CN110855624A - 基于web接口的安全校验方法及相关设备 - Google Patents
基于web接口的安全校验方法及相关设备 Download PDFInfo
- Publication number
- CN110855624A CN110855624A CN201910990768.0A CN201910990768A CN110855624A CN 110855624 A CN110855624 A CN 110855624A CN 201910990768 A CN201910990768 A CN 201910990768A CN 110855624 A CN110855624 A CN 110855624A
- Authority
- CN
- China
- Prior art keywords
- verification
- client
- signature
- web interface
- acckey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 186
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004806 packaging method and process Methods 0.000 claims abstract description 14
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请涉及信息安全领域,本申请公开了一种基于web接口的安全校验方法及相关设备,所述方法包括:接收客户端的web接口调用请求,对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验;若安全校验成功,根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息。本申请通过对客户端的web接口调用请求进行令牌验证、超时验证及签名验证,有效的提高接口调用时的信息安全,防止信息泄露,同时可避免被黑客攻击。
Description
技术领域
本申请涉及信息安全领域,特别涉及一种基于web接口的安全校验方法及相关设备。
背景技术
Web接口就是web服务提供的API接口,通常可以理解为一个HTTP请求,当对web服务发起请求时,即调用所述web接口时,会有第三方,例如黑客对HTTP请求进行拦截并篡改,导致信息泄露,所述的拦截篡改也是黑客恶意攻击网站的常用手段,此外黑客还会频繁的发起HTTP请求,导致服务器被大量的冒充请求占用,导致系统崩溃。
发明内容
本申请的目的在于针对现有技术的不足,提供一种基于web接口的安全校验方法及相关设备,通过对客户端的web接口调用请求进行令牌验证、超时验证及签名验证,有效的提高接口调用时的信息安全,防止信息泄露,同时可避免被黑客攻击。
为达到上述目的,本申请的技术方案提供一种基于web接口的安全校验方法及相关设备。
本申请公开了一种基于web接口的安全校验方法,包括以下步骤:
接收客户端的web接口调用请求,所述web接口调用请求由加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名进行封装生成,所述客户端签名由AccKey访问密钥、时间戳及AccToken访问令牌生成;
对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,所述安全校验包括解密校验、完整性校验、有效时间间隔校验、签名校验及接口调用权限校验;
若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息。
较佳地,所述对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,包括:
对所述web接口调用请求进行解析,获得加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名,对所述加密的AccKey访问密钥及加密的时间戳进行解密;
若解密通过,则获得解密的AccKey访问密钥及解密的时间戳,并对所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名进行完整性校验,若解密不通过,则解密校验失败。
较佳地,所述对所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名进行完整性校验,包括:
检测所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名是否为空;
当检测到所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名中的任一项为空时,完整性校验失败,否则进行有效时间间隔校验。
较佳地,所述进行有效时间间隔校验,包括:
预设有效时间间隔;
获取当前的系统时间,根据当前的系统时间及所述解密的时间戳获得时间间隔,若所述时间间隔在所述预设的有效时间间隔内,则进行签名校验,否则有效时间间隔校验失败。
较佳地,所述进行签名校验,包括:
根据所述解密的AccKey访问密钥进行查询,获得与所述解密的AccKey访问密钥对应的AccToken访问令牌,并根据所述解密的AccKey访问密钥、所述查询获得的AccToken访问令牌及解密的时间戳生成签名;
将所述签名与所述客户端签名进行比对,若所述签名与所述客户端签名不一致,则签名校验失败,否则进行接口调用权限校验。
较佳地,所述进行接口调用权限校验,包括:
根据所述解密的AccKey访问密钥,查询与所述解密的AccKey访问密钥对应的web接口调用权限;
若存在与所述解密的AccKey访问密钥对应的web接口调用权限,则接口调用权限校验成功,否则接口调用权限校验失败。
较佳地,所述若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息,包括:
当安全校验成功后,获得校验结果,根据所述校验结果生成状态码,将所述状态码、AccKey访问密钥及客户端身份生成服务端签名,将所述服务端签名及所述状态码进行封装生成反馈信息后发送给客户端;
若安全校验过程中存在任一项校验失败,则拒绝本次web接口调用请求,并向客户端返回校验失败反馈信息。
本申请还公开了一种基于web接口的安全校验装置,所述装置包括:
请求模块:设置为接收客户端的web接口调用请求,所述web接口调用请求由加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名进行封装生成,所述客户端签名由AccKey访问密钥、时间戳及AccToken访问令牌生成;
校验模块:设置为对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,所述安全校验包括解密校验、完整性校验、有效时间间隔校验、签名校验及接口调用权限校验;
反馈模块:设置为若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息。
本申请还公开了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被一个或多个所述处理器执行时,使得一个或多个所述处理器执行上述所述安全校验方法的步骤。
本申请还公开了一种存储介质,所述存储介质可被处理器读写,所述存储介质存储有计算机指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述所述安全校验方法的步骤。
本申请的有益效果是:本申请通过对客户端的web接口调用请求进行令牌验证、超时验证及签名验证,有效的提高接口调用时的信息安全,防止信息泄露,同时可避免被黑客攻击。
附图说明
图1为本申请第一个实施例的一种基于web接口的安全校验方法的流程示意图;
图2为本申请第二个实施例的一种基于web接口的安全校验方法的流程示意图;
图3为本申请第三个实施例的一种基于web接口的安全校验方法的流程示意图;
图4为本申请第四个实施例的一种基于web接口的安全校验方法的流程示意图;
图5为本申请第五个实施例的一种基于web接口的安全校验方法的流程示意图;
图6为本申请第六个实施例的一种基于web接口的安全校验方法的流程示意图;
图7为本申请第七个实施例的一种基于web接口的安全校验方法的流程示意图;
图8为本申请实施例的一种基于web接口的安全校验装置结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
本申请第一个实施例的一种基于web接口的安全校验方法流程如图1所示,本实施例包括以下步骤:
步骤s101,接收客户端的web接口调用请求,所述web接口调用请求由加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名进行封装生成,所述客户端签名由AccKey访问密钥、时间戳及AccToken访问令牌生成;
具体的,当客户端进行web接口调用时,会向服务端发起web接口调用请求,所述的web接口调用请求中会包含客户端身份信息、服务端预先为客户端分配的AccKey访问密钥、客户端的当前时间戳及客户端的签名;其中所述客户端的身份信息包括客户端的请求ID,用于识别客户端的身份;所述AccKey访问密钥与AccToken访问令牌是一对,即每个AccKey访问密钥与AccToken访问令牌对应,存储在服务端的数据库中,并预先分配给客户端,当客户端发起web接口调用请求时,就会携带所述AccKey访问密钥;所述客户端的当前的时间戳指的是系统当前的时间,即当客户端发起web接口调用请求时,就会获取客户端当前的系统时间,并根据所述当前的系统时间生成相应的时间戳;所述签名由AccKey访问密钥、AccToken访问令牌及时间戳组成,然后可通过安全哈希算法对作数AccKey访问密钥、AccToken访问令牌及时间戳进行加密签名。
具体的,为了保证所述web接口调用请求中的数据信息的安全性,需要对其中的敏感信息进行加密,所述敏感信息包括AccKey访问密钥和时间戳;当对所述AccKey访问密钥和时间戳进行加密后,可将所述加密的AccKey访问密钥和时间戳与客户端的身份信息及客户端签名一起进行封装生成web接口调用请求,并将所述web接口调用请求发送给服务端。
步骤s102,对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,所述安全校验包括解密校验、完整性校验、有效时间间隔校验、签名校验及接口调用权限校验;
具体的,当服务端收到客户端的web接口调用请求后,会对所述web接口调用请求进行解析,获取所述web接口调用请求中的数据信息,所述数据信息包括客户端身份信息、AccKey访问密钥、客户端时间戳及客户端签名,然后可根据所述数据信息分别进行安全校验,所述安全校验可包括完整性校验、解密校验、有效时间间隔校验、签名校验及接口调用权限校验。
步骤s103,若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息。
具体的,如果步骤s102中所有的校验都成功,那么可根据最后的校验结果生成服务端签名,然后可将所述校验结果与所述服务端签名一起封装成反馈信息发送给客户端;如果校验失败了,则可以直接拒绝本次客户端的web接口调用请求,并发送校验失败反馈信息给客户端。
本实施例中,通过对客户端的web接口调用请求进行令牌验证、超时验证及签名验证,有效的提高接口调用时的信息安全,防止信息泄露,同时可避免被黑客攻击。
图2为本申请第二个实施例的一种基于web接口的安全校验方法流程示意图,如图所示,所述步骤s102,对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,包括:
步骤s201,对所述web接口调用请求进行解析,获得加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名,对所述加密的AccKey访问密钥及加密的时间戳进行解密;
具体的,当服务端收到所述web接口调用请求后,对所述web接口调用请求进行解析,获得所述web接口调用请求中的加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名,然后可对所述加密的AccKey访问密钥和加密的时间戳进行解密,所述加解密可以通过对称加密或者非对称加密的方式进行。
步骤s202,若解密通过,则获得解密的AccKey访问密钥及解密的时间戳,并对所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名进行完整性校验,若解密不通过,则解密校验失败。
具体的,如果在解密过程中解密成功,则可获得解密的AccKey访问密钥及解密的时间戳,然后可根据所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名进行完整性校验;如果解密失败,则本次解密校验失败。
本实施例中,通过对web接口调用请求中的数据信息进行解密校验,可以提高系统安全性。
图3为本申请第三个实施例的一种基于web接口的安全校验方法流程示意图,如图所示,所述步骤s202,对所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名进行完整性校验,包括:
步骤s301,检测所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名是否为空;
具体的,所述完整性校验可以通过检测所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名中的任一项是否为空。
步骤s302,当检测到所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名中的任一项为空时,完整性校验失败,否则进行有效时间间隔校验。
具体的,如果通过检测,发现所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名中的任一项为空时,校验失败,如果所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名都不为空,则可进一步进行有效时间间隔校验。
本实施例中,通过对web接口调用请求中的数据信息进行完整性校验,可以提高系统的安全性。
图4为本申请第四个实施例的一种基于web接口的安全校验方法流程示意图,如图所示,所述步骤s302,进行有效时间间隔校验,包括:
步骤s401,预设有效时间间隔;
具体的,首先可在服务端预设有效时间间隔,所述有效时间间隔用于确认收到的web接口调用请求是否在有效时间内,所有预设的有效时间间隔可以更改。
步骤s402,获取当前的系统时间,根据当前的系统时间及所述解密的时间戳获得时间间隔,若所述时间间隔在所述预设的有效时间间隔内,则进行签名校验,否则有效时间间隔校验失败。
具体的,到获得所述web接口调用请求中的客户端时间戳后,可以获取服务端当前的系统时间,然后将服务端当前的系统时间减去多数客户端的时间戳对应的时间就是当前实际的时间间隔,并将所述当前实际的时间间隔与预设的有效时间间隔进行比较,如果所述当前实际的时间间隔在所述预设的有效时间间隔内,则所述web接口调用请求有效,可进一步进行签名校验,否则本次校验失败。
本实施例中,通过对web接口调用请求的有效时间进行校验,可以提高系统的安全性。
图5为本申请第五个实施例的一种基于web接口的安全校验方法流程示意图,如图所示,所述步骤s402,进行签名校验,包括:
步骤s501,根据所述解密的AccKey访问密钥进行查询,获得与所述解密的AccKey访问密钥对应的AccToken访问令牌,并根据所述解密的AccKey访问密钥、所述查询获得的AccToken访问令牌及解密的时间戳生成签名;
具体的,当获取到web接口调用请求中的AccKey访问密钥并成功解密之后,可根据所述解密的AccKey访问密钥在服务端中的数据库中进行查询,由于事先在服务端中的数据库中已经存储AccKey访问密钥与AccToken访问令牌的映射表,因此通过所述AccKey访问密钥就可找到对应的AccToken,然后可根据所述AccKey访问密钥、查询获得的AccToken访问令牌及客户端的时间戳同样根据安全哈希算法生成签名。
步骤s502,将所述签名与所述客户端签名进行比对,若所述签名与所述客户端签名不一致,则签名校验失败,否则进行接口调用权限校验。
具体的,将步骤s501生成的签名与所述客户端签名进行比对,如果两者一致,则可进一步进行接口调用权限校验;如果签名不一致,则签名校验失败。
本实施例中,通过对web接口调用请求中的签名进行校验,可以提高系统的安全性。
图6为本申请第六个实施例的一种基于web接口的安全校验方法流程示意图,如图所示,所述步骤s602,进行接口调用权限校验,包括:
步骤s601,根据所述解密的AccKey访问密钥,查询与所述解密的AccKey访问密钥对应的web接口调用权限;
具体的,在服务端的数据库中会预先存储AccKey访问密钥与web接口调用权限的映射表,当客户端获取到所述web接口调用请求中的AccKey访问密钥后,可根据所述AccKey访问密钥在服务端的数据库中进行查询,是否存在与所述AccKey访问密钥对应的web接口调用权限。
步骤s602,若存在与所述解密的AccKey访问密钥对应的web接口调用权限,则接口调用权限校验成功,否则接口调用权限校验失败。
具体的,如果通过查询,服务端的数据库中存在与所述解密的AccKey访问密钥对应的web接口调用权限,则接口调用权限校验成功,本次校验结束,如果服务端的数据库中不存在与所述解密的AccKey访问密钥对应的web接口调用权限,则接口调用权限校验失败。
本实施例中,通过对web接口调用请求中的调用权限进行校验,可以提高系统的安全性。
图7为本申请第七个实施例的一种基于web接口的安全校验方法流程示意图,如图所示,所述步骤s103,若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息,包括:
步骤s701,当安全校验成功后,获得校验结果,根据所述校验结果生成状态码,将所述状态码、AccKey访问密钥及客户端身份生成服务端签名,将所述服务端签名及所述状态码进行封装生成反馈信息后发送给客户端;
具体的,如果对所述web接口调用请求中的所有数据信息进行校验,且都成功之后,则可获得相应的校验结果,然后可根据所述校验结果生成状态码,例如状态码1000表示成功,状态码1001表示失败;当生成状态码之后,可将所述状态码、AccKey访问密钥及客户端身份生成服务端签名,然后将所述服务端签名与所述状态码一起封装生成反馈信息后发送给客户端,客户端收到所述反馈信息后需要验证签名,避免黑客的篡改。
步骤s702,若安全校验过程中存在任一项校验失败,则拒绝本次web接口调用请求,并向客户端返回校验失败反馈信息。
具体的,如果在校验过程中,完整性校验、加解密校验、有效时间间隔校验、签名校验及接口调用权限校验中有任一项校验失败,则可直接结束本次web接口调用请求,并向客户端返回校验失败反馈信息。
本实施例中,通过对服务端的反馈信息进行签名,可以提高系统的安全性。
本申请实施例的一种基于web接口的安全校验装置结构如图8所示,包括:
请求模块801、校验模块802及反馈模块803;其中,请求模块801与校验模块802相连,校验模块802与反馈模块803相连;请求模块801设置为接收客户端的web接口调用请求,所述web接口调用请求由加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名进行封装生成,所述客户端签名由AccKey访问密钥、时间戳及AccToken访问令牌生成;校验模块802设置为对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,所述安全校验包括解密校验、完整性校验、有效时间间隔校验、签名校验及接口调用权限校验;反馈模块803设置为若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息。
本申请实施例还公开了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被一个或多个所述处理器执行时,使得一个或多个所述处理器执行上述各实施例中所述安全校验方法中的步骤。
本申请实施例还公开了一种存储介质,所述存储介质可被处理器读写,所述存储器存储有计算机可读指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述各实施例中所述安全校验方法中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于web接口的安全校验方法,其特征在于,包括以下步骤:
接收客户端的web接口调用请求,所述web接口调用请求由加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名进行封装生成,所述客户端签名由AccKey访问密钥、时间戳及AccToken访问令牌生成;
对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,所述安全校验包括解密校验、完整性校验、有效时间间隔校验、签名校验及接口调用权限校验;
若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息。
2.如权利要求1所述的基于web接口的安全校验方法,其特征在于,所述对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,包括:
对所述web接口调用请求进行解析,获得加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名,对所述加密的AccKey访问密钥及加密的时间戳进行解密;
若解密通过,则获得解密的AccKey访问密钥及解密的时间戳,并对所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名进行完整性校验,若解密不通过,则解密校验失败。
3.如权利要求2所述的基于web接口的安全校验方法,其特征在于,所述对所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名进行完整性校验,包括:
检测所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名是否为空;
当检测到所述解密的AccKey访问密钥、解密的时间戳、客户端身份及客户端签名中的任一项为空时,完整性校验失败,否则进行有效时间间隔校验。
4.如权利要求3所述的基于web接口的安全校验方法,其特征在于,所述进行有效时间间隔校验,包括:
预设有效时间间隔;
获取当前的系统时间,根据当前的系统时间及所述解密的时间戳获得时间间隔,若所述时间间隔在所述预设的有效时间间隔内,则进行签名校验,否则有效时间间隔校验失败。
5.如权利要求4所述的基于web接口的安全校验方法,其特征在于,所述进行签名校验,包括:
根据所述解密的AccKey访问密钥进行查询,获得与所述解密的AccKey访问密钥对应的AccToken访问令牌,并根据所述解密的AccKey访问密钥、所述查询获得的AccToken访问令牌及解密的时间戳生成签名;
将所述签名与所述客户端签名进行比对,若所述签名与所述客户端签名不一致,则签名校验失败,否则进行接口调用权限校验。
6.如权利要求5所述的基于web接口的安全校验方法,其特征在于,所述进行接口调用权限校验,包括:
根据所述解密的AccKey访问密钥,查询与所述解密的AccKey访问密钥对应的web接口调用权限;
若存在与所述解密的AccKey访问密钥对应的web接口调用权限,则接口调用权限校验成功,否则接口调用权限校验失败。
7.如权利要求6所述的基于web接口的安全校验方法,其特征在于,所述若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息,包括:
当安全校验成功后,获得校验结果,根据所述校验结果生成状态码,将所述状态码、AccKey访问密钥及客户端身份生成服务端签名,将所述服务端签名及所述状态码进行封装生成反馈信息后发送给客户端;
若安全校验过程中存在任一项校验失败,则拒绝本次web接口调用请求,并向客户端返回校验失败反馈信息。
8.一种基于web接口的安全校验装置,其特征在于,所述装置包括:
请求模块:设置为接收客户端的web接口调用请求,所述web接口调用请求由加密的AccKey访问密钥、加密的时间戳、客户端身份及客户端签名进行封装生成,所述客户端签名由AccKey访问密钥、时间戳及AccToken访问令牌生成;
校验模块:设置为对所述web接口调用请求进行解析,并根据解析后的数据信息进行安全校验,所述安全校验包括解密校验、完整性校验、有效时间间隔校验、签名校验及接口调用权限校验;
反馈模块:设置为若安全校验成功,则根据校验结果生成服务端签名,将所述校验结果及服务端签名进行封装生成反馈信息发送给客户端,否则拒绝本次web接口调用请求,并向客户端发送校验失败反馈信息。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被一个或多个所述处理器执行时,使得一个或多个所述处理器执行如权利要求1至7中任一项所述安全校验方法的步骤。
10.一种存储介质,其特征在于,所述存储介质可被处理器读写,所述存储介质存储有计算机指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行如权利要求1至7中任一项所述安全校验方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910990768.0A CN110855624A (zh) | 2019-10-18 | 2019-10-18 | 基于web接口的安全校验方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910990768.0A CN110855624A (zh) | 2019-10-18 | 2019-10-18 | 基于web接口的安全校验方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110855624A true CN110855624A (zh) | 2020-02-28 |
Family
ID=69596827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910990768.0A Pending CN110855624A (zh) | 2019-10-18 | 2019-10-18 | 基于web接口的安全校验方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110855624A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111460396A (zh) * | 2020-03-18 | 2020-07-28 | 紫光云技术有限公司 | 一种RestApi接口的防刷方法 |
| CN111711689A (zh) * | 2020-06-16 | 2020-09-25 | 深圳市思迪信息技术股份有限公司 | 投顾系统图文直播方法及系统、设备及存储介质 |
| CN113127337A (zh) * | 2020-12-30 | 2021-07-16 | 中国农业银行股份有限公司 | 一种个性化开启移动终端调试方法及装置 |
| CN113595978A (zh) * | 2021-06-23 | 2021-11-02 | 北京国电通网络技术有限公司 | 基于微服务架构的数据贯通方法及相关设备 |
| CN113938328A (zh) * | 2021-12-18 | 2022-01-14 | 中建电子商务有限责任公司 | 一种接口验签的方法和系统 |
| CN114401110A (zh) * | 2021-12-13 | 2022-04-26 | 杭州安恒信息技术股份有限公司 | 请求认证方法、系统、计算机设备和可读存储介质 |
| CN114666399A (zh) * | 2022-03-08 | 2022-06-24 | 北京沃东天骏信息技术有限公司 | 业务请求的校验方法、装置、设备及存储介质 |
| CN114401110B (zh) * | 2021-12-13 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 请求认证方法、系统、计算机设备和可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010108354A1 (zh) * | 2009-03-23 | 2010-09-30 | 中兴通讯股份有限公司 | 安全的web service访问方法和系统 |
| CA2801659A1 (en) * | 2012-01-09 | 2013-07-09 | Ezshield, Inc. | Identity management system and method including architecture for the same |
| SE1450879A1 (sv) * | 2013-07-17 | 2015-01-18 | Emerging Sense Affärsutveckling Ab | Selective revocation of certificates |
| CN105933315A (zh) * | 2016-04-21 | 2016-09-07 | 浪潮集团有限公司 | 一种网络服务安全通信方法、装置和系统 |
| WO2016180202A1 (zh) * | 2015-05-14 | 2016-11-17 | 瑞数信息技术(上海)有限公司 | 一种安全通讯的方法和装置 |
| CN106572105A (zh) * | 2016-10-31 | 2017-04-19 | 中国银联股份有限公司 | 一种url校验的方法及装置 |
| CN107135073A (zh) * | 2016-02-26 | 2017-09-05 | 北京京东尚科信息技术有限公司 | 接口调用方法和装置 |
| CN107395560A (zh) * | 2017-06-05 | 2017-11-24 | 努比亚技术有限公司 | 安全校验及其发起、管理方法、设备、服务器和存储介质 |
| CN107911381A (zh) * | 2017-12-01 | 2018-04-13 | 济南浪潮高新科技投资发展有限公司 | 应用程序编程接口的访问方法、系统、服务端及客户端 |
-
2019
- 2019-10-18 CN CN201910990768.0A patent/CN110855624A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010108354A1 (zh) * | 2009-03-23 | 2010-09-30 | 中兴通讯股份有限公司 | 安全的web service访问方法和系统 |
| CA2801659A1 (en) * | 2012-01-09 | 2013-07-09 | Ezshield, Inc. | Identity management system and method including architecture for the same |
| SE1450879A1 (sv) * | 2013-07-17 | 2015-01-18 | Emerging Sense Affärsutveckling Ab | Selective revocation of certificates |
| WO2016180202A1 (zh) * | 2015-05-14 | 2016-11-17 | 瑞数信息技术(上海)有限公司 | 一种安全通讯的方法和装置 |
| CN107135073A (zh) * | 2016-02-26 | 2017-09-05 | 北京京东尚科信息技术有限公司 | 接口调用方法和装置 |
| CN105933315A (zh) * | 2016-04-21 | 2016-09-07 | 浪潮集团有限公司 | 一种网络服务安全通信方法、装置和系统 |
| CN106572105A (zh) * | 2016-10-31 | 2017-04-19 | 中国银联股份有限公司 | 一种url校验的方法及装置 |
| CN107395560A (zh) * | 2017-06-05 | 2017-11-24 | 努比亚技术有限公司 | 安全校验及其发起、管理方法、设备、服务器和存储介质 |
| CN107911381A (zh) * | 2017-12-01 | 2018-04-13 | 济南浪潮高新科技投资发展有限公司 | 应用程序编程接口的访问方法、系统、服务端及客户端 |
Non-Patent Citations (10)
| Title |
|---|
| 文勇军等: "分布式日志系统REST安全接口设计", 《网络安全技术与应用》 * |
| 文勇军等: "分布式日志系统REST安全接口设计", 《网络安全技术与应用》, no. 04, 15 April 2017 (2017-04-15) * |
| 李以斌等: "教育云平台的敏感信息保护技术研究", 《网络空间安全》 * |
| 李以斌等: "教育云平台的敏感信息保护技术研究", 《网络空间安全》, 10 December 2016 (2016-12-10) * |
| 杨利兵等: "一种基于访问标记的安全数据库审计方法", 《电力信息与通信技术》 * |
| 杨利兵等: "一种基于访问标记的安全数据库审计方法", 《电力信息与通信技术》, no. 12, 15 December 2017 (2017-12-15) * |
| 王瑞锦等: "基于环签名的医疗区块链隐私数据共享模型", 《电子科技大学学报》 * |
| 王瑞锦等: "基于环签名的医疗区块链隐私数据共享模型", 《电子科技大学学报》, no. 06, 30 November 2019 (2019-11-30) * |
| 马茜等: "电力企业集成环境下的信息安全解决方案研究", 《计算机应用研究》 * |
| 马茜等: "电力企业集成环境下的信息安全解决方案研究", 《计算机应用研究》, no. 02, 15 February 2008 (2008-02-15) * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111460396A (zh) * | 2020-03-18 | 2020-07-28 | 紫光云技术有限公司 | 一种RestApi接口的防刷方法 |
| CN111711689A (zh) * | 2020-06-16 | 2020-09-25 | 深圳市思迪信息技术股份有限公司 | 投顾系统图文直播方法及系统、设备及存储介质 |
| CN111711689B (zh) * | 2020-06-16 | 2023-06-23 | 深圳市思迪信息技术股份有限公司 | 投顾系统图文直播方法及系统、设备及存储介质 |
| CN113127337A (zh) * | 2020-12-30 | 2021-07-16 | 中国农业银行股份有限公司 | 一种个性化开启移动终端调试方法及装置 |
| CN113595978A (zh) * | 2021-06-23 | 2021-11-02 | 北京国电通网络技术有限公司 | 基于微服务架构的数据贯通方法及相关设备 |
| CN114401110A (zh) * | 2021-12-13 | 2022-04-26 | 杭州安恒信息技术股份有限公司 | 请求认证方法、系统、计算机设备和可读存储介质 |
| CN114401110B (zh) * | 2021-12-13 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 请求认证方法、系统、计算机设备和可读存储介质 |
| CN113938328A (zh) * | 2021-12-18 | 2022-01-14 | 中建电子商务有限责任公司 | 一种接口验签的方法和系统 |
| CN114666399A (zh) * | 2022-03-08 | 2022-06-24 | 北京沃东天骏信息技术有限公司 | 业务请求的校验方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110855624A (zh) | 基于web接口的安全校验方法及相关设备 | |
| CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
| US9053318B2 (en) | Anti-cloning system and method | |
| TWI796675B (zh) | 基於區塊鏈的身份驗證方法及相關硬體 | |
| CN112788036B (zh) | 身份验证方法及装置 | |
| CN111107073B (zh) | 应用自动登录方法、装置、计算机设备和存储介质 | |
| CN107613316B (zh) | 一种网络直播推流验证方法及系统 | |
| CN109714370B (zh) | 一种基于http协议端云安全通信的实现方法 | |
| CN114024710A (zh) | 一种数据传输方法、装置、系统及设备 | |
| CN106549919B (zh) | 一种信息注册、认证方法及装置 | |
| CN110071937B (zh) | 基于区块链的登录方法、系统及存储介质 | |
| CN112836202A (zh) | 信息处理方法及装置、服务器 | |
| CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
| CN110035035B (zh) | 一种单点登录的二次认证方法及系统 | |
| CN111600864B (zh) | 基于令牌认证多维度校验访问服务接口的方法和装置 | |
| CN111614458A (zh) | 网关jwt的生成方法、系统及存储介质 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| CN108429732B (zh) | 一种获取资源的方法及系统 | |
| CN115604034A (zh) | 一种通信连接的加解密方法、系统及电子设备 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN114745115A (zh) | 一种信息传输方法、装置、计算机设备及存储介质 | |
| CN113592638A (zh) | 交易请求的处理方法、装置以及联盟链 | |
| CN116318899B (zh) | 数据加密解密的处理方法、系统、设备及介质 | |
| CN113472546B (zh) | 数据可信处理方法、区块链平台和终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200228 |