CN111901342B - 权限申请验证方法、装置、设备及存储介质 - Google Patents

权限申请验证方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN111901342B
CN111901342B CN202010738614.5A CN202010738614A CN111901342B CN 111901342 B CN111901342 B CN 111901342B CN 202010738614 A CN202010738614 A CN 202010738614A CN 111901342 B CN111901342 B CN 111901342B
Authority
CN
China
Prior art keywords
authority
token
key
user
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010738614.5A
Other languages
English (en)
Other versions
CN111901342A (zh
Inventor
顾青成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN202010738614.5A priority Critical patent/CN111901342B/zh
Priority to PCT/CN2020/118444 priority patent/WO2021139244A1/zh
Publication of CN111901342A publication Critical patent/CN111901342A/zh
Application granted granted Critical
Publication of CN111901342B publication Critical patent/CN111901342B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

本发明提出一种权限申请验证方法所述权限申请验证方法包括:接收申请权限的第一令牌,所述第一令牌包括用户ID、权限调用接口参数及时间戳;依据所述用户ID获取用户密钥;依据所述用户密钥及所述权限调用接口参数获取临时验证密钥;依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过并依据所述权限调用接口参数进行授权。本发明能够达到提高系统间权限授权的安全性的目的。

Description

权限申请验证方法、装置、设备及存储介质
技术领域
本发明涉及密码技术\信息加解密技术领域,尤其涉及一种权限申请验证方法、装置、设备及存储介质。
背景技术
对于非封闭式软件系统,如后台系统、中台系统,为了支持其他系统的对接,系统间交互通常采用用户分别登陆多个系统分别进行操作的方式或用户通过授权使系统间通过api调用的方式。
对于用户分别登陆多个系统分别进行操作的方式需要人为介入,用户在多系统运行过程中需要全程参与,在系统调用时分别在多个系统上进行操作,操作繁琐且对用户时间占用较多,用户体验不佳。
对于用户通过授权使系统间通过api调用的方式通常是申请权限的系统使用用户存储在系统中的用户密钥、待申请的权限、api调用参数及当前时间戳生成一个token令牌发送给发放权限的系统,发放权限的系统使用同样的用密钥同样生成一个token令牌,并比较收到的token令牌和生成的token令牌是否相同,相同则验证通过,此种方式中,当验证通过后系统的权限则完全开发,但通常api调用并不需要全部权限,存在一定的安全风险,且用户密钥在多个系统中是相同的,也存在一定的安全风险。
因此,如何在系统间进行安全的权限调用是用户的迫切需求。
发明内容
本发明提供一种权限申请验证方法、装置、设备及存储介质,能够达到提高系统间权限授权的安全性的目的。
为解决上述技术问题,本发明采用的一个技术方案是:提供一种权限申请验证方法,所述权限申请验证方法包括:
接收申请权限的第一令牌,所述第一令牌包括用户ID、权限调用接口参数及时间戳;
依据所述用户ID获取用户密钥;
依据所述用户密钥及所述权限调用接口参数获取临时验证密钥;
依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;
对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过并依据所述权限调用接口参数进行授权。
根据本发明的一种实施例,所述第一令牌还包括临时申请密钥,所述临时申请密钥采用如下方法获得:
获取所述用户密钥及待授权的至少一个权限ID;
依据所述权限ID计算权限终止期,所述权限终止期为终止权限授权的时间;
依据所述权限ID、所述权限终止期生成权限信息;
使用所述用户密钥对所述权限信息加密生成第一信息;
依据所述第一信息和所述用户密钥生成所述临时申请密钥。
根据本发明的一种实施例,所述依据所述待授权权限名称获取待授权的至少一个权限ID,包括:
依据所述权限名称从存储有多个权限名称与多个权限ID对应关系的数据库中获取至少一个与其对应的所述权限ID。
根据本发明的一种实施例,所述依据所述权限ID计算权限终止期,包括:
依据所述权限ID的个数及其对应的权限计算所述权限终止期。
根据本发明的一种实施例,所述依据所述第一信息和所述用户密钥生成所述临时申请密钥,包括;
依据所述第一信息和所述用户密钥生成第一数字签名;及
依据所述第一数字签名与所述第一信息生成所述临时申请密钥。
根据本发明的一种实施例,所述第一令牌中的所述权限调用接口参数包括权限范围参数,所述权限范围参数包括所述第一信息,所述依据所述用户密钥及所述权限调用接口参数获取临时验证密钥,包括:
依据所述第一信息和所述用户密钥生成第二数字签名;及
依据所述第二数字签名与所述第一信息生成所述临时验证密钥。
根据本发明的一种实施例,所述权限申请验证方法还包括:
使用所述用户密钥对所述第一信息进行解密后获取所述待授权的权限ID及其权限终止期;
依据所述权限终止期及当前时间判断所述第一令牌是否超出授权时限;
若超出授权时限,则权限申请验证不通过;
若在授权时限内,则依据所述待授权的权限ID、所述用户ID及所述权限调用接口参数判断所述第一令牌是否超出授权范围;
若超出授权范围,则权限申请验证不通过;
若在授权范围内,则对比所述第一令牌与所述第二令牌是否一致。
此外,为解决上述技术问题,本发明还采用的一个技术方案是:提供一种权限申请验证装置,所述权限申请验证装置包括:
获取模块,用于接收申请权限的第一令牌,所述第一令牌包括用户ID、权限调用接口参数及时间戳;依据所述用户ID获取用户密钥;
密钥生成模块,用于依据所述用户密钥及所述权限调用接口参数获取临时验证密钥;
验证模块,用于依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过并依据所述权限调用接口参数进行授权。
此外,为解决上述技术问题,本发明还采用的一个技术方案是:提供一种权限申请验证设备,所述权限申请验证设备包括处理器、与所述处理器耦接的存储器,其中,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行如上述任一项所述权限申请验证方法的步骤。
此外,为解决上述技术问题,本发明还采用的一个技术方案是:提供一种存储有计算机可读指令的存储介质,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行如上述任一项所述权限申请验证方法的步骤。
本发明提出的权限申请验证方法、装置、设备及存储介质,通过使用临时验证密钥生成第二令牌对第一令牌进行验证,保护了用户密钥安全,进而保护了系统安全。
进一步地,第一令牌通过用户密钥将待申请权限的权限ID与权限终止期进行签名加密后生成临时申请密钥,保护了用户密钥安全的同时,使授权在一定范围和期限内,保护了系统安全。
进一步地,通过权限名称与权限ID的对应,细化权限,准确的限定权限范围,保护系统权限安全。
进一步地,通过权限终止期,可以有效控制权限的使用时间,从而保护系统安全。
附图说明
图1是本发明一种实施例的权限申请验证方法的流程示意图;
图2是本发明一种实施例的权限申请验证装置的结构示意图;
图3是本发明一种实施例的权限申请验证设备的结构示意图;
图4是本发明一种实施例的存储介质的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请中的术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”、“第三”的特征可以明示或者隐含地包括至少一个该特征。本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
请参阅图1,图1是本发明一种实施例的权限申请验证方法的流程示意图。根据本发明的一种实施例,所述权限申请验证方法用于两个需要交互的第一系统及第二系统,所述第一系统通过向所述第二系统申请权限授权,所述第二系统通过所述权限申请验证方法验证所述第一系统的申请是否符合授权,如果符合则对所述第一系统进行授权。本实施例中,所述第一系统、所述第二系统分别可以是客户端和服务器、云客户端和云平台等。需注意的是,若有实质上相同的结果,本发明的方法并不以图1所示的流程顺序为限。如图1所示,所述权限申请验证方法包括以下步骤:
步骤S101:接收申请权限的第一令牌,所述第一令牌包括用户ID、权限调用接口参数及时间戳。
需要说明的是,所述第一令牌是待申请权限的所述第一系统向所述第二系统发送的权限申请指令,包括所述用户ID、所述权限调用接口参数及所述时间戳,所述用户ID即申请权限的用户的身份标识,所述权限调用接口参数为系统间api接口调用定义的参数,所述时间戳为发起权限调用申请的系统时间。为更好的理解所述第二系统对所述第一令牌的验证过程,下面对所述第一令牌的生成过程进行说明。
根据本发明的一个实施例,所述第一令牌包括临时申请密钥,其中,所述临时申请密钥采用如下方法获得:
步骤S1:获取用户密钥及待授权的至少一个权限ID。
根据本发明的一种实施例,系统用户可以在配置系统的时候在系统中进行所述用户密钥的配置,通常通过用户授权方式进行权限调用的多个系统对于同一用户的所述用户密钥相同。为了使授权范围可控,本实施例中,可以通过获取待授权的权限名称从存储有多个权限名称与多个权限ID对应关系的数据库中获取至少一个与其对应的所述权限ID。可以理解,所述数据库中的所述权限ID是按预设范围将权限细化后得到的,如可以设置权限ID为001的权限代表用户名字、权限ID为002的权限代表用户电话号码、权限ID为003的权限代表用户地址,一个所述待授权的权限名称可以对应多个所述权限ID,不同所述待授权的权限名称的权限可以有至少部分相同的所述权限ID,也可以是完全不同的所述权限ID,例如,当所述待授权的权限名称为注册系统,则其对应的权限ID可以为001、002、003,当所述待授权的权限名称为登陆系统,则其对应的权限ID可以为001、002。通过所述权限名称与所述权限ID的对应,可以将待授权的权限细化,不用每次授权都开放全部权限,按范围的进行授权,可以准确的限定权限范围,保护系统安全。
步骤S2:依据所述权限ID计算权限终止期,所述权限终止期为终止权限授权的时间。
根据本发明的一种实施例,所述数据库中还可以存储有所述权限ID对应的授权时间,当获取到待授权的所述权限ID后,可以依据所述权限ID的个数及其对应的权限计算整体的授权时间,从而计算出所述权限终止期。可以理解,为保证所述待授权的权限不同其对应的所述临时密钥不同,所述权限ID对应的所述授权时间的长度可以精确到毫秒,如权限ID为001的授权时间为1分21秒450毫秒,权限ID为002的授权时间为0分45秒120毫秒,权限ID为003的授权时间为1分0秒250毫秒,则当所述待授权的权限名称为注册系统时,可以根据权限ID为001、002、003的授权时间进行计算,获得整体的授权时间1,然后根据所述当前时间戳加上授权时间1计算所述权限终止期,当所述待授权的权限名称为登陆系统时,可以根据权限ID为001、002的授权时间进行计算,获得整体的授权时间2,然后根据所述当前时间戳加上授权时间2计算所述权限终止期。通过所述权限终止期,可以有效控制权限的授权发放时间,从而使授权时间范围可控,进而保护系统安全。
步骤S3:依据所述权限ID、所述权限终止期生成权限信息。
步骤S3中可以将所述权限ID、所述权限终止期按预设规则拼接成字符串后生成权限信息,如所述待授权的权限名称为注册系统时,所述权限ID为001、002、003,所述权限终止期为2点1分0秒531毫秒,则所述权限信息为“001,002,003->20100531”
步骤S4:使用所述用户密钥对所述权限信息加密生成第一信息。
具体地,使用所述用户密钥对所述权限信息进行对称加密后可以生成第一信息,根据本发明的一种实施例,加密算法可以采用强度较高的AES128算法。
步骤S5:依据所述第一信息和所述用户密钥生成所述临时申请密钥。
具体的,步骤S5中,先对所述第一信息和所述用户密钥进行签名,本实施例中,可以对所述第一信息和所述用户密钥合并后的字符串使用MD5算法进行签名获得所述第一数字签名,然后将所述第一数字签名追加在所述第一信息后面形成所述临时申请密钥。
所述第一令牌为依据所述用户ID、所述权限调用接口参数、所述时间戳及所述临时申请密钥经过加密后生成,如对所述第一令牌token1中的所述用户ID、所述权限调用接口参数、所述时间戳及所述临时申请密钥进行排序后组成特定字符串“用户id+临时申请私钥+按照参数名排序后的权限调用接口参数+时间戳”,然后进行MD5加密,其中,所述权限调用接口参数包括权限范围参数,根据本发明的一种实施例,可以将所述第一信息作为所述权限范围参数。如可以定义所述权限范围参数为“AuthorityRange”,则调用接口的url可以为“http://domain/api?param1=abc&param2=xyz&AuthorityRange=xxx”。
通过使用临时申请密钥生成第一令牌,并使用所述第一令牌进行权限申请,可以限定授权的范围和时限,并且保护了用户密钥安全,进而保护了系统安全。
步骤S102:依据所述用户ID获取用户密钥。
所述第二系统接收到所述第一系统申请权限的所述第一令牌token1后,可以从所述第一令牌token1中获取所述用户ID,并依据所述用户ID查找到对应的用户及其安装在所述第二系统中的所述用户密钥。
步骤S103:依据所述用户密钥及所述权限调用接口参数获取临时验证密钥。
根据本申请的一种实施例,所述权限调用接口参数包括权限范围参数,且所述第一信息作为所述权限范围参数。即可以从所述第一令牌的所述权限调用接口参数中获取所述第一信息,对所述第一信息和所述用户密钥进行签名生成第二数字签名,并依据所述第二数字签名与所述第一信息生成所述临时验证密钥,本实施例中,可以对所述第一信息和所述用户密钥合并后的字符串使用MD5算法进行签名获得所述第二数字签名,然后将所述第二数字签名追加在所述第一信息后面形成所述临时验证密钥。
步骤S104:依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;
具体的,依据所述用户ID、所述权限调用接口参数、所述时间戳及所述临时验证密钥经过加密后生成所述第二令牌,可以理解,生成所述第二令牌的过程与所述第一令牌相同,如对所述第二令牌token2中的所述用户ID、所述权限调用接口参数、所述时间戳及所述临时验证密钥进行排序后组成特定字符串“用户id+临时验证私钥+按照参数名排序后的权限调用接口参数+时间戳”,然后进行MD5加密,其中,所述权限调用接口参数包括权限范围参数,根据本发明的一种实施例,可以将所述第一信息作为所述权限范围参数。如可以定义所述权限范围参数为“AuthorityRange”,则调用接口的url可以为“http://domain/api?param1=abc&param2=xyz&AuthorityRange=xxx”。
步骤S105:对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过并依据所述权限调用接口参数进行授权。
具体的,所述第二系统使用所述用户密钥对所述第一信息进行解密后可以获取所述待授权的所述权限ID及其所述权限终止期,并依据所述权限终止期及当前时间计算所述第一令牌token1中的所述权限终止期是否超出授权时限,如果超出授权时限,则权限申请验证不通过;若在授权时限内,则依据所述待授权的权限ID、所述用户ID及所述权限调用接口参数判断所述第一令牌token1是否超出授权范围;若超出授权范围,则权限申请验证不通过。以上验证均通过后,则对比所述第一令牌token1与所述第二令牌token2是否一致,当所述第一令牌token1与所述第二令牌token2一致时,则权限申请验证通过并依据所述权限调用接口参数进行授权。
本实施例提出的权限申请验证方法通过使用临时验证密钥生成第二令牌对第一令牌进行验证,保护了用户密钥安全,进而保护了系统安全。
进一步地,第一令牌通过用户密钥将待申请权限的权限ID与权限终止期进行签名加密后生成临时申请密钥,保护了用户密钥安全的同时,使授权在一定范围和期限内,保护了系统安全。
进一步地,通过权限名称与权限ID的对应,细化权限,准确的限定权限范围,保护系统权限安全。
进一步地,通过权限终止期,可以有效控制权限的使用时间,从而保护系统安全。图2是本发明一种实施例的权限申请验证装置1的结构示意图。如图4所示,所述权限申请验证装置1包括获取模块10,密钥生成模块11、验证模块12。
获取模块10,用于接收申请权限的第一令牌,所述第一令牌包括用户ID、权限调用接口参数及时间戳;依据所述用户ID获取用户密钥;
密钥生成模块11,用于依据所述用户密钥及所述权限调用接口参数获取临时验证密钥;
验证模块12,用于依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过并依据所述权限调用接口参数进行授权。
根据本发明的一种实施例,所述密钥生成模块11还用于依据所述第一令牌中的所述权限调用接口参数的所述权限范围参数的所述第一信息和所述用户密钥生成第二数字签名;及依据所述第二数字签名与所述第一信息生成所述临时验证密钥。
根据本发明的一种实施例,验证模块12还用于使用所述用户密钥对所述第一信息进行解密后获取所述待授权的权限ID及其权限终止期;依据所述权限终止期及当前时间判断所述第一令牌是否超出授权时限;若超出授权时限,则权限申请验证不通过;若在授权时限内,则依据所述待授权的权限ID、所述用户ID及所述权限调用接口参数判断所述第一令牌是否超出授权范围;若超出授权范围,则权限申请验证不通过;若在授权范围内,则对比所述第一令牌与所述第二令牌是否一致。
可以理解的是,上述装置的各模块实现各功能的具体方式可参阅上述实施例对应的具体步骤,故在此不作赘述。
请参阅图3,图3是本发明一种实施例的权限申请验证设备30的结构示意图。如图3所示,所述权限申请验证设备30包括存储器32、处理器31及存储在所述存储器32上并可在所述处理器31上运行的计算机程序,所述处理器31执行所述计算机程序时实现以下步骤:接收申请权限的第一令牌,所述第一令牌包括用户ID、权限调用接口参数及时间戳;依据所述用户ID获取用户密钥;依据所述用户密钥及所述权限调用接口参数获取临时验证密钥;依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过并依据所述权限调用接口参数进行授权。
根据本发明的一种实施例,所述第一令牌还包括临时申请密钥,所述临时申请密钥采用如下方法获得:获取所述用户密钥及待授权的至少一个权限ID;依据所述权限ID计算权限终止期,所述权限终止期为终止权限授权的时间;依据所述权限ID、所述权限终止期生成权限信息;使用所述用户密钥对所述权限信息加密生成第一信息;依据所述第一信息和所述用户密钥生成所述临时申请密钥。
根据本发明的一种实施例,所述依据所述待授权权限名称获取待授权的至少一个权限ID,包括:依据所述权限名称从存储有多个权限名称与多个权限ID对应关系的数据库中获取至少一个与其对应的所述权限ID。
根据本发明的一种实施例,所述依据所述权限ID计算权限终止期,包括:依据所述权限ID的个数及其对应的权限计算所述权限终止期。
根据本发明的一种实施例,所述依据所述第一信息和所述用户密钥生成所述临时申请密钥,包括;依据所述第一信息和所述用户密钥生成第一数字签名;及依据所述第一数字签名与所述第一信息生成所述临时申请密钥。
根据本发明的一种实施例,所述第一令牌中的所述权限调用接口参数包括权限范围参数,所述权限范围参数包括所述第一信息,所述依据所述用户密钥及所述权限调用接口参数获取临时验证密钥,包括:依据所述第一信息和所述用户密钥生成第二数字签名;及依据所述第二数字签名与所述第一信息生成所述临时验证密钥。
根据本发明的一种实施例,所述权限申请验证方法还包括:使用所述用户密钥对所述第一信息进行解密后获取所述待授权的权限ID及其权限终止期;依据所述权限终止期及当前时间判断所述第一令牌是否超出授权时限;若超出授权时限,则权限申请验证不通过;若在授权时限内,则依据所述待授权的权限ID、所述用户ID及所述权限调用接口参数判断所述第一令牌是否超出授权范围;若超出授权范围,则权限申请验证不通过;若在授权范围内,则对比所述第一令牌与所述第二令牌是否一致。
参阅图4,图4是本发明一种实施例的存储介质的结构示意图。如图4所示存储有计算机可读指令41的存储介质,该计算机可读指令41被一个或多个处理器执行时,使得一个或多个处理器执行以下步骤:
接收申请权限的第一令牌,所述第一令牌包括用户ID、权限调用接口参数及时间戳;依据所述用户ID获取用户密钥;依据所述用户密钥及所述权限调用接口参数获取临时验证密钥;依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过并依据所述权限调用接口参数进行授权。
根据本发明的一种实施例,所述第一令牌还包括临时申请密钥,所述临时申请密钥采用如下方法获得:获取所述用户密钥及待授权的至少一个权限ID;依据所述权限ID计算权限终止期,所述权限终止期为终止权限授权的时间;依据所述权限ID、所述权限终止期生成权限信息;使用所述用户密钥对所述权限信息加密生成第一信息;依据所述第一信息和所述用户密钥生成所述临时申请密钥。
根据本发明的一种实施例,所述依据所述待授权权限名称获取待授权的至少一个权限ID,包括:依据所述权限名称从存储有多个权限名称与多个权限ID对应关系的数据库中获取至少一个与其对应的所述权限ID。
根据本发明的一种实施例,所述依据所述权限ID计算权限终止期,包括:依据所述权限ID的个数及其对应的权限计算所述权限终止期。
根据本发明的一种实施例,所述依据所述第一信息和所述用户密钥生成所述临时申请密钥,包括;依据所述第一信息和所述用户密钥生成第一数字签名;及依据所述第一数字签名与所述第一信息生成所述临时申请密钥。
根据本发明的一种实施例,所述第一令牌中的所述权限调用接口参数包括权限范围参数,所述权限范围参数包括所述第一信息,所述依据所述用户密钥及所述权限调用接口参数获取临时验证密钥,包括:依据所述第一信息和所述用户密钥生成第二数字签名;及依据所述第二数字签名与所述第一信息生成所述临时验证密钥。
根据本发明的一种实施例,所述权限申请验证方法还包括:使用所述用户密钥对所述第一信息进行解密后获取所述待授权的权限ID及其权限终止期;依据所述权限终止期及当前时间判断所述第一令牌是否超出授权时限;若超出授权时限,则权限申请验证不通过;若在授权时限内,则依据所述待授权的权限ID、所述用户ID及所述权限调用接口参数判断所述第一令牌是否超出授权范围;若超出授权范围,则权限申请验证不通过;若在授权范围内,则对比所述第一令牌与所述第二令牌是否一致期。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种权限申请验证方法,其特征在于,所述权限申请验证方法包括:
依据用户ID获取用户密钥以及权限ID;
依据所述用户密钥以及权限ID生成临时申请密钥;
依据所述用户ID、临时申请密钥、权限调用接口参数以及时间戳加密生成第一令牌;所述第一令牌是待申请权限的第一系统向第二系统发送的权限申请指令;
当所述第二系统接收到第一系统申请权限的第一令牌时,依据所述第一令牌中的用户ID获取用户密钥;
依据所述用户密钥及所述权限调用接口参数获取临时验证密钥;其中,所述临时验证密钥的生成方式包括:从所述第一令牌的权限调用接口参数中获取第一信息,所述第一信息为权限范围参数;对所述第一信息和所述用户密钥进行签名生成第二数字签名,并依据所述第二数字签名与所述第一信息生成所述临时验证密钥;
依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;
对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过,并依据所述权限调用接口参数对所述第一系统的待申请权限进行授权。
2.根据权利要求1所述权限申请验证方法,其特征在于,所述依据所述用户密钥以及权限ID生成临时申请密钥包括:
获取所述用户密钥及待授权的至少一个权限ID;
依据所述权限ID计算权限终止期,所述权限终止期为终止权限授权的时间;
依据所述权限ID、所述权限终止期生成权限信息;
使用所述用户密钥对所述权限信息加密生成第一信息;
依据所述第一信息和所述用户密钥生成所述临时申请密钥。
3.根据权利要求 2所述权限申请验证方法,其特征在于,所述获取所述用户密钥及待授权的至少一个权限ID包括:
依据所述权限名称从存储有多个权限名称与多个权限ID对应关系的数据库中获取至少一个与其对应的所述权限ID。
4.根据权利要求3所述权限申请验证方法,其特征在于,所述依据所述权限ID计算权限终止期,包括:
依据所述权限ID的个数及其对应的权限计算所述权限终止期。
5.根据权利要求 2所述权限申请验证方法,其特征在于,所述依据所述第一信息和所述用户密钥生成所述临时申请密钥,包括;
依据所述第一信息和所述用户密钥生成第一数字签名;及
依据所述第一数字签名与所述第一信息生成所述临时申请密钥。
6.根据权利要求2所述权限申请验证方法,其特征在于,所述权限申请验证方法还包括:
使用所述用户密钥对所述第一信息进行解密后获取所述待授权的权限ID及其权限终止期;
依据所述权限终止期及当前时间判断所述第一令牌是否超出授权时限;
若超出授权时限,则权限申请验证不通过;
若在授权时限内,则依据所述待授权的权限ID、所述用户ID及所述权限调用接口参数判断所述第一令牌是否超出授权范围;
若超出授权范围,则权限申请验证不通过;
若在授权范围内,则对比所述第一令牌与所述第二令牌是否一致。
7.一种权限申请验证装置,其特征在于,所述权限申请验证装置包括:
获取模块,用于依据用户ID获取用户密钥以及权限ID,依据所述用户密钥以及权限ID生成临时申请密钥,依据所述用户ID、临时申请密钥、权限调用接口参数以及时间戳加密生成第一令牌;所述第一令牌是待申请权限的第一系统向第二系统发送的权限申请指令;
密钥生成模块,用于当所述第二系统接收到第一系统申请权限的第一令牌时,依据所述第一令牌中的用户ID获取用户密钥,依据所述用户密钥及所述权限调用接口参数获取临时验证密钥;其中,所述临时验证密钥的生成方式包括:从所述第一令牌的权限调用接口参数中获取第一信息,所述第一信息为权限范围参数;对所述第一信息和所述用户密钥进行签名生成第二数字签名,并依据所述第二数字签名与所述第一信息生成所述临时验证密钥;
验证模块,用于依据所述用户ID、所述临时验证密钥、所述权限调用接口参数及所述时间戳生成第二令牌;对比所述第一令牌与所述第二令牌是否一致,若一致,则权限申请验证通过,并依据所述权限调用接口参数对所述第一系统的待申请权限进行授权。
8.一种权限申请验证设备,其特征在于,所述权限申请验证设备包括处理器、与所述处理器耦接的存储器,其中,
所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行如权利要求1至6中任一项权利要求所述权限申请验证方法的步骤。
CN202010738614.5A 2020-07-28 2020-07-28 权限申请验证方法、装置、设备及存储介质 Active CN111901342B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202010738614.5A CN111901342B (zh) 2020-07-28 2020-07-28 权限申请验证方法、装置、设备及存储介质
PCT/CN2020/118444 WO2021139244A1 (zh) 2020-07-28 2020-09-28 权限申请验证方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010738614.5A CN111901342B (zh) 2020-07-28 2020-07-28 权限申请验证方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111901342A CN111901342A (zh) 2020-11-06
CN111901342B true CN111901342B (zh) 2022-06-17

Family

ID=73182246

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010738614.5A Active CN111901342B (zh) 2020-07-28 2020-07-28 权限申请验证方法、装置、设备及存储介质

Country Status (2)

Country Link
CN (1) CN111901342B (zh)
WO (1) WO2021139244A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114444029B (zh) * 2022-01-11 2023-02-28 北京易智时代数字科技有限公司 一种vr应用运行时的使用权验证方法、装置及电子设备
CN114498707B (zh) * 2022-02-14 2023-04-11 青岛艾迪森科技股份有限公司 智能型移峰填谷叠加光伏发电电源运行系统及方法
CN116720172B (zh) * 2023-08-07 2024-01-30 四川神州行网约车服务有限公司 系统权限的验证方法、装置、计算机设备及可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017118587A1 (de) * 2016-01-04 2017-07-13 Bundesdruckerei Gmbh Zugriffskontrolle mittels authentisierungsserver
CN108322469A (zh) * 2018-02-05 2018-07-24 北京百度网讯科技有限公司 信息处理系统、方法和装置
CN108830099A (zh) * 2018-05-04 2018-11-16 平安科技(深圳)有限公司 调用api接口的验证方法、装置、计算机设备和存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10050942B2 (en) * 2015-03-17 2018-08-14 Ca, Inc. System and method of mobile authentication
CN108183907A (zh) * 2017-12-29 2018-06-19 浪潮通用软件有限公司 一种认证方法、服务器及认证系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017118587A1 (de) * 2016-01-04 2017-07-13 Bundesdruckerei Gmbh Zugriffskontrolle mittels authentisierungsserver
CN108322469A (zh) * 2018-02-05 2018-07-24 北京百度网讯科技有限公司 信息处理系统、方法和装置
CN108830099A (zh) * 2018-05-04 2018-11-16 平安科技(深圳)有限公司 调用api接口的验证方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN111901342A (zh) 2020-11-06
WO2021139244A1 (zh) 2021-07-15

Similar Documents

Publication Publication Date Title
CN111901342B (zh) 权限申请验证方法、装置、设备及存储介质
CN108111473B (zh) 混合云统一管理方法、装置和系统
CN107493291B (zh) 一种基于安全元件se的身份认证方法和装置
KR20170067527A (ko) 두 개의 api 토큰을 이용한 api 인증 장치 및 방법
CN110099048B (zh) 一种云存储方法及设备
CN106790183A (zh) 登录凭证校验方法、装置
CN110189442A (zh) 认证方法及装置
CN111444499B (zh) 用户身份认证方法及系统
WO2012067847A1 (en) System and method for end to end encryption
CN109922027B (zh) 一种可信身份认证方法、终端及存储介质
CN105429943B (zh) 一种信息处理方法及其终端
CN110213195A (zh) 一种登录认证方法、服务器及用户终端
US10091189B2 (en) Secured data channel authentication implying a shared secret
CN112487450A (zh) 一种文件服务器访问分级方法
CN114444134A (zh) 一种数据使用授权方法、系统及装置
Abraham et al. SSI Strong Authentication using a Mobile-phone based Identity Wallet Reaching a High Level of Assurance.
CN105430649B (zh) Wifi接入方法及设备
CN110868415B (zh) 远程身份验证方法及装置
CN112926046A (zh) 用于保护设备标识信息的移动终端设备匿名标识信息认证的方法及其系统
CN112348998A (zh) 一次性密码的生成方法、装置、智能门锁及存储介质
CN115442037A (zh) 一种账号管理方法、装置、设备及存储介质
CN115225286A (zh) 应用访问鉴权方法及装置
CN112532568B (zh) 一种交互方法、装置、设备及计算机可读存储介质
CN108574657B (zh) 接入服务器的方法、装置、系统以及计算设备和服务器
TW201638826A (zh) 在行動裝置上以安全信物使相異程式獲得數位憑證簽署之系統及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant