CN111600864B - 基于令牌认证多维度校验访问服务接口的方法和装置 - Google Patents
基于令牌认证多维度校验访问服务接口的方法和装置 Download PDFInfo
- Publication number
- CN111600864B CN111600864B CN202010390620.6A CN202010390620A CN111600864B CN 111600864 B CN111600864 B CN 111600864B CN 202010390620 A CN202010390620 A CN 202010390620A CN 111600864 B CN111600864 B CN 111600864B
- Authority
- CN
- China
- Prior art keywords
- interface
- token
- request message
- client
- requested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Abstract
本申请涉及一种基于令牌认证多维度校验访问服务接口的方法和装置,以及计算机设备和计算机可读存储介质。其中,该基于令牌认证多维度校验访问服务接口的方法包括:接收客户端发送的接口请求消息,接口请求消息中携带有客户端的令牌;验证令牌的合法性;在令牌合法的情况下,校验令牌的存活时间;在令牌的存活时间到达预设时间的情况下,判断接口请求消息所请求的接口是否为轮询服务接口;在判断到接口请求消息所请求的接口为轮询服务接口的情况下,允许客户端调用接口请求消息所请求的接口。通过本申请,解决了相关技术中令牌长时间不使用或无限不失效时,易产生网络攻击的问题,实现了降低异常攻击造成的网络安全问题的有益效果。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及基于令牌认证多维度校验访问服务接口的方法和装置,以及计算机设备和计算机可读存储介质。
背景技术
现有计算机技术领域中,常用令牌来完成客户端与服务器端连接,并在令牌通过后,使客户端能访问服务器端的服务接口。
现有的基于令牌认证完成客户端与服务器端连接的方案中,客户端先发送获取令牌的请求,服务器端根据该请求生成令牌并下发给客户端,同时,服务器端保存该令牌与请求的客户端之间的对应关系;当服务器端接收到待接入端发来的接入请求时,根据令牌验证待接入的客户端是否为请求令牌对应的客户端,验证通过,则允许待接入客户端接入对应的服务接口。
上述的基于令牌认证的方案中,在客户端获取令牌后,若用户长时间不使用该令牌或正常轮询接口而令牌无限不失效时,会存在令牌被黑客或其他网络攻击者获取并进行网络攻击的危险。
目前针对相关技术中令牌长时间不使用或无限不失效时,易产生网络攻击的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种基于令牌认证多维度校验访问服务接口的方法和装置,以及计算机设备和计算机可读存储介质,以至少解决相关技术中令牌长时间不使用或无限不失效时,易产生网络攻击的问题。
第一方面,本申请实施例提供了一种基于令牌认证多维度校验访问服务接口的方法,包括:接收客户端发送的接口请求消息,所述接口请求消息中携带有所述客户端的令牌;验证所述令牌的合法性;在所述令牌合法的情况下,校验所述令牌的存活时间;在所述令牌的存活时间到达预设时间的情况下,判断所述接口请求消息所请求的接口是否为轮询服务接口;在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
在其中一些实施例中,在判断到所述接口请求消息所请求的接口不为轮询服务接口的情况下,生成所述客户端的新的令牌,将所述新的令牌发送给所述客户端,并允许所述客户端调用所述接口请求消息所请求的接口。
在其中一些实施例中,判断所述接口请求消息所请求的接口是否为轮询服务接口包括:在轮询服务接口集中匹配所述接口请求消息所请求的接口;其中,在所述轮询服务接口集中匹配到所述接口请求消息所请求的接口的情况下,确定所述接口请求消息所请求的接口为轮询服务接口。
在其中一些实施例中,所述方法还包括:在所述令牌的存活时间未到达预设时间的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
在其中一些实施例中,在接收客户端发送的接口请求消息之前,所述方法还包括:接收所述客户端发送的非对称加密串,其中,所述非对称加密串是由所述客户端根据公钥对账户信息进行加密得到的;使用私钥解密所述非对称加密串,得到所述账户信息;校验所述账户信息是否合法;在所述账户信息合法的情况下,生成所述令牌,并下发至所述客户端。
在其中一些实施例中,在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,允许所述客户端调用所述接口请求消息所请求的接口包括:在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,判断所述客户端对所述接口请求消息所请求的接口是否存在异常访问;在判断到不存在异常访问的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
