CN110995672B - 一种用于软件开发的网络安全认证方法 - Google Patents

一种用于软件开发的网络安全认证方法 Download PDF

Info

Publication number
CN110995672B
CN110995672B CN201911141362.1A CN201911141362A CN110995672B CN 110995672 B CN110995672 B CN 110995672B CN 201911141362 A CN201911141362 A CN 201911141362A CN 110995672 B CN110995672 B CN 110995672B
Authority
CN
China
Prior art keywords
access
user
api
token
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911141362.1A
Other languages
English (en)
Other versions
CN110995672A (zh
Inventor
周圆
王鹏程
金明磊
赵恩伟
邓守峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin University
Original Assignee
Tianjin University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin University filed Critical Tianjin University
Priority to CN201911141362.1A priority Critical patent/CN110995672B/zh
Publication of CN110995672A publication Critical patent/CN110995672A/zh
Application granted granted Critical
Publication of CN110995672B publication Critical patent/CN110995672B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种用于软件开发的网络安全认证方法,包括以下步骤:前台界面对用户输入数据过滤,具体操作包括:前台界面对用户输入内容进行正则校验,过滤掉敏感的信息;用户首先在前台发起API请求,进行身份认证,判断是否拥有API访问权限;判断用户是否具有访问相应资源的权限,验证用户是否具备操作数据的权限。与现有技术相比,本发明具有的积极效果包括:1、有效的防御了SQL注入、XSS、会话劫持等对本系统的攻击,从而保证了系统存储的数据信息的安全性;2、经测试,本发明可有效的防御系统存在的越权访问漏洞;3、保障了系统后期的顺利部署上线与用户的安全使用。

Description

一种用于软件开发的网络安全认证方法
技术领域
本发明涉及网络安全中的认证与授权领域,具体涉及一种网络安全认证方法。
背景技术
认证就是对系统的使用者进行认证,使用者需要登录凭证才能成功访问系统。主流的认证方式是通过用户名和密码进行认证。每个网站在设计时,都会采用相应的策略来设计自己的密码认证方案,“密码强度”是需首要考虑的问题。目前并没有一个标准的密码策略,但是根据OWASP推荐的一些最佳实践,可总结出如下密码策略:密码长度方面:普通应用要求长度为6位以上;重要应用要求长度为8位以上,并考虑双因素认证。密码复杂度方面:密码区分大小写字母;密码为大写字母、小写字母、数字、特殊符号中两种以上的组合;不要有连续性的字符,比如1234abcd;尽量避免出现重复的字符,比如1111。
网站经过认证后,还需要针对网站所持有的资源,对访问的用户进行授权。授权即访问控制,常见的方式有“基于URL的访问控制”、“基于数据的访问控制”。
用户登录Web网站,客户端与服务器端是通过HTTP协议通信的,而它是无状态的。每次的登录都是一次请求,也即一次会话。本次请求结束后,服务器端不能判断下次请求的发送方,因此对发送方的认证就显得尤为重要。用户登录后,服务器端会创建一个新的会话Session。Session中保存用户的状态和登录等信息。服务器端同时生成的SessionID会被发送至客户端,保存在Cookie中。这样用户发送登录请求时,Cookie随着HTTP请求头发送,服务器将用户Cookie里面记录的SessionID和服务器内存中存放的SessionID进行比对,从而找到用户相对应的session进行操作。这种方式风险很大:SessionID可在浏览器控制台获取到,对其窃取后仅使用该SessionID而不需要密码就可登录系统,这种攻击方式称为Session劫持(即会话劫持)。SQL Injection(SQL注入),是通过在Web表单插入SQL命令或者在域名中拼接SQL字符来欺骗服务器执行恶意的SQL命令,其本质是构造恶意的SQL命令攻击数据库,用以窃取重要信息,如系统用户的用户名和密码等。恶意的SQL命令通过Web表单插入用于攻击的字符或在URL中拼接敏感字符来构建。SQL注入攻击发生于浏览器向服务端发送HTTP动态请求,如http://10.0.2.105:9000/poss/sm/role/queryRole.action?roleId=1or 1=1,通过此URL请求角色编号为1的角色信息,但拼接“or 1=1”参数后悔导致“roleId=1”限制条件失效,从而查询出所有的角色信息。XSS攻击,是通过在Web页面中注入恶意篡改的代码后,被浏览器成功的执行以达到攻击的目的。即使黑客无法使用用户的浏览器,也可以设定陷阱让用户自己去提交预先编写好的恶意代码。比如黑客给用户提供一个链接,在页面点击该链接就会发起一个HTTP请求,将嵌入恶意代码的表单信息进行提交,从而完成了有效的XSS攻击。
发明内容
针对会话劫持问题,本发明旨在提出一种用于软件开发的网络安全认证方法,基于Token机制,在服务器端分配系统操作员编号并添加至前台请求信息;针对水平与垂直越权问题,在现有的权限模型基础上进行细化,同时将服务端资源进行细分,并设计拦截器对不符合当前权限的请求信息进行拦截。
本发明的一种用于软件开发的网络安全认证方法,该方法包括以下步骤:
前台界面对用户输入数据过滤,具体操作包括:前台界面对用户输入内容进行正则校验,过滤掉敏感的信息;
用户首先在前台发起API请求;
进行身份认证,具体过程是:服务器端接收后进行相应处理,客户端使用用户名密码进行认证;
服务端生成Access Token和有效期更长的Refresh Token;
客户端访问需要认证的接口资源时,携带Access Token;
如果Access Token没有过期,服务端鉴权后返回给客户端需要的数据;
如果携带Access Token访问需要认证的接口时鉴权失败,则客户端使用RefreshToken向刷新接口申请新的Access Token;
如果Refresh Token没有过期,服务端向客户端下发新的Access Token;
客户端使用新的Access Token访问需要身份认证的接口;
根据角色获取可访问的API清单,依照访问控制模型将API清单分别对应到匿名访问API、公共访问API和授权访问API;
判断是否拥有API访问权限?具体过程是:从Session中获取用户信息,判断token是否为空以及请求生成的编号opsId是否与服务器端保存的操作员编号相同,若符合条件,则XSS攻击过滤器会放行请求,继续往下执行;否则会返回错误信息日志,并把错误状态码401或403返回给前台页面;在此步骤实现了基于数据的访问控制,解决水平越权访问问题;
在设计SQL注入敏感字符匹配表达式时,将等敏感字符替换为“FORBID”,之后只要验证存在“FORBID”的就进行拦截;如果不存在上述字符,则请求验证通过;攻击过滤器截取客户端发送的请求以及Web服务端返回的响应信息,并按照设定的规则进行过滤,过滤的处理过程为:对客户端发送的HTTP请求所携带的信息进行拦截,基于正则表达式,对请求信息中可能包含的非法SQL字符进行校验与替换,对容易引起XSS漏洞的字符进行校验与替换,过滤掉非法的URL、去除一些非法字符以及统一设置字符编码等,有效减轻服务器端的负载,并有效的防止各类网络安全攻击;
通过编码设计授权拦截器,判断用户是否具有访问相应资源的权限;验证用户是否具备操作数据的权限。
与现有技术相比,本发明的一种用于软件开发的网络安全认证方法具有以下积极效果:
1、有效的防御了SQL注入、XSS、会话劫持等对本系统的攻击,从而保证了系统存储的数据信息的安全性;
2、经测试,本发明可有效的防御系统存在的越权访问漏洞;
3、保障了系统后期的顺利部署上线与用户的安全使用。
附图说明
图1为本发明的优化后的访问控制模型示意图;图中箭头的标注1代表“单一”、“*”代表“多”。例如用户与角色是多对多的关系:一个用户可拥有多个角色,一个角色也可对应多个用户,对应用户与角色指向用户角色关系的箭头上的“1”和“*”的标注,而权限与后台资源API是一对一的关系,故箭头标注为“1”;
图2为本发明的一种用于软件开发的网络安全认证方法流程图。
具体实施方式
下面结合附图和实施例对本发明技术方案进行详细描述。
如图1所示,为本发明优化后的基于角色的访问控制模型示意图。当前解决系统的访问控制(授权)存在的安全问题是主要基于RBAC模型的。RBAC,即基于角色的访问控制模型,建立了用户、角色与权限之间的映射关系。在解决越权问题时,在原有RBAC模型基础上进行优化,细分权限模型,增加权限与后台API的关联关系。如图1所示,为优化后的基于角色的访问控制模型。根据访问权限,将服务端的API细分为三类:匿名访问API、公共访问API、授权访问API。匿名访问API属于不需要用户认证就可以访问的地址信息;公共访问API属于只要用户认证通过就可以访问的地址信息。主要是一些平台界面中隐藏的API,即不需要用户通过前台界面按钮触发的API;授权访问API,即只有用户认证通过且必须包含在用户可访问的权限列表中的API。多对多的用户角色关系、多对多的用户权限关系、一对一的权限API关系。
如图2所示,为一种用于软件开发的网络安全认证方法整体流程图。该流程通过在服务器端编码,设计SQL注入、XSS攻击过滤器,手动设置过滤规则,对前台发送的敏感信息进行过滤,整体流程包括以下步骤:
前台界面对用户输入数据过滤,具体操作包括:前台界面对用户输入内容进行正则校验,对一些特殊字符例如“#、&、*”等进行校验并根据具体情况进行限制,过滤掉敏感的信息,可有效减轻服务器端对非法字符的防御的工作量;
用户首先在前台发起API请求;
进行身份认证,具体过程是:服务器端接收后进行相应处理,客户端使用用户名密码进行认证;
服务端生成Access Token(设定有效期为30分钟)和有效期更长的Refresh Token(设定有效期为120分钟);
客户端访问需要认证的接口资源时,携带Access Token;
如果Access Token没有过期,服务端鉴权后返回给客户端需要的数据;
如果携带Access Token访问需要认证的接口时鉴权失败(例如返回401错误),则客户端使用Refresh Token向刷新接口申请新的Access Token;
如果Refresh Token没有过期,服务端向客户端下发新的Access Token;
客户端使用新的Access Token访问需要身份认证的接口。
例如:在doFilter类中,request代表服务端接收的前台登录请求,request.getRequestURL().toString()可以取得前台请求服务端资源的URL路径,request.getSession()可以获得本次登录请求的Session会话,(User)session.getAttribute(Systemparams.USER_INFO)可以获得发起请求的用户信息,request.getHeader(“token”)可以获取token数据信息,PossUtil.getOpsID(request)可以获取操作员编号信息,之后根据获取的上述信息进行身份认证;ResourceUtil.checkAnonymousUrl(urlPath)可以判断URL是否包含在不需要登录验证的URL列表中,如果在表明认证通过,就执行arg2.doFilter(arg0,arg1)放行本次请求;如果不在,就需要进行身份认证;通过判断token是否为空以及请求生成的编号opsId是否与服务器端保存的操作员编号相同,符合条件则过滤器会放行请求,继续往下执行,否则会返回错误信息日志,并把错误状态码401或403返回给前台页面。
过滤器是一个设计在服务器端的组件,截取客户端(浏览器)发送的请求以及Web服务端返回的响应信息,并按照设定的规则进行过滤,过滤的处理过程为:对客户端(浏览器)发送的HTTP请求所携带的请求头、参数等信息进行拦截,基于正则表达式,对请求信息中可能包含的非法SQL字符进行校验与替换,对容易引起XSS漏洞的字符进行校验与替换,从而有效的规避SQL注入攻击与恶意篡改的代码对网站造成的非法攻击。主要是过滤掉非法的URL、去除一些非法字符以及统一设置字符编码等,有效减轻服务器端的负载,并有效的防止各类网络安全攻击。
通过编码设计SQL注入和XSS攻击过滤器,过滤器内部基于正则表达式编码实现SQL注入和XSS攻击等敏感字符的匹配表达式。下面对实现流程展开详细叙述。
SQL注入的敏感字符匹配表达式为:private static String reg="(?:')|(?:<)|(?:>)|(?:%)|(?:>=)|(?:<=)|(?:=)|(?:<>)|(?:\\|\\|)|(?:&)|(?:/)|(?:—)|(?:\\|)"+"|(/\\*(?:.|[\\n\\r])*?\\*/)"+"|(\\b(FORBID|exec|or|count|chr|mid|char|dbcc|alter|create|backup|if|else|end|add|
set|open|close|use|begin|return|as|go|exists|trancate|into|substr|ascii|execute)\\b)";将“exec、or、alter、create、etc...”等敏感字符替换为“FORBID”,之后只要验证存在“FORBID”的就进行拦截。如果不存在上述字符,则请求验证通过。XSS攻击的的敏感字符匹配表达式为:value=value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']","\"\"");将“script、\\、\\s、etc...”等敏感字符替换同样替换为“FORBID”,之后再验证信息中是否存在“FORBID”即可。
判断是否拥有API访问权限?其核心原理为根据角色获取可访问的API清单,依照访问控制模型将API清单分别对应到匿名访问API、公共访问API和授权访问API;具体过程如下。
通过编码设计授权拦截器,判断用户是否具有访问相应资源和操作相关数据的权限。通过用户身份认证及SQL注入和XSS攻击过滤器后,前台请求会到达授权拦截器。服务端首先判断用户请求的URL属于匿名访问API、公共访问API还是属于授权访问API。通过ResourceUtil.checkAnonymousUrl(url)、ResourceUtil.checkCommonUrl(url)分别判断是否属于匿名访问API、公共访问API,如果不是则属于第三种即授权访问API。若属于授权访问API,则通过getEffectiveAPIList(user)获取登陆用户有权限访问的API列表,然后判断用户请求的URL是否包含在列表中,若是则请求通过拦截器,否则通过filterBasicsAPI(url,apiSet)判断是否在基本的API(即URL长度为2,且包含根路径“/poss”)列表,若是则放行,否则返回越权访问的错误日志信息并将错误状态码403返回给浏览器。
若前台发起的请求通过上述层层认证,则可成功访问服务器相应的Web资源。
本发明实施例公有19个模块,可能有33个服务端接口存在越权访问漏洞,每个模块可能存在越权访问的漏洞的接口数量参考如表1所示的越权访问漏洞表。
表1

Claims (1)

1.一种用于软件开发的网络安全认证方法,其特征在于,该方法包括以下步骤:
前台界面对用户输入数据过滤,具体操作包括:前台界面对用户输入内容进行正则校验,过滤掉敏感的信息;
用户首先在前台发起API请求;
进行身份认证,具体过程是:服务器端接收后进行相应处理,客户端使用用户名密码进行认证;
服务器端生成Access Token和有效期更长的Refresh Token;
客户端访问需要认证的接口资源时,携带Access Token;
如果Access Token没有过期,服务器端鉴权后返回给客户端需要的数据;
如果携带Access Token访问需要认证的接口时鉴权失败,则客户端使用RefreshToken向刷新接口申请新的Access Token;
如果Refresh Token没有过期,服务器端向客户端下发新的Access Token;
客户端使用新的Access Token访问需要身份认证的接口;
根据角色获取可访问的API清单,依照访问控制模型将API清单分别对应到匿名访问API、公共访问API和授权访问API;
判断是否拥有API访问权限,具体过程是:从Session中获取用户信息,判断token是否为空以及请求生成的编号opsId是否与服务器端保存的操作员编号相同,若符合条件,则XSS攻击过滤器会放行请求,继续往下执行;否则会返回错误信息日志,并把错误状态码401或403返回给前台页面;在此步骤实现了基于数据的访问控制,解决水平越权访问问题;
在设计SQL注入敏感字符匹配表达式时,将敏感字符替换为“FORBID”,之后只要验证存在“FORBID”的就进行拦截;如果不存在上述字符,则请求验证通过;攻击过滤器截取客户端发送的请求以及Web服务器端返回的响应信息,并按照设定的规则进行过滤,过滤的处理过程为:对客户端发送的HTTP请求所携带的信息进行拦截,基于正则表达式,对请求信息中可能包含的非法SQL字符进行校验与替换,对容易引起XSS漏洞的字符进行校验与替换,过滤掉非法的URL、去除非法字符以及统一设置字符编码;
通过编码设计授权拦截器,判断用户是否具有访问相应资源的权限,验证用户是否具备操作数据的权限。
CN201911141362.1A 2019-11-20 2019-11-20 一种用于软件开发的网络安全认证方法 Active CN110995672B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911141362.1A CN110995672B (zh) 2019-11-20 2019-11-20 一种用于软件开发的网络安全认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911141362.1A CN110995672B (zh) 2019-11-20 2019-11-20 一种用于软件开发的网络安全认证方法

Publications (2)

Publication Number Publication Date
CN110995672A CN110995672A (zh) 2020-04-10
CN110995672B true CN110995672B (zh) 2023-09-01

Family

ID=70085237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911141362.1A Active CN110995672B (zh) 2019-11-20 2019-11-20 一种用于软件开发的网络安全认证方法

Country Status (1)

Country Link
CN (1) CN110995672B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111625803B (zh) * 2020-05-29 2023-05-30 北京思特奇信息技术股份有限公司 用于电信业务防越权访问的端到端验证方法及系统
CN113238886B (zh) * 2021-05-12 2024-09-27 深圳前海微众银行股份有限公司 功能服务的测试方法、系统以及终端设备
CN113468576B (zh) * 2021-07-22 2022-09-20 成都九洲电子信息系统股份有限公司 一种基于角色的数据安全访问方法及装置
CN114020651B (zh) * 2022-01-06 2022-05-27 深圳市明源云科技有限公司 基于接口地址去重方法、装置、设备及可读存储介质
CN114844698A (zh) * 2022-04-29 2022-08-02 深圳极联软件有限公司 一种分布式大数据的数据安全管控系统及方法
CN115134113B (zh) * 2022-05-13 2024-04-09 山东鲁软数字科技有限公司 平台数据安全认证方法、系统、终端及存储介质
CN116796306B (zh) * 2023-08-15 2023-11-14 浩鲸云计算科技股份有限公司 一种同一租户下notebook表权限控制的方法
CN117155649B (zh) * 2023-08-31 2024-03-22 金锐软件技术(杭州)有限公司 一种第三方系统接入java网关安全防护系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302490A (zh) * 2016-08-23 2017-01-04 浪潮电子信息产业股份有限公司 一种基于Token的Web会话构建和服务调用方法
CN107634967A (zh) * 2017-10-19 2018-01-26 南京大学 一种CSRF攻击的CSRFToken防御系统和方法
CN108512784A (zh) * 2018-06-21 2018-09-07 珠海宏桥高科技有限公司 基于网关路由转发的鉴权认证方法
CN108809988A (zh) * 2018-06-14 2018-11-13 北京中电普华信息技术有限公司 一种请求的认证方法及系统
CN108810029A (zh) * 2018-07-23 2018-11-13 珠海宏桥高科技有限公司 一种微服务架构服务间鉴权系统及优化方法
CN110232265A (zh) * 2019-06-21 2019-09-13 杭州安恒信息技术股份有限公司 双重身份认证方法、装置及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10931656B2 (en) * 2018-03-27 2021-02-23 Oracle International Corporation Cross-region trust for a multi-tenant identity cloud service

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302490A (zh) * 2016-08-23 2017-01-04 浪潮电子信息产业股份有限公司 一种基于Token的Web会话构建和服务调用方法
CN107634967A (zh) * 2017-10-19 2018-01-26 南京大学 一种CSRF攻击的CSRFToken防御系统和方法
CN108809988A (zh) * 2018-06-14 2018-11-13 北京中电普华信息技术有限公司 一种请求的认证方法及系统
CN108512784A (zh) * 2018-06-21 2018-09-07 珠海宏桥高科技有限公司 基于网关路由转发的鉴权认证方法
CN108810029A (zh) * 2018-07-23 2018-11-13 珠海宏桥高科技有限公司 一种微服务架构服务间鉴权系统及优化方法
CN110232265A (zh) * 2019-06-21 2019-09-13 杭州安恒信息技术股份有限公司 双重身份认证方法、装置及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
解析OAuth2.0流程及认证接口设计;吴栋淦;;佛山科学技术学院学报(自然科学版)(第06期);全文 *

Also Published As

Publication number Publication date
CN110995672A (zh) 2020-04-10

Similar Documents

Publication Publication Date Title
CN110995672B (zh) 一种用于软件开发的网络安全认证方法
CN112039909B (zh) 基于统一网关的认证鉴权方法、装置、设备及存储介质
US10454949B2 (en) Guarding against cross-site request forgery (CSRF) attacks
CN113225333A (zh) 零信任下的网络资源访问控制方法
EP1205057A2 (en) Security architecture with environment sensitive credentials
CN114598540A (zh) 访问控制系统、方法、装置及存储介质
CN109104432B (zh) 一种基于jwt协议的信息传递安全方法
Mainka et al. Your software at my service: Security analysis of saas single sign-on solutions in the cloud
Chandra et al. Authentication and authorization mechanism for cloud security
JP2009003559A (ja) シングルサインオンサーバ用コンピュータシステム及びプログラム
CN114745202A (zh) 一种主动防御web攻击的方法及基于主动防御的web安全网关
CN114666160A (zh) 一种基于jwt的多系统安全统一认证系统及方法
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
CN116886343A (zh) 一种基于持续认证的用户访问控制方法及系统
Khandelwal et al. Frontline techniques to prevent web application vulnerability
CN114374529A (zh) 资源访问方法、装置、系统、电子设备、介质及程序
Gao et al. A research of security in website account binding
CN114500074A (zh) 单点系统安全访问方法、装置及相关设备
CN113542287A (zh) 网络请求的管理方法和装置
Haque et al. Enhancement of web security against external attack
Alanazi et al. The history of web application security risks
Damkham et al. Detecting Vulnerable OAuth 2.0 Implementations in Android Applications
Maidine et al. Cloud Identity Management Mechanisms and Issues
Lin et al. Enhancing the session security of zen cart based on HMAC-SHA256
CN115913696B (zh) 一种虚拟网络零信任访问控制方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant