CN110958119A - 身份验证方法和装置 - Google Patents
身份验证方法和装置 Download PDFInfo
- Publication number
- CN110958119A CN110958119A CN201911025978.2A CN201911025978A CN110958119A CN 110958119 A CN110958119 A CN 110958119A CN 201911025978 A CN201911025978 A CN 201911025978A CN 110958119 A CN110958119 A CN 110958119A
- Authority
- CN
- China
- Prior art keywords
- token
- terminal
- access request
- signature
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000012795 verification Methods 0.000 title claims description 39
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 7
- 230000002452 interceptive effect Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 13
- 230000003993 interaction Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 235000014510 cooky Nutrition 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000036961 partial effect Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本发明公开了一种身份验证方法和装置,涉及计算机技术领域。其中,该方法包括:在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识;对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较;在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证。通过以上步骤,能够提高用户终端与服务端交互的安全性,在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种身份验证方法和装置。
背景技术
在现有技术中,可通过Session(会话)方式保存用户登录状态。考虑到通过Session保存用户登录状态存在服务器压力大、CSRF跨站伪造请求攻击、扩展性不强,以及无法满足足分布式服务、多系统登录的状态的保持等缺陷,因此现在普遍开始采用Token(令牌)保存用户登录状态。
在现有基于Token的交互技术中,在对用户登录所用的账号、密码信息验证成功后由服务端生成一个Token,并将该Token发送至用户终端进行保存,用户终端与服务端在后续进行交互时以该Token为凭据。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:现有基于Token的交互技术在一定程度上保障了用户终端与服务端交互的安全性。但是由于Token容易被窃取利用,因此会造成用户信息泄露等安全性问题。比如,黑客通过截取数据流获取Token,并利用该Token与后端进行交互获取所需数据。
发明内容
有鉴于此,本发明提供一种身份验证方法和装置,能够提高用户终端与服务端交互的安全性,在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。
为实现上述目的,根据本发明的一个方面,提供了一种身份验证方法。
本发明的身份验证方法包括:在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识;对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较;在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证。
可选地,所述第一终端标识包括:终端的MAC地址。
可选地,所述对所述令牌的有效性进行校验的步骤包括:对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验;以及,对所述访问请求携带的令牌是否过期进行校验;在所述预先存储的令牌签名与所述访问请求携带的令牌的签名一致、且所述访问请求携带的令牌未过期的情况下,确认所述令牌有效。
可选地,所述方法还包括:在所述预先存储的令牌签名与所述访问请求携带的令牌的签名不一致,或者所述访问请求携带的令牌过期,或者所述第一终端标识与第二终端标识不一致的情况下,向所述用户终端返回用于指示所述用户终端跳转至登录页面的响应信息。
可选地,所述方法还包括:在接收到用户终端的登录请求后,判断所述登录请求携带的用户信息是否正确;在所述用户信息正确的情况下,生成令牌,然后,将所述令牌发送至所述用户终端,并对所述令牌的签名进行存储。
可选地,所述方法还包括:在确认所述用户终端通过身份验证以后,将所述访问请求所需的数据返回至所述用户终端。
为实现上述目的,根据本发明的另一方面,提供了一种身份验证装置。
本发明的身份验证装置包括:获取模块,用于在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识;验证模块,用于对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较;所述验证模块,还用于在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证。
可选地,所述验证模块对所述令牌的有效性进行校验包括:所述验证模块对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验;以及,对所述访问请求携带的令牌是否过期进行校验;在所述预先存储的令牌签名与所述访问请求携带的令牌的签名一致、且所述访问请求携带的令牌未过期的情况下,所述验证模块确认所述令牌有效。
为实现上述目的,根据本发明的再一个方面,提供了一种电子设备。
本发明的电子设备,包括:一个或多个处理器;以及,存储装置,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明的身份验证方法。
为实现上述目的,根据本发明的又一个方面,提供了一种计算机可读介质。
本发明的计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明的身份验证方法。
上述发明中的一个实施例具有如下优点或有益效果:通过在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识;对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较;在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证这些步骤,能够提高用户终端与服务端交互的安全性,在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明第一实施例的身份验证方法的主要流程示意图;
图2是根据本发明第二实施例的身份验证方法的部分流程示意图;
图3是根据本发明第二实施例的身份验证方法的部分流程示意图;
图4是根据本发明第三实施例的身份验证装置的主要模块示意图;
图5是根据本发明第四实施例的身份验证装置的主要模块示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要指出的是,在不冲突的情况下,本发明中的实施例以及实施例中的特征可以相互组合。
图1是根据本发明第一实施例的身份验证方法的主要流程示意图。如图1所示,本发明实施例的身份验证方法包括:
步骤S101、在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识。
示例性地,第一终端标识可包括:终端的MAC地址(Media Access ControlAddress,媒体存取控制位址)。另外,在该示例中,第一终端标识还可包括:终端的IP地址,终端上的浏览器名称、浏览器版本号、是否启用了Cookie、CPU型号、浏览器上的插件数组、用户操作系统支持的默认语言等终端信息。
在一个示例中,为了提高交互的安全性,用户终端发送的访问请求可携带令牌和加密后的第一终端标识。在服务端接收到用户终端的访问请求后,可从所述访问请求中获取令牌和加密后的第一终端标识,然后通过对加密后的第一终端标识进行解密,可得到明文形式的第一终端标识。
步骤S102、对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较。
在一个可选实施方式中,所述对令牌的有效性进行校验具体为:对令牌的真伪进行校验。例如,可将预先保存的令牌签名与所述访问请求携带的令牌的签名部分进行比较;若两者一致,可认为访问请求携带的令牌有效;若两者不一致,可认为访问请求携带的令牌无效。
在另一个可选实施方式中,所述对令牌的有效性进行校验具体为:对令牌的真伪进行校验、以及对令牌是否过期进行校验。若访问请求携带的令牌为真且未过期,可认为访问请求携带的令牌有效;否则,可认为访问请求携带的令牌无效。
在本发明中,除了访问请求中携带终端信息(即第一终端标识)之外,访问请求携带的令牌中也包含终端信息(即第二终端标识)。在确认所述令牌有效以后,可将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较,以实现对用户终端身份的再次验证。
步骤S103、在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证。
进一步,本发明实施例的方法还包括:在所述令牌无效,或者所述第二终端标识与所述第一终端标识不一致的情况下,确认所述用户终端未通过身份验证。
在本发明实施例中,通过在访问请求中携带第一终端标识、以及在令牌中携带第二终端标识,以及,在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识;对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较;在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证这些步骤,能够实现对用户终端的多重验证,提高用户终端与服务端交互的安全性,在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。
图2是根据本发明第二实施例的身份验证方法的部分流程示意图。本发明实施例的方法可由服务端执行。如图2所示,本发明实施例的身份验证方法包括:
步骤S201、接收用户终端的访问请求。
其中,所述访问请求可携带令牌和终端信息(即第一终端标识),并且,访问请求携带的令牌中也包含终端信息(即第二终端标识)。
示例性地,第一终端标识、第二终端标识可包括:终端的MAC地址(Media AccessControl Address,媒体存取控制位址)。另外,在该示例中,第一终端标识、第二终端标识还可包括:终端的IP地址,终端上的浏览器名称、浏览器版本号、是否启用了Cookie、CPU型号、浏览器上的插件数组、用户操作系统支持的默认语言等终端信息。
步骤S202、从所述访问请求中获取令牌和第一终端标识。
在一个示例中,为了提高交互的安全性,用户终端发送的访问请求可携带令牌和加密后的第一终端标识。在服务端接收到用户终端的访问请求后,可从所述访问请求中获取令牌和加密后的第一终端标识,然后通过对加密后的第一终端标识进行解密,可得到明文形式的第一终端标识。
步骤S203、对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验;以及,对所述访问请求携带的令牌是否过期进行校验。在签名一致、且未过期的情况下,执行步骤S204;否则,执行步骤S205。
在一个示例中,可先对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验;若两者一致,再对所述访问请求携带的令牌是否过期进行校验。
在另一个示例中,可先对访问请求携带的令牌是否过期进行校验;若令牌没有过期,再对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验。
令牌,通常由Header(头部)、Payload(载荷)、Signature(签名)这三部分构成。在本发明实施例中,服务端可只需保存令牌的签名部分,而无需保存整个令牌,从而能够减小对服务端存储空间的占用。
在通过步骤S203判断出令牌签名一致、且未过期时,确认令牌有效,进而可执行步骤S204;在通过步骤S203判断出令牌签名不一致,或者令牌过期时,确认令牌无效,进而可执行步骤S205。
步骤S204、将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较。在第二终端标识与第一终端标识一致的情况下,执行步骤S206;否则,可执行步骤S205。
在通过步骤S204判断出第二终端标识与第一终端标识一致时,确认用户终端通过身份验证,进而执行步骤S206;在通过步骤S204判断出第二终端标识与第一终端标识不一致时,确认用户终端未通过身份验证,进而执行步骤S205。
步骤S205、向用户终端返回用于指示跳转至登录页面的响应信息。
用户终端在接收到该响应信息后,可跳转至登录页面,进而,用户可在登录页面进行重新登录。
步骤S206、将所述访问请求所需的数据返回至所述用户终端。
例如,在所述访问请求具体为访问某一个页面的请求时,服务端可先获取对应的页面资源,然后将这些页面资源返回至用户终端。
图3是根据本发明第二实施例的身份验证方法的部分流程示意图。图3所示流程主要是对服务端生成令牌的过程进行描述。如图3所示,本发明实施例的身份验证方法还包括:
步骤S301、在接收到用户终端的登录请求后,从所述登录请求中获取用户信息。
其中,所述用户信息可包括:用户登录所用的账号名和密码。
步骤S302、判断用户信息是否正确。在用户信息正确的情况下,可执行步骤S303和步骤S304;在用户信息错误的情况下,可执行步骤S305。
在该步骤中,可将登录请求携带的用户账号名和密码与服务端预先保存的账号名和密码进行匹配,若匹配,则认为用户信息正确,进而执行步骤S303和S304;若不匹配,则认为用户信息错误,进而执行步骤S305。
步骤S303、生成令牌。
其中,所述令牌可具体为JWT(JSON Web Token)。JWT由三部分组成,分别是Header(头部)、Payload(载荷)、Signature(签名)。其中,Header(头部)可包含如下信息:令牌类型、散列算法(比如HMAC、RSASSA、RSASSA-PSS等);Payload(载荷)可包含终端信息等。Signature(签名)用于验证消息在传输过程中未被篡改,并且,在使用私钥签名令牌的情况下,它还可以验证JWT的请求方是否是它所声明的请求方。
步骤S304、将所述令牌发送至所述用户终端,并对所述令牌的签名进行存储。
在该步骤中,可将生成的令牌发送至所述用户终端,并将令牌的签名部分存储在服务端的数据库中。由于服务端只需保存令牌的签名部分,而无需保存整个令牌,从而能够减小对服务端存储空间的占用。
步骤S305、向用户终端返回用于指示登录失败的响应信息。
用户终端在接收到该响应信息后,可在登录页面进行重新登录。
在本发明实施例中,通过图2、图3所示步骤能够生成令牌,并在后续用户终端和服务端交互过程中基于令牌和终端标识对用户终端进行多重身份验证,提高用户终端与服务端交互的安全性,在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。
图4是根据本发明第三实施例的身份验证装置的主要模块示意图。如图4所示,本发明实施例的身份验证装置400包括:获取模块401、验证模块402。
获取模块401,用于在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识。
示例性地,第一终端标识可包括:终端的MAC地址(Media Access ControlAddress,媒体存取控制位址)。另外,在该示例中,第一终端标识还可包括:终端的IP地址,终端上的浏览器名称、浏览器版本号、是否启用了Cookie、CPU型号、浏览器上的插件数组、用户操作系统支持的默认语言等终端信息。
在一个示例中,为了提高交互的安全性,用户终端发送的访问请求可携带令牌和加密后的第一终端标识。在接收到用户终端的访问请求后,获取模块401可从所述访问请求中获取令牌和加密后的第一终端标识,然后通过对加密后的第一终端标识进行解密,可得到明文形式的第一终端标识。
验证模块402,用于对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较。
在一个可选实施方式中,验证模块402对令牌的有效性进行校验具体为:验证模块402对令牌的真伪进行校验。例如,验证模块402可将预先保存的令牌签名与所述访问请求携带的令牌的签名部分进行比较;若两者一致,可认为访问请求携带的令牌有效;若两者不一致,可认为访问请求携带的令牌无效。
在另一个可选实施方式中,验证模块402对令牌的有效性进行校验具体为:验证模块402对令牌的真伪进行校验、以及对令牌是否过期进行校验。若访问请求携带的令牌为真且未过期,可认为访问请求携带的令牌有效;否则,可认为访问请求携带的令牌无效。
在本发明中,除了访问请求中携带终端信息(即第一终端标识)之外,访问请求携带的令牌中也包含终端信息(即第二终端标识)。在确认所述令牌有效以后,验证模块402可将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较,以实现对用户终端身份的再次验证。
验证模块402,还用于在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证。
进一步,验证模块402,还用于在所述令牌无效,或者所述第二终端标识与所述第一终端标识不一致的情况下,确认所述用户终端未通过身份验证。
在本发明实施例的装置中,通过在访问请求中携带第一终端标识、以及在令牌中携带第二终端标识,以及,在接收到用户终端的访问请求后,通过获取模块从所述访问请求中获取令牌和第一终端标识;通过验证模块对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较,以及,在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证,能够实现对用户终端的多重验证,提高用户终端与服务端交互的安全性,在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。
图5是根据本发明第四实施例的身份验证装置的主要模块示意图。如图5所示,本发明实施例的身份验证装置500包括:获取模块501、验证模块502、发送模块503。
获取模块501,用于在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识。
示例性地,第一终端标识可包括:终端的MAC地址(Media Access ControlAddress,媒体存取控制位址)。另外,在该示例中,第一终端标识还可包括:终端的IP地址,终端上的浏览器名称、浏览器版本号、是否启用了Cookie、CPU型号、浏览器上的插件数组、用户操作系统支持的默认语言等终端信息。
在一个示例中,为了提高交互的安全性,用户终端发送的访问请求可携带令牌和加密后的第一终端标识。在接收到用户终端的访问请求后,获取模块501可从所述访问请求中获取令牌和加密后的第一终端标识,然后通过对加密后的第一终端标识进行解密,可得到明文形式的第一终端标识。
验证模块502,用于对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较。
在一个可选示例中,验证模块502对所述令牌的有效性进行校验包括:验证模块502对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验;以及,验证模块502对所述访问请求携带的令牌是否过期进行校验。在所述预先存储的令牌签名与所述访问请求携带的令牌的签名一致、且所述访问请求携带的令牌未过期的情况下,验证模块502确认所述令牌有效;在所述预先存储的令牌签名与所述访问请求携带的令牌的签名不一致,或者所述访问请求携带的令牌过期的情况下,验证模块502确认所述令牌无效。
在本发明中,除了访问请求中携带终端信息(即第一终端标识)之外,访问请求携带的令牌中也包含终端信息(即第二终端标识)。在确认所述令牌有效以后,验证模块502可将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较,以实现对用户终端身份的再次验证。在令牌有效、且第二终端标识与第一终端标识一致的情况下,验证模块502确认所述用户终端通过身份验证;在令牌无效、或者第二终端标识与第一终端标识不一致的情况下,验证模块502确认所述用户终端未通过身份验证。
发送模块503,用于在所述用户终端通过身份验证时,将所述访问请求所需的数据返回至所述用户终端;还用于在所述用户终端未通过身份验证时,向所述用户终端返回用于指示所述用户终端跳转至登录页面的响应信息。
本发明实施例的装置能够实现对用户终端的多重验证,提高用户终端与服务端交互的安全性,在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。
图6示出了可以应用本发明实施例的身份验证方法或身份验证装置的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所浏览的保险类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息)反馈给终端设备。
需要说明的是,本发明实施例所提供的身份验证方法一般由服务器605执行,相应地,身份验证装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的电子设备的计算机系统700的结构示意图。图7示出的计算机系统仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块和验证模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,获取模块还可以被描述为“从访问请求中获取令牌和第一终端标识的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备执行以下流程:在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识;对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较;在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种身份验证方法,其特征在于,所述方法包括:
在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识;
对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较;
在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证。
2.根据权利要求1所述的方法,其特征在于,所述第一终端标识包括:终端的MAC地址。
3.根据权利要求1所述的方法,其特征在于,所述对所述令牌的有效性进行校验的步骤包括:
对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验;以及,对所述访问请求携带的令牌是否过期进行校验;在所述预先存储的令牌签名与所述访问请求携带的令牌的签名一致、且所述访问请求携带的令牌未过期的情况下,确认所述令牌有效。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述预先存储的令牌签名与所述访问请求携带的令牌的签名不一致,或者所述访问请求携带的令牌过期,或者所述第一终端标识与第二终端标识不一致的情况下,向所述用户终端返回用于指示所述用户终端跳转至登录页面的响应信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到用户终端的登录请求后,判断所述登录请求携带的用户信息是否正确;在所述用户信息正确的情况下,生成令牌,然后,将所述令牌发送至所述用户终端,并对所述令牌的签名进行存储。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确认所述用户终端通过身份验证以后,将所述访问请求所需的数据返回至所述用户终端。
7.一种身份验证装置,其特征在于,所述装置包括:
获取模块,用于在接收到用户终端的访问请求后,从所述访问请求中获取令牌和第一终端标识;
验证模块,用于对所述令牌的有效性进行校验,并且,在确认所述令牌有效以后,将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较;
所述验证模块,还用于在所述第二终端标识与所述第一终端标识一致的情况下,确认所述用户终端通过身份验证。
8.根据权利要求7所述的装置,其特征在于,所述验证模块对所述令牌的有效性进行校验包括:
所述验证模块对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验;以及,对所述访问请求携带的令牌是否过期进行校验;在所述预先存储的令牌签名与所述访问请求携带的令牌的签名一致、且所述访问请求携带的令牌未过期的情况下,所述验证模块确认所述令牌有效。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至6中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至6中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911025978.2A CN110958119A (zh) | 2019-10-25 | 2019-10-25 | 身份验证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911025978.2A CN110958119A (zh) | 2019-10-25 | 2019-10-25 | 身份验证方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110958119A true CN110958119A (zh) | 2020-04-03 |
Family
ID=69976448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911025978.2A Pending CN110958119A (zh) | 2019-10-25 | 2019-10-25 | 身份验证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110958119A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478910A (zh) * | 2020-04-09 | 2020-07-31 | 北京金堤科技有限公司 | 用户身份验证方法和装置、电子设备以及存储介质 |
| CN111814131A (zh) * | 2020-06-15 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN112235277A (zh) * | 2020-10-09 | 2021-01-15 | 北京达佳互联信息技术有限公司 | 资源请求方法、资源响应方法及相关设备 |
| CN112865981A (zh) * | 2021-02-02 | 2021-05-28 | 中国工商银行股份有限公司 | 一种令牌获取、验证方法及装置 |
| CN113938323A (zh) * | 2021-12-16 | 2022-01-14 | 深圳竹云科技有限公司 | 基于jwt的防重放攻击方法、装置、设备以及存储介质 |
| CN114513350A (zh) * | 2022-02-08 | 2022-05-17 | 中国农业银行股份有限公司 | 身份校验方法、系统和存储介质 |
| CN115828309A (zh) * | 2023-02-09 | 2023-03-21 | 中国证券登记结算有限责任公司 | 一种服务调用方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101998407A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| US20150172283A1 (en) * | 2013-12-12 | 2015-06-18 | Orange | Method of Authentication by Token |
| WO2016188290A1 (zh) * | 2015-05-27 | 2016-12-01 | 阿里巴巴集团控股有限公司 | Api调用的安全认证方法、装置、系统 |
| US20160352751A1 (en) * | 2015-05-28 | 2016-12-01 | Orange | Method for controlling access to a service |
| CN108881232A (zh) * | 2018-06-21 | 2018-11-23 | 北京海泰方圆科技股份有限公司 | 业务系统的登录访问方法、装置、存储介质和处理器 |
| CN109104432A (zh) * | 2018-09-26 | 2018-12-28 | 深圳竹云科技有限公司 | 一种基于jwt协议的信息传递安全方法 |
| CN109446769A (zh) * | 2018-10-18 | 2019-03-08 | 北京计算机技术及应用研究所 | 统计身份认证及日志处理微服务系统及其实现方法 |
-
2019
- 2019-10-25 CN CN201911025978.2A patent/CN110958119A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101998407A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| US20150172283A1 (en) * | 2013-12-12 | 2015-06-18 | Orange | Method of Authentication by Token |
| WO2016188290A1 (zh) * | 2015-05-27 | 2016-12-01 | 阿里巴巴集团控股有限公司 | Api调用的安全认证方法、装置、系统 |
| US20160352751A1 (en) * | 2015-05-28 | 2016-12-01 | Orange | Method for controlling access to a service |
| CN108881232A (zh) * | 2018-06-21 | 2018-11-23 | 北京海泰方圆科技股份有限公司 | 业务系统的登录访问方法、装置、存储介质和处理器 |
| CN109104432A (zh) * | 2018-09-26 | 2018-12-28 | 深圳竹云科技有限公司 | 一种基于jwt协议的信息传递安全方法 |
| CN109446769A (zh) * | 2018-10-18 | 2019-03-08 | 北京计算机技术及应用研究所 | 统计身份认证及日志处理微服务系统及其实现方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478910A (zh) * | 2020-04-09 | 2020-07-31 | 北京金堤科技有限公司 | 用户身份验证方法和装置、电子设备以及存储介质 |
| CN111478910B (zh) * | 2020-04-09 | 2022-06-17 | 北京金堤科技有限公司 | 用户身份验证方法和装置、电子设备以及存储介质 |
| CN111814131A (zh) * | 2020-06-15 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN111814131B (zh) * | 2020-06-15 | 2024-03-08 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN112235277A (zh) * | 2020-10-09 | 2021-01-15 | 北京达佳互联信息技术有限公司 | 资源请求方法、资源响应方法及相关设备 |
| CN112865981A (zh) * | 2021-02-02 | 2021-05-28 | 中国工商银行股份有限公司 | 一种令牌获取、验证方法及装置 |
| CN113938323A (zh) * | 2021-12-16 | 2022-01-14 | 深圳竹云科技有限公司 | 基于jwt的防重放攻击方法、装置、设备以及存储介质 |
| CN113938323B (zh) * | 2021-12-16 | 2022-03-25 | 深圳竹云科技有限公司 | 基于jwt的防重放攻击方法、装置、设备以及存储介质 |
| CN114513350A (zh) * | 2022-02-08 | 2022-05-17 | 中国农业银行股份有限公司 | 身份校验方法、系统和存储介质 |
| CN115828309A (zh) * | 2023-02-09 | 2023-03-21 | 中国证券登记结算有限责任公司 | 一种服务调用方法及系统 |
| CN115828309B (zh) * | 2023-02-09 | 2023-11-07 | 中国证券登记结算有限责任公司 | 一种服务调用方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11095455B2 (en) | Recursive token binding for cascaded service calls | |
| CN110958119A (zh) | 身份验证方法和装置 | |
| US10085150B2 (en) | Authenticating mobile applications using policy files | |
| CN107249004B (zh) | 一种身份认证方法、装置及客户端 | |
| US9444806B2 (en) | Method, apparatus and server for identity authentication | |
| US10218691B2 (en) | Single sign-on framework for browser-based applications and native applications | |
| US20100043065A1 (en) | Single sign-on for web applications | |
| WO2018102564A1 (en) | Single sign-on framework for browser-based applications and native applications | |
| CN112491776B (zh) | 安全认证方法及相关设备 | |
| WO2014014793A1 (en) | Anti-cloning system and method | |
| CN103685139A (zh) | 认证授权处理方法及装置 | |
| CN112887284B (zh) | 一种访问认证方法、装置、电子设备和可读介质 | |
| CN105580312A (zh) | 用于认证设备的用户的方法和系统 | |
| CN113452531A (zh) | 数据传输方法及装置 | |
| CN112968910A (zh) | 一种防重放攻击方法和装置 | |
| US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| CN109525613B (zh) | 一种请求处理系统及方法 | |
| CN112560003A (zh) | 用户权限管理方法和装置 | |
| CN113055186B (zh) | 一种跨系统的业务处理方法、装置及系统 | |
| CN112966286B (zh) | 用户登录的方法、系统、设备和计算机可读介质 | |
| CN113225348B (zh) | 请求防重放校验方法和装置 | |
| KR20180034199A (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
| CN115828309B (zh) | 一种服务调用方法及系统 | |
| CN114553570B (zh) | 生成令牌的方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200403 |