在其中一些实施例中,在判断到存在异常访问的情况下,降低所述客户端对所述接口请求消息所请求的接口的访问控制频率,或者删除所述令牌并将所述客户端写入接口访问黑名单。
第二方面,本申请实施例提供了一种基于令牌认证多维度校验访问服务接口的装置,包括:接收模块,用于接收客户端发送的接口请求消息,所述接口请求消息中携带有所述客户端的令牌;验证模块,用于验证所述令牌的合法性;校验模块,用于在所述令牌合法的情况下,校验所述令牌的存活时间;判断模块,用于在所述令牌的存活时间到达预设时间的情况下,判断所述接口请求消息所请求的接口是否为轮询服务接口;处理模块,用于在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
在其中一些实施例中,所述装置还包括:第一处理模块,用于在判断到所述接口请求消息所请求的接口不为轮询服务接口的情况下,生成所述客户端的新的令牌,将所述新的令牌发送给所述客户端,并允许所述客户端调用所述接口请求消息所请求的接口。
在其中一些实施例中,所述判断模块包括:第一匹配单元,用于在轮询服务接口集中匹配所述接口请求消息所请求的接口;第一确定单元,用于在所述轮询服务接口集中匹配到所述接口请求消息所请求的接口的情况下,确定所述接口请求消息所请求的接口为轮询服务接口。
在其中一些实施例中,所述装置还包括:第二处理模块,用于在所述令牌的存活时间未到达预设时间的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
在其中一些实施例中,所述装置还包括:第一接收模块,用于接收所述客户端发送的非对称加密串,其中,所述非对称加密串是由所述客户端根据公钥对账户信息进行加密得到的;解密模块,用于使用私钥解密所述非对称加密串,得到所述账户信息;第一校验模块,用于校验所述账户信息是否合法;令牌生成模块,用于在所述账户信息合法的情况下,生成所述令牌,并下发至所述客户端。
在其中一些实施例中,所述处理模块还包括:第一判断单元,用于在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,判断所述客户端对所述接口请求消息所请求的接口是否存在异常访问;第一处理单元,用于在判断到不存在异常访问的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
在其中一些实施例中,所述处理模块还包括:第二处理单元,用于在判断到存在异常访问的情况下,降低所述客户端对所述接口请求消息所请求的接口的访问控制频率,或者删除所述令牌并将所述客户端写入接口访问黑名单。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的基于令牌认证多维度校验访问服务接口的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的基于令牌认证多维度校验访问服务接口的方法。
相比于相关技术,本申请实施例提供的一种基于令牌认证多维度校验访问服务接口的方法和装置,以及计算机设备和计算机可读存储介质,通过接收客户端发送的接口请求消息,所述接口请求消息中携带有所述客户端的令牌,验证所述令牌的合法性;在所述令牌合法的情况下,校验所述令牌的存活时间;在所述令牌的存活时间到达预设时间的情况下,判断所述接口请求消息所请求的接口是否为轮询服务接口;在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,允许所述客户端调用所述接口请求消息所请求的接口。解决了相关技术中令牌长时间不使用或无限不失效时,易产生网络攻击的问题,实现了降低异常攻击造成的网络安全问题的有益效果。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的基于令牌认证多维度校验访问服务接口的方法的流程图;
图2是根据本申请实施例的基于令牌认证多维度校验访问服务接口的方法的优选流程图;
图3是根据本申请实施例的认证校验令牌合法性的流程图;
图4是根据本申请实施例的令牌生成的流程图;
图5是根据本申请实施例的轮询集处理的流程图;
图6是根据本申请实施例的日志处理器的日志收集的流程图;
图7是根据本申请实施例的检测与解决中心进行处理过程的时序图;
图8是根据申请实施例的基于令牌认证多维度校验访问服务接口的方法实施系统的框架示意图;
图9是根据本申请实施例的基于令牌认证多维度校验访问服务接口的装置的结构框图;
图10是根据本申请实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供了一种基于令牌认证多维度校验访问服务接口的方法。图1是根据本申请实施例的基于令牌认证多维度校验访问服务接口的方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,接收客户端发送的接口请求消息,接口请求消息中携带有客户端的令牌。
步骤S102,验证令牌的合法性。
步骤S103,在令牌合法的情况下,校验令牌的存活时间。
步骤S104,在令牌的存活时间到达预设时间的情况下,判断接口请求消息所请求的接口是否为轮询服务接口。
步骤S105,在判断到接口请求消息所请求的接口为轮询服务接口的情况下,允许客户端调用接口请求消息所请求的接口。
通过上述步骤S101至步骤S105,采用接收客户端发送的接口请求消息,接口请求消息中携带有客户端的令牌,验证令牌的合法性;在令牌合法的情况下,校验令牌的存活时间;在令牌的存活时间到达预设时间的情况下,判断接口请求消息所请求的接口是否为轮询服务接口;在判断到接口请求消息所请求的接口为轮询服务接口的情况下,允许客户端调用接口请求消息所请求的接口。解决了用户获取令牌之后,用户长时间不使用该令牌或正常轮询接口而令牌无限不失效时,会存在令牌被黑客或其他网络攻击者获取并进行网络攻击的危险的问题,实现了降低异常攻击造成的网络安全问题的有益效果。
图2是根据本申请实施例的基于令牌认证多维度校验访问服务接口的方法的优选流程图,如图2所示,该基于令牌认证多维度校验访问服务接口的方法包括如下步骤:
步骤S106,在判断到接口请求消息所请求的接口不为轮询服务接口的情况下,生成客户端的新的令牌,将新的令牌发送给客户端,并允许客户端调用接口请求消息所请求的接口。
在其中一些实施例中,步骤S105中的判断接口请求消息所请求的接口是否为轮询服务接口通过如下步骤实现:
步骤S105-1,在轮询服务接口集中匹配接口请求消息所请求的接口;
步骤S105-2,在轮询服务接口集中匹配到接口请求消息所请求的接口的情况下,确定接口请求消息所请求的接口为轮询服务接口。
在其中一些实施例中,方法还实施如下步骤:
步骤S107,在令牌的存活时间未到达预设时间的情况下,允许客户端调用接口请求消息所请求的接口。
图3是本申请实施例中认证校验令牌合法性性的流程图。如图3所示,步骤S101至步骤S107还通过如下步骤实现:
1、认证中心(本申请实施例的执行体)获得令牌,去匹配redis(一种key-value存储系统),匹配失败,直接返回认证失败。通过此步骤,校验令牌的合法性。
2、匹配成功,则校验令牌时效性,令牌可用,直接返回认证成功和原有令牌信息;此时,允许客户端调用接口请求消息所请求的接口。
3、令牌过期,则需要匹配轮询集(判断请求接口是否为轮询服务接口),匹配成功,则直接返回原有令牌不刷新令牌和认证成功信息。此时,允许客户端调用接口请求消息所请求的接口;通过轮询,解决轮询服务接口一直轮询,带来令牌无限刷新,给客户端造成登录不退出且用户令牌一直存在的后果,降低用户忘记退出系统时存在的风险;
4、若轮询集匹配不成功,则需要重新刷新令牌,此时,将新的令牌发送给客户端,并返回新令牌信息且认证成功给客户端,且允许客户端基于新的令牌调用接口请求消息所请求的接口。可以理解,如此为了防止长时间令牌陈旧,被黑客利用可能性。
在其中一些实施例中,在接收客户端发送的接口请求消息之前,方法还实施如下步骤:
步骤S108,接收客户端发送的非对称加密串,其中,非对称加密串是由客户端根据公钥对账户信息进行加密得到的;
步骤S109,使用私钥解密非对称加密串,得到账户信息;
步骤S110,校验账户信息是否合法;
步骤S111,在账户信息合法的情况下,生成令牌,并下发至客户端。
步骤S108至步骤S111,是本申请实施例中,令牌生成的过程。图4是本申请实施例中令牌生成的流程图。如图4所示,令牌生成的过程可参考如下描述:
步骤1、客户端根据用户账户信息采用公钥进行非对称加密生成非对称加密串;
步骤2、认证中心根据非对称加密串进行私钥解密得到用户名与密码(得到账户信息);
步骤3、匹配数据库认证用户合法性,若合法则生成用户唯一标识令牌,令牌可以是随机唯一标识用户字符串,也可以是用户信息加密过后唯一字符串并存储在redis中。
在其中一些实施例中,步骤S105中的在判断到接口请求消息所请求的接口为轮询服务接口的情况下,允许客户端调用接口请求消息所请求的接口通过如下步骤实现:
步骤S105-3,在判断到接口请求消息所请求的接口为轮询服务接口的情况下,判断客户端对接口请求消息所请求的接口是否存在异常访问;
步骤S105-4,在判断到不存在异常访问的情况下,允许客户端调用接口请求消息所请求的接口。
在其中一些实施例中,在步骤S105-3的在判断到接口请求消息所请求的接口为轮询服务接口的情况下,判断客户端对接口请求消息所请求的接口是否存在异常访问之后,还实施如下步骤:
步骤S105-5,在判断到存在异常访问的情况下,降低客户端对接口请求消息所请求的接口的访问控制频率,或者删除所述令牌并将所述客户端写入接口访问黑名单。
图5为本申请实施例中轮询集处理的流程图。如图5所示,对步骤S104中的判断接口请求消息所请求的接口是否为轮询服务接口的进一步阐述可以参考如下描述:
轮询时,当存在服务接口请求轮询集时需进行轮询集匹配,若匹配失败,不做处理,若成功匹配,则需要进行分析是否是黑客攻击行为,这时候需要查询日志处理器数据,统计该接口(接口请求消息所请求的接口)的访问频率(本申请实施例中,是指客户端的访问),若大于设定的频率,则有黑客攻击可能性,此时需要对该接口用户进行限制访问频率处理或者直接加入黑名单禁止其访问。
在本实施例中,设定了如下的限制访问频率的标准策略:
当访问频率超过设定频率1倍~2倍之间,修改访问频率控制权限,设置成设定频率(例如:设定每一分钟只能访问一次);
当访问频率超过设定频率2倍~3倍之间,修改访问频率控制权限,设置成设定频率(例如:设定5分钟只能访问一次),发布警告;
当访问频率超过设定频率大于3倍,该用户有存在机器操作行为或者黑客攻击行为,删除令牌并且加入黑名单限制其访问权限。
附图6为本申请实施例中日志处理器的日志收集的流程图。如图6所示,本申请实施例中,对日志处理器进一步阐述如下:
日志处理器:主要收集并存储所有服务接口访问日志和定时规定统计数据,其主要存储字段包括访问路径,参数,访问IP地址,访问时间,访问用户。由于考虑的数据并发问题,这里采用了消息队列(mq)和搜索引擎(es)处理数据存储。
日志存储流程:1、检测中心与解决中心实时监听拦截所有请求的服务接口信息,当有用户访问时,将访问信息(LOGINFO),发给日志处理器。日志信息包括访问者IP、访问时间、访问用户、访问路径、访问参数等。
2、日志处理器根据访问信息LOGINFO生成消息LOGMQ发送给消息队列mq,此时日志处理器实时监听消息队列mq消息情况,当有消息存在,获取消息信息LOGMQ转储到搜索引擎ES里。
日志校验流程:该功能是定时检测除了轮询集服务接口其他接口访问情况。
流程包括如下步骤:
步骤1、获取已建立好的压测集数据接口,压测集属性包括:路径URL,压测时间和访问频率,频率可以是梯度数字,例如:20、40,排除压测带来的影响;
步骤2、匹配压测集,若成功匹配,需要进行统计方法B处理,若匹配失败,则进行统计方法A处理,最终将统计结果进行存储归档。
其中,
统计方法A包括:统计接口每秒,每分钟,每小时的访问次数以及访问有数据返回的成功率,当次数达到限制次数以及成功率太低,评判该接口访问连续性(一直保持这频率,间断式,偶尔,有规律的),当一直维持这个频率下去,限制其每秒访问次数,每秒不超过20次,此时应该发布预警;若有规律访问,可能是机器在访问,限制频率每秒不超过30次;若是偶尔,当达到高峰限制频率不超过50次。
统计方法B包括:若接口访问时间在压测集频率和压测时间范围内,不做处理,超出范围,记录统计结果。
图7是本申请实施例中检测与解决中心进行处理过程的时序图。如图7所示,处理过程包括如下步骤:
步骤1、接收到服务接口请求,检测与解决中心立即异步向日志处理器发出日志存储请求日志,此时不必等返回结果,日志处理会自行处理;
步骤2、向认证中心发起认证请求,认证通过则进行相关的业务处理,认证失败返回失败结果。
图8是本申请实施例中基于令牌认证多维度校验访问服务接口的方法实施系统的框架图,本申请实施例的令牌认证多维度校验访问服务接口的方法可以基于图8所示的框架图实现。
本实施例还提供了一种基于令牌认证多维度校验访问服务接口的装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图9是根据本申请实施例的基于令牌认证多维度校验访问服务接口装置的结构框图,如图9所示,该装置包括:
接收模块91,用于接收客户端发送的接口请求消息,接口请求消息中携带有客户端的令牌;
验证模块92,与接收模块91耦合连接,用于验证令牌的合法性;
校验模块93,与验证模块92耦合连接,用于在令牌合法的情况下,校验令牌的存活时间;
判断模块94,与校验模块93耦合连接,用于在令牌的存活时间到达预设时间的情况下,判断接口请求消息所请求的接口是否为轮询服务接口;
处理模块95,与判断模块94耦合连接,用于在判断到接口请求消息所请求的接口为轮询服务接口的情况下,允许客户端调用接口请求消息所请求的接口。
在其中一些实施例中,装置还包括:
第一处理模块,与判断模块94耦合连接,用于在判断到接口请求消息所请求的接口不为轮询服务接口的情况下,生成客户端的新的令牌,将新的令牌发送给客户端,并允许客户端调用接口请求消息所请求的接口。
在其中一些实施例中,判断模块94包括:
第一匹配单元,用于在轮询服务接口集中匹配接口请求消息所请求的接口;
第一确定单元,与第一匹配单元耦合连接,用于在轮询服务接口集中匹配到接口请求消息所请求的接口的情况下,确定接口请求消息所请求的接口为轮询服务接口。
在其中一些实施例中,装置还包括:
第二处理模块,与校验模块93耦合连接,用于在令牌的存活时间未到达预设时间的情况下,允许客户端调用接口请求消息所请求的接口。
在其中一些实施例中,装置还包括:
第一接收模块,用于接收客户端发送的非对称加密串,其中,非对称加密串是由客户端根据公钥对账户信息进行加密得到的;
解密模块,与第一接收模块耦合连接,用于使用私钥解密非对称加密串,得到账户信息;
第一校验模块,与第一校验模块耦合连接,用于校验账户信息是否合法;
令牌生成模块,与第一校验模块耦合连接,用于在账户信息合法的情况下,生成令牌,并下发至客户端。
在其中一些实施例中,处理模块95还包括:
第一判断单元,用于在判断到接口请求消息所请求的接口为轮询服务接口的情况下,判断客户端对接口请求消息所请求的接口是否存在异常访问;
第一处理单元,与第一判断单元耦合连接,用于在判断到不存在异常访问的情况下,允许客户端调用接口请求消息所请求的接口。
在其中一些实施例中,处理模块95还包括:
第二处理单元,与第一判断单元耦合连接,用于在判断到存在异常访问的情况下,降低客户端对接口请求消息所请求的接口的访问控制频率,或者删除令牌并将客户端写入接口访问黑名单。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例基于令牌认证多维度校验访问服务接口的方法可以由计算机设备来实现。图10为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器101以及存储有计算机程序指令的存储器102。
具体地,上述处理器101可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器102可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器102可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(Solid State Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(UniversalSerial Bus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器102可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器102可在数据处理装置的内部或外部。在特定实施例中,存储器102是非易失性(Non-Volatile)存储器。在特定实施例中,存储器102包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(Random Access Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(ErasableProgrammable Read-Only Memory,简称为EPROM)、电可擦除PROM(Electrically ErasableProgrammable Read-Only Memory,简称为EEPROM)、电可改写ROM(ElectricallyAlterable Read-Only Memory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-AccessMemory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode DynamicRandom Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(ExtendedDate Out Dynamic Random Access Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器102可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器101所执行的可能的计算机程序指令。
处理器101通过读取并执行存储器102中存储的计算机程序指令,以实现上述实施例中的任意一种基于令牌认证多维度校验访问服务接口的方法。
在其中一些实施例中,计算机设备还可包括通信接口103和总线100。其中,如图10所示,处理器101、存储器102、通信接口103通过总线100连接并完成相互间的通信。
通信接口103用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口103还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线100包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线100包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线100可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线100可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的接口请求消息,执行本申请实施例中的基于令牌认证多维度校验访问服务接口,从而实现结合图1描述的基于令牌认证多维度校验访问服务接口的方法。
另外,结合上述实施例中的基于令牌认证多维度校验访问服务接口的方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于令牌认证多维度校验访问服务接口的方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于令牌认证多维度校验访问服务接口的方法,其特征在于,包括:
接收客户端发送的接口请求消息,所述接口请求消息中携带有所述客户端的令牌;
验证所述令牌的合法性;
在所述令牌合法的情况下,校验所述令牌的存活时间;
在所述令牌的存活时间到达预设时间的情况下,判断所述接口请求消息所请求的接口是否为轮询服务接口;具体的,在轮询服务接口集中匹配所述接口请求消息所请求的接口;其中,在所述轮询服务接口集中匹配到所述接口请求消息所请求的接口的情况下,确定所述接口请求消息所请求的接口为轮询服务接口;
在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
2.根据权利要求1所述的基于令牌认证多维度校验访问服务接口的方法,其特征在于,在判断到所述接口请求消息所请求的接口不为轮询服务接口的情况下,生成所述客户端的新的令牌,将所述新的令牌发送给所述客户端,并允许所述客户端调用所述接口请求消息所请求的接口。
3.根据权利要求1所述的基于令牌认证多维度校验访问服务接口的方法,其特征在于,所述方法还包括:在所述令牌的存活时间未到达预设时间的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
4.根据权利要求1所述的基于令牌认证多维度校验访问服务接口的方法,其特征在于,在接收客户端发送的接口请求消息之前,所述方法还包括:
接收所述客户端发送的非对称加密串,其中,所述非对称加密串是由所述客户端根据公钥对账户信息进行加密得到的;
使用私钥解密所述非对称加密串,得到所述账户信息;
校验所述账户信息是否合法;
在所述账户信息合法的情况下,生成所述令牌,并下发至所述客户端。
5.根据权利要求1所述的基于令牌认证多维度校验访问服务接口的方法,其特征在于,在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,允许所述客户端调用所述接口请求消息所请求的接口包括:
在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,判断所述客户端对所述接口请求消息所请求的接口是否存在异常访问;
在判断到不存在异常访问的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
6.根据权利要求5所述的基于令牌认证多维度校验访问服务接口的方法,其特征在于,在判断到存在异常访问的情况下,降低所述客户端对所述接口请求消息所请求的接口的访问控制频率,或者删除所述令牌并将所述客户端写入接口访问黑名单。
7.一种基于令牌认证多维度校验访问服务接口的装置,其特征在于,包括:
接收模块,用于接收客户端发送的接口请求消息,所述接口请求消息中携带有所述客户端的令牌;
验证模块,用于验证所述令牌的合法性;
校验模块,用于在所述令牌合法的情况下,校验所述令牌的存活时间;
判断模块,用于在所述令牌的存活时间到达预设时间的情况下,判断所述接口请求消息所请求的接口是否为轮询服务接口;具体的,在轮询服务接口集中匹配所述接口请求消息所请求的接口;其中,在所述轮询服务接口集中匹配到所述接口请求消息所请求的接口的情况下,确定所述接口请求消息所请求的接口为轮询服务接口;
处理模块,用于在判断到所述接口请求消息所请求的接口为轮询服务接口的情况下,允许所述客户端调用所述接口请求消息所请求的接口。
8.根据权利要求7所述的基于令牌认证多维度校验访问服务接口的装置,其特征在于,还包括:
第一处理模块,用于在判断到所述接口请求消息所请求的接口不为轮询服务接口的情况下,生成所述客户端的新的令牌,将所述新的令牌发送给所述客户端,并允许所述客户端调用所述接口请求消息所请求的接口。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的基于令牌认证多维度校验访问服务接口的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的基于令牌认证多维度校验访问服务接口的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010390620.6A CN111600864B (zh) | 2020-05-11 | 2020-05-11 | 基于令牌认证多维度校验访问服务接口的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010390620.6A CN111600864B (zh) | 2020-05-11 | 2020-05-11 | 基于令牌认证多维度校验访问服务接口的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111600864A CN111600864A (zh) | 2020-08-28 |
| CN111600864B true CN111600864B (zh) | 2022-06-14 |
Family
ID=72191125
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010390620.6A Active CN111600864B (zh) | 2020-05-11 | 2020-05-11 | 基于令牌认证多维度校验访问服务接口的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111600864B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468478A (zh) * | 2020-11-23 | 2021-03-09 | 杭州贝嘟科技有限公司 | 攻击拦截方法、装置、计算机设备和存储介质 |
| CN112733103A (zh) * | 2021-01-11 | 2021-04-30 | 浪潮云信息技术股份公司 | 接口访问的控制方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770110A (zh) * | 2004-11-03 | 2006-05-10 | 国际商业机器公司 | 对I/O完成进行无锁InfiniBandTM轮询的方法、系统和存储介质 |
| WO2014131634A1 (en) * | 2013-02-28 | 2014-09-04 | Gemalto Sa | Method for allowing a web server to detect the logout of a distant token |
| CN110049048A (zh) * | 2019-04-22 | 2019-07-23 | 易联众民生(厦门)科技有限公司 | 一种政务公共服务的数据访问方法、设备及可读介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891859B (zh) * | 2012-10-22 | 2016-05-25 | 北京奇虎科技有限公司 | 一种令牌接口过期处理系统及方法 |
| CN103634301B (zh) * | 2013-11-14 | 2017-01-04 | 新浪网技术(中国)有限公司 | 客户端及其访问服务器中用户存储的私有数据的方法 |
| CN107645512A (zh) * | 2017-10-20 | 2018-01-30 | 国信嘉宁数据技术有限公司 | 一种身份验证的方法、装置及服务器 |
| US10855670B2 (en) * | 2018-05-03 | 2020-12-01 | Vmware, Inc. | Polling service |
-
2020
- 2020-05-11 CN CN202010390620.6A patent/CN111600864B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770110A (zh) * | 2004-11-03 | 2006-05-10 | 国际商业机器公司 | 对I/O完成进行无锁InfiniBandTM轮询的方法、系统和存储介质 |
| WO2014131634A1 (en) * | 2013-02-28 | 2014-09-04 | Gemalto Sa | Method for allowing a web server to detect the logout of a distant token |
| CN110049048A (zh) * | 2019-04-22 | 2019-07-23 | 易联众民生(厦门)科技有限公司 | 一种政务公共服务的数据访问方法、设备及可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111600864A (zh) | 2020-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109243045B (zh) | 一种投票方法、装置、计算机设备及计算机可读存储介质 | |
| CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
| US10135824B2 (en) | Method and system for determining whether a terminal logging into a website is a mobile terminal | |
| WO2016180202A1 (zh) | 一种安全通讯的方法和装置 | |
| CN106302328B (zh) | 敏感用户数据处理系统和方法 | |
| CN108737110B (zh) | 一种用于防重放攻击的数据加密传输方法及装置 | |
| CN110855624A (zh) | 基于web接口的安全校验方法及相关设备 | |
| CN112688773A (zh) | 一种令牌的生成和校验方法及装置 | |
| CN111600864B (zh) | 基于令牌认证多维度校验访问服务接口的方法和装置 | |
| JP2007529056A5 (zh) | ||
| CN106453378A (zh) | 数据认证的方法、装置及系统 | |
| JP2007280393A (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| CN112272093B (zh) | 一种令牌管理的方法、电子设备及可读存储介质 | |
| WO2009140911A1 (zh) | 交互式身份认证方法 | |
| CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
| CN110035035B (zh) | 一种单点登录的二次认证方法及系统 | |
| CN114726606B (zh) | 一种用户认证方法、客户端、网关及认证服务器 | |
| JP2012159980A (ja) | 識別情報の不正な取得を防止するためのサーバ | |
| CN106130996B (zh) | 一种网站防攻击验证系统及方法 | |
| CN106411826B (zh) | 一种数据访问的方法及设备 | |
| CN112104646B (zh) | 一种app数据接口安全性传输的方法及其系统 | |
| CN113794568A (zh) | 接口安全验证方法、访问接口的方法、装置、设备和介质 | |
| CN114039748A (zh) | 身份验证方法、系统、计算机设备和存储介质 | |
| CN109428869B (zh) | 钓鱼攻击防御方法和授权服务器 | |
| CN116318899B (zh) | 数据加密解密的处理方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |