销缓存失效时间,待撤销缓存失效时间可以根据访问令牌撤销所耗费的具体时间长短进行调整,例如0.2秒、0.5秒、0.8秒、1秒等。
具体地,在执行步骤S13之前,本实施例可以基于待撤销令牌缓存表进行待撤销缓存判定,请参考图2,图2为本申请提供的一种待撤销缓存判定步骤的流程示意图。该待撤销缓存判定步骤的具体子步骤可以如下:
步骤S2.1:确定待撤销令牌缓存表中是否存在第一访问令牌。
步骤S2.2:在待撤销令牌缓存表中存在第一访问令牌时,响应第一访问请求。
步骤S2.3:在待撤销令牌缓存表中不存在第一访问令牌时,执行确定撤销令牌缓存表中是否存在第一访问令牌的步骤。
待撤销令牌缓存表中存在第一访问令牌时,说明第一访问令牌处于等待撤销的状态,但是当前还未正式撤销,还能够被继续使用,因此直接响应第一访问请求;待撤销令牌缓存表中不存在第一访问令牌时,说明第一访问令牌可能已经被撤销,也可能是攻击令牌,从而进入下一步判定。
接下来,下一步判定为执行确定撤销令牌缓存表中是否存在第一访问令牌的步骤,具体地,请参考图3,图3为本申请实施例提供的一种撤销令牌缓存表中不存在第一访问令牌的后续执行步骤的流程示意图,其具体步骤可以包括:
步骤S3.1:将第一访问令牌缓存至待撤销令牌缓存表。
在待撤销令牌缓存表中不存在第一访问令牌时,本实施例可以假设需要对第一访问令牌进行刷新,则先将第一访问令牌存储到待撤销令牌缓存列表,避免后续异步并发请求重复刷新访问令牌。
步骤S3.2:生成第二访问令牌,将第二访问令牌缓存至令牌缓存表。
在第一访问令牌需要刷新时,生成第二访问令牌,并将第二访问令牌缓存至令牌缓存表,以使用户能够通过第二访问令牌继续进行访问。
步骤S3.3:将第一访问令牌加入撤销令牌缓存表。
将第一访问令牌放入撤销令牌缓存表中,正式撤销第一访问令牌。
步骤S3.4:将第二访问令牌与第一访问请求的响应数据发送至客户端。
服务器将第二访问令牌以及其请求的数据发送至该用户的客户端,以使用户在后续的访问中使用第二访问令牌继续发起访问请求。
通过上述令牌缓存表、撤销令牌缓存表和待撤销令牌缓存表的安全判定后,若第二访问令牌在发送给客户端时,被非法人员通过技术手段获取,并以第二访问令牌再次向服务器发起请求,此时服务器首先根据同源检测技术,检测发起第二访问请求的访问来源IP与请求生成第二访问令牌的生成来源IP是否一致。
在第二访问请求通过同源检测后,将第二访问令牌认定为合法的访问令牌,对其进行正常响应。若第二访问请求通过同源检测是非法技术人员通过技术手段伪造的IP,在令牌刷新时间内存在安全风险,在令牌刷新时间到达后,正常用户进行访问时携带的第二访问令牌被撤销,此时非法攻击者无法继续使用该第二访问令牌,而非法攻击者进行访问时携带的第二访问令牌被撤销,则正常用户无法继续使用第二访问令牌,则正常用户通常会重新登录账户获取新的访问令牌。而在上述两种情况下,服务器均已经发现被撤销的访问令牌再次被使用,则可以记录攻击日志并向用户或相关人员发送攻击告警。其中,访问令牌的令牌刷新时间的时长设置越短,发现被攻击的时间越短。
具体地,同源检测技术具体可以包括:获取客户端的IP,将客户端的IP作为生成来源IP;基于生成来源IP、令牌签名密钥、用户信息和随机值生成签名密钥;采用签名密钥对生成的第二访问令牌进行签名,获得第一签名结果;采用签名密钥对接收的第二访问令牌进行签名,获得第二签名结果;在第一签名结果和第二签名结果相同时,确定访问来源IP与生成来源IP是否相同;在第一签名结果和第二签名结果不相同时,确定访问来源IP与生成来源IP是否不相同。
其中,随机值是为了增加签名密钥的安全性采用任意随机值生成方式生成。
具体地,在确定受到攻击、被撤销的访问令牌再次被使用时,解析该访问令牌的载荷,从中取出用户信息或其他能够唯一标识用户的字段,将其添加到黑名单中,同时将该访问令牌存储至撤销令牌缓存表中,强制进行撤销。正常用户后续进行访问时会被拒绝,需要重新进行登录认证,生成新的访问令牌进行访问,并将该用户信息从黑名单中移除。
本实施例提供的令牌认证方法,在HTTP应用场景下,通过令牌缓存表、待撤销令牌缓存表、撤销令牌缓存表、用户黑名单表等机制,杜绝了刷新令牌泄漏的问题,提供了一种动态调整访问令牌在网络中停留时间的方式,同时能够在需要较高安全性要求时,做到每次请求刷新访问令牌,并且在此情况下,即使访问令牌泄漏也能够立即自反制,快速自动阻止攻击。特别适合应用于HTTP协议场景,在保证传输效率较高的情况下,保证系统的安全性。
为了配合上述令牌认证方法,本实施例还提供了一种令牌认证装置40。
请参考图4,图4为本申请实施例提供的一种令牌认证装置的模块示意图。
令牌认证装置40包括:
访问请求接收模块41,用于接收客户端发送的包含第一访问令牌的第一访问请求;
合法验证模块42,用于验证第一访问令牌是否合法;
令牌缓存表确认模块43,用于在第一访问令牌合法时,确定令牌缓存表中是否存在第一访问令牌,令牌缓存表用于在访问令牌生成后存储访问令牌,且令牌缓存表中的访问令牌在到达令牌刷新时间后被移除;
请求处理模块44,用于在令牌缓存表中存在第一访问令牌时,响应第一访问请求;
撤销令牌缓存表确认模块45,用于在令牌缓存表中不存在第一访问令牌时,确定撤销令牌缓存表中是否存在第一访问令牌,撤销令牌缓存表用于存储已经被撤销的访问令牌,且撤销令牌缓存表中的访问令牌在到达撤销缓存失效时间后被移除;
请求处理模块44,还用于在撤销令牌缓存表中存在第一访问令牌时,拒绝第一访问请求;
请求处理模块44,还用于在撤销令牌缓存表中不存在第一访问令牌时,将第一访问令牌存储至撤销令牌缓存表中,响应第一访问请求。
可选地,令牌认证装置40还包括:黑名单验证模块,用于基于用户信息,确定第一访问请求的发送用户是否为黑名单中的用户;在发送用户是黑名单中的用户时,拒接第一访问请求,并将第一访问请求记入攻击日志;在发送用户不是黑名单中的用户时,执行验证第一访问令牌是否合法的步骤。
可选地,令牌认证装置40还包括:待撤销令牌缓存表确认模块,用于确定待撤销令牌缓存表中是否存在第一访问令牌,待撤销令牌缓存表用于存储等待撤销的访问令牌,待撤销令牌缓存表中的访问令牌在到达待撤销缓存失效时间后被移除;在待撤销令牌缓存表中存在第一访问令牌时,响应第一访问请求;在待撤销令牌缓存表中不存在第一访问令牌时,执行确定撤销令牌缓存表中是否存在第一访问令牌的步骤。
可选地,请求处理模块44还用于:将第一访问令牌缓存至待撤销令牌缓存表;生成第二访问令牌,将第二访问令牌缓存至令牌缓存表;将第一访问令牌加入撤销令牌缓存表;将第二访问令牌与第一访问请求的响应数据发送至客户端。
可选地,令牌认证装置40还包括:IP认证模块,用于接收包含第二访问令牌的第二访问请求;检测第二访问请求的访问来源IP与请求生成第二访问令牌的生成来源IP是否相同,生成来源IP为客户端的IP;在访问来源IP和生成来源IP不同时,拦截第二访问请求。
可选地,IP认证模块还用于:获取客户端的IP,将客户端的IP作为生成来源IP;基于所述生成来源IP、令牌签名密钥、所述用户信息和随机值生成签名密钥;采用签名密钥对生成的第二访问令牌进行签名,获得第一签名结果;检测第二访问请求的访问来源IP与请求生成第二访问令牌的生成来源IP是否相同,包括:采用签名密钥对接收的第二访问令牌进行签名,获得第二签名结果;在第一签名结果和第二签名结果相同时,确定访问来源IP与生成来源IP是否相同;在第一签名结果和第二签名结果不相同时,确定访问来源IP与生成来源IP是否不相同。
可选地,令牌认证装置40还包括:创建模块,用于创建令牌缓存表、撤销令牌缓存表、待撤销令牌缓存表和黑名单。
本申请实施例还提供了一种电子设备,该电子设备包括存储器和处理器,存储器中存储有程序指令,处理器读取并运行程序指令时,执行本实施例提供的任一令牌认证方法。
应当理解是,该电子设备可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personal digital assistant,PDA)等具有逻辑计算功能的电子设备。
本申请实施例还提供了一种存储介质,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本实施例提供的任一令牌认证方法。
综上所述,本申请实施例提供了一种令牌认证方法、装置、电子设备及存储介质,所述方法包括:接收客户端发送的包含第一访问令牌的第一访问请求;验证第一访问令牌是否合法;在第一访问令牌合法时,确定令牌缓存表中是否存在第一访问令牌,令牌缓存表用于在访问令牌生成后存储访问令牌,且令牌缓存表中的访问令牌在到达令牌刷新时间后被移除;在令牌缓存表中存在第一访问令牌时,响应第一访问请求;在令牌缓存表中不存在第一访问令牌时,确定撤销令牌缓存表中是否存在第一访问令牌,撤销令牌缓存表用于存储已经被撤销的访问令牌,且撤销令牌缓存表中的访问令牌在到达撤销缓存失效时间后被移除;在撤销令牌缓存表中存在第一访问令牌时,拒绝第一访问请求;在撤销令牌缓存表中不存在第一访问令牌时,将第一访问令牌存储至撤销令牌缓存表中,响应第一访问请求。
在上述实现方式中,除了对访问令牌进行令牌合法性的验证外,还通过令牌缓存表和撤销令牌缓存表对访问令牌是否被撤销、是否具有正常访问权限等进行准确、高效地判定,避免对不安全的访问请求进行响应,从而提高了令牌访问的安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RanDOm Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种令牌认证方法,其特征在于,所述方法包括:
接收客户端发送的包含第一访问令牌的第一访问请求;
验证所述第一访问令牌是否合法;
在所述第一访问令牌合法时,确定令牌缓存表中是否存在所述第一访问令牌,所述令牌缓存表用于在访问令牌生成后存储所述访问令牌,且所述令牌缓存表中的访问令牌在到达令牌刷新时间后被移除;
在所述令牌缓存表中存在所述第一访问令牌时,响应所述第一访问请求;
在所述令牌缓存表中不存在所述第一访问令牌时,确定撤销令牌缓存表中是否存在所述第一访问令牌,所述撤销令牌缓存表用于存储已经被撤销的访问令牌,且所述撤销令牌缓存表中的访问令牌在到达撤销缓存失效时间后被移除;
在所述撤销令牌缓存表中存在所述第一访问令牌时,拒绝所述第一访问请求;
在所述撤销令牌缓存表中不存在所述第一访问令牌时,将所述第一访问令牌缓存至待撤销令牌缓存表;生成第二访问令牌,将所述第二访问令牌缓存至所述令牌缓存表;将所述第一访问令牌加入所述撤销令牌缓存表;将所述第二访问令牌与所述第一访问请求的响应数据发送至所述客户端。
2.根据权利要求1所述的方法,其特征在于,所述第一访问请求还包括用户信息,在验证所述第一访问令牌是否合法之前,所述方法还包括:
基于所述用户信息,确定所述第一访问请求的发送用户是否为黑名单中的用户;
在所述发送用户是所述黑名单中的用户时,拒接所述第一访问请求,并将所述第一访问请求记入攻击日志;
在所述发送用户不是所述黑名单中的用户时,执行所述验证所述第一访问令牌是否合法的步骤。
3.根据权利要求2所述的方法,其特征在于,在确定撤销令牌缓存表中是否存在所述第一访问令牌之前,所述方法还包括:
确定待撤销令牌缓存表中是否存在所述第一访问令牌,所述待撤销令牌缓存表用于存储等待撤销的访问令牌,所述待撤销令牌缓存表中的访问令牌在到达待撤销缓存失效时间后被移除;
在所述待撤销令牌缓存表中存在所述第一访问令牌时,响应所述第一访问请求;
在所述待撤销令牌缓存表中不存在所述第一访问令牌时,执行所述确定撤销令牌缓存表中是否存在所述第一访问令牌的步骤。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收包含所述第二访问令牌的第二访问请求;
检测所述第二访问请求的访问来源IP与请求生成所述第二访问令牌的生成来源IP是否相同,所述生成来源IP为所述客户端的IP;
在所述访问来源IP和所述生成来源IP不同时,拦截所述第二访问请求。
5.根据权利要求4所述的方法,其特征在于,在接收包含所述第二访问令牌的第二访问请求之前,所述方法还包括:
获取所述客户端的IP,将所述客户端的IP作为所述生成来源IP;
基于所述生成来源IP、令牌签名密钥、用户信息和随机值生成签名密钥;
采用所述签名密钥对生成的所述第二访问令牌进行签名,获得第一签名结果;
检测所述第二访问请求的访问来源IP与请求生成所述第二访问令牌的生成来源IP是否相同,包括:
采用所述签名密钥对接收的所述第二访问令牌进行签名,获得第二签名结果;
在所述第一签名结果和所述第二签名结果相同时,确定所述访问来源IP与所述生成来源IP是否相同;
在所述第一签名结果和所述第二签名结果不相同时,确定所述访问来源IP与所述生成来源IP是否不相同。
6.根据权利要求3所述的方法,其特征在于,在确定令牌缓存表中是否存在所述第一访问令牌之前,所述方法还包括:
创建所述令牌缓存表、所述撤销令牌缓存表、所述待撤销令牌缓存表和所述黑名单。
7.一种令牌认证装置,其特征在于,所述装置包括:
访问请求接收模块,用于接收客户端发送的包含第一访问令牌的第一访问请求;
合法验证模块,用于验证所述第一访问令牌是否合法;
令牌缓存表确认模块,用于在所述第一访问令牌合法时,确定令牌缓存表中是否存在所述第一访问令牌,所述令牌缓存表用于在访问令牌生成后存储所述访问令牌,且所述令牌缓存表中的访问令牌在到达令牌刷新时间后被移除;
请求处理模块,用于在所述令牌缓存表中存在所述第一访问令牌时,响应所述第一访问请求;
撤销令牌缓存表确认模块,用于在所述令牌缓存表中不存在所述第一访问令牌时,确定撤销令牌缓存表中是否存在所述第一访问令牌,所述撤销令牌缓存表用于存储已经被撤销的访问令牌,且所述撤销令牌缓存表中的访问令牌在到达撤销缓存失效时间后被移除;
所述请求处理模块,还用于在所述撤销令牌缓存表中存在所述第一访问令牌时,拒绝所述第一访问请求;
所述请求处理模块,还用于在所述撤销令牌缓存表中不存在所述第一访问令牌时,将所述第一访问令牌缓存至待撤销令牌缓存表;生成第二访问令牌,将所述第二访问令牌缓存至所述令牌缓存表;将所述第一访问令牌加入所述撤销令牌缓存表;将所述第二访问令牌与所述第一访问请求的响应数据发送至所述客户端。
8.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行权利要求1-6中任一项所述的令牌认证方法。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-6中任一项所述的令牌认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910966823.2A CN110690972B (zh) | 2019-10-11 | 2019-10-11 | 令牌认证方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910966823.2A CN110690972B (zh) | 2019-10-11 | 2019-10-11 | 令牌认证方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110690972A CN110690972A (zh) | 2020-01-14 |
| CN110690972B true CN110690972B (zh) | 2022-02-22 |
Family
ID=69112337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910966823.2A Active CN110690972B (zh) | 2019-10-11 | 2019-10-11 | 令牌认证方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110690972B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111371881A (zh) * | 2020-02-28 | 2020-07-03 | 北京字节跳动网络技术有限公司 | 服务调用方法及设备 |
| CN113630363B (zh) * | 2020-05-06 | 2023-09-08 | 福建省天奕网络科技有限公司 | 分布式令牌鉴权方法、存储介质 |
| CN111711602A (zh) * | 2020-05-12 | 2020-09-25 | 北京奇艺世纪科技有限公司 | 登录鉴权方法、装置、电子设备以及可读存储介质 |
| CN114301708B (zh) * | 2021-12-30 | 2024-08-09 | 金蝶智慧科技(深圳)有限公司 | 身份认证方法、身份认证服务器及相关装置 |
| CN115242469B (zh) * | 2022-07-07 | 2024-05-24 | 安天科技集团股份有限公司 | 安全访问api、安全通信的方法、电子设备及存储介质 |
| CN115549970B (zh) * | 2022-08-29 | 2024-08-16 | 紫光云技术有限公司 | 一种oauth2认证轻量级失效JWT令牌的方法 |
| CN115766197A (zh) * | 2022-11-11 | 2023-03-07 | 浙江网商银行股份有限公司 | 数据处理方法以及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101816140A (zh) * | 2007-07-27 | 2010-08-25 | 通用仪表公司 | 用于pki个性化过程的基于令牌的管理系统 |
| CN104350501A (zh) * | 2012-05-25 | 2015-02-11 | 佳能株式会社 | 授权服务器和客户端设备、服务器协作系统和令牌管理方法 |
| CN107025400A (zh) * | 2016-01-29 | 2017-08-08 | 谷歌公司 | 装置访问撤销 |
| CN108449187A (zh) * | 2018-06-19 | 2018-08-24 | 福建天泉教育科技有限公司 | 一种令牌刷新的方法及装置 |
| CN108471432A (zh) * | 2018-07-11 | 2018-08-31 | 北京智芯微电子科技有限公司 | 防止网络应用程序接口被恶意攻击的方法 |
| CN109639730A (zh) * | 2019-01-21 | 2019-04-16 | 北京工业大学 | 基于令牌的http无状态协议下信息系统数据接口认证方法 |
| CN110276197A (zh) * | 2019-06-25 | 2019-09-24 | 四川长虹电器股份有限公司 | 基于共享黑名单撤销jwt令牌实时生效的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030018606A1 (en) * | 2001-07-17 | 2003-01-23 | International Business Machines Corporation | Revocation of tokens without communication between the token holders and the token server |
| US10038723B2 (en) * | 2015-11-10 | 2018-07-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for reliable token revocation |
-
2019
- 2019-10-11 CN CN201910966823.2A patent/CN110690972B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101816140A (zh) * | 2007-07-27 | 2010-08-25 | 通用仪表公司 | 用于pki个性化过程的基于令牌的管理系统 |
| CN104350501A (zh) * | 2012-05-25 | 2015-02-11 | 佳能株式会社 | 授权服务器和客户端设备、服务器协作系统和令牌管理方法 |
| CN107025400A (zh) * | 2016-01-29 | 2017-08-08 | 谷歌公司 | 装置访问撤销 |
| CN108449187A (zh) * | 2018-06-19 | 2018-08-24 | 福建天泉教育科技有限公司 | 一种令牌刷新的方法及装置 |
| CN108471432A (zh) * | 2018-07-11 | 2018-08-31 | 北京智芯微电子科技有限公司 | 防止网络应用程序接口被恶意攻击的方法 |
| CN109639730A (zh) * | 2019-01-21 | 2019-04-16 | 北京工业大学 | 基于令牌的http无状态协议下信息系统数据接口认证方法 |
| CN110276197A (zh) * | 2019-06-25 | 2019-09-24 | 四川长虹电器股份有限公司 | 基于共享黑名单撤销jwt令牌实时生效的方法 |
Non-Patent Citations (2)
| Title |
|---|
| Distributed token management in Calypso file system;A. Mohindra;《ieeexplore》;19941029;全文 * |
| 基于动态令牌托管的Ad hoc网络安全路由机制;黄辰等;《小型微型计算机系统》;20081215(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110690972A (zh) | 2020-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110690972B (zh) | 令牌认证方法、装置、电子设备及存储介质 | |
| US11757641B2 (en) | Decentralized data authentication | |
| US10673862B1 (en) | Token-based access tracking and revocation | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
| US9047458B2 (en) | Network access protection | |
| CN107517179B (zh) | 一种鉴权方法、装置和系统 | |
| TWI633775B (zh) | 終端識別方法、機器識別碼註冊方法及相應系統、設備 | |
| WO2016184216A1 (zh) | 一种防止盗链的方法、防止盗链的服务器及客户端 | |
| US12113903B2 (en) | Long-lasting refresh tokens in self-contained format | |
| KR20150036104A (ko) | 로그인 검증의 방법, 클라이언트, 서버 및 시스템 | |
| WO2011089788A1 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| JP2017508194A (ja) | 生体認証プロトコル標準のためのシステムおよび方法 | |
| US11757877B1 (en) | Decentralized application authentication | |
| WO2012117253A1 (en) | An authentication system | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| US20190052672A1 (en) | System and methods for active brute force attack protection | |
| US9954853B2 (en) | Network security | |
| KR20150026587A (ko) | 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| CN114065162A (zh) | 业务系统的风险管控方法、装置和计算可读存储介质 | |
| CN110071937A (zh) | 基于区块链的登录方法、系统及存储介质 | |
| CN110034922B (zh) | 请求处理方法、处理装置以及请求验证方法、验证装置 | |
| KR101523629B1 (ko) | 로그인 인증 장치, 방법 및 이를 저장한 기록 매체 | |
| JP6842951B2 (ja) | 不正アクセス検出装置、プログラム及び方法 | |
| US20080022004A1 (en) | Method And System For Providing Resources By Using Virtual Path |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |