CN111931159A - 一种网页数据接口合法性验证的方法及其系统 - Google Patents
一种网页数据接口合法性验证的方法及其系统 Download PDFInfo
- Publication number
- CN111931159A CN111931159A CN202010803638.4A CN202010803638A CN111931159A CN 111931159 A CN111931159 A CN 111931159A CN 202010803638 A CN202010803638 A CN 202010803638A CN 111931159 A CN111931159 A CN 111931159A
- Authority
- CN
- China
- Prior art keywords
- data interface
- request
- sign
- webpage
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种网页数据接口合法性验证的方法,所述方法包括如下步骤:步骤S1、进入网页页面的时候,获取当前的网页地址url1,设置一个固定的密钥md5key进行MD5加密,生成动态密钥dynamicKey,dynamicKey=md5(url1+md5key);步骤S2、将动态密钥进行二次加密得到最终的校验串interfaceSign,interfaceSign=md5(url1+dynamicKey),存入网页session中;步骤S3、页面上异步进行数据接口请求时,页面上的数据接口接到请求后,根据以上的加密规则,重新生成校验串Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性;本发明无需页面传递参数,更加安全,且便捷。
Description
技术领域
本发明涉及网页制作技术领域,特别是一种网页数据接口合法性验证的方法及其系统。
背景技术
随着数字信息技术和计算机网络通讯技术的发展,以及应用跨平台需求的增加,应用在各平台之间的通讯越发频繁,如何确保交互数据的安全性,防范对数据接口的恶意大量访问,成为构建数据交互接口内容的关键。一个网站上线后,因为各种利益关系,可能会有第三方使用程序来不断请求网页上的数据接口,以此来抓取数据,为他们所用。常见的防抓取方式可能有黑名单、登录校验、IP访问频率等。另外,目前,网络中数据接口访问是采用用户名与密码的方式进行认证。然而,该方法需要系统维护大量用户名与密码信息。
发明内容
为克服上述问题,本发明的目的是提供一种网页数据接口合法性验证的方法,提高了网页验证的安全性。
本发明采用以下方案实现:一种网页数据接口合法性验证的方法,所述方法包括如下步骤:
步骤S1、进入网页页面的时候,获取当前的网页地址url1,设置一个固定的密钥md5key进行MD5加密,生成动态密钥dynamicKey,dynamicKey=md5(url1+md5key);
步骤S2、将动态密钥进行二次加密得到最终的校验串interfaceSign,interfaceSign=md5(url1+dynamicKey),存入网页session中;
步骤S3、页面上异步进行数据接口请求时,页面上的数据接口接到请求后,根据以上的加密规则,重新生成校验串Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
进一步的,所述步骤S3进一步具体为:步骤3.1、页面上异步进行数据接口请求,数据接口收到请求后进行页面跳转,调用Request.UrlReferrer函数判断是否存在上一页地址url2,如果不存在则网页数据接口为非法,存在,则进入步骤3.2;
步骤3.2、判断session中是否存在interfaceSign,不存在则非法,存在,则进入步骤3.3;
步骤3.3、根据公式dynamicKey2=md5(url2+md5key)生成dynamicKey2;
步骤3.4、根据公式Sign=md5(url2+dynamicKey2)生成Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
进一步的,所述新生成的Sign与获得session里的interfaceSign进行比较,如果两者相同则网页数据接口合法,反之不合法;以此来保证数据接口的上一页地址url2必须是首次进入的网页地址。
本发明提供了一种网页数据接口合法性验证的系统,所述系统包括第一加密模块、第二加密模块、以及数据接口验证模块;
所述第一加密模块,用于进入网页页面的时候,获取当前的网页地址url1,设置一个固定的密钥md5key进行MD5加密,生成动态密钥dynamicKey,dynamicKey=md5(url1+md5key);
所述第二加密模块,用于将动态密钥进行二次加密得到最终的校验串interfaceSign,interfaceSign=md5(url1+dynamicKey),存入网页session中;
所述数据接口验证模块,用于页面上异步进行数据接口请求时,页面上的数据接口接到请求后,根据以上的加密规则,重新生成校验串Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
进一步的,所述数据接口验证模块的实现方式进一步具体为:页面上异步进行数据接口请求,数据接口收到请求后进行页面跳转,调用Request.UrlReferrer函数判断是否存在上一页地址url2,如果不存在则网页数据接口为非法;
存在,判断session中是否存在interfaceSign,不存在则非法,
存在,根据公式dynamicKey2=md5(url2+md5key)生成dynamicKey2;
根据公式Sign=md5(url2+dynamicKey2)生成Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
进一步的,所述新生成的Sign与获得session里的interfaceSign进行比较,如果两者相同则网页数据接口合法,反之不合法;以此来保证数据接口的上一页地址url2必须是首次进入的网页地址。
本发明的有益效果在于:本专利提供另一个维度的验证方法,通过页面地址自动生成校验串存入session,数据接口根据上一页地址来组织校验串,判断是否与session里的一致,以此来判断,用户是否通过正常行为来访问网站,如果是直接访问数据接口将返回非法提示;这样网页和数据接口产生了关联性,并且通过session来传递,无需页面传递参数,更加安全,且便捷。
附图说明
图1是本发明的方法流程示意图。
图2是本发明的系统原理框图。
具体实施方式
下面结合附图对本发明做进一步说明。
请参阅图1所示,本发明的一种网页数据接口合法性验证的方法,所述方法包括如下步骤:
步骤S1、进入网页页面的时候,获取当前的网页地址url1,设置一个固定的密钥md5key进行MD5加密,生成动态密钥dynamicKey,dynamicKey=md5(url1+md5key);
步骤S2、将动态密钥进行二次加密得到最终的校验串interfaceSign,interfaceSign=md5(url1+dynamicKey),存入网页session中;
步骤S3、页面上异步进行数据接口请求时,页面上的数据接口接到请求后,根据以上的加密规则,重新生成校验串Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
所述步骤S3进一步具体为:步骤3.1、页面上异步进行数据接口请求,数据接口收到请求后进行页面跳转,调用Request.UrlReferrer函数判断是否存在上一页地址url2,如果不存在则网页数据接口为非法,存在,则进入步骤3.2;
步骤3.2、判断session中是否存在interfaceSign,不存在则非法,存在,则进入步骤3.3;
步骤3.3、根据公式dynamicKey2=md5(url2+md5key)生成dynamicKey2;
步骤3.4、根据公式Sign=md5(url2+dynamicKey2)生成Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
所述新生成的Sign与获得session里的interfaceSign进行比较,如果两者相同则网页数据接口合法,反之不合法;以此来保证数据接口的上一页地址url2必须是首次进入的网页地址(即url2要与url1相同的时候,说明数据接口合法,不相同,则不合法)。
下面结合一具体实施例对本发明作进一步的说明:
步骤1:举例一个商品搜索页/goods/search,页面上请求/goods/ajaxSearch?key=关键字,读取商品数据。
步骤1.1:进入页面的时候,获取当前页面的url(/goods/search),加上固定的md5key(例如:leafweb&%$)进行MD5加密,得到动态key,dynamicKey=md5(url+md5key)。
步骤1.2:动态key加上url(/goods/search)进行二次md5加密得到最终的校验串,interfaceSign=md5(url+dynamicKey)。
步骤1.3:把interfaceSign存入session中,以供页面上的数据接口来校验请求的合法性;
步骤2:页面上异步进行数据接口请求,数据接口收到请求后进行网页跳转,页面跳转到了第二个页面,则调用Request.UrlReferrer判断是否存在上一页地址(即url跳转进入到了第二个页面,上一个页面地址即为url),如果不存在则非法,因为数据接口一定是在页面上请求的,数据接口的上一页地址就是页面地址。
步骤2.1:判断session中是否存在interfaceSign,不存在则非法。
步骤2.2:根据公式dynamicKey2=md5(url2+md5key)生成dynamicKey2,公式中的url2是指步骤2调用Request.UrlReferrer得到的上一页地址。
步骤2.3:根据公式Sign=md5(url2+dynamicKey2)生成Sign,公式中的url2是指步骤2调用Request.UrlReferrer得到的上一页地址。
步骤2.4:新生成的Sign与步骤2.1中获得session里的interfaceSign进行比较,如果两者相同则合法,反之不合法。以此来保证数据接口的上一页地址必须是页面地址,并且他们之间的session必须是合法的。
请参阅图2所示,本发明提供了一种网页数据接口合法性验证的系统,所述系统包括第一加密模块、第二加密模块、以及数据接口验证模块;
所述第一加密模块,用于进入网页页面的时候,获取当前的网页地址url1,设置一个固定的密钥md5key进行MD5加密,生成动态密钥dynamicKey,dynamicKey=md5(url1+md5key);
所述第二加密模块,用于将动态密钥进行二次加密得到最终的校验串interfaceSign,interfaceSign=md5(url1+dynamicKey),存入网页session中;
所述数据接口验证模块,用于页面上异步进行数据接口请求时,页面上的数据接口接到请求后,根据以上的加密规则,重新生成校验串Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
所述数据接口验证模块的实现方式进一步具体为:页面上异步进行数据接口请求,数据接口收到请求后进行页面跳转,调用Request.UrlReferrer函数判断是否存在上一页地址url2,如果不存在则网页数据接口为非法;
存在,判断session中是否存在interfaceSign,不存在则非法,
存在,根据公式dynamicKey2=md5(url2+md5key)生成dynamicKey2;
根据公式Sign=md5(url2+dynamicKey2)生成Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
所述新生成的Sign与获得session里的interfaceSign进行比较,如果两者相同则网页数据接口合法,反之不合法;以此来保证数据接口的上一页地址url2必须是首次进入的网页地址。
总之,本发明通过网页上自动根据地址生成加密串,存入session中,让页面上的数据接口通过判断session里的加密串是否是从上一页地址生成而来,网页和数据接口产生了关联性,并且通过session来传递,无需页面传参,安全便捷。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (6)
1.一种网页数据接口合法性验证的方法,其特征在于:所述方法包括如下步骤:
步骤S1、进入网页页面的时候,获取当前的网页地址url1,设置一个固定的密钥md5key进行MD5加密,生成动态密钥dynamicKey,dynamicKey=md5(url1+md5key);
步骤S2、将动态密钥进行二次加密得到最终的校验串interfaceSign,interfaceSign=md5(url1+dynamicKey),存入网页session中;
步骤S3、页面上异步进行数据接口请求时,页面上的数据接口接到请求后,根据以上的加密规则,重新生成校验串Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
2.根据权利要求1所述的一种网页数据接口合法性验证的方法,其特征在于:所述步骤S3进一步具体为:步骤3.1、页面上异步进行数据接口请求,数据接口收到请求后进行页面跳转,调用Request.UrlReferrer函数判断是否存在上一页地址url2, 如果不存在则网页数据接口为非法,存在,则进入步骤3.2;
步骤3.2、判断session中是否存在interfaceSign,不存在则非法,存在,则进入步骤3.3;
步骤3.3、根据公式dynamicKey2=md5(url2+md5key)生成dynamicKey2;
步骤3.4、根据公式Sign=md5(url2+dynamicKey2)生成Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
3.根据权利要求2所述的一种网页数据接口合法性验证的方法,其特征在于:所述新生成的Sign与获得session里的interfaceSign进行比较,如果两者相同则网页数据接口合法,反之不合法;以此来保证数据接口的上一页地址url2必须是首次进入的网页地址。
4.一种网页数据接口合法性验证的系统,其特征在于:所述系统包括第一加密模块、第二加密模块、以及数据接口验证模块;
所述第一加密模块,用于进入网页页面的时候,获取当前的网页地址url1,设置一个固定的密钥md5key进行MD5加密,生成动态密钥dynamicKey,dynamicKey=md5(url1+md5key);
所述第二加密模块,用于将动态密钥进行二次加密得到最终的校验串interfaceSign,interfaceSign=md5(url1+dynamicKey),存入网页session中;
所述数据接口验证模块,用于页面上异步进行数据接口请求时,页面上的数据接口接到请求后,根据以上的加密规则,重新生成校验串Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
5.根据权利要求4所述的一种网页数据接口合法性验证的系统,其特征在于:所述数据接口验证模块的实现方式进一步具体为:页面上异步进行数据接口请求,数据接口收到请求后进行页面跳转,调用Request.UrlReferrer函数判断是否存在上一页地址url2, 如果不存在则网页数据接口为非法;
存在,判断session中是否存在interfaceSign,不存在则非法,
存在,根据公式dynamicKey2=md5(url2+md5key)生成dynamicKey2;
根据公式Sign=md5(url2+dynamicKey2)生成Sign,将Sign和session里的interfaceSign进行对比,来校验请求的合法性。
6.根据权利要求5所述的一种网页数据接口合法性验证的系统,其特征在于:所述新生成的Sign与获得session里的interfaceSign进行比较,如果两者相同则网页数据接口合法,反之不合法;以此来保证数据接口的上一页地址url2必须是首次进入的网页地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010803638.4A CN111931159B (zh) | 2020-08-11 | 2020-08-11 | 一种网页数据接口合法性验证的方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010803638.4A CN111931159B (zh) | 2020-08-11 | 2020-08-11 | 一种网页数据接口合法性验证的方法及其系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111931159A true CN111931159A (zh) | 2020-11-13 |
CN111931159B CN111931159B (zh) | 2023-04-07 |
Family
ID=73312051
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010803638.4A Active CN111931159B (zh) | 2020-08-11 | 2020-08-11 | 一种网页数据接口合法性验证的方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111931159B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113535841A (zh) * | 2021-08-04 | 2021-10-22 | 杭州遥望网络科技有限公司 | 一种数据校验方法、装置、设备及计算机可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060218391A1 (en) * | 1999-09-09 | 2006-09-28 | American Express Travel Related Services Company, Inc. | System and method for authenticating a web page |
CN102624740A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种数据交互方法及客户端、服务器 |
CN105516208A (zh) * | 2016-01-28 | 2016-04-20 | 邱铭钗 | 一种有效防止网络攻击的web网站链接动态隐藏方法及装置 |
CN108737442A (zh) * | 2018-06-12 | 2018-11-02 | 北京多采多宜网络科技有限公司 | 一种加密校验处理方法 |
CN108769749A (zh) * | 2018-04-13 | 2018-11-06 | 武汉斗鱼网络科技有限公司 | 一种确定盗刷数据的方法、客户端及服务器 |
CN108965222A (zh) * | 2017-12-08 | 2018-12-07 | 翟红鹰 | 身份认证方法、系统及计算机可读存储介质 |
CN110011950A (zh) * | 2018-01-04 | 2019-07-12 | 武汉斗鱼网络科技有限公司 | 一种视频流地址的鉴权方法及装置 |
CN111277418A (zh) * | 2020-02-17 | 2020-06-12 | 福建天晴在线互动科技有限公司 | 一种实现Api接口安全性的方法 |
-
2020
- 2020-08-11 CN CN202010803638.4A patent/CN111931159B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060218391A1 (en) * | 1999-09-09 | 2006-09-28 | American Express Travel Related Services Company, Inc. | System and method for authenticating a web page |
CN102624740A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种数据交互方法及客户端、服务器 |
CN105516208A (zh) * | 2016-01-28 | 2016-04-20 | 邱铭钗 | 一种有效防止网络攻击的web网站链接动态隐藏方法及装置 |
CN108965222A (zh) * | 2017-12-08 | 2018-12-07 | 翟红鹰 | 身份认证方法、系统及计算机可读存储介质 |
CN110011950A (zh) * | 2018-01-04 | 2019-07-12 | 武汉斗鱼网络科技有限公司 | 一种视频流地址的鉴权方法及装置 |
CN108769749A (zh) * | 2018-04-13 | 2018-11-06 | 武汉斗鱼网络科技有限公司 | 一种确定盗刷数据的方法、客户端及服务器 |
CN108737442A (zh) * | 2018-06-12 | 2018-11-02 | 北京多采多宜网络科技有限公司 | 一种加密校验处理方法 |
CN111277418A (zh) * | 2020-02-17 | 2020-06-12 | 福建天晴在线互动科技有限公司 | 一种实现Api接口安全性的方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113535841A (zh) * | 2021-08-04 | 2021-10-22 | 杭州遥望网络科技有限公司 | 一种数据校验方法、装置、设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111931159B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110851879B (zh) | 一种基于存证区块链的侵权存证方法、装置及设备 | |
CN104767719B (zh) | 确定登录网站的终端是否是移动终端的方法及服务器 | |
EP3522446B1 (en) | System and method for credentialed access to a remote server | |
CN107046544B (zh) | 一种识别对网站的非法访问请求的方法和装置 | |
CN105721411A (zh) | 一种防止盗链的方法、防止盗链的服务器及客户端 | |
CN105993156B (zh) | 服务器访问验证方法以及装置 | |
CN102957664A (zh) | 一种识别钓鱼网站的方法及装置 | |
CN109376133A (zh) | 文件访问方法及文件访问系统 | |
CN107733853B (zh) | 页面访问方法、装置、计算机和介质 | |
CN112131564A (zh) | 加密数据通信方法、装置、设备以及介质 | |
Dalai et al. | Neutralizing SQL injection attack using server side code modification in web applications | |
CN111770072B (zh) | 一种单点登录接入功能页面的方法和装置 | |
US8381269B2 (en) | System architecture and method for secure web browsing using public computers | |
CN116484338A (zh) | 数据库访问方法及装置 | |
CN111931159B (zh) | 一种网页数据接口合法性验证的方法及其系统 | |
CN112202813B (zh) | 网络访问方法及装置 | |
CN105337946A (zh) | 网页防伪验证的方法和装置 | |
CN115208669B (zh) | 一种基于区块链技术的分布式身份认证方法及系统 | |
CN115913671A (zh) | 基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质 | |
CN115021998A (zh) | 一种静态资源双重防盗链的方法及系统 | |
CN111368231B (zh) | 一种异构冗余架构网站的测试方法及装置 | |
CN110598426B (zh) | 基于信息安全的数据通信方法、装置、设备和存储介质 | |
Riesch et al. | Audit based privacy preservation for the OpenID authentication protocol | |
CN109145645B (zh) | 一种保护安卓手机中短信验证码的方法 | |
CN108632050B (zh) | 一种记录网站访问日志的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |