CN111431844B - 一种权限认证方法及装置 - Google Patents
一种权限认证方法及装置 Download PDFInfo
- Publication number
- CN111431844B CN111431844B CN201910328565.5A CN201910328565A CN111431844B CN 111431844 B CN111431844 B CN 111431844B CN 201910328565 A CN201910328565 A CN 201910328565A CN 111431844 B CN111431844 B CN 111431844B
- Authority
- CN
- China
- Prior art keywords
- authentication
- browser
- server
- session
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种权限认证方法及装置,涉及信息安全技术领域,其中,上述方法包括:根据用户名和用户密码请求服务器进行用户权限认证,并获得第一认证结果;在所述第一认证结果表征认证成功的情况下,向所述服务器请求认证令牌;接收所述服务器发送的认证令牌,并向辅助功能端发送所述认证令牌,以使得所述辅助功能端采用所述认证令牌请求所述服务器进行用户权限认证,其中,所述辅助功能端与所述浏览器运行于同一终端。应用本发明实施例提供的方案进行权限认证,能够提升用户权限认证的效率。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种权限认证方法及装置。
背景技术
由于多数浏览器是以单线程方式运行的,这一运行方式易导致浏览器性能不足,所以一般使用辅助功能端辅助浏览器工作以提高浏览器的性能。上述辅助功能端可以为应用程序,也可以为浏览器插件程序。例如:使用浏览器处理大分辨率图片会非常缓慢,这种情况下可以使用具有图像处理功能的浏览器插件辅助浏览器对上述大分辨率图片进行处理;使用浏览器对加密文件进行处理时也比较缓慢,这种情况下可以使用具有加密文件处理功能的辅助功能端辅助浏览器对加密文件进行处理。
这样用户在使用浏览器的过程中,需要通过浏览器和辅助功能端分别对用户权限进行认证。现有技术中,一般用户在浏览器的页面中输入用户名、用户密码等认证信息后,辅助功能端从浏览器获取该认证信息并将加密后的认证信息发送给服务端对用户权限进行认证,辅助功能端确定认证通过后会生成作为权限认证入口的URL(Uniform ResourceLocator,统一资源定位符)提供给浏览器,浏览器通过该URL访问服务端对用户权限进行认证。
但是考虑到用户密码的安全性,一般使用安全策略最高的最新版本辅助功能端进行用户权限认证,因此,应用上述方式对用户权限进行认证过程中,需先确认辅助功能端的版本是否是最新版本。如果不是最新版本,需要先升级辅助功能端然后才能进行用户权限认证。而升级辅助功能端所消耗的时间一般较长,进而易导致用户权限认证效率低。
发明内容
本发明实施例的目的在于提供一种权限认证方法及装置,以提升用户权限认证的效率。具体技术方案如下:
第一方面,本发明实施例提供了一种权限认证方法,应用于浏览器,所述方法包括:
根据用户名和用户密码请求服务器进行用户权限认证,并获得第一认证结果;
在所述第一认证结果表征认证成功的情况下,向所述服务器请求认证令牌;
接收所述服务器发送的认证令牌,并向辅助功能端发送所述认证令牌,以使得所述辅助功能端采用所述认证令牌请求所述服务器进行用户权限认证,其中,所述辅助功能端与所述浏览器运行于同一终端。
第二方面,本申请实施例提供了一种权限认证方法,应用于服务器,所述方法包括:
根据浏览器提供的针对用户名和用户密码的信息对用户权限进行认证,得到第一认证结果;
向所述浏览器反馈所述第一认证结果;
接收所述浏览器发送的认证令牌请求;
生成认证令牌,并向所述浏览器发送所述认证令牌;
接收辅助功能端所发送的、携带所述认证令牌的第二权限认证请求,其中,所述辅助功能端与所述浏览器运行于同一终端;
针对所述第二权限认证请求对用户权限进行认证,得到第二认证结果,并向所述辅助功能端反馈所述第二认证结果。
第三方面,本申请实施例提供了一种权限认证方法,应用于辅助功能端,所述方法包括:
接收浏览器确认用户权限认证成功后发送的认证令牌,其中,所述辅助功能端与所述浏览器运行于同一终端;
向服务器发送第二权限认证请求,以使得所述服务器根据所述第二权限认证请求对用户权限进行认证,其中,所述第二权限认证请求包括:所述认证令牌;
接收所述服务器发送的、针对所述第二权限认证请求的第二认证结果。
第四方面,本申请实施例提供了一种权限认证装置,应用于浏览器,所述装置包括:
结果获得模块,用于根据用户名和用户密码请求服务器进行用户权限认证,并获得第一认证结果;
令牌请求模块,用于在所述第一认证结果表征认证成功的情况下,向所述服务器请求认证令牌;
第一令牌接收模块,用于接收所述服务器发送的认证令牌,并向辅助功能端发送所述认证令牌,以使得所述辅助功能端采用所述认证令牌请求所述服务器进行用户权限认证,其中,所述辅助功能端与所述浏览器运行于同一终端。
第五方面,本申请实施例提供了一种权限认证装置,应用于服务器,所述装置包括:
第一权限认证模块,用于根据浏览器提供的针对用户名和用户密码的信息对用户权限进行认证,得到第一认证结果;
结果反馈模块,用于向所述浏览器反馈所述第一认证结果;
第一请求接收模块,用于接收所述浏览器发送的认证令牌请求;
令牌生成模块,用于生成认证令牌,并向所述浏览器发送所述认证令牌;
第二请求接收模块,用于接收辅助功能端所发送的、携带所述认证令牌的第二权限认证请求,其中,所述辅助功能端与所述浏览器运行于同一终端;
第二权限认证模块,用于针对所述第二权限认证请求对用户权限进行认证,得到第二认证结果,并向所述辅助功能端反馈所述第二认证结果。
第六方面,本申请实施例提供了一种权限认证装置,应用于辅助功能端,所述装置包括:
第二令牌接收模块,用于接收浏览器确认用户权限认证成功后发送的认证令牌,其中,所述辅助功能端与所述浏览器运行于同一终端;
请求发送模块,用于向服务器发送第二权限认证请求,以使得所述服务器根据所述第二权限认证请求对用户权限进行认证,其中,所述第二权限认证请求包括:所述认证令牌;
第二结果接收模块,用于接收所述服务器发送的、针对所述第二权限认证请求的第二认证结果。
第七方面,本申请实施例提供了一种终端,所述终端安装有浏览器,所述终端包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面所述的方法步骤。
第八方面,本申请实施例提供了一种服务器,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第二方面所述的方法步骤。
第九方面,本申请实施例提供了一种终端,所述终端安装有辅助功能端,所述终端包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第二方面所述的方法步骤。
由以上可见,应用本发明实施例提供的方案进行权限认证时,可以先通过浏览器与服务器进行通信,站在浏览器侧实现对用户权限的认证,然后浏览器向服务器请求认证令牌,服务器生成认证令牌并向浏览器发送该认证令牌,浏览器将认证令牌发送给与浏览器位于同一终端上的辅助功能端,由辅助功能端向服务器发送包含认证令牌的权限认证请求,由服务器对用户进行权限认证,也就是,站在辅助功能端实现对用户权限的认证。因此,应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的权限认证系统的一种信令示意图;
图2为本发明实施例提供的应用于浏览器的权限认证方法的一种流程示意图;
图3为本发明实施例提供的应用于服务器的权限认证方法的一种流程示意图;
图4为本发明实施例提供的应用于服务器的权限认证方法的另一种流程示意图;
图5为本发明实施例提供的应用于辅助功能端的权限认证方法的一种流程示意图;
图6为本发明实施例提供的一种权限认证装置的结构示意图;
图7为本发明实施例提供的另一种权限认证装置的结构示意图;
图8为本发明实施例提供的又一种权限认证装置的结构示意图;
图9为本发明实施例提供的一种终端的结构示意图;
图10为本发明实施例提供的一种服务器的结构示意图;
图11为本发明实施例提供的另一种终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种权限认证方法及装置,下面先对本发明实施例中涉及的概念进行说明。
认证令牌:服务器生成的临时性令牌,通过一次认证或一段时间之后自动失效。
辅助功能端:终端上安装的应用程序,或者终端上的、不依靠浏览器进行编译或执行的浏览器插件程序。其中,终端可以为个人电脑、服务器、智能手机等设备。
本发明实施例提供了一种应用于浏览器的权限认证方法,一种应用于服务器的权限认证方法,还提供了一种应用于辅助功能端的权限认证方法,为了能够更加清楚的对本发明实施例提供的权限认证方法进行说明,下面先从上述浏览器、服务器和辅助功能端所组成的权限认证系统的角度,对上述权限认证方法进行整体介绍。
参见图1,图1为本发明实施例提供的权限认证系统的一种信令示意图。
该权限认证系统包括浏览器、服务器和辅助功能端。
浏览器获取用户名和用户密码(步骤S1201),浏览器向服务器发送用户名和用户密码(步骤S1202),服务器根据用户名和用户密码对用户权限进行认证,得到第一认证结果(步骤S1301),服务器向浏览器反馈第一认证结果(步骤S1302),浏览器判断第一认证结果是否表征认证成功(步骤S1203),若为是,浏览器向服务器请求认证令牌(S1204),服务器生成并发送认证令牌(步骤S1303),浏览器向辅助功能端发送认证令牌(步骤S1205),辅助功能端向服务器发送第二权限认证请求(步骤S1101),服务器针对第二权限认证请求对用户权限进行认证,得到第一认证结果(步骤S1304),服务器反馈第二认证结果(步骤S1305)。
应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
下面通过具体实施例,对本发明实施例提供的权限认证方法进行详细说明。
图2为本发明实施例提供的应用于浏览器的权限认证方法的一种流程示意图,包括如下步骤:
步骤S201、根据用户名和用户密码请求服务器进行用户权限认证,并获得第一认证结果。
具体的,浏览器可以获取用户名和用户密码,然后向服务器发送用户名和用户密码,这样服务器可以根据用户名和用户密码对用户权限进行认证,服务器完成权限认证后浏览器反馈认证结果。据此浏览器可以获得上述第一认证结果。
上述用户名和用户密码可以为用户输入的用户名和密码,也可以为浏览器预存的用户名和密码。本发明实施例并不限定用户名和密码的来源是否相同。一种实施方式中,用户名可以为浏览器预存的,密码可以为用户输入的。
上述服务器中可以存在一个数据库,这一数据库中存储有用于认证用户权限的数据。其中,用于认证用户权限的数据可以包括用户名和用户密码等,也可以包括用户名、密码摘要等。其中,密码摘要为对用户密码进行摘要计算得到的数据。
一种实现方式中,服务器可以将浏览器发送给服务器的用户名和用户密码与服务器的数据库中存储的用户名和用户密码进行比对,如果数据库中存在相同的用户名和用户密码,则得到表征认证通过的第一认证结果,如果数据库中不存在相同的用户名和用户密码,则得到表征认证不通过的第一认证结果。
另一种实现方式中,若服务器的数据库中存储的是用户名和密码摘要,服务器可以将浏览器发送给服务器的用户密码进行摘要计算,将计算结果与数据库中存储的密码摘要进行比对,且将接收到的用户名与数据库中存储的用户名进行比对,如果均相同,则得到表征认证通过的第一认证结果,如果不均相同,则得到表征认证不通过的第一认证结果。
步骤S202、在第一认证结果表征认证成功的情况下,向服务器请求认证令牌。
浏览器接收到服务器反馈的第一认证结果后,即可以认为完成了站在浏览器侧对用户权限的认证。
表征认证成功的第一认证结果可以包括用户的权限范围、用户权限认证的时间等。
步骤S203、接收服务器发送的认证令牌,并向辅助功能端发送认证令牌,以使得辅助功能端采用认证令牌请求服务器进行用户权限认证。
辅助功能端与浏览器运行于同一终端,向辅助功能端发送认证令牌的过程可以为同一设备内的不同程序直接的数据交互,浏览器可以通过websocket(基于TCP的全双工通信协议)或者http请求或者插件接口形式传输给辅助功能端。
辅助功能端采用认证令牌请求服务器进行用户权限认证后,服务器据此完成用户权限认证,可以认为完成了站在辅助功能端对用户权限的认证。
站在服务器侧和辅助功能端均完成对用户权限的认证后,可以认为完成了完整的用户权限认证过程。
由以上可见,应用本发明实施例提供的方案进行权限认证时,可以先通过浏览器与服务器进行通信,站在浏览器侧实现对用户权限的认证,然后浏览器向服务器请求认证令牌,服务器生成认证令牌并向浏览器发送该认证令牌,浏览器将认证令牌发送给与浏览器位于同一终端上的辅助功能端,由辅助功能端向服务器发送包含认证令牌的权限认证请求,由服务器对用户进行权限认证,也就是,站在辅助功能端实现对用户权限的认证。因此,应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
本发明的一种实现方式中,上述步骤S201中根据用户名和用户密码请求服务器进行用户权限认证,并获得第一认证结果,可以采用以下步骤A1-A5实现:
步骤A1:向服务器发送第一权限认证请求。
上述第一权限认证请求中可以包括用户名。
步骤A2:接收服务器针对第一权限认证请求发送的加密方式。
上述加密方式可以包括摘要算法和算法参数等。服务器可以为针对网络环境、网络安全形势随时调整安全策略,进而服务器可以根据当前安全策略确定针对第一权限认证请求的摘要算法、算法参数等信息,也就是根据当前安全策略确定针对第一权限认证请求的加密方式,从而保障权限认证的安全性。
步骤A3:根据上述加密方式,针对用户密码进行摘要计算,得到密码摘要。
浏览器可以采用所接收的加密方式中的摘要算法和算法参数对用户密码进行摘要计算,得到密码摘要。也可以采用所接收的加密方式中的摘要算法和算法参数对用户名和用户密码均进行摘要计算,并根据计算结果得到密码摘要。
对用户密码进行摘要计算可以认为是对用户密码进行一种形式上的变换,使得用户密码的呈现形式不再是用户密码原本的样子,因此,也可以称为对用户密码进行加密。
步骤A4:向服务器发送用户名和密码摘要,以使得服务器根据用户名和密码摘要对用户权限进行认证。
步骤A5:接收服务器反馈的第一认证结果。
本实现方式中,浏览器在向服务器发送用户名和用户密码之前,通过与服务器进行通信,获取加密方式,按照所接收的加密方式对用户密码进行摘要计算,得到密码摘要,这样服务器是根据用户名和密码摘要对用户权限进行认证的。由于密码摘要不再是明文密码,安全性较高,因此可以提高用户权限认证的安全性。
基于上述实现方式,本发明的另一种实现方式中,上述步骤A2中接收服务器针对第一权限认证请求发送的加密方式时,可以接收服务器针对第一权限认证请求发送的加密参数和加密版本信息。
上述加密参数包括:盐值、挑战串和迭代数。
在此基础上,上述步骤A3中根据上述加密方式,针对用户密码进行摘要计算,得到密码摘要,可以采用以下步骤B1-B5实现:
步骤B1:将用户名、盐值和用户密码作为字符串进行拼接,得到第一拼接结果。
盐值为:在对用户密码进行摘要计算过程中添加的额外的随机值。盐值的引入可以提高摘要计算结果的安全性。盐值由服务器随机生成,并发送给浏览器。
本实现方式中,可以调用字符串拼接函数,将用户名、盐值和用户密码按照设定顺序进行拼接,例如:先用户名、再盐值,然后用户密码。
步骤B2:根据加密版本信息,对第一拼接结果进行摘要计算,得到第一摘要。
本发明的一种实现方式中,可以根据加密版本信息确定进行摘要计算的算法。具体的,可以预先设定各种加密版本信息与各种摘要计算算法的对应关系,然后根据该对应关系和上述加密版本信息,确定用于进行摘要计算的算法。
例如,服务器向浏览器发送的加密版本信息为:版本号为2.0,版本号2.0对应的摘要计算算法为SHA256算法,因此,浏览器采用SHA256算法对用户密码进行摘要计算。
步骤B3:将第一摘要和挑战串作为字符串进行拼接,得到第二拼接结果。
挑战串为服务器生成并发送给浏览器的用于和摘要计算结果进行拼接的信息。挑战串的引入可以增加摘要计算结果的安全性。
步骤B4:根据加密版本信息,对第二拼接结果进行摘要计算,得到第二摘要。
根据加密版本信息,对第二拼接结果进行摘要计算的算法,可以与对第一拼接结果进行摘要计算的算法相同,也可以不同。
步骤B5:对第二摘要进行上述迭代数次的摘要计算,得到密码摘要。
本实现方式中,服务器发送给浏览器的加密参数中包括:盐值、挑战串和迭代数,应用这些加密参数可以使得摘要计算过程复杂化,从而增加所得到的密码摘要的安全性。
基于上述实现方式,本发明的另一种实现方式中,上述步骤A2中接收服务器针对第一权限认证请求发送的加密方式时,可以接收服务器针对第一权限认证请求发送的加密方式和第一会话ID。
在此基础上,上述步骤A4中向服务器发送用户名和密码摘要,以使得服务器根据用户名和密码摘要对用户权限进行认证时,可以向服务器发送用户名、密码摘要和第一会话ID,以使得服务器根据用户名、密码摘要和第一会话ID对用户权限进行认证。
在上述基础上,上述步骤A5中接收服务器反馈的第一认证结果,具体可以是接收服务器反馈的第一认证结果和第二会话ID。
其中,上述第二会话ID为:服务器验证浏览器发送的会话ID正确后生成的会话ID。
这种情况下,上述步骤S202向服务器请求认证令牌,具体可以向服务器发送第二会话ID,并请求认证令牌。
上述会话ID为服务器用于区分不同用户而生成的临时ID,通过一次认证或者一段时间后自动失效。服务器可以为每一个与服务器进行通信的通信对象都生成一个会话ID,并让这些ID均不相同。
服务器可以通过设置cookie数据的方式,向浏览器发送第一会话ID或第二会话ID。服务器通过设置cookie数据的方式发送的会话ID可以设置为httponly属性httponly属性的数据只能由服务器一侧进行设置,可以提高会话ID的安全性。
本实现方式中,服务器在对浏览器发送过来的数据进行处理前,会先验证会话ID的有效性。会话ID经过一次认证就会自动失效,通过验证会话ID的有效性,可以在通信出现错误的时候停止权限认证过程,增加浏览器和服务器之间通信的安全性,同时也确保了多个不同用户同时进行权限认证时,用户之间不会相互影响。
图3为本发明实施例提供的应用于服务器的权限认证方法的一种流程示意图,包括如下步骤:
步骤S301、根据浏览器提供的针对用户名和用户密码的信息对用户权限进行认证,得到第一认证结果。
具体的,上述针对用户名和用户密码的信息可以是用户名和用户密码本身,另外,也可以是用户名和密码摘要,其中,密码摘要为对用户密码进行摘要计算得到的摘要信息。
服务器中可以存在一个数据库,这一数据库中存储有用于认证用户权限的数据。其中,用于认证用户权限的数据可以包括用户名和用户密码等,也可以包括用户名、密码摘要等。
一种实现方式中,服务器可以将浏览器发送给服务器的用户名和用户密码与服务器的数据库中存储的用户名和用户密码进行比对,如果数据库中存在相同的用户名和用户密码,则得到表征认证通过的第一认证结果,如果数据库中不存在相同的用户名和用户密码,则得到表征认证不通过的第一认证结果。
另一种实现方式中,若服务器的数据库中存储的是用户名和密码摘要,服务器可以将浏览器发送给服务器的用户密码进行摘要计算,将计算结果与数据库中存储的密码摘要进行比对,且将接收到的用户名与数据库中存储的用户名进行比对,如果均相同,则得到表征认证通过的第一认证结果,如果不均相同,则得到表征认证不通过的第一认证结果。
步骤S302、向浏览器反馈第一认证结果。
表征认证成功的第一认证结果可以包括用户的权限范围、用户权限认证的时间等。
浏览器接收到服务器反馈的第一认证结果后,即可以认为完成了站在浏览器侧对用户权限的认证。
步骤S303、接收浏览器发送的认证令牌请求。
步骤S304、生成认证令牌,并向浏览器发送认证令牌。
认证令牌可以通过一次认证或者一段时间后自动失效,例如可以设定认证令牌的有效时长为5分钟,这样在服务器生成认证令牌后5分钟,不管辅助功能端是否使用上述认证令牌进行过用户身份验证,均设置上述认证令牌为无效令牌。
步骤S305、接收辅助功能端所发送的、携带认证令牌的第二权限认证请求。
辅助功能端与浏览器运行于同一终端。第二权限认证请求所携带的认证令牌为浏览器发送到辅助功能端的认证令牌。
服务器可以先从上述第二权限认证请求中获取认证令牌,再通过验证认证令牌的有效性,对用户权限进行认证。
步骤S306、针对第二权限认证请求对用户权限进行认证,得到第二认证结果,并向辅助功能端反馈第二认证结果。
表征认证成功的第二认证结果可以包括用户的权限范围、用户权限认证的时间等。
辅助功能端采用认证令牌请求服务器进行用户权限认证后,服务器据此完成用户权限认证后,可以认为完成了站在辅助功能端对用户权限的认证。
站在服务器侧和辅助功能端均完成对用户权限的认证后,可以认为完成了完整的用户权限认证过程。
由以上可见,应用本发明实施例提供的方案进行权限认证时,可以先通过浏览器与服务器进行通信,站在浏览器侧实现对用户权限的认证,然后浏览器向服务器请求认证令牌,服务器生成认证令牌并向浏览器发送该认证令牌,浏览器将认证令牌发送给与浏览器位于同一终端上的辅助功能端,由辅助功能端向服务器发送包含认证令牌的权限认证请求,由服务器对用户进行权限认证,也就是,站在辅助功能端实现对用户权限的认证。因此,应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
本发明的一种实现方式中,上述步骤S301中根据用户名和用户密码请求服务器进行用户权限认证,并获得第一认证结果时,可以先接收浏览器发送的第一权限认证请求,再向浏览器发送针对第一权限认证请求的加密方式,然后接收浏览器发送的用户名和密码摘要,并根据用户名和密码摘要对用户权限进行认证,得到第一认证结果。
上述密码摘要为:浏览器按照上述加密方式对用户密码进行摘要计算得到的摘要信息。
本实现方式中,浏览器在向服务器发送用户名和用户密码之前,浏览器通过与服务器进行通信,使得服务器将加密方式发送给浏览器,浏览器按照所接收的加密方式对用户密码进行摘要计算,得到密码摘要,这样服务器是根据用户名和密码摘要对用户权限进行认证的。由于密码摘要不再是明文密码,安全性较高,因此可以提高用户权限认证的安全性。
基于上述实现方式,本发明的另一种实现方式中,向浏览器发送针对第一权限认证请求的加密方式时,可以向浏览器发送针对第一权限认证请求的加密参数和加密版本信息。
上述加密参数包括:盐值、挑战串和迭代数;
上述密码摘要具体为:浏览器对第二摘要进行迭代数次的摘要计算得到的;
上述第二摘要为:浏览器对第一摘要和挑战串作为字符串进行拼接,并根据加密版本信息,对拼接结果进行摘要计算得到的摘要信息;
上述第一摘要为:浏览器将用户名、盐值和用户密码作为字符串进行拼接,并根据加密版本信息,对拼接结果进行摘要计算得到的摘要信息。
本实现方式中,服务器发送给浏览器的加密参数中包括:盐值、挑战串和迭代数,应用这些加密参数可以使得摘要计算过程复杂化,从而增加所得到的密码摘要的安全性。
图4为本发明实施例提供的应用于服务器的权限认证方法的另一种流程示意图,包括如下步骤:
步骤S401、接收浏览器发送的第一权限认证请求。
步骤S402、生成第一会话ID。
服务器可以通过设置cookie数据的方式,向浏览器发送第一会话ID。服务器通过设置cookie数据的方式发送的会话ID可以设置为httponly属性httponly属性的数据只能由服务器一侧进行设置,可以提高会话ID的安全性。
步骤S403、向浏览器发送针对第一权限认证请求的加密方式和第一会话ID。
步骤S404、接收浏览器发送的用户名、加密密码和会话ID。
步骤S405、验证所接收的会话ID是否为第一会话ID,若为是,执行步骤S406。
一种实现方式中,在服务器验证完第一会话ID的有效性之后,第一会话ID会失效变成无效会话ID。
步骤S406、生成第二会话ID,并根据用户名和密码摘要对用户权限进行认证,得到第一认证结果。
服务器可以在第一会话ID失效后,生成第二会话ID。
步骤S407、向浏览器反馈第一认证结果和第二会话ID。
服务器可以通过设置cookie数据的方式,向浏览器发送第二会话ID。
步骤S408、接收浏览器发送的认证令牌请求和会话ID。
步骤S409、验证所接收的会话ID是否为第二会话ID,若为是,执行步骤S410。
通过对第二会话ID的验证,可以在浏览器和服务器之间的通信是否出现错误的时候,停止后续的权限认证过程,不生成认证令牌。
步骤S410、生成认证令牌,并向浏览器发送认证令牌。
一种实现方式,服务器在生成认证令牌之前,可以根据用户名判断该用户是否具有同时在浏览器和辅助功能端两侧进行权限认证的权限,如果有,则生成认证令牌,并向浏览器发送认证令牌;如果没有则生成认证令牌。
步骤S411、接收辅助功能端所发送的、携带认证令牌的第二权限认证请求。
步骤S412、针对第二权限认证请求对用户权限进行认证,得到第二认证结果,并向辅助功能端反馈第二认证结果。
本实施例提供的方案中,服务器在对浏览器发送过来的数据进行处理前,会先验证会话ID的有效性。会话ID经过一次认证就会自动失效,通过验证会话ID的有效性,可以在通信出现错误的时候停止权限认证过程,增加浏览器和服务器之间通信的安全性,同时也确保了多个不同用户同时进行权限认证时,用户之间不会相互影响。
图5为本发明实施例提供的应用于辅助功能端的权限认证方法的一种流程示意图,包括如下步骤:
步骤S501、接收浏览器确认用户权限认证成功后发送的认证令牌。
辅助功能端与浏览器运行于同一终端。
浏览器先获取用户名和用户密码,再向服务器发送用户名和用户密码,以使得服务器根据用户名和用户密码对用户权限进行认证,在浏览器接收到服务器反馈的第一认证结果后,即可以认为完成了站在浏览器侧对用户权限的认证。
步骤S502、向服务器发送第二权限认证请求,以使得所述服务器根据所述第二权限认证请求对用户权限进行认证。
上述第二权限认证请求中包括上述认证令牌。
步骤S503、接收服务器发送的、针对所述第二权限认证请求的第二认证结果。
辅助功能端采用认证令牌请求服务器进行用户权限认证后,服务器据此完成用户权限认证后,可以认为完成了站在辅助功能端对用户权限的认证。
站在服务器侧和辅助功能端均完成对用户权限的认证后,可以认为完成了完整的用户权限认证过程。
在辅助功能端确定第二认证结果表征认证通过后,辅助功能端可以向浏览器发送指示辅助功能端权限认证成功的消息。
由以上可见,应用本发明实施例提供的方案进行权限认证时,可以先通过浏览器与服务器进行通信,站在浏览器侧实现对用户权限的认证,然后浏览器向服务器请求认证令牌,服务器生成认证令牌并向浏览器发送该认证令牌,浏览器将认证令牌发送给与浏览器位于同一终端上的辅助功能端,由辅助功能端向服务器发送包含认证令牌的权限认证请求,由服务器对用户进行权限认证,也就是,站在辅助功能端实现对用户权限的认证。因此,应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
基于同一发明构思,与本发明上述实施例提供的、应用于与浏览器的权限认证方法相对应,本发明实施例还提供了一种权限认证装置,其结构示意图如图6所示,具体包括:
结果获得模块601,用于根据用户名和用户密码请求服务器进行用户权限认证,并获得第一认证结果;
令牌请求模块602,用于在所述第一认证结果表征认证成功的情况下,向所述服务器请求认证令牌;
第一令牌接收模块603,用于接收所述服务器发送的认证令牌,并向辅助功能端发送所述认证令牌,以使得所述辅助功能端采用所述认证令牌请求所述服务器进行用户权限认证,其中,所述辅助功能端与所述浏览器运行于同一终端。
应用本发明实施例提供的方案进行权限认证时,可以先通过浏览器与服务器进行通信,站在浏览器侧实现对用户权限的认证,然后浏览器向服务器请求认证令牌,服务器生成认证令牌并向浏览器发送该认证令牌,浏览器将认证令牌发送给与浏览器位于同一终端上的辅助功能端,由辅助功能端向服务器发送包含认证令牌的权限认证请求,由服务器对用户进行权限认证,也就是,站在辅助功能端实现对用户权限的认证。因此,应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
本发明的一种实现方式中,所述结果获得模块601,包括:
请求发送子模块,用于向服务器发送第一权限认证请求;
加密方式接收子模块,用于接收所述服务器针对所述第一权限认证请求发送的加密方式;
摘要计算子模块,用于根据所述加密方式,针对用户密码进行摘要计算,得到密码摘要;
信息发送子模块,用于向所述服务器发送用户名和所述密码摘要,以使得所述服务器根据所述用户名和密码摘要对用户权限进行认证;
结果接收子模块,用于接收所述服务器反馈的第一认证结果。
本实现方式中,浏览器在向服务器发送用户名和用户密码之前,通过与服务器进行通信,获取加密方式,按照所接收的加密方式对用户密码进行摘要计算,得到密码摘要,这样服务器是根据用户名和密码摘要对用户权限进行认证的。由于密码摘要不再是明文密码,安全性较高,因此可以提高用户权限认证的安全性。
本发明的一种实现方式中,所述加密方式接收子模块,具体用于接收所述服务器针对所述第一权限认证请求发送的加密参数和加密版本信息,其中,所述加密参数包括:盐值、挑战串和迭代数;
所述摘要计算子模块,包括:
第一结果拼接单元,用于将用户名、盐值和用户密码作为字符串进行拼接,得到第一拼接结果;
第一摘要计算单元,用于根据所述加密版本信息,对所述第一拼接结果进行摘要计算,得到第一摘要;
第二结果拼接单元,用于将所述第一摘要和挑战串作为字符串进行拼接,得到第二拼接结果;
第二摘要计算单元,用于根据所述加密版本信息,对所述第二拼接结果进行摘要计算,得到第二摘要;
摘要获得单元,用于对所述第二摘要进行所述迭代数次的摘要计算,得到密码摘要。
本实现方式中,服务器发送给浏览器的加密参数中包括:盐值、挑战串和迭代数,应用这些加密参数可以使得摘要计算过程复杂化,从而增加所得到的密码摘要的安全性。
本发明的一种实现方式中,所述加密方式接收子模块,具体用于接收所述服务器针对所述第一权限认证请求发送的加密方式和第一会话ID;
所述信息发送子模块,具体用于向所述服务器发送用户名、所述密码摘要和第一会话ID,以使得所述服务器根据所述用户名、密码摘要和第一会话ID对用户权限进行认证;
所述结果接收子模块,具体用于接收所述服务器反馈的第一认证结果和第二会话ID,其中,所述第二会话ID为:所述服务器验证所述浏览器发送的会话ID正确后生成的会话ID;
所述令牌请求模块602,具体用于向所述服务器发送所述第二会话ID,并请求认证令牌。
本实现方式中,服务器在对浏览器发送过来的数据进行处理前,会先验证会话ID的有效性。会话ID经过一次认证就会自动失效,通过验证会话ID的有效性,可以在通信出现错误的时候停止权限认证过程,增加浏览器和服务器之间通信的安全性,同时也确保了多个不同用户同时进行权限认证时,用户之间不会相互影响。
基于同一发明构思,与本发明上述实施例提供的、应用于与服务器的权限认证方法相对应,本发明实施例还提供了一种权限认证装置,其结构示意图如图7所示,具体包括:
第一权限认证模块701,用于根据浏览器提供的针对用户名和用户密码的信息对用户权限进行认证,得到第一认证结果;
结果反馈模块702,用于向所述浏览器反馈所述第一认证结果;
第一请求接收模块703,用于接收所述浏览器发送的认证令牌请求;
令牌生成模块704,用于生成认证令牌,并向所述浏览器发送所述认证令牌;
第二请求接收模块705,用于接收辅助功能端所发送的、携带所述认证令牌的第二权限认证请求,其中,所述辅助功能端与所述浏览器运行于同一终端;
第二权限认证模块706,用于针对所述第二权限认证请求对用户权限进行认证,得到第二认证结果,并向所述辅助功能端反馈所述第二认证结果。
应用本发明实施例提供的方案进行权限认证时,可以先通过浏览器与服务器进行通信,站在浏览器侧实现对用户权限的认证,然后浏览器向服务器请求认证令牌,服务器生成认证令牌并向浏览器发送该认证令牌,浏览器将认证令牌发送给与浏览器位于同一终端上的辅助功能端,由辅助功能端向服务器发送包含认证令牌的权限认证请求,由服务器对用户进行权限认证,也就是,站在辅助功能端实现对用户权限的认证。因此,应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
本发明的一种实现方式中,所述第一权限认证模块701,包括:
请求接收子模块,用于接收浏览器发送的第一权限认证请求;
加密方式发送子模块,用于向所述浏览器发送针对所述第一权限认证请求的加密方式;
信息接收子模块,用于接收所述浏览器发送的用户名和密码摘要,其中,所述密码摘要为:所述浏览器按照所述加密方式针对用户密码进行摘要计算得到的摘要信息;
权限认证子模块,用于根据所述用户名和密码摘要对用户权限进行认证,得到第一认证结果。
本实现方式中,浏览器在向服务器发送用户名和用户密码之前,浏览器通过与服务器进行通信,使得服务器将加密方式发送给浏览器,浏览器按照所接收的加密方式对用户密码进行摘要计算,得到密码摘要,这样服务器是根据用户名和密码摘要对用户权限进行认证的。由于密码摘要不再是明文密码,安全性较高,因此可以提高用户权限认证的安全性。
本发明的一种实现方式中,所述加密方式发送子模块,具体用于向所述浏览器发送针对所述第一权限认证请求的加密参数和加密版本信息,其中,所述加密参数包括:盐值、挑战串和迭代数;
所述密码摘要具体为:所述浏览器对所述第二摘要进行所述迭代数次的摘要计算得到的;
所述第二摘要为:所述浏览器对所述第一摘要和挑战串作为字符串进行拼接,并根据所述加密版本信息,对拼接结果进行摘要计算得到的摘要信息;
所述第一摘要为:所述浏览器将所述用户名、盐值和用户密码作为字符串进行拼接,并根据所述加密版本信息,对拼接结果进行摘要计算得到的摘要信息。
本实现方式中,服务器发送给浏览器的加密参数中包括:盐值、挑战串和迭代数,应用这些加密参数可以使得摘要计算过程复杂化,从而增加所得到的密码摘要的安全性。
本发明的一种实现方式中,所述加密方式发送子模块,包括:
第一ID生成单元,用于生成第一会话ID;
加密方式发送单元,用于向所述浏览器发送针对所述第一权限认证请求的加密方式和所述第一会话ID;
所述信息接收子模块,具体用于接收所述浏览器发送的用户名、密码摘要和会话ID;
所述权限认证子模块,包括:
ID验证单元,用于验证所接收的会话ID是否为所述第一会话ID;
第二ID生成单元,在所述ID验证单元的验证结果为是时,用于生成第二会话ID,并根据所述用户名和密码摘要对用户权限进行认证,得到第一认证结果;
所述结果反馈模块702,具体用于向所述浏览器反馈所述第一认证结果和第二会话ID;
所述第一请求接收模块703,具体用于接收所述浏览器发送的认证令牌请求和会话ID;
所述令牌生成模块704,包括:
ID验证子模块,用于验证所接收到的会话ID是否为所述第二会话ID;
令牌生成子模块,在所述ID验证子模块验证得到所接收到的会话ID为所述第二会话ID时,用于生成认证令牌,并向所述浏览器发送所述认证令牌。
本实现方式中,服务器在对浏览器发送过来的数据进行处理前,会先验证会话ID的有效性。会话ID经过一次认证就会自动失效,通过验证会话ID的有效性,可以在通信出现错误的时候停止权限认证过程,增加浏览器和服务器之间通信的安全性,同时也确保了多个不同用户同时进行权限认证时,用户之间不会相互影响。
基于同一发明构思,与本发明上述实施例提供的、应用于与辅助功能端的权限认证方法相对应,本发明实施例又提供了一种权限认证装置,其结构示意图如图8所示,具体包括:
第二令牌接收模块801,用于接收浏览器确认用户权限认证成功后发送的认证令牌,其中,所述辅助功能端与所述浏览器运行于同一终端;
请求发送模块802,用于向服务器发送第二权限认证请求,以使得所述服务器根据所述第二权限认证请求对用户权限进行认证,其中,所述第二权限认证请求包括:所述认证令牌;
第二结果接收模块803,用于接收所述服务器发送的、针对所述第二权限认证请求的第二认证结果。
应用本发明实施例提供的方案进行权限认证时,可以先通过浏览器与服务器进行通信,站在浏览器侧实现对用户权限的认证,然后浏览器向服务器请求认证令牌,服务器生成认证令牌并向浏览器发送该认证令牌,浏览器将认证令牌发送给与浏览器位于同一终端上的辅助功能端,由辅助功能端向服务器发送包含认证令牌的权限认证请求,由服务器对用户进行权限认证,也就是,站在辅助功能端实现对用户权限的认证。因此,应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
基于同一发明构思,与本发明上述实施例提供的、应用于浏览器的权限认证方法相对应,本发明实施例还提供了一种终端,如图9所示,上述终端安装有浏览器,上述终端包括处理器901、通信接口902、存储器903和通信总线904,其中,处理器901,通信接口902,存储器903通过通信总线904完成相互间的通信,
存储器903,用于存放计算机程序;
处理器901,用于执行存储器903上所存放的程序时,实现上述实施例中任一应用于浏览器的权限认证方法的步骤。
基于同一发明构思,与本发明上述实施例提供的、应用于服务器的权限认证方法相对应,本发明实施例还提供了一种服务器,如图10所示,上述服务器包括处理器1001、通信接口1002、存储器1003和通信总线1004,其中,处理器1001,通信接口1002,存储器1003通过通信总线1004完成相互间的通信,
存储器1003,用于存放计算机程序;
处理器1001,用于执行存储器1003上所存放的程序时,实现上述实施例中应用于服务器的任一权限认证方法的步骤。
基于同一发明构思,与本发明上述实施例提供的、应用于辅助功能端的权限认证方法相对应,本发明实施例还提供了一种终端,如图11所示,上述终端安装有辅助功能端,上述终端包括处理器1101、通信接口1102、存储器1103和通信总线1104,其中,处理器1101,通信接口1102,存储器1103通过通信总线1104完成相互间的通信,
存储器1103,用于存放计算机程序;
处理器1101,用于执行存储器1103上所存放的程序时,实现上述实施例中应用于辅助功能端的任一权限认证方法的步骤。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
应用本发明实施例提供的方案进行权限认证时,可以先通过浏览器与服务器进行通信,站在浏览器侧实现对用户权限的认证,然后浏览器向服务器请求认证令牌,服务器生成认证令牌并向浏览器发送该认证令牌,浏览器将认证令牌发送给与浏览器位于同一终端上的辅助功能端,由辅助功能端向服务器发送包含认证令牌的权限认证请求,由服务器对用户进行权限认证,也就是,站在辅助功能端实现对用户权限的认证。因此,应用本发明实施例提供的方案进行权限认证时,由于站在浏览器侧对用户进行权限认证已保证了权限认证的安全,再站在辅助功能端对用户进行权限认证时,无需确保辅助功能端为最新版本,不需要为了权限认证而下载最新版本的辅助功能端更新包,也不需要为了权限认证而安装最新版本的辅助功能端,可以在保证安全的情况下,节省权限认证过程的时间。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一权限认证方法的步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一权限认证方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、终端、服务器、计算机可读存储介质和计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (8)
1.一种权限认证方法,其特征在于,应用于浏览器,所述方法包括:
向服务器发送第一权限认证请求;
接收所述服务器针对所述第一权限认证请求发送的加密方式和第一会话ID;
根据所述加密方式,针对用户密码进行摘要计算,得到密码摘要;
向所述服务器发送用户名、所述密码摘要和第一会话ID,以使得所述服务器根据所述用户名、密码摘要和第一会话ID对用户权限进行认证;
接收所述服务器反馈的第一认证结果和第二会话ID,其中,所述第二会话ID为:所述服务器验证所述浏览器发送的会话ID正确后生成的会话ID;
在所述第一认证结果表征认证成功的情况下,向所述服务器发送所述第二会话ID,并请求认证令牌,以使所述服务器在验证接收到的会话ID为所述第二会话ID的情况下,生成认证令牌,并向所述浏览器发送所述认证令牌;
接收所述服务器发送的认证令牌,并向辅助功能端发送所述认证令牌,以使得所述辅助功能端采用所述认证令牌请求所述服务器进行用户权限认证,其中,所述辅助功能端与所述浏览器运行于同一终端;所述辅助功能端用于辅助所述浏览器工作,所述认证令牌为所述服务器生成的临时性令牌;
所述会话ID为服务器用于区分不同用户而生成的临时ID;所述会话ID为httponly属性。
2.根据权利要求1所述的方法,其特征在于,所述接收所述服务器针对所述第一权限认证请求发送的加密方式,包括:
接收所述服务器针对所述第一权限认证请求发送的加密参数和加密版本信息,其中,所述加密参数包括:盐值、挑战串和迭代数;
所述根据所述加密方式,针对用户密码进行摘要计算,得到密码摘要,包括:
将用户名、盐值和用户密码作为字符串进行拼接,得到第一拼接结果;
根据所述加密版本信息,对所述第一拼接结果进行摘要计算,得到第一摘要;
将所述第一摘要和挑战串作为字符串进行拼接,得到第二拼接结果;
根据所述加密版本信息,对所述第二拼接结果进行摘要计算,得到第二摘要;
对所述第二摘要进行所述迭代数次的摘要计算,得到密码摘要。
3.一种权限认证方法,其特征在于,应用于服务器,所述方法包括:
接收浏览器发送的第一权限认证请求;
生成第一会话ID;
向所述浏览器发送针对所述第一权限认证请求的加密方式和所述第一会话ID;
接收所述浏览器发送的用户名、密码摘要和会话ID,其中,所述密码摘要为:所述浏览器按照所述加密方式针对用户密码进行摘要计算得到的摘要信息;
验证所接收的会话ID是否为所述第一会话ID;
若为是,生成第二会话ID,并根据所述用户名和密码摘要对用户权限进行认证,得到第一认证结果;
向所述浏览器反馈所述第一认证结果和第二会话ID;
接收所述浏览器发送的认证令牌请求和会话ID;
验证所接收到的会话ID是否为所述第二会话ID;
若为是,生成认证令牌,并向所述浏览器发送所述认证令牌;
所述会话ID为服务器用于区分不同用户而生成的临时ID;所述会话ID为httponly属性;
接收辅助功能端所发送的、携带所述认证令牌的第二权限认证请求,其中,所述辅助功能端与所述浏览器运行于同一终端;
针对所述第二权限认证请求对用户权限进行认证,得到第二认证结果,并向所述辅助功能端反馈所述第二认证结果;
其中,所述辅助功能端用于辅助所述浏览器工作,所述认证令牌为所述服务器生成的临时性令牌。
4.根据权利要求3所述的方法,其特征在于,所述向所述浏览器发送针对所述第一权限认证请求的加密方式,包括:
向所述浏览器发送针对所述第一权限认证请求的加密参数和加密版本信息,其中,所述加密参数包括:盐值、挑战串和迭代数;
所述密码摘要具体为:所述浏览器对第二摘要进行所述迭代数次的摘要计算得到的;
所述第二摘要为:所述浏览器对第一摘要和挑战串作为字符串进行拼接,并根据所述加密版本信息,对拼接结果进行摘要计算得到的摘要信息;
所述第一摘要为:所述浏览器将所述用户名、盐值和用户密码作为字符串进行拼接,并根据所述加密版本信息,对拼接结果进行摘要计算得到的摘要信息。
5.一种权限认证方法,其特征在于,应用于辅助功能端,所述方法包括:
接收浏览器确认用户权限认证成功后发送的认证令牌,其中,所述辅助功能端与所述浏览器运行于同一终端;所述认证令牌为服务器在接收到所述浏览器发送的认证令牌请求和会话ID,并在验证接收到的会话ID为第二会话ID的情况下生成并向所述浏览器发送的;
所述认证令牌请求和会话ID为所述浏览器在接收到所述服务器发送的第一认证结果和所述第二会话ID,并在所述第一认证结果表征认证成功的情况下向所述服务器发送的;
所述第一认证结果为所述服务器根据所述浏览器发送的用户名、密码摘要和第一会话ID对用户权限进行认证得到的;所述第二会话ID为所述服务器验证所述浏览器发送的会话ID正确后生成的会话ID;
所述密码摘要为所述浏览器根据加密方式,针对用户密码进行摘要计算得到的;所述加密方式和所述第一会话ID为所述服务器在接收到所述浏览器发送的第一权限认证请求时,向所述浏览器发送的;
向服务器发送第二权限认证请求,以使得所述服务器根据所述第二权限认证请求对用户权限进行认证,其中,所述第二权限认证请求包括:所述认证令牌;
接收所述服务器发送的、针对所述第二权限认证请求的第二认证结果;
其中,所述辅助功能端用于辅助所述浏览器工作,所述认证令牌为所述服务器生成的临时性令牌;所述会话ID为服务器用于区分不同用户而生成的临时ID;所述会话ID为httponly属性。
6.一种权限认证装置,其特征在于,应用于浏览器,所述装置包括:
结果获得模块,用于向服务器发送第一权限认证请求;接收所述服务器针对所述第一权限认证请求发送的加密方式和第一会话ID;根据所述加密方式,针对用户密码进行摘要计算,得到密码摘要;向所述服务器发送用户名、所述密码摘要和第一会话ID,以使得所述服务器根据所述用户名、密码摘要和第一会话ID对用户权限进行认证;接收所述服务器反馈的第一认证结果和第二会话ID,其中,所述第二会话ID为:所述服务器验证所述浏览器发送的会话ID正确后生成的会话ID;
令牌请求模块,用于在所述第一认证结果表征认证成功的情况下,向所述服务器发送所述第二会话ID,并请求认证令牌,以使所述服务器在验证接收到的会话ID为所述第二会话ID的情况下,生成认证令牌,并向所述浏览器发送所述认证令牌;
第一令牌接收模块,用于接收所述服务器发送的认证令牌,并向辅助功能端发送所述认证令牌,以使得所述辅助功能端采用所述认证令牌请求所述服务器进行用户权限认证,其中,所述辅助功能端与所述浏览器运行于同一终端;
其中,所述辅助功能端用于辅助所述浏览器工作,所述认证令牌为所述服务器生成的临时性令牌;所述会话ID为服务器用于区分不同用户而生成的临时ID;所述会话ID为httponly属性。
7.一种权限认证装置,其特征在于,应用于服务器,所述装置包括:
第一权限认证模块,用于接收浏览器发送的第一权限认证请求;生成第一会话ID;向所述浏览器发送针对所述第一权限认证请求的加密方式和所述第一会话ID;接收所述浏览器发送的用户名、密码摘要和会话ID,其中,所述密码摘要为:所述浏览器按照所述加密方式针对用户密码进行摘要计算得到的摘要信息;验证所接收的会话ID是否为所述第一会话ID;若为是,生成第二会话ID,并根据所述用户名和密码摘要对用户权限进行认证,得到第一认证结果;
结果反馈模块,用于向所述浏览器反馈所述第一认证结果和第二会话ID;
第一请求接收模块,用于接收所述浏览器发送的认证令牌请求和会话ID;
令牌生成模块,用于验证所接收到的会话ID是否为所述第二会话ID;若为是,生成认证令牌,并向所述浏览器发送所述认证令牌;
所述会话ID为服务器用于区分不同用户而生成的临时ID;所述会话ID为httponly属性;
第二请求接收模块,用于接收辅助功能端所发送的、携带所述认证令牌的第二权限认证请求,其中,所述辅助功能端与所述浏览器运行于同一终端;
第二权限认证模块,用于针对所述第二权限认证请求对用户权限进行认证,得到第二认证结果,并向所述辅助功能端反馈所述第二认证结果;
其中,所述辅助功能端用于辅助所述浏览器工作,所述认证令牌为所述服务器生成的临时性令牌。
8.一种权限认证装置,其特征在于,应用于辅助功能端,所述装置包括:
第二令牌接收模块,用于接收浏览器确认用户权限认证成功后发送的认证令牌,其中,所述辅助功能端与所述浏览器运行于同一终端;所述认证令牌为服务器在接收到所述浏览器发送的认证令牌请求和会话ID,并在验证接收到的会话ID为第二会话ID的情况下生成并向所述浏览器发送的;
所述认证令牌请求和会话ID为所述浏览器在接收到所述服务器发送的第一认证结果和所述第二会话ID,并在所述第一认证结果表征认证成功的情况下向所述服务器发送的;
所述第一认证结果为所述服务器根据所述浏览器发送的用户名、密码摘要和第一会话ID对用户权限进行认证得到的;所述第二会话ID为所述服务器验证所述浏览器发送的会话ID正确后生成的会话ID;
所述密码摘要为所述浏览器根据加密方式,针对用户密码进行摘要计算得到的;所述加密方式和所述第一会话ID为所述服务器在接收到所述浏览器发送的第一权限认证请求时,向所述浏览器发送的;
请求发送模块,用于向服务器发送第二权限认证请求,以使得所述服务器根据所述第二权限认证请求对用户权限进行认证,其中,所述第二权限认证请求包括:所述认证令牌;
第二结果接收模块,用于接收所述服务器发送的、针对所述第二权限认证请求的第二认证结果;
其中,所述辅助功能端用于辅助所述浏览器工作,所述认证令牌为所述服务器生成的临时性令牌;所述会话ID为服务器用于区分不同用户而生成的临时ID;所述会话ID为httponly属性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910328565.5A CN111431844B (zh) | 2019-04-23 | 2019-04-23 | 一种权限认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910328565.5A CN111431844B (zh) | 2019-04-23 | 2019-04-23 | 一种权限认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111431844A CN111431844A (zh) | 2020-07-17 |
| CN111431844B true CN111431844B (zh) | 2023-04-18 |
Family
ID=71546719
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910328565.5A Active CN111431844B (zh) | 2019-04-23 | 2019-04-23 | 一种权限认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111431844B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114079573B (zh) * | 2020-08-13 | 2024-03-29 | 广东海信宽带科技有限公司 | 一种路由器访问方法以及路由器 |
| CN112019535B (zh) * | 2020-08-26 | 2023-03-07 | 北京信安世纪科技股份有限公司 | 一种密码认证方法 |
| CN114117551B (zh) * | 2021-11-26 | 2022-12-27 | 深圳前海微众银行股份有限公司 | 一种访问验证方法及装置 |
| CN114944947B (zh) * | 2022-05-13 | 2023-07-28 | 平安科技(深圳)有限公司 | 客户端的权限认证方法、装置、设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107534651A (zh) * | 2015-03-31 | 2018-01-02 | 思科技术公司 | 服务认证期间会话标识符的安全传输 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8132242B1 (en) * | 2006-02-13 | 2012-03-06 | Juniper Networks, Inc. | Automated authentication of software applications using a limited-use token |
| US8769637B2 (en) * | 2007-03-23 | 2014-07-01 | Sap Ag | Iterated password hash systems and methods for preserving password entropy |
| US9736153B2 (en) * | 2008-06-27 | 2017-08-15 | Microsoft Technology Licensing, Llc | Techniques to perform federated authentication |
| WO2012125696A2 (en) * | 2011-03-14 | 2012-09-20 | Browsium, Inc. | Methods and systems for one browser version to use a rendering engine of another browser version for displaying information |
| EP2913976B1 (en) * | 2011-04-28 | 2017-08-09 | Interdigital Patent Holdings, Inc. | Sso framework for multiple sso technologies |
| EP2743857A1 (en) * | 2012-12-13 | 2014-06-18 | Gemalto SA | Methof for allowing establishment of a secure session between a device and a server |
| CN107483576B (zh) * | 2017-08-12 | 2020-09-18 | 厦门多米诺数据科技有限公司 | 一种对Android APP进行远程控制的系统及方法 |
-
2019
- 2019-04-23 CN CN201910328565.5A patent/CN111431844B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107534651A (zh) * | 2015-03-31 | 2018-01-02 | 思科技术公司 | 服务认证期间会话标识符的安全传输 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111431844A (zh) | 2020-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111431844B (zh) | 一种权限认证方法及装置 | |
| CN107359996B (zh) | 多网站间的自动登录方法及装置 | |
| US11539690B2 (en) | Authentication system, authentication method, and application providing method | |
| US20180205745A1 (en) | System, method and computer program product for access authentication | |
| US11336449B2 (en) | Information processing apparatus, computer program product, and resource providing method | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
| CN110069909B (zh) | 一种免密登录第三方系统的方法及装置 | |
| US20150363576A1 (en) | Restricted Code Signing | |
| CN108833109B (zh) | 身份认证方法、装置以及电子设备 | |
| CN111783049A (zh) | 一种基于区块链的用户信息处理方法及系统 | |
| US10565582B2 (en) | Method and apparatus for service authentication | |
| CN108390878B (zh) | 用于验证网络请求安全性的方法、装置 | |
| WO2020025056A1 (zh) | 安全认证方法、装置和系统,移动终端 | |
| US9940480B2 (en) | Securing delegated remote management with digital signature | |
| US20150295918A1 (en) | User authentication system in web mash-up circumstance and authenticating method thereof | |
| CN109858235B (zh) | 一种便携式设备及其暗码获取方法和装置 | |
| CN105656856A (zh) | 资源管理方法和装置 | |
| CN111355583B (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
| US20160269420A1 (en) | Apparatus for verifying safety of resource, server thereof, and method thereof | |
| CN108259456B (zh) | 实现用户免登录的方法、装置、设备、计算机存储介质 | |
| CN112653676B (zh) | 一种跨认证系统的身份认证方法和设备 | |
| CN112583600B (zh) | 用户鉴权的方法、装置、电子设备及介质 | |
| JP5793593B2 (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